专利名称:一种双向配置的网络行为监控方法
技术领域:
本发明涉及本发明涉及信息安全领域,涉及到一种动态配置查询表项及双向制定表项的方法,应用于网络行为监控。
背景技术:
随着互联网的发展,互联网的业务倾向多样性、复杂性及个性化的趋势。特别是多样业务负载于IP的业务的特点,IP业务逐步成为各种通信基础设施的统一平台,承载的业务越来越多,并且呈现出许多崭新的特征,例如少数低价值的业务正在占有巨大带宽资源,客户的网络行为监控复杂化,更加重要的是对于一些不良信息,缺乏有效的识别和管控手段,导致恶意信息或者不良信息能够通过网络大规模泛滥,影响网络信息安全。现有的网络安全管控技术一般采用表项下发模式描述用户行为特征。采用的方式一般为抓取用户行为的特征信息,根据特征进行编码后下发到管控硬件产品中,对于用户网上数据包进行过滤、分析以企图分析用户行为的方式进行管理控制。但是由于互联网络的业务特征日趋多元化及隐蔽化。并且采用“合理”网络安防手段,采用原有方式无法得到固定业务特征及业务特征规律。所以难以用简单的几元组方式描述特征,导致管控失败。失控的原因之一在于在业务特征下发后,无法根据实际网络情况进行动态调整。如果能把已下达的业务特征即管控硬件产品中表项,根据管控产品的网络中实际统计信息及变化特点进行上报,有后台系统根据上报信息进行运算,及时调整业务特征即管控硬件产品表项,就可以实现自动调整监控方式。实现系统的灵活性及适配性。势必大大降低网络管控速度。尽可能地降低网络管理员及后台特征人员的工作反应速度。这是人工配置无法比拟的方式。
发明内容
本发明针对以上问题的提出,而提出的一种双向配置的网络行为监控方法,具有如下步骤SI.设定初始查表表项,利用该初始查表表项,在选定时间段内,对被监控网络中的报文进行查表运算,得到查表运算结果;S2.在相同时间段内,提取当前网络中实际的网络数据报文业务特征数据;S3.比对查表统计向量数据与网络数据报文业务特征数据,形成比对特征数据;S4.设定比对特征数据的阈值若比对特征数据在阈值之内,则维持现有查表表项不变;若比对特征数据超过阈值,则重新下发新的表项。步骤SI中,在设定初始查表表项的同时,根据网络特征,设定多个查表表项,存储在数据库中。步骤S4中,在重新下发新的查表表项时,从数据库中调用事先存储的多个查表表项。步骤SI,还包括获得包含表项与实际网络报文匹配结果的查表统计向量数据,并根据此查表统计向量数据,对当前的查表表项进行实时修改。在S4之后,还包括复核步骤在设定的相应时间间隔之后,再次核对预表项信息,将核对的结果上报至后台上位计算机。一种双向配置的网络行为监控方法,具有统计与比对单元和执行单元,所述统计单元具有
监控模块Ml :监控并获取实际网络行为中网络报文特征信息,生成网络数据报文统计Tl并将其上传至比对特征模块Kl ;
表项获取模块M2:接收后台上位计算机下发的初始预特征表项信息,生成后台业务特征预特征统计信息T2并将其传至比对特征模块Kl ;比对特征模块Kl和硬件预处理表项特征模块K2,其中比对特征模块Kl :比对由监控模块Ml上传的网络数据报文统计信息Tl和由表项获取模块M2上传的预特征表项信息T2,将得到的比对预信息T3传送至硬件预处理表项特征模块K2 ;所述执行单元具有查表驱动模块BI、查表驱动模块B2、用于硬件表项复核的TCAMl 和 TCAM2,所述查表驱动模块BI接收由表项获取模块M2下发的预特征表项信息,对网络监控设备的表项进行比对,生成后台业务预结果统计信息T4,同时将该信息分别传送至TCAMl和硬件预处理表项特征模块K2,所述TCAMl对下发的信息进行复核;所述查表驱动模块B2接收由监控模块Ml下发的网络报文特征信息,对网络监控设备的表项进行比对,生成网络硬件业务预结果统计T5,同时将该信息分别传送至TCAM2和硬件预处理表项特征模块K2,TCAM2对下发的信息进行复核;所述硬件预处理模块K2对接收到的由比对特征模块Kl传送的比对预信息T3、由所述查表驱动模块BI传送的后台业务预结果统计信息T4、由所述查表驱动模块B2传送的网络硬件业务预结果统计T5、事先设定的硬件网络特征阈值方案及硬件网络特征表项提示码G和后台业务特征阈值方案及后台业务特征表项提示码H通过预处理算法生成比对表项统计信息M3,将该比对表项统计信息M3上传至后台上位计算机,后台上位计算机根据设定的阈值与M3相比较,重新设定表项信息M2,下发到表项获取模块M2完成一次表项下发。
为了更清楚的说明本发明的实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为本发明的流程2为本发明的网络控管硬件的提取报文信息的结构3为本发明的网络控管硬件的内部结构简4为本发明的硬件逻辑上报对比数据算法状态流程5为本发明的硬件网络特征阈值方案示意图
具体实施例方式为使本发明的实施例的目的、技术方案和优点更加清楚,下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚完整的描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明的保护范围。如图I本发明的流程图所示SI.设定初始查表表项,利用该初始查表表项,在选定时间段内,对被监 控网络中的报文进行查表运算,得到查表运算结果本发明硬件板卡中涉及到TCAM器件,使用方式按原厂数据手册执行,且为一般TCAM处理方式。将业务系统后台软件下发到板卡上生成72BIT分表项,聚合成规定的NX72BIT方式,如144BIT,288BIT或者576BIT。如图2本发明的网络控管硬件的提取报文信息的结构图所示,步骤S2中在相同时间段内,提取当前网络中实际的网络数据报文业务特征数据网络数据提取按照数据报文格式可以分为A.报文头格式+报文固定内容格式提取方式和B.报文不定内容特征提取方式。重点集中在报文不定内容特征提取。可以采用将报文内容数据分段逻辑流水并行方式提取。在找出报文负载中有无包含一些已定义特征字段。由于这些已定义特征字段可能在报文的任意位置,因而需要对报文负载进行逐字节的搜索。但是逐字节搜索的主要基本思想在于通过FPGA逻辑空间换取速度。例如,假设报文长度在800-1200字节之间,如果搜索的目标速度为每一路达到5Gbps的处理能力,即处理5Gbps的IP分组,为此,每条报文被扩展为64条,从而达到每次搜索即可处理64个字节的速度。利用FPGA并行处理速度,可以在24个周期内完成全部搜索工作。最终将提取后的网络数据报文格式,在此过程中所产生的统计及原始TCAM查表的业务统计信息存储在板卡内,并等待进一步处理。如图3本发明的网络控管硬件的内部结构简图所示,一种双向配置的网络行为监控方法,本系统的工作流程如下首先根据网络报文数据特征提取模块,提取相应的网络数据报文特征信息M1,并形成网络数据报文统计Tl。后台业务系统表项下发模块存储后台已下发的查表表项信息M2,并根据网络数据报文形成后台业务特征预特征统计T2。将Ml及M2信息均通过表项特征简化模块W形成符合比较特征算法的输入格式,然后输入到比对特征模块Kl并形成统计比对预信息模块T3。在形成比对后输出到硬件预处理表项特征模块K2,同时形成预处理算法生成比对表项统计信息M3。注意在后台业务系统下发的表项查询器件由TCAMl执行,形成后台业务预结果统计T4。硬件根据网络数据所形成的网络预特征表项在TCAM2中执行,并形成网络硬件业务预结果统计T5,详见图2双向硬件查表框图。网络数据报文统计Tl及台业务特征预特征统计T2在完成各自网络数据报文特征信息Ml及后台已下发的查表表项信息M2在系统规定表项更新时间内更新完毕表项后,形成一次统计结果,将统计结果上报到上位机上报模块J中。后台业务预结果统计T4及网络硬件业务预结果统计T5在根据网络实际情况,在表项配置调整时采用秒内实时上报,在调整完毕后将根据网络流量情况,采用规定隔断时间采样方式上报后台软件。比对预信息模块T3在完成一次硬件逻辑上报对比算法后形成一次统计,进行上报。如图4和图5所示状态SI控制条件比对预信息模块控制信息Y2,则有T3信息模块形成,在T3上报后台数据库后,在硬件上报特征统计信息列表中重新生成硬件预生产轮训统计,硬件预误差统计及硬件比对命中统计,其三者形成得阈值因子信息Y2下发到后台参数模块(K),控制对比算法中状态流向S2或者S3.网络硬件业务预结果统计控制信息Y5,则有后台数据库中硬件上报特征统计信息 列表的硬件解析次数统计及硬件报文命中协议统计两项统计信息生成控制因子,下发到对比算法中。注意后台业务预结果统计控制信息Y4与Y5生成过程类似。硬件网络特征表项提示码G根据网络硬件业务预统计模块T5结果生产该提示码,关键是命中阈值问题。当网络数据报文特征信息Ml下发表项后,硬件板卡将以网络实际报文命中数将形成统计结果。如果表项信息与网络信息匹配度达到后台软件阈值要求,将允许跳出状态S4,否则将根据系统表项更新时间要求重新更新网络数据报文特征信息(Ml)内容,至到阈值满足为止。从运行结果看阈值范围在55% -65%之间。后台业务特征阈值方案及后台业务特征表项提示码H,运行原理与提示码G相似,其根据后台业务预结果统计模块(T4)产生提示码,如果后台已下发的查表表项信息(M2)下发表项后,硬件板卡将以网络实际报文命中数形成统计结果。如果表项信息与网络信息匹配度达到后台软件阈值要求,将允许跳出状态S5,否则将根据系统表项更新时间要求重新更新后台已下发的查表表项信息(M2)至到阈值满足为止。从运行结果看阈值范围在75% -80%之间,最高可以达到85%状态S4硬件网络特征阈值方案核心算法说明由网络硬件业务预统计模块T5形成的提示码G中实际网络命中报文参考信息Yi及后台下发模块中的下一次协议预信息Xi进行控制。其算法方式为将每一次上一次预测协议信息Xi-I反馈给下一次中间状态,并与实际命中报文参考信息核对,在结束四次中间比对状态后,如果满足提示码G匹配度要求则完成此次计算,否则继续进行比对,至到满足提示码G匹配度。注意Xi与X' i关系为码距近似度在5以内。状态S5算法与S4基本相同,其区别在于控制信息在后台业务预结果统计模块(T4)生成后台业务特征表项提示码H。提示码H中实际命中报文参考信息Ai及后台下发模块中的下一次协议预信息Ci进行控制。管控业务软件处理方式关于业务管控表项下发软件部分主要分为表项单板译码、表项存储数据库、表项控制模块及网络管理阈值控制模块四个部分。处理方式主要以管控硬件板卡上报各部分信息及对比统计信息为基础,进行运算分析硬件上报数据。根据网络管理员意图完成网络业务特征下发即表项下发工作,并自行与后台分析阈值,最终完成符合实际网络业务表项行为。关于表项单板译码部分表项单板译码作为一个单独的线程任务运行,任务负责收集硬件各个表项统计及表项对比统计信息,并且在收到上报命令后负责将其上报给表项控制模块。收到下发的命令后进行执行相应的下发命令操作。后台业务特征表项数据库主要分为三个部分,业务基本特征列表、网络业务特征预值列表及硬件上报特征统计信息列表,其中硬件上报特征统计信息列表最为关键。根据硬件上报统计数据格式信息,可以将硬件上报特征统计信息列表分为如下数据库属性 Hardwarestatistics. ForecastTransfer 硬件报文预算协议统计Hardwarestatistics. EDKTransfer硬件报文命中协议统计Hardwarestatistics. GTHTransfer硬件报文阈值因子统计Hardwarestatistics. KIETransfer硬件预生产轮训统计Hardwarestatistics. BTUTransfer硬件预误差统计Hardwarestatistics. BTRTransfer硬件比对命中统计Hardwarestatistics. FHDTransfer硬件解析次数统计Hardwarestatistics. LastTransfer硬件上一次协议统计Hardwarestatistics. NextTransfer硬件下一次协议统计列表将根据以上要素,分解硬件产品所上报的所有信息,信息归类后作为表项控制模块查询依据。表项配发控制主程序软件表项配发初始部分,根据网络管理员要求下发特征数据库业务基本特征列表中某一特征表项,注意此基本特征表项为网络实际业务中表项。待硬件板卡上报特征及特征对比统计数据后,根据预定推测算法调用特征数据库中网络业务特征预值列表中的预值特征表项,推算下一次网络业务特征。反复根据硬件板卡业务特征统计信息纠正上一次业务特征的偏差,直到符合人为预定的阈值范围,调整结束。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此本发明的保护范围应以权利要求的保护范围为准。
权利要求
1.一种双向配置的网络行为监控方法,其特征在于具有如下步骤51.设定初始查表表项,利用该初始查表表项,在选定时间段内,对被监控网络中的报文进行查表运算,得到查表运算结果;52.在相同时间段内,提取当前网络中实际的网络数据报文业务特征数据;53.比对查表统计向量数据与网络数据报文业务特征数据,形成比对特征数据;54.设定比对特征数据的阈值若比对特征数据在阈值之内,则维持现有查表表项不变;若比对特征数据超过阈值,则重新下发新的表项。
2.根据权利要求I所述的一种双向配置的网络行为监控方法,其特征还在于所述步骤 SI中,在设定初始查表表项的同时,根据网络特征,设定多个查表表项,存储在数据库中。
3.根据权利要求2所述的一种双向配置的网络行为监控方法,其特征还在于所述步骤 S4中,在重新下发新的查表表项时,从数据库中调用事先存储的多个查表表项。
4.根据权利要求I所述的一种双向配置的网络行为监控方法,其特征还在于所述步骤 SI,还包括获得包含表项与实际网络报文匹配结果的查表统计向量数据,并根据此查表统计向量数据,对当前的查表表项进行实时修改。
5.根据权利要求I所述的一种双向配置的网络行为监控方法,其特征还在于在S4之后,还包括复核步骤在设定的相应时间间隔之后,再次核对预表项信息,将核对的结果上报至后台上位计算机。
6.一种双向配置的网络行为监控方法,其特征在于具有统计与比对单元和执行单元,所述统计单元具有监控模块Ml :监控并获取实际网络行为中网络报文特征信息,生成网络数据报文统计 Tl并将其上传至比对特征模块Kl ;表项获取模块M2 :接收后台上位计算机下发的初始预特征表项信息,生成后台业务特征预特征统计信息T2并将其传至比对特征模块Kl ;比对特征模块Kl和硬件预处理表项特征模块K2,其中比对特征模块Kl 比对由监控模块Ml上传的网络数据报文统计信息Tl和由表项获取模块M2上传的预特征表项信息T2,将得到的比对预信息T3传送至硬件预处理表项特征模块K2 ;所述执行单元具有查表驱动模块BI、查表驱动模块B2、用于硬件表项复核的TCAMl和 TCAM2,所述查表驱动模块BI接收由表项获取模块M2下发的预特征表项信息,对网络监控设备的表项进行比对,生成后台业务预结果统计信息T4,同时将该信息分别传送至TCAMl和硬件预处理表项特征模块K2,所述TCAMl对下发的信息进行复核;所述查表驱动模块B2接收由监控模块Ml下发的网络报文特征信息,对网络监控设备的表项进行比对,生成网络硬件业务预结果统计T5,同时将该信息分别传送至TCAM2和硬件预处理表项特征模块K2,TCAM2对下发的信息进行复核;所述硬件预处理模块K2对接收到的由比对特征模块Kl传送的比对预信息T3、由所述查表驱动模块BI传送的后台业务预结果统计信息T4、由所述查表驱动模块B2传送的网络硬件业务预结果统计T5、事先设定的硬件网络特征阈值方案及硬件网络特征表项提示码G和后台业务特征阈值方案及后台业务特征表项提示码H通过预处理算法生成比对表项统计信息M3,将该比对表项统计信息M3上传至后台上位计算机,后台上位计算机根据设定的阈值与M3相比较,重新设定表 项信息M2,下发到表项获取模块M2完成一次表项下发。
全文摘要
本发明公开一种双向配置的网络行为监控方法,该技术首先采用网络一般默认的配置方式下发业务特征,管控硬件产品在网络数据报文下根据网络实际业务情况,通过计算方法及统计方法上报网络业务现有情况,在“嫌疑”特征数据上报后台系统及统计数据上报等数据支持下,后台系统重新下达业务特征及硬件产品表项。硬件系统再根据网络数据报文查询结果再次上报特征表项比对信息,后台系统根据比对信息重新修正业务特征。反复配置,直至业务特征比对信息符合在相应的误差比对阈值后,结束业务特征调整。实现自动双向反馈式表项下发。可以在极短的时间内,无需人工干预的情况下,完成正确的硬件表项下发,实现正确的业务管控方式。
文档编号H04L12/26GK102624548SQ201210050450
公开日2012年8月1日 申请日期2012年2月29日 优先权日2012年2月29日
发明者孙磊, 张建辉, 彭博, 徐天赐, 李向涛, 李玉峰, 陈庶樵, 魏长城 申请人:大连梯耐德网络技术有限公司