一种业务安全分析的方法和系统的制作方法

一种业务安全分析的方法和系统的制作方法
【专利摘要】本发明公开了一种业务安全分析的方法和系统，包括：接收网络设备发送的Netflow数据，同时主动采集全网络流量数据；对采集的流量数据进行解析并生成Netflow数据；并对获得的Netflow数据进行流量过滤、流量聚合和特征提取，对经过流量过滤、流量聚合和特征提取操作后的Netflow数据使用威胁检测技术进行威胁检测，将检测结果保存到黑、白、灰名单中，并以业务视图的形式展现Netflow数据的检测结果；结合业务数据对检测结果进行关联分析，实时获取业务系统的安全状态。通过本发明的方案，能够在复杂网络环境中，对异常流量进行精确分析。
【专利说明】
一种业务安全分析的方法和系统
技术领域
[0001] 本发明涉及计算机系统集成及应用技术，尤其涉及一种业务安全分析的方法和系 统。
【背景技术】
[0002] 计算机网络和移动互联网应用的快速发展，给社会工作和生活带来极大便利。与 之相对应企业网络也变得越来越负责，各种网络安全问题所造成的威胁和损失也越来越 大。随着网络规模的不断扩大，攻击手段越来越多样，特别是近年来高级持续性威胁APT攻 击越来越普遍，企业网络面临越来越多的内外部威胁，传统安全检测设备如防火墙、入侵检 测系统IDS等在威胁检测方面表现出来很多不足：
[0003] 1、防火墙、IDS等安全设备无法有效检测内部网络的安全威胁，如果要检测内部威 胁，需要在不同网络区域部署节点，成本较高。
[0004] 2、IDS等基于规则的检测手段无法及时发现Oday攻击。
[0005] 3、IDS基于深度包检测的技术，无法应对大规模网络的数据流量。

【发明内容】

[0006] 为了解决上述问题，本发明提出了一种业务安全分析的方法和系统，能够在复杂 网络环境中，对异常流量进行精确分析。
[0007] 为了达到上述目的，本发明提出了一种业务安全分析的方法，该方法包括：
[0008] 接收网络设备发送的网络流Netflow数据，同时主动采集全网络流量数据；对采 集的流量数据进行解析并生成Netflow数据；并对获得的Netflow数据进行流量过滤、流 量聚合和特征提取，对经过流量过滤、流量聚合和特征提取操作后的Netflow数据使用威 胁检测技术进行威胁检测，将检测结果保存到黑、白、灰名单中，并以业务视图的形式展现 Netflow数据的检测结果；结合业务数据对检测结果进行关联分析，实时获取业务系统的 安全状态。
[0009] 优选地，
[0010] 接收网络设备发送的Netflow数据是指：对于支持发送Netflow的网络设备，直接 以用户数据报协议UDP包的方式接收网络设备发送的Netflow数据。
[0011] 主动采集全网络流量数据是指：对于应用服务的流量数据，通过网络抓包方式主 动从物理层采集全网络流量数据。
[0012] 对采集的流量数据进行解析是指：对流量数据的会话重组和应用层协议解析。
[0013] 优选地，对Netflow数据进行流量过滤是指：以系统配置的方式，采用预先配置的 过滤条件对不需要分析的流数据进行过滤；过滤条件包括：源IP、目的IP、源端口范围、目 的端口范围、网络协议类型、应用协议类型和报文长度。
[0014] 优选地，对Netflow数据进行流量聚合是指：为采集的Netflow数据以源互联协议 IP、目的IP、源端口、目的端口、应用协议的组合为会话特征创建一个会话，并为创建的每一 个会话分配一个会话身份标记ID，在内存中创建以会话ID为主键的哈希表，实时采集新的 Netf low数据，并基于会话特征为新的Netf low数据创建新的会话，将创建的会话的数据信 息定时存储到数据库中，并分别以预定的第一时间、第二时间、第三时间为周期，设置三个 统计周期，对数据库中存储的会话信息进行持续地统计。
[0015] 其中，第一时间为5分钟、第二时间为1小时，第三时间为1天。
[0016] 优选地，对Netflow数据进行特征提取是指：基于对流量数据的会话重组和应用 层协议解析，对获得的Netf low数据进行分析，获得单个会话连接的源IP、目的IP、源端口、 目的端口、协议、持续时间、包字节数、总字节数。
[0017] 其中，获得单个会话连接的源IP、目的IP包括：提取过去一段时间内连接同一个 源IP的目的IP数和过去一段时间内连接同一个目的IP的源IP数，以及同一个源IP和同 一个目的IP之间的连接数。
[0018] 优选地，使用威胁检测技术对Netflow数据进行威胁检测，将检测结果保存到黑、 白、灰名单中是指：
[0019] 使用一种或多种威胁检测技术对Netflow数据进行威胁检测，将具有威胁的 Netflow数据的信息保存到黑名单中，将不具有威胁的Netflow数据的信息保存到白名单 中，将不能判定Netflow数据是否具有威胁和/或需要进一步判断Netflow数据是否具有 威胁的Netflow数据的信息保存到灰名单中。
[0020] 其中，威胁检测技术包括：基于规则的静态检测方式、基于安全信誉库的检测方 式、基于行为基线的动态检测方式。
[0021] 优选地，以业务视图的形式展现Netflow数据的检测结果是指：通过网络拓扑可 视化技术展现整体业务视图，以直观可视化的方式展示Netf low数据在业务内各节点间的 分布情况，并将检测到的安全威胁实时展现在整体业务视图的业务拓扑中。
[0022] 本发明还提出一种业务安全分析的系统，该系统包括：数据采集模块、流量过滤模 块、流量聚合模块、特征提取模块、威胁检测模块、展示模块和分析模块。
[0023] 数据采集模块，用于接收网络设备发送的Netflow数据，同时主动采集全网络流 量数据；对采集的流量数据进行解析并生成Netflow数据。
[0024] 流量过滤模块，用于对Netf low数据进行流量过滤。
[0025] 流量聚合模块，用于对Netflow数据进行流量聚合。
[0026] 特征提取模块，用于对Netflow数据进行特征提取。
[0027] 威胁检测模块，用于对经过流量过滤、流量聚合和特征提取操作后的Netflow数 据使用威胁检测技术进行威胁检测，将检测结果保存到黑、白、灰名单中。
[0028] 展示模块，用于以业务视图的形式展现Netflow数据的检测结果。
[0029] 分析模块，用于结合业务数据对检测结果进行关联分析，实时获取业务系统的安 全状态。
[0030] 优选地，
[0031] 接收网络设备发送的Netflow数据是指：对于支持发送Netflow的网络设备，直接 以用户数据报协议UDP包的方式接收网络设备发送的Netflow数据。
[0032] 主动采集全网络流量数据是指：对于应用服务的流量数据，通过网络抓包方式主 动从物理层采集全网络流量数据。
[0033] 对采集的所述流量数据进行解析是指：对流量数据的会话重组和应用层协议解 析。
[0034] 优选地，流量过滤模块对Netflow数据进行流量过滤是指：流量过滤模块以系统 配置的方式，采用预先配置的过滤条件对不需要分析的流数据进行过滤；过滤条件包括： 源IP、目的IP、源端□范围、目的端□范围、网络协议类型、应用协议类型和报文长度。
[0035] 优选地，流量聚合模块对Netflow数据进行流量聚合是指：流量聚合模块为采集 的Netflow数据以源IP、目的IP、源端口、目的端口、应用协议的组合为会话特征创建一个 会话，并为创建的每一个会话分配一个会话ID，在内存中创建以会话ID为主键的哈希表， 实时采集新的Netf low数据，并基于所述会话特征为新的Netf low数据创建新的会话，将创 建的会话的数据信息定时存储到数据库中，并分别以预定的第一时间、第二时间、第三时间 为周期，设置三个统计周期，对数据库中存储的会话信息进行持续地统计。
[0036] 其中，第一时间为5分钟、第二时间为1小时，第三时间为1天。
[0037] 优选地，特征提取模块对Netflow数据进行特征提取是指：特征提取模炔基于对 流量数据的会话重组和应用层协议解析，对获得的Netflow数据进行分析，获得单个会话 连接的源IP、目的IP、源端口、目的端口、协议、持续时间、包字节数、总字节数。
[0038] 其中，获得单个会话连接的源IP、目的IP包括：提取过去一段时间内连接同一个 源IP的目的IP数和过去一段时间内连接同一个目的IP的源IP数，以及同一个源IP和同 一个目的IP之间的连接数。
[0039] 优选地，威胁检测模块使用威胁检测技术对Netflow数据进行威胁检测，将检测 结果保存到黑、白、灰名单中是指：
[0040] 威胁检测模块使用一种或多种威胁检测技术对Netflow数据进行威胁检测，将具 有威胁的Netflow数据的信息保存到黑名单中，将不具有威胁的Netflow数据的信息保存 到白名单中，将不能判定Netflow数据是否具有威胁和/或需要进一步判断Netflow数据 是否具有威胁的Netflow数据的信息保存到灰名单中。
[0041] 其中，威胁检测技术包括：基于规则的静态检测方式、基于安全信誉库的检测方 式、基于行为基线的动态检测方式。
[0042] 优选地，展示模块以业务视图的形式展现Netflow数据的检测结果是指：展示模 块通过网络拓扑可视化技术展现整体业务视图，以直观可视化的方式展示Netflow数据在 业务内各节点间的分布情况，并将检测到的安全威胁实时展示在整体业务视图的业务拓扑 中。
[0043] 与现有技术相比，本发明包括：接收网络设备发送的Netflow数据，同时主动采集 全网络流量数据；对采集的流量数据进行解析并生成Netflow数据；并对获得的Netflow 数据进行流量过滤、流量聚合和特征提取，对经过流量过滤、流量聚合和特征提取操作后的 Netf low数据使用威胁检测技术进行威胁检测，将检测结果保存到黑、白、灰名单中，并以业 务视图的形式展现Netflow数据的检测结果；结合业务数据对检测结果进行关联分析，实 时获取业务系统的安全状态。通过本发明的方案，能够在复杂网络环境中，对异常流量进行 精确分析。
【附图说明】
[0044] 下面对本发明实施例中的附图进行说明，实施例中的附图是用于对本发明的进一 步理解，与说明书一起用于解释本发明，并不构成对本发明保护范围的限制。
[0045] 图1为本发明的业务安全分析方法流程图；
[0046] 图2为传统的传输控制协议TCP会话建立过程；
[0047] 图3为传统的基于行为基线的动态检测方法示意图；
[0048] 图4为本发明的业务安全分析系统框图。
【具体实施方式】
[0049] 为了便于本领域技术人员的理解，下面结合附图对本发明作进一步的描述，并不 能用来限制本发明的保护范围。
[0050] 针对传统安全检测设备如防火墙、入侵检测系统IDS等在威胁检测方面表现出来 的很多不足，采用基于网络流Netflow技术的安全分析技术，并结合大数据统计、异常检测 等技术，可提供更为及时有效的解决方案。
[0051] Netflow技术最早于1996年由Cisco公司发明，应用于Cisco的路由器和交换机 产品，记录端到端的访问信息，是一种对流经网络设备的IP数据流进行特征分析和测量的 技术手段。
[0052] 但传统的基于Cisco专利的Netflow技术通常应用于网络性能分析，只分析传输 控制协议/互联协议TCP/IP的第四层信息，对应用层业务数据无能为力。Netflow基于抽 样技术，无法描述一次完整的会话数据，而会话信息是安全分析的一个重要元素。为了解决 这些问题，本发明扩展了 Netflow信息的采集方式，通过对应用层协议进行解析，对TCP连 接进行会话重组和特征提取，解决了在复杂网络环境中，对异常流量进行精确分析的问题。 本发明提供的一种基于扩展Netflow进行流量采集、特征提取和异常检测的技术，能够对 业务应用的流量进行采集、存储、分析，从中发现潜在的安全威胁。
[0053] 具体地，本发明提出了一种业务安全分析的方法，如图1所示，该方法包括：
[0054] S101、接收网络设备发送的Netflow数据，同时主动采集全网络流量数据；对采集 的流量数据进行解析并生成Netflow数据。
[0055] 优选地，
[0056] 接收网络设备发送的Netflow数据是指：对于支持发送Netflow的网络设备，直接 以用户数据报协议UDP包的方式接收网络设备发送的Netflow数据。
[0057] 主动采集全网络流量数据是指：对于应用服务的流量数据，通过网络抓包方式主 动从物理层采集全网络流量数据。
[0058] 对采集的流量数据进行解析是指：对流量数据的会话重组和应用层协议解析。
[0059] 在本发明的方案中，数据采集的方式分为两种：对于支持发送Netflow的设备，直 接以UDP包方式接收网络设备发送的Netflow数据。对于应用服务的流量，通过物理层抓 包方式主动采集Netflow数据。为了进行更深入的安全分析，在将数据包Packet转换为 Netflow时，对Netflow v5的字段进行了扩展，扩展部分如下表所示：
[0060]

[0062] S102、对获得的Netflow数据进行流量过滤、流量聚合和特征提取。
[0063] 优选地，对Netflow数据进行流量过滤是指：以系统配置的方式，采用预先配置的 过滤条件对不需要分析的流数据进行过滤；过滤条件包括：源IP、目的IP、源端口范围、目 的端口范围、网络协议类型、应用协议类型和报文长度。其中，过滤规则由用户通过上述过 滤条件动态配置。
[0064] 优选地，对Netflow数据进行流量聚合是指：为采集的Netflow数据以源IP、目 的IP、源端口、目的端口、应用协议的组合为会话特征创建一个会话，并为创建的每一个 会话分配一个会话身份标记ID，在内存中创建以会话ID为主键的哈希表，实时采集新的 Netf low数据，并基于会话特征为新的Netf low数据创建新的会话，将创建的会话的数据信 息定时存储到数据库中，并分别以预定的第一时间、第二时间、第三时间为周期，设置三个 统计周期，对数据库中存储的会话信息进行持续地统计。
[0065] 其中，第一时间为5分钟、第二时间为1小时，第三时间为1天。
[0066] 网络数据传输过程中，通信的两端会通过相同的源端口、目的端口持续进行数据 传输，如图2所示，客户端到服务器端的一次会话必须通过三次握手建立连接，退出会话时 必须断开连接。Netflow数据中并不包含会话信息，所以系统在接收到Netflow数据时，重 组会话信息，以源IP、目的IP、源端口、目的端口、应用协议的组合计算一个会话ID，创建一 个会话，在内存中创建以会话ID为主键的哈希表，接收并聚合解析后的流量数据，会话数 据定时存储到数据库中，并以5分钟、1小时、1天为周期进行持续的聚合统计。
[0067] 优选地，对Netflow数据进行特征提取是指：基于对流量数据的会话重组和应用 层协议解析，对获得的Netf low数据进行分析，获得单个会话连接的源IP、目的IP、源端口、 目的端口、协议、持续时间、包字节数、总字节数。
[0068] 其中，获得单个会话连接的源IP、目的IP包括：提取过去一段时间内连接同一个 源IP的目的IP数和过去一段时间内连接同一个目的IP的源IP数，以及同一个源IP和同 一个目的IP之间的连接数。
[0069] S103、对经过流量过滤、流量聚合和特征提取操作后的Netflow数据使用威胁检 测技术进行威胁检测，将检测结果保存到黑、白、灰名单中。
[0070] 优选地，使用威胁检测技术对Netflow数据进行威胁检测，将检测结果保存到黑、 白、灰名单中是指：
[0071] 使用一种或多种威胁检测技术对Netflow数据进行威胁检测，将具有威胁的 Netflow数据的信息保存到黑名单中，并用作规则检测和安全信誉库的补充数据。将不具 有威胁的Netflow数据的信息保存到白名单中，将不能判定Netflow数据是否具有威胁和 /或需要进一步判断Netflow数据是否具有威胁的Netflow数据的信息保存到灰名单中。
[0072] 其中，威胁检测技术包括：基于规则的静态检测方式、基于安全信誉库的检测方 式、基于行为基线的动态检测方式。
[0073] 具体地，Netflow数据的基于规则的静态检测的具体方法为：根据源IP、目的IP、 源端口、目的端口、协议、数据流向、包字节数等特征制定的白名单、黑名单规则，对触发规 则的流事件进行实时检测。
[0074] 基于安全信誉库检测的具体方法为：构建基于恶意IP、URL、邮件服务器的安全信 誉库，对流数据中提取的IP地址和URL进行过滤，及时发现恶意代码或攻击。信誉库可通 过数据交换协议从外部系统导入、同步数据，也可以由使用者手动输入。
[0075] 基于行为基线的动态检测功能的具体方法如图3所示，通过对Netflow数据流进 行持续的统计，建立行为分析基线。行为分析基线建立的具体方法为，首先按照会话源、目 的IP和协议对会话进行分组，在每个分组内对特征变量进行提取。所使用的特征变量包括 但不限于：
[0076] 报文头长度、报文长度、存活时间（TTL)、标志位、并发flow数目、接收包数、接收 字节数、新增会话数、发送握手信号SYN包数目、接收SYN包数目、连接重置率、会话持续时 间等特征。
[0077] 基线的计算方式分为以下几种：
[0078] 1、均值基线
[0079]
[0080]
[0081]
[0082] 3、百分比基线，例如使用PSH标志位的TCP报文比例。
[0083] 4、步长基线，如统计IP分片的偏移量。
[0084] 若当前检测周期的实际值与基线值的差值大于设定的阈值，则将当前会话标记为 可以会话，并提取访问源信息，加入到可疑信息库中进行进一步的判定分析。
[0085] S104、以业务视图的形式展现Netflow数据的检测结果。
[0086] 优选地，以业务视图的形式展现Netflow数据的检测结果是指：通过网络拓扑可 视化技术展现整体业务视图，以直观可视化的方式展示Netf low数据在业务内各节点间的 分布情况，并将检测到的安全威胁实时展现在整体业务视图的业务拓扑中。便于持续钻取 分析、追溯威胁来源。
[0087] S105、结合业务数据对检测结果进行关联分析，实时获取业务系统的安全状态。
[0088] 本发明还提出一种业务安全分析的系统01，如图4所示，该系统包括：数据采集模 块02、流量过滤模块03、流量聚合模块04、特征提取模块05、威胁检测模块06、展示模块07 和分析模块08。
[0089] 数据采集模块02,用于接收网络设备发送的Netflow数据，同时主动采集全网络 流量数据；对采集的流量数据进行解析并生成Netflow数据。
[0090] 流量过滤模块03,用于对Netflow数据进行流量过滤。
[0091] 流量聚合模块04,用于对Netflow数据进行流量聚合。
[0092] 特征提取模块05,用于对Netflow数据进行特征提取。
[0093] 威胁检测模块06,用于对经过流量过滤、流量聚合和特征提取操作后的Netflow 数据使用威胁检测技术进行威胁检测，将检测结果保存到黑、白、灰名单中。
[0094] 展示模块07,用于以业务视图的形式展现Netflow数据的检测结果。
[0095] 分析模块08,用于结合业务数据对检测结果进行关联分析，实时获取业务系统的 安全状态。
[0096] 优选地，
[0097] 接收网络设备发送的Netflow数据是指：数据采集模块02对于支持发送Netflow 的网络设备，直接以用户数据报协议UDP包的方式接收网络设备发送的Netflow数据。
[0098] 主动采集全网络流量数据是指：数据采集模块02对于应用服务的流量数据，通过 网络抓包方式主动从物理层采集全网络流量数据。
[0099] 对采集的所述流量数据进行解析是指：对流量数据的会话重组和应用层协议解 析。
[0100] 优选地，流量过滤模块03对Netflow数据进行流量过滤是指：流量过滤模块以系 统配置的方式，采用预先配置的过滤条件对不需要分析的流数据进行过滤；过滤条件包括： 源IP、目的IP、源端□范围、目的端□范围、网络协议类型、应用协议类型和报文长度。
[0101] 优选地，流量聚合模块04对Netflow数据进行流量聚合是指：流量聚合模块04为 采集的Netflow数据以源IP、目的IP、源端口、目的端口、应用协议的组合为会话特征创建 一个会话，并为创建的每一个会话分配一个会话ID，在内存中创建以会话ID为主键的哈希 表，实时采集新的Netflow数据，并基于所述会话特征为新的Netflow数据创建新的会话， 将创建的会话的数据信息定时存储到数据库中，并分别以预定的第一时间、第二时间、第三 时间为周期，设置三个统计周期，对数据库中存储的会话信息进行持续地统计。
[0102] 其中，第一时间为5分钟、第二时间为1小时，第三时间为1小时。
[0103] 优选地，特征提取模块05对Netf low数据进行特征提取是指：特征提取模块05基 于对流量数据的会话重组和应用层协议解析，对获得的Netflow数据进行分析，获得单个 会话连接的源IP、目的IP、源端口、目的端口、协议、持续时间、包字节数、总字节数。
[0104] 其中，获得单个会话连接的源IP、目的IP包括：提取过去一段时间内连接同一个 源IP的目的IP数和过去一段时间内连接同一个目的IP的源IP数，以及同一个源IP和同 一个目的IP之间的连接数。
[0105] 优选地，威胁检测模块06使用威胁检测技术对Netf low数据进行威胁检测，将检 测结果保存到黑、白、灰名单中是指：
[0106] 威胁检测模块06使用一种或多种威胁检测技术对Netflow数据进行威胁检测，将 具有威胁的Netflow数据的信息保存到黑名单中，将不具有威胁的Netflow数据的信息保 存到白名单中，将不能判定Netflow数据是否具有威胁和/或需要进一步判断Netflow数 据是否具有威胁的Netflow数据的信息保存到灰名单中。
[0107] 其中，威胁检测技术包括：基于规则的静态检测方式、基于安全信誉库的检测方 式、基于行为基线的动态检测方式。
[0108] 优选地，展示模块07以业务视图的形式展现Netflow数据的检测结果是指：展示 模块07通过网络拓扑可视化技术展现整体业务视图，以直观可视化的方式展示Netf low数 据在业务内各节点间的分布情况，并将检测到的安全威胁实时展示在整体业务视图的业务 拓扑中。
[0109] 本发明结合通过包检测技术提取网络流量特征扩充Netflow数据，解决了传统包 检测技术在处理超大流量时的性能问题，同时也避免了传统基于Cisco Netflow技术只能 分析TCP/IP第四层以下信息的弊端，同时引入安全信誉库、基于统计的异常检测技术，使 得针对业务的安全检测更加全面准确。
[0110] 需要说明的是，以上所述的实施例仅是为了便于本领域的技术人员理解而已，并 不用于限制本发明的保护范围，在不脱离本发明的发明构思的前提下，本领域技术人员对 本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。
【主权项】
1. 一种业务安全分析的方法，其特征在于，所述方法包括： 接收网络设备发送的网络流Netflow数据，同时主动采集全网络流量数据；对采集的 所述流量数据进行解析并生成所述Netflow数据；并对获得的所述Netflow数据进行流量 过滤、流量聚合和特征提取，对经过所述流量过滤、所述流量聚合和所述特征提取操作后的 所述Netflow数据使用威胁检测技术进行威胁检测，将检测结果保存到黑、白、灰名单中， 并以业务视图的形式展现所述Netflow数据的检测结果；结合业务数据对所述检测结果进 行关联分析，实时获取业务系统的安全状态。2. 如权利要求1所述的方法，其特征在于， 所述接收网络设备发送的Netflow数据是指：对于支持发送Netflow的网络设备，直接 以用户数据包协议UDP包的方式接收所述网络设备发送的所述Netflow数据； 所述主动采集全网络流量数据是指：对于应用服务的流量数据，通过网络抓包方式主 动从物理层采集全网络流量数据； 所述对采集的所述流量数据进行解析是指：对所述流量数据的会话重组和应用层协议 解析。3. 如权利要求1所述的方法，其特征在于，所述对所述Netflow数据进行流量过滤是 指：以系统配置的方式，采用预先配置的过滤条件对不需要分析的流数据进行过滤；所述 过滤条件包括：源互联协议IP、目的IP、源端口范围、目的端口范围、网络协议类型、应用协 议类型和报文长度。4. 如权利要求1所述的方法，其特征在于，所述对所述Netflow数据进行流量聚合是 指：为采集的所述Netflow数据以源IP、目的IP、源端口、目的端口、应用协议的组合为会 话特征创建一个会话，并为创建的每一个所述会话分配一个会话身份标记ID，在内存中创 建以所述会话ID为主键的哈希表，实时采集新的所述Netflow数据，并基于所述会话特征 为新的所述Netflow数据创建新的会话，将创建的所述会话的数据信息定时存储到数据库 中，并分别以预定的第一时间、第二时间、第三时间为周期，设置三个统计周期，对所述数据 库中存储的所述会话信息进行持续地统计； 其中，所述第一时间为5分钟、所述第二时间为1小时，所述第三时间为1天。5. 如权利要求2所述的方法，其特征在于，所述对所述Netflow数据进行特征提取是 指：基于对所述流量数据的会话重组和应用层协议解析，对获得的所述Netflow数据进行 分析，获得单个会话连接的源IP、目的IP、源端口、目的端口、协议、持续时间、包字节数、总 字节数； 其中，获得单个会话连接的源IP、目的IP包括：提取过去一段时间内连接同一个源IP 的目的IP数和过去一段时间内连接同一个目的IP的源IP数，以及同一个源IP和同一个 目的IP之间的连接数。6. 如权利要求1所述的方法，其特征在于，所述使用威胁检测技术对所述Netflow数据 进行威胁检测，将检测结果保存到黑、白、灰名单中是指： 使用一种或多种威胁检测技术对所述Netflow数据进行威胁检测，将具有威胁的所述 Netflow数据的信息保存到黑名单中，将不具有威胁的所述Netflow数据的信息保存到白 名单中，将不能判定所述Netflow数据是否具有威胁和/或需要进一步判断所述Netflow 数据是否具有威胁的Netflow数据的信息保存到灰名单中； 其中，所述威胁检测技术包括：基于规则的静态检测方式、基于安全信誉库的检测方 式、基于行为基线的动态检测方式。7. 如权利要求1所述的方法，其特征在于，所述以业务视图的形式展现所述Netflow数 据的检测结果是指：通过网络拓扑可视化技术展现整体业务视图，以直观可视化的方式展 示所述Netflow数据在业务内各节点间的分布情况，并将检测到的安全威胁实时展现在所 述整体业务视图的业务拓扑中。8. -种业务安全分析的系统，其特征在于，所述系统包括：数据采集模块、流量过滤模 块、流量聚合模块、特征提取模块、威胁检测模块、展示模块和分析模块； 所述数据采集模块，用于接收网络设备发送的网络流Netflow数据，同时主动采集全 网络流量数据；对采集的所述流量数据进行解析并生成所述Netf low数据； 所述流量过滤模块，用于对所述Netflow数据进行流量过滤； 所述流量聚合模块，用于对所述Netflow数据进行流量聚合； 所述特征提取模块，用于对所述Netflow数据进行特征提取； 所述威胁检测模块，用于对经过所述流量过滤、所述流量聚合和所述特征提取操作后 的所述Netflow数据使用威胁检测技术进行威胁检测，将检测结果保存到黑、白、灰名单 中； 所述展示模块，用于以业务视图的形式展现所述Netflow数据的检测结果； 所述分析模块，用于结合业务数据对所述检测结果进行关联分析，实时获取业务系统 的安全状态。9. 如权利要求8所述的系统，其特征在于， 所述接收网络设备发送的Netflow数据是指：对于支持发送Netflow的网络设备，直接 以用户数据报协议UDP包的方式接收所述网络设备发送的所述Netf low数据； 所述主动采集全网络流量数据是指：对于应用服务的流量数据，通过网络抓包方式主 动从物理层采集全网络流量数据； 所述对采集的所述流量数据进行解析是指：对所述流量数据的会话重组和应用层协议 解析。10. 如权利要求8所述的系统，其特征在于，所述流量过滤模块对所述Netflow数据进 行流量过滤是指：所述流量过滤模块以系统配置的方式，采用预先配置的过滤条件对不需 要分析的流数据进行过滤；所述过滤条件包括：源互联协议IP、目的IP、源端口范围、目的 端口范围、网络协议类型、应用协议类型和报文长度。11. 如权利要求8所述的系统，其特征在于，所述流量聚合模块对所述Netflow数据 进行流量聚合是指：所述流量聚合模块为采集的所述Netflow数据以源IP、目的IP、源端 口、目的端口、应用协议的组合为会话特征创建一个会话，并为创建的每一个所述会话分配 一个会话身份标记ID，在内存中创建以所述会话ID为主键的哈希表，实时采集新的所述 Netflow数据，并基于所述会话特征为新的所述Netflow数据创建新的会话，将创建的所述 会话的数据信息定时存储到数据库中，并分别以预定的第一时间、第二时间、第三时间为周 期，设置三个统计周期，对所述数据库中存储的所述会话信息进行持续地统计； 其中，所述第一时间为5分钟、所述第二时间为1小时，所述第三时间为1天。12. 如权利要求9所述的系统，其特征在于，所述特征提取模块对所述Netflow数据进 行特征提取是指：所述特征提取模炔基于对所述流量数据的会话重组和应用层协议解析， 对获得的所述Netf low数据进行分析，获得单个会话连接的源IP、目的IP、源端口、目的端 口、协议、持续时间、包字节数、总字节数； 其中，获得单个会话连接的源IP、目的IP包括：提取过去一段时间内连接同一个源IP 的目的IP数和过去一段时间内连接同一个目的IP的源IP数，以及同一个源IP和同一个 目的IP之间的连接数。13. 如权利要求8所述的系统，其特征在于，所述威胁检测模块使用威胁检测技术对所 述Netf low数据进行威胁检测，将检测结果保存到黑、白、灰名单中是指： 所述威胁检测模块使用一种或多种威胁检测技术对所述Netflow数据进行威胁检测， 将具有威胁的所述Netflow数据的信息保存到黑名单中，将不具有威胁的所述Netflow数 据的信息保存到白名单中，将不能判定所述Netflow数据是否具有威胁和/或需要进一步 判断所述Netflow数据是否具有威胁的Netflow数据的信息保存到灰名单中； 其中，所述威胁检测技术包括：基于规则的静态检测方式、基于安全信誉库的检测方 式、基于行为基线的动态检测方式。14. 如权利要求8所述的系统，其特征在于，所述展示模块以业务视图的形式展现所 述Netf low数据的检测结果是指：所述展示模块通过网络拓扑可视化技术展现整体业务视 图，以直观可视化的方式展示所述Netflow数据在业务内各节点间的分布情况，并将检测 到的安全威胁实时展示在所述整体业务视图的业务拓扑中。
【文档编号】H04L12/26GK106034056SQ201510119606
【公开日】2016年10月19日
【申请日】2015年3月18日
【发明人】郜小亮, 张延佳, 胡盛华
【申请人】北京启明星辰信息安全技术有限公司, 北京启明星辰信息技术股份有限公司