專利名稱:一種網(wǎng)絡(luò)流量的分析系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,更具體的說����,是涉及一種網(wǎng)絡(luò)流量的分析系統(tǒng)及方法。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)規(guī)模的擴(kuò)大化,許多企事業(yè)單位間的業(yè)務(wù)都由網(wǎng)絡(luò)應(yīng)用系統(tǒng)來承載�,通過網(wǎng)絡(luò)應(yīng)用系統(tǒng)來進(jìn)行業(yè)務(wù)工作,不僅方便性好��,而且效率高����。然而,隨著網(wǎng)絡(luò)系統(tǒng)中越來越多的應(yīng)用系統(tǒng)的交叉部署���,網(wǎng)絡(luò)行為也越來越復(fù)雜且不易控制�,這樣就導(dǎo)致了一些重要的或需要保密的網(wǎng)絡(luò)數(shù)據(jù)的安全性也受到了一定程度的威脅�����,而這些數(shù)據(jù)一旦被竊取或攻擊���,就會(huì)給社會(huì)帶來一定的危害和損失��,因此��,IT管理部門需要保障應(yīng)用系統(tǒng)的安全性�����。為了保障應(yīng)用系統(tǒng)的安全性��,IT管理部門需要監(jiān)測(cè)各個(gè)應(yīng)用系統(tǒng)的流量和網(wǎng)絡(luò)行為��。而監(jiān)測(cè)分析應(yīng)用系統(tǒng)的流量和通常采用流量監(jiān)測(cè)分析設(shè)備�����,傳統(tǒng)的流量監(jiān)測(cè)分析設(shè)備主要利用簡(jiǎn)單網(wǎng)絡(luò)管理(SNMP)��、網(wǎng)絡(luò)流量監(jiān)測(cè)(NetFlow)�、網(wǎng)絡(luò)流量分析(sFlow)�����、遠(yuǎn)程監(jiān)控(RMON)等協(xié)議�����,從路由器�、交換機(jī)上采集通過每個(gè)接口的流量數(shù)據(jù),從而給用戶提供有關(guān)網(wǎng)絡(luò)中各設(shè)備和鏈路的流量情況����,這種設(shè)備通過統(tǒng)計(jì)流量信息來分析TCP/IP包的三層/四層信息�����,分析時(shí)采用抽樣技術(shù)�,不對(duì)會(huì)話進(jìn)行全程跟蹤分析���。采用這種設(shè)備無法分析出網(wǎng)絡(luò)中的行為��,即無法掌握會(huì)話的應(yīng)用層業(yè)務(wù)分析�,因此無法保障網(wǎng)絡(luò)會(huì)話應(yīng)用層的安全性�����?���;谏鲜霈F(xiàn)有技術(shù)存在的缺點(diǎn),如何提供一種網(wǎng)絡(luò)流量的分析系統(tǒng)及方法�����,能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)進(jìn)行基于應(yīng)用層的監(jiān)測(cè)分析��,從而保障網(wǎng)絡(luò)中應(yīng)用系統(tǒng)的安全性�,是本領(lǐng)域技術(shù)人員急需解決的問題
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供了一種網(wǎng)絡(luò)流量的分析系統(tǒng)及方法���,以克服現(xiàn)有技術(shù)中由于不能夠?qū)?yīng)用層進(jìn)行監(jiān)測(cè)分析而造成的不能夠保障應(yīng)用層的安全性的問題�����。為實(shí)現(xiàn)上述目的�,本發(fā)明提供如下技術(shù)方案—種網(wǎng)絡(luò)流量的分析系統(tǒng)�,包括流量采集模塊和流量分析模塊;所述流量采集模塊用于采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�����,并從所述原始流量信息中提取出應(yīng)用層流量信息�����;所述流量分析模塊用于對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析��,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果�����,所述流量分析包括分析與所述流量相關(guān)的具有IP地址的設(shè)備的協(xié)議類型、通信端口�、會(huì)話時(shí)間以及數(shù)據(jù)流量大小。其中�����,所述流量采集模塊具體包括本地采集模塊�,用于持續(xù)獲取通過網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息;預(yù)處理模塊�����,用于根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息�;應(yīng)用提取模塊,用于對(duì)所述特定流量信息進(jìn)行分組解析����,識(shí)別出應(yīng)用層流量信息。
其中����,所述流量分析模塊具體包括應(yīng)用流量統(tǒng)計(jì)分析模塊,用于根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件和相關(guān)的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行流量統(tǒng)計(jì)分析�,判斷是否存在異常流量信息;追蹤分析模塊�,用于在所述系統(tǒng)的應(yīng)用主體中有異常流量時(shí)���,針對(duì)所述異常的流量信息,確定追蹤主機(jī)��,并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè)�,記錄所述追蹤主機(jī)的操作內(nèi)容�、操作時(shí)間及操作對(duì)象,所述追蹤主機(jī)為與異常流量信息相關(guān)的具有IP地址的設(shè)備���。優(yōu)選的�,還包括網(wǎng)絡(luò)操作監(jiān)測(cè)模塊�����,用于監(jiān)測(cè)所述系統(tǒng)的應(yīng)用主體的網(wǎng)絡(luò)操作�。優(yōu)選的,還包括報(bào)警模塊��,用于在應(yīng)用系統(tǒng)中出現(xiàn)異常流量信息和/或異常網(wǎng)絡(luò)操作的情況下��,通知用戶所述應(yīng)用系統(tǒng)存在異常流量信息或異常網(wǎng)絡(luò)操作����。優(yōu)選的��,還包括安全審計(jì)模塊����,用于記錄并統(tǒng)計(jì)異常流量信息及異常網(wǎng)絡(luò)操作����。一種網(wǎng)絡(luò)流量的分析方法,包括流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�,并從所述原始流量信息中提取出應(yīng)用層流量信息;流量分析模塊對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析����,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果,所述流量分析包括分析與所述流量相關(guān)的具有IP地址的設(shè)備的協(xié)議類型����、通信端口、會(huì)話時(shí)間以及數(shù)據(jù) 流量大小�。其中,所述流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�,并從所述原始流量信息中提取出應(yīng)用層流量信息具體包括本地采集模塊持續(xù)獲取通過網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息;預(yù)處理模塊根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息��;應(yīng)用提取模塊對(duì)所述特定流量信息進(jìn)行分組解析,識(shí)別出應(yīng)用層流量信息��。其中��,所述流量分析模塊對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析�,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果具體為應(yīng)用流量統(tǒng)計(jì)分析模塊根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件和相關(guān)的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行流量統(tǒng)計(jì)分析,判斷是否存在異常流量信息�;在所述系統(tǒng)的應(yīng)用主體中有異常流量時(shí),追蹤分析模塊針對(duì)所述異常的流量信息�,確定追蹤主機(jī),并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè)���,記錄所述追蹤主機(jī)的操作內(nèi)容、操作時(shí)間及操作對(duì)象���,所述追蹤主機(jī)為與異常流量信息相關(guān)的具有IP地址的設(shè)備����。優(yōu)選的���,還包括監(jiān)測(cè)所述系統(tǒng)的應(yīng)用主體的網(wǎng)絡(luò)操作內(nèi)容�����;在應(yīng)用系統(tǒng)中出現(xiàn)異常流量信息或異常網(wǎng)絡(luò)操作的情況下�����,通知用戶所述應(yīng)用系統(tǒng)存在異常流量信息或異常網(wǎng)絡(luò)操作���;記錄并統(tǒng)計(jì)異常流量信息及異常網(wǎng)絡(luò)操作���。經(jīng)由上述的技術(shù)方案可知,與現(xiàn)有技術(shù)相比����,本發(fā)明公開了一種網(wǎng)絡(luò)流量的分析系統(tǒng)及方法,該系統(tǒng)首先采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的流量信息���,通過對(duì)所述流量信息進(jìn)行分析處理�,識(shí)別出所述流量信息中的應(yīng)用層流量信息��,再對(duì)所述應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)分析���,判斷出異常流量�����,最終實(shí)現(xiàn)基于網(wǎng)絡(luò)流量的應(yīng)用層分析工作��,通過這種方法�����,能夠?qū)W(wǎng)絡(luò)中的應(yīng)用�、協(xié)議、連接��、流量�����、內(nèi)容等多層次進(jìn)行全方位的綜合分析����,達(dá)到了通過網(wǎng)絡(luò)流量的監(jiān)測(cè)分析保障網(wǎng)絡(luò)中應(yīng)用系統(tǒng)安全性的目的���。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)提供的附圖獲得其他的附圖����。圖1為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)流量分析系統(tǒng)的網(wǎng)絡(luò)部署示意圖;圖2為本發(fā)明實(shí)施例公開的一種網(wǎng)絡(luò)流量分析系統(tǒng)的結(jié)構(gòu)示意圖����;圖3為本發(fā)明實(shí)施例公開的另一種網(wǎng)絡(luò)流量分析系統(tǒng)的結(jié)構(gòu)示意圖;圖4為本發(fā)明實(shí)施例公開的一種網(wǎng)絡(luò)流量分析方法的第一流程示意圖�;圖5為本發(fā)明實(shí)施例公開的一種網(wǎng)絡(luò)流量分析方法的第二流程示意圖;圖6為本發(fā)明 實(shí)施例公開的另一種網(wǎng)絡(luò)流量分析方法的流程示意圖�����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍���。實(shí)施例一圖1為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)流量分析系統(tǒng)的網(wǎng)絡(luò)部署示意圖,參照?qǐng)D1����,本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)流量分析系統(tǒng)掛接在網(wǎng)絡(luò)管理人員所有需要關(guān)注的流量必須流經(jīng)的鏈路上�����,所述網(wǎng)絡(luò)管理人員需要關(guān)注的流量是指來自高危網(wǎng)絡(luò)區(qū)域的訪問流量?�,F(xiàn)在的網(wǎng)絡(luò)區(qū)域大都是交換式的網(wǎng)絡(luò)結(jié)構(gòu)�,因此�,所述網(wǎng)絡(luò)流量分析系統(tǒng)在交換式網(wǎng)絡(luò)中的位置一般部署在服務(wù)器區(qū)域的交換機(jī)上或重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。圖2為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)流量分析系統(tǒng)的結(jié)構(gòu)示意圖���,如圖2所示��,所述網(wǎng)絡(luò)流量分析系統(tǒng)20可以包括流量采集模塊201�����,用于采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的流量信息����,并從所述流量信息中提取出應(yīng)用層流量信息�;其中,所述流量采集模塊201具體可以包括本地采集模塊2011�,用于持續(xù)獲取通過網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�����;其中��,所述本地采集模塊2011可以利用探頭通過鏡像口連續(xù)采集通過所述網(wǎng)絡(luò)流量分析系統(tǒng)20所掛接的鏈路上的原始的流量信息���;預(yù)處理模塊2012,用于根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息�����;其中��,應(yīng)用系統(tǒng)中的配置文件中有用戶設(shè)定的特定的關(guān)注流量�,所述特定的關(guān)注流量可能來自于高危網(wǎng)絡(luò)訪問區(qū)域,所述預(yù)處理模塊2012能夠先對(duì)所述原始流量信息進(jìn)行解包處理�,然后根據(jù)配置文件的配置內(nèi)容分析出所述原始流量信息中的特定流量信息;應(yīng)用提取模塊2013�����,用于對(duì)所述特定流量信息進(jìn)行分組解析���,識(shí)別出應(yīng)用層流量信息����;其中����,所述應(yīng)用提取模塊2013可以采用快速協(xié)議分析技術(shù)對(duì)所述特定流量信息進(jìn)行分組解析,提取其應(yīng)用層流量信息�����;在所述流量采集模塊201提取出應(yīng)用層流量信息后��,流量分析模塊202再對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析���,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果���,所述流量分析包括分析與所述流量相關(guān)的具有IP地址的設(shè)備的協(xié)議類型、通信端口�����、會(huì)話時(shí)間以及數(shù)據(jù)流量大?����。黄渲?,所述流量分析模塊202具體可以包括應(yīng)用流量統(tǒng)計(jì)分析模塊2021,用于根據(jù)所述應(yīng)用系統(tǒng)的配置文件和相關(guān)的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行流量統(tǒng)計(jì)分析���,判斷是否存在異常流量信息�����;其中����,所述應(yīng)用系統(tǒng)的配置文件中有與所述應(yīng)用層流量信息相關(guān)的預(yù)設(shè)策略���,所述應(yīng)用流量統(tǒng)計(jì)分析模塊2021能夠根據(jù)所述的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)比較��,分析應(yīng)用層流量的累積和�����、流量階躍等內(nèi)容���,從而判斷出異常的流量信息;追蹤分析模塊2022,用于在所述系統(tǒng)的應(yīng)用主體中有異常流量時(shí)�����,針對(duì)所述異常的流量信息�����,確定追蹤主機(jī)�����,并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè)��,記錄所述追蹤主機(jī)的操作內(nèi)容����、操作時(shí)間及操作對(duì)象�����;其中�,所述追蹤主機(jī)為與異常流量信息相關(guān)的具有IP地址的設(shè)備,當(dāng)發(fā)現(xiàn)異常流量信息時(shí)����,所述追蹤分析模塊2022可以確定與所述異常流量信息有關(guān)的具有IP地址的設(shè)備為“嫌疑對(duì)象”���,將其設(shè)置為追蹤主機(jī),對(duì)其進(jìn)行實(shí)時(shí)的密切監(jiān)測(cè)���,并記錄下所述追蹤主機(jī)進(jìn)行的一切網(wǎng)絡(luò)操作動(dòng)作����,包括其操作內(nèi)容���、操作時(shí)間和操作對(duì)象��。本實(shí)施例中����,所述網(wǎng)絡(luò)流量的分析系統(tǒng)首先通過流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�,通過對(duì)所述流量信息進(jìn)行分析處理,識(shí)別出所述原始流量信息中應(yīng)用層流量信息��,再通過流量分析模塊對(duì)所述應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)比較�,分析出異常流量,并追隨所述異常流量監(jiān)測(cè)與其相關(guān)的�,具有IP地址的設(shè)備的網(wǎng)絡(luò)操作��,便于以后的取證和備查�����,實(shí)現(xiàn)了基于網(wǎng)絡(luò)流量的應(yīng)用層分析����。實(shí)施例二圖3為本發(fā)明實(shí)施例公開的另一種網(wǎng)絡(luò)流量分析系統(tǒng)的結(jié)構(gòu)示意圖��,如圖3所示�����,網(wǎng)絡(luò)流量分析系統(tǒng)30可以包括流量采集模塊201��,用于采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的流量信息�����,并從所述流量信息中提取出應(yīng)用層流量信息���;其中,所述流量采集模塊201具體可以包括本地采集模塊2011����,用于持續(xù)獲取通過網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息���;預(yù)處理模塊2012,用于根據(jù)所 述系統(tǒng)的應(yīng)用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息��;應(yīng)用提取模塊2013����,用于對(duì)所述特定流量信息進(jìn)行分組解析,識(shí)別出應(yīng)用層流量信息����;
流量分析模塊202,用于對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析���,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果,所述流量分析包括分析與所述流量相關(guān)的具有IP地址的設(shè)備的協(xié)議類型���、通信端ロ�����、會(huì)話時(shí)間以及數(shù)據(jù)流量大?���。黄渲?,所述流量分析模塊202具體可以包括應(yīng)用流量統(tǒng)計(jì)分析模塊2021,用于根據(jù)所述應(yīng)用系統(tǒng)的配置文件和相關(guān)的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行流量統(tǒng)計(jì)分析�����,判斷是否存在異常流量信息�����;追蹤分析模塊2022��,用于在所述系統(tǒng)的應(yīng)用主體中有異常流量時(shí)����,針對(duì)所述異常的流量信息�,確定追蹤主機(jī),并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè)�,記錄所述追蹤主機(jī)的操作內(nèi)容、操作時(shí)間及操作對(duì)象�����;網(wǎng)絡(luò)操作監(jiān)測(cè)模塊301,用于監(jiān)測(cè)所述應(yīng)用系統(tǒng)的網(wǎng)絡(luò)操作內(nèi)容�����;其中���,所述網(wǎng)絡(luò)操作監(jiān)測(cè)模塊可以對(duì)網(wǎng)絡(luò)操作數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析��,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常訪問操作和攻擊行為����;報(bào)警模塊302���,用于在應(yīng)用系統(tǒng)中出現(xiàn)異常流量信息和/或異常網(wǎng)絡(luò)操作的情況下�����,通知用戶所述應(yīng)用系統(tǒng)存在異常流量信息和/或異常網(wǎng)絡(luò)操作�����;其中��,在所述應(yīng)用系統(tǒng)中出現(xiàn)異常流量信息和/或異常網(wǎng)絡(luò)操作�����、帶有指定關(guān)鍵字的指定操作重復(fù)預(yù)設(shè)的閾值次數(shù)時(shí)�����,產(chǎn)生報(bào)警��,通知網(wǎng)絡(luò)管理人員���。在其他的實(shí)施例中,還可以包括安全審計(jì)模塊��,用于記錄并統(tǒng)計(jì)異常流量信息及異常網(wǎng)絡(luò)操作��;其中,所述安全審計(jì)模塊記錄并統(tǒng)計(jì)異常流量信息及異常網(wǎng)絡(luò)操作��,以便于對(duì)所述異常流量信息及異常網(wǎng)絡(luò)操作進(jìn)行取證和備查�����。
本實(shí)施例中��,所述網(wǎng)絡(luò)流量的分析系統(tǒng)首先通過流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�,通過對(duì)所述流量信息進(jìn)行分析處理,識(shí)別出所述原始流量信息中應(yīng)用層流量信息��,再通過流量分析模塊對(duì)所述應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)比較����,分析應(yīng)用系統(tǒng)中是否存在異常流量,同時(shí)該系統(tǒng)能夠監(jiān)測(cè)網(wǎng)絡(luò)操作內(nèi)容�����,分析出應(yīng)用系統(tǒng)中是否存在異常網(wǎng)絡(luò)操作�,在應(yīng)用系統(tǒng)中存在異常流量信息和/或異常網(wǎng)絡(luò)操作的情況下���,能夠產(chǎn)生報(bào)警����,通知網(wǎng)絡(luò)管理人員����,井能夠追蹤異常流量信息和/或異常網(wǎng)絡(luò)操作,記錄下追蹤結(jié)果�,便于以后的取證和備查,通過所述網(wǎng)絡(luò)流量分析系統(tǒng)��,能夠?qū)?duì)網(wǎng)絡(luò)中的應(yīng)用�、協(xié)議、連接��、流量�����、內(nèi)容等多層次進(jìn)行全方位的綜合分析�����,實(shí)現(xiàn)了基于網(wǎng)絡(luò)流量的應(yīng)用層分析��,達(dá)到了通過網(wǎng)絡(luò)流量的監(jiān)測(cè)分析保障網(wǎng)絡(luò)中應(yīng)用系統(tǒng)安全性的目的��。實(shí)施例三圖4為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)流量分析方法的流程示意圖a����,參照?qǐng)D4�����,本發(fā)明公開的網(wǎng)絡(luò)流量分析方法可以包括步驟401 :流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�,并從所述原始流量信息中提取出應(yīng)用層流量信息;本步驟中�����,是利用探頭通過鏡像端ロ對(duì)所述原始流量信息進(jìn)行采集的���,再對(duì)所述原始流量信息進(jìn)行處理���,提取出應(yīng)用層流量數(shù)據(jù),圖5為本發(fā)明實(shí)施例公開的網(wǎng)絡(luò)流量分析方法的流程示意圖b����,步驟401的具體步驟可以參見圖5的步驟501 步驟503,具體如下步驟501 :本地采集模塊持續(xù)獲取通過網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�����;
本步驟中��,用探頭通過鏡像端ロ對(duì)所述原始流量信息進(jìn)行連續(xù)采集���。步驟502 :預(yù)處理模塊根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息�;本步驟中,應(yīng)用系統(tǒng)中的配置文件中有用戶設(shè)定的特定的關(guān)注流量���,所述特定的關(guān)注流量可能來自于高危網(wǎng)絡(luò)訪問區(qū)域�,所述預(yù)處理模塊能夠先對(duì)所述原始流量信息進(jìn)行解包處理�,然后根據(jù)配置文件的配置內(nèi)容分析出所述原始流量信息中的特定流量信息;步驟503 :應(yīng)用提取模塊對(duì)所述特定流量信息進(jìn)行分組解析���,識(shí)別出應(yīng)用層流量信息���;本步驟中,所述應(yīng)用提取模塊可以采用快速協(xié)議分析技術(shù)對(duì)所述特定流量信息進(jìn)行分組解析����,提取其應(yīng)用層流量信息;在步驟401采集原始流量信息后,進(jìn)入步驟402 �;步驟402 :流量分析模塊對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果�����;本步驟中���,所述流量分析包括分析與所述流量相關(guān)的具有IP地址的設(shè)備的協(xié)議類型��、通信端ロ��、會(huì)話時(shí)間以及數(shù)據(jù)流量大小��,步驟402的具體步驟可參見圖5的步驟504 步驟505�,具體如下步驟504 :應(yīng)用流量統(tǒng)計(jì)分析模塊根據(jù)所述應(yīng)用系統(tǒng)的配置文件和相關(guān)的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行流量統(tǒng)計(jì)分析�����,判斷是否存在異常流量信息����,如果是,進(jìn)入步驟505�,如果否,則不做處理��;
本步驟中����,所述應(yīng)用系統(tǒng)的配置文件中有與所述應(yīng)用層流量信息相關(guān)的預(yù)設(shè)策略,所述應(yīng)用流量統(tǒng)計(jì)分析模塊能夠根據(jù)所述的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)比較����,分析應(yīng)用層流量的累積和�����、流量階躍等內(nèi)容���,從而判斷出是否存在異常的流量信息,如果存在�,則進(jìn)入步驟505進(jìn)行相應(yīng)的操作;如果不存在�����,則不做處理��;步驟505 :追蹤分析模塊針對(duì)所述異常的流量信息���,確定追蹤主機(jī)�����,并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè)���,記錄所述追蹤主機(jī)的操作內(nèi)容��、操作時(shí)間及操作對(duì)象��;本步驟中�,所述追蹤主機(jī)為與異常流量信息相關(guān)的具有IP地址的設(shè)備���,當(dāng)發(fā)現(xiàn)異常流量信息時(shí),所述追蹤分析模塊可以確定與所述異常流量信息有關(guān)的具有IP地址的設(shè)備為“嫌疑對(duì)象”�����,將其設(shè)置為追蹤主機(jī)��,對(duì)其進(jìn)行實(shí)時(shí)的密切監(jiān)測(cè)��,并記錄下所述追蹤主機(jī)進(jìn)行的一切網(wǎng)絡(luò)操作動(dòng)作���,包括其操作內(nèi)容��、操作時(shí)間和操作對(duì)象���。本實(shí)施例中,所述網(wǎng)絡(luò)流量的分析方法首先通過流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息��,通過對(duì)所述流量信息進(jìn)行分析處理,識(shí)別出所述原始流量信息中應(yīng)用層流量信息��,再對(duì)所述應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)比較����,分析出異常流量,并追隨所述異常流量監(jiān)測(cè)與其相關(guān)的�����,具有IP地址的設(shè)備的網(wǎng)絡(luò)操作����,便于以后的取證和備查,實(shí)現(xiàn)了基于網(wǎng)絡(luò)流量的應(yīng)用層分析����。實(shí)施例四圖6為本發(fā)明實(shí)施例公開的另一種網(wǎng)絡(luò)流量分析方法的流程示意圖,參見圖6����,本實(shí)施例公開的網(wǎng)絡(luò)流量分析方法的步驟可以如下步驟601 :本地采集模塊持續(xù)獲取通過網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息;步驟602 :預(yù)處理模塊根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息����;步驟603 :應(yīng)用提取模塊對(duì)所述特定流量信息進(jìn)行分組解析���,識(shí)別出應(yīng)用層流量信息;步驟604 :應(yīng)用流量統(tǒng)計(jì)分析模塊根據(jù)所述應(yīng)用系統(tǒng)的配置文件和相關(guān)的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行流量統(tǒng)計(jì)分析�����,判斷出是否存在異常流量信息���,如果是,同時(shí)進(jìn)入步驟605和609�,如果否,則不作處理���;步驟605 :追蹤分析模塊針對(duì)所述異常的流量信息�,確定追蹤主機(jī)���,并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè)���,記錄所述追蹤主機(jī)的操作內(nèi)容、操作時(shí)間及操作對(duì)象��;步驟606 :網(wǎng)絡(luò)操作監(jiān)測(cè)模塊監(jiān)測(cè)所述應(yīng)用系統(tǒng)的網(wǎng)絡(luò)操作內(nèi)容�;本步驟中�����,所述網(wǎng)絡(luò)操作監(jiān)測(cè)模塊可以對(duì)網(wǎng)絡(luò)操作數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析�����,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常訪問操作和攻擊行為�����;步驟607 :判斷應(yīng)用系統(tǒng)中是否存在異常網(wǎng)絡(luò)操作���,如果是,同時(shí)進(jìn)入步驟608和步驟609��,如果否�����,則不作處理��;本步驟中�����,所述應(yīng)用系統(tǒng)的配置文件中有與所述網(wǎng)絡(luò)操作相關(guān)的預(yù)設(shè)策略,根據(jù)所述的預(yù)設(shè)策略對(duì)所述網(wǎng)絡(luò)操作進(jìn)行統(tǒng)計(jì)比較����,分析所述網(wǎng)絡(luò)操作的內(nèi)容,從而判斷出是否存在異常的網(wǎng)絡(luò)操作��,如果存在��,則同時(shí)進(jìn)入步驟608和步驟609進(jìn)行相應(yīng)的操作����;如果不存在,則不做處理�����;步驟608 :追蹤分析模塊針對(duì)所述異常網(wǎng)絡(luò)操作�,確定追蹤主機(jī)�,并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè),記錄所述追蹤主機(jī)的操作內(nèi)容����、操作時(shí)間及操作對(duì)象;步驟609:報(bào)警。
在其他的實(shí)施例中��,還可以包括記錄并統(tǒng)計(jì)異常流量信息及異常網(wǎng)絡(luò)操作的步驟��。本實(shí)施例中�,所述網(wǎng)絡(luò)流量的分析方法首先采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息,通過對(duì)所述流量信息進(jìn)行分析處理���,識(shí)別出所述原始流量信息中應(yīng)用層流量信息����,再對(duì)所述應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)比較��,分析應(yīng)用系統(tǒng)中是否存在異常流量��,同時(shí)該方法能夠監(jiān)測(cè)網(wǎng)絡(luò)操作內(nèi)容���,分析出應(yīng)用系統(tǒng)中是否存在異常網(wǎng)絡(luò)操作��,在應(yīng)用系統(tǒng)中存在異常流量信息和/或異常網(wǎng)絡(luò)操作的情況下��,能夠產(chǎn)生報(bào)警�,通知網(wǎng)絡(luò)管理人員�����,井能夠追蹤異常流量信息和/或異常網(wǎng)絡(luò)操作,記錄下追蹤結(jié)果���,便于以后的取證和備查�,通過所述網(wǎng)絡(luò)流量分析方法����,能夠?qū)?duì)網(wǎng)絡(luò)中的應(yīng)用、協(xié)議��、連接�、流量、內(nèi)容等多層次進(jìn)行全方位的綜合分析�����,實(shí)現(xiàn)了基于網(wǎng)絡(luò)流量的應(yīng)用層分析��,達(dá)到了通過網(wǎng)絡(luò)流量的監(jiān)測(cè)分析保障網(wǎng)絡(luò)中應(yīng)用系統(tǒng)安全性的目的�。結(jié)合本文中所公開的實(shí)施例描述的方法或算法的步驟可以直接用硬件����、處理器執(zhí)行的軟件模塊,或者二者的結(jié)合來實(shí)施。軟件模塊可以置于隨機(jī)存儲(chǔ)器(RAM)��、內(nèi)存��、只讀存儲(chǔ)器(ROM)����、電可編程ROM、電可擦除可編程ROM��、寄存器�、硬盤、可移動(dòng)磁盤�����、CD-ROM��、或技術(shù)領(lǐng)域內(nèi)所公知的任意其它形式的存儲(chǔ)介質(zhì)中��。對(duì)所公開的實(shí)施例的上述說明����,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的�����,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)���。因此�����,本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例��,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最 寬的范圍�。
權(quán)利要求
1.一種網(wǎng)絡(luò)流量的分析系統(tǒng)����,其特征在于,包括流量采集模塊和流量分析模塊����; 所述流量采集模塊用于采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息,并從所述原始流量信息中提取出應(yīng)用層流量信息����; 所述流量分析模塊用于對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析���,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果���,所述流量分析包括分析與所述流量相關(guān)的具有IP地址的設(shè)備的協(xié)議類型�、通信端口���、會(huì)話時(shí)間以及數(shù)據(jù)流量大小���。
2.根據(jù)權(quán)利要求1所述系統(tǒng),其特征在于�,所述流量采集模塊具體包括 本地采集模塊,用于持續(xù)獲取通過網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息���; 預(yù)處理模塊�,用于根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息�; 應(yīng)用提取模塊,用于對(duì)所述特定流量信息進(jìn)行分組解析���,識(shí)別出應(yīng)用層流量信息����。
3.根據(jù)權(quán)利要求1所述系統(tǒng)���,其特征在于����,所述流量分析模塊具體包括 應(yīng)用流量統(tǒng)計(jì)分析模塊,用于根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件和相關(guān)的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行流量統(tǒng)計(jì)分析�����,判斷是否存在異常流量信息��; 追蹤分析模塊�����,用于在所述系統(tǒng)的應(yīng)用主體中有異常流量時(shí)���,針對(duì)所述異常的流量信息����,確定追蹤主機(jī)����,并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè),記錄所述追蹤主機(jī)的操作內(nèi)容���、操作時(shí)間及操作對(duì)象��,所述追蹤主機(jī)為與異常流量信息相關(guān)的具有IP地址的設(shè)備���。
4.根據(jù)權(quán)利要求1所述系統(tǒng),其特征在于����,還包括 網(wǎng)絡(luò)操作監(jiān)測(cè)模塊,用于監(jiān)測(cè)所述系統(tǒng)的應(yīng)用主體的網(wǎng)絡(luò)操作�。
5.根據(jù)權(quán)利要求1所述系統(tǒng),其特征在于��,還包括 報(bào)警模塊�����,用于在應(yīng)用系統(tǒng)中出現(xiàn)異常流量信息和/或異常網(wǎng)絡(luò)操作的情況下���,通知用戶所述應(yīng)用系統(tǒng)存在異常流量信息或異常網(wǎng)絡(luò)操作�。
6.根據(jù)權(quán)利要求1所述系統(tǒng)�,其特征在于,還包括 安全審計(jì)模塊��,用于記錄并統(tǒng)計(jì)異常流量信息及異常網(wǎng)絡(luò)操作。
7.—種網(wǎng)絡(luò)流量的分析方法�,其特征在于,包括 流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息��,并從所述原始流量信息中提取出應(yīng)用層流量信息��; 流量分析模塊對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析����,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果,所述流量分析包括分析與所述流量相關(guān)的具有IP地址的設(shè)備的協(xié)議類型���、通信端口���、會(huì)話時(shí)間以及數(shù)據(jù)流量大小。
8.根據(jù)權(quán)利要求7所述方法���,其特征在于�����,所述流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息�����,并從所述原始流量信息中提取出應(yīng)用層流量信息具體包括 本地采集模塊持續(xù)獲取通過網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息��; 預(yù)處理模塊根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件分析出所述原始流量信息中特定源地址的特定流量信息��; 應(yīng)用提取模塊對(duì)所述特定流量信息進(jìn)行分組解析���,識(shí)別出應(yīng)用層流量信息。
9.根據(jù)權(quán)利要求7所述方法��,其特征在于���,所述流量分析模塊對(duì)所述應(yīng)用層流量信息進(jìn)行流量分析���,并統(tǒng)計(jì)所述應(yīng)用層流量信息的分析結(jié)果具體為 應(yīng)用流量統(tǒng)計(jì)分析模塊根據(jù)所述系統(tǒng)的應(yīng)用主體的配置文件和相關(guān)的預(yù)設(shè)策略對(duì)所述應(yīng)用層流量信息進(jìn)行流量統(tǒng)計(jì)分析,判斷是否存在異常流量信息����; 在所述系統(tǒng)的應(yīng)用主體中有異常流量時(shí),追蹤分析模塊針對(duì)所述異常的流量信息��,確定追蹤主機(jī)�,并對(duì)所述追蹤主機(jī)進(jìn)行監(jiān)測(cè),記錄所述追蹤主機(jī)的操作內(nèi)容、操作時(shí)間及操作對(duì)象�����,所述追蹤主機(jī)為與異常流量信息相關(guān)的具有IP地址的設(shè)備����。
10.根據(jù)權(quán)利要求7所述方法,其特征在于���,還包括 監(jiān)測(cè)所述系統(tǒng)的應(yīng)用主體的網(wǎng)絡(luò)操作內(nèi)容���; 在應(yīng)用系統(tǒng)中出現(xiàn)異常流量信息或異常網(wǎng)絡(luò)操作的情況下,通知用戶所述應(yīng)用系統(tǒng)存在異常流量信息或異常網(wǎng)絡(luò)操作�; 記錄并統(tǒng)計(jì)異常流量信息及異常網(wǎng)絡(luò)操作。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)流量的分析系統(tǒng)及方法����,該系統(tǒng)首先通過流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息,然后提取出所述原始流量信息中的應(yīng)用層流量信息�����,再通過對(duì)所述應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)比較���,分析出應(yīng)用系統(tǒng)中是否存在異常流量�����,實(shí)現(xiàn)了基于網(wǎng)絡(luò)流量的應(yīng)用層分析��,達(dá)到了通過網(wǎng)絡(luò)流量的監(jiān)測(cè)分析保障網(wǎng)絡(luò)中應(yīng)用系統(tǒng)安全性的目的��。同時(shí)該系統(tǒng)還能夠監(jiān)測(cè)網(wǎng)絡(luò)操作內(nèi)容���,分析出應(yīng)用系統(tǒng)中是否存在異常網(wǎng)絡(luò)操作�,在應(yīng)用系統(tǒng)中存在異常流量信息和/或異常網(wǎng)絡(luò)操作的情況下����,能夠產(chǎn)生報(bào)警���,通過這種方法�����,能夠?qū)?duì)網(wǎng)絡(luò)中的應(yīng)用����、協(xié)議、連接�、流量、內(nèi)容等多層次進(jìn)行全方位的綜合分析�,全面保障應(yīng)用系統(tǒng)的安全。
文檔編號(hào)H04L12/24GK103067192SQ201110321848
公開日2013年4月24日 申請(qǐng)日期2011年10月20日 優(yōu)先權(quán)日2011年10月20日
發(fā)明者李志鵬, 王洪波 申請(qǐng)人:北京天行網(wǎng)安信息技術(shù)有限責(zé)任公司