一种指纹设备网络流量精准定位分析系统和方法与流程

1.本发明涉及网络安全领域，具体为一种指纹设备网络流量精准定位分析系统和方法。


背景技术：

2.随着信息化技术的不断发展，信息化产品类型多样化、种类复杂化，数据通讯协议规范化目标较难保证，新型网络设备和终端类型设备在企业内网使用的频次增加，而现有的设备识别技术和流量监控手段的监控颗粒度难以满足现有管理要求，为企业内网数据防护带来一定的监控管理难度。
3.1.传统设备识别方法基于设备的ip地址作为设备身份唯一标识，但是ip地址的可变性和可修改性导致传统设备识别方法不能保证设备的唯一认证。
4.2.现有流量监控技术基于对全网数据流量的总体大小进行监控，不能对流量的直接来源进行详细跟踪和定位，无法对全网所有网络节点，即所有网络交换机的各个端口进行上、下行流量和会话数的实时分析。
5.3.流量会话的监控仅局限于大小，无法做到对会话源端、目的端、ip、mac的跟踪分析。


技术实现要素：

6.鉴于现有技术中所存在的问题，本发明提供了一种指纹设备网络流量精准定位分析系统和方法，分不同应用层面和管理角度对网内设备的应用行为和数据走向进行动态跟踪、精准定位和智能化管理。
7.为实现以上目的，本发明采用的技术方案是，一种指纹设备网络流量精准定位分析系统，包括：设备指纹身份证识别方法模块，用于对网内设备进行唯一性识别和标定，确保设备数据的唯一性，建立网内设备资产指纹身份证库；数据流指纹分析和标定方法模块，用于对网内应用数据进行唯一身份识别和标定，确保每一条应用数据的唯一性；数据流方向精准识别方法模块，用于标定数据流发起和目的节点，全方位跟踪数据的访问流程；数据会话指纹分析方法模块，用于分析应用会话的唯一性，总计分析数据流中的总会话数和会话类型；数据流动态阈值监控规则配置模块，用于配置和管理数据监控规则和应用会话监控规则；自动化监控管理方法模块，根据配置模块的规则配置，自动匹配规则内容，对网内应用数据的流量使用情况和会话情况进行自动监控管理。
8.优选的，设备指纹身份证识别方法模块，根据设备的mac地址作为唯一身份证号作为指纹识别基础元素，关联分析设备ip地址和设备相连交换机端口为物理连接位置，和设
备类型四个关键数据作为设备的识别身份证。
9.优选的，数据流指纹分析和标定方法模块，根据tcp/ip数据流五元组信息，具体为数据流的源ip、目的ip、源端口、目的端口、传输类型，以及设备资产身份证信息，通过数据流中的五元组信息的源ip和目的ip，快速定位数据流发起方的资产身份证和接收方的身份证，快速检索数据来源，精准定位每条数据流的源身份证和目的身份证，创建数据流身份证会话信息指纹分析结果数据库，身份证数据流会话信息八元组为：源身份证资产信息、目的身份证资产信息、源ip、目的ip、源端口、目的端口、传输类型、数据应用协议。
10.优选的，数据流方向精准识别方法模块，确定数据流的方向信息：上行流量、下行流量、身份证会话信息，根据数据通讯协议，分析判断数据流的具体来源和目的去向，全方位跟踪数据流向。
11.优选的，数据会话指纹分析方法模块，根据数据会话特征数据，分析会话应用类型、数量，归类分析全局会话总数、具体网络设备节点处、数据会话总数和设备节点具体端口上的会话总数。
12.优选的，数据流动态阈值监控规则配置模块，实时统计出所有接入交换机和端口的上行流量，下行流量，会话数，计算出统计周期内交换机，交换机端口和设备的上行流量，下行流量，会话数的平均值和峰值，动态设置流量阈值规则或手工设置流量阀值规则，通过前台流量规则配置模块。
13.优选的，自动监控管理方法模块，能够根据配置规则自动关联管理规则，针对网内所有应用数据流和应用会话实现全方位自动化监控管理，监控所有交换机和端口的周期流量值是否超过设置的阀值，超过后会实时告警且精准分析超过的异常流量或会话来自于哪些终端设备。
14.一种指纹设备网络流量精准定位分析方法，针对网内网络交换机进行统一录入，通过镜像核心交换机下联口所有流量，分析镜像过来数据流的上行流量、下行流量、会话数，并动态分析出数据流来自于哪个终端资产，去向哪个终端资产，而且精准分析出数据流量分布在哪个交换机和哪个端口，获取网内所有应用数据，制定流量数据和会话管理规则，实现对全网数据和会话的实时监控。
15.本发明的有益效果：通过设备指纹身份证识别、数据流指纹分析和标定、数据流方向精准识别、数据会话指纹的分析、数据流动态阈值监控规则配置、自动化监控管理六个模块来智能处理，实现对网络流量的精准分析和定位功能。采用多模块集成化设计，无需单独部署各模块功能，采用集中化、一体化部署，一体化软件系统在内网中属于旁路方式，采用端口镜像技术获取网内数据流量。弥补了传统流量分析中仅对数据大小和流量总数的分析不足，提高流量分析细度和应用会话的回溯跟踪功能，大大提升网络流量监控管理水平和数据安全防护管理水平。
附图说明
16.图1为本发明一种指纹设备网络流量精准定位分析系统的功能模块示意图；
17.图2为设备指纹身份证识别方法模块示意图；
18.图3为指纹设备网络流量精准定位分析系统逻辑部署示意图；
19.图4为数据流指纹分析和标定方法模块处理流程图。
具体实施方式
20.下面结合附图及实施实例对本申请进行详细说明。需要明确的是，下文所描述的具体实施实例是为了解释本发明，而非对本发明的限定。同时为了便于描述，附图中将仅示出与本发明相关的部分。
21.一种指纹设备网络流量精准定位分析系统，包括设备指纹身份证识别方法模块、数据流指纹分析和标定方法模块、数据流方向精准识别方法模块、数据会话指纹分析方法模块、数据流动态阈值监控规则配置模块、自动化监控管理方法模块。通过系统的内置设备识别算法和应用数据识别算法对网内终端及其他业务系统服务器的数据应用情况和数据走向进行跟踪定位和回溯，从应用和管理角度保证网内数据的可视化、自动化管理。
22.设备指纹身份证识别方法模块，用于对网内设备进行唯一性识别和标定，确保设备数据的唯一性，建立网内设备资产指纹身份证库。指纹身份证包含四要素：1.身份证号：mac地址2姓名：ip地址3住址：接入交换机的端口号(例如在a交换机3号端口)4类型：电脑(打印机，摄像头，ip电话，测试仪，工业设备，手机等)。能够根据设备的mac地址作为唯一身份证号作为指纹识别基础元素，关联分析设备姓名ip地址和设备住址为物理连接位置，即相连交换机端口，和设备是什么类型四个关键数据作为设备的识别身份证，确保设备的唯一性和独特性。设备的身份证号是唯一的，不会更改的，姓名ip地址和住址是可以更改的，不具备唯一性，有些设备无姓名ip地址，在网络设备身份证库中是很常见的现象。该模块采用设备资产指纹身份证识别办法，获取设备mac、ip信息，关联设备接入位置即网络交换机的具体物理端口，标识设备在网内的唯一身份指纹，分析设备类型和型号。
23.数据流指纹分析和标定方法模块，用于对网内应用数据进行唯一身份识别和标定，确保每一条应用数据的唯一性，首次提出流量身份证概念。根据tcp/ip数据流五元组信息，具体为数据流的源ip、目的ip、源端口、目的端口、传输类型(tcp或者udp)和设备资产身份证信息，如前所述，具体信息主要为身份证号mac，姓名ip地址，住址为接入交换机位置和设备类型。通过数据流中的五元组信息的源ip和目的ip，能快速的定位数据流发起方的资产身份证和接收方的身份证，可以快速检索数据来源，精准定位每条数据流的源身份证和目的身份证，来创建数据流身份证会话信息指纹分析结果数据库，保障数据的可朔源性。身份证数据流会话信息八元组：源身份证资产信息、目的身份证资产信息、源ip、目的ip、源端口、目的端口、传输类型(tcp或者udp)、数据应用协议。该模块实现对数据包的拆解分析，获取每一条数据流的八元组信息，标定数据的唯一性特征。
24.数据流方向精准识别方法模块，用于标定数据流发起和目的节点，全方位跟踪数据的访问流程。要确定数据流的方向信息：上行流量、下行流量、身份证会话信息。根据数据通讯协议：例如tcp三次握手特性，分析判断数据流的具体来源和目的去向，全方位跟踪数据流向，简单理解为设备主动发出去的数据包为上行流量，设备接受的数据包为下行流量，所有的上行流量和下行流量都有一个唯一的如前所述的身份证会话信息相对应。该模块以数据会话为基础，根据资产身份证信息来快速定位发起方和接收方，设备自身发出去的流量为上行流量，设备自身接受的流量为下行流量。实现对网内数据流的分类分析，包含有全网数据流、具体交换机数据流、具体端口数据流、具体设备上的数据流，从而实现通过多维度对数据流进行分析和标定。
25.数据会话指纹分析方法模块，用于分析应用会话的唯一性，总计分析数据流中的
总会话数和会话类型。根据数据会话特征(如会话信息八元组)数据，分析会话应用类型、数量，归类分析全局会话总数、具体网络设备节点处(交换机)数据会话总数和设备节点具体端口上的会话总数。该模块实现对数据会话的精准分析，包含有会话总数、交换机端口上的会话数。
26.数据流动态阈值监控规则配置模块，用于配置和管理数据监控规则和应用会话监控规则。实时统计出所有接入交换机和端口的上行流量，下行流量，会话数，统计周期可以是秒，分，小时，天或周为单位，计算出统计周期内交换机，交换机端口和设备的上行流量，下行流量，会话数的平均值和峰值，可以动态设置流量阈值规则或手工设置流量阀值规则，通过前台流量规则配置模块，其能够根据管理要求灵活配置管理规则，查看、删除、修改管理规则配置，方便日常管理和使用。该模块通过https登录管理系统，添加对数据流监控的管理规则，可实现对规则的添加、修改、删除、查看，动态阈值规则制定可依据对上行、下行、会话总数等标准来制定。
27.自动化监控管理方法模块，根据配置模块的规则配置，自动匹配规则内容，对网内应用数据的流量使用情况和会话情况进行自动监控管理。能够根据配置规则自动关联管理规则，针对网内所有应用数据流和应用会话实现全方位自动化监控管理，监控所有交换机和端口的周期流量值是否超过设置的阀值，超过后会实时告警且精准分析超过的异常流量或会话来自于哪些终端设备。该模块自动匹配内部设置的数据流量监控规则，实时监控网内数据流量的访问情况和数据走向，及时发现违规数据应用，自动阻断和告警。
28.各模块随着系统的启动后各模块功能有序运行。正常使用时，需要先针对网内网络交换机进行统一录入，通过镜像核心交换机下联口所有流量，分析镜像过来数据流的上行流量，下行流量，会话数，并动态分析出数据流来自于哪个终端资产，去向哪个终端资产，而且精准分析出数据流量分布在哪个交换机和哪个端口，能获取网内所有应用数据，制定流量数据和会话管理规则，实现对全网数据和会话的实时监控。
29.缩略语及名词解释：
30.指纹设备身份证：能够标定设备的唯一身份标识号mac、姓名ip地址、住址为接入交换机端口、设备类型。
31.指纹身份证数据：能够标定一条数据流的唯一性标识，主要包含数据八元组信息：源身份证资产信息、目的身份证资产信息、源ip、目的ip,源端口、目的端口、传输类型(tcp或者udp)、数据应用协议。
32.本指纹设备网络流量精准定位分析系统以模块化设计，采用多模块集成化设计，无需单独部署各模块功能，采用集中化、一体化部署，一体化软件系统在内网中属于旁路方式，采用端口镜像技术获取网内数据流量。通过对设备指纹身份证识别、数据流指纹分析和标定、数据会话指纹分析，匹配自管理流量规则实现对流量和数据的自动化监控管理。弥补了传统流量分析中仅对数据大小和流量总数的分析不足，提高流量分析细度和应用会话的回溯跟踪功能，大大提升网络流量监控管理水平和数据安全防护管理水平。
33.以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功
能的技术特征进行互相替换而形成的技术方案。