[发明专利]一种分域溯源式全局网络安全体系的构建方法

摘要

本发明公开了一种分域溯源式全局网络安全体系的构建方法，包括：将互联网划分出网络安全域；将网络安全域组成虚拟安全网区域，互联网中除了网络安全域的其他部分组成非虚拟安全网区域；根据进入安全域的流的源头对流采用不同的安全访问准入策略；监控节点的安全状态，对攻击流发出溯源通告；安全控制点根据溯源通告对节点作安全检查，根据检查结果，判断溯源是否成功，若成功，发送溯源成功的响应信息，若不成功，发出溯源通告的安全控制点采取相应的安全措施。本发明可以为互联网的安全防御提供明晰的安全边界和合理的安全域划分手段，兼顾安全与效率，溯源方式可以提供传统架构无法做到的应用层攻击防护，是一种解决DDoS类攻击的防御架构。

主权项

1、一种分域溯源式全局网络安全体系的构建方法，包括：1)、将互联网划分出网络安全域，在每个网络安全域中设有安全控制点；2)、互联网中的所述的网络安全域组成虚拟安全网区域，互联网中的其余部分为非虚拟安全网区域，在虚拟安全网区域内，按安全控制点的处理能力和部署功能，将安全控制点分为核心安全控制点与边缘安全控制点；3)、每一个所述的网络安全域内的安全控制点对进入本网络安全域的流量进行检测，如果该流量来自虚拟安全网区域，则采用处理开销较小的安全访问准入策略，而对来自非虚拟安全网区域的流量，则使用多重安全机制的安全访问准入策略；4)、每一个所述的网络安全域内的安全控制点通过客户端反馈、端口监测等多种不同方式对域内各节点的安全状态进行监控，当检测到外来攻击流或疑似攻击流，对流的来源进行判断，如果该流来自虚拟安全网内，则安全控制点生成溯源通告信息，并经过核心安全控制点转发至流源头所属的安全控制点，如果流来自非虚拟安全网，则屏蔽该攻击流；5)、当流源头所属的安全控制点收到来自其他安全控制点的溯源通告信息时，对溯源通告信息所指向的节点执行严格的安全策略检查，如果该节点可确定或疑似为攻击源，则对该节点采取相应的安全措施，同时，向发出溯源通告信息的安全控制点发送溯源成功的响应信息，如果该节点被其所在安全控制点判定为正常网络行为，则向发出溯源通告信息的安全控制点发送溯源失败信息；6)、当发出溯源通告信息的安全控制点收到溯源失败信息后，根据自身制定的安全策略，决定是否将本地检测为攻击流或疑似攻击流进行屏蔽隔离。