CN104519010A - 网络安全探针的部署方法和装置 - Google Patents

Abstract

本发明实施例公开了一种网络安全探针的部署方法和装置，其中，方法包括：获取网络中已部署网络安全设备的网络节点；分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性；根据网络拓扑特性及流量特性，获得所述各网络节点的属性值；根据所述各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点；在所述关键节点上分别部署网络安全探针。本发明实施例可以大幅度减少海量冗余的网络安全设备告警信息，提高后续网络传输、后续分析计算的处理效率，提高业务安全的保障响应速度。

Description

网络安全探针的部署方法和装置

技术领域

本发明涉及通信技术，尤其是一种网络安全探针的部署方法和装置。

背景技术

互联网的快速发展已经深刻地改变了人们的生活和工作方式，互联网的安全运营成为人类社会日常运转的重要条件。

全网安全状态感知是实现网络安全运营、可管可控的前提。而全网安全状态的实时感知依赖于网络安全探针的合理部署。现有常见的网络安全探针的部署方式为根据网络安全设备的部署状况，同步部署网络安全探针。

在实现本发明的过程中，发明人发现现有网络安全探针与网络安全设备同步部署的方式至少存在以下问题：

近年来，随着网络规模的快速发展，现有的部署方式面临严峻的挑战。一方面，海量的网络安全探针会产生海量告警信息，从而带来海量的实时数据处理难题，给网络传输、后续分析计算带来不可忽视的压力；另一方面，一旦发生网络攻击而导致业务故障，那么多台网络安全设备会先后发出告警信息，这些告警信息之间存在关联性，很多网络安全设备的告警信息并不能说明故障点在它身上，只有少数几台关键节点的网络安全设备告警信息有助于快速排查故障，但是，海量网络安全探针会带来海量冗余告警信息，这些冗余告警信息易导致关键信息被淹没，安全管理人员需要在众多网络安全设备的告警信息中进一步分析，才能制定有效的安全策略，大大延缓了业务安全的保障响应速度。

因此，网络安全探针的部署成为企业界和学术界的研究热点。

发明内容

本发明实施例所要解决的一个技术问题是：针对当前网络安全探针部署难以适应全网安全状态感知要求的现状，提供一种网络安全探针的部署方法和装置，通过合理部署网络安全探针，大幅度减少海量冗余的网络安全设备告警信息，提高后续网络传输、后续分析计算的处理效率，提高业务安全的保障响应速度。

本发明实施例提供的一种网络安全探针的部署方法，包括：

获取网络中已部署网络安全设备的网络节点；

分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性；

根据网络拓扑特性及流量特性，获得所述各网络节点的属性值；

根据所述各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点；

在所述关键节点上分别部署网络安全探针。

上述方法的一个具体实施例中，网络中已部署网络安全设备的网络节点的数量表示为N，其中的一个已部署网络安全设备的网络节点表示为Ni，N、i均为大于1的整数，i的取值为【1，N】；

网络节点Ni与父节点的流量平均值表示为Ti，拥有的叶子节点数量为Ki，则通过以下方式，根据网络拓扑特性及流量特性，获得所述各网络节点Ni的属性值：

$F\left(N_i\right)=\frac{K_i}{N-1}\×\mathrm{\α}+\frac{T_i}{{\mathrm{\Σ}}_j{T}_j}\×\mathrm{\β};$

其中，α+β=1；α和β为预设经验值。

上述方法的一个具体实施例中，网络的物理拓扑冗余越弱，α的取值越大；网络对业务时延要求越高，β的取值越大。

上述方法的一个具体实施例中，α的取值为0.4，β的取值0.6。

上述方法的一个具体实施例中，根据所述各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点包括：

按照从大到小的顺序对所述各网络节点的属性值进行排序，根据网络安全感知要求对应的关键节点数阈值X，从所述已部署网络安全设备的网络节点中选取X个网络节点作为关键节点。

本发明实施例提供的一种网络安全探针的部署装置，包括：

获取单元，用于获取网络中已部署网络安全设备的网络节点；

统计单元，用于分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性；

计算单元，用于根据网络拓扑特性及流量特性，获得所述各网络节点的属性值；

确定单元，用于根据所述各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点，用于作为部署网络安全探针的网络节点。

上述装置的一个具体实施例中，网络中已部署网络安全设备的网络节点的数量表示为N，其中的一个已部署网络安全设备的网络节点表示为Ni，N、i均为大于1的整数，i的取值为【1，N】；

网络节点Ni与父节点的流量平均值表示为Ti，拥有的叶子节点数量为Ki，所述计算单元具体通过以下方式，根据网络拓扑特性及流量特性，获得所述各网络节点Ni的属性值：

$F\left(N_i\right)=\frac{K_i}{N-1}\×\mathrm{\α}+\frac{T_i}{{\mathrm{\Σ}}_j{T}_j}\×\mathrm{\β};$

其中，α+β=1；α和β为预设经验值。

上述装置的一个具体实施例中，网络的物理拓扑冗余越弱，α的取值越大；网络对业务时延要求越高，β的取值越大。

上述装置的一个具体实施例中，α的取值为0.4，β的取值0.6。

上述装置的一个具体实施例中，所述确定单元具体按照从大到小的顺序对所述各网络节点的属性值进行排序，根据网络安全感知要求对应的关键节点数阈值X，从所述已部署网络安全设备的网络节点中选取X个网络节点作为关键节点。

基于本发明上述实施例提供的网络安全探针的部署方法和装置，分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性，由此获得各网络节点的属性值，并根据各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点来部署网络安全探针。与现有技术网络安全探针与网络安全设备同步部署的方式相比，不用与非关键节点的网络安全设备同步部署网络安全探针，减少了网络安全探针的部署数量，且使得网络安全探针的部署更为合理，大幅度减少了海量冗余的网络安全设备告警信息，提高了后续网络传输、后续分析计算的处理效率，提高了业务安全的保障响应速度，而在关键节点上分别部署网络安全探针又可以有效保证网络安全。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

构成说明书的一部分的附图描述了本发明的实施例，并且连同描述一起用于解释本发明的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：

图1为本发明网络安全探针的部署方法一个实施例的流程图。

图2为本发明网络安全探针的部署方法另一个实施例的流程图。

图3为本发明网络安全探针的部署装置一个实施例的结构示意图。

具体实施方式

现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

本发明实施例根据安全保障要求，综合考虑网络节点的拓扑特性及流量特性，动态挖掘得到网络拓扑的关键节点，进行网络安全探针部署。

图1为本发明网络安全探针的部署方法一个实施例的流程图。如图1所示，该实施例网络安全探针的部署方法包括：

110，获取网络中已部署网络安全设备的网络节点。

120，分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性。

130，根据网络拓扑特性及流量特性，获得各网络节点的属性值。

140，根据各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点。

150，在关键节点上分别部署网络安全探针。

本发明上述实施例提供的网络安全探针的部署方法，分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性，由此获得各网络节点的属性值，并根据各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点来部署网络安全探针。与现有技术网络安全探针与网络安全设备同步部署的方式相比，减少了网络安全探针的部署数量，且使得网络安全探针的部署更为合理，大幅度减少了海量冗余的网络安全设备告警信息，提高了后续网络传输、后续分析计算的处理效率，提高了业务安全的保障响应速度。

图2为本发明网络安全探针的部署方法另一个实施例的流程图。如图2所示，该实施例网络安全探针的部署方法包括：

210，获取网络中已部署网络安全设备的网络节点。

该实施例中，网络中已部署网络安全设备的网络节点的数量表示为N，其中的一个已部署网络安全设备的网络节点表示为Ni，其中，N、i均为大于1的整数，i的取值为【1，N】。

220，分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性。

该实施例中，网络节点Ni与父节点的流量平均值表示为Ti，拥有的叶子节点数量为Ki。

230，通过以下公式，根据网络拓扑特性及流量特性，获得各网络节点Ni的属性值：

$F\left(N_i\right)=\frac{K_i}{N-1}\×\mathrm{\α}+\frac{T_i}{{\mathrm{\Σ}}_j{T}_j}\×\mathrm{\β};$

其中，α+β=1；α和β为预设经验值，例如，α的取值为0.4，β的取值0.6。实际应用中，网络的物理拓扑冗余越弱，α的取值越大；网络对业务时延要求越高，β的取值越大。

240，按照从大到小的顺序对各网络节点的属性值进行排序，根据网络安全感知要求对应的关键节点数阈值X，从已部署网络安全设备的网络节点中选取X个网络节点作为关键节点。

250，在关键节点上分别部署网络安全探针。

图3为本发明网络安全探针的部署装置一个实施例的结构示意图。该实施例网络安全探针的部署装置可用于实现本发明上述各网络安全探针的部署方法实施例的流程。如图3所示，该实施例网络安全探针的部署装置包括获取单元、统计单元、计算单元与确定单元。其中：

获取单元，用于获取网络中已部署网络安全设备的网络节点。

统计单元，用于分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性。

计算单元，用于根据网络拓扑特性及流量特性，获得各网络节点的属性值。

确定单元，用于根据各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点，用于作为部署网络安全探针的网络节点。

本发明上述实施例提供的网络安全探针的部署装置，分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性，由此获得各网络节点的属性值，并根据各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点来部署网络安全探针。与现有技术网络安全探针与网络安全设备同步部署的方式相比，减少了网络安全探针的部署数量，且使得网络安全探针的部署更为合理，大幅度减少了海量冗余的网络安全设备告警信息，提高了后续网络传输、后续分析计算的处理效率，提高了业务安全的保障响应速度。

根据本发明网络安全探针的部署装置实施例的一个具体示例而非限制，网络中已部署网络安全设备的网络节点的数量表示为N，其中的一个已部署网络安全设备的网络节点表示为Ni，其中，N、i均为大于1的整数，i的取值为【1，N】；网络节点Ni与父节点的流量平均值表示为Ti，拥有的叶子节点数量为Ki，则计算单元具体可以通过以下方式，根据网络拓扑特性及流量特性，获得各网络节点Ni的属性值：

$F\left(N_i\right)=\frac{K_i}{N-1}\×\mathrm{\α}+\frac{T_i}{{\mathrm{\Σ}}_j{T}_j}\×\mathrm{\β};$

其中，α+β=1；α和β为预设经验值，例如，α的取值为0.4，β的取值0.6。其中，网络的物理拓扑冗余越弱，α的取值越大；网络对业务时延要求越高，β的取值越大。

根据本发明网络安全探针的部署装置实施例的一个具体示例而非限制，确定单元具体可以按照从大到小的顺序对各网络节点的属性值进行排序，根据网络安全感知要求对应的关键节点数阈值X，从已部署网络安全设备的网络节点中选取X个网络节点作为关键节点。

本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于装置实施例而言，由于其与方法实施例基本对应，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

可能以许多方式来实现本发明的方法、装置。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (10)

1.一种网络安全探针的部署方法，其特征在于，包括：

获取网络中已部署网络安全设备的网络节点；

分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性；

根据网络拓扑特性及流量特性，获得所述各网络节点的属性值；

根据所述各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点；

在所述关键节点上分别部署网络安全探针。

2.根据权利要求1所述的方法，其特征在于，网络中已部署网络安全设备的网络节点的数量表示为N，其中的一个已部署网络安全设备的网络节点表示为Ni，N、i均为大于1的整数，i的取值为【1，N】；

网络节点Ni与父节点的流量平均值表示为Ti，拥有的叶子节点数量为Ki，则通过以下方式，根据网络拓扑特性及流量特性，获得所述各网络节点Ni的属性值：

$F\left(N_i\right)=\frac{K_i}{N-1}\×\mathrm{\α}+\frac{T_i}{{\mathrm{\Σ}}_j{T}_j}\×\mathrm{\β};$

其中，α+β=1；α和β为预设经验值。

3.根据权利要求2所述的方法，其特征在于，网络的物理拓扑冗余越弱，α的取值越大；网络对业务时延要求越高，β的取值越大。

4.根据权利要求3所述的方法，其特征在于，α的取值为0.4，β的取值0.6。

5.根据权利要求1至4任意一项所述的方法，其特征在于，根据所述各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点包括：

按照从大到小的顺序对所述各网络节点的属性值进行排序，根据网络安全感知要求对应的关键节点数阈值X，从所述已部署网络安全设备的网络节点中选取X个网络节点作为关键节点。

6.一种网络安全探针的部署装置，其特征在于，包括：

获取单元，用于获取网络中已部署网络安全设备的网络节点；

统计单元，用于分别针对每个已部署网络安全设备的网络节点，统计各网络节点与父节点的流量信息和拥有的叶子节点数量，得到网络拓扑特性及流量特性；

计算单元，用于根据网络拓扑特性及流量特性，获得所述各网络节点的属性值；

确定单元，用于根据所述各网络节点的属性值的大小，从已部署网络安全设备的网络节点选取关键节点，用于作为部署网络安全探针的网络节点。

7.根据权利要求6所述的装置，其特征在于，网络中已部署网络安全设备的网络节点的数量表示为N，其中的一个已部署网络安全设备的网络节点表示为Ni，N、i均为大于1的整数，i的取值为【1，N】；

网络节点Ni与父节点的流量平均值表示为Ti，拥有的叶子节点数量为Ki，所述计算单元具体通过以下方式，根据网络拓扑特性及流量特性，获得所述各网络节点Ni的属性值：

$F\left(N_i\right)=\frac{K_i}{N-1}\×\mathrm{\α}+\frac{T_i}{{\mathrm{\Σ}}_j{T}_j}\×\mathrm{\β};$

其中，α+β=1；α和β为预设经验值。

8.根据权利要求7所述的装置，其特征在于，网络的物理拓扑冗余越弱，α的取值越大；网络对业务时延要求越高，β的取值越大。

9.根据权利要求8所述的装置，其特征在于，α的取值为0.4，β的取值0.6。

10.根据权利要求6至9任意一项所述的装置，其特征在于，所述确定单元具体按照从大到小的顺序对所述各网络节点的属性值进行排序，根据网络安全感知要求对应的关键节点数阈值X，从所述已部署网络安全设备的网络节点中选取X个网络节点作为关键节点。