一種基於報文內容的自學習的網絡隔離安全裝置和方法與流程
2024-01-24 06:30:15
本發明涉及網絡安全防護技術領域,特別涉及一種基於報文內容的自學習的網絡隔離安全裝置和方法。
背景技術:
隨著網際網路技術、計算機技術、通信技術的發展和大規模的應用,以及物聯網技術的興起,信息化已經滲透到越來越多的工業及國防行業,工業控制領域的工作模式已經發生了巨大的變化,工業的革新與發展方向已經從早期單一的工業自動化轉變為當前的分布式控制、終端智能化、信息實時化,單純的自動化控制已經不能夠滿足人們對整個工業生產控制平臺的控制需求,信息化已經成為工業控制領域首要的任務,而伴隨著信息化的巨大發展,信息系統安全問題已成為影響工業控制行業發展的重要因素。尤其是涉及國防科技工業,信息系統的安全顯得尤為重要。在信息系統的日常運行與維護中,外界入侵者利用作業系統或者應用系統的自身缺陷、或者是利用通信傳輸系統的漏洞進行攻擊。尤其是近年來發生的一些事件,如「伊朗核電站中震網病毒」以及最近的「稜鏡門」事件,都給我們敲響了警鐘。迫切需要我們對現有的通信系統進行安全方面的加強,能夠動態識別網絡行為,根據網絡行為動態調整網絡物理連接。
在工業通信網絡中,最常用技術的是基於乙太網和ip的通信技術,使用最多的安全設備就是防火牆、網關、網閘等設備對於網絡異常行為攔截或告警,需要在設備中預網絡相應的白名單規則或黑名單規則,當網絡中的問題報文命中了黑名單或不在白名單內部的話,就會將相應的報文攔截下來。
這樣的方式具有如下問題:需要對網絡的報文規則十分清楚;對網絡業務流程、報文類型、幀格式、埠號等信息十分了解;在網絡業務較多的情況下,配置黑、白名單規則會很繁瑣,容易出錯;能夠對報文進行攔截,但是不能從更本上對下行業務線路進行斷開,避免不了偽裝成正確報文的數據通過;在有未知協議的情況下,不能有效識別協議內容及目的。
技術實現要素:
為此,本發明提供了一種基於報文內容的自學習的網絡隔離安全裝置和方法,用於解決黑白名單規則繁瑣,並且人員進行黑白名單設置時容易出錯,對於未知的報文協議不能有效識別,並且對於上下線業務線路無法徹底的安全斷開等問題。
為達到上述目的,本發明的技術方案是這樣實現的:
一種基於報文內容的自學習的網絡隔離安全裝置包括:網絡接口1、協議識別模塊2、學習模塊3、報文判斷模塊4和硬體斷開模塊5,
網絡接口1與協議識別模塊2通信連接,網絡接口1接收來自操作終端的所有報文;
協議識別模塊2還與學習模塊3通信連接,協議識別模塊2判斷接收到的報文是否為可識別報文,並將報文發送到學習模塊3;
學習模塊3還與報文判斷模塊4通信連接,學習模塊3對接收到的報文進行學習、統計、分析後發送給報文判斷模塊4;
報文判斷模塊4還與硬體斷開模塊5通信連接,對接收到的報文進行判斷是否合法,如果合法則進行正常報文,如果不合法則丟棄報文,並向硬體斷開模塊5發送斷開網絡的指令。
協議識別模塊2對於能夠識別的報文和不能識別的報文區分發送到學習模塊3當中。
學習模塊3中包括已知報文學習模塊31和未知報文學習模塊32;
已知報文學習模塊31接收協議識別模塊2能夠識別的報文並進行拆解,統計到內容表項;
未知報文學習模塊32接收協議識別模塊2不能夠識別的報文,並對報文所有數據統計到內容表項。
網絡隔離安全裝置還包括協議學習判斷模塊6,接收學習模塊3發送的報文;
對未完成學習的報文,發送學習結果到學習模塊3進行再次學習;
對已完成學習的報文,發送學習結果到報文判斷模塊4,直接將進行正常報文。
硬體斷開模塊5與物理層供電模塊相連接,當需要進行硬體斷開時,通過硬體斷開模塊5直接斷開物理層設備電源供電模塊。
一種基於報文內容的自學習的網絡隔離安全方法步驟如下:
網絡接口1同時與操作終端和協議識別模塊2通信連接,網絡接口1接收來自操作終端的所有報文,並發送給協議識別模塊2;
協議識別模塊2判斷接收到的報文是否為可識別報文,並將報文發送到學習模塊3;
學習模塊3對接收到的報文進行學習、統計、分析後發送給報文判斷模塊4;
報文判斷模塊4對接收到的報文進行判斷是否合法,如果合法則進行正常報文,如果不合法則丟棄報文,並向硬體斷開模塊5發送斷開網絡的指令。
協議識別模塊2對接收到的報文進行識別判斷,並根據報文中的協議類型區分能夠被識別和不能夠被識別的報文,分別發送給學習模塊3。
學習模塊3中的已知報文學習模塊31對接收的協議識別模塊2能夠識別的報文並進行拆解,統計到內容表項;
學習模塊3中的未知報文學習模塊32接收協議識別模塊2不能夠識別的報文,並對報文所有數據統計到內容表項。
經過學習模塊3的報文需要被協議學習判斷模塊6進一步判斷是否完成學習;
如果完成學習,發送學習結果到報文判斷模塊4,進行正常報文;
如果沒有完成學習,發送學習結果到學習模塊3進行再次學習。
報文判斷模塊4判斷報文如果安全,則進行正常報文;如果不安全,則丟棄報文,並通知硬體網絡斷開模塊5進行網絡斷開。
學習模塊3對接收到的報文分別填充到基於內容表項和基於設備行為表項中;
其中,內容表項包括但不限於:mac地址表、ip地址表、協議類型地址表、埠地址表,並進行關聯分析和統計;並且已知報文學習模塊31中的所述內容表項中還包括協議狀態機地址表
設備行為表項包括但不限於:基於源mac進行報文的行為關聯分析和統計。
報文判斷模塊4在進行報文判斷時的閾值是能夠通過用戶進行設定。
報文判斷模塊4進行報文判斷根據內容表項和/或設備行為表項對報文合法性進行判斷。
本發明的優點和有益效果:減少人員配置規則的工作量,降低配置人員對於業務熟悉程度的要求,通過自動學習方式動態分析網絡設備行為模式,主動判斷網絡文件異常情況;實施探測網絡中的異常,針對異常行為動態切斷網絡連接。
附圖說明
圖1是本發明具體實施例裝置組成的結構示意圖,
圖2是本發明具體實施例方法流程的示意圖,
圖3是本發明實施例內容表項的示意圖,
圖4是本發明實施例設備行為表項的示意圖,
圖5是本發明實施例報文判斷流程示意圖,
圖6是本發明實施例網絡隔離安全裝置的實際應用結構示意圖。
附圖標記:
1-網絡接口,2-協議識別模塊,
3-學習模塊,4-報文判斷模塊,
5-硬體斷開模塊,6-協議學習判斷模塊,
31-已知報文學習模塊,32-未知報文學習模塊。
具體實施方式
為了使本發明的目的、技術方案和優點更加清楚,下面結合附圖和具體實施例對本發明進行詳細描述。
實施例一
如圖1所示是一種基於報文內容的自學習的網絡隔離安全裝置,具體包括:網絡接口1、協議識別模塊2、學習模塊3、報文判斷模塊4和硬體斷開模塊5;其中,網絡接口1同時與網絡中的操作終端和協議識別模塊2通信連接,網絡接口1接收來自網絡中的操作終端的所有報文,經過網絡接口1把報文發送給協議識別模塊2;
協議識別模塊2還與學習模塊3通信連接,協議識別模塊2判斷接收到的報文是否為可識別報文,協議識別模塊2對於能夠識別的報文和不能識別的報文區分發送到學習模塊3當中;具體的,學習模塊3中包括已知報文學習模塊31和未知報文學習模塊32;其中,已知報文學習模塊31接收協議識別模塊2能夠識別的報文並進行拆解,統計到內容表項;未知報文學習模塊32接收協議識別模塊2不能夠識別的報文,並對報文所有數據統計到內容表項;通過在網絡隔離安全裝置中增加學習模塊,能夠減少工作人員配置安全防護規則的工作量,降低配置工作對工作人員業務熟悉程度的依賴。
學習模塊3發送出的經過學習的報文還要發送到協議學習判斷模塊6,對未完成學習的報文,發送學習結果到學習模塊3進行再次學習,同時發送學習結果到報文判斷模塊4;通過自動學習分析各個網絡設備的行為模式,主動判斷網絡文件的異常情況,提升安全防護效果。
報文判斷模塊4還與硬體斷開模塊5通信連接,對接收到的報文進行判斷是否合法,如果合法則進行正常報文,如果不合法則丟棄報文,並向硬體斷開模塊5發送斷開網絡的指令;硬體斷開模塊5與物理層供電模塊相連接,當需要進行硬體斷開時,通過硬體斷開模塊5直接斷開物理層設備電源供電模塊;通過採用對物理層進行電源斷開的方式,確保網絡之間的安全斷開,提升安全防護效果。
如果經過協議學習判斷模塊6判斷為已經完成學習的報文,直接進行正常報文工作,確保被發送的報文協議安全合法。
實施例二
一種基於報文內容的自學習的網絡隔離安全方法如圖2所示,具體步驟如下:
步驟s11:網絡接口1同時與操作終端和協議識別模塊2通信連接,網絡接口1接收來自操作終端的所有報文,並發送給協議識別模塊2;
步驟s12:協議識別模塊2判斷接收到的報文是否為可識別報文,並根據報文中協議類型區分能夠被識別和不能夠被識別的報文,分別發送給學習模塊3;
步驟s13:學習模塊3根據接收到的報文類型,如果報文能夠識別進行步驟s13a,學習模塊3中的已知報文學習模塊31對接收的協議識別模塊2能夠識別的報文並進行拆解,統計到內容表項;如果報文不能夠識別進行步驟s13b,學習模塊3中的未知報文學習模塊32接收協議識別模塊2不能夠識別的報文,並對報文所有數據統計到內容表項;經過對報文的學習、統計、分析後發送給報文判斷模塊4;
步驟s14:經過學習的報文需要被協議學習判斷模塊6進一步判斷是否完成學習;如果完成學習,則進行正常報文;如果沒有完成學習,發送學習結果到學習模塊3進行再次學習,同時發送學習結果到報文判斷模塊4;需要說明的是,對於判斷是否完成學習的方法有很多種,例如:一種方法是在軟體中設置一個標誌位,學習完成寫1、未學習完成寫0;另一種方法是檢查學習表項是否學習完成;
步驟s15:報文判斷模塊4對接收到的報文進行判斷是否合法,如果合法則如步驟s15a進行正常報文,如果不合法則如步驟s15b丟棄報文,並向硬體斷開模塊5發送斷開網絡的指令。
報文判斷模塊4判斷報文如果安全,則進行正常報文;如果不安全,則丟棄報文,並通知硬體網絡斷開模塊5進行網絡斷開;報文判斷模塊4在進行報文判斷時的閾值是能夠通過用戶進行設定,如圖5所示;報文判斷模塊4進行報文判斷根據內容表項和/或設備行為表項對報文合法性進行判斷。
學習模塊3對接收到的報文分別填充到基於內容表項和基於設備行為表項中,後續在通過表項中學習到的內容進行分布統計,對所有的數據進行關聯分析,如圖3和圖4所示;其中,圖3中內容表項中包括接收的各個數值,並進一步對數據進行分類統計,計算出各個數值出現的次數和頻率,當反覆學習統計後,該內容表項中的數值類型和頻率相對穩定,進一步作為報文的合法性判斷的數據基礎;圖4中設備行為表項中統計到每個mac、ip經常聯繫的mac、ip交互的內容,並統計分析出每個mac、ip的次數和頻率;最終學習模塊3將基於內容表項和基於設備表項的統計分析數據包發送給報文判斷模塊4。
基於ip的通信網絡中,所有的報文都是以數據包的形式進行傳輸,而每個數據包中都包含有詳細的數據信息,對於一個普通的報文信息,其中包含有源mac地址、目的mac地址、乙太網協議類型、源ip地址、目的ip地址、ip協議類型、具體協議幀格式等,我們將這些內容歸納整理形成一個基於內容表項、一個基於設備行為表項,如下:
網絡操作終端的報文進入學習模塊,學習模塊針對於網絡報文按照mac、乙太網類型、ip、協議內容進行報文拆分;
所有拆分報文的數據內容寫入基於內容表項,例如:mac地址表、ip地址表、協議類型地址表、埠對應地址表、協議狀態機地址表等等;
並將所有內容映射到基於設備行為分析表項中,通過mac為索引進行報文行為的統計,例如:11-22-33-44-55-66mac的設備在網絡中和3個mac地址有過信息交互,對應的ip地址分別為11.11.11.11、22.22.22.22、33.33.33.33,在這個過程中建立了相應的tcp連接、udp連接等,建立一個相應的設備行為表項;映射完之後就會有兩類表項,基於內容表項、基於設備行為表項,後續再通過表項中學習到的內容進行分布統計,對所有數據進行關聯分析;
針對於內容的關聯分析將會得到如下的分析統計表項,在表項中的所有值經過一段時間觀察,在網絡沒有變化的情況下數值和比例不會出現大的變化;
針對設備行為表項,我們可以知道每個mac、ip經常聯繫的mac、ip交互的內容,進行統計分析,知道這個mac、ip的行為;將相應的關聯分析結果提交給報文判斷模塊。
報文判斷模塊工作方法流程圖如圖5所示,具體如下:如步驟s21,用戶根據自己的需求,對報文判斷閾值進行設定,設定完成後進行步驟s22,根據內容表項對報文的合法性進行判斷,如果不合法則如步驟s25直接丟棄報文並通知硬體斷開模塊;如果合法繼續對報文進行進一步判斷,如步驟s23所示,根據設備行為表項判斷報文是否合法,如果不合法則直接丟棄報文並通知硬體斷開模塊;如果合法則進行步驟s24正常報文;通過根據學習模塊生成的內容表項和設備行為表項對合法性進行判斷,避免黑白名單設置的工作量大的問題,同時裝置還可以自動學習、實時更新,進一步用戶的工作量;採用兩個表項對報文合法性進行判斷,提升網絡隔離的安全防護效果。
本發明網絡隔離安全裝置的實際應用實施例如圖6所示,在一個網絡內有三臺終端:操作終端a、操作終端b、操作終端c,有一臺核心伺服器,所有設備都通過乙太網相連。操作終端a設備會通過乙太網去核心伺服器上去讀取相關數據,我們的網絡隔離安全裝置放在核心伺服器的前端,分析網絡數據學習網絡設備的用戶行為,根據用戶行為的合法性來動態斷開和核心伺服器的連接,在網絡中出現惡意行為的情況下保證核心伺服器的數據安全。
安全網關即通過學習知道在網絡內有三臺設備,現在只有操作終端a去核心伺服器上去讀取相應資料庫的內容,除此之外不會有其它行為;如果安全網關在網絡內學習到操作終端b,需要在核心伺服器中讀取資料庫信息,這個時候就會將核心伺服器連接網線斷開。
應該注意的是,上述實施例對本發明進行說明而不是對本發明進行限制,並且本領域技術人員在不脫離所附權利要求的範圍的情況下可設計出替換實施例。在權利要求中,不應將位於括號之間的任何參考符號構造成對權利要求的限制。單詞「包括」不排除存在未列在權利要求中的元件或步驟。位於元件之前的單詞「一」或「一個」不排除存在多個這樣的元件。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。