网络流量安全处理方法和装置转让专利
申请号 : CN201511005837.6
文献号 : CN106936650B
文献日 : 2020-03-20
发明人 : 薛立宏 , 姜松 , 王锦华
申请人 : 中国电信股份有限公司
摘要 :
本发明公开了一种网络流量安全处理方法和装置,涉及网络信息安全领域。该方法包括:识别待审计网络流量对应的用户;确定用户的用户信任等级;将待审计网络流量发送到网络流量分层审计引擎中与用户信任等级对应的安全审计模块;在对应的安全审计模块对待审计网络流量进行安全审计。通过本发明的方法和装置,对网络流量的用户及其用户信任等级进行确认,基于用户信任等级的分层审计引擎,对网络流量进行安全审计,从而整体上提升审计分析系统的性能,降低网络部署成本。
权利要求 :
1.一种网络流量安全处理方法,其特征在于,包括:识别待审计网络流量对应的用户;
确定所述用户的用户信任等级;
将所述待审计网络流量发送到网络流量分层审计引擎中与所述用户信任等级对应的安全审计模块;
在所述对应的安全审计模块对所述待审计网络流量进行安全审计,不同用户信任等级对应的安全审计模块对所述待审计网络流量报文处理深度不同;
所述安全审计模块分为五级,其中:
一级审计模块,利用大数据分析挖掘技术对所述用户流量进行全面审计;
二级审计模块,对所述用户流量的信息内容进行深度审计,审计内容包括关键字段、报文内容和身份变化;
三级审计模块,对所述用户进行动态行为审计,判断所述用户业务使用行为轨迹,检测异常流量行为特征,以及进行动态行为安全追溯;
四级审计模块,基于正则表达式,采用特征码匹配技术对所述用户流量进行审计分析;
五级审计模块,不对所述用户流量进行安全审计。
2.根据权利要求1所述的方法,其特征在于,还包括:根据所述用户的所述待审计网络流量的安全审计结果更新所述用户的用户信任等级。
3.根据权利要求1或2所述的方法,其特征在于,基于如下公式计算所述用户的用户信任等级值:R=∑Wi×∑Sj
其中,Wi表示不同安全威胁对应的权重,Sj表示不同安全威胁对应的安全估值。
4.根据权利要求2所述的方法,其特征在于,当各个等级的安全审计模块发现所述用户出现对应的安全威胁时,重新估算所述用户的安全信任等级,对所述待审计网络流量采用更高等级的安全审计模块进行分析;当没有出现对应的安全威胁时,根据用户信任等级更新模型,维持或者提升用户信任等级。
5.一种网络流量安全处理装置,其特征在于,包括:用户识别模块,用于识别待审计网络流量对应的用户;
等级确定模块,用于确定所述用户的用户信任等级;
分级分发模块,用于将所述待审计网络流量发送到网络流量分层审计引擎中与所述用户信任等级对应的安全审计模块;
分级审计模块,用于在所述用户信任等级对应的安全审计模块对所述待审计网络流量进行安全审计,不同用户信任等级对应的安全审计模块对所述待审计网络流量报文处理深度不同;
所述安全审计模块分为五级,其中:
一级审计模块,利用大数据分析挖掘技术对所述用户流量进行全面审计;
二级审计模块,对所述用户流量的信息内容进行深度审计,审计内容包括关键字段、报文内容和身份变化;
三级审计模块,对所述用户进行动态行为审计,判断所述用户业务使用行为轨迹,检测异常流量行为特征,以及进行动态行为安全追溯;
四级审计模块,基于正则表达式,采用特征码匹配技术对所述用户流量进行审计分析;
五级审计模块,不对所述用户流量进行安全审计。
6.根据权利要求5所述的装置,其特征在于,还包括:等级更新模块,用于根据所述用户的所述待审计网络流量的安全审计结果更新所述用户的用户信任等级。
7.根据权利要求5或6所述的装置,其特征在于,基于如下公式计算所述用户的用户信任等级值:R=∑Wi×∑Sj
其中,Wi表示不同安全威胁对应的权重,Sj表示不同安全威胁对应的安全估值。
8.根据权利要求6所述的装置,其特征在于,当各个等级的安全审计模块发现所述用户出现对应的安全威胁时,所述等级更新模块重新估算所述用户的安全信任等级,对所述待审计网络流量采用更高等级的安全审计模块进行分析;当没有出现对应的安全威胁时,所述等级更新模块根据用户信任等级更新模型,维持或者提升用户信任等级。
说明书 :
网络流量安全处理方法和装置
技术领域
[0001] 本发明涉及网络信息安全领域,特别涉及一种网络流量安全处理方法和装置。
背景技术
[0002] 为实现基于运营商级网络流量的信息安全审计的实时性和准确性目标,目前主流的技术手段主要采用按照IP地址空间进行分段方式,将全量数据网络流量通过汇聚分流设备导入到后端的各服务器上进行分析处理。采用这种全量的数据分流、同一深度的报文审计分析方式存在服务器数量大,网络部署成本高的问题。
发明内容
[0003] 本发明的发明人发现上述现有技术中存在问题,并因此针对所述问题中的至少一个问题提出了一种新的技术方案。
[0004] 本发明的一个目的是提供一种用于网络流量安全处理的技术方案。
[0005] 根据本发明的一个方面,提供了一种网络流量安全处理方法,包括:识别待审计网络流量对应的用户;确定所述用户的用户信任等级;将所述待审计网络流量发送到网络流量分层审计引擎中与所述用户信任等级对应的安全审计模块;在所述对应的安全审计模块对所述待审计网络流量进行安全审计。
[0006] 可选地,该方法还包括:根据所述用户的所述待审计网络流量的安全审计结果更新所述用户的用户信任等级。
[0007] 可选地,该方法基于如下公式计算所述用户的用户信任等级值:
[0008] R=∑Wi×∑Sj
[0009] 其中,Wi表示不同安全威胁对应的权重,Sj表示不同安全威胁对应的安全估值。
[0010] 可选地,当各个等级的安全审计模块发现所述用户出现对应的安全威胁时,重新估算所述用户的安全信任等级,对所述待审计网络流量采用更高等级的安全审计模块进行分析;当没有出现对应的安全威胁时,根据用户信任等级更新模型,维持或者提升用户信任等级。
[0011] 可选地,不同用户信任等级对应的安全审计模块对所述待审计网络流量报文处理深度不同。
[0012] 根据本发明的另一方面,提供了一种网络流量安全处理装置,包括:用户识别模块,用于识别待审计网络流量对应的用户;等级确定模块,用于确定所述用户的用户信任等级;分级分发模块,用于将所述待审计网络流量发送到网络流量分层审计引擎中与所述用户信任等级对应的安全审计模块;分级审计模块,用于在所述用户信任等级对应的安全审计模块对所述待审计网络流量进行安全审计。
[0013] 可选地,该装置还包括:等级更新模块,用于根据所述用户的所述待审计网络流量的安全审计结果更新所述用户的用户信任等级。
[0014] 可选地,基于如下公式计算所述用户的用户信任等级值:
[0015] R=∑Wi×∑Sj
[0016] 其中,Wi表示不同安全威胁对应的权重,Sj表示不同安全威胁对应的安全估值。
[0017] 可选地,当各个等级的安全审计模块发现所述用户出现对应的安全威胁时,所述等级更新模块重新估算所述用户的安全信任等级,对所述待审计网络流量采用更高等级的安全审计模块进行分析;当没有出现对应的安全威胁时,所述等级更新模块根据用户信任等级更新模型,维持或者提升用户信任等级。
[0018] 可选地,不同用户信任等级对应的安全审计模块对所述待审计网络流量报文处理深度不同。
[0019] 本发明的一个优点在于,对网络流量的用户及其用户信任等级进行确认,基于用户信任等级的分层审计引擎,对网络流量进行安全审计,从而整体上提升审计分析系统的性能,降低网络部署成本。
[0020] 通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
[0021] 构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
[0022] 参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
[0023] 图1是示出根据本发明的网络流量安全处理方法一个实施例的流程图;
[0024] 图2是示出根据本发明的网络流量安全处理方法另一个实施例的流程图;
[0025] 图3是示出根据本发明的网络流量安全处理方法又一个实施例的流程图;
[0026] 图4是示出根据本发明的网络流量安全处理装置一个实施例的结构图;
[0027] 图5是示出根据本发明的网络流量安全处理装置另一个实施例的结构图。
具体实施方式
[0028] 现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0029] 同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0030] 以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
[0031] 对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
[0032] 在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
[0033] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0034] 图1是示出根据本发明的网络流量安全处理方法一个实施例的流程图。
[0035] 如图1所示,步骤102,识别待审计网络流量对应的用户。可以根据网络流量报文中的IP地址、MAC地址、账户信息、用户标识等信息确定用户,或者根据IP地址和用户的对应关系确定用户。
[0036] 步骤104,确定用户的用户信任等级。可以通过查询用户等级数据库查询与该用户对应的用户信任等级。
[0037] 步骤106,将待审计网络流量发送到网络流量分层审计引擎中与用户信任等级对应的安全审计模块。
[0038] 步骤108,在对应的安全审计模块对待审计网络流量进行安全审计。不同用户对网络、业务和内容的安全威胁存在一定差异性,不同用户的信任等级用户也不同,用户的相关网络流量所需审计的复杂度和报文处理层级也不同,部分网络流量可不需要进行深层次的报文处理(如7层内容识别)。
[0039] 上述实施例中,对网络流量的用户及其用户信任等级进行确认,基于用户信任等级的分层审计引擎,对网络流量进行安全审计,从而整体上提升审计分析系统的性能,降低网络部署成本。
[0040] 图2是示出根据本发明的网络流量安全处理方法另一个实施例的流程图。
[0041] 如图2所示,步骤202,识别待审计网络流量对应的用户。
[0042] 步骤204,确定用户的用户信任等级。
[0043] 步骤206,将待审计网络流量发送到网络流量分层审计引擎中与用户信任等级对应的安全审计模块。
[0044] 步骤208,在与用户信任等级对应的安全审计模块对待审计网络流量进行安全审计。不同层级的审计分析对网络流量报文处理深度要求不同。
[0045] 步骤210,根据用户的待审计网络流量的安全审计结果更新用户的用户信任等级。当各级别的安全审计模块发现用户出现对应的安全威胁时,重新估算该用户的用户信任等级,并对该审计的网络流量采用更高强度的审计模块进行分析。当没有出现对应的安全威胁时,根据信任等级更新模型,维持或者提升用户信任等级。
[0046] 上述实施例中,基于用户信任模型将网络流量分流到对应的分层审计分析模块,不同层级的审计分析对网络流量报文处理深度要求不同,各审计分析模块输出审计结果,并根据审计结果进一步对用户信任模型进行校正。通过上述方法可整体上提高流量审计分析处理效率和准确性,从而降低有效降低网络部署成本。
[0047] 下面举例说明一个基于网络流量安全审计的用户信任等级估算模型。
[0048] 在一个实施例中,将初始用户信任等级例如设置为7,最高等级值例如为100。用户信任等级更新计算如下:
[0049] A、当该用户网络流量审计过程中出现对应的安全威胁时,重新估计算户信任等级R:
[0050] R=∑Wi×∑Sj (1)
[0051] 其中,Wi表示各个安全威胁对应的权重,Sj表示各个安全威胁对应的安全估值。
[0052] 下表1是一个示例中权重Wi和各威胁的安全估值Sj的取值
[0053]
[0054]
[0055] 表1
[0056] B、当未发现对应的安全威胁时,按照下述规则更新用户信任等级:
[0057] (1)前6次均为发现新的威胁,R值保持不变;
[0058] (2)累计超过6次均未发现新的威胁,则R+20,提升信任等级。
[0059] 图3是示出根据本发明的网络流量安全处理方法又一个实施例的流程图。
[0060] 如图3所示,步骤301~302,接收到待审网络流量,识别网络流量对应的用户,以便确定用户信任(威胁)等级。如果是首次审计,则进行步骤303,否则,进行步骤304。
[0061] 步骤303,当用户对应的流量为首次审计时,赋予该用户默认用户信任值,如70(最高值100)。
[0062] 步骤304,如果是非首次审计,则基于用户信任等级将待审计业务流转发至分层审计引擎中相应级别的审计模块(如1级审计模块,…5级审计模块等)。
[0063] 步骤305,不同级别的审计模块分别对网络流量进行安全审计,不同级别的审计模块对网络流量报文处理深度不同。
[0064] 各级引擎的处理能力如下表2所示:
[0065]
[0066] 表2
[0067] 步骤306,当各级别审计模块发现该用户出现对应的安全威胁时,重新估算其信任等级,并对该流量采用更高强度的审计模块进行分析。当没有出现对应的安全威胁时,根据信任等级更新模型,维持或者提升用户信任等级。
[0068] 图4是示出根据本发明的网络流量安全处理装置一个实施例的结构图。如图4所示,该网络流量安全处理装置包括:用户识别模块41,用于识别待审计网络流量对应的用户;等级确定模块42,用于确定用户的用户信任等级;分级分发模块43,用于将待审计网络流量发送到网络流量分层审计引擎中与用户信任等级对应的安全审计模块;分级审计模块44,包括多个与不同用户信任等级对应的安全审计模块,用于在与用户信任等级对应的安全审计模块对待审计网络流量进行安全审计。在一个实施例中,不同用户信任等级对应的安全审计模块对待审计网络流量报文处理深度不同。
[0069] 在一个实施例中,基于如下公式计算所述用户的用户信任等级值:
[0070] R=∑Wi×∑Sj
[0071] 其中,Wi表示不同安全威胁对应的权重,Sj表示不同安全威胁对应的安全估值。
[0072] 图5是示出根据本发明的网络流量安全处理装置另一个实施例的结构图。如图5所示,该实施例中,除了包括用户识别模块41、等级确定模块42、分级分发模块43、分级审计模块44,还包括等级更新模块55,用于根据用户的待审计网络流量的安全审计结果更新所述用户的用户信任等级。在一个实施例中,当各个等级的安全审计模块发现用户出现对应的安全威胁时,等级更新模块重新估算用户的安全信任等级,对待审计网络流量采用更高等级的安全审计模块进行分析;当没有出现对应的安全威胁时,等级更新模块根据用户信任等级更新模型,维持或者提升用户信任等级。
[0073] 图4、5中各个模块的功能和作用,可以参照前面方法实施例的对应描述。
[0074] 目前,主流网络流量安全审计分析技术为适应运营商大数据流,采用按IP地址空间进行分段方式进行分流,从而降低后端单台服务器处理要求,这种方式后端各单台服务器需要对网络流量进行同一深度的处理,整体上并没有降低性能要求。本发明利用不同用户对网络、业务和内容的安全威胁存在一定差异性,用户网络流量所需审计的复杂度和报文处理层级也不同,根据不同用户的信任等级,设置合适的网络流量分析处理层级,设计一套体系从整体上减轻系统性能要求,从而降低网络部署成本,整体上降低系统对网络数据报文的处理性能要求。
[0075] 本发明的应用场景包括服务于运营商和行业用户的基于网络流量安全审计需求,可用于运营商的网络流量安全审计平台部署中,可作为现有运营商网络流量安全审计系统中的一种增强技术手段。利用本发明的方案可整体上提高流量审计分析处理效率和准确性,从而降低有效降低网络部署成本。
[0076] 至此,已经详细描述了根据本发明的网络流量安全处理方法和装置。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
[0077] 可能以许多方式来实现本发明的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
[0078] 虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。