一种网络安全规则学习方法及系统的制作方法
【技术领域】
[0001] 本发明涉及计算机网络安全领域,具体地,涉及一种网络安全规则学习方法及系 统。
【背景技术】
[0002] 网络安全中,特别是工业控制网络中,由于网络设备的特殊性,用户往往不能及时 为系统漏洞添加补丁。工控网络分布式保护方案可以有效提高网络的安全性。如图1所示, 两个安全监测保护设备(监测/保护设备1,监测/保护设备2),它们由一个中央管理系统 统一管理。安全保护设备负责监测经过的数据包,基于中央管理系统部署的安全规则和安 全特征与数据包匹配的结果,对非法的数据包报警或阻断。安全规则定义了网络设备之间 的行为规范,可以监测/阻断不合法的指令、数据泄漏、用户误操作等网络行为,提高网络 的安全性。
[0003] 在网络中,设备之间的通讯是通过多种网络协议实现的。为了对网络行为进行有 效的监控,其安全规则往往基于深度数据包解析,包含多种复杂的数据包信息。同时,由于 网络的复杂性,传统的人工定义网络安全规则的方法复杂度高,需要消耗大量的人力物力 资源,必须对网络协议和网络行为有深刻的了解,而生成的安全规则往往不够全面,会产生 大量的错报、误报的情况。因此用户很难自己定义整套的安全规则以满足系统正常工作的 需要。
【发明内容】
[0004] 针对现有技术的上述缺陷与不足,本发明的目的在于提供一种高效的安全规则学 习方法及系统,提高网络安全规则部署的全面性、系统性和准确性。
[0005] 所述安全规则学习方法包括如下步骤:
[0006] (al)在深度数据包解析的基础上,通过数据采集器收集网络中传输的数据包信 息,并将该信息存储到数据存储部件中,以响应学习引擎对数据的查询;
[0007] (a2)安全规则学习引擎分析数据包信息,并生成安全规则。
[0008] 优选地,步骤(al)中,深度数据包解析是指通过对原始数据包的分析,提取关键 性的信息,这些数据包信息包含但不限于数据包的源地址,目标地址,协议名,端口号,数据 详细信息。
[0009] 步骤(al)中,数据采集的途径包括但不限于通过网络中的安全保护设备收集数 据、对网络交换机进行监听以及利用用户设备自身日志信息。
[0010] 优选地,步骤(a2)中,与数据包信息类似,所述安全规则包含源地址、目标地址、 规则细节、应对措施等内容。
[0011]优选地,步骤(a2)中,在安全规则学习过程中,用户可以通过手工或自动的方式, 将设备进行分类,学习引擎根据设备类别学习安全规则,这样可以控制安全规则项数量,缩 短安全规则学习时间。
[0012] 优选地,步骤(a2)中,在安全规则学习过程中,用户可以根据自身的需要定义网 络行为模块,也可以通过机器学习的方法,自动将不同的网络行为归结为某些行为模块。
[0013] 优选地,对于不符合所有安全规则的数据包,学习引擎定义了默认的应对措施。这 些应对措施可以是针对所有的设备和网络协议,也可以是针对某些设备或网络协议,当监 测/保护设备没有发现任何匹配的安全规则项时,则按照默认的应对措施处理该数据包。
[0014] 所述安全规则学习系统包括:
[0015] 数据采集器,收集网络中传输的数据包信息并对收集到的信息进行解析;
[0016] 数据存储部件,其用于存储数据采集器收集到的数据包信息,并响应学习引擎的 询问;
[0017] 学习引擎,其用于分析数据存储部件的数据包信息,并生成安全规则。
[0018] 优选地,所述系统包括一个或多个学习引擎,每个学习引擎可以单独学习部分或 全部安全规则,当存在多个学习引擎时,某个中央学习引擎汇总所有的部分安全规则形成 最终的整体安全规则。
[0019] 优选地,所述数据采集器利用深度数据包解析技术将网络数据包中的关键信息解 析为设备的网络行为。
[0020] 所述安全规则学习引擎使用数据采集器收集到的数据包,以及网络设备类别信息 和网络行为类别信息自动生成针对用户环境的安全规则。
[0021] 本发明的技术优势在于系统自动从网络数据中提取安全规则。用户无需任何专业 知识,通过"一键式"操作即可得到完整的,针对现有运行环境的安全规则,并且通过本发明 所述的使用设备类别和网络行为模块的安全规则学习方法,可以有效控制学习到的规则项 的数量。
【附图说明】
[0022] 图1是分布式网络安全系统;
[0023] 图2是安全规则学习系统;
[0024] 图3是安全规则学习系统与分布式网络安全系统的结合图。
【具体实施方式】
[0025] 为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不 用于限定本发明。
[0026] 现有技术中,通常采用分布式网络安全系统提高网络的安全性,如图1所示,分布 式网络安全系统中用户设备为A、B、C、M、N,其中A、B、C为工程师工作站,M、N为可编程逻 辑控制器。监测/保护设备1、2监测经过的数据包,监测/保护设备1、2由中央管理平台 3统一管理,中央管理系统3部署安全规则和安全特征,基于该安全规则和安全特征与数据 包的匹配结果,对非法的数据包进行报警或阻断。然而在现有分布式网络安全系统中,用户 很难自己定义整套的安全规则来满足系统正常工作的需要。
[0027] 本发明通过监视正常工作状态下网络中的数据包,以此为基准自动定义网络的行 为规范。其核心功能在于安全系统自动学习设备的网络行为,并把学习到的行为定义为安 全规则。对于不再是安全规则内的网络行为,则通过定义默认安全规则的方式进行处理 (报警或阻断等)。
[0028] 如图2所示的安全规则学习系统,其中监听设备4和用户设备N用作系统中的 数据采集器,5为数据存储部件,6为学习引擎。首先,数据采集器收集网络中传输的数据 包,并利用深度数据包解析技术将网络数据包中的关键信息解析为设备的网络行为,例如 Modbus中的操作码,读写操作的地址等。数据包信息传输并存储在数据存储部件5中。通 过深度数据包解析所获取的数据包信息如表1所示。
[0029] 表1从深度数据包解析中获得的数据包信息
[0030]
[0031] 获得并存储上述数据包信息之后,