一種網(wǎng)絡(luò)安全規(guī)則學(xué)習(xí)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域,具體地���,涉及一種網(wǎng)絡(luò)安全規(guī)則學(xué)習(xí)方法及系 統(tǒng)����。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)安全中����,特別是工業(yè)控制網(wǎng)絡(luò)中�,由于網(wǎng)絡(luò)設(shè)備的特殊性��,用戶往往不能及時(shí) 為系統(tǒng)漏洞添加補(bǔ)丁�。工控網(wǎng)絡(luò)分布式保護(hù)方案可以有效提高網(wǎng)絡(luò)的安全性�����。如圖1所示��, 兩個(gè)安全監(jiān)測(cè)保護(hù)設(shè)備(監(jiān)測(cè)/保護(hù)設(shè)備1���,監(jiān)測(cè)/保護(hù)設(shè)備2)����,它們由一個(gè)中央管理系統(tǒng) 統(tǒng)一管理���。安全保護(hù)設(shè)備負(fù)責(zé)監(jiān)測(cè)經(jīng)過的數(shù)據(jù)包�����,基于中央管理系統(tǒng)部署的安全規(guī)則和安 全特征與數(shù)據(jù)包匹配的結(jié)果��,對(duì)非法的數(shù)據(jù)包報(bào)警或阻斷�����。安全規(guī)則定義了網(wǎng)絡(luò)設(shè)備之間 的行為規(guī)范����,可以監(jiān)測(cè)/阻斷不合法的指令、數(shù)據(jù)泄漏�、用戶誤操作等網(wǎng)絡(luò)行為,提高網(wǎng)絡(luò) 的安全性�。
[0003] 在網(wǎng)絡(luò)中,設(shè)備之間的通訊是通過多種網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的���。為了對(duì)網(wǎng)絡(luò)行為進(jìn)行有 效的監(jiān)控���,其安全規(guī)則往往基于深度數(shù)據(jù)包解析,包含多種復(fù)雜的數(shù)據(jù)包信息��。同時(shí)�����,由于 網(wǎng)絡(luò)的復(fù)雜性����,傳統(tǒng)的人工定義網(wǎng)絡(luò)安全規(guī)則的方法復(fù)雜度高�����,需要消耗大量的人力物力 資源���,必須對(duì)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)行為有深刻的了解��,而生成的安全規(guī)則往往不夠全面��,會(huì)產(chǎn)生 大量的錯(cuò)報(bào)�、誤報(bào)的情況。因此用戶很難自己定義整套的安全規(guī)則以滿足系統(tǒng)正常工作的 需要���。
【發(fā)明內(nèi)容】
[0004] 針對(duì)現(xiàn)有技術(shù)的上述缺陷與不足�����,本發(fā)明的目的在于提供一種高效的安全規(guī)則學(xué) 習(xí)方法及系統(tǒng)�,提高網(wǎng)絡(luò)安全規(guī)則部署的全面性�����、系統(tǒng)性和準(zhǔn)確性�。
[0005] 所述安全規(guī)則學(xué)習(xí)方法包括如下步驟:
[0006] (al)在深度數(shù)據(jù)包解析的基礎(chǔ)上�,通過數(shù)據(jù)采集器收集網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包信 息����,并將該信息存儲(chǔ)到數(shù)據(jù)存儲(chǔ)部件中,以響應(yīng)學(xué)習(xí)引擎對(duì)數(shù)據(jù)的查詢�;
[0007] (a2)安全規(guī)則學(xué)習(xí)引擎分析數(shù)據(jù)包信息,并生成安全規(guī)則��。
[0008] 優(yōu)選地�����,步驟(al)中��,深度數(shù)據(jù)包解析是指通過對(duì)原始數(shù)據(jù)包的分析��,提取關(guān)鍵 性的信息����,這些數(shù)據(jù)包信息包含但不限于數(shù)據(jù)包的源地址,目標(biāo)地址����,協(xié)議名,端口號(hào),數(shù)據(jù) 詳細(xì)信息�����。
[0009] 步驟(al)中�,數(shù)據(jù)采集的途徑包括但不限于通過網(wǎng)絡(luò)中的安全保護(hù)設(shè)備收集數(shù) 據(jù)、對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行監(jiān)聽以及利用用戶設(shè)備自身日志信息���。
[0010] 優(yōu)選地���,步驟(a2)中��,與數(shù)據(jù)包信息類似���,所述安全規(guī)則包含源地址����、目標(biāo)地址�����、 規(guī)則細(xì)節(jié)�����、應(yīng)對(duì)措施等內(nèi)容。
[0011]優(yōu)選地��,步驟(a2)中�,在安全規(guī)則學(xué)習(xí)過程中,用戶可以通過手工或自動(dòng)的方式�, 將設(shè)備進(jìn)行分類,學(xué)習(xí)引擎根據(jù)設(shè)備類別學(xué)習(xí)安全規(guī)則���,這樣可以控制安全規(guī)則項(xiàng)數(shù)量�,縮 短安全規(guī)則學(xué)習(xí)時(shí)間�。
[0012] 優(yōu)選地,步驟(a2)中����,在安全規(guī)則學(xué)習(xí)過程中,用戶可以根據(jù)自身的需要定義網(wǎng) 絡(luò)行為模塊���,也可以通過機(jī)器學(xué)習(xí)的方法�����,自動(dòng)將不同的網(wǎng)絡(luò)行為歸結(jié)為某些行為模塊�。
[0013] 優(yōu)選地,對(duì)于不符合所有安全規(guī)則的數(shù)據(jù)包��,學(xué)習(xí)引擎定義了默認(rèn)的應(yīng)對(duì)措施�����。這 些應(yīng)對(duì)措施可以是針對(duì)所有的設(shè)備和網(wǎng)絡(luò)協(xié)議���,也可以是針對(duì)某些設(shè)備或網(wǎng)絡(luò)協(xié)議�����,當(dāng)監(jiān) 測(cè)/保護(hù)設(shè)備沒有發(fā)現(xiàn)任何匹配的安全規(guī)則項(xiàng)時(shí)�,則按照默認(rèn)的應(yīng)對(duì)措施處理該數(shù)據(jù)包���。
[0014] 所述安全規(guī)則學(xué)習(xí)系統(tǒng)包括:
[0015] 數(shù)據(jù)采集器,收集網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包信息并對(duì)收集到的信息進(jìn)行解析��;
[0016] 數(shù)據(jù)存儲(chǔ)部件�,其用于存儲(chǔ)數(shù)據(jù)采集器收集到的數(shù)據(jù)包信息,并響應(yīng)學(xué)習(xí)引擎的 詢問����;
[0017] 學(xué)習(xí)引擎,其用于分析數(shù)據(jù)存儲(chǔ)部件的數(shù)據(jù)包信息,并生成安全規(guī)則�。
[0018] 優(yōu)選地,所述系統(tǒng)包括一個(gè)或多個(gè)學(xué)習(xí)引擎��,每個(gè)學(xué)習(xí)引擎可以單獨(dú)學(xué)習(xí)部分或 全部安全規(guī)則���,當(dāng)存在多個(gè)學(xué)習(xí)引擎時(shí)����,某個(gè)中央學(xué)習(xí)引擎匯總所有的部分安全規(guī)則形成 最終的整體安全規(guī)則�。
[0019] 優(yōu)選地,所述數(shù)據(jù)采集器利用深度數(shù)據(jù)包解析技術(shù)將網(wǎng)絡(luò)數(shù)據(jù)包中的關(guān)鍵信息解 析為設(shè)備的網(wǎng)絡(luò)行為�。
[0020] 所述安全規(guī)則學(xué)習(xí)引擎使用數(shù)據(jù)采集器收集到的數(shù)據(jù)包,以及網(wǎng)絡(luò)設(shè)備類別信息 和網(wǎng)絡(luò)行為類別信息自動(dòng)生成針對(duì)用戶環(huán)境的安全規(guī)則�。
[0021] 本發(fā)明的技術(shù)優(yōu)勢(shì)在于系統(tǒng)自動(dòng)從網(wǎng)絡(luò)數(shù)據(jù)中提取安全規(guī)則。用戶無需任何專業(yè) 知識(shí)��,通過"一鍵式"操作即可得到完整的����,針對(duì)現(xiàn)有運(yùn)行環(huán)境的安全規(guī)則,并且通過本發(fā)明 所述的使用設(shè)備類別和網(wǎng)絡(luò)行為模塊的安全規(guī)則學(xué)習(xí)方法��,可以有效控制學(xué)習(xí)到的規(guī)則項(xiàng) 的數(shù)量��。
【附圖說明】
[0022] 圖1是分布式網(wǎng)絡(luò)安全系統(tǒng);
[0023] 圖2是安全規(guī)則學(xué)習(xí)系統(tǒng)���;
[0024] 圖3是安全規(guī)則學(xué)習(xí)系統(tǒng)與分布式網(wǎng)絡(luò)安全系統(tǒng)的結(jié)合圖��。
【具體實(shí)施方式】
[0025] 為了使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白����,下面結(jié)合附圖及實(shí)施例,對(duì) 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明����。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明�����,并不 用于限定本發(fā)明���。
[0026] 現(xiàn)有技術(shù)中,通常采用分布式網(wǎng)絡(luò)安全系統(tǒng)提高網(wǎng)絡(luò)的安全性�,如圖1所示,分布 式網(wǎng)絡(luò)安全系統(tǒng)中用戶設(shè)備為A����、B��、C��、M�、N����,其中A、B�����、C為工程師工作站��,M��、N為可編程邏 輯控制器�����。監(jiān)測(cè)/保護(hù)設(shè)備1���、2監(jiān)測(cè)經(jīng)過的數(shù)據(jù)包�����,監(jiān)測(cè)/保護(hù)設(shè)備1���、2由中央管理平臺(tái) 3統(tǒng)一管理��,中央管理系統(tǒng)3部署安全規(guī)則和安全特征�,基于該安全規(guī)則和安全特征與數(shù)據(jù) 包的匹配結(jié)果��,對(duì)非法的數(shù)據(jù)包進(jìn)行報(bào)警或阻斷���。然而在現(xiàn)有分布式網(wǎng)絡(luò)安全系統(tǒng)中���,用戶 很難自己定義整套的安全規(guī)則來滿足系統(tǒng)正常工作的需要。
[0027] 本發(fā)明通過監(jiān)視正常工作狀態(tài)下網(wǎng)絡(luò)中的數(shù)據(jù)包�,以此為基準(zhǔn)自動(dòng)定義網(wǎng)絡(luò)的行 為規(guī)范。其核心功能在于安全系統(tǒng)自動(dòng)學(xué)習(xí)設(shè)備的網(wǎng)絡(luò)行為�����,并把學(xué)習(xí)到的行為定義為安 全規(guī)則�����。對(duì)于不再是安全規(guī)則內(nèi)的網(wǎng)絡(luò)行為��,則通過定義默認(rèn)安全規(guī)則的方式進(jìn)行處理 (報(bào)警或阻斷等)�����。
[0028] 如圖2所示的安全規(guī)則學(xué)習(xí)系統(tǒng)����,其中監(jiān)聽設(shè)備4和用戶設(shè)備N用作系統(tǒng)中的 數(shù)據(jù)采集器,5為數(shù)據(jù)存儲(chǔ)部件�����,6為學(xué)習(xí)引擎����。首先,數(shù)據(jù)采集器收集網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù) 包�����,并利用深度數(shù)據(jù)包解析技術(shù)將網(wǎng)絡(luò)數(shù)據(jù)包中的關(guān)鍵信息解析為設(shè)備的網(wǎng)絡(luò)行為�,例如 Modbus中的操作碼,讀寫操作的地址等���。數(shù)據(jù)包信息傳輸并存儲(chǔ)在數(shù)據(jù)存儲(chǔ)部件5中��。通 過深度數(shù)據(jù)包解析所獲取的數(shù)據(jù)包信息如表1所示���。
[0029] 表1從深度數(shù)據(jù)包解析中獲得的數(shù)據(jù)包信息
[0030]
[0031] 獲得并存儲(chǔ)上述數(shù)據(jù)包信息之后���,