基于云计算的PDRR网络安全保障模型并行实现系统的制作方法

基于云计算的pdrr网络安全保障模型并行实现系统
技术领域
[0001]
本发明涉及计算机安全领域，具体涉及了一种基于云计算的pdrr网络安全保障模型并行实现系统。


背景技术：

[0002]
随着计算机与网络技术的不断发展，国内外信息化进程迅速发展，电子商务、大中型企业信息系统的应用已经逐渐广泛化和复杂化。伴随着信息化网络系统应用带来的讯息方便快捷的同时，信息的安全问题成为应用发展面临的主要问题。网络安全的重要性体现在需保障网络安全的计算及运行，维护数据安全，保障运行问题等方面。在多种多样的计算机网络安全保护技术中，防火墙技术作为防护网络攻击的产品，被广泛应用于网络安全防护中。
[0003]
网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段进入内部网络、访问内部网络资源，保护内部网络操作环境的特殊网络互联设备，它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以确定网络之间的通信是否被允许，并监视网络运行状态。防火墙技术与其他计算机网络安全技术相比，其明显的优势在于：第一，它通过过滤技术、代理技术、检测技术和协议技术，可以在不断变化的网络攻击行为中，主动识别攻击路径和方式，判断攻击行为的属性，提出有效的保护措施；第二，防火墙可迅速觉察具有危险性的攻击活动，在短时间内防止网络系统被攻击，维持计算机网络系统的安全和整体性能。
[0004]
防火墙的发展历程主要有第一代软件防火墙、第二代硬件防火墙、第三代asic防火墙、第四代utm防火墙以及第五代云火墙基于web2.0。第五代云火墙属于主动和动态的安全防护体系，它具有以下的特点，1)云上数据中心动态更新策略；2)利用ips模块建立信誉的关联写作；3)提供虚拟云端的移动安全接入，即指采用ssl协议来实现远程接入的一种新型的安全解决技术；4)支持netflow技术对云中的流量进行监控。因此云火墙相较于前四代防火墙集成了云计算平台弹性服务、资源池化、按需服务、泛在接入等优点，具有高可用、跨平台、拓展性高的特点，在部署、运维、防病毒、抗ddos攻击、流量访问等明显优势。但随着大数据、物联网、移动互联网等的发展，防火墙面临的业务急剧增加，第五代云火墙仍然面临着问题：第五代防火墙基于web2.0面对动态性复合性强的网络攻击和面对潜藏威胁行为时，其安全运维保障机制不完善，模型较为简单，仅专注防御功能的防火墙在全面保护数据和网络资源方面能力仍然有待提高；另外一个问题在于防火云产品在面临网络信息系统愈加复杂、需要维护的内容更加丰富的趋势下，面临计算效率低的问题。因此需要一种能够支持海量计算的架构，能已更完善的安全防护模型保证计算机网络安全，并高效完成大量计算来保证在数据检测、策略控制和路由转发等大数据分析执行任务的实时性，能满足现代云计算环境下大规模复杂系统的网络整体安全性。


技术实现要素：

[0005]
本发明的目的在于至少解决现有技术中存在的技术问题之一，提供了一种基于云计算的pdrr网络安全保障模型并行实现系统，实现了基于pdrr的网络安全模型，全面保护数据和网络资源，实现信息系统的可用性，保密性，完整性，真实性和不可否认性安全目标。
[0006]
本发明的技术方案包括一种基于云计算的pdrr网络安全保障模型并行实现系统，该系统包括pdrr安全模型及，其特征在于：所述pdrr安全模型包括防护层、检测层、响应层及恢复层；所述防护层用于接收数据包，对所述数据包进行预处理，并将所述数据包分发至所述检测层；所述检测层用于根据检测配置对所述数据包进行一项或多项检测，得到检测结果；所述响应层用于根据所述检测结果及防护策略执行对应的防护处理，以及，还用于对所述防护层、所述检测层及所述恢复层进行配置；所述恢复层用于根据配置对检测到的异常执行恢复处理；所述pdrr安全模型设置于云计算架构，所述云计算架构通过类脑计算平台为所述pdrr模型提供算力支持。
[0007]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中防护层用于收集所述数据包，将所述数据包封装成多个子包，对所述子包按协议模型进行解码，获取协议和负荷信息，对子包进行分配对应的计算流量、tcp会话管理、tcp重组及应用层数据解析处理，解码完成后将子包传递至所述检测层。
[0008]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中防护层用于对数据流通过sdn管控器并行分流，并依次执行入侵检测、完整性检测、脆弱性检测、攻击性检测、流量分析及白名单检测进行检测，其中检测以配置的安全规则库和安全策略库作为检测依据。
[0009]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中响应层包括：根据所述防护层的检测后，对检测到异常的数据源进行对应的入侵防御及阻断，同时与所述恢复层进行联动，启用安全策略进行复位及拦截，以及，还用于配置对所述防护层、所述检测层及所述恢复层的参数、策略、规则、查看安全事件及日志信息。
[0010]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中恢复层用于当检测所述数据包异常时，根据配置的安全策略进行对应的数据备份、数据恢复及系统恢复处理。
[0011]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中恢复层还包括：通过调用第三方接口进行对应的数据备份、数据恢复及系统恢复处理。
[0012]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中类脑计算平台包括脑类主控节点、分层分级全交换网络分布式计算集群，所述脑类主控节点包括基于无自反馈的稳定hopfield神经网络结构实现基础并行类脑神经元计算单元，用于执行类脑计算和集群管理，其中类脑计算包括分类、聚类、排序及搜索，其中集群管理包括登录管理、任务调度、节点管理及网络管理；所述分层分级全交换网络被配置为sdn网络，用于pdrr安全模型与所述类脑计算平台交互；所述计算集群包括多个计算节点簇，每个所述计算节点簇包括多个计算节点，每个所述计算节点用于样本数据的计算。
[0013]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中分层分级全交换网络用于对所述计算节点经过计算所得到权值向量进行收集，构建权值矩阵，通过权值矩阵对样本数据进行预测。
[0014]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中计算节点包括：样本数据的计算为已知的线性计算问题，采用线性建模进行计算；样本数据的计算为未知计算，采用机器学习建模的方式进行训练和最终计算；样本数据的计算为不完整或建模精度不准确，采用穷举建模方式进行遍历计算。
[0015]
根据所述的基于云计算的pdrr网络安全保障模型并行实现系统，其中云计算架构用于：动态调度，根据工作负载的大小动态分配资源；资源分享，构建资源池，通过资源池对资源进行共享；防火云，以受保护网络系统中业务模式的行为大数据，训练建模基于角色权限细分的强制访问控制业务操作流程，对每次进入的数据通过所述pdrr安全模型进行对应的放行、拦截及告警。
[0016]
本发明的有益效果为：通过云防御体系实现pdrr安全保障模型，利用防火云上pdrr模型改进了传统单一被动安全防御思想。利用类脑计算平台架构支持并行实现pdrr模型，为云计算架构提供算力，保证大数据分析执行任务的实时性。
附图说明
[0017]
下面结合附图和实施例对本发明进一步地说明；
[0018]
图1所示为根据本发明实施方式的总体系统框图。
[0019]
图2所示为根据本发明实施方式的实施例一。
[0020]
图3所示为根据本发明实施方式的实施例一的计算节点示意图。
具体实施方式
[0021]
本部分将详细描述本发明的具体实施例，本发明之较佳实施例在附图中示出，附图的作用在于用图形补充说明书文字部分的描述，使人能够直观地、形象地理解本发明的每个技术特征和整体技术方案，但其不能理解为对本发明保护范围的限制。
[0022]
在本发明的描述中，若干的含义是一个或者多个，多个的含义是两个以上，大于、小于、超过等理解为不包括本数，以上、以下、以内等理解为包括本数。
[0023]
在本发明的描述中，对方法步骤的连续标号是为了方便审查和理解，结合本发明的整体技术方案以及各个步骤之间的逻辑关系，调整步骤之间的实施顺序并不会影响本发明技术方案所达到的技术效果。
[0024]
图1所示为根据本发明实施方式的总体系统框图。如图1，包括：pdrr安全模型及云计算架构，pdrr安全模型包括防护层、检测层、响应层及恢复层；防护层用于接收数据包，对数据包进行预处理，并将数据包分发至检测层；检测层用于根据检测配置对数据包进行一项或多项检测，得到检测结果；响应层用于根据检测结果及防护策略执行对应的防护处理，以及，还用于对防护层、检测层及恢复层进行配置；恢复层用于根据配置对检测到的异常执行恢复处理；pdrr安全模型设置于云计算架构，云计算架构通过类脑计算平台为pdrr模型提供算力支持。
[0025]
图2所示为根据本发明实施方式的实施例一。具体如下：
[0026]
(1)防火云产品pdrr安全保障架构
[0027]
防火云产品pdrr架构由防护层、检测层，响应层和恢复层组成。
[0028]
防护层：有加密机制，数字签名机制，访问控制，认证机制，信息隐藏，防火墙技术
等。收集网络数据包，封装成packet，对packet按协议模型(数据链路层、网络层、传输层、应用层)进行解码，获取协议和负荷信息，对packets进行分配flow，tcp会话管理，tcp重组，应用层数据解析处理，解码完成后将packet传递各检测子系统子模块。
[0029]
检测层：数据流通过sdn管控器并行分流到入侵检测、完整性检测、脆弱性检测、攻击性检测，流量分析和白名单检测子模块上进行全面检测，检测是根据配置的安全规则库和安全策略库作为检测依据。
[0030]
响应层：具有应急策略，应急机制，应急手段，入侵过程分析，安全状态评估等功能。通过各子系统的全面检测后，对检测到异常的数据源进行入侵防御、阻断。同时与其他安全部件进行联动，协同工作，启用安全策略进行复位，拦截。配置各安全子系统参数、策略、规则，查看安全事件，日志信息。
[0031]
恢复层：系统检测到异常时，可以根据配置好的安全策略进行数据备份、数据恢复、系统恢复操作，也支持第三方接口进行恢复。
[0032]
pdrr架构改进了传统的只注重防护的单一安全防御思想，强调信息安全保障的pdrr四个重要环节。
[0033]
(2)由云防御体系实现pdrr安全模型
[0034]
pdrr的网络安全模型是基于云防御体系实现的，利用云计算架构，类脑计算平台并行实现pdrr模型，全面保护数据和网络资源，实现信息系统的可用性，保密性，完整性，真实性和不可否认性安全目标。
[0035]
将pdrr模型放在云计算架构中，利用了云计算体系架构的优点。在云计算平台上的服务是弹性的，它可以根据工作负载的大小动态分配资源，因此部署于云计算平台上的pdrr模型可以适应资源的变化，并能根据变化做出响应，以此避免计算资源和存储资源的浪费。第二，云计算架构可以满足大规模资源池的分享，通过分享提高资源复用率。基于云计算架构弹性服务、资源池化、按需服务、服务可计费、泛在接入的特点，可以满足大中型企业在使用防火墙的过程中自动适应业务负载的动态变化，使企业占用的资源同业务需求一致，避免了因服务器性能过载或冗余而导致服务质量下降，可利用虚拟化技术，将资源分享给不同的用户，根据用户的需求自动分配应用程序、数据存储、基础设施等资源，其他的优点还包括监控用户的资源使用量，并根据使用情况对服务计费，且可以满足任何设备随时随地接入互联网访问云计算服务。
[0036]
防火云是在高性能化先进计算能力和自适应型弹性网络架构的支撑下，基于角色权限细分的强制访问控制正常业务模式库，以多尺度辨识模式提供行为审计取证和数据完整保护功能，正确执行与业务模式保持强一致性的网络行为，精确锁定偏差性未知应用和异常威胁，从而显著降低安全风险。具体包括：以受保护网络系统中业务模式的行为大数据，训练建模基于角色权限细分的强制访问控制业务操作流程；在sdn/nfv支持下的高性能连接与计算环境下，通过多因子联合诊断，推动各尺度下受保护网络系统中网络行为的标准符合性认定，并形成基于工作流的业务痕迹审计取证体系。所有数据到达服务器前先经过可信防火云。首先到达sdn，智能分配数据流到检测阵列。防火云各级检测单元协同完成检测，并根据检测结果采取是否放行、拦截、告警等措施。sdn/nfv实现硬件与安全功能的解耦，打造可感知重构且动态演进的网络计算基础设施，在实现安全资源虚拟化基础上，基于多样化得资源调整策略，确保物理平台，通信资源，计算资源的负载整合与全局优化，支持
业务无损弹性扩展，支持亲和部署与最短路劲优化，实现故障迁移与恢复的智能化。sdn交换机支持防火云架构的可变性和自适应性，构建可定义、可重构、可演进的云服务设施，以网络通信的强连接、计算能力的并行化、节点资源的分布式，保证数据检测、决策控制和路由转发等大数据分析的实时性，确保最大效率地分发执行所需安全策略，具备适应各种预算范围和系统弹性架构的能力。基于云计算架构与防火墙架构云化部署的优点，形成了弹性的按需分配安全服务能力，即按需提供防火墙的检测、过滤、访问、控制等功能。基于云防御体系实现了pdrr安全模型，针对电子交易系统如铁路客票系统等大中型企业系统可以针对用户身份、角色权限、应用类型、传输内容等多维度对网络行为开展按需正常业务模式库的符合性计算识别，可有效抵御ddos攻击，防护病毒，进行安全访问控制。
[0037]
(3)类脑计算平台为云防御体系提供并行算力支持
[0038]
类脑计算平台硬件架构采用超立方体结构，3u主机由3层结构组成，每层7x7＝49个节点，共147个节点，每相邻6个节点互连互通，每层13个扩展端口，每个端口连接每层的相邻3/4个节点。软件架构主要包括：计算节点本身的os实现、内存计算的软件实现、边计算边通信ovs的软件实现、面向计算任务的计算模式调度方式。
[0039]
计算节点os：采用linux操作系统，是一个基于posix和unix的多用户、多任务、支持多线程和多cpu的操作系统。它能运行主要的unix工具软件、应用程序和网络协议。它支持32位和64位硬件。继承了unix以网络为核心的设计思想，是一个性能稳定的多用户网络操作系统。本产品在开源linux的基础上进行定制化裁剪，提供类脑并行计算程序运行的操作系统环境，支持类脑计算节点、管理节点控制器等相关计算系统，全交换式网络系统的安装与运行。
[0040]
内存计算的实现：采用内存云(ramcloud)的方式，实现高性能的计算和存储。内存云中保存的信息和硬盘一样持久，单个存储服务器的故障不能造成数据丢失和哪怕几秒钟的服务不可用。ramcloud将所有数据存放在dram中，性能可以达到比目前最高性能的硬盘存储系统还要高100～1000倍。在访问延迟方面，ramcloud运行在应用服务器中的一个进程从同一数据中心的存储服务器中通过网络读取数百字节数据只需5～10μs，而目前实际系统一般要花费0.5～10ms，具体取决于数据是在服务器内存缓存中，还是硬盘中。而且，一台多核存储服务器每秒可以服务至少100万次小读取请求。而硬盘系统中同样的机器每秒只能服务1000～10000次请求。ramcloud的延迟5-10微秒，这比传统磁盘快1000倍，比闪存要快5倍左右。ramcloud特征如下：通用的存储系统、所有数据都在内存(没有缓存失效)、持久性和可用性、可扩展性(1000+servers，32-64gb dram/server,100+tb)、低延迟(5-10us远程访问)、高吞吐(1m ops/sec/server)。
[0041]
类脑计算机系统逻辑架构：系统采用计算、存储、通信一体化的并行计算超立方体架构体系。基于无自反馈的稳定hopfield神经网络结构实现基础并行类脑神经元计算单元，在永达定制化操作系统、sdn全交换网络、大数据弹性存储网络的支撑下，实现全网格化的去中心化先进计算体系，具有超级的计算能力，支撑计算节点和资源的弹性伸缩，方便部署和安装，为云防御体系提供算力支持。基于无自反馈的权系数对称hopfield神经网络是稳定的，以及神经网络稳态空间吸引子的存储特性，借鉴hopfield神经网络的结构，在每个神经网络节点上实现计算和存储一体化，再结合sdn全交换式网络，实现计算和通信一体化。
[0042]
类脑计算机系统物理架构：类脑平台的物理架构主要由六大计算(或网络)功能模块组成。主要包括管理节点及登录节点、计算节点、交换功能、i/o和存储功能模块，以及采用cpu+加速处理器异构方式的加速节点。每个节点模块留驻完整的定制操作系统，以及管理控制中间件，支持系统映像和高可用性。
[0043]
计算模式(任务)的并行调度的策略由管控节点与计算节点建立连接，发送，接收数据。管控节点负责分发计算任务和管理计算结果，各计算节点负责处理计算任务，独立并行计算得到计算结果。根据神经网络的特点，本项目的管控节点实现权值并行计算的任务调度、分发和汇总。该方式中的每个计算节点利用所有样本数据进行计算，各负责计算得出一行权值，即得到权值向量。各计算节点计算完成后，管控节点通过收集每个计算节点得到的权值向量，可组合得到权值矩阵。依据此权值矩阵，便可对测试样本进行模式预测，即确定测试样本所属的类别。
[0044]
图3所示为根据本发明实施方式的实施例一的计算节点示意图。计算节点的计算方法总体思路参考图3：将复杂非线性计算通过深度结构化计算模式分解，转换为线性计算的组合或集成，先做线性空间计算，再通过一定的组合和集成方法，将线性计算集成起来，构成总体计算方法。对于已知的线性计算问题，采用线性建模方式即可；对于未知计算模式的情况，采用机器学习建模的方式进行训练和最终计算；对于数据不完整或建模精度不够的计算情况，采用穷举建模方式进行遍历计算；即采用线性建模+机器学习建模+穷举集合建模的方式覆盖整个计算空间。
[0045]
上面结合附图对本发明实施例作了详细说明，但是本发明不限于上述实施例，在技术领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。