網絡數據染色技術在移動通信網絡流量監管方面的應用思考
責編:gltian |2024-08-16 14:10:091 . 網絡數據染色技術概述
網絡數據染色技術是一種通過插入特定標記或信息,對網絡數據進行標記和分類的技術。它可以用于對網絡流量進行監控、過濾和分析,提高網絡安全性和管理效率。網絡管理員可以利用它輕松地對流量進行分類和分析,快速識別潛在的安全威脅或問題。
網絡數據染色技術在國內外都得到了廣泛的研究和應用。以下是國內外的研究現狀:
美國的很多大學和科研機構在該技術領域深入研究并提出了許多創新的方法和算法,主要關注網絡數據的快速分類和分析,用于網絡監控和安全防護。歐洲的研究機構和企業則在網絡性能優化、QoS管理等方面取得了不少進展。
中國的高校和科研機構在該技術方面也有較多研究成果,針對國內特點和需求提出了一些適合本地網絡環境的解決方案,如基于深度學習的數據分類方法等。國內的一些大型互聯網企業也對此進行了探索和實踐,應用在自身的網絡安全防護和性能優化中。
總的來說,國內外對網絡數據染色技術的研究都比較活躍,不同地區的研究重點和應用場景可能有所不。網絡數據染色技術保證了傳輸的透明性、高效性、易檢測性,提高了網絡管理和安全能力。未來隨著網絡技術的不斷發展,網絡數據染色技術有望在更多領域得到應用和推廣。
2 . 網絡數據染色技術研究
為了保障數據在網絡傳輸過程中的可控可管,通過引入數據染色網關設備并部署在用戶的信任域內,對安全域內流經該設備外出的數據進行染色,并對進入安全域內的設備進行驗染和脫染,預警和阻斷非法數據,從而實現內防滲透、外防泄漏的目的。
數據染色技術原理如圖1所示,通過將數據染色和IPsec融合,在不影響原有報文傳輸效率的情況下,添加輕量化的數據標識字段,實現數據報文在網絡傳輸過程中的便易監測、快速識別和實時控制的目的,有效提升網絡對非法滲透的預警和阻斷能力。
圖1 數據染色和IPsec融合報頭格式
輕量化的數據標識具有全網唯一性,由染色因子分發中心統一分發的染色因子根據安全算法定期產生并更新,用來防止偽造。
由于設備的時鐘存在偏差,上述染色因子生效時間可能出現不一致,因而可能出現不同步的時間窗口,造成染色設備和驗染設備使用的染色因子不一致情況。解決方案如下:
(1)染色因子分發中心每24小時更換一次染色因子,但提前2小時下發即將更換的染色因子,同時通知染色設備在一個絕對時間點進行激活并更換染色因子,另外每個染色因子都有失效時間。
(2)染色因子下發的時候附帶一個遞增的序列號,染色設備在染色數據中附帶該字段,該字段范圍為0~15,可以翻轉使用。
(3)驗染設備在進行驗染的時候根據染色因子序列號選擇對應的染色因子進行計算。若有攻擊者故意偽造錯誤的序列號,則必然在后續的驗染中驗染失敗。另外驗染設備根據本地保存的三份染色因子的序列號與染色數據提取的序列號進行對比,若均不匹配,也認為是驗染異常。
圖2 染色數據傳輸流程圖
如圖2所示,若A網用戶要與B網用戶通信,數據染色流程分為染色、驗染和脫色三個階段:
a. 加密和染色階段:A網發送的數據包經過密碼機后進行IPsec封裝,添加ESP報頭。之后經過染色網關對數據進行染色,最后通過邊界路由器將染色數據包發送到互聯網中。
b. 探測和驗染階段:B網的邊界路由器將收到的數據包傳給染色網關,由染色網關根據染色規則對數據包進行驗染,驗染通過后進入脫色階段。在互聯網中通過分布在關鍵節點路由器上的染色探針,對染色數據進行探測與監管。
c. 脫色和解密階段:在該階段對驗染通過的數據包剝離附加的染色字段,之后進入密碼機對數據進行解密,最后傳送給B網用戶。
染色網關具體處理流程如圖3所示:
隧道協商服務與對端染色網關建立帶有數據標識功能的加密隧道,將安全邊界的用戶數據附標識。對端染色網關對數據流驗標識,保證數據傳輸的可監測性。
圖 3 染色網關處理流程
a. 數據標識條件:染色網關根據業務報文的五元組規則進行匹配,匹配成功后添加數據標識;
b. 數據標識統計1:對符合數據標識條件且添加數據標識的數據流進行統計,包括數據包個數及字節個數等;
c. 驗數據標識:接收到帶有數據標識的加密數據流,對其進行數據標識檢驗,如果數據標識和系統配置數據標識相同則檢驗通過否則檢驗失敗;
d. 數據標識統計2:接收到的數據標識數據流統計,包括數據包個數及字節個數等;
e. 異常數據標識統計:數據標識檢驗不通過數據流統計,并丟棄數據報文。
3 . 基于網絡數據染色技術的安全風險評估
基于數據染色的安全風險評估主要通過對跨域異常風險、來源非法風險和流量異常風險進行融合分析得到整個系統組網狀態的安全風險等級。
a. 跨域異常風險:數據標識報文到達染色網關時,染色網關會自動匹配檢查設置到本地的標識策略、閾值策略。閾值策略用于表明數據標識報文單位時間內可被染色網關接收的最大流量,標識策略用于表明染色網關可接收的數據標識報文。若流量超出閾值則根據超出閾值程度標定跨域異常風險等級。
b. 來源非法風險:數據標識報文流經染色網關時,會在單位時間內記錄非法源數據標識報文,根據超出單位時間內閾值的次數及程度標定來源非法風險等級。
c. 流量異常風險:為提高流量監測效率,細化異常監測粒度,可通過指定數據標識監測特定標識數據,單位時間內,針對設置的監測條件,結合超出閾值的程度標定流量異常風險等級。
4 . 總 結
本文基于輕量化標識的思想,提出了網絡數據染色與IPsec融合的數據標識技術,在IPsec建立的安全隧道的基礎上,通過對加密數據進行輕量化數據標識,在不影響網絡報文內容和網絡傳輸效能情況下,實現網絡信息在全程傳輸過程中的便易監測、快速識別和實時控制,提升網絡對非法滲透的預警和阻斷能力,全面增強網絡傳輸監管和防護效能。
參考文獻
[1] 付曉樂,基于精確染色和白名單機制的Web應用安全系統[D], 南京大學。
[2] 劉軍,李雄清,孫瓊巍,等.面向云原生全鏈路灰度發布技術研究與實踐[J].電子技術應用,2023,49(04):73-77.DOI:10.16157/j.issn.0258-7998.222982.
[3]楊豫.網絡安全威脅和網絡監管對策探討[J].科技視界,2023,(05):113-116.
[4] 任高明.大數據時代網絡安全與防護研究[J].科技傳播,2020,12(18):163-164.DOI:10.16607/j.cnki.1674-6708.2020.18.067.
作者:高宗寧 中國科學院信息工程研究所
責編:何潔