本發(fā)明涉及通信安全領(lǐng)域,尤其涉及一種數(shù)據(jù)流監(jiān)測(cè)方法及裝置。
背景技術(shù):
當(dāng)前大多數(shù)網(wǎng)絡(luò)安全設(shè)備的部署模式,是安全設(shè)備之間通過(guò)串聯(lián)進(jìn)行相連接,通過(guò)讓訪問(wèn)數(shù)據(jù)流進(jìn)入安全設(shè)備,安全設(shè)備對(duì)通過(guò)的所有數(shù)據(jù)流進(jìn)行檢測(cè),過(guò)濾,經(jīng)過(guò)安全設(shè)備檢測(cè)過(guò)濾后,正常的數(shù)據(jù)流再進(jìn)入目的服務(wù)器。這種部署方式雖然可以成功的抵御惡意數(shù)據(jù)流對(duì)系統(tǒng)的攻擊,但是效率較為低下,因?yàn)橄到y(tǒng)中的安全設(shè)備不僅需要對(duì)異常數(shù)據(jù)流進(jìn)行檢測(cè),而且對(duì)于正常的數(shù)據(jù)流也要檢測(cè),所有的數(shù)據(jù)流得通過(guò)所部屬的所有安全設(shè)備,導(dǎo)致檢測(cè)效率差、數(shù)據(jù)流的檢測(cè)時(shí)間長(zhǎng)、同時(shí)增加了安全設(shè)備的負(fù)載,而且在傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)中,由于不同安全設(shè)備模塊的性能各有側(cè)重,為了提高檢測(cè)的效率,因此將不同安全設(shè)備模塊部署在一起,這樣就使得部署網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜度提高了。
針對(duì)上述問(wèn)題,提出一種解決現(xiàn)有技術(shù)對(duì)所有訪問(wèn)數(shù)據(jù)流都進(jìn)行檢測(cè)導(dǎo)致的檢測(cè)效率較低的數(shù)據(jù)流監(jiān)測(cè)方法,是本領(lǐng)域技術(shù)人員亟待解決的技術(shù)問(wèn)題。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)方法及裝置,以解決現(xiàn)有技術(shù)對(duì)所有訪問(wèn)數(shù)據(jù)流都進(jìn)行檢測(cè)導(dǎo)致的檢測(cè)效率較低的問(wèn)題。
本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)方法,其包括:
獲取訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí);
根據(jù)預(yù)設(shè)的白名單及源端標(biāo)識(shí),配置訪問(wèn)數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流;
根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性,分流訪問(wèn)數(shù)據(jù)流。
進(jìn)一步的,還包括:對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果;配置訪問(wèn)數(shù)據(jù)流的安全屬性包括:根據(jù)訪問(wèn)數(shù)據(jù)流的初判結(jié)果、源端標(biāo)識(shí)與白名單,設(shè)置安全屬性。
進(jìn)一步的,在對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判之前,還包括:進(jìn)行無(wú)攻擊狀態(tài)學(xué)習(xí),獲取無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問(wèn)數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。
進(jìn)一步的,配置安全屬性包括:當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)屬于白名單時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為白流;當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為灰流;當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為黑流。
進(jìn)一步的,根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性,分流訪問(wèn)數(shù)據(jù)流包括:使用軟件定義網(wǎng)絡(luò),轉(zhuǎn)發(fā)安全屬性為白流的訪問(wèn)數(shù)據(jù)流至目標(biāo)設(shè)備,阻斷安全屬性為黑流的訪問(wèn)數(shù)據(jù)流,轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈。
進(jìn)一步的,在轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈之后,還包括:通過(guò)虛擬安全服務(wù)鏈?zhǔn)褂锰摂M入侵檢測(cè)系統(tǒng)對(duì)訪問(wèn)數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行分析,使用虛擬沙箱模擬目標(biāo)設(shè)備運(yùn)行環(huán)境、并運(yùn)行訪問(wèn)數(shù)據(jù)流分析是否具有惡意行為,根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問(wèn)數(shù)據(jù)流為白流或者黑 流。
本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)裝置,其包括:
獲取模塊,用于獲取訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)
配置模塊,用于根據(jù)預(yù)設(shè)的白名單及源端標(biāo)識(shí),配置訪問(wèn)數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流;
監(jiān)測(cè)模塊,用于根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性,分流訪問(wèn)數(shù)據(jù)流。
進(jìn)一步的,還包括初判模塊,用于對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果;配置模塊具體用于根據(jù)訪問(wèn)數(shù)據(jù)流的初判結(jié)果、源端標(biāo)識(shí)與白名單,配置安全屬性。
進(jìn)一步的,初判模塊在對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判之前,還用于進(jìn)行無(wú)攻擊狀態(tài)學(xué)習(xí),獲取無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問(wèn)數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。
進(jìn)一步的,配置模塊用于當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)屬于白名單時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為白流;當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為灰流;當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為黑流。
進(jìn)一步的,監(jiān)測(cè)模塊用于使用軟件定義網(wǎng)絡(luò),轉(zhuǎn)發(fā)安全屬性為白流的訪問(wèn)數(shù)據(jù)流至目標(biāo)設(shè)備,阻斷安全屬性為黑流的訪問(wèn)數(shù)據(jù)流,轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈。
進(jìn)一步的,還包括分析模塊,用于通過(guò)虛擬安全服務(wù)鏈?zhǔn)褂锰摂M入侵檢測(cè)系 統(tǒng)對(duì)訪問(wèn)數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行分析,使用虛擬沙箱模擬目標(biāo)設(shè)備運(yùn)行環(huán)境、并運(yùn)行訪問(wèn)數(shù)據(jù)流分析是否具有惡意行為,根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問(wèn)數(shù)據(jù)流為白流或者黑流。
本發(fā)明的有益效果:
本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)方法,在接收到訪問(wèn)數(shù)據(jù)流后,先獲取該訪問(wèn)數(shù)據(jù)流的安全屬性,根據(jù)不同的安全屬性對(duì)數(shù)據(jù)流進(jìn)行分流,針對(duì)不同屬性的數(shù)據(jù)流執(zhí)行不同的檢測(cè)策略,例如對(duì)黑流阻斷,對(duì)白流放行,灰流周期性反復(fù)檢測(cè),提高了監(jiān)測(cè)效率,實(shí)現(xiàn)了重點(diǎn)難斷數(shù)據(jù)流(灰流)的重點(diǎn)分析,解決了現(xiàn)有技術(shù)對(duì)所有訪問(wèn)數(shù)據(jù)流都進(jìn)行檢測(cè)導(dǎo)致的監(jiān)測(cè)效率較低的問(wèn)題。
附圖說(shuō)明
圖1為本發(fā)明第一實(shí)施例提供的數(shù)據(jù)流監(jiān)測(cè)裝置的結(jié)構(gòu)示意圖;
圖2為本發(fā)明第二實(shí)施例提供的數(shù)據(jù)流監(jiān)測(cè)方法的流程圖;
圖3為本發(fā)明第三實(shí)施例提供的安全一體機(jī)的結(jié)構(gòu)示意圖;
圖4為本發(fā)明第三實(shí)施例中安全一體機(jī)運(yùn)行流程圖。
具體實(shí)施方式
現(xiàn)通過(guò)具體實(shí)施方式結(jié)合附圖的方式對(duì)本發(fā)明做出進(jìn)一步的詮釋說(shuō)明。
第一實(shí)施例:
圖1為本發(fā)明第一實(shí)施例提供的數(shù)據(jù)流監(jiān)測(cè)裝置的結(jié)構(gòu)示意圖,由圖1可知,在本實(shí)施例中,本發(fā)明提供的數(shù)據(jù)流監(jiān)測(cè)裝置1包括:
獲取模塊11,用于獲取訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)
配置模塊12,用于根據(jù)預(yù)設(shè)的白名單及源端標(biāo)識(shí),配置訪問(wèn)數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流;
監(jiān)測(cè)模塊13,用于根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性,分流訪問(wèn)數(shù)據(jù)流。
在一些實(shí)施例中,如圖1所示,上述實(shí)施例中的數(shù)據(jù)流監(jiān)測(cè)裝置1還包括初判模塊14,用于對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果;配置模塊12具體用于根據(jù)訪問(wèn)數(shù)據(jù)流的初判結(jié)果、源端標(biāo)識(shí)與白名單,配置安全屬性。
在一些實(shí)施例中,上述實(shí)施例中的初判模塊14在對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判之前,還用于進(jìn)行無(wú)攻擊狀態(tài)學(xué)習(xí),獲取無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問(wèn)數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。
在一些實(shí)施例中,上述實(shí)施例中的配置模塊12用于當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)屬于白名單時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為白流;當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為灰流;當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為黑流。
在一些實(shí)施例中,上述實(shí)施例中的監(jiān)測(cè)模塊12用于使用軟件定義網(wǎng)絡(luò),轉(zhuǎn)發(fā)安全屬性為白流的訪問(wèn)數(shù)據(jù)流至目標(biāo)設(shè)備,阻斷安全屬性為黑流的訪問(wèn)數(shù)據(jù)流,轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈。
在一些實(shí)施例中,如圖1所示,上述實(shí)施例中的數(shù)據(jù)流監(jiān)測(cè)裝置還包括分析模塊15,用于通過(guò)虛擬安全服務(wù)鏈?zhǔn)褂锰摂M入侵檢測(cè)系統(tǒng)對(duì)訪問(wèn)數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行分析,使用虛擬沙箱模擬目標(biāo)設(shè)備運(yùn)行環(huán)境、并運(yùn)行訪問(wèn)數(shù)據(jù)流分析是否具有惡意行為,根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問(wèn)數(shù)據(jù)流為白流 或者黑流。
對(duì)應(yīng)的,本發(fā)明提供了一種通信系統(tǒng),其包括本發(fā)明提供的數(shù)據(jù)流監(jiān)測(cè)裝置1。
第二實(shí)施例:
圖2為本發(fā)明第二實(shí)施例提供的數(shù)據(jù)流監(jiān)測(cè)方法的流程圖,由圖2可知,在本實(shí)施例中,本發(fā)明提供的數(shù)據(jù)流監(jiān)測(cè)方法包括以下步驟:
s201:獲取訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí);
s202:根據(jù)預(yù)設(shè)的白名單及源端標(biāo)識(shí),配置訪問(wèn)數(shù)據(jù)流的安全屬性,獲取訪問(wèn)數(shù)據(jù)流的安全屬性,安全屬性包括白流、灰流、黑流;
s203:根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性,分流訪問(wèn)數(shù)據(jù)流。
在一些實(shí)施例中,上述實(shí)施例中的方法還包括:對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判,判斷是否為攻擊性數(shù)據(jù)流,輸出初判結(jié)果;根據(jù)訪問(wèn)數(shù)據(jù)流的初判結(jié)果、源端標(biāo)識(shí)與白名單,設(shè)置安全屬性。
在一些實(shí)施例中,上述實(shí)施例中的方法在對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行初判之前,還包括:進(jìn)行無(wú)攻擊狀態(tài)學(xué)習(xí),獲取無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,根據(jù)無(wú)攻擊狀態(tài)的數(shù)據(jù)流的特征信息,判斷訪問(wèn)數(shù)據(jù)流是否為攻擊性數(shù)據(jù)流。
在一些實(shí)施例中,上述實(shí)施例中的配置安全屬性包括:當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)屬于白名單時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為白流;當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果不為攻擊性數(shù)據(jù)流時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為灰流;當(dāng)訪問(wèn)數(shù)據(jù)流的源端標(biāo)識(shí)不屬于白名單、且訪問(wèn)數(shù)據(jù)流的初判結(jié)果為攻擊性數(shù)據(jù)流時(shí),將訪問(wèn)數(shù)據(jù)流的安全屬性設(shè)置為黑 流。
在一些實(shí)施例中,上述實(shí)施例中的根據(jù)訪問(wèn)數(shù)據(jù)流的安全屬性,分流訪問(wèn)數(shù)據(jù)流包括:使用軟件定義網(wǎng)絡(luò),轉(zhuǎn)發(fā)安全屬性為白流的訪問(wèn)數(shù)據(jù)流至目標(biāo)設(shè)備,阻斷安全屬性為黑流的訪問(wèn)數(shù)據(jù)流,轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈。
在一些實(shí)施例中,上述實(shí)施例中的方法在轉(zhuǎn)發(fā)安全屬性為灰流的訪問(wèn)數(shù)據(jù)流至虛擬安全服務(wù)鏈之后,還包括:通過(guò)虛擬安全服務(wù)鏈?zhǔn)褂锰摂M入侵檢測(cè)系統(tǒng)對(duì)訪問(wèn)數(shù)據(jù)流的網(wǎng)絡(luò)行為進(jìn)行分析,使用虛擬沙箱模擬目標(biāo)設(shè)備運(yùn)行環(huán)境、并運(yùn)行訪問(wèn)數(shù)據(jù)流分析是否具有惡意行為,根據(jù)分析結(jié)果判斷安全屬性為灰流的訪問(wèn)數(shù)據(jù)流為白流或者黑流。
第三實(shí)施例:
現(xiàn)結(jié)合具體應(yīng)用場(chǎng)景對(duì)本發(fā)明做進(jìn)一步的詮釋說(shuō)明。
針對(duì)現(xiàn)有大多數(shù)網(wǎng)絡(luò)安全設(shè)備的部署模式存在的效率較為低下及網(wǎng)絡(luò)安全系統(tǒng)復(fù)雜度較高的問(wèn)題,本實(shí)施例為了提高對(duì)訪問(wèn)數(shù)據(jù)流的檢測(cè)精確度,降低部署網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜度,本實(shí)施例提供了一種面向網(wǎng)絡(luò)功能虛擬化的安全一體機(jī),該安全一體機(jī)的各功能模塊配合實(shí)現(xiàn)第一實(shí)施例中數(shù)據(jù)流管理裝置的功能。
本實(shí)施例提供的安全一體機(jī)設(shè)計(jì)一個(gè)流安全管理中心,引入了最新的大數(shù)據(jù)分析技術(shù)來(lái)對(duì)數(shù)據(jù)流做初步的分析;引入了sdn(softwaredefinednetworking,軟件定義網(wǎng)絡(luò))技術(shù),通過(guò)對(duì)不同安全屬性的數(shù)據(jù)流進(jìn)行分類檢測(cè),對(duì)于可疑的數(shù)據(jù)流及其后續(xù)數(shù)據(jù)包的反復(fù)檢測(cè),來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)流的全面的管控。提高檢測(cè)效率,同時(shí),引入了nfv(networkfunctionvirtualization, 網(wǎng)絡(luò)功能虛擬化)技術(shù),通過(guò)對(duì)系統(tǒng)中各個(gè)安全設(shè)備的功能虛擬化,使其部署在一臺(tái)x86平臺(tái)中,降低部署的復(fù)雜度,提高了安全系統(tǒng)的協(xié)同能力。vnf(virtualnetworkingfunction,虛擬化的網(wǎng)絡(luò)功能)是指nfv結(jié)構(gòu)框架中的一種功能元素。是網(wǎng)絡(luò)功能的軟件實(shí)現(xiàn),如虛擬化的入侵檢測(cè)系統(tǒng)、沙箱系統(tǒng)。虛擬化的網(wǎng)絡(luò)功能元素通過(guò)從基礎(chǔ)設(shè)備層提供的api接口,獲得虛擬計(jì)算、虛擬存儲(chǔ)、虛擬網(wǎng)絡(luò)資源。
流量初判平臺(tái)不僅具有防火墻的防御策略(例如:流量的合規(guī)性檢測(cè));還包含一些機(jī)器學(xué)習(xí)算法能夠判斷可能存在某種攻擊模式。當(dāng)然,流量初判平臺(tái)在部署之前,要有一個(gè)無(wú)攻擊狀態(tài)學(xué)習(xí)過(guò)程。獲取無(wú)攻擊狀態(tài)的流量信息特征。尤其是數(shù)據(jù)包頭信息的特征。例如黑客發(fā)動(dòng)synflooding攻擊,能夠突破防火墻的防御策略。此時(shí),機(jī)器學(xué)習(xí)算法通過(guò)對(duì)進(jìn)入系統(tǒng)的這段流量的類型統(tǒng)計(jì),發(fā)現(xiàn)syn包的類型值超過(guò)無(wú)攻擊狀態(tài)的閾值。就可以斷定該段流量中存在synflooding攻擊。并將結(jié)果發(fā)送給流安全管理中心。
入侵檢測(cè)(idsintrusiondetectionsystems)在本安全一體機(jī)中,ids系統(tǒng)是安全服務(wù)鏈中的重要組成部分。通過(guò)對(duì)進(jìn)入系統(tǒng)的灰流鏡像的網(wǎng)絡(luò)行為進(jìn)行分析,得出某段流量是否具有哪種安全特性。最后,將結(jié)果發(fā)送給流安全管理中心。
沙箱也是安全服務(wù)鏈中的重要組成部分。其模擬終端系統(tǒng)的運(yùn)行環(huán)境,讓灰流的鏡像在沙箱的仿真系統(tǒng)中模擬運(yùn)行。監(jiān)測(cè)其對(duì)仿真系統(tǒng)是否具有惡意行為。以此確定某段流量是否具有黑流或白流特性。最終,將結(jié)果發(fā)送給流安全管理中心。
sdn交換機(jī)指的是利用sdn技術(shù)實(shí)現(xiàn)交換機(jī)里的邏輯控制層與數(shù)據(jù)轉(zhuǎn)發(fā)層分 離,通過(guò)配置定向流表,實(shí)現(xiàn)數(shù)據(jù)流以最優(yōu)化的路徑轉(zhuǎn)發(fā)到目標(biāo)端口上,大大提高轉(zhuǎn)發(fā)效率,降低傳輸延遲。
安全服務(wù)鏈:在本文的安全一體機(jī)中,由不同類型網(wǎng)絡(luò)安全設(shè)備的功能虛擬化后,而組成實(shí)現(xiàn)。它的組合方式既可以由用戶手動(dòng)設(shè)置,也可以由流安全管理中心根據(jù)要檢測(cè)灰流的類型,自動(dòng)配置。例如,虛擬ids與虛擬沙箱組合。
黑流:表示已經(jīng)明確判斷出屬于入侵或異常的流量,此類數(shù)據(jù)流應(yīng)該被阻斷。一旦發(fā)現(xiàn)黑流,流安全管理中心會(huì)直接阻斷此類數(shù)據(jù)流。灰流:是表示流安全管理中心在結(jié)合流量初判平臺(tái)的分析結(jié)果與用戶設(shè)置的白名單,綜合分析之后,仍無(wú)法準(zhǔn)確的判斷出其是黑流或白流的流量。因此,其仍需要通過(guò)安全服務(wù)鏈進(jìn)行持續(xù)的深度安全分析,以判斷其真正網(wǎng)絡(luò)行為的流量。對(duì)于這類數(shù)據(jù)流,需要通過(guò)流安全管理中心控制sdn交換機(jī),對(duì)灰流下發(fā)流表,令進(jìn)入安全服務(wù)鏈中,進(jìn)行深度檢測(cè),直到發(fā)現(xiàn)其具體屬性。也就是該數(shù)據(jù)流呈現(xiàn)的是黑流特性,還是白流特性。并進(jìn)行后續(xù)相應(yīng)操作。白流:表示正常訪問(wèn)流量。此類數(shù)據(jù)流,安全一體機(jī)會(huì)直接轉(zhuǎn)發(fā)。無(wú)需通過(guò)安全設(shè)備檢測(cè)。
由圖3可知,本實(shí)施例提供的安全一體機(jī)3包括:
基礎(chǔ)設(shè)施層31:基礎(chǔ)設(shè)施層是建立在通用的x86平臺(tái)的基礎(chǔ)上,配置部署上其所需要的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等硬件資源,通過(guò)虛擬層的抽象,構(gòu)建出一個(gè)虛擬化的資源池,向上給虛擬化的網(wǎng)絡(luò)功能層中的虛擬化的網(wǎng)絡(luò)功能提供服務(wù)。本基礎(chǔ)設(shè)施層是構(gòu)建在通用的x86平臺(tái)上的,向上層提供統(tǒng)一的開放性的api接口。大大減少了原來(lái)終端服務(wù)器需要購(gòu)買專有的安全設(shè)備的成本,增強(qiáng)了網(wǎng)絡(luò)接口的靈活度。
虛擬化網(wǎng)絡(luò)功能層32:虛擬化網(wǎng)絡(luò)功能層是安全一體機(jī)中的最重要的核心 層,通過(guò)基礎(chǔ)設(shè)施層所提供的開放性api接口,使用其中虛擬資源,如虛擬計(jì)算、虛擬存儲(chǔ)、虛擬網(wǎng)絡(luò)等資源。構(gòu)建部署具有安全防護(hù)性的虛擬化的網(wǎng)絡(luò)功能。在本專利所設(shè)計(jì)的虛擬化網(wǎng)絡(luò)功能層中,共部署了四個(gè)虛擬化的網(wǎng)絡(luò)功能系統(tǒng)。分別是sdn交換機(jī)、防火墻、入侵檢測(cè)、沙箱。但是本安全一體機(jī)的虛擬化網(wǎng)絡(luò)功能層是具有開放性的。也就是說(shuō),本層不僅可以部署本專利中所提到的四個(gè)安全功能虛擬化的網(wǎng)絡(luò)功能,同時(shí)用戶可以根據(jù)自己的需求,安裝所需要的功能虛擬化的網(wǎng)絡(luò)功能。這些虛擬化的網(wǎng)絡(luò)功能系統(tǒng)與專用的安全設(shè)備不同,他們是通過(guò)與專有的硬件解耦,是構(gòu)建在虛擬化平臺(tái)上的網(wǎng)絡(luò)功能的軟件實(shí)現(xiàn)。
流安全管理中心33:流安全管理中心是安全一體機(jī)中負(fù)責(zé)管理編排虛擬網(wǎng)絡(luò)功能層中各個(gè)虛擬化網(wǎng)絡(luò)功能模塊的重要管理編排域,它不僅能夠?qū)崿F(xiàn)對(duì)虛擬網(wǎng)絡(luò)功能層的管控,同時(shí)還提供用戶配置的功能。用戶可以根據(jù)數(shù)據(jù)流的來(lái)源,來(lái)設(shè)定給予檢測(cè)其安全性的虛擬網(wǎng)絡(luò)功能層。例如:當(dāng)數(shù)據(jù)流通過(guò)安全一體機(jī)時(shí),流安全管理中心通過(guò)流量初判平臺(tái)給出的初步安全判斷。再綜合用戶的配置信息,給予虛擬sdn交換機(jī)下達(dá)指令,令其給數(shù)據(jù)流配置相應(yīng)的流表。使得不同類型的數(shù)據(jù)流進(jìn)入不同的虛擬化的網(wǎng)絡(luò)功能模塊檢測(cè)。最終能夠讓白流安全、快速的到達(dá)終端服務(wù)器,獲取所需要的服務(wù)。
對(duì)應(yīng)的,如圖4所示,本實(shí)施例提供的檢測(cè)方法包括:
s401:訪問(wèn)數(shù)據(jù)流初判:將訪問(wèn)數(shù)據(jù)流的鏡像導(dǎo)入安全一體機(jī),安全一體機(jī)中的流量初判平臺(tái)將數(shù)據(jù)流的初步分析結(jié)果發(fā)送給流安全管理中心。
s402:轉(zhuǎn)發(fā)白流,阻斷黑流,下發(fā)灰流;流安全管理中心綜合流量初判平臺(tái)所得出的結(jié)果與用戶設(shè)置白名單,把白流直接轉(zhuǎn)發(fā)到終端服務(wù)器上;黑流被 直接阻斷;對(duì)于灰流,會(huì)要求虛擬sdn交換機(jī)給其鏡像下發(fā)的進(jìn)入安全服務(wù)鏈的流表。
s403:多次檢測(cè)灰流,直至確定為白流或黑流;當(dāng)這些灰流的鏡像進(jìn)入安全服務(wù)鏈中,一遍流程之后,對(duì)于其中能夠區(qū)分出具有白流特性的數(shù)據(jù)流鏡像,流安全管理中心把其對(duì)應(yīng)的真實(shí)數(shù)據(jù)流直接轉(zhuǎn)發(fā)到終端服務(wù)器上,對(duì)應(yīng)的黑流則會(huì)被直接阻斷。對(duì)于仍未能區(qū)分出特性的灰流鏡像,這段灰流會(huì)被流安全管理中心標(biāo)記,得將其后續(xù)的數(shù)據(jù)流繼續(xù)被鏡像到安全服務(wù)鏈中。再經(jīng)過(guò)一遍流程,對(duì)于仍未能檢測(cè)出安全性的灰流,流安全管理中心會(huì)將這段灰流轉(zhuǎn)發(fā)到系統(tǒng)終端上。但是這段灰流會(huì)被標(biāo)記。當(dāng)有后續(xù)數(shù)據(jù)包訪問(wèn)系統(tǒng)終端時(shí),還得繼續(xù)把其后續(xù)的數(shù)據(jù)包,鏡像到安全服務(wù)鏈中。不斷的循環(huán)重復(fù)。一旦發(fā)現(xiàn)該數(shù)據(jù)流鏡像是呈現(xiàn)黑流特性,則立即將其對(duì)應(yīng)的真實(shí)流量阻斷。
在安全一體機(jī)中,流安全管理中心主要功能是對(duì)虛擬網(wǎng)絡(luò)功能層中的虛擬化的安全設(shè)備模塊管理編排,通過(guò)虛擬化的安全設(shè)備模塊對(duì)流量鏡像的安全檢測(cè)。實(shí)現(xiàn)流安全管理中心指導(dǎo)正常流量能夠安全高效的到達(dá)終端服務(wù)器,惡意流量被阻斷。例如管理安全設(shè)備類型和相應(yīng)的端口號(hào),下發(fā)適當(dāng)指令,引導(dǎo)數(shù)據(jù)流的流向。并且可以向用戶提供配置頁(yè)面。用戶可以根據(jù)流量的不同特征,配置對(duì)應(yīng)的安全檢測(cè)設(shè)備。對(duì)于白流的判斷,其還引入一個(gè)白名單機(jī)制,用戶通過(guò)設(shè)置流的白名單,讓白流只需通過(guò)防火墻的簡(jiǎn)單檢測(cè)后,直接被轉(zhuǎn)發(fā)。
同時(shí)流安全管理中心對(duì)系統(tǒng)中的安全設(shè)備編排創(chuàng)建虛擬安全服務(wù)鏈。通過(guò)令sdn交換機(jī)為灰流下發(fā)流表項(xiàng),使其先后經(jīng)過(guò)交換機(jī)的多個(gè)端口,以實(shí)現(xiàn)被多個(gè)安全設(shè)備所檢測(cè),形成所謂的一條鏈狀的安全服務(wù)結(jié)構(gòu),即安全服務(wù)鏈。
流安全管理中心會(huì)設(shè)置多個(gè)api接口分別連接對(duì)應(yīng)的虛擬設(shè)備。用于接收 安全設(shè)備對(duì)灰流鏡像的處理報(bào)告。例如虛擬沙箱對(duì)流安全管理中心發(fā)送處理報(bào)告,流安全管理中心會(huì)把具有黑流性質(zhì)的流量直接阻斷,白流放行,而這部分灰流會(huì)被標(biāo)記,也轉(zhuǎn)發(fā)到終端系統(tǒng)中,同時(shí)要求其后續(xù)數(shù)據(jù)包也發(fā)送到安全服務(wù)鏈中。
現(xiàn)模擬一股具有50條白流與5條黑流的流量欲訪問(wèn)終端系統(tǒng)。安全一體機(jī)將通過(guò)下面幾個(gè)步驟來(lái)處理此股數(shù)據(jù)流,使得具有白流特性的數(shù)據(jù)流順利的訪問(wèn)系統(tǒng),而具有黑流特性的數(shù)據(jù)流無(wú)法進(jìn)入。
安全一體機(jī)預(yù)先配置階段,該階段包括:安全一體機(jī)首先經(jīng)過(guò)無(wú)攻擊狀態(tài)的流量訓(xùn)練,使得流量初判平臺(tái)可以預(yù)先得到流量特征的標(biāo)準(zhǔn)閾值;用戶根據(jù)自己的需要對(duì)來(lái)訪流量設(shè)置白名單;當(dāng)有數(shù)據(jù)流要訪問(wèn)終端服務(wù)器,啟動(dòng)安全一體機(jī)。
訪問(wèn)數(shù)據(jù)流初次分流階段,該階段包括:
安全一體機(jī)中的流安全管理中心要求流量初判平臺(tái)對(duì)訪問(wèn)流量首先進(jìn)行合規(guī)性檢測(cè),并要求其采用自身的機(jī)器學(xué)習(xí)算法對(duì)合規(guī)的流量,檢索其信息特征,并進(jìn)行第一次分析判斷。(例如:區(qū)分出如視頻流、語(yǔ)音流等具有白流特性流量,判斷在剩余流量中是否混雜某種或某幾種的惡意流量,對(duì)于無(wú)法判斷安全屬性的流量和混雜惡意行為的流量會(huì)被認(rèn)定為灰流)確定出35條白流,2條黑流。流量初判平臺(tái)把分析結(jié)果發(fā)送給流安全管理中心。
流安全管理中心將來(lái)訪流量對(duì)比自身的白名單,又確認(rèn)了5條白流。此時(shí),共確定了40條白流,2條黑流。對(duì)于剩余的13條流量,由于流量初判平臺(tái)與白名單機(jī)制不能完全區(qū)分出其中的黑流,因此被認(rèn)為是灰流。
流安全管理中心把這40條白流直接轉(zhuǎn)發(fā)到終端服務(wù)器;2條黑流被阻斷; 將剩余的13條灰流鏡像到安全服務(wù)鏈中。
灰流分析處理階段,該階段包括:
流安全管理中心根據(jù)訪問(wèn)數(shù)據(jù)流初次分流階段中的分析結(jié)果自動(dòng)部署安全服務(wù)鏈,(例如:構(gòu)建虛擬ids與虛擬沙箱組成的安全服務(wù)鏈,假如在流量初判平臺(tái)中,判斷可能混雜間諜行為的流量,需要在安全服務(wù)鏈中補(bǔ)充反間諜系統(tǒng)對(duì)間諜流量給于區(qū)分阻斷。)或依據(jù)用戶的手動(dòng)配置來(lái)部署安全服務(wù)鏈。
流安全管理中心給sdn交換機(jī)下發(fā)指令,要求交換機(jī)給灰流鏡像下發(fā)流向安全服務(wù)鏈的流表項(xiàng)。
灰流經(jīng)過(guò)虛擬ids檢測(cè)后,虛擬ids發(fā)現(xiàn)鏡像中存在黑流1條,白流2條。虛擬ids把灰流鏡像發(fā)送到虛擬沙箱中。然后把處理結(jié)果發(fā)送給流安全管理中心。
流安全管理中心將那2條白流轉(zhuǎn)發(fā)到終端,那1條黑流阻斷。
剩余灰流經(jīng)過(guò)虛擬沙箱檢測(cè)后,虛擬沙箱又發(fā)現(xiàn)鏡像中存在黑流1條,白流4條。虛擬沙箱把處理結(jié)果發(fā)送給流安全管理中心。
流安全管理中心將那4條白流轉(zhuǎn)發(fā)到終端,那1條黑流阻斷。剩余灰流被標(biāo)記。對(duì)應(yīng)其真實(shí)的灰流也要求轉(zhuǎn)發(fā)給終端系統(tǒng)。
當(dāng)有被標(biāo)記灰流的后續(xù)數(shù)據(jù)包要訪問(wèn)終端時(shí),流安全管理中心直接將其鏡像到安全服務(wù)鏈上。
安全服務(wù)鏈檢測(cè)出存在黑流1條,白流4條。并把處理結(jié)果發(fā)送給流安全管理中心。
流安全管理中心將那條黑流丟棄,剩余4條白流轉(zhuǎn)發(fā)到終端。
本實(shí)施例提供的安全一體機(jī)具備以下優(yōu)點(diǎn):這樣的設(shè)計(jì),使得通過(guò)流安全管理中心控制網(wǎng)絡(luò)流實(shí)現(xiàn)安全設(shè)備間的協(xié)同聯(lián)動(dòng)。降低整體的檢測(cè)計(jì)算負(fù)載,降低誤報(bào),提高安全檢測(cè)的性能;通過(guò)設(shè)立流安全管理中心,對(duì)不同流量下達(dá)配置不同流表項(xiàng)的命令,使得不同類型,不同級(jí)別的數(shù)據(jù)流進(jìn)入不同的安全端口,這樣分類處理的方式,避免了所有的數(shù)據(jù)流都進(jìn)入安全檢測(cè)設(shè)備,減輕檢測(cè)設(shè)備的壓力,同時(shí),對(duì)黑流阻斷,對(duì)白流放行,灰流周期性反復(fù)檢測(cè),提高安全一體機(jī)的運(yùn)行效率;流安全管理中心讓未知安全性的灰流及其后續(xù)包通過(guò)安全服務(wù)鏈,通過(guò)對(duì)灰流的反復(fù)跟蹤檢測(cè),高度的確保流入終端服務(wù)器的數(shù)據(jù)流的安全性;流安全管理中心給用戶提供配置界面,用戶可以根據(jù)數(shù)據(jù)流的來(lái)源ip,設(shè)置其所要經(jīng)過(guò)的虛擬安全設(shè)備,這樣的設(shè)計(jì),提高了安全一體機(jī)系統(tǒng)的靈活度;基于nfv框架下對(duì)訪問(wèn)數(shù)據(jù)流進(jìn)行安全處理的一種方案。其中的安全設(shè)備的硬件實(shí)現(xiàn)是建立在一個(gè)統(tǒng)一的x86平臺(tái)上,在基礎(chǔ)設(shè)施層提供的資源的基礎(chǔ)上,在網(wǎng)絡(luò)功能層中配置具有專有安全設(shè)備功能的軟刀片,這樣的設(shè)計(jì),大大降低了實(shí)現(xiàn)的成本,同時(shí)免去了各個(gè)專有的安全設(shè)備可能不兼容的缺點(diǎn)。
綜上可知,通過(guò)本發(fā)明的實(shí)施,至少存在以下有益效果:
本發(fā)明提供了一種數(shù)據(jù)流監(jiān)測(cè)方法,在接收到訪問(wèn)數(shù)據(jù)流后,先獲取該訪問(wèn)數(shù)據(jù)流的安全屬性,根據(jù)不同的安全屬性對(duì)數(shù)據(jù)流進(jìn)行分流,針對(duì)不同屬性的數(shù)據(jù)流執(zhí)行不同的檢測(cè)策略,例如對(duì)黑流阻斷,對(duì)白流放行,灰流周期性反復(fù)檢測(cè),提高了監(jiān)測(cè)效率,解決了現(xiàn)有技術(shù)對(duì)所有訪問(wèn)數(shù)據(jù)流都進(jìn)行檢測(cè)導(dǎo)致的監(jiān)測(cè)效率較低的問(wèn)題。
以上僅是本發(fā)明的具體實(shí)施方式而已,并非對(duì)本發(fā)明做任何形式上的限制,凡是依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對(duì)以上實(shí)施方式所做的任意簡(jiǎn)單修改、等同變化、結(jié)合或修飾,均仍屬于本發(fā)明技術(shù)方案的保護(hù)范圍。