CN108234499A - 卫星网络中基于安全标签的安全监控模型 - Google Patents
卫星网络中基于安全标签的安全监控模型 Download PDFInfo
- Publication number
- CN108234499A CN108234499A CN201810013704.0A CN201810013704A CN108234499A CN 108234499 A CN108234499 A CN 108234499A CN 201810013704 A CN201810013704 A CN 201810013704A CN 108234499 A CN108234499 A CN 108234499A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- safety
- safety label
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/83—Admission control; Resource allocation based on usage prediction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/805—QOS or priority aware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种卫星网络中基于安全标签的安全监控模型,属于卫星通信技术领域。安全标签中的源参考矢量、目的参考矢量、安全等级、服务等级、优先等级和其他关键特征等参数,可以作为安全监控模型进行系统攻击行为监控和检测的依据。所述的基于安全标签的安全监控模型包括数据采集模块、安全检测模块、数据处理模块、响应报警模块、自适应QOS控制模块和综合管理中心模块,可以实现对多种攻击行为的有效检测和响应,同时可以实现对网络的QOS控制,调节网络中的通信业务和资源均衡。本发明的安全监控模型很好的保障了数据信息安全实时到达,同时尽可能的满足卫星网络在有限的资源条件、复杂的背景环境下对数据包传输的检测调控需求。
Description
技术领域
本发明涉及卫星通信技术领域,具体来说是一种卫星网络中基于安全标签的安全监控模型。
背景技术
近年来,随着对卫星网络体系结构和各项关键技术的研究,卫星网络的安全问题已经受到了包括学术界、工业界的高度重视。鉴于卫星网络与传统地面网络的差异性,需要针对卫星网的特点,提出合理高效的安全机制。针对不同的使命或任务,根据卫星网的特点,提出适应于的卫星网络的安全监控模型方案并对相应的技术进行研究,是保证卫星网络中任务信息的安全、实时到达的重要的部分。
传统的安全标签被定义为类别部分、范畴的二元组,安全标签之间遵循格的偏序关系。由于类别反映出来的是一种等级关系,又称为安全等级(hierarchies)。范畴部分是无等级概念的元素组成的,表示清晰的信息领域。其无等级指不存在范畴“大于”另一范畴,范畴又是集合。如:C={财务部,技术部,销售部,市场部}作为一个多范围集合,财务部、技术部、销售部、市场部是范围元素,彼此独立。
传统的安全标签主要用于强制访问控制模型中,基于安全标签的强制访问控制模型在Bell-La Padula模型的基础上对系统的每个主体和客体分别赋予与其身份相对的安全级标签。对主体,此安全级标签称之为“许可标签”,对客体称之为“敏感性标签”。由于敏感性标签和许可标签在组成上是相同的,只是一个相对于客体而言,另一个相对于主体而言,二者统称为安全标签或安全级别。用客体的敏感性标签来表示用来保护此信息的安全程度,而用主体的许可标签来表示主体的访问权限。以及保证所有的输入、输出的信息系统都能正确地标签反映其安全级别的敏感性标签。通过这样的标签机制,可以实现多级安全策略,即可以建立多个不同安全级别(类别、范畴)的分类信息,系统可以控制用户只能访问那些允许他访问的信息。
如图1所示的是传统的网络安全监控模型框架示意图,传统的网络安全监控模型机理为:网络上分布的各种NetFlow异常检测系统、IDS入侵检测系统、VDS病毒检测系统、应用系统、漏洞扫描器、Firewall防火墙、分布式探针系统、路由器、交换机等数据采集设备(系统)捕获原始的监控数据,并进行一定的数据融合处理,如基于规则的监控数据过滤和监控数据格式标准化等,然后将监控数据传输给数据分析模块。
数据分析模块由两大部分组成,分别是在线实时处理和离线深度分析两部分。在线实时处理面向的是对实时性要求比较高的业务,如查询处理请求。在线实时处理需要根据分析最新的情况并反馈结果。而离线深度分析针对的是一些重要的监控数据,在在线实时处理之后,进行归档存储,然后进行更深入的离线的数据挖掘。并将处理结果根据需要传递给后续的各个应用模块(如风险评估、控制防御等),进而为这些应用在决策时提供辅助,完成网络实时监控系统的各种功能。现有技术的缺点在于,目前卫星网络中并没有一个很明确的安全标签技术方案。同时,传统的安全监控模型虽然具备了对数据的采集,分析预警以及后续处理,但是这只是基于稳定且资源充足的地面网络,而对于拓扑结构变换频繁、资源匮乏的卫星网络,这样的监控模型是不完全适应的。但是目前卫星网络中也并没有一个比较明确的安全监控模型的技术方案。
发明内容
本发明通过对卫星网络中不同类型任务对实时性、机密性等任务属性的需求不同的特点,对任务信息引入了安全标签技术,使卫星网络系统可以更好的对系统中业务进行信息拆解和定位。
针对空间信息网资源有限,拓扑变化大等显著特点,基于所述安全标签技术,本发明提出了一种卫星网络中的基于安全标签的安全监控模型,可以实现对多种攻击行为的有效检测和响应,同时可以实现对网络的QOS控制,调节网络中的通信业务和资源均衡。本发明的安全监控模型很好的保障了数据信息安全实时到达,同时尽可能的满足卫星网络在有限的资源条件、复杂的背景环境下对数据包传输的检测调控需求。
本发明所述的基于安全标签的安全监控模型由六个模块构成,分别是数据采集模块、安全检测模块、数据处理模块、响应报警模块、自适应QOS控制模块和综合管理中心模块。
安全监控模型的基础是安全标签。安全标签作为数据流的头和标识,存储了该数据流的各项性质和参数。安全标签中的源参考矢量、目的参考矢量、安全等级、服务等级、优先等级和其他关键特征等参数,可以作为安全监控模型进行系统攻击行为监控和检测的依据。
所述的数据采集模块实现卫星网络中按需采集数据流中的数据包,并根据数据包的内部结构提取安全标签单独保存;根据系统的预设阈值与安全标签的比对,读数据包进行筛选,将通过筛选的数据包连同单独保存的安全标签形成一个数据流,发送给安全检测模块。对于未通过筛选的数据包,直接转发给下一个节点。
所述的安全检测模块接收来自于综合管理中心模块和响应报警模块的系统规则,对数据采集模块发送的带有安全标签的数据包进行安全检测,对符合系统规则的数据流直接转发给数据处理模块;对于不符合系统规则的数据流,生成告警发送给响应报警模块,并将该数据流丢弃。
所述的数据处理模块结合自适应QOS控制模块的质量需求制定并实施合适的动态调整策略,对不同的数据包采取不同的检测标准和检测措施,并反馈给自适应QoS控制模块,进行系统资源的动态调度。
所述的自适应QOS控制模块用于将当前网络的资源状态和系统最初网络服务质量标准的规则发送给数据处理模块,然后根据数据处理模块对数据包的服务等级和优先等级进行分析处理,处理结果一部分转发给下一个节点,一部分发送给自适应QOS控制模块,所述的QOS控制模块结合所述的处理结果重新制定并实施合适的动态调整策略并返回给数据处理模块,提高整个系统的资源调度效率。
所述的综合管理中心模块,接收响应报警模块的报警数据并且实现深度数据挖掘,生成完整的系统规则并发送给安全检测模块,作为安全检测模块的检测依据。
所述的响应报警模块接收来自于安全检测模块的报警,将报警行为统计、汇总,发送给综合管理中心模块进行系统分析,响应报警模块也会生成简易的系统规则,发送给安全检测模块,作为安全检测模块检测攻击行为的依据。
本发明的优点在于:
1.本发明保障了数据信息安全实时到达,同时尽可能的满足卫星网络在有限的资源条件、复杂的背景环境下对数据包传输的检测调控需求。
2.安全标签是基于卫星网络的实际业务的特征和性能设计的,具有很强的针对性。安全标签的引入,相当于增加了任务的等级性,这样的特性满足空间信息网不同类型、级别的任务采取不同的处理措施,从而可以对任务进行批量处理,加快任务处理的速率。
3.通过对安全标签的识别,可以按照用户节点的需求,对数据包进行筛选、过滤,避免了信息的冗余,从而加快了对任务信息的处理。
4.直接对安全标签的读取,对各类任务类型,服务级别等标签的识别不同于普通的将任务分类然后设置多个的队列,对多个任务进行管理,减少了队列调度维护的成本。
5.相较于现有技术中对数据包内容的识别后进行任务分类,本发明直接对安全标签的读取,大大提高了识别效率和减少了识别信息所花费的成本。
附图说明
图1传统的网络安全监控模型框架。
图2为本发明的安全监控模型结构图。
图3为本发明中数据采集模块处理过程示意图。
图4为本发明中数据报文头的提取和保存过程示意图。
图5为本发明中安全检测模块的处理过程示意图。
具体实施方式
下面将结合附图和实施例对本发明作进一步的详细说明。
本发明首先提供一种卫星网络中的安全标签,所述的安全标签的结构如表1所示。
表1安全标签结构
表1中,所述安全标签的结构包括安全标签头标识符、标签类型、安全标签的长度、源参考矢量、目的参考矢量、安全等级、服务等级、优先等级和任务属性的其他关键特征。所述的安全标签头标识符,占一个字节,用于表示IP安全选项携带的为安全标签,以区别其他的安全选项区的功能。所述的安全标签的长度占一个字节,用于标识实际的安全标签总长度。所述的标签类型占一个字节,针对空间信息网络中任务多样性和应用的多样性,本发明采用不同的标签类型来对应不同的应用,同时还可以实现不同系统之间的兼容,提供如下几种标签类型:
标签类型1:限制性的访问,只有数据包的任务属性的关键特征是接收端点的子集时,才能被接收。
标签类型2:范围性的访问,此时任务属性的关键特征域应该是:优先等级、安全等级、实时性、保护措施;系统会对这些关键特征域的值得范围作限制,只有在这个范围内的才能访问接收数据包。
标签类型3:特定性的访问,只有每个关键特征域的值完全一样时才能准许访问。
标签类型4:自定义类型。
安全属性在安全标签中是至关重要的,代表了空间中不同任务的不同安全属性。本发明根据任务的每个安全属性的不同级别,加入了安全等级、服务等级和优先等级三个属性,每个属性占一个字节。采用各等级所对应的ASCII码的二进制方式对安全标签进行编码,用于安全标签随数据流的携带以及安全标签的识别。其具体的编码方式如下:
1.对于安全等级和优先等级,采用每个等级的英文首字母的ASCII码的二进制形式。
2.对于服务等级,因为其英文缩写为两个字母,所以则采用两个字母的ASCII码的二进制形式求异或来得到。例如对于BE级别,字母B的ASCII码为01000010,字母E的ASCII码为01000101,两者求异或可得00000111。即为BE级别所对应的编码。
3.对于其他新加进来的任务属性,均采用其所划分等级的首字母的ASCII码形式,如果划分等级的首字母数大于1,则求其异或,将最后结果作为其编码,如果同一属性的等级编码出现相同的情况,则将其中高等级的编码加1。
表2安全标签各等级编码
| 安全等级 | 编码值 |
| 绝密T | 01010100 |
| 机密S | 01010011 |
| 秘密C | 01000011 |
| 公开U | 01010101 |
| 服务等级 | 编码值 |
| BE | 00000111 |
| RS | 00000001 |
| DS | 00010111 |
| 优先等级 | 编码值 |
| 高H | 01001000 |
| 中M | 01001101 |
| 低L | 01001100 |
根据这种编码方式,对安全属性的等级的识别就转换成了对二进制编码的识别。可以将各等级的编码结果存入一个数据库中,在对一个数据包的安全标签具体内容的识别的过程就可以采用模式匹配技术进行二进制编码串的匹配。此种编码方式不仅容易理解、识别,更有利于安全标签的比较与实施。
依据空间信息网络中传输业务的QoS要求,来设定服务等级。第一部分任务属于BE(best effort)类服务等级,第二部分任务属于RS(reservation service)类服务等级,第三部分任务属于DS(deprivation service)类服务等级。
在传输过程中,BE类服务等级采取尽力传送机制,带宽资源的变化对系统的满意度影响不大,只需根据任务的自身属性来满足任务所需要的带宽即可,在资源允许的情况下,尽量使用目前空间信息网络中能够为其分配的上限带宽进行数据传输;
RS类服务等级采用保障服务机制,该类任务带宽资源的变化对系统的满意度在一定范围内影响很大,虽然该类任务为可变速率任务,但在传输过程中应尽量保证其数据速率恒定,该机制和尽力传送机制最大的区别在于网络中必须有足够的满足该请求任务QoS要求的带宽资源时,才能允许该任务接入并进行数据传输。
DS类服务等级是三个服务等级中等级最高的一个,也是这三个服务等级中最特殊的一个服务等级,该服务等级采用优先确保的服务机制。该服务机制在任务数据传输过程中,始终优先保证数据传输中的任务足够的带宽资源,且在资源缺乏的情况下,该服务等级的任务可以依据有关策略调整其他任务类别所占用的资源,将释放的资源进行占用。通过此处理方法来保证DS类服务等级中任务在传输延迟、丢包率等方面特殊的QoS要求。
在服务等级的基础上继续设定优先等级,将每个服务等级除了DS类服务等级根据其对实时性的要求继续划分为高H、中M、低L三个优先等级。为保证DS类服务等级任务的特殊性,保证其高效的传输和QoS要求,对DS类服务等级任务不再划分优先等级。
本发明中基于所述的安全标签,提供一种安全监控模型,如图2所示,所述的安全监控模型包括数据采集模块、安全检测模块、数据处理模块、响应报警模块、自适应QOS控制模块和综合管理中心模块,所述的数据采集模块采集处理的源节点的数据经过安全检测模块传递到数据处理模块再到下一个节点。下面对各个模块的功能进行详细说明:
(1)数据采集模块
数据采集模块实现对源节点的数据采集,主要包括三个步骤,如图3所示,分别为:
第一步,数据按需捕获:
选取tcpdump工具,按需捕获网络中数据流中数据包的数据包头,所述的数据包头中携带有安全标签。tcpdump是Linux中强大的网络数据采集分析工具之一,可以将网络中传送的数据包的头完全截获下来提供分析,并提供and、or、not等逻辑语句帮助系统去除标识等与数据包头没有关系的信息。
第二步,安全标签的提取和保存:网络中的数据包头被捕获后,使用传统安全标签的识别技术,即协议分析技术,提取并单独保存其中的安全标签部分。如图4所示,所述的协议分析技术包括对捕获的数据执行数据链路层协议分析、网络层协议分析、安全标签的提取、安全标签的保存以及其他协议层分析。
第三步,数据预处理:读取安全标签中的安全等级、服务等级和优先等级三个部分。预设阈值大于设定的安全等级、服务等级和优先等级的数据流需要进入安全检测模块进行安全检测,其他的数据流可以直接转发给下一个节点。对于需要进行安全检测的数据包,将完整的数据包头和安全标签部分形成一个数据流后,发送给安全检测模块。所述的预设阈值是根据系统的业务需求和安全需求设定的。
(2)安全检测模块
安全检测模块接收来自于综合管理中心模块和响应报警模块的系统规则,以及数据采集模块发送过来的,包括完整的数据包头和安全标签部分的数据流,根据上述接收到的系统规则对所述的数据流进行检测。检测过程中使用模式匹配和地址字段的统计分析方法,分析数据流是否受到攻击,来防止各种存在的安全威胁。各种安全防护工具是安全检测模块的基础,包括身份认证技术、入侵检测技术,以及防火墙等。这些安全防护工具主要是确保网络信息内容安全监控系统的数据安全,防止被盗窃、篡改和泄密。
具体的,所述的安全检测模块包括四个子模块,分别为数据预处理子模块、规则认证子模块、分析处理子模块和模式匹配子模块。如图5所示。
所述的数据预处理子模块用于提取完整数据包头的协议头部分,确定数据包头所属的协议类型,也就是对数据包进行解码。全部解码后的数据流发送给规则认证子模块。
所述的规则认证模块接收解码的数据流,将数据包头中的协议头部分与规则库中的系统规则进行比较,查出不符合系统规则的数据流,并进行丢弃,同时向报警响应模块发出报警信息。满足系统规则的数据流提取之前保存好的安全标签部分,按照安全标签既定的格式被继续解析成各个元素项对应的元素项对(元素项类,元素项值),发送给分析处理子模块。
所述的分析处理子模块包括两方面的工作。一方面,对数据包头中的协议头部分进行分析处理,读取字符串及其可能的变形,并挖掘其本质含义,为模式匹配子模块提供数据源。经过分析处理后的数据进行匹配时能够将字符串匹配定位到具体字段,提高模式匹配的准确率和效率。另一方面,对安全标签中的源参考矢量和目的参考矢量进行分析统计,如果存在只发送大量只有第一片分片报文的数据包,或是存在非法的源矢量和目的矢量,则认为此数据包已经遭受了攻击,生成告警并发送给响应报警模块,并丢弃相应的数据流。
所述的模式匹配子模块接收到分析处理子模块发送来协议头相关内容,将所述的协议头相关内容与规则库中的系统规则比较,分析出可疑的攻击行为,生成响应报警并发送给响应报警模块;对于非可疑的数据流转发给数据处理模块。规则库按照各个协议以及对应的协议攻击特征分成不同的系统规则,以减少不必要的比较,提高检测速度,降低误报率,提高系统效率。
本发明的安全检测模块将模式匹配和入侵检测技术相结合,提高了对攻击行为的检测效率,大大减少了系统资源。协议是一个高度规则的系统。本发明可以利用其高度规则性来判断入侵行为的所在,这样就可以使判断结果更加准确,减少许多误判,减少计算量减少资源。
(3)数据处理模块
数据处理模块是安全标签最重要的使用模块,也是对空间信息网络多级安全策略的一个重要体现。根据数据包携带安全标签中的安全等级,数据处理模块会对不同的数据包采取不同的检测标准和检测措施。根据标签中的服务等级和优先等级,以及接收到的来自自适应QoS控制模块的网络资源情况,确定合理的网络资源调度策略,发送并指导自适应QOS控制模块进行系统资源的动态调度,以提高整个安全监控模型的性能,并可以对不同安全需求和业务需求的系统进行自适应安全监控。根据安全标签的标签类型,假如对安全标签的标签类型识别出来是标签类型1,即只有数据包的任务属性的关键特征是接收端点的子集时,才能被接收。则将该数据包的任务属性与接收节点需要的属性进行比较,如果数据包的任务属性是该接收节点所需属性的子集,那么则选择接收该数据包。否则,拒绝接收该数据包。同时,数据处理模块还会根据自适应QOS控制模块的要求,监控不同服务等级和优先等级的数据流,预测网络资源占用状态,并反馈给自适应QOS控制模块以指导自适应QOS控制模块进行系统资源的动态调度,以提高整个安全监控模型的性能,并可以对不同安全需求和业务需求的系统进行自适应安全监控。
(4)响应报警模块
响应报警模块针对安全检测模块所产生的报警信息,采取主动响应和被动响应相结合的方式。主要包括两方面的内容,一方面,将异常行为统计、汇总,发送给综合管理中心模块,由综合管理中心模块对这些报警数据进行更深一步的数据挖掘,对规则库进行更新;另一方面,相应报警模块生成简易的系统规则,发送给安全检测模块。
(5)自适应QOS控制模块
在安全监控模型中引入自适应QOS控制模块,通过对不同服务等级和优先等级的数据流的监控来反馈和预测网络资源占用状态,并根据数据处理模块对服务等级和优先等级的分析结果,制定并实施合适的动态调整策略,通过动态队列调度技术调整任务信息所需的网络资源,提高网络资源的利用率,并为任务优先级服务提供保障。
(6)综合管理中心模块
综合管理中心模块相当于整个安全监控模块的大脑,实现对来自于响应报警模块的异常报警数据的深度数据挖掘,生成完整的系统规则更新规则库,作为安全检测模块检测的规则依据。安全监控模型通过该模块提供各种数据挖掘和知识发现算法,实现在各种海量、异构的数据环境中发现有价值的情报。
对于整个安全监控模型而言,数据采集模块是数据源;安全检测模块是负责检测数据流的攻击行为的,也是整个模型的核心;响应报警模块和综合管理中心模块是响应并生成简易和完整规则的部分;数据处理模块和自适应QOS控制模块相辅相成,为整个系统提供数据自适应性调度。
Claims (5)
1.卫星网络中基于安全标签的安全监控模型,其特征在于:所述的基于安全标签的安全监控模型由六个模块构成,分别是数据采集模块、安全检测模块、数据处理模块、响应报警模块、自适应QOS控制模块和综合管理中心模块;
安全标签作为数据流的头和标识,存储了该数据流的各项性质和参数;安全标签中的源参考矢量、目的参考矢量、安全等级、服务等级、优先等级和其他关键特征参数,作为安全监控模型进行系统攻击行为监控和检测的依据;
所述的数据采集模块实现卫星网络中按需采集数据流中的数据包,并根据数据包的内部结构提取安全标签单独保存;根据系统的预设阈值与安全标签的比对,读数据包进行筛选,将通过筛选的数据包连同单独保存的安全标签形成一个数据流,发送给安全检测模块;对于未通过筛选的数据包,直接转发给下一个节点;
所述的安全检测模块接收来自于综合管理中心模块和响应报警模块的系统规则,对数据采集模块发送的带有安全标签的数据包进行安全检测,对符合系统规则的数据流直接转发给数据处理模块;对于不符合系统规则的数据流,生成告警发送给响应报警模块,并将该数据流丢弃;
所述的数据处理模块结合自适应QOS控制模块的质量需求制定并实施合适的动态调整策略,对不同的数据包采取不同的检测标准和检测措施,并反馈给自适应QoS控制模块,进行系统资源的动态调度;
所述的自适应QOS控制模块用于将当前网络的资源状态和系统最初网络服务质量标准的规则发送给数据处理模块,然后根据数据处理模块对数据包的服务等级和优先等级进行分析处理,处理结果一部分转发给下一个节点,一部分发送给自适应QOS控制模块,所述的QOS控制模块结合所述的处理结果重新制定并实施合适的动态调整策略并返回给数据处理模块,提高整个系统的资源调度效率。
2.根据权利要求1所述的卫星网络中基于安全标签的安全监控模型,其特征在于:
所述的综合管理中心模块,接收响应报警模块的报警数据并且实现深度数据挖掘,生成完整的系统规则并发送给安全检测模块,作为安全检测模块的检测依据;
所述的响应报警模块接收来自于安全检测模块的报警,将报警行为统计、汇总,发送给综合管理中心模块进行系统分析,响应报警模块也会生成简易的系统规则,发送给安全检测模块,作为安全检测模块检测攻击行为的依据。
3.根据权利要求1所述的卫星网络中基于安全标签的安全监控模型,其特征在于:
所述安全标签的结构包括安全标签头标识符、标签类型、安全标签的长度、源参考矢量、目的参考矢量、安全等级、服务等级、优先等级和任务属性的其他关键特征;所述的安全标签头标识符,占一个字节,用于表示IP安全选项携带的为安全标签,以区别其他的安全选项区的功能;所述的安全标签的长度占一个字节,用于标识实际的安全标签总长度;所述的标签类型占一个字节,针对空间信息网络中任务多样性和应用的多样性,采用不同的标签类型来对应不同的应用,同时实现不同系统之间的兼容,提供如下几种标签类型:
标签类型1:限制性的访问,只有数据包的任务属性的关键特征是接收端点的子集时,才能被接收;
标签类型2:范围性的访问,此时任务属性的关键特征域应该是:优先等级、安全等级、实时性、保护措施;系统会对这些关键特征域的值得范围作限制,只有在这个范围内的才能访问接收数据包;
标签类型3:特定性的访问,只有每个关键特征域的值完全一样时才能准许访问;
标签类型4:自定义类型;
根据任务的每个安全属性的不同级别,采用ASCII码的二进制方式对安全标签进行编码,用于安全标签随数据流的携带以及安全标签的识别,其具体的编码方式如下:
对于安全等级和优先等级,采用每个等级的英文首字母的ASCII码的二进制形式;
对于服务等级,采用两个字母的ASCII码的二进制形式求异或来得到;
对于其他新加进来的任务属性,均采用其所划分等级的首字母的ASCII码形式,如果划分等级的首字母数大于1,则求其异或,将最后结果作为其编码,如果同一属性的等级编码出现相同的情况,则将其中高等级的编码加1。
4.根据权利要求1所述的卫星网络中基于安全标签的安全监控模型,其特征在于:数据采集模块实现对源节点的数据采集包括三个步骤,分别为:
第一步,数据按需捕获:
选取tcpdump工具,按需捕获网络中数据流中数据包的数据包头,所述的数据包头中携带有安全标签;
第二步,安全标签的提取和保存:网络中的数据包头被捕获后,使用传统安全标签的识别技术,即协议分析技术,提取并单独保存其中的安全标签部分;
第三步,数据预处理:读取安全标签中的安全等级、服务等级和优先等级三个部分;预设阈值大于设定的安全等级、服务等级和优先等级的数据流需要进入安全检测模块进行安全检测,其他的数据流直接转发给下一个节点;对于需要进行安全检测的数据包,将完整的数据包头和安全标签部分形成一个数据流后,发送给安全检测模块。
5.根据权利要求1所述的卫星网络中基于安全标签的安全监控模型,其特征在于:所述的安全检测模块包括四个子模块,分别为数据预处理子模块、规则认证子模块、分析处理子模块和模式匹配子模块;
所述的数据预处理子模块用于提取完整数据包头的协议头部分,确定数据包头所属的协议类型,也就是对数据包进行解码;全部解码后的数据流发送给规则认证子模块;
所述的规则认证模块接收解码的数据流,将数据包头中的协议头部分与规则库中的系统规则进行比较,查出不符合系统规则的数据流,并进行丢弃,同时向报警响应模块发出报警信息;满足系统规则的数据流提取之前保存好的安全标签部分,按照安全标签既定的格式被继续解析成各个元素项对应的元素项对,发送给分析处理子模块;
所述的分析处理子模块包括两方面的工作,一方面,对数据包头中的协议头部分进行分析处理,读取字符串及其可能的变形,并挖掘其本质含义,为模式匹配子模块提供数据源;另一方面,对安全标签中的源参考矢量和目的参考矢量进行分析统计,如果存在只发送大量只有第一片分片报文的数据包,或是存在非法的源矢量和目的矢量,则认为此数据包已经遭受了攻击,生成告警并发送给响应报警模块,并丢弃相应的数据流;
所述的模式匹配子模块接收到分析处理子模块发送来协议头相关内容,将所述的协议头相关内容与规则库中的系统规则比较,分析出可疑的攻击行为,生成响应报警并发送给响应报警模块;对于非可疑的数据流转发给数据处理模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810013704.0A CN108234499B (zh) | 2018-01-08 | 2018-01-08 | 卫星网络中基于安全标签的安全监控模型 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810013704.0A CN108234499B (zh) | 2018-01-08 | 2018-01-08 | 卫星网络中基于安全标签的安全监控模型 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108234499A true CN108234499A (zh) | 2018-06-29 |
| CN108234499B CN108234499B (zh) | 2020-08-21 |
Family
ID=62643210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810013704.0A Active CN108234499B (zh) | 2018-01-08 | 2018-01-08 | 卫星网络中基于安全标签的安全监控模型 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108234499B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067555A (zh) * | 2018-07-25 | 2018-12-21 | 安徽三实信息技术服务有限公司 | 一种wlan无线网络数据加密系统及其加密方法 |
| CN110493132A (zh) * | 2019-08-05 | 2019-11-22 | 中国人民解放军陆军工程大学 | 一种适用于多业务类型的卫星网络可变长度标签设计方法 |
| CN111562930A (zh) * | 2020-04-30 | 2020-08-21 | 深圳壹账通智能科技有限公司 | web应用安全的升级方法与系统 |
| CN114025031A (zh) * | 2022-01-04 | 2022-02-08 | 北京航天驭星科技有限公司 | 基于地面测控系统数据传输协议的数据处理方法和装置 |
| CN115226152A (zh) * | 2022-07-21 | 2022-10-21 | 广州爱浦路网络技术有限公司 | 一种卫星网络的通信方法、系统、电子设备及存储介质 |
| CN117014203A (zh) * | 2023-08-03 | 2023-11-07 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星网络自适应安全服务系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9325733B1 (en) * | 2014-10-31 | 2016-04-26 | Emc Corporation | Unsupervised aggregation of security rules |
| CN106059960A (zh) * | 2016-05-24 | 2016-10-26 | 北京交通大学 | 一种基于软件定义网络的空间网络QoS保障方法及管理中心 |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| WO2017180999A2 (en) * | 2016-04-15 | 2017-10-19 | Convida Wireless, Llc | Enhanced 6lowpan neighbor discovery for supporting mobility and multiple border routers |
-
2018
- 2018-01-08 CN CN201810013704.0A patent/CN108234499B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9325733B1 (en) * | 2014-10-31 | 2016-04-26 | Emc Corporation | Unsupervised aggregation of security rules |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| WO2017180999A2 (en) * | 2016-04-15 | 2017-10-19 | Convida Wireless, Llc | Enhanced 6lowpan neighbor discovery for supporting mobility and multiple border routers |
| CN106059960A (zh) * | 2016-05-24 | 2016-10-26 | 北京交通大学 | 一种基于软件定义网络的空间网络QoS保障方法及管理中心 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067555A (zh) * | 2018-07-25 | 2018-12-21 | 安徽三实信息技术服务有限公司 | 一种wlan无线网络数据加密系统及其加密方法 |
| CN110493132A (zh) * | 2019-08-05 | 2019-11-22 | 中国人民解放军陆军工程大学 | 一种适用于多业务类型的卫星网络可变长度标签设计方法 |
| CN110493132B (zh) * | 2019-08-05 | 2021-05-07 | 中国人民解放军陆军工程大学 | 一种适用于多业务类型的卫星网络可变长度标签设计方法 |
| CN111562930A (zh) * | 2020-04-30 | 2020-08-21 | 深圳壹账通智能科技有限公司 | web应用安全的升级方法与系统 |
| WO2021218332A1 (zh) * | 2020-04-30 | 2021-11-04 | 深圳壹账通智能科技有限公司 | Web应用安全的升级方法与系统 |
| CN114025031A (zh) * | 2022-01-04 | 2022-02-08 | 北京航天驭星科技有限公司 | 基于地面测控系统数据传输协议的数据处理方法和装置 |
| CN114025031B (zh) * | 2022-01-04 | 2022-04-08 | 北京航天驭星科技有限公司 | 基于地面测控系统数据传输协议的数据处理方法和装置 |
| CN115226152A (zh) * | 2022-07-21 | 2022-10-21 | 广州爱浦路网络技术有限公司 | 一种卫星网络的通信方法、系统、电子设备及存储介质 |
| CN117014203A (zh) * | 2023-08-03 | 2023-11-07 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星网络自适应安全服务系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108234499B (zh) | 2020-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108234499A (zh) | 卫星网络中基于安全标签的安全监控模型 | |
| Yu et al. | An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks | |
| CN107172022B (zh) | 基于入侵途径的apt威胁检测方法和系统 | |
| CN112769796A (zh) | 一种基于端侧边缘计算的云网端协同防御方法及系统 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN108768986A (zh) | 一种加密流量分类方法及服务器、计算机可读存储介质 | |
| CN110868404B (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
| Landress | A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection | |
| CN103561003A (zh) | 一种基于蜜网的协同式主动防御方法 | |
| CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
| Sharma et al. | WLI-FCM and artificial neural network based cloud intrusion detection system | |
| CN112116078A (zh) | 一种基于人工智能的信息安全基线学习方法 | |
| CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| CN109067778B (zh) | 一种基于蜜网数据的工控扫描器指纹识别方法 | |
| CN112733188B (zh) | 一种敏感文件管理方法 | |
| CN115225301B (zh) | 基于d-s证据理论的混合入侵检测方法和系统 | |
| CN115208690A (zh) | 一种基于数据分类分级的筛查处理系统 | |
| CN112769847A (zh) | 物联网设备的安全防护方法、装置、设备及存储介质 | |
| Ramaki et al. | Enhancement intrusion detection using alert correlation in co-operative intrusion detection systems | |
| Powell | Real-Time Network Intrusion Detection System | |
| Katkar et al. | Experiments on detection of Denial of Service attacks using REPTree | |
| De Ocampo et al. | Automated signature creator for a signature based intrusion detection system with network attack detection capabilities (pancakes) | |
| Zhang et al. | Identify VPN Traffic Under HTTPS Tunnel Using Three-Dimensional Sequence Features | |
| CN112417462B (zh) | 一种网络安全漏洞追踪方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |