一种基于流量规则特征的策略分析优化方法及系统与流程

1.本发明涉及计算机网络技术领域，尤其涉及一种基于流量规则特征的策略分析优化方法及系统。


背景技术：

2.随着计算机网络技术的快速发展，各类信息网络规模发展的愈加庞大复杂，在信息技术快速演进，网络和信息系统面临的各类安全威胁日趋严重的背景下，企业在信息安全防护方面的意识逐步加强，通过部署主机、网络、应用、数据等多层安全防护手段保护敏感数据和系统的安全，这也使得信息网络的规模和复杂度进一步增加。对于企业的安全管理和运维人员而言，通常需要同时对所辖网络的多个安全区域进行管理和维护，对多种安全防护设备的策略进行配置和检查，针对各种网络突发事件进行策略调整。然而，在大规模网络中安全防护设备的种类及数量重多，不同类设备的策略配置方式各异，同类设备在不同使用场景下的策略配置需求也有所区别和侧重，安全策略配置的正确性对网络连通性、业务可用性等也存在复杂的影响。
3.随着安全策略控制粒度的日趋细化，对安全管理运维人员的专业能力提出了较高的要求，策略配置工作量大且人工操作难免出现失误，这些疏忽为攻击者留下可乘之机。同时，在人工智能、机器学习等智能化信息技术发展的背景下，网络攻击手段也呈现智能化趋势，攻击者可以根据目标情况实施针对性的攻击手段，也可根据目标特点变换攻击方式，这也促使网络安全防护系统必须借助智能化的手段及时发现问题、快速调整策略和实施准确响应，网络安全策略配置技术的研究也逐步朝自动化和智能化的方向发展，涌现出了基于自学习、基于主动发现、自动防护等的多种策略优化分析方法，但是在安全策略配置与优化策略执行效率方面还有待进一步提升。


技术实现要素：

4.为了解决上述问题，本发明提出一种基于流量规则特征的策略分析优化方法及系统，通过流量监测、特征匹配、策略生成和策略优化流程，将策略智能配置与流量紧密关联，实现安全防护策略的智能配置、快速响应和持续优化，协助运维人员尽早发现威胁并快速配置防护策略，及时高效的应对各种网络安全威胁。
5.本发明采用的技术方案如下：
6.一种基于流量规则特征的策略分析优化方法，包括：
7.流量监测：在指定时间段内以旁路方式对镜像网络流量进行采集，获取网络流量的特征信息；
8.特征匹配：基于攻击和恶意代码特征库以及规则特征库展开检测，对网络流量数据进行特征行为匹配，标记异常流量数据，并生成异常流量报警信息；
9.策略生成：基于异常流量报警信息生成网络访问控制策略，用于发现异常流量并进行阻断；
10.策略优化：基于预设规则和异常流量报警信息对访问控制策略进行分析和调整，筛选出包括不合规和空闲在内的问题策略；根据一段时间内流量峰值情况，调整访问控制策略的执行顺序以提高执行效率。
11.进一步地，所述流量监测中，对镜像网络流量进行采集的方法包括全流量采集、时间抽样采集、按比例抽样采集、五元组抽样采集和混合采集策略，所述全流量采集是对引接到的所有网络流量进行采集，所述时间抽样采集是对设定时间段内的网络流量进行抽样采集，所述按比例抽样采集是按照百分比对网络流量进行抽样采集，所述五元组抽样采集是对引接到的所有网络流量按照源ip、源端口、目的ip、目的端口和协议类型进行抽样采集，所述混合采集策略是按照时间抽样采集、按比例抽样采集、五元组抽样采集的多种抽样方式进行组合来完成抽样采集。
12.进一步地，所述流量监测中，获取的网络流量的特征信息包括ip五元组、流量阈值、上下行总流量、持续时间、访问频次、会话数量、会话报文数量、协议和敏感行为识别。
13.进一步地，所述特征匹配的方法包括协议参数特征匹配、固定位置特征码匹配、范围特征码匹配和复合特征码匹配，所述协议参数特征匹配是对各种协议的参数进行特征匹配，所述固定位置特征码匹配是在报文的特定位置进行特征码匹配，所述范围特征码匹配是对起始位置和结束位置之间的数据进行特征码匹配，所述复合特征码匹配是按照协议参数特征匹配、固定位置特征码匹配和范围特征码匹配的多种方式进行组合来完成特征匹配。
14.进一步地，所述特征匹配的方法还包括特定网络流量特征扫描、全流量的特定网络流量特征扫描和基于预置策略的特征扫描。
15.一种基于流量规则特征的策略分析优化系统，包括：
16.数据采集层，用于采用流量分析引擎进行数据包捕获，将符合采集规则配置的网络原始流量保存至本地和外置存储平台；
17.数据分析层，用于对流量数据包进行特征解析，提取出特征信息；
18.业务处理层，用于实现业务相关功能，提供自身管理和外部交互的功能；
19.界面呈现层，用于提供可视化操作界面，基于业务处理层提供的安全服务能力为多种使用场景提供支撑。
20.进一步地，所述数据采集层中，进行数据包捕获的方法包括网卡镜像流量抓取和pcap包抓取。
21.进一步地，所述数据分析层中，所述特征解析包括流量重组、数据预处理、会话还原、协议解析和文件还原。
22.进一步地，所述业务处理层中，所述自身管理和外部交互的功能包括特征规则库、策略分析规则、策略生成、策略优化、状态监控和分析报表。
23.进一步地，所述界面呈现层中，所述可视化操作界面展示的内容包括首页、告警管理、流量管理、规则管理、策略生成、策略分析优化和系统管理。
24.本发明的有益效果在于：
25.本发明以异常流量监测、特征库匹配为基础支撑，在策略配置时使用智能化的方法与防御目标状态紧密关联，通过流量威胁预警能够更精准的、快速定位目标环境安全威胁，并快速生成阻断策略，同时基于流量信息判断设备策略配置的有效性，减少设备策略，
提高执行效率，实现安全防护策略的快速、准确、智能配置并持续优化，协助运维人员及时高效的应对各种网络安全威胁。
附图说明
26.图1本发明的基于流量规则特征的策略分析优化方法体系模型。
27.图2本发明的基于流量规则特征的策略分析优化系统架构图。
28.图3本发明的特征匹配流程图。
29.图4本发明的策略生成流程图。
30.图5本发明的策略优化流程图。
具体实施方式
31.为了对本发明的技术特征、目的和效果有更加清楚的理解，现说明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
32.实施例1
33.本实施例提供了一种基于流量规则特征的策略分析优化方法，包括流量监测、特征匹配、策略生成、策略优化四个阶段，体系模型如图1所示，四个阶段构成一个动态、闭环的工作模型，体现智能响应、持续优化的特点。该策略分析优化方法的核心是流量监测，过滤出具有威胁特征的流量，智能生成对应的防护策略；同时能够基于流量、用户自定义规则对安全防护策略进行分析和调整，实现针对威胁的防护策略快速配置和执行效率的提升。
34.(1)流量监测
35.在指定时间段内以旁路方式对镜像网络流量进行采集，获取网络流量的特征信息。优选地，特征信息包括ip五元组、流量阈值、上下行总流量、持续时间、访问频次、会话数量、会话报文数量、协议和敏感行为识别。
36.具体地，通过对引接到网卡的流量的数据包捕获、pcap包读取解析实现流量采集，完成高性能的数据报文捕获，并通过数据采集规则来确定需要采集的流量数据，流量采集基于流量采集规则完成特定协议类型、特定协议字段、时间范围数据协议等维度的流量采集，并将采集的原始流量进行本地存储和外置存储。
37.优选地，流量采集功能对引接到的网络流量开展多种策略下的采集模式，具体包括：
38.全流量采集：对引接到的所有网络流量进行采集；
39.时间抽样采集：对设定时间段内的网络流量进行抽样采集，时间段可设定为小时、分钟等时间维度；
40.按比例抽样采集：按照百分比对网络流量进行抽样采集；
41.五元组抽样采集：对引接到的所有网络流量按照源ip、源端口、目的ip、目的端口和协议类型进行抽样采集，源ip和目的ip均可通过掩码方式进行匹配；
42.混合采集策略：按照时间抽样采集、按比例抽样采集、五元组抽样采集的多种抽样
方式进行组合来完成抽样采集。
43.(2)特征匹配
44.基于攻击和恶意代码特征库以及规则特征库展开检测，对网络流量数据进行特征行为匹配，发现威胁隐患，标记异常流量数据，并生成异常流量报警信息。
45.优选地，可通过请求报文与响应报文的双向检测开展敏感操作行为识别，包括post数据、web登录、上传下载等敏感行为的研判。根据内置的特征库对流量进行检测，对漏洞攻击、恶意代码、异常流量行为等进行研判并告警，产生的告警信息为策略分析和策略生成提供支撑。特征匹配的流程如图3所示，具体包括：
46.协议参数特征匹配：对ip、icmp、tcp、udp、http、dns、ftp、smtp等协议的参数进行特征匹配；
47.固定位置特征码匹配：在报文的特定位置(例如header、user-agent等)进行特征码匹配；
48.范围特征码匹配：对起始位置和结束位置之间的数据进行特征码匹配；
49.特定网络流量特征扫描，可开展上行总流量、下行总流量、会话数量、会话报文数量统计等维度的扫描工作；
50.全流量的特定网络流量特征扫描，并对超过设置阈值的数据进行报警；可抽样扫描，对指定网段、指定ip统计特定网络流量特征扫描；
51.基于预置策略的特征扫描：采用某特定特征规则的特征串、扫描地址范围(网段和ip)、指定某类应用等进行精准扫描；
52.复合特征码匹配：将上述特征匹配方式组合使用，发现可疑流量。
53.(3)策略生成
54.基于异常流量报警信息生成网络访问控制策略，用于发现异常流量并进行阻断。
55.策略生成的核心是将流量中的访问关系按规则或策略库模板生成策略，其流程如图4所示，主要生成匹配特征库的异常可疑流量阻断策略。低于访问频次的访问关系不生成策略。
56.根据规则生成的策略需要进行聚合，减少策略条目实现相同的防护效果，同时根据业务变化进行策略的适当增、删，结合策略的优化模块，逐步对安全策略进行优化调整，达到最优状态。
57.(4)策略优化
58.基于预设规则和异常流量报警信息对访问控制策略进行分析和调整，筛选出空闲策略(在一段时间内，从未被流量命中过)或问题策略(符合异常流量特征库的策略)。根据一段时间内流量峰值情况，调整访问控制策略的执行顺序以提高执行效率。
59.具体地，结合用户自定义规则和网络流量实现对设备中可能存在空闲、不合规等问题策略进行分析，并给出优化调整建议，由于设备中存在问题策略，可能导致策略执行率下降，严重的还会影响业务的可用性，因此，要解决这些难点重点在于如何在众多复杂的策略中分析出有问题的策略。
60.在进行策略分析时，为了保证分析的准确性，首先筛选出可删除策略，再筛选不合规策略，遵循空闲、不合规先后顺序进行分析，有问题的策略只会归属于一类问题，以有利于管理员快速定位和识别，进行优化调整，最终减少设备上策略的条目，提高策略的执行效
率。
61.同样地，将策略与一段时间内的流量峰值进行命中比较，调整策略的优先执行顺序，保证高访问频次的业务持续稳定高效运行。
62.实施例2
63.本实施例在实施例1的基础上：
64.如图2所示，本实施例提供了一种基于流量规则特征的策略分析优化系统，包括数据采集层、数据分析层、业务处理层和界面呈现层，其中：
65.数据采集层：采用流量分析引擎进行数据包捕获，将符合采集规则配置的网络原始流量保存至本地和外置存储平台。优选地，进行数据包捕获的方法包括网卡镜像流量抓取和pcap包抓取。
66.数据分析层：对流量数据包进行特征解析，提取出特征信息，包括ip五元组、流量阈值、上下行总流量、持续时间、访问频次、会话数量、会话报文数量、协议、敏感行为识别(认证登陆行为和文件传输行为日志)。优选地，特征解析包括流量重组、数据预处理、会话还原、协议解析和文件还原。
67.业务处理层：实现业务相关功能，提供自身管理和外部交互的功能，包括特征规则库、策略分析规则、策略生成、策略优化、状态监控和分析报表。
68.界面呈现层：提供可视化操作界面，基于业务处理层提供的安全服务能力，为各级安全管理运维人员进行系统开设、网络安全监测、自动防御等使用场景提供支撑。优选地，可视化操作界面展示的内容包括首页、告警管理、流量管理、规则管理、策略生成、策略分析优化和系统管理。
69.以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。