一种意图驱动的云安全服务系统及方法与流程

1.本发明属于网络安全技术领域，尤其涉及一种意图驱动的云安全服务系统及方法。


背景技术：

2.目前，随着互联网规模的不断增大，网络管理和运维变得极其复杂，网络自治成为未来网络发展的趋势，意图驱动网络(idn)应运而生。idn作为新兴网络技术，可以根据运营商的意图自动转换、验证、部署、配置和优化自身，以实现目标网络状态，并能自动解决异常事件，保证网络的可靠性。idn在采集网络状态的情况下，为网元提供全生命周期管理。传统的网络依赖于管理员来输入特定的执行命令；在意图驱动下，管理员无需直接输入策略命令，只需输入所需的业务意图，即，“我希望网络达到怎样的情况”，或者“我希望获得怎样的网络服务”。idn以其在意图转译、闭环验证和自动化部署等方面的优势，成为继软件定义网络后又一革命性网络技术。
3.网络功能虚拟化(nfv network functions virtualization)技术通过充分利用软硬件解耦的特性，用虚拟机或容器等虚拟化技术构建虚拟网络，为设计、部署、管理网络服务提供了一种新方法。其主要思想是解耦物理网络设备和运行于它之上的网络功能，意味着1个网络功能可以当成是普通软件的1个实例。这样就可以合并大量的网络设备到高容量的服务器中。对于1个给定的服务可以分解为多个虚拟网络功能vnf，这些vnf可以用软件实现并运行于通用服务器之上，能够方便地部署于网络的不同地方而不用购置和安装新的硬件。nfv技术正在彻底改变整个it领域，以经济高效的方式在软件平台上实现专用硬件设备功能，打破了传统大型网络搭建与运营的瓶颈，缩短网络功能的开发及部署周期，为用户提供灵活服务，减少经济开发成本，已成为运营商应对各类网络挑战的首要选择。
4.传统网络中的网络管理员通过存储在每个设备上的具体配置来管理网络，随着网络规模的不断增加，网络服务多样化，当网络配置改变涉及多个网络设备时，网络管理员需要掌握每种类型网络安全设备的大量安全知识。
5.现有技术一网络安全策略手动配置方法。所述方法包括在网络运行过程中，试运行网络各个节点的备选安全规则；根据配置的安全准则，评估各个节点运行所述备选安全规则所具有的安全性能；在具有更高安全性能情况下，替换各个节点上当前运行的安全规则为所述备选安全规则。该方法由配置人员根据自身的经验以及用户反馈来手动配置和维护安全策略，存在配置难度大且容易出错的问题，对于配置人员技能较低的中小企业来说，该问题尤为突出。
6.现有技术二通过在企业部署安全运营中心来提供安全服务。具体实施中，部署在企业的安全运营中心收集主机、网络以及应用层面的安全事件，然后以工单的方式将安全事件推送给安全服务提供商，由安全服务提供商针对每类安全事件来部署网络安全设备，该方法受限于提供商的精力和经验，从而导致安全服务的处理效率低、配置错误率升高。
7.通过上述分析，现有技术存在的问题及缺陷为：
8.(1)使用多种类型的网络安全设备时，需要掌握每种类型网络安全设备的大量安全知识，管理如此多样的设备需要大量的专家，导致雇佣成本很高。
9.(2)网络环境动态变化，每当新技术发展、新设备部署或新问题出现时，完成网络安全设备的部署需要消耗大量时间，同时导致网络配置错误率升高。
10.解决上述技术问题的意义：意图驱动的云安全服务系统通过自动化和虚拟化简化了安全服务提供商的运营流程，向用户提供简单、快速、灵活的基于云的安全服务，提高了安全服务的资源利用率。


技术实现要素：

11.针对现有技术存在的问题，本发明提供了一种意图驱动的云安全服务系统及方法。
12.本发明是这样实现的，一种意图驱动的云安全服务系统包括：
13.信息采集层，用于采用粗细粒度相结合的多级检测方式收集多种类信息，将采集到的数据进行汇聚、分析等处理；
14.意图使能层，用于基于数据的处理结果，依据bdi理论，在获取了网络入侵的信念之后，产生执行防御安全策略的愿望，确定需要消除网络入侵的意图，并完成意图转译、策略验证、配置下发；
15.资源编排层，用于通过安全控制器搜索适当的nsf，通过将策略与nsf的安全功能相匹配来实施策略，根据注册的nsf的安全功能，选择一个或多个nsf进行策略供应，如果选择的nsf没有被激活，nsf将使用nfv框架进行实例化，通过实例化的nsf来提供相应的安全服务。
16.信息采集层通过对网络状态的全面检测，提供多样的数据信息；意图使能层推理出网络意图并完成意图-策略映射，通过策略验证和配置下发保障网络执行策略的正确性；资源编排层通过nsf实例来实施具体策略，提供网络所需的安全服务。意图驱动的云安全服务系统能够根据特定意图提供快速、灵活的安全服务，为安全服务提供商提供了用于nsf供应的自动化的系统，可以快速地提供合适的安全服务，同时提供商无需安装任何安全设备就可以高效灵活地管理云服务器(即nsf)的资源。
17.进一步，所述意图使能层包括：
18.意图转译模块，负责对收集到的意图进行转译，实现从意图到策略的过程；
19.策略验证模块，负责对生成的策略进行验证，当策略生成之后，冲突消解和一致性校验负责对多策略之间或新生策略和已有策略之间的冲突进行消解协商，同时将结果反馈用户并询问是否可以接受该协商；
20.配置下发模块，负责在满足需求之后进行具体的策略下发，通过查询策略库完成合适的策略配置并交由下层资源编排层处理。
21.进一步，所述资源编排层包括：
22.安全控制器，集中管理nsf并监控系统中运行的nsf，维护与每个nsf相关的各种信息；通过接收到的策略寻找适当的nsf，在识别出适当的nsf之后通过相应的接口向适当的nsf发送策略；
23.供应商管理系统，用于为服务供应商提供向安全控制器注册其nsf的系统，可在没
有任何供应商干预的情况下创建和删除nsf。
24.进一步，所述意图驱动的云安全服务系统还包括：
25.网络安全功能模块，通过在中间件或服务器上运行的软件，根据安全策略执行网络安全服务，由安全服务供应商提供。
26.本发明的另一目的在于提供一种云安全服务系统的意图驱动的云安全服务方法，所述意图驱动的云安全服务方法包括以下步骤：
27.步骤一，采用粗细粒度相结合的多级检测方式收集网络状态相关信息，将采集到的数据进行汇聚、分析等处理；多维度收集网络数据信息，全面掌握网络的实时状态。
28.步骤二，基于采集到的数据的处理结果，根据bdi理论进行建模和推理，输出内生意图；bdi理论保证网络意图推理的准确性。
29.步骤三，通过实体识别提取意图关键特征，根据意图关键特征进行意图构建，将一些指标做初步量化，然后通过意图转译模块，将意图转译为策略；将抽象的网络意图转换成网络可执行的低级策略。
30.步骤四，将新策略与系统中已有的策略进行冲突检测，通过冲突消解和协商来对策略间的冲突进行消解；保障网络执行的策略的正确性。
31.步骤五，将满足意图的策略下发，通过查询策略库完成合适的策略配置，将策略交由资源编排层处理；选取适当策略来满足网络意图的需求。
32.步骤六，策略下发到安全控制器后，控制器将搜索适当的nsf，通过将策略与nsf的安全功能相匹配来实施策略。实现网络策略实施的自动化，快速提供安全服务。
33.进一步，步骤三中，所述意图关键特征包括源地址、目的地址等因素。
34.进一步，步骤六中，若选择的nsf没有被激活，将使用nfv框架进行nsf实例化，安全控制器将接收到的策略传递给实例化的nsf以实施该策略，通过实例化的nsf提供相应的安全服务。
35.进一步，所述nsf实例化具体包括：
36.(1)当从安全控制器接收到实例化请求时，供应商管理系统在映射表中搜索发出请求的nsf所对应的虚拟机id；
37.(2)将虚拟机id发送到vnf管理模块以实例化nsf；
38.(3)在接收到实例化请求后，vnf管理器向nfv编排器请求向nsf实例分配资源的许可；
39.(4)nfv编排器根据虚拟资源的配置要求来分析请求，如果资源可用，nfv编排器将向vnf管理器授予许可；
40.(5)获得许可后，vnf管理器要求vim为nsf实例分配资源；
41.(6)vim基于所要分配的资源，根据所请求的nsf实例的信息来创建nsf，并将所创建的nsf的信息发送给vnf管理器；
42.(7)vnf管理器向供应商管理系统通知关于创建的nsf的信息，供应商管理系统将该信息传递给安全控制器；
43.(8)当安全控制器接收到所创建的nsf的信息时，将策略传递给nsf用于策略的实施，并且nsf在自己的系统上配置完成所接收的策略。
44.本发明的另一目的在于提供一种利用意图驱动的云安全服务系统的无线通信系
统。
45.本发明的另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述的意图驱动的云安全服务方法。
46.结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明中的意图驱动的云安全服务系统为安全服务提供商提供自动化和虚拟化的系统，根据意图提供简单、快速、灵活的基于云的安全服务，允许安全服务提供商无需安装任何安全设备，在没有任何专家级安全知识的情况下可以高效灵活地管理云服务器(即nsf)的资源，这些服务可以减少配置时间和工作量，提高了安全服务的资源利用率。
附图说明
47.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图做简单的介绍，显而易见地，下面所描述的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
48.图1是本发明实施例提供的意图驱动的云安全服务系统的结构示意图；
49.图中：1、信息采集层；2、意图使能层；3、资源编排层。
50.图2是本发明实施例提供的意图驱动的云安全服务方法的流程图。
51.图3是本发明实施例提供的nsf实例化的原理流程图。
52.图4是本发明实施例提供的意图驱动的云安全服务方法的实现流程图。
具体实施方式
53.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
54.针对现有技术存在的问题，本发明提供了一种意图驱动的云安全服务系统及方法，下面结合附图对本发明作详细的描述。
55.如图1所示，本发明实施例提供的意图驱动的云安全服务系统包括：信息采集层1、意图使能层2、资源编排层3。
56.信息采集层1，采用粗细粒度相结合的检测方式收集多种类信息，将采集到的数据进行汇聚、分析等处理；
57.意图使能层2，基于数据的处理结果，依据bdi(belief-desire-intention)理论，在获取了网络入侵的信念之后，产生执行防御安全策略的愿望，确定需要消除网络入侵的意图，并完成意图转译、策略验证、配置下发；
58.资源编排层3，通过安全控制器搜索适当的nsf(network security function)，通过将策略与nsf的安全功能相匹配来实施策略，根据注册的nsf的安全功能，可能会选择一个或多个nsf进行策略供应，如果选择的nsf没有被激活，nsf将使用nfv框架进行实例化，通过实例化的nsf来提供相应的安全服务。
59.如图2所示，本发明实施例提供的意图驱动的云安全服务技术包括以下步骤：
60.s101：信息采集：采用粗细粒度相结合的多级检测方式收集网络状态相关信息，将
采集到的数据进行汇聚、分析等处理；
61.s102：意图生成：基于采集到的数据的处理结果，根据bdi理论进行建模和推理，输出内生意图；
62.s103：意图转译：通过实体识别提取意图关键特征，包括源地址、目的地址等因素，根据这些特征进行意图构建，将一些指标做初步量化，然后通过意图转译模块，将意图转译为策略；
63.s104：策略验证：将新策略与系统中已有的策略进行冲突检测，通过冲突消解和协商来对策略间的冲突进行消解；
64.s105：配置下发：将满足意图的策略下发，通过查询策略库完成合适的策略配置，将策略交由资源编排层处理；
65.s106：策略实施：策略下发到安全控制器后，控制器将搜索适当的nsf，通过将策略与nsf的安全功能相匹配来实施策略；如果选择的nsf没有被激活，将使用nfv框架进行nsf实例化，安全控制器将接收到的策略传递给实例化的nsf以实施该策略，通过实例化的nsf提供相应的安全服务。
66.如图3所示，本发明实施例提供的nsf实例化流程包括：
67.当从安全控制器接收到实例化请求时，供应商管理系统在映射表中搜索发出请求的nsf所对应的虚拟机id；将虚拟机id发送到vnf管理模块以实例化nsf；在接收到实例化请求后，vnf管理器向nfv编排器请求向nsf实例分配资源的许可；nfv编排器根据虚拟资源的配置要求来分析请求，如果资源可用，nfv编排器将向vnf管理器授予许可；获得许可后，vnf管理器要求vim为nsf实例分配资源；vim基于所要分配的资源，根据所请求的nsf实例的信息来创建nsf，并将所创建的nsf的信息发送给vnf管理器；vnf管理器向供应商管理系统通知关于创建的nsf的信息，供应商管理系统将该信息传递给安全控制器；当安全控制器接收到所创建的nsf的信息时，它将策略传递给nsf用于策略的实施，并且nsf在自己的系统上配置完成所接收的策略。
68.如图4所示，本发明实施例提供的意图驱动的云安全服务方法的实现流程包括：
69.步骤一，采用粗细粒度相结合的多级检测方式收集网络状态信息，对l1和l2中的大量流量进行粗粒度检测，对l3中的少量流量进行细粒度检测。标识的“prefix”是l1的一部分，默认情况下，它为每个流中的第一个数据包提供报头信息。在l1和l2层，sflow基于采样捕获流量信息，提供了潜在的、持续在线的采样检测；在l2层，基于ipfix(ip数据流信息输出)提供了更细粒度和连续的检测能力，用于检测可以规避基于采样的检测方法的异常流量；最后，l3层将可疑流量转发给dpi并进行分类。
70.步骤二，基于多级检测，将采集到的网络数据信息进行汇聚、分析等处理后，依据bdi理论，在获取了网络入侵的信念之后，产生执行防御安全策略的愿望，确定需要消除网络入侵的意图。
71.步骤三，通过实体识别提取意图关键特征，根据意图关键特征进行意图构建，将一些指标做初步量化，然后通过意图转译模块，将意图(例如，阻止恶意ip地址)转换为低级安全策略(例如，对从ip地址192.168.220.135发向社交网站facebook和instagram的数据包执行drop操作)，将满足意图的策略经过验证后进行配置下发。
72.步骤四，策略下发到安全控制器后，控制器将搜索适当的nsf，通过将策略与nsf的
安全功能相匹配进行策略供应。
73.步骤五，匹配完成后，被选中的nsf在自己的系统上执行接收到的策略，提供相应的安全服务功能。
74.应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
75.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。