本发明涉及信息通信领域,尤其涉及一种网络安全监测器及分布式网络安全智能分析方法。
背景技术:
随着互联网技术的发展,为了防止恶意网络访问给网络系统中的数据带来破坏、更改和泄露,保证网络系统安全可靠的运行,需要对网络行为进行安全监测,目前常用的网络安全检测技术有入侵检测、异常流量分析计算和病毒检测等。
网络安全检测器通过实时分析网上数据流来监测非法入侵活动,并根据监测结果实时报警、响应,达到主动发现入侵活动、确保网络安全目的。然而,随着信息的爆发式增长,现有的互联网系统对于涉及数据流量较大的信息的处理能力,存在处理速度慢分工不合理的问题。
技术实现要素:
本发明提供了一种分布式网络安全智能分析方法,包括:
网络行为监听器监听网络行为,获取网络行为数据包;
中控器获取各分布式引擎属性,根据各分布式引擎属性划分各类引擎集群,将网络行为数据包分发至各引擎集群,引擎集群对网络行为数据包进行预处理,将预处理结果发送至网络安全分析器;
网络安全分析器对网络行为数据包进行网络安全分析,将分析结果返回引擎集群,引擎集群再将分析结果返回中控器;
中控器汇总各引擎集群返回的分析结果,根据分析结果确定网络行为的安全性。
如上所述的分布式网络安全智能分析方法,其中,将网络行为数据包分发至各引擎集群,引擎集群对网络行为数据包进行预处理,具体包括如下子步骤:
中控器在划分引擎集群后,根据各引擎集群属性选定主引擎和子引擎;
中控器将网络行为数据包分发至各引擎集群的主引擎,在各引擎集群内根据负载均衡策略选择最优子引擎,主引擎将网络行为数据发送至最优子引擎;
由最优引擎对网络行为数据包进行预处理,并将预处理结果发送至网络安全分析器。
如上所述的分布式网络安全智能分析方法,其中,对网络行为数据包进行预处理,具体包括如下子步骤:
对网络安全数据中经tcp/ip五层协议封装后的数据进行解密和解析操作;
进行数据真实性与精准性检查,以及检查网络行为数据的用途;
进行数据筛选,将不符合要求的数据或明显错误数据进行剔除;
集成数据,进行数据格式标准化,得到数据源地址、数据目的地址、源端口、目的端口以及传输协议。
如上所述的分布式网络安全智能分析方法,其中,对网络行为数据包进行网络安全分析,具体包括如下子步骤:
预先采集各类网络行为数据,从各类网络行为数据中提取特征数据;
将大量的特征数据输入神经网络,构建网络安全分析模型;
将网络行为数据包输入预先训练的网络安全分析模型中,输出网络安全分析结果。
如上所述的分布式网络安全智能分析方法,其中,根据分析结果确定网络行为的安全性,具体包括如下子步骤:
设定网络安全基准数值点;
计算当前网络行为安全系数值;
比较前网络行为安全系数值与网络安全基准数值点,判断网络行为是否在可控数值范围内。
本申请还提供一种网络安全监测器,包括:网络行为监听器、中控器、分布式引擎和网络安全分析器;
网络行为监听器监听网络行为,获取网络行为数据包;
中控器获取各分布式引擎属性,根据各分布式引擎属性划分各类引擎集群,将网络行为数据包分发至各引擎集群,引擎集群对网络行为数据包进行预处理,将预处理结果发送至网络安全分析器;
网络安全分析器对网络行为数据包进行网络安全分析,将分析结果返回引擎集群,引擎集群再将分析结果返回中控器;
中控器汇总各引擎集群返回的分析结果,根据分析结果确定网络行为的安全性。
如上所述的网络安全监测器,其中,所述中控器在划分引擎集群后,根据各引擎集群属性选定主引擎和子引擎;中控器将网络行为数据包分发至各引擎集群的主引擎,在各引擎集群内根据负载均衡策略选择最优子引擎,主引擎将网络行为数据发送至最优子引擎;由最优引擎对网络行为数据包进行预处理,并将预处理结果发送至网络安全分析器。
如上所述的网络安全监测器,其中,所述对网络行为数据包进行预处理,具体用于对网络安全数据中经tcp/ip五层协议封装后的数据进行解密和解析操作;进行数据真实性与精准性检查,以及检查网络行为数据的用途;进行数据筛选,将不符合要求的数据或明显错误数据进行剔除;集成数据,进行数据格式标准化,得到数据源地址、数据目的地址、源端口、目的端口以及传输协议。
如上所述的网络安全监测器,其中,所述网络安全分析器对网络行为数据包进行网络安全分析,具体用于预先采集各类网络行为数据,从各类网络行为数据中提取特征数据;将大量的特征数据输入神经网络,构建网络安全分析模型;将网络行为数据包输入预先训练的网络安全分析模型中,输出网络安全分析结果。
如上所述的网络安全监测器,其中,所述中控器根据分析结果确定网络行为的安全性,具体用于设定网络安全基准数值点;计算当前网络行为安全系数值;比较前网络行为安全系数值与网络安全基准数值点,判断网络行为是否在可控数值范围内。
本发明实现的有益效果如下:本申请采用分布式引擎方式对大量的网络行为数据进行分布处理,并且在分布式引擎中进行引擎能力的划分,将数据的传输与处理也进行分布式处理,更加提高网络行为数据的处理效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是一种网络安全监测器示意图;
图2是一种分布式智能分析方法流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,本申请实施例一提供一种网络安全监测器100,包括网络行为监听器110、中控器120、分布式引擎130和网络安全分析器140,其中:
①网络行为监听器110,监听网络行为,获取网络行为数据包;
网络行为类型包括访问网站、收发邮件、上传和下载、即时通信、聊天、论坛、网络游戏、流媒体视频和远程服务等,对于需要进行网络安全监测的网络行为,由网络行为监听器根据监听需要获取对应的网络行为数据包,其中,网络行为数据包中包含有上述各种类型的网络行为数据。
②中控器120,获取各分布式引擎地址,向各分布式引擎发送获取引擎属性指示,接收各分布式引擎返回的引擎属性,根据引擎属性划分各类引擎集群;
本申请实施例中,各分布式引擎属性包括但不限于引擎访问能力、引擎存储能力、引擎传输数据能力、引擎处理数据能力等;中控器进行引擎集群划分,例如引擎集群1具备高速访问能力,引擎集群2具备高存储能力、引擎集群n具备高数据处理能力等。
在中控器根据引擎属性划分出引擎集群之后,为了提高数据的接收和处理能力,在各引擎集群中设置用于收发数据的主引擎和用于进行数据预处理的多个子引擎,优选可以根据各引擎的数据传输能力和数据处理能力进行综合评价,选定主引擎和子引擎。
③分布式引擎130,接收中控器120发送的获取引擎属性指示,将各自的引擎属性返回中控器;以及在中控器划分引擎集群之后,中控器将网络行为数据包分发至各引擎集群,在各引擎集群内选择最优引擎,由最优引擎将网络行为数据包进行预处理,并将预处理结果发送至网络安全分析器;
具体地,各分布式引擎在归属到对应的引擎集群之后,中控器将网络安全数据包进行数据分发,由主引擎接收网络安全数据包中的部分数据,然后再从引擎集群中选择最优子引擎,主引擎再将接收到的网络安全数据包按照分发策略发送至选定的最优子引擎,由该最优子引擎进行网络安全数据的预处理,然后将预处理数据转送至对应的网络安全分析器;本申请的分布式引擎130为实际的物理节点或虚拟节点,其具备数据存储和处理能力。
其中,预处理具体包括对网络安全数据中经tcp/ip五协议层封装后的数据进行解密、解析和数据清洗等操作,得到数据源地址、数据目的地址、源端口、目的端口以及传输协议等。本申请由分布式引擎进行网络安全数据包的传输能够提高数据传输的效率,且经引擎集群处理能够提高数据处理的速率,以及在引擎集群中分主引擎和子引擎能够将数据传输与数据预处理分离,提高整体效率。
④网络安全分析器140与子引擎对应设置,为提高数据处理能力,每个或多个子引擎对应一个网络安全分析器,网络安全分析器在接收到最优引擎发送的网络行为数据包之后,对网络行为数据包进行网络安全分析,将分析结果返回最优引擎,最优引擎再将分析结果返回中控器。
以及,中控器120汇总各引擎集群返回的分析结果,根据分析结果确定网络行为的安全性。
实施例二
如图2所示,本申请实施例二提供一种分布式智能分析方法,应用于实施例一所述的网络安全检测器中,所述方法包括如下步骤:
步骤210、网络行为监听器监听网络行为,获取网络行为数据包,将网络行为数据包发送至中控器;
网络行为类型包括访问网站、收发邮件、上传和下载、即时通信、聊天、论坛、网络游戏、流媒体视频和远程服务等,对于需要进行网络安全监测的网络行为,由网络行为监听器根据监听需要获取对应的网络行为数据包。
其中,网络行为数据包中包含有上述多种类型的网络行为数据;由于不同的网络行为所需要的网络处理能力不同,例如访问网络、收发邮件需要有较强的数据访问能力,上传和下载需要有较强的数据存储能力,即时通信、聊天、论坛、网络游戏、流媒体视频需要由较强的数据处理能力,因此本申请针对不同的网络行为选定不同能力的引擎进行数据操作。
步骤220、中控器获取各分布式引擎属性,根据各分布式引擎属性划分各类引擎集群,将网络行为数据包分发至各引擎集群,引擎集群对网络行为数据包进行预处理,将预处理结果发送至网络安全分析器;
各分布式引擎属性包括但不限于引擎访问能力、引擎存储能力、引擎传输数据能力、引擎处理数据能力等;中控器进行引擎集群划分,例如引擎集群1具备高速访问能力,引擎集群2具备高存储能力、引擎集群n具备高数据处理能力等。
将网络行为数据包分发至各引擎集群,引擎集群对网络行为数据包进行预处理,具体包括如下子步骤:
步骤221、中控器在划分引擎集群后,根据各引擎集群属性选定主引擎和子引擎;
在中控器根据引擎属性划分出引擎集群之后,为了提高数据的接收和处理能力,在各引擎集群中设置用于收发数据的主引擎和用于进行数据预处理的多个子引擎,优选可以根据各引擎的数据传输能力和数据处理能力进行综合评价,选定主引擎和子引擎。
步骤222、中控器将网络行为数据包分发至各引擎集群的主引擎,在各引擎集群内选择最优子引擎,主引擎将网络行为数据发送至最优子引擎;
采用下式选择最优子引擎:
其中,n为子引擎的属性总数量,θi为第i个引擎属性权值,mi为第i个引擎属性值,ceil函数为matlab中的向上取整函数。
步骤223、由最优引擎将网络行为数据包进行预处理,并将预处理结果发送至网络安全分析器;
其中,对网络行为数据包进行预处理,具体包括如下子步骤:
对网络安全数据中经tcp/ip五层协议封装后的数据进行解密和解析操作;
进行数据真实性与精准性检查,以及检查网络行为数据的用途;
进行数据筛选,将不符合要求的数据或明显错误数据进行剔除;
集成数据,进行数据格式标准化,得到数据源地址、数据目的地址、源端口、目的端口以及传输协议。
本申请由分布式引擎进行网络安全数据包的传输能够提高数据传输的效率,且经引擎集群处理能够提高数据处理的速率,以及在引擎集群中分主引擎和子引擎能够将数据传输与数据预处理分离,提高整体效率。
返回参见图2,步骤230、网络安全分析器对网络行为数据包进行网络安全分析,将分析结果返回最优引擎,最优引擎再将分析结果返回中控器;
对网络行为数据包进行网络安全分析,具体包括如下子步骤:
步骤231、预先采集各类网络行为数据,从各类网络行为数据中提取特征数据;
具体地,特征数据包括数据源地址、数据目的地址、源端口、目的端口以及传输协议,构建特征向量集t={(a1,b1,c1,d1,e1)、(a2,b2,c2,d2,e2)…(at,bt,ct,dt,et)},其中,a1~at为网络行为数据中的数据源地址、b1~bt为网络行为数据中的数据目的地址、c1~ct为网络行为数据中的源端口,d1~dt为网络行为数据中的目的端口,e1~et为网络行为数据中的传输协议,t为网络行为数据中包含的网络行为数量。
步骤232、将大量的特征数据输入神经网络,构建网络安全分析模型:
ki=w1*μ[w2*η(ti) λ1] λ2
其中,w1为神经网络中输入层到隐含层的权值、λ1为输入层到隐含层的阈值、w2为神经网络中隐含层到输出层的权值、λ2为隐含层到输出层的阈值,η(ti)为输入层到隐含层的函数,
步骤233、将网络行为数据包输入预先训练的网络安全分析模型中,输出网络安全分析结果。
返回参见图2,步骤240、中控器汇总各引擎集群返回的分析结果,根据分析结果确定网络行为的安全性。
根据分析结果确定网络行为的安全性,具体包括如下子步骤:
步骤241、设定网络安全基准数值点;
预先设定网络安全基准数值点为
其中,n为网络行为发起者的安全级别,t(n,m)为第n级别网络行为发起者的第m次访问参数,例如设置第一次访问参数为10,第二次访问参数为8,访问次数越多参数值依次递减,ψ为该网络行为被访问者的安全参数。
步骤242、计算当前网络行为安全系数值;
其中,f(a)、f(b)、f(c)、f(d)、f(e)分别为数据源地址、数据目的地址、源端口、目的端口以及传输协议的安全度,计算得到的p为当前网络行为安全系数值。
步骤243、比较前网络行为安全系数值与网络安全基准数值点,判断网络行为是否在可控数值范围内,如果是,则认为网络行为安全,否则认为该网络行为不安全;
具体地,比较j(n)与p,若j(n)≤p,则当前网络行为在可控数值范围内,认为该网络行为安全,若j(n)>p,则认为该网络行为不安全。
以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特殊进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
1.一种分布式网络安全智能分析方法,其特征在于,包括:
网络行为监听器监听网络行为,获取网络行为数据包;
中控器获取各分布式引擎属性,根据各分布式引擎属性划分各类引擎集群,将网络行为数据包分发至各引擎集群,引擎集群对网络行为数据包进行预处理,将预处理结果发送至网络安全分析器;
网络安全分析器对网络行为数据包进行网络安全分析,将分析结果返回引擎集群,引擎集群再将分析结果返回中控器;
中控器汇总各引擎集群返回的分析结果,根据分析结果确定网络行为的安全性。
2.如权利要求1所述的分布式网络安全智能分析方法,其特征在于,将网络行为数据包分发至各引擎集群,引擎集群对网络行为数据包进行预处理,具体包括如下子步骤:
中控器在划分引擎集群后,根据各引擎集群属性选定主引擎和子引擎;
中控器将网络行为数据包分发至各引擎集群的主引擎,在各引擎集群内根据负载均衡策略选择最优子引擎,主引擎将网络行为数据发送至最优子引擎;
由最优引擎对网络行为数据包进行预处理,并将预处理结果发送至网络安全分析器。
3.如权利要求1或2所述的分布式网络安全智能分析方法,其特征在于,对网络行为数据包进行预处理,具体包括如下子步骤:
对网络安全数据中经tcp/ip五层协议封装后的数据进行解密和解析操作;
进行数据真实性与精准性检查,以及检查网络行为数据的用途;
进行数据筛选,将不符合要求的数据或明显错误数据进行剔除;
集成数据,进行数据格式标准化,得到数据源地址、数据目的地址、源端口、目的端口以及传输协议。
4.如权利要求1所述的分布式网络安全智能分析方法,其特征在于,对网络行为数据包进行网络安全分析,具体包括如下子步骤:
预先采集各类网络行为数据,从各类网络行为数据中提取特征数据;
将大量的特征数据输入神经网络,构建网络安全分析模型;
将网络行为数据包输入预先训练的网络安全分析模型中,输出网络安全分析结果。
5.如权利要求1所述的分布式网络安全智能分析方法,其特征在于,根据分析结果确定网络行为的安全性,具体包括如下子步骤:
设定网络安全基准数值点;
计算当前网络行为安全系数值;
比较前网络行为安全系数值与网络安全基准数值点,判断网络行为是否在可控数值范围内。
6.一种网络安全监测器,其特征在于,包括:网络行为监听器、中控器、分布式引擎和网络安全分析器;
网络行为监听器监听网络行为,获取网络行为数据包;
中控器获取各分布式引擎属性,根据各分布式引擎属性划分各类引擎集群,将网络行为数据包分发至各引擎集群,引擎集群对网络行为数据包进行预处理,将预处理结果发送至网络安全分析器;
网络安全分析器对网络行为数据包进行网络安全分析,将分析结果返回引擎集群,引擎集群再将分析结果返回中控器;
中控器汇总各引擎集群返回的分析结果,根据分析结果确定网络行为的安全性。
7.如权利要求6所述的网络安全监测器,其特征在于,所述中控器在划分引擎集群后,根据各引擎集群属性选定主引擎和子引擎;中控器将网络行为数据包分发至各引擎集群的主引擎,在各引擎集群内根据负载均衡策略选择最优子引擎,主引擎将网络行为数据发送至最优子引擎;由最优引擎对网络行为数据包进行预处理,并将预处理结果发送至网络安全分析器。
8.如权利要求6或7所述的网络安全监测器,其特征在于,所述对网络行为数据包进行预处理,具体用于对网络安全数据中经tcp/ip五层协议封装后的数据进行解密和解析操作;进行数据真实性与精准性检查,以及检查网络行为数据的用途;进行数据筛选,将不符合要求的数据或明显错误数据进行剔除;集成数据,进行数据格式标准化,得到数据源地址、数据目的地址、源端口、目的端口以及传输协议。
9.如权利要求6所述的网络安全监测器,其特征在于,所述网络安全分析器对网络行为数据包进行网络安全分析,具体用于预先采集各类网络行为数据,从各类网络行为数据中提取特征数据;将大量的特征数据输入神经网络,构建网络安全分析模型;将网络行为数据包输入预先训练的网络安全分析模型中,输出网络安全分析结果。
10.如权利要求6所述的网络安全监测器,其特征在于,所述中控器根据分析结果确定网络行为的安全性,具体用于设定网络安全基准数值点;计算当前网络行为安全系数值;比较前网络行为安全系数值与网络安全基准数值点,判断网络行为是否在可控数值范围内。
技术总结