CN115001831B - 基于恶意行为知识库动态部署网络安全服务的方法及系统 - Google Patents
基于恶意行为知识库动态部署网络安全服务的方法及系统 Download PDFInfo
- Publication number
- CN115001831B CN115001831B CN202210646567.0A CN202210646567A CN115001831B CN 115001831 B CN115001831 B CN 115001831B CN 202210646567 A CN202210646567 A CN 202210646567A CN 115001831 B CN115001831 B CN 115001831B
- Authority
- CN
- China
- Prior art keywords
- function
- security
- knowledge base
- information
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于恶意行为知识库动态部署网络安全服务的方法及系统,属于网络通信技术领域,创建恶意行为知识库,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。本发明能够根据用户需求及流量检测信息,动态配置与编排安全服务功能,达到检测多种恶意攻击,提高检测效率的目的。
Description
技术领域
本发明涉及网络通信技术领域,具体涉及一种基于恶意行为知识库动态部署网络安全服务的方法及系统。
背景技术
随着网络功能虚拟化技术NFV(Network Functions Virtualization)的发展,原本大量基于专用设备的网络功能组件摆脱独立硬件系统,以软件化的方式灵活的部署在网络中,为网络服务的灵活调配提供了可能。软件定义网络SDN(Software Defined Network)将控制层面与转发层面分离,为底层网络基础设施引入了可编程性,使流量可以获得更细致化、智能化的处理。NFV技术与软件定义网络相辅相成,在此基础上的服务功能链SFC(Service Function Chains)为网络服务灵活编排,提供定制化网络服务带来了新的便利。
然而针对用户安全需求变化灵活迅速、安全检测服务功能多样、且针对性较强的特征,如何采集利用多种类网络服务产生的信息,实现信息的高效利用,为网络内生安全策略提供帮助,成为需要解决的问题。因此实现动态灵活配置安全功能,打通用户需求与策略配置下发通道,构建网络服务信息反馈系统,构建恶意行为知识库,实现自动化调配组合多类型安全服务具有重要意义。
发明内容
本发明的目的在于提供一种基于恶意行为知识库动态部署网络安全服务的方法及系统,以解决上述背景技术中存在的至少一项技术问题。
为了实现上述目的,本发明采取了如下技术方案:
一方面,本发明提供一种基于恶意行为知识库动态部署网络安全服务的方法,其特征在于,包括:
创建恶意行为知识库,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;
根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;
对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。
优选的,利用虚拟网络功能VNF集成安全服务功能,并由安全服务提供者提供安全服务功能的能力信息和位置信息;能力信息包括安全功能能力描述信息,表征了其所能提供的安全服务;位置信息包括VNF的IP地址;恶意行为知识库创建,包括创建安全功能库和恶意流量检测库,分别存储安全服务功能的能力信息以及后续服务返回的处理结果信息。
优选的,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略,具体包括:
路径策略包括针对网络报文的粗分类策略和分类后特定报文所需要流经的安全服务功能名称;初始分类策略通过源IP地址、目的IP地址、源端口号、目的端口号、协议类型对流量进行分类。分类后报文获得各自独立的服务路径,通过各自所需的安全服务功能;
配置策略包括对数据包过滤器、防火墙、入侵检测系统、入侵防御系统、URL过滤器、DDoS攻击检测模块等安全功能的配置信息;配置策略包括但不限于时间信息、频率信息、所需匹配的报文头部信息、URL信息、所执行的动作信息。
优选的,根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置,具体包括:
构建安全策略控制器解析配置策略,通过提取配置策略中关键信息,利用安全服务位置信息和能力信息,解析映射到具体安全功能上,在数据层实现配置策略实施;利用软件定义网络SDN控制器,解析路径策略,映射安全功能名称与安全功能地址信息,下发流量粗分类信息与分类后报文路由选路信息,实现服务功能链。
优选的,对流量进行初始分类,分类后流量各自获得所需安全服务,得到检测结果,具体包括:
转发器根据路径策略对数据包进行粗分类,为分类后数据包定制化提供其所需的安全服务;DDoS攻击检测服务功能、入侵检测系统、入侵防御系统等可以针对数据包提供安全检测,获得检测结果。
优选的,反馈各功能处理结果到恶意行为知识库,结合不同功能的检测结果和能力信息,获得最终检测结果,具体包括:
各检测结果的汇总与分析,反馈存入恶意流量检测库中;恶意行为知识库结合安全功能库信息对同一发送端多个检测结果分歧情况处理,获得最终检测结果;
根据最终检测结果,动态调整路径策略和配置策略,具体包括:
恶意行为知识库基于最终检测结果,调整之前的路径策略与配置策略。包括利用安全策略推理模块生成新路径策略,调整不同类型流量所需经过的安全服务;根据最终检测结果下发阻断恶意主机流量的配置策略。
第二方面,本发明提供一种基于恶意行为知识库动态部署网络安全服务的系统,包括:
创建模块,用于创建恶意行为知识库,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;
配置模块,用于根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;
分类模块,用于对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
调整模块,用于将各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。
第三方面,本发明提供一种计算机设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行如上所述的基于恶意行为知识库动态部署网络安全服务的方法。
第四方面,本发明提供一种电子设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行如上所述的基于恶意行为知识库动态部署网络安全服务的方法。
第五方面,本发明提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的基于恶意行为知识库动态部署网络安全服务的方法。
本发明有益效果:能够根据用户需求及流量检测信息,动态配置与编排安全服务功能,达到检测多种恶意攻击,提高检测效率的目的。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所述的基于恶意行为知识库的网络安全服务动态部署方法的处理流程图。
图2为本发明实施例所述的网络安全服务动态部署架构模型示意图。
图3为本发明实施例所述的基于恶意行为知识库的动态服务功能链SFC部署的执行阶段示意图。
具体实施方式
下面详细叙述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。
还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件和/或它们的组。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
为便于理解本发明,下面结合附图以具体实施例对本发明作进一步解释说明,且具体实施例并不构成对本发明实施例的限定。
本领域技术人员应该理解,附图只是实施例的示意图,附图中的部件并不一定是实施本发明所必须的。
实施例1
本实施例1提供了一种基于恶意行为知识库动态部署网络安全服务的系统,包括:
创建模块,用于创建恶意行为知识库,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;
配置模块,用于根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;
分类模块,用于对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
调整模块,用于将各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。
本实施例1中,利用上述的系统,实现了基于恶意行为知识库动态部署网络安全服务的方法,包括:
创建恶意行为知识库,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;
根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;
对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。
利用虚拟网络功能VNF集成安全服务功能,并由安全服务提供者提供安全服务功能的能力信息和位置信息;能力信息包括安全功能能力描述信息,表征了其所能提供的安全服务;位置信息包括VNF的IP地址;恶意行为知识库创建,包括创建安全功能库和恶意流量检测库,分别存储安全服务功能的能力信息以及后续服务返回的处理结果信息。
根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略,具体包括:
路径策略包括针对网络报文的粗分类策略和分类后特定报文所需要流经的安全服务功能名称;初始分类策略通过源IP地址、目的IP地址、源端口号、目的端口号、协议类型对流量进行分类。分类后报文获得各自独立的服务路径,通过各自所需的安全服务功能;
配置策略包括对数据包过滤器、防火墙、入侵检测系统、入侵防御系统、URL过滤器、DDoS攻击检测模块等安全功能的配置信息;配置策略包括但不限于时间信息、频率信息、所需匹配的报文头部信息、URL信息、所执行的动作信息。
根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置,具体包括:
构建安全策略控制器解析配置策略,通过提取配置策略中关键信息,利用安全服务位置信息和能力信息,解析映射到具体安全功能上,在数据层实现配置策略实施;利用软件定义网络SDN控制器,解析路径策略,映射安全功能名称与安全功能地址信息,下发流量粗分类信息与分类后报文路由选路信息,实现服务功能链。
对流量进行初始分类,分类后流量各自获得所需安全服务,得到检测结果,具体包括:
转发器根据路径策略对数据包进行粗分类,为分类后数据包定制化提供其所需的安全服务;DDoS攻击检测服务功能、入侵检测系统、入侵防御系统等可以针对数据包提供安全检测,获得检测结果。
反馈各功能处理结果到恶意行为知识库,结合不同功能的检测结果和能力信息,获得最终检测结果,具体包括:
各检测结果的汇总与分析,反馈存入恶意流量检测库中;恶意行为知识库结合安全功能库信息对同一发送端多个检测结果分歧情况处理,获得最终检测结果;
根据最终检测结果,动态调整路径策略和配置策略,具体包括:
恶意行为知识库基于最终检测结果,调整之前的路径策略与配置策略。包括利用安全策略推理模块生成新路径策略,调整不同类型流量所需经过的安全服务;根据最终检测结果下发阻断恶意主机流量的配置策略。
实施例2
本实施例2中,首先提供了一种基于恶意行为知识库的网络安全服务动态部署系统,包括:
知识层:用于存储安全服务能力信息和安全服务处理结果信息,采集用户需求,生成策略信息;编排层:用于为策略信息选择所需的安全服务,将相应策略映射翻译到具体服务功能上,实现路径策略和配置策略的下发;数据层:用于具体实现编排层下发的策略,包括分类、路由和相关服务功能具体配置,并将流量处理后信息和自身安全服务能力信息反馈回知识层。提出一种基于恶意行为知识库的网络安全服务动态部署方法及系统,以实现网络下发配置安全策略,动态部署安全服务功能,获得灵活、高效的安全防护的目标。
本实施例2中,利用上述的系统实现了基于恶意行为知识库的网络安全服务动态部署方法,包括:
创建恶意行为知识库,安全服务功能信息注册;根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;对流量进行粗分类,分类后流量各自获得所需安全服务,得到检测结果;反馈各功能检测结果到恶意行为知识库,结合各功能能力信息,获得最终检测结果,并动态调整路径策略和配置策略。
安全服务功能信息注册,创建恶意行为知识库,包括:
利用虚拟网络功能VNF(Virtual Network Function)集成安全服务功能,并由安全服务提供者提供安全服务功能的能力信息和位置信息。能力信息包括安全功能能力描述信息,表征了其所能提供的安全服务。位置信息包括VNF的IP地址。恶意行为知识库创建,包括创建安全功能库和恶意流量检测库,分别存储安全服务功能的能力信息以及后续服务返回的处理结果信息。恶意行为知识库建立安全策略推理模块,用于产生安全策略。
恶意行为知识库生成安全功能路径策略,根据用户需求生成安全服务功能配置策略,其中路径策略如表1所示,包括针对网络报文的粗分类标准和分类后特定报文所需要流经的安全服务功能名称。粗分类策略通过对流量源IP地址、目的IP地址、源端口号、目的端口号、协议类型进行分类。分类后报文获得各自独立的服务路径,通过各自所需的安全服务功能。
表1
配置策略包括对数据包过滤器、防火墙、入侵检测系统、入侵防御系统、URL过滤器、DDoS攻击检测模块等安全功能的配置信息。配置策略包括但不限于时间信息、频率信息、所需匹配的报文头部信息、URL信息、所执行的动作信息。动作信息包括但不限于丢弃、警告、限速、通过,转发。
根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现安全功能路径配置,包括:
构建安全策略控制器解析配置策略,通过提取配置策略中关键信息,利用安全服务位置信息和能力信息,解析映射到具体安全功能上,在数据层实现配置策略实施。利用软件定义网络SDN控制器,解析路径策略,映射安全功能名称与安全功能地址信息,下发流量粗分类信息与分类后报文路由选路信息,实现服务功能链。
对流量进行粗分类,分类后流量各自获得所需安全服务,得到检测结果,包括:
转发器根据路径策略对数据包进行粗分类,为分类后数据包定制化提供其所需的安全服务。DDoS攻击检测服务功能、入侵检测系统、入侵防御系统等可以针对数据包提供安全检测,获得检测结果。
反馈各功能检测结果,结合不同功能的检测结果和能力信息,获得最终检测结果,并根据最终检测结果,动态调整路径策略和配置策略,包括:
各检测结果的汇总与分析,反馈存入恶意流量检测库中。恶意行为知识库结合安全功能库信息对同一发送端多个检测结果分歧情况处理,获得最终检测结果。恶意行为知识库基于最终检测结果,调整之前的路径策略与配置策略。包括利用安全策略推理模块生成新路径策略,调整不同类型流量所需经过的安全服务。根据最终检测结果下发阻断恶意主机的配置策略。通过动态调整策略,为流量提供更细致的安全服务。
综上,本实施例2中,基于恶意行为知识库的网络安全服务动态部署方法及系统,包括:创建恶意行为知识库,安全服务功能信息注册;根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;对流量进行粗分类,分类后流量各自获得所需安全服务,得到检测结果;反馈各功能检测结果到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。实验测试显示,本方法能够根据用户需求及流量检测信息,动态配置与编排安全服务功能,达到检测多种恶意攻击,提高检测效率的目的。
实施例3
本实施例3中,针对用户需求多样,安全服务功能多样,需要组合利用服务功能的问题,基于软件定义网络SDN与网络功能虚拟化NFV技术,将网络安全服务变为可灵活部署的虚拟网络功能VNF,通过加入可编程化的路由控制管理,使得网络安全服务可以按照用户的需求,精准的提供。
基于恶意行为知识库,构建路径策略与配置策略自动化下发配置机制,对流量提供定制化安全服务。将安全服务处理结果信息反馈回恶意行为知识库,更新路径策略和配置策略,从而不断增强网络内生安全检测能力。
基于恶意行为知识库的网络安全服务动态部署方法,如图1所示,包括如下步骤:
步骤S101:注册安全服务能力信息,构建恶意行为知识库,生成路径策略和用户所需配置策略。
本步骤中,安全服务能力信息由各服务功能提供,其描述了该服务功能能够提供的安全服务,该部分信息存储于恶意行为知识库的网络安全功能库中。恶意行为知识库中还包括恶意流量检测库,其存储了安全服务处理结果信息,主要为安全功能模块对流量的检测结果。恶意行为知识库利用安全服务能力信息和安全服务处理结果信息,通过安全策略推理模块生成路径策略。用户则通过Web界面等方式,生成用户所需的配置策略。
安全服务能力信息在本实施例中,定义了八种安全功能,其基础的信息描述如表2所示,包括了安全功能名称、包级/流级分类,功能分类和功能描述等信息。安全服务处理结果信息则针对不同的安全服务功能,提供不同的流级别的特征和检测结果信息。
表2
| NSF名称 | 包级/流级 | 功能类型 | 功能描述信息 |
| DRDoS | 流级 | DDoS检测 | 检测DRDoS攻击 |
| Network | 流级 | DDoS检测 | 检测网络层/传输层DDoS攻击 |
| Botnet | 流级 | DDoS检测 | 检测僵尸网络DDoS攻击 |
| AppDDoS | 流级 | DDoS检测 | 检测应用层DDoS攻击 |
| LDDoS | 流级 | DDoS检测 | 检测慢速DDoS攻击 |
| Firewall | 包级 | 防火墙 | 防火墙 |
| URL-Filter | 包级 | URL过滤 | 过滤URL访问数据报文 |
| Snort | 包级 | IDS | 入侵检测系统 |
| Suricata | 包级 | IDS/IPS | 入侵检测或入侵防御系统 |
路径策略主要包含两个部分,分类标准和路径信息。分类标准是服务功能链体系中,对流量进行粗分类的标准,在该分类标准下所需要经过的路径信息,即为路径策略。分类通过源IP地址、目的IP地址、源端口号、目的端口号、协议类型五种报头信息进行分类。路径信息则包括了多个网络服务功能NSF名称。
配置策略是对不同安全功能进行功能的具体配置,例如防火墙配置策略、IDS配置策略等。配置策略包括规则集和群组信息。规则集由事件-条件-动作模型构成。事件信息主要包括时间和频率信息,如开始时间、截止时间、具体日期等。条件模型主要是针对各类群组信息提出,表明针对某一群组实施该规则,另外条件模型还可以包括包速率、包大小、流速率等信息,用于匹配启动动作的条件。动作信息则包括通过、丢弃、拒绝、速率限制,转发以及记录日志等。群组信息在策略中用于指明作用端点。端点群组包括用户群组、设备群组、位置群组和URL群组。各个群组包括了给自的IPv4地址、IPv6地址、MAC地址或者URL地址等信息。
步骤S102:路径策略和配置策略翻译映射到具体服务功能。
本步骤中使用了两种控制器实现,如图2所示,分别为安全策略控制器和安全功能链控制器。安全策略控制器,包含存储网络安全功能(NSF)对应位置信息的数据库,具有高级策略提取、数据转换和低级策略生成模块,将抽象的配置策略,变为某一具体的NSF配置信息。安全功能链控制器,接收来自安全策略管理器的功能链配置信息,并将之转换为流表,下发到分类与转发组件上。
策略提取模块可以基于有限状态自动机(DFA)构建,DFA是一种常用于关键词匹配的算法,其通过对输入的每个字符做识别和判断,以确定其所到达的最终状态。策略提取模块其策略状态有限,可以通过DFA匹配算法,对抽象的高级策略中的关键词信息进行提取。例如“在19:00到21:00禁止A的电脑联网”。匹配了“19:00到21:00”的时间信息,“禁止联网”这一动作信息,和“A的电脑”这一群组信息。DFA预先存储相关的关键词信息,通过依次匹配字符实现状态的转移,将高级策略中的有用信息提取出来。
数据转换模块将提取的策略信息与NSF数据库中的信息实现匹配映射,将抽象的信息转化成具体的可执行信息。例如上文策略中的群组信息,可以通过NSF数据库匹配到具体的IP地址,而时间信息和动作信息则需要选择具体的NSF,例如基于时间的防火墙来实现。低级策略生成模块用于产生可以配置具体NSF的低级策略,包括配置哪个NSF与其对应的配置信息。
安全功能链控制器可以利用经典的SDN控制器来实现,主要实现接收路径策略,并下发流表,配置服务功能链的功能。本例中使用OpenDayLight(ODL)作为安全功能链管理器,其具有SFC服务模块,服务抽象层SAL模块和OpenFlow南向接口。利用OpenFlow南向接口下发流表,实现路径策略,利用SFC服务模块,注册服务功能链中的分类器、转发器和服务功能信息,实现服务功能链配置。OpenFlow是一种网络通信协议,应用于SDN架构中控制器和转发器之间地通信。OpenFlow引入了流表概念,转发器通过流表来知道数据包的转发。
步骤S103:实施具体路径策略与配置策略,对流量提供定制化安全服务。
分类转发组件接收安全功能链控制器下发的路径策略,对流量进行粗分类,并对结果选择各自的服务路径。分类转发组件对应于SFC框架中的分类器和转发器,对应于SDN网路中的交换机,可以使用流表转发流量。
服务功能接收安全策略控制器下发的配置策略,实现在某一事件,某种条件下的动作执行。
本实施例中,使用的网络安全功能的主要类型,能够检测不同的网络恶意流量,并将检测结果反馈给知识层。包括网络层/传输层检测模块,慢速DDoS检测模块,僵尸网络检测模块,应用层DDoS检测模块,反射DDoS检测模块和恶意加密流量检测模块。通过检测模块的不同组合,实现高效的DDoS攻击检测效果。同时,还包括多种其它的服务功能,如防火墙、URL过滤器、入侵检测系统、入侵防御系统等。
转发器通过实施OpenFlow下发的流表,并通过网络服务头部(NSH)来实现具体路径策略。NSH头部提供了通用的基于标准的头部,实现了一种Overlay网络,即在现有网络上将节点使用逻辑链路,组成一个虚拟网络。流量转发独立于网络拓扑。NSH通过封装原始数据包或者帧,再通过外部传输协议封装(用于传递NSH信息到可感知NSH头部的网络组件)完成整体封装。NSH的上层协议可以有多种,包括IPv4、IPv6、Ethernet和MPLS。网络服务头部NSH由4字节的基础头部、4字节的服务路径头部、和可选长度的元数据头部组成。基础头部提供关于服务报头和负载协议信息。服务路径头提供路径标识信息(NSP)和路径位置信息(NSI)。NSP由入口分类器根据分类的结果来唯一指定,NSI由控制器根据服务路径所经过的节点个数指定所匹配的大小,用以表明在当前路径上,通过了几个服务功能。NSP和NSI共同为一个数据包确定了唯一的服务路径与在服务路径中所处的位置,当数据包错误转发导致SI为0时,数据包将会被丢弃。
步骤S104:将安全服务处理结果信息反馈回恶意行为知识库,知识库分析结果,更新路径策略和配置策略。
安全服务处理结果信息主要由安全检测模块的检测结果信息组成,包括了NSF名称,用来表征某一条流的包头信息(包括源IP地址、目的IP地址、源端口号、目的端口号、协议类型),所采用的具体流级特征,以及检测结果组成。由于数据包可能不仅仅经过单一的安全检测模块,并且某一特定的安全检测模块只针对某一种类型的网络攻击进行检测,其单独使用的检测效果较差,因此将每个安全检测模块的检测结果信息反馈到恶意行为知识库中,由恶意行为知识库统一分析检测结果,并结合各个检测模块的安全能力信息,得出最终的检测结果信息。
根据最终检测结果,恶意行为知识库可以动态修改路径策略和配置策略,对恶意主机进行阻断,也针对不同类型的流量,重新定义新的路径策略,用以提供更加细致的网络安全服务。
本实施例中,还提供了基于恶意行为知识库的网络安全服务动态部署系统,如图2所示,包括:
知识层,包括用户配置界面和恶意行为知识库两个方面。用户配置界面主要用于采集用户需求,用户需求可以直接作为配置策略,进行下发。恶意行为知识库主要用于存储安全服务功能的能力信息以及安全服务返回的处理结果信息、知识推理产生流量行为、恶意行为知识图,产生网络安全服务的路径策略和配置策略。详细内容参见上述方法实施例中步骤S101、S104的相关描述。
编排层,包括安全策略控制器和安全功能链控制器。用于为策略信息选择所需的安全服务,将相应策略映射翻译到具体服务功能上,实现路径策略和配置策略的下发。详细内容参见上述方法实施例中步骤S102的相关描述。
数据层:包括分类转发组件和各类安全服务功能。用于具体实现编排层下发的策略,包括分类、路由和相关服务功能具体配置,并将流量处理后信息和自身安全服务能力信息反馈回知识层。详细内容参见上述方法实施例中步骤S103的相关描述。
参考图3,本实施例中的的主要工作状态可以如图抽象所示,分为采集、决策、下达、反馈四个方面。首先需要采集用户需求,恶意行为知识库需要采集安全功能的能力信息和安全功能的处理结果信息;通过采集上述信息,恶意行为知识库完成决策,生成路径策略和配置策略;配置策略和路径策略,需要通过两种控制器进行下发,分别为安全策略控制器和安全功能链控制器,下达完成后由底层交换机和安全服务功能,提供服务;安全服务功能完成服务后,会各自生成服务结果,将处理结果信息反馈回恶意行为知识库,形成动态配置下发闭环。
实施例4
本发明实施例4提供一种电子设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行基于恶意行为知识库动态部署网络安全服务的方法,该方法包括如下步骤:
创建恶意行为知识库,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;
根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;
对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。
实施例5
本发明实施例5提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现基于恶意行为知识库动态部署网络安全服务的方法,该方法包括如下步骤:
创建恶意行为知识库,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;
根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;
对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。
实施例6
本发明实施例6提供一种计算机设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行基于恶意行为知识库动态部署网络安全服务的方法,该方法包括如下步骤:
创建恶意行为知识库,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;
根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置;
对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整路径策略和配置策略。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明公开的技术方案的基础上,本领域技术人员在不需要付出创造性劳动即可做出的各种修改或变形,都应涵盖在本发明的保护范围之内。
Claims (9)
1.一种基于恶意行为知识库动态部署网络安全服务的方法,其特征在于,包括:
创建恶意行为知识库,安全服务功能信息注册;根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;其中,创建恶意行为知识库,安全服务功能信息注册,包括:利用虚拟网络功能VNF集成安全服务功能,并由安全服务提供者提供安全服务功能的能力信息和位置信息;能力信息包括安全功能能力描述信息,表征了其所能提供的安全服务;位置信息包括VNF的IP地址;恶意行为知识库创建,包括创建安全功能库和恶意流量检测库,分别存储安全服务功能的能力信息以及后续服务返回的处理结果信息;
根据配置策略解析映射,配置相应安全功能,根据安全功能路径策略,下发流表实现路径配置;
对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整安全功能路径策略和配置策略。
2.根据权利要求1所述的基于恶意行为知识库动态部署网络安全服务的方法,其特征在于,根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略,具体包括:
路径策略包括针对网络报文的粗分类策略和分类后特定报文所需要流经的安全服务功能名称;初始分类策略通过源IP地址、目的IP地址、源端口号、目的端口号、协议类型对流量进行分类;分类后报文获得各自独立的服务路径,通过各自所需的安全服务功能;
配置策略包括对数据包过滤器、防火墙、入侵检测系统、入侵防御系统、URL过滤器、DDoS攻击检测模块的配置信息;配置策略包括时间信息、频率信息、所需匹配的报文头部信息、URL信息、所执行的动作信息。
3.根据权利要求1所述的基于恶意行为知识库动态部署网络安全服务的方法,其特征在于,根据配置策略解析映射,配置相应安全功能,根据路径策略,下发流表实现路径配置,具体包括:
构建安全策略控制器解析配置策略,通过提取配置策略中关键信息,利用安全服务位置信息和能力信息,解析映射到具体安全功能上,在数据层实现配置策略实施;利用软件定义网络SDN控制器,解析路径策略,映射安全功能名称与安全功能地址信息,下发流量粗分类信息与分类后报文路由选路信息,实现服务功能链。
4.根据权利要求1所述的基于恶意行为知识库动态部署网络安全服务的方法,其特征在于,对流量进行初始分类,分类后流量各自获得所需安全服务,得到各功能处理结果,具体包括:
转发器根据路径策略对数据包进行粗分类,为分类后数据包定制化提供其所需的安全服务;DDoS攻击检测服务功能、入侵检测系统、入侵防御系统可以针对数据包提供安全检测,获得检测结果。
5.根据权利要求1所述的基于恶意行为知识库动态部署网络安全服务的方法,其特征在于,各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,具体包括:
各检测结果的汇总与分析,反馈存入恶意流量检测库中;恶意行为知识库结合安全功能库信息对同一发送端多个检测结果分歧情况处理,获得最终检测结果;
根据最终检测结果,动态调整安全功能路径策略和配置策略,具体包括:
恶意行为知识库基于最终检测结果,调整之前的安全功能路径策略与配置策略,包括利用安全策略推理模块生成新路径策略,调整不同类型流量所需经过的安全服务;根据最终检测结果下发阻断恶意主机流量的配置策略。
6.一种基于恶意行为知识库动态部署网络安全服务的系统,其特征在于,包括:
创建模块,用于创建恶意行为知识库,安全服务功能信息注册;根据用户需求及恶意行为知识库生成安全功能路径策略和配置策略;其中,创建恶意行为知识库,安全服务功能信息注册,包括:利用虚拟网络功能VNF集成安全服务功能,并由安全服务提供者提供安全服务功能的能力信息和位置信息;能力信息包括安全功能能力描述信息,表征了其所能提供的安全服务;位置信息包括VNF的IP地址;恶意行为知识库创建,包括创建安全功能库和恶意流量检测库,分别存储安全服务功能的能力信息以及后续服务返回的处理结果信息;
配置模块,用于根据配置策略解析映射,配置相应安全功能,根据安全功能路径策略,下发流表实现路径配置;
分类模块,用于对流量进行初步分类,分类后流量各自获得所需安全服务,得到各功能处理结果;
调整模块,用于将各功能处理结果反馈到恶意行为知识库,结合能力信息,获得最终检测结果,并动态调整安全功能路径策略和配置策略。
7.一种计算机可读存储介质,其存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的基于恶意行为知识库动态部署网络安全服务的方法。
8.一种计算机设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行如权利要求1-5任一项所述的基于恶意行为知识库动态部署网络安全服务的方法。
9.一种电子设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行如权利要求1-5任一项所述的基于恶意行为知识库动态部署网络安全服务的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210646567.0A CN115001831B (zh) | 2022-06-09 | 2022-06-09 | 基于恶意行为知识库动态部署网络安全服务的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210646567.0A CN115001831B (zh) | 2022-06-09 | 2022-06-09 | 基于恶意行为知识库动态部署网络安全服务的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001831A CN115001831A (zh) | 2022-09-02 |
| CN115001831B true CN115001831B (zh) | 2023-04-07 |
Family
ID=83033190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210646567.0A Active CN115001831B (zh) | 2022-06-09 | 2022-06-09 | 基于恶意行为知识库动态部署网络安全服务的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001831B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116318945B (zh) | 2023-03-09 | 2023-10-20 | 南京航空航天大学 | 一种基于内生动态防御架构的多目标服务功能链部署方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114039764A (zh) * | 2021-11-04 | 2022-02-11 | 全球能源互联网研究院有限公司 | 基于软件定义安全的安全服务功能链设计方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8516583B2 (en) * | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
| CN105516177B (zh) * | 2015-12-28 | 2019-02-22 | 上海交通大学 | 基于sdn和nfv的5g网络多级攻击缓解方法 |
| CN109063205A (zh) * | 2018-09-17 | 2018-12-21 | 河南大学 | 一种面向网络安全的知识库构建方法 |
| CN109831447A (zh) * | 2019-03-05 | 2019-05-31 | 浙江大学 | 一种基于nfv的智能蜜网系统 |
| CN111711615B (zh) * | 2020-05-29 | 2022-07-26 | 成都金隼智安科技有限公司 | 一种边缘安全计算节点的知识库信息同步系统和方法 |
| CN112565193B (zh) * | 2020-11-06 | 2021-12-28 | 西安电子科技大学 | 一种网络安全策略冲突分解方法、系统、存储介质、设备 |
| CN113612763B (zh) * | 2021-07-30 | 2022-06-03 | 北京交通大学 | 基于网络安全恶意行为知识库的网络攻击检测装置和方法 |
-
2022
- 2022-06-09 CN CN202210646567.0A patent/CN115001831B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114039764A (zh) * | 2021-11-04 | 2022-02-11 | 全球能源互联网研究院有限公司 | 基于软件定义安全的安全服务功能链设计方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115001831A (zh) | 2022-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11929945B2 (en) | Managing network traffic in virtual switches based on logical port identifiers | |
| US10154053B2 (en) | Method and apparatus for grouping features into bins with selected bin boundaries for use in anomaly detection | |
| US10708146B2 (en) | Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| CN109561108B (zh) | 一种基于策略的容器网络资源隔离控制方法 | |
| CN112235123B (zh) | 业务功能注册机制和能力索引编制 | |
| WO2021207922A1 (zh) | 报文传输方法、装置及系统 | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| CN101288272B (zh) | 隧道化安全性群组 | |
| US20160359695A1 (en) | Network behavior data collection and analytics for anomaly detection | |
| CN102461089B (zh) | 用于使用标签进行策略执行的方法和设备 | |
| Cabaj et al. | SDN Architecture Impact on Network Security. | |
| Koldehofe et al. | The power of software-defined networking: line-rate content-based routing using OpenFlow | |
| CN105493450A (zh) | 动态检测网络中的业务异常的方法和系统 | |
| US20070280241A1 (en) | Discovering MPLS VPN services in a network | |
| CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| Hyun et al. | SDN-based network security functions for effective DDoS attack mitigation | |
| CN115001831B (zh) | 基于恶意行为知识库动态部署网络安全服务的方法及系统 | |
| US20220070091A1 (en) | Open fronthaul network system | |
| CN112929200A (zh) | 一种面向sdn多控制器的异常检测方法 | |
| CN107483341A (zh) | 一种跨防火墙报文快速转发方法及装置 | |
| CN110650092A (zh) | 一种数据处理的方法和装置 | |
| CN111865805B (zh) | 一种组播gre报文处理方法及系统 | |
| Dzeparoska et al. | SDX-based security collaboration: Extending the security reach beyond network domains | |
| CN105812274B (zh) | 一种业务数据的处理方法和相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |