[发明专利]一种基于云计算环境的分布式网络安全预警方法

说明书

技术领域

本发明涉及分布式网络，尤其涉及一种基于云计算环境的分布式网络安全预警方法，属于网络安全技术领域。

背景技术

目前网络恶意代码技术的发展趋势具有爆发性传播、自组织结构和分布式协作等主要特点，近年来以蠕虫、僵尸网络等为代表的新型恶意代码在互联网上以爆发性的速度进行传播，引发难以估量的潜在安全风险。网络黑客可以利用恶意代码搭建的分布式平台，实施大规模的网络入侵和攻击行为，包括窃取或破坏敏感信息、发动大范围的拒绝服务攻击，从事经济犯罪活动，甚至瘫痪骨干网络服务。为了解决这个问题，几乎所有的网络中都部署了入侵检测系统、防火墙、漏洞扫描器、防病毒网关等安全防护设施。尽管这些设施可以对特定类型的攻击行为和特征做出判断和响应，但是由于其安全防护视野仅仅局限于各自的安全域，所以产生的报警难免具有较高的误报率和漏报率，也缺少对异常事件进行全局分析和评估的手段，尤其是在对抗以自适应结构和分布式协作为特征的新型恶意代码时作用有限。因此，如何实现网络安全防护体系的动态自适应协作，组织各类异构网络安全设施有效的共享报警数据，并对安全事件进行全局协同关联分析已经成为目前网络安全领域的迫切需要解决的问题。

典型的分布式网络安全预警系统都是以安全域为单位进行部署的网络安全防护设施构建而成的，仅在同一个安全域内的防护设施才具有一定的协作能力，必然就无法核查关于网络入侵和攻击行为的全局状态信息。而当攻击行为是通过网络恶意代码的大规模传播搭建的分布式平台来实施的时候，全局信息可以帮助相关组织机构作出及时准确的判断，分类和响应，而这是依靠传统的网络安全防护系统难以实现的。因此，目前主流的分布式网络预警体系结构存在以下缺陷。第一，无自适应性，目前的网络预警模型均采用固定拓扑的体系结构，不具备根据网络安全态势自适应调整的能力，不适用于大规模网络环境；第二，生存性低，多数网络预警模型采用单一预警中心的架构，具有较高的单点失败风险，并且会在该预警中心附近造成网络拥塞；第三，数据流控制能力弱，主流网络预警模型均采用安全数据的集中型共享结构，不能根据攻击类型动态的选择需要交互的数据集，硬件资源和网络带宽的利用率都较低；第四，协作性差，无法对异构的安全防护设施的报警数据进行有效的聚合，跨安全域的数据交换也缺少有效的解决方案。

针对以上问题，发明人认为“协同安全”是应对恶意代码分布式攻击的必然趋势，其根本目标就在于实现不同安全域内异构防护设施的数据共享与资源调度。因此有必要提出一种新型的，具备动态自适应调整和跨安全域协作能力的分布式网络安全预警体系结构。

发明内容

本发明提供一种基于云计算环境的分布式网络安全预警方法，该方法可以有效的整合网络中各种异构安全防护系统的数据和资源，使网络安全防护体系具备了动态自适应调整和跨安全域协作的能力，为在大规模网络中部署入侵关联分析，蠕虫特征提取，僵尸网络检测等分布式安全服务提供了基础设施。

为实现上述目标，本发明的技术方案是：

一种基于云计算环境的分布式网络安全预警方法，所述方法包括设置多个管理域，每个管理域包括一个控制中心节点和一个以上与之数据连接的安全代理节点，所述多个管理域的控制中心节点之间对等连接，

所述安全代理节点通过外围设施发现异常事件，提取事件信息并按设定格式生成报警消息，将所述报警信息发送至本管理域的控制中心节点，

控制中心节点接收来自本管理域的安全代理节点和其他控制中心节点发送的报警消息，并将满足设定的合并条件的一个以上中心节点合并为一个任务组；

任务组中的安全代理节点之间对等连接，其中一个安全代理节点担任任务协调中心节点，协调组内安全代理节点共同完成设定的任务；

所述任务组通过所述任务协调中心节点和一个控制中心节点数据连接。

优选地，一个安全代理节点可同时加入多个任务组。

优选地，所述任务协调中心节点收集组内各个成员节点的报警消息，进行数据融合和关联分析，由此提取异常事件的特征，并将所述特征发送至本管理域的控制中心；同时，所述任务协调中心节点制定访问控制策略，发布协同控制命令，协调组内各个安全代理对外围设施的操作。

优选地，本发明方法在每个管理域中部署多个控制中心节点，仅其中之一处于激活状态，其余处于休眠状态，当所述激活状态下的控制中心节点瘫痪时，激活一个所述休眠状态下的控制中心节点担任新的控制中心节点。

优选地，当所述任务协调中心瘫痪时，根据设定的规则指定任务组内其他安全代理节点之一担任新的任务协调中心节点。