一种基于可控数据流向的网络安全监控系统及方法与流程

本发明属于网络数据安全技术领域，具体涉及一种基于可控数据流向的网络安全监控系统及方法。

背景技术：

随着社会的发展，网络技术也得到了广泛的应用，网络环境中网络设备越来越多。但是，在这些网络设备为人们带来便利的同时，网络设备的网络安全也成为人们担心的问题。传统防病毒的软件只能用于阻止计算机病毒的攻击，防火墙只能够过滤非法访问的通信，而入侵检测系统只能用于特定恶意攻击行为的识别。部分企业为了弥补防火墙在功能上的缺失，针对多样化的攻击类型采取了串接其他安全产品的方式，如防火墙+入侵检查+杀毒的形式等。串接其他安全产品的方式解决了防火墙的缺陷，基本实现了较为全面的防护，但是每条流都需要走一遍所有串接的安全产品，对性能有一些影响，且功能不够灵活。

技术实现要素：

针对现有技术中的上述不足，本发明提供了一种基于可控数据流向的网络安全监控系统及方法，以实现对不同的数据流流向进行自定义控制。

为了达到上述发明目的，本发明采用的技术方案为：

一种基于可控数据流向的网络安全监控系统，包括：

策略控制模块，用于定义自定义流，并向数据收发模块下发自定义流的控制策略，同时向各个数据处理模块下发数据流的处理策略；

数据处理模块，用于接收所述策略控制模块下发的数据流的处理策略和数据处理模块发送的数据流，根据数据处理策略对数据流进行处理并发送至数据收发模块；

数据收发模块，用于接收所述策略控制模块下发的自定义流的控制策略，形成基于流的控制策略规则池，并且接收数据流，将数据流与控制策略规则池中对应的自定义流进行匹配，根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块。

进一步地，所述数据处理模块和数据收发模块分别与策略控制模块进行tcp连接，且数据处理模块和数据收发模块分别与策略控制模块保持双向保活。

进一步地，所述策略控制模块接收到数据处理模块和数据收发模块tcp连接后，分别向数据处理模块和数据收发模块同步相应的策略。

进一步地，所述策略控制模块具体用于以流的五元组信息或者流固定偏移的值定义自定义流。

进一步地，所述数据收发模块具体用于通过五元组或者数据偏移将数据流与控制策略规则池中对应的自定义流进行匹配。

进一步地，所述数据收发模块具体用于在为数据流填充的私有以太头中的路径信息填充流的分发路径。

进一步地，所述数据处理模块包括至少一个相互对立的可扩展模块，每个模块用于解析私有以太头并接收所述策略控制模块下发的数据流的处理策略，根据数据处理策略对接收到的数据流进行处理。

基于上述基于可控数据流向的网络安全监控系统，本发明还提出了一种基于可控数据流向的网络安全监控方法，包括以下步骤：

s1、利用数据接收模块接收数据流；

s2、将数据流与基于流的控制策略规则池中对应的自定义流进行匹配；

s3、根据匹配的自定义流的控制策略为数据流填充私有以太头；

s4、判断私有以太头中是否存在路径信息；若存在，则进行下一步骤；否则转发数据流；

s5、根据私有以太头中的路径信息将数据流分发至对应的数据处理模块；

s6、利用数据处理模块根据数据处理策略对数据流进行处理；

s7、清空私有以太头中的该数据处理模块对应的路径信息；

s8、将数据流发送至数据收发模块，并返回步骤s4。

进一步地，所述步骤s2将数据流与自定义流进行匹配时，若匹配成功，则按照匹配的自定义流的控制策略进行处理；否则按照默认策略进行处理。

进一步地，所述步骤s4中当私有以太头中不存在路径信息时，则将数据流中填充的私有以太头剥除，还原数据流并转发数据流。

本发明具有以下有益效果：

本发明通过设置相互独立的可扩展处理模块，分别配置自定义流的控制策略和数据流的处理策略，将自定义流匹配数据流，实现了对不同的数据流流向进行自定义控制，解决了现有方案功能不够灵活的问题，提高了网络安全监控的处理性能。

附图说明

图1为本发明基于可控数据流向的网络安全监控系统结构示意图；

图2为本发明实施例中私有以太头格式示意图；

图3为本发明基于可控数据流向的网络安全监控方法流程示意图；

图4为本发明实施例中接收报文示意图；

图5为本发明实施例中封装私有以太头的报文示意图；

图6为本发明实施例中防火墙处理后的报文示意图；

图7为本发明实施例中ips处理后的报文示意图；

图8为本发明实施例中waf处理后的报文示意图；

图9为本发明实施例中还原后的报文示意图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

实施例1

如图1所示，本发明实施例提供了一种基于可控数据流向的网络安全监控系统，包括策略控制模块、数据处理模块和数据收发模块。

策略控制模块，用于根据安全监控计划，以流的五元组信息或者流固定偏移的值定义自定义流，并向数据收发模块下发自定义流的控制策略，同时向各个数据处理模块下发数据流的处理策略。

数据处理模块，用于接收策略控制模块下发的数据流的处理策略和数据处理模块发送的数据流，根据数据处理策略对数据流进行处理并发送至数据收发模块；并通过同步机制、保活机制确保与策略控制模块上控制策略的一致性。

数据处理模块包括至少一个相互对立的可扩展处理模块，每个处理模块用于解析私有以太头并接收策略控制模块下发的数据流的处理策略，根据数据处理策略对接收到的数据流进行处理。具体而言，例如防火墙模块，根据策略过滤不可信访问；ips模块，根据策略进行入侵防护；waf模块根据策略实现web应用安全防护；nginx模块根据策略实现反向代理、负载均衡等。

数据收发模块，用于接收策略控制模块下发的自定义流的控制策略，形成基于流的控制策略规则池，并且接收数据流，通过五元组或者数据偏移将数据流与控制策略规则池中对应的自定义流进行匹配，根据自定义流的控制策略为数据流填充私有以太头并将数据流分发至对应的数据处理模块，实现可控数据流向的网络安全监控。

如图2所示，数据收发模块为数据流填充的私有以太头包括目的mac地址、源mac地址、eth私有协议号以及路径信息，其中路径信息填充了流的分发路径。

本发明利用策略控制模块配置策略，通过添加自定义流匹配数据流，并且在数据流填充的私有以太头中设置流的分发路径，实现了对不同的数据流流向进行自定义控制。

参照图1，本发明中数据处理模块、数据收发模块作为客户端与作为服务器的策略控制模块进行tcp连接，且数据处理模块和数据收发模块分别与策略控制模块保持双向保活。策略控制模块接收到数据处理模块和数据收发模块tcp连接后，分别向数据处理模块和数据收发模块同步相应的策略。在策略控制模块上配置策略后，策略控制模块保存策略，并向相应的模块下发，若与相应的模块未建立连接，则在建立连接后再同步下发。

实施例2

基于实施例1中提供的基于可控数据流向的网络安全监控系统，本发明还提出了一种基于可控数据流向的网络安全监控方法，如图3所示，包括以下步骤s1至s8：

s1、利用数据接收模块接收数据流；

s2、将数据流与基于流的控制策略规则池中对应的自定义流进行匹配；

s3、根据匹配的自定义流的控制策略为数据流填充私有以太头；

s4、判断私有以太头中是否存在路径信息；若存在，则进行下一步骤；否则转发数据流；

s5、根据私有以太头中的路径信息将数据流分发至对应的数据处理模块；

s6、利用数据处理模块根据数据处理策略对数据流进行处理；

s7、清空私有以太头中的该数据处理模块对应的路径信息；

s8、将数据流发送至数据收发模块，并返回步骤s4。

在步骤s1中，本发明利用数据接收模块接收数据流，报文如图4所示。

在步骤s2中，本发明通过五元组或者数据偏移将数据流与基于流的控制策略规则池中对应的自定义流进行匹配；若匹配成功，则按照匹配的自定义流的控制策略进行处理；否则按照默认策略进行处理。

在步骤s3中，本发明根据匹配的自定义流的控制策略为数据流填充私有以太头，以需要进行防火墙、ips、waf处理为例，设置路径分别为p1、p2、p3，匹配完成后封装私有以太头后的报文如图5所示。

在步骤s4至s8中，本发明首先判断私有以太头中存在路径信息p1、p2、p3，因此利用数据收发模块根据路径信息p1将数据流发往防火墙数据处理模块，防火墙根据已配置的处理策略拦截数据流，未被拦截的数据流将私有以太头中的路径信息p1清空后发往数据收发模块，报文如图6所示。

然后利用数据收发模块根据路径信息p2将数据流发往ips数据处理模块，ips数据处理模块根据已配置的处理策略处理数据流，未被拦截的数据流将私有以太头中的路径信息p2清空后发往数据收发模块，报文如图7所示。

再利用数据收发模块根据路径信息p3将数据流发往waf数据处理模块，waf数据处理模块根据已配置的处理策略处理数据流，处理通过的数据流将私有以太头中的路径信息p3清空后发往数据收发模块，报文如图8所示。

数据收发模块接收到报文后，判断私有以太头中不存在路径信息，则将数据流中填充的私有以太头剥除，还原数据流并转发数据流。还原后的数据流如图9所示。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。