一种基于边缘计算的网络安全分析方法与流程

1.本发明涉及计算机技术领域，具体涉及一种基于边缘计算的网络安全分析方法。


背景技术：

2.现有网络安全分析是采用探针设备通过端口镜像或tap方式获取网络中的流量，平台通过统一汇总的方式对流量进行解析，规则匹配告警，存储等处理，这种方式对平台性能要求很高，计算资源占用较大，处理速度慢，而且大量的网络安全数据传输占用带宽太大，影响现有业务使用。具体的说：
3.1、厂站装置大量原始网络安全数据上送，占用大量带宽，影响其他实时业务数据采集上送。
4.2、厂站装置大量原始网络安全数据上送主站，主站平台统一分析处理，数据量太大，分析效率低，难以及时发现网络安全威胁。
5.3、厂站装置只作为数据采集转发，缺乏独立网络安全挖掘分析能力及人工智能分析能力。


技术实现要素：

6.鉴于现有技术的缺陷，本发明旨在于提供一种基于边缘计算的网络安全分析方法，采用增强边缘采集装置的计算能力的方式，将网络安全数据分析能力下放到采集装置侧，减少原始网络安全数据上送导致的网络带宽压力和海量数据上送导致的性能处理压力；结合主站平台安全规则动态下发的模式，更加精准的、实时的发现网络中的威胁，提高态势感知系统网络威胁发现能力。
7.为了实现上述目的，本发明采用的技术方案如下：
8.一种基于边缘计算的网络安全分析方法，所述方法包括基于安全规则的网络安全威胁分析能力封装成规则引擎，作为一个独立的模块部署在采集装置上，态势感知主站对规则引擎的版本进行管理；态势感知主站统一对安全规则进行管理，支持单独或批量的将安全规则下发到采集装置，规则引擎根据接收到的安全规则，实时分析采集装置采集到的网络安全数据，对匹配到规则的数据产生告警，并将告警上送到主站系统分析及展示，对未匹配到的数据上送主站，主站结合大数据网络安全挖掘和人工智能技术进行分析，发现规则未覆盖到的其他网络威胁，辅助安全值班员完善安全规则，提高网络安全威胁发现能力。
9.需要说明的是，在主站侧包括规则引擎版本管理、规则引擎规则管理、规则文件下发及调阅与告警展示。
10.需要说明的是，在采集装置侧包括suricata规则引擎、规则文件接收及上送、告警数据上送与未匹配规则原始数据上送。
11.本发明的有益效果在于，随着电力网络越来越复杂和壮大，设备也面临着越来越多形式各异的网络攻击，网络安全分析技术也日益完善，结合基于边缘计算的网络流量安全分析技术对南网整个网络管理更加全景化、透明化、集中化，对网络安全事件的管理更加
可控，对电网网络安全体系的建立具有重大的作用，提升电力网络安全威胁发现能力。
附图说明
12.图1为本发明的是实施例中的示意图；
13.图2为本发明的是实施例中的示意图；
14.图3为本发明的是实施例中的示意图；
15.图4为本发明的是实施例中的示意图；
16.图5为本发明的是实施例中的示意图；
17.图6为本发明的是实施例中的示意图。
18.图7为本发明的是实施例中的示意图
19.图8为本发明的是实施例中的示意图
20.图9为本发明的是实施例中的示意图
21.图10为本发明的是实施例中的示意图
22.图11为本发明的是实施例中的示意图
23.图12为本发明的是实施例中的示意图
具体实施例
24.以下将结合附图对本发明作进一步的描述，需要说明的是，本实施例以本技术方案为前提，给出了详细的实施方式和具体的操作过程，但本发明的保护范围并不限于本实施例。
25.一种基于边缘计算的网络安全分析方法，所述方法包括基于安全规则的网络安全威胁分析能力封装成规则引擎，作为一个独立的模块部署在采集装置上，态势感知主站对规则引擎的版本进行管理；态势感知主站统一对安全规则进行管理，支持单独或批量的将安全规则下发到采集装置，规则引擎根据接收到的安全规则，实时分析采集装置采集到的网络安全数据，对匹配到规则的数据产生告警，并将告警上送到主站系统分析及展示，对未匹配到的数据上送主站，主站结合大数据网络安全挖掘和人工智能技术进行分析，发现规则未覆盖到的其他网络威胁，辅助安全值班员完善安全规则，提高网络安全威胁发现能力。
26.需要说明的是，在主站侧包括规则引擎版本管理、规则引擎规则管理、规则文件下发及调阅与告警展示。
27.需要说明的是，在采集装置侧包括suricata规则引擎、规则文件接收及上送、告警数据上送与未匹配规则原始数据上送。
28.实施例
29.1主站侧
30.1.1规则引擎版本管理
31.suricata版本维护，规则文件和版本关联。
32.1.列表展示，展示字段包括：序号、版本号、描述、更新时间，列表数据按“更新时间”倒序排序(最新的数据展示在列表最上方)；
33.2.排序：可按照版本号、更新时间进行排序；
34.3.查询：可按照版本号进行模糊查询；
35.4.新增：点击“新增”按钮，输入版本号(必填)、版本描述，点击“保存”按钮校验版本号格式是否为“x.x.x”格式(即三个数字间以点号隔开)：
36.1)如果格式正确且该新增版本号未存在则新增该版本进库中；
37.2)如果格式错误则弹出提示“版本号格式错误，请重新输入”；
38.3)如果版本号已存在则弹出提示“该版本号已存在，请重新输入”；
39.5.编辑：选择一个列表项，点击“编辑”按钮编辑选择的版本，其中只能编辑“描述”字段，编辑完成后更新suricata版本的更新时间字段；
40.6.删除：选择一个或多个列表项，点击“删除”按钮：
41.1)若选择中存在被引用的suricata版本则弹出提示“选择的 suricata版本已被引用，请重新选择！”，无法进行删除；
42.2)若选择中不存在被引用的suricata版本则删除已选择的版本。
43.1.2规则引擎规则管理
44.规则文件管理，包括导入、导出、查看、删除等功能。
45.1.列表展示数据，展示列包括序号、规则文件、规则文md5、类别文件、类别文件md5、suricata版本号(取导入时选择的版本号)、来源(取导入时输入的来源)、导入时间，列表数据默认按“导入时间”倒序排序(最新导入的数据展示在列表最上方)；
46.2.排序：可按照suricata版本号、来源、导入时间进行排序；
47.3.查询：可按照suricata版本号、来源、导入时间进行模糊查询；
48.4.查看：点击文件名称弹出查看文件界面；
49.5.导出：查看界面点击“导出”按钮将文件导出本地；
50.6.导入：点击“导入”按钮，输入来源(规则文件厂家)、suricata 版本号(suricata版本维护中的所有版本号)，从本地选择规则文件和类别文件，点击“确定”按钮进行导入(注：以上4项为导入时的必填项，否则在点击“导入”按钮时提示“xxx为必填项”)，文件入库时生成文件对应md5值；
51.7.校验：导入时需要校验规则文件类型为.rules，类别文件类型为.config，否则提示“规则/类型文件的文件类型错误！”；两个文件的文件大小最大都不能超过10m，否则提示“规则/类别文件已超过10m大小，请重新选择文件！”；
52.8.删除：点击选择需要删除为文件项(支持多选)，再点击“删除”按钮对已选择的文件项进行删除；
53.1.3规则文件下发及调阅
54.选择装置下发或调阅规则文件和类别文件。
55.1.列表展示：字段包含序号、站点、装置名称、装置ip、suricata 版本号、版本调阅时间、操作列(下发详情、版本调阅)；
56.2.查询：可按照站点、装置名称、装置ip、suricata版本号、版本调阅时间进行模糊查询；
57.3.排序：可按照站点、装置名称、装置ip、suricata版本号、版本调阅时间进行排序；
58.4.文件下发：
59.1)未选择任何装置情况下，“文件下发”按钮不可点击；
60.2)点击选择需要下发规则文件和类别文件的装置(支持多装置下发)；
61.3)厂商校验：多选后点击“文件下发”按钮时需校验是否同一厂商的装置，如果不是同一厂商，提示“已选择的装置不是同一厂商，请重新选择！”)
62.4)多选装置下发方式：多选下发时采用依次对一个装置连续下发规则文件和类别文件的方式下发(对于一个装置下发规则文件和类别文件采用串行方式下发，先下发规则文件再下发类别文件，多装置之间为并行下发)；
63.5)点击“文件下发”按钮弹出文件下发界面；
64.6)点击需要下发的文件项(用和列表颜色不同的颜色标识点击选择的文件项)；
65.7)版本号校验：点击“下发”按钮校验所选文件对应的suricata 版本号和装置的suricata版本号的大小关系：
66.a)若装置当前suricata版本号为空，则弹出提示“装置suricata 版本号未知，是否确定下发？”，选择确定后下发文件；
67.b)若装置当前suricata版本号小于所选文件对应的suricata版本号，则弹出提示“装置suricata版本号小于所选文件的suricata 版本号，是否确定下发？”选择确定后下发文件；
68.c)若装置当前suricata版本号大于等于所选文件对应的 suricata版本号，则则弹出提示“是否确定下发？”，选择确定后下发文件；
69.8)文件模板：如：local.rules、classification.config
70.5.规则文件调阅：
71.1)未选择任何装置情况下，“规则文件调阅”按钮不可点击；
72.2)点击列表需要调阅规则文件的装置项或复选框(只支持单个装置，选择多个装置后规则文件调阅按钮置灰，无法点击)选择需要调阅的装置，点击“规则文件调阅”按钮，从装置调阅规则文件：
73.a)调阅成功：页面列表上方展示装置名称和装置ip，列表展示字段包括调阅时间、最新下发文件md5(若装置从未下发过规则文件则显示为
“‑”
)、调阅文件md5、调阅文件(支持点击文件名打开查看规则文件，且文件查看界面也支持导出文件)；
74.b)调阅失败：弹出提示“调阅失败！”；
75.6.类别文件调阅：
76.1)未选择任何装置情况下，“类别文件调阅”按钮不可点击；
77.2)点击需要调阅类别文件的装置项或复选框(只支持单个装置，选择多个装置后类别文件调阅按钮置灰，无法点击)选择需要调阅的装置，点击“类别文件调阅”按钮，从装置调阅类别文件：
78.a)调阅成功：页面列表上方展示装置名称和装置ip，列表展示字段包括调阅时间、最新下发文件md5(若装置从未下发过类别文件则显示为
“‑”
)调阅文件md5、调阅文件(支持点击文件名打开查看类别文件，且文件查看界面也支持导出文件)；
79.b)调阅失败：弹出提示“调阅失败！”；
80.7.下发详情：
81.记录历史的下发记录：
82.1)列表展示：展示字段包括序号、下发时间、状态(成功或失败，失败用红色字体，
规则文件和类别文件只要有一个文件下发返回失败就显示“失败”，若规则文件下发失败后则直接结束下发)、操作(下发失败后点击查看失败信息)；
83.2)查询：支持下发时间、状态查询；
84.3)查看导出：支持点击文件名称查看并点击“导出”按钮导出文件；
85.4)下发记录按下发时间倒序排列(最新下发的记录显示在列表最上方)；
86.8.版本调阅：从装置调阅suricata版本信息，调阅成功后，更新主站库中装置suricata版本号并展示在
‘
suricata版本号’。
87.1.4告警展示
88.1.新增suricata告警tab页；
89.2.展示字段：
90.列表展示字段包括序号、告警名称(取自报文signature字段值)、告警站点、告警装置名称、告警装置ip、协议(取自报文app_proto 字段值)、源ip(取自报文src_ip字段值)、源端口(取自报文src_port 字段值)、目的ip(取自报文dest_ip字段值)、目的端口(取自报文dest_port字段值)、源站点、目的站点、告警设备(取自报文 devguid反查的设备)、安全分区、发生时间(取自报文timestamp 字段值，取到时分秒的整数位)，列表数据按“发生时间”倒序排序 (最新的告警数据展示在列表最上方)；(若字段值无法从报文中获取则取值为
“‑”
)
91.3.查询：
92.可按照告警名称、告警站点、告警装置名称、告警装置ip、协议、源ip、目的ip、源站点、目的站点查询；
93.4.排序：
94.可按照告警名称、告警站点、告警装置名称、告警装置ip、协议、源ip、源端口、目的ip、目的端口、源站点、目的站点、安全分区、发生时间排序；
95.5.告警详情：
96.双击列表告警项弹出告警详情窗口，展示包括告警名称(取自报文signature字段值)、payload(取自报文payload字段值)、整个告警json体详情；(若字段值无法从报文中获取则取值为
“‑”
)
97.6.ip反查：
98.1)源ip或目的ip需要匹配已注册资产和未注册资产，在已注册资产和未注册资产中找不到源ip或目的ip，且源ip或目的ip在a 段：10.***～20.***；b段：172.16.***～172.31.***；c段： 192.168.***，“源站点”或“目的站点”显示为“内网保留地址”。
99.2)源ip或目的ip需要匹配心跳地址，心跳地址需后台可配置，如果源ip或目的ip是心跳地址，“源站点”或“目的站点”显示为“心跳地址”。
100.3)如果源ip或目的ip在0.0.0.0-223.255.255.255之中，除内网保留地址和心跳地址外，其它“源ip”或“目的ip”的“源站点”或“目的站点”显示为“ip地址的归属地”。
101.4)如果源ip或目的ip在224.***-239.*之中,“源站点”或“目的站点”显示为“组播地址”。
102.5)如果源ip或目的ip在240.*-255.255.255.254之中，“源站点”或“目的站点”显示为“e类地址”。
103.6)如果源ip或目的ip是255.255.255.255，“源站点”或“目的站点”显示为“广播地址”。
104.7)如果没有互联网地址数据库匹配，先显示为“互联网地址”。
105.8)支持点击各列表头排序,优先按照更新时间排序。
106.2采集装置侧
107.2.1suricata规则引擎
108.系统采用开源、稳定的规则引擎进行网络安全规则分析，主要利用到规则引擎数据采集、数据解析、规则判断、告警生成模块。
109.1.数据采集
110.通过端口镜像的方式采集网络中的通信流量。
111.2.数据解析
112.对抓取到的报文数据进行解析。
113.3.规则判断
114.匹配主站下发的安全规则。
115.4.告警生成
116.对触发规则的数据生成对应的告警，并传送给采集装置，采集装置统一上送主站。
117.2.2规则文件接收及上送
118.1.接收到规则文件后，首先以下发的文件md5值与报文的md5字段值作比较：
119.1)若两者不相同则丢弃该文件；
120.2)若相同则以报文的md5字段值与装置自身已存在的.rules规则文件的md5值做比较：
121.a)若相同则忽略掉该文件；
122.b)若不相同则替换.rules规则文件(主站下发规则文件时若装置存在多个规则文件，需要将所有规则文件删除，只保留主站下发的规则文件)；
123.2.接收到类别文件后，首先以下发的文件md5值与报文的md5字段值作比较：
124.1)若两者不相同则丢弃该文件；
125.2)若相同则以报文的md5字段值与装置自身已存在的类别文件的md5值做比较：
126.a)若相同则忽略掉该文件；
127.b)若不相同则替换.config类别文件；
128.3.重新加载：成功接收规则文件和类型文件后重新加载suricata 规则，
129.命令一：ps-ef|grep suricata查找suricata程序的pid，
130.命令二：kill-usr2 1111通过kill命令发送usr2信号来重新加载suricata规则：若产生《error》报错则将报错信息返回给主站并标识为失败；若无报错则返回成功给主站；
131.4.收到主站下发的规则文件或类别文件调阅报文后，如果装置存在多个规则文件或类别文件则选择最新一个规则文件或类别文件上送主站。
132.2.3告警数据上送
133.装置将规则匹配形成的告警内容上送主站。
134.1.配置文件修改：将suricata配置文件的 output-》eve.log-》types-》alert增加payload配置：
[0135]-alert:
[0136]
payload:yes
[0137]
2.suricata输出数据过滤：装置程序对suricata输出的数据通过event_type＝"alert"进行过滤，将过滤的内容组成告警报文上送主站；
[0138]
2.4未匹配规则原始数据上送。
[0139]
对于本领域的技术人员来说，可以根据以上的技术方案和构思，给出各种相应的改变，而所有的这些改变，都应该包括在本发明权利要求的保护范围之内。