【技术实现步骤摘要】
一种实现网络流量安全分析的硬件无关化方法及系统
本申请涉及网络安全
,尤其涉及一种实现网络流量安全分析的硬件无关化方法及系统。
技术介绍
现有流量分析方法通常需要依托特定的硬件平台,网络流量越大,对硬件的要求越高,对部署的要求也越高。然而,现实场景中部署环境是多种多样的,提供的硬件设施也不一样,这给流量分析系统提出了新的要求。未来的流量分析系统应该是可以广泛适用于各种硬件平台,用户可以忽略硬件,完全交给平台系统自己去适配。而平台系统则可以根据硬件平台当前的状态动态调整。因此,急需一种针对性的实现网络流量安全分析的硬件无关化方法及系统。
技术实现思路
本专利技术的目的在于提供一种实现网络流量安全分析的硬件无关化方法及系统,解决现有流量分析受硬件平台限制,无法有效部署的问题,采用先物理聚类流量,在平台上部署若干个虚拟机执行流量安全分析进程,所述虚拟机可根据聚类流量的速度分布,动态部署专门的虚拟机处理指定的流量,同时在总线上布置硬件探针,可直接对流量报文进行初步关键词匹配,以及作为与其他第...
【技术保护点】
1.一种实现网络流量安全分析的硬件无关化方法,其特征在于,所述方法包括:/n通过物理接口获取网络流量,在规定时间内分析网络流量速度,提取所述网络流量的标识信息,根据所述标识信息聚类获取的网络流量,结合网络流量的速度分布,得到不同标识信息聚类后的网络流量对应的速度分布;/n在总线上布置若干个硬件探针,对输入的流量报文进行关键词提取和匹配,对包含指定关键词的流量报文,直接上报平台示警,记录当前异常点位置,所述硬件探针提供开放的REST服务接口、日志接口、API接口,跨过物理接口直接整合对接第三方态势感知大平台或者大数据平台;/n在平台上布置若干个虚拟机,在虚拟机上运行流量安全分...
【技术特征摘要】
1.一种实现网络流量安全分析的硬件无关化方法,其特征在于,所述方法包括:
通过物理接口获取网络流量,在规定时间内分析网络流量速度,提取所述网络流量的标识信息,根据所述标识信息聚类获取的网络流量,结合网络流量的速度分布,得到不同标识信息聚类后的网络流量对应的速度分布;
在总线上布置若干个硬件探针,对输入的流量报文进行关键词提取和匹配,对包含指定关键词的流量报文,直接上报平台示警,记录当前异常点位置,所述硬件探针提供开放的REST服务接口、日志接口、API接口,跨过物理接口直接整合对接第三方态势感知大平台或者大数据平台;
在平台上布置若干个虚拟机,在虚拟机上运行流量安全分析进程,获取所述若干个虚拟机的工作状态和负载情况,对应将流量速度快的聚类网络流量分配给空闲的虚拟机,所述虚拟机通过内部接口与硬件探针连接,接收分配的聚类网络流量,执行深度包检测分析,提取流量中携带的协议特征,调用数据库保存的协议典型特征模型,分析流量所属网络协议类型,解析出流量中的应用数据,从相应字段中提取应用协议特征,再次调用数据库的协议典型特征模型,确定流量中携带有的应用协议类型;
其中,所述解析出流量中的应用数据包括:判断所述应用数据是否被加密或编码,所述判断包括深度分析数据片段是否符合预先设定的逻辑规律,若数据片段为杂乱随机,则初步认定所述数据片段被置乱或编码,若数据片段为具有某种规律分布,则初步认定所述数据片段为明文,进一步分析杂乱随机的数据片段,调用数据库中的保存的加密算法或随机处理方法,还原数据片段;
根据所述确定的应用协议类型和网络协议类型,确定流量中携带的会话,为所述会话赋予会话标识,进行会话分析,判断所述会话双方的身份是否合法,所述会话双方的可支持业务范围是否包括对方的业务,所述会话的时长是否超过预先设定的阈值,以及所述会话传输的数据包是否携带有敏感关键词或涉密文件,当判断所述会话出现异常时,所述虚拟机中断所述会话,通知平台异常点的位置;
所述虚拟机将所述会话分析后的流量送入第一机器学习模型,所述流量此时携带了相关的会话标识,检测是否包括第一攻击向量,当检测出所述第一攻击向量时,标记对应会话标识的会话为异常,针对会话双方进行源点传播溯源;
获取会话双方的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系,将每一种关系下每一个人作为一个子节点,扩展检测每一个子节点涉及的终端、邮箱、文件、即时通信,判断是否包括所述第一攻击向量,如果是,则标记该子节点为异常点;
获取会话双方的可支持业务范围,根据业务流程的前后关系、具体业务动作的经办人,得到业务关系链,将每一个经办人、经办人名下的终端、设备、文件、即时通信作为一个子节点,检测每一个子节点是否包括所述第一攻击向量,如果是,则标记该子...
【专利技术属性】
技术研发人员:段彬,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。