專利名稱:一種網絡流量的分析系統(tǒng)及方法
技術領域:
本發(fā)明涉及互聯網領域,更具體的說,是涉及一種網絡流量的分析系統(tǒng)及方法。
背景技術:
隨著網絡技術的發(fā)展和網絡規(guī)模的擴大化,許多企事業(yè)單位間的業(yè)務都由網絡應用系統(tǒng)來承載,通過網絡應用系統(tǒng)來進行業(yè)務工作,不僅方便性好,而且效率高。然而,隨著網絡系統(tǒng)中越來越多的應用系統(tǒng)的交叉部署,網絡行為也越來越復雜且不易控制,這樣就導致了一些重要的或需要保密的網絡數據的安全性也受到了一定程度的威脅,而這些數據一旦被竊取或攻擊,就會給社會帶來一定的危害和損失,因此,IT管理部門需要保障應用系統(tǒng)的安全性。為了保障應用系統(tǒng)的安全性,IT管理部門需要監(jiān)測各個應用系統(tǒng)的流量和網絡行為。而監(jiān)測分析應用系統(tǒng)的流量和通常采用流量監(jiān)測分析設備,傳統(tǒng)的流量監(jiān)測分析設備主要利用簡單網絡管理(SNMP)、網絡流量監(jiān)測(NetFlow)、網絡流量分析(sFlow)、遠程監(jiān)控(RMON)等協議,從路由器、交換機上采集通過每個接口的流量數據,從而給用戶提供有關網絡中各設備和鏈路的流量情況,這種設備通過統(tǒng)計流量信息來分析TCP/IP包的三層/四層信息,分析時采用抽樣技術,不對會話進行全程跟蹤分析。采用這種設備無法分析出網絡中的行為,即無法掌握會話的應用層業(yè)務分析,因此無法保障網絡會話應用層的安全性?;谏鲜霈F有技術存在的缺點,如何提供一種網絡流量的分析系統(tǒng)及方法,能夠實現對網絡進行基于應用層的監(jiān)測分析,從而保障網絡中應用系統(tǒng)的安全性,是本領域技術人員急需解決的問題
發(fā)明內容
有鑒于此,本發(fā)明提供了一種網絡流量的分析系統(tǒng)及方法,以克服現有技術中由于不能夠對應用層進行監(jiān)測分析而造成的不能夠保障應用層的安全性的問題。為實現上述目的,本發(fā)明提供如下技術方案—種網絡流量的分析系統(tǒng),包括流量采集模塊和流量分析模塊;所述流量采集模塊用于采集網絡中各節(jié)點的原始流量信息,并從所述原始流量信息中提取出應用層流量信息;所述流量分析模塊用于對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果,所述流量分析包括分析與所述流量相關的具有IP地址的設備的協議類型、通信端口、會話時間以及數據流量大小。其中,所述流量采集模塊具體包括本地采集模塊,用于持續(xù)獲取通過網絡中各節(jié)點的原始流量信息;預處理模塊,用于根據所述系統(tǒng)的應用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;應用提取模塊,用于對所述特定流量信息進行分組解析,識別出應用層流量信息。
其中,所述流量分析模塊具體包括應用流量統(tǒng)計分析模塊,用于根據所述系統(tǒng)的應用主體的配置文件和相關的預設策略對所述應用層流量信息進行流量統(tǒng)計分析,判斷是否存在異常流量信息;追蹤分析模塊,用于在所述系統(tǒng)的應用主體中有異常流量時,針對所述異常的流量信息,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象,所述追蹤主機為與異常流量信息相關的具有IP地址的設備。優(yōu)選的,還包括網絡操作監(jiān)測模塊,用于監(jiān)測所述系統(tǒng)的應用主體的網絡操作。優(yōu)選的,還包括報警模塊,用于在應用系統(tǒng)中出現異常流量信息和/或異常網絡操作的情況下,通知用戶所述應用系統(tǒng)存在異常流量信息或異常網絡操作。優(yōu)選的,還包括安全審計模塊,用于記錄并統(tǒng)計異常流量信息及異常網絡操作。一種網絡流量的分析方法,包括流量采集模塊采集網絡中各節(jié)點的原始流量信息,并從所述原始流量信息中提取出應用層流量信息;流量分析模塊對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果,所述流量分析包括分析與所述流量相關的具有IP地址的設備的協議類型、通信端口、會話時間以及數據 流量大小。其中,所述流量采集模塊采集網絡中各節(jié)點的原始流量信息,并從所述原始流量信息中提取出應用層流量信息具體包括本地采集模塊持續(xù)獲取通過網絡中各節(jié)點的原始流量信息;預處理模塊根據所述系統(tǒng)的應用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;應用提取模塊對所述特定流量信息進行分組解析,識別出應用層流量信息。其中,所述流量分析模塊對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果具體為應用流量統(tǒng)計分析模塊根據所述系統(tǒng)的應用主體的配置文件和相關的預設策略對所述應用層流量信息進行流量統(tǒng)計分析,判斷是否存在異常流量信息;在所述系統(tǒng)的應用主體中有異常流量時,追蹤分析模塊針對所述異常的流量信息,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象,所述追蹤主機為與異常流量信息相關的具有IP地址的設備。優(yōu)選的,還包括監(jiān)測所述系統(tǒng)的應用主體的網絡操作內容;在應用系統(tǒng)中出現異常流量信息或異常網絡操作的情況下,通知用戶所述應用系統(tǒng)存在異常流量信息或異常網絡操作;記錄并統(tǒng)計異常流量信息及異常網絡操作。經由上述的技術方案可知,與現有技術相比,本發(fā)明公開了一種網絡流量的分析系統(tǒng)及方法,該系統(tǒng)首先采集網絡中各節(jié)點的流量信息,通過對所述流量信息進行分析處理,識別出所述流量信息中的應用層流量信息,再對所述應用層流量信息進行統(tǒng)計分析,判斷出異常流量,最終實現基于網絡流量的應用層分析工作,通過這種方法,能夠對網絡中的應用、協議、連接、流量、內容等多層次進行全方位的綜合分析,達到了通過網絡流量的監(jiān)測分析保障網絡中應用系統(tǒng)安全性的目的。
為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據提供的附圖獲得其他的附圖。圖1為本發(fā)明實施例公開的網絡流量分析系統(tǒng)的網絡部署示意圖;圖2為本發(fā)明實施例公開的一種網絡流量分析系統(tǒng)的結構示意圖;圖3為本發(fā)明實施例公開的另一種網絡流量分析系統(tǒng)的結構示意圖;圖4為本發(fā)明實施例公開的一種網絡流量分析方法的第一流程示意圖;圖5為本發(fā)明實施例公開的一種網絡流量分析方法的第二流程示意圖;圖6為本發(fā)明 實施例公開的另一種網絡流量分析方法的流程示意圖。
具體實施例方式下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。實施例一圖1為本發(fā)明實施例公開的網絡流量分析系統(tǒng)的網絡部署示意圖,參照圖1,本發(fā)明實施例公開的網絡流量分析系統(tǒng)掛接在網絡管理人員所有需要關注的流量必須流經的鏈路上,所述網絡管理人員需要關注的流量是指來自高危網絡區(qū)域的訪問流量?,F在的網絡區(qū)域大都是交換式的網絡結構,因此,所述網絡流量分析系統(tǒng)在交換式網絡中的位置一般部署在服務器區(qū)域的交換機上或重點保護網段的局域網交換機上。圖2為本發(fā)明實施例公開的網絡流量分析系統(tǒng)的結構示意圖,如圖2所示,所述網絡流量分析系統(tǒng)20可以包括流量采集模塊201,用于采集網絡中各節(jié)點的流量信息,并從所述流量信息中提取出應用層流量信息;其中,所述流量采集模塊201具體可以包括本地采集模塊2011,用于持續(xù)獲取通過網絡中各節(jié)點的原始流量信息;其中,所述本地采集模塊2011可以利用探頭通過鏡像口連續(xù)采集通過所述網絡流量分析系統(tǒng)20所掛接的鏈路上的原始的流量信息;預處理模塊2012,用于根據所述系統(tǒng)的應用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;其中,應用系統(tǒng)中的配置文件中有用戶設定的特定的關注流量,所述特定的關注流量可能來自于高危網絡訪問區(qū)域,所述預處理模塊2012能夠先對所述原始流量信息進行解包處理,然后根據配置文件的配置內容分析出所述原始流量信息中的特定流量信息;應用提取模塊2013,用于對所述特定流量信息進行分組解析,識別出應用層流量信息;其中,所述應用提取模塊2013可以采用快速協議分析技術對所述特定流量信息進行分組解析,提取其應用層流量信息;在所述流量采集模塊201提取出應用層流量信息后,流量分析模塊202再對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果,所述流量分析包括分析與所述流量相關的具有IP地址的設備的協議類型、通信端口、會話時間以及數據流量大??;其中,所述流量分析模塊202具體可以包括應用流量統(tǒng)計分析模塊2021,用于根據所述應用系統(tǒng)的配置文件和相關的預設策略對所述應用層流量信息進行流量統(tǒng)計分析,判斷是否存在異常流量信息;其中,所述應用系統(tǒng)的配置文件中有與所述應用層流量信息相關的預設策略,所述應用流量統(tǒng)計分析模塊2021能夠根據所述的預設策略對所述應用層流量信息進行統(tǒng)計比較,分析應用層流量的累積和、流量階躍等內容,從而判斷出異常的流量信息;追蹤分析模塊2022,用于在所述系統(tǒng)的應用主體中有異常流量時,針對所述異常的流量信息,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象;其中,所述追蹤主機為與異常流量信息相關的具有IP地址的設備,當發(fā)現異常流量信息時,所述追蹤分析模塊2022可以確定與所述異常流量信息有關的具有IP地址的設備為“嫌疑對象”,將其設置為追蹤主機,對其進行實時的密切監(jiān)測,并記錄下所述追蹤主機進行的一切網絡操作動作,包括其操作內容、操作時間和操作對象。本實施例中,所述網絡流量的分析系統(tǒng)首先通過流量采集模塊采集網絡中各節(jié)點的原始流量信息,通過對所述流量信息進行分析處理,識別出所述原始流量信息中應用層流量信息,再通過流量分析模塊對所述應用層流量信息進行統(tǒng)計比較,分析出異常流量,并追隨所述異常流量監(jiān)測與其相關的,具有IP地址的設備的網絡操作,便于以后的取證和備查,實現了基于網絡流量的應用層分析。實施例二圖3為本發(fā)明實施例公開的另一種網絡流量分析系統(tǒng)的結構示意圖,如圖3所示,網絡流量分析系統(tǒng)30可以包括流量采集模塊201,用于采集網絡中各節(jié)點的流量信息,并從所述流量信息中提取出應用層流量信息;其中,所述流量采集模塊201具體可以包括本地采集模塊2011,用于持續(xù)獲取通過網絡中各節(jié)點的原始流量信息;預處理模塊2012,用于根據所 述系統(tǒng)的應用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;應用提取模塊2013,用于對所述特定流量信息進行分組解析,識別出應用層流量信息;
流量分析模塊202,用于對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果,所述流量分析包括分析與所述流量相關的具有IP地址的設備的協議類型、通信端ロ、會話時間以及數據流量大?。黄渲?,所述流量分析模塊202具體可以包括應用流量統(tǒng)計分析模塊2021,用于根據所述應用系統(tǒng)的配置文件和相關的預設策略對所述應用層流量信息進行流量統(tǒng)計分析,判斷是否存在異常流量信息;追蹤分析模塊2022,用于在所述系統(tǒng)的應用主體中有異常流量時,針對所述異常的流量信息,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象;網絡操作監(jiān)測模塊301,用于監(jiān)測所述應用系統(tǒng)的網絡操作內容;其中,所述網絡操作監(jiān)測模塊可以對網絡操作數據進行統(tǒng)計分析,及時發(fā)現網絡中的異常訪問操作和攻擊行為;報警模塊302,用于在應用系統(tǒng)中出現異常流量信息和/或異常網絡操作的情況下,通知用戶所述應用系統(tǒng)存在異常流量信息和/或異常網絡操作;其中,在所述應用系統(tǒng)中出現異常流量信息和/或異常網絡操作、帶有指定關鍵字的指定操作重復預設的閾值次數時,產生報警,通知網絡管理人員。在其他的實施例中,還可以包括安全審計模塊,用于記錄并統(tǒng)計異常流量信息及異常網絡操作;其中,所述安全審計模塊記錄并統(tǒng)計異常流量信息及異常網絡操作,以便于對所述異常流量信息及異常網絡操作進行取證和備查。
本實施例中,所述網絡流量的分析系統(tǒng)首先通過流量采集模塊采集網絡中各節(jié)點的原始流量信息,通過對所述流量信息進行分析處理,識別出所述原始流量信息中應用層流量信息,再通過流量分析模塊對所述應用層流量信息進行統(tǒng)計比較,分析應用系統(tǒng)中是否存在異常流量,同時該系統(tǒng)能夠監(jiān)測網絡操作內容,分析出應用系統(tǒng)中是否存在異常網絡操作,在應用系統(tǒng)中存在異常流量信息和/或異常網絡操作的情況下,能夠產生報警,通知網絡管理人員,井能夠追蹤異常流量信息和/或異常網絡操作,記錄下追蹤結果,便于以后的取證和備查,通過所述網絡流量分析系統(tǒng),能夠對對網絡中的應用、協議、連接、流量、內容等多層次進行全方位的綜合分析,實現了基于網絡流量的應用層分析,達到了通過網絡流量的監(jiān)測分析保障網絡中應用系統(tǒng)安全性的目的。實施例三圖4為本發(fā)明實施例公開的網絡流量分析方法的流程示意圖a,參照圖4,本發(fā)明公開的網絡流量分析方法可以包括步驟401 :流量采集模塊采集網絡中各節(jié)點的原始流量信息,并從所述原始流量信息中提取出應用層流量信息;本步驟中,是利用探頭通過鏡像端ロ對所述原始流量信息進行采集的,再對所述原始流量信息進行處理,提取出應用層流量數據,圖5為本發(fā)明實施例公開的網絡流量分析方法的流程示意圖b,步驟401的具體步驟可以參見圖5的步驟501 步驟503,具體如下步驟501 :本地采集模塊持續(xù)獲取通過網絡中各節(jié)點的原始流量信息;
本步驟中,用探頭通過鏡像端ロ對所述原始流量信息進行連續(xù)采集。步驟502 :預處理模塊根據所述系統(tǒng)的應用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;本步驟中,應用系統(tǒng)中的配置文件中有用戶設定的特定的關注流量,所述特定的關注流量可能來自于高危網絡訪問區(qū)域,所述預處理模塊能夠先對所述原始流量信息進行解包處理,然后根據配置文件的配置內容分析出所述原始流量信息中的特定流量信息;步驟503 :應用提取模塊對所述特定流量信息進行分組解析,識別出應用層流量信息;本步驟中,所述應用提取模塊可以采用快速協議分析技術對所述特定流量信息進行分組解析,提取其應用層流量信息;在步驟401采集原始流量信息后,進入步驟402 ;步驟402 :流量分析模塊對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果;本步驟中,所述流量分析包括分析與所述流量相關的具有IP地址的設備的協議類型、通信端ロ、會話時間以及數據流量大小,步驟402的具體步驟可參見圖5的步驟504 步驟505,具體如下步驟504 :應用流量統(tǒng)計分析模塊根據所述應用系統(tǒng)的配置文件和相關的預設策略對所述應用層流量信息進行流量統(tǒng)計分析,判斷是否存在異常流量信息,如果是,進入步驟505,如果否,則不做處理;
本步驟中,所述應用系統(tǒng)的配置文件中有與所述應用層流量信息相關的預設策略,所述應用流量統(tǒng)計分析模塊能夠根據所述的預設策略對所述應用層流量信息進行統(tǒng)計比較,分析應用層流量的累積和、流量階躍等內容,從而判斷出是否存在異常的流量信息,如果存在,則進入步驟505進行相應的操作;如果不存在,則不做處理;步驟505 :追蹤分析模塊針對所述異常的流量信息,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象;本步驟中,所述追蹤主機為與異常流量信息相關的具有IP地址的設備,當發(fā)現異常流量信息時,所述追蹤分析模塊可以確定與所述異常流量信息有關的具有IP地址的設備為“嫌疑對象”,將其設置為追蹤主機,對其進行實時的密切監(jiān)測,并記錄下所述追蹤主機進行的一切網絡操作動作,包括其操作內容、操作時間和操作對象。本實施例中,所述網絡流量的分析方法首先通過流量采集模塊采集網絡中各節(jié)點的原始流量信息,通過對所述流量信息進行分析處理,識別出所述原始流量信息中應用層流量信息,再對所述應用層流量信息進行統(tǒng)計比較,分析出異常流量,并追隨所述異常流量監(jiān)測與其相關的,具有IP地址的設備的網絡操作,便于以后的取證和備查,實現了基于網絡流量的應用層分析。實施例四圖6為本發(fā)明實施例公開的另一種網絡流量分析方法的流程示意圖,參見圖6,本實施例公開的網絡流量分析方法的步驟可以如下步驟601 :本地采集模塊持續(xù)獲取通過網絡中各節(jié)點的原始流量信息;步驟602 :預處理模塊根據所述系統(tǒng)的應用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;步驟603 :應用提取模塊對所述特定流量信息進行分組解析,識別出應用層流量信息;步驟604 :應用流量統(tǒng)計分析模塊根據所述應用系統(tǒng)的配置文件和相關的預設策略對所述應用層流量信息進行流量統(tǒng)計分析,判斷出是否存在異常流量信息,如果是,同時進入步驟605和609,如果否,則不作處理;步驟605 :追蹤分析模塊針對所述異常的流量信息,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象;步驟606 :網絡操作監(jiān)測模塊監(jiān)測所述應用系統(tǒng)的網絡操作內容;本步驟中,所述網絡操作監(jiān)測模塊可以對網絡操作數據進行統(tǒng)計分析,及時發(fā)現網絡中的異常訪問操作和攻擊行為;步驟607 :判斷應用系統(tǒng)中是否存在異常網絡操作,如果是,同時進入步驟608和步驟609,如果否,則不作處理;本步驟中,所述應用系統(tǒng)的配置文件中有與所述網絡操作相關的預設策略,根據所述的預設策略對所述網絡操作進行統(tǒng)計比較,分析所述網絡操作的內容,從而判斷出是否存在異常的網絡操作,如果存在,則同時進入步驟608和步驟609進行相應的操作;如果不存在,則不做處理;步驟608 :追蹤分析模塊針對所述異常網絡操作,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象;步驟609:報警。
在其他的實施例中,還可以包括記錄并統(tǒng)計異常流量信息及異常網絡操作的步驟。本實施例中,所述網絡流量的分析方法首先采集網絡中各節(jié)點的原始流量信息,通過對所述流量信息進行分析處理,識別出所述原始流量信息中應用層流量信息,再對所述應用層流量信息進行統(tǒng)計比較,分析應用系統(tǒng)中是否存在異常流量,同時該方法能夠監(jiān)測網絡操作內容,分析出應用系統(tǒng)中是否存在異常網絡操作,在應用系統(tǒng)中存在異常流量信息和/或異常網絡操作的情況下,能夠產生報警,通知網絡管理人員,井能夠追蹤異常流量信息和/或異常網絡操作,記錄下追蹤結果,便于以后的取證和備查,通過所述網絡流量分析方法,能夠對對網絡中的應用、協議、連接、流量、內容等多層次進行全方位的綜合分析,實現了基于網絡流量的應用層分析,達到了通過網絡流量的監(jiān)測分析保障網絡中應用系統(tǒng)安全性的目的。結合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬件、處理器執(zhí)行的軟件模塊,或者二者的結合來實施。軟件模塊可以置于隨機存儲器(RAM)、內存、只讀存儲器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動磁盤、CD-ROM、或技術領域內所公知的任意其它形式的存儲介質中。對所公開的實施例的上述說明,使本領域專業(yè)技術人員能夠實現或使用本發(fā)明。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實施例中實現。因此,本發(fā)明將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最 寬的范圍。
權利要求
1.一種網絡流量的分析系統(tǒng),其特征在于,包括流量采集模塊和流量分析模塊; 所述流量采集模塊用于采集網絡中各節(jié)點的原始流量信息,并從所述原始流量信息中提取出應用層流量信息; 所述流量分析模塊用于對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果,所述流量分析包括分析與所述流量相關的具有IP地址的設備的協議類型、通信端口、會話時間以及數據流量大小。
2.根據權利要求1所述系統(tǒng),其特征在于,所述流量采集模塊具體包括 本地采集模塊,用于持續(xù)獲取通過網絡中各節(jié)點的原始流量信息; 預處理模塊,用于根據所述系統(tǒng)的應用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息; 應用提取模塊,用于對所述特定流量信息進行分組解析,識別出應用層流量信息。
3.根據權利要求1所述系統(tǒng),其特征在于,所述流量分析模塊具體包括 應用流量統(tǒng)計分析模塊,用于根據所述系統(tǒng)的應用主體的配置文件和相關的預設策略對所述應用層流量信息進行流量統(tǒng)計分析,判斷是否存在異常流量信息; 追蹤分析模塊,用于在所述系統(tǒng)的應用主體中有異常流量時,針對所述異常的流量信息,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象,所述追蹤主機為與異常流量信息相關的具有IP地址的設備。
4.根據權利要求1所述系統(tǒng),其特征在于,還包括 網絡操作監(jiān)測模塊,用于監(jiān)測所述系統(tǒng)的應用主體的網絡操作。
5.根據權利要求1所述系統(tǒng),其特征在于,還包括 報警模塊,用于在應用系統(tǒng)中出現異常流量信息和/或異常網絡操作的情況下,通知用戶所述應用系統(tǒng)存在異常流量信息或異常網絡操作。
6.根據權利要求1所述系統(tǒng),其特征在于,還包括 安全審計模塊,用于記錄并統(tǒng)計異常流量信息及異常網絡操作。
7.—種網絡流量的分析方法,其特征在于,包括 流量采集模塊采集網絡中各節(jié)點的原始流量信息,并從所述原始流量信息中提取出應用層流量信息; 流量分析模塊對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果,所述流量分析包括分析與所述流量相關的具有IP地址的設備的協議類型、通信端口、會話時間以及數據流量大小。
8.根據權利要求7所述方法,其特征在于,所述流量采集模塊采集網絡中各節(jié)點的原始流量信息,并從所述原始流量信息中提取出應用層流量信息具體包括 本地采集模塊持續(xù)獲取通過網絡中各節(jié)點的原始流量信息; 預處理模塊根據所述系統(tǒng)的應用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息; 應用提取模塊對所述特定流量信息進行分組解析,識別出應用層流量信息。
9.根據權利要求7所述方法,其特征在于,所述流量分析模塊對所述應用層流量信息進行流量分析,并統(tǒng)計所述應用層流量信息的分析結果具體為 應用流量統(tǒng)計分析模塊根據所述系統(tǒng)的應用主體的配置文件和相關的預設策略對所述應用層流量信息進行流量統(tǒng)計分析,判斷是否存在異常流量信息; 在所述系統(tǒng)的應用主體中有異常流量時,追蹤分析模塊針對所述異常的流量信息,確定追蹤主機,并對所述追蹤主機進行監(jiān)測,記錄所述追蹤主機的操作內容、操作時間及操作對象,所述追蹤主機為與異常流量信息相關的具有IP地址的設備。
10.根據權利要求7所述方法,其特征在于,還包括 監(jiān)測所述系統(tǒng)的應用主體的網絡操作內容; 在應用系統(tǒng)中出現異常流量信息或異常網絡操作的情況下,通知用戶所述應用系統(tǒng)存在異常流量信息或異常網絡操作; 記錄并統(tǒng)計異常流量信息及異常網絡操作。
全文摘要
本發(fā)明公開了一種網絡流量的分析系統(tǒng)及方法,該系統(tǒng)首先通過流量采集模塊采集網絡中各節(jié)點的原始流量信息,然后提取出所述原始流量信息中的應用層流量信息,再通過對所述應用層流量信息進行統(tǒng)計比較,分析出應用系統(tǒng)中是否存在異常流量,實現了基于網絡流量的應用層分析,達到了通過網絡流量的監(jiān)測分析保障網絡中應用系統(tǒng)安全性的目的。同時該系統(tǒng)還能夠監(jiān)測網絡操作內容,分析出應用系統(tǒng)中是否存在異常網絡操作,在應用系統(tǒng)中存在異常流量信息和/或異常網絡操作的情況下,能夠產生報警,通過這種方法,能夠對對網絡中的應用、協議、連接、流量、內容等多層次進行全方位的綜合分析,全面保障應用系統(tǒng)的安全。
文檔編號H04L12/24GK103067192SQ201110321848
公開日2013年4月24日 申請日期2011年10月20日 優(yōu)先權日2011年10月20日
發(fā)明者李志鵬, 王洪波 申請人:北京天行網安信息技術有限責任公司