业务流量检测方法及系统的制作方法
【专利摘要】一种业务流量检测方法及系统,其中方法包括步骤:采集各设备的流量数据,将各所述流量数据进行归一化处理,获得具有空间信息、时间信息和技术指标信息的设备数据流;基于空间信息对设备数据流进行聚合,获得业务流树;根据所述业务流树中子业务数据流与设备数据流的关系、所述设备数据流确定子业务数据流;根据子业务数据流、设备数据流与预存的业务行为规则进行比较,获得设备数据流和子业务数据流的异常状态;根据设备数据流的异常状态、子业务数据流的异常状态、业务流树、预设设备数据流异常权值和预设子业务数据流异常权值,获得主业务健康度指标,根据所述主业务健康度指标确定该主业务数据流是否异常。通过本方案提高检测准确度。
【专利说明】业务流量检测方法及系统
【技术领域】
[0001]本发明涉及网络通讯【技术领域】,特别是涉及业务流量检测方法及系统。
【背景技术】
[0002]随着电力自动化水平的提高,通信技术和网络技术的发展,电力系统越来越依赖电力信息网络来保障其安全、可靠和高效的运行,信息网络的安全直接关系到电力系统的安全,因此保证电力系统信息安全显得尤为重要。
[0003]随着一体化智能运行系统研发及应用的深入发展,基于OSB总线的各种应用之间的交互快速增长,安全问题逐渐突出,传统的电力二次系统安全防护面临巨大的新挑战。与传统独立的应用系统不同,一体化智能运行系统各应用之间的系统边界更加模糊,应用间交互更加复杂。结合生产控制系统的网络及业务特征,综合运用多种先进的信息安全技术手段,设计合理使用的应用服务特征识别及应用交互行为分析系统,在应对二次系统安全防护新问题,确保系统安全稳定运行方面具有重要意义。
[0004]伴随着带宽的增加,电力二次系统网络上的应用和业务也不断的丰富,如控制业务流量,监控业务流量和其它误操作流量等等。与此同时,网络攻击的成本和技术门槛大幅下降,网络上会出现各种攻击和异常流量。在这种流量成分日益复杂,异常流量海量涌现的情况下,对业务行为交互模式的深入分析从而全面了解业务流量的各种分布以及变化趋势就显得十分必要了。
[0005]传统方法是采用IDS技术(Intrusion Detection System,入侵检测检测),就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行关键字判断,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。也可以通过对每个设备判断流量,当流量大于阈值时,则判断为异常。然而,往往有些设备流量较大时,业务数据流属于正常情况,采用关键字或阈值的判断方式,常将正常的业务数据流误判为异常,检测精确度低。
【发明内容】
[0006]基于此,有必要针对检测精确度低的问题,提供一种业务流量检测方法及系统。
[0007]一种业务流量检测方法,包括步骤:
[0008]采集各设备的流量数据,将各所述流量数据进行归一化处理,获得具有空间信息、时间信息和技术指标信息的设备数据流;
[0009]基于空间信息对设备数据流进行聚合,获得业务流树,其中,所述业务流树包括主业务数据流与子业务数据流的关系、子业务数据流与设备数据流的关系;
[0010]根据所述业务流树中子业务数据流与设备数据流的关系、所述设备数据流确定子业务数据流;
[0011]根据子业务数据流、设备数据流与预存的业务行为规则进行比较,获得设备数据流和子业务数据流的异常状态;[0012]根据设备数据流的异常状态、子业务数据流的异常状态、业务流树、预设设备数据流异常权值和预设子业务数据流异常权值,获得主业务健康度指标,根据所述主业务健康度指标确定该主业务数据流是否异常。
[0013]一种业务流量检测系统,包括:
[0014]采集模块,用于采集各设备的流量数据;
[0015]归一化模块,用于将各所述流量数据进行归一化处理,获得具有空间信息、时间信息和技术指标信息的设备数据流;
[0016]聚合模块,用于基于空间信息对设备数据流进行聚合,获得业务流树,其中,所述业务流树包括主业务数据流与子业务数据流的关系、子业务数据流与设备数据流的关系;
[0017]业务数据流确定模块,用于根据所述业务流树中子业务数据流与设备数据流的关系、所述设备数据流确定子业务数据流;
[0018]异常判断模块,用于根据子业务数据流、设备数据流与预存的业务行为规则进行比较,获得设备数据流和子业务数据流的异常状态;根据设备数据流的异常状态、子业务数据流的异常状态、业务流树、预设设备数据流异常权值和预设子业务数据流异常权值,获得主业务健康度指标,根据所述主业务健康度指标确定该主业务数据流是否异常。
[0019]上述业务流量检测方法及系统,通过将设备数据流进行聚合,关联出各业务及各业务之间的交互行为,从而得到业务数据流。判断设备数据流的异常情况和业务数据流的异常情况,结合设备数据流的异常情况和业务数据流的异常情况判断主业务的异常情况,这样便避免了单一考虑一个设备导致误判业务数据流为异常的情况,提高检测准确度。即本发明提出了一种通过监控流量行为的异常波动来检测电网业务异常的技术,从宏观行为的视角发现业务异常,大大提高了业务告警的准确率。
【专利附图】
【附图说明】
[0020]图1为本发明业务流量检测方法的流程示意图;
[0021]图2为本发明业务流量检测系统的结构示意图。
【具体实施方式】
[0022]以下针对本发明业务流量检测方法及系统的各实施例进行详细的描述。
[0023]首先针对业务流量检测方法的各实施例进行描述。
[0024]参见图1,为本发明业务流量检测方法的流程示意图,包括步骤:
[0025]步骤SlOl:采集各设备的流量数据。
[0026]数据采集是所有分析业务的基础,是整个系统数据流的入口。数据采集的大体上可以分为Netflow、sFlow、SPAN、SNMP/RMON四种方式。这些方式是与设备相关的。即某些设备只能支持某一种或几种采集方式。每种采集方式有其固有的优势和局限。
[0027]在其中一个实施例中,采用flow流量与镜像流量自适应的复合采集方案,既采集镜像数据,也可以直接采集flow数据。镜像数据是一端口产生的流量备份,作为分析数据数。Flow流量包括网络信息、时间、数量等信息。
[0028]步骤S102:将各流量数据进行归一化处理,获得具有空间信息、时间信息和技术指标信息的设备数据流。[0029]采集的各种流量数据后,本方案会归一化为统一的格式,便于后续分析与存储。在其中一个实施例中,将流量数据按照vFlow格式进行存储,vFlow格式包括头部数据和数据部数据,其中,头部数据包括版本、流记录个数、系统启动至今时间、系统时间、流序列号、弓丨擎类型、引擎序号、采样率,数据部数据包括源IP地址、目的IP地址、下一跳路由器的IP地址、输入接口索引、输出接口索引、流中报文、在流的报文中第三层字节的总数、流开始的时间、流中最后一个报文被接收时的时间、源端口、目的端口、未使用的字节、TCP标志位、IP协议、发送TCP校验和错误次数、发送TCP重传次数、发送TCP零窗口次数、发送RST包数、发送FIN包书、发送SYN包数、连接成功次数、连接失败次数。例如,vFlow格式可以定义如下:
【权利要求】
1.一种业务流量检测方法,其特征在于,包括步骤: 采集各设备的流量数据,将各所述流量数据进行归一化处理,获得具有空间信息、时间信息和技术指标信息的设备数据流; 基于空间信息对设备数据流进行聚合,获得业务流树,其中,所述业务流树包括主业务数据流与子业务数据流的关系、子业务数据流与设备数据流的关系; 根据所述业务流树中子业务数据流与设备数据流的关系、所述设备数据流确定子业务数据流; 根据子业务数据流、设备数据流与预存的业务行为规则进行比较,获得设备数据流和子业务数据流的异常状态; 根据设备数据流的异常状态、子业务数据流的异常状态、业务流树、预设设备数据流异常权值和预设子业务数据流异常权值,获得主业务健康度指标,根据所述主业务健康度指标确定该主业务数据流是否异常。
2.根据权利要求1所述的业务流量检测方法,其特征在于,所述基于空间信息对设备数据流进行聚合,获得业务流树步骤,包括步骤: 根据所述空间信息中的IP地址和端口与预存业务流树对应匹配,获得业务流树,其中,所述预存业务流树是根据空间信息的IP地址和端口建立。
3.根据权利要求1所述的业务流量检测方法,其特征在于,所述基于空间信息对设备数据流进行聚合,获得业务流树步骤,包括步骤: 根据所述空间信息中的协议内容关联出设备数据流的归属,获得业务流树。
4.根据权利要求1至3任意一项所述的业务流量检测方法,其特征在于, 所述根据所述业务流树中子业务数据流与设备数据流的关系、所述设备数据流确定子业务数据流步骤之后,还包括:存储所述业务数据流和所述设备数据流; 所述根据子业务数据流、设备数据流与预存的业务行为规则进行比较,获得设备数据流和业务数据流的异常状态步骤,包括步骤: 若流量数据属于第一指标数据,则将所述流量数据与预设特征基线进行比较,若不符合,则该流量数据异常; 若流量数据属于第二指标数据,则查询该流量数据对应的历史流量数据,根据历史流量数据确定流量数据的周期性基线,若该流量数据不符合周期波动,则该流量数据异常; 若流量数据属于第三指标数据,则查询该流量数据对应的正常历史流量数据,根据历史流量数据确定预设时间内流量数据的平均值,计算该流量数据与平均值的波动范围,若所述波动范围不符合预设波动范围,则流量数据异常, 其中,所述流量数据包括业务数据流和设备数据流。
5.根据权利要求1至3任意一项所述的业务流量检测方法,其特征在于,所述采集各设备的流量数据,将各所述流量数据进行归一化处理,获得具有空间信息、时间信息和技术指标信息的设备数据流步骤之后,还包括步骤: 根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加,存储叠加后的流量数据和聚合项; 接收查询指令,根据时间粒度和聚合项查询并分析对应设备数据流。
6.根据权利要求5所述的业务流量检测方法,其特征在于,所述根据子业务数据流、设备数据流与预存的业务行为规则进行比较,获得设备数据流和业务数据流的异常状态步骤,包括步骤: 若流量数据属于第一指标数据,则比较所述流量数据是否符合预设特征基线,若不符合,则该流量数据异常; 若流量数据属于第二指标数据,则查询该流量数据对应的历史流量数据,根据历史流量数据确定流量数据的周期性基线,若该流量数据不符合周期波动,则该流量数据异常; 若流量数据属于第三指标数据,则查询该流量数据对应的正常历史流量数据,根据历史流量数据确定预设时间内流量数据的平均值,计算该流量数据与平均值的波动范围,若所述波动范围不符合预设波动范围,则流量数据异常, 其中,所述流量数据包括业务数据流和设备数据流,历史业务数据流根据所述业务流树和历史设备数据流获得。
7.根据权利要求5所述的业务流量检测方法,其特征在于,所述根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加,存储叠加后的流量数据和聚合项步骤之后,还包括步骤: 根据所述预设聚合条件、预设时间粒度、叠加后的流量数据生成报表,实时更新并显示所述报表。
8.一种业务流量检测系统,其特征在于,包括: 采集模块,用于采集各设备的流量数据; 归一化模块,用于将各所述流量数据进行归一化处理,获得具有空间信息、时间信息和技术指标信息的设备数据流`; 聚合模块,用于基于空间信息对设备数据流进行聚合,获得业务流树,其中,所述业务流树包括主业务数据流与子业务数据流的关系、子业务数据流与设备数据流的关系; 业务数据流确定模块,用于根据所述业务流树中子业务数据流与设备数据流的关系、所述设备数据流确定子业务数据流; 异常判断模块,用于根据子业务数据流、设备数据流与预存的业务行为规则进行比较,获得设备数据流和子业务数据流的异常状态;根据设备数据流的异常状态、子业务数据流的异常状态、业务流树、预设设备数据流异常权值和预设子业务数据流异常权值,获得主业务健康度指标,根据所述主业务健康度指标确定该主业务数据流是否异常。
9.根据权利要求8所述的业务流量检测系统,其特征在于,所述聚合模块还用于: 根据所述空间信息中的IP地址和端口与预存业务流树对应匹配,获得业务流树,其中,所述预存业务流树是根据空间信息的IP地址和端口建立。
10.根据权利要求8所述的业务流量检测系统,其特征在于,所述聚合模块还用于: 根据所述空间信息中的协议内容关联出设备数据流的归属,获得业务流树。
11.根据权利要求8至10任意一项所述的业务流量检测系统,其特征在于, 还包括第一存储模块,用于存储所述业务数据流和所述设备数据流; 所述异常判断模块,用于: 若流量数据属于第一指标数据,则比较所述流量数据是否符合预设特征基线,若不符合,则该流量数据异常; 若流量数据属于第二指标数据,则查询该流量数据对应的历史流量数据,根据历史流量数据确定流量数据的周期性基线,若该流量数据不符合周期波动,则该流量数据异常; 若流量数据属于第三指标数据,则查询该流量数据对应的正常历史流量数据,根据历史流量数据确定预设时间内流量数据的平均值,计算该流量数据与平均值的波动范围,若所述波动范围不符合预设波动范围,则流量数据异常, 其中,所述流量数据包括业务数据流和设备数据流。
12.根据权利要求8至10任意一项所述的业务流量检测系统,其特征在于, 所述聚合模块,还用于根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加; 还包括第二存储模块,用于存储叠加后的流量数据和聚合项; 还包括查询模块,用于接收查询指令,根据时间粒度和聚合项查询并分析对应设备数据流。
13.根据权利要求12所述的业务流量检测系统,其特征在于,还包括显示模块,用于根据所述预设聚合条件、预设时间粒度、叠加后的流量数据生成报表,实时更新并显示所述报表。
【文档编号】H04L12/26GK103532776SQ201310461794
【公开日】2014年1月22日 申请日期:2013年9月30日 优先权日:2013年9月30日
【发明者】苏扬, 邓大为, 周安 申请人:广东电网公司电力调度控制中心