基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)。該系統(tǒng)包括:流量快速采集模塊�,實(shí)現(xiàn)基于傳感器分布式部署、集中數(shù)據(jù)感知架構(gòu)下的大規(guī)模網(wǎng)絡(luò)的實(shí)時(shí)在線流量采集�;網(wǎng)絡(luò)狀態(tài)快速感知模塊,實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)及其變動(dòng)��、網(wǎng)絡(luò)活躍度、訪問(wèn)控制列表策略異常的快速感知����;可視化模塊,顯示感知結(jié)果�。本發(fā)明實(shí)現(xiàn)了網(wǎng)絡(luò)流的快速采集,并將網(wǎng)絡(luò)流分析的方法推廣到網(wǎng)絡(luò)感知領(lǐng)域中��,采用時(shí)間分片的方法�����,同時(shí)引入二級(jí)數(shù)據(jù)庫(kù)�����,實(shí)現(xiàn)了網(wǎng)絡(luò)狀態(tài)快速感知�����。
【專利說(shuō)明】
基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,尤其涉及一種基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)����。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)����、通信等信息技術(shù)的不斷發(fā)展�,特別是Internet的普及,使得網(wǎng)絡(luò)成為人們?nèi)粘9ぷ?、生活的重要組成部分。然而網(wǎng)絡(luò)蓬勃發(fā)展的同時(shí)���,計(jì)算機(jī)病毒�、惡意攻擊�����、信息竊取等安全威脅帶來(lái)的問(wèn)題也越來(lái)越嚴(yán)重�,影響到用戶的正常使用和信息的安全傳遞。保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全��、正常運(yùn)行已經(jīng)成為企業(yè)�����、政府��、軍事部門等越來(lái)越關(guān)心的問(wèn)題����。
[0003]為了應(yīng)對(duì)各類安全威脅,防火墻����、入侵檢測(cè)系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)����、防病毒軟件、安全審計(jì)等網(wǎng)絡(luò)安全設(shè)備或軟件在網(wǎng)絡(luò)中得到了廣泛應(yīng)用��。多樣的監(jiān)測(cè)方式和事件報(bào)告機(jī)制給網(wǎng)絡(luò)管理人員提供了關(guān)于網(wǎng)絡(luò)安全海量的多元數(shù)據(jù)��,但是目前卻缺乏有效的手段將這些零散的信息進(jìn)行融合���,從而得到整個(gè)網(wǎng)絡(luò)的安全狀況和變化趨勢(shì)信息�,為網(wǎng)絡(luò)管理人員的工作提供決策層面的支持�����。在這種背景下���,研究人員將最早出現(xiàn)在航空領(lǐng)域的態(tài)勢(shì)感知技術(shù)應(yīng)用于網(wǎng)絡(luò)��,提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知�����,其主要目的就是從多元的安全信息中提取����、精煉、融合生成宏觀層面的網(wǎng)絡(luò)安全信息��,幫助管理人員及時(shí)處理網(wǎng)絡(luò)中出現(xiàn)的各類安全問(wèn)題�。
[0004]從上世紀(jì)九十年代初開(kāi)始,國(guó)外逐步展開(kāi)了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究����,并且受到了軍、政等重要部門以及眾多科研機(jī)構(gòu)的重視��。近年來(lái)�,我國(guó)將信息系統(tǒng)安全技術(shù)列為21世紀(jì)重點(diǎn)發(fā)展領(lǐng)域,并作為國(guó)家863計(jì)劃和國(guó)家自然科學(xué)基金的重點(diǎn)支持對(duì)象���,明確指出對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的研究,在提高我國(guó)網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力和保證國(guó)家戰(zhàn)略發(fā)展安全等方面都具有十分重要的意義��。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的研究是網(wǎng)絡(luò)安全領(lǐng)域必然要經(jīng)歷的下一個(gè)發(fā)展階段,該項(xiàng)研究的開(kāi)展會(huì)為網(wǎng)絡(luò)安全技術(shù)提供一個(gè)更寬�����、更廣的發(fā)展空間����,增強(qiáng)網(wǎng)絡(luò)安全管理手段的有效性和實(shí)時(shí)性。
[0005]網(wǎng)絡(luò)安全態(tài)勢(shì)研究之初����,網(wǎng)絡(luò)環(huán)境無(wú)論是規(guī)模、速度還是應(yīng)用的多樣性都無(wú)法與今天相比���。相應(yīng)地���,對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的研究也主要以中、小規(guī)模為主�����,選擇的數(shù)據(jù)源多是各類日志記錄�����。隨著網(wǎng)絡(luò)的迅猛發(fā)展,應(yīng)用范圍的延伸��,規(guī)模的不斷擴(kuò)大��,網(wǎng)絡(luò)安全態(tài)勢(shì)的研究也需要不斷適應(yīng)網(wǎng)絡(luò)的發(fā)展����,為建立集監(jiān)控、防護(hù)���、應(yīng)急響應(yīng)于一體的����、實(shí)時(shí)的��、動(dòng)態(tài)的�����、主動(dòng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)提供技術(shù)支持�����。
[0006]研究發(fā)現(xiàn),現(xiàn)有網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)存在如下不足:
[0007]I)缺乏原始數(shù)據(jù)�,僅對(duì)網(wǎng)絡(luò)安全設(shè)備或軟件的記錄日志分析,缺乏第一手的原始信息���;
[0008]2)應(yīng)用場(chǎng)景受限,隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展��,企業(yè)面臨海量信息處理的情況已普遍存在��,現(xiàn)有網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)多局限于局域網(wǎng)和單機(jī)的日志數(shù)據(jù)的收集和分析��,尚不能適用于大規(guī)模網(wǎng)絡(luò)的網(wǎng)絡(luò)安全的態(tài)勢(shì)評(píng)估���。
【發(fā)明內(nèi)容】
[0009]本發(fā)明要解決的技術(shù)問(wèn)題在于針對(duì)現(xiàn)有技術(shù)中的缺陷�,提供一種基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)�����,克服傳統(tǒng)網(wǎng)絡(luò)感知方法缺少原始數(shù)據(jù)�、無(wú)法應(yīng)用于大規(guī)模網(wǎng)絡(luò)場(chǎng)景的問(wèn)題,提高了網(wǎng)絡(luò)感知結(jié)果的全面性��、精確性�����、實(shí)時(shí)性。
[0010]本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是:一種基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)��,包括:
[0011]網(wǎng)絡(luò)流量快速采集模塊��,用于通過(guò)傳感器進(jìn)行大規(guī)模網(wǎng)絡(luò)的實(shí)時(shí)在線流量快速采集和預(yù)處理���;所述傳感器在多個(gè)子網(wǎng)分布式部署�����;所述預(yù)處理包括對(duì)原始網(wǎng)絡(luò)流進(jìn)行解包�、重組和解碼將原始網(wǎng)絡(luò)流轉(zhuǎn)換形成流格式I ;所述流格式I為包括源IP����,目的IP,源端口��,目的端口����,傳輸層協(xié)議,應(yīng)用層協(xié)議�,包數(shù),字節(jié)數(shù),標(biāo)志位���,開(kāi)始時(shí)間��,持續(xù)時(shí)間��,結(jié)束時(shí)間的數(shù)據(jù)組;
[0012]所述網(wǎng)絡(luò)流量快速采集模塊還用于對(duì)采集到的流格式I的網(wǎng)絡(luò)流定時(shí)打包�,導(dǎo)出網(wǎng)絡(luò)流臨時(shí)文件,等待分析器提取接收���;
[0013]網(wǎng)絡(luò)狀態(tài)快速感知模塊���,包括:
[0014]分析器,用于根據(jù)配置信息���,將接收的流格式I的網(wǎng)絡(luò)流分類進(jìn)行格式轉(zhuǎn)換��,轉(zhuǎn)換為流格式2后�����,打包存儲(chǔ)為基于設(shè)定時(shí)間的文件系統(tǒng)�����,作為數(shù)據(jù)分析對(duì)象�����;最終的網(wǎng)絡(luò)流分析對(duì)象即為流格式2的網(wǎng)絡(luò)流���;所述流格式2為包括流入流出類型�����,來(lái)源子網(wǎng)名����,源IP����,目的IP,源端口��,目的端口����,傳輸層協(xié)議�,應(yīng)用層協(xié)議���,包數(shù)����,字節(jié)數(shù)�����,標(biāo)志位�����,開(kāi)始時(shí)間��,持續(xù)時(shí)間����,結(jié)束時(shí)間等���;
[0015]感知器�����,用于對(duì)流格式2的網(wǎng)絡(luò)流進(jìn)行數(shù)據(jù)分析���,獲取網(wǎng)絡(luò)狀態(tài)感知結(jié)果�����;
[0016]I)內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)讀取和寫入關(guān)鍵數(shù)據(jù)����;
[0017]2)基于內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)中的關(guān)鍵數(shù)據(jù)��,采用根據(jù)時(shí)間分片的方法���,對(duì)比內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)中的關(guān)鍵數(shù)據(jù)分析當(dāng)前時(shí)間片間隔內(nèi)網(wǎng)絡(luò)流元數(shù)����,定時(shí)執(zhí)行腳本快速分析網(wǎng)絡(luò)流元數(shù)據(jù)����,獲取網(wǎng)絡(luò)狀態(tài)感知結(jié)果;所述網(wǎng)絡(luò)狀態(tài)感知結(jié)果包括網(wǎng)絡(luò)資產(chǎn)及其變動(dòng)��、網(wǎng)絡(luò)活躍度�、訪問(wèn)控制列表策略異常��;
[0018]3)根據(jù)網(wǎng)絡(luò)狀態(tài)感知結(jié)果同時(shí)更新內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)����。所述內(nèi)存為服務(wù)器內(nèi)存����,所述二級(jí)數(shù)據(jù)庫(kù)設(shè)置在服務(wù)器上;
[0019]可視化模塊����,用于顯示網(wǎng)絡(luò)狀態(tài)感知結(jié)果。
[0020]按上述方案�,所述格式轉(zhuǎn)換模塊中設(shè)定時(shí)間為小時(shí)。
[0021]按上述方案�����,所述分析器中的關(guān)鍵數(shù)據(jù)包括資產(chǎn)信息���、網(wǎng)絡(luò)流量統(tǒng)計(jì)信息和訪問(wèn)控制列表(ACL)策略。
[0022]本發(fā)明產(chǎn)生的有益效果是:
[0023]1.本發(fā)明保存了網(wǎng)絡(luò)原始流信息�����,與傳統(tǒng)的單一 IDS源獲取相比,感知結(jié)果更全面��、精確�;
[0024]2.本發(fā)明可應(yīng)用于大規(guī)模網(wǎng)絡(luò)和多數(shù)據(jù)源網(wǎng)絡(luò),在行業(yè)大數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的背景下����,更具實(shí)用性;
[0025]3.本發(fā)明引入了內(nèi)存數(shù)據(jù)庫(kù)和二級(jí)數(shù)據(jù)庫(kù)���,保證了實(shí)時(shí)性和高響應(yīng)�,提高感知結(jié)果的精確性和有效性����。
【附圖說(shuō)明】
[0026]下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明,附圖中:
[0027]圖1是本發(fā)明系統(tǒng)的工作流程圖����;
[0028]圖2為系統(tǒng)實(shí)施方案的原理圖;
[0029]圖3為網(wǎng)絡(luò)資產(chǎn)的新增和閃現(xiàn)快速感知步驟圖�����;
[0030]圖4為子網(wǎng)流量走勢(shì)快速感知步驟圖����。
【具體實(shí)施方式】
[0031]為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下結(jié)合實(shí)施例��,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明��。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明����,并不用于限定本發(fā)明����。
[0032]—種基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng),包括:
[0033]網(wǎng)絡(luò)流量快速采集模塊���,用于通過(guò)傳感器進(jìn)行大規(guī)模網(wǎng)絡(luò)的實(shí)時(shí)在線流量快速采集和預(yù)處理����;所述傳感器在多個(gè)子網(wǎng)分布式部署;所述預(yù)處理包括對(duì)原始網(wǎng)絡(luò)流進(jìn)行解包�、重組和解碼將原始網(wǎng)絡(luò)流轉(zhuǎn)換形成流格式I ;所述流格式I為包括源IP,目的IP���,源端口��,目的端口���,傳輸層協(xié)議,應(yīng)用層協(xié)議�,包數(shù),字節(jié)數(shù)���,標(biāo)志位��,開(kāi)始時(shí)間�����,持續(xù)時(shí)間�����,結(jié)束時(shí)間的數(shù)據(jù)組��;
[0034]所述網(wǎng)絡(luò)流量快速采集模塊還用于對(duì)采集到的流格式I的網(wǎng)絡(luò)流定時(shí)打包�����,導(dǎo)出網(wǎng)絡(luò)流臨時(shí)文件�,等待分析器提取接收;
[0035]網(wǎng)絡(luò)狀態(tài)快速感知模塊��,包括:
[0036]分析器�����,用于根據(jù)配置信息����,將接收的流格式I的網(wǎng)絡(luò)流分類進(jìn)行格式轉(zhuǎn)換,轉(zhuǎn)換為流格式2后����,打包存儲(chǔ)為基于設(shè)定時(shí)間的文件系統(tǒng),作為數(shù)據(jù)分析對(duì)象�����;最終的網(wǎng)絡(luò)流分析對(duì)象即為流格式2的網(wǎng)絡(luò)流���;所述流格式2為包括流入流出類型����,來(lái)源子網(wǎng)名�����,源IP��,目的IP����,源端口,目的端口���,傳輸層協(xié)議���,應(yīng)用層協(xié)議��,包數(shù)�,字節(jié)數(shù)��,標(biāo)志位����,開(kāi)始時(shí)間,持續(xù)時(shí)間���,結(jié)束時(shí)間等��;
[0037]感知器�����,用于對(duì)流格式2的網(wǎng)絡(luò)流進(jìn)行數(shù)據(jù)分析����,獲取網(wǎng)絡(luò)狀態(tài)感知結(jié)果�;
[0038]I)內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)讀取和寫入關(guān)鍵數(shù)據(jù);
[0039]2)基于內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)中的關(guān)鍵數(shù)據(jù)����,采用根據(jù)時(shí)間分片的方法��,對(duì)比內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)中的關(guān)鍵數(shù)據(jù)分析當(dāng)前時(shí)間片間隔內(nèi)網(wǎng)絡(luò)流元數(shù)�,定時(shí)執(zhí)行腳本快速分析網(wǎng)絡(luò)流元數(shù)據(jù)����,獲取網(wǎng)絡(luò)狀態(tài)感知結(jié)果���;所述網(wǎng)絡(luò)狀態(tài)感知結(jié)果包括網(wǎng)絡(luò)資產(chǎn)及其變動(dòng)�、網(wǎng)絡(luò)活躍度�����、訪問(wèn)控制列表策略異常���;
[0040]3)根據(jù)網(wǎng)絡(luò)狀態(tài)感知結(jié)果同時(shí)更新內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)�����。所述內(nèi)存為服務(wù)器內(nèi)存���,所述二級(jí)數(shù)據(jù)庫(kù)設(shè)置在服務(wù)器上;
[0041]可視化模塊�����,用于顯示網(wǎng)絡(luò)狀態(tài)感知結(jié)果。
[0042]本系統(tǒng)工作流程如圖1所示�,經(jīng)由如下步驟:
[0043]1.網(wǎng)絡(luò)流的分類匯聚
[0044]數(shù)據(jù)采集功能是本系統(tǒng)的基礎(chǔ),為網(wǎng)絡(luò)流的統(tǒng)計(jì)分析提供基礎(chǔ)��。數(shù)據(jù)采集主要是對(duì)原始數(shù)據(jù)的采集���,原始網(wǎng)絡(luò)流經(jīng)過(guò)解包�����、重組��、解碼等預(yù)處理�,在采集器中轉(zhuǎn)換形成流格式I輸出��。
[0045]系統(tǒng)涉及的網(wǎng)絡(luò)流來(lái)自于“流”的概念����,一個(gè)“流”,來(lái)自相同的子接口���,有相同的源和目的IP地址����,協(xié)議類型,相同的源和目的端口號(hào)����,通常為5元組。步驟I記錄的流格式I會(huì)記錄流的其他關(guān)鍵信息���,包括源IP,目的IP���,源端口�����,目的端口���,傳輸層協(xié)議,應(yīng)用層協(xié)議����,包數(shù),字節(jié)數(shù)����,標(biāo)志位�,開(kāi)始時(shí)間���,持續(xù)時(shí)間����,結(jié)束時(shí)間等����。
[0046]步驟I完成對(duì)原始數(shù)據(jù)的采集,原始網(wǎng)絡(luò)流經(jīng)過(guò)解包�、重組、解碼���,根據(jù)有效載荷計(jì)算高層協(xié)議等���,得出初始流格式。由于將網(wǎng)絡(luò)流分析中的流獲取的復(fù)雜工序從流分析器中分離出來(lái)�,如流匯聚、流協(xié)議計(jì)算等工作�����,減少了分析器的負(fù)載,提升了分析器計(jì)算網(wǎng)絡(luò)狀態(tài)感知結(jié)果的效率����。
[0047]2.網(wǎng)絡(luò)流的打包與遠(yuǎn)程傳輸
[0048]采集器匯集采集到的流格式I的網(wǎng)絡(luò)流定時(shí)打包導(dǎo)出網(wǎng)絡(luò)流臨時(shí)文件,等待分析器提取��。如圖2所示的系統(tǒng)實(shí)施方案部署圖��,每個(gè)子網(wǎng)部署一個(gè)采集器�����,經(jīng)過(guò)網(wǎng)絡(luò)流的分類匯聚�����、打包�����,生成網(wǎng)絡(luò)流臨時(shí)文件����,進(jìn)行遠(yuǎn)程傳輸���。
[0049]3.網(wǎng)絡(luò)流的格式轉(zhuǎn)換與存儲(chǔ)
[0050]分析器實(shí)時(shí)提取各采集器生成的網(wǎng)絡(luò)流臨時(shí)文件����,根據(jù)配置信息,將流格式I的網(wǎng)絡(luò)流分類進(jìn)行格式轉(zhuǎn)換�����,轉(zhuǎn)換為流格式2后�����,打包存儲(chǔ)為基于小時(shí)的文件系統(tǒng)�����,作為數(shù)據(jù)分析對(duì)象��,最終的網(wǎng)絡(luò)流分析對(duì)象即為格式2的網(wǎng)絡(luò)流���,總的來(lái)說(shuō)���,包括流入流出類型,來(lái)源子網(wǎng)名,源IP���,目的IP���,源端口,目的端口����,傳輸層協(xié)議,應(yīng)用層協(xié)議���,包數(shù)���,字節(jié)數(shù),標(biāo)志位�,開(kāi)始時(shí)間����,持續(xù)時(shí)間,結(jié)束時(shí)間等����。
[0051]4.網(wǎng)絡(luò)狀態(tài)快速感知
[0052]分析器在網(wǎng)絡(luò)流分析的基礎(chǔ)上,引入二級(jí)數(shù)據(jù)庫(kù),采用基于時(shí)間分片的方法�����,實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)及其變動(dòng)�����、網(wǎng)絡(luò)活躍度����、ACL策略異常等網(wǎng)絡(luò)運(yùn)行狀態(tài)的快速感知。圖2中分析器和二級(jí)數(shù)據(jù)庫(kù)之前傳輸?shù)臄?shù)據(jù)包括子網(wǎng)配置信息�、子網(wǎng)資產(chǎn)信息、子網(wǎng)活躍度基本信息����、子網(wǎng)ACL策略、子網(wǎng)ACL策略異常信息等��。
[0053]網(wǎng)絡(luò)資產(chǎn)及其變動(dòng)的快速感知��,進(jìn)一步包括:基于流量的新增資產(chǎn)的快速感知�����、基于流量的停用資產(chǎn)的快速感知、基于流量的閃現(xiàn)資產(chǎn)的快速感知���,如圖3所示�,以新增和閃現(xiàn)網(wǎng)絡(luò)資產(chǎn)的快速感知為例����,實(shí)現(xiàn)包括如下步驟:
[0054]000.開(kāi)始。假設(shè)資產(chǎn)已錄入二級(jí)數(shù)據(jù)庫(kù)的資產(chǎn)列表表��,二級(jí)數(shù)據(jù)庫(kù)中資產(chǎn)變動(dòng)表初始為空�,資產(chǎn)列表表包括資產(chǎn)IP、資產(chǎn)所屬子網(wǎng)等��,資產(chǎn)變動(dòng)表包括IP����、首次出現(xiàn)時(shí)間、變動(dòng)類型(新增�����、閃現(xiàn)或停用)等��;
[0055]001.資產(chǎn)錄入��。內(nèi)存讀取二級(jí)數(shù)據(jù)庫(kù)中的子網(wǎng)配置信息和資產(chǎn)列表���,子網(wǎng)配置信息包括子網(wǎng)名和子網(wǎng)所在網(wǎng)段����,接著執(zhí)行步驟002 ;
[0056]002.此步驟每隔一個(gè)時(shí)間分片執(zhí)行一次�����。分析當(dāng)前時(shí)間片間隔內(nèi)的網(wǎng)絡(luò)流�����,記錄網(wǎng)絡(luò)流中出現(xiàn)的所有IP和出現(xiàn)時(shí)間��,對(duì)比子網(wǎng)配置信息�、資產(chǎn)列表、資產(chǎn)變動(dòng)表���,獲取在子網(wǎng)網(wǎng)段內(nèi)�、從未在資產(chǎn)列表出現(xiàn)過(guò)����、不在資產(chǎn)變動(dòng)表或在資產(chǎn)變動(dòng)表但變動(dòng)類型不是新增的IP��,如果該IP不在資產(chǎn)變動(dòng)表或在資產(chǎn)變動(dòng)表中變動(dòng)類型不為閃現(xiàn)����,則執(zhí)行003 ;如果該IP在資產(chǎn)變動(dòng)表中變動(dòng)類型為閃現(xiàn)����,則進(jìn)一步對(duì)比資產(chǎn)變動(dòng)表中的該IP首次出現(xiàn)時(shí)間,如果該首次出現(xiàn)時(shí)間和當(dāng)前出現(xiàn)時(shí)間的時(shí)間間隔超過(guò)7天�����,執(zhí)行步驟004 ;
[0057]003.此時(shí)認(rèn)為該IP首次出現(xiàn)���,可視為閃現(xiàn)�����,在資產(chǎn)列表中加入該IP的相關(guān)信息����,包括IP地址����、當(dāng)前出現(xiàn)時(shí)間、所在子網(wǎng)等��,執(zhí)行步驟005 ;
[0058]004.此時(shí)認(rèn)為該IP在7天內(nèi)持續(xù)多次出現(xiàn)��,可視為新增�,在資產(chǎn)變動(dòng)表中將該IP變動(dòng)類型標(biāo)為新增,同時(shí)更新內(nèi)存緩存����,執(zhí)行步驟005 ;
[0059]005.結(jié)束。
[0060]網(wǎng)絡(luò)活躍度的快速感知�,進(jìn)一步包括:基于流量的網(wǎng)絡(luò)流量走勢(shì)情況的快速感知、基于流量的網(wǎng)絡(luò)間互通情況的快速感知���、基于流量的網(wǎng)絡(luò)協(xié)議分布情況的快速感知�,以一個(gè)月內(nèi)的網(wǎng)絡(luò)流量走勢(shì)情況的快速感知為例�����,實(shí)現(xiàn)包括如下步驟:
[0061]100.開(kāi)始�。經(jīng)過(guò)固定的時(shí)間間隔,腳本開(kāi)始運(yùn)行����。
[0062]101.分析當(dāng)前時(shí)間片間隔����,讀取子網(wǎng)配置表中的子網(wǎng)和子網(wǎng)網(wǎng)段信息��,統(tǒng)計(jì)當(dāng)前時(shí)間間隔內(nèi)每個(gè)子網(wǎng)網(wǎng)段的流量統(tǒng)計(jì)信息����,如果當(dāng)前時(shí)間間隔包含新的一天的開(kāi)始,則如果同時(shí)包含新的一月的開(kāi)始��,執(zhí)行步驟103����,不包含新的一月的開(kāi)始執(zhí)行步驟104 ;如果不包含新的一天的開(kāi)始,執(zhí)行步驟102 ;
[0063]102.將二級(jí)數(shù)據(jù)庫(kù)的對(duì)應(yīng)子網(wǎng)的日基本信息和月基本信息表中的當(dāng)日對(duì)應(yīng)流量統(tǒng)計(jì)值和當(dāng)月流量統(tǒng)計(jì)值分別加上當(dāng)前時(shí)間間隔的流量統(tǒng)計(jì)值��,執(zhí)行步驟105 ;
[0064]103.在二級(jí)數(shù)據(jù)庫(kù)中的日基本信息表中和月基本信息表中分別插入新的一行�,分別包括子網(wǎng)、日期��、當(dāng)前時(shí)間間隔內(nèi)的流量統(tǒng)計(jì)值等和子網(wǎng)����、月份、當(dāng)前時(shí)間間隔內(nèi)的流量統(tǒng)計(jì)值等,執(zhí)行步驟105 ����;
[0065]104.在二級(jí)數(shù)據(jù)庫(kù)中的日基本信息表中加入一行,內(nèi)容為子網(wǎng)名稱��、日期�、當(dāng)前時(shí)間間隔內(nèi)的流量統(tǒng)計(jì)值等�����,并將對(duì)應(yīng)子網(wǎng)的月基本信息表的當(dāng)月流量統(tǒng)計(jì)值加上當(dāng)前時(shí)間間隔內(nèi)的流量統(tǒng)計(jì)值����,執(zhí)行步驟105 ;
[0066]105.結(jié)束。
[0067]ACL策略異常的快速感知���,實(shí)現(xiàn)包括如下步驟:
[0068]A.內(nèi)存讀入二級(jí)數(shù)據(jù)庫(kù)中的ACL策略����,接著執(zhí)行B ;
[0069]B.針對(duì)每條ACL策略���,對(duì)比分析當(dāng)前時(shí)間片間隔內(nèi)網(wǎng)絡(luò)流元數(shù)據(jù)�,將源IP、源端口�����、目的IP�、目的端口、協(xié)議等信息���,如果某網(wǎng)絡(luò)流違反ACL策略���,將其關(guān)鍵信息,如來(lái)源子網(wǎng)�、源IP、源端口�����、目的端口���、協(xié)議��、開(kāi)始時(shí)間等寫入二級(jí)數(shù)據(jù)庫(kù)�����。
[0070]本發(fā)明由于采用分級(jí)處理的方法����,將初始網(wǎng)絡(luò)流采集的工作和網(wǎng)絡(luò)流分析的工作分離開(kāi)來(lái),使分析器能夠更專注于數(shù)據(jù)的分析工作��,同時(shí)�����,采用基于時(shí)間分片的方法���,引入內(nèi)存數(shù)據(jù)庫(kù)和二級(jí)數(shù)據(jù)庫(kù)保存大量中間數(shù)據(jù),在減少計(jì)算量的同時(shí)���,極大地避免了重復(fù)計(jì)算��,保證了網(wǎng)絡(luò)感知結(jié)果的實(shí)時(shí)性���。
[0071]5.可視化
[0072]控制臺(tái)直接分析網(wǎng)絡(luò)流數(shù)據(jù)或查詢二級(jí)數(shù)據(jù)庫(kù),獲取網(wǎng)絡(luò)狀態(tài)感知結(jié)果����,將結(jié)果以曲線圖、餅狀圖、互通圖��、表格等形式直觀地在界面中進(jìn)行展示���。
[0073]應(yīng)當(dāng)理解的是��,對(duì)本領(lǐng)域普通技術(shù)人員來(lái)說(shuō)�,可以根據(jù)上述說(shuō)明加以改進(jìn)或變換����,而所有這些改進(jìn)和變換都應(yīng)屬于本發(fā)明所附權(quán)利要求的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)�,包括: 網(wǎng)絡(luò)流量快速采集模塊,用于通過(guò)傳感器進(jìn)行大規(guī)模網(wǎng)絡(luò)的實(shí)時(shí)在線流量快速采集和預(yù)處理�;所述傳感器在多個(gè)子網(wǎng)分布式部署;所述預(yù)處理包括對(duì)原始網(wǎng)絡(luò)流進(jìn)行解包���、重組和解碼將原始網(wǎng)絡(luò)流轉(zhuǎn)換形成流格式I ;所述流格式I為包括源IP���,目的IP,源端口�,目的端口,傳輸層協(xié)議�����,應(yīng)用層協(xié)議,包數(shù)����,字節(jié)數(shù),標(biāo)志位���,開(kāi)始時(shí)間�,持續(xù)時(shí)間�,結(jié)束時(shí)間的數(shù)據(jù)組; 網(wǎng)絡(luò)狀態(tài)快速感知模塊��,包括感知器和分析器: 分析器�����,用于根據(jù)配置信息��,將接收的流格式I的網(wǎng)絡(luò)流分類進(jìn)行格式轉(zhuǎn)換����,轉(zhuǎn)換為流格式2后����,打包存儲(chǔ)為基于設(shè)定時(shí)間的文件系統(tǒng)���,作為數(shù)據(jù)分析對(duì)象;最終的網(wǎng)絡(luò)流分析對(duì)象即為流格式2的網(wǎng)絡(luò)流����;所述流格式2為包括流入流出類型,來(lái)源子網(wǎng)名���,源IP����,目的IP��,源端口���,目的端口��,傳輸層協(xié)議�����,應(yīng)用層協(xié)議���,包數(shù)����,字節(jié)數(shù)�,標(biāo)志位,開(kāi)始時(shí)間����,持續(xù)時(shí)間和結(jié)束時(shí)間; 感知器���,用于對(duì)流格式2的網(wǎng)絡(luò)流進(jìn)行數(shù)據(jù)分析��,獲取網(wǎng)絡(luò)狀態(tài)感知結(jié)果�; 1)內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)讀取和寫入關(guān)鍵數(shù)據(jù)�����; 2)基于內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)中的關(guān)鍵數(shù)據(jù)�,采用根據(jù)時(shí)間分片的方法����,對(duì)比內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)中的關(guān)鍵數(shù)據(jù)分析當(dāng)前時(shí)間片間隔內(nèi)網(wǎng)絡(luò)流元數(shù)���,定時(shí)執(zhí)行腳本快速分析網(wǎng)絡(luò)流元數(shù)據(jù),獲取網(wǎng)絡(luò)狀態(tài)感知結(jié)果��;所述網(wǎng)絡(luò)狀態(tài)感知結(jié)果包括網(wǎng)絡(luò)資產(chǎn)及其變動(dòng)�����、網(wǎng)絡(luò)活躍度�、訪問(wèn)控制列表策略異常; 3)根據(jù)網(wǎng)絡(luò)狀態(tài)感知結(jié)果同時(shí)更新內(nèi)存緩存和二級(jí)數(shù)據(jù)庫(kù)�����。所述內(nèi)存為服務(wù)器內(nèi)存�,所述二級(jí)數(shù)據(jù)庫(kù)設(shè)置在服務(wù)器上; 可視化模塊���,用于顯示網(wǎng)絡(luò)狀態(tài)感知結(jié)果��。2.根據(jù)權(quán)利要求1所述的基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)��,其特征在于�����,所述格式轉(zhuǎn)換模塊中設(shè)定時(shí)間為小時(shí)�����。3.根據(jù)權(quán)利要求1所述的基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)����,其特征在于,所述分析器中的關(guān)鍵數(shù)據(jù)包括資產(chǎn)信息���、網(wǎng)絡(luò)流量統(tǒng)計(jì)信息和訪問(wèn)控制列表策略��。4.根據(jù)權(quán)利要求1所述的基于流量的網(wǎng)絡(luò)狀態(tài)快速感知系統(tǒng)��,其特征在于���,所述可視化模塊通過(guò)圖表形式顯示網(wǎng)絡(luò)狀態(tài)感知結(jié)果。
【文檔編號(hào)】H04L29/08GK105871803SQ201510906243
【公開(kāi)日】2016年8月17日
【申請(qǐng)日】2015年12月9日
【發(fā)明人】路海, 湯學(xué)明, 殷明勇, 崔永泉, 陳志文, 趙友橋, 劉帥, 王新宇, 李玲玉
【申請(qǐng)人】中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所