【技术实现步骤摘要】
本专利技术属于安全管道的流量监控,具体涉及一种基于安全管道的流量监控方法。
技术介绍
1、近年来,软件定义网络(sdn)作为一种创新的网络架构,在全球范围内得到了广泛的研究和应用。sdn的核心思想是将网络的控制层与数据层分离,允许网络管理员通过一个集中的控制平台进行统一的管理和配置,从而使网络管理更加简单、高效和灵活。而随着网络技术发展,所面临的网络安全问题也逐渐深入。网络安全研究发展主要经过四个方面:设计保证、入侵监测、主动防御与态势感知。网络态势感知作为一种综合的网络安全概念,起源于对日益复杂化的网络威胁的响应需求。随着网络攻击的不断演变和增加,单一的安全防护措施(如传统防火墙技术和入侵检测系统)已不足以应对复杂多变的安全挑战。因此,出现了对网络环境进行全面实时监控和分析的需求,即网络态势感知。
2、安全管道技术应运而生,旨在通过集成多种安全功能和监控手段,提供更全面、灵活的网络监控和分析能力。它结合了实时数据捕获、流量分析、威胁检测、响应机制和策略管理等多个方面,能够对网络进行深入的多维态势感知。安全管道技术的核心在于其能够实时监测网络流量,并对这些数据进行深度分析。通过分析流量模式、用户行为、应用活动等,可以及时发现异常或可疑的网络活动,从而为态势感知提供数据支持。在网络态势感知中威胁识别与响应机制是至关重要的,安全管道技术支持流量采集与策略恢复于一体,在不影响用户正常网络行为下实现了透明化管理。
3、现有技术方案:①sdn传统防火墙技术,这种传统防火墙技术利用sdn控制器来管理和执行安全策略,通
4、②入侵检测系统(ids)和入侵预防系统(ips),ids动态监控网络流量和系统日志,以便检测和报告可疑活动。ips除了执行ids的功能外,还能主动阻止或缓解被识别的攻击。然而,ids和ips主要基于已知的攻击模式、签名或规则来检测和防御威胁,因此可能错过未知攻击、零日漏洞或变种攻击,从而降低了检测的准确性和覆盖范围。
5、现有技术缺点:sdn传统防火墙技术存在着手动配置安全策略和规则的复杂性及可能出现的配置错误风险,同时其粗粒度的流量控制无法有效应对复杂的攻击,满足对细粒度安全策略的需求;而入侵检测系统(ids)和入侵预防系统(ips)则主要基于已知的攻击模式、签名或规则来检测和防御威胁,导致可能错过未知攻击、零日漏洞或变种攻击,降低了检测的准确性和覆盖范围。
技术实现思路
1、为了克服上述现有技术存在的不足,本专利技术的目的在于提供一种基于安全管道的流量监控方法,实现了网络监控与修复操作的透明性,将流量检测与控制集成,,简化了网络架构并降低了运维复杂性。
2、为了实现上述目的,本专利技术采用的技术方案是:
3、一种基于安全管道的流量监控方法,包括以下步骤;
4、s101,通过隧道流表进行流量的分类处理;
5、s102,剥离流表将数据包分类处理后的流量通过剥离隧道技术并发送至监控系统;
6、s103,下发补救流表对s101和s102隧道管理后的网络进行保护或恢复;
7、s104,ipfix流表对保护或恢复后的流量进行细粒度的采集,为分级监控系统提供详细的信息。
8、所述s101中,隧道流表将流量转发到网络上的深度数据包检测(dpi)服务;使用数据包标签(vpn、vlan等)对经过隧道的流量进行分类转发。
9、所述s101中,使用隧道流表进行流量的分类转发,使用vlan(虚拟局域网)进行分类,vlan是在一个物理网络上创建多个逻辑网络的技术。每个vlan有一个唯一的标识符,即vlan标签。在隧道流表中,vlan标签被用来区分不同的数据流;
10、当数据流通过网络设备时,隧道流表检查数据包的vlan标签,根据其规则和策略来处理这些流量;根据数据包的vlan标签,隧道流表决定将流量引导到特定的网络路径或下一跳设备,使得网络设备能够根据流量的来源、目的地或特定的网络需求来动态地调整流量的路由,以实现网络流量的有效管理和优化;
11、隧道流表根据数据包的vlan标签来应用特定的安全策略和访问控制规则;这包括对流量进行过滤、防火墙规则的应用、入侵检测和防御等安全功能,以保护网络免受恶意攻击和未授权访问。
12、所述s102中,安全管道为了不影响原始数据流的转发,通过剥离流表中的流量镜像复制出数据流,然后配置剥离规则,将复制数据流的隧道转发逻辑移除,以便于对原始数据包的内容进行观察与分析;
13、使用剥离流表移除经过隧道技术(如vpn、gre、ipsec等)添加的特定的封装或加密层;
14、首先,在剥离流表中定义匹配条件,以确定需要剥离的流量;匹配条件是数据包的源ip地址、目标ip地址、协议类型、端口号的特征;
15、然后,在匹配到的流量中,识别出使用隧道技术添加的特定封装或加密层;比如vpn、gre、ipsec头部信息;
16、随后,配置剥离流表删除封装头部,对于安全监控来言,剥离流表能够去除隧道封装,使安全设备能够更容易地分析原始数据包,更方便地对流量进行深度检查以识别潜在的恶意活动或入侵意图识别。剥离流表将上一步中的隧道流表所添加的封装或加密去除,然后将原始数据发往监控系统进行分析,然后监控系统根据对应情况下发补救流表。
17、所述s102中,剥离流表的具体实现步骤如下:
18、①识别隧道流量,通过深度包检测、协议识别、流量特征分析的方式进行识别;②配置剥离规则,基于隧道类型、流量特征、源/目标地址的条件进行定义;例如,针对不同类型的隧道流量,可能需要使用不同的解封装或解密规则;③流量镜像,通过在网络设备上设置端口镜像、流量镜像或镜像会话来实现,使得识别出的隧道流量的副本被发送到监控系统进行监测、分析和记录,而不影响原始流量的传输;剥离流表移除隧道技术对数据包封装或加密,并复制数据包发送至监控系统。
19、所述s103中,在s101和s102的隧道管理之后,通过补救流表进行意图恢复,补救流表出现在管道中的下一个,以便在吸收进一步的处理资源前限制或丢弃被识别为恶意的流量来优化网络性能。
20、所述s103中,在经过隧道流表与剥离流表对流量的分类与将流量发送至监控系统后,下发的补救流表便会对网络进行保护;
21、在受到疑似恶意流量的攻击本文档来自技高网...
【技术保护点】
1.一种基于安全管道的流量监控方法,其特征在于,包括以下步骤;
2.根据权利要求1所述的一种基于安全管道的流量监控方法,其特征在于,所述S101中,隧道流表将流量转发到网络上的深度数据包检测(DPI)服务;使用数据包标签(VPN、VLAN)对经过隧道的流量进行分类转发;
3.根据权利要求2所述的一种基于安全管道的流量监控方法,其特征在于,所述S102中,通过剥离流表中的流量镜像复制出数据流,然后配置剥离规则,将复制数据流的隧道转发逻辑移除,以便于对原始数据包的内容进行观察与分析;
4.根据权利要求3所述的一种基于安全管道的流量监控方法,其特征在于,所述S102中,剥离流表的具体实现步骤如下:
5.根据权利要求4所述的一种基于安全管道的流量监控方法,其特征在于,所述S103中,在S101和S102的隧道管理之后,通过补救流表进行意图恢复,补救流表出现在管道中的下一个,以便在吸收进一步的处理资源前限制或丢弃被识别为恶意的流量来优化网络性能。
6.根据权利要求5所述的一种基于安全管道的流量监控方法,其特征在于,所述S103中,
7.根据权利要求6所述的一种基于安全管道的流量监控方法,其特征在于,所述S104中,通过IPFIX流表实现监视意图,IPFIX流表位于安全管道的最后,将受监控的流量传递到DPI服务以进行进一步分析或直接传递到转发管道;
8.根据权利要求7所述的一种基于安全管道的流量监控方法,其特征在于,所述S104具体步骤为:
9.根据权利要求8所述的一种基于安全管道的流量监控方法,其特征在于,分级监控系统分为三级:L1、L2和L3;
10.根据权利要求9所述的一种基于安全管道的流量监控方法,其特征在于,分类分为如下几类:①基于流量特征,根据流量的特征进行分类;②基于流量行为,根据流量的行为模式进行分类;③基于网络策略,根据网络的安全策略和规则分类,根据随着网络规模的扩大和DPI处理能力的降低,即时部署额外的DPI实例,以确保网络安全能力的最优化。
...【技术特征摘要】
1.一种基于安全管道的流量监控方法,其特征在于,包括以下步骤;
2.根据权利要求1所述的一种基于安全管道的流量监控方法,其特征在于,所述s101中,隧道流表将流量转发到网络上的深度数据包检测(dpi)服务;使用数据包标签(vpn、vlan)对经过隧道的流量进行分类转发;
3.根据权利要求2所述的一种基于安全管道的流量监控方法,其特征在于,所述s102中,通过剥离流表中的流量镜像复制出数据流,然后配置剥离规则,将复制数据流的隧道转发逻辑移除,以便于对原始数据包的内容进行观察与分析;
4.根据权利要求3所述的一种基于安全管道的流量监控方法,其特征在于,所述s102中,剥离流表的具体实现步骤如下:
5.根据权利要求4所述的一种基于安全管道的流量监控方法,其特征在于,所述s103中,在s101和s102的隧道管理之后,通过补救流表进行意图恢复,补救流表出现在管道中的下一个,以便在吸收进一步的处理资源前限制或丢弃被识别为恶意的流量来优化网络性能。
6.根据权利要求5所述的一种基于...
【专利技术属性】
技术研发人员:杨春刚,吴明吉,白勃,寇世文,类兴鹏,代宇龙,宋延博,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。