一种基于sflow和owamp的网络安全态势信息获取系统及方法
【专利摘要】本发明属于网络安全态势感知领域,具体涉及一种基于SFLOW和OWAMP的网络安全态势信息获取系统及方法。本发明包括:管理控制模块包含端点管理模块、任务配置模块和任务分发模块:数据预处理模块负责对数据采集模块采集到的SFLOW数据信息和OWAMP数据信息进行数据标准化处理,去除不同节点采集到的冗余信息,数据预处理后存储到数据处理中心;可视化模块负责将来自性能评估模块产生的评估信息以图形化的形式展示给用户。会话发起端和会话接收端之间的会话采用HMAC加密,而且采用NTP时钟同步协议,在安全性和时效性方面具有巨大优势;测量方式和基于往返的测量方式相比,减少了往返时延。
【专利说明】-种基于SFLOW和OWAMP的网络安全态势信息获取系统及 方法
【技术领域】
[0001] 本发明属于网络安全态势感知领域,具体涉及一种基于SFL0W和0WAMP的网络安 全态势信息获取系统及方法。
【背景技术】
[0002] 以虚拟专用网(VPN)、实时视频服务、语音服务等为主题的新型网络应用
[0003] 方式,使用户的关注焦点从传统数据应用转向了网络的安全性。所以当前的网络 安全需求,要求能够高效实时的获取网络中的数据信息,且不对网络设备和网络运行状况 造成较大的影响,能够有效的分析网络数据中蕴含的各种安全事件信息并进行评估,提供 受控网络的全局运行状态信息,提高系统对整个网络的认知和理解能力,及时将网络的各 种数据信息交给网络安全管理人员处理,并迅速生成网络安全性能评估信息呈献给用户。
[0004] 目前,网络安全态势的数据信息,可以通过SNMP、SFLOW、NETFL0W等方法进行采 集,然而这些测量方法有个共同的缺陷是被动测量,及需要对采集的数据进行处理后才 能生成相应的网络安全性能评估。于是,本专利提出将SFL0W和OWAMP (One-Way Active Measurement Protocol)相结合的方法,实现主动的测量。
[0005] SFL0W技术可以获得链路层、网络层和传输层的完整信息以及全网流量信息,包括 了源、目的IP地址、源、目的端口号、协议类型等丰富的信息,能够实时反映当前网络中的 安全状态、用户的网络行为等信息。而且,SFL0W的"永远在线"、"全网监控",以及SFL0W代 理不直接对获取的数据信息进行处理和存储,使得它不会影响网络设备和网络通讯的性能 的特点,使其在网络安全态势信息获取中具有巨大优势。但是,SFL0W采集不到诸如端到端 时延、带宽、抖动等网络性能方面的数据信息,而这方面是0WAMP协议的优势。
[0006] 0WAMP是端到端的主动测量协议(RFC 4656),它的出现使单向的IP高精度测量 在广泛可用的时钟资源下成为了可能。在因特网中,从源地址到目的地址通常与同一个目 的地址到源地址所经过的路径不同,即所谓的"非对称路径",在非对称路径上的网络性能 也不一样。即使2条路径是对称的,也会因不对称的数据包队列而产生不同的性能特征。 0WAMP是对IPPM(IP Performance Metrics)协议制定的关于网络性能的各项参数进行优化 和扩展。
【发明内容】
[0007] 本发明的目的在于提供一种能在大规模网络环境下,对于网络运行过程中的状态 信息以及性能指标能够主动测量的基于SFL0W和0WAMP网络安全态势信息获取系统。本发 明的目的还在于提供一种基于SFL0W和0WAMP网络安全态势获取方法。
[0008] 本发明的目的是这样实现的:
[0009] 一种基于SFL0W和0WAMP的网络安全态势信息获取系统:
[0010] 管理控制模块包含端点管理模块、任务配置模块和任务分发模块: toon] 端点管理模块负责记录、处理来自任务配置模块和任务分发模块的执行情况,以 及来自会话发起端和会话接收端数据包的异常信息,并对会话发起端和会话接收端、数据 管理中心、各个网络设备进行动态配置和管理;
[0012] 任务配置模块接收来自用户的采集任务命令,根据用户需求配置采集任务参数, 并将配置好的采集任务交给任务分发模块;
[0013] 任务分发模块接收来自任务配置模块配置的任务,根据采集任务的不同,将采集 任务分发给会话发起端不同的会话接收端代理模块的任务监听模块;
[0014] 会话发起端是由会话发起端代理模块构成的,其中,每一个会话发起端代理模块 包含任务监听模块、任务执行模块和信息查询模块;
[0015] 任务监听模块是监听来自任务分发模块的会话消息,将具体的采集任务交由任务 执行模块;
[0016] 任务执行模块根据任务监听模块模块监听到的采集任务,在指定时刻触发执行, 任务执行情况信息输出给信息查询模块;
[0017] 信息查询模块接收来自任务执行模块输出的信息供用户查询;
[0018] 会话接收端是由会话接收端代理模块构成的,每一个会话接收端代理模块包含任 务接收模块、数据采集模块、数据预处理模块;
[0019] 任务接收模块接收来自任务执行模块的采集任务,并通过HMAC机制进行身份和 安全认证,通过验证的采集任务数据包交给数据采集模块;
[0020] 数据采集模块根据任务接收模块测量数据包的信息来触发代理采集网络数据,包 括SFL0W数据信息和0WAMP数据信息,采集的SFL0W信息包括12个字段:源IP地址、目的IP 地址、源端口号、目的端口号、IP服务类型、源MAC地址、目的MAC地址、TCP标记位、接口速 率、源地址子网掩码位数、目的地址子网掩码位数和输入输出接口的端口值,采集的0WAMP 数据包括5个字段:网络连接性、网络带宽、单路时延、往返时延、单路数据包丢失;采集的 网络数据统一成XML格式数据后交由数据预处理模块处理;
[0021] 数据预处理模块负责对数据采集模块采集到的SFL0W数据信息和0WAMP数据信息 进行数据标准化处理,去除不同节点采集到的冗余信息,数据预处理后存储到数据处理中 心;
[0022] 数据处理模块包含数据优化模块、性能评估模块;
[0023] 数据优化模块从数据管理中心读取网络数据,对预处理后的信息通过采用索引优 化的方式进行优化处理,在数据管理中心进行存储,然后交给性能评估模块;
[0024] 性能评估模对数据优化模块处理后的信息以往返时延、单路数据包丢失为关键 字,采用关联规则的处理方法来评估现有网络,最终生成网络性能评估信息,交给可视化模 块供用户查看;
[0025] 可视化模块负责将来自性能评估模块产生的评估信息以图形化的形式展示给用 户。
[0026] -种基于SFL0W和0WAMP的网络安全态势信息获取方法:
[0027] (1)在管理控制模块按照事先获取用户信息的具体要求,配置采集任务参数,并将 采集任务分发给会话发起端代理模块;
[0028] (2)会话发起端代理模块向会话接收端代理模块发送TCP连接请求,请求通过后, 建立测试连接;测试连接通过后采集任务数据包开始经过路由寻找目的端,在发送端为给 数据包打上时间戳,经过节点每一跳时,由管理控制模块记录时延、流量、是否由于拥塞被 丢弃等相关属性;
[0029] (3)采集任务数据包到达会话接收端代理模块后,立即给数据包打上另一个时间 戳,并通过伪随机数方法来判定采集任务数据包是否在合法的时间范围内到达,如果是,将 该采集任务数据包记录为合法的数据包,否则被丢弃;数据采集模块根据合法数据包进行 数据采集,采集的数据作为数据预处理模块的输入;
[0030] (4)数据预处理模块对采集到的SFL0W数据信息和0WAMP数据信息进行去冗余处 理;
[0031] (5)数据优化模块对预处理后的信息采用索引优化方法进行优化,并进行存储;
[0032] (6)性能评估模块以网络连接性、网络带宽、往返时延、单路数据包丢失这些关键 数据,通过采用关联规则的处理方法来评估现有网络,为优化网络性能提供依据;
[0033] (7)可视化模块提供给用户一个可视化的操作界面,将网络性能评估信息实时呈 现给用户。
[0034] 本发明的有益效果体现在:
[0035] (1)会话发起端和会话接收端之间的会话采用HMAC (Hash-based Message Authentication Code,哈希运算消息认证码)加密,而且采用NTP (Network Time Protocol)时钟同步协议,在安全性和时效性方面具有巨大优势;
[0036] (2)测量方式和基于往返(roundtrip-based)的测量方式相比,减少了往返时延;
[0037] (3)测量允许用户隔离网络中的特定部分的流量的处理带来的影响,可以更好的 确认网络产生拥塞的方向;
[0038] (4)可以自定义测量数据包执行的时间表,采集丢包率、平均时延、抖动、延迟、源、 目的IP地址、源、目的端口号、协议类型等丰富的网络信息。这些信息为分析网络的具体行 为和对应用资源进行改善提供了可能。
【专利附图】
【附图说明】
[0039] 图1基于SFL0W和0WAMP的网络安全态势信息获取系统及方法的装置框架图;
[0040] 图2基于SFL0W和0WAMP的网络安全态势信息获取系统及方法的工作流程图;
[0041] 图3基于SFL0W和0WAMP的网络安全态势信息获取系统及方法具体实施的网络部 署图。
【具体实施方式】
[0042] 下面结合具体实施例对本发明作更详细的描述:
[0043] 本发明的基于SFL0W和0WAMP网络安全态势信息获取系统包括管理控制模块、会 话发起端(由多个会话发起端代理模块组成)、会话接收端(由多个会话接收端代理模块组 成)、数据处理模块、可视化模块。
[0044] ①管理控制模块包含端点管理模块、任务配置模块和任务分发模块。
[0045] 端点管理模块负责记录、处理来自任务配置模块和任务分发模块的执行情况,以 及来自会话发起端和会话接收端数据包的异常信息,并对会话发起端和会话接收端、数据 管理中心、各个网络设备进行动态配置和管理。
[0046] 任务配置模块接收来自用户的采集任务命令,根据用户需求配置采集任务参数, 并将配置好的采集任务交给任务分发模块。
[0047] 任务分发模块接收来自任务配置模块配置的任务,根据采集任务的不同,将采集 任务分发给会话发起端不同的会话接收端代理模块的任务监听模块。
[0048] ②会话发起端是由多个会话发起端代理模块构成的。其中,每一个会话发起端代 理模块包含任务监听模块、任务执行模块和信息查询模块。
[0049] 任务监听模块是监听来自任务分发模块的会话消息,将具体的采集任务交由任务 执行模块。
[0050] 任务执行模块根据任务监听模块模块监听到的采集任务,在指定时刻触发执行, 任务执行情况信息输出给信息查询模块。
[0051] 信息查询模块接收来自任务执行模块输出的信息供用户查询。
[0052] ③会话接收端是由多个会话接收端代理模块构成的。其中,每一个会话接收端代 理模块包含任务接收模块、数据采集模块、数据预处理模块。
[0053] 任务接收模块接收来自任务执行模块的采集任务,并通过HMAC机制进行身份和 安全认证,通过验证的采集任务数据包交给数据采集模块。
[0054] 数据采集模块根据任务接收模块测量数据包的信息来触发代理采集网络数据,包 括SFL0W数据信息和0WAMP数据信息。采集的SFL0W信息包括12个字段:源IP地址、目 的IP地址、源端口号、目的端口号、IP服务类型、源MAC地址、目的MAC地址、TCP标记位、 接口速率、源地址子网掩码位数、目的地址子网掩码位数和输入输出接口的端口值。采集的 0WAMP数据包括5个字段:网络连接性、网络带宽、单路时延、往返时延、单路数据包丢失。采 集的网络数据统一成XML格式数据后交由数据预处理模块处理。
[0055] 数据预处理模块负责对数据采集模块采集到的SFL0W数据信息和0WAMP数据信息 进行数据标准化处理,去除不同节点采集到的冗余信息,数据预处理后存储到数据处理中 心。
[0056] ④数据处理模块包含数据优化模块、性能评估模块。
[0057] 数据优化模块从数据管理中心读取网络数据,对预处理后的信息通过采用索引优 化的方式进行优化处理,在数据管理中心进行存储,然后交给性能评估模块。
[0058] 性能评估模对数据优化模块处理后的信息以往返时延、单路数据包丢失为关键 字,采用关联规则的处理方法来评估现有网络,最终生成网络性能评估信息,交给可视化模 块供用户查看。
[0059] ⑤可视化模块负责将来自性能评估模块产生的评估信息以图形化的形式展示给 用户。
[0060] 本发明的基于SFL0W和0WAMP的网络安全态势信息获取方法为:
[0061] (1)首先在管理控制模块按照事先获取用户信息的具体要求,配置采集任务参数, 并将采集任务分发给会话发起端代理模块。
[0062] (2)会话发起端代理模块向会话接收端代理模块发送TCP连接请求,请求通过后, 建立测试连接。测试连接通过后采集任务数据包开始经过路由寻找目的端,在发送端为给 数据包打上时间戳,经过节点每一跳时,由管理控制模块记录时延、流量、是否由于拥塞被 丢弃等相关属性。
[0063] (3)采集任务数据包到达会话接收端代理模块后,立即给数据包打上另一个时间 戳,并通过伪随机数方法(RFC 4656)来判定采集任务数据包是否在合法的时间范围内到 达。如果是,将该采集任务数据包记录为合法的数据包,否则被丢弃。数据采集模块根据合 法数据包进行数据采集,采集的数据作为数据预处理模块的输入。
[0064] (4)数据预处理模块对采集到的SFL0W数据信息和0WAMP数据信息进行去冗余等 简单的处理。
[0065] (5)数据优化模块对预处理后的信息采用索引优化方法进行优化,并进行存储。
[0066] (6)性能评估模块以网络连接性、网络带宽、往返时延、单路数据包丢失这些关键 数据,通过采用关联规则的处理方法来评估现有网络,为优化网络性能提供依据。
[0067] (7)可视化模块提供给用户一个可视化的操作界面,将网络性能评估信息实时呈 现给用户。
[0068] 在具体实施中,首先将本发明提供的系统部署到网络环境中,如图3所示:
[0069] (1)在网络中的任一台Intel-Linux架构的PC主机上部署并运行具有本发明装 置框架图(图1所示)的软件,将PC机的以太网卡连接到接入网络中的局域网交换机上, 使之能够与网络及网络上的其他PC机通信。
[0070] (2)将网络设备(交换机或者路由器)配置能够产生SFL0W和0WAMP网络流数据。
[0071] 结合图1所示,本发明的一种基于SFL0W和0WAMP网络安全态势信息获取系统及 方法包括管理控制模块、会话发起端(由多个会话发起端代理模块组成)、会话接收端(由 多个会话接收端代理模块组成)、数据处理模块、可视化模块。其中:会话接收端代理模块 中的数据采集模块包括SFL0W采集代理以及0WAMP测量代理,主要功能是负责给网络设备 发送配置指令和从网络设备获取网络数据。
[0072] (l)sFl〇W数据包括:源IP地址、目的IP地址、源端口号、目的端口号、IP服务类 型、源MAC地址、目的MAC地址、TCP标记位、接口速率、源地址子网掩码位数、目的地址子网 掩码位数和输入输出接口的端口值。
[0073] (2)0WAMP数据包括:网络连接性、单路时延、单路数据包丢失、往返时延、数据包 时延抖动等。
[0074] 参阅图1和图2,该系统通过以下步骤来获取SFL0W和0WAMP网络数据信息:
[0075] 步骤1首先用户在客户端发起采集网络数据命令。
[0076] 步骤2管理控制模块在接受到指令后配置采集任务,采集需要的网络流字段。并 将采集任务分发给不同的会话发起端代理模块。
[0077] 步骤3会话发起端代理模块接收到采集任务后,与NTP时钟服务器通信,进行时钟 同步。
[0078] 步骤4会话发起端代理模块与会话接收端代理模块进行控制连接和测试连接,建 立连接成功执行步骤5,否则执行步骤2。
[0079] 步骤5会话发起端代理模块发送采集任务数据包,并给数据包打上时间戳。
[0080] 步骤6会话接收端如果接收到来自会话发起端的采集任务数据包,则执行步骤7, 否则执行步骤6。
[0081] 步骤7会话接收端与NTP时钟服务器同步。
[0082] 步骤8判断数据包是否异常,如果数据包异常,由端点记录模块记录并处理,否则 执行步骤9。
[0083] 步骤9会话接收端给接收到数据包打上时间戳。
[0084] 步骤10判断接收到的数据包是否超时,如果不是执行步骤11 ;否则,异常信息交 由端点管理模块记录并处理。
[0085] 步骤11数据采集模块中的SFL0W采集代理以及0WAMP测量代理采集网络流数据, 数据格式统一成XML格式后,由数据预处理模块处理后存到数据管理中心。
[0086] 步骤12数据处理模块从数据管理中心读取网络数据进行优化处理,形成评估报 生 1=1 〇
[0087] 步骤13可视化模块展示网络的安全评估信息。
[0088] 本发明的有益效果体现在以下几个方面:
[0089] 0WAMP 为会话进行HMAC (Hash-based Message Authentication Code,哈希运算消 息认证码)加密,而且采用NTP(Network Time Protocol)时钟同步协议,在安全性和时效 性方面具有巨大优势。
[0090] 本系统的测量方式和基于往返(roundtrip-based)的测量方式相比,减少了往返 时延。
[0091] 本系统测量允许用户隔离网络中的特定部分流量处理带来的影响,可以更好的确 认网络产生拥塞的方向。
[0092] 可以自定义测量数据包执行的时间表,采集丢包率、平均时延、抖动、延迟、源、目 的IP地址、源、目的端口号、协议类型等丰富的网络信息。这些信息为分析网络的具体行为 和对应用资源进行改善提供了可能。
[0093] 本发明在会话发起端和会话接收端之间的会话采用HMAC(Hash_based Message Authentication Code,哈希运算消息认证码)加密,而且采用NTP (Network Time Protocol)时钟同步协议,在安全性和时效性方面具有巨大优势;测量方式和基于往返 (roundtrip-based)的测量方式相比,减少了往返时延;测量允许用户隔离网络中的特定 部分的流量的处理带来的影响,可以更好的确认网络产生拥塞的方向;可以自定义测量数 据包执行的时间表,采集丢包率、平均时延、抖动、延迟、源、目的IP地址、源、目的端口号、 协议类型等丰富的网络信息。本发明可以应用在网络安全防护领域,可以实现对网络具体 行为的分析以及对应用资源的改善。
【权利要求】
1. 一种基于SFLOW和OWAMP的网络安全态势信息获取系统,其特征在于: 管理控制模块包含端点管理模块、任务配置模块和任务分发模块: 端点管理模块负责记录、处理来自任务配置模块和任务分发模块的执行情况,以及来 自会话发起端和会话接收端数据包的异常信息,并对会话发起端和会话接收端、数据管理 中心、各个网络设备进行动态配置和管理; 任务配置模块接收来自用户的采集任务命令,根据用户需求配置采集任务参数,并将 配置好的采集任务交给任务分发模块; 任务分发模块接收来自任务配置模块配置的任务,根据采集任务的不同,将采集任务 分发给会话发起端不同的会话接收端代理模块的任务监听模块; 会话发起端是由会话发起端代理模块构成的,其中,每一个会话发起端代理模块包含 任务监听模块、任务执行模块和信息查询模块; 任务监听模块是监听来自任务分发模块的会话消息,将具体的采集任务交由任务执行 模块; 任务执行模块根据任务监听模块模块监听到的采集任务,在指定时刻触发执行,任务 执行情况信息输出给信息查询模块; 信息查询模块接收来自任务执行模块输出的信息供用户查询; 会话接收端是由会话接收端代理模块构成的,每一个会话接收端代理模块包含任务接 收模块、数据采集模块、数据预处理模块; 任务接收模块接收来自任务执行模块的采集任务,并通过HMAC机制进行身份和安全 认证,通过验证的采集任务数据包交给数据采集模块; 数据采集模块根据任务接收模块测量数据包的信息来触发代理采集网络数据,包括 SFL0W数据信息和0WAMP数据信息,采集的SFL0W信息包括12个字段:源IP地址、目的IP 地址、源端口号、目的端口号、IP服务类型、源MAC地址、目的MAC地址、TCP标记位、接口速 率、源地址子网掩码位数、目的地址子网掩码位数和输入输出接口的端口值,采集的0WAMP 数据包括5个字段:网络连接性、网络带宽、单路时延、往返时延、单路数据包丢失;采集的 网络数据统一成XML格式数据后交由数据预处理模块处理; 数据预处理模块负责对数据采集模块采集到的SFL0W数据信息和0WAMP数据信息进行 数据标准化处理,去除不同节点采集到的冗余信息,数据预处理后存储到数据处理中心; 数据处理模块包含数据优化模块、性能评估模块; 数据优化模块从数据管理中心读取网络数据,对预处理后的信息通过采用索引优化的 方式进行优化处理,在数据管理中心进行存储,然后交给性能评估模块; 性能评估模对数据优化模块处理后的信息以往返时延、单路数据包丢失为关键字,采 用关联规则的处理方法来评估现有网络,最终生成网络性能评估信息,交给可视化模块供 用户查看; 可视化模块负责将来自性能评估模块产生的评估信息以图形化的形式展示给用户。
2. -种基于SFL0W和0WAMP的网络安全态势信息获取方法,其特征在于: (1) 在管理控制模块按照事先获取用户信息的具体要求,配置采集任务参数,并将采集 任务分发给会话发起端代理模块; (2) 会话发起端代理模块向会话接收端代理模块发送TCP连接请求,请求通过后,建立 测试连接;测试连接通过后采集任务数据包开始经过路由寻找目的端,在发送端为给数据 包打上时间戳,经过节点每一跳时,由管理控制模块记录时延、流量、是否由于拥塞被丢弃 等相关属性; (3) 采集任务数据包到达会话接收端代理模块后,立即给数据包打上另一个时间戳,并 通过伪随机数方法来判定采集任务数据包是否在合法的时间范围内到达,如果是,将该采 集任务数据包记录为合法的数据包,否则被丢弃;数据采集模块根据合法数据包进行数据 采集,采集的数据作为数据预处理模块的输入; (4) 数据预处理模块对采集到的SFLOW数据信息和OWAMP数据信息进行去冗余处理; (5) 数据优化模块对预处理后的信息采用索引优化方法进行优化,并进行存储; (6) 性能评估模块以网络连接性、网络带宽、往返时延、单路数据包丢失这些关键数据, 通过采用关联规则的处理方法来评估现有网络,为优化网络性能提供依据; (7) 可视化模块提供给用户一个可视化的操作界面,将网络性能评估信息实时呈现给 用户。
【文档编号】H04L29/06GK104104548SQ201410374449
【公开日】2014年10月15日 申请日期:2014年8月1日 优先权日:2014年8月1日
【发明者】王慧强, 郭方方, 唐匀龙, 冯光升, 周沫, 林俊宇, 修龙亭, 何占博 申请人:哈尔滨工程大学