一种网络数据流的安全处理方法及装置与流程
本发明实施例涉及网络安全技术领域,具体涉及一种网络数据流的安全处理方法及装置。
背景技术:
在企业级网络安全中信息流的识别和鉴定是网络安全的基本元素。这一基本元素是安全策略的制定的根据。管理者根据不同的安全元素指定相应的网路策略以保证网络安全。比较著名的ng-firwall的核心功能app-id(应用标识),app-id基于dpi(深度报文检测)核心技术确定数据流的应用标识。这一技术使得流量的识别是基于流量的真实内容而不是端口,协议;并且可以识别使用逃避技术的流量。这一技术打破了原防火墙技术的可视化只是基于四层以下的状态。使得管理者对网路运行的状态有了更直观和更有意义的视角。并使管理更加有效准确和有针对性。从而促生了ng-firewall。
app-id推进了网路的可视化和安全监控。但是应用本身并不是安全的本质。同一个应用可以是安全的也可以是不安全的。比如作为一个提供文件下载的服务,它本身是合法的应用,但是如果被攻克并被上载spamware(间谍软件),用以分发恶意软件。就成了一个危险的服务。在这种情况下,根据应用来制定安全策略就无法阻挡这种恶意应用,app-id就显得不足了。安全是一个动态的过而不是一个静态的状态。
鉴于此,如何对网络数据流进行安全处理,提高网络的安全性成为目前需要解决的技术问题。
技术实现要素:
由于现有方法存在上述问题,本发明实施例提出一种网络数据流的安全处理方法及装置。
第一方面,本发明实施例提出一种网络数据流的安全处理方法,包括:
对目标数据流进行应用标识app-id,判断目标数据流属于何种应用;
根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;
根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作。
可选地,在所述根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类之前,所述方法还包括:
获取根据已知的不同应用对应的操作特征值,通过对所述已知的不同应用对应的操作特征值进行启发式学习,预先构建已知的不同应用的应用服务画像;
其中,所述应用服务画像用于记录已知的每一应用对应不同的操作,以及根据时间/频率对同一动作定义为不同的操作。
可选地,所述通过对所述已知的不同应用对应的操作特征值进行启发式学习,预先构建已知的不同应用的应用服务画像,包括:
对已知的不同应用对应的操作特征值进行启发式学习,通过标识已知的不同应用所支持的每一操作,已知的不同应用所支持的每一操作的发起方、方法、频率范围和时间,预先构建已知的不同应用的应用服务画像。
可选地,在所述根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类之前,所述方法还包括:
根据服务范围内每一客户端的位置和每一客户端的应用使用历史数据,预先构建客户端应用画像。
可选地,所述根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类,包括:
根据判断获知的所述目标数据流所属的应用和预先构建的应用服务画像,获得所述目标数据流所属的应用所对应的应用服务画像
对所述目标数据流进行动作检测,通过判断所述目标数据流的动作与所述目标数据流所属的应用所对应的应用服务画像以及预先构建的客户端应用画像是否相符,来确定所述目标数据流的风险等级;
相应地,所述根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作,具体包括:
根据所述目标数据流的风险等级,对所述目标数据流进行所述风险等级相对应的预设处理操作。
第二方面,本发明实施例还提出一种网络数据流的安全处理装置,包括:
判断模块,用于对目标数据流进行应用标识app-id,判断目标数据流为何种应用;
确定模块,用于根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;
处理模块,用于根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作。
可选地,所述装置还包括:
第一构建模块,用于获取根据已知的不同应用对应的操作特征值,通过对所述已知的不同应用对应的操作特征值进行启发式学习,预先构建已知的不同应用的应用服务画像;
其中,所述应用服务画像用于记录已知的每一应用对应不同的操作,以及根据时间/频率对同一动作定义为不同的操作。
可选地,所述装置还包括:
第二构建模块,用于根据服务范围内每一客户端的位置和每一客户端的应用使用历史数据,预先构建客户端应用画像。
第三方面,本发明实施例还提出一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述方法。
由上述技术方案可知,本发明实施例是利用behavior-i(行为标识)技术,通过对目标数据流进行应用标识app-id,判断目标数据流属于何种应用;根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作,由此,能够提高网络的安全性,解决了app-id对流量的静态标识,减少了反应相应时间,可以提早发出预警信息;本实施例可通过动态更新客户端应用画像,实现对apt(高级持续性威胁)的持续跟踪;本实施例可进一步提高可视化,了解网络数据流在做什么而不仅仅是网络数据流是那种应用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种网络数据流的安全处理方法的流程示意图;
图2为本发明一实施例提供的一种网络数据流的安全处理装置的结构示意图;
图3为本发明一实施例提供的电子设备的逻辑框图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明一实施例提供的一种网络数据流的安全处理方法的流程示意图,如图1所示,本实施例的网络数据流的安全处理方法,包括:
s101、对目标数据流进行应用标识app-id,判断(网络)目标数据流属于何种应用。
具体地,可以根据应用的数据特征值、tls(传输层安全)/ssl(安全套接层)协议和ssh(文件传输协议)的解密加密、以及应用协议分析的解码,判断目标数据流属于何种应用。
s102、根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类。
可以理解的是,本步骤是在判断获知的所述目标数据流所属的应用后,结合客户端应用行为和应用服务行为,对当前的目标数据流进行行为认证,通过行为认证达到确认异常行为的目的。本实施例的行为认证是一个动态的过程,它可通过最初的应用认证,行为分析,行为设置和持续监控达到后续动态调整和异常发现。
s103、根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作。
可以理解的是,本实施例所述方法的执行主体为dpi分析节点,可利用处理器来实现。
本实施例的网络数据流的安全处理方法,是利用behavior-i(行为标识)技术,通过对目标数据流进行应用标识app-id,判断目标数据流属于何种应用;根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作,由此,能够提高网络的安全性,解决了app-id对流量的静态标识,减少了反应相应时间,可以提早发出预警信息;本实施例可通过动态更新客户端应用画像,实现对apt的持续跟踪;本实施例可进一步提高可视化,了解网络数据流在做什么而不仅仅是网络数据流是那种应用。
下面参考下述表格,以一个内部网络客户端在10:30pm从文件分发服务器的下载的网络数据流为例对本实施例所述方法进行更详细地说明。
所述文件分发服务主要提供给内部网络客户下载,从网络数据流分析系统可以得出这个服务是只有下载服务,并且业务流是在工作时段。系统标识这个服务为安全的文件服务下载类型。客户端10.43.2.1是标准的9-5工作模式,系统给出risklevel比较低。基于session123456789我们知道insider在10:30pm做了一次下载,这个和平时他的行为不符,系统会把这个session标识成suspicious,并提高10.43.2.1的risklevel,11:30再次发现该ip在进行上载,这个和这个应用的服务设置抵触,则会triggeralert。
对于一个文件服务应用,下载和上传都是合法的服务。如果只是app-id这三个流都是合法的不会trigger任何alert,但是从数据的行为来讲后面的两个行为是可疑乃至危险的行为。所以behavior-id的动态标识会在app-id的基础上进一步标识这一数据流的行为,从而更好的实现网络安全。
可以理解的是,app-id解决了网络流是什么的问题,而本实施例所述方法利用behavior-id技术解决了这个网络流在干什么的问题。
本实施例对网络数据流的识别不在是一个孤立的单数据分析,是利用行为标识behavior-id技术,需要考虑应用,应用的服务操作,进行服务操作的客户端和服务端的网络行为。本实施例对网络数据流的判断不再是静态的,而是根据客户端,服务端,应用,加于应用上的操作以及该操作的统计行为的动态值,即同一个应用在对于不同的客户端的不同的操作时可以是合法的也可能是可疑的;本实施例提供了更深层次的可视性,网络管理员不光知道网上在跑什么应用,还知道谁在利用这些应用做什么,以什么样的方式在用这些应用。
进一步地,在上述方法实施例的基础上,在上述步骤s102之前,本实施例所述方法还可以包括图中未示出的步骤a:
a、获取根据已知的不同应用对应的操作特征值,通过对所述已知的不同应用对应的操作特征值进行启发式学习,预先构建已知的不同应用的应用服务画像;
其中,所述应用服务画像用于记录已知的每一应用对应不同的操作,以及根据时间/频率对同一动作定义为不同的操作。
可以理解的是,本实施例可以预设每隔一段时间动态更新所预先构建的已知的不同应用的应用服务画像。
具体地,所述启发式学习可以包括现有技术中的所有启发式学习方法,本实施例并不对其进行限制,可根据实际情况进行确定使用何种启发式学习方法。
具体地,所述步骤a可以具体包括:
对已知的不同应用对应的操作特征值进行启发式学习,通过标识已知的不同应用所支持的每一操作,已知的不同应用所支持的每一操作的发起方、方法、频率范围和时间,预先构建已知的不同应用的应用服务画像。
进一步地,在上述方法实施例的基础上,在上述步骤s102之前,本实施例所述方法还可以包括图中未示出的步骤b:
b、根据服务范围内每一客户端的位置和每一客户端的应用使用历史数据,预先构建客户端应用画像。
可以理解的是,本实施例可以预设每隔一段时间动态更新所预先构建的客户端应用画像。
可以理解的是,动态更新所预先构建的客户端应用画像所间隔的时间段与动态更新所预先构建的已知的不同应用的应用服务画像所间隔的时间段可以相同,也可以不同,本实施例并不对其进行限制,可根据实际情况进行设置。
在具体应用中,上述步骤s102可以包括:
根据判断获知的所述目标数据流所属的应用和预先构建的应用服务画像,获得所述目标数据流所属的应用所对应的应用服务画像
对所述目标数据流进行动作检测,通过判断所述目标数据流的动作与所述目标数据流所属的应用所对应的应用服务画像以及预先构建的客户端应用画像是否相符,来确定所述目标数据流的风险等级;
相应地,所述步骤s103可具体包括:
根据所述目标数据流的风险等级,对所述目标数据流进行所述风险等级相对应的预设处理操作。
其中,所述风险等级可以包括:合法的、可疑的和告警等,本实施例并不对其进行限制,可根据实际情况进行具体设置。
本实施例的网络数据流的安全处理方法,能够提高网络的安全性,解决了app-id对流量的静态标识,减少了反应相应时间,可以提早发出预警信息;本实施例可通过动态更新客户端应用画像,实现对apt的持续跟踪;本实施例可进一步提高可视化,了解网络数据流在做什么而不仅仅是网络数据流是那种应用。
图2示出了本发明一实施例提供的一种网络数据流的安全处理装置的结构示意图,如图2所示,本实施例的网络数据流的安全处理装置,包括:判断模块21、确定模块22和处理模块23;其中:
所述判断模块21,用于对目标数据流进行应用标识app-id,判断目标数据流为何种应用;
所述确定模块22,用于根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;
所述处理模块23,用于根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作。
具体地,所述判断模块21对目标数据流进行应用标识app-id,判断目标数据流为何种应用;所述确定模块22根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;所述处理模块23根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作。
具体地,所述判断模块21可以根据应用的数据特征值、tls(传输层安全)/ssl(安全套接层)协议和ssh(文件传输协议)的解密加密、以及应用协议分析的解码,判断目标数据流属于何种应用。
可以理解的是,所述确定模块22是在判断获知的所述目标数据流所属的应用后,结合客户端应用行为和应用服务行为,对当前的目标数据流进行行为认证,通过行为认证达到确认异常行为的目的。本实施例的行为认证是一个动态的过程,它可通过最初的应用认证,行为分析,行为设置和持续监控达到后续动态调整和异常发现。
可以理解的是,本实施例所述装置即为dpi分析节点,可以实现上述方法实施例所述的一种网络数据流的安全处理方法。
本实施例的网络数据流的安全处理装置,是利用behavior-i(行为标识)技术,通过对目标数据流进行应用标识app-id,判断目标数据流属于何种应用;根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作,由此,能够提高网络的安全性,解决了app-id对流量的静态标识,减少了反应相应时间,可以提早发出预警信息;本实施例可通过动态更新客户端应用画像,实现对apt(高级持续性威胁)的持续跟踪;本实施例可进一步提高可视化,了解网络数据流在做什么而不仅仅是网络数据流是那种应用。
可以理解的是,app-id解决了网络流是什么的问题,而本实施例所述方法利用behavior-id技术解决了这个网络流在干什么的问题。
本实施例对网络数据流的识别不在是一个孤立的单数据分析,是利用行为标识behavior-id技术,需要考虑应用,应用的服务操作,进行服务操作的客户端和服务端的网络行为。本实施例对网络数据流的判断不再是静态的,而是根据客户端,服务端,应用,加于应用上的操作以及该操作的统计行为的动态值,即同一个应用在对于不同的客户端的不同的操作时可以是合法的也可能是可疑的;本实施例提供了更深层次的可视性,网络管理员不光知道网上在跑什么应用,还知道谁在利用这些应用做什么,以什么样的方式在用这些应用。
在具体应用中,所述确定模块22,可具体用于
根据判断获知的所述目标数据流所属的应用和预先构建的应用服务画像,获得所述目标数据流所属的应用所对应的应用服务画像
对所述目标数据流进行动作检测,通过判断所述目标数据流的动作与所述目标数据流所属的应用所对应的应用服务画像以及预先构建的客户端应用画像是否相符,来确定所述目标数据流的风险等级;
相应地,所述处理模块23可具体用于
根据所述目标数据流的风险等级,对所述目标数据流进行所述风险等级相对应的预设处理操作。
其中,所述风险等级可以包括:合法的、可疑的和告警等,本实施例并不对其进行限制,可根据实际情况进行具体设置。
进一步地,在上述装置实施例的基础上,本实施例所述装置还包括图中未示出的:
第一构建模块,用于获取根据已知的不同应用对应的操作特征值,通过对所述已知的不同应用对应的操作特征值进行启发式学习,预先构建已知的不同应用的应用服务画像;
其中,所述应用服务画像用于记录已知的每一应用对应不同的操作,以及根据时间/频率对同一动作定义为不同的操作。
可以理解的是,所述第一构建模块可以预设每隔一段时间动态更新所预先构建的已知的不同应用的应用服务画像。
具体地,所述启发式学习可以包括现有技术中的所有启发式学习方法,本实施例并不对其进行限制,可根据实际情况进行确定使用何种启发式学习方法。
具体地,所述第一构建模块,可以具体用于
对已知的不同应用对应的操作特征值进行启发式学习,通过标识已知的不同应用所支持的每一操作,已知的不同应用所支持的每一操作的发起方、方法、频率范围和时间,预先构建已知的不同应用的应用服务画像。
进一步地,在上述装置实施例的基础上,本实施例所述装置还包括图中未示出的:
第二构建模块,用于根据服务范围内每一客户端的位置和每一客户端的应用使用历史数据,预先构建客户端应用画像。
可以理解的是,所述第二构建模块可以预设每隔一段时间动态更新所预先构建的客户端应用画像。
可以理解的是,动态更新所预先构建的客户端应用画像所间隔的时间段与动态更新所预先构建的已知的不同应用的应用服务画像所间隔的时间段可以相同,也可以不同,本实施例并不对其进行限制,可根据实际情况进行设置。
本实施例的网络数据流的安全处理装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的网络数据流的安全处理装置,能够提高网络的安全性,解决了app-id对流量的静态标识,减少了反应相应时间,可以提早发出预警信息;本实施例可通过动态更新客户端应用画像,实现对apt的持续跟踪;本实施例可进一步提高可视化,了解网络数据流在做什么而不仅仅是网络数据流是那种应用。
图3示出了本发明实施例提供的一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器11、存储器12、总线13及存储在存储器12上并可在处理器11上运行的计算机程序;
其中,所述处理器11,存储器12通过所述总线13完成相互间的通信;
所述处理器11执行所述计算机程序时实现上述各方法实施例所提供的方法,例如包括:对目标数据流进行应用标识app-id,判断目标数据流属于何种应用;根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例所提供的方法,例如包括:对目标数据流进行应用标识app-id,判断目标数据流属于何种应用;根据判断获知的所述目标数据流所属的应用、预先构建的应用服务画像和客户端应用画像,确定所述目标数据流的行为分类;根据所述目标数据流的行为分类,对所述目标数据流进行所述行为分类相对应的预设处理操作。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置/系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
- 还没有人留言评论。精彩留言会获得点赞!