专利名称:一种监测网络流量异常的方法及系统的制作方法
技术领域:
本发明涉及网络安全领域,特别是涉及一种监测网络流量异常的方法及系统。
背景技术:
在网络安全领域,网络流量异常是指网络中的流量不规则的显著变化。网 络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常 等全局事件都能够引起网络的异常,因此,网络流量异常的监测和分析对网络 安全应急响应部门非常重要。
目前, 一种异常监测方法是采用交换机镜像技术,交换设备将多个网络端 口的流量复制一份到镜像端口,该镜像端口是一个监测端口,镜像端口部署监 测分析系统,通过对原始数据包内容的分析来判断网络流量是否存在异常。通
常,镜像端口可部署1个或2个。
参照图1,是所述网络流量异常监测方法示意图。假设交换设备11有5 个物理端口,其中端口 1~4分别连接一个网络设备(PCI—PC4),端口 5是 镜像端口,连接监测设备12,用于监测端口 1~4连接的网络设备流量。如图 所示,交换设备ll将端口 1~4的流量镜像到端口 5,由端口5连接的监测设 备12对各网络设备(PCI—PC4)的流量进行异常分析。
上述通过交换枳4竟^f象技术实现的网络流量异常监测方法,虽然能够准确地 定位流量异常的原因,但存在如下缺点
其一,所述传统方式是将全部或部分交换端口的流量镜像到1到2个镜像 端口上,但是交换机的背板处理带宽是固定的,镜像需要将交换端口的流量复 制一份到镜像端口,相当于增加了 l倍的负载,因此不可避免地带来部分性能 的损耗。尤其在端口密度较大的环境下,所带来的性能损耗通常是不可接受的。 例如, 一般交换机的端口都在12 口以上,通过镜像端口监控全部流量会导致 交换机实际处理性能严重下降。
其二,将所有或大部分交换端口镜像给1到2个镜像端口 ,导致镜像的源
端口大于镜像的镜像端口 ,进而导致当源端口的流量和大于镜像端口的处理能
力时,带来了丢包的现象。例如,将4个IOM的交换端口镜像到一个IOM的 镜像端口上,每个源端口的流量即使只有5M,但是此时镜像端口的流量是 5Mx4=20M,显然超过了镜像端口的输出能力。
其三,如果为了避免以上2个问题,只一对一的镜像,由于目前交换机一 般只支持1或2个镜像端口 ,所以会带来无法镜像全部端口流量的问题。
发明内容
本发明所要解决的技术问题是提供一种监测网络流量异常的方法及系统, 以解决现有采用交换机镜像技术监测流量异常,带来交换机性能损耗、数据包 丢失等问题。
为解决上述技术问题,根据本发明提供的具体实施例,本发明公开了以下
技术方案
一种监测网络流量异常的方法,包括 采用粗粒度监测方法定位交换机中流量异常的端口 ; 自动调整交换机的镜像端口 ,将异常端口流量复制到所述镜像端口 ; 釆用细粒度监测方法对镜像端口流量进行分析,得出流量异常原因。 其中,按照以下步骤定位流量异常的端口维护一张i殳备IP地址与交换
机物理端口的对应表;监控所有设备的流量,当发现流量异常时,从监控信息
中提取出流量异常的IP地址;查询所述对应表,得到与流量异常的IP地址对
应的交换才几物理端口。
其中,按照以下步骤自动调整交换机的镜像端口 自动发送镜像调整命令;
执行所述命令进行交换机配置,将流量异常的端口配置为镜像源,将镜像端口
配置为镜像目的。
所述方法还包括当流量恢复正常后,自动取消所述镜像调整命令。 其中,采用细粒度监测方法分析出异常原因后,还包括向管理人员发出 报警信息。
一种监测网络流量异常的系统,包括
粗粒度监测引擎,用于釆用粗粒度监测方法定位交换机中流量异常的端 口,并报告给控制中心;
控制中心,用于自动调整交换机的镜像端口,将异常端口流量复制到所述 镜俸端口 ;
细粒度监测引擎,用于采用细粒度监测方法对镜像端口流量进行分析,得 出流量异常原因。
其中,所述粗粒度监测引擎包括端口管理单元,用于维护一张设备IP 地址与交换机物理端口的对应表;流量收集单元,用于收集与交换机相连设备 的流量监控信息;监控分析单元,用于分析收集的监控信息,当发现流量异常 时,从监控信息中提取出流量异常的IP地址,并查询所述对应表,得到与流 量异常的IP地址对应的交换机物理端口 。
其中,所述控制中心自动登录交换机管理页面,下发镜像调整命令进行交 换机配置,将异常端口流量复制到镜像端口。
其中,所述细粒度监测引擎包括原始包接收单元,用于从镜像端口接收 流量异常的数据包;异常监测单元,用于采用细粒度监测方法对4竟像端口流量 进行分析,得出流量异常原因;报警单元,用于向管理人员发出报警信息。
其中,所述粗粒度监测引擎发现流量恢复正常后,报告给控制中心,由控 制中心自动取消所述镜像调整命令。
根据本发明提供的具体实施例,本发明公开了以下技术效果
本发明实施例提供了一种监测网络流量异常的方法,是对传统交换才几镜像 技术的改进,采用自动动态调整的方式,达到准确地对异常流量进行细粒度分 析的目的。该方法先通过粗粒度监测方法定位交换机中流量异常的端口,然后 自动调整交换机的镜像端口 ,将异常端口流量复制到所述镜像端口 ,最后再采 用细粒度监测方法对镜像端口流量进行分析,得出流量异常原因。所述方法具 有以下效果
其一,只有在流量异常的时候才会触发交换机镜^^,大部分时间内不会使 用交换机的镜像功能,所以不会增加负载而影响交换机的性能;
其二,动态而有针对性地调整镜像端口,避免了将多个端口镜像到一个端 口带来的丟包情况;
其三,对比传统的镜像所有端口的方法,减少了检测设备的数量,降低了 安全设备的投资成本; 其四,由粗到细的检测流程,保证了高效的前提下,对异常流量的准确定位。
图l是现有技术中网络流量异常监测方法示意图2是本发明实施例所述网络流量异常监测方法的应用环境示意图3是本发明实施例所述监测网络流量异常的方法流程图4是本发明实施例所述监测网络流量异常的系统结构图。
具体实施例方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本发明作进一步详细的说明。
本发明实施例提供了 一种监测网络流量异常的方法,是对传统交换机镜像 技术的改进,采用自动动态调整的方式,根据实际流量情况自动调整交换机的 流量镜像功能,将流量异常的端口流量镜像输出给检测设备,从而达到准确地 对异常流量进行细粒度分析的目的。
为清楚说明所述监测方法,下面将以实施例的形式先介绍该方法的应用环境。
参照图2,是所述应用环境示意图。假设此网络中存在一台交换机21和 三台服务器,交换机21有多个端口,分配其中的端口 1、端口2和端口3来 分别连接服务器PC1、 PC2和PC3,再分配一个端口作为镜像端口来连接监测 设备22,同时交换机21还与边界路由器23连接。本发明实施例部署了一个 控制系统24来对服务器的流量进行监控,并控制监测设备22进行异常分析。 本实施例中,4叚设服务器PC1的流量出现异常,PC1正在遭受流量攻击,攻 击流量主要是UDP ( User Datagram Protocol,用户数据报协议)协议的洪水攻 击。
下面结合图2说明本发明方法。参照图3,实施例所述监测网络流量异常 的方法流程图。
步骤301,在正常情况下,交换机21的镜像端口处于未4吏能状态,即没 有开启交换机21的镜像功能。
步骤302,先采用粗粒度监测手段定位流量异常的端口为端口 1。 本实施例中,定位流量异常端口的方式是控制系统24维护一张服务器 IP地址与交换;K物理端口的对应表,并对与交换机相连的服务器进行流量监 控;当控制系统24采用粗粒度手段监测到某个服务器的流量出现异常时,根 据该对应表就可以查询到与该服务器IP地址对应的交换机物理端口 。其中, 所述交换机的物理端口是指交换机端口的物理地址。当然,本实施例并不限定 其它方法来定位流量异常端口。
在网络安全领域,用于网络监测的粗粒度监测手段也有多种,本实施例是 结合使用SNMP技术和NetFlow技术来实现的。SNMP (Simple Network Management Protocol,简单网络管理协议)是一个标准的用于管理IP网络上 结点的协议。NetFlow技术通过NetFlow分析器实现,NetFlow分析器是一个 基于web的带宽监控工具,NetFlow数据记录中包含了源地址和目的地址,端 到端会话所使用的协议等信息。
结合图2所示,本实施例具体采用的异常端口定位方式如下 首先,通过以下方式来维护一张对应表控制系统24从边界路由器23获 取SNMP信息,得到各服务器IP地址和MAC (Media Access Control,介质访 问控制)地址的对应表,此表定时刷新,以保持数据准确性;控制系统24从 交换机21获取SNMP信息,得到MAC地址和交换纟几物理端口的对应表,此 表定时刷新,以保持数据准确性。将所述两张表整合得到一张服务器IP地址 与交换机物理端口的对应表,相应的,此表也定时刷新来保持凄t据的准确性。 当然,本实施例并不限定由其它方法来得到IP地址与交换机物理端口的对应 关系。
其次,控制系统24接收边界路由器23的NetFlow信息,监控各服务器流 量的变化,当发现到服务器PC1的流量突增时,通过IP地址和交换机物理端 口的对应表,确定出PCI直连在交换机21的端口 l上。具体监测方法是收 集所有IP的NetFlow信息,统计出每个IP地址对应的流量;然后分析流量是 否异常,如果某个IP的流量出现突增或其它异常现象,则从NetFlow信息中 提取出流量异常的IP地址;再根据自己维护的IP地址与交换机物理端口的对 应表,查询得到流量异常的IP对应的是物理端口 1。
步骤303,当通过粗粒度监测手段发现流量异常的端口后,启动交换机的
镜像功能,自动调整交换机的镜像端口 ,将涉u量异常端口的流量镜像到监测设
备22所在的端口。
本实施例采用的是动态调整方式,根据实际流量情况,只在流量异常的情 况下才会自动触发交换机的流量镜像功能。所述调整过程是控制系统24通 过命令行的管理页面(如telnet)登录交换机21,下发调整镜像口的命令,该 命令实质上是对交换机镜像功能的配置,调整命令包括如下动作进入交换机 的全局配置模式,将流量异常的端口 l配置为镜像源,将监测设备22所在的 镜像端口配置为镜像目的。通过自动配置,交换机21就会自动按照所述配置 信息将端口1的流量复制一份到镜像端口。
实质上,交换机镜像端口的自动调整是对镜像源的调整,即每次更改镜像 源的配置,因为发生流量异常的端口不是固定不变的,而镜像目的通常默认为 监测设备固定所在的端口 。
步骤304,完成自动调整后,由镜像端口上的监测设备22通过细粒度监 测手段对镜像端口的流量进行分析,得出流量异常的原因。例如,监测设备 22通过对服务器PC1的镜像流量分析,确定出PC1正在遭受的攻击类型(如 UDP洪水攻击)、攻击源等信息。
在网络安全领域,用于网络监测的细粒度监测手段也有多种,例如协议分 析、统计分析、畸形包检测等方式。其中,所述协议分析是指通过对数据包的 协议识别,理解数据包的应用,并与已知的攻击手段的特征对比,从而监测出 攻击手段;所述统计分析则是记录一段时间内流量的曲线,建立正常流量的模 型,包括流量的大小和流量中各协议的构成等,以此作为发现流量攻击的依据; 所述畸形包检测是指验证数据包是否符合正常的应用,是否存在某些可能导致 服务器处理异常的不符合RFC (Request for Comments,意即"请求注解",包 含了关于Internet的几乎所有的标准化文献)规定的现象。由于本实施例可使 用多种细粒度监测手段,因此关于细粒度监测手段的描述在此不再详述。
优选步骤305,当通过上述步骤确定出流量异常的端口和异常原因时,还 会及时发出报警信息,通知管理人员采取相应的处理措施。
步骤306,上述过程中,粗粒度监测和细粒度监测方法在并行运行,当由
于管理人员采取措施制止流量攻击,或者流量攻击自行结束时,粗粒度监测方
式发现原来的异常流量恢复正常,此时,控制系统24会自动取消上述镜像端 口调整命令,将交换机恢复到未使用镜像功能的初始状态。此后,还会继续使 用粗粒度方式监控各个设备的流量情况。
上述基于动态调整的流量异常监测方法,尤其适用于高密度的交换环境, 因为该方法只有在流量异常的时候才会触发交换机镜像,大部分时间内不会使 用交换机的镜像功能,所以不会增加负载而影响交换机的性能。本发明所述方 法采用由粗到细的检测流程,保证了高效的前提下,对异常流量的准确定位; 而且,通过动态而有针对性地调整镜像端口,避免了将多个端口镜像到一个端 口带来的丟包情况;同时,还减少了检测设备的数量,降低了安全设备的投资 成本。
针对上述方法,本发明还提供了一种监测网络流量异常的系统实施例。参 照图4,是所述监测网络流量异常的系统结构图。
所述系统主要包括三个模块,分别是粗粒度监测引擎41、控制中心42和 细粒度监测引擎43。其中,粗粒度监测引擎41负责通过粗粒度监测方法定位 交换机中流量异常的端口,并报告给控制中心。控制中心42是对整个系统的 控制,负责根据粗粒度监测引擎41的触发发出控制命令,自动实现对交换机 镜像端口的调整,从而将异常端口流量镜像到镜像端口。细粒度监测引擎43 负责对镜像端口流量进行细粒度监测,分析出流量异常的原因。细粒度监测引 擎43通常是一台监测设备,连接到交换机的镜像端口上,因此控制中心42 发出的调整命令即是将异常端口流量镜像到监测设备所在的端口 。
上述三部分模块从硬件形态上,可以根据实际性能的需要而彼此分离,每 部分都作为单独的硬件存在;而在一些对性能要求不高的情况下,也可以部分 集成在一个硬件中,或三部分完全集成在一个统一的硬件平台之上。本发明在 此对具体的实现形态不做限定。
下面将以其中的一种实现形态为例进行详细说明。
本实施例中,所述粗粒度监测引擎41采用的粗粒度监测方法是SNMP技 术和NetFlow技术,通过SNMP信息得到交换机相连的设备IP地址和交换机 物理端口的对应关系,通过NetFlow信息得到各设备的流量情况。因此,所述
粗粒度监测引擎41按照功能划分又包括三个子单元负责维护对应表的端口 管理单元,负责收集流量监控信息的流量收集单元,以及负责流量分析、定位 异常端口的监控分析单元。参照图4,所述三个子单元分别对应SNMP收集单 元411 、 NetFlow收集单元412和NetFlow监测单元413。
其中,SNMP收集单元411负责从交换机相连的路由器获取SNMP信息, 得到IP地址和MAC地址的对应表;并从交换机21获取SNMP信息,得到 MAC地址和交换机物理端口的对应表;然后将两张表整合得到一张IP地址与 交换机物理端口的对应表。SNMP收集单元411在维护这张IP与物理端口对 应表的时候,需要定时对该表刷新以保持数据的准确性。
NetFlow收集单元412负责从交换机相连的路由器获取NetFlow信息,收 集所有IP的流量监控信息,并发送给NetFlow监测单元413进行分析处理。 所述NetFlow监测单元413负责统计出每个IP地址对应的流量情况,并分别 进行监测分析,当发现某个IP的流量出现突增或其它异常现象,则提^C出流 量异常的IP地址,然后根据SNMP收集单元411维护的对应表,查询确定该 IP对应的交换机物理端口 。 NetFlow监测单元413定位出流量异常的端口后, 将异常IP和对应的端口报告给控制中心42。
控制中心42按照功能划分包括处理单元421和核心控制单元422,所述 处理单元421负责接收从粗粒度监测引擎41发来的请求,请求中包含发生流 量异常的IP地址和对应的交换机物理端口 。所述核心控制单元422负责根据 请求,通过命令行的管理页面(如telnet)自动登录交换机21,下发调整镜像 口的控制命令,该命令是对交换机镇 像功能的配置,即将请求中的流量异常端 口配置为镜像源,将细粒度监测引擎43所在的端口配置为镜像目的。这样, 交换机被配置成将异常端口的流量复制一份给细粒度监测引擎43。
细粒度监测引擎43按照功能划分包括原始包接收单元431和异常监测单 元432,所述原始包接收单元431负责从镜像端口接收流量数据包,所述异常 监测单元432负责对数据包中的镜像流量进行分析监测,采用细粒度手段确定 异常原因、流量攻击类型、攻击源等详细信息。如前所述,异常监测单元432 可釆用的细粒度监测手段有多种,例如协议分析、统计分析、畸形包检测等方 式,在此不再详述。
优选的,细粒度监测引擎43还包括报警单元433,负责根据异常监测单 元432的触发向管理人员发出报警信息,通知管理人员采取相应的处理措施。
上述粗粒度监测引擎41和细粒度监测引擎43是并行运行,即细粒度监测 引擎43对镜像流量进行细粒度监测分析的同时,粗粒度监测引擎41还继续对 各端口进行粗粒度监测。当粗粒度监测引擎41监测到原来发生异常的端口流 量恢复正常时,粗粒度监测引擎41将流量正常的事件报告给控制中心42,由 控制中心42自动取消上述镜像端口调整命令,将交换机恢复到未使用镜像功 能的初始状态。
上述监测系统能够根据实际流量情况自动调整交换机的流量镜像功能,将 流量异常的端口流量镜像输出给监测设备,尤其适用于高密度的交换环境。
图4所示系统中未详述的部分可以参见图3所示方法的相关部分,为了篇 幅考虑,在此不再详述。
以上对本发明所提供的 一种监测网络流量异常的方法及系统,进行了详细
施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域 的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改 变之处。综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1、一种监测网络流量异常的方法,其特征在于,包括采用粗粒度监测方法定位交换机中流量异常的端口;自动调整交换机的镜像端口,将异常端口流量复制到所述镜像端口;采用细粒度监测方法对镜像端口流量进行分析,得出流量异常原因。
2、 根据权利要求1所述的方法,其特征在于,按照以下步骤定位流量异 常的端口维护一张设备IP地址与交换机物理端口的对应表;监控所有设备的流量,当发现流量异常时,从监控信息中提取出流量异常 的IP地址;查询所述对应表,得到与流量异常的IP地址对应的交换机物理端口 。
3、 根据权利要求1所述的方法,其特征在于,按照以下步骤自动调整交 换机的镜像端口 自动发送镜像调整命令;执行所述命令进行交换机配置,将流量异常的端口配置为镜像源,将镜像 端口配置为镜像目的。
4、 根据权利要求3所述的方法,其特征在于,还包括当流量恢复正常 后,自动取消所述镜像调整命令。
5、 根据权利要求1所述的方法,其特征在于,采用细粒度监测方法分析 出异常原因后,还包括向管理人员发出报警信息。
6、 一种监测网络流量异常的系统,其特征在于,包括 粗粒度监测引擎,用于采用粗粒度监测方法定位交换机中流量异常的端口,并^^告给控制中心;控制中心,用于自动调整交换机的镜像端口,将异常端口流量复制到所述 镜像端口 ;细粒度监测引擎,用于采用细粒度监测方法对镜像端口流量进行分析,得 出流量异常原因。
7、 根据权利要求6所述的系统,其特征在于,所述粗粒度监测引擎包括: 端口管理单元,用于维护一张设备IP地址与交换才几物理端口的对应表;流量收集单元,用于收集与交换才M目连设备的流量监控信息;监控分析单元,用于分析收集的监控信息,当发现流量异常时,从监控信 息中提取出流量异常的IP地址,并查询所述对应表,得到与流量异常的IP地 址对应的交换才几物理端口 。
8、 根据权利要求6所述的系统,其特征在于所述控制中心自动登录交 换机管理页面,下发镜像调整命令进行交换机配置,将异常端口流量复制到镜 像端口。
9、 根据权利要求6所述的系统,其特征在于,所述细粒度监测引擎包括 原始包接收单元,用于从镜像端口接收流量异常的数据包; 异常监测单元,用于采用细粒度监测方法对镜像端口流量进行分析,得出流量异常原因;报警单元,用于向管理人员发出报警信息。
10、 根据权利要求6所述的系统,其特征在于所述粗粒度监测引擎发现 流量恢复正常后,报告给控制中心,由控制中心自动取消所述镜像调整命令。
全文摘要
本发明公开了一种监测网络流量异常的方法及系统,解决现有采用交换机镜像技术监测流量异常,带来交换机性能损耗、数据包丢失等问题。所述方法包括先通过粗粒度监测方法定位交换机中流量异常的端口,然后自动调整交换机的镜像端口,将异常端口流量复制到所述镜像端口,最后再采用细粒度监测方法对镜像端口流量进行分析,得出流量异常原因。本发明是对传统交换机镜像技术的改进,只有在流量异常的时候才会触发交换机镜像,大部分时间内不会使用交换机的镜像功能,所以不会增加负载而影响交换机的性能;而且,通过动态而有针对性的方式调整镜像端口,避免了将多个端口镜像到一个端口带来的丢包情况。
文档编号H04L12/26GK101188531SQ20071030509
公开日2008年5月28日 申请日期2007年12月27日 优先权日2007年12月27日
发明者斌 曹, 朝乐蒙, 李洪生, 李青山 申请人:沈阳东软软件股份有限公司