本发明专利技术涉及网络安全技术领域,尤其涉及一种网络流量的隔离引导方法及系统。本发明专利技术设置真实网络、孪生网络、隔离引导模块、过滤模块、过滤规则模块和诱捕模块配合,首先建立过滤规则模型和白名单,接着对所有访问流量包进行解析,将解析后的数据输入过滤规则模型,通过隔离树森林对流量包进行循环切割,与白名单进行对比,准确判断流量是否异常。隔离引导模块根据判断结果将流量引导至真实网络或孪生网络,实现网络流量的隔离,有效的对流量进行快速便捷的隔离策略配置。进入孪生网络的异常流量被蜜罐定位、捕获,对其动态修改,实现从根本上阻止非法流量行为,并对源头追溯,全面保障网络环境的安全。环境的安全。环境的安全。
【技术实现步骤摘要】
一种网络流量的隔离引导方法及系统
[0001]本专利技术涉及网络安全
,尤其涉及一种网络流量的隔离引导方法及系统。
技术介绍
[0002]随着互联网技术的不断发展,数据中心网络以及国家骨干网络的流量规模也在不断增长,传统的网络流量隔离方法已经不能适应目前高速的网络环境。虽然在流量隔离方面,硬件的性能也在不断地提高,但大规模的流量以及无用的恶意流量对多核处理器的流量隔离有着很大的影响,并且在Linux系统中对大规模数据报文的处理也存在着大量的开销问题,包括从应用层到系统层的数据拷贝、系统的中断处理以及上下文切换等等。所以对于多核处理器来说,流量隔离是一个函待解决的问题。
[0003]授权公告号为CN 108900476 B的中国专利文件针对传统隔离深林算法在处理数据受内存的最大容量的限制,从而无法高效的处理大规模网络流量数据的问题,提供一种基于Spark与隔离森林的并行网络流量异常检测方法。
[0004]上述方法主要用于网络流量异常检测,但未将对异常流量进行隔离、阻止,因此不能从源头上对异常流量进行处理,使得网络环境的安全仍然存在一定的隐患。
技术实现思路
[0005]针对
技术介绍
中存在的问题,提出一种网络流量的隔离引导方法及系统。本专利技术设置真实网络、孪生网络、隔离引导模块、过滤模块、过滤规则模块和诱捕模块配合,实现度异常网络流量的隔离,有效的对流量进行快速便捷的隔离策略配置。并从根本上阻止非法流量行为,并对源头追溯,全面保障网络环境的安全。
[0006]本专利技术提出一种网络流量的隔离引导系统,包括真实网络、孪生网络、隔离引导模块、过滤模块、过滤规则模块和诱捕模块。过滤规则模块通过输入提前收集的过滤需求数据,建立过滤规则,并对规则进行分发、提交。过滤模块上设置有过滤规则模型,对网络内部终端的所有访问流量包进行解析、过滤处理。隔离引导模块将过滤后的流量引导至真实网络的对应端口或孪生网络的对应端口。诱捕模块设置孪生网络内,对非法流量行为进行定位和捕获。
[0007]优选的,过滤规则模型采用隔离森林算法处理规则信息,对流量进行隔离筛选。
[0008]优选的,过滤规则模型建立时首先需要采集隔离树样本集,建树过程中选取特定的切割点把过滤规则数据插入到响应的叶子节点,再通过隔离树样本构建隔离树森林。
[0009]优选的,过滤模块内提前配置有白名单,并设置有加密单元对白名单进行加密处理。
[0010]优选的,诱捕模块采用蜜罐技术,通过在孪生网络内部署蜜罐,对非法流量进行定位、捕捉。
[0011]优选的,孪生网络内随机设置有蜜罐容器和捕获节点,蜜罐一一部署在蜜罐容器内,与诱捕节点进行绑定。
[0012]优选的,孪生网络提供蜜罐容器运行时所需的程序、库、资源、配置文件,还为蜜罐容器运行时准备的配置参数。
[0013]优选的,过滤模块对流量包的解析采用tftpd软件自带的流量包解析库,解析到网络层协议。
[0014]优选的,过滤模块先缓存当前的过滤规则,再利用过滤规则过滤恶意流量,修改恶意流量包的包头,使其与正常流量包区分。
[0015]本专利技术又提出一种网络流量的隔离引导方法,包括上述的系统,步骤如下:
[0016]S1、输入提前收集的过滤需求数据,建立过滤规则;
[0017]S2、采集网络上的隔离树样本集,建树过程中选取特定的切割点把规则数据插入到响应的叶子节点,再通过隔离树样本构建隔离树森林,得到过滤规则模型;
[0018]S3、对网络内部终端的所有访问流量包进行解析,将解析后的数据输入过滤规则模型,通过隔离树森林对流量包进行循环切割,与白名单进行对比,判断流量是否异常;
[0019]S4、隔离引导模块将过滤后的正常流量引导至真实网络的对应端口,将异常流量引导至孪生网络的对应端口;
[0020]S5、异常流量进入孪生网络后随着进程发展,触发诱捕节点,被蜜罐定位、捕获,对其动态修改,阻止其非法行为,并对源头追溯。
[0021]与现有技术相比,本专利技术具有如下有益的技术效果:
[0022]本专利技术设置真实网络、孪生网络、隔离引导模块、过滤模块、过滤规则模块和诱捕模块配合,首先建立过滤规则模型和白名单,接着对所有访问流量包进行解析,将解析后的数据输入过滤规则模型,通过隔离树森林对流量包进行循环切割,与白名单进行对比,准确判断流量是否异常。隔离引导模块根据判断结果将流量引导至真实网络或孪生网络,实现网络流量的隔离,有效的对流量进行快速便捷的隔离策略配置。进入孪生网络的异常流量被蜜罐定位、捕获,对其动态修改,实现从根本上阻止非法流量行为,并对源头追溯,全面保障网络环境的安全。
附图说明
[0023]图1为本专利技术一种实施例的方法流程图。
具体实施方式
[0024]实施例一
[0025]本专利技术提出的一种网络流量的隔离引导系统,包括真实网络、孪生网络、隔离引导模块、过滤模块、过滤规则模块和诱捕模块。过滤规则模块通过输入提前收集的过滤需求数据,建立过滤规则,并对规则进行分发、提交。过滤模块上设置有过滤规则模型,对网络内部终端的所有访问流量包进行解析、过滤处理。隔离引导模块将过滤后的流量引导至真实网络的对应端口或孪生网络的对应端口。诱捕模块设置孪生网络内,对非法流量行为进行定位和捕获。
[0026]实施例二
[0027]本专利技术提出的一种网络流量的隔离引导系统,包括真实网络、孪生网络、隔离引导模块、过滤模块、过滤规则模块和诱捕模块。
[0028]过滤规则模块通过输入提前收集的过滤需求数据,建立过滤规则,并对规则进行分发、提交。
[0029]进一步的,过滤规则模型采用隔离森林算法处理规则信息,对流量进行隔离筛选。
[0030]进一步的,过滤规则模型建立时首先需要采集隔离树样本集,建树过程中选取特定的切割点把过滤规则数据插入到响应的叶子节点,再通过隔离树样本构建隔离树森林。
[0031]过滤模块上设置有过滤规则模型,对网络内部终端的所有访问流量包进行解析、过滤处理。
[0032]进一步的,过滤模块内提前配置有白名单,并设置有加密单元对白名单进行加密处理。
[0033]进一步的,过滤模块对流量包的解析采用tftpd软件自带的流量包解析库,解析到网络层协议。
[0034]进一步的,过滤模块先缓存当前的过滤规则,再利用过滤规则过滤恶意流量,修改恶意流量包的包头,使其与正常流量包区分。
[0035]隔离引导模块将过滤后的流量引导至真实网络的对应端口或孪生网络的对应端口。
[0036]诱捕模块设置孪生网络内,对非法流量行为进行定位和捕获。
[0037]进一步的,诱捕模块采用蜜罐技术,通过在孪生网络内部署蜜罐,对非法流量进行定位、捕捉。
[0038]进一步的,孪生网络内随机设置有蜜罐容器和捕获节点,蜜罐一一部署在蜜罐容器内,与诱捕节点进行绑定。
[0039]进一步的,孪生网络提供蜜罐容器运行时本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络流量的隔离引导系统,其特征在于,包括真实网络、孪生网络、隔离引导模块、过滤模块、过滤规则模块和诱捕模块;过滤规则模块通过输入提前收集的过滤需求数据,建立过滤规则,并对规则进行分发、提交;过滤模块上设置有过滤规则模型,对网络内部终端的所有访问流量包进行解析、过滤处理;隔离引导模块将过滤后的流量引导至真实网络的对应端口或孪生网络的对应端口;诱捕模块设置孪生网络内,对非法流量行为进行定位和捕获。2.根据权利要求1所述的一种网络流量的隔离引导系统,其特征在于,过滤规则模型采用隔离森林算法处理规则信息,对流量进行隔离筛选。3.根据权利要求2所述的一种网络流量的隔离引导系统,其特征在于,过滤规则模型建立时首先需要采集隔离树样本集,建树过程中选取特定的切割点把过滤规则数据插入到响应的叶子节点,再通过隔离树样本构建隔离树森林。4.根据权利要求1所述的一种网络流量的隔离引导系统,其特征在于,过滤模块内提前配置有白名单,并设置有加密单元对白名单进行加密处理。5.根据权利要求1所述的一种网络流量的隔离引导系统,其特征在于,诱捕模块采用蜜罐技术,通过在孪生网络内部署蜜罐,对非法流量进行定位、捕捉。6.根据权利要求5所述的一种网络流量的隔离引导系统,其特征在于,孪生网络内随机设置有蜜罐容器和捕获节点,蜜罐一一部署在蜜罐容器内,与诱捕节点进行绑定...
【专利技术属性】
技术研发人员:黄龙飞,张洪梅,
申请(专利权)人:上海磐御网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。