CN117294538B - 一种数据安全风险行为的旁路检测与阻断方法及系统 - Google Patents

Abstract

本发明公开了一种数据安全风险行为的旁路检测与阻断方法及系统。为了克服现有技术对于数据安全风险行为的阻断存在误报率高、漏报率高和阻断效果单一的问题；本发明方法包括以下步骤：S1：基于DPDK技术采集镜像流量报文；S2：对采集的镜像流量报文依次进行网络层协议解析和传输层协议解析，将报文大小和解析获得的信息发送至规则控制模块；S3：将获得的信息依次与静态IP规则和流量特征动态规则匹配；当匹配成功时，则触发对应的阻断事件；S4：对传输层为TCP协议采取三级阻断方式；对其他协议采取二级阻断方式。采用动态的阻断规则，对全域的网络流量进行精准的阻断；采用多级阻断，提高阻断的成功率，有效抑制数据安全风险行为。

Description

一种数据安全风险行为的旁路检测与阻断方法及系统

技术领域

本发明涉及数据安全领域，尤其涉及一种数据安全风险行为的旁路检测与阻断方法及系统。

背景技术

目前对于保障网络流量安全的方案存在的问题包括：

1、误报率高：

现有技术可能对正常的网络流量进行误操作，从而影响网络的正常运行；进一步无法对真正的数据安全风险行为进行有效的检测和阻断。

2、漏报率高：

基于IP等静态匹配的阻断规则可能会导致范围以外的数据风险行为未被及时发现和处理；例如，一种在中国专利文献上公开的“交换机联动防火墙防护提升方法”，其公告号CN111083109A，通过抓包工具实现网络的监控，配合端口镜像技术在不改变IPV4协议的情况下利用静态IP将MAC与IP进行双向绑定，同时使用VLAN来缩小局域网，提高检索效率，发现威胁事件的源头，与交换机联动，阻断威胁事件的路径，弥补传统防火墙的不足，提供网络安全纵深防护。基于域名的静态匹配规则会导致加密数据无法识别；从而增加数据泄露的风险，进一步导致损失的程度更加严重。

3、阻断效果单一：

基于reset报文的旁路阻断方式受当前网络状态和分析速度影响，存在reset报文未能在客户端/服务端作出应答前到达，导致未能及时切断链路，从而增加数据泄露的风险。

发明内容

本发明主要解决现有技术对于数据安全风险行为的阻断存在误报率高、漏报率高和阻断效果单一的问题；提供一种数据安全风险行为的旁路检测与阻断方法及系统，采用动态的阻断规则，针对全域的网络流量进行精准的阻断，且采用多级阻断的方式，提高阻断的成功率，有效抑制数据安全风险行为。

本发明的上述技术问题主要是通过下述技术方案得以解决的：

一种数据安全风险行为的旁路检测与阻断方法，包括以下步骤：

S1：基于DPDK技术采集镜像流量报文，开启对称RSS，将同一个连接的双向报文分配到同一协议解析模块进行协议解析；

S2：对采集的镜像流量报文依次进行网络层协议解析和传输层协议解析，将报文大小和解析获得的信息发送至规则控制模块；

S3：规则控制模块将获得的信息依次与静态IP规则和流量特征动态规则匹配；当匹配成功时，则触发对应的阻断事件；

S4：对传输层为TCP协议采取三级阻断方式；对其他协议采取二级阻断方式。

本方案采用旁路监测镜像流量的方法，降低对现有业务网络运行状态的影响，避免对原始传递的报文造成延时；采用DPDK技术加速对流量的捕获和处理，提升对数据安全风险行为的分析速度，提高对数据安全风险行为进行阻断的命中率；采用动态的阻断规则，用户可根据实际场景进行定制，从而针对全域的网络流量进行精准的阻断；采用多级阻断的方式，提高阻断的成功率，有效抑制数据安全风险行为。

作为优选，对采集的镜像流量报文的数据链路层协议解析，获取网络层协议报文段；

对网络层协议进行解析，获取IP地址信息和传输层报文段；

对传输层协议进行解析，获取PORT信息、序列号、应答序列号、控制位信息和窗口大小；

将报文大小和获取到的信息发送至规则控制模块。

作为优选，所述的静态IP规则匹配过程为：

获取已采集到的报文信息；

将报文信息与静态IP规则进行匹配，如果匹配成功，且为白名单，则忽略该事件；

将报文信息与静态IP规则进行匹配，如果匹配成功，且为黑名单，则触发数据安全风险事件；生成阻断拦截信息，通知阻断模块，进行阻断。

由源IP、目的IP、源PORT、目的PORT组成匹配规则；可实现对指定范围内的IP/PORT进行实时阻断，也可实现对指定范围内的IP/PORT进行放行。

作为优选，所述的流量特征动态规则包括四元阻断策略、三元阻断策略和二元阻断策略三种匹配模式；流量特征动态规则根据发送数据包总数、发送字节总数、接收数据包总数和接收字节总数四个特征量对累计数据包大小和访问频率维度进行分析。

如果访问频率或传输数据大小超过设定的动态匹配规则，则触发数据安全风险事件，生成阻断拦截信息，通知阻断模块，进行阻断。

作为优选，当单位周期内访问频率和传输数据大小达到设定值，则触发数据安全风险事件，生成阻断拦截信息，通知阻断模块，进行阻断；

所述的四元阻断策略对源IP、源PORT、目的IP和目的PORT的四元组阻断；

所述的三元阻断策略对源IP、源PORT和目的IP的三元组或源IP、目的IP和目的PORT的三元组阻断；

所述的二元阻断策略对目的IP和目的PORT的二元组阻断。

作为优选，所述的三级阻断方式包括：

第一级：利用获取的报文信息组装reset报文，并向连接双方同时发送reset的报文，以切断当前链路；实现数据安全风险行为的阻断。

第二级：向网关设备下发控制流表；从而进一步实现数据安全风险行为的阻断。

第三级：向用户发送紧急事件通知，由用户进行阻断操作。

作为优选，所述的二级阻断方式包括：

第一级：向交换机等网关设备下发控制流表；从而进一步实现数据安全风险行为的阻断。

第二级：向用户发送紧急事件通知，由用户进行阻断操作。

一种数据安全风险行为的旁路检测与阻断系统，包括：

流量采集模块，基于DPDK技术采集镜像流量报文；

协议解析模块，对采集的镜像流量报文依次进行网络层协议解析和传输层协议解析，将报文大小和解析获得的信息发送至规则控制模块；

规则控制模块，包括静态IP规则和流量特征动态规则；将获得的信息与规则匹配，通知阻断模块触发对应的阻断事件；

阻断模块，对传输层为TCP协议采取三级阻断方式；对其他协议采取二级阻断方式。

本方案采用旁路监测镜像流量，降低对现有业务网络运行状态的影响，避免对原始传递的报文造成延时；采用DPDK技术加速对流量的捕获和处理，提升对数据安全风险行为的分析速度，提高对数据安全风险行为进行阻断的命中率；采用动态的阻断规则，用户可根据实际场景进行定制，从而针对全域的网络流量进行精准的阻断；采用多级阻断的方式，提高阻断的成功率，有效抑制数据安全风险行为。

作为优选，还包括：

监听模块，监听需要阻断的数据安全风险行为事件；如果监听到链路结束报文或网络中再无相关流量则注销该阻断事件；如果监听到该数据安全风险行为事件依旧进行，则进入下一级阻断。

本发明的有益效果是：

1.采用旁路监测镜像流量的方法，降低对现有业务网络运行状态的影响，避免对原始传递的报文造成延时。

2. 采用DPDK技术加速对流量的捕获和处理，提升对数据安全风险行为的分析速度，提高对数据安全风险行为进行阻断的命中率。

3.采用动态的阻断规则，用户可根据实际场景进行定制，从而针对全域的网络流量进行精准的阻断。

4.采用多级阻断的方式，提高阻断的成功率，有效抑制数据安全风险行为。

附图说明

图1是本发明的数据安全风险行为的旁路检测与阻断系统接结构框图。

图2是本发明的协议解析过程流程图。

图3是本发明的规则控制模块的工作流程图。

图4是本发明的阻断模块工作流程图。

图中1.流量采集模块，2.协议解析模块，3.规则控制模块，4.阻断模块，5.监听模块。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例一：

本实施例的一种数据安全风险行为的旁路检测与阻断系统，如图1所示，包括依次连接的流量采集模块1、协议解析模块2、规则控制模块3、阻断模块4和监听模块5。

流量采集模块1连接有若干个协议解析模块2，采集基于DPDK技术采集镜像流量报文。本实施例的流量采集模块1基于DPDK加速技术的要求，绑定待采集的镜像流量网络端口、设置内存大页和CPU亲和性。同时开启对称RSS功能，实现负载均衡，确保同一个连接的双向报文被分配到同一条协议解析模块2进行处理。

旁路流量监测部署方便，只需要在交换机上配置镜像端口，就可以实现对整个交互机出入口流量进行监测；无需对原有运行业务的网络结构进行改动；与串联监控相比，不会造成业务通信延迟和丢包等问题。

采用旁路监测镜像流量的方法，降低对现有业务网络运行状态的影响，避免对原始传递的报文造成延时。采用DPDK的用户空间驱动技术、零拷贝技术、大页内存技术和多核技术等；提升对数据安全风险行为的分析速度，提高对数据安全风险行为进行阻断的命中率。

协议解析模块2对采集的镜像流量报文依次进行网络层协议解析和传输层协议解析，将报文大小和解析获得的信息发送至规则控制模块3。如图2所示，本实施例中协议解析模块2的工作流程为：

1）将采集上来的流量报文进行解析数据链路层协议解析，获取网络层协议报文段。

2）对网络层协议进行解析，获取IP地址信息和传输层报文段。

3）对传输层协议进行解析，获取PORT信息、序列号、应答序列号、控制位信息和窗口大小。

4）将报文大小和获取到的信息发送至规则控制模块3。

规则控制模块3包括支持静态IP等匹配规则，也支持流量特征动态匹配规则。

静态IP匹配规则：

由源IP、目的IP、源PORT、目的PORT组成匹配规则；可实现对指定范围内的ip/port进行实时阻断、也可实现对指定范围内的ip/port进行放行。

本实施例的静态IP规则黑/白名单具有的六种规则包括：

源IP匹配；

目的IP匹配；

源IP和目的IP匹配；

源IP、源PORT和目的IP匹配；

源IP、目的IP和目的PORT匹配；

源IP、源PORT、目的IP和目的PORT匹配。

静态分析包括以下过程：

1）获取已采集到的报文信息。

2）将报文信息与静态IP规则进行匹配，如果匹配成功，且为白名单，则忽略该事件。

3）将报文信息与静态IP规则进行匹配，如果匹配成功，且为黑名单，则触发数据安全风险事件，生成阻断拦截信息，通知阻断模块，进行阻断。

流量特征动态匹配规则：

由发送数据包总数、发送字节总数、接收数据包总数、接收字节总数四个特征量进行累计数据包大小、访问频率等维度进行分析。包括四元组阻断策略、三元组阻断策略和二元组阻断策略三种匹配模式。

动态分析从数据传输和访问角度分析：

1）将报文信息与静态IP规则进行匹配，如果未匹配成功，计算应用层携带数据大小，如果该链路首次出现则进行创建，并记录存储。

2）将报文信息与静态IP规则进行匹配，如果未匹配成功，计算应用层携带数据大小，如果该链路已存在，则累计应用层携带数据大小，累加访问频率。

3）如果访问频率或传输数据大小超过设定的动态匹配规则，则触发数据安全风险事件，生成阻断拦截信息，通知阻断模块，进行阻断。

4）对于已关闭的链路，进行存储清除；对超过10min不活跃的链路，进行清除。

一条链路由源IP、目的IP、源PORT、目的PORT组成。记录链路中的四元组信息，及其携带了应用层信息的发送的数据包数量、发送字节总数、接收数据包总数、接收字节总数。

当单位时间内数据包数量（频率）或数据大小达到设定值，则触发数据安全风险事件，生成阻断拦截信息，通知阻断模块，进行阻断。

四元组阻断策略：

当短时间内，同一源IP和源PORT向同一目的IP和目的PORT发送大量数据报文或高频访问时，则动态生成对源IP、源PORT、目的IP和目的PORT的四元组阻断策略。

三元组阻断策略：

当短时间内，同一源IP和源PORT向同一目的IP的多个目的PORT发送大量数据报文或高频访问时，则动态生成源IP、源PORT和目的IP的三元组阻断策略 。

当短时间内，同一源IP的多个源PORT向同一目的IP和目的PORT发送大量数据报文或高频访问时，则动态生成源IP、目的IP和目的PORT的三元组阻断策略。

二元组阻断策略：

当短时间内，不同源IP向同一目的IP和目的PORT发送大量数据报文或高频访问时，则动态生成目的IP和目的PORT的二元组指定性阻断策略。

当短时间内，同一源IP和源PORT向不同目的IP发送大量数据报文或高频访问时，则动态生成目的IP和目的PORT的二元组指定性阻断策略。

在本实施中，当单位时间内数据包数量（频率）或数据大小达到设定值时，判定为短时间内存在大量数据报文或高频访问。

当前网络状态与规则匹配成功，则触发阻断事件。阻断模块4对传输层为TCP协议采取三级阻断方式；对其他协议采取二级阻断方式。

针对传输层为TCP协议采取三级阻断方式：

第一级：利用获取的报文信息（port信息、ip信息、序列号、应答序列号、控制位信息、窗口大小）组装reset报文。并向接收双方同时发送reset的报文，以切断当前链路，实现数据安全风险行为的阻断。

模拟reset报文（需双向port信息、双向ip信息、序列号、应答序列号、控制位信息、窗口大小），以中断链路的连接；它具有实时响应。

第二级：向交换机等网关设备下发控制流表，从而进一步实现数据安全风险行为的阻断。

网关设备控制，交换机等网关设备下发控制流表（需双向port信息、双向ip信息），以控制进出口流量；它具有响应延时。

第三级：向用户发送紧急事件通知，由用户进行阻断操作。

触发用户紧急事件，由用户主动检查系统状态；它具有响应滞后

当触发数据安全风险行为，检测到传输层为TCP协议，组装模拟reset报文，并向连接双方同时发送reset报文。并记录正在阻断事件。持续监听正在阻断事件。

针对其他协议采取二级阻断方式 ：

第一级：向交换机等网关设备下发控制流表，从而进一步实现数据安全风险行为的阻断。

网关设备控制，交换机等网关设备下发控制流表（双向port信息、双向ip信息），以已控制进出口流量；它具有响应延时。

第二级：向用户发送紧急事件通知，由用户进行阻断操作。

触发用户紧急事件，由用户主动检查系统状态；它具有响应滞后。

二级阻断方式，针对网络传输层为UDP等其他协议，该协议无法构造reset报文。

监听模块5监听需要阻断的数据安全风险行为事件.

如果监听到链路结束报文或网络中再无相关流量则注销该阻断事件；如果监听到该数据安全风险行为事件依旧进行，则进入下一级阻断。

本实施例的方案采用动态的阻断规则，用户可根据实际场景进行定制，从而针对全域的网络流量进行精准的阻断。采用多级阻断的方式，提高阻断的成功率，有效抑制数据安全风险行为。

实施例二：

本实施例的一种数据安全风险行为的旁路检测与阻断方法，包括以下步骤：

S1：基于DPDK技术采集镜像流量报文，开启对称RSS，将同一个连接的双向报文分配到同一协议解析模块进行协议解析。

流量采集模块1基于DPDK加速技术的要求，绑定待采集的镜像流量网络端口、设置内存大页和CPU亲和性。同时开启对称RSS功能，实现负载均衡，确保同一个连接的双向报文被分配到同一条协议解析模块2进行处理。

S2：对采集的镜像流量报文依次进行网络层协议解析和传输层协议解析，将报文大小和解析获得的信息发送至规则控制模块。

S201：将采集上来的流量报文进行解析数据链路层协议解析，获取网络层协议报文段。

S202：对网络层协议进行解析，获取IP地址信息和传输层报文段。

S203：对传输层协议进行解析，获取PORT信息、序列号、应答序列号、控制位信息和窗口大小。

S204：将报文大小和获取到的信息发送至规则控制模块3。

S3：规则控制模块将获得的信息依次与静态IP规则和流量特征动态规则匹配；当匹配成功时，则触发对应的阻断事件。

具体的规则匹配过程如图3所示，包括以下过程：

S301：将报文信息插入/更新到HASH流表，与静态IP规则进行匹配；

若与白名单匹配成功，则忽略该报文；若与黑名单匹配成功，则触发数据安全风险行为事件，生成阻断拦截信息，通知阻断模块，进行阻断。

若未匹配成功，则进入步骤S302。

S302：计算应用层携带数据大小。如果该链路首次出现则进行创建，并记录存储；如果该链路已存在，则累计应用层携带数据大小，累加访问频率。

S303：对于已关闭的链路，进行存储清除；对超过10min不活跃的链路，进行清除。

S304：实时监测活跃节点，从累计数据包大小和访问频率多维度判断是否存在数据安全风险行为。

当单位时间内数据包数量（频率）或数据大小达到设定值，则触发数据安全风险事件，生成动态阻断策略，生成对应的阻断拦截信息，通知阻断模块，进行阻断。

S4：对传输层为TCP协议采取三级阻断方式；对其他协议采取二级阻断方式。

具体的阻断过程如图4所示，包括以下过程：

S401：判断传输层是否为TCP协议，若是，则进入步骤S402；否则，进入步骤S403。

S402：对传输层为TCP协议采取三级阻断方式。

2-1：优先采用一级阻断模式，将获取到的报文信息（两端port信息、两端ip信息、序列号、应答序列号、控制位信息、窗口大小）组装成reset报文。并向连接双方同时发送reset的报文，以切断当前链路，实现流量阻断。并注册该数据安全风险行为事件到监听模块。

2-2：监听模块持续监听该数据安全风险行为事件后续，如果监听到链路结束报文或网络中再无相关流量则注销该阻断事件。

2-3：监听模块持续监听该数据安全风险行为事件后续，监听到该数据安全风险行为事件依旧进行，则触发二级阻断模式，向交换机等网关设备下发控制流表，对该网络流量进行阻断；如果无相关网关设备则跳过步骤2-4，触发步骤2-5的三级阻断模式。

2-4：监听该数据安全风险行为事件，如果监听到链路结束报文或网络中再无相关流量则注销该阻断事件，则注销该数据安全风险行为事件，并撤销网关设备相关事件的控制流表；否则触发三级阻断模式。

2-5：三级阻断模式：向维护人员发送邮件、短信等方式进行告警，通知维护人员对相关服务系统进行排查。

S403：对其他协议采取二级阻断方式。

如果当前报文的非TCP协议时，向交换机等网关设备下发控制流表，对该网络流量进行阻断；并注册该数据安全风险行为事件到监听模块。如果无相关网关设备则触发步骤3-2的二级阻断模式。

3-1：监听该数据安全风险行为事件，如果监听到链路结束报文或网络中再无相关流量则注销该阻断事件，则注销该数据安全风险行为事件，并撤销网关设备相关事件的控制流表；否则触发二级阻断模式。

3-2：二级阻断模式：向维护人员发送邮件、短信等方式进行告警，通知维护人员对相关服务系统进行排查。

本实施例的方案采用灵活的、可定制化的阻断规则，满足不同应用场景的需求，加强数据安全风险行为的针对性和适应性，提高阻断的准确性和命中率。

应理解，实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。

Claims (9)

1.一种数据安全风险行为的旁路检测与阻断方法，其特征在于，包括以下步骤：

S1：基于DPDK技术采集镜像流量报文，开启对称RSS，将同一个连接的双向报文分配到同一协议解析模块进行协议解析；

S2：对采集的镜像流量报文依次进行网络层协议解析和传输层协议解析，将报文大小和解析获得的信息发送至规则控制模块；

S3：规则控制模块将获得的信息依次与静态IP规则和流量特征动态规则匹配；当匹配成功时，则触发对应的阻断事件；

S4：对传输层为TCP协议采取三级阻断方式；对其他协议采取二级阻断方式；

流量特征动态规则根据发送数据包总数、发送字节总数、接收数据包总数和接收字节总数四个特征量对累计数据包大小和访问频率维度进行分析；

三级阻断方式包括：模拟reset报文以中断链路的连接；网关设备控制以控制进出口流量；触发用户紧急事件；

二级阻断方式包括：网关设备控制以控制进出口流量；触发用户紧急事件。

2.根据权利要求1所述的一种数据安全风险行为的旁路检测与阻断方法，其特征在于，对采集的镜像流量报文的数据链路层协议解析，获取网络层协议报文段；

对网络层协议进行解析，获取IP地址信息和传输层报文段；

对传输层协议进行解析，获取PORT信息、序列号、应答序列号、控制位信息和窗口大小；

将报文大小和获取到的信息发送至规则控制模块。

3.根据权利要求1或2所述的一种数据安全风险行为的旁路检测与阻断方法，其特征在于，所述的静态IP规则匹配过程为：

获取已采集到的报文信息；

将报文信息与静态IP规则进行匹配，如果匹配成功，且为白名单，则忽略该事件；

将报文信息与静态IP规则进行匹配，如果匹配成功，且为黑名单，则触发数据安全风险事件；生成阻断拦截信息，通知阻断模块，进行阻断。

4.根据权利要求1或2所述的一种数据安全风险行为的旁路检测与阻断方法，其特征在于，所述的流量特征动态规则包括四元阻断策略、三元阻断策略和二元阻断策略三种匹配模式。

5.根据权利要求4所述的一种数据安全风险行为的旁路检测与阻断方法，其特征在于，当单位周期内访问频率和传输数据大小达到设定值，则触发数据安全风险事件，生成阻断拦截信息，通知阻断模块，进行阻断；

所述的四元阻断策略对源IP、源PORT、目的IP和目的PORT的四元组阻断；

所述的三元阻断策略对源IP、源PORT和目的IP的三元组或源IP、目的IP和目的PORT的三元组阻断；

所述的二元阻断策略对目的IP和目的PORT的二元组阻断。

6.根据权利要求1或2或5所述的一种数据安全风险行为的旁路检测与阻断方法，其特征在于，所述的三级阻断方式包括：

第一级：利用获取的报文信息组装reset报文，并向连接双方同时发送reset的报文，以切断当前链路；

第二级：向网关设备下发控制流表；

第三级：向用户发送紧急事件通知，由用户进行阻断操作。

7.根据权利要求1或5所述的一种数据安全风险行为的旁路检测与阻断方法，其特征在于，所述的二级阻断方式包括：

第一级：向交换机等网关设备下发控制流表；

第二级：向用户发送紧急事件通知，由用户进行阻断操作。

8.一种数据安全风险行为的旁路检测与阻断系统，采用如权利要求1-7中任意一项所述的一种数据安全风险行为的旁路检测与阻断方法，其特征在于，包括：

流量采集模块，基于DPDK技术采集镜像流量报文；

协议解析模块，对采集的镜像流量报文依次进行网络层协议解析和传输层协议解析，将报文大小和解析获得的信息发送至规则控制模块；

规则控制模块，包括静态IP规则和流量特征动态规则；将获得的信息与规则匹配，通知阻断模块触发对应的阻断事件；

阻断模块，对传输层为TCP协议采取三级阻断方式；对其他协议采取二级阻断方式。

9.根据权利要求8所述的一种数据安全风险行为的旁路检测与阻断系统，其特征在于，还包括：

监听模块，监听需要阻断的数据安全风险行为事件；如果监听到链路结束报文或网络中再无相关流量则注销该阻断事件；如果监听到该数据安全风险行为事件依旧进行，则进入下一级阻断。