[发明专利]数据流监测方法及装置

说明书

技术领域

本发明涉及通信安全领域，尤其涉及一种数据流监测方法及装置。

背景技术

当前大多数网络安全设备的部署模式，是安全设备之间通过串联进行相连接，通过让访问数据流进入安全设备，安全设备对通过的所有数据流进行检测，过滤，经过安全设备检测过滤后，正常的数据流再进入目的服务器。这种部署方式虽然可以成功的抵御恶意数据流对系统的攻击，但是效率较为低下，因为系统中的安全设备不仅需要对异常数据流进行检测，而且对于正常的数据流也要检测，所有的数据流得通过所部属的所有安全设备，导致检测效率差、数据流的检测时间长、同时增加了安全设备的负载，而且在传统的网络安全系统中，由于不同安全设备模块的性能各有侧重，为了提高检测的效率，因此将不同安全设备模块部署在一起，这样就使得部署网络安全系统的复杂度提高了。

针对上述问题，提出一种解决现有技术对所有访问数据流都进行检测导致的检测效率较低的数据流监测方法，是本领域技术人员亟待解决的技术问题。

发明内容

本发明提供了一种数据流监测方法及装置，以解决现有技术对所有访问数据流都进行检测导致的检测效率较低的问题。

本发明提供了一种数据流监测方法，其包括：

获取访问数据流的源端标识；

根据预设的白名单及源端标识，配置访问数据流的安全属性,安全属性包括白流、灰流、黑流；

根据访问数据流的安全属性，分流访问数据流。

进一步的，还包括：对访问数据流进行初判,判断是否为攻击性数据流,输出初判结果；配置访问数据流的安全属性包括：根据访问数据流的初判结果、源端标识与白名单,设置安全属性。

进一步的，在对访问数据流进行初判之前,还包括：进行无攻击状态学习,获取无攻击状态的数据流的特征信息,根据无攻击状态的数据流的特征信息,判断访问数据流是否为攻击性数据流。

进一步的，配置安全属性包括：当访问数据流的源端标识属于白名单时，将访问数据流的安全属性设置为白流；当访问数据流的源端标识不属于白名单、且访问数据流的初判结果不为攻击性数据流时，将访问数据流的安全属性设置为灰流；当访问数据流的源端标识不属于白名单、且访问数据流的初判结果为攻击性数据流时，将访问数据流的安全属性设置为黑流。

进一步的，根据访问数据流的安全属性，分流访问数据流包括：使用软件定义网络，转发安全属性为白流的访问数据流至目标设备，阻断安全属性为黑流的访问数据流，转发安全属性为灰流的访问数据流至虚拟安全服务链。

进一步的，在转发安全属性为灰流的访问数据流至虚拟安全服务链之后，还包括：通过虚拟安全服务链使用虚拟入侵检测系统对访问数据流的网络行为进行分析，使用虚拟沙箱模拟目标设备运行环境、并运行访问数据流分析是否具有恶意行为，根据分析结果判断安全属性为灰流的访问数据流为白流或者黑 流。

本发明提供了一种数据流监测装置，其包括：

获取模块，用于获取访问数据流的源端标识

配置模块，用于根据预设的白名单及源端标识，配置访问数据流的安全属性,安全属性包括白流、灰流、黑流；

监测模块，用于根据访问数据流的安全属性，分流访问数据流。

进一步的，还包括初判模块，用于对访问数据流进行初判,判断是否为攻击性数据流,输出初判结果；配置模块具体用于根据访问数据流的初判结果、源端标识与白名单,配置安全属性。

进一步的，初判模块在对访问数据流进行初判之前,还用于进行无攻击状态学习,获取无攻击状态的数据流的特征信息,根据无攻击状态的数据流的特征信息,判断访问数据流是否为攻击性数据流。

进一步的，配置模块用于当访问数据流的源端标识属于白名单时，将访问数据流的安全属性设置为白流；当访问数据流的源端标识不属于白名单、且访问数据流的初判结果不为攻击性数据流时，将访问数据流的安全属性设置为灰流；当访问数据流的源端标识不属于白名单、且访问数据流的初判结果为攻击性数据流时，将访问数据流的安全属性设置为黑流。

进一步的，监测模块用于使用软件定义网络，转发安全属性为白流的访问数据流至目标设备，阻断安全属性为黑流的访问数据流，转发安全属性为灰流的访问数据流至虚拟安全服务链。

进一步的，还包括分析模块,用于通过虚拟安全服务链使用虚拟入侵检测系 统对访问数据流的网络行为进行分析，使用虚拟沙箱模拟目标设备运行环境、并运行访问数据流分析是否具有恶意行为，根据分析结果判断安全属性为灰流的访问数据流为白流或者黑流。