本发明属于计算机网络安全技术领域,具体涉及一种基于dpi和云同步的流量安全控制方法及系统。
背景技术:
随着人们对智能手机和无线网络依赖度的日益增高,公共wifi产业迎来了其发展的春天,但与其快速增长的势头相比,其安全防范与监控还处于极低层次,且用户的信息安全意识都比较淡薄,这就给了不法分子以可乘之机。
免费wifi存在三大安全隐患:第一是商家架设的公共wifi没有做基本的上网记录功能,无法实现实名上网,一旦发生网络犯罪,无法查到作案人,只能查到wifi的提供者;第二是商家密码过于简单,也没有关闭各类管理端口,一旦有人进入主路由器,篡改dsn服务器信息等,劫持路由器;第三是免费wifi铺天盖地,市民很难分辨那个是不法分子的,如果使用不慎,只要几分钟就能够窃取手机上的个人信息和密码,包扩网银密码、炒股账户密码、信用卡密码等。
技术实现要素:
本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种基于dpi和云同步的流量安全控制系统,通过流量控制来保障上网安全,在保障用户隐私的情况下,利用dpi技术对每个流经路由器的数据包进行深度分析,起到保障安全的作用。
本发明采用以下技术方案:
一种基于dpi和云同步的流量安全控制方法,利用dpi技术对每个流经路由器的数据包进行深度分析,区别恶意流量和正常流量,对恶意流量进行拦截,并对用户进行跳转到提示界面,提醒用户即将访问的网页具有危害性;如果是严重恶意流量,则直接进行拦截操作,禁止其与客户端通信。
进一步的,包括以下步骤:
s1、在流量安全控制系统中,当用户发出访问一个网站的命令时,ap会将该网址与恶意网址库中网址进行匹配,以此对用户对即将访问的网址进行识别和响应;
s2、用云端数据库来存储恶意网址,并且定期将云端数据库的数据镜像同步到ap上,为恶意网址过滤功能提供用于匹配的恶意网址信息;
s3、对恶意网址库进行实时更新,以保证恶意网址库对恶意网址具有广泛包含性,减少在进行网址过滤时的疏漏,保证用户访问网址的安全性;
s4、利用dpi技术对公共网络中的恶意行为进行识别和响应,对应用层的流量进行检测和分析,判断出用户行为是否满足系统对恶意行为的定义,如果满足,立即取消该用户的网络访问权限并对其mac进行记录;
s5、如果攻击者触发了syslog的警告级别,将syslog的日志直接入送到打印机防止被攻击者篡改,保证日志的安全和准确性;
s6、采用vlan隔离技术来对不同组内网络设备间的数据交换进行隔离,使它们不能互相访问,用户的分组不受网络用户的物理位置限制;
s7、采用二次认证的方式对后台管理人员的身份进行二次确认,后台管理人员通过两次身份验证后,才能进入系统后台对系统进行管理和维护。
进一步的,步骤s1中,若匹配成功,提醒用户的危险行为或直接拒绝执行用户的访问命令;若匹配不成功,则允许用户的访问命令。
进一步的,步骤s2中,采用stunnel进行加密,利用openssl加密传输数据,将配置好的stunnel.conf的文件进行传输。
进一步的,步骤s4中,所述dpi部署采用内置和外置的方式。
进一步的,步骤s5中,采用rsyslog开源工具进行日志的记录,利用syslog的记录格式对系统关键部分进行日志的记录,利用其参数配置进行设置。
本发明还公开了一种基于dpi和云同步的流量安全控制系统,包括流量控制仪以及分别与所述流量控制仪连接的日志服务器、路由器/交换机、云服务器和上层流量提供,所述流量控制仪用于实现流量分析检测过滤功能,同时将系统日志上传到专用的日志服务器;所述日志服务器用于分析流量日志和系统关键信息日志;所述路由器/交换机用于给用户提供互联网访问服务;所述云服务器负责向下方控制器发放拦截过滤规则;所述上层流量提供向isp申请的带宽资源,用于访问外部互联网功能。
进一步的,所述流量控制仪内设置有恶意网址过滤模块、恶意行为识别响应模块、vlan隔离模块以及二次认证模块。
与现有技术相比,本发明至少具有以下有益效果:
本发明一种基于dpi和云同步的流量安全控制方法,利用dpi技术对每个流经控制仪的数据包进行深度分析,区别恶意流量和正常流量,如果是严重恶意流量,则进行拦截操作,禁止其与客户端通信;采用恶意链接匹配的方法对用户即将访问的网址与系统预存储的恶意链接库进行匹配,若匹配成功,则对其进行拦截,并将页面跳转到提示界面,提醒用户即将访问的网页具有危害性,充分考虑到安全威胁的多样性以及私密信息盗取手段的不断发展,采用云端存储的方式对恶意链接进行存储,并定期更新恶意链接数据库。同时也考虑到用户对于信息安全知识十分匮乏的现状,将用户隐私保护的责任从用户自身转移到了公共wifi系统上,从技术上实现用户的私密信息保护。
进一步的,利用dpi进行用户行为的分析,从而能精确区分出正常上网用户和恶意攻击者,当系统通过dpi分析检测到某用户的流量是异常的,则会对产生的恶意流量进行拦截,进而保障整个通信系统的安全,dpi技术以及云同步技术,具有一定的先进性和很强的实用性,改变了目前公共wifi不安全的现状,极大的提高了公共服务的质量,具有显著的社会效益和经济效益,市场前景广阔,为了简单操作使用了云服务器对恶意网址库进行更新,恶意网址库起到的作用就是为在ap上对恶意网址进行过滤提供恶意链接的判断依据,为了保障恶意网址库不被篡改就必须要保障传输的安全,用vlan隔离技术增加了网络的连接灵活性,可以提供建立防火墙的机制,防止交换网络的过量广播,释放带宽给用户应用,减少广播的产生,增加网络的安全性。
进一步的,采用的是stunnel进行加密,利用openssl实现传输信道,实现传输过程的安全性。
进一步的,采用dpi外置的方式使系统性能高,流量吞吐量高,安全性能高。
本发明还公开一种基于dpi和云同步的流量安全控制系统,包括流量控制仪以及分别与所述流量控制仪连接的日志服务器、路由器/交换机、云服务器和上层流量提供,流量控制仪对进入设备的所有流量进行过滤分析来保障系统内外的安全;日志服务器对系统内设备的关键进程进行日志的精准记录来保障系统的安全与稳定及后期的出错分析、系统调优;云服务器实现热稳定更新,保证规则处于最新状态,本系统吞吐量高,性能好,延时低,适合多种情景下使用,功能强大,安全保障系数高,对于公共服务简洁易懂,适合公共服务使用,系统安全保障系数高,操作简单,易于维护。
综上所述,本发明可以有效改善wifi快速增长的势头下,安全防范和监控与用户的自我隐私信息保护意识还处于极低层次的现状,对提高公众服务质量具有积极的促进作用。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明系统架构图。
具体实施方式
请参阅图1,本发明提供了一种基于dpi和云同步的安全流量控制系统,包括流量控制仪以及分别与所述流量控制仪连接的日志服务器、路由器/交换机、云服务器和上层流量提供。
流量控制仪:用于实现流量分析检测过滤功能。同时还会将系统日志上传到专用的日志服务器,方便后期的出错分析、系统调优等工作。
所述流量控制仪内设置有恶意网址过滤模块、恶意行为识别响应模块、vlan隔离模块以及二次认证模块。
恶意网址过滤模块利用云同步技术,将云端数据库中存储的恶意网址同步到ap上,当用户发出访问一个网站的命令时,ap会将该网址与恶意网址库中网址进行匹配,若匹配成功,则拒绝执行用户的访问命令,反之,则执行用户的访问命令,以此对用户对即将访问的网址进行识别和响应;
恶意行为识别响应模块利用dpi技术判断出用户行为是否满足系统对恶意行为的定义,如果满足,立即取消该用户的网络访问权限并对其mac进行记录,以此来阻止不法分子利用公共wifi对用户隐私信息的窥探和窃取;
vlan隔离模块根据用户需求对用户进行分组,并采用vlan隔离技术来对不同组内网络设备间的数据交换进行隔离,以此来抑制网络风暴、arp病毒等网络故障,并且对重要信息着重保护;
二次认证模块采用二次认证技术对后台管理人员的身份进行二次确认,以此来避免内部人员进行的攻击,保障流量安全控制系统自身的安全。
日志服务器:分析流量日志和系统关键信息日志,对后期的优化提升及系统可靠性检验、效率分析、问题溯源、黑客追踪等起重要作用。
对系统内设备的关键进程进行日志的精准记录来保障系统的安全与稳定。
路由器/交换机:底层硬件,用于给用户提供互联网访问服务。
云服务器:负责向下方控制器发放拦截过滤规则,实现热稳定更新,保证规则处于最新状态,达到最好的拦截过滤效果。
上层流量提供:向isp申请的带宽资源,用于访问外部互联网功能。
本发明还公开了一种基于dpi和云同步的安全流量控制方法,包括以下步骤:
s1、恶意网址过滤
在流量安全控制系统中,当用户发出访问一个网站的命令时,ap会将该网址与恶意网址库中网址进行匹配,匹配成功,则拒绝执行用户的访问命令;匹配不成功,则执行用户的访问命令,以此对用户对即将访问的网址进行识别和响应。
s2、云端恶意网址库到ap的安全同步
用云端数据库来存储恶意网址,并且定期将云端数据库的数据镜像同步到ap上,为恶意网址过滤功能提供用于匹配的恶意网址信息。
采用stunnel进行加密,采用openssl来实现传输信道的安全性,利用配置好的stunnel.conf的文件,实现传输过程的安全性。
s3、恶意网址库的实时更新
对恶意网址库进行实时更新,以保证恶意网址库对恶意网址具有广泛包含性,减少在进行网址过滤时的疏漏,保证用户访问网址的安全性。
s4、恶意行为识别及阻止
利用dpi技术对公共网络中的恶意行为进行识别和响应,对应用层的流量进行检测和分析,判断出用户行为是否满足系统对恶意行为的定义,如果满足,立即取消该用户的网络访问权限。
通过从应用层上对数据流的分析来阻止不法分子利用公共wifi对用户隐私信息的窥探和窃取。
s5、日志精准记录
采用rsyslog开源工具进行日志的记录,利用syslog的记录格式对系统关键部分进行日志的记录,利用其参数配置进行设置。
如果攻击者触发了syslog的警告级别,将syslog的日志直接入送到打印机防止被攻击者篡改,保证日志的安全和准确性。
通过这样的处理方式使我们可以获得更加精准的日志,方便后期的维护、管理及溯源。
s6、vlan隔离
采用virtuallocalareanetwork隔离技术来对不同组内网络设备间的数据交换进行隔离,使它们不能互相访问,用户的分组不受网络用户的物理位置限制,可以有效抑制网络风暴、arp病毒等网络故障,保证好的网络带宽、网络传输性能和安全,并且安全性比较敏感的部门也不会被随意访问,从而实现重要信息的着重保护。
s7、基于二次认证的后台安全登录管理
为了保障流量安全控制系统自身的安全,采用二次认证的方式对后台管理人员的身份进行二次确认,后台管理人员通过两次身份验证后,才能进入系统后台对系统进行管理和维护。
本发明方法的日志服务可以更好的服务于技术人员去维修和维护本系统,且本发明安全保障系数高,操作简单,不需要用户有很高的学习成本。本发明对于公共wifi用户的技术要求为零,可以很轻松地去维护使用被套系统,安全系数高。
本发明系统的吞吐量高,性能好,延时低,适合多种情景下使用。功能强大,安全保障系数高,对于公共服务来说,简洁易懂,适合公共服务使用。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。