一种基于报文内容的自学习的网络隔离安全装置和方法与流程

本发明涉及网络安全防护技术领域，特别涉及一种基于报文内容的自学习的网络隔离安全装置和方法。

背景技术：

随着互联网技术、计算机技术、通信技术的发展和大规模的应用，以及物联网技术的兴起，信息化已经渗透到越来越多的工业及国防行业，工业控制领域的工作模式已经发生了巨大的变化，工业的革新与发展方向已经从早期单一的工业自动化转变为当前的分布式控制、终端智能化、信息实时化，单纯的自动化控制已经不能够满足人们对整个工业生产控制平台的控制需求，信息化已经成为工业控制领域首要的任务，而伴随着信息化的巨大发展，信息系统安全问题已成为影响工业控制行业发展的重要因素。尤其是涉及国防科技工业，信息系统的安全显得尤为重要。在信息系统的日常运行与维护中，外界入侵者利用操作系统或者应用系统的自身缺陷、或者是利用通信传输系统的漏洞进行攻击。尤其是近年来发生的一些事件，如“伊朗核电站中震网病毒”以及最近的“棱镜门”事件，都给我们敲响了警钟。迫切需要我们对现有的通信系统进行安全方面的加强，能够动态识别网络行为，根据网络行为动态调整网络物理连接。

在工业通信网络中，最常用技术的是基于以太网和ip的通信技术，使用最多的安全设备就是防火墙、网关、网闸等设备对于网络异常行为拦截或告警，需要在设备中预网络相应的白名单规则或黑名单规则，当网络中的问题报文命中了黑名单或不在白名单内部的话，就会将相应的报文拦截下来。

这样的方式具有如下问题：需要对网络的报文规则十分清楚；对网络业务流程、报文类型、帧格式、端口号等信息十分了解；在网络业务较多的情况下，配置黑、白名单规则会很繁琐，容易出错；能够对报文进行拦截，但是不能从更本上对下行业务线路进行断开，避免不了伪装成正确报文的数据通过；在有未知协议的情况下，不能有效识别协议内容及目的。

技术实现要素：

为此，本发明提供了一种基于报文内容的自学习的网络隔离安全装置和方法，用于解决黑白名单规则繁琐，并且人员进行黑白名单设置时容易出错，对于未知的报文协议不能有效识别，并且对于上下线业务线路无法彻底的安全断开等问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于报文内容的自学习的网络隔离安全装置包括：网络接口1、协议识别模块2、学习模块3、报文判断模块4和硬件断开模块5，

网络接口1与协议识别模块2通信连接，网络接口1接收来自操作终端的所有报文；

协议识别模块2还与学习模块3通信连接，协议识别模块2判断接收到的报文是否为可识别报文，并将报文发送到学习模块3；

学习模块3还与报文判断模块4通信连接，学习模块3对接收到的报文进行学习、统计、分析后发送给报文判断模块4；

报文判断模块4还与硬件断开模块5通信连接，对接收到的报文进行判断是否合法，如果合法则进行正常报文，如果不合法则丢弃报文，并向硬件断开模块5发送断开网络的指令。

协议识别模块2对于能够识别的报文和不能识别的报文区分发送到学习模块3当中。

学习模块3中包括已知报文学习模块31和未知报文学习模块32；

已知报文学习模块31接收协议识别模块2能够识别的报文并进行拆解，统计到内容表项；

未知报文学习模块32接收协议识别模块2不能够识别的报文，并对报文所有数据统计到内容表项。

网络隔离安全装置还包括协议学习判断模块6，接收学习模块3发送的报文；

对未完成学习的报文，发送学习结果到学习模块3进行再次学习；

对已完成学习的报文，发送学习结果到报文判断模块4，直接将进行正常报文。

硬件断开模块5与物理层供电模块相连接，当需要进行硬件断开时，通过硬件断开模块5直接断开物理层设备电源供电模块。

一种基于报文内容的自学习的网络隔离安全方法步骤如下：

网络接口1同时与操作终端和协议识别模块2通信连接，网络接口1接收来自操作终端的所有报文，并发送给协议识别模块2；

协议识别模块2判断接收到的报文是否为可识别报文，并将报文发送到学习模块3；

学习模块3对接收到的报文进行学习、统计、分析后发送给报文判断模块4；

报文判断模块4对接收到的报文进行判断是否合法，如果合法则进行正常报文，如果不合法则丢弃报文，并向硬件断开模块5发送断开网络的指令。

协议识别模块2对接收到的报文进行识别判断，并根据报文中的协议类型区分能够被识别和不能够被识别的报文，分别发送给学习模块3。

学习模块3中的已知报文学习模块31对接收的协议识别模块2能够识别的报文并进行拆解，统计到内容表项；

学习模块3中的未知报文学习模块32接收协议识别模块2不能够识别的报文，并对报文所有数据统计到内容表项。

经过学习模块3的报文需要被协议学习判断模块6进一步判断是否完成学习；

如果完成学习，发送学习结果到报文判断模块4，进行正常报文；

如果没有完成学习，发送学习结果到学习模块3进行再次学习。

报文判断模块4判断报文如果安全，则进行正常报文；如果不安全，则丢弃报文，并通知硬件网络断开模块5进行网络断开。

学习模块3对接收到的报文分别填充到基于内容表项和基于设备行为表项中；

其中，内容表项包括但不限于：mac地址表、ip地址表、协议类型地址表、端口地址表，并进行关联分析和统计；并且已知报文学习模块31中的所述内容表项中还包括协议状态机地址表

设备行为表项包括但不限于：基于源mac进行报文的行为关联分析和统计。

报文判断模块4在进行报文判断时的阈值是能够通过用户进行设定。

报文判断模块4进行报文判断根据内容表项和/或设备行为表项对报文合法性进行判断。

本发明的优点和有益效果：减少人员配置规则的工作量，降低配置人员对于业务熟悉程度的要求，通过自动学习方式动态分析网络设备行为模式，主动判断网络文件异常情况；实施探测网络中的异常，针对异常行为动态切断网络连接。

附图说明

图1是本发明具体实施例装置组成的结构示意图，

图2是本发明具体实施例方法流程的示意图，

图3是本发明实施例内容表项的示意图，

图4是本发明实施例设备行为表项的示意图，

图5是本发明实施例报文判断流程示意图，

图6是本发明实施例网络隔离安全装置的实际应用结构示意图。

附图标记：

1-网络接口，2-协议识别模块，

3-学习模块，4-报文判断模块，

5-硬件断开模块，6-协议学习判断模块，

31-已知报文学习模块，32-未知报文学习模块。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

实施例一

如图1所示是一种基于报文内容的自学习的网络隔离安全装置，具体包括：网络接口1、协议识别模块2、学习模块3、报文判断模块4和硬件断开模块5；其中，网络接口1同时与网络中的操作终端和协议识别模块2通信连接，网络接口1接收来自网络中的操作终端的所有报文，经过网络接口1把报文发送给协议识别模块2；

协议识别模块2还与学习模块3通信连接，协议识别模块2判断接收到的报文是否为可识别报文，协议识别模块2对于能够识别的报文和不能识别的报文区分发送到学习模块3当中；具体的，学习模块3中包括已知报文学习模块31和未知报文学习模块32；其中，已知报文学习模块31接收协议识别模块2能够识别的报文并进行拆解，统计到内容表项；未知报文学习模块32接收协议识别模块2不能够识别的报文，并对报文所有数据统计到内容表项；通过在网络隔离安全装置中增加学习模块，能够减少工作人员配置安全防护规则的工作量，降低配置工作对工作人员业务熟悉程度的依赖。

学习模块3发送出的经过学习的报文还要发送到协议学习判断模块6，对未完成学习的报文，发送学习结果到学习模块3进行再次学习，同时发送学习结果到报文判断模块4；通过自动学习分析各个网络设备的行为模式，主动判断网络文件的异常情况，提升安全防护效果。

报文判断模块4还与硬件断开模块5通信连接，对接收到的报文进行判断是否合法，如果合法则进行正常报文，如果不合法则丢弃报文，并向硬件断开模块5发送断开网络的指令；硬件断开模块5与物理层供电模块相连接，当需要进行硬件断开时，通过硬件断开模块5直接断开物理层设备电源供电模块；通过采用对物理层进行电源断开的方式，确保网络之间的安全断开，提升安全防护效果。

如果经过协议学习判断模块6判断为已经完成学习的报文，直接进行正常报文工作，确保被发送的报文协议安全合法。

实施例二

一种基于报文内容的自学习的网络隔离安全方法如图2所示，具体步骤如下：

步骤s11：网络接口1同时与操作终端和协议识别模块2通信连接，网络接口1接收来自操作终端的所有报文，并发送给协议识别模块2；

步骤s12：协议识别模块2判断接收到的报文是否为可识别报文，并根据报文中协议类型区分能够被识别和不能够被识别的报文，分别发送给学习模块3；

步骤s13：学习模块3根据接收到的报文类型，如果报文能够识别进行步骤s13a，学习模块3中的已知报文学习模块31对接收的协议识别模块2能够识别的报文并进行拆解，统计到内容表项；如果报文不能够识别进行步骤s13b，学习模块3中的未知报文学习模块32接收协议识别模块2不能够识别的报文，并对报文所有数据统计到内容表项；经过对报文的学习、统计、分析后发送给报文判断模块4；

步骤s14：经过学习的报文需要被协议学习判断模块6进一步判断是否完成学习；如果完成学习，则进行正常报文；如果没有完成学习，发送学习结果到学习模块3进行再次学习，同时发送学习结果到报文判断模块4；需要说明的是，对于判断是否完成学习的方法有很多种，例如：一种方法是在软件中设置一个标志位，学习完成写1、未学习完成写0；另一种方法是检查学习表项是否学习完成；

步骤s15：报文判断模块4对接收到的报文进行判断是否合法，如果合法则如步骤s15a进行正常报文，如果不合法则如步骤s15b丢弃报文，并向硬件断开模块5发送断开网络的指令。

报文判断模块4判断报文如果安全，则进行正常报文；如果不安全，则丢弃报文，并通知硬件网络断开模块5进行网络断开；报文判断模块4在进行报文判断时的阈值是能够通过用户进行设定，如图5所示；报文判断模块4进行报文判断根据内容表项和/或设备行为表项对报文合法性进行判断。

学习模块3对接收到的报文分别填充到基于内容表项和基于设备行为表项中，后续在通过表项中学习到的内容进行分布统计，对所有的数据进行关联分析，如图3和图4所示；其中，图3中内容表项中包括接收的各个数值，并进一步对数据进行分类统计，计算出各个数值出现的次数和频率，当反复学习统计后，该内容表项中的数值类型和频率相对稳定，进一步作为报文的合法性判断的数据基础；图4中设备行为表项中统计到每个mac、ip经常联系的mac、ip交互的内容，并统计分析出每个mac、ip的次数和频率；最终学习模块3将基于内容表项和基于设备表项的统计分析数据包发送给报文判断模块4。

基于ip的通信网络中，所有的报文都是以数据包的形式进行传输，而每个数据包中都包含有详细的数据信息，对于一个普通的报文信息，其中包含有源mac地址、目的mac地址、以太网协议类型、源ip地址、目的ip地址、ip协议类型、具体协议帧格式等，我们将这些内容归纳整理形成一个基于内容表项、一个基于设备行为表项，如下：

网络操作终端的报文进入学习模块，学习模块针对于网络报文按照mac、以太网类型、ip、协议内容进行报文拆分；

所有拆分报文的数据内容写入基于内容表项，例如：mac地址表、ip地址表、协议类型地址表、端口对应地址表、协议状态机地址表等等；

并将所有内容映射到基于设备行为分析表项中，通过mac为索引进行报文行为的统计，例如：11-22-33-44-55-66mac的设备在网络中和3个mac地址有过信息交互，对应的ip地址分别为11.11.11.11、22.22.22.22、33.33.33.33，在这个过程中建立了相应的tcp连接、udp连接等，建立一个相应的设备行为表项；映射完之后就会有两类表项，基于内容表项、基于设备行为表项，后续再通过表项中学习到的内容进行分布统计，对所有数据进行关联分析；

针对于内容的关联分析将会得到如下的分析统计表项，在表项中的所有值经过一段时间观察，在网络没有变化的情况下数值和比例不会出现大的变化；

针对设备行为表项，我们可以知道每个mac、ip经常联系的mac、ip交互的内容，进行统计分析，知道这个mac、ip的行为；将相应的关联分析结果提交给报文判断模块。

报文判断模块工作方法流程图如图5所示，具体如下：如步骤s21，用户根据自己的需求，对报文判断阈值进行设定，设定完成后进行步骤s22，根据内容表项对报文的合法性进行判断，如果不合法则如步骤s25直接丢弃报文并通知硬件断开模块；如果合法继续对报文进行进一步判断，如步骤s23所示，根据设备行为表项判断报文是否合法，如果不合法则直接丢弃报文并通知硬件断开模块；如果合法则进行步骤s24正常报文；通过根据学习模块生成的内容表项和设备行为表项对合法性进行判断，避免黑白名单设置的工作量大的问题，同时装置还可以自动学习、实时更新，进一步用户的工作量；采用两个表项对报文合法性进行判断，提升网络隔离的安全防护效果。

本发明网络隔离安全装置的实际应用实施例如图6所示，在一个网络内有三台终端：操作终端a、操作终端b、操作终端c，有一台核心服务器，所有设备都通过以太网相连。操作终端a设备会通过以太网去核心服务器上去读取相关数据，我们的网络隔离安全装置放在核心服务器的前端，分析网络数据学习网络设备的用户行为，根据用户行为的合法性来动态断开和核心服务器的连接，在网络中出现恶意行为的情况下保证核心服务器的数据安全。

安全网关即通过学习知道在网络内有三台设备，现在只有操作终端a去核心服务器上去读取相应数据库的内容，除此之外不会有其它行为；如果安全网关在网络内学习到操作终端b，需要在核心服务器中读取数据库信息，这个时候就会将核心服务器连接网线断开。

应该注意的是，上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。