[发明专利]一种基于全流量的网络安全基线生成方法

说明书

本发明公开了一种基于全流量的网络安全基线生成方法，本方法通过对网络全流量数据进行采集、解析、处理，生成格式化数据并存储在分布式数据库中，然后将格式化数据进行聚合、分析、统计等操作，生成网络安全基线，该网络安全基线可以用于识别网络入侵行为。本发明提出的基于全流量的网络安全基线生成方法可以生成更为全面的网络安全基线，能够大规模快速生成整个区域网络内的安全基线，且能够快速灵活地修改网络安全基线，具有应用的通用性，可以广泛适用于各种网络环境。此外，避免了传统的网络安全基线生成方法中需要依赖业务专家、网络安全专家和网络运维人员协同参与的问题，极大的降低了网络安全基线生成的技术门槛。

技术领域

本发明涉及网络安全基线，尤其涉及一种基于全流量的网络安全基线生成方法。

背景技术

在互联网迅猛发展的大背景下，越来越多的网络安全问题暴露无疑。随着各大企业安全事件的频发，网络安全管理成为社会关注的热点话题。网络安全基线生成作为网络安全管理中的重要环节，目前来看广泛引用于大量使用基于IP网络及计算机技术的通信网络与信息系统的电信、电力、金融等行业。网络安全基线对于提高这些行业的通信网络与信息系统的安全性起到了重要的基础性作用。

网络安全基线是指对一个通信网络单元的最小安全保证，即该通信网络单元需要满足的最基本的安全要求。网络安全基线规范即通信网络单元中各类系统、设备的最低安全配置要求。网络安全基线是企业内部相关部门应统一遵循的规范，可以应用于设计建设、入网检测、日常维护、合规性检查、退网等网络单元全生命周期的各个阶段。在网络安全管理领域，如何平衡成本投入与风险一直是一个难题，而网络安全基线的提出起到了保障这个平衡相对稳定的作用。网络安全基线的构建与实施、可使通信网络中所有系统、设备的安全防护达到统一的、最低要求的安全水平，便于维护与管理，并能够提高网络的整体安全防护水平，减少安全隐患。

传统的网络安全基线生成思路是：针对现网中应用的主流网络设备、安全设备、操作系统、数据及重要网络单元的应用系统、中间件，明确为保证其基本安全运行而需要遵从的基本安全配置要求及参数阈值。这种网络安全基线建立方法需要安全专家、业务专家和安全运维人员协同参与，手动设置各类安全基线阈值和条件。这种方式具有门槛高、难操作、不灵活、易出错等诸多问题。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种基于全流量的网络安全基线生成方法，本方法通过对网络全流量数据进行采集、解析、处理，生成格式化数据并存储在分布式数据库中，然后将格式化数据进行聚合、分析、统计等操作，生成网络安全基线，该网络安全基线可以用于识别网络入侵行为，具体的，包括以下步骤：

S1.网络数据深度解析：通过交换机镜像口对网络数据包进行旁路采集，并对部分应用层协议进行深度解析，提取出网络报文中的公共数据内容和部分应用层深度解析数据信息，生成格式化数据；

S2.数据清洗与提取：对采集和/或解析后生成的格式化数据进行数据清洗，去掉重复或异常的数据，对于公共数据内容全部提取，对于部分深度解析出的应用层数据内容，提取其应用层关键信息；

S3.分布式持久化：将提取出的数据信息全量导入分布式数据库进行持久化，这是后续用于生成网络安全基线的基础数据；

S4.接受参数输入：接受用户输入的包括起始时间戳、结束时间戳和应用层协议类型在内的安全基线生成参数；

S5.数据聚合：依据用户输入的起始时间戳和结束时间戳参数，从分布式数据库中提取该时间范围内的基础数据，依据基础数据中的网络层协议、应用层协议、源ip地址、目的ip地址、源mac地址和目的mac地址信息生成聚合数据集A，再根据用户输入的应用层协议在聚合数据集A基础上再次聚合构造生成指定应用层协议的聚合数据集B；

S6.数据分析与计算：聚合数据集B的每条数据通过所有字段拼接后的字符串经过安全哈希算法(SHA1)生成唯一识别号ID，将附带该ID的聚合数据集B持久化到分布式数据库中，即形成指定应用层协议的网络安全基线。