【技术实现步骤摘要】
基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法
本专利技术涉及计算机安全、网络安全和并行计算领域,尤其涉及一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法。技术背景防火墙是计算机安全和网络安全中非常重要的一种防御技术,包括硬件防火墙和软件防火墙。硬件防火墙侧重于利用芯片级的设备和计算机集成的板卡等实现安全防御。软件防火墙则侧重于通过计算机程序和算法等进行防御,软件安装在操作系统中,通过软件技术实现安全防御与防止外部攻击。防火墙可以监控网络数据包实现过滤功能。堡垒主机防火墙是防火墙中的一种。其中,堡垒主机是在计算机安全中能够有效抵御攻击的计算机、服务器等设备,作为外部连接进入内部网络的一个有效的监控点,承担着整个网络的安全防御与预警功能;因此,堡垒主机也是最容易受到攻击的计算机,也是网络防御体系中最重要的环节和关键点。堡垒主机防火墙具有防火墙的基本特点。防火墙把网络隔离为内部网络和外部网络,防火墙处于内部网络和外部网络之间,是他们进出的唯一通道。内部网络又可以称为可信网络(Trustedn...
【技术保护点】
1.一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法,其特征在于,包括:/nPart_1:建立守护进程,启动MPI主进程,通过动态链接库导入防火墙规则,/nPart_2:启动防火墙主进程,接收预警信息,跟踪可疑IP,调整防火墙防御策略,/nPart_3:启动堡垒主机从进程,监测网络攻击和异常事件,发送预警信息;/n一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法,所使用的数据结构,函数和过程描述如下/n(1)IP地址数据结构StructIP,定义如下/n数据项1,Item_1:IP地址/n数据项2,Item_2:IP地址版本,包括IPv4和IPv6/n数...
【技术特征摘要】
1.一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法,其特征在于,包括:
Part_1:建立守护进程,启动MPI主进程,通过动态链接库导入防火墙规则,
Part_2:启动防火墙主进程,接收预警信息,跟踪可疑IP,调整防火墙防御策略,
Part_3:启动堡垒主机从进程,监测网络攻击和异常事件,发送预警信息;
一种基于MPI和IP跟踪的堡垒主机防火墙的安全事件预警方法,所使用的数据结构,函数和过程描述如下
(1)IP地址数据结构StructIP,定义如下
数据项1,Item_1:IP地址
数据项2,Item_2:IP地址版本,包括IPv4和IPv6
数据项3,Item_3:在数据包Packet中处于源地址SourceIP,目的地址DestinationIP
数据项4,Item_4:IP地址对应的物理地址Mac
(2)防火墙规则数据结构Rule,定义如下
数据项1,Item_1:防火墙规则的编号RuleID
数据项2,Item_2:指定的地址,包括源地址SourceIP,目的地址DestinetionIP
数据项3,Item_3:端口Socket
数据项4,Item_4:协议Protocol
数据项5,Item_5:网络接口NIC
数据项6,Item_6:服务规则ServiceType
(3)IP地址队列QueueIP,定义如下
数据项1,Item_1:StructIP
数据项2,Item_2:匹配的防火墙规则的编号列表RuleList
数据项3,Item_3:匹配规则频数AlertFrequence,初始值是0
数据项4,Item_4:下一个结点指针NextPoint
(4)跟踪的IP队列QueueIPTrack,定义如下
数据项1,Item_1:IP地址
数据项2,Item_2:IP地址对应的物理地址Mac
数据项3,Item_3:匹配的防火墙规则的编号列表RuleList
数据项4,Item_4:下一个结点指针NextPoint
(5)防火墙规则集合SetRules,定义如下
SetRules={SubSet_1,SubSet_2,...,SubSet_i,...,SubSet_n}
其中,SubSet_i是防火墙规则集合的第i个子集,子集不能是空集;
(6)并行模型ParallelModel,具体为
其中,参数ProNum是并行模型ParallelModel执行的过程,由Pro_1至Pro_4组成,
MPI_Creat()是MPI环境建立的过程,包括MPI初始化,设定每个处理器核心的编号,
Master(Data,Send,Recv,Task,coreID)是主进程Master实现的过程,Data是交换的数据,Send和Recv是MPI进行数据传递时使用的MPI标准函数MPI_Send()和MPI_Recv(),Task是需要处理的事物、过程、指令,coreID代表与Master进行通讯的处理器核心的编号,MPI系统中Master处理器核心的编号初始化为0,
Slave(Data,Send,Recv,Task,coreID)是从进程Slave实现的过程,Data是从进程中交换的数据,Send和Recv是MPI进行数据传递时使用的MPI标准函数,Task是从进程Slave需要处理的事物、过程、指令,coreID代表与Slave进行通讯的处理器编号,
MPI_Finish()是MPI结束并行计算模式的过程,如果是Slave处理器,Slave将不再接收MPI的消息和任务Task,如果是Master处理器,本次并行计算过程结束,释放所使用的资源;
(7)安全预警模型AlertTask,具体为
其中,Type(Network)是防火墙中内网和外网的类型,当Network是内网时,Type返回TrustedNetwork参数值,当Network是外网时,Type返回UntrustedNetwork参数值,
Index(IPAddress,Mac)返回来自内网、外网的IP地址,当IPAddress是来自内网的IP地址时,记录所述IP地址和物理地址Mac,当IPAddress是来自外网的IP地址时,记录所述IP地址,Mac地址设置为全0,
Delay(TimePeriod*num)为延迟等待,TimePeriod是时间周期,num是TimePeriod的时间周期的数量,
Adapt(RuleID_1,RuleID_2,...,RuleID_i,...,RuleID_n)RuleID_i代表与防火墙中匹配的规则对应的编号;
(8)IP登记RegisterIP,具体为
如果安全预警模型AlertTask预警,即Adapt(RuleID_1,RuleID_2,...,RuleID_n)匹配了防火墙中的规则,那么,登记Type(Network)和Index(IPAddress,Mac)的信息;如果在当前的IP地址队列QueueIP中没有所述IPAddress的信息,新建IP地址数据结构StructIP结点NewPoint,初始化新结点NewPoint的Item_1的IP地址为IPAddress,初始化新结点NewPoint的Item_2的IP地址版本,当IPAddress是32位时标记为IPv4,当IPAddress是128位时标记为IPv6,在Adapt(RuleID_1,RuleID_2,...,RuleID_n)中提取规则Rule,在防火墙规则数据结构Rule的Item_2提取指定的地址,初始化新结点NewPoint的Item_3,当Type(Network)的类型是内网时,初始化新结点NewPoint的Item_4的IPAddress对应的物理地址Mac,当Type(Network)的类型是外网时,初始化新结点NewPoint的Item_4的IPAddress对应的物理地址Mac为全0,在IP地址队列QueueIP的队尾添加结点NewQIP,新结点NewQIP的Item_1初始化为NewPoint,新结点NewQIP的Item_2添加为Adapt(RuleID_1,RuleID_2,...,RuleID_n)中匹配的规则,新结点NewQIP的Item_3的匹配规则频数AlertFrequence为原AlertFrequence的数值加上Adapt(RuleID_1,RuleID_2,...,RuleID_n)匹配的规则的总数,新结点NewQIP的Item_4的下一个结点指针NextPoint初始化为空;
如果...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。