CN111835709B - 一种基于可控数据流向的网络安全监控系统及方法 - Google Patents

一种基于可控数据流向的网络安全监控系统及方法 Download PDF

Info

Publication number
CN111835709B
CN111835709B CN202010475258.2A CN202010475258A CN111835709B CN 111835709 B CN111835709 B CN 111835709B CN 202010475258 A CN202010475258 A CN 202010475258A CN 111835709 B CN111835709 B CN 111835709B
Authority
CN
China
Prior art keywords
data
module
flow
strategy
stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010475258.2A
Other languages
English (en)
Other versions
CN111835709A (zh
Inventor
詹晋川
李泽民
赵杰
芦伟
张晋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Forward Industrial Co Ltd
Original Assignee
Shenzhen Forward Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Forward Industrial Co Ltd filed Critical Shenzhen Forward Industrial Co Ltd
Priority to CN202010475258.2A priority Critical patent/CN111835709B/zh
Publication of CN111835709A publication Critical patent/CN111835709A/zh
Application granted granted Critical
Publication of CN111835709B publication Critical patent/CN111835709B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • H04L67/145Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于可控数据流向的网络安全监控系统及方法,该系统包括策略控制模块、数据处理模块和数据收发模块,策略控制模块分别向数据收发模块和数据处理模块下发自定义流的控制策略和数据流的处理策略,数据处理模块根据数据处理策略对数据流进行处理并发送至数据收发模块,数据收发模块将数据流与控制策略规则池中对应的自定义流进行匹配,根据自定义流的控制策略为数据流填充私有以太头。本发明通过设置相互独立的可扩展处理模块,分别配置自定义流的控制策略和数据流的处理策略,将自定义流匹配数据流,实现了对不同的数据流流向进行自定义控制,解决了现有方案功能不够灵活的问题,提高了网络安全监控的处理性能。

Description

一种基于可控数据流向的网络安全监控系统及方法
技术领域
本发明属于网络数据安全技术领域,具体涉及一种基于可控数据流向的网络安全监控系统及方法。
背景技术
随着社会的发展,网络技术也得到了广泛的应用,网络环境中网络设备越来越多。但是,在这些网络设备为人们带来便利的同时,网络设备的网络安全也成为人们担心的问题。传统防病毒的软件只能用于阻止计算机病毒的攻击,防火墙只能够过滤非法访问的通信,而入侵检测系统只能用于特定恶意攻击行为的识别。部分企业为了弥补防火墙在功能上的缺失,针对多样化的攻击类型采取了串接其他安全产品的方式,如防火墙+入侵检查+杀毒的形式等。串接其他安全产品的方式解决了防火墙的缺陷,基本实现了较为全面的防护,但是每条流都需要走一遍所有串接的安全产品,对性能有一些影响,且功能不够灵活。
发明内容
针对现有技术中的上述不足,本发明提供了一种基于可控数据流向的网络安全监控系统及方法,以实现对不同的数据流流向进行自定义控制。
为了达到上述发明目的,本发明采用的技术方案为:
一种基于可控数据流向的网络安全监控系统,包括:
策略控制模块,用于定义自定义流,并向数据收发模块下发自定义流的控制策略,同时向各个数据处理模块下发数据流的处理策略;
数据处理模块,用于接收所述策略控制模块下发的数据流的处理策略和数据处理模块发送的数据流,根据数据处理策略对数据流进行处理并发送至数据收发模块;
数据收发模块,用于接收所述策略控制模块下发的自定义流的控制策略,形成基于流的控制策略规则池,并且接收数据流,将数据流与控制策略规则池中对应的自定义流进行匹配,根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块。
进一步地,所述数据处理模块和数据收发模块分别与策略控制模块进行TCP连接,且数据处理模块和数据收发模块分别与策略控制模块保持双向保活。
进一步地,所述策略控制模块接收到数据处理模块和数据收发模块TCP连接后,分别向数据处理模块和数据收发模块同步相应的策略。
进一步地,所述策略控制模块具体用于以流的五元组信息或者流固定偏移的值定义自定义流。
进一步地,所述数据收发模块具体用于通过五元组或者数据偏移将数据流与控制策略规则池中对应的自定义流进行匹配。
进一步地,所述数据收发模块具体用于在为数据流填充的私有以太头中的路径信息填充流的分发路径。
进一步地,所述数据处理模块包括至少一个相互对立的可扩展模块,每个模块用于解析私有以太头并接收所述策略控制模块下发的数据流的处理策略,根据数据处理策略对接收到的数据流进行处理。
基于上述基于可控数据流向的网络安全监控系统,本发明还提出了一种基于可控数据流向的网络安全监控方法,包括以下步骤:
S1、利用数据接收模块接收数据流;
S2、将数据流与基于流的控制策略规则池中对应的自定义流进行匹配;
S3、根据匹配的自定义流的控制策略为数据流填充私有以太头;
S4、判断私有以太头中是否存在路径信息;若存在,则进行下一步骤;否则转发数据流;
S5、根据私有以太头中的路径信息将数据流分发至对应的数据处理模块;
S6、利用数据处理模块根据数据处理策略对数据流进行处理;
S7、清空私有以太头中的该数据处理模块对应的路径信息;
S8、将数据流发送至数据收发模块,并返回步骤S4。
进一步地,所述步骤S2将数据流与自定义流进行匹配时,若匹配成功,则按照匹配的自定义流的控制策略进行处理;否则按照默认策略进行处理。
进一步地,所述步骤S4中当私有以太头中不存在路径信息时,则将数据流中填充的私有以太头剥除,还原数据流并转发数据流。
本发明具有以下有益效果:
本发明通过设置相互独立的可扩展处理模块,分别配置自定义流的控制策略和数据流的处理策略,将自定义流匹配数据流,实现了对不同的数据流流向进行自定义控制,解决了现有方案功能不够灵活的问题,提高了网络安全监控的处理性能。
附图说明
图1为本发明基于可控数据流向的网络安全监控系统结构示意图;
图2为本发明实施例中私有以太头格式示意图;
图3为本发明基于可控数据流向的网络安全监控方法流程示意图;
图4为本发明实施例中接收报文示意图;
图5为本发明实施例中封装私有以太头的报文示意图;
图6为本发明实施例中防火墙处理后的报文示意图;
图7为本发明实施例中IPS处理后的报文示意图;
图8为本发明实施例中WAF处理后的报文示意图;
图9为本发明实施例中还原后的报文示意图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
实施例1
如图1所示,本发明实施例提供了一种基于可控数据流向的网络安全监控系统,包括策略控制模块、数据处理模块和数据收发模块。
策略控制模块,用于根据安全监控计划,以流的五元组信息或者流固定偏移的值定义自定义流,并向数据收发模块下发自定义流的控制策略,同时向各个数据处理模块下发数据流的处理策略。
数据处理模块,用于接收策略控制模块下发的数据流的处理策略和数据处理模块发送的数据流,根据数据处理策略对数据流进行处理并发送至数据收发模块;并通过同步机制、保活机制确保与策略控制模块上控制策略的一致性。
数据处理模块包括至少一个相互对立的可扩展处理模块,每个处理模块用于解析私有以太头并接收策略控制模块下发的数据流的处理策略,根据数据处理策略对接收到的数据流进行处理。具体而言,例如防火墙模块,根据策略过滤不可信访问;IPS模块,根据策略进行入侵防护;WAF模块根据策略实现WEB应用安全防护;Nginx模块根据策略实现反向代理、负载均衡等。
数据收发模块,用于接收策略控制模块下发的自定义流的控制策略,形成基于流的控制策略规则池,并且接收数据流,通过五元组或者数据偏移将数据流与控制策略规则池中对应的自定义流进行匹配,根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块,实现可控数据流向的网络安全监控。
如图2所示,数据收发模块为数据流填充的私有以太头包括目的MAC地址、源MAC地址、ETH私有协议号以及路径信息,其中路径信息填充了流的分发路径。
本发明利用策略控制模块配置策略,通过添加自定义流匹配数据流,并且在数据流填充的私有以太头中设置流的分发路径,实现了对不同的数据流流向进行自定义控制。
参照图1,本发明中数据处理模块、数据收发模块作为客户端与作为服务器的策略控制模块进行TCP连接,且数据处理模块和数据收发模块分别与策略控制模块保持双向保活。策略控制模块接收到数据处理模块和数据收发模块TCP连接后,分别向数据处理模块和数据收发模块同步相应的策略。在策略控制模块上配置策略后,策略控制模块保存策略,并向相应的模块下发,若与相应的模块未建立连接,则在建立连接后再同步下发。
实施例2
基于实施例1中提供的基于可控数据流向的网络安全监控系统,本发明还提出了一种基于可控数据流向的网络安全监控方法,如图3所示,包括以下步骤S1至S8:
S1、利用数据接收模块接收数据流;
S2、将数据流与基于流的控制策略规则池中对应的自定义流进行匹配;
S3、根据匹配的自定义流的控制策略为数据流填充私有以太头;
S4、判断私有以太头中是否存在路径信息;若存在,则进行下一步骤;否则转发数据流;
S5、根据私有以太头中的路径信息将数据流分发至对应的数据处理模块;
S6、利用数据处理模块根据数据处理策略对数据流进行处理;
S7、清空私有以太头中的该数据处理模块对应的路径信息;
S8、将数据流发送至数据收发模块,并返回步骤S4。
在步骤S1中,本发明利用数据接收模块接收数据流,报文如图4所示。
在步骤S2中,本发明通过五元组或者数据偏移将数据流与基于流的控制策略规则池中对应的自定义流进行匹配;若匹配成功,则按照匹配的自定义流的控制策略进行处理;否则按照默认策略进行处理。
在步骤S3中,本发明根据匹配的自定义流的控制策略为数据流填充私有以太头,以需要进行防火墙、IPS、WAF处理为例,设置路径分别为P1、P2、P3,匹配完成后封装私有以太头后的报文如图5所示。
在步骤S4至S8中,本发明首先判断私有以太头中存在路径信息P1、P2、P3,因此利用数据收发模块根据路径信息P1将数据流发往防火墙数据处理模块,防火墙根据已配置的处理策略拦截数据流,未被拦截的数据流将私有以太头中的路径信息P1清空后发往数据收发模块,报文如图6所示。
然后利用数据收发模块根据路径信息P2将数据流发往IPS数据处理模块,IPS数据处理模块根据已配置的处理策略处理数据流,未被拦截的数据流将私有以太头中的路径信息P2清空后发往数据收发模块,报文如图7所示。
再利用数据收发模块根据路径信息P3将数据流发往WAF数据处理模块,WAF数据处理模块根据已配置的处理策略处理数据流,处理通过的数据流将私有以太头中的路径信息P3清空后发往数据收发模块,报文如图8所示。
数据收发模块接收到报文后,判断私有以太头中不存在路径信息,则将数据流中填充的私有以太头剥除,还原数据流并转发数据流。还原后的数据流如图9所示。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。

Claims (6)

1.一种基于可控数据流向的网络安全监控系统,其特征在于,包括:
策略控制模块,用于以流的五元组信息或者流固定偏移的值定义自定义流,并向数据收发模块下发自定义流的控制策略,同时向各个数据处理模块下发数据流的处理策略;
数据处理模块,用于接收所述策略控制模块下发的数据流的处理策略和数据收发模块发送的数据流,所述数据处理模块包括至少一个相互对立的可扩展模块,每个模块用于解析私有以太头并接收所述策略控制模块下发的数据流的处理策略,根据数据处理策略对数据流进行处理并发送至数据收发模块;
数据收发模块,用于接收所述策略控制模块下发的自定义流的控制策略,形成基于流的控制策略规则池,并且接收数据流,通过五元组或者数据偏移将数据流与控制策略规则池中对应的自定义流进行匹配,根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块,在为数据流填充的私有以太头中的路径信息填充流的分发路径。
2.根据权利要求1所述的基于可控数据流向的网络安全监控系统,其特征在于,所述数据处理模块和数据收发模块分别与策略控制模块进行TCP连接,且数据处理模块和数据收发模块分别与策略控制模块保持双向保活。
3.根据权利要求2所述的基于可控数据流向的网络安全监控系统,其特征在于,所述策略控制模块接收到数据处理模块和数据收发模块TCP连接后,分别向数据处理模块和数据收发模块同步相应的策略。
4.一种应用如权利要求1所述系统的基于可控数据流向的网络安全监控方法,其特征在于,包括以下步骤:
S1、利用数据接收模块接收数据流;
S2、将数据流与基于流的控制策略规则池中对应的自定义流进行匹配;
S3、根据匹配的自定义流的控制策略为数据流填充私有以太头;
S4、判断私有以太头中是否存在路径信息;若存在,则进行下一步骤;否则转发数据流;
S5、根据私有以太头中的路径信息将数据流分发至对应的数据处理模块;
S6、利用数据处理模块根据数据处理策略对数据流进行处理;
S7、清空私有以太头中的该数据处理模块对应的路径信息;
S8、将数据流发送至数据收发模块,并返回步骤S4。
5.根据权利要求4所述的基于可控数据流向的网络安全监控方法,其特征在于,所述步骤S2将数据流与自定义流进行匹配时,若匹配成功,则按照匹配的自定义流的控制策略进行处理;否则按照默认策略进行处理。
6.根据权利要求4所述的基于可控数据流向的网络安全监控方法,其特征在于,所述步骤S4中当私有以太头中不存在路径信息时,则将数据流中填充的私有以太头剥除,还原数据流并转发数据流。
CN202010475258.2A 2020-05-29 2020-05-29 一种基于可控数据流向的网络安全监控系统及方法 Active CN111835709B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010475258.2A CN111835709B (zh) 2020-05-29 2020-05-29 一种基于可控数据流向的网络安全监控系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010475258.2A CN111835709B (zh) 2020-05-29 2020-05-29 一种基于可控数据流向的网络安全监控系统及方法

Publications (2)

Publication Number Publication Date
CN111835709A CN111835709A (zh) 2020-10-27
CN111835709B true CN111835709B (zh) 2022-11-04

Family

ID=72913453

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010475258.2A Active CN111835709B (zh) 2020-05-29 2020-05-29 一种基于可控数据流向的网络安全监控系统及方法

Country Status (1)

Country Link
CN (1) CN111835709B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959222A (zh) * 2016-04-25 2016-09-21 上海斐讯数据通信技术有限公司 一种报文转发方法、路由节点及软件定义网络
CN109451045A (zh) * 2018-12-12 2019-03-08 成都九洲电子信息系统股份有限公司 一种可配置自定义以太头的高速报文采集网卡控制方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102801659B (zh) * 2012-08-15 2016-03-30 成都卫士通信息产业股份有限公司 一种基于流策略的安全网关实现方法及装置
CN104683333A (zh) * 2015-02-10 2015-06-03 国都兴业信息审计系统技术(北京)有限公司 基于sdn的实现异常流量拦截的方法
WO2017104072A1 (ja) * 2015-12-18 2017-06-22 株式会社日立製作所 ストリームデータの分散処理方法、ストリームデータの分散処理システム及び記憶媒体
CN108600107B (zh) * 2017-11-07 2021-06-01 北京交通大学 一种可自定义内容字段的流匹配方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959222A (zh) * 2016-04-25 2016-09-21 上海斐讯数据通信技术有限公司 一种报文转发方法、路由节点及软件定义网络
CN109451045A (zh) * 2018-12-12 2019-03-08 成都九洲电子信息系统股份有限公司 一种可配置自定义以太头的高速报文采集网卡控制方法

Also Published As

Publication number Publication date
CN111835709A (zh) 2020-10-27

Similar Documents

Publication Publication Date Title
US9954873B2 (en) Mobile device-based intrusion prevention system
EP3832978B1 (en) Rule-based network-threat detection for encrypted communications
US6487666B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
US8782260B2 (en) Network access control system and method using adaptive proxies
US8266267B1 (en) Detection and prevention of encapsulated network attacks using an intermediate device
US8020200B1 (en) Stateful firewall protection for control plane traffic within a network device
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
US9398043B1 (en) Applying fine-grain policy action to encapsulated network attacks
US8060927B2 (en) Security state aware firewall
EP2164228A1 (en) Hierarchical application of security services with a computer network
CN110943913A (zh) 一种工业安全隔离网关
WO2010078398A1 (en) Communication module with network isolation and communication filter
KR20200118887A (ko) 메세지를 처리하는 네트워크 프로브 및 방법
Gao et al. A review of P4 programmable data planes for network security
CN101964804A (zh) 一种IPv6协议下的攻击防御系统及其实现方法
KR20210001728A (ko) 이더넷 기반의 선박 네트워크 보호를 위한 선박 보안 시스템
US10999303B2 (en) Capturing data
CN110995586A (zh) 一种bgp报文的处理方法、装置、电子设备及存储介质
Ahmed et al. A Linux-based IDPS using Snort
CN111835709B (zh) 一种基于可控数据流向的网络安全监控系统及方法
US7561574B2 (en) Method and system for filtering packets within a tunnel
CN111131172B (zh) 一种内网主动调用服务的方法
CN100393047C (zh) 一种入侵检测系统与网络设备联动的系统及方法
US11968237B2 (en) IPsec load balancing in a session-aware load balanced cluster (SLBC) network device
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant