CN112433808B - 基于网格计算的网络安全事件检测***及方法 - Google Patents

Abstract

本发明涉及一种基于网格计算的网络安全事件检测***及方法的技术方案，包括：数据采集模块，用于对客户端进行实时采集，获取客户端产生的运行数据、任务数据及用户数据；资源分配模块，用于根据所述用户数据对用户访问权限进行分配，以及根据所述任务数据及所述运行数据执行相应权限对应的计算资源分配；网格检测模块，用于调用对应的分布式计算资源执行检测。本发明的有益效果为：实现细粒度的高并行计算，支持大规模数据集的网格化并行计算；实现并行计算网络与节点的扩展性及计算资源均衡性；采用全生命周期的安全基线表模型及map‑match映射和匹配的检测过程，实现全网细粒度的安全事件检测。

Description

基于网格计算的网络安全事件检测***及方法

技术领域

本发明涉及计算机安全检测领域，具体涉及了一种基于网格计算的网络安全事件检测***及方法。

背景技术

现有对网络安全事件的检测主要包括：一、是以组件形式将检测安装到网络中的单机节点上用于检测单机节点上的网络安全事件；二、是以单机节点形式将入侵检测并联在被保护网段中用于检测整个网段上的安全事件；三、是以分布式检测网络的形式将各入侵检测分布式并联在单一网络的各被保护网段中用于检测整个单一网络上的安全事件。检测***不论以哪种形式接入网络，都要求它具有安全性、完整性。

现有的入侵手段包括：通过伪造合法的检测项目欺骗入侵检测***；通过“借道”绕过入侵检测***；利用时间差躲避入侵检测***；通过直接破坏入侵检测***及其工作环境，对整个被保护的***构成更大的威胁。

网格计算环境中的安全问题主要设及以下三个方面：

(1)身份验证问题。主要功能是确保信息的安全性，即：确保各种资源只允许被授权用户使用。

(2)通信安全问题。主要功能是用来提供认证数据的保密性与完整性。如果通信安全问题得不到保障的话，黑客可以利用网格平台访问局域网里的内部资料，同时还可以利用网格平台去破坏公司、企事业单位等各大部门的网站。

(3)容错和自动修复。对于大型计算问题，如果没有容错和自动修复措施的话，任何中途出现的故障，如：某个网格结点断电或停止工作，就会使前面的计算前功尽弃。

发明内容

本发明的目的在于至少解决现有技术中存在的技术问题之一，提供了一种基于网格计算的网络安全事件检测***及方法，节省了软硬件设备的成本。

本发明的技术方案包括一种基于网格计算的网络安全事件检测***，其特征在于，该***包括：数据采集模块，用于对客户端进行实时采集，获取客户端产生的运行数据、任务数据及用户数据；资源分配模块，用于根据所述用户数据对用户访问权限进行分配，以及根据所述任务数据及所述运行数据执行相应权限对应的计算资源分配；网格检测模块，用于调用对应的分布式计算资源执行检测。

根据所述的基于网格计算的网络安全事件检测***，其中数据采集模块包括：所述运行数据为客户端的一个或多个应用程序产生的操作数据，其中所述任务数据为客户端的一个或多个应用程序的请求任务的数据，其中用户数据为客户端对应的用户数据。

根据所述的基于网格计算的网络安全事件检测***，其中该***还包括：实时记录用户及管理员的操作数据。

根据存储于网格数据库的用户数据与所述用户数据采集模块获取的用户数据进行对比，确认用户的访问权限及资源使用权限；

所述访问权限及所述资源使用权限调用资源分配模块为用户对应的所述任务数据及所述运行数据执行计算节点的计算任务分配及资源协调调度。

所述的计算任务分配包括：将所述任务数据分解给多个计算节点，通过每个计算节点执行对应的计算任务，其中每个计算节点通过所述计算任务分配进行任务的完整性、独立性及安全性执行对应管理，包括隔离、汇聚、跨资源访问。

所述的资源协调调度包括：根据所述计算节点不同的计算模式和工作负载的物理资源进行动态调度，具体地，通过所述计算节点的网络和存储，通过两级调度对所述任务数据执行调度处理。

所述网格检测模块还包括网络路由计算、协同计算配置及主从计算配置，其中所述网络路由计算包括根据网络路由的流量分析以及基于链路状态动态调整粒度，并基于网络的带宽流量调度算法进行网络路由的分配；所述协同计算配置根据所述计算节点的决策行为，执行进化方式的动态调配；所述主从计算配置为根据用户请求执行异步并行计算，执行对应的资源调度。

所述资源分配模块主要包括内存云及网格资源管理，其中内存云提供存储资源及存储空间；所述网格资源管理包括根据网格资源的特性进行分布性、自相似性、动态性、多样性、自治性及多重性的管理。

本发明的技术方案还包括一种基于网格计算的网络安全事件检测方法，其特征在于，该方法包括：

用户数据采集，对客户端进行实时采集，获取客户端产生的运行数据、任务数据及用户数据；

资源分配管理，根据存储于网格数据库的用户数据与所述数据采集模块获取的用户数据进行对比，确认用户的访问权限及资源使用权限；根据所述访问权限及所述资源使用权限为用户对应的所述任务数据及所述运行数据分配相应计算资源和存储资源，支持网格检测模块的调用；

网格检测，执行用户权限分配、用户操作的计算任务分配、资源协调调度、异步并行计算、基于全生命周期的安全基线表模型的细粒度安全事件检测步骤。

本发明的有益效果为：(1)基于网格计算的分布性、自相似性、动态性及自治性的特点，实现细粒度的高并行计算，支持大规模数据集的网格化并行计算；(2)采用了弹性计算资源和存储资源的分配与调度算法，实现并行计算网络与节点的扩展性，以及计算资源均衡性；(3)采用了全生命周期的安全基线表模型，以及map-match映射和匹配的检测过程，可实现全网细粒度的安全事件检测。

附图说明

下面结合附图和实施例对本发明进一步地说明；

图1所示为根据本发明实施方式的***框图。

图2所示为根据本发明实施方式的网格安全***框图。

图3所示为根据本发明实施方式的网格安全交互示意图；

图4所示为根据本发明实施方式的用于大规模数据集计算的类脑计算平台示意图。

具体实施方式

本部分将详细描述本发明的具体实施例，本发明之较佳实施例在附图中示出，附图的作用在于用图形补充说明书文字部分的描述，使人能够直观地、形象地理解本发明的每个技术特征和整体技术方案，但其不能理解为对本发明保护范围的限制。

在本发明的描述中，若干的含义是一个或者多个，多个的含义是两个以上，大于、小于、超过等理解为不包括本数，以上、以下、以内等理解为包括本数。

在本发明的描述中，对方法步骤的连续标号是为了方便审查和理解，结合本发明的整体技术方案以及各个步骤之间的逻辑关系，调整步骤之间的实施顺序并不会影响本发明技术方案所达到的技术效果。

术语解释：

网格，网格技术有以下特点：

(1)分布与共享。分布性是网格的一个最主要的特点，因为网格资源通常在地理位置上是广域分布的、异构的和动态的资源。虽然网格资源是分布的，但却是可以充分共享的。

(2)自相似性。网格的局部和整体之间有着一定的自相似性。

(3)动态性与多样性。动态性是指网格资源不是一成不变的。多样性是指网格资源包括多种多样的、异构的硬件和软件资源等。

(4)自治性与管理的多重性。网格资源隶属于不同的组织域，跨组织域的资源共享与协同必须服从各组织域的安全和管理策略。

图1所示为根据本发明实施方式的总体流程图。该流程主要包括数据采集模块，用于对客户端进行实时监控，获取客户端产生的运行数据、任务数据及用户数据；资源分配模块，用于根据用户数据对用户访问权限进行分配，以及根据任务数据及运行数据执行相应权限对应的计算资源分配；支持网络检测模块的调用；网格检测模块，用于调用对应的分布式计算资源执行检测。

图2所示为根据本发明实施方式的实施例一。网格计算环境中的安全问题主要设及以下三个方面：

(1)身份验证问题。主要功能是确保信息的安全性，即：确保各种资源只允许被授权用户使用。

(2)通信安全问题。主要功能是用来提供认证数据的保密性与完整性。如果通信安全问题得不到保障的话，黑客可以利用网格平台访问局域网里的内部资料，同时还可以利用网格平台去破坏公司、企事业单位等各大部门的网站。

(3)容错和自动修复。对于大型计算问题，如果没有容错和自动修复措施的话，任何中途出现的故障，如：某个网格结点断电或停止工作，就会使前面的计算前功尽弃。总之，网格安全问题必须要受到足够的重视，防止电脑黑客有机可趁利用网格计算的超级处理能力从事某些非法活动。参考图网格体系结构是关于如何从整体上构造网格的技术，包括对网格基本组成部分和各部分功能的定义和描述。

图3所示为根据本发明实施方式的数据流检查示意图。在网格环境下进行网络管理存在很多的安全隐患。首先，由于网格管理服务器存储着重要的管理信息和强有力的管理工具，网格网管***自身的安全可靠对网格的正常运行至关重要。用户或管理员只有通过用户认证才可操作网管***。可以按照角色的不同划分网格用户的级别，同一级别的用户具有相同的权限，级别不同的用户具有的权限也不同，只有具备足够的权限才能执行诸如读取、修改、增加或删除等相应的操作。同时在网格网管***中还可设定资源的被访问权限，可以设定资源只能被某些用户使用，或者禁止部分用户使用。其次，要在全球网络上实现全面共享，数据传输时的安全不容忽视。数据加密传送是保证信息在网络传输时安全可靠的有效方法，现行网络***一般使用RSA或DES机密体系进行信息的加密传输。最后，需建立完善的安全跟踪机制，用于记录用户或管理员的误操作，跟踪对网格的非法入侵，以便事后分析故障原因，发现并弥补安全漏洞。

计算任务分配(CTA)

CTA划分计算任务分解成多个服务器节点。CTA有效地通过端口更新，操作功能，以及灵活的同步分配计算任务。CTA支持业务活动隔离，计算资源的独立性，以及任务执行状态迁移封装，以确保每个计算任务的完整性。CTA支持的分布式计算任务的聚集，跨类型资源的请求分配和虚拟资源的安全性掩模管理，以确保计算任务按需配置。通过施加CPA，计算任务可包含多个计算服务实例，生成作为任务开始，并且随着任务结束破坏。

资源协调调度(RCS)

RCS分配和优化，根据不同的计算模式和工作负载的物理资源，并减少了所需的物理资源，提高***资源利用率。RCS模型的计算，网络和存储的限制条件为约束满足问题(CSP)下的虚拟资源放置问题以达到最佳的效果。通过求解CSP，RCS获得优化的虚拟资源布局方案和基于它的优化，RCS制订和实施的分配算法从物理资源的虚拟资源。为了提高资源利用率，RCS采用两级调度：元调度和虚拟机调度。元调度程序负责为用户任务选择适当的资源。***级虚拟容器调度程序负责动态删除和创建虚拟容器，优化每个虚拟容器的负载，以及实现启发式任务调度算法。

网络路由计算(NRC)

目前的分布式路由计算方法无法计算基于实时全局路由和交通信息的最优路径。传统的收集和分析方法无法检测租户和网络流量的流体动力学，以及它们不能解决有效规划，灵活的配置和智能调度网络或资源请求的动态需求。由于流量路由仍然粗放，传统的方法无法进行精细交通业务和网络资源的配置也比较复杂。NRC建立一个灵活的网络平台，以检测物理运行状态，服务和应用程序，实时的用户体验和实时底层网络设备的内容分辨率。它在视觉上进行流量分析，以及基于链路状态(网络拥塞，服务质量，带宽成本等)动态调整粒度。基于网络的带宽流量调度算法，计算和网络请求管道，NRCM弹性重建网络平台资源，实现网络流量的智能管理，在基于优先级的实时调度业务流量路径。

协同计算配置(CCC)

CCC是基于资源主体的决策行为，在主体间自主协作模式和协议，对独立进化的机制，并在共同管理的机制来解决资源协作环境的不确定性和局部目标之间的矛盾和协作过程的全球目标。CCC支持的协作对象的描述，主体的协作行为的自适应决策方法，合作模式和交互协议的说明，规范和评价，动态选择和多目标协同的协议绑定，并为资源主观自治的奖励和进化。

主-从计算配置(MSCC)

MSCC应用于异步并行计算，它使用虚拟化技术，以允许用户请求对资源的需求。资源是对用户透明。这就决定了任务调度是一个两级调度模式。第一电平是用户任务到虚拟机资源的调度，并且第二级是虚拟机的资源，物理机资源的调度。不同的实例是负责具体计算配置，并且每个实例可以包含一个或多个任务。MSCC创建一个高度可用的计算架构。

采用内存云(RAMCloud)的方式，实现高性能的计算和存储。内存云中保存的信息和硬盘一样持久，单个存储服务器的故障不能造成数据丢失和哪怕几秒钟的服务不可用。RAMCloud将所有数据存放在DRAM中，性能可以达到比目前最高性能的硬盘存储***还要高100～1000倍。在访问延迟方面，RAMCloud运行在应用服务器中的一个进程从同一数据中心的存储服务器中通过网络读取数百字节数据只需5～10μs，而目前实际***一般要花费0.5～10ms，具体取决于数据是在服务器内存缓存中，还是硬盘中。而且，一台多核存储服务器每秒可以服务至少100万次小读取请求。而硬盘***中同样的机器每秒只能服务1000～10000次请求。RAMCloud的延迟5-10微秒，这比传统磁盘快1000倍，比闪存要快5倍左右。RAMCloud特征如下：

1、通用的存储***

2、所有数据都在内存(没有缓存失效)

3、持久性和可用性

4、可扩展性(1000+servers，32-64GB DRAM/server,100+TB)

5、低延迟(5-10us远程访问)

6、高吞吐(1M ops/sec/server)

全交换通讯协议FSCP，实现边计算边通信的全交换式网络体系。主要模块包括：节点管理，链路状态检测、管理，协议转发表管理，通讯转发表管理，通讯协议栈管理等模块。

a.节点管理：每个节点定期发送心跳协议包，心跳协议包到达下一个节点后，该节点解析心跳协议包并将心跳信息交由协议转发表管理模块进行协议转发表的处理；同时，将从该节点任一端口发送，且需要加上其节点地址及其端口。

b.链路状态管理：每节点的链路状态管理模块需要定期进行端口链路状态检测，当检测到其端口链路状态发生变化后，由其全网通告给其他节点的协议转发表管理模块。

如图2、图3所示，根据的基于网格计算的网络安全事件检测***，其中资源分配模块根据存储于网格数据库的用户数据与数据采集模块获取的用户数据进行对比，确认用户的访问权限及资源使用权限；根据访问权限及资源使用权限为用户对应的任务数据及运行数据分配相应计算资源和存储资源，支持网络检测模块的调用。资源分配模块主要包括内存云及网格资源管理，其中内存云用于云存储；网格资源管理包括根据网格资源的特性进行分布性、自相似性、动态性、多样性、自治性及多重性的管理。网格检测模块包括：用户权限分配、用户操作的计算任务分配、资源协调调度、异步并行计算、基于全生命周期的安全基线表模型的细粒度安全事件检测步骤。根据存储于网格数据库的用户数据与用户数据采集模块获取的用户数据进行对比，确认用户的访问权限及资源使用权限；访问权限及资源使用权限调用资源分配模块为用户对应的任务数据及运行数据执行计算节点的计算任务分配及资源协调调度。计算任务分配包括：将任务数据分解给多个计算节点，通过每个计算节点执行对应的计算任务，其中每个计算节点通过计算任务分配进行任务的完整性、独立性及安全性执行对应管理，包括隔离、汇聚、跨资源访问。资源协调调度包括：根据计算节点不同的计算模式和工作负载的物理资源进行动态调度，具体地，通过计算节点的网络和存储，通过两级调度对任务数据执行调度处理。网格检测模块还包括网络路由计算、协同计算配置及主从计算配置，其中网络路由计算包括根据网络路由的流量分析以及基于链路状态动态调整粒度，并基于网络的带宽流量调度算法进行网络路由的分配；协同计算配置根据计算节点的决策行为，执行进化方式的动态调配；主从计算配置为根据用户请求执行异步并行计算，执行对应的资源调度。网格检测模块还包括基于全生命周期的安全基线表模型的细粒度安全事件检测。主要通过构建计算机网络信息***全生命周期的安全基线表模型，以及基于map-match映射和匹配的检测过程，实现整体***细粒度的安全事件检测。

其中，全生命周期的安全基线表模型的建模过程如下：基于计算机网络信息***安全保障的全生命周期状态机的状态空间和可达行为事件，以及形式化模型，构建全生命周期的安全基线表模型；主要包括操作树、服务链等正常行为模式的白名单，异常行为模式的黑名单等。基于安全基线表模型，通过细粒度的状态--可达动作遍历过程可对***行为的安全性进行判定。

其中，基于map-match的检测过程如下：***件将接收到的安全策略实例化，基于OSI七层的正常业务操作工作流对管理的业务对象进行黑白名单内容的map-match映射和匹配。在进行映射和匹配时，采用基于二级搜索机制，先进行OSI七层大类的一级搜索匹配，再进行每一层里的小类搜索匹配；基于的二级搜索机制并行、高效进行，从而可以全面、高速地检测和识别出安全事件。

图4所示为根据本发明实施方式的双向访问控制流程图。用于解决本发明技术方案中的计算任务分配所需的算力支持，类脑计算机***采用计算、存储、通信一体化的并行计算超立方体架构体系。基于无自反馈的稳定Hopfield神经网络结构实现基础并行类脑神经元计算单元，在永达定制化操作***、SDN全交换网络、大数据弹性存储网络的支撑下，实现全网格化的去中心化先进计算体系，具有超级的计算能力，支撑计算节点和资源的弹性伸缩，方便部署和安装。为海量用户访问操作，状态机检测，数据流识别并判断提供强大算力，达到安全访问控制的目的；数据流检测是在一个状态机中进行检测，数据流检测完成后更新状态机信息，因数据流在变，操作角色在变，操作业务在变，时间在变等各个状态在变化，基于状态机的检测过程同时也是状态机不断更新的过程。

上面结合附图对本发明实施例作了详细说明，但是本发明不限于上述实施例，在技术领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (9)

1.一种基于网格计算的网络安全事件检测***，其特征在于，该***包括：

数据采集模块，用于对客户端进行实时采集，获取客户端产生的运行数据、任务数据及用户数据；

资源分配模块，用于根据所述用户数据对用户访问权限进行分配，以及根据所述任务数据及所述运行数据执行相应权限对应的计算资源分配；

网格检测模块，用于调用对应的分布式计算资源执行检测，所述网格检测模块设置有map-match检测单元和模型构建单元，所述map-match检测单元基于OSI七层的操作工作流程对业务对象进行黑名单和白名单内容的map-match映射和匹配，其中，在所述map-match检测单元对所述黑名单和白名单内容匹配时，采用二级搜索机制，先进行所述OSI七层七大类的一级搜索匹配，再进行每一层里的小类搜索匹配；所述模型构建单元用于根据计算机网络信息***安全保障的全生命周期状态机的状态空间和可达行为事件，以及形式化模型，根据所述状态空间、所述可达行为事件和所述形式化模型构建全生命周期的安全基线表模型，其中，所述安全基线表模型至少包括操作数、服务链正常行为模式的白名单，异常行为模式的黑名单，所述安全基线表模型根据细粒度的状态以及可达动作便利过程对***行为的安全性进行判定。

2.根据权利要求1所述的基于网格计算的网络安全事件检测***，其特征在于，所述数据采集模块包括：

其中所述运行数据为客户端的一个或多个应用程序产生的操作数据，其中所述任务数据为客户端的一个或多个应用程序的请求任务的数据，其中用户数据为客户端对应的用户数据。

3.根据权利要求1所述的基于网格计算的网络安全事件检测***，其特征在于，该***还包括：实时记录用户及管理员的操作数据。

4.根据权利要求1所述的基于网格计算的网络安全事件检测***，其特征在于，所述网格检测模块包括：

根据存储于网格数据库的用户数据与所述数据采集模块获取的用户数据进行对比，确认用户的访问权限及资源使用权限；

根据所述访问权限及所述资源使用权限调用资源分配模块为用户对应的所述任务数据及所述运行数据执行计算节点的计算任务分配及资源协调调度。

5.根据权利要求4所述的基于网格计算的网络安全事件检测***，其特征在于，所述计算任务分配包括：

将所述任务数据分解给多个计算节点，通过每个计算节点执行对应的计算任务，其中每个计算节点通过所述计算任务分配进行任务的完整性、独立性及安全性执行对应管理，包括隔离、汇聚、跨资源访问。

6.根据权利要求4所述的基于网格计算的网络安全事件检测***，其特征在于，所述资源协调调度包括：

根据所述计算节点不同的计算模式和工作负载的物理资源进行动态调度，具体地，通过所述计算节点的网络和存储，通过两级调度对所述任务数据执行调度处理。

7.根据权利要求4所述的基于网格计算的网络安全事件检测***，其特征在于，所述网格检测模块还包括网络路由计算、协同计算配置及主从计算配置，其中所述网络路由计算包括根据网络路由的流量分析以及基于链路状态动态调整粒度，并基于网络的带宽流量调度算法进行网络路由的分配；所述协同计算配置根据所述计算节点的决策行为，执行进化方式的动态调配；所述主从计算配置为根据用户请求执行异步并行计算，执行对应的资源调度。

8.根据权利要求1所述的基于网格计算的网络安全事件检测***，其特征在于，所述资源模块包括内存云及网格资源管理，其中内存云用于提供存储资源及存储空间；所述网格资源管理包括根据网格资源的特性进行分布式、自相似性、动态性、多样性、自治性及多重性的管理。

9.一种基于网格计算的网络安全事件检测方法，其特征在于，该方法包括：

用户数据采集，对客户端进行实时采集，获取客户端产生的运行数据、任务数据及用户数据；

资源分配管理，根据存储于网格数据库的用户数据与数据采集模块获取的用户数据进行对比，确认用户的访问权限及资源使用权限；根据访问权限及资源使用权限为用户对应的任务数据及运行数据分配相应计算资源和存储资源，支持网格检测模块的调用；

map-match检测，基于OSI七层的操作工作流程对业务对象进行黑名单和白名单内容的map-match映射和匹配，其中，在所述map-match检测对所述黑名单和白名单内容匹配时，采用耳机搜索机制，先进行所述OSI七层七大类的一级搜索匹配，再进行每一层里的小类搜索匹配；

模型构建，根据计算机网络信息***安全保障的全生命周期状态机的状态空间和可达行为事件，以及形式化模型，根据所述状态空间、所述可达行为事件和所述形式化模型构建全生命周期的安全基线表模型，其中，所述安全基线表模型至少包括操作数、服务链正常行为模式的白名单，异常行为模式的黑名单，所述安全基线表模型根据细粒度的状态以及可达动作便利过程对***行为的安全性进行判定；

网格检测，执行用户权限分配、用户操作的计算任务分配、资源协调调度、异步并行计算、基于全生命周期的安全基线表模型的细粒度安全事件检测步骤。