专利名称:互联网中实现网域边界安全监控的方法
技术领域:
本发明涉及网络安全技术领域,特别涉及网络边界安全技术领域,具体是指一种互联网中实现网域边界安全监控的方法。
背景技术:
目前,各类关系国计民生的重要网络形成了独立的安全域,在这些网域的边界上一般包括专线、视频、无线、互联网等多种接入链路,并且往往需要对传输数据进行多步业务处理。相比于单一接入链路监控,多接入链路容易造成的木桶短板效应,并且多级、多种业务处理的复杂性进一步增加了低于网络安全监控的难度。因此,该技术领域中特别需要一种实现面向多链路的网域边界纵深安全监控的方 法。
发明内容
本发明的目的是克服了上述现有技术中的缺点,提供一种基于时间序列和处理节点序列等进行流量分析,形成网域安全态势分析并进行安全预警与情况报告,从而能够及时准确地发现网络入侵行为、安全机制旁路、设备运行异常等多种安全威胁,并支持实时响应与处置,且实现方式简便,实现成本低廉,应用范围广泛的互联网中实现网域边界安全监控的方法。为了实现上述的目的,本发明的互联网中实现网域边界安全监控的方法包括以下步骤(I)对所述的各子网域的流量进行多链路关联分析,判断多链路关联分析结果是否符合安全要求,若是,则进入步骤(2),若否,则进入步骤(5);(2)对所述的各子网域的流量进行时序分析,判断时序分析结果是否符合安全要求,若是,则进入步骤(3),若否,则进入步骤(5);(3)对所述的各子网域的流量进行综合流量分析,判断综合流量分析结果是否符合安全要求,若是,则进入步骤(4),若否,则进入步骤(5);(4)根据所述的多链路关联分析结果、时序分析结果和综合流量分析结果形成各子网域及总体安全态势评价信息,并通过对所述的网域边界进行流量分析产生安全预警信息;(5)根据所述的多链路关联分析结果、时序分析结果和综合流量分析结果中的一种产生相应的安全预警信息。该互联网中实现网域边界安全监控的方法中,所述的对各子网域的流量进行多链路关联分析具体为基于旁路侦听和监控代理的方式对各子网域的各条链路进行流量、安全日志及安全配置信息的采集,实现对进出网域边界网络流量、终端接入状态、后台设备及服务运行状态实时监控。该互联网中实现网域边界安全监控的方法中,所述的子网域中包括多个链路i,……,j,……,m (i、j、m均为正整数,用于标识链路),所述的多个链路i,……,j,……,!11分
别产生对应的基于业务的流量Flowi, ......,Flowj,......,Flowm,所述的步骤(I)具体包括以
下步骤(11)对所述的各链路产生的基于业务的流量Flowi, ......,Flow」,......,Flowm进
行实时监控;(12)汇聚所述的各流量Flowi, ......,Flow」,......,Flowm,并根据安全分析模型对
所述的各链路i,……,j,……,m的流量进行关联分析; (13)判断多链路关联分析结果是否符合安全要求,若是,则进入步骤(2),若否,则进入步骤(5)。该互联网中实现网域边界安全监控的方法中,所述的对各子网域的流量进行时序分析,具体为对于所述的各子网域的各链路的关键汇聚节点进行时序分析。该互联网中实现网域边界安全监控的方法中,所述的步骤(2)具体包括以下步骤(21)对子网域的链路i所产生的基于业务的流量Flowi,在时间点m时刻的流量Flowi Cm)以及在时间点η时刻的流量Flowi (η),根据安全分析模型,并基于时间序列{m,……,n,……} (m和η均为正数,用于标识流量分析时间点)进行分析;(22)判断基于时间序列的分析结果是否符合安全要求,若是,则进入步骤(3),若否,则进入步骤(5)。该互联网中实现网域边界安全监控的方法中,所述的对各子网域的流量进行综合流量分析,具体为对所述的各子网域的流量进行汇聚,根据流量轨迹、时序、业务节点进行统一的关联分析。该互联网中实现网域边界安全监控的方法中,所述的步骤(3)具体包括以下步骤(31)对子网域i所产生的基于业务的流量Subneti,在时间点m时刻的流量
Subneti (m),在时间点η时刻的流量Subneti (η),基于时间序列{m, ......,η, ......}进行
分析;(32)对所述的子网域i的流量Subneti在业务节点Nm的流量Subneti (Nm),及在邻接业务节点Nm+1的流量Subneti (Nm+1),进行比对关联分析;(33)对所述的子网域 i 的流量 Subneti 的轨迹(Subneti (Nm),......, Subneti
(Nn),......},进行综合分析;(34)将子网域j所产生的基于业务的流量Subnetj与所述的子网域i的流量Subneti进行综合关联分析;(35)判断综合关联分析结果是否符合安全要求,若是,则进入步骤(4),若否,则进入步骤(5)。采用了该发明的互联网中实现网域边界安全监控的方法中,其通过对各子网域的流量进行多链路关联分析、时序分析和综合流量分析,形成网域安全态势分析并进行安全预警与情况报告,从而利用本发明的方法能够及时准确地发现网络入侵行为、安全机制旁路、设备运行异常等多种安全威胁,并支持实时响应与处置,且本发明的互联网中实现网域边界安全监控的方法,其实现方式简便,实现成本低廉,应用范围也较为广泛。
图I为本发明的互联网中实现网域边界安全监控的方法的步骤流程图。图2为本发明的互联网中实现网域边界安全监控的方法在实际应用中的形成子网域流量的示意图。图3为本发明的互联网中实现网域边界安全监控的方法在实际应用中的基于两个子网域流量进行关联分析的示意图。
具体实施例方式为了能够更清楚地理解本发明的技术页面,特举以下实施例详细说明。
请参阅图I所示,为本发明的互联网中实现网域边界安全监控的方法的步骤流程图。在一种实施方式中,所述的网域边界包括多个子网域,该互联网中实现网域边界安全监控的方法包括以下步骤(I)对所述的各子网域的流量进行多链路关联分析,判断多链路关联分析结果是否符合安全要求,若是,则进入步骤(2),若否,则进入步骤(5);(2)对所述的各子网域的流量进行时序分析,判断时序分析结果是否符合安全要求,若是,则进入步骤(3),若否,则进入步骤(5);(3)对所述的各子网域的流量进行综合流量分析,判断综合流量分析结果是否符合安全要求,若是,则进入步骤(4),若否,则进入步骤(5);(4)根据所述的多链路关联分析结果、时序分析结果和综合流量分析结果形成各子网域及总体安全态势评价信息,并通过对所述的网域边界进行流量分析产生安全预警信息;(5)根据所述的多链路关联分析结果、时序分析结果和综合流量分析结果中的一种产生相应的安全预警信息。在较优选的实施方式中,所述的对各子网域的流量进行多链路关联分析具体为基于旁路侦听和监控代理的方式对各子网域的各条链路进行流量、安全日志及安全配置信息的采集,实现对进出网域边界网络流量、终端接入状态、后台设备及服务运行状态实时监控。所述的对各子网域的流量进行时序分析,具体为对于所述的各子网域的各链路的关键汇聚节点进行时序分析。且所述的对各子网域的流量进行综合流量分析,具体为对所述的各子网域的流量进行汇聚,根据流量轨迹、时序、业务节点进行统一的关联分析。在更优选的实施方式中,所述的子网域中包括多个链路i,……,j,……,m,所述
的多个链路i,......,j,......,m分别产生对应的基于业务的流量Flowi, ......,Flowj,......
,Flowm。所述的步骤(I)具体包括以下步骤(11)对所述的各链路产生的基于业务的流量Flowi, ......,Flowj,......,?10¥111进
行实时监控;(12)汇聚所述的各流量Flowi, ......,Flow」,......,Flowm,并根据安全分析模型对所述的各链路i,……,j,……,m的流量进行关联分析;(13)判断多链路关联分析结果是否符合安全要求,若是,则进入步骤(2),若否,则进入步骤(5)。所述的步骤(2)具体包括以下步骤(21)对子网域的链路i所产生的基于业务的流量Flowi,在时间点m时刻的流量Flowi Cm)以及在时间点η时刻的流量Flowi (η),根据安全分析模型,并基于时间序列Im, ......,η, ......}进行分析;(22)判断基于时间序列的分析结果是否符合安全要求,若是,则进入步骤(3),若否,则进入步骤(5)。所述的步骤(3)具体包括以下步骤
(31)对子网域i所产生的基于业务的流量Subneti,在时间点m时刻的流量
Subneti (m),在时间点η时刻的流量Subneti (η),基于时间序列{m, ......,η, ......}进行
分析;(32)对所述的子网域i的流量Subneti在业务节点Nm的流量Subneti (Nm),及在邻接业务节点Nm+1的流量Subneti (Nm+1),进行比对关联分析;(33)对所述的子网域 i 的流量 Subneti 的轨迹(Subneti (Nm),......, Subneti
(Nn),......},进行综合分析;(34)将子网域j所产生的基于业务的流量Subnetj与所述的子网域i的流量Subneti进行综合关联分析;(35)判断综合关联分析结果是否符合安全要求,若是,则进入步骤(4),若否,则进入步骤(5)。在本发明的应用中,该互联网中实现网域边界安全监控的方法,如图2及图3所示,包括以下步骤(11)对子网域的多链路ILinki,......,Link」,......,LinkJ所产生的基于业务等的
流量{FloWi,……,Flowj,……,FlowJ进行实时监控并汇聚Flowi …… Flowj φ……0Flowm,根据安全分析模型,对各链路的流量进行关联分析;(12)如果符合网域边界安全策略,则形成安全态势分析报告,否则,进行安全预警与情况报告。进行子网域流量基于时序的分析处理的步骤如下(21)对子网域的链路Linki所产生的基于业务等的流量Flowi,在时间点Tm时刻的流量Flowi (Tm),在时间点Tn时刻的流量Flowi (Tn),根据安全分析模型,基于时间序列{Tm,……,Tn,……}进行分析;(22)如果该链路流量时序分析符合网域边界安全策略,则形成安全态势分析报告,否则,进行安全预警与情况报告。进行多个子网域的综合流量分析处理的步骤如下(31)对子网域i所产生的基于业务等的流量{SubnetJ ,在时间点Tm时刻的流量Subneti (Tm),在时间点Tn时刻的流量Subneti (Tn),基于时间序列{Tm,……,Tn,……}进行分析;在业务节点Nm的流量Subneti(Nm),在邻接业务节点Nm+1的流量Subneti(Nlrt),进行比对关联分析;对子网域流量Subneti的轨迹(Subneti (Nm),......, Subneti (Nn),......},进行综合分析;对子网域j所产生的基于业务等的流量{Subnet」},对{SubnetJ和{Subnet」}进行综合关联分析;(32)如果多个子网域的综合流量分析符合网域边界安全策略,则形成安全态势分析报告,否则,进行安全预警与情况报告。采用了该发明的互联网中实现网域边界安全监控的方法中,其通过对各子网域的流量进行多链路关联分析、时序分析和综合流量分析,形成网域安全态势分析并进行安全预警与情况报告,从而利用本发明的方法能够及时准确地发现网络入侵行为、安全机制旁路、设备运行异常等多种安全威胁,并支持实时响应与处置,且本发明的互联网中实现网域边界安全监控的方法,其实现方式简便,实现成本低廉,应用范围也较为广泛。在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出 各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
权利要求
1.ー种互联网中实现网域边界安全监控的方法,其特征在于,所述的网域边界包括多个子网域,所述的方法包括以下步骤 (1)对所述的各子网域的流量进行多链路关联分析,判断多链路关联分析结果是否符合安全要求,若是,则进入步骤(2),若否,则进入步骤(5); (2)对所述的各子网域的流量进行时序分析,判断时序分析结果是否符合安全要求,若是,则进入步骤(3),若否,则进入步骤(5); (3)对所述的各子网域的流量进行综合流量分析,判断综合流量分析结果是否符合安全要求,若是,则进入步骤(4),若否,则进入步骤(5); (4)根据所述的多链路关联分析结果、时序分析结果和综合流量分析结果形成各子网域及总体安全态势评价信息,并通过对所述的网域边界进行流量分析产生安全预警信息; (5)根据所述的多链路关联分析结果、时序分析结果和综合流量分析结果中的ー种产生相应的安全预警信息。
2.根据权利要求I所述的互联网中实现网域边界安全监控的方法,其特征在于,所述的对各子网域的流量进行多链路关联分析具体为 基于旁路侦听和监控代理的方式对各子网域的各条链路进行流量、安全日志及安全配置信息的采集,实现对进出网域边界网络流量、終端接入状态、后台设备及服务运行状态实时监控。
3.根据权利要求2所述的互联网中实现网域边界安全监控的方法,其特征在于,所述的子网域中包括多个链路i,……,j,……,!!!,所述的多个链路i,……,j,……,!!!分别产生对应的基于业务的流量Flowi, ......,Flowj,......,Flowm,所述的步骤(I)具体包括以下步骤 (11)对所述的各链路产生的基于业务的流量Flowi,......,Flowj,......,Flowm进行实时监控; (12)汇聚所述的各流量Flowi,......,Flowj,......,Flowm,并根据安全分析模型对所述的各链路i,……,j,……,m的流量进行关联分析; (13)判断多链路关联分析结果是否符合安全要求,若是,则进入步骤(2),若否,则进入步骤(5)。
4.根据权利要求I所述的互联网中实现网域边界安全监控的方法,其特征在于,所述的对各子网域的流量进行时序分析,具体为 对于所述的各子网域的各链路的关键汇聚节点进行时序分析。
5.根据权利要求4所述的互联网中实现网域边界安全监控的方法,其特征在于,所述的步骤(2)具体包括以下步骤 (21)对子网域的链路i所产生的基于业务的流量Flowi,在时间点m时刻的流量Flowi(m)以及在时间点η时刻的流量Flowi (η),根据安全分析模型,并基于时间序列{m,......,η,……}进行分析; (22)判断基于时间序列的分析结果是否符合安全要求,若是,则进入步骤(3),若否,则进入步骤(5)。
6.根据权利要求I所述的互联网中实现网域边界安全监控的方法,其特征在于,所述的对各子网域的流量进行综合流量分析,具体为对所述的各子网域的流量进行汇聚,根据流量轨迹、时序、业务节点进行统一的关联分析。
7.根据权利要求6所述的互联网中实现网域边界安全监控的方法,其特征在于,所述的步骤(3)具体包括以下步骤 (31)对子网域i所产生的基于业务的流量Subneti,在时间点m时刻的流量Subneti(m),在时间点η时刻的流量Subneti (η),基于时间序列{m,......,η, ......}进行分析; (32)对所述的子网域i的流量Subneti在业务节点Nm的流量Subneti(Nm),及在邻接业务节点Nm+1的流量Subneti (Nm+1),进行比对关联分析;(33)对所述的子网域i的流量Subneti的轨迹(Subneti(Nm),......, Subneti(Nn),......},进行综合分析; (34)将子网域j所产生的基于业务的流量Subnetj与所述的子网域i的流量Subneti进行综合关联分析; (35)判断综合关联分析结果是否符合安全要求,若是,则进入步骤(4),若否,则进入步骤(5)。
全文摘要
本发明涉及一种互联网中实现网域边界安全监控的方法,属于网络安全技术领域。该方法通过对各子网域的流量进行多链路关联分析、时序分析和综合流量分析,形成网域安全态势分析并进行安全预警与情况报告,从而能够及时准确地发现网络入侵行为、安全机制旁路、设备运行异常等多种安全威胁,并支持实时响应与处置。且本发明的互联网中实现网域边界安全监控的方法,其实现方式简便,实现成本低廉,应用范围也较为广泛。
文档编号H04L29/06GK102833354SQ20121035177
公开日2012年12月19日 申请日期2012年9月19日 优先权日2012年9月19日
发明者陈兵, 邹翔, 倪力舜, 胥怡心, 杨明慧, 杭强伟 申请人:公安部第三研究所