[实用新型]一种网络安全规则学习系统

说明书

技术领域

本实用新型涉及计算机网络安全领域，具体地，涉及一种网络安全规则学习系统。

背景技术

网络安全中，特别是工业控制网络中，由于网络设备的特殊性，用户往往不能及时为系统漏洞添加补丁。工控网络分布式保护方案可以有效提高网络的安全性。如图1所示，两个安全监测保护设备(监测/保护设备1，监测/保护设备2)，它们由一个中央管理系统统一管理。安全保护设备负责监测经过的数据包，基于中央管理系统部署的安全规则和安全特征与数据包匹配的结果，对非法的数据包报警或阻断。安全规则定义了网络设备之间的行为规范，可以监测/阻断不合法的指令、数据泄漏、用户误操作等网络行为，提高网络的安全性。

在网络中，设备之间的通讯是通过多种网络协议实现的。为了对网络行为进行有效的监控，其安全规则往往基于深度数据包解析，包含多种复杂的数据包信息。同时，由于网络的复杂性，传统的人工定义网络安全规则的方法复杂度高，需要消耗大量的人力物力资源，必须对网络协议和网络行为有深刻的了解，而生成的安全规则往往不够全面，会产生大量的错报、误报的情况。因此用户很难自己定义整套的安全规则以满足系统正常工作的需要。

发明内容

针对现有技术的上述缺陷与不足，本实用新型的目的在于提供一种高效的安全规则学习方法及系统，提高网络安全规则部署的全面性、系统性和准确性。

所述安全规则学习方法包括如下步骤：

(a1)在深度数据包解析的基础上，通过数据采集器收集网络中传输的数据包信息，并将该信息存储到数据存储部件中，以响应学习引擎对数据的查询；

(a2)安全规则学习引擎分析数据包信息，并生成安全规则。

优选地，步骤(a1)中，深度数据包解析是指通过对原始数据包的分析，提取关键性的信息，这些数据包信息包含但不限于数据包的源地址，目标地址，协议名，端口号，数据详细信息。

步骤(a1)中，数据采集的途径包括但不限于通过网络中的安全保护设备收集数据、对网络交换机进行监听以及利用用户设备自身日志信息。

优选地，步骤(a2)中，与数据包信息类似，安全规则包含源地址、目标地址、规则细节、应对措施等内容。

优选地，步骤(a2)中，在安全规则学习过程中，用户可以通过手工或自动的方式，将设备进行分类，学习引擎根据设备类别学习安全规则，这样可以控制安全规则项数量，缩短安全规则学习时间。

优选地，步骤(a2)中，在安全规则学习过程中，用户可以根据自身的需要定义工控网络行为模块，也可以通过机器学习的方法，自动将不同的网络行为归结为某些行为模块。

优选地，对于不符合所有安全规则数据包，学习引擎定义了默认的应对措施。这些应对措施可以是针对所有的设备和网络协议，也可以是针对某些设备或网络协议，当监测/保护设备没有发现任何匹配的安全规则项时，则按照默认的应对措施处理该数据包。

所述安全规则学习系统包括：

数据采集器，收集网络中传输的数据包信息并对收集到的信息进行解析；

数据存储部件，其用于存储数据采集器收集到的数据包信息，并响应学习引擎的询问；

学习引擎，其用于分析数据存储部件的数据包信息，并生成安全规则。

优选地，所述系统包括一个或多个学习引擎，每个学习引擎可以单独学习部分或全部安全规则，当存在多个学习引擎时，某个中央学习引擎汇总所有的部分安全规则形成最终的整体安全规则。

优选地，所述数据采集器利用深度数据包解析技术将工控网络数据包中的关键信息解析为设备的网络行为。

所述安全规则学习引擎使用数据采集器收集到的数据包，以及网络设备类别信息和网络行为类别信息自动生成针对用户环境的安全规则。

本实用新型的技术优势在于系统自动从网络数据中提取安全规则。用户无需任何专业知识，通过“一键式”操作即可得到完整的，针对现有运行环境的安全规则，并且通过本实用新型所述的使用设备类别和网络行为模块的安全规则学习方法，可以有效控制学习到的规则项的数量。

附图说明

图1是分布式网络安全系统；

图2是安全规则学习系统；

图3是安全规则学习系统与分布式网络安全系统的结合图。

具体实施方式

为了使本实用新型的目的、技术方案及优点更加清楚明白，下面结合附图及实施例，对本实用新型进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本实用新型，并不用于限定本实用新型。