本發(fā)明公開(kāi)了一種基于全流量的網(wǎng)絡(luò)安全基線生成方法，本方法通過(guò)對(duì)網(wǎng)絡(luò)全流量數(shù)據(jù)進(jìn)行采集、解析、處理，生成格式化數(shù)據(jù)并存儲(chǔ)在分布式數(shù)據(jù)庫(kù)中，然后將格式化數(shù)據(jù)進(jìn)行聚合、分析、統(tǒng)計(jì)等操作，生成網(wǎng)絡(luò)安全基線，該網(wǎng)絡(luò)安全基線可以用于識(shí)別網(wǎng)絡(luò)入侵行為。本發(fā)明提出的基于全流量的網(wǎng)絡(luò)安全基線生成方法可以生成更為全面的網(wǎng)絡(luò)安全基線，能夠大規(guī)?？焖偕烧麄€(gè)區(qū)域網(wǎng)絡(luò)內(nèi)的安全基線，且能夠快速靈活地修改網(wǎng)絡(luò)安全基線，具有應(yīng)用的通用性，可以廣泛適用于各種網(wǎng)絡(luò)環(huán)境。此外，避免了傳統(tǒng)的網(wǎng)絡(luò)安全基線生成方法中需要依賴(lài)業(yè)務(wù)專(zhuān)家、網(wǎng)絡(luò)安全專(zhuān)家和網(wǎng)絡(luò)運(yùn)維人員協(xié)同參與的問(wèn)題，極大的降低了網(wǎng)絡(luò)安全基線生成的技術(shù)門(mén)檻。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全基線，尤其涉及一種基于全流量的網(wǎng)絡(luò)安全基線生成方法。

背景技術(shù)

在互聯(lián)網(wǎng)迅猛發(fā)展的大背景下，越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題暴露無(wú)疑。隨著各大企業(yè)安全事件的頻發(fā)，網(wǎng)絡(luò)安全管理成為社會(huì)關(guān)注的熱點(diǎn)話題。網(wǎng)絡(luò)安全基線生成作為網(wǎng)絡(luò)安全管理中的重要環(huán)節(jié)，目前來(lái)看廣泛引用于大量使用基于IP網(wǎng)絡(luò)及計(jì)算機(jī)技術(shù)的通信網(wǎng)絡(luò)與信息系統(tǒng)的電信、電力、金融等行業(yè)。網(wǎng)絡(luò)安全基線對(duì)于提高這些行業(yè)的通信網(wǎng)絡(luò)與信息系統(tǒng)的安全性起到了重要的基礎(chǔ)性作用。

網(wǎng)絡(luò)安全基線是指對(duì)一個(gè)通信網(wǎng)絡(luò)單元的最小安全保證，即該通信網(wǎng)絡(luò)單元需要滿足的最基本的安全要求。網(wǎng)絡(luò)安全基線規(guī)范即通信網(wǎng)絡(luò)單元中各類(lèi)系統(tǒng)、設(shè)備的最低安全配置要求。網(wǎng)絡(luò)安全基線是企業(yè)內(nèi)部相關(guān)部門(mén)應(yīng)統(tǒng)一遵循的規(guī)范，可以應(yīng)用于設(shè)計(jì)建設(shè)、入網(wǎng)檢測(cè)、日常維護(hù)、合規(guī)性檢查、退網(wǎng)等網(wǎng)絡(luò)單元全生命周期的各個(gè)階段。在網(wǎng)絡(luò)安全管理領(lǐng)域，如何平衡成本投入與風(fēng)險(xiǎn)一直是一個(gè)難題，而網(wǎng)絡(luò)安全基線的提出起到了保障這個(gè)平衡相對(duì)穩(wěn)定的作用。網(wǎng)絡(luò)安全基線的構(gòu)建與實(shí)施、可使通信網(wǎng)絡(luò)中所有系統(tǒng)、設(shè)備的安全防護(hù)達(dá)到統(tǒng)一的、最低要求的安全水平，便于維護(hù)與管理，并能夠提高網(wǎng)絡(luò)的整體安全防護(hù)水平，減少安全隱患。

傳統(tǒng)的網(wǎng)絡(luò)安全基線生成思路是：針對(duì)現(xiàn)網(wǎng)中應(yīng)用的主流網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)及重要網(wǎng)絡(luò)單元的應(yīng)用系統(tǒng)、中間件，明確為保證其基本安全運(yùn)行而需要遵從的基本安全配置要求及參數(shù)閾值。這種網(wǎng)絡(luò)安全基線建立方法需要安全專(zhuān)家、業(yè)務(wù)專(zhuān)家和安全運(yùn)維人員協(xié)同參與，手動(dòng)設(shè)置各類(lèi)安全基線閾值和條件。這種方式具有門(mén)檻高、難操作、不靈活、易出錯(cuò)等諸多問(wèn)題。

發(fā)明內(nèi)容

為了克服現(xiàn)有技術(shù)的上述缺點(diǎn)，本發(fā)明提供了一種基于全流量的網(wǎng)絡(luò)安全基線生成方法，本方法通過(guò)對(duì)網(wǎng)絡(luò)全流量數(shù)據(jù)進(jìn)行采集、解析、處理，生成格式化數(shù)據(jù)并存儲(chǔ)在分布式數(shù)據(jù)庫(kù)中，然后將格式化數(shù)據(jù)進(jìn)行聚合、分析、統(tǒng)計(jì)等操作，生成網(wǎng)絡(luò)安全基線，該網(wǎng)絡(luò)安全基線可以用于識(shí)別網(wǎng)絡(luò)入侵行為，具體的，包括以下步驟：

S1.網(wǎng)絡(luò)數(shù)據(jù)深度解析：通過(guò)交換機(jī)鏡像口對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行旁路采集，并對(duì)部分應(yīng)用層協(xié)議進(jìn)行深度解析，提取出網(wǎng)絡(luò)報(bào)文中的公共數(shù)據(jù)內(nèi)容和部分應(yīng)用層深度解析數(shù)據(jù)信息，生成格式化數(shù)據(jù)；

S2.數(shù)據(jù)清洗與提?。簩?duì)采集和/或解析后生成的格式化數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗，去掉重復(fù)或異常的數(shù)據(jù)，對(duì)于公共數(shù)據(jù)內(nèi)容全部提取，對(duì)于部分深度解析出的應(yīng)用層數(shù)據(jù)內(nèi)容，提取其應(yīng)用層關(guān)鍵信息；

S3.分布式持久化：將提取出的數(shù)據(jù)信息全量導(dǎo)入分布式數(shù)據(jù)庫(kù)進(jìn)行持久化，這是后續(xù)用于生成網(wǎng)絡(luò)安全基線的基礎(chǔ)數(shù)據(jù)；

S4.接受參數(shù)輸入：接受用戶輸入的包括起始時(shí)間戳、結(jié)束時(shí)間戳和應(yīng)用層協(xié)議類(lèi)型在內(nèi)的安全基線生成參數(shù)；

S5.數(shù)據(jù)聚合：依據(jù)用戶輸入的起始時(shí)間戳和結(jié)束時(shí)間戳參數(shù)，從分布式數(shù)據(jù)庫(kù)中提取該時(shí)間范圍內(nèi)的基礎(chǔ)數(shù)據(jù)，依據(jù)基礎(chǔ)數(shù)據(jù)中的網(wǎng)絡(luò)層協(xié)議、應(yīng)用層協(xié)議、源ip地址、目的ip地址、源mac地址和目的mac地址信息生成聚合數(shù)據(jù)集A，再根據(jù)用戶輸入的應(yīng)用層協(xié)議在聚合數(shù)據(jù)集A基礎(chǔ)上再次聚合構(gòu)造生成指定應(yīng)用層協(xié)議的聚合數(shù)據(jù)集B；

S6.數(shù)據(jù)分析與計(jì)算：聚合數(shù)據(jù)集B的每條數(shù)據(jù)通過(guò)所有字段拼接后的字符串經(jīng)過(guò)安全哈希算法(SHA1)生成唯一識(shí)別號(hào)ID，將附帶該ID的聚合數(shù)據(jù)集B持久化到分布式數(shù)據(jù)庫(kù)中，即形成指定應(yīng)用層協(xié)議的網(wǎng)絡(luò)安全基線。