一种网络流量的分析系统及方法

文档序号:7945558阅读:292来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种网络流量的分析系统及方法
技术领域
本发明涉及互联网领域,更具体的说,是涉及一种网络流量的分析系统及方法。
背景技术
随着网络技术的发展和网络规模的扩大化,许多企事业单位间的业务都由网络应用系统来承载,通过网络应用系统来进行业务工作,不仅方便性好,而且效率高。然而,随着网络系统中越来越多的应用系统的交叉部署,网络行为也越来越复杂且不易控制,这样就导致了一些重要的或需要保密的网络数据的安全性也受到了一定程度的威胁,而这些数据一旦被窃取或攻击,就会给社会带来一定的危害和损失,因此,IT管理部门需要保障应用系统的安全性。为了保障应用系统的安全性,IT管理部门需要监测各个应用系统的流量和网络行为。而监测分析应用系统的流量和通常采用流量监测分析设备,传统的流量监测分析设备主要利用简单网络管理(SNMP)、网络流量监测(NetFlow)、网络流量分析(sFlow)、远程监控(RMON)等协议,从路由器、交换机上采集通过每个接口的流量数据,从而给用户提供有关网络中各设备和链路的流量情况,这种设备通过统计流量信息来分析TCP/IP包的三层/四层信息,分析时采用抽样技术,不对会话进行全程跟踪分析。采用这种设备无法分析出网络中的行为,即无法掌握会话的应用层业务分析,因此无法保障网络会话应用层的安全性。基于上述现有技术存在的缺点,如何提供一种网络流量的分析系统及方法,能够实现对网络进行基于应用层的监测分析,从而保障网络中应用系统的安全性,是本领域技术人员急需解决的问题
发明内容
有鉴于此,本发明提供了一种网络流量的分析系统及方法,以克服现有技术中由于不能够对应用层进行监测分析而造成的不能够保障应用层的安全性的问题。为实现上述目的,本发明提供如下技术方案—种网络流量的分析系统,包括流量采集模块和流量分析模块;所述流量采集模块用于采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息;所述流量分析模块用于对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小。其中,所述流量采集模块具体包括本地采集模块,用于持续获取通过网络中各节点的原始流量信息;预处理模块,用于根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;应用提取模块,用于对所述特定流量信息进行分组解析,识别出应用层流量信息。
其中,所述流量分析模块具体包括应用流量统计分析模块,用于根据所述系统的应用主体的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息;追踪分析模块,用于在所述系统的应用主体中有异常流量时,针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象,所述追踪主机为与异常流量信息相关的具有IP地址的设备。优选的,还包括网络操作监测模块,用于监测所述系统的应用主体的网络操作。优选的,还包括报警模块,用于在应用系统中出现异常流量信息和/或异常网络操作的情况下,通知用户所述应用系统存在异常流量信息或异常网络操作。优选的,还包括安全审计模块,用于记录并统计异常流量信息及异常网络操作。一种网络流量的分析方法,包括流量采集模块采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息;流量分析模块对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据 流量大小。其中,所述流量采集模块采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息具体包括本地采集模块持续获取通过网络中各节点的原始流量信息;预处理模块根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;应用提取模块对所述特定流量信息进行分组解析,识别出应用层流量信息。其中,所述流量分析模块对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果具体为应用流量统计分析模块根据所述系统的应用主体的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息;在所述系统的应用主体中有异常流量时,追踪分析模块针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象,所述追踪主机为与异常流量信息相关的具有IP地址的设备。优选的,还包括监测所述系统的应用主体的网络操作内容;在应用系统中出现异常流量信息或异常网络操作的情况下,通知用户所述应用系统存在异常流量信息或异常网络操作;记录并统计异常流量信息及异常网络操作。经由上述的技术方案可知,与现有技术相比,本发明公开了一种网络流量的分析系统及方法,该系统首先采集网络中各节点的流量信息,通过对所述流量信息进行分析处理,识别出所述流量信息中的应用层流量信息,再对所述应用层流量信息进行统计分析,判断出异常流量,最终实现基于网络流量的应用层分析工作,通过这种方法,能够对网络中的应用、协议、连接、流量、内容等多层次进行全方位的综合分析,达到了通过网络流量的监测分析保障网络中应用系统安全性的目的。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本发明实施例公开的网络流量分析系统的网络部署示意图;图2为本发明实施例公开的一种网络流量分析系统的结构示意图;图3为本发明实施例公开的另一种网络流量分析系统的结构示意图;图4为本发明实施例公开的一种网络流量分析方法的第一流程示意图;图5为本发明实施例公开的一种网络流量分析方法的第二流程示意图;图6为本发明 实施例公开的另一种网络流量分析方法的流程示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。实施例一图1为本发明实施例公开的网络流量分析系统的网络部署示意图,参照图1,本发明实施例公开的网络流量分析系统挂接在网络管理人员所有需要关注的流量必须流经的链路上,所述网络管理人员需要关注的流量是指来自高危网络区域的访问流量。现在的网络区域大都是交换式的网络结构,因此,所述网络流量分析系统在交换式网络中的位置一般部署在服务器区域的交换机上或重点保护网段的局域网交换机上。图2为本发明实施例公开的网络流量分析系统的结构示意图,如图2所示,所述网络流量分析系统20可以包括流量采集模块201,用于采集网络中各节点的流量信息,并从所述流量信息中提取出应用层流量信息;其中,所述流量采集模块201具体可以包括本地采集模块2011,用于持续获取通过网络中各节点的原始流量信息;其中,所述本地采集模块2011可以利用探头通过镜像口连续采集通过所述网络流量分析系统20所挂接的链路上的原始的流量信息;预处理模块2012,用于根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;其中,应用系统中的配置文件中有用户设定的特定的关注流量,所述特定的关注流量可能来自于高危网络访问区域,所述预处理模块2012能够先对所述原始流量信息进行解包处理,然后根据配置文件的配置内容分析出所述原始流量信息中的特定流量信息;应用提取模块2013,用于对所述特定流量信息进行分组解析,识别出应用层流量信息;其中,所述应用提取模块2013可以采用快速协议分析技术对所述特定流量信息进行分组解析,提取其应用层流量信息;在所述流量采集模块201提取出应用层流量信息后,流量分析模块202再对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小;其中,所述流量分析模块202具体可以包括应用流量统计分析模块2021,用于根据所述应用系统的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息;其中,所述应用系统的配置文件中有与所述应用层流量信息相关的预设策略,所述应用流量统计分析模块2021能够根据所述的预设策略对所述应用层流量信息进行统计比较,分析应用层流量的累积和、流量阶跃等内容,从而判断出异常的流量信息;追踪分析模块2022,用于在所述系统的应用主体中有异常流量时,针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;其中,所述追踪主机为与异常流量信息相关的具有IP地址的设备,当发现异常流量信息时,所述追踪分析模块2022可以确定与所述异常流量信息有关的具有IP地址的设备为“嫌疑对象”,将其设置为追踪主机,对其进行实时的密切监测,并记录下所述追踪主机进行的一切网络操作动作,包括其操作内容、操作时间和操作对象。本实施例中,所述网络流量的分析系统首先通过流量采集模块采集网络中各节点的原始流量信息,通过对所述流量信息进行分析处理,识别出所述原始流量信息中应用层流量信息,再通过流量分析模块对所述应用层流量信息进行统计比较,分析出异常流量,并追随所述异常流量监测与其相关的,具有IP地址的设备的网络操作,便于以后的取证和备查,实现了基于网络流量的应用层分析。实施例二图3为本发明实施例公开的另一种网络流量分析系统的结构示意图,如图3所示,网络流量分析系统30可以包括流量采集模块201,用于采集网络中各节点的流量信息,并从所述流量信息中提取出应用层流量信息;其中,所述流量采集模块201具体可以包括本地采集模块2011,用于持续获取通过网络中各节点的原始流量信息;预处理模块2012,用于根据所 述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;应用提取模块2013,用于对所述特定流量信息进行分组解析,识别出应用层流量信息;
流量分析模块202,用于对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端ロ、会话时间以及数据流量大小;其中,所述流量分析模块202具体可以包括应用流量统计分析模块2021,用于根据所述应用系统的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息;追踪分析模块2022,用于在所述系统的应用主体中有异常流量时,针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;网络操作监测模块301,用于监测所述应用系统的网络操作内容;其中,所述网络操作监测模块可以对网络操作数据进行统计分析,及时发现网络中的异常访问操作和攻击行为;报警模块302,用于在应用系统中出现异常流量信息和/或异常网络操作的情况下,通知用户所述应用系统存在异常流量信息和/或异常网络操作;其中,在所述应用系统中出现异常流量信息和/或异常网络操作、带有指定关键字的指定操作重复预设的阈值次数时,产生报警,通知网络管理人员。在其他的实施例中,还可以包括安全审计模块,用于记录并统计异常流量信息及异常网络操作;其中,所述安全审计模块记录并统计异常流量信息及异常网络操作,以便于对所述异常流量信息及异常网络操作进行取证和备查。

本实施例中,所述网络流量的分析系统首先通过流量采集模块采集网络中各节点的原始流量信息,通过对所述流量信息进行分析处理,识别出所述原始流量信息中应用层流量信息,再通过流量分析模块对所述应用层流量信息进行统计比较,分析应用系统中是否存在异常流量,同时该系统能够监测网络操作内容,分析出应用系统中是否存在异常网络操作,在应用系统中存在异常流量信息和/或异常网络操作的情况下,能够产生报警,通知网络管理人员,井能够追踪异常流量信息和/或异常网络操作,记录下追踪结果,便于以后的取证和备查,通过所述网络流量分析系统,能够对对网络中的应用、协议、连接、流量、内容等多层次进行全方位的综合分析,实现了基于网络流量的应用层分析,达到了通过网络流量的监测分析保障网络中应用系统安全性的目的。实施例三图4为本发明实施例公开的网络流量分析方法的流程示意图a,參照图4,本发明公开的网络流量分析方法可以包括步骤401 :流量采集模块采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息;本步骤中,是利用探头通过镜像端ロ对所述原始流量信息进行采集的,再对所述原始流量信息进行处理,提取出应用层流量数据,图5为本发明实施例公开的网络流量分析方法的流程示意图b,步骤401的具体步骤可以參见图5的步骤501 步骤503,具体如下步骤501 :本地采集模块持续获取通过网络中各节点的原始流量信息;
本步骤中,用探头通过镜像端ロ对所述原始流量信息进行连续采集。步骤502 :预处理模块根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;本步骤中,应用系统中的配置文件中有用户设定的特定的关注流量,所述特定的关注流量可能来自于高危网络访问区域,所述预处理模块能够先对所述原始流量信息进行解包处理,然后根据配置文件的配置内容分析出所述原始流量信息中的特定流量信息;步骤503 :应用提取模块对所述特定流量信息进行分组解析,识别出应用层流量信息;本步骤中,所述应用提取模块可以采用快速协议分析技术对所述特定流量信息进行分组解析,提取其应用层流量信息;在步骤401采集原始流量信息后,进入步骤402 ;步骤402 :流量分析模块对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果;本步骤中,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端ロ、会话时间以及数据流量大小,步骤402的具体步骤可參见图5的步骤504 步骤505,具体如下步骤504 :应用流量统计分析模块根据所述应用系统的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息,如果是,进入步骤505,如果否,则不做处理;

本步骤中,所述应用系统的配置文件中有与所述应用层流量信息相关的预设策略,所述应用流量统计分析模块能够根据所述的预设策略对所述应用层流量信息进行统计比较,分析应用层流量的累积和、流量阶跃等内容,从而判断出是否存在异常的流量信息,如果存在,则进入步骤505进行相应的操作;如果不存在,则不做处理;步骤505 :追踪分析模块针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;本步骤中,所述追踪主机为与异常流量信息相关的具有IP地址的设备,当发现异常流量信息时,所述追踪分析模块可以确定与所述异常流量信息有关的具有IP地址的设备为“嫌疑对象”,将其设置为追踪主机,对其进行实时的密切监測,并记录下所述追踪主机进行的一切网络操作动作,包括其操作内容、操作时间和操作对象。本实施例中,所述网络流量的分析方法首先通过流量采集模块采集网络中各节点的原始流量信息,通过对所述流量信息进行分析处理,识别出所述原始流量信息中应用层流量信息,再对所述应用层流量信息进行统计比较,分析出异常流量,并追随所述异常流量监测与其相关的,具有IP地址的设备的网络操作,便于以后的取证和备查,实现了基于网络流量的应用层分析。实施例四图6为本发明实施例公开的另一种网络流量分析方法的流程示意图,參见图6,本实施例公开的网络流量分析方法的步骤可以如下步骤601 :本地采集模块持续获取通过网络中各节点的原始流量信息;步骤602 :预处理模块根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;步骤603 :应用提取模块对所述特定流量信息进行分组解析,识别出应用层流量信息;步骤604 :应用流量统计分析模块根据所述应用系统的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断出是否存在异常流量信息,如果是,同时进入步骤605和609,如果否,则不作处理;步骤605 :追踪分析模块针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;步骤606 :网络操作监测模块监测所述应用系统的网络操作内容;本步骤中,所述网络操作监测模块可以对网络操作数据进行统计分析,及时发现网络中的异常访问操作和攻击行为;步骤607 :判断应用系统中是否存在异常网络操作,如果是,同时进入步骤608和步骤609,如果否,则不作处理;本步骤中,所述应用系统的配置文件中有与所述网络操作相关的预设策略,根据所述的预设策略对所述网络操作进行统计比较,分析所述网络操作的内容,从而判断出是否存在异常的网络操作,如果存在,则同时进入步骤608和步骤609进行相应的操作;如果不存在,则不做处理;步骤608 :追踪分析模块针对所述异常网络操作,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;步骤609:报警。

在其他的实施例中,还可以包括记录并统计异常流量信息及异常网络操作的步骤。本实施例中,所述网络流量的分析方法首先采集网络中各节点的原始流量信息,通过对所述流量信息进行分析处理,识别出所述原始流量信息中应用层流量信息,再对所述应用层流量信息进行统计比较,分析应用系统中是否存在异常流量,同时该方法能够监测网络操作内容,分析出应用系统中是否存在异常网络操作,在应用系统中存在异常流量信息和/或异常网络操作的情况下,能够产生报警,通知网络管理人员,井能够追踪异常流量信息和/或异常网络操作,记录下追踪结果,便于以后的取证和备查,通过所述网络流量分析方法,能够对对网络中的应用、协议、连接、流量、内容等多层次进行全方位的综合分析,实现了基于网络流量的应用层分析,达到了通过网络流量的监测分析保障网络中应用系统安全性的目的。结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最 宽的范围。
权利要求
1.一种网络流量的分析系统,其特征在于,包括流量采集模块和流量分析模块; 所述流量采集模块用于采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息; 所述流量分析模块用于对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小。
2.根据权利要求1所述系统,其特征在于,所述流量采集模块具体包括 本地采集模块,用于持续获取通过网络中各节点的原始流量信息; 预处理模块,用于根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息; 应用提取模块,用于对所述特定流量信息进行分组解析,识别出应用层流量信息。
3.根据权利要求1所述系统,其特征在于,所述流量分析模块具体包括 应用流量统计分析模块,用于根据所述系统的应用主体的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息; 追踪分析模块,用于在所述系统的应用主体中有异常流量时,针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象,所述追踪主机为与异常流量信息相关的具有IP地址的设备。
4.根据权利要求1所述系统,其特征在于,还包括 网络操作监测模块,用于监测所述系统的应用主体的网络操作。
5.根据权利要求1所述系统,其特征在于,还包括 报警模块,用于在应用系统中出现异常流量信息和/或异常网络操作的情况下,通知用户所述应用系统存在异常流量信息或异常网络操作。
6.根据权利要求1所述系统,其特征在于,还包括 安全审计模块,用于记录并统计异常流量信息及异常网络操作。
7.—种网络流量的分析方法,其特征在于,包括 流量采集模块采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息; 流量分析模块对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小。
8.根据权利要求7所述方法,其特征在于,所述流量采集模块采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息具体包括 本地采集模块持续获取通过网络中各节点的原始流量信息; 预处理模块根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息; 应用提取模块对所述特定流量信息进行分组解析,识别出应用层流量信息。
9.根据权利要求7所述方法,其特征在于,所述流量分析模块对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果具体为 应用流量统计分析模块根据所述系统的应用主体的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息; 在所述系统的应用主体中有异常流量时,追踪分析模块针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象,所述追踪主机为与异常流量信息相关的具有IP地址的设备。
10.根据权利要求7所述方法,其特征在于,还包括 监测所述系统的应用主体的网络操作内容; 在应用系统中出现异常流量信息或异常网络操作的情况下,通知用户所述应用系统存在异常流量信息或异常网络操作; 记录并统计异常流量信息及异常网络操作。
全文摘要
本发明公开了一种网络流量的分析系统及方法,该系统首先通过流量采集模块采集网络中各节点的原始流量信息,然后提取出所述原始流量信息中的应用层流量信息,再通过对所述应用层流量信息进行统计比较,分析出应用系统中是否存在异常流量,实现了基于网络流量的应用层分析,达到了通过网络流量的监测分析保障网络中应用系统安全性的目的。同时该系统还能够监测网络操作内容,分析出应用系统中是否存在异常网络操作,在应用系统中存在异常流量信息和/或异常网络操作的情况下,能够产生报警,通过这种方法,能够对对网络中的应用、协议、连接、流量、内容等多层次进行全方位的综合分析,全面保障应用系统的安全。
文档编号H04L12/24GK103067192SQ201110321848
公开日2013年4月24日 申请日期2011年10月20日 优先权日2011年10月20日
发明者李志鹏, 王洪波 申请人:北京天行网安信息技术有限责任公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:李志鹏;王洪波
  • 技术所有人:北京天行网安信息技术有限责任公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
网络流量分析系统相关技术
开源网络流量分析系统相关技术
绿盟网络流量分析系统相关技术
网络流量安全分析系统相关技术
分析流量相关技术
高考志愿填报分析系统相关技术
黄金分析系统相关技术
银天下行情分析系统相关技术
宝鑫盈贵金属分析系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2