CN106603473A - 网络安全信息的处理方法及网络安全信息的处理系统 - Google Patents

网络安全信息的处理方法及网络安全信息的处理系统 Download PDF

Info

Publication number
CN106603473A
CN106603473A CN201510679697.4A CN201510679697A CN106603473A CN 106603473 A CN106603473 A CN 106603473A CN 201510679697 A CN201510679697 A CN 201510679697A CN 106603473 A CN106603473 A CN 106603473A
Authority
CN
China
Prior art keywords
main frame
rule
safe state
affairs
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510679697.4A
Other languages
English (en)
Other versions
CN106603473B (zh
Inventor
曲武
牟宪波
刘剑波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201510679697.4A priority Critical patent/CN106603473B/zh
Publication of CN106603473A publication Critical patent/CN106603473A/zh
Application granted granted Critical
Publication of CN106603473B publication Critical patent/CN106603473B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络安全信息的处理方法及网络安全信息的处理系统,用以减少在对网络安全信息进行处理过程中性能瓶颈出现的可能性。该方法包括从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;向所述第一主机发送所述第一规则;接收来自于安全事态数据源的安全事态数据;确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;向所述第一主机发送所述安全事态数据。

Description

网络安全信息的处理方法及网络安全信息的处理系统
技术领域
本申请涉及计算机及网络通信技术领域,尤其涉及一种网络安全信息的处理方法、一种控制设备、一种网络安全信息的处理系统及一种网络安全信息的处理装置。
背景技术
国际标准化组织(International Organization for Standardization,ISO)在ISO27001标准中对与网络安全相关的信息,即网络安全信息,进行了描述。网络安全信息包括信息安全事态(information security event)和信息安全事件(information security incident)。
信息安全事态(在本申请中简称为“安全事态”)是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。信息安全事件(在本申请中简称为“安全事件”)由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性。现有的信息处理设备通过对来自于数据源设备的大量安全事态数据进行关联分析,可以得到安全事件,进而通过输出设备提示用户网络中发生的安全事件。
按照设备类型,可以将产生安全事态数据的数据源设备分为四类,分别为:安全设备、网络设备、应用设备以及主机。安全设备包括防火墙,入侵防御系统(Intrusion Prevention System,IPS)等。安全设备产生的事态包括防火墙事态、入侵检测系统(intrusion detection system,IDS)告警、防病毒扫描报告、资产漏洞扫描报告、垃圾邮件报告等等。网络设备包括路由器、交换机等等。网络设备产生的事态包括路由器事态、交换机事态、数据流报告等。应用设备包括可以对数据进行完整性检查的管理服务器和各种网络应用服务器。应用设备可以产生的事态包括检查报告或运行状态报告等。
现有信息处理设备在基于预定义的规则对安全事态数据进行关联分析时,对安全事态数据的预处理操作和规则匹配操作都是集中在信息处理设备中的关联分析引擎中执行的。因此在安全事态数据的数据量增大,或者规则数量增大时,关联分析引擎往往会成为网络安全信息的处理流程中的性能瓶颈。
为解决上述问题,公开号为CN101673292A的中国专利提出一种解决方案,具体为:使用汇聚关联引擎从规则(即CN101673292A中所称的“关联规则”)中获得包含的匹配项(即CN101673292A中所称的“匹配规则”)和匹配项之间的逻辑关系,为每个匹配项分配标识。例如,从规则(Aor B)SEQ(C and D)获取4个匹配项,A,B,C,D,并分别为其分配标识1.1,1.2,1.3,1.4,汇聚关联引擎将匹配项和对应的标识下发给分布式关联引擎,接收分布式关联引擎上报的命中的匹配项的标识,若根据接收到的标识判定其满足规则,则根据预置的关联策略产生一个事件。
然而,在上述专利披露的方案中,虽然通过将根据匹配项进行数据匹配的操作分散于分布式关联引擎中执行这一措施,能够在一定程度上减轻性能瓶颈的影响,但是最耗费处理资源的根据命中的匹配项的标识进行规则匹配的步骤仍然是集中于汇聚关联引擎中执行的,因此汇聚关联引擎仍然容易成为整个网络安全信息的处理流程的性能瓶颈。
发明内容
本发明实施例提供一种网络安全信息的处理方法,用以减少在对网络安全信息进行处理过程中性能瓶颈出现的可能性。
对应地,本发明实施例还提供了一种控制设备、一种网络安全信息的处理系统、和一种网络安全信息的处理装置。
本发明实施例提供的技术方案如下:
第一方面,提供了一种网络安全信息的处理方法,包括:
从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;
分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;
向所述第一主机发送所述第一规则;
接收来自于安全事态数据源的安全事态数据;
确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;
向所述第一主机发送所述安全事态数据。
可选地,在第一方面的一种可能的实施方式中,所述分配候选主机集合中的第一主机用以运行所述第一规则,包括:
获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源;
获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量;
根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。
可选地,在第一方面的另一种可能的实施方式中,所述获取候选主机集合中每个主机的资源剩余量,包括:
接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量;
从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。
可选地,在第一方面的另一种可能的实现方式中,所述分配候选主机集合中的第一主机用以运行所述第一规则之后,还包括:
在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
可选地,在第一方面的另一种可能的实施方式中,还包括:
接收所述候选主机集合中每个主机周期性发送的心跳报文,
根据接收到的心跳报文,确定失效主机;
根据所述规则管理表,获取在所述失效主机上运行的第二规则;
将所述第二规则加入待分配规则集合从而更新所述待分配规则集合;
其中,所述根据接收到的心跳报文,确定失效主机,包括:
针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,
若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机。
可选地,在第一方面的另一种可能的实施方式中,还包括:
根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则;
从所述规则管理表中删除记录包含所述第二规则的对应关系;
将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。
可选地,在第一方面的另一种可能的实施方式中,所述根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则,包括:
针对所述候选主机集合中每个主机,执行:
根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;
若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。
可选地,在第一方面的另一种可能的实施方式中,所述根据所述规则管理表,从在主机上运行的规则中选择出第二规则之前,还包括:
确定所述待分配规则集合中规则数目少于预定值。
可选地,在第一方面的另一种可能的实施方式中,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:
条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量,
条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量,
其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种;
从所述优选主机集合中选择第一主机用以运行所述第一规则。
可选地,在第一方面的另一种可能的实施方式中,从所述优选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据所述第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种;
根据所述第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别的剩余量。
可选地,在第一方面的另一种可能的实施方式中,还包括:
接收来自于未知主机的心跳报文,所述未知主机是指所述候选主机集合之外的主机;
确定接收到所述来自于未知主机的心跳报文的次数超过设定阈值;
将所述未知主机加入所述候选主机集合。
可选地,在第一方面的另一种可能的实施方式中,向所述第一主机发送所述安全事态数据之前,还包括:
接收所述第一主机发送的所述第一规则的表达式中包含的至少一个安全事态类型标识,记录所述第一主机与所述至少一个安全事态类型标识的对应关系;或解析所述第一规则,获得所述第一规则的表达式中包含的至少一个安全事态类型标识,记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
所述确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
可选地,在第一方面的另一种可能的实施方式中,所述至少两种不同类别的资源包括:中央处理器CPU资源和内存资源。
第二方面,还提供了一种控制设备,包括:
处理器、存储器和网络接口,所述处理器、存储器和网络接口通过总线相互连接;
所述网络接口用于接收来自于安全事态数据源的安全事态数据;
所述控制设备中的处理器用以读取所述存储器中存储的程序代码,执行以下操作:
从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;
分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;
向所述第一主机发送所述第一规则;
确定所述网络接口接收的所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;
所述网络接口还用于在所述处理器确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致时,向所述第一主机发送所述安全事态数据。
可选地,在第二方面的一种可能的实施方式中,所述处理器分配候选主机集合中的第一主机用以运行所述第一规则,包括:
所述处理器获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源;
获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量;
根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。
可选地,在第二方面的另一种可能的实施方式中,所述网络接口,还用于接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量;
所述处理器,还用于从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。
可选地,在第二方面的另一种可能的实施方式中,所述处理器还用于分配候选主机集合中的第一主机用以运行所述第一规则之后,在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
可选地,在第二方面的另一种可能的实施方式中,所述网络接口还用于接收所述候选主机集合中每个主机周期性发送的心跳报文,
所述处理器还用于根据接收到的心跳报文,确定失效主机;
根据所述规则管理表,获取在所述失效主机上运行的第二规则;以及
将所述第二规则加入待分配规则集合从而更新所述待分配规则集合;
其实所述根据接收到的心跳报文,确定失效主机,包括:
针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,
若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机。
可选地,在第二方面的另一种可能的实施方式中,所述处理器,还用于从在主机上运行的规则中选择出第二规则,从所述规则管理表中删除记录包含所述第二规则的对应关系,将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。
可选地,在第二方面的另一种可能的实施方式中,所述处理器从所述在主机上运行的规则中选择出第二规则,包括:
所述处理器针对所述候选主机集合中每个主机,执行:
根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;
若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。
可选地,在第二方面的另一种可能的实施方式中,所述处理器还用于在从在主机上运行的规则中选择出第二规则之前,确定所述待分配规则集合中规则数目少于预定值。
可选地,在第二方面的另一种可能的实施方式中,所述处理器从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:
条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量,
条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量,
其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种;
从所述优选主机集合中选择第一主机用以运行所述第一规则。
可选地,在第二方面的另一种可能的实施方式中,处理器从所述优选主机集合中选择所述第一主机用以运行所述第一规则,包括:
所述处理器根据所述第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种;
根据所述第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别的剩余量。
可选地,在第二方面的另一种可能的实施方式中,所述网络接口还用于接收来自于未知主机的心跳报文,所述未知主机是指所述候选主机集合之外的主机;
确定接收到所述来自于未知主机的心跳报文的次数超过设定阈值;
将所述未知主机加入所述候选主机集合。
可选地,在第二方面的另一种可能的实施方式中,所述网络接口还用于向所述第一主机发送所述安全事态数据之前,接收所述第一主机发送的所述第一规则的表达式中包含的至少一个安全事态类型标识;
所述处理器还用于记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
相应地,所述处理器确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
可选地,在第二方面的另一种可能的实施方式中,所述处理器用于解析所述第一规则,获得所述第一规则的表达式中包含的至少一个安全事态类型标识,记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
相应地,所述处理器确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
可选地,在第二方面的另一种可能的实施方式中,所述至少两种不同类别的资源包括:中央处理器CPU资源和内存资源。
第三方面,还提供了一种网络安全信息的处理系统,包括第三方面,或第三方面的任意一种可能的实施方式所述的控制设备,以及所述候选主机集合。
第四方面,还提供了一种网络安全信息的处理装置,包括:
记录访问单元,用于从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;
分配单元,用于分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;
发送单元,用于向所述第一主机发送所述第一规则;
接收单元,用于接收来自于安全事态数据源的安全事态数据;
确定单元,用于确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;
所述发送单元,还用于在所述确定单元确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致时,向所述第一主机发送所述安全事态数据。
可选地,在第四方面的一种可能的实施方式中,所述分配单元用于:
获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源;
获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量;
根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。
可选地,在第四方面的另一种可能的实施方式中,所述分配单元获取候选主机集合中每个主机的资源剩余量,包括:
接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量;
从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。
可选地,在第四方面的另一种可能的实施方式中,所述记录访问单元,还用于在分配单元分配候选主机集合中的第一主机用以运行所述第一规则之后,在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
可选地,在第四方面的另一种可能的实施方式中,所述接收单元,还用于接收所述候选主机集合中每个主机周期性发送的心跳报文;
所述确定单元,还用于根据所述接收单元接收到的心跳报文,确定失效主机,包括:
针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,
若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机;
所述记录访问单元,还用于根据所述规则管理表,获取在所述失效主机上运行的第二规则;将所述第二规则加入待分配规则集合从而更新所述待分配规则集合。
可选地,在第四方面的另一种可能的实施方式中,所述记录访问单元,还用于根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则;
从所述规则管理表中删除记录包含所述第二规则的对应关系;
将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。
可选地,在第四方面的另一种可能的实施方式中,所述记录访问单元,用于针对所述候选主机集合中每个主机,执行:
根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;
若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。
可选地,在第四方面的另一种可能的实施方式中,所述记录访问单元,还用于在根据所述规则管理表,从在主机上运行的规则中选择出第二规则之前,确定所述待分配规则集合中规则数目少于预定值。
可选地,在第四方面的另一种可能的实施方式中,所述分配单元从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:
条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量,
条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量,
其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种;
从所述优选主机集合中选择第一主机用以运行所述第一规则。
可选地,在第四方面的另一种可能的实施方式中,所述分配单元从所述优选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据所述第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种;
根据所述第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别的剩余量。
可选地,在第四方面的另一种可能的实施方式中,所述接收单元,还用于接收来自于未知主机的心跳报文,所述未知主机是指所述候选主机集合之外的主机;
所述确定单元,还用于确定接收到所述来自于未知主机的心跳报文的次数超过设定阈值;
所述记录访问单元,还用于所述确定单元确定所述来自于未知主机的心跳报文的次数超过设定阈值时,将所述未知主机加入所述候选主机集合。
可选地,在第四方面的另一种可能的实施方式中,所述接收单元,还用于发送单元向所述第一主机发送所述安全事态数据之前,接收所述第一主机发送的所述第一规则的表达式中包含的至少一个安全事态类型标识;
所述记录访问单元,还用于记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
所述确定单元确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
可选地,在第四方面的另一种可能的实施方式中,所述确定单元,还用于解析所述第一规则,获得所述第一规则的表达式中包含的至少一个安全事态类型标识,
所述记录访问单元,还用于记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
所述确定单元确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
可选地,在第四方面的另一种可能的实施方式中,所述至少两种不同类别的资源包括:中央处理器CPU资源和内存资源。
本发明实施例中控制设备基于候选主机集合中每个主机的资源剩余量和规则的运行代价,分配候选主机集合中的不同主机分别运行不同的规则。因此,即便个别主机出现故障并不会影响所有规则的运行,提高了网络安全信息处理的稳定性,避免了集中运行规则的方式可能造成的性能瓶颈问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络安全信息的处理系统的应用场景示意图;
图2A为本发明实施例提供的控制设备的结构示意图;
图2B为本发明实施例提供的主机的结构示意图;
图3A为本发明实施例提供的网络安全信息的处理方法的流程图;
图3B为本发明实施例提供的规则分配过程的流程图;
图4为本发明实施例提供的获取待分配规则集合的方法流程图;
图5为本发明实施例提供的另一种获取待分配规则集合的方法流程图;
图6为本发明实施例提供的分配候选主机集合中的主机运行第一规则的流程图;
图7为本发明实施例提供的分配优选主机集合中的主机用以运行第一规则的流程图;
图8为本发明实施例提供的一种网络安全信息的处理装置的结构示意图。
具体实施方式
附图1是本发明实施例提供的网络安全信息的处理系统的结构示意图。该系统中包括数据源设备以及网络安全信息的处理系统100。数据源的设备包括IPS或IDS,防火墙和数据防泄漏(Data leakage prevention,DLP)设备,不同的数据源设备可以部署在网络的不同位置上。例如IPS、IDS、防火墙、DLP设备等安全设备往往部署在企业局域网与互联网的边界处。路由器、网关等设备可以部署在运营商网络的汇聚层、核心层等不同位置上。管理服务器可以部署在企业局域网与互联网的边界处。附图1为了简明起见,仅示出了IPS或IDS,防火墙、DLP设备和路由器。
附图1中的网络安全信息的处理系统100中包括控制设备110和由主机集群实现的候选主机集合120。所述候选主机集合120包括至少两个主机。控制设备和候选主机集合中的主机密切配合以实现对网络安全信息的处理。
控制设备110是网络安全信息的处理系统中的核心设备,用于与数据源和主机集群中的主机进行交互。因此为了提高网络安全信息的处理系统的可靠性,可以采用两个控制设备互为主备的方式实现高可用性(High Availability)功能。为了描述上的简明,本实施例以主用控制设备为例对控制设备的结构和功能进行描述,本领域技术人员可以理解,备用控制设备具有与主用控制设备相似的结构和功能。主用控制设备和备用控制设备之间的同步和切换方式在这里不再进行详细说明,可以参考现有双机热备技术。
候选主机集合120中的主机用于接收控制设备发送的安全事态数据以及规则,将接收到的安全事态数据与规则进行匹配,并将匹配成功后生成的安全事件数据发送给控制设备110。候选主机集合120的不同主机可以对不同的规则执行匹配操作。主机对规则执行匹配操作的过程在本实施例中被称之为“运行规则”。
本实施例中的规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的因果关系。例如:
规则1:(DS-WEB-VUL)SEQ(ROU-PAC)SEQ(FW-FI)SEQ(HOST-FIC)SEQ(HOST-ATT)
规则1描述利用Web服务器漏洞的攻击事件的发生条件。
若以下几个步骤顺序发生,将视为一次利用Web服务器中的漏洞进行的攻击行为:
IDS检查到对目标WEB服务器漏洞的攻击报文,产生事态类型为IDS-WEB-VUL的安全事态数据;
当触发告警的报文通过路由器时,路由器产生事态类型为ROU-PAC的安全事态数据;
防火墙中的过滤器拦截到攻击报文,防火墙产生事态类型为FW-FI的安全事态数据;
Web服务器运行系统完整性检查软件工具Tripwire检查服务器文件完整性,确定文件权限被修改,Web服务器产生事态类型为HOST-FIC的安全事态数据;
Web服务器中的安全软件检查到发生攻击事态,Web服务器产生事态类型为HOST-ATT的安全事态数据。
规则2:TIME_WINDOW==1h&&SUM(LOGIN_FAIL)>=20
规则2描述暴力破解事件的发生条件。在固定的时间窗口(例如1个小时)内收到某IP登陆设备失败的事态,次数达到阈值(例如20次),事态类型为LOGIN_FAIL。
规则3:(PORT-SCAN)SEQ(LOGIN-SUC)
规则3描述了服务器渗透攻击的发生条件。
防火墙在检测到来自于一个IP地址的扫描行为时,将该IP地址放入可疑IP地址列表并产生事态类型为PORT-SCAN的安全事态数据。
在预定的时间窗口内,例如2小时,位于隔离区(demilitarized zone,DMZ)区的一个服务器检测到使用可疑IP地址列表中的IP地址的用户登录到该服务器,产生事态类型为LOGIN-SUC的安全事态数据。
控制设备110包括以下功能模块:事件采集器模块111,消息队列管理模块112、控制模块113、告警模块114。可选地,控制设备110还包括数据库模块115。
控制设备110中的事件采集器模块111通过主动或被动方式获得数据源设备生成的原始安全事态数据,根据原始安全事态数据中的特征确定所述原始安全事态数据所描述的安全事态的类型,并在原始安全事态数据中添加所述事态类型的标识后,将已添加事态类型的标识的安全事态数据发送给消息队列。为了简明起见,后续实施例中将已添加事态类型的标识的安全事态数据简称为安全事态数据。
安全事态类型包括上面提及的IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC、HOST-ATT等等,在这里不一一列举。安全事态类型标识的格式请参照《信息安全技术信息安全事件分类分级指南(GB/Z 20986—2007)》中的规定,在这里不再详述。当然,安全事态类型标识也可以采用其他标准中定义的格式,例如《ISO/IEC 27035:2011Information technology Security techniques—Information security incident management》中定义的格式,在这里不再一一列举,其原理基本类似。本实施例中,仅是以《信息安全技术信息安全事件分类分级指南》中定义的格式为例进行说明。
消息队列根据安全事态数据中携带的时间信息,根据时间先后顺序,以先入先出队列的方式,对时间采集器模块发来的安全事态数据进行存储。
消息队列管理模块112,用于为候选主机集合120中的多个主机分别提供订阅服务。本申请实施例中的订阅是指根据主机的需求,消息队列管理模块112根据预定方式,将消息队列中指定安全事态类型的安全事态数据发送给主机。
以主机1与消息队列管理模块112交互实现订阅功能为例,对订阅功能的通常实现方式进行描述:
(1)主机1接收到控制模块113发送的规则1之后,通过解析规则1得到规则1中包含的安全事态类型标识IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC和HOST-ATT,主机1向消息队列管理模块112发送携带有至少一个安全事态类型标识的通知消息,如通知消息中携带安全事态类型标识IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC和HOST-ATT。
(2)消息队列管理模块112在如表1所示的订阅列表中添加主机1和安全事态类型标识IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC、HOST-ATT的对应关系。
表1
(3)消息队列管理模块112在确定新加入消息队列中的安全事态数据中携带的安全事态类型为IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC、HOST-ATT中的任意一种时,将该安全事态数据发送给主机1。
在这里需要指出的是,上述订阅过程是可被替换的。控制设备110也可以采用其他方式来获得订阅列表,从而确定需要向各主机发送的安全事态数据。如,控制设备110分配主机1运行规则1后,先获取规则1,通过解析规则1从而得到规则1中包含的安全事态类型标识为IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC、HOST-ATT,在订阅列表中存储主机1与IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC、HOST-ATT的对应关系。
在实际实施过程中,为了降低控制设备110中的中央处理器(CentralProcessing Unit,CPU)的负荷,可以以多种灵活方式向主机发送安全事态数据,例如消息队列管理模块112以预设周期,例如以5分钟的周期定期检测在最近5分钟内到达消息队列的安全事态数据,根据上述订阅列表,从最近5分钟内到达消息队列的安全事态数据中,选择出携带的安全事态类型标识与订阅列表中记录的安全事态类型标识一致的安全事态数据发送给对应的主机;消息队列管理模块112也可以在新到达消息队列安全事态数据的总数据量达到预定大小时,例如在前一次处理之后,新到达消息队列的安全事态数据的数据量达到1M时,根据上述订阅列表,从最新到达消息队列的1M安全事态数据的中,选择出携带的安全事态类型标识与订阅列表中记录的安全事态类型标识一致的安全事态数据发送给对应的主机。其他的具体发送安全事态数据方式在这里不再一一详述。
消息队列的存储量是有限的,可以按照预定的老化条件更新消息队列中的数据,当然已老化的安全事态数据可以根据需求转发至数据库模块115中进行较长期的保存。
控制模块113维护候选主机集合、待分配规则集合、规则代价表和规则管理表。待分配规则集合中包括尚未分配给任何一个主机的规则。可选地,控制模块113采用先入先出(First Input First Output,FIFO)队列的方式来存储待分配规则集合。
规则管理表如表2所示,通过主机标识与规则标识的对应关系,记录在主机上运行的规则。可见待分配规则集合中的规则以及规则管理表中记录的规则构成了全部规则集合。
表2
主机标识 规则标识
主机1 规则1,规则4
主机2 规则2
主机3 规则3
主机n ……
规则代价表如表3所示,用以存储运行各规则所需的所述至少两类不同类别的资源的消耗量。为了简明起见,本实施例仅以资源包括CPU资源和内存资源为例进行说明,本领域技术人员可以理解本实施例提供的网络安全信息的处理系统也适用于更多类型资源。
表3
规则标识 CPU资源(Hz) 内存资源(Byte)
规则1 500K 2M
规则2 200K 1M
规则3 200K 1.5M
规则4 …… ……
规则5 …… ……
规则6 200K 6M
规则7 …… ……
控制模块113首先获取待分配规则集合。在系统开始运行的初始阶段,待分配规则集合中的规则可以是网络安全信息的处理系统100的管理员通过控制设备110的图形用户接口添加在待分配规则集合中的。在系统开始运行之后,管理员也可以通过控制设备110的图形用户接口删除或修改待分配规则集合中的已有规则。
控制模块113从待分配规则集合中提取第一规则,分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;向所述第一主机发送所述第一规则。此后,当消息队列管理模块112接收来自于安全事态数据源的安全事态数据后,根据订阅列表确定接收到的所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;向所述第一主机发送所述安全事态数据。
进一步地,在控制模块113分配规则时,有可能将运行消耗资源较多的规则分配给当前资源剩余量较少的主机运行,这种情况下会导致个别主机负荷过高,从而出现业务拥塞、对某些规则的运行效果不佳的现象,为了实现更好的规则分配效果,可以根据主机当前的资源剩余量以及规则运行代价,为主机分配所运行的规则。具体地:
控制模块113获取候选主机集合120中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源。资源包括CPU资源、内存资源、网络带宽资源等等。控制模块113获取候选主机集合中每个主机的资源剩余量的方式在后面实施例中进行说明。
控制模块113从表3所示的规则代价表中获取所述第一规则的运行代价,所述运行代价包括运行所需的所述至少两类不同类别的资源的消耗量。控制模块113可以采用多种方式获取第一规则,例如可以随机从待分配规则集合中提取一个规则作为第一规则;若待分配规则集合采用FIFO队列方式来存储,可以从FIFO队列中取出在队列头部的规则作为第一规则;也可以按照预定的选取规则,例如选取CPU消耗量最多的规则作为第一规则。控制模块113从待分配规则集合中获取第一规则的具体方式在这里不进行限制。
控制模块113根据所述第一规则的运行代价,以及所述候选主机集合120中每个主机的资源剩余量,分配所述候选主机集合中的第一主机用以运行所述第一规则。具体分配方式将在后面的实施例中结合具体实例进行说明。
控制模块113根据分配结果,更新待分配规则集合和规则管理表中的记录。具体地,控制模块113从所述待分配规则集合中删除所述第一规则,并在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
在控制模块113分配所述候选主机集合中的第一主机用以运行所述第一规则后,消息队列管理模块112根据分配结果更新订阅列表,记录第一主机与第一规则中包含的安全事态类型标识的对应关系,从而根据订阅列表后续向第一主机发送接收到的安全事态数据。
本发明实施例中出现的用“第一”、“第二”描述的术语,例如“第一规则”和“第二规则”,“第一主机”和“第二主机”等等,并不是表示顺序关系,而是为了区别不同的规则、主机等。
告警模块114接收候选主机集合120中运行规则的主机在规则匹配成功后生成的安全事件数据,并将安全事件数据通过所述控制设备110的输出装置,例如显示器或打印机,显示给所述网络安全信息的处理系统100的管理员。
可选地,数据库模块115用于存储消息队列中较长时间的历史安全事态数据,以及候选主机集合120中运行规则的主机发来的安全事件数据,提供查询接口以便于所述网络安全信息的处理系统100的管理员进行查询。
上述控制设备110中的事件采集器模块110,控制模块113、消息队列管理模块112、告警模块114、数据库模块115可以是由控制设备110中的中央处理器(Central Processing Unit,CPU)读取存储器中存储的程序代码后,生成的软件功能模块来实现。采用这种实现方式时,控制设备110的结构示意图如附图2A所示。由于事件采集器模块110,消息队列管理模块112、告警模块114和数据库模块115的功能与现有信息处理设备的功能存在相似性。本实施例着重就CPU实现控制模块113和消息队列管理模块112的功能的方式进行详细描述。
所述控制设备110包括处理器210、存储器220和网络接口230,所述处理器210、存储器220和网络接口230通过总线240相互连接。
存储器220包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM)。
处理器210可以是一个或多个中央处理器(Central Processing Unit,简称CPU),在处理器210是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
网络接口230可以是有线接口,例如光纤分布式数据接口(FiberDistributed Data Interface,简称FDDI)、千兆以太网(Gigabit Ethernet,简称GE)接口;网络接口230也可以是无线接口。
存储器220还用于存储消息队列、待分配规则集合、表1所示的订阅列表、表2所示的规则管理表、表3所示的规则代价表等等。
所述控制设备110中的处理器210用于读取所述存储器220中存储的程序代码后,执行以下操作。
从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系。分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机。向所述第一主机发送所述第一规则。接收来自于安全事态数据源的安全事态数据;确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;向所述第一主机发送所述安全事态数据。
所述控制设备110中的处理器210实现上述控制模块113和消息队列管理模块112的功能的更多细节将在后面结合具体实例进行说明。
需要说明的是,控制设备110中的事件采集器模块111,控制模块113、消息队列管理模块112、告警模块114、数据库模块115也可以由控制设备110中的不同硬件分别实现,例如事件采集器模块111、控制模块113等可以采用现场可编程门阵列(Field-Programmable Gate Array,FPGA)、或协处理器等可编程器件来完成。显然上述功能模块也可以采用软件硬件相结合的方式来实现,例如事件采集器模块111和告警模块114由硬件可编程器件实现,而其余功能模块是由CPU读取存储器中存储的程序代码后,生成的软件功能模块。
候选主机集合120中的主机执行的规则匹配过程分为两个阶段,分别为预处理阶段和匹配阶段。以主机1为例进行介绍,其他主机也执行类似的处理过程。假定控制设备110分配主机1运行规则1,则主机1向控制设备中的消息队列管理模块112订阅与规则1相关的安全事态类型标识IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC和HOST-ATT。后续接收到控制设备110发来的安全事态数据后,先对安全事态数据执行预处理过程。预处理是指从控制设备发来的安全事态数据中提取特征,并将接收到的安全事态数据处理为预定格式的标准化安全事态数据,以便于后续匹配处理。例如,主机1接收到的安全事态数据为
“<187>Dec 30 2013 11:01:59huawei%%01HTTP/3/LOGINFAIL(s)[16117]:Userlogin failed.(UserName=admin,IPAddr=10.10.10.10)”;
预处理后得到的安全事态数据为
Dec 30 2013 11:01:59;//时间
huawei;//数据源设备厂商
Exchanger;//设备类型
LOGIN;//事态类型标识
HTTP;//协议
User login failed;//事态描述
admin;//用户名
10.10.10.10//IP地址
后续主机1基于预处理的结果,对规则1进行匹配处理。显然,将预处理功能由主机完成是考虑到控制设备110的负担较重的因素,因而将预处理功能分散由不同的主机完成。如果控制设备110的性能较高,也可以将预处理功能由控制设备110完成,即控制设备110中的消息队列管理模块112在将安全事态数据发送给主机1之前,对来自于数据源安全事态数据进行预处理,将预处理后的安全事态数据发送给主机1。
候选主机集合中主机的结构示意图如附图2B所示。主机包括处理器260、存储器270和网络接口280,所述处理器260、存储器270和网络接口280通过总线290相互连接。主机中各组件的硬件形态与控制设备类似,在这里不再一一详述。
网络接口280,用于接收控制设备分配给该主机处理的规则以及安全事态数据。
主机中的处理器260用于读取所述存储器270中存储的程序代码后,执行以下操作。
从网络接口280获取控制设备分配给所述主机处理的规则。其中一种方式是主机中的网络接口280接收控制设备发送的分配的规则,另一种方式是所有规则均存放于一个候选主机集合中的主机可访问的共享存储设备中,控制主机只需要通过报文告知分配给主机运行的规则的标识,主机可以根据规则的标识从共享存储设备中读取分配的规则,本实施例不对具体规则获取方式进行限定。
通过网络接口280获取所述控制设备发送的安全事态数据,所述安全事态数据的安全事态类型标识与所述规则对应。
根据接收到的安全事态数据,对所述规则进行匹配。
可选地,所述主机根据接收到的安全事态数据,对所述规则进行匹配之前,所述处理器260还用于将所述安全事态数据处理为预定格式的安全事态数据。
与现有技术中由信息处理设备对所有安全事态数据进行处理和规则匹配相比,候选主机集合中的主机仅处理控制设备发来的该主机已订阅的指定安全事态类型的安全事态数据,仅运行控制设备分配给该主机的规则。即便个别主机出现故障,也不会影响其他主机上运行的规则。例如,参照表2所示的规则管理表,即便主机1故障,仅仅影响规则1和规则4的运行,并不影响规则2和规则3的运行。针对个别主机出现故障的场景,后续实施例中也提供了应对方案,能够快速回复规则1和规则4的运行。
本发明实施例提供了一种网络安全信息的处理系统,该系统中包括控制设备和候选主机集合,控制设备和候选主机集合中的主机密切配合,以替代现有技术中集中式的信息处理设备。在该系统中,控制设备基于候选主机集合中每个主机的资源剩余量和规则的运行代价,分配候选主机集合中的不同主机分别运行不同的规则。因此,即便个别主机出现故障并不会影响所有规则的运行,提高了网络安全信息处理的稳定性,避免了集中运行规则的方式可能造成的性能瓶颈问题。
下面将依据本发明上述发明原理,详细介绍几个实施例来对本发明方法的主要实现原理进行详细的阐述和说明。
附图3A为本发明实施例提供的网络安全信息的处理方法的流程图,该流程是以控制设备为主体进行说明的。图3A中的控制设备可以是图1中的控制设备110或图2A中的控制设备110。
本实施例以候选主机集合120中包括5个主机、资源包括CPU资源和内存资源为例对控制设备与主机进行的交互过程进行描述。5个主机分别为主机1、主机2、主机3、主机4和主机5。
步骤301,控制设备从待分配规则集合中提取第一规则。正如前面的介绍,待分配规则集合可以是在安全信息的处理系统运行之初,管理员通过控制设备的图形用户接口添加创建的。在系统开始运行之后,管理员也可以通过控制设备的图形用户接口删除或修改待分配规则集合中的已有规则。待分配规则集合也可以是在控制设备在系统运行之后,根据各主机当前的资源剩余情况等因素,实时调整的,这部分的内容将在后面结合实例进行详细说明。
步骤302,控制设备分配候选主机集合中的第一主机用以运行所述第一规则。这里的分配过程可以是随机的,也可以是按照预定规则进行的,如顺次为每台主机分配2条规则,例如分配主机1运行规则1和规则2,主机2运行规则3和规则4等等。
步骤303,控制设备向所述第一主机发送所述第一规则。
步骤304,控制设备接收来自于安全事态数据源的安全事态数据。
步骤305,控制设备确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致。控制设备可以根据订阅列表,从接收到的所有安全事态数据中筛选出与第一主机上运行的规则中包含的安全事态类型一致的安全事态数据。
步骤306,控制设备向所述第一主机发送所述安全事态数据。
对于步骤304~步骤306,举例来说,假设控制设备分配主机1执行规则1,参考前面实施给出的示例,由于与规则1对应的安全事态类型为IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC和HOST-ATT,则控制设备可以主动地在订阅列表中添加主机1和安全事态类型标识IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC、HOST-ATT的对应关系,或者控制设备将规则1通知主机1后,由主机1采用订阅消息与消息队列管理模块112交互实现在订阅列表中添加上述对应关系。后续消息队列管理模块112在确定新加入消息队列中的安全事态数据中携带的安全事态类型为IDS-WEB-VUL、ROU-PAC、FW-FI、HOST-FIC、HOST-ATT中的任意一种时,将该安全事态数据发送给主机1。
需要说明的是,步骤304并非是步骤301~步骤303所组成的规则分配过程执行结束之后才能执行的,由于控制设备中的消息队列有一定的存储空间,只要在步骤305之前,步骤302完成即可。
本发明实施例中的控制设备分配候选主机集合中的不同主机分别运行不同的规则。即便个别主机出现故障并不会影响所有规则的运行,从而提高了网络安全信息处理的稳定性,避免了集中运行规则的方式可能造成的性能瓶颈问题。
进一步地,在规则分配的过程中,有可能出现将运行消耗资源较多的规则分配给当前资源剩余量较少的主机运行,而导致的个别主机负荷过高,规则运行效果不佳的现象。为了降低该现象出现的几率,控制设备在分配规则时,可以基于主机当前的资源剩余量以及规则运行代价,为主机分配所运行的规则。
下面结合附图3B对如何基于资源进行规则分配进行详细说明。
步骤3021,控制设备获取候选主机集合中每个主机的资源剩余量。
候选主机集合中每个主机的资源剩余量可以参考用户预先配置的参考值,也可以通过心跳报文实时获取。通过心跳报文实时获取候选主机集合中每个主机的资源剩余量的方法包括:
(1)控制设备接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量。例如,控制设备接收主机1至主机5中每个主机以1分钟的周期,定期发来的心跳报文。心跳报文可以是用户数据报协议(User Datagram Protocol,UDP)报文,资源剩余量数据携带在报文的载荷(payload)字段中。
(2)从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。
步骤3022,控制设备从表3所示的规则代价表中获取第一规则的运行代价,所述运行代价包括运行所需的所述至少两类不同类别的资源的消耗量。
步骤3023,控制设备根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,分配所述候选主机集合中的第一主机用以运行所述第一规则。
控制设备可以采用简单的分配方式,例如逐一比较候选主机集合中的一个主机的剩余资源量和第一规则的运行代价,当找到第一个剩余资源量不小于第一规则的运行代价的主机时,换句话说,这个主机每类资源的剩余量都不小于第一规则对同类资源的消耗量时,将该主机作为分配运行第一规则的第一主机。
本实施例还提供了另几种为规则分配运行该规则的主机的方式,具体请参考图6、图7及对应文字描述。
为了避免将同一规则分配给不同的主机运行而造成资源浪费,在步骤2023之后,还可以包括:
步骤3024,从所述待分配规则集合中删除所述第一规则。
步骤3025,在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系。规则管理表如表2所示,用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
本发明实施例提供了一种网络安全信息的处理方法。控制设备基于候选主机集合中每个主机的资源剩余量和规则的运行代价,分配候选主机集合中的不同主机分别运行不同的规则。避免出现将运行消耗资源较多的规则分配给当前资源剩余量较少的主机运行的情况,保证了规则运行的效果。。
可选地,在上述步骤302中,在系统运行一段时间后,或者说控制设备将待分配规则集合中的规则分别分配到候选主机集合中不同主机上运行后,有可能存在正在运行规则的主机因软硬件故障或者意味掉电等原因无法继续运行规则的情况,在本实施例中将主机因各种原因无法继续运行规则的状态称为“失效”。在这种情况下,需要通过一种机制将已失效的主机上运行的规则迁移到其他主机上运行。要达到该目的,需要检测到失效主机,并将失效主机上运行的规则重新加入待分配规则集合等待分配。这种情况下,获取待分配规则集合的方法如附图4所示,包括以下步骤:
步骤401,控制设备接收所述候选主机集合中每个主机周期性发送的心跳报文。
步骤402,控制设备根据接收到的心跳报文,确定失效主机。
具体包括:
步骤4021,针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段。控制设备通过附图2所示的结构中的网络接口230接收来自于主机的心跳报文。
步骤4022,若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机。
步骤4023,若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔未超过预定时间段,确定该主机为有效主机。
以主机1为例,控制主机应当每间隔1分钟,收到来自于主机1的心跳报文。控制主机检测当前时间与接收到来自该主机1的最后一次心跳报文的时间之间的间隔是否超过预定时间段,假定当前时间为20:10:30,而接收到主机1发来最后一次的心跳报文的时间是20:01:22,控制主机计算出二者的间隔时间为00:09:08,超过了预定时间段00:02:00,则确认主机1失效。
在实际实施时,确认主机是否失效的检测周期以及预定的时间段可以结合实际情况灵活设置,例如,如果对实时反馈调整的要求较高,则可以设置较短检测周期,如果为了避免对控制主机CPU造成较大影响,则可以设置较长检测周期。
步骤403,控制设备根据所述规则管理表,获取在失效主机上运行的第二规则。
步骤404,控制设备将所述第二规则加入待分配规则集合。
步骤405,控制设备将第二规则标识与失效主机标识的对应关系从规则管理表中删除。
通过步骤401~步骤404,可以得到更新的待分配规则集合。
仍以主机1为例,在确定主机1失效之后,从表2所示的规则管理表中获得正在主机1上运行的规则是规则1和规则4。将规则1和规则4加入待分配规则集合,并从表2中删除第1行数据。更新后的规则管理表如表4所示。
表4
主机标识 规则标识
主机2 规则2
主机3 规则3
主机n ……
可选地,在上述步骤302中,在系统运行一段时间后,或者说控制设备将待分配规则集合中的规则分别分配到候选主机集合中不同主机上运行后,有一些因素可能导致需要调整主机上正在运行的规则,例如,上述因素可能是负载均衡的需求和有新的主机加入候选主机集合等等。负载均衡因素具体来说有可能部分主机的负荷较大,部分数据的负荷较小,为了使各主机的负荷相对均衡,避免个别主机负荷过大而造成损坏,还可以将正在一个主机上运行的规则转移到其他主机中运行。在这个过程中首先需要将负荷过大的主机上的规则重新加入待分配规则集合等待分配。具体过程请参照附图5所示,包括以下步骤:
步骤501,根据图2所示的规则管理表,从在主机上运行的规则中选择出第二规则。
可以灵活地设置选择第二规则的方式,例如,可以是从运行规则最多的主机上选择一条规则,或者是随机选择一条规则。
可选地,从负载均衡的因素来考虑,选择第二规则时可以采用以下方式:针对所述候选主机集合中每个主机,执行:
根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值。这里的阈值既可以是剩余资源量也可以是剩余比例。
若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。
若未满足预设策略,则继续对候选主机集合中的其他主机执行类似处理。
步骤502,从所述规则管理表中删除记录包含所述第二规则的对应关系。
步骤503,将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。
假定上述预设策略为“当主机剩余CPU资源小于100K,或内存资源小于0.5M时,释放正在运行的规则”。仍以主机1为例进行说明,控制设备根据主机1发送的心跳报文,获知主机1的资源剩余量为剩余CPU资源50K,剩余内存为1M,确认满足上述策略,则根据表2所示的规则管理表查询到主机1中正在运行的规则为规则1和规则4,则从规则1和规则4中选择一条规则,如规则1加入候选规则集合。控制设备还需要在如附图2所示的规则管理表中删除主机1与规则1的对应关系,更新后的规则管理表如表5所示。
表5
主机标识 规则标识
主机1 规则4
主机2 规则2
主机3 规则3
主机n ……
显然,在实际实施过程中,可以按照预设的策略来释放主机上正在运行的规则,例如根据表3所示的规则代价表,从主机1正在运行的规则中选择消耗资源量最大的规则加入候选规则集合,或者为了显著提高规则转移的效果,在主机1的资源剩余量满足上述策略时,选择多条规则加入候选规则集合等等,具体细节难以在这里一一赘述。
可选地,为了避免待分配规则集合中同时存在大量未分配的规则,影响系统的检测有效性,在步骤501之前,还包括:
步骤500,确定所述待分配规则集合中规则数目是否少于预定值。在确定所述待分配规则集合中的规则数目少于预定值时,再执行步骤501。这里预定值的取值范围为大于等于1的自然数。当预定值的取值为1时,实际上是当待分配规则集合中不存在规则时,再从已运行在各主机的规则中选取一部分规则加入待分配规则集合进行重新分配。
需要说明的是,候选主机集合也可以是变化的,例如网络安全信息的处理的用户可以通过图形接口,删除或增加候选主机集合中的主机。或者,控制主机也可以自动地发现新的主机并将其加入候选主机集合,具体地:控制主机接收来自于未知主机的心跳报文,所述未知主机是指不属于所述候选主机集合中的主机;确定接收到所述来自于未知主机的心跳报文的次数是否超过设定阈值;若接收到所述来自于未知主机的心跳报文的次数超过设定阈值,将所述未知主机加入所述候选主机集合。
可选地,在上述步骤302,或步骤3023中,除了可以采用一些比较简单的分配方式,本发明实施例还提供了另一种可替换的分配方式。该分配方式需要在候选主机集合中构建一个优选主机集合,优选主机集合是候选主机集合的一个子集,优选主机集合中的主机具备更佳的资源条件。这样当需要从候选主机集合中分配一个主机来运行选择出的第一规则时,可以优先地从优选主机集合中选取。这样能够避免个别主机负荷过大,例如碰巧资源条件比较差的一个主机碰巧被首选选中,从而从总体上实现更佳的负载均衡效果。该分配方式的实现流程如附图6所示,包括以下步骤:
步骤601,控制设备根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:
条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量。
条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量。
其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种。
在具体实现的过程中,可以采用Pareto最优解算法来构建优选主机集合,在这里仅进行简单介绍。
为候选主机集合建立临时表T,T中保存有候选主机集合中每个主机对应的元组pi,其中i的取值为1~N,其中N为候选主机集合中的主机数目。元组pi为多维向量,每个向量分别代表一种资源剩余量,包括CPU剩余量,内存剩余量等,在不至于引起歧义的情况下,后续简写为pi
在内存中维持一个窗口队列,用以生成优选主机集合,窗口队列初始化为空。算法开始时,从T中读取第一个元组p1放入内存中的窗口队列中。然后,每当从当前临时表T中读入一个主机元组pi时,就用该主机元组pi和窗口队列中已有的所有主机元组依次进行比较,可能出现以下的3种情况:
1)如果窗口队列中存在其他主机元组控制主机元组pi,则pi被从窗口队列中删除,以后的迭代中也不再考虑pi。本实施例中,“主机元组p1控制主机元组pi”是指p1中的所有向量的向量值均大于主机元组pi中对应的向量值,即p1中的CPU剩余量大于pi的CPU剩余量,且p1中的内存剩余量大于pi的内存剩余量。
2)窗口中存在其他主机元组被主机元组pi控制,则从窗口队列中删除被pi控制的主机元组,以后的迭代中也不再考虑这些主机元组,pi插入窗口队列中。
3)主机元组pi和窗口中其他主机元组都不存在控制关系,则将pi插入窗口队列中。
当临时表T中末尾的最后一个元组被读取,执行完上述比较过程后,窗口队列中保存的元组对应的主机即构成优选主机集合。
上面的算法实施方案仅考虑内存足够,窗口队列空间足够的情况,对于内存不足或窗口队列空间不足的情况,本领域技术人员可以采用其他替代方案,例如采用临时队列保存等等,在这里不展开详述。
步骤602,控制设备分配所述优选主机集合中的第一主机用以运行所述第一规则。
例如,控制设备通过心跳报文得到候选主机集合中主机1至主机5中每个主机的资源剩余量如表6所示。
表6
构建出的优选主机集合中包括主机2和主机5。候选主机集合和优选主机集合的补集中包括主机1,主机3和主机4。
假设此时待分配规则集合中包括规则6和规则7,则可以将规则6的运行代价与优选主机集合中任意一个主机的剩余资源量进行比较,从优选主机集合中选择一个剩余资源量大于规则6的运行代价的主机,也就是说该主机每类资源的剩余量均大于规则6对同类资源的消耗量,例如主机2,来运行规则6。
除了可以获得更佳的负载均衡效果之外,附图6所示的分配方式也提高了分配的效率。由于优选主机集合中主机的数量少于候选主机集合,倘若优选主机集合中不能找到剩余资源满足运行规则所需的主机,那么候选主机集合与优选主机集合的补集中的主机也难以满足需求。从优选主机集合中选择主机运行待分配规则可以减少比较次数,提高分配效率。
需要特别说明的是,并非附图6中的所有步骤都是在附图3A中步骤302之后执行,例如,步骤601所描述的构建优选主机集合的步骤可以在附图3A中所有步骤之前执行。
可选地,为了进一步实现更加均衡高效的分配效果,在执行上述附图6中的步骤602“分配所述优选主机集合中的第一主机用以运行所述第一规则”这一步骤时,还可以对待分配的第一规则进行分类,然后选择资源条件最为匹配的主机来执行第一规则。具体请参照附图7所示流程。
步骤701,控制设备根据第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种。
步骤702,控制设备根据第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别资源的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别资源的剩余量。
仍然以表6中的例子进行说明,针对规则6而言,控制设备从表3所示的规则代价表中查询到运行规则6需要消耗200KHz CPU资源,6M内存资源。然后从表7所示的规则分类表中查询得知规则6为内存消耗类规则。控制设备进一步从优选主机集合中选择内存资源剩余量最多的主机,参照表6,在优选主机集合中,主机5内存资源剩余量最多,则分配主机5运行规则6。
表7
控制主机分配主机5运行规则6之后,从待分配规则集合中删除规则6,
在附图2所示规则管理表中增加主机5和规则6的对应关系,即在主机5运行的规则中增加规则6。
本申请实施例还提供了一种网络安全信息的处理装置,如附图8所示,该处理装置包括记录访问单元801,分配单元802,发送单元803,接收单元804,确定单元805。
记录访问单元801,用于从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则。
分配单元802,用于分配候选主机集合中的第一主机用以运行记录访问单元801提取的第一规则,所述候选主机集合包括至少两个主机。
发送单元803,用于根据分配单元802的分配结果,向所述第一主机发送所述第一规则。
接收单元804,用于接收来自于安全事态数据源的安全事态数据。
确定单元805,用于确定接收单元804接收安全事态数据的安全事态类型与分配单元802分配的第一规则中包含的一个安全事态类型一致。
所述发送单元803,还用于在确定单元805确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致时,根据分配单元802的分配结果向所述第一主机发送所述安全事态数据。
上述各个单元可以是逻辑意义上的单元,在具体实施过程中既可以是由CPU读取存储器中存储的软件代码运行之后生成的功能组件,也可以是由硬件单元来实现。
可选地,分配单元802用于获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源。获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量。根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。
进一步地,分配单元802获取候选主机集合中每个主机的资源剩余量,包括:接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量。从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。
可选地,所述记录访问单元801,还用于在分配单元801分配候选主机集合中的第一主机用以运行所述第一规则之后,在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
可选地,接收单元804还用于接收所述候选主机集合中每个主机周期性发送的心跳报文。所述确定单元805还用于根据所述接收单元接收到的心跳报文,确定失效主机,包括:针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机。所述记录访问单元801,还用于根据所述规则管理表,获取在所述失效主机上运行的第二规则;将所述第二规则加入待分配规则集合从而更新所述待分配规则集合。
可选地,所述记录访问单元801,还用于根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则;从所述规则管理表中删除记录包含所述第二规则的对应关系;将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。
可选地,所述记录访问单元801,用于针对所述候选主机集合中每个主机,执行:根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。
进一步地,所述记录访问单元801,还用于在根据所述规则管理表,从在主机上运行的规则中选择出第二规则之前,确定所述待分配规则集合中规则数目少于预定值。
可选地,所述分配单元802从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:
条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量,
条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量,
其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种;
从所述优选主机集合中选择第一主机用以运行所述第一规则。
可选地,所述分配单元802从所述优选主机集合中选择所述第一主机用以运行所述第一规则,包括:根据所述第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种;根据所述第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别的剩余量。
可选地,所述接收单元804,还用于接收来自于未知主机的心跳报文,所述未知主机是指所述候选主机集合之外的主机。所述确定单元805,还用于确定接收到所述来自于未知主机的心跳报文的次数超过设定阈值。所述记录访问单元801,还用于所述确定单元805确定所述来自于未知主机的心跳报文的次数超过设定阈值时,将所述未知主机加入所述候选主机集合。
可选地,所述接收单元804,还用于发送单元803向所述第一主机发送所述安全事态数据之前,接收所述第一主机发送的所述第一规则的表达式中包含的至少一个安全事态类型标识。所述记录访问单元801,还用于记录所述第一主机与所述至少一个安全事态类型标识的对应关系。所述确定单元805确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
可选地,所述确定单元805,还用于解析所述第一规则,获得所述第一规则的表达式中包含的至少一个安全事态类型标识。所述记录访问单元801,还用于记录所述第一主机与所述至少一个安全事态类型标识的对应关系。所述确定单元805确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
本实施例中提供的网络安全信息的处理装置,可以集成在附图1或附图2A所示控制设备110中,应用于附图1所示的场景中,实现其中控制设备的功能。网络安全信息的处理装置可以实现的其他附加功能、以及与候选主机集合中的主机的交互过程,请参照方法实施例中对控制设备的描述,在这里不再赘述。
上述实施例提供的网络安全信息的处理装置,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本发明的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (38)

1.一种网络安全信息的处理方法,其特征在于,包括:
从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;
分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;
向所述第一主机发送所述第一规则;
接收来自于安全事态数据源的安全事态数据;
确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;
向所述第一主机发送所述安全事态数据。
2.根据权利要求1所述的处理方法,其特征在于,所述分配候选主机集合中的第一主机用以运行所述第一规则,包括:
获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源;
获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量;
根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。
3.根据权利要求2所述的处理方法,其特征在于,所述获取候选主机集合中每个主机的资源剩余量,包括:
接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量;
从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。
4.根据权利要求2所述的处理方法,其特征在于,所述分配候选主机集合中的第一主机用以运行所述第一规则之后,还包括:
在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
5.根据权利要求4所述的处理方法,其特征在于,还包括:
接收所述候选主机集合中每个主机周期性发送的心跳报文,
根据接收到的心跳报文,确定失效主机;
根据所述规则管理表,获取在所述失效主机上运行的第二规则;
将所述第二规则加入待分配规则集合从而更新所述待分配规则集合;
其中,所述根据接收到的心跳报文,确定失效主机,包括:
针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,
若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机。
6.根据权利要求4所述的处理方法,其特征在于,还包括:
根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则;
从所述规则管理表中删除记录包含所述第二规则的对应关系;
将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。
7.根据权利要求6所述的处理方法,其特征在于,所述根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则,包括:
针对所述候选主机集合中每个主机,执行:
根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;
若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。
8.根据权利要求6或7所示的处理方法,其特征在于,所述根据所述规则管理表,从在主机上运行的规则中选择出第二规则之前,还包括:
确定所述待分配规则集合中规则数目少于预定值。
9.根据权利要求2至8中任一所述的处理方法,其特征在于,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:
条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量,
条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量,
其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种;
从所述优选主机集合中选择第一主机用以运行所述第一规则。
10.根据权利要求9所述的处理方法,其特征在于,从所述优选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据所述第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种;
根据所述第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别的剩余量。
11.根据权利要求1至10中任一所述的方法,其特征在于,向所述第一主机发送所述安全事态数据之前,还包括:
接收所述第一主机发送的所述第一规则的表达式中包含的至少一个安全事态类型标识,记录所述第一主机与所述至少一个安全事态类型标识的对应关系;或解析所述第一规则,获得所述第一规则的表达式中包含的至少一个安全事态类型标识,记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
所述确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
12.一种控制设备,其特征在于,包括:
处理器、存储器和网络接口,所述处理器、存储器和网络接口通过总线相互连接;
所述网络接口用于接收来自于安全事态数据源的安全事态数据;
所述控制设备中的处理器用以读取所述存储器中存储的程序代码,执行以下操作:
从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;
分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;
向所述第一主机发送所述第一规则;
确定所述网络接口接收的所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;
所述网络接口还用于在所述处理器确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致时,向所述第一主机发送所述安全事态数据。
13.根据权利要求12所述的控制设备,其特征在于,所述处理器分配候选主机集合中的第一主机用以运行所述第一规则,包括:
所述处理器获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源;
获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量;
根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。
14.根据权利要求13所述的控制设备,其特征在于,
所述网络接口,还用于接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量;
所述处理器,还用于从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。
15.根据权利要求13所述的控制设备,其特征在于,
所述处理器还用于分配候选主机集合中的第一主机用以运行所述第一规则之后,在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
16.根据权利要求15所述的控制设备,其特征在于,
所述网络接口还用于接收所述候选主机集合中每个主机周期性发送的心跳报文,
所述处理器还用于根据接收到的心跳报文,确定失效主机;
根据所述规则管理表,获取在所述失效主机上运行的第二规则;以及
将所述第二规则加入待分配规则集合从而更新所述待分配规则集合;
其实所述根据接收到的心跳报文,确定失效主机,包括:
针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,
若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机。
17.根据权利要求15所述的控制设备,其特征在于,
所述处理器,还用于从在主机上运行的规则中选择出第二规则,从所述规则管理表中删除记录包含所述第二规则的对应关系,将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。
18.根据权利要求17所述的控制设备,其特征在于,
所述处理器从所述在主机上运行的规则中选择出第二规则,包括:
所述处理器针对所述候选主机集合中每个主机,执行:
根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;
若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。
19.根据权利要求17或18所述的控制设备,其特征在于,
所述处理器还用于在从在主机上运行的规则中选择出第二规则之前,确定所述待分配规则集合中规则数目少于预定值。
20.根据权利要求13至19中任一所述的控制设备,其特征在于,
所述处理器从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:
条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量,
条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量,
其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种;
从所述优选主机集合中选择第一主机用以运行所述第一规则。
21.根据权利要求20所述的控制设备,其特征在于,处理器从所述优选主机集合中选择所述第一主机用以运行所述第一规则,包括:
所述处理器根据所述第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种;
根据所述第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别的剩余量。
22.根据权利要求12至21中任一所述的控制设备,其特征在于,
所述网络接口还用于接收来自于未知主机的心跳报文,所述未知主机是指所述候选主机集合之外的主机;
确定接收到所述来自于未知主机的心跳报文的次数超过设定阈值;
将所述未知主机加入所述候选主机集合。
23.根据权利要求12至22中任一所述的控制设备,其特征在于,
所述网络接口还用于向所述第一主机发送所述安全事态数据之前,接收所述第一主机发送的所述第一规则的表达式中包含的至少一个安全事态类型标识;
所述处理器还用于记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
相应地,所述处理器确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
24.根据权利要求12至22中任一所述的控制设备,其特征在于,
所述处理器用于解析所述第一规则,获得所述第一规则的表达式中包含的至少一个安全事态类型标识,记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
相应地,所述处理器确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
25.一种网络安全信息的处理系统,其特征包括,所述系统包括根据权利要求12至24任一所述的控制设备,以及所述候选主机集合。
26.一种网络安全信息的处理装置,其特征在于,包括:
记录访问单元,用于从待分配规则集合中提取第一规则,所述待分配规则集合包含至少一个规则,所述规则是指通过关系符和安全事态类型标识来构建的正则表达式,用以描述安全事态与安全事件的关系;
分配单元,用于分配候选主机集合中的第一主机用以运行所述第一规则,所述候选主机集合包括至少两个主机;
发送单元,用于向所述第一主机发送所述第一规则;
接收单元,用于接收来自于安全事态数据源的安全事态数据;
确定单元,用于确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致;
所述发送单元,还用于在所述确定单元确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致时,向所述第一主机发送所述安全事态数据。
27.根据权利要求26所述的处理装置,其特征在于,所述分配单元用于:
获取候选主机集合中每个主机的资源剩余量,所述资源包括至少两种不同类别的资源;
获取所述第一规则的运行代价,所述运行代价包括运行规则所需的所述至少两类不同类别的资源的消耗量;
根据所述第一规则的运行代价,以及所述候选主机集合中每个主机的资源剩余量,从所述候选主机集合中选择所述第一主机用以运行所述第一规则,所述第一主机的每类资源的剩余量不小于所述第一规则的运行代价中同类资源的消耗量。
28.根据权利要求27所述的处理装置,其特征在于,所述分配单元获取候选主机集合中每个主机的资源剩余量,包括:
接收所述候选主机集合中每个主机周期性发送的心跳报文,所述心跳报文中携带资源剩余量;
从所述心跳报文中获取所述候选主机集合中每个主机的资源剩余量。
29.根据权利要求27所述的处理装置,其特征在于,
所述记录访问单元,还用于在分配单元分配候选主机集合中的第一主机用以运行所述第一规则之后,在规则管理表中增加所述第一主机的标识与所述第一规则的标识的对应关系,所述规则管理表用于通过主机标识与规则标识的对应关系,记录在主机上运行的规则。
30.根据权利要求29所述的处理装置,其特征在于,
所述接收单元,还用于接收所述候选主机集合中每个主机周期性发送的心跳报文;
所述确定单元,还用于根据所述接收单元接收到的心跳报文,确定失效主机,包括:
针对所述候选主机集合中每个主机,确定当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔是否超过预定时间段,
若当前时间与接收到来自该主机的最后一次心跳报文的时间之间的间隔超过预定时间段,确定该主机为失效主机,从所述候选主机集合中删除所述失效主机;
所述记录访问单元,还用于根据所述规则管理表,获取在所述失效主机上运行的第二规则;将所述第二规则加入待分配规则集合从而更新所述待分配规则集合。
31.根据权利要求29所述的处理装置,其特征在于,
所述记录访问单元,还用于根据所述规则管理表,从所述在主机上运行的规则中选择出第二规则;
从所述规则管理表中删除记录包含所述第二规则的对应关系;
将所述第二规则加入所述待分配规则集合中从而更新所述待分配规则集合。
32.根据权利要求31所述的处理装置,其特征在于,
所述记录访问单元,用于针对所述候选主机集合中每个主机,执行:
根据该主机的资源剩余量,判断是否满足预设策略,所述预设策略用于判断预设种类的资源是否小于对应的阈值;
若满足预设策略,则根据所述规则管理表,从该主机上运行的规则中选择预定数量的规则作为所述第二规则。
33.根据权利要求31或32所述的处理装置,其特征在于,
所述记录访问单元,还用于在根据所述规则管理表,从在主机上运行的规则中选择出第二规则之前,确定所述待分配规则集合中规则数目少于预定值。
34.根据权利要求26至33任一所述的处理装置,其特征在于,
所述分配单元从所述候选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据候选主机集合中每个主机的资源剩余量,构建优选主机集合,所述优选主机集合是候选主机集合的子集,且优选主机集合同时满足以下条件:
条件A:M主机X类资源的剩余量均不小于N主机所述X类资源的剩余量,
条件B:在所述至少两种不同类别的资源中,M主机至少存在一种类别资源的剩余量大于N主机同一类别资源的剩余量,
其中,M主机是优选主机集合中的任一主机,N主机是候选主机集合和优选主机集合的补集中的任一主机,X是所述至少两类不同资源中的任意一种;
从所述优选主机集合中选择第一主机用以运行所述第一规则。
35.根据权利要求34所述的处理装置,其特征在于,
所述分配单元从所述优选主机集合中选择所述第一主机用以运行所述第一规则,包括:
根据所述第一规则的运行代价以及规则分类表,确定所述第一规则对应的高消耗资源类别,所述规则分类表包括所述至少两类不同类别的资源的消耗量取值范围与高消耗资源类别的对应关系,所述高消耗资源类别是所述至少两类不同类别中的一种;
根据所述第一规则对应的高消耗资源类别,从所述优选主机集合中选择出第一主机,所述第一主机的所述高消耗资源类别的剩余量大于所述优选主机集合中其他主机所述高消耗资源类别的剩余量。
36.根据权利要求26至35任一所述的处理装置,其特征在于,
所述接收单元,还用于接收来自于未知主机的心跳报文,所述未知主机是指所述候选主机集合之外的主机;
所述确定单元,还用于确定接收到所述来自于未知主机的心跳报文的次数超过设定阈值;
所述记录访问单元,还用于所述确定单元确定所述来自于未知主机的心跳报文的次数超过设定阈值时,将所述未知主机加入所述候选主机集合。
37.根据权利要求26至36任一所述的处理装置,其特征在于,
所述接收单元,还用于发送单元向所述第一主机发送所述安全事态数据之前,接收所述第一主机发送的所述第一规则的表达式中包含的至少一个安全事态类型标识;
所述记录访问单元,还用于记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
所述确定单元确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
38.根据权利要求26至36任一所述的处理装置,其特征在于,
所述确定单元,还用于解析所述第一规则,获得所述第一规则的表达式中包含的至少一个安全事态类型标识,
所述记录访问单元,还用于记录所述第一主机与所述至少一个安全事态类型标识的对应关系;
所述确定单元确定所述安全事态数据的安全事态类型与所述第一规则中包含的一个安全事态类型一致,包括:
通过解析,得到所述接收到的安全事态数据中携带的安全事态类型标识;
确定解析得到的安全事态类型标识与所述对应关系中的安全事态类型标识一致。
CN201510679697.4A 2015-10-19 2015-10-19 网络安全信息的处理方法及网络安全信息的处理系统 Active CN106603473B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510679697.4A CN106603473B (zh) 2015-10-19 2015-10-19 网络安全信息的处理方法及网络安全信息的处理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510679697.4A CN106603473B (zh) 2015-10-19 2015-10-19 网络安全信息的处理方法及网络安全信息的处理系统

Publications (2)

Publication Number Publication Date
CN106603473A true CN106603473A (zh) 2017-04-26
CN106603473B CN106603473B (zh) 2021-01-01

Family

ID=58554584

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510679697.4A Active CN106603473B (zh) 2015-10-19 2015-10-19 网络安全信息的处理方法及网络安全信息的处理系统

Country Status (1)

Country Link
CN (1) CN106603473B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553489A (zh) * 2022-01-24 2022-05-27 北京北卡星科技有限公司 一种基于多目标优化算法的工业控制系统安全防护方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212338A (zh) * 2006-12-30 2008-07-02 上海复旦光华信息科技股份有限公司 基于监控探针联动的网络安全事件溯源系统与方法
CN101242409A (zh) * 2008-01-18 2008-08-13 南京邮电大学 一种多语言的网络数据包高效过滤的方法
CN101330469A (zh) * 2008-07-25 2008-12-24 中兴通讯股份有限公司 下一代网络中资源控制部分收集安全参数的实现方法
CN101673292A (zh) * 2009-10-15 2010-03-17 成都市华为赛门铁克科技有限公司 关联分析方法和系统及汇聚关联引擎和分布式关联引擎
CN102571469A (zh) * 2010-12-23 2012-07-11 北京启明星辰信息技术股份有限公司 攻击检测方法和装置
CN104322029A (zh) * 2012-05-11 2015-01-28 阿尔卡特朗讯公司 用于提供流动安全层的装置和方法
US20150033285A1 (en) * 2011-10-24 2015-01-29 International Business Machines Corporation Non-intrusive method and apparatus for automatically dispatching security rules in cloud environment

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212338A (zh) * 2006-12-30 2008-07-02 上海复旦光华信息科技股份有限公司 基于监控探针联动的网络安全事件溯源系统与方法
CN101242409A (zh) * 2008-01-18 2008-08-13 南京邮电大学 一种多语言的网络数据包高效过滤的方法
CN101330469A (zh) * 2008-07-25 2008-12-24 中兴通讯股份有限公司 下一代网络中资源控制部分收集安全参数的实现方法
CN101673292A (zh) * 2009-10-15 2010-03-17 成都市华为赛门铁克科技有限公司 关联分析方法和系统及汇聚关联引擎和分布式关联引擎
CN102571469A (zh) * 2010-12-23 2012-07-11 北京启明星辰信息技术股份有限公司 攻击检测方法和装置
US20150033285A1 (en) * 2011-10-24 2015-01-29 International Business Machines Corporation Non-intrusive method and apparatus for automatically dispatching security rules in cloud environment
CN104322029A (zh) * 2012-05-11 2015-01-28 阿尔卡特朗讯公司 用于提供流动安全层的装置和方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553489A (zh) * 2022-01-24 2022-05-27 北京北卡星科技有限公司 一种基于多目标优化算法的工业控制系统安全防护方法及装置

Also Published As

Publication number Publication date
CN106603473B (zh) 2021-01-01

Similar Documents

Publication Publication Date Title
CN108833417B (zh) 基于拟态防御的邮件系统
EP2987090B1 (en) Distributed event correlation system
US7630379B2 (en) Systems and methods for improved network based content inspection
US8561188B1 (en) Command and control channel detection with query string signature
CN110290100A (zh) 一种基于SDN的拟态Web服务器及用户请求处理方法
CN110545260A (zh) 一种基于拟态构造的云管理平台构建方法
US10805166B2 (en) Infrastructure-agnostic network-level visibility and policy enforcement for containers
CN109462599A (zh) 一种蜜罐管理系统
US11575588B2 (en) Monitoring traffic flows of containers in a segmented network environment
Gumaste et al. Detection of ddos attacks in openstack-based private cloud using apache spark
CN110226155A (zh) 在主机上收集和处理上下文属性
US9122546B1 (en) Rapid processing of event notifications
CN110213207A (zh) 一种基于日志分析的网络安全防御方法及设备
CN104202333A (zh) 一种分布式防火墙的实现方法
KR102312019B1 (ko) 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템
CN111399787B (zh) 一种分布式打印审核系统及审核方法
Li et al. An effective SDN controller scheduling method to defence DDoS attacks
CN105245336B (zh) 一种文档加密管理系统
CN113765896B (zh) 基于人工智能的物联网实现系统及方法
CN111371807B (zh) 基于接入层的安全系统及其构建方法、终端、存储介质
Lin et al. Security function virtualization based moving target defense of SDN-enabled smart grid
CN106603473A (zh) 网络安全信息的处理方法及网络安全信息的处理系统
Wang et al. A lightweight SDN fingerprint attack defense mechanism based on probabilistic scrambling and controller dynamic scheduling strategies
CN109218315A (zh) 一种安全管理方法和安全管理装置
Sanjeetha et al. Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant