[发明专利]一种用于软件定义业务感知的安全网关系统

说明书

本发明涉及网络安全技术领域，具体涉及一种用于软件定义业务感知的安全网关系统，包括快速检测模块和协同处理模块，所述快速检测模块，用于将通信流量数据与规则库比对，放行合法通信流量数据，阻止非法通信流量数据；所述协同处理模块，采用Annoy近似最近邻算法对通信流量数据进行分类，建立正常通信流量特征模型，并根据正常通信流量特征模型分析出快速检测模块无法处理的异常通信流量。通过本系统，可以有效地拦截可疑流量，阻止对企业网络的非法渗透。本系统具备具有多样化、集约化、虚拟化、强安全管控和灵活编排等特点。

技术领域

本发明涉及网关技术领域，具体涉及一种用于软件定义业务感知的安全网关系统。

背景技术

伴随着工业互联网的发展，越来越多的工业控制系统及设备与互联网连接，网络空间边界和功能极大扩展，以及开放、互联、跨域的制造环境，使得工业互联网安全问题日益凸显。不同企业、不同行业不断迎来新的差异化的网络安全挑战。因此，需要合理、有效地拦截可疑流量，阻止对企业网络的非法渗透，为工业互联网提供身份安全、数据安全和行为安全保障。

发明内容

本发明意在提供一种用于软件定义业务感知的安全网关系统，以有效地拦截可疑流量，阻止对企业网络的非法渗透。

一种用于软件定义业务感知的安全网关系统，包括快速检测模块和协同处理模块，所述快速检测模块，用于将通信流量数据与规则库比对，放行合法通信流量数据，阻止非法通信流量数据；所述协同处理模块，采用Annoy近似最近邻算法对通信流量数据进行分类，建立正常通信流量特征模型，并根据正常通信流量特征模型分析出快速检测模块无法处理的异常通信流量。

本发明的有益效果在于：本发明中，通过快速检测模块，可以统计和处理运算复杂度低、算法运行时间短的部分，对通行流量数据进行初级检测，将通信流量数据与规则库比对，放行合法通信流量数据，阻止非法通信流量数据，而对于快速检测模块无法处理的数据，转由协同处理模块进行深度分析处理，进行再次检测，协同处理模块，采用Annoy近似最近邻算法对通信流量数据进行分类，建立正常通信流量特征模型，因此，协同处理模块可以根据正常通信流量特征模型分析出快速检测模块无法处理的异常通信流量。

综上，本发明具有高性能数据防护功能，监控到发生攻击事件，则将所有的攻击请求引导至安全网关进行统一处理；同时具备网络安全协同处理功能:支持软硬件协同处理网络安全问题的功能。从而可以有效地拦截可疑流量，阻止对企业网络的非法渗透。

进一步地，还包括数据防护模块，所述数据防护模块包括数据生成子模块、数据解析子模块和数据存储子模块，数据生成子模块用于获取主从设备之间通信流量，捕获所有的请求/响应数据包并转发到API接口；数据解析子模块依次提取数据包，并按时间序列进行分割和排列；数据存储子模块采用非结构化数据库快速存取数据。

有益效果：以此实现通信流量，请求/响应数据包的获取、解析和快速存储功能。

进一步地，还包括策略编排模块，用于通过与标识网络编排控制器交互，接收通信流量导入，执行下发和编排的策略。

有益效果：实现访问控制，利用标识网络编排控制器下发访问控制策略。

进一步地，所述的快速检测模块，包括白名单子模块、数据流子模块和信息熵子模块，白名单子模块按照IP地址、TCP端口的特征检查通信流量，根据访问控制策略放行或阻止通信流量；数据流子模块通过实时数据流量来统计数据特征，发现恶意通信行为模式；信息熵子模块通过信息熵处理恶意通信流量。

有益效果：白名单子模块实现访问控制功能，即实现黑白名单过滤的功能，以此根据访问控制策略放行或阻止通信流量；通过数据流子模块来发现恶意通信行为模式；通过信息熵子模块来处理恶意通信流量。

进一步地，所述的规则库，是指通过通信协议关键信息选项设置过滤规则，建立的恶意行为特征的规则库。