一种基于可控数据流向的网络安全监控系统及方法技术方案

本发明专利技术公开了一种基于可控数据流向的网络安全监控系统及方法，该系统包括策略控制模块、数据处理模块和数据收发模块，策略控制模块分别向数据收发模块和数据处理模块下发自定义流的控制策略和数据流的处理策略，数据处理模块根据数据处理策略对数据流进行处理并发送至数据收发模块，数据收发模块将数据流与控制策略规则池中对应的自定义流进行匹配，根据自定义流的控制策略为数据流填充私有以太头。本发明专利技术通过设置相互独立的可扩展处理模块，分别配置自定义流的控制策略和数据流的处理策略，将自定义流匹配数据流，实现了对不同的数据流流向进行自定义控制，解决了现有方案功能不够灵活的问题，提高了网络安全监控的处理性能。

【技术实现步骤摘要】
一种基于可控数据流向的网络安全监控系统及方法
本专利技术属于网络数据安全
，具体涉及一种基于可控数据流向的网络安全监控系统及方法。
技术介绍
随着社会的发展，网络技术也得到了广泛的应用，网络环境中网络设备越来越多。但是，在这些网络设备为人们带来便利的同时，网络设备的网络安全也成为人们担心的问题。传统防病毒的软件只能用于阻止计算机病毒的攻击，防火墙只能够过滤非法访问的通信，而入侵检测系统只能用于特定恶意攻击行为的识别。部分企业为了弥补防火墙在功能上的缺失，针对多样化的攻击类型采取了串接其他安全产品的方式，如防火墙+入侵检查+杀毒的形式等。串接其他安全产品的方式解决了防火墙的缺陷，基本实现了较为全面的防护，但是每条流都需要走一遍所有串接的安全产品，对性能有一些影响，且功能不够灵活。
技术实现思路
针对现有技术中的上述不足，本专利技术提供了一种基于可控数据流向的网络安全监控系统及方法，以实现对不同的数据流流向进行自定义控制。为了达到上述专利技术目的，本专利技术采用的技术方案为：一种基于可控数据流向的网络安全监控系统，包括：策略控制模块，用于定义自定义流，并向数据收发模块下发自定义流的控制策略，同时向各个数据处理模块下发数据流的处理策略；数据处理模块，用于接收所述策略控制模块下发的数据流的处理策略和数据处理模块发送的数据流，根据数据处理策略对数据流进行处理并发送至数据收发模块；数据收发模块，用于接收所述策略控制模块下发的自定义流的控制策略，形成基于流的控制策略规则池，并且接收数据流，将数据流与控制策略规则池中对应的自定义流进行匹配，根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块。进一步地，所述数据处理模块和数据收发模块分别与策略控制模块进行TCP连接，且数据处理模块和数据收发模块分别与策略控制模块保持双向保活。进一步地，所述策略控制模块接收到数据处理模块和数据收发模块TCP连接后，分别向数据处理模块和数据收发模块同步相应的策略。进一步地，所述策略控制模块具体用于以流的五元组信息或者流固定偏移的值定义自定义流。进一步地，所述数据收发模块具体用于通过五元组或者数据偏移将数据流与控制策略规则池中对应的自定义流进行匹配。进一步地，所述数据收发模块具体用于在为数据流填充的私有以太头中的路径信息填充流的分发路径。进一步地，所述数据处理模块包括至少一个相互对立的可扩展模块，每个模块用于解析私有以太头并接收所述策略控制模块下发的数据流的处理策略，根据数据处理策略对接收到的数据流进行处理。基于上述基于可控数据流向的网络安全监控系统，本专利技术还提出了一种基于可控数据流向的网络安全监控方法，包括以下步骤：S1、利用数据接收模块接收数据流；S2、将数据流与基于流的控制策略规则池中对应的自定义流进行匹配；S3、根据匹配的自定义流的控制策略为数据流填充私有以太头；S4、判断私有以太头中是否存在路径信息；若存在，则进行下一步骤；否则转发数据流；S5、根据私有以太头中的路径信息将数据流分发至对应的数据处理模块；S6、利用数据处理模块根据数据处理策略对数据流进行处理；S7、清空私有以太头中的该数据处理模块对应的路径信息；S8、将数据流发送至数据收发模块，并返回步骤S4。进一步地，所述步骤S2将数据流与自定义流进行匹配时，若匹配成功，则按照匹配的自定义流的控制策略进行处理；否则按照默认策略进行处理。进一步地，所述步骤S4中当私有以太头中不存在路径信息时，则将数据流中填充的私有以太头剥除，还原数据流并转发数据流。本专利技术具有以下有益效果：本专利技术通过设置相互独立的可扩展处理模块，分别配置自定义流的控制策略和数据流的处理策略，将自定义流匹配数据流，实现了对不同的数据流流向进行自定义控制，解决了现有方案功能不够灵活的问题，提高了网络安全监控的处理性能。附图说明图1为本专利技术基于可控数据流向的网络安全监控系统结构示意图；图2为本专利技术实施例中私有以太头格式示意图；图3为本专利技术基于可控数据流向的网络安全监控方法流程示意图；图4为本专利技术实施例中接收报文示意图；图5为本专利技术实施例中封装私有以太头的报文示意图；图6为本专利技术实施例中防火墙处理后的报文示意图；图7为本专利技术实施例中IPS处理后的报文示意图；图8为本专利技术实施例中WAF处理后的报文示意图；图9为本专利技术实施例中还原后的报文示意图。具体实施方式下面对本专利技术的具体实施方式进行描述，以便于本
的技术人员理解本专利技术，但应该清楚，本专利技术不限于具体实施方式的范围，对本
的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本专利技术的精神和范围内，这些变化是显而易见的，一切利用本专利技术构思的专利技术创造均在保护之列。实施例1如图1所示，本专利技术实施例提供了一种基于可控数据流向的网络安全监控系统，包括策略控制模块、数据处理模块和数据收发模块。策略控制模块，用于根据安全监控计划，以流的五元组信息或者流固定偏移的值定义自定义流，并向数据收发模块下发自定义流的控制策略，同时向各个数据处理模块下发数据流的处理策略。数据处理模块，用于接收策略控制模块下发的数据流的处理策略和数据处理模块发送的数据流，根据数据处理策略对数据流进行处理并发送至数据收发模块；并通过同步机制、保活机制确保与策略控制模块上控制策略的一致性。数据处理模块包括至少一个相互对立的可扩展处理模块，每个处理模块用于解析私有以太头并接收策略控制模块下发的数据流的处理策略，根据数据处理策略对接收到的数据流进行处理。具体而言，例如防火墙模块，根据策略过滤不可信访问；IPS模块，根据策略进行入侵防护；WAF模块根据策略实现WEB应用安全防护；Nginx模块根据策略实现反向代理、负载均衡等。数据收发模块，用于接收策略控制模块下发的自定义流的控制策略，形成基于流的控制策略规则池，并且接收数据流，通过五元组或者数据偏移将数据流与控制策略规则池中对应的自定义流进行匹配，根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块，实现可控数据流向的网络安全监控。如图2所示，数据收发模块为数据流填充的私有以太头包括目的MAC地址、源MAC地址、ETH私有协议号以及路径信息，其中路径信息填充了流的分发路径。本专利技术利用策略控制模块配置策略，通过添加自定义流匹配数据流，并且在数据流填充的私有以太头中设置流的分发路径，实现了对不同的数据流流向进行自定义控制。参照图1，本专利技术中数据处理模块、数据收发模块作为客户端与作为服务器的策略控制模块进行TCP连接，且数据处理模块和数据收发模块分别与策略控制模块保持双向保活。策略控制模块接收到数据处理模块和数据收发模块TCP连接后，分别向数据处理模块和数据收发模块同步相应本文档来自技高网...

【技术保护点】
1.一种基于可控数据流向的网络安全监控系统，其特征在于，包括：/n策略控制模块，用于定义自定义流，并向数据收发模块下发自定义流的控制策略，同时向各个数据处理模块下发数据流的处理策略；/n数据处理模块，用于接收所述策略控制模块下发的数据流的处理策略和数据处理模块发送的数据流，根据数据处理策略对数据流进行处理并发送至数据收发模块；/n数据收发模块，用于接收所述策略控制模块下发的自定义流的控制策略，形成基于流的控制策略规则池，并且接收数据流，将数据流与控制策略规则池中对应的自定义流进行匹配，根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块。/n

【技术特征摘要】
1.一种基于可控数据流向的网络安全监控系统，其特征在于，包括：
策略控制模块，用于定义自定义流，并向数据收发模块下发自定义流的控制策略，同时向各个数据处理模块下发数据流的处理策略；
数据处理模块，用于接收所述策略控制模块下发的数据流的处理策略和数据处理模块发送的数据流，根据数据处理策略对数据流进行处理并发送至数据收发模块；
数据收发模块，用于接收所述策略控制模块下发的自定义流的控制策略，形成基于流的控制策略规则池，并且接收数据流，将数据流与控制策略规则池中对应的自定义流进行匹配，根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块。


2.根据权利要求1所述的基于可控数据流向的网络安全监控系统，其特征在于，所述数据处理模块和数据收发模块分别与策略控制模块进行TCP连接，且数据处理模块和数据收发模块分别与策略控制模块保持双向保活。


3.根据权利要求2所述的基于可控数据流向的网络安全监控系统，其特征在于，所述策略控制模块接收到数据处理模块和数据收发模块TCP连接后，分别向数据处理模块和数据收发模块同步相应的策略。


4.根据权利要求3所述的基于可控数据流向的网络安全监控系统，其特征在于，所述策略控制模块具体用于以流的五元组信息或者流固定偏移的值定义自定义流。


5.根据权利要求4所述的基于可控数据流向的网络安全监控系统，其特征在于，所述数据收发模块具体用于通过五元组或者数据偏移将数据流与控制策略规则池中对应的自定义流进行匹配。


6.根据权利要求5所述的基于...

【专利技术属性】
技术研发人员：詹晋川，李泽民，赵杰，芦伟，张晋，
申请(专利权)人：深圳市风云实业有限公司，
类型：发明
国别省市：广东;44