CN110324326B - 一种基于业务安全标记的网络数据传输控制方法及装置 - Google Patents

一种基于业务安全标记的网络数据传输控制方法及装置 Download PDF

Info

Publication number
CN110324326B
CN110324326B CN201910536194.XA CN201910536194A CN110324326B CN 110324326 B CN110324326 B CN 110324326B CN 201910536194 A CN201910536194 A CN 201910536194A CN 110324326 B CN110324326 B CN 110324326B
Authority
CN
China
Prior art keywords
service
data packet
security
network
mark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910536194.XA
Other languages
English (en)
Other versions
CN110324326A (zh
Inventor
于海波
李志谦
刘坤颖
祁峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201910536194.XA priority Critical patent/CN110324326B/zh
Publication of CN110324326A publication Critical patent/CN110324326A/zh
Application granted granted Critical
Publication of CN110324326B publication Critical patent/CN110324326B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种基于业务安全标记的网络数据传输控制方法及装置,属于网络技术及计算机信息安全领域,通过识别网络数据包带有的业务安全标记,并根据标记包含的安全级别、业务类别等业务安全属性信息对网络数据进行相应的控制,从而基于业务层面的安全要求在网络层面高效实现数据的细粒度管控。

Description

一种基于业务安全标记的网络数据传输控制方法及装置
技术领域
本发明涉及一种网络数据传输控制方法,尤其涉及一种基于网络数据包的业务安全属性对网络数据传输进行管控的方法和装置,属于网络技术及计算机信息安全领域。
技术背景
目前,传统的网络数据控制方法主要利用五元组、源目的地址、数据包特征等网络层信息对数据包进行控制,无法根据业务层面的安全要求对网络数据进行细粒度的管控和审计,很难针对不同类别业务数据实现路由控制,难以根据业务应用要求对特定业务数据流向进行路径管控和异常发现,无法在安全域边界高效对不同类别的业务数据进行细粒度管控。
发明内容
针对网络数据的细粒度管控需求,本发明的目的在于提出一种基于业务安全标记的网络数据传输控制方法及装置,通过识别网络数据包带有的业务安全标记,并根据标记包含的安全级别、业务类别等业务安全属性信息对网络数据进行相应的控制,从而基于业务层面的安全要求在网络层面高效实现数据的细粒度管控。
为实现上述目的,本发明采用一种基于业务安全标记的网络数据传输控制方法,该方法包括以下步骤:
Step1:配置网络装置的标记控制策略,该标记控制策略指的是基于网络数据包的业务安全标记定义相关规则,以对网络数据进行管控;
Step2:网络数据包通过网络装置时,网络装置识别数据包是否带有业务安全标记,如果数据包不带有业务安全标记,则对数据包记录日志或做其他处理;
Step3:如果数据包带有业务安全标记,则网络装置根据配置的标记控制策略对数据包的业务安全标记进行匹配检查,如果检查通过,则放行,否则对数据包记录日志或做其他处理。
进一步地,业务安全标记为包含多种业务安全属性的多元组M=<C,G>,其中C为安全级别,G为业务安全属性集合,该业务安全属性集合G包括业务类别、工作组、角色、环境要求。
进一步地,业务安全标记包括信息对象的业务安全标记M(r)=<Cr,Gr>和***对象的业务安全标记M(o)=<Co,Go>,其中信息对象包括数据,***对象包括应用、服务、进程。
进一步地,M(o)与M(r)之间的关系有两种:支配与不可比;当Co≥Cr
Figure BDA0002101236370000011
记为M(o)≥M(r),则M(o)与M(r)之间具有支配关系,表示***对象可支配信息对象;如果M(o)与M(r)之间不存在支配关系,则二者之间为不可比关系,表示***对象无权支配信息对象。
进一步地,标记控制策略可表示为R=<C,G>,其中,R为标记控制策略,该式子表示满足指定属性的信息对象的集合。
进一步地,为网络装置s配置标记控制策略Rs=<Cs,Gs>,Rs指定的信息对象的业务安全标记为M(s)=<Cs,Gs>,若M(s)≥M(r),标记匹配检查通过;否则数据匹配检查不通过。
进一步地,所述其他处理包括告警、转发、丢弃或忽略等。
为实现上述目的,本发明还提供了一种基于业务安全标记的网络数据传输控制装置,包括标记控制策略管理模块、标记识别管控模块;
该标记控制策略管理模块,用于配置和管理网络装置的标记控制策略;
标记识别管控模块,用于识别网络数据包的业务安全标记,根据标记控制策略对数据包的业务安全标记进行匹配检查,并根据检查结果对数据包进行放行、记录日志或做其他处理。
进一步地,标记识别管控模块中,所述其他处理包括告警、转发、丢弃或忽略等。
与现有技术相比,本发明的积极效果为:
通过识别网络数据具有的业务安全属性标识,使得在网络层理解并实施面向业务的细粒度数据管控成为可能。本发明可使各类相关的网络设备(如路由器、交换机等)及网络安全设备(防火墙、安全网关、流量审计***、IPS/IDS等)根据网络数据的业务安全属性对不同类别的数据进行高效细粒度控制,例如,可根据网络数据的业务安全属性对数据包的路由转发进行高效管控;根据网络数据的业务安全属性对数据包的端口转发进行高效管控;根据网络数据的业务安全属性在安全域边界实现对不同业务数据的细粒度管控;根据网络流量中数据的业务安全属性对流量进行业务安全审计和异常业务行为检测。
附图说明
图1是一种基于业务安全标记的网络数据传输控制方法流程图。
图2是一种基于业务安全标记的网络数据传输控制装置模块关系图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
本实施例提出一种基于业务安全标记的网络数据传输控制方法,图1为其流程图,下面将结合图1对基于业务安全标记的网络数据传输控制方法进行说明。
1.业务安全标记及标记控制策略
业务安全标记M为一个包含多种业务安全属性的多元组,M=<C,G>。其中C为安全级别;G为多个业务安全属性gi的集合,G={g1,g2,…gn},gi可以为业务类别、工作组、角色、环境要求等业务安全属性。
数据等信息对象(资源)的业务安全标记记为M(r)=<Cr,G>,应用、服务和进程等***对象(主体)的业务安全标记记为M(o)=<Co,Go>。主体标记M(o)与资源标记M(r)之间的关系有两种:支配与不可比。标记M(o)支配标记M(r),当Co≥Cr
Figure BDA0002101236370000031
记为M(o)≥M(r),表示主体可支配客体(资源)。如果M(o)与M(r)之间不存在支配关系,则它们之间不可比,主体无权支配客体(资源)。
由于网络数据包是一种信息对象(资源),其业务安全标记采用属性方法定义。因此,针对网络数据包的标记控制策略也采用属性方法进行定义。标记控制策略R可以表示为R=<C,G>,表示满足指定的属性要求的信息对象的集合。因此,规则Rs指明的信息对象的业务安全标记也可记为M(s)=<Cs,Gs>。在进行策略匹配检查时,如果M(s)≥M(r),则数据包r的业务安全标记满足标记控制策略规则Rs
根据上述抽象定义方法,可为某网络装置s配置标记控制策略Rs=<Cs,Gs>,其中,标记控制策略可以至少应用在路由管控、端口转发管控、包过滤管控、流量审计及异常检测等领域。
2.转发路由管控
本网络装置可以基于业务安全标记对数据包的转发路由进行管控,具体实施方式如下:
(step1):针对具有路由功能的网络装置n配置标记控制策略Rn=<Cn,Gn>,对数据包的转发路由进行控制;
(step2):当数据包d通过时,识别数据包的业务安全标记M(d),如果数据包不带有业务安全标记,则装置对数据包记录日志或做其他处理,该其他处理包括告警、转发、丢弃或忽略等,根据实际情况确定;
(step3):装置对数据包d的业务安全标记M(r)与配置的标记控制策略Rn进行匹配检查,若匹配成功,则放行;否则,装置对数据包记录日志或做其他处理,该其他处理包括告警、转发、丢弃或忽略等,根据实际情况确定;
所述匹配规则为:若存在M(n)≥M(d),则匹配成功,否则匹配不成功。
3.端口转发管控
本网络装置可以基于业务安全标记对数据包进行端口转发控制,具体实施方式如下:
(step1):针对具有端口转发功能的网络设备p的相关端口i配置标记控制策略Rpi=<Cpi,Gpi>(其中i=1,2,…,n,n∈N),进行端口转发控制;
(step2):当数据通过端口i时,识别数据包d的业务安全标记M(d),如果数据包不带有业务安全标记,则装置对数据包记录日志或做其他处理,该其他处理包括告警、转发、丢弃或忽略等,根据实际情况确定;
(step3):装置对数据包的业务安全标记M(d)与端口i配置的标记控制策略Rpi进行匹配检查,若匹配成功,则放行;否则,对数据包记录日志或做其他处理,该其他处理包括告警、转发、丢弃或忽略等,根据实际情况确定;
所述匹配规则为:若M(pi)≥M(d),则匹配成功,否则匹配不成功。
4.包过滤管控
本网络装置可以基于业务安全标记对数据包进行过滤控制,具体实施方式如下:
(step1):针对具有包过滤功能的网络设备f的相关端口i配置标记控制策略Rfi=<Cfi,Gfi>(其中i=1,2,…,n,n∈N),进行包过滤控制;
(step2):当数据通过端口i时,识别数据包d的业务安全标记M(d),如果数据包不带有业务安全标记,则装置对数据包记录日志或做其他处理,该其他处理包括告警、转发、丢弃或忽略等,根据实际情况确定;
(step3):装置对数据包的业务安全标记M(d)与端口i配置的标记控制策略Rfi进行匹配检查,若匹配成功,则放行;否则,对数据包记录日志或做其他处理,该其他处理包括告警、转发、丢弃或忽略等,根据实际情况确定;
所述匹配规则为:若M(fi)≥M(d),则匹配成功,否则匹配不成功。
5.流量审计与异常检测
本网络装置可以基于业务安全标记对网络流量进行审计和异常检测,具体控制规则如下:
(step1):针对网络审计及入侵检测类网络设备a配置标记控制策略Ra=<Ca,Ga>,进行网络流量审计与异常检测;
(step2):当数据通过时,装置识别数据包d的业务安全标记M(d)。如果数据包不带有业务安全标记,则装置记录异常并对数据包记录日志或做其他处理,该其他处理包括告警、转发、丢弃或忽略等,根据实际情况确定;
(step3):装置对数据包的业务安全标记M(d)与配置的标记控制策略Ra进行匹配检查,若匹配成功,则流程结束;否则,记录异常并对数据包执行指定目的转发、丢弃、告警或忽略。
所述匹配规则为:若M(a)≥M(d),则匹配成功,否则匹配不成功。
本实施例还提供了一种基于业务安全标记的网络数据传输控制装置,用于实现上述方法,如图2所示,包括标记控制策略管理模块、标记识别管控模块。该标记控制策略管理模块用于配置和管理网络装置的标记控制策略。标记识别管控模块用于识别网络数据包的业务安全标记,根据标记控制策略对数据包的业务安全标记进行匹配检查,并根据检查结果对数据包进行放行、记录、告警、转发、丢弃或忽略。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (7)

1.一种基于业务安全标记的网络数据传输控制方法,通过识别网络数据包带有的业务安全标记,并根据标记中的安全级别、业务类别在内的业务安全属性信息对网络数据进行相应的控制,从而基于业务层面的安全要求在网络层面高效实现数据的细粒度管控,包括以下步骤:
配置网络装置的标记控制策略,该标记控制策略为基于网络数据包的业务安全标记定义相关规则,以对网络数据进行管控;业务安全标记为包含多种业务安全属性的多元组M=<C,G>,其中C为安全级别,G为业务安全属性集合,该业务安全属性集合G包括业务类别、工作组、角色、环境要求;业务安全标记包括信息对象的业务安全标记M(r)=<C r , G r >和***对象的业务安全标记M(o)=<C o ,G o >,其中信息对象包括数据,***对象包括应用、服务、进程;
网络数据包通过网络装置时,网络装置识别数据包是否带有业务安全标记,如果数据包不带有业务安全标记,则对数据包记录日志或做其他处理;
如果数据包带有业务安全标记,则网络装置根据配置的标记控制策略对数据包的业务安全标记进行匹配检查,如果检查通过,则放行,否则对数据包记录日志或做其他处理。
2.如权利要求1所述的方法,其特征在于,M(o)与M(r)之间的关系有两种:支配与不可比;当C o ≥ C r 且G o ⊇G r ,记为M(o)≥M(r),则M(o)与M(r)之间具有支配关系,表示***对象可支配信息对象;如果M(o)与M(r)之间不存在支配关系,则二者之间为不可比关系,表示***对象无权支配信息对象。
3. 如权利要求1所述的方法,其特征在于,标记控制策略表示为R=<C, G>,其中,R为标记控制策略,该式子表示满足指定属性的信息对象的集合。
4.如权利要求3所述的方法,其特征在于,为网络装置s配置标记控制策略R s =<C s , G s >,Rs指定的信息对象的业务安全标记为M(s)=<C s , G s >,当C s ≥ C r 且G s ⊇G r ,记为M(s)≥M(r),若M(s)≥M(r),表示标记匹配检查通过。
5.如权利要求1所述的方法,其特征在于,所述其他处理包括告警、转发、丢弃或忽略。
6.一种基于业务安全标记的网络数据传输控制装置,通过识别网络数据包带有的业务安全标记,并根据标记中的安全级别、业务类别在内的业务安全属性信息对网络数据进行相应的控制,从而基于业务层面的安全要求在网络层面高效实现数据的细粒度管控,包括:
标记控制策略管理模块,用于配置和管理网络装置的标记控制策略;
标记识别管控模块,用于识别网络数据包的业务安全标记,根据标记控制策略对数据包的业务安全标记进行匹配检查,并根据检查结果对数据包进行放行、记录日志或做其他处理;业务安全标记为包含多种业务安全属性的多元组M=<C,G>,其中C为安全级别,G为业务安全属性集合,该业务安全属性集合G包括业务类别、工作组、角色、环境要求;业务安全标记包括信息对象的业务安全标记M(r)=<C r , G r >和***对象的业务安全标记M(o)=<C o ,G o >,其中信息对象包括数据,***对象包括应用、服务、进程。
7.如权利要求6所述的装置,其特征在于,所述其他处理包括告警、转发、丢弃或忽略。
CN201910536194.XA 2019-06-20 2019-06-20 一种基于业务安全标记的网络数据传输控制方法及装置 Active CN110324326B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910536194.XA CN110324326B (zh) 2019-06-20 2019-06-20 一种基于业务安全标记的网络数据传输控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910536194.XA CN110324326B (zh) 2019-06-20 2019-06-20 一种基于业务安全标记的网络数据传输控制方法及装置

Publications (2)

Publication Number Publication Date
CN110324326A CN110324326A (zh) 2019-10-11
CN110324326B true CN110324326B (zh) 2020-12-22

Family

ID=68119935

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910536194.XA Active CN110324326B (zh) 2019-06-20 2019-06-20 一种基于业务安全标记的网络数据传输控制方法及装置

Country Status (1)

Country Link
CN (1) CN110324326B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103188042A (zh) * 2011-12-31 2013-07-03 重庆重邮信科通信技术有限公司 一种ip数据包的匹配方法和匹配加速器
CN105245543A (zh) * 2015-10-28 2016-01-13 中国人民解放军国防科学技术大学 一种基于安全标记随机化的操作***强制访问控制方法
CN106101113A (zh) * 2016-06-24 2016-11-09 中国科学院计算技术研究所 一种云计算数据安全标记管理方法及***
CN109922044A (zh) * 2019-01-25 2019-06-21 努比亚技术有限公司 应用的标记、下载方法、电子设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7240046B2 (en) * 2002-09-04 2007-07-03 International Business Machines Corporation Row-level security in a relational database management system
CN103647772A (zh) * 2013-12-12 2014-03-19 浪潮电子信息产业股份有限公司 一种对网络数据包进行可信访问控制的方法
JP6536109B2 (ja) * 2015-03-20 2019-07-03 アイシン・エィ・ダブリュ株式会社 セキュリティ管理システムおよびセキュリティ管理方法
CN105357201B (zh) * 2015-11-12 2019-04-16 中国科学院信息工程研究所 一种对象云存储访问控制方法和***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103188042A (zh) * 2011-12-31 2013-07-03 重庆重邮信科通信技术有限公司 一种ip数据包的匹配方法和匹配加速器
CN105245543A (zh) * 2015-10-28 2016-01-13 中国人民解放军国防科学技术大学 一种基于安全标记随机化的操作***强制访问控制方法
CN106101113A (zh) * 2016-06-24 2016-11-09 中国科学院计算技术研究所 一种云计算数据安全标记管理方法及***
CN109922044A (zh) * 2019-01-25 2019-06-21 努比亚技术有限公司 应用的标记、下载方法、电子设备及存储介质

Also Published As

Publication number Publication date
CN110324326A (zh) 2019-10-11

Similar Documents

Publication Publication Date Title
CN107251513B (zh) 用于恶意代码检测的准确保证的***及方法
US8789135B1 (en) Scalable stateful firewall design in openflow based networks
US8233388B2 (en) System and method for controlling and tracking network content flow
CN106817275B (zh) 一种自动化预防和编排处理策略冲突的***和方法
US11223643B2 (en) Managing a segmentation policy based on attack pattern detection
US8644309B2 (en) Quarantine device, quarantine method, and computer-readable storage medium
US8015604B1 (en) Hierarchical architecture in a network security system
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
CA3017942A1 (en) Multi-host threat tracking
EP2760167A1 (en) Communication system, policy management device, communication method, and program
CN105407099B (zh) 防火墙群集中的验证共享
US11356483B2 (en) Protecting network-based services using deception in a segmented network environment
CN114208114B (zh) 每参与者的多视角安全上下文
US9027120B1 (en) Hierarchical architecture in a network security system
CN110324326B (zh) 一种基于业务安全标记的网络数据传输控制方法及装置
CN102217248B (zh) 分布式分组流检查和处理
CN1983955A (zh) 对非法报文的监控方法及监控***
WO2016092834A1 (ja) 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体
JP4642707B2 (ja) パケット制御装置、パケット制御方法およびパケット制御プログラム
JP4095076B2 (ja) セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム
US10187414B2 (en) Differential malware detection using network and endpoint sensors
CN110290128B (zh) 一种基于业务安全标记的网络隔离与交换控制方法及装置
CN105376167A (zh) 分布式分组流检查和处理
WO2016092836A1 (ja) 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体
CN112487419A (zh) 一种计算机网络信息安全事件处理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant