基于sdn網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)及檢測(cè)方法
【專利摘要】本發(fā)明公開了基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)��,該系統(tǒng)由保密檢查檢測(cè)模塊和控制器集群控制模塊構(gòu)成�,控制器集群控制模塊包括狀態(tài)分發(fā)/同步模塊����,分域管理模塊,分布式存儲(chǔ)管理模塊���,交換機(jī)共享控制模塊�����,交換機(jī)接口通信模塊����。保密檢查檢測(cè)模塊部署在保密檢查檢測(cè)服務(wù)器上����,由日常涉密審查模塊�����、上網(wǎng)行為控制模塊�����、可疑終端檢測(cè)模塊、木馬檢測(cè)模塊����、平臺(tái)運(yùn)維管理模塊、自身安全保障模塊和策略數(shù)據(jù)庫(kù)�����、病毒特征模式庫(kù)�、特征規(guī)則庫(kù)組成。此外�,本方明還公開了基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)的檢測(cè)方法。通過本發(fā)明能極大的提升互聯(lián)網(wǎng)出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)安全性����,同時(shí)也減輕業(yè)務(wù)網(wǎng)絡(luò)流量負(fù)擔(dān)。
【專利說明】基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)及檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�����,尤其涉及基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)及檢測(cè)方法���。
【背景技術(shù)】
[0002]隨著我國(guó)經(jīng)濟(jì)社會(huì)的快速發(fā)展���,信息化也在不斷的發(fā)展���,一個(gè)企業(yè)/組織在日常的辦公中不可避免的需要與互聯(lián)網(wǎng)接觸,相互傳遞信息���。這首先給企業(yè)/組織帶來了安全保密方面的重大挑戰(zhàn)���,需要防止員工無意/有意的泄露保密信息、防止外部成員非法獲得企業(yè)/組織的保密信息����;另外內(nèi)部員工對(duì)網(wǎng)站資源的耗用和上網(wǎng)行為等都需要得到控制以利于企業(yè)/組織日常業(yè)務(wù)的正常進(jìn)行。
[0003]出口信息保密檢查檢測(cè)平臺(tái)對(duì)企業(yè)/組織所有移動(dòng)互聯(lián)網(wǎng)出口進(jìn)行統(tǒng)一的保密檢查檢測(cè)��。重點(diǎn)研究對(duì)企業(yè)/組織互聯(lián)網(wǎng)的所有移動(dòng)互聯(lián)網(wǎng)異常行為���、木馬行為和傳輸信息進(jìn)行統(tǒng)一監(jiān)管,使用戶在第一時(shí)間發(fā)現(xiàn)并處置各類事件����。審查分析通過互聯(lián)網(wǎng)傳輸?shù)馁Y料,審查分析向互聯(lián)網(wǎng)上發(fā)布的信息����,能夠識(shí)別終端異常的網(wǎng)絡(luò)行為���,并能發(fā)現(xiàn)病毒和木馬竊取資料的行為;能對(duì)泄密行為進(jìn)行嚴(yán)格的監(jiān)控����,獲取必要的信息以追查到相關(guān)責(zé)任人;保證平臺(tái)和數(shù)據(jù)的安全����,防止二次泄密。
[0004]例如����,申請(qǐng)?zhí)枮?01210435961.6的發(fā)明專利提供了一種基于網(wǎng)絡(luò)的計(jì)算機(jī)信息保密檢測(cè)方法,包括以下步驟:網(wǎng)絡(luò)服務(wù)器端與計(jì)算機(jī)客戶端關(guān)聯(lián)����;設(shè)定網(wǎng)絡(luò)服務(wù)器端檢測(cè)策略;確定計(jì)算機(jī)客戶端檢測(cè)策略��;文件動(dòng)態(tài)實(shí)時(shí)監(jiān)控報(bào)警����。本發(fā)明通過主動(dòng)檢測(cè)和被動(dòng)檢測(cè)相結(jié)合的模式����,將檢查結(jié)果統(tǒng)一進(jìn)行匯總分析�,提示計(jì)算機(jī)客戶端進(jìn)行相應(yīng)的處理。通過計(jì)算機(jī)客戶端自定義含敏感字信息的白名單功能��,提高保密檢查的準(zhǔn)確率和檢索效率����。通過網(wǎng)絡(luò)服務(wù)器端的保密檢查策略的統(tǒng)一設(shè)定和下發(fā),實(shí)現(xiàn)計(jì)算機(jī)客戶端的文件動(dòng)態(tài)實(shí)時(shí)監(jiān)控報(bào)警���、自動(dòng)檢查和預(yù)警機(jī)制��,從技術(shù)手段上提高員工保密防范意識(shí)�,規(guī)避企業(yè)泄密風(fēng)險(xiǎn)��。
[0005]申請(qǐng)?zhí)枮?00310114937.3的發(fā)明專利涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】的協(xié)同工作環(huán)境下信息泄漏防范系統(tǒng)及其實(shí)現(xiàn)方法��。包括:客戶端和服務(wù)端兩部分�����,客戶端安裝在每臺(tái)需要操作被保護(hù)文件的計(jì)算機(jī)上,用于執(zhí)行保護(hù)操作�;服務(wù)端安裝在網(wǎng)絡(luò)中的單獨(dú)計(jì)算機(jī)上,用于執(zhí)行監(jiān)視和控制客戶端的計(jì)算機(jī)�,管理證書和密鑰�����,對(duì)用戶在客戶端對(duì)被保護(hù)文件����,客戶端與服務(wù)端通過網(wǎng)絡(luò)連接�����。方法包括:驗(yàn)證用戶的身份和權(quán)限���;執(zhí)行解密操作��;對(duì)被打開的文件時(shí)刻監(jiān)視�;對(duì)保存內(nèi)容作加密處理����,這樣保存在磁盤上的內(nèi)容永遠(yuǎn)都是加密的信息,這樣保證了文件被以任何方式拷貝到其他地方都是加密的��。從根本上解決了協(xié)同工作環(huán)境下的信息泄漏問題�,且對(duì)各種應(yīng)用環(huán)境都作了考慮��,可用性高。
[0006]上述技術(shù)是在原網(wǎng)絡(luò)中將網(wǎng)絡(luò)服務(wù)器端與計(jì)算機(jī)客戶端關(guān)聯(lián)���,然后在此服務(wù)器上設(shè)定網(wǎng)絡(luò)服務(wù)器端檢測(cè)策略����、確定計(jì)算機(jī)客戶端檢測(cè)策略,以進(jìn)行信息保密的檢測(cè)�����;另外對(duì)文件動(dòng)態(tài)進(jìn)行實(shí)時(shí)監(jiān)控����。此技術(shù)在原有網(wǎng)絡(luò)中進(jìn)行保密檢查工作,與原業(yè)務(wù)系統(tǒng)并存于同一網(wǎng)絡(luò)中���,存在極大的安全隱患:容易造成二次泄密����,另外也對(duì)原網(wǎng)絡(luò)中的流量負(fù)載造成額外的負(fù)擔(dān)��。
[0007]另外����,專利號(hào)為200820192655.3的實(shí)用新型涉及一種智能型多功能安全網(wǎng)關(guān),由Linux內(nèi)核和至少兩個(gè)網(wǎng)卡構(gòu)成,其Linux內(nèi)核分別與每個(gè)網(wǎng)卡相互連接,其特點(diǎn)是:Linux內(nèi)核還通過接口與IP包過濾模塊����、流量控制模塊、L7及P2P模塊相互連接�,一個(gè)內(nèi)部任務(wù)調(diào)度模塊分別與Linux內(nèi)核、IP包過濾模塊����、流量控制模塊、L7及P2P模塊相互連接�,內(nèi)部任務(wù)調(diào)度模塊還通過一個(gè)交互式接口模塊與用戶相連接。本實(shí)用新型集路由器���、流量控制�、VPN以及防火墻功能于一身���,可提供基于IP的流量控制功能����、智能化路由器功能、VPN撥號(hào)接入服務(wù)器功能以及網(wǎng)絡(luò)防火墻及NAT地址轉(zhuǎn)換功能�,替代昂貴且功能相對(duì)單一的多種專用網(wǎng)絡(luò)設(shè)備,不僅性能穩(wěn)定可靠��,而且成本低廉�。該技術(shù)將所有工作量壓到智能型多功能安全網(wǎng)關(guān)���,將所有的工作�����,例如IP包過濾模塊�、流量控制模塊��、L7及P2P模塊等均集中在一臺(tái)設(shè)備上完成����,另外系統(tǒng)流量與原有業(yè)務(wù)系統(tǒng)也并存在同一網(wǎng)絡(luò)中。
【發(fā)明內(nèi)容】
[0008]本發(fā)明為了解決現(xiàn)有技術(shù)中出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的安全性不夠高和產(chǎn)生的流量影響了原有網(wǎng)絡(luò)效率的缺點(diǎn)或不足����,采用了一種基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的方案��,從而實(shí)現(xiàn)了增強(qiáng)出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)安全性�,減輕業(yè)務(wù)網(wǎng)絡(luò)流量負(fù)擔(dān)�����。
[0009]基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)�����,其由保密檢查檢測(cè)模塊和控制器集群控制模塊構(gòu)成�����。
[0010]其中控制器集群控制模塊對(duì)平臺(tái)中的控制器集群進(jìn)行協(xié)調(diào)和控制����,并與支持SDN的交換機(jī)進(jìn)行通信,其包括狀態(tài)分發(fā)/同步模塊��,分域管理模塊����,分布式存儲(chǔ)管理模塊,交換機(jī)共享控制模塊���,交換機(jī)接口通信模塊�����。
[0011]控制器集群控制模塊通過交換機(jī)接口通信模塊使用南向接口協(xié)議與支持SDN的交換機(jī)進(jìn)行通信�,使用其他模塊實(shí)現(xiàn)多控制器之間的流表的同步。
[0012]保密檢查檢測(cè)模塊部署在保密檢查檢測(cè)服務(wù)器上��,由日常涉密審查模塊��、上網(wǎng)行為控制模塊����、可疑終端檢測(cè)模塊�、木馬檢測(cè)模塊、平臺(tái)運(yùn)維管理模塊����、自身安全保障模塊和策略數(shù)據(jù)庫(kù)、病毒特征模式庫(kù)����、特征規(guī)則庫(kù)組成。
[0013]其中日常涉密審查模塊負(fù)責(zé)對(duì)電子郵件����,文件傳輸����,微博���、博客����,網(wǎng)絡(luò)論壇的審查�;上網(wǎng)行為控制模塊負(fù)責(zé)對(duì)HTTP、FTP�����、SMTP��、POP3��、Web Mail����、QQ、MSN、社區(qū)/論壇/視頻/游戲���、BT/電驢/迅雷等P2P傳輸工具等的監(jiān)控審計(jì)�。
[0014]可疑終端檢測(cè)模塊包括域名檢測(cè)模塊�����,IP地址檢測(cè)模塊��,SSL通道檢測(cè)模塊�����,上�、下行流量比例檢測(cè)模塊。
[0015]木馬檢測(cè)模塊檢測(cè)特種木馬域名特征�����,特種木馬IP地址特征��,特種木馬數(shù)據(jù)內(nèi)容特征����。
[0016]平臺(tái)運(yùn)維管理模塊包括策略集中管理模塊�����,檢索分析模塊,運(yùn)維管理模塊���。
[0017]自身安全保障模塊包括標(biāo)識(shí)與鑒別模塊�,平臺(tái)操作日志模塊�,安全服務(wù)模塊,時(shí)鐘同步模塊���,安全證書模塊�。
[0018]基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)的檢測(cè)方法����,該方法的步驟如下:平臺(tái)初始化完成后,支持SDN的交換機(jī)根據(jù)下發(fā)的流表項(xiàng)對(duì)進(jìn)入交換機(jī)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)���,如有數(shù)據(jù)包符合出口信息保密檢查檢測(cè)平臺(tái)保密安全威脅的條件�,即匹配安全保密威脅的流表項(xiàng)�,支持SDN的交換機(jī)抽取該數(shù)據(jù)包的IP數(shù)據(jù)包頭和TCP數(shù)據(jù)包頭組成一個(gè)警報(bào)數(shù)據(jù)包發(fā)送給控制器,同時(shí)將該數(shù)據(jù)包丟棄�,控制器接收警報(bào)信息后通知保密檢查檢測(cè)模塊進(jìn)行相關(guān)操作,保密檢查檢測(cè)模塊記錄安全威脅日志,并向第三方安全軟件控制系統(tǒng)發(fā)送通知�����;如有數(shù)據(jù)包符合出口信息保密檢查檢測(cè)平臺(tái)保密安全威脅的條件���,支持SDN的交換機(jī)復(fù)制該數(shù)據(jù)包發(fā)送給控制器��,同時(shí)將此數(shù)據(jù)包壓入等待隊(duì)列以等待下發(fā)流表指明如何處理����,控制器接著進(jìn)一步轉(zhuǎn)發(fā)到保密檢查檢測(cè)模塊����,由保密檢查檢測(cè)模塊對(duì)該數(shù)據(jù)包進(jìn)行檢測(cè),如檢測(cè)發(fā)現(xiàn)該數(shù)據(jù)包安全無泄密則通知發(fā)送待檢信息的控制器�,要求交換機(jī)照原目標(biāo)發(fā)送數(shù)據(jù)包;如檢測(cè)發(fā)現(xiàn)該數(shù)據(jù)包有安全威脅或泄密情況�,則保密檢查檢測(cè)模塊生成此類數(shù)據(jù)包的流表項(xiàng)并分發(fā)到相關(guān)的控制器,控制器將自己分配到的流表項(xiàng)下發(fā)到該控制器管理的交換機(jī)�����,通知發(fā)送待檢信息的交換機(jī)按新下發(fā)的流表處理壓入等待隊(duì)列的數(shù)據(jù)包�;如果數(shù)據(jù)包都不符合以上情況,則照舊發(fā)送數(shù)據(jù)包����。
[0019]本發(fā)明技術(shù)方案帶來的有益效果:
[0020]基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)利用SDN網(wǎng)絡(luò)技術(shù),能將出口信息保密檢查檢測(cè)平臺(tái)產(chǎn)生的與保密檢查相關(guān)的流量分離到另一個(gè)網(wǎng)絡(luò)上�����,解決了可能的“二次泄密”等系統(tǒng)的安全威脅和流量負(fù)載問題�,能極大的提升互聯(lián)網(wǎng)出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)安全性,同時(shí)也減輕業(yè)務(wù)網(wǎng)絡(luò)流量負(fù)擔(dān)�����。
【專利附圖】
【附圖說明】
[0021]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其它的附圖。
[0022]圖1是基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的功能結(jié)構(gòu)圖����;
[0023]圖2是基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的細(xì)分流量圖;
[0024]圖3是基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D��;
[0025]圖4是基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)初始化流程圖�����;
[0026]圖5是基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)的檢測(cè)方法流程圖����。
【具體實(shí)施方式】
[0027]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述��,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍�。
[0028]基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)能針對(duì)企業(yè)/組織所有互聯(lián)網(wǎng)���、移動(dòng)互聯(lián)網(wǎng)出口進(jìn)行統(tǒng)一的保密檢查檢測(cè)����。保密檢查檢測(cè)模塊通過SDN控制器從支持SDN的交換機(jī)處收集相關(guān)的數(shù)據(jù)流并進(jìn)行分析����,對(duì)企業(yè)/組織內(nèi)網(wǎng)中所有異常行為、木馬行為和傳輸信息進(jìn)行統(tǒng)一監(jiān)管����,使用戶在第一時(shí)間發(fā)現(xiàn)并處置各類事件�����。審查分析通過互聯(lián)網(wǎng)傳輸?shù)馁Y料�����,審查分析向互聯(lián)網(wǎng)上發(fā)布的信息���,能夠識(shí)別異常的網(wǎng)絡(luò)行為,并能發(fā)現(xiàn)病毒和木馬竊取資料的行為�����,能對(duì)泄密行為進(jìn)行嚴(yán)格的監(jiān)控�,獲取必要的信息以追查到相關(guān)責(zé)任人,保證平臺(tái)和數(shù)據(jù)的安全����,防止二次泄密。
[0029]如圖1所示為基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的功能結(jié)構(gòu)圖���,其由保密檢查檢測(cè)模塊和控制器集群控制模塊構(gòu)成����。
[0030]其中控制器集群控制模塊對(duì)平臺(tái)中的控制器集群進(jìn)行協(xié)調(diào)和控制,并與支持SDN的交換機(jī)進(jìn)行通信���,其包括狀態(tài)分發(fā)/同步模塊,分域管理模塊��,分布式存儲(chǔ)管理模塊���,交換機(jī)共享控制模塊����,交換機(jī)接口通信模塊��??刂破骷嚎刂颇K通過交換機(jī)接口通信模塊使用南向接口協(xié)議與支持SDN的交換機(jī)進(jìn)行通信,使用其他模塊實(shí)現(xiàn)多控制器之間的流表的同步���。保密檢查檢測(cè)模塊部署在保密檢查檢測(cè)服務(wù)器上�,由日常涉密審查模塊��、上網(wǎng)行為控制模塊�����、可疑終端檢測(cè)模塊、木馬檢測(cè)模塊�、平臺(tái)運(yùn)維管理模塊、自身安全保障模塊這六大模塊和策略數(shù)據(jù)庫(kù)�����、病毒特征模式庫(kù)���、特征規(guī)則庫(kù)這三個(gè)數(shù)據(jù)庫(kù)組成�。其中日常涉密審查模塊負(fù)責(zé)對(duì)電子郵件�,文件傳輸,微博�����、博客����,網(wǎng)絡(luò)論壇的審查;上網(wǎng)行為控制模塊負(fù)責(zé)對(duì)HTTP����、FTP��、SMTP��、POP3���、Web Mail、QQ��、MSN�、社區(qū) / 論壇 / 視頻 / 游戲����、BT/ 電驢 / 迅雷等 P2P傳輸工具等的監(jiān)控審計(jì);可疑終端檢測(cè)模塊包括域名檢測(cè)模塊���,IP地址檢測(cè)模塊�,SSL通道檢測(cè)模塊���,上����、下行流量比例檢測(cè)模塊;木馬檢測(cè)模塊檢測(cè)特種木馬域名特征�,特種木馬IP地址特征,特種木馬數(shù)據(jù)內(nèi)容特征����;平臺(tái)運(yùn)維管理模塊包括策略集中管理模塊,檢索分析模塊��,運(yùn)維管理模塊��;自身安全保障模塊包括標(biāo)識(shí)與鑒別模塊����,平臺(tái)操作日志模塊,安全服務(wù)模塊���,時(shí)鐘同步模塊��,安全證書模塊��。
[0031]基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)基于SDN技術(shù)���,將原網(wǎng)絡(luò)、出口信息保密檢查檢測(cè)平臺(tái)這兩者的網(wǎng)絡(luò)分離開�。保密檢查檢測(cè)模塊與SDN控制器集群、支持SDN的交換機(jī)相連組成一個(gè)獨(dú)立的網(wǎng)絡(luò),在這個(gè)網(wǎng)絡(luò)中實(shí)行高級(jí)別的安全控制�����,這樣出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的相關(guān)流量和SDN控制流量共用同一高安全級(jí)別的網(wǎng)絡(luò)�,確保了系統(tǒng)的安全性,并且將平臺(tái)對(duì)原網(wǎng)絡(luò)的性能影響降到最低���。企業(yè)/組織相關(guān)系統(tǒng)平臺(tái)繼續(xù)使用原有的網(wǎng)絡(luò)�,原有網(wǎng)絡(luò)流量幾乎不受出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的影響����。具體如圖2所示�,實(shí)線部分為原網(wǎng)絡(luò)流量,平臺(tái)對(duì)此不做改動(dòng)����;點(diǎn)劃線所示的流量為SDN控制流量,這是SDN控制器與交換機(jī)通信的流量�;粗虛線所示的流量為保密檢查檢測(cè)流量,此部分流量是支持SDN的交換機(jī)根據(jù)流表從原網(wǎng)絡(luò)流量中選出的待檢的流量���,通過流表規(guī)則從交換機(jī)的某個(gè)端口發(fā)送到SDN控制流所在的網(wǎng)絡(luò)���。
[0032]如圖3所示為基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D�。圖中實(shí)線網(wǎng)絡(luò)為原企業(yè)/組織內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����;虛線網(wǎng)絡(luò)為SDN控制器和支持SDN的交換機(jī)通信的“網(wǎng)絡(luò)和出口信息保密檢查檢測(cè)系統(tǒng)”工作的網(wǎng)絡(luò)。
[0033]如圖4所示是基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)初始化流程圖���?�;赟DN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)啟動(dòng)后����,保密檢查檢測(cè)模塊協(xié)調(diào)控制器集群�,從交換機(jī)獲得網(wǎng)絡(luò)拓?fù)淝闆r,劃分各控制器所控制的交換機(jī)范圍���,然后根據(jù)策略數(shù)據(jù)庫(kù)����、病毒特征模式庫(kù)�����、特征規(guī)則庫(kù)這三個(gè)數(shù)據(jù)庫(kù)制定規(guī)則列出流表項(xiàng),將流表項(xiàng)分別發(fā)到相關(guān)的控制器�����,控制器將自己分配到的流表項(xiàng)下發(fā)到本控制器管理的交換機(jī)上�����,至此平臺(tái)系統(tǒng)初始化工作結(jié)束��。
[0034]如圖5所示為基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)的檢測(cè)流程圖����。平臺(tái)初始化完成后,支持SDN的交換機(jī)根據(jù)下發(fā)的流表項(xiàng)對(duì)進(jìn)入交換機(jī)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)���,如有數(shù)據(jù)包符合出口信息保密檢查檢測(cè)平臺(tái)保密安全威脅的條件,即匹配安全保密威脅的流表項(xiàng)���,支持SDN的交換機(jī)抽取該數(shù)據(jù)包的IP數(shù)據(jù)包頭和TCP數(shù)據(jù)包頭組成一個(gè)警報(bào)數(shù)據(jù)包發(fā)送給控制器�,同時(shí)將該數(shù)據(jù)包丟棄����,控制器接收警報(bào)信息后通知保密檢查檢測(cè)模塊進(jìn)行相關(guān)操作�����,保密檢查檢測(cè)模塊記錄安全威脅日志����,并向第三方安全軟件控制系統(tǒng)發(fā)送通知等��;如有數(shù)據(jù)包符合出口信息保密檢查檢測(cè)平臺(tái)保密安全威脅的條件���,支持SDN的交換機(jī)復(fù)制該數(shù)據(jù)包發(fā)送給控制器����,同時(shí)將此數(shù)據(jù)包壓入等待隊(duì)列以等待下發(fā)流表指明如何處理����,控制器接著進(jìn)一步轉(zhuǎn)發(fā)到保密檢查檢測(cè)模塊,由保密檢查檢測(cè)模塊對(duì)該數(shù)據(jù)包進(jìn)行檢測(cè)��,如檢測(cè)發(fā)現(xiàn)該數(shù)據(jù)包安全無泄密則通知發(fā)送待檢信息的控制器�,要求交換機(jī)照原目標(biāo)發(fā)送數(shù)據(jù)包,如檢測(cè)發(fā)現(xiàn)該數(shù)據(jù)包有安全威脅或泄密情況則保密檢查檢測(cè)模塊生成此類數(shù)據(jù)包的流表項(xiàng)并分發(fā)到相關(guān)的控制器��,控制器將自己分配到的流表項(xiàng)下發(fā)到該控制器管理的交換機(jī)���,通知發(fā)送待檢信息的交換機(jī)按新下發(fā)的流表處理壓入等待隊(duì)列的數(shù)據(jù)包����;如果數(shù)據(jù)包都不符合以上情況,則照舊發(fā)送數(shù)據(jù)包�。
[0035]以上對(duì)本發(fā)明實(shí)施例所提供的基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)及檢測(cè)方法進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述�����,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想����;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員����,依據(jù)本發(fā)明的思想,在【具體實(shí)施方式】及應(yīng)用范圍上均會(huì)有改變之處��,綜上所述�,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制�。
【權(quán)利要求】
1.基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng),其特征在于�,該系統(tǒng)由保密檢查檢測(cè)模塊和控制器集群控制模塊構(gòu)成����; 其中控制器集群控制模塊對(duì)平臺(tái)中的控制器集群進(jìn)行協(xié)調(diào)和控制����,并與支持SDN的交換機(jī)進(jìn)行通信,其包括狀態(tài)分發(fā)/同步模塊�����,分域管理模塊�,分布式存儲(chǔ)管理模塊,交換機(jī)共享控制模塊����,交換機(jī)接口通信模塊; 控制器集群控制模塊通過交換機(jī)接口通信模塊使用南向接口協(xié)議與支持SDN的交換機(jī)進(jìn)行通信��,使用其他模塊實(shí)現(xiàn)多控制器之間的流表的同步��; 保密檢查檢測(cè)模塊部署在保密檢查檢測(cè)服務(wù)器上��,由日常涉密審查模塊�、上網(wǎng)行為控制模塊、可疑終端檢測(cè)模塊���、木馬檢測(cè)模塊�、平臺(tái)運(yùn)維管理模塊、自身安全保障模塊和策略數(shù)據(jù)庫(kù)����、病毒特征模式庫(kù)、特征規(guī)則庫(kù)組成���; 其中日常涉密審查模塊負(fù)責(zé)對(duì)電子郵件�,文件傳輸��,微博��、博客��,網(wǎng)絡(luò)論壇的審查�;上網(wǎng)行為控制模塊負(fù)責(zé)對(duì)HTTP、FTP���、SMTP��、POP3��、Web Mail����、QQ��、MSN�、社區(qū)/論壇/視頻/游戲、BT/電驢/迅雷等P2P傳輸工具等的監(jiān)控審計(jì)�����; 可疑終端檢測(cè)模塊包括域名檢測(cè)模塊��,IP地址檢測(cè)模塊����,SSL通道檢測(cè)模塊,上���、下行流量比例檢測(cè)模塊��; 木馬檢測(cè)模塊檢測(cè)特種木馬域名特征���,特種木馬IP地址特征,特種木馬數(shù)據(jù)內(nèi)容特征; 平臺(tái)運(yùn)維管理模塊包括策略集中管理模塊�,檢索分析模塊,運(yùn)維管理模塊�����; 自身安全保障模塊包括標(biāo)識(shí)與鑒別模塊�,平臺(tái)操作日志模塊,安全服務(wù)模塊���,時(shí)鐘同步模塊�����,安全證書模塊��。`
2.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于�����,該系統(tǒng)啟動(dòng)后���,保密檢查檢測(cè)模塊協(xié)調(diào)控制器集群�,從交換機(jī)獲得網(wǎng)絡(luò)拓?fù)淝闆r,劃分各控制器所控制的交換機(jī)范圍�,然后根據(jù)策略數(shù)據(jù)庫(kù)、病毒特征模式庫(kù)��、特征規(guī)則庫(kù)這三個(gè)數(shù)據(jù)庫(kù)制定規(guī)則列出流表項(xiàng)�����,將流表項(xiàng)分別發(fā)到相關(guān)的控制器�,控制器將自己分配到的流表項(xiàng)下發(fā)到本控制器管理的交換機(jī)上����,至此系統(tǒng)初始化工作結(jié)束。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,該系統(tǒng)中保密檢查檢測(cè)模塊與SDN控制器集群����、支持SDN的交換機(jī)相連組成一個(gè)獨(dú)立的網(wǎng)絡(luò),在這個(gè)網(wǎng)絡(luò)中實(shí)行高級(jí)別的安全控制����,這樣出口信息保密檢查檢測(cè)平臺(tái)系統(tǒng)的相關(guān)流量和SDN控制流量共用同一高安全級(jí)別的網(wǎng)絡(luò)�����,確保了系統(tǒng)的安全性����,并且將平臺(tái)對(duì)原網(wǎng)絡(luò)的性能影響降到最低����。
4.基于SDN網(wǎng)絡(luò)的出口信息保密檢查檢測(cè)平臺(tái)的檢測(cè)方法,其特征在于�����,該方法的步驟如下:平臺(tái)初始化完成后��,支持SDN的交換機(jī)根據(jù)下發(fā)的流表項(xiàng)對(duì)進(jìn)入交換機(jī)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)�����,如有數(shù)據(jù)包符合出口信息保密檢查檢測(cè)平臺(tái)保密安全威脅的條件���,即匹配安全保密威脅的流表項(xiàng)���,支持SDN的交換機(jī)抽取該數(shù)據(jù)包的IP數(shù)據(jù)包頭和TCP數(shù)據(jù)包頭組成一個(gè)警報(bào)數(shù)據(jù)包發(fā)送給控制器����,同時(shí)將該數(shù)據(jù)包丟棄�����,控制器接收警報(bào)信息后通知保密檢查檢測(cè)模塊進(jìn)行相關(guān)操作�,保密檢查檢測(cè)模塊記錄安全威脅日志�����,并向第三方安全軟件控制系統(tǒng)發(fā)送通知�����;如有數(shù)據(jù)包符合出口信息保密檢查檢測(cè)平臺(tái)保密安全威脅的條件���,支持SDN的交換機(jī)復(fù)制該數(shù)據(jù)包發(fā)送給控制器��,同時(shí)將此數(shù)據(jù)包壓入等待隊(duì)列以等待下發(fā)流表指明如何處理����,控制器接著進(jìn)一步轉(zhuǎn)發(fā)到保密檢查檢測(cè)模塊,由保密檢查檢測(cè)模塊對(duì)該數(shù)據(jù)包進(jìn)行檢測(cè)�����,如檢測(cè)發(fā)現(xiàn)該數(shù)據(jù)包安全無泄密則通知發(fā)送待檢信息的控制器����,要求交換機(jī)照原目標(biāo)發(fā)送數(shù)據(jù)包,如檢測(cè)發(fā)現(xiàn)該數(shù)據(jù)包有安全威脅或泄密情況�����,則保密檢查檢測(cè)模塊生成此類數(shù)據(jù)包的流表項(xiàng)并分發(fā)到相關(guān)的控制器�,控制器將自己分配到的流表項(xiàng)下發(fā)到該控制器管理的交換機(jī),通知發(fā)送待檢信息的交換機(jī)按新下發(fā)的流表處理壓入等待隊(duì)列的數(shù)據(jù)包�����;如果數(shù)據(jù)包都不符合`以上情況�����,則照舊發(fā)送數(shù)據(jù)包�。
【文檔編號(hào)】H04L29/06GK103684922SQ201310716971
【公開日】2014年3月26日 申請(qǐng)日期:2013年12月23日 優(yōu)先權(quán)日:2013年12月23日
【發(fā)明者】柯宗貴, 楊育斌, 程麗明 申請(qǐng)人:藍(lán)盾信息安全技術(shù)股份有限公司