一种业务互联关系审计方法和系统的制作方法

文档序号:10626884阅读:267来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种业务互联关系审计方法和系统的制作方法
【专利摘要】本发明一种业务互联关系审计方法和系统包括:通过流量镜像采集虚拟交换和实体交换机中的原始流量数据。根据原始流量数据构建业务流信息数据协议AppFlow。对业务流信息数据协议AppFlow持续计算以构建业务互联通讯对列表list;当业务互联通讯对的数量超过第一阈值时,对业务互联通讯对list进行压缩。根据压缩后的业务互联通讯对list构建特征值基线,基于特征值基线判断增加的新的业务互联通讯对是否为异常互联;如果是异常互联,则进行异常互联报警;如果是正常互联,则更新特征值基线。基于异常互联告警的次数和严重等级获得业务互联指数,作为业务互联的整体审计指标。通过本发明的方案,能够在复杂多变的云环境下,提供全面、可靠的信息安全防护。
【专利说明】
一种业务互联关系审计方法和系统
技术领域
[0001] 本发明涉及信息安全领域,尤其涉及一种业务互联关系审计方法和系统。
【背景技术】
[0002] 在当前信息建设过程中,对云计算技术关注度越来越高,当前大量企业网络环境 已经进入了云环境时代。云计算通过网络将大量的计算和存储资源连接起来,进行统一的 管理和调度,按需提供服务。使用者只需通过网络访问就可以获取存储空间、计算能力或应 用系统。然而云计算却对网络安全防护提出了严重的挑战。云计算数据中心网络的扁平化 和高速化需求,使传统多层数据中心网络逐渐向平面网络架构过渡,平面网络架构使用基 于数据流、非拦截、最短路径结构来最大限度地提升网络性能,随之安全域也没有清晰的物 理边界。
[0003] 过去,传统模式下的信息安全防护解决方案中,最重要的一点就是建立网络边界, 区分信任域和非信任域,然后在网络边界用网关进行访问控制和安全防御。在虚拟化时代, 同一个主机上的虚拟系统互相访问则不会经过这些过时的网关设备。再有,传统物理时代 能够用"拔网线"这样的手段立即中止网络形式的病毒爆发,在虚拟化时代这样的策略已经 是不符合新的系统形态。而且边界式的防护在云计算时代也随着边界定义模糊、消失而不 再适用。传统信息安全防护体系在云计算时代面临重大的挑战。
[0004] 同时,在云环境下,企业业务的复杂度越来越高,变化频率也越来越快,因此传统 的边界防护策略难以凑效,基于业务互联关系分析技术更加适应复杂的云环境。
[0005] 传统的安全审计往往基于网络环境中的各类设备的syslog日志实现,由于 syslog日志信息本身的全面性和可靠性较差,因此,在复杂多变的云环境下,必须有新的技 术来应对这种局面。

【发明内容】

[0006] 为了解决上述问题,本发明提出了一种业务互联关系审计方法和系统,能够在复 杂多变的云环境下,提供全面、可靠的信息安全防护。
[0007] 为了达到上述目的,本发明提出了 一种业务互联关系审计方法,该方法包括:
[0008] 通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据。
[0009] 根据原始流量数据构建业务流信息数据协议AppFlow。
[0010] 对业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯 对列表list,二元组包括客户端网间互联协议IP、服务端IP ;当业务互联通讯对list中的 业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对list进 行压缩处理。
[0011] 根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判 断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异 常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线。
[0012] 以固定的时间周期统计全网异常互联情况,基于异常互联告警的次数和严重等 级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计指标的计算公式 为:
[0013]
[0014] 其中,N是本时间周期内所述异常互联告警的总数;PRI为异常互联告警的严重等 级,PRI为正整数,取值范围1-5 ;Ni为每一个严重等级下异常互联告警的数量。
[0015] 优选地,通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是 指:
[0016] 采用多路并行采集技术同时采集云环境下虚拟交换机和实体交换机的端口镜像 流量,端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到 实体主机之间的流量信息。
[0017] 优选地,根据原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
[0018] 对原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记, 五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议。
[0019] 对五元组标记后的原始流量数据报文进行分组,对分组后的各组原始流量数据报 文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow ;其中,每两次汇总统计 计算之间的时间间隔相等。
[0020] 优选地,
[0021] 该时间间隔为20秒。
[0022] 业务流信息数据协议AppFlow的格式为:
[0023] AppFlow采用主动式数据推送机制和用户数据包协议UDP协议。
[0024] AppFlow封装格式为1个标头Header和多个记录Record。
[0025] 其中,所述Header的格式为:
[0026] 版本号Version :所处位置为Header,字段长度为2Bytes,OffSet = 0 ;
[0027] 报文中Record个数Count :所处位置为Header,字段长度为2Bytes,OffSet = 2 ;
[0028] 报文生成时间SystemTime :所处位置为Header,字段长度为4Bytes,OffSet = 4。
[0029] 其中,所述Record的格式为:
[0030] 源 IP Srclp :所处位置为 Record,字段长度为 4Bytes,OffSet = 0 ;
[0031] 目的 IP Dstlp :所处位置为 Record,字段长度为 4Bytes,OffSet = 4 ;
[0032] 源端口 SrcPort :所处位置为 Record,字段长度为 2Bytes,OffSet = 8 ;
[0033] 目的端口 DstPort :所处位置为Record,字段长度为2Bytes,OffSet = 10 ;
[0034] 四层协议Protocol_L4 :所处位置为Record,字段长度为lBytes,OffSet = 12 ;
[0035] 应用层协议Protocol_App :所处位置为Record,字段长度为lBytes,OffSet = 13 ;
[0036] 流入索引If_in :所处位置为Record,字段长度为2Bytes,OffSet = 16 ;
[0037] 流出索引 Protocol_App :所处位置为 Record,字段长度为 2Bytes,OffSet = 16 ;
[0038] 包数 Count_Packet :所处位置为 Record,字段长度为 4Bytes,OffSet = 18 ;
[0039] 字节数 Count_Byte :所处位置为 Record,字段长度为 4Bytes,OffSet = 22 ;
[0040] 开始时间Start_Time :所处位置为Record,字段长度为4Bytes,OffSet = 26 ;
[0041] 结束时间End_Time :所处位置为Record,字段长度为4Bytes,OffSet = 30。
[0042] 优选地,
[0043] 该方法还包括:实时监测业务互联通讯对,发现新的业务互联通讯对时,实时更新 所述业务互联通讯对list。
[0044] 第一阈值为10万个。
[0045] 采用压缩算法对list进行压缩处理是指:将客户端IP同属于第一网段以及服务 端IP同属于第二网段的多个业务互联通讯对合并为一个,合并后的业务互联通讯对表示 第一网段到第二网段的业务互联通讯对。
[0046] 优选地,根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值 基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯 对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值 基线是指:
[0047] 依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代 削减聚类法将压缩后的业务互联通讯对list分为多个群组group ;将多个group中的各个 group内的业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基 线,当该group内增加一个或多个新的所述业务互联通讯对时,将新的业务互联通讯对的 通讯频次和通讯字节流速与该group的特征值基线相比较,当新的业务互联通讯对的通讯 频次和通讯字节流速与特征值基线的偏离度大于预定的第二阈值时,将一个或多个新的业 务互联通讯对确定为异常互联,并进行异常互联告警;当新的业务互联通讯对的通讯频次 和通讯字节流速与特征值基线的偏离度小于或等于第二阈值时,将一个或多个新的业务互 联通讯对确定为正常互联,并依据一个或多个新的业务互联通讯对的通讯频次和通讯字节 流速对该group的特征值基线进行更新。
[0048] 本发明还提出了一种业务互联关系审计系统,该系统包括:采集模块、第一构建模 块、第二构建模块、判定模块以及计算模块。
[0049] 采集模块,用于通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量 数据。
[0050] 第一构建模块,用于根据原始流量数据构建业务流信息数据协议AppFlow。
[0051] 第二构建模块,用于对业务流信息数据协议AppFlow进行持续计算,以二元组形 式构建业务互联通讯对列表list,二元组包括客户端IP、服务端IP ;当业务互联通讯对 list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对 list进行压缩处理。
[0052] 判定模块,用于根据压缩处理后的业务互联通讯对list构建特征值基线,并基于 特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互 联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新 特征值基线。
[0053] 计算模块,用于以固定的时间周期统计全网异常互联情况,基于异常互联告警的 次数和严重等级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计指 标的计算公式为:
[0054]
[0055] 其中,N是本时间周期内异常互联告警的总数;PRI为异常互联告警的严重等级, PRI为正整数,取值范围1-5 ;Ni为每一个严重等级下异常互联告警的数量。
[0056] 优选地,通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是 指:
[0057] 采用多路并行采集技术同时采集云环境下虚拟交换机和实体交换机的端口镜像 流量,端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到 实体主机之间的流量信息。
[0058] 优选地,根据原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
[0059] 对原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记, 五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议;
[0060] 对五元组标记后的原始流量数据报文进行分组,对分组后的各组原始流量数据报 文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow ;其中,每两次汇总统计 计算之间的时间间隔相等。
[0061] 优选地,
[0062] 该时间间隔为20秒;
[0063] 业务流信息数据协议AppFlow的格式为:
[0064] AppFlow采用主动式数据推送机制和用户数据包协议UDP协议。
[0065] AppFlow封装格式为1个标头Header和多个记录Record。
[0066] 其中,Header的格式为:
[0067] 版本号Version :所处位置为Header,字段长度为2Bytes,OffSet = 0 ;
[0068] 报文中Record个数Count :所处位置为Header,字段长度为2Bytes,OffSet = 2 ;
[0069] 报文生成时间SystemTime :所处位置为Header,字段长度为4Bytes,OffSet = 4。
[0070] 其中,Record的格式为:
[0071] 源 IP Srclp :所处位置为 Record,字段长度为 4Bytes,OffSet = 0 ;
[0072] 目的 IP Dstlp :所处位置为 Record,字段长度为 4Bytes,OffSet = 4 ;
[0073] 源端口 SrcPort :所处位置为 Record,字段长度为 2Bytes,OffSet = 8 ;
[0074] 目的端口 DstPort :所处位置为Record,字段长度为2Bytes,OffSet = 10 ;
[0075] 四层协议Protocol_L4 :所处位置为Record,字段长度为lBytes,OffSet = 12 ;
[0076] 应用层协议Protocol_App :所处位置为Record,字段长度为lBytes,OffSet = 13 ;
[0077] 流入索引If_in :所处位置为Record,字段长度为2Bytes,OffSet = 16 ;
[0078] 流出索引 Protocol_App :所处位置为 Record,字段长度为 2Bytes,OffSet = 16 ;
[0079] 包数 Count_Packet :所处位置为 Record,字段长度为 4Bytes,OffSet = 18 ;
[0080] 字节数 Count_Byte :所处位置为 Record,字段长度为 4Bytes,OffSet = 22 ;
[0081] 开始时间Start_Time :所处位置为Record,字段长度为4Bytes,OffSet = 26 ;
[0082] 结束时间End_Time :所处位置为Record,字段长度为4Bytes,OffSet = 30。
[0083] 优选地,
[0084] 该系统还包括更新模块:用于实时监测所述业务互联通讯对,发现新的业务互联 通讯对时,实时更新业务互联通讯对list。
[0085] 第一阈值为10万个。
[0086] 采用压缩算法对list进行压缩处理是指:将客户端IP同属于第一网段以及服务 端IP同属于第二网段的多个业务互联通讯对合并为一个,合并后的业务互联通讯对表示 第一网段到第二网段的业务互联通讯对。
[0087] 优选地,根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值 基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯 对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值 基线是指:
[0088] 依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代 削减聚类法将压缩后的业务互联通讯对list分为多个群组group ;将多个group中的各个 group内的业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基 线,当该group内增加一个或多个新的业务互联通讯对时,将新的业务互联通讯对的通讯 频次和通讯字节流速与该group的特征值基线相比较,当新的业务互联通讯对的通讯频次 和通讯字节流速与特征值基线的偏离度大于预定的第二阈值时,将一个或多个新的业务互 联通讯对确定为异常互联,并进行异常互联告警;当新的业务互联通讯对的通讯频次和通 讯字节流速与特征值基线的偏离度小于或等于第二阈值时,将一个或多个新的业务互联通 讯对确定为正常互联,并依据一个或多个新的业务互联通讯对的通讯频次和通讯字节流速 对该group的特征值基线进行更新。
[0089] 与现有技术相比,本发明包括:通过流量镜像采集云环境中虚拟交换和实体交换 机中的原始流量数据。根据原始流量数据构建业务流信息数据协议AppFlow。对业务流信 息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯对列表list,二元组 包括客户端网间互联协议IP、服务端IP ;当业务互联通讯对list中的业务互联通讯对的数 量超过预定的第一阈值时,采用压缩算法对业务互联通讯对list进行压缩处理。根据压缩 处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多 个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异 常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线。以固定的时间周期 统计全网异常互联情况,基于异常互联告警的次数和严重等级获得业务互联指数,业务互 联指数作为业务互联的整体审计指标,审计指标的计算公式为:
[0090]
[0091] 其中,N是本时间周期内所述异常互联告警的总数;PRI为异常互联告警的严重等 级,PRI为正整数,取值范围1-5 ;Ni为每一个严重等级下异常互联告警的数量。通过本发 明的方案,能够在复杂多变的云环境下,提供全面、可靠的信息安全防护。
【附图说明】
[0092] 下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一 步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
[0093] 图1为本发明的业务互联关系审计方法流程图;
[0094] 图2为本发明的业务互联关系审计系统框图。
【具体实施方式】
[0095] 为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不 能用来限制本发明的保护范围。
[0096] 本发明针对云环境网络复杂、变化频率高的特点,基于镜像流量充分采集云环境 的网络信息,采用流数据思想对海量网络数据进行处理,采用聚类分析方法对云环境下各 业务之间互联关系进行安全审计,辅助用户进行安全决策。
[0097] 具体地,本发明提出了一种业务互联关系审计方法,如图1所示,该方法包括:
[0098] S101、通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据。
[0099] 优选地,通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是 指:
[0100] 采用多路并行采集技术同时采集云环境下虚拟交换机和实体交换机的端口镜像 流量,端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到 实体主机之间的流量信息。
[0101] 端口镜像技术是为了方便对一个或多个网络接口的流量进行分析(如入侵检测 系统IDS产品、网络分析仪等),可以通过配置交换机来把一个或多个端口(虚拟局域网 VLAN)的数据转发到某一个端口来实现对网络的监听,是网络通信协议的一种方式在企业 中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的 时候,可以做到很好地故障定位。在云环境下虚拟交换机和实体交换机都具备端口镜像能 力。
[0102] S102、根据原始流量数据构建业务流信息数据协议AppFlow。
[0103] 优选地,根据原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
[0104] 对原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记, 五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议。
[0105] 对五元组标记后的原始流量数据报文进行分组,对分组后的各组原始流量数据报 文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow ;其中,每两次汇总统计 计算之间的时间间隔相等。
[0106] 优选地,
[0107] 该时间间隔为20秒。
[0108] 业务流信息数据协议AppFlow的格式为:
[0109] AppFlow采用主动式数据推送机制和用户数据包协议UDP协议。
[0110] AppFlow封装格式为1个标头Header和多个记录Record。
[0111] 其中,所述Header的格式为:
[0112] 版本号Version :所处位置为Header,字段长度为2Bytes,OffSet = 0 ;
[0113] 报文中Record个数Count :所处位置为Header,字段长度为2Bytes,OffSet = 2 ;
[0114] 报文生成时间SystemTime :所处位置为Header,字段长度为4Bytes,OffSet = 4。
[0115] 用表格形式表不为:
[0116]
[0117] 其中,所述Record的格式为:
[0118] 源 IP Srclp :所处位置为 Record,字段长度为 4Bytes,OffSet = 0 ;
[0119] 目的 IP Dstlp :所处位置为 Record,字段长度为 4Bytes,OffSet = 4 ;
[0120] 源端口 SrcPort :所处位置为 Record,字段长度为 2Bytes,OffSet = 8 ;
[0121] 目的端口 DstPort :所处位置为Record,字段长度为2Bytes,OffSet = 10 ;
[0122] 四层协议Protocol_L4 :所处位置为Record,字段长度为lBytes,OffSet = 12 ;
[0123] 应用层协议Protocol_App :所处位置为Record,字段长度为lBytes,OffSet = 13 ;
[0124] 流入索引If_in :所处位置为Record,字段长度为2Bytes,OffSet = 16 ;
[0125] 流出索引 Protocol_App :所处位置为 Record,字段长度为 2Bytes,OffSet = 16 ;
[0126] 包数 Count_Packet :所处位置为 Record,字段长度为 4Bytes,OffSet = 18 ;
[0127] 字节数 Count_Byte :所处位置为 Record,字段长度为 4Bytes,OffSet = 22 ;
[0128] 开始时间Start_Time :所处位置为Record,字段长度为4Bytes,OffSet = 26 ;
[0129] 结束时间End_Time :所处位置为Record,字段长度为4Bytes,OffSet = 30。
[0130] 用表格形式表不为:
[0131]
[0132] 其中,对原始流量数据报文进行业务应用协议识别并标记采用DPI (每英寸网点 数)技术。应用识别根据应用协议的不同模型化分类,使用不同的识别技术,准确识别应用 协议。应用协议从基于传输控制协议/用户数据报协议TCP/UDP固定端口发展成绝大多数 基于TCP/UDP可变端口,因此应用协议识别需要将报文的深度内容检测及相关协议解析、 检测验证结合起来进行。
[0133] S103、对业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互 联通讯对列表list,二元组包括客户端网间互联协议IP、服务端IP ;当业务互联通讯对 list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对 list进行压缩处理。
[0134] 优选地,
[0135] 该方法还包括:实时监测业务互联通讯对,发现新的业务互联通讯对时,实时更新 所述业务互联通讯对list。
[0136] 第一阈值为10万个。
[0137] 采用压缩算法对list进行压缩处理是指:将客户端IP同属于第一网段以及服务 端IP同属于第二网段的多个业务互联通讯对合并为一个,合并后的业务互联通讯对表示 第一网段到第二网段的业务互联通讯对。
[0138] 为了保证在超大规模IP环境下的系统稳定性,当业务互联通讯对list超过一定 规模(如10万个,依据应用环境不同而不同),需要对业务互联通讯对list进行压缩。
[0139] S104、根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基 线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对 为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基 线。
[0140] 优选地,根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值 基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯 对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值 基线是指:
[0141] 依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代 削减聚类法将压缩后的业务互联通讯对list分为多个群组group ;将多个group中的各个 group内的业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基 线,随着时间推进,当该group内有新的通讯对发生,即,当该group内增加一个或多个新的 所述业务互联通讯对时,将新的业务互联通讯对的通讯频次和通讯字节流速与该group的 特征值基线相比较,当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏 离度大于预定的第二阈值时,将一个或多个新的业务互联通讯对确定为异常互联,并进行 异常互联告警;当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度 小于或等于第二阈值时,将一个或多个新的业务互联通讯对确定为正常互联,并依据一个 或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的特征值基线进行更 新。
[0142] 平衡迭代削减聚类法(即BIRCH算法),其核心是用一个聚类特征三元组(通讯次 数、字节流量、应用协议主成分)表示一个簇的有关信息,从而使一簇点的表示可用对应的 聚类特征,而不必用具体的一组点来表示。它通过构造满足分支因子和簇直径限制的聚类 特征树来求聚类。BIRCH算法通过聚类特征可以方便地进行中心、半径、直径及类内、类间距 离的运算。算法的聚类特征树是一个具有两个参数分枝因子B和类直径T的高度平衡树。 分枝因子规定了树的每个节点子女的最多个数,而类直径体现了对一类点的直径大小的限 制即这些点在多大范围内可以聚为一类,非叶子结点为它的子女的最大关键字,可以根据 这些关键字进行插人索引,它总结了其子女的信息。
[0143] 业务通讯对群组的特征值基线为该群组内各业务互联通讯对的平均通讯次数和 字节流量。AppFlow是按照等时间间隔汇总统计所得,该时间间隔为20秒,通过AppFlow 计算获得业务互联通信对,当该群组内有新的业务互联通讯对发生,该通讯对本周期内(20 秒)的平均通讯次数或字节流量超过所在群组的特征基线值,则生成异常互联告警。
[0144] S105、以固定的时间周期统计全网异常互联情况,基于异常互联告警的次数和严 重等级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计指标的计算 公式为:
[0145]
[0146] 其中,N是本时间周期内所述异常互联告警的总数;PRI为异常互联告警的严重等 级,PRI为正整数,取值范围1-5 ;Ni为每一个严重等级下异常互联告警的数量。
[0147] 业务互联指数代表整个云环境的业务互联安全态势。
[0148] 本发明还提出了一种业务互联关系审计系统01,如图2所示,该系统包括:采集模 块02、第一构建模块03、第二构建模块04、判定模块05以及计算模块06。
[0149] 采集模块02,用于通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流 量数据。
[0150] 第一构建模块03,用于根据原始流量数据构建业务流信息数据协议AppFlow。
[0151] 第二构建模块04,用于对业务流信息数据协议AppFlow进行持续计算,以二元组 形式构建业务互联通讯对列表list,二元组包括客户端IP、服务端IP ;当业务互联通讯对 list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对 list进行压缩处理。
[0152] 判定模块05,用于根据压缩处理后的业务互联通讯对list构建特征值基线,并基 于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务 互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更 新特征值基线。
[0153] 计算模块06,用于以固定的时间周期统计全网异常互联情况,基于异常互联告警 的次数和严重等级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计 指标的计算公式为:
[0154]
[0155] 其中,N是本时间周期内异常互联告警的总数;PRI为异常互联告警的严重等级, PRI为正整数,取值范围1-5 ;Ni为每一个严重等级下异常互联告警的数量。
[0156] 优选地,通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是 指:
[0157] 采用多路并行采集技术同时采集云环境下虚拟交换机和实体交换机的端口镜像 流量,端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到 实体主机之间的流量信息。
[0158] 优选地,根据原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
[0159] 对原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记, 五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议;
[0160] 对五元组标记后的原始流量数据报文进行分组,对分组后的各组原始流量数据报 文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow ;其中,每两次汇总统计 计算之间的时间间隔相等。
[0161] 优选地,
[0162] 该时间间隔为20秒;
[0163] 业务流信息数据协议AppFlow的格式为:
[0164] AppFlow采用主动式数据推送机制和用户数据包协议UDP协议。
[0165] AppFlow封装格式为1个标头Header和多个记录Record。
[0166] 其中,Header的格式为:
[0167] 版本号Version :所处位置为Header,字段长度为2Bytes,OffSet = 0 ;
[0168] 报文中Record个数Count :所处位置为Header,字段长度为2Bytes,OffSet = 2 ;
[0169] 报文生成时间SystemTime :所处位置为Header,字段长度为4Bytes,OffSet = 4。
[0170] 其中,Record的格式为:
[0171] 源 IP Srclp :所处位置为 Record,字段长度为 4Bytes,OffSet = 0 ;
[0172] 目的 IP Dstlp :所处位置为 Record,字段长度为 4Bytes,OffSet = 4 ;
[0173] 源端口 SrcPort :所处位置为 Record,字段长度为 2Bytes,OffSet = 8 ;
[0174] 目的端口 DstPort :所处位置为Record,字段长度为2Bytes,OffSet = 10 ;
[0175] 四层协议Protocol_L4 :所处位置为Record,字段长度为lBytes,OffSet = 12 ;
[0176] 应用层协议Protocol_App :所处位置为Record,字段长度为lBytes,OffSet = 13 ;
[0177] 流入索引If_in :所处位置为Record,字段长度为2Bytes,OffSet = 16 ;
[0178] 流出索引 Protocol_App :所处位置为 Record,字段长度为 2Bytes,OffSet = 16 ;
[0179] 包数 Count_Packet :所处位置为 Record,字段长度为 4Bytes,OffSet = 18 ;
[0180] 字节数 Count_Byte :所处位置为 Record,字段长度为 4Bytes,OffSet = 22 ;
[0181] 开始时间Start_Time :所处位置为Record,字段长度为4Bytes,OffSet = 26 ;
[0182] 结束时间End_Time :所处位置为Record,字段长度为4Bytes,OffSet = 30。
[0183] 优选地,
[0184] 该系统还包括更新模块07 :用于实时监测所述业务互联通讯对,发现新的业务互 联通讯对时,实时更新业务互联通讯对list。
[0185] 第一阈值为10万个。
[0186] 采用压缩算法对list进行压缩处理是指:将客户端IP同属于第一网段以及服务 端IP同属于第二网段的多个业务互联通讯对合并为一个,合并后的业务互联通讯对表示 第一网段到第二网段的业务互联通讯对。
[0187] 优选地,根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值 基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯 对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值 基线是指:
[0188] 依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代 削减聚类法将压缩后的业务互联通讯对list分为多个群组group ;将多个group中的各个 group内的业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基 线,当该group内增加一个或多个新的业务互联通讯对时,将新的业务互联通讯对的通讯 频次和通讯字节流速与该group的特征值基线相比较,当新的业务互联通讯对的通讯频次 和通讯字节流速与特征值基线的偏离度大于预定的第二阈值时,将一个或多个新的业务互 联通讯对确定为异常互联,并进行异常互联告警;当新的业务互联通讯对的通讯频次和通 讯字节流速与特征值基线的偏离度小于或等于第二阈值时,将一个或多个新的业务互联通 讯对确定为正常互联,并依据一个或多个新的业务互联通讯对的通讯频次和通讯字节流速 对该group的特征值基线进行更新。
[0189] 需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并 不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对 本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
【主权项】
1. 一种业务互联关系审计方法,其特征在于,所述方法包括: 通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据; 根据所述原始流量数据构建业务流信息数据协议AppFloW ; 对所述业务流信息数据协议AppFlow进行持续计算,W二元组形式构建业务互联通讯 对列表list,所述二元组包括客户端网间互联协议IP、服务端IP ;当所述业务互联通讯对 list中的业务互联通讯对的数量超过预定的第一阔值时,采用压缩算法对所述业务互联通 讯对list进行压缩处理; 根据压缩处理后的所述业务互联通讯对list构建特征值基线,并基于所述特征值基 线判断增加的一个或多个新的所述业务互联通讯对是否为异常互联;如果所述新的业务互 联通讯对为异常互联,则进行异常互联报警;如果所述新的业务互联通讯对为正常互联,贝U 更新所述特征值基线; W固定的时间周期统计全网异常互联情况,基于所述异常互联告警的次数和严重等级 获得业务互联指数,所述业务互联指数作为业务互联的整体审计指标,所述审计指标的计 算公式为:其中,N是本时间周期内所述异常互联告警的总数;PRI为所述异常互联告警的严重等 级,所述PRI为正整数,取值范围1-5 ;Ni为每一个严重等级下所述异常互联告警的数量。2. 如权利要求1所述的业务互联关系审计方法,其特征在于,所述通过流量镜像采集 云环境中虚拟交换和实体交换机中的原始流量数据是指: 采用多路并行采集技术同时采集云环境下所述虚拟交换机和实体交换机的端口镜像 流量,所述端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟 机到实体主机之间的流量信息。3. 如权利要求1所述的业务互联关系审计方法,其特征在于,所述根据所述原始流量 数据构建业务流信息数据协议AppFlow包括W下步骤: 对所述原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记, 所述五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议; 对五元组标记后的所述原始流量数据报文进行分组,对分组后的各组所述原始流量数 据报文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow ;其中,每两次所述 汇总统计计算之间的时间间隔相等。4. 如权利要求3所述业务互联关系审计方法,其特征在于, 所述时间间隔为20秒; 所述业务流信息数据协议AppFlow的格式为: 所述AppFlow采用主动式数据推送机制和用户数据包协议UDP协议; 所述AppFlow封装格式为1个标头化ader和多个记录Record ; 其中,所述化ader的格式为: 版本号Version :所处位置为化ader,字段长度为2B^es,Offset = 0 ; 报文中Record个数Count :所处位置为Header,字段长度为2B}ftes,OffSet = 2 ; 报文生成时间SystemTime :所处位置为化ader,字段长度为4B^es,Offset = 4 ; 其中,所述Record的格式为: 源IP SrcIp :所处位置为Record,字段长度为4B}ftes,OffSet = 0 ; 目的IP DstIp :所处位置为Record,字段长度为4B}rtes,Offset = 4 ; 源端口 SrcPort :所处位置为Record,字段长度为2B}ftes,OffSet = 8 ; 目的端口化巧ort :所处位置为Record,字段长度为2B^es,Offset = 10 ; 四层协议Pr〇tocol_L4 :所处位置为Record,字段长度为lB}ftes,OffSet = 12 ; 应用层协议Protocol_App :所处位置为Record,字段长度为IB^es,Offset = 13 ; 流入索引If_in :所处位置为Record,字段长度为2B^es,Offset = 16 ; 流出索引Protocol_App :所处位置为Record,字段长度为2B}rtes,Offset = 16 ; 包数 Count_Packet :所处位置为 Record,字段长度为 4B}ftes,OffSet = 18 ; 字节数Count_B}fte :所处位置为Record,字段长度为4B}ftes,OffSet = 22 ; 开始时间Sta;rt_Time :所处位置为Record,字段长度为4B}ftes,OffSet = 26 ; 结束时间化cLTime :所处位置为Record,字段长度为4B^es,Offset = 30。5. 如权利要求1所述业务互联关系审计方法,其特征在于, 所述方法还包括:实时监测所述业务互联通讯对,发现新的所述业务互联通讯对时,实 时更新所述业务互联通讯对list ; 所述第一阔值为10万个; 所述采用压缩算法对所述list进行压缩处理是指:将所述客户端IP同属于第一网段 W及所述服务端IP同属于第二网段的多个所述业务互联通讯对合并为一个,合并后的所 述业务互联通讯对表示所述第一网段到所述第二网段的业务互联通讯对。6. 如权利要求1所述业务互联关系审计方法,其特征在于,所述根据压缩处理后的所 述业务互联通讯对list构建特征值基线,并基于所述特征值基线判断增加的一个或多个 新的所述业务互联通讯对是否为异常互联;如果所述新的业务互联通讯对为异常互联,贝U 进行异常互联报警;如果所述新的业务互联通讯对为正常互联,则更新所述特征值基线是 指: 依据包括通讯次数、字节流量、应用协议主成分的聚类特征=元组,采用平衡迭代削减 聚类法将压缩后的所述业务互联通讯对list分为多个群组group ;将所述多个group中的 各个group内的所述业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的 特征值基线,当该group内增加一个或多个新的所述业务互联通讯对时,将新的所述业务 互联通讯对的通讯频次和通讯字节流速与该group的所述特征值基线相比较,当新的所述 业务互联通讯对的通讯频次和通讯字节流速与所述特征值基线的偏离度大于预定的第二 阔值时,将所述一个或多个新的业务互联通讯对确定为异常互联,并进行异常互联告警;当 新的所述业务互联通讯对的通讯频次和通讯字节流速与所述特征值基线的偏离度小于或 等于所述第二阔值时,将所述一个或多个新的业务互联通讯对确定为正常互联,并依据所 述一个或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的所述特征值 基线进行更新。7. -种业务互联关系审计系统,其特征在于,所述系统包括:采集模块、第一构建模 块、第二构建模块、判定模块W及计算模块; 所述采集模块,用于通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量 数据; 所述第一构建模块,用于根据所述原始流量数据构建业务流信息数据协议AppFloW ; 所述第二构建模块,用于对所述业务流信息数据协议AppFlow进行持续计算,W二元 组形式构建业务互联通讯对列表list,所述二元组包括客户端IP、服务端IP ;当所述业务 互联通讯对list中的业务互联通讯对的数量超过预定的第一阔值时,采用压缩算法对所 述业务互联通讯对list进行压缩处理; 所述判定模块,用于根据压缩处理后的所述业务互联通讯对list构建特征值基线,并 基于所述特征值基线判断增加的一个或多个新的所述业务互联通讯对是否为异常互联;如 果所述新的业务互联通讯对为异常互联,则进行异常互联报警;如果所述新的业务互联通 讯对为正常互联,则更新所述特征值基线; 所述计算模块,用于W固定的时间周期统计全网异常互联情况,基于所述异常互联告 警的次数和严重等级获得业务互联指数,所述业务互联指数作为业务互联的整体审计指 标,所述审计指标的计算公式为:其中,N是本时间周期内所述异常互联告警的总数;PRI为所述异常互联告警的严重等 级,所述PRI为正整数,取值范围1-5 ;Ni为每一个严重等级下所述异常互联告警的数量。8. 如权利要求7所述的业务互联关系审计系统,其特征在于,所述通过流量镜像采集 云环境中虚拟交换和实体交换机中的原始流量数据是指: 采用多路并行采集技术同时采集云环境下所述虚拟交换机和实体交换机的端口镜像 流量,所述端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟 机到实体主机之间的流量信息。9. 如权利要求7所述的业务互联关系审计系统,其特征在于,所述根据所述原始流量 数据构建业务流信息数据协议AppFlow包括W下步骤: 对所述原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记, 所述五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议; 对五元组标记后的所述原始流量数据报文进行分组,对分组后的各组所述原始流量数 据报文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow ;其中,每两次所述 汇总统计计算之间的时间间隔相等。10. 如权利要求9所述业务互联关系审计系统,其特征在于, 所述时间间隔为20秒; 所述业务流信息数据协议AppFlow的格式为: 所述AppFlow采用主动式数据推送机制和用户数据包协议UDP协议; 所述AppFlow封装格式为1个标头化ader和多个记录Record ; 其中,所述化ader的格式为: 版本号Version :所处位置为化ader,字段长度为2B^es,Offset = 0 ; 报文中Record个数Count :所处位置为Header,字段长度为2B}ftes,OffSet = 2 ; 报文生成时间SystemTime :所处位置为化ader,字段长度为4B^es,Offset = 4 ; 其中,所述Record的格式为: 源IP SrcIp :所处位置为Record,字段长度为4B}ftes,OffSet = 0 ; 目的IP DstIp :所处位置为Record,字段长度为4B}rtes,Offset = 4 ; 源端口 SrcPort :所处位置为Record,字段长度为2B}ftes,OffSet = 8 ; 目的端口化巧ort :所处位置为Record,字段长度为2B^es,Offset = 10 ; 四层协议Pr〇tocol_L4 :所处位置为Record,字段长度为lB}ftes,OffSet = 12 ; 应用层协议Protocol_App :所处位置为Record,字段长度为IB^es,Offset = 13 ; 流入索引If_in :所处位置为Record,字段长度为2B^es,Offset = 16 ; 流出索引Protocol_App :所处位置为Record,字段长度为2B}rtes,Offset = 16 ; 包数 Count_Packet :所处位置为 Record,字段长度为 4B}ftes,OffSet = 18 ; 字节数Count_B}fte :所处位置为Record,字段长度为4B}ftes,OffSet = 22 ; 开始时间Sta;rt_Time :所处位置为Record,字段长度为4B}ftes,OffSet = 26 ; 结束时间化cLTime :所处位置为Record,字段长度为4B^es,Offset = 30。11. 如权利要求7所述业务互联关系审计方法,其特征在于, 所述系统还包括更新模块:用于实时监测所述业务互联通讯对,发现新的所述业务互 联通讯对时,实时更新所述业务互联通讯对list ; 所述第一阔值为10万个; 所述采用压缩算法对所述list进行压缩处理是指:将所述客户端IP同属于第一网段 W及所述服务端IP同属于第二网段的多个所述业务互联通讯对合并为一个,合并后的所 述业务互联通讯对表示所述第一网段到所述第二网段的业务互联通讯对。12. 如权利要求7所述业务互联关系审计系统,其特征在于,所述根据压缩处理后的所 述业务互联通讯对list构建特征值基线,并基于所述特征值基线判断增加的一个或多个 新的所述业务互联通讯对是否为异常互联;如果所述新的业务互联通讯对为异常互联,贝U 进行异常互联报警;如果所述新的业务互联通讯对为正常互联,则更新所述特征值基线是 指: 依据包括通讯次数、字节流量、应用协议主成分的聚类特征=元组,采用平衡迭代削减 聚类法将压缩后的所述业务互联通讯对list分为多个群组group ;将所述多个group中的 各个group内的所述业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的 特征值基线,当该group内增加一个或多个新的所述业务互联通讯对时,将新的所述业务 互联通讯对的通讯频次和通讯字节流速与该group的所述特征值基线相比较,当新的所述 业务互联通讯对的通讯频次和通讯字节流速与所述特征值基线的偏离度大于预定的第二 阔值时,将所述一个或多个新的业务互联通讯对确定为异常互联,并进行异常互联告警;当 新的所述业务互联通讯对的通讯频次和通讯字节流速与所述特征值基线的偏离度小于或 等于所述第二阔值时,将所述一个或多个新的业务互联通讯对确定为正常互联,并依据所 述一个或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的所述特征值 基线进行更新。
【文档编号】H04L29/06GK105991623SQ201510098835
【公开日】2016年10月5日
【申请日】2015年3月5日
【发明人】张延佳
【申请人】北京启明星辰信息安全技术有限公司, 北京启明星辰信息技术股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张延佳;
  • 技术所有人:北京启明星辰信息安全技术有限公司;北京启明星辰信息技术股份有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2