一种交换式网络安全能力学习融合系统及方法技术方案

技术编号：40966378 阅读：2 留言：0更新日期：2024-04-18 20:46

本发明专利技术公开了一种交换式网络安全能力学习融合系统及方法，该系统基于融合三维度流表结构的网络流交换功能单元，通过面向安全设备数据面流处理结果的自动分析，逆向学习已有安全设备的安全策略，再结合安全能力学习控制逻辑，利用流交换功能单元中主动策略表、被动策略表和拓扑关系表三表联动机制，实现不同安全设备在网应用时的功能和性能互补、安全设备间的策略联动和协同工作，并支持安全设备在线替换和集中式灵活部署。不仅可以弥补单安全设备网络安全防护的性能瓶颈，还实现了网络数据流在融合系统中的快速转发处理，解决了网络数据流在安全设备中处理时延过大的问题，还满足了网络安全设备的快速部署、协同工作、网络拓扑的实时调整等需求。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络安全领域，尤其涉及一种交换式网络安全能力学习融合系统及方法。

技术介绍

1、传统网络安全设备在应用中存在网络处理时延大、组网灵活性差、部署和维护复杂繁琐、安全设备之间无法高效协同等弊端。例如在传统的安全设备组网中，单个安全设备处理能力有限，性能扩容困难，且安全设备很难支持业务无中断的更换或升级，尤其是多安全设备协同组网时，不同类型的安全设备通常由不同厂商提供，它们之间缺乏有效的集成和协作机制，安全设备之间的安全策略同步困难，导致了信息孤立，无法实现全面的威胁分析和快速响应。而且，多台安全设备串接组网时，网络数据流经过多台设备转发处理，网络时延大大增加，验证影响了网络性能。

2、为了解决这些问题，本专利技术的交换式网络安全能力融合系统提供了更好的解决方案，通过对不同厂家不同类型的安全设备进行功能集成和灵活组网，基于安全策略融合的方式，使得不同安全设备协同工作来实现更高效的安全防护系统；基于融合系统对多安全设备进行协同工作时，组网方式灵活便捷，再加上基于融合系统自身多维度的流状态学习机制，使得融合系统中不同厂家不同安全设备之间的流处理策略被自动学习并融合到交换功能单元的策略表中，无需人为手动干预，并且还可以根据学习到融合策略对网络数据流进行快速转发处理，降低网络处理时延和安全设备自身的网络处理的性能压力。

技术实现思路

1、本专利技术的目的在于针对现有技术的不足，提供了一种交换式网络安全能力学习融合系统及方法。

2、为实现上述目的，本专利技术提

3、网络流交换功能单元，用于将数据流转发至网络安全设备，将从网络安全设备返回的数据流转发至安全设备流融合处理单元进行处理；

4、安全设备流融合处理单元，用于学习每台安全设备返回的数据流的状态，并将学习结果上报至融合系统控制单元中进行融合；通过监控网络流交换功能单元转发给每台安全设备的数据流，并统计每台安全设备返回和丢弃的数据流，以逆向分析的方式，将统计结果作为安全设备对数据流放行或丢弃的分析依据进行分析，并将分析结果送至融合系统控制单元；

5、融合系统控制单元，用于根据安全设备流融合处理单元上报的数据流的学习结果进行策略融合，生成白名单和黑名单策略，用于指导网络流交换功能单元对数据流进行转发处理；

6、网络功能加速单元，用于满足流均衡需求和安全功能的硬件卸载需求。

7、进一步地，所述融合系统的物理接口包括a类接口、b类接口、c类接口和d类接口；其中，a类接口为网络接入接口，b类接口为功能融合数据面接口，c类接口为功能融合控制面接口，d类接口为融合系统控制接口；

8、所述融合系统通过a类接口串接至网络中；b类接口、c类接口为安全设备的数据面、控制面连接接口，通过b类接口、c类接口将安全设备的数据面、控制面接入到融合系统中；d类接口为融合系统的控制接口，通过d类接口完成对安全设备组网拓扑、安全设备组网工作模式初始化信息的配置，以及对网络流交换功能单元中主动策略表的配置。

9、进一步地，所述网络流交换功能单元包括网络接口单元、功能接口单元、网络流状态解析器、流表接口单元、流状态学习单元、流报文交换阵列、主动策略存储单元、被动策略存储单元和拓扑关系存储单元；

10、所述网络接口单元，包含一对a类接口，用作融合系统接入网络的接口，接口速率与网络链路的速率一致；

11、所述功能接口单元，包含多对b类接口和c类接口，所述网络流交换功能单元通过功能融合接口连接安全设备，b类接口的速率与安全设备数据面速率一致；b类接口和c类接口在网络流交换功能单元中被逻辑隔离，保证安全设备的数据面和控制面的安全隔离需求；

12、所述网络流状态解析器，用于对来自a类接口和b类接口的数据流进行解析，提取流状态信息，并对主动策略存储单元、被动策略存储单元以及拓扑关系存储单元进行访问；

13、所述流表接口单元，用于管理主动策略存储单元、被动策略存储单元和拓扑关系存储单元中的表项，并对其进行读写访问、仲裁调度以及老化刷新；

14、所述流状态学习单元，用于分析安全设备流融合处理单元上报的数据流学习结果，统计出所有安全设备均放行的数据流以及任意一台安全设备丢弃的数据流，生成白名单和黑名单策略，通过流表管理单元下发到被动策略存储单元中；

15、所述流报文交换阵列，用于根据网络流状态解析器的访问结果将数据流送至a类接口或b类接口或安全设备流融合处理单元；

16、所述主动策略存储单元，用于存储主动策略表，所述主动策略表为第一级流表，包含用户行为主动配置的流转发信息；

17、所述被动策略存储单元，用于存储被动策略表，所述被动策略表为第二级流表，包含通过安全设备流融合处理单元和融合系统控制单元协作配合学习到的安全设备策略表；

18、所述拓扑关系存储单元，用于存储拓扑关系表，所述拓扑关系表为第三级流表，包含d类接口的用户配置。

19、进一步地，所述融合系统控制单元包括融合系统管理接口、安全设备策略同步单元、流状态学习单元和流表管理单元；

20、所述融合系统管理接口，用于对b类接口所连接安全设备网络组网拓扑进行初始化配置，对安全设备管理面和网络流交换功能单元中表项存储单元进行访问；

21、所述安全设备策略同步单元，用于通过c类接口主动访问安全设备，学习安全设备的流转发策略；

22、所述流状态学习单元，用于根据安全设备流融合处理单元上报的流学习结果进行分析，统计出所有安全设备均放行的数据流以及任意一台安全设备丢弃的数据流，生成白名单和黑名单策略，并通过流表管理单元下发到被动策略存储单元中；

23、所述流表管理单元，用于更新和访问网络流交换功能单元中的主动策略存储单元、被动策略存储单元。

24、进一步地，所述网络流交换功能单元基于系统融合控制单元所配置的网络拓扑，对数据流进行初始的转发和复制，将数据流转发至安全设备进行处理；然后网络流交换功能单元根据主动策略表以及拓扑关系表对数据流进行转发；同时，所述融合系统控制单元根据安全设备流融合处理单元和安全设备策略同步单元的学习结果进行策略融合，生成白名单和黑名单策略，用于指导网络流交换功能单元对数据流进行快速转发处理。

25、进一步地，所述网络功能加速单元由流均衡功能加速引擎、安全设备控制面同步引擎和安全功能硬件加速逻辑组成，用于满足流均衡需求和安全功能的硬件卸载需求。

26、进一步地，所述融合系统基于单安全设备流处理结果的自动学习机制，将多安全设备的流处理学习结果进行融合，并将融合结果生成被动式安全策略，用于指导网络流交换功能单元快速转发报文，减少网络数据流的处理时延。

27、为实现上述目的，本专利技术还提供了一种交换式网络安全能力学习融合方法，应用于上述的交换式网络安全能力学习融合系统，所述方法包括：

28、(1)根本文档来自技高网...

【技术保护点】

1.一种交换式网络安全能力学习融合系统，其特征在于，包括：

2.根据权利要求1所述的交换式网络安全能力学习融合系统，其特征在于，所述融合系统的物理接口包括A类接口、B类接口、C类接口和D类接口；其中，A类接口为网络接入接口，B类接口为功能融合数据面接口，C类接口为功能融合控制面接口，D类接口为融合系统控制接口；

3.根据权利要求2所述的交换式网络安全能力学习融合系统，其特征在于，所述网络流交换功能单元包括网络接口单元、功能接口单元、网络流状态解析器、流表接口单元、流状态学习单元、流报文交换阵列、主动策略存储单元、被动策略存储单元和拓扑关系存储单元；

4.根据权利要求2所述的交换式网络安全能力学习融合系统，其特征在于，所述融合系统控制单元包括融合系统管理接口、安全设备策略同步单元、流状态学习单元和流表管理单元；

5.根据权利要求4所述的交换式网络安全能力学习融合系统，其特征在于，所述网络流交换功能单元基于系统融合控制单元所配置的网络拓扑，对数据流进行初始的转发和复制，将数据流转发至安全设备进行处理；然后网络流交换功能单元根据主动策略表

6.根据权利要求1所述的交换式网络安全能力学习融合系统，其特征在于，所述网络功能加速单元由流均衡功能加速引擎、安全设备控制面同步引擎和安全功能硬件加速逻辑组成，用于满足流均衡需求和安全功能的硬件卸载需求。

7.根据权利要求1所述的交换式网络安全能力学习融合系统，其特征在于，所述融合系统基于单安全设备流处理结果的自动学习机制，将多安全设备的流处理学习结果进行融合，并将融合结果生成被动式安全策略，用于指导网络流交换功能单元快速转发报文，减少网络数据流的处理时延。

8.一种交换式网络安全能力学习融合方法，其特征在于，应用于如权利要求2所述的交换式网络安全能力学习融合系统，所述方法包括以下步骤：

9.根据权利要求8所述的交换式网络安全能力学习融合方法，其特征在于，所述步骤(2)中，设计基于安全设备的组网网络拓扑包括：根据安全设备的类型和安全能力、以及网络对融合系统总的性能需要，设计安全设备间的组网方式；多台安全设备混合组网时，采用基于融合系统的串接式、并接式或并接互补式的拓扑结构组网，使得不同安全设备之间的安全防护能力相互融合。

10.根据权利要求8所述的交换式网络安全能力学习融合方法，其特征在于，所述步骤(6)中，针对主动同步获取到的安全策略，按配置的策略分析维度和策略融合模式生成新安全策略，新安全策略通过融合系统控制单元配置在网络流交换功能单元的被动策略存储单元中；网络流交换功能单元中的流表控制单元按配置的老化参数对被动策略存储单元中的策略进行周期性老化删除操作。

...

【技术特征摘要】

1.一种交换式网络安全能力学习融合系统，其特征在于，包括：

2.根据权利要求1所述的交换式网络安全能力学习融合系统，其特征在于，所述融合系统的物理接口包括a类接口、b类接口、c类接口和d类接口；其中，a类接口为网络接入接口，b类接口为功能融合数据面接口，c类接口为功能融合控制面接口，d类接口为融合系统控制接口；

5.根据权利要求4所述的交换式网络安全能力学习融合系统，其特征在于，所述网络流交换功能单元基于系统融合控制单元所配置的网络拓扑，对数据流进行初始的转发和复制，将数据流转发至安全设备进行处理；然后网络流交换功能单元根据主动策略表以及拓扑关系表对数据流进行转发；同时，所述融合系统控制单元根据安全设备流融合处理单元和安全设备策略同步单元的学习结果进行策略融合，生成白名单和黑名单策略，用于指导网络流交换功能单元对数据流进行快速转发处理。

6.根据权利要求1所述的交换式网络安全能力学习融合系统，其...

【专利技术属性】
技术研发人员：张汝云，
申请(专利权)人：之江奇安科技有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人