CN116527628A - 一种基于安全态势感知的网络地址转换方法及系统 - Google Patents

Abstract

本发明涉及一种基于安全态势感知的网络地址转换方法及系统，属于网络通信领域。为解决只有上线的用户才能匹配成功NAT规则进行NAT转换，未上线的用户无法成功匹配NAT规则的问题，本发明通过NAT规则、NAT设备会话表、NAT设备本地认证服务器子系统和网络安全态势感知子系统关联可以实时动态地根据用户安全态势的变化调整NAT规则的匹配条件和网络地址转换的动作。本发明增加了对用户的安全态势感知能力，让经过NAT转换的报文安全可信，降低了手动修改NAT规则出错的概率，解决了无法实时的阻断已建会话的用户由安全态变为异常后还可以继续进行NAT转换的问题。

Description

一种基于安全态势感知的网络地址转换方法及系统

技术领域

本发明属于网络通信领域，具体涉及一种基于安全态势感知的网络地址转换方法及系统。

背景技术

随着网络技术的快速发展，网络安全引起了全社会的高度重视，网络安全通信设备开始被大量部署到实际的网络环境中。NAT（网络地址转换）功能天生具有隐藏私有网络拓扑的特性，所以NAT功能作为安全保障的一道重要防线得到了大量网络安全通信设备的支持。

而传统的NAT技术只是对经过NAT设备的报文做地址转换，对报文的来源是否安全可信并不做检测。对访问NAT设备的所有的报文都默认可信，只要能匹配NAT规则就会进行地址转换。随着新型网络攻击技术的不断出现就要求NAT设备对访问NAT设备的用户进行可信安全分析。

现有最接近的技术是经过NAT设备的首包（相同五元组的第一个报文：源IP地址、目的IP地址、源端口号、目的端口号、协议号）会进行NAT规则匹配，匹配成功后进行NAT转换。同时为了提高设备的转发性能会创建一个会话表，即网络地址转换表，后续相同五元组的报文就不会继续进行NAT规则的匹配，直接根据网络地址转换表记录的转换信息进行报文转发。

而当前存在基于用户上下线进行NAT规则匹配的技术，即只有上线的用户才能匹配成功NAT规则进行NAT转换，未上线的用户无法成功匹配NAT规则。

现有技术存在三个大的技术缺陷：

1、当前NAT系统无法动态感知访问NAT设备的用户是否有异常。

2、当前的NAT系统无法实时的根据用户安全态势自动的调整NAT策略的匹配条件（用户上下线状态）。

3、当前的NAT技术无法自动阻断已建会话的用户由正常变为异常后还可以继续进行NAT转换的问题。

发明内容

（一）要解决的技术问题

本发明要解决的技术问题是如何提供一种基于安全态势感知的网络地址转换方法及系统，以解决只有上线的用户才能匹配成功NAT规则进行NAT转换，未上线的用户无法成功匹配NAT规则的问题。

（二）技术方案

为了解决上述技术问题，本发明提出一种基于安全态势感知的网络地址转换系统，该系统用于NAT设备，该系统包括：本地认证服务器子系统、网络安全态势感知子系统和网络地址转换子系统；

在NAT设备启动时会同时启动本地认证服务器子系统、网络地址转换子系统和网络安全态势感知子系统；本地认证服务器子系统用于完成用户身份的合法性认证及用户上下线的认证；网络安全态势感知子系统用于通过数据采集监控用户的网络安全要素，通过特征提取、态势评估来评估网络安全状态，以及完成策略决策；网络地址转换子系统能够基于用户上下线状态对所述用户的访问进行网络地址转换操作；

本地认证服务器子系统在用户认证成功后将用户添加到用户在线用户表中；

在本地认证服务器子系统上根据需求定义角色对象，供网络地址转换子系统配置的NAT规则引用，定义的角色需与用户建立映射规则，即指定具体用户属于哪些角色；角色中的用户上下线状态是NAT规则匹配的条件，通过角色把用户和NAT规则联系起来；

网络地址转换子系统配置NAT规则，NAT规则引用角色信息；网络地址转换子系统从用户收到数据流，如果该用户为上线状态，则匹配该用户所属角色对应的NAT规则，并创建会话表，后续的报文会根据创建的会话表进行数据转发；

网络安全态势感知子系统会采集用户网络环境信息，网络安全态势感知子系统会根据获取的用户网络环境信息分析评估出用户当前的安全百分比数据，当安全百分比数据低于某一阈值时表示此用户不再被信任，返回给用户对应的安全评估信息；同时，本地认证服务器子系统修改用户的上线状态为无效，网络地址转换子系统不再对此用户的数据进行转发，直到安全百分比数据恢复阈值之上。

进一步地，在线用户表中存储用户的登录IP、登录时间和用户名。

进一步地，用户网络环境信息包括：用户采用的操作系统，操作系统中使用的应用及用户网络的变化、用户的IP地址。

进一步地，百分比数据是将数据采集模块采集到的数据输入训练得到的机器学习模型后输出的数据。

进一步地，机器学习模型为transformer长期预测模型。

进一步地，安全评估信息包括当前用户环境中可能存在的安全隐患，以及是否受到其他攻击的信息。

进一步地，管理员在配置用户的时候会指定用户属于什么角色，从而建立角色与用户的映射规则。

本发明还提供一种基于安全态势感知的网络地址转换方法，该方法包括如下步骤：

S101、NAT设备启动后，通过本地认证服务器子系统配置角色对象roleA、roleB和用户userA、userB，其中userA属于roleA，userB属于roleB；

S102、当配置完角色roleA时，本地认证服务器子系统就把用户userA的信息注册给网络安全态势感知子系统，配置完角色roleB时本地认证服务器子系统就把用户userB的信息也注册给网络安全态势感知子系统；

S103、在网络地址转换子系统配置NAT规则nat_policyA和nat_policyB，其中nat_policyA规则引用roleA，nat_policyB规则引用roleB；

S104、当用户userA进行本地上下线认证时，本地认证服务器子系统会首先进行用户身份合法性认证，认证通过后接着进行用户上下线认证；如果上线认证成功则通知网络安全态势感知子系统对用户userA进行安全态势感知；

S105、当用户userA上线认证成功后继续访问NAT设备时，网络地址转换子系统会用数据流匹配NAT规则；由于nat_policyA引用了roleA，userA属于roleA且为上线状态，所以数据流会匹配上nat_policyA规则，同时创建会话表，会话表中记录用户userA的相关信息，且后续的报文会根据创建的会话表进行数据转发，不再进行NAT规则的匹配；

S106、当网络安全态势感知子系统感知到用户userA异常后立马触发本地认证服务器子系统修改roleA中的userA上线状态为无效，同时通知网络地址转换子系统遍历会话表把记录用户userA的所有会话删除；此时用户userA的数据报文到达NAT设备后查会话表会失败，此时网络地址转换子系统就会把到达的数据报文当首报文重新进行NAT规则的匹配，此时由于用户userA处于上线无效状态，所以匹配NAT规则会失败；

S107、当用户userA的上线状态改为无效后，网络安全态势感知子系统会继续监测一段时间用户userA的安全态势，如果在这段时间内监测到用户userA网络环境由异常变为正常，则安全态势感知模块会触发roleA中的userA的上线状态改为有效；用户userA的报文就能继续进行报文NAT转发；

S108、如果继续监测时间段内用户userA还是异常状态，则网络安全态势感知子系统会触发roleA中的userA下线，同时停止监控用户userA的安全态势，后续用户userA想继续访问NAT设备进行数据转发就需要重新主动进行用户上线认证操作。

进一步地，所述步骤S107中，NAT设备管理员设置继续监测时长。

进一步地，所述步骤S107中，继续监测期间，userA不能重新主动进行用户上线认证。

（三）有益效果

本发明提出一种基于安全态势感知的网络地址转换方法及系统，本申请侧重在用户数据报文通过NAT设备时匹配NAT规则或会话表的场景中，所涉及的技术关键点如下：

（1）将NAT设备的本地认证服务器子系统（角色对象的用户上下线认证表）和网络安全态势感知子系统进行关联。通过NAT规则引用角色对象，实现NAT规则和安全感知子系统关联；

（2）通过NAT设备会话表（网络地址转换表）和网络安全态势感知子系统关联，实现根据安全态势感知结果自动调整会话表。

（3）NAT规则、NAT设备会话表（网络地址转换表）、NAT设备本地认证服务器子系统和网络安全态势感知子系统关联可以实时动态地根据用户安全态势的变化调整NAT规则的匹配条件和网络地址转换的动作；

本发明的主要收益如下：

1)本发明相较于传统的NAT技术让NAT在隐藏内部网络拓扑和节约IP地址的基础上增加了对用户的安全态势感知能力，让经过NAT转换的报文安全可信；

2)本发明可以实时动态地根据用户安全态势的变化调整NAT策略的匹配条件，相比于管理员手动修改NAT规则的匹配条件提高了配置的自动化率，同时降低了手动修改出错的概率；

3)本发明可以实时动态地根据用户安全态势的变化调整NAT设备NAT会话表，可以解决无法实时的阻断已建会话的用户由安全态变为异常后还可以继续进行NAT转换的问题。

附图说明

图1为本发明基于安全态势感知的网络地址转换系统框图。

具体实施方式

为使本发明的目的、内容和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

本发明所要解决问题

解决的问题一：本发明要解决现有NAT技术无法感知转发的用户报文是否可信的问题。

解决的问题二：本发明要解决NAT技术无法实时的根据用户安全态势自动的调整NAT规则的匹配条件。而手动修改NAT规则的匹配条件造成管理维护成本高、用户体验差且容易出错的问题。

解决的问题三：本发明要解决当前的NAT技术无法自动阻断已建会话的用户由可信变为不可信后还可以继续进行NAT转换的问题。

面对新需求，本发明提供一种基于安全态势感知的网络地址转换技术。它的核心思想是：默认访问NAT设备的用户是不安全不可靠的，对任何访问NAT设备的用户都进行持续的安全态势感知分析，一旦感知到用户存在异常（用户访问NAT设备的报文将不再可信）就切断用户数据的NAT转换。

针对现有技术的不足，本发明提供了一种基于安全态势感知的网络地址转换系统，所述系统包括：本地认证服务器子系统、网络安全态势感知子系统和网络地址转换子系统。

本地认证服务器子系统用于完成用户身份的合法性认证及用户上下线的认证；

网络安全态势感知子系统用于通过数据采集监控用户的网络安全要素，通过特征提取、态势评估来评估网络安全状态，以及完成策略决策。

网络地址转换子系统能够基于用户上下线状态对所述用户的访问进行网络地址转换操作。

首先为了了解本发明技术方案，对网络安全态势感知子系统进行简要的描述：

网络安全态势感知子系统包括：数据采集模块、特征提取模块、态势评估模块和策略决策模块，数据采集模块会对注册进来的用户不间断的进行安全态势信息数据的采集，采集完一个周期后特征提取模块会对采集的数据进行特征提取；接着态势评估模块会根据提取的特征数据进行大数据分析，根据大数据分析的结果进行安全态势评估；如果评估的结果为异常就会触发策略决策模块来执行相关的操作，包括更改用户上下线状态和触发网络地址转换子系统删除相关会话表以及返回给用户对应的安全评估信息。

本发明提供一种基于安全态势感知的网络地址转换系统，该系统用于NAT设备，包括：

一、在NAT设备启动时会同时启动本地认证服务器子系统、网络地址转换子系统和网络安全态势感知子系统。本地认证服务器子系统提供用户身份合法性的认证和用户上下线的认证，网络安全态势感知子系统以时序的方式监控用户的安全态势。网络地址转换子系统能够基于用户上下线状态对用户的访问进行网络地址转换操作。

二、本地认证服务器子系统在用户认证成功后将用户添加到用户在线用户表中，在线用户表中存储用户的登录IP、登录时间、用户名等相关认证信息。

三、在本地认证服务器子系统上根据需求定义角色对象，供网络地址转换子系统配置的NAT规则引用，定义的角色需与用户建立映射规则，即指定具体用户属于哪些角色。管理员在配置用户的时候会指定用户属于什么角色，这个所属关系就是建立的映射规则。角色中的用户上下线状态是NAT规则匹配的条件，通过角色把用户和NAT规则联系起来。

四、网络地址转换子系统配置NAT规则，NAT规则引用角色信息；网络地址转换子系统从用户收到数据流，如果该用户为上线状态，则匹配该用户所属角色对应的NAT规则，并创建会话表，后续的报文会根据创建的会话表进行数据转发；

五、网络安全态势感知子系统会采集用户网络环境信息，包括用户采用的操作系统，操作系统中使用的应用及用户网络的变化、用户的IP地址。

网络安全态势感知子系统会根据获取的用户网络环境信息分析评估出用户当前的安全百分比数据，当安全百分比数据低于某一阈值时表示此用户不再被信任，返回给用户对应的安全评估信息， 网络地址转换子系统也不再对此用户的数据进行转发，直到安全百分比数据恢复阈值之上。

百分比数据是将数据采集模块采集到的数据输入训练得到的机器学习模型后输出的数据，机器学习模型为transformer长期预测模型。

安全评估信息包括当前用户环境中可能存在的安全隐患，是否受到其他攻击等信息。

五、创建完角色对象后通过配置切换自动完成角色用户与网络安全态势感知子系统的关联。

本发明提供一种基于安全态势感知的网络地址转换方法，该方法包括如下步骤：

S101、NAT设备启动后，通过本地认证服务器子系统配置角色对象roleA、roleB和用户userA、userB，其中userA属于roleA，userB属于roleB。

S102、当配置完角色roleA时本地认证服务器子系统就把用户userA的信息注册给网络安全态势感知子系统，配置完角色roleB时本地认证服务器子系统就把用户userB的信息也注册给网络安全态势感知子系统。

S103、接着在网络地址转换子系统配置NAT规则nat_policyA和nat_policyB，其中nat_policyA规则引用roleA，nat_policyB规则引用roleB。

S104、当用户userA进行本地上下线认证时，本地认证服务器子系统会首先进行用户身份合法性认证，认证通过后接着进行用户上下线认证。如果上线认证成功则通知网络安全态势感知子系统对用户userA进行安全态势感知。

S105、当用户userA上线认证成功后继续访问NAT设备时，网络地址转换子系统会用数据流匹配NAT规则；由于nat_policyA引用了roleA，userA属于roleA且为上线状态，所以数据流会匹配上nat_policyA规则（默认数据流都能匹配nat_policyA和nat_policyB的其他条件，NAT规则有众多匹配条件，包括userA处于上线状态，以及其他条件），同时创建会话表，会话表中记录用户userA的相关信息，且后续的报文会根据创建的会话表进行数据转发，不再进行NAT规则的匹配。

S106、当网络安全态势感知子系统感知到用户userA异常后立马触发本地认证服务器子系统修改roleA中的userA上线状态为无效，同时通知网络地址转换子系统遍历会话表把记录用户userA的所有会话删除。此时用户userA的数据报文到达NAT设备后查会话表会失败，此时网络地址转换子系统就会把到达的数据报文当首报文重新进行NAT规则的匹配，此时由于用户userA处于上线无效状态，所以匹配NAT规则会失败。

S107、当用户userA的上线状态改为无效后，网络安全态势感知子系统会继续监测一段时间（NAT设备管理员可设置时长）用户userA的安全态势，如果在这段时间内监测到用户userA网络环境由异常变为正常，则安全态势感知模块会触发roleA中的userA的上线状态改为有效。用户userA的报文就可以继续进行报文NAT转发。说明：这段时间内用户userA不能重新主动进行用户上线认证。

S108、如果继续监测时间段内用户userA还是异常状态，则网络安全态势感知子系统会触发roleA中的userA下线，同时停止监控用户userA的安全态势。后续用户userA想继续访问NAT设备进行数据转发就需要重新主动进行用户上线认证操作。

S109、当用户userB的数据报文访问NAT设备时由于未进行用户上线认证，所以匹配NAT规则失败，数据包转发失败，同时网络安全态势感知子系统也不会监测userB的安全态势，直到userB完成用户上线认证。

本申请侧重在用户数据报文通过NAT设备时匹配NAT规则或会话表的场景中，所涉及的技术关键点如下：

（1）将NAT设备的本地认证服务器子系统（角色对象的用户上下线认证表）和网络安全态势感知子系统进行关联。通过NAT规则引用角色对象，实现NAT规则和安全感知子系统关联；

（2）通过NAT设备会话表（网络地址转换表）和网络安全态势感知子系统关联，实现根据安全态势感知结果自动调整会话表。

（3）NAT规则、NAT设备会话表（网络地址转换表）、NAT设备本地认证服务器子系统和网络安全态势感知子系统关联可以实时动态地根据用户安全态势的变化调整NAT规则的匹配条件和网络地址转换的动作；

本发明的主要收益如下：

1)本发明相较于传统的NAT技术让NAT在隐藏内部网络拓扑和节约IP地址的基础上增加了对用户的安全态势感知能力，让经过NAT转换的报文安全可信；

2)本发明可以实时动态地根据用户安全态势的变化调整NAT策略的匹配条件，相比于管理员手动修改NAT规则的匹配条件提高了配置的自动化率，同时降低了手动修改出错的概率；

3)本发明可以实时动态地根据用户安全态势的变化调整NAT设备NAT会话表，可以解决无法实时的阻断已建会话的用户由安全态变为异常后还可以继续进行NAT转换的问题。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种基于安全态势感知的网络地址转换系统，其特征在于，该系统用于NAT设备，该系统包括：本地认证服务器子系统、网络安全态势感知子系统和网络地址转换子系统；

在NAT设备启动时会同时启动本地认证服务器子系统、网络地址转换子系统和网络安全态势感知子系统；本地认证服务器子系统用于完成用户身份的合法性认证及用户上下线的认证；网络安全态势感知子系统用于通过数据采集监控用户的网络安全要素，通过特征提取、态势评估来评估网络安全状态，以及完成策略决策；网络地址转换子系统能够基于用户上下线状态对所述用户的访问进行网络地址转换操作；

本地认证服务器子系统在用户认证成功后将用户添加到用户在线用户表中；

在本地认证服务器子系统上根据需求定义角色对象，供网络地址转换子系统配置的NAT规则引用，定义的角色需与用户建立映射规则，即指定具体用户属于哪些角色；角色中的用户上下线状态是NAT规则匹配的条件，通过角色把用户和NAT规则联系起来；

网络地址转换子系统配置NAT规则，NAT规则引用角色信息；网络地址转换子系统从用户收到数据流，如果该用户为上线状态，则匹配该用户所属角色对应的NAT规则，并创建会话表，后续的报文会根据创建的会话表进行数据转发；

网络安全态势感知子系统会采集用户网络环境信息，网络安全态势感知子系统会根据获取的用户网络环境信息分析评估出用户当前的安全百分比数据，当安全百分比数据低于某一阈值时表示此用户不再被信任，返回给用户对应的安全评估信息；同时，本地认证服务器子系统修改用户的上线状态为无效，网络地址转换子系统不再对此用户的数据进行转发，直到安全百分比数据恢复阈值之上。

2.如权利要求1所述的基于安全态势感知的网络地址转换系统，其特征在于，在线用户表中存储用户的登录IP、登录时间和用户名。

3.如权利要求1所述的基于安全态势感知的网络地址转换系统，其特征在于，用户网络环境信息包括：用户采用的操作系统，操作系统中使用的应用及用户网络的变化、用户的IP地址。

4.如权利要求1所述的基于安全态势感知的网络地址转换系统，其特征在于，百分比数据是将数据采集模块采集到的数据输入训练得到的机器学习模型后输出的数据。

5.如权利要求4所述的基于安全态势感知的网络地址转换系统，其特征在于，机器学习模型为transformer长期预测模型。

6.如权利要求1所述的基于安全态势感知的网络地址转换系统，其特征在于，安全评估信息包括当前用户环境中可能存在的安全隐患，以及是否受到其他攻击的信息。

7.如权利要求1所述的基于安全态势感知的网络地址转换系统，其特征在于，管理员在配置用户的时候会指定用户属于什么角色，从而建立角色与用户的映射规则。

8.一种基于权利要求1-7任一项所述的系统的基于安全态势感知的网络地址转换方法，其特征在于，该方法包括如下步骤：

S101、NAT设备启动后，通过本地认证服务器子系统配置角色对象roleA、roleB和用户userA、userB，其中userA属于roleA，userB属于roleB；

S102、当配置完角色roleA时，本地认证服务器子系统就把用户userA的信息注册给网络安全态势感知子系统，配置完角色roleB时本地认证服务器子系统就把用户userB的信息也注册给网络安全态势感知子系统；

S103、在网络地址转换子系统配置NAT规则nat_policyA和nat_policyB，其中nat_policyA规则引用roleA，nat_policyB规则引用roleB；

S104、当用户userA进行本地上下线认证时，本地认证服务器子系统会首先进行用户身份合法性认证，认证通过后接着进行用户上下线认证；如果上线认证成功则通知网络安全态势感知子系统对用户userA进行安全态势感知；

S105、当用户userA上线认证成功后继续访问NAT设备时，网络地址转换子系统会用数据流匹配NAT规则；由于nat_policyA引用了roleA，userA属于roleA且为上线状态，所以数据流会匹配上nat_policyA规则，同时创建会话表，会话表中记录用户userA的相关信息，且后续的报文会根据创建的会话表进行数据转发，不再进行NAT规则的匹配；

S106、当网络安全态势感知子系统感知到用户userA异常后立马触发本地认证服务器子系统修改roleA中的userA上线状态为无效，同时通知网络地址转换子系统遍历会话表把记录用户userA的所有会话删除；此时用户userA的数据报文到达NAT设备后查会话表会失败，此时网络地址转换子系统就会把到达的数据报文当首报文重新进行NAT规则的匹配，此时由于用户userA处于上线无效状态，所以匹配NAT规则会失败；

S107、当用户userA的上线状态改为无效后，网络安全态势感知子系统会继续监测一段时间用户userA的安全态势，如果在这段时间内监测到用户userA网络环境由异常变为正常，则安全态势感知模块会触发roleA中的userA的上线状态改为有效；用户userA的报文就能继续进行报文NAT转发；

S108、如果继续监测时间段内用户userA还是异常状态，则网络安全态势感知子系统会触发roleA中的userA下线，同时停止监控用户userA的安全态势，后续用户userA想继续访问NAT设备进行数据转发就需要重新主动进行用户上线认证操作。

9.如权利要求8所述的基于安全态势感知的网络地址转换方法，其特征在于，所述步骤S107中，NAT设备管理员设置继续监测时长。

10.如权利要求9所述的基于安全态势感知的网络地址转换方法，其特征在于，所述步骤S107中，继续监测期间，userA不能重新主动进行用户上线认证。