本發(fā)明涉及網絡安全技術領域,具體而言,涉及一種自調節(jié)過濾方法、裝置及網絡安全系統(tǒng)。
背景技術:
隨著網絡應用的普及,人們對于網絡的依賴性越來越強,傳統(tǒng)有線網絡的局限性也就越來越突出,出現了諸多問題,比如:線路故障、新網絡節(jié)點的加入、已有節(jié)點不能任意變更位置、布線費高用等。基于這樣的背景,無線網絡顯現了優(yōu)勢,例如:無線網絡具有高靈活性、低成本、易操作等特點,得到了更多用戶的青睞,隨著無線網絡的普及應用,伴隨而來的是無線網絡的安全問題。
為了能夠保證無線網絡的安全性,目前當發(fā)現網絡中的數據包存在一個攻擊或可疑攻擊之后,需要查找網絡日志,并且分析網絡日志中與該攻擊相關的各個字段,但是隨著網絡規(guī)模的擴大,各種日志是海量的,從而造成現有網絡安全的分析效率較低、工作量非常大的問題。并且與該攻擊信息相應的各字段不一定存在于已有的日志信息中。因而在大數據時代下,按照傳統(tǒng)的方法進行關聯性分析幾乎是無法完成的,也即實現無線網絡中對存在安全隱患的數據包實現自動防御是亟待解決的問題。
技術實現要素:
有鑒于此,本發(fā)明的目的在于提供一種自調節(jié)過濾方法,根據預存的安全策略、預存的安全算法得到安全數據包并獲得新的安全策略從而實現對預存安全策略的更新以及對數據包的安全檢測,并對存在安全隱患的數據包實現自動防御。
本發(fā)明的另一目的在于提供一種自調節(jié)過濾裝置,根據預存的安全策略、預存的安全算法得到安全數據包并獲得新的安全策略從而實現對預存安全策略的更新以及對數據包的安全檢測,并對存在安全隱患的數據包實現自動防御。
本發(fā)明的另一目的在于提供一種網絡安全系統(tǒng),根據預存的安全策略、預存的安全算法得到安全數據包并獲得新的安全策略從而實現對預存安全策略的更新以及對數據包的安全檢測,并對存在安全隱患的數據包實現自動防御。
為實現上述目的,本發(fā)明實施例采用如下技術方案:
本發(fā)明提供一種自調節(jié)過濾方法,所述方法包括:
根據預存的安全策略對輸入數據包進行檢測,攔截檢測存在安全隱患的數據包,得到安全數據包。
對所述安全數據包和所述輸入數據包進行參數測量得到參數測量結果。
根據預存的安全算法和所述參數測量結果得到新的安全策略。
根據所述新的安全策略對所述預存的安全策略進行配置。
可選的,在上述自調節(jié)過濾方法中,所述自調節(jié)過濾方法還包括:
根據預存的被保護規(guī)則對所述安全數據包進行匹配檢測,攔截與所述預存的被保護規(guī)則不匹配的安全數據包得到被保護數據包,并根據被保護數據包對預存的安全策略進行調整。
可選的,在上述自調節(jié)過濾方法中,所述預存的安全策略為多種,所述根據所述新的安全策略對所述預存的安全策略進行配置的步驟包括:
判斷所述預存的安全策略中是否包括所述新的安全策略。
當不包括所述新的安全策略時,將所述新的安全策略寫入所述預存的安全策略中。
本發(fā)明還提供一種自調節(jié)過濾裝置,所述裝置包括:
策略執(zhí)行模塊,用于根據預存的安全策略對輸入數據包進行檢測,攔截檢測存在安全隱患的數據包,得到安全數據包。
參數測量模塊:用于對所述安全數據包和所述輸入數據包進行參數測量得到參數測量結果。
智能評估模塊:用于根據預存的安全算法和所述參數測量結果得到新的安全策略。
策略生成模塊:用于根據所述新的安全策略對所述預存的安全策略進行配置。
可選的,在上述自調節(jié)過濾裝置中,所述自調節(jié)過濾裝置還包括:
被保護應用模塊,用于根據預存的被保護規(guī)則對所述安全數據包進行匹配檢測,攔截與所述預存的被保護規(guī)則不匹配的安全數據包得到被保護數據包,并根據被保護數據包對預存的安全策略進行調整。
可選的,在上述自調節(jié)過濾裝置中,所述預存的安全策略為多種,所述策略生成模塊包括:
判斷子模塊:用于判斷所述預存的安全策略中是否包括所述新的安全策略。
更新子模塊:當不包括所述新的安全策略時,將所述新的安全策略寫入所述預存的安全策略中。
本發(fā)明還提供一種網絡安全系統(tǒng),包括安全控制器和子控制端。
所述子控制端包括上述的自調節(jié)過濾裝置,所述安全控制器中存儲有預存的安全策略、預存的安全算法和預存的被保護規(guī)則的信息,所述安全控制器用于與所述子控制端進行信息交互。
可選的,在上述網絡安全系統(tǒng)中,所述網絡安全系統(tǒng)還包括適配器,所述子控制端通過所述適配器與所述安全控制器進行信息交互。
可選的,在上述網絡安全系統(tǒng)中,所述子控制端用于對所述輸入數據包進行多次循環(huán)檢測。
可選的,在上述網絡安全系統(tǒng)中,所述子控制端對所述輸入數據包進行3至6次循環(huán)檢測。
本發(fā)明提供的一種自調節(jié)過濾方法、裝置及網絡安全系統(tǒng),根據預存的安全策略、預存的安全算法得到安全數據包并獲得新的安全策略從而實現對預存安全策略的更新以及對數據包的安全檢測,并能對存在安全隱患的數據包實現自動防御。
為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂,下文特舉較佳實施例,并配合所附附圖,作詳細說明如下。
附圖說明
為了更清楚地說明本發(fā)明實施例的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,應當理解,以下附圖僅示出了本發(fā)明的部分實施例,因此不應被看作是對本發(fā)明保護范圍的限定,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據這些附圖獲得其他相關的附圖。
圖1為本發(fā)明實施例提供的一種網絡安全系統(tǒng)方框示意圖。
圖2為本發(fā)明實施例提供的一種自調節(jié)過濾裝置的方框示意圖。
圖3為本發(fā)明實施例提供的一種策略生成模塊的方框示意圖。
圖4為本發(fā)明實施例提供的一種自調節(jié)過濾方法的流程示意圖。
圖5為圖4中步驟S150的一種子步驟示意圖。
圖標:10-子控制端;20-適配器;30-安全控制器;100-自調節(jié)過濾裝置;110-策略執(zhí)行模塊;120-參數測量模塊;130-被保護應用模塊;140-智能評估模塊;150-策略生成模塊;152-判斷子模塊;154-更新子模塊。
具體實施方式
為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚,下面將結合本發(fā)明實施例中的附圖,對本發(fā)明施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例。通常在此處附圖中描述和示出的本發(fā)明實施例的組件可以以各種不同的配置來布置和設計。
因此,以下對在附圖中提供的本發(fā)明的實施例的詳細描述并非旨在限制要求保護的本發(fā)明的范圍,而是僅僅表示本發(fā)明的選定實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
應注意到:相似的標號和字母在下面的附圖中表示類似項,因此,一旦某一項在一個附圖中被定義,則在隨后的附圖中不需要對其進行進一步定義和解釋。
在本發(fā)明的描述中,還需要說明的是,除非另有明確的規(guī)定和限定,術語“設置”、“連接”應做廣義理解,例如,可以是固定連接,也可以是可拆卸連接,或一體地連接;可以是機械連接,也可以是電連接;可以是直接相連,也可以通過中間媒介間接相連,可以是兩個元件內部的連通。對于本領域的普通技術人員而言,可以具體情況理解上述術語在本發(fā)明中的具體含義。
如圖1所示,是本發(fā)明實施例提供的一種網絡安全系統(tǒng)的示意圖。所述網絡安全系統(tǒng)包括:子控制端10和安全控制器30。
所述子控制端10包括自調節(jié)過濾裝置100。所述子控制端10可以是終端設備,還可以是交換機或訪問節(jié)點,在此不做具體限定。具體的,所述子控制端10可以包括存儲器(圖中未示出)和處理器(圖中未示出),所述自調節(jié)過濾裝置100存儲于所述存儲器中,所述自調節(jié)過濾裝置100包括至少一個可以用軟件或固件(firmware)的形式存儲于所述存儲器中的軟件功能模塊,所述處理器通過運行存儲在存儲器內的軟件程序以及模塊,如本發(fā)明實施例中的自調節(jié)過濾裝置100,從而執(zhí)行各種功能應用以及數據處理,即實現本發(fā)明實施例中的自調節(jié)過濾方法。
所述存儲器可以是,但不限于,隨機存取存儲器(Random Access Memory,RAM),只讀存儲器(Read Only Memory,ROM),可編程只讀存儲器(Programmable Read-Only Memory,PROM),可擦除只讀存儲器(Erasable Programmable Read-Only Memory,EPROM),電可擦除只讀存儲器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存儲器用于存儲程序,所述處理器在接收到執(zhí)行指令后,執(zhí)行所述程序。進一步地,上述存儲器內自調節(jié)過濾裝置100可包括各種用于管理系統(tǒng)任務(例如內存管理、存儲設備控制、電源管理等)的軟件組件和/或驅動,并可與各種硬件或軟件組件相互通訊,從而提供其他軟件組件的運行環(huán)境。
所述處理器可以是一種集成電路芯片,具有信號的處理能力。上述的處理器可以是通用處理器,包括中央處理器(Central Processing Unit,CPU)、網絡處理器(Network Processor,NP)等。還可以是數字信號處理器(DSP))、專用集成電路(ASIC)、現成可編程門陣列(FPGA)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件??梢詫崿F或者執(zhí)行本發(fā)明實施例中的公開的各方法、步驟及邏輯框圖。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。
請結合圖2,是本發(fā)明提供的一種自調節(jié)過濾裝置100,所述自調節(jié)過濾裝置100包括:策略執(zhí)行模塊110、參數測量模塊120、智能評估模塊140和策略生成模塊150。
所述策略執(zhí)行模塊110,用于根據預存的安全策略對輸入數據包進行檢測,攔截檢測存在安全隱患的數據包,得到安全數據包。此外所述策略執(zhí)行模塊110還用于進行日志記錄。
所述預存的安全策略為網絡管理員或者信息管理者根據組織機構的風險及安全目標制定的行動策略。預存的安全策略通常建立在授權的基礎之上,可以被應用、訪問和使用等,而未經授權的實體的信息則不能夠給予、不能被訪問、不允許引用、任何資源也不得占用。
所述預存的安全算法為進行加密與認證,并通過無線網絡加密和身份識別實現加強無線網絡的安全保護和管理能力的任意一種算法,具體算法在此不做具體限定。
所述參數測量模塊120:用于對所述安全數據包和所述輸入數據包進行參數測量得到參數測量結果。具體的,所述參數測量模塊120以輸入數據包和安全數據包為輸入按照所述自調節(jié)過濾裝置100的安全定位、側重點進行處理,并進行深層的數據挖掘,提取威脅特征并得到包括威脅特征的參數測量結果。
所述智能評估模塊140,用于根據預存的安全算法和所述參數測量結果得到新的安全策略。具體的所述預存的安全算法有多種,所述新的安全算法與多種預存的安全算法中的一種可以是相同的,也可以是不同的,在此不做具體限定。
所述策略生成模塊150,用于根據所述新的安全策略對所述預存的安全策略進行配置。進行配置的方式可以是根據所述新的安全策略對所述預存的安全策略進行替換、更改或不做任何處理,在此不做具體限定。
可選的,所述自調節(jié)過濾裝置100還可以包括被保護應用模塊130。所述被保護應用模塊130,用于根據預存的被保護規(guī)則對所述安全數據包進行匹配檢測,攔截與所述預存的被保護規(guī)則不匹配的安全數據包得到被保護數據包,并根據被保護數據包對預存的安全策略進行調整。
所述預存的被保護規(guī)則為對所捕獲的數據包進行解析,得到變量特征,根據現有保護規(guī)則的變量特征判斷其匹配程度,在一定閾值范圍內的數據,具體閾值范圍在此不做具體限定。
請結合圖3,可選的,所述策略生成模塊150包括判斷子模塊152和更新子模塊154。
所述判斷子模塊152用于判斷所述預存的安全策略中是否包括所述新的安全策略。具體的判斷方式可以是通過判斷所述預存的安全策略的日志信息中是否存在一個日志信息與所述新的安全策略的日志信息匹配。還可以是判斷多個所述預存的安全策略的安全隱患標識信息中是否存在一個全隱患標識信息與所述新的安全策略的安全隱患標識信息匹配,在此不做具體限定。
更新子模塊154:當不包括所述新的安全策略時,將所述新的安全策略寫入所述預存的安全策略中。當包括所述新的安全策略時,可以不做任何處理,也可以將原有的與所述新的安全策略相同的部分進行替換,在此不做具體限定。
所述安全控制器30中存儲有包括預存的安全策略、預存的安全算法和預存的被保護規(guī)則等的信息。所述安全控制器30用于與所述子控制端10進行信息交互。所述安全控制器30中還存儲有用于控制所述子控制端10中包括的自調節(jié)過濾裝置100的調度、執(zhí)行、暫停和重啟等任務的控制指令。所述安全控制器30可以是終端管理設備,也可以是終端控制器,在此不做具體限定。
所述網絡安全系統(tǒng)對輸入數據包進行檢測時,所述子控制端10根據所述安全控制器30的控制指令控制所述子控制端10實現對所述輸入數據包的檢測??蛇x的,所述子控制端10可以對所述輸入數據包進行多次循環(huán)檢測,攔截每次循環(huán)檢測為存在安全隱患的數據包,同時放行每一次循環(huán)檢測為安全的數據包,并根據預存的安全算法得到新的安全策略并對預存的安全策略進行配置,從而實現數據的循環(huán)檢測以保障檢測后的輸入數據包的安全性,以及整個網絡安全系統(tǒng)的動態(tài)可調節(jié)性。所述子控制端10對輸入數據包進行循環(huán)檢測的次數可以是任意的,在此不做具體限定。
在本實施例中,可選的,所述子控制端10對所述輸入數據包進行循環(huán)檢測的次數可以是3到6次。具體的次數根據實際情況進行選取即可,在此不做具體限定。
考慮到檢測的高效性及實用性,在本實施例中,可選的,所述子控制端10對輸入數據包進行循環(huán)檢測的次數為3次。具體的,進行循環(huán)檢測的方式可以是:每次循環(huán)檢測時,所述自調節(jié)過濾裝置100進行數據包的檢測,放行本次檢測為安全狀態(tài)的數據包,阻截本次檢測為危險狀態(tài)的數據包,并更新預存的安全策略實現網絡安全自動防御和動態(tài)維護。進行循環(huán)檢測的方式還可以是:在不同次數的循環(huán)檢測時,實現的功能不同,例如:第一次循環(huán)檢測實現數據包的對比和分析,第二次循環(huán)檢測實現存在安全隱患的數據包的特征挖掘,該特征可以是危險種類、日志等,第三次循環(huán)檢測實現生成新的安全策略。需要說明的是,除了上述的第一次、第二次和第三次還可以有更多次的循環(huán)檢測,且不同次數循環(huán)檢測實現的功能可以是相同的也可以是不同的,在此不做具體限定。通過采用多次循環(huán)檢測從而實現數據包檢測,實現網絡安全動態(tài)維護。需要說明的是,其中某一次自調節(jié)過濾過程中因存在較大工作量而需要并聯協作時,需要在安全控制器30的控制下實現工作負載的均衡及同步。因此所述策略執(zhí)行模塊110中加入了宏觀控制功能,主要負責自調節(jié)過濾裝置100的更新、執(zhí)行、負載均衡等任務。具體的檢測方式在此不做具體限定,根據實際情況進行選取即可。
可選的,所述網絡安全系統(tǒng)還包括適配器20,所述子控制端10通過所述適配器20與所述安全控制器30進行信息交互。所述適配器20可以是無線網絡中虛擬化的AP(AP,Access Point,無線訪問節(jié)點、會話點或存取橋接器),主要負責策略執(zhí)行模塊110與AP之間的互動反饋響應和協調通信,如SNMP、HTTP以及自定義的適配器20,從而有效提高所述網絡安全系統(tǒng)在不同無線網絡環(huán)境中的對輸入數據包的過濾能力,及通過對預存的安全策略的調整以實現該網絡安全系統(tǒng)的自調節(jié)能力。
可以理解,圖1所示的結構僅為示意,本發(fā)明中的網絡安全系統(tǒng)還可以包括比圖1中所示更多或者更少的組件,或者具有與圖1所示不同的配置。圖1中所示的各組件可以采用硬件、軟件或其組合實現。
如圖4所示,是本發(fā)明實施例提供的一種自調節(jié)過濾方法的流程示意圖。所述自調節(jié)過濾方法包括以下步驟:
步驟S110:根據預存的安全策略對輸入數據包進行檢測,攔截檢測存在安全隱患的數據包,得到安全數據包。關于所述步驟S110的詳細描述具體可參考本發(fā)明實施例對圖2中所示的策略執(zhí)行模塊110的描述。也即,步驟S110可由所述策略執(zhí)行模塊110來執(zhí)行。
步驟S120:對所述安全數據包和所述輸入數據包進行參數測量得到參數測量結果。關于所述步驟S120的詳細描述具體可參考本發(fā)明實施例對圖2中所示的參數測量模塊120的描述。也即,步驟S120可由所述參數測量模塊120來執(zhí)行。
步驟S140:根據預存的安全算法和所述參數測量結果得到新的安全策略。關于所述步驟S140的詳細描述具體可參考本發(fā)明實施例對圖2中所示的智能評估模塊140的描述。也即,步驟S140可由所述智能評估模塊140來執(zhí)行。
步驟S150:根據所述新的安全策略對所述預存的安全策略進行配置。關于所述步驟S150的詳細描述具體可參考本發(fā)明實施例對圖2中所示的策略生成模塊150的描述。也即,步驟S150可由所述策略生成模塊150來執(zhí)行。
在本實施例中,可選的,所述自調節(jié)過濾方法還包括以下步驟:
步驟S130:根據預存的被保護規(guī)則對所述安全數據包進行匹配檢測,攔截與所述預存的被保護規(guī)則不匹配的安全數據包得到被保護數據包,并根據被保護數據包對預存的安全策略進行調整。關于所述步驟S130的詳細描述具體可參考本發(fā)明實施例對圖2中所示的被保護應用模塊130的描述。也即,步驟S130可由所述被保護應用模塊130來執(zhí)行。
請結合圖5,在本實施例中,可選的,所述根據所述新的安全策略對所述預存的安全策略進行配置的步驟S150包括以下子步驟:
子步驟S152:判斷所述預存的安全策略中是否包括所述新的安全策略。關于所述子步驟S152的詳細描述具體可參考本發(fā)明實施例對圖3中所示的判斷子模塊152的描述。也即,子步驟S152可由所述判斷子模塊152來執(zhí)行。
子步驟S154:當不包括所述新的安全策略時,將所述新的安全策略寫入所述預存的安全策略中。關于所述子步驟S154的詳細描述具體可參考本發(fā)明實施例對圖3中所示的更新子模塊154的描述。也即,子步驟S154可由所述更新子模塊154來執(zhí)行。
綜上,本發(fā)明提供的一種自調節(jié)過濾方法、裝置及網絡安全系統(tǒng),自調節(jié)過濾方法應用于自調節(jié)過濾裝置100,自調節(jié)過濾裝置100中通過設置策略執(zhí)行模塊110、參數測量模塊120、被保護應用模塊130、智能評估模塊140和策略生成模塊150,可以實現對輸入數據包進行安全檢測時能夠更好地適應于無線網絡中,并能對存在安全隱患的數據包實現自動防御。所述網絡安全系統(tǒng)包括安全控制器30、適配器20和子控制端10,通過設置預存的安全策略、預存的安全算法得到安全數據包并獲得新的安全策略從而實現對預存安全策略的更新以及對數據包的安全檢測。網絡安全系統(tǒng)包括安全控制器30和子控制端10,通過將所述自調節(jié)過濾裝置100設置于子控制端10,所述子控制端10用于對所述輸入數據包進行多次循環(huán)檢測,實現有效檢測并攔截存在安全隱患的數據包,同時實現了對預存的安全策略的動態(tài)自調節(jié)。通過設置適配器20使得該網絡安全系統(tǒng)能夠更好地適應動態(tài)性的無線網絡。
應當理解到,所揭露的方法、裝置,也可以通過其它的方式實現。以上所描述的裝置實施例僅僅是示意性的,例如,附圖中的流程圖和框圖顯示了根據本發(fā)明的實施例的裝置、方法和計算機程序產品的可能實現的體系架構、功能和操作。在這點上,流程圖或框圖中的每個方框可以代表一個模塊、程序段或代碼的一部分,所述模塊、程序段或代碼的一部分包含一個或多個用于實現規(guī)定的邏輯功能的可執(zhí)行指令。也應當注意,在有些作為替換的實現方式中,方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生。例如,兩個連續(xù)的方框實際上可以基本并行地執(zhí)行,它們有時也可以按相反的順序執(zhí)行,這依所涉及的功能而定。也要注意的是,框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合,可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現,或者可以用專用硬件與計算機指令的組合來實現。
另外,在本發(fā)明實施例中的各功能模塊可以集成在一起形成一個獨立的部分,也可以是各個模塊單獨存在,也可以兩個或兩個以上模塊集成形成一個獨立的部分。
所述功能如果以軟件功能模塊的形式實現并作為獨立的產品銷售或使用時,可以存儲在一個計算機可讀取存儲介質中?;谶@樣的理解,本發(fā)明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的部分可以以軟件產品的形式體現出來,該計算機軟件產品存儲在一個存儲介質中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。需要說明的是,在本文中,諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且,術語“包括”或者任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
以上所述,僅為本發(fā)明的具體實施方式,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內,可輕易想到變化或替換,都應涵蓋在本發(fā)明的保護范圍之內。因此,本發(fā)明的保護范圍應所述以權利要求的保護范圍為準。