本发明专利技术公开了一种流量安全特征的识别系统,涉及云计算技术领域,包括:原始报文采集模块和用户态识别模块,原始报文采集模块部署在Linux的内核空间,用户态识别模块部署在Linux的用户空间,原始报文采集模块和用户态识别模块通信连接。本发明专利技术还公开了一种流量安全特征的识别方法,包括S100、准备工作;S200、原始报文采集;S300、原始报文片段分析和处理;S400、流日志更新。本发明专利技术实现了报文采集及安全特征识别的超轻量化,适合在云计算内部虚拟化的环境中部署和完成功能。境中部署和完成功能。境中部署和完成功能。
【技术实现步骤摘要】
一种流量安全特征的识别系统和方法
[0001]本专利技术涉及云计算
,尤其涉及一种流量安全特征的识别系统和方法。
技术介绍
[0002]随着云计算技术的快速发展,虚拟的计算节点之间的网络连接更加复杂,需要一种超轻量化且非侵入式的报文采集及安全特征识别的方法及系统。在传统DPI(深度包识别)、NG
‑
FIREWALL(下一代防火墙)、IPS(入侵防御系统)、IDS(入侵检测系统)都有涉及,但传统解决方案均采用专用硬件一体机或非虚拟化的专用系统解决方案,无法满足超轻量化的需求,因此不能成为云计算中的一个SaaS(Software
‑
as
‑
a
‑
Service)应用。
[0003]业界常用的软件识别数据报文的技术,一般都是将未做清洗的全量的数据报文流直接送给正则匹配算法hyperscan,然后根据输出的结果,处理后生成相应的流日志标签数据。正则匹配一般采用流模式,即应用程序将同一会话的数据报文连续送给正则匹配算法hyperscan。这种实现方法报文中大量冗余的字符串会被送到正则匹配算法hyperscan反复检测,执行效率相对低下。
[0004]专利《一种网络数据流安全处理和处置的方法和装置》(CN107579993B),涉及的技术实现的方法,适用于一种专用的电子设备,不具备超轻量化的特性,不适合在云计算内部虚拟化的环境中部署和完成功能实现。
[0005]因此,本领域的技术人员致力于开发一种流量安全特征识别系统和方法。r/>
技术实现思路
[0006]有鉴于现有技术的上述缺陷,本专利技术所要解决的技术问题是如何实现报文采集及安全特征识别的超轻量化,适合在云计算内部虚拟化的环境中部署和完成功能。
[0007]专利技术人通过在云内部署采集系统的方式采集并识别报文安全特征并上报给安全分析系统,再与云内虚拟网络控制节点联动最终实现对网络的控制。具体地,专利技术人先对原始报文进行清洗,并对同一会话或指定多个会话的多个原始报文片段进行排序、关联及队列调度管理,然后再调用内部集成了正则匹配算法hyperscan的应用特征及行为特征的流量识别功能组件,对指定的数据报文流队列按顺序进行扫描,一旦匹配即停止扫描,并输出标签结果,输出结果中同时包含了应用特征标签和行为特征标签。
[0008]本专利技术的一个实施例中,提供了一种流量安全特征识别系统,包括:
[0009]原始报文采集模块,接收原始报文,处理得到原始报文片段和对应的原始流日志,并存入共享内存;
[0010]用户态识别模块,定时从共享内存读取原始报文片段和对应的原始流日志,根据动态采集识别规则对该原始报文片段进行分析和处理,生成应用特征标签和行为特征标签;
[0011]原始报文采集模块部署在Linux的内核空间,用户态识别模块部署在Linux的用户空间,原始报文采集模块和用户态识别模块通信连接。
[0012]可选地,在上述实施例的流量安全特征识别系统中,动态采集识别规则包含采集配置参数及原始流规则模板,采集配置参数可被用户态识别模块直接读取,原始流规则模板经过预编译后生成流规则模板文件供用户态识别模块使用。
[0013]进一步地,在上述实施例的流量安全特征识别系统中,还包括特征编译模块,内置hyperscan编译模块组件,对原始流规则模板进行预编译,生成流规则模板文件,加载到用户态识别模块使用,特征编译模块和用户态识别模块通信连接。
[0014]进一步地,在上述实施例的流量安全特征识别系统中,采集配置参数包括虚拟设备唯一标识、源IP、目标IP、源端口、目的端口、网络层协议类型、传输层协议类型、包数量、包长度、采集持续时间、应用协议类型、流规则模板ID,其中虚拟设备唯一标识是必选字段,其余是可选,采集配置参数无约定时,默认为不做限制过滤及识别要求。
[0015]进一步地,在上述实施例的流量安全特征识别系统中,原始流规则模板采用正则表达式的方法描述原始报文特征。
[0016]进一步地,在上述实施例的流量安全特征识别系统中,原始报文特征包括原始报文的应用特征和行为特征。
[0017]进一步地,在上述实施例的流量安全特征识别系统中,流规则模板ID对应一个原始流规则模板,一个原始流规则模板包含一种原始报文特征描述。
[0018]进一步地,在上述实施例的流量安全特征识别系统中,原始报文特征描述包括适用协议类型、扫描位置范围、正则表达式规则、特征命中方式、原始报文特征出现的时间范围、频次范围、间隔范围、发生顺序及原始行为特征相似度的计算模型。
[0019]进一步地,在上述实施例的流量安全特征识别系统中,特征编译模块加载动态采集识别规则中的多个原始流规则模板,把其中的特征数据进行预处理,转换成hyperscan编译模块支持的正则表达式文件,再用hyperscan编译模块组件对正则表达式文件进行预编译,生成流规则模板文件。
[0020]可选地,在上述任一实施例的流量安全特征识别系统中,用户态识别模块使用智能缓存功能,持续写入流特征画像及对应的应用特征标签和行为特征标签,当读取到原始报文片段及对应的原始流日志时,首先查询智能缓存,通过原始流日志中提取的流特征画像匹配输出应用特征标签和行为特征标签。
[0021]进一步地,在上述实施例的流量安全特征识别系统中,流特征画像包括会话开始时间、会话结束时间、源IP、源端口、目的IP、目的端口、网络层协议类型、传输层协议类型、应用层协议类型、部分协议定长头字段、数据报文数量及每个数据报文按OSI协议分层的长度、行为特征上下文描述。
[0022]进一步地,在上述实施例的流量安全特征识别系统中,用户态识别模块内置流量识别功能组件,根据动态采集识别规则对原始报文片段进行识别。
[0023]进一步地,在上述实施例的流量安全特征识别系统中,当流特征在智能缓存中不能匹配时,流量识别功能组件使用正则匹配算法hyperscan一次匹配输出应用特征标签和行为特征标签。
[0024]基于上述任一实施例,本专利技术的另一个实施例中,提供了一种流量安全特征识别方法,包括如下步骤:
[0025]S100、准备工作;
[0026]S200、原始报文采集,原始报文采集模块接收原始报文,处理得到原始报文片段和对应的原始流日志,并存入共享内存;
[0027]S300、原始报文片段分析和处理,用户态识别模块定时从共享内存读取原始报文片段和对应的原始流日志,根据动态采集识别规则对该原始报文片段进行分析和处理,生成应用特征标签和行为特征标签;
[0028]S400、流日志更新,原始流日志经用户态识别模块处理,和应用特征标签及行为特征标签一起生成最终流日志。
[0029]可选地,在上述实施例的流量安全特征识别系统中,动态采集识别规则包含采集配置参数及原始流规则模板,采集配置参数可被用户态识别模块直接读取,原始流规则模板经过预编译后生成流规则模板文件供用户态识别模块使用。<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量安全特征识别系统,其特征在于,包括:原始报文采集模块,接收原始报文,处理得到原始报文片段和对应的原始流日志,并存入共享内存;用户态识别模块,定时从所述共享内存读取所述原始报文片段和对应的原始流日志,根据动态采集识别规则对所述原始报文片段进行分析和处理,生成应用特征标签和行为特征标签;所述原始报文采集模块部署在Linux的内核空间,所述用户态识别模块部署在Linux的用户空间,所述原始报文采集模块和所述用户态识别模块通信连接。2.如权利要求1所述的流量安全特征识别系统,其特征在于,所述动态采集识别规则包含采集配置参数及原始流规则模板,所述采集配置参数可被所述用户态识别模块直接读取,所述原始流规则模板经过预编译后生成流规则模板文件供所述用户态识别模块使用。3.如权利要求2所述的流量安全特征识别系统,其特征在于,所述所述流量安全特征识别系统还包括特征编译模块,内置hyperscan编译模块组件,对所述原始流规则模板进行预编译,生成所述流规则模板文件,加载到所述用户态识别模块使用,所述特征编译模块和所述用户态识别模块通信连接。4.如权利要求3所述的流量安全特征识别系统,其特征在于,所述采集配置参数包括虚拟设备唯一标识、源IP、目标IP、源端口、目的端口、网络层协议类型、传输层协议类型、包数量、包长度、采集持续时间、应用协议类型、流规则模板ID,所述虚拟设备唯一标识是必选字段,其余是可选,所述采集配置参数无约定时,默认为不做限制过滤及识别要求。5.如权利要求4所述的流量安全特征识别系统,其特征在于,所述用户态识别模块使用智能缓存功能,持续写入流特征画像及对应的应用特征标签和行为特征标签,当读取到所述原始报文片段及对应的原始流日志时,首先查询智能缓存,通过所述原始流日志中提取的流特征画像匹配输出应用特征标签和行为特征标签。6.一种流量安全特征识别方法,使用如权利要求5所述的流量安全特征识别系统,其特征在于,包括如下步骤:S100、准备工作;S200、原始报文采集,所述原始报文采集模块接收原始报文,处理得到原始报文片段和对应的原始流日志,并存入共享内存;S300、原始报文片段分析和处理,所述用户态识别模块定时从所述共享内存读取所述原始报文片段和对应的原始流日志,根据动态采集识别规则对所述原始报文片段进行分析和处理,生成应用特征标签和行为特征标签;S400、流日志更新,所述原始流日志经所述用户态识别模块处理,和所述应用特征标签及所述行为特征标签一起生成最终流日志。7.如权利要求6所述的流量安全特征识别方法,其特征在于,所述步骤S100包括:S110、特征编译,...
【专利技术属性】
技术研发人员:黄剑锋,章璟,
申请(专利权)人:微栈科技浙江有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。