发明内容
有鉴于此,本发明提供了一种网络流量的分析***及方法,以克服现有技术中由于不能够对应用层进行监测分析而造成的不能够保障应用层的安全性的问题。
为实现上述目的,本发明提供如下技术方案:
一种网络流量的分析***,包括:流量采集模块和流量分析模块;
所述流量采集模块用于采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息;
所述流量分析模块用于对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小。
其中,所述流量采集模块具体包括:
本地采集模块,用于持续获取通过网络中各节点的原始流量信息;
预处理模块,用于根据所述***的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;
应用提取模块,用于对所述特定流量信息进行分组解析,识别出应用层流量信息。
其中,所述流量分析模块具体包括:
应用流量统计分析模块,用于根据所述***的应用主体的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息;
追踪分析模块,用于在所述***的应用主体中有异常流量时,针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象,所述追踪主机为与异常流量信息相关的具有IP地址的设备。
优选的,还包括:
网络操作监测模块,用于监测所述***的应用主体的网络操作。
优选的,还包括:
报警模块,用于在应用***中出现异常流量信息和/或异常网络操作的情况下,通知用户所述应用***存在异常流量信息或异常网络操作。
优选的,还包括:
安全审计模块,用于记录并统计异常流量信息及异常网络操作。
一种网络流量的分析方法,包括:
流量采集模块采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息;
流量分析模块对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小。
其中,所述流量采集模块采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息具体包括:
本地采集模块持续获取通过网络中各节点的原始流量信息;
预处理模块根据所述***的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;
应用提取模块对所述特定流量信息进行分组解析,识别出应用层流量信息。
其中,所述流量分析模块对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果具体为:
应用流量统计分析模块根据所述***的应用主体的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息;
在所述***的应用主体中有异常流量时,追踪分析模块针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象,所述追踪主机为与异常流量信息相关的具有IP地址的设备。
优选的,还包括:
监测所述***的应用主体的网络操作内容;
在应用***中出现异常流量信息或异常网络操作的情况下,通知用户所述应用***存在异常流量信息或异常网络操作;
记录并统计异常流量信息及异常网络操作。
经由上述的技术方案可知,与现有技术相比,本发明公开了一种网络流量的分析***及方法,该***首先采集网络中各节点的流量信息,通过对所述流量信息进行分析处理,识别出所述流量信息中的应用层流量信息,再对所述应用层流量信息进行统计分析,判断出异常流量,最终实现基于网络流量的应用层分析工作,通过这种方法,能够对网络中的应用、协议、连接、流量、内容等多层次进行全方位的综合分析,达到了通过网络流量的监测分析保障网络中应用***安全性的目的。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
图1为本发明实施例公开的网络流量分析***的网络部署示意图,参照图1,本发明实施例公开的网络流量分析***挂接在网络管理人员所有需要关注的流量必须流经的链路上,所述网络管理人员需要关注的流量是指来自高危网络区域的访问流量。现在的网络区域大都是交换式的网络结构,因此,所述网络流量分析***在交换式网络中的位置一般部署在服务器区域的交换机上或重点保护网段的局域网交换机上。
图2为本发明实施例公开的网络流量分析***的结构示意图,如图2所示,所述网络流量分析***20可以包括:
流量采集模块201,用于采集网络中各节点的流量信息,并从所述流量信息中提取出应用层流量信息;
其中,所述流量采集模块201具体可以包括:
本地采集模块2011,用于持续获取通过网络中各节点的原始流量信息;
其中,所述本地采集模块2011可以利用探头通过镜像口连续采集通过所述网络流量分析***20所挂接的链路上的原始的流量信息;
预处理模块2012,用于根据所述***的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;
其中,应用***中的配置文件中有用户设定的特定的关注流量,所述特定的关注流量可能来自于高危网络访问区域,所述预处理模块2012能够先对所述原始流量信息进行解包处理,然后根据配置文件的配置内容分析出所述原始流量信息中的特定流量信息;
应用提取模块2013,用于对所述特定流量信息进行分组解析,识别出应用层流量信息;
其中,所述应用提取模块2013可以采用快速协议分析技术对所述特定流量信息进行分组解析,提取其应用层流量信息;
在所述流量采集模块201提取出应用层流量信息后,流量分析模块202再对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小;
其中,所述流量分析模块202具体可以包括:
应用流量统计分析模块2021,用于根据所述应用***的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息;
其中,所述应用***的配置文件中有与所述应用层流量信息相关的预设策略,所述应用流量统计分析模块2021能够根据所述的预设策略对所述应用层流量信息进行统计比较,分析应用层流量的累积和、流量阶跃等内容,从而判断出异常的流量信息;
追踪分析模块2022,用于在所述***的应用主体中有异常流量时,针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;
其中,所述追踪主机为与异常流量信息相关的具有IP地址的设备,当发现异常流量信息时,所述追踪分析模块2022可以确定与所述异常流量信息有关的具有IP地址的设备为“嫌疑对象”,将其设置为追踪主机,对其进行实时的密切监测,并记录下所述追踪主机进行的一切网络操作动作,包括其操作内容、操作时间和操作对象。
本实施例中,所述网络流量的分析***首先通过流量采集模块采集网络中各节点的原始流量信息,通过对所述流量信息进行分析处理,识别出所述原始流量信息中应用层流量信息,再通过流量分析模块对所述应用层流量信息进行统计比较,分析出异常流量,并追随所述异常流量监测与其相关的,具有IP地址的设备的网络操作,便于以后的取证和备查,实现了基于网络流量的应用层分析。
实施例二
图3为本发明实施例公开的另一种网络流量分析***的结构示意图,如图3所示,网络流量分析***30可以包括:
流量采集模块201,用于采集网络中各节点的流量信息,并从所述流量信息中提取出应用层流量信息;
其中,所述流量采集模块201具体可以包括:
本地采集模块2011,用于持续获取通过网络中各节点的原始流量信息;
预处理模块2012,用于根据所述***的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;
应用提取模块2013,用于对所述特定流量信息进行分组解析,识别出应用层流量信息;
流量分析模块202,用于对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小;
其中,所述流量分析模块202具体可以包括:
应用流量统计分析模块2021,用于根据所述应用***的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息;
追踪分析模块2022,用于在所述***的应用主体中有异常流量时,针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;
网络操作监测模块301,用于监测所述应用***的网络操作内容;
其中,所述网络操作监测模块可以对网络操作数据进行统计分析,及时发现网络中的异常访问操作和攻击行为;
报警模块302,用于在应用***中出现异常流量信息和/或异常网络操作的情况下,通知用户所述应用***存在异常流量信息和/或异常网络操作;
其中,在所述应用***中出现异常流量信息和/或异常网络操作、带有指定关键字的指定操作重复预设的阈值次数时,产生报警,通知网络管理人员。
在其他的实施例中,还可以包括安全审计模块,用于记录并统计异常流量信息及异常网络操作;
其中,所述安全审计模块记录并统计异常流量信息及异常网络操作,以便于对所述异常流量信息及异常网络操作进行取证和备查。
本实施例中,所述网络流量的分析***首先通过流量采集模块采集网络中各节点的原始流量信息,通过对所述流量信息进行分析处理,识别出所述原始流量信息中应用层流量信息,再通过流量分析模块对所述应用层流量信息进行统计比较,分析应用***中是否存在异常流量,同时该***能够监测网络操作内容,分析出应用***中是否存在异常网络操作,在应用***中存在异常流量信息和/或异常网络操作的情况下,能够产生报警,通知网络管理人员,并能够追踪异常流量信息和/或异常网络操作,记录下追踪结果,便于以后的取证和备查,通过所述网络流量分析***,能够对对网络中的应用、协议、连接、流量、内容等多层次进行全方位的综合分析,实现了基于网络流量的应用层分析,达到了通过网络流量的监测分析保障网络中应用***安全性的目的。
实施例三
图4为本发明实施例公开的网络流量分析方法的流程示意图a,参照图4,本发明公开的网络流量分析方法可以包括:
步骤401:流量采集模块采集网络中各节点的原始流量信息,并从所述原始流量信息中提取出应用层流量信息;
本步骤中,是利用探头通过镜像端口对所述原始流量信息进行采集的,再对所述原始流量信息进行处理,提取出应用层流量数据,图5为本发明实施例公开的网络流量分析方法的流程示意图b,步骤401的具体步骤可以参见图5的步骤501~步骤503,具体如下:
步骤501:本地采集模块持续获取通过网络中各节点的原始流量信息;
本步骤中,用探头通过镜像端口对所述原始流量信息进行连续采集。
步骤502:预处理模块根据所述***的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;
本步骤中,应用***中的配置文件中有用户设定的特定的关注流量,所述特定的关注流量可能来自于高危网络访问区域,所述预处理模块能够先对所述原始流量信息进行解包处理,然后根据配置文件的配置内容分析出所述原始流量信息中的特定流量信息;
步骤503:应用提取模块对所述特定流量信息进行分组解析,识别出应用层流量信息;
本步骤中,所述应用提取模块可以采用快速协议分析技术对所述特定流量信息进行分组解析,提取其应用层流量信息;
在步骤401采集原始流量信息后,进入步骤402;
步骤402:流量分析模块对所述应用层流量信息进行流量分析,并统计所述应用层流量信息的分析结果;
本步骤中,所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小,步骤402的具体步骤可参见图5的步骤504~步骤505,具体如下:
步骤504:应用流量统计分析模块根据所述应用***的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断是否存在异常流量信息,如果是,进入步骤505,如果否,则不做处理;
本步骤中,所述应用***的配置文件中有与所述应用层流量信息相关的预设策略,所述应用流量统计分析模块能够根据所述的预设策略对所述应用层流量信息进行统计比较,分析应用层流量的累积和、流量阶跃等内容,从而判断出是否存在异常的流量信息,如果存在,则进入步骤505进行相应的操作;如果不存在,则不做处理;
步骤505:追踪分析模块针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;
本步骤中,所述追踪主机为与异常流量信息相关的具有IP地址的设备,当发现异常流量信息时,所述追踪分析模块可以确定与所述异常流量信息有关的具有IP地址的设备为“嫌疑对象”,将其设置为追踪主机,对其进行实时的密切监测,并记录下所述追踪主机进行的一切网络操作动作,包括其操作内容、操作时间和操作对象。
本实施例中,所述网络流量的分析方法首先通过流量采集模块采集网络中各节点的原始流量信息,通过对所述流量信息进行分析处理,识别出所述原始流量信息中应用层流量信息,再对所述应用层流量信息进行统计比较,分析出异常流量,并追随所述异常流量监测与其相关的,具有IP地址的设备的网络操作,便于以后的取证和备查,实现了基于网络流量的应用层分析。
实施例四
图6为本发明实施例公开的另一种网络流量分析方法的流程示意图,参见图6,本实施例公开的网络流量分析方法的步骤可以如下:
步骤601:本地采集模块持续获取通过网络中各节点的原始流量信息;
步骤602:预处理模块根据所述***的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息;
步骤603:应用提取模块对所述特定流量信息进行分组解析,识别出应用层流量信息;
步骤604:应用流量统计分析模块根据所述应用***的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析,判断出是否存在异常流量信息,如果是,同时进入步骤605和609,如果否,则不作处理;
步骤605:追踪分析模块针对所述异常的流量信息,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;
步骤606:网络操作监测模块监测所述应用***的网络操作内容;
本步骤中,所述网络操作监测模块可以对网络操作数据进行统计分析,及时发现网络中的异常访问操作和攻击行为;
步骤607:判断应用***中是否存在异常网络操作,如果是,同时进入步骤608和步骤609,如果否,则不作处理;
本步骤中,所述应用***的配置文件中有与所述网络操作相关的预设策略,根据所述的预设策略对所述网络操作进行统计比较,分析所述网络操作的内容,从而判断出是否存在异常的网络操作,如果存在,则同时进入步骤608和步骤609进行相应的操作;如果不存在,则不做处理;
步骤608:追踪分析模块针对所述异常网络操作,确定追踪主机,并对所述追踪主机进行监测,记录所述追踪主机的操作内容、操作时间及操作对象;
步骤609:报警。
在其他的实施例中,还可以包括记录并统计异常流量信息及异常网络操作的步骤。
本实施例中,所述网络流量的分析方法首先采集网络中各节点的原始流量信息,通过对所述流量信息进行分析处理,识别出所述原始流量信息中应用层流量信息,再对所述应用层流量信息进行统计比较,分析应用***中是否存在异常流量,同时该方法能够监测网络操作内容,分析出应用***中是否存在异常网络操作,在应用***中存在异常流量信息和/或异常网络操作的情况下,能够产生报警,通知网络管理人员,并能够追踪异常流量信息和/或异常网络操作,记录下追踪结果,便于以后的取证和备查,通过所述网络流量分析方法,能够对对网络中的应用、协议、连接、流量、内容等多层次进行全方位的综合分析,实现了基于网络流量的应用层分析,达到了通过网络流量的监测分析保障网络中应用***安全性的目的。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。