專利名稱:全網聯動的一體化網絡業務管控方法
技術領域:
本發明涉及一種網絡安全防護方法,特別是涉及一種全網聯動 的一體化網絡業務管控方法。背景技術:
互聯網業務越來越復雜和多樣,業務涉及的范圍越來越廣,用戶 數量越來越龐大,可以跨越多個域,并且持續很長的時間。這就對傳統的粗放式網絡運行 維護和運營模式提出了嚴峻的挑戰,運營商由于缺乏精細化運營的基礎,愈發難以掌控客 戶的網絡行為,更為嚴重的是,對于一些不良信息,如非法宣傳、網絡病毒、網絡攻擊、垃圾 郵件等,由于缺乏有效的識別和管控手段,致使惡意信息能夠通過網絡廣泛傳播、大規模泛 濫,對網絡的安全和可信造成了嚴重威脅。例如,2009年5月19日,因黑客攻擊域名系統(Domain Name System, DNS)服 務器造成暴風影音軟件產生了 DNS查詢網絡風暴,其實質是一種分布式拒絕服務攻擊 (Distribution Denial of service, DDOS);此次攻擊導致中國電信的多臺關鍵DNS服務 器崩潰,使得我國江蘇、安徽等六省無法訪問互聯網并造成了巨大的損失,因此僅在單一節 點上進行業務管控無法阻止這種DDOS非法流量,必須依靠全網部署的管控裝置進行聯動 才能抵御DDOS的攻擊。又如,目前很多寬帶運營商使用動態主機配置協議(Dynamic Host Configuration Protocol, DHCP)來為寬帶用戶分配動態IP地址,管控裝置只有和用戶接 入控制系統協同操作才能對同一用戶作到長期統一的使用習慣分析和統一的業務控制。管控裝置是一類網絡安全防護裝置的總稱,包括網絡業務管控節點裝置、防火墻、 路由器、交換機和入侵檢測系統等。目前,國內外有不少實現聯動的網絡安全管理平臺,如Check Point公司的OPSEC 安全聯動平臺、天融信公司的T0PSEC平臺和中科網威自有的安全聯動解決方案等都是較 為著名的實現方案。上述平臺的聯動方式通常是以某種管控裝置(通常是防火墻)為中心,外圍是支 持聯動協議的管控裝置(通常是入侵檢測系統),其管控范圍通常局限在單個網絡節點范圍 內,例如在企業網入口處實現防火墻和入侵檢測系統之間實現簡單的設備聯動,僅僅建立 了多個設備之間的安全聯動互操作機制,而沒有上升到全網范圍安全管控的層次。其次,防 火墻與入侵檢測的聯動由于入侵檢測系統誤報較多,且缺乏關聯與歸并,常常造成防火墻 的錯誤聯動,阻斷正常的網絡通信。因此,面對當前業務管控在空間分布和功能協同等方面的挑戰,不能再從單個管 控裝置,單個管控范圍來考慮業務管控,管控裝置必須全網部署,多點聯動,通過管控中心 對安全事件關聯與歸并,生成業務管控策略,最終實現全網管控。
發明內容
本發明要解決的技術問題是克服現有技術的缺陷,提供一種全 網聯動的一體化網絡業務管控方法,該方法用于實現網絡安全事件一點發現后多種管控裝 置協調聯動的效果,可以達到安全事件全網范圍處理、用戶安全充分保障的目的。本發明的技術方案一種全網聯動的一體化網絡業務管控方法,采用全網業務管 控體系來實現,全網業務管控體系含有基于管理域的分層策略管理、聯動業務管控策略服 務協議、聯動業務管控策略信息庫和管控體系安全,其中,基于管理域的分層策略管理規定了全網業務管控聯動體系的組織結構、功能模塊、處理流程和接口方式,聯動業務管控策略 服務協議規定了聯動業務管控策略信息在管控裝置間的交互方式,聯動業務管控策略信息 庫定義了標準的聯動業務管控策略信息結構和信息內容,管控體系安全從管控裝置的安全 和聯動業務管控策略服務協議的安全兩方面考慮全網業務管控聯動體系的安全性解決方案。聯動業務管控策略服務協議也稱為COPS+,COPS+是在通用開放策略服務(Common Open Policy Service,COPS)協議基礎上的一個擴展,用于傳輸業務管控策略。為了保證聯 動業務管控策略服務協議的安全性,將通用開放策略服務(Common Open Policy Service, COPS)協議力口載 BEEP (The Blocks Extensible Exchange Protocol)協議(The Blocks Extensible Exchange Protocol)的框架之上,從而利用 BEEP (The Blocks Extensible Exchange Protocol)協議提供的安全特性可靠地傳輸策略信息(包括文本和二進制格式)。基于管理域的分層策略管理含有域策略受控層和核心策略服務層;域策略受控層 含有各管理域的域聯動管控中心和管控裝置,各管理域的域聯動管控中心通過核心策略服 務層提供的服務對本管理域內的管控裝置實施控制;核心策略服務層提供核心策略服務以 及為各管理域所共用的域間服務(負責安全通信等域間服務)和事件服務(負責事件的產 生、分發、傳遞和響應),并協同各管理域共同實現分層的全網業務管控;管理域是具有相同 的業務管控需求且遵循共同業務管控策略的系統實體和資源的集合,網絡被劃分為多個可 以獨立管理的管理域,各管理域獨立實施基于策略的業務管控;管理域分為多個級別(如可 分為頂級、二級、三級等各種級別),采用樹形的組織結構;在每個管理域都有域聯動管控中 心,負責該管理域的業務管控策略決策和聯動協調,各域聯動管控中心之間采用分層逐級 控制的方法(例如頂級域聯動管控中心管理二級域聯動管控中心,二級域聯動管控中心管 理三級域聯動管控中心)。各管理域的域聯動管控中心負責根據管控裝置提交的策略請求,從聯動業務管控 策略信息庫獲取策略,并將策略解釋后返回給管控裝置;策略管理員使用策略管理工具通 過策略配置界面遠程維護聯動業務管控策略信息庫中的存儲策略的數據庫,配置策略及相 關fe息。聯動業務管控策略信息庫是實現策略統一管理的基礎,存儲策略及其相關的各 種信息,各管理域的域聯動管控中心與聯動業務管控策略信息庫采用輕量級目錄訪問 (Lightweight Directory Access Protocol,LDAP)協議進行通信,從聯動業務管控策 略信息庫中獲取業務管控策略規則,輕量級目錄訪問(Lightweight Directory Access ftx)t0C0l,LDAP)協議是一個訪問在線目錄服務的協議;管控裝置就是網絡中的策略受控節 點,管控裝置含有業務管控節點、防火墻、路由器、交換機、入侵檢測系統和接入控制系統, 管控裝置通過分組過濾、帶寬預留、業務分類和多轉發隊列具體實施策略。聯動業務管控策略信息庫使用可擴展標記語言(Extensible Markup Language, XML)文檔類型定義(Document Type Definition,DTD)來聲明文檔所用的標記,該標記含有 元素(文檔包括的不同信息部分)、屬性(信息的特征)和內容模型(各部分信息之間的關系), 元素是指文檔包括的不同信息部分,屬性是指信息的特征,內容模型是指各部分信息之間 的關系;聯動業務管控策略信息庫主要含有業務管控聯動信息,業務管控聯動信息含有業 務管控信息、存活狀況信息和管控實施信息,業務管控信息主要用來描述業務管控事件,存活狀況信息用來描述用于探測對端是否存活的心跳消息,管控實施信息用來說明業務管控 實施的詳細措施和管控效果。聯動業務管控策略信息庫還含有網管聯動信息、接入控制聯動信息和入侵檢測聯 動信息。由于管控裝置的接口沒有IP地址,無法在網絡層從系統外部進行攻擊,因此管控 裝置安全性可以得到一定保障;但是,當由于遠程管理和交互需要時,管控裝置的聯動接口 必須配置IP地址,這時管控體系安全的解決方案為使用VPN技術在管控裝置間建立安全 的虛擬通道,保證全網業務管控聯動體系的通信內容的安全性;采用加密和認證技術保證 各管理域的域聯動管控中心與管控裝置之間的聯動業務管控策略服務協議的安全。全網聯動的一體化網絡業務管控處理流程為 步驟a.管控裝置對網絡數據進行裁決并采集;
步驟b.各管理域的域聯動管控中心對步驟a中采集的數據進行融合歸并和關聯分 析,形成業務管控事件;
步驟c.聯動業務管控策略信息庫采用人工智能方法生成對步驟b中的業務管控事件 的響應處理措施;
步驟d.管控裝置根據步驟c中的響應處理措施,通過聯動機制執行相應的響應事件, 響應事件為對業務流進行阻斷、劣化和重定向。本發明的有益效果
1、本發明采用全網業務管控體系來實現,全網業務管控體系含有基于管理域的分層策 略管理、聯動業務管控策略服務協議、聯動業務管控策略信息庫和管控體系安全,基于管理 域的分層策略管理依照樹形組織結構劃分各種級別的管理域,分別由域聯動管控中心負責 管理域的業務管控策略決策和聯動協調,域聯動管控中心之間采用分層逐級控制的方法, 根據管控裝置采集的數據,從聯動業務管控策略信息庫獲取業務管控策略,通過聯動業務 管控策略服務協議分發給管控裝置。本發明能夠擴展支持業務管控節點、防火墻、入侵檢 測、接入控制等多種管控裝置,而且能夠提供統一的部署和管理,最終實現全網聯動的一體 化網絡業務管控,具備了可擴展性和自動化管理能力,同時還為管控裝置提供了安全的信 息共享和協作平臺,從而,能夠大幅度提高網絡的業務管控能力和安全性。2、本發明不必為每一個管控裝置或網絡的每一次變化制定一套管理方案,而是根 據所有的情況進行統一制定,這樣能夠保持網絡狀態的一致性并實現統一自動管理。3、本發明可以從網絡的整體出發,用抽象策略信息描述語言對管控功能進行描 述,而不必拘泥于具體的網絡設備和技術細節,能夠減輕工作負擔,提高運營效率。4、本發明可以較好地適應網絡的動態變化,當網絡結構發生變化時,不需要進行 復雜的配置,只需對相應的策略進行增、刪、改,即可在保證網絡繼續運行的情況下實現業 務管控功能的重配置。
圖1為全網業務管控體系的結構示意圖; 圖2為基于管理域的分層策略管理的結構示意圖之一; 圖3為基于管理域的分層策略管理的結構示意圖之二; 圖4為業務管控聯動信息的結構示意圖;圖5為管控體系安全的結構示意圖; 圖6為全網聯動的一體化網絡業務管控處理流程示意圖。具體實施例方式
參見圖1 圖6,圖中,全網聯動的一體化網絡業務管控方法為采用全網業務管控體 系來實現,全網業務管控體系含有基于管理域的分層策略管理、聯動業務管控策略服務協 議、聯動業務管控策略信息庫和管控體系安全,其中,基于管理域的分層策略管理規定了全 網業務管控聯動體系的組織結構、功能模塊、處理流程和接口方式,聯動業務管控策略服務 協議規定了聯動業務管控策略信息在管控裝置間的交互方式,聯動業務管控策略信息庫定 義了標準的聯動業務管控策略信息結構和信息內容,管控體系安全從管控裝置的安全和聯 動業務管控策略服務協議的安全兩方面考慮全網業務管控聯動體系的安全性解決方案。聯動業務管控策略服務協議也稱為COPS+,COPS+是在通用開放策略服務(Common Open Policy Service,COPS)協議基礎上的一個擴展,用于傳輸業務管控策略。為了保證聯 動業務管控策略服務協議的安全性,將通用開放策略服務(Common Open Policy Service, COPS)協議力口載 BEEP (The Blocks Extensible Exchange Protocol)協議(The Blocks Extensible Exchange Protocol)的框架之上,從而利用 BEEP (The Blocks Extensible Exchange Protocol)協議提供的安全特性可靠地傳輸策略信息(包括文本和二進制格式)。基于管理域的分層策略管理含有域策略受控層和核心策略服務層;域策略受控層 含有各管理域的域聯動管控中心和管控裝置,各管理域的域聯動管控中心通過核心策略服 務層提供的服務對本管理域內的管控裝置實施控制;核心策略服務層提供核心策略服務以 及為各管理域所共用的域間服務(負責安全通信等域間服務)和事件服務(負責事件的產 生、分發、傳遞和響應),并協同各管理域共同實現分層的全網業務管控;管理域是具有相同 的業務管控需求且遵循共同業務管控策略的系統實體和資源的集合,網絡被劃分為多個可 以獨立管理的管理域,各管理域獨立實施基于策略的業務管控;管理域分為多個級別(如可 分為頂級、二級、三級等各種級別),采用樹形的組織結構;在每個管理域都有域聯動管控中 心,負責該管理域的業務管控策略決策和聯動協調,各域聯動管控中心之間采用分層逐級 控制的方法(例如頂級域聯動管控中心管理二級域聯動管控中心,二級域聯動管控中心管 理三級域聯動管控中心)。各管理域的域聯動管控中心負責根據管控裝置提交的策略請求,從聯動業務管控 策略信息庫獲取策略,并將策略解釋后返回給管控裝置;策略管理員使用策略管理工具通 過策略配置界面遠程維護聯動業務管控策略信息庫中的存儲策略的數據庫,配置策略及相 關fe息。聯動業務管控策略信息庫是實現策略統一管理的基礎,存儲策略及其相關的各 種信息,各管理域的域聯動管控中心與聯動業務管控策略信息庫采用輕量級目錄訪問 (Lightweight Directory Access Protocol,LDAP)協議進行通信,從聯動業務管控策 略信息庫中獲取業務管控策略規則,輕量級目錄訪問(Lightweight Directory Access ftx)t0C0l,LDAP)協議是一個訪問在線目錄服務的協議;管控裝置就是網絡中的策略受控節 點,管控裝置含有業務管控節點、防火墻、路由器、交換機、入侵檢測系統和接入控制系統, 管控裝置通過分組過濾、帶寬預留、業務分類和多轉發隊列具體實施策略。聯動業務管控策略信息庫使用可擴展標記語言(Extensible Markup Language,XML)文檔類型定義(Document Type Definition,DTD)來聲明文檔所用的標記,該標記含有 元素(文檔包括的不同信息部分)、屬性(信息的特征)和內容模型(各部分信息之間的關系), 元素是指文檔包括的不同信息部分,屬性是指信息的特征,內容模型是指各部分信息之間 的關系;聯動業務管控策略信息庫主要含有業務管控聯動信息,業務管控聯動信息含有業 務管控信息、存活狀況信息和管控實施信息,業務管控信息主要用來描述業務管控事件,存 活狀況信息用來描述用于探測對端是否存活的心跳消息,管控實施信息用來說明業務管控 實施的詳細措施和管控效果。聯動業務管控策略信息庫還含有網管聯動信息、接入控制聯動信息和入侵檢測聯 動信息。由于管控裝置的接口沒有IP地址,無法在網絡層從系統外部進行攻擊,因此管控 裝置安全性可以得到一定保障;但是,當由于遠程管理和交互需要時,管控裝置的聯動接口 必須配置IP地址,這時管控體系安全的解決方案為使用VPN技術在管控裝置間建立安全 的虛擬通道,保證全網業務管控聯動體系的通信內容的安全性;采用加密和認證技術保證 各管理域的域聯動管控中心與管控裝置之間的聯動業務管控策略服務協議的安全。全網聯動的一體化網絡業務管控處理流程為 步驟a.管控裝置對網絡數據進行裁決并采集;
步驟b.各管理域的域聯動管控中心對步驟a中采集的數據進行融合歸并和關聯分 析,形成業務管控事件;
步驟c.聯動業務管控策略信息庫采用人工智能方法生成對步驟b中的業務管控事件 的響應處理措施;
步驟d.管控裝置根據步驟c中的響應處理措施,通過聯動機制執行相應的響應事件, 響應事件為對業務流進行阻斷、劣化和重定向。
權利要求
1.一種全網聯動的一體化網絡業務管控方法,其特征是采用全網業務管控體系來實 現,全網業務管控體系含有基于管理域的分層策略管理、聯動業務管控策略服務協議、聯動 業務管控策略信息庫和管控體系安全,其中,基于管理域的分層策略管理規定了全網業務 管控聯動體系的組織結構、功能模塊、處理流程和接口方式,聯動業務管控策略服務協議規 定了聯動業務管控策略信息在管控裝置間的交互方式,聯動業務管控策略信息庫定義了標 準的聯動業務管控策略信息結構和信息內容,管控體系安全從管控裝置的安全和聯動業務 管控策略服務協議的安全兩方面考慮全網業務管控聯動體系的安全性解決方案。
2.根據權利要求1所述的全網聯動的一體化網絡業務管控方法,其特征是所述基于 管理域的分層策略管理含有域策略受控層和核心策略服務層;域策略受控層含有各管理域 的域聯動管控中心和管控裝置,各管理域的域聯動管控中心通過核心策略服務層提供的服 務對本管理域內的管控裝置實施控制;核心策略服務層提供核心策略服務以及為各管理域 所共用的域間服務和事件服務,并協同各管理域共同實現分層的全網業務管控;管理域是 具有相同的業務管控需求且遵循共同業務管控策略的系統實體和資源的集合,網絡被劃分 為多個可以獨立管理的管理域,各管理域獨立實施基于策略的業務管控;管理域分為多個 級別,采用樹形的組織結構;在每個管理域都有域聯動管控中心,負責該管理域的業務管控 策略決策和聯動協調,各域聯動管控中心之間采用分層逐級控制的方法。
3.根據權利要求2所述的全網聯動的一體化網絡業務管控方法,其特征是所述各管 理域的域聯動管控中心負責根據管控裝置提交的策略請求,從聯動業務管控策略信息庫獲 取策略,并將策略解釋后返回給管控裝置;策略管理員使用策略管理工具通過策略配置界 面遠程維護聯動業務管控策略信息庫中的存儲策略的數據庫,配置策略及相關信息。
4.根據權利要求2或3所述的全網聯動的一體化網絡業務管控方法,其特征是所述 聯動業務管控策略信息庫是實現策略統一管理的基礎,存儲策略及其相關的各種信息,各 管理域的域聯動管控中心與聯動業務管控策略信息庫采用輕量級目錄訪問協議進行通信, 從聯動業務管控策略信息庫中獲取業務管控策略規則;所述管控裝置就是網絡中的策略受 控節點,管控裝置含有業務管控節點、防火墻、路由器、交換機、入侵檢測系統和接入控制系 統,管控裝置通過分組過濾、帶寬預留、業務分類和多轉發隊列具體實施策略。
5.根據權利要求1所述的全網聯動的一體化網絡業務管控方法,其特征是所述聯動 業務管控策略信息庫使用可擴展標記語言文檔類型定義來聲明文檔所用的標記,該標記含 有元素、屬性和內容模型,元素是指文檔包括的不同信息部分,屬性是指信息的特征,內容 模型是指各部分信息之間的關系;聯動業務管控策略信息庫主要含有業務管控聯動信息, 業務管控聯動信息含有業務管控信息、存活狀況信息和管控實施信息,業務管控信息主要 用來描述業務管控事件,存活狀況信息用來描述用于探測對端是否存活的心跳消息,管控 實施信息用來說明業務管控實施的詳細措施和管控效果。
6.根據權利要求5所述的全網聯動的一體化網絡業務管控方法,其特征是所述聯動 業務管控策略信息庫還含有網管聯動信息、接入控制聯動信息和入侵檢測聯動信息。
7.根據權利要求2所述的全網聯動的一體化網絡業務管控方法,其特征是所述管控 體系安全的解決方案為使用VPN技術在管控裝置間建立安全的虛擬通道,保證全網業務 管控聯動體系的通信內容的安全性;采用加密和認證技術保證各管理域的域聯動管控中心 與管控裝置之間的聯動業務管控策略服務協議的安全。
8.根據權利要求1所述的全網聯動的一體化網絡業務管控方法,其特征是所述聯動 業務管控策略服務協議是在通用開放策略服務協議基礎上的一個擴展,用于傳輸業務管控 策略;為了保證聯動業務管控策略服務協議的安全性,將通用開放策略服務協議加載BEEP 協議的框架之上,從而利用BEEP協議提供的安全特性可靠地傳輸策略信息。
9.根據權利要求2所述的全網聯動的一體化網絡業務管控方法,其特征是全網聯動 的一體化網絡業務管控處理流程為步驟a.所述管控裝置對網絡數據進行裁決并采集;步驟b.所述各管理域的域聯動管控中心對步驟a中采集的數據進行融合歸并和關聯 分析,形成業務管控事件;步驟c.所述聯動業務管控策略信息庫采用人工智能方法生成對步驟b中的業務管控 事件的響應處理措施;步驟d.所述管控裝置根據步驟c中的響應處理措施,通過聯動機制執行相應的響應 事件,響應事件為對業務流進行阻斷、劣化和重定向。
全文摘要
本發明涉及一種全網聯動的一體化網絡業務管控方法;全網聯動的一體化網絡業務管控方法采用全網業務管控體系來實現,全網業務管控體系含有基于管理域的分層策略管理、聯動業務管控策略服務協議、聯動業務管控策略信息庫和管控體系安全,基于管理域的分層策略管理規定了全網業務管控聯動體系的組織結構、功能模塊、處理流程和接口方式,聯動業務管控策略服務協議規定了聯動業務管控策略信息在管控裝置間的交互方式,聯動業務管控策略信息庫定義了標準的聯動業務管控策略信息結構和信息內容;本發明可實現網絡安全事件一點發現后多種管控裝置協調聯動的效果,可以達到安全事件全網范圍處理、用戶安全充分保障的目的。
文檔編號H04L29/06GK102143179SQ20111007998
公開日2011年8月3日 申請日期2011年3月31日 優先權日2011年3月31日
發明者劉文波, 卜佑軍, 姜鯤鵬, 張建輝, 朱珂, 李玉峰, 賀磊, 陳正虎, 馬海龍, 齊寧 申請人:中國人民解放軍信息工程大學