本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域.,尤其涉及一種網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制裝置����。
背景技術(shù):
傳統(tǒng)的入侵檢測(cè)技巧分為兩種:基于誤用檢測(cè)(misused-based)技巧和基于異常檢測(cè)(anomaly-based)技巧。前者通過(guò)描述每一種攻擊的特殊模式來(lái)檢測(cè)����,是目前入侵檢測(cè)商業(yè)產(chǎn)品中使用的主要技巧,其依靠人為的預(yù)先設(shè)定報(bào)警規(guī)則來(lái)實(shí)現(xiàn)�����,所以在面對(duì)不斷變化的網(wǎng)絡(luò)攻擊時(shí)有其本身固有的缺陷����。網(wǎng)絡(luò)攻擊的行為是變化的��,方法、方式也是不斷變化的���,傳統(tǒng)的入侵檢測(cè)技術(shù)幾乎都把檢測(cè)的方法固化在程序中���,難以應(yīng)對(duì)實(shí)時(shí)變化的入侵方法(盡管目前有些產(chǎn)品提供了升級(jí)策略,但實(shí)施過(guò)程需要中斷業(yè)務(wù)��,其實(shí)質(zhì)就是重新更換OS���,難以根本性改變這種架構(gòu)模式的缺陷����?;诋惓z測(cè)技巧主要針對(duì)解決誤用檢測(cè)技巧所面臨的問(wèn)題,常見(jiàn)的異常流量檢測(cè)存在報(bào)警意義模糊�,誤報(bào)率較高,系統(tǒng)之間難以協(xié)同等問(wèn)題?����,F(xiàn)有的入侵檢測(cè)系統(tǒng)都是僅僅包含檢測(cè)的方法和能力����,并沒(méi)有在探測(cè)到入侵時(shí)能主動(dòng)實(shí)施防御策略��,而需要網(wǎng)絡(luò)管理員手工去配置一些額外的設(shè)備進(jìn)行防御����。
傳統(tǒng)入侵檢測(cè)僅僅是發(fā)現(xiàn)可疑的網(wǎng)絡(luò)行為并告警��,并不直接實(shí)施防御功能�,依賴(lài)于網(wǎng)絡(luò)管理員發(fā)現(xiàn)并根據(jù)經(jīng)驗(yàn)判斷,從而開(kāi)始其他設(shè)備�����,比如防火墻來(lái)對(duì)網(wǎng)絡(luò)行為進(jìn)行限制或者影響�����,但做不到比較實(shí)時(shí)的聯(lián)動(dòng)防御��。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的在于提供一種網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制裝置����,旨在解決傳統(tǒng)的入侵檢測(cè)存在面對(duì)不斷變化的網(wǎng)絡(luò)攻擊時(shí)有其本身固有的缺陷,報(bào)警意義模糊,誤報(bào)率較高����,系統(tǒng)之間難以協(xié)同,沒(méi)有在探測(cè)到入侵時(shí)能主動(dòng)實(shí)施防御策略�,需要網(wǎng)絡(luò)管理員手工配置設(shè)備進(jìn)行防御,但做不到比較實(shí)時(shí)的聯(lián)動(dòng)防御的問(wèn)題��。
本發(fā)明是這樣實(shí)現(xiàn)的�,一種網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制方法����,所述網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制方法包括:
進(jìn)行用戶(hù)局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā);
實(shí)現(xiàn)獲得基本的鏡像流量�,以及負(fù)責(zé)對(duì)鏡像流量數(shù)據(jù)進(jìn)行預(yù)處理;
規(guī)則庫(kù)獲取最新規(guī)則動(dòng)態(tài)���,同時(shí)實(shí)現(xiàn)數(shù)據(jù)連接����,轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài)�;
根據(jù)分析算法的不同或者變化動(dòng)態(tài)裝載分析算法到本聯(lián)動(dòng)控制系統(tǒng),從流量數(shù)據(jù)庫(kù)中依據(jù)標(biāo)準(zhǔn)的SQL規(guī)范來(lái)獲取數(shù)據(jù)進(jìn)行分析�;
存儲(chǔ)來(lái)自鏡像服務(wù)器的預(yù)處理流量,為各類(lèi)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器提供數(shù)據(jù)接口,支持網(wǎng)絡(luò)行為分析��;提供規(guī)則數(shù)據(jù)庫(kù)���,存儲(chǔ)進(jìn)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器產(chǎn)生的各類(lèi)判決規(guī)則��,同時(shí)判決規(guī)則數(shù)據(jù)庫(kù)為聯(lián)動(dòng)控制裝置服務(wù)器提供來(lái)源數(shù)據(jù)�����。
進(jìn)一步���,所述進(jìn)行用戶(hù)局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā)包括:正常流量時(shí),該裝置對(duì)數(shù)據(jù)包不起作用����;異常流量時(shí),根據(jù)動(dòng)態(tài)的轉(zhuǎn)發(fā)規(guī)則對(duì)異常流量實(shí)施丟棄處理�,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的區(qū)別對(duì)待,達(dá)到主動(dòng)阻斷網(wǎng)絡(luò)攻擊�。
進(jìn)一步,所述實(shí)現(xiàn)獲得基本的鏡像流量���,以及負(fù)責(zé)對(duì)鏡像流量數(shù)據(jù)進(jìn)行預(yù)處理包括:
在鏡像端口上捕獲數(shù)據(jù)包����,從TCP/IP協(xié)議棧的數(shù)據(jù)鏈路層開(kāi)始對(duì)數(shù)據(jù)包進(jìn)行分析,對(duì)數(shù)據(jù)包的源/目標(biāo)MAC地址����、IP地址、端口����、傳輸層協(xié)議類(lèi)型、TCP標(biāo)志字段�、序號(hào)����、確認(rèn)號(hào)、應(yīng)用層部分?jǐn)?shù)據(jù)字段進(jìn)行截取���,并包裝為新的數(shù)據(jù)包格式�,存入緩沖隊(duì)列中����;
從緩沖隊(duì)列中獲取數(shù)據(jù)包的線(xiàn)程將緩沖隊(duì)列中的自定義數(shù)據(jù)包信息處理到數(shù)據(jù)庫(kù)集群系統(tǒng)做階段性保存。
進(jìn)一步���,所述根據(jù)分析算法的不同或者變化動(dòng)態(tài)裝載到本聯(lián)動(dòng)控制系統(tǒng)�,從流量數(shù)據(jù)庫(kù)系統(tǒng)依據(jù)標(biāo)準(zhǔn)的SQL規(guī)范獲取數(shù)據(jù)進(jìn)行分析包括:
根據(jù)業(yè)務(wù)數(shù)據(jù)庫(kù)表字段,選取感興趣的部分字段查詢(xún)某段時(shí)間范圍內(nèi)的數(shù)據(jù)�����;
依據(jù)分析算法中的異常檢測(cè)模型(由具體的檢測(cè)算法確定)判斷網(wǎng)絡(luò)行為�����;如基于端口號(hào)匹配��、基于特征字段����,基于傳輸層行為模式、基于HTTP行為模式����,以及基于其他layer5層的數(shù)據(jù)特征等多種分析方法;
對(duì)異常流量進(jìn)行判決���,寫(xiě)入轉(zhuǎn)發(fā)規(guī)則至動(dòng)態(tài)規(guī)則庫(kù)��;
依據(jù)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器配置�,對(duì)動(dòng)態(tài)規(guī)則庫(kù)的規(guī)則進(jìn)行有效性及時(shí)間戳修改;
提供用戶(hù)配置界面����,對(duì)網(wǎng)絡(luò)行為檢測(cè)算法的各項(xiàng)參數(shù)進(jìn)行初始配置或修訂。
進(jìn)一步����,所述規(guī)則庫(kù)獲取最新規(guī)則動(dòng)態(tài),同時(shí)實(shí)現(xiàn)數(shù)據(jù)連接��,轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài)包括:
建立與流量數(shù)據(jù)庫(kù)集群系統(tǒng)之間的連接�����;
建立與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊之間的數(shù)據(jù)連接����;
依據(jù)聯(lián)動(dòng)控制調(diào)度配置實(shí)施規(guī)則調(diào)度策略�����;
將獲取到的動(dòng)態(tài)規(guī)則表數(shù)據(jù)轉(zhuǎn)換為T(mén)LY格式��,實(shí)現(xiàn)從聯(lián)動(dòng)控制裝置到數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的推送��。
本發(fā)明的另一目的在于提供一種所述網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制方法的網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制裝置,所述網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制裝置包括:
數(shù)據(jù)包轉(zhuǎn)發(fā)模塊���,用于進(jìn)行用戶(hù)局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā)�����;
數(shù)據(jù)包鏡像流量預(yù)處理模塊�,用于實(shí)現(xiàn)從數(shù)據(jù)包轉(zhuǎn)發(fā)模塊中獲得基本的鏡像流量����,以及負(fù)責(zé)對(duì)鏡像流量數(shù)據(jù)進(jìn)行預(yù)處理;
聯(lián)動(dòng)控制裝置模塊��,用于從流量數(shù)據(jù)庫(kù)集群系統(tǒng)中的規(guī)則庫(kù)獲取最新規(guī)則動(dòng)態(tài)���,同時(shí)與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊實(shí)現(xiàn)數(shù)據(jù)連接���,轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài),并推送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊��;
網(wǎng)絡(luò)行為檢測(cè)分析模塊��,根據(jù)分析算法的不同或者變化動(dòng)態(tài)裝入本聯(lián)動(dòng)控制系統(tǒng)����,從數(shù)據(jù)庫(kù)集群裝置處獲取數(shù)據(jù)�,依據(jù)標(biāo)準(zhǔn)的SQL規(guī)范從數(shù)據(jù)庫(kù)集群系統(tǒng)獲取數(shù)據(jù)進(jìn)行分析��;
流量數(shù)據(jù)庫(kù)集群系統(tǒng)�,用于存儲(chǔ)來(lái)自鏡像服務(wù)器的預(yù)處理流量,為各類(lèi)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器提供數(shù)據(jù)接口����,支持網(wǎng)絡(luò)行為分析;提供規(guī)則數(shù)據(jù)庫(kù)����,存儲(chǔ)進(jìn)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器產(chǎn)生的各類(lèi)判決規(guī)則,同時(shí)判決規(guī)則數(shù)據(jù)庫(kù)為聯(lián)動(dòng)控制裝置服務(wù)器提供來(lái)源數(shù)據(jù)�����。
進(jìn)一步���,所述數(shù)據(jù)包轉(zhuǎn)發(fā)模塊包括:數(shù)據(jù)輸入端口,數(shù)據(jù)輸出端口���,數(shù)據(jù)鏡像端口���,數(shù)據(jù)聯(lián)動(dòng)控制端口��。
進(jìn)一步��,所述數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器包括:
數(shù)據(jù)捕獲模塊����,用于在鏡像端口上捕獲數(shù)據(jù)包��,對(duì)數(shù)據(jù)包的源/目標(biāo)MAC地址����、IP地址、端口����、傳輸層協(xié)議類(lèi)型、TCP標(biāo)志字段�、序號(hào)、確認(rèn)號(hào)���、應(yīng)用層部分?jǐn)?shù)據(jù)字段進(jìn)行截取�,并包裝為新的數(shù)據(jù)包格式����,存入緩沖隊(duì)列中��;
數(shù)據(jù)包線(xiàn)程獲取模塊�����,用于從緩沖隊(duì)列中獲取數(shù)據(jù)包的線(xiàn)程����,線(xiàn)程是將緩沖隊(duì)列中的自定義數(shù)據(jù)包信息處理到數(shù)據(jù)庫(kù)集群系統(tǒng)做階段性保存���。
進(jìn)一步���,所述網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器包括:
選取模塊,用于根據(jù)業(yè)務(wù)數(shù)據(jù)庫(kù)表字段����,選取感興趣的部分字段查詢(xún)某段時(shí)間范圍內(nèi)的數(shù)據(jù);
判斷模塊����,用于依據(jù)分析算法中的異常檢測(cè)模型對(duì)數(shù)據(jù)進(jìn)行分析處理�����,判斷網(wǎng)絡(luò)行為;
寫(xiě)入模塊����,用于對(duì)異常流量進(jìn)行判決,寫(xiě)入轉(zhuǎn)發(fā)規(guī)則至動(dòng)態(tài)規(guī)則庫(kù)���;
修改模塊�����,用于依據(jù)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器配置���,對(duì)動(dòng)態(tài)規(guī)則庫(kù)的規(guī)則進(jìn)行有效性及時(shí)間戳修改;
修訂模塊����,用于提供用戶(hù)配置界面,對(duì)網(wǎng)絡(luò)行為檢測(cè)算法的各項(xiàng)參數(shù)進(jìn)行初始配置或修訂��;
進(jìn)一步�����,所述聯(lián)動(dòng)控制裝置服務(wù)器包括:
SQL連接模塊,用于建立與流量數(shù)據(jù)庫(kù)集群系統(tǒng)之間的連接���;
數(shù)據(jù)連接模塊�����,用于建立與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊之間的數(shù)據(jù)連接���;
實(shí)施模塊,用于依據(jù)聯(lián)動(dòng)控制調(diào)度配置實(shí)施規(guī)則調(diào)度策略�����;
推送模塊����,用于將獲取到的動(dòng)態(tài)規(guī)則表數(shù)據(jù)轉(zhuǎn)換為T(mén)LY格式,實(shí)現(xiàn)從聯(lián)動(dòng)控制裝置到數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的推送�����。
本發(fā)明提供的網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制裝置�,結(jié)合傳統(tǒng)的網(wǎng)絡(luò)異常檢測(cè)PHAD(packet headeranomaly detection)模型方法���,同時(shí)加以適當(dāng)?shù)木W(wǎng)絡(luò)流量特征向量,通過(guò)有限地對(duì)數(shù)據(jù)包內(nèi)容關(guān)鍵字段進(jìn)行檢測(cè)和分析�,力求準(zhǔn)確地判斷是否具有攻擊行為的網(wǎng)絡(luò)流量特征�����,在此基礎(chǔ)上��,通過(guò)對(duì)數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的轉(zhuǎn)發(fā)規(guī)則表實(shí)施動(dòng)態(tài)干預(yù)(主要指對(duì)規(guī)則的生效����、有效時(shí)間等進(jìn)行修改),實(shí)現(xiàn)對(duì)異常數(shù)據(jù)流量的阻斷����。本發(fā)明的主要特點(diǎn)是旁路分析攻擊行為,反向控制轉(zhuǎn)發(fā)行為��,當(dāng)探測(cè)到異常網(wǎng)絡(luò)攻擊時(shí)�,能實(shí)時(shí)加以對(duì)數(shù)據(jù)流的主動(dòng)截?cái)啵瑥亩_(dá)到主動(dòng)探測(cè)攻擊�、主動(dòng)防御的聯(lián)動(dòng)效果。本發(fā)明提出了一種既能檢測(cè)網(wǎng)絡(luò)攻擊行為�����,又能主動(dòng)防御的聯(lián)動(dòng)裝置,擴(kuò)展了傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)設(shè)備的能力�。
結(jié)合傳統(tǒng)的網(wǎng)絡(luò)異常檢測(cè)方法,同時(shí)加以有限地對(duì)數(shù)據(jù)包內(nèi)容關(guān)鍵字段進(jìn)行檢測(cè)和分析,在此基礎(chǔ)上�,通過(guò)對(duì)本裝置中的網(wǎng)絡(luò)轉(zhuǎn)發(fā)模塊的轉(zhuǎn)發(fā)規(guī)則表實(shí)施動(dòng)態(tài)干預(yù)(主要指對(duì)規(guī)則的生效、有效時(shí)間等進(jìn)行修改)��,實(shí)現(xiàn)對(duì)異常數(shù)據(jù)流量的阻斷��。本裝置的主要特點(diǎn)是旁路分析攻擊行為�,反向控制轉(zhuǎn)發(fā)行為,當(dāng)探測(cè)到異常網(wǎng)絡(luò)攻擊時(shí)�,能實(shí)時(shí)加以對(duì)數(shù)據(jù)流的主動(dòng)截?cái)啵瑥亩_(dá)到主動(dòng)探測(cè)攻擊�、主動(dòng)防御的聯(lián)動(dòng)效果。
本發(fā)明提供的網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制裝置將網(wǎng)絡(luò)入侵檢測(cè)功能與網(wǎng)絡(luò)主動(dòng)防御通過(guò)該技術(shù)方案形成一個(gè)有機(jī)的整體�����,二者之間不再獨(dú)立�����,而是在檢測(cè)算法的作用下相互聯(lián)動(dòng)�,做到比較實(shí)時(shí)的主動(dòng)網(wǎng)絡(luò)防御�����,整個(gè)過(guò)程不需要網(wǎng)絡(luò)管理人員參與����。同時(shí)����,防御的準(zhǔn)確度和有效性可以通過(guò)不斷地調(diào)整�、優(yōu)化檢測(cè)算法/方法來(lái)進(jìn)行改進(jìn),同時(shí)本技術(shù)方案對(duì)與新的檢測(cè)方法/方式的引入提供了即插即用的軟件接口�����,新增�、升級(jí)檢測(cè)方法與算法時(shí),無(wú)需中斷網(wǎng)絡(luò)業(yè)務(wù)�,實(shí)現(xiàn)了調(diào)整靈活,部署靈活�����。
附圖說(shuō)明
圖1是本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制裝置結(jié)構(gòu)示意圖��;
圖中:1、路由器�����;2�����、數(shù)據(jù)包轉(zhuǎn)發(fā)模塊�;3、用戶(hù)端�����;4�����、數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器���;5�、聯(lián)動(dòng)控制裝置服務(wù)器��;6���、網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器��;7�、流量數(shù)據(jù)庫(kù)集群系統(tǒng)。
具體實(shí)施方式
為了使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合實(shí)施例����,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解���,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明�。
本發(fā)明結(jié)合傳統(tǒng)的網(wǎng)絡(luò)異常檢測(cè)PHAD(packet headeranomaly detection)模型方法,同時(shí)加以適當(dāng)?shù)木W(wǎng)絡(luò)流量特征向量��,通過(guò)有限地對(duì)數(shù)據(jù)包內(nèi)容關(guān)鍵字段進(jìn)行檢測(cè)和分析���,力求準(zhǔn)確地判斷是否具有攻擊行為的網(wǎng)絡(luò)流量特征��,在此基礎(chǔ)上����,通過(guò)對(duì)數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的轉(zhuǎn)發(fā)規(guī)則表實(shí)施動(dòng)態(tài)干預(yù)(主要指對(duì)規(guī)則的生效、有效時(shí)間等進(jìn)行修改)�,實(shí)現(xiàn)對(duì)異常數(shù)據(jù)流量的阻斷。本發(fā)明的主要特點(diǎn)是旁路分析攻擊行為�,反向控制轉(zhuǎn)發(fā)行為,當(dāng)探測(cè)到異常網(wǎng)絡(luò)攻擊時(shí)����,能實(shí)時(shí)加以對(duì)數(shù)據(jù)流的主動(dòng)截?cái)啵瑥亩_(dá)到主動(dòng)探測(cè)攻擊���、主動(dòng)防御的聯(lián)動(dòng)效果���。
下面結(jié)合附圖對(duì)本發(fā)明的結(jié)構(gòu)作詳細(xì)的描述。
如圖1所示���,本發(fā)明實(shí)施例的網(wǎng)絡(luò)入侵探測(cè)與主動(dòng)防御聯(lián)動(dòng)控制裝置包括:路由器1�����、數(shù)據(jù)包轉(zhuǎn)發(fā)模塊2�����、用戶(hù)端3����、數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器4、聯(lián)動(dòng)控制裝置服務(wù)器5�、網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器6、流量數(shù)據(jù)庫(kù)集群系統(tǒng)7�。
路由器1,
數(shù)據(jù)包轉(zhuǎn)發(fā)模塊2�,用于進(jìn)行用戶(hù)局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā);
用戶(hù)端3��,
數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器4���,用于實(shí)現(xiàn)從數(shù)據(jù)包轉(zhuǎn)發(fā)模塊中獲得基本的鏡像流量���,以及負(fù)責(zé)對(duì)鏡像流量數(shù)據(jù)進(jìn)行預(yù)處理;
聯(lián)動(dòng)控制裝置服務(wù)器5����,用于從流量數(shù)據(jù)庫(kù)集群系統(tǒng)中的規(guī)則庫(kù)獲取最新規(guī)則動(dòng)態(tài)�����,同時(shí)與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊實(shí)現(xiàn)數(shù)據(jù)連接�����,轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài),并推送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊�����。
網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器6����,根據(jù)分析算法的不同或者變化動(dòng)態(tài)裝入,從數(shù)據(jù)庫(kù)集群裝置處獲取數(shù)據(jù)�,依據(jù)標(biāo)準(zhǔn)的SQL規(guī)范從數(shù)據(jù)庫(kù)集群系統(tǒng)獲取數(shù)據(jù)進(jìn)行分析。
流量數(shù)據(jù)庫(kù)集群系統(tǒng)7�,用于存儲(chǔ)來(lái)自鏡像服務(wù)器的預(yù)處理流量,為各類(lèi)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器提供數(shù)據(jù)接口����,支持網(wǎng)絡(luò)行為分析;提供規(guī)則數(shù)據(jù)庫(kù)�����,存儲(chǔ)進(jìn)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器產(chǎn)生的各類(lèi)判決規(guī)則��,同時(shí)判決規(guī)則數(shù)據(jù)庫(kù)為聯(lián)動(dòng)控制裝置服務(wù)器提供來(lái)源數(shù)據(jù)。
下面結(jié)合附圖對(duì)本發(fā)明的工作原理作進(jìn)一步的描述����。
本發(fā)明裝置在用戶(hù)的網(wǎng)絡(luò)環(huán)境中,引入數(shù)據(jù)包轉(zhuǎn)發(fā)模塊���、數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器���、聯(lián)動(dòng)控制裝置服務(wù)器、流量數(shù)據(jù)庫(kù)集群系統(tǒng)與網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器��,其中網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器可根據(jù)分析算法的不同或者變化動(dòng)態(tài)裝入��,靈活性好�����,行為網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器之間互不影響�����。
1��、數(shù)據(jù)包轉(zhuǎn)發(fā)模塊
數(shù)據(jù)包轉(zhuǎn)發(fā)模塊類(lèi)似于交換機(jī)�,其目的和功能是進(jìn)行用戶(hù)局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā),對(duì)正常流量而言���,為透明的(即不起任何作用)�,對(duì)異常流量�,可根據(jù)動(dòng)態(tài)的的轉(zhuǎn)發(fā)規(guī)則對(duì)這部分流量實(shí)施丟棄處理,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的區(qū)別對(duì)待�����,達(dá)到主動(dòng)阻斷網(wǎng)絡(luò)攻擊的行為���。
數(shù)據(jù)包轉(zhuǎn)發(fā)模塊是多端口設(shè)備�����,至少應(yīng)具備數(shù)據(jù)輸入端口�����,數(shù)據(jù)輸出端口�,數(shù)據(jù)鏡像端口�����,數(shù)據(jù)聯(lián)動(dòng)控制端口,根據(jù)用戶(hù)的需求���,該設(shè)備也可具備兩種類(lèi)型的數(shù)據(jù)鏡像端口�����,分別是出網(wǎng)絡(luò)數(shù)據(jù)與入網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行引流����。
在數(shù)據(jù)包轉(zhuǎn)發(fā)模塊中�,數(shù)據(jù)包的轉(zhuǎn)發(fā)依據(jù)如下規(guī)則表:表1轉(zhuǎn)發(fā)規(guī)則表
如上規(guī)則示意表,轉(zhuǎn)發(fā)模塊依據(jù)源/目標(biāo)MAC地址���,IP地址����,端口��,有效期實(shí)施對(duì)流量的判決����,drop為丟棄,accept為放行����,其規(guī)則表本身是動(dòng)態(tài)實(shí)時(shí)變化的,來(lái)源為聯(lián)動(dòng)控制裝置服務(wù)器��。
2.數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器
實(shí)現(xiàn)從數(shù)據(jù)包轉(zhuǎn)發(fā)模塊中獲得基本的鏡像流量�,以及負(fù)責(zé)對(duì)鏡像流量數(shù)據(jù)進(jìn)行預(yù)處理,具體的處理方案如下:
1)在鏡像端口上捕獲數(shù)據(jù)包�����,對(duì)數(shù)據(jù)包的源/目標(biāo)MAC地址�、IP地址、端口����、傳輸層協(xié)議類(lèi)型、TCP標(biāo)志字段(flag)���、序號(hào)����、確認(rèn)號(hào)����、應(yīng)用層部分?jǐn)?shù)據(jù)字段進(jìn)行截取����,并包裝為新的數(shù)據(jù)包格式��,存入緩沖隊(duì)列中��。同時(shí)應(yīng)設(shè)計(jì)適當(dāng)?shù)木彌_隊(duì)列容限�����,但數(shù)據(jù)流量超過(guò)隊(duì)列的平均長(zhǎng)度時(shí)����,實(shí)施概率性的丟包策略,確保數(shù)據(jù)鏡像服務(wù)器自身的穩(wěn)定運(yùn)行�。
2)設(shè)計(jì)從緩沖隊(duì)列中獲取數(shù)據(jù)包的線(xiàn)程,該線(xiàn)程的主要作用是將緩沖隊(duì)列中的自定義數(shù)據(jù)包信息處理到數(shù)據(jù)庫(kù)集群系統(tǒng)做階段性保存��;
3.流量數(shù)據(jù)庫(kù)集群系統(tǒng)
流量數(shù)據(jù)庫(kù)根據(jù)用戶(hù)網(wǎng)絡(luò)的規(guī)模����,應(yīng)設(shè)置為大小不等的數(shù)據(jù)庫(kù)集群系統(tǒng),主要通過(guò)Scale Out橫向擴(kuò)展的方法�����,增加處理節(jié)點(diǎn)以提高整體處理能力。網(wǎng)絡(luò)流量越大��,理論上集群系統(tǒng)的節(jié)點(diǎn)��,存儲(chǔ)空間越大�。由于網(wǎng)絡(luò)流量的巨大����,該集群系統(tǒng)的存儲(chǔ)容量并不需要無(wú)限制擴(kuò)大來(lái)面對(duì)流量的劇增,而是采用存儲(chǔ)N天的機(jī)制���,實(shí)施對(duì)過(guò)期數(shù)據(jù)的復(fù)寫(xiě)�����,刪除超過(guò)門(mén)限值的歷史數(shù)據(jù)���,實(shí)現(xiàn)循環(huán)利用磁盤(pán)空間。上述所有的內(nèi)容都要依據(jù)公司內(nèi)部的業(yè)務(wù)場(chǎng)景���、數(shù)據(jù)量�、訪(fǎng)問(wèn)量���、并發(fā)量���、高可用的要求�����、DBA人群的數(shù)量等綜合權(quán)衡���。
該流量數(shù)據(jù)庫(kù)集群系統(tǒng)主要有兩方面的作用,一是存儲(chǔ)來(lái)自鏡像服務(wù)器的預(yù)處理流量�����,而是為各類(lèi)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器提供數(shù)據(jù)接口���,支持網(wǎng)絡(luò)行為分析���,三是提供規(guī)則數(shù)據(jù)庫(kù),存儲(chǔ)進(jìn)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器產(chǎn)生的各類(lèi)判決規(guī)則��,同時(shí)判決規(guī)則數(shù)據(jù)庫(kù)為聯(lián)動(dòng)控制裝置提供了來(lái)源數(shù)據(jù)�。
一般來(lái)說(shuō),其具體設(shè)計(jì)方案為:
1)基于用戶(hù)網(wǎng)絡(luò)規(guī)模等因素,搭建基于mysql的數(shù)據(jù)庫(kù)集群系統(tǒng)��。
2)構(gòu)建業(yè)務(wù)數(shù)據(jù)庫(kù)表�。
3)構(gòu)建轉(zhuǎn)發(fā)規(guī)則數(shù)據(jù)庫(kù)。
4)提供標(biāo)準(zhǔn)查詢(xún)接口�����,為網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器���,聯(lián)動(dòng)控制裝置服務(wù)器提供數(shù)據(jù)服務(wù)。
其中業(yè)務(wù)數(shù)據(jù)庫(kù)表格式定義如下:
流量規(guī)則庫(kù)表結(jié)構(gòu)參見(jiàn)表1���。
3.網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器
網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器可根據(jù)分析算法的不同或者變化動(dòng)態(tài)裝入���,靈活性好,行為網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器之間互不影響���。行為網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器從數(shù)據(jù)庫(kù)集群裝置處獲取數(shù)據(jù)��,可以依據(jù)標(biāo)準(zhǔn)的SQL規(guī)范從數(shù)據(jù)庫(kù)集群系統(tǒng)獲取數(shù)據(jù)進(jìn)行分析���,具體的分析方法多種多樣。但數(shù)據(jù)分析的主要思路及解決方案如下:
1)根據(jù)業(yè)務(wù)數(shù)據(jù)庫(kù)表字段�����,選取感興趣的部分字段查詢(xún)某段時(shí)間范圍內(nèi)的數(shù)據(jù);
2)依據(jù)這些數(shù)據(jù)的可能存在的內(nèi)在規(guī)律(由具體的檢測(cè)算法確定)判斷網(wǎng)絡(luò)行為��,如基于端口號(hào)匹配�、基于特征字段,基于傳輸層行為模式�、基于HTTP行為模式,以及基于其他layer5層的數(shù)據(jù)特征等多種分析方法����。
3)對(duì)異常流量進(jìn)行判決,寫(xiě)入轉(zhuǎn)發(fā)規(guī)則至動(dòng)態(tài)規(guī)則庫(kù)��;
4)依據(jù)網(wǎng)絡(luò)行為檢測(cè)分析服務(wù)器配置��,對(duì)動(dòng)態(tài)規(guī)則庫(kù)的規(guī)則進(jìn)行有效性及時(shí)間戳修改�����;
5)提供用戶(hù)配置界面��,對(duì)網(wǎng)絡(luò)行為檢測(cè)算法的各項(xiàng)參數(shù)進(jìn)行初始配置或修訂�;
4.聯(lián)動(dòng)控制裝置服務(wù)器
在于從流量數(shù)據(jù)庫(kù)集群系統(tǒng)中的規(guī)則庫(kù)獲取最新規(guī)則動(dòng)態(tài),同時(shí)與本發(fā)明中的數(shù)據(jù)包轉(zhuǎn)發(fā)模塊實(shí)現(xiàn)數(shù)據(jù)連接,轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài)��,并推送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊�����。具體的設(shè)計(jì)方案如下:
1)建立與流量數(shù)據(jù)庫(kù)集群系統(tǒng)之間的連接��;
2)建立與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊之間的數(shù)據(jù)連接��;
3)依據(jù)聯(lián)動(dòng)控制調(diào)度配置(間隔時(shí)間�,數(shù)據(jù)庫(kù)配置信息)等實(shí)施規(guī)則調(diào)度策略;
4)將獲取到的動(dòng)態(tài)規(guī)則表數(shù)據(jù)轉(zhuǎn)換為T(mén)LY格式���,實(shí)現(xiàn)從聯(lián)動(dòng)控制裝置到數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的推送。
以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�����、等同替換和改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。