一种网络安全规则学习方法及系统.pdf

本发明公开了一种网络安全规则学习方法及系统。该方法通过监听正常工作状态下网络中的数据包，以此为基准自动定义网络的行为规范。其核心功能在于安全系统自动学习设备的网络行为，并把学习到的行为定义为安全规则。对于安全规则外的网络行为，则通过定义默认安全规则的方式进行处理，例如报警或阻断等。本发明的技术优势在于系统自动从网络数据中提取安全规则，节约了大量的人力物力资源，用户无需任何专业知识，通过“一键式”操作即可得到完整的，针对现有运行环境的安全规则，很大程度上减少了错报、误报的情况。

权利要求书1.  一种网络安全规则学习方法，其特征在于，包括如下步骤：(a1)在深度数据包解析的基础上，通过数据采集器收集网络中传输的数据包信息，并将该信息存储到数据存储部件中，以便学习引擎查询数据；(a2)安全规则学习引擎分析数据包信息，并生成安全规则。2.  根据权利要求1所述的方法，其特征在于，步骤(a1)中，深度数据包解析是指通过对原始数据包的分析，提取关键性的信息，这些数据包信息包含数据包的源地址、目标地址、网络协议名、端口号、数据详细信息。3.  根据权利要求1所述的方法，其特征在于，步骤(a1)中，数据采集的途径包括通过网络中的安全保护设备收集数据、对网络交换机进行监听以及利用用户设备自身日志信息。4.  根据权利要求1所述的方法，其特征在于，步骤(a2)中，在安全规则学习过程中，用户可以通过手工或自动的方式，将设备进行分类，学习引擎根据设备类别学习安全规则，以控制安全规则项数量，缩短安全规则学习时间。5.  根据权利要求1所述的方法，其特征在于，步骤(a2)中，在安全规则学习过程中，用户可以根据自身的需要定义网络行为模块，也可以通过机器学习的方法，自动将不同的网络行为归结为某些行为模块。6.  根据权利要求1所述的方法，其特征在于，步骤(a3)中，对于不符合所有安全规则的数据包，学习引擎定义默认的应对措施，这些应对措施可以是针对所有的设备和网络协议，也可以是针对某些设备或网络协议，当保护设备没有发现任何匹配的规则时，则按照默认的应对措施处理该数据包。7.  一种用于实施上述任一权利要求所述方法的网络安全规则学习系 统，其特征在于，包括，数据采集器，其用于收集网络中传输的数据包信息并对收集到的信息进行解析；数据存储部件，其用于存储数据采集器收集到的数据包信息，并响应学习引擎的询问；学习引擎，其用于分析数据存储部件的数据包信息，并生成安全规则。8.  根据权利要求7所述的系统，其特征在于，所述网络安全规则学习系统中有一个或多个学习引擎，每个学习引擎可以单独学习部分或全部安全规则，当存在多个学习引擎时，某个中央学习引擎汇总所有的部分安全规则形成最终的整体安全规则。9.  根据权利要求7或8所述的系统，其特征在于，所述数据采集器利用深度数据包解析技术将网络数据包中的关键信息解析为设备的网络行为。10.  根据权利要求7或8所述的系统，其特征在于，所述安全规则学习引擎使用数据采集器收集到的数据包，以及网络设备类别信息和网络行为类别信息自动生成针对用户环境的安全规则。

说明书一种网络安全规则学习方法及系统
技术领域
本发明涉及计算机网络安全领域，具体地，涉及一种网络安全规则学习方法及系统。
背景技术
网络安全中，特别是工业控制网络中，由于网络设备的特殊性，用户往往不能及时为系统漏洞添加补丁。工控网络分布式保护方案可以有效提高网络的安全性。如图1所示，两个安全监测保护设备(监测/保护设备1，监测/保护设备2)，它们由一个中央管理系统统一管理。安全保护设备负责监测经过的数据包，基于中央管理系统部署的安全规则和安全特征与数据包匹配的结果，对非法的数据包报警或阻断。安全规则定义了网络设备之间的行为规范，可以监测/阻断不合法的指令、数据泄漏、用户误操作等网络行为，提高网络的安全性。
在网络中，设备之间的通讯是通过多种网络协议实现的。为了对网络行为进行有效的监控，其安全规则往往基于深度数据包解析，包含多种复杂的数据包信息。同时，由于网络的复杂性，传统的人工定义网络安全规则的方法复杂度高，需要消耗大量的人力物力资源，必须对网络协议和网络行为有深刻的了解，而生成的安全规则往往不够全面，会产生大量的错报、误报的情况。因此用户很难自己定义整套的安全规则以满足系统正常工作的需要。
发明内容
针对现有技术的上述缺陷与不足，本发明的目的在于提供一种高效的安全规则学习方法及系统，提高网络安全规则部署的全面性、系统性和准 确性。
所述安全规则学习方法包括如下步骤：
(a1)在深度数据包解析的基础上，通过数据采集器收集网络中传输的数据包信息，并将该信息存储到数据存储部件中，以响应学习引擎对数据的查询；
(a2)安全规则学习引擎分析数据包信息，并生成安全规则。
优选地，步骤(a1)中，深度数据包解析是指通过对原始数据包的分析，提取关键性的信息，这些数据包信息包含但不限于数据包的源地址，目标地址，协议名，端口号，数据详细信息。
步骤(a1)中，数据采集的途径包括但不限于通过网络中的安全保护设备收集数据、对网络交换机进行监听以及利用用户设备自身日志信息。
优选地，步骤(a2)中，与数据包信息类似，所述安全规则包含源地址、目标地址、规则细节、应对措施等内容。
优选地，步骤(a2)中，在安全规则学习过程中，用户可以通过手工或自动的方式，将设备进行分类，学习引擎根据设备类别学习安全规则，这样可以控制安全规则项数量，缩短安全规则学习时间。
优选地，步骤(a2)中，在安全规则学习过程中，用户可以根据自身的需要定义网络行为模块，也可以通过机器学习的方法，自动将不同的网络行为归结为某些行为模块。
优选地，对于不符合所有安全规则的数据包，学习引擎定义了默认的应对措施。这些应对措施可以是针对所有的设备和网络协议，也可以是针对某些设备或网络协议，当监测/保护设备没有发现任何匹配的安全规则项时，则按照默认的应对措施处理该数据包。
所述安全规则学习系统包括：
数据采集器，收集网络中传输的数据包信息并对收集到的信息进行解析；
数据存储部件，其用于存储数据采集器收集到的数据包信息，并响应 学习引擎的询问；
学习引擎，其用于分析数据存储部件的数据包信息，并生成安全规则。
优选地，所述系统包括一个或多个学习引擎，每个学习引擎可以单独学习部分或全部安全规则，当存在多个学习引擎时，某个中央学习引擎汇总所有的部分安全规则形成最终的整体安全规则。
优选地，所述数据采集器利用深度数据包解析技术将网络数据包中的关键信息解析为设备的网络行为。
所述安全规则学习引擎使用数据采集器收集到的数据包，以及网络设备类别信息和网络行为类别信息自动生成针对用户环境的安全规则。
本发明的技术优势在于系统自动从网络数据中提取安全规则。用户无需任何专业知识，通过“一键式”操作即可得到完整的，针对现有运行环境的安全规则，并且通过本发明所述的使用设备类别和网络行为模块的安全规则学习方法，可以有效控制学习到的规则项的数量。
附图说明
图1是分布式网络安全系统；
图2是安全规则学习系统；
图3是安全规则学习系统与分布式网络安全系统的结合图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
现有技术中，通常采用分布式网络安全系统提高网络的安全性，如图1所示，分布式网络安全系统中用户设备为A、B、C、M、N，其中A、B、C为工程师工作站，M、N为可编程逻辑控制器。监测/保护设备1、2监测经过的数据包，监测/保护设备1、2由中央管理平台3统一管理，中央管理系统3部署安全规则和安全特征，基于该安全规则和安全特征与数 据包的匹配结果，对非法的数据包进行报警或阻断。然而在现有分布式网络安全系统中，用户很难自己定义整套的安全规则来满足系统正常工作的需要。
本发明通过监视正常工作状态下网络中的数据包，以此为基准自动定义网络的行为规范。其核心功能在于安全系统自动学习设备的网络行为，并把学习到的行为定义为安全规则。对于不再是安全规则内的网络行为，则通过定义默认安全规则的方式进行处理(报警或阻断等)。
如图2所示的安全规则学习系统，其中监听设备4和用户设备N用作系统中的数据采集器，5为数据存储部件，6为学习引擎。首先，数据采集器收集网络中传输的数据包，并利用深度数据包解析技术将网络数据包中的关键信息解析为设备的网络行为，例如Modbus中的操作码，读写操作的地址等。数据包信息传输并存储在数据存储部件5中。通过深度数据包解析所获取的数据包信息如表1所示。
表1 从深度数据包解析中获得的数据包信息
源地址目标地址规则细节时间AMModbus, Read Coils2014.8.8-12.38.28ANModbus, Read Discrete Inputs2014.8.8-12.37.19NAModbus, Get Com Event Log2014.8.8-12.35.36BMModbus, Read File Record2014.8.8-12.35.34BNModbus, Write File Record2014.8.8-12.31.31AMModbus, Write Single Register2014.8.8-12.30.59BMModbus, Read File Record2014.8.8-12.30.33ANModbus, Write Multiple Registers2014.8.8-12.30.21AMModbus, Write Multiple Coils2014.8.8-12.30.16BMModbus, Read Coils2014.8.8-12.30.11
获得并存储上述数据包信息之后，学习引擎6询问数据存储部件5并使用数据包信息，结合表2所示的设备类别信息及表3所示的网络行为模块信息，自动生产一套安全行为。表4示出了基于设备类别和行为模块学习的安全规则。表3中的行为模块没有定义行为【Modbus, Get Com Event Log】，学习引擎自动定义新的模块【Modbus_Get_Com_Event_Log】。
由上述表1可以看出，【C】并没有发送任何数据包，然而，由于其类别为工程师工作站，【C】和可编程逻辑控制器之间的通讯应该参照【A,B】。 面向【A,B】的操作，对【C】也可能出现。这样的情况在网络中常常出现，例如【C】是【A】的硬件冗余，虽然其在通常情况下不会被使用，但在特殊情况下需要支持【A】所有的功能。
表2设备类别列表
设备设备类别A工程师工作站B工程师工作站C工程师工作站M可编程逻辑控制器N可编程逻辑控制器
表3网络行为模块

表4基于设备类别和行为模块学习的规则

原则上，学习是基于网络正常工作状态下的网络数据。因此，安全规则项的应对措施为【允许】，即系统应该允许与安全规则项相匹配的数据包通过。用户可以对所生成的规则项进行修改，例如将【Modbus_File_Access】相关规则项(规则项3)的应对措施改为【报警】。
对于未出现的数据行为，学习引擎通过默认规则进行控制。例如表4中，规则项5定义了对所有未发现的行为【报警】。
图2所示的安全规则学习系统可以应用到图1所示的分布式网络安全 系统中，实现安全规则的学习及部署从而保证用户的网络安全。如图3所示，在安全规则学习系统与分布式网络安全系统的结合中，监测/保护设备1、2作为数据采集器，收集网络中传输的数据包，并利用深度数据包解析技术将网络数据包中的关键信息解析为设备的网络行为。数据存储部件及学习引擎集成在中央管理平台3′中，因此在中央管理系统3′中完成数据包信息的存储及安全规则的学习，生成的安全规则如表5所示。
表5：实际的安全规则

生成的实际使用的安全规则可以通过反向使用表2和表3实现。中央管理系统3′将安全规则通过网络作为检测/保护设备1、2的配置文件部署到检测/保护设备1、2上。检测/保护设备1、2接受到安全规则并依据该安全规则与通过检测/保护设备1、2的数据包进行匹配，并按照安全规则项的应对措施控制数据包。如果数据包与所有的规则项均不匹配，则按照默认的应对措施处理该数据包，即【报警】。
以上详细说明了本发明的优选实施例，但本发明并不限于这些实施例，在本发明的申请范围内可以进行各种改变。尽管上文只是详细阐述了本发明的优选实施例，但是，所属技术领域的技术人员很清楚在实质上不脱离本发明的新颖性和优点的范围内，可以对示例性实施例进行各种修改。