CN116827698B - 一种网络关口流量安全态势感知系统及方法 - Google Patents
一种网络关口流量安全态势感知系统及方法 Download PDFInfo
- Publication number
- CN116827698B CN116827698B CN202311111229.8A CN202311111229A CN116827698B CN 116827698 B CN116827698 B CN 116827698B CN 202311111229 A CN202311111229 A CN 202311111229A CN 116827698 B CN116827698 B CN 116827698B
- Authority
- CN
- China
- Prior art keywords
- network
- subsystem
- attack
- layer
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000001514 detection method Methods 0.000 claims abstract description 65
- 230000006399 behavior Effects 0.000 claims abstract description 39
- 238000012423 maintenance Methods 0.000 claims abstract description 32
- 238000004458 analytical method Methods 0.000 claims abstract description 31
- 238000009826 distribution Methods 0.000 claims abstract description 17
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims abstract description 16
- 108010064775 protein C activator peptide Proteins 0.000 claims abstract description 16
- 238000012544 monitoring process Methods 0.000 claims abstract description 13
- 238000003860 storage Methods 0.000 claims description 7
- 230000035515 penetration Effects 0.000 claims description 6
- 230000003993 interaction Effects 0.000 claims description 5
- 238000012098 association analyses Methods 0.000 claims description 4
- 238000007667 floating Methods 0.000 claims description 4
- 238000011217 control strategy Methods 0.000 claims description 3
- 238000011897 real-time detection Methods 0.000 claims 2
- 239000002131 composite material Substances 0.000 claims 1
- 238000012545 processing Methods 0.000 abstract description 11
- 230000008447 perception Effects 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 44
- 230000006870 function Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000005242 forging Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 150000001875 compounds Chemical class 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- 241000261585 Hadrobregmus pertinax Species 0.000 description 1
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络关口流量安全态势感知系统及方法,涉及网络安全技术领域。该系统包括数据采集层,用于基于PCAP抓取网络数据包,并将网络数据包分发给攻击检测层;攻击检测层,用于根据网络数据包,结合预置的黑名单库,进行协议解析和规则匹配,实时监测和分析网络攻击行为,并展示攻击行为数据;运维管理层,用于进行检测算法、均衡器调优,以及规则和离线包管理。本发明通过获取骨干网络关口流量,在线分析网络协议以及应用特征,结合海量黑名单库,实时检测网络安全攻击行为,将所有分析结果汇入大数据处理平台,进一步分析隐藏的APT攻击等网络恶意行为,以及攻击源的追踪溯源,为辖区网络安全提供感知、发现、分析预警等保障。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网络关口流量安全态势感知系统及方法。
背景技术
如何对关口流量进行实时安全检测,提供一个更安全、可管、可控的网络,主要面临三个方面的挑战:
1、海量数据采集:对于网络空间安全实时监测,线速数据的采集是根本。目前常见的数据获取方法有三种,一是在终端上进行数据采集,如360和卡巴斯基,优点是数据采集准确详尽,但是无法获取没有安装软件终端的信息,缺乏全面性;二是进行网络扫描,使用主动发包扫描的方法,嗅探网络设备的地址、型号、固件版本等,并进而得到安全风险分析报告。优点是可以全网扫描,没有地域限制,缺点是法令法规上存在一定风险,加之实时性较差,准确性难以保证。此外,我国的网络架构重度使用NAT,对于隐藏在NAT网关内侧的设备(以居民小区、物联网和企业内部设备为主),很难通过网络扫描发现并获取相应的安全信息;三是基于通信链路的IDS分析,可以发现网络攻击行为并预警。其优点是实时性强,并且不受NAT网关等设备的影响,可以全面覆盖使用该链路的所有设备和网络通信数据;但由于骨干网络通信带宽较大,属于海量数据处理,传统的单台IDS性能通常在20Gbps左右,需要部署的数量巨大,导致成本高,建设周期长。
2、海量数据存储与分析:由于运营商网关上所采集数据的多元性、异构性和海量性,对于存储和分析都带来了较大的挑战。
3、安全指标及态势的可视化展现:作为大数据安全分析平台,在分析能力基础上应有一个人性化的、简单实用的展示界面,平台分析结果需采用量化指标形式呈现,直观展示当前对DDoS、WEB、僵木蠕虫、CC、DNS以及APT攻击的识别和感知的重点安全监控指标,在出现高威胁攻击时可通过实时攻击地图进行展示,同时结合历史数据分析,展示辖区安全态势及发展趋势。
发明内容
为了克服上述问题或者至少部分地解决上述问题,本发明提供一种网络关口流量安全态势感知系统及方法,通过获取骨干网络关口流量,在线分析网络协议以及应用特征,结合海量黑名单库,实时检测网络安全攻击行为,发现僵尸网络以及数据回传的C&C服务器,将所有分析结果汇入大数据处理平台,进一步分析隐藏的APT攻击等网络恶意行为,以及攻击源的追踪溯源,为辖区网络安全提供感知、发现、分析预警等保障。
为解决上述技术问题,本发明采用的技术方案为:
第一方面,本发明提供一种网络关口流量安全态势感知系统,包括数据采集层、攻击检测层以及运维管理层,其中:
数据采集层,用于基于PCAP抓取网络数据包,并将网络数据包分发给攻击检测层;
攻击检测层,用于根据网络数据包,结合预置的黑名单库,进行协议解析和规则匹配,实时监测和分析网络攻击行为,并展示攻击行为数据;
运维管理层,用于进行检测算法、均衡器调优,以及规则和离线包管理。
本系统采用分层设计,包括数据采集层、攻击检测层和运维管理层。以实时流量为驱动,可在线和离线解析网络协议以及应用特征,利用自研海量黑名单库检测和分析网络攻击行为,可对传统的缓冲区溢出、SQL注入、僵尸网络服务器、垃圾邮件、匿名通信行为、DDOS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测。在此基础上,针对工业互联网攻击行为进行了强化检测,可发现针对工业网络发起的网络侦察、端口扫描、权限枚举、代码渗透、漏洞利用、数据泄露、协议伪造、协议不合规使用等恶意行为。检测结果还可以汇入大数据处理平台,进一步分析深度隐藏的APT攻击等网络恶意行为,对攻击进行追踪溯源,为网络安全提供感知、发现、分析预警等方面的保障。
基于第一方面,进一步地,上述攻击检测层包括协议级别均衡器子系统、快速查表引擎子系统、规则关联分析引擎子系统、规则管理子系统以及事件分发订阅子系统。
基于第一方面,进一步地,上述数据采集层包括PCAP包自动存储和推送子系统及流分发和均衡子系统,其中:
PCAP包自动存储和推送子系统,用于基于PCAP抓取并存储网络数据包,并将网络数据包推送给流分发和均衡子系统;
流分发和均衡子系统,用于对接收的网络数据包进行均衡分流,并分发给协议级别均衡器子系统和快速查表引擎子系统。
基于第一方面,进一步地,上述运维管理层包括检测算法调优子系统、均衡器调优子系统、规则管理子系统以及离线包管理子系统。
基于第一方面,进一步地,上述攻击检测层内置解码器,支持基于以太网的MPLS、IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS、FTP、TELNET、TLS多种网络基础协议的识别和解析,用于对各类黑客攻击和恶意流量进行实时检测。
基于第一方面,进一步地,上述攻击检测层还支持基于DNP3、MODBUS、ENIP、S7、OPCDA、OPC UA多种工控规约/协议的深度解析,用于对采用网络侦察、端口扫描、权限枚举、代码渗透、漏洞利用、数据泄露、协议伪造、协议不合规使用多种技术手段的恶意行为进行实时检测。
基于第一方面,进一步地,上述攻击检测层支持多种形式与跨协议栈的组合规则,进行固定规则匹配,包括全包浮动的多关键词与匹配,五元组、TCP标志位、包负载长度、特征字符串、统计规则、包负载长度序列规则任意组合成的复合规则匹配。
基于第一方面,进一步地,上述运维管理层支持hTTps、snmp v2c和ssh三种协议的交互,其中,hTTps用于提供配置维护的Web操作,snmp v2c和ssh用于直接从引擎读写状态、进行转发控制和流量监控的底层操作。
基于第一方面,进一步地,上述运维管理层采用B/S架构。
第二方面,本发明提供一种网络关口流量安全态势感知方法,包括以下步骤:
通过数据采集层基于PCAP抓取网络数据包,并将网络数据包分发给攻击检测层;
通过攻击检测层根据网络数据包,结合预置的黑名单库,进行协议解析和规则匹配,实时监测和分析网络攻击行为,并展示攻击行为数据;
通过运维管理层进行检测算法、均衡器调优,以及规则和离线包管理。
本发明至少具有如下优点或有益效果:
本发明提供一种网络关口流量安全态势感知系统及方法,通过获取骨干网络关口流量,在线分析网络协议以及应用特征,结合海量黑名单库,实时检测网络安全攻击行为,发现僵尸网络以及数据回传的C&C服务器,将所有分析结果汇入大数据处理平台,进一步分析隐藏的APT攻击等网络恶意行为,以及攻击源的追踪溯源,为辖区网络安全提供感知、发现、分析预警等保障。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例一种网络关口流量安全态势感知系统的架构示意图;
图2为本发明实施例中硬件接口关系图;
图3为本发明实施例中软件模块接口关系图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
实施例
如图1所示,第一方面,本发明实施例提供一种网络关口流量安全态势感知系统,包括数据采集层、攻击检测层以及运维管理层,其中:
数据采集层,用于基于PCAP抓取网络数据包,并将网络数据包分发给攻击检测层;
攻击检测层,用于根据网络数据包,结合预置的黑名单库,进行协议解析和规则匹配,实时监测和分析网络攻击行为,并展示攻击行为数据;
运维管理层,用于进行检测算法、均衡器调优,以及规则和离线包管理。上述运维管理层采用B/S架构。该运维管理层相当于是系统配置管理层,主要负责系统运行参数调节。主要用于态势感知系统及子系统调优,包括从检测算法调优、均衡器调优、规则管理等方面对系统运行配置进行参数优化,并且管理系统升级离线包,确保所用规则是最新的。
本系统采用分层设计,包括数据采集层、攻击检测层和运维管理层。以实时流量为驱动,可在线和离线解析网络协议以及应用特征,利用自研海量黑名单库检测和分析网络攻击行为,可对传统的缓冲区溢出、SQL注入、僵尸网络服务器、垃圾邮件、匿名通信行为、DDOS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测。在此基础上,针对工业互联网攻击行为进行了强化检测,可发现针对工业网络发起的网络侦察、端口扫描、权限枚举、代码渗透、漏洞利用、数据泄露、协议伪造、协议不合规使用等恶意行为。检测结果还可以汇入大数据处理平台,进一步分析深度隐藏的APT攻击等网络恶意行为,对攻击进行追踪溯源,为网络安全提供感知、发现、分析预警等方面的保障。适用于ISP骨干网、城域网、数据中心等大型网络环境。
本系统统筹考虑运营商接入控制模式,接合各域管理特点,建议沿用现有终端接入控制模式,分级部署,如果只关注省级关口流量,则可以采用集中式部署无需两级分布式部署方式。如果采用两级部署方式,可在总部(公司)部署一级管理平台,构建统一身份认证中心及策略管控中心,并采用“双机热备”工作模式提供策略管控服务;在各地区部署二级管理平台进行网络威胁实时检测,并接收一级管理平台下发的管控策略,对网络域接入终端进行安全管理。
例如:系统总体采用分布式架构,在A市和B市分别建设二级安全管理平台,在互联网关口处分出流量进行实时检测,基于配置好的规则发现威胁,将产生的安全事件上报省公司的一级管理平台进行聚合分析和风险研判。
本系统包括硬件和软件两大板块,涉及硬件接口和软件模块接口。硬件接口关系如图2所示,数据从分流器接入二级检测平台的QSFP+/SFP+接口进行处理;事件和日志通过VPN发到一级安全管理平台的全流量态势感知服务器;运维工作站可以和操控终端合并,也可以是单独的模块,通过交换卡的GE接口进行管理。软件模块是解耦设计,不受硬件接口的限制,内部逻辑接口关系如图3所示。
基于第一方面,进一步地,上述攻击检测层包括协议级别均衡器子系统、快速查表引擎子系统、规则关联分析引擎子系统、规则管理子系统以及事件分发订阅子系统。
基于第一方面,进一步地,上述数据采集层包括PCAP包自动存储和推送子系统及流分发和均衡子系统,其中:
PCAP包自动存储和推送子系统,用于基于PCAP抓取并存储网络数据包,并将网络数据包推送给流分发和均衡子系统;
流分发和均衡子系统,用于对接收的网络数据包进行均衡分流,并分发给协议级别均衡器子系统和快速查表引擎子系统。
基于第一方面,进一步地,上述运维管理层包括检测算法调优子系统、均衡器调优子系统、规则管理子系统以及离线包管理子系统。
基于第一方面,进一步地,上述攻击检测层内置解码器,支持基于以太网的MPLS、IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS、FTP、TELNET、TLS多种网络基础协议的识别和解析,用于对各类黑客攻击和恶意流量进行实时检测。
本系统具备基础协议解析能力,基于此,可以对缓冲区溢出、SQL 注入、僵尸网络服务器、垃圾邮件、匿名通信行为、DDOS 攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量等传统攻击进行实时检测。
基于第一方面,进一步地,上述攻击检测层还支持基于DNP3、MODBUS、ENIP、S7、OPCDA、OPC UA多种工控规约/协议的深度解析,用于对采用网络侦察、端口扫描、权限枚举、代码渗透、漏洞利用、数据泄露、协议伪造、协议不合规使用多种技术手段的恶意行为进行实时检测。
系统支持基于DNP3、MODBUS、ENIP、S7、OPC DA、OPC UA等十余种常用工控规约(协议)的深度解析,并可定制和扩展。能对采用网络侦察、端口扫描、权限枚举、代码渗透、漏洞利用、数据泄露、协议伪造、协议不合规使用等技术手段的恶意行为进行实时检测。在不超出性能设计范围、流完整、非0-Day已知漏洞条件下,高危和超危事件误报率低于5%,漏报率低于5%。
基于第一方面,进一步地,上述攻击检测层支持多种形式与跨协议栈的组合规则,进行固定规则匹配,包括全包浮动的多关键词与匹配,五元组、TCP标志位、包负载长度、特征字符串、统计规则、包负载长度序列规则任意组合成的复合规则匹配。
固定规则匹配通过支持多种形式与跨协议栈的组合规则,实现多维灵活的网络数据筛选,包括全包浮动的多关键词与匹配,五元组、TCP标志位、包负载长度、特征字符串、统计规则、包负载长度序列规则任意组合成的符合规则匹配等。基于以上技术,可对缓冲区溢出、SQL注入、暴力猜测、DDOS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警。可监测异常流量并预警,误报率不高于1%。
系统预置了包含有40多种攻击模式的规则库,总有效规则数不低于50000条。其中,针对DNS、FTP、ICMP、POP3、IMAP、SMTP、SNMP、TELNET、TFTP、NETBIOS、P2P等协议识别的规则不少于500条,相关攻击行为检测规则不少于35000条;针对SCADA工业互联网协议进行识别的规则不少于200条,相关攻击行为检测规则不少于10000条。
为便于扩展,系统支持SNORT语法格式的自定义规则,并且提供了友好的规则编辑界面。生成的规则和预置固定规则库具备完全相同的检测能力。用户或者第三方安全运维团队可根据网络现实情况,手工添加相关安全监测规则,进一步提高系统的长期有效性。
本系统还支持函数运算匹配,函数运算匹配支持面向数据流的数值计算。运算关系包括但不限于常规四则运算、模运算、逻辑运算、基本数学运算等,支持用户自定义运算规则实现对具有特定特征的数据流的检测识别。插件用标准的编程语言编写,调用封装好的API函数实现各种检测逻辑,可以对任意报文的任意部分进行采样处理,可以多个插件协同工作,从而实现比snort规则更为复杂的深度检测功能。插件的执行主体是ELF格式的动态目标文件(shared object),用自研的编译器进行了二次封装,可被多个检测流同时加载到内存中共享执行,从而节约资源,提升性能。
基于第一方面,进一步地,上述运维管理层支持hTTps、snmp v2c和ssh三种协议的交互,其中,hTTps用于提供配置维护的Web操作,snmp v2c和ssh用于直接从引擎读写状态、进行转发控制和流量监控的底层操作。
由于hTTps服务用于支撑运维Web界面,需要的运行时资源量较大,为了不影响性能,外置专门的服务器。snmp服务和ssh服务内置在服务器上,可根据命令实时响应。这些服务均工作在带外模式,其流量通过交换卡CPU上独立的1GE接口收发,不会占用业务通道。为保证安全性,snmp使用v2c版本,ssh则在openssh 7.8p1的基础上进行了加固,修补了已知的CVE漏洞,去掉了协议交互过程中可能被攻击者探测的冗余信息。功能如下:状态监控、业务卡管理、流量监控、VLAN管理、转发控制。
在本发明的一些实施例中,本系统还具备取证留存功能,包括取证和重定向和文件还原。
取证和重定向:留存攻击证据是网络安全检测和防护的基本要求。证据具有准确、完整、保密和不可抵赖等特点。用户可以依据现场需求灵活定制取证策略,留存“仅命中”、“命中后N包”或“命中后全部”报文。报文携带有数据来源信息和规则命中信息,可按时间戳和流特征分类存放,可通过运维管理层中的配置管理界面提取到本地。产品还支持流过滤器重定向,匹配规则的流可以被重定向到交换卡(或机框)的指定物理端口发出,以便被其它设备进一步处理。其中,软件过滤器支持复杂的snort规则组合和函数式插件,重定向的详细情况也可通过配置管理界面查询。
本功能通过攻击检测层的检测引擎实现。首先,报文被引擎的解码器分析后分发到正确的协议处理模块,协议处理模块对该五元组后续的报文进行重组,建立流信息。如果是TCP流,需要收到三次握手报文,如果是UDP流,需要收到至少一个应答报文。建流完成后,流信息被注册到检测模块,规则对每个报文生效,如果对该规则使能取证标志位,那么这条流的报文将按照取证类型,即“仅命中”、“命中后N包”或“命中后全部”通过内部总线存储到业务卡的数据库;如果对该规则使能重定向标志位并且重定向端口可用,则这条流的报文将被全部复制到指定端口发送。
文件还原:支持对HTTP、SMTP、FTP等协议流中携带的文件进行还原的能力。首先,引擎通过协议分析器对流进行跟踪和重组,然后,解析器会根据情况对数据进行解压缩。还原后的数据文件,可以批量导入沙箱系统,用于进一步的分析和取证留存。
在本发明的一些实施例中,本系统还具备关联分析功能,本功能是后台和用户面核心内容,分成两个交互子系统和一个核心算法集合模块。运维子系统支持用户通过友好界面进行运维管理,对软件相关的控制面功能进行配置维护。运维管理层中的业务子系统支持用户进行规则编辑、事件处理、日志备份、证据转储、联机分析和报告生成等安全业务方面的功能。态势感知算法集依赖智能化分析,能从大量数据中分析出有效的安全问题。算法包括流量特征、行为分析建模、各类监督学习算法、机器学习、大数据关联等技术,可对流量进行检测分析,解决基于静态和动态特征库的安全检测导致未知威胁不可知的问题,具备不依赖规则而检测低概率威胁的能力,有效检测APT攻击和潜伏在网络内部的未知威胁,提升整体网络安全能力。
通过实时关联分析和事件分发订阅服务,可以展示中国/世界范围内的攻击被攻击汇总详情,列出详细的攻击源目标(城市,国家)TOP5、滚动显示最新的威胁数据并进行排行、可以进行规则规律和检索等。数据支持xml、yaml、json等多种格式的接口,可进行二次开发。
第二方面,本发明提供一种网络关口流量安全态势感知方法,包括以下步骤:
通过数据采集层基于PCAP抓取网络数据包,并将网络数据包分发给攻击检测层;
通过攻击检测层根据网络数据包,结合预置的黑名单库,进行协议解析和规则匹配,实时监测和分析网络攻击行为,并展示攻击行为数据;
通过运维管理层进行检测算法、均衡器调优,以及规则和离线包管理。
在本申请所提供的实施例中,应该理解到,所揭露的方法及系统,也可以通过其它的方式实现。以上所描述的方法及系统实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的方法及系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种网络关口流量安全态势感知系统,其特征在于,包括数据采集层、攻击检测层以及运维管理层;采用两级分布式部署方式,在总部部署一级管理平台,构建统一身份认证中心及策略管控中心,并采用双机热备工作模式提供策略管控服务;在各地区部署二级管理平台进行网络威胁实时检测,并接收一级管理平台下发的管控策略,对网络域接入终端进行安全管理;其中:
数据采集层,用于基于PCAP抓取网络数据包,并将网络数据包分发给攻击检测层;
攻击检测层,用于根据网络数据包,结合预置的黑名单库,进行协议解析和规则匹配,实时监测和分析网络攻击行为,并展示攻击行为数据;
运维管理层,用于进行检测算法、均衡器调优,以及规则和离线包管理。
2.根据权利要求1所述的一种网络关口流量安全态势感知系统,其特征在于,所述攻击检测层包括协议级别均衡器子系统、快速查表引擎子系统、规则关联分析引擎子系统、规则管理子系统以及事件分发订阅子系统。
3.根据权利要求2所述的一种网络关口流量安全态势感知系统,其特征在于,所述数据采集层包括PCAP包自动存储和推送子系统及流分发和均衡子系统,其中:
PCAP包自动存储和推送子系统,用于基于PCAP抓取并存储网络数据包,并将网络数据包推送给流分发和均衡子系统;
流分发和均衡子系统,用于对接收的网络数据包进行均衡分流,并分发给协议级别均衡器子系统和快速查表引擎子系统。
4.根据权利要求2所述的一种网络关口流量安全态势感知系统,其特征在于,所述运维管理层包括检测算法调优子系统、均衡器调优子系统、规则管理子系统以及离线包管理子系统。
5.根据权利要求1所述的一种网络关口流量安全态势感知系统,其特征在于,所述攻击检测层内置解码器,支持基于以太网的MPLS、IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS、FTP、TELNET、TLS多种网络基础协议的识别和解析,用于对各类黑客攻击和恶意流量进行实时检测。
6.根据权利要求1所述的一种网络关口流量安全态势感知系统,其特征在于,所述攻击检测层还支持基于DNP3、MODBUS、ENIP、S7、OPC DA、OPC UA多种工控规约/协议的深度解析,用于对采用网络侦察、端口扫描、权限枚举、代码渗透、漏洞利用、数据泄露、协议伪造、协议不合规使用多种技术手段的恶意行为进行实时检测。
7.根据权利要求1所述的一种网络关口流量安全态势感知系统,其特征在于,所述攻击检测层支持多种形式与跨协议栈的组合规则,进行固定规则匹配,包括全包浮动的多关键词与匹配,五元组、TCP标志位、包负载长度、特征字符串、统计规则、包负载长度序列规则任意组合成的复合规则匹配。
8.根据权利要求1所述的一种网络关口流量安全态势感知系统,其特征在于,所述运维管理层支持hTTps、snmp v2c和ssh三种协议的交互,其中,hTTps用于提供配置维护的Web操作,snmp v2c和ssh用于直接从引擎读写状态、进行转发控制和流量监控的底层操作。
9.根据权利要求1所述的一种网络关口流量安全态势感知系统,其特征在于,所述运维管理层采用B/S架构。
10.一种网络关口流量安全态势感知方法,其特征在于,包括以下步骤:
采用两级分布式部署方式,在总部部署一级管理平台,构建统一身份认证中心及策略管控中心,并采用双机热备工作模式提供策略管控服务;在各地区部署二级管理平台进行网络威胁实时检测,并接收一级管理平台下发的管控策略,对网络域接入终端进行安全管理;
通过数据采集层基于PCAP抓取网络数据包,并将网络数据包分发给攻击检测层;
通过攻击检测层根据网络数据包,结合预置的黑名单库,进行协议解析和规则匹配,实时监测和分析网络攻击行为,并展示攻击行为数据;
通过运维管理层进行检测算法、均衡器调优,以及规则和离线包管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311111229.8A CN116827698B (zh) | 2023-08-31 | 2023-08-31 | 一种网络关口流量安全态势感知系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311111229.8A CN116827698B (zh) | 2023-08-31 | 2023-08-31 | 一种网络关口流量安全态势感知系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116827698A CN116827698A (zh) | 2023-09-29 |
| CN116827698B true CN116827698B (zh) | 2023-12-05 |
Family
ID=88143274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311111229.8A Active CN116827698B (zh) | 2023-08-31 | 2023-08-31 | 一种网络关口流量安全态势感知系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116827698B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN104468537A (zh) * | 2014-11-25 | 2015-03-25 | 公安部第三研究所 | 实现安全审计的系统及方法 |
| CN105187771A (zh) * | 2015-07-31 | 2015-12-23 | 山东创德软件技术有限公司 | 一种厂级综合监管平台 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110636085A (zh) * | 2019-11-12 | 2019-12-31 | 中国移动通信集团广西有限公司 | 基于流量的攻击检测方法、装置及计算机可读存储介质 |
| CN115378647A (zh) * | 2022-07-15 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 一种基于流量规则特征的策略分析优化方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10063311B2 (en) * | 2013-07-17 | 2018-08-28 | Hughes Network Systems, Llc | System and architecture for space-based and mobile terrestrial sensor vehicles, and end-to-end network for aggregation and processing of sensor data |
-
2023
- 2023-08-31 CN CN202311111229.8A patent/CN116827698B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN104468537A (zh) * | 2014-11-25 | 2015-03-25 | 公安部第三研究所 | 实现安全审计的系统及方法 |
| CN105187771A (zh) * | 2015-07-31 | 2015-12-23 | 山东创德软件技术有限公司 | 一种厂级综合监管平台 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110636085A (zh) * | 2019-11-12 | 2019-12-31 | 中国移动通信集团广西有限公司 | 基于流量的攻击检测方法、装置及计算机可读存储介质 |
| CN115378647A (zh) * | 2022-07-15 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 一种基于流量规则特征的策略分析优化方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| DTR/ESI-000033.Technical Report Electronic Signatures and Infrastructures (ESI) * |
| Mapping Comparison Matrix between the US Federal Bridge CA Certificate Policy and the European Qualified Certificate Policy (TS 101 456).ETSI TR 102 458.2006,(V1.1.1),全文. * |
| 列车安全监测传感器网络分析与实验平台研究;张道于;中国优秀硕士学位论文全文数据库;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116827698A (zh) | 2023-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11902322B2 (en) | Method, apparatus, and system to map network reachability | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| Khan et al. | Network forensics: Review, taxonomy, and open challenges | |
| US20200412767A1 (en) | Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks | |
| CN112738016A (zh) | 一种面向威胁场景的智能化安全事件关联分析系统 | |
| US20160359887A1 (en) | Domain name system (dns) based anomaly detection | |
| CN108111487B (zh) | 一种安全监控方法及系统 | |
| CN110113350B (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
| Mukhopadhyay et al. | A comparative study of related technologies of intrusion detection & prevention systems | |
| Bidou | Security operation center concepts & implementation | |
| Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| Zhou et al. | Netsecradar: A visualization system for network security situational awareness | |
| Qiu et al. | Global Flow Table: A convincing mechanism for security operations in SDN | |
| Haddadi et al. | Botnet behaviour analysis: How would a data analytics‐based system with minimum a priori information perform? | |
| Roponena et al. | Towards a Human-in-the-Loop Intelligent Intrusion Detection System. | |
| Bryant | Hacking SIEMs to Catch Hackers: Decreasing the Mean Time to Respond to Network Security Events with a Novel Threat Ontology in SIEM Software | |
| CN116827698B (zh) | 一种网络关口流量安全态势感知系统及方法 | |
| CN117792733A (zh) | 一种网络威胁的检测方法及相关装置 | |
| Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
| Jain et al. | The role of decision tree technique for automating intrusion detection system | |
| Pincovscy et al. | Methodology for Cyber Threat Intelligence with Sensor Integration | |
| Kruegel | Network alertness: towards an adaptive, collaborating intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |