本发明属于及网络安全,具体地,涉及一种基于微隔离的企业内网流量保护方法及系统。
背景技术:
1、内部互联网(intranet)是以国际互联网(internet)的技术,特别是其中的万维网(www)技术基础而建立的,主要用于企业或组织内部的信息交流,但仍能通过代理服务器与国际互连网连接的一种网络。在微隔离网络安全技术中,把一个无结构无边界的网络分成好多逻辑上的微小网段,以确保每一个网段上只有一个计算资源,而所有需要进出这个微网段的流量都需要经过访问控制设备。
2、目前许多微隔离策略生成都是通过人工进行判定,存在误报和误判,合法用户的ip地址可能被错误地视为潜在的威胁,从而导致其被隔离或阻断,影响正常业务运行。同时,人工判定也难以及时应对网络威胁的动态变化,影响了微隔离系统的效率和响应速度,使其无法在动态的网络环境中高效地保护企业网络安全。
3、中国专利文献zl202111357063.9,公开了一种基于网络端口安全的微隔离系统,包括微隔离系统和微隔离插件,所述微隔离插件安装在宿主机或物理主机上,其具有定时检查任务,由微隔离系统下发指令到安装在宿主机或物理主机上的微隔离插件,微隔离插件通过控制软件防火墙来控制宿主机上的某个端口,只对指定的ip地址开放,监控当前宿主机及宿主机内虚拟机的外部ip地址,进而实现微隔离效果。
4、这种通过控制软件防火墙来控制宿主机上的某个端口,只对指定的ip地址开放,监控当前宿主机及宿主机内虚拟机的外部ip地址,进而实现微隔离效果的方法,其虽然能够实现对企业进行微隔离保护,但却不能有效针对攻击进行微隔离策略生成和判定,造成防护的滞后性较大。
技术实现思路
1、针对现有技术中的缺陷,本发明的目的是提供一种基于微隔离的企业内网流量保护方法及系统。在企业内网中引入微隔离保护方案,通过动态策略生成模块实现自动生成微隔离安全策略,结合sdn技术的控制层和数据层组件分别进行分发和执行微隔离策略,实现对企业内网中微隔离安全域的流量的智能管理和准确控制。
2、根据本发明提供的一种基于微隔离的企业内网流量保护方法,包括:
3、步骤1:通过动态策略生成模块中的流量捕捉器将微隔离安全域之间的通信流量进行捕获和解析;
4、步骤2:所述流量捕捉器采用多线程异步处理的方式进行流量存储,得到流量数据集;
5、步骤3:通过动态策略生成模块中的异常流量检测器挖掘不同时间间隔的流量数据集进行流量检测,获取流量时间序列图;
6、步骤4:表示所述流量时间序列图的点和边;
7、步骤5:根据所述流量时间序列图的点和边表示,进行图数据挖掘,并计算项集支持度和权重系数;
8、步骤6:根据计算得到的项集支持度和权重系数计算流量的异常系数,并基于阈值比较得到微隔离策略;
9、步骤7:通过策略引擎模块将微隔离策略使用网络信息库持久化存储;
10、步骤8:通过策略管理器模块中的sdn控制器识别网络信息库中的微隔离策略,并将这些策略整合成流表规则,将流表规则动态下发至策略执行模块;
11、步骤9:策略执行模块中的sdn交换机接收流表规则作为微隔离策略并执行;
12、步骤10:策略执行模块匹配微隔离安全域之间的通信流量,判断数据包是否异常。
13、优选地,所述步骤1对捕获通信流量中设置流量过滤条件,流量过滤条件,包括:源ip地址、目的ip地址、协议、长度、源端口和目的端口;
14、所述步骤2使用python中内置的threading模块来创建线程,定时调用数据包存储函数,储存间隔时间设置为5秒,然后启动线程调用,得到流量数据集。
15、优选地,所述步骤3,包括:
16、步骤3.1:计算通信流量数据中的源/目的ip地址,源/目的端口号,网络协议信息,数据包大小的信息熵,如下:
17、h(s)=-∑x∈np(x)log p(x) (1)
18、其中,h(s)表示其中一个离散的随机变量s的熵,n表示微隔离网络中流量特征实例的总数,p(x)表示特征x的某个取值发生的概率;
19、步骤3.2:将信息熵h(s)的取值进行归一化处理,得到信息熵的取值,该值记为s,然后映射到[0,1]区间,根据映射后的大小分为四个等级,每个等级为别为a等级[0,0.25],b等级[0.25,0.5],c等级[0.5,0.75],d等级[0.75.1];
20、步骤3.3:每个时间序列图可以表示为得到六信息熵的时间序列图,其中a表示某个属性,ha表示该属性的信息熵。
21、优选地,所述步骤4中,p,q,r表示六信息熵的时间序列图中的任意三点,一个时间序列中任意两点为一个2-项集,3-项集则为任意p,q,r三点表示,边的权值的计算公式如下所示:
22、
23、其中wbk(p,q)表示时间序列图边的权值,hk(p)表示k时刻p点的信息熵,hk(q)表示k时刻q点的信息熵,k表示第k个时刻。
24、优选地,所述步骤5中进行图数据挖掘,并计算项集支持度和权重系数,公式如下:
25、
26、得到时间序列图的2-项集模式的支持度表示为supt(p,q),3-项集模式的支持度表示为supt(p,q,r);
27、其中,num(pi,qj)表示2-项集模式在某一特定时间内出现的次数,num(p,q)表示这一时间段内p和q两点形成的2-项集总数,pi,qj表示2-项集模式,i,j的取值为所述映射得到的四个等级;
28、边权值在整个时间序列上的变化可以用二阶中心距来衡量,计算公式如下:
29、
30、其中,wbk(p,q)表示计算得到的边权值;
31、得到的2-项集的权重系数则为3-项集的权重系数则为
32、优选地,所述计算流量的异常系数公式为:
33、
34、其中,分别赋予2-项集支持度和3-项集支持度权值α=1和β=0.6;
35、所述基于阈值比较得到微隔离策略,包括:
36、如果流量的异常系数大于设定的阈值,设置微隔离策略为no;如果流量的异常系数小于设定的阈值,维持微隔离策略为yes。
37、优选地,所述步骤7中微隔离策略内容,包括:权限记录和主机归属。
38、优选地,步骤9中所述流表规则使用元组γi=(pi,qi,hi,ai,si)定义,其中pi表示规则优先级,qi表示传入流量的协议,hi描述包头,ai是与规则相关的动作,si表示与规则相关的统计数据;
39、其中,包头hi由传入流量的端口δi、源和目的ip地址αsi、αdi,源和目标端口地址由γsi、γdi组成,则包头可以由元组hi=(δi,αsi,αdi,γsi,γdi)来定义。
40、优选地,所述步骤10中判断数据包是否异常的方法,包括:
41、如果数据包信息中的ip地址、目的地ip地址和端口号与当前流表中的ip名称、目的地地址和端口号相匹配,表示连接权限的流表项为action,如果action为drop,说明该数据包为异常数据包,丢弃该数据包;如果action为forward,说明该数据包为正常数据包,放行该数据包。
42、一种基于微隔离的企业内网流量保护系统,包括:
43、模块1:用于通过动态策略生成模块中的流量捕捉器将微隔离安全域之间的通信流量进行捕获和解析;
44、模块2:用于所述流量捕捉器采用多线程异步处理的方式进行流量存储,得到流量数据集;
45、模块3:用于通过动态策略生成模块中的异常流量检测器挖掘不同时间间隔的流量数据集进行流量检测,获取流量时间序列图;
46、模块4:用于表示所述流量时间序列图的点和边;
47、模块5:用于根据所述流量时间序列图的点和边表示,进行图数据挖掘,并计算项集支持度和权重系数;
48、模块6:用于根据计算得到的项集支持度和权重系数计算流量的异常系数,并基于阈值比较得到微隔离策略;
49、模块7:用于通过策略引擎模块将微隔离策略使用网络信息库持久化存储;
50、模块8:用于通过策略管理器模块中的sdn控制器识别网络信息库中的微隔离策略,并将这些策略整合成流表规则,将流表规则动态下发至策略执行模块;
51、模块9:用于策略执行模块中的sdn交换机接收流表规则作为微隔离策略并执行;
52、模块10:用于策略执行模块匹配微隔离安全域之间的通信流量,判断数据包是否异常。
53、与现有技术相比,本发明具有如下的有益效果:
54、(1)本发明通过采用动态策略生成模块,持续获取微隔离安全域通信流量并采用时间序列图挖掘算法判定异常流量,从而达成动态生成微隔离策略的目的;
55、(2)本发明通过采用基于sdn架构的策略引擎模块,策略管理器模块和策略执行模块对微隔离策略进行存储,分发和执行,从而实现了企业内网中流量的管理和控制,有效针对攻击进行微隔离策略生成和判定,防护的时效性较好。
1.一种基于微隔离的企业内网流量保护方法,其特征在于,包括:
2.根据权利要求1所述的基于微隔离的企业内网流量保护方法,其特征在于,所述步骤1对捕获通信流量中设置流量过滤条件,流量过滤条件,包括:源ip地址、目的ip地址、协议、长度、源端口和目的端口;
3.根据权利要求1所述的基于微隔离的企业内网流量保护方法,其特征在于,所述步骤3,包括:
4.根据权利要求3所述的基于微隔离的企业内网流量保护方法,其特征在于,所述步骤4中,p,q,r表示六信息熵的时间序列图中的任意三点,一个时间序列中任意两点为一个2-项集,3-项集则为任意p,q,r三点表示,边的权值的计算公式如下所示:
5.根据权利要求1所述的基于微隔离的企业内网流量保护方法,其特征在于,所述步骤5中进行图数据挖掘,并计算项集支持度和权重系数,公式如下:
6.根据权利要求1所述的基于微隔离的企业内网流量保护方法,其特征在于,所述计算流量的异常系数公式为:
7.根据权利要求1所述的基于微隔离的企业内网流量保护方法,其特征在于,所述步骤7中微隔离策略内容,包括:权限记录和主机归属。
8.根据权利要求1所述的基于微隔离的企业内网流量保护方法,其特征在于,步骤9中所述流表规则使用元组γi=(pi,qi,hi,ai,si)定义,其中pi表示规则优先级,qi表示传入流量的协议,hi描述包头,ai是与规则相关的动作,si表示与规则相关的统计数据;
9.根据权利要求1所述的基于微隔离的企业内网流量保护方法,其特征在于,所述步骤10中判断数据包是否异常的方法,包括:
10.一种基于微隔离的企业内网流量保护系统,其特征在于,包括:
