CN113608741B - 一种网络安全服务整合方法及装置 - Google Patents

Abstract

本发明公开了一种网络安全服务整合方法及装置，包括步骤：S1，通过包获取模块去抓取流经网络安全设备的网络数据包，该数据包会被交给包解析模块进行针对数据包头部的处理，获取数据包的五元组信息；S2，包过滤模块根据数据包的五元组信息以及服务整合规则来选择将该数据包放行、阻止还是有选择地送入各个预处理模块和安全服务模块；S3，经过步骤S2处理后的这些数据包信息将在各个安全服务模块中与规则库或特征库进行内容匹配，根据匹配结果通过包处理模块对数据包进行处理并在日志模块中进行日志记录等；本发明提高了安全服务效率，可以灵活开关相应安全服务，能够使得各个安全服务能够彼此协同配合，让提供的安全服务更加高效可靠。

Description

一种网络安全服务整合方法及装置

技术领域

本发明涉及网络安全技术领域，更为具体的，涉及一种网络安全服务整合方法及装置。

背景技术

随着网络技术的不断发展，网络服务不断增多，网络安全面临的挑战不断增大，人们对网络安全设备也看得越来越重要。一些网络安全设备如网络安全网关、边界防护以及UTM(Unified Threat Management，统一威胁管理)等设备为了充分满足人们的网络安全需求，提供了各式各样的网络安全功能服务，如包过滤、入侵检测、内容过滤、文件过滤、邮件过滤以及防病毒等。然而，这些网络安全功能整合到一起时，传统的做法是串行地进行功能服务堆叠，即网络中的数据包或数据流都需要一个个依次进入各个服务进程中进行处理、检查。

这种方法存在如下问题：1)各个安全服务无法做到相互配合和协同。安全服务间的配合和协同例子有：包过滤服务能够在获取网络数据包后就直接处理过滤掉一部分不符合要求的数据包，从而减轻其他功能服务的处理压力；入侵检测服务需要对文件进行识别，从而为文件过滤服务提供依据等。这样的协同配合能够保障网络安全设备提供更加可靠、高效的网络安全服务。然而，传统的服务资源整合方法需要数据包依次在多个服务中进行处理，各个服务间无法进行沟通交流，因此不能做到这些协同配合。2)造成资源浪费和性能下降，这是因为各个安全服务之间有一些相同的处理流程，如包解析、流重组、分片重组、协议识别等，传统的服务整合方法使得这些处理流程在多个不同的安全功能中被重复做了多次，导致了资源浪费和性能下降，这个问题对于高速网络设备尤为突出明显。

发明内容

本发明的目的在于克服现有技术的不足，针对当前多功能网络安全设备中各个网络安全功能各自为战，无法统一协调配合且部分处理流程重复多次造成性能损耗的问题，提供一种网络安全服务整合方法及装置，使得各个服务模块间能够共用一些网络数据的处理结果，提高安全服务效率。并且，可以根据用户的需要调整服务间的处理流程，灵活开关相应安全服务，做到能够使得各个安全服务能够彼此协同配合，让提供的安全服务更加高效可靠等。

本发明的目的是通过以下方案实现的：

一种网络安全服务整合方法，包括：

S1，首先通过包获取模块去抓取流经网络安全设备的网络数据包，该数据包会被交给包解析模块进行针对数据包头部的处理，获取数据包的五元组信息；

S2，然后包过滤模块根据数据包的五元组信息以及服务整合规则来选择将该数据包放行、阻止还是有选择地送入各个预处理模块和安全服务模块进行进一步处理；

S3，经过步骤S2处理后的这些数据包信息将在各个安全服务模块中与规则库或特征库进行内容匹配，根据匹配结果通过包处理模块对数据包进行处理并在日志模块中进行日志记录。

进一步地，在步骤S1中，包获取模块执行如下步骤：

S11，解析用户配置信息并根据配置信息确定当前要使用的抓包方式；

S12，根据S11中选择的抓包方式初始化对应的抓包工具库；

S13，调用抓包工具库中的抓包函数，从网卡上获取网络原始数据包，填充到Pkt数据结构体。

进一步地，在步骤S1中，包解析模块执行如下步骤：

S101，根据数据包的链路层协议选择相应的解析函数，获取的链路层信息写入到Packet数据结构体中；

S102，在S101的基础上，根据网络层协议对原始数据包进行进一步解析，获取的网络层信息写入到Packet数据结构体中；

S103，在S102的基础上，根据传输层协议进行进一步解析，获取的信息写入到Packet数据结构体中。

进一步地，在步骤S2中，包过滤模块执行如下步骤：

S21，加载安全服务规则；

S22，把数据包信息与安全服务规则进行匹配，一旦匹配成功就采取规则中对应的包过滤动作，若没能匹配成功则采取默认动作，默认动作包括丢弃；

S23，根据S22中的动作，调用包处理模块或者多个安全服务模块进行进一步处理。

进一步地，在步骤S2中，所述预处理模块由安全服务模块所调用，包含有多个预处理插件，用于对数据包进行针对性的处理，获取到有用信息以便安全服务模块使用，所述预处理插件一次调用就能够被多个安全服务模块同时使用。

进一步地，在步骤S2中，所述安全服务模块执行如下步骤：

S201，加载特征库或规则库；

S202，获取数据包的预处理信息，若没能成功获取则调用预处理模块对数据包处理后再获取；

S203，利用匹配引擎把数据包信息与特征库或规则库进行内容匹配，匹配成功则交给包处理模块进行处理；匹配失败则根据安全服务整合规则调用下一个安全服务模块进行处理。

一种网络安全服务整合装置，包括：包获取模块、包解析模块、包过滤模块、预处理模块、安全服务模块、包处理模块以及日志模块；

所述包获取模块，用于使用抓包工具去获取流经网络安全设备网卡的原始数据包；

所述包解析模块，用于根据不同的链路层、网络层以及传输层协议去获取原始数据包的头部信息，包括各层协议、五元组信息、包头长度、标志位、TTL，这些信息会一起写入Packet数据结构体；

所述包过滤模块，用于根据包解析模块获得的数据包信息以及安全服务整合规则来确定：把数据包信息送入到预处理模块和安全服务模块，还是直接进入包处理模块进行数据包处理动作；

所述预处理模块由安全服务模块所调用，包含有多个预处理插件，用于对数据包进行针对性的处理，获取到有用信息以便安全服务模块使用，所述预处理插件一次调用就能够被多个安全服务模块同时使用；

所述安全服务模块包含有多个不同的安全服务，各个安全服务有着自己的特征库或规则库，利用内容匹配引擎对数据包信息进行检测，若检测成功则记录安全服务规则中的处理动作交给包处理模块进行处理；若检测失败，则进入下一个安全服务进一步检测，若安全服务规则中的所有安全服务模块都未能检测成功，则采取默认动作，默认动作包括通过；

所述包处理模块，用于根据包过滤模块或安全服务模块产生的处理动作采用包处理函数对当前数据包进行相应处理，然后根据需要调用日志模块进行日志记录；

所述日志模块，由包处理模块所调用，根据预先配置信息采用不同的日志记录方式记录数据包的处理结果；日志记录方式包括有：数据库记录、文件记录；记录的信息报含：时间戳、数据包五元组信息、处理动作、安全服务名称和攻击类别。

进一步地，在所述包过滤模块中，所述安全服务整合规则包括：<包过滤动作协议源地址源端口->目的地址目的端口>->[<安全服务名称1处理动作><安全服务名称2处理动作>...]；

该规则中的第一个“<>”为包过滤部分，“[]”部分为安全服务部分；其中，包过滤部分中的包过滤动作是当数据包匹配到五元组信息就会采取的动作，包含的处理动作有：丢弃、告警、通过以及下一步处理；下一步处理动作把数据包信息交给“[]”中的每一个安全服务模块进行处理；丢弃、告警和通过动作是跳过预处理模块和安全服务模块，直接把数据包信息交给包处理模块进行对应的处理动作。

进一步地，所述抓包工具包括Pcap、IPFW、NFQ、PF_Ring、DPDK抓包工具。

本发明的有益效果包括：

本发明颠覆了传统的依靠简单的功能服务串行堆叠的整合思想。把各个安全服务程序封装成一个个独立的模块，然后把这些服务模块整合到同一网络安全服务进程中，各个服务模块间能够共用一些网络数据的处理结果，提高安全服务效率。并且，本发明可以根据用户的需要调整服务间的处理流程，灵活开关相应安全服务，做到能够使得各个安全服务能够彼此协同配合等，在本发明实施例中还设计了一种统一的针对多个安全服务的整合规则。

具体的，把各个安全服务以模块的形式封装到同一服务进程中，使得他们能够共用数据包信息，一次解包用于多个安全服务模块，减少了资源消耗，提高了网络安全设备的处理性能。并且，本发明设计实现了一种安全服务整合规则，能够根据用户需求有选择地提供安全服务，保障各个安全服务间进行协同配合的同时让提供的安全服务更加高效可靠。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明装置的结构示意图。

具体实施方式

本说明书中所有实施例公开的所有特征，或隐含公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合和/或扩展、替换。

实施例1，图1是本发明装置的体系架构的结构示意图。如图1所示，本发明装置的实施例由包获取模块、包解析模块、包过滤模块、预处理模块、安全服务模块、包处理模块以及日志模块这七个部分组成，其中，预处理模块包含有包重组、流重组等多个预处理插件，安全服务模块分为有入侵检测、文件过滤等多种不同类型的安全服务模块。

实施例2，本发明方法实施例首先通过包获取模块去抓取流经网络安全设备的网络数据包，该数据包会被交给包解析模块进行针对数据包头部的处理，获取数据包的五元组信息。包过滤模块会根据数据包的五元组信息以及服务整合规则来选择将该数据包放行、阻止还是有选择地送入各个预处理插件和安全服务模块进行进一步处理。不同的预处理插件分析不同层面的数据包信息，如流重组插件分析数据包所属的tcp流等。然后这些数据包信息(包含五元组信息、原始数据包内容等)将会在各个安全服务模块中与规则库或特征库进行内容匹配，根据匹配结果对数据包进行处理并在日志模块中进行日志记录。

实施例3，在本发明的实施例1和2的基础上，进一步的实施方案如下：

包获取模块：包获取模块主要功能是使用抓包工具去获取流经网络安全设备网卡的原始数据包，这里的抓包工具可以是较为流行的Pcap、IPFW、NFQ抓包工具，也可以为高速抓包工具PF_Ring、DPDK等。该模块的具体步骤为：

步骤一，解析用户配置信息并根据配置信息确定当前要使用的抓包方式。

步骤二，根据步骤一中选择的抓包方式初始化对应的抓包工具库。

步骤三，调用抓包工具库中的抓包函数从网卡上获取网络原始数据包，填充到Pkt数据结构体。

包解析模块：包解析模块主要功能是根据不同的链路层、网络层以及传输层协议去获取原始数据包的头部信息，包括各层协议、五元组信息(源ip、目的ip、源端口、目的端口以及协议)、包头长度、标志位、TTL等，这些信息会一起写入Packet数据结构体。该模块具体步骤为：

步骤一，根据数据包的链路层协议选择相应的解析函数，其中，包含的协议有：Ethernet以太网协议、IEEE802.3协议、HDLC协议、PPP协议等等。其中，Ethernet以太网协议较为常见。获取的链路层信息写入到Packet数据结构体中。

步骤二，在步骤一，的基础上根据网络层协议对原始数据包进行进一步解析，网络层协议包括：IP协议、ARP协议、PPPoE协议、8021Q协议等等。获取的网络层信息写入到Packet数据结构体中。

步骤三，在步骤二的基础上根据传输层协议进行进一步解析，协议包括：TCP协议、UDP协议、ICMP协议、GRE协议等等。获取的信息写入到Packet数据结构体中。

包过滤模块：包过滤模块主要作用是根据包解析模块获得的数据包信息以及安全服务整合规则来确定：进一步把数据包信息送入到预处理模块和安全服务模块，还是直接进入包处理模块进行数据包处理动作。其中，设计实现的安全服务整合规则为：

<包过滤动作协议源地址源端口->目的地址目的端口>->[<安全服务名称1处理动作><安全服务名称2处理动作>...]

该规则中的第一个“<>”为包过滤部分，“[]”部分为安全服务部分。其中，包过滤部分中的包过滤动作是当数据包匹配到五元组信息就会采取的动作，包含的处理动作有：丢弃(Drop)、告警(Alert)、通过(Pass)以及下一步处理(Next)。下一步处理动作(Next)是把数据包信息交给“[]”中的每一个安全服务模块进行处理。丢弃(Drop)、告警(Alert)和通过(Pass)动作是跳过预处理模块和安全服务模块，直接把数据包信息交给包处理模块进行对应的处理动作。

包过滤模块具体的实现步骤为：

步骤一，加载安全服务规则。

步骤二，把数据包信息与安全服务规则进行匹配，一旦匹配成功就采取规则中对应的包过滤动作，若没能匹配成功则采取默认动作：丢弃(Drop)。

步骤三，根据步骤二中的动作调用包处理模块或者多个安全服务模块进行进一步处理。

预处理模块：预处理模块是由安全服务模块所调用，包含有多个预处理插件，用来对数据包进行针对性的处理，获取到有用信息以便安全服务模块使用。这里的预处理插件一次调用就可以被多个安全服务模块同时使用，如文件识别插件根据文件特征码对数据包进行识别，获取到该数据包是否属于某种类型文件的信息，能够提供给入侵检测模块和文件过滤模块。

安全服务模块：安全服务模块包含有多个不同的安全服务，如入侵检测、内容过滤、文件过滤等。各个安全服务有着自己的特征库或规则库，利用内容匹配引擎对数据包信息进行检测，若检测成功则记录安全服务规则中的处理动作交给包处理模块进行处理。若检测失败，则进入下一个安全服务进一步检测，若安全服务规则中的所有安全服务模块都未能检测成功，则采取默认动作：通过(Pass)。其具体步骤有：

步骤一，加载特征库或规则库。

步骤二，获取数据包的预处理信息，若没能成功获取则调用预处理插件对数据包处理后再获取。

步骤三，利用匹配引擎把数据包信息与特征库(或规则库)进行内容匹配，匹配成功则交给包处理模块进行处理。匹配失败则根据安全服务整合规则调用下一个安全服务模块进行处理。

包处理模块：包处理模块是根据包过滤模块或安全服务模块产生的处理动作采用包处理函数对当前数据包进行相应处理，然后根据需要调用日志模块进行日志记录。

日志模块：日志模块由包处理模块所调用，根据预先配置信息采用不同的日志记录方式记录数据包的处理结果。日志记录方式包括有：数据库记录、文件记录等。记录的信息报含：时间戳、数据包五元组信息、处理动作、安全服务名称、攻击类别等。

本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。

上述技术方案只是本发明的一种实施方式，对于本领域内的技术人员而言，在本发明公开了应用方法和原理的基础上，很容易做出各种类型的改进或变形，而不仅限于本发明上述具体实施方式所描述的方法，因此前面描述的方式只是优选的，而并不具有限制性的意义。

除以上实例以外，本领域技术人员根据上述公开内容获得启示或利用相关领域的知识或技术进行改动获得其他实施例，各个实施例的特征可以互换或替换，本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

本发明功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，在一台计算机设备(可以是个人计算机，服务器，或者网络设备等)以及相应的软件中执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、或者光盘等各种可以存储程序代码的介质，进行测试或者实际的数据在程序实现中存在于只读存储器(Random Access Memory，RAM)、随机存取存储器(Random Access Memory，RAM)等。

Claims (8)

1.一种网络安全服务整合方法，其特征在于，该方法基于网络安全服务整合装置，所述装置包括：包获取模块、包解析模块、包过滤模块、预处理模块、安全服务模块、包处理模块以及日志模块；

所述包获取模块，用于使用抓包工具去获取流经网络安全设备网卡的原始数据包；

所述包解析模块，用于根据不同的链路层、网络层以及传输层协议去获取原始数据包的头部信息，包括各层协议、五元组信息、包头长度、标志位、TTL，这些信息会一起写入Packet数据结构体；

所述包过滤模块，用于根据包解析模块获得的数据包信息以及安全服务整合规则来确定：把数据包信息送入到预处理模块和安全服务模块，还是直接进入包处理模块进行数据包处理动作；

所述预处理模块由安全服务模块所调用，包含有多个预处理插件，用于对数据包进行针对性的处理，获取到有用信息以便安全服务模块使用，所述预处理插件一次调用就能够被多个安全服务模块同时使用；

所述安全服务模块包含有多个不同的安全服务，各个安全服务有着自己的特征库或规则库，利用内容匹配引擎对数据包信息进行检测，若检测成功则记录安全服务整合规则中的处理动作交给包处理模块进行处理；若检测失败，则进入下一个安全服务进一步检测，若安全服务整合规则中的所有安全服务模块都未能检测成功，则采取默认动作，默认动作包括通过；

所述包处理模块，用于根据包过滤模块或安全服务模块产生的处理动作采用包处理函数对当前数据包进行相应处理，然后根据需要调用日志模块进行日志记录；

所述日志模块，由包处理模块所调用，根据预先配置信息采用不同的日志记录方式记录数据包的处理结果；日志记录方式包括有：数据库记录、文件记录；记录的信息报含：时间戳、数据包五元组信息、处理动作、安全服务名称和攻击类别；

所述安全服务整合规则包括：<包过滤动作 协议 源地址 源端口 -> 目的地址 目的端口> -> [<安全服务名称1 处理动作> <安全服务名称2 处理动作>...]；

该规则中的第一个“<>”为包过滤部分，“[]”部分为安全服务部分；其中，包过滤部分中的包过滤动作是当数据包匹配到五元组信息就会采取的动作，包含的处理动作有：丢弃、告警、通过以及下一步处理；下一步处理动作把数据包信息交给“[]”中的每一个安全服务模块进行处理；丢弃、告警和通过动作是跳过预处理模块和安全服务模块，直接把数据包信息交给包处理模块进行对应的处理动作；

还包括步骤：S1，首先通过包获取模块去抓取流经网络安全设备的网络数据包，该数据包会被交给包解析模块进行针对数据包头部的处理，获取数据包的五元组信息；

S2，然后包过滤模块根据数据包的五元组信息以及安全服务整合规则来选择将该数据包放行、阻止还是有选择地送入各个预处理模块和安全服务模块进行进一步处理；

S3，经过步骤S2处理后的这些数据包信息将在各个安全服务模块中与规则库或特征库进行内容匹配，根据匹配结果通过包处理模块对数据包进行处理并在日志模块中进行日志记录。

2.根据权利要求1所述的一种网络安全服务整合方法，其特征在于，在步骤S1中，包获取模块执行如下步骤：

S11，解析用户配置信息并根据配置信息确定当前要使用的抓包方式；

S12，根据S11中选择的抓包方式初始化对应的抓包工具库；

S13，调用抓包工具库中的抓包函数，从网卡上获取网络原始数据包，填充到Pkt数据结构体。

3.根据权利要求1所述的一种网络安全服务整合方法，其特征在于，在步骤S1中，包解析模块执行如下步骤：

S101，根据数据包的链路层协议选择相应的解析函数，获取的链路层信息写入到Packet数据结构体中；

S102，在S101的基础上，根据网络层协议对原始数据包进行进一步解析，获取的网络层信息写入到Packet数据结构体中；

S103，在S102的基础上，根据传输层协议进行进一步解析，获取的信息写入到Packet数据结构体中。

4.根据权利要求1所述的一种网络安全服务整合方法，其特征在于，在步骤S2中，包过滤模块执行如下步骤：

S21，加载安全服务整合规则；

S22，把数据包信息与安全服务整合规则进行匹配，一旦匹配成功就采取规则中对应的包过滤动作，若没能匹配成功则采取默认动作，默认动作包括丢弃；

S23，根据S22中的动作，调用包处理模块或者多个安全服务模块进行进一步处理。

5.根据权利要求1所述的一种网络安全服务整合方法，其特征在于，在步骤S2中，所述预处理模块由安全服务模块所调用，包含有多个预处理插件，用于对数据包进行针对性的处理，获取到有用信息以便安全服务模块使用，所述预处理插件一次调用就能够被多个安全服务模块同时使用。

6.根据权利要求1所述的一种网络安全服务整合方法，其特征在于，在步骤S2中，所述安全服务模块执行如下步骤：

S201，加载特征库或规则库；

S202，获取数据包的预处理信息，若没能成功获取则调用预处理模块对数据包处理后再获取；

S203，利用匹配引擎把数据包信息与特征库或规则库进行内容匹配，匹配成功则交给包处理模块进行处理；匹配失败则根据安全服务整合规则调用下一个安全服务模块进行处理。

7.一种网络安全服务整合装置，其特征在于，包括：包获取模块、包解析模块、包过滤模块、预处理模块、安全服务模块、包处理模块以及日志模块；

所述包获取模块，用于使用抓包工具去获取流经网络安全设备网卡的原始数据包；

所述包解析模块，用于根据不同的链路层、网络层以及传输层协议去获取原始数据包的头部信息，包括各层协议、五元组信息、包头长度、标志位、TTL，这些信息会一起写入Packet数据结构体；

所述包过滤模块，用于根据包解析模块获得的数据包信息以及安全服务整合规则来确定：把数据包信息送入到预处理模块和安全服务模块，还是直接进入包处理模块进行数据包处理动作；

所述预处理模块由安全服务模块所调用，包含有多个预处理插件，用于对数据包进行针对性的处理，获取到有用信息以便安全服务模块使用，所述预处理插件一次调用就能够被多个安全服务模块同时使用；

所述安全服务模块包含有多个不同的安全服务，各个安全服务有着自己的特征库或规则库，利用内容匹配引擎对数据包信息进行检测，若检测成功则记录安全服务整合规则中的处理动作交给包处理模块进行处理；若检测失败，则进入下一个安全服务进一步检测，若安全服务整合规则中的所有安全服务模块都未能检测成功，则采取默认动作，默认动作包括通过；

所述包处理模块，用于根据包过滤模块或安全服务模块产生的处理动作采用包处理函数对当前数据包进行相应处理，然后根据需要调用日志模块进行日志记录；

所述日志模块，由包处理模块所调用，根据预先配置信息采用不同的日志记录方式记录数据包的处理结果；日志记录方式包括有：数据库记录、文件记录；记录的信息报含：时间戳、数据包五元组信息、处理动作、安全服务名称和攻击类别；

所述安全服务整合规则包括：<包过滤动作 协议 源地址 源端口 -> 目的地址 目的端口> -> [<安全服务名称1 处理动作> <安全服务名称2 处理动作>...]；

该规则中的第一个“<>”为包过滤部分，“[]”部分为安全服务部分；其中，包过滤部分中的包过滤动作是当数据包匹配到五元组信息就会采取的动作，包含的处理动作有：丢弃、告警、通过以及下一步处理；下一步处理动作把数据包信息交给“[]”中的每一个安全服务模块进行处理；丢弃、告警和通过动作是跳过预处理模块和安全服务模块，直接把数据包信息交给包处理模块进行对应的处理动作。

8.根据权利要求7所述的一种网络安全服务整合装置，其特征在于，所述抓包工具包括Pcap、IPFW、NFQ、PF_Ring、DPDK抓包工具。