CN110061854A - 一种无边界网络智能运维管理方法与*** - Google Patents

Abstract

本发明公开了一种主动、实时、动态、准确与***地监控移动互联网、物联网与计算机网络中终端、服务器与设备的可用性、性能与安全性的无边界网络智能运维管理方法与***，包括主动监测主机可用性、性能与安全性；缓存、转发配置与监测信息；对终端、服务器与设备数据进行态势分析，自学习、检测与预测网络攻击，回溯网络攻击源；实时通知异常事件；实时执行响应操作；存储配置、监测、告警与日志信息；集中配置、展示主机、监控与态势信息。利用本发明，可以构筑主动、实时、动态、准确与***的无边界网络纵深运维保障管理体系，为网络用户提供一个可用、高性能与安全的网络环境。

Description

一种无边界网络智能运维管理方法与***

技术领域

本发明涉及网络与信息安全技术领域，具体涉及一种在移动互联网、物联网与计算机网络环境下的无边界网络智能运维管理***。

背景技术

随着计算机网络、通信网与物联网的快速融合，以及云计算技术的迅速应用，网络结构正朝着云、管、端的无边界方向发展，云环境可以提供高性能计算与大数据存储、越来越多地存储着金融、企业与个人的信息，云环境的重要性日益显著，端节点最接近用户，存储着用户的交易信息与上网行为，越来越多的黑客将黑手伸向云与端的节点，而由于网络中的流量越来越大，并且管中流量与信息呈碎片化、私密信息已被加密，网络监控与响应越来越难以在管中实施。

在本发明的无边界网络智能运维管理***中主要涉及：主动监测器、态势分析器、实时告警器、实时响应器、汇聚器、数据存储器与管理器。

网络运维管理***的发展有两个方向，一是基于大数据进行态势分析***；二是基于网络异常行为的威胁检测***。对于基于大数据进行态势分析，它的优点是能够全视图展示网络行为状况，缺陷是关联分析模型不够准确、并且数据量越来越大，***性能越来越难以承受；对于基于网络异常行为的威胁检测***，它的优点是能够检测网络异常行为，缺陷是存在较大的误报率。本发明基于管理的主动性、运维的***性与准确性、安全的动态性与告警响应的实时性，主动、实时、准确、动态与***地监控无边界网络中终端、服务器与设备的可用性、性能与安全性，该***包括主动监测器、态势分析器、实时告警器、实时响应器、汇聚器、数据存储器与管理器，克服了以上两个方向的方法中存在的缺点，能够准确、快速与***地维护终端、服务器与网络中设备的可用性、性能与安全性。

发明内容

本发明方法的核心在于克服了现有网络运维管理***的缺点，提供一种无边界网络智能运维管理方法与***，该***基于管理的主动性、运维的***性与准确性、安全的动态性与告警响应的实时性，主动、实时、动态、准确与***地监控无边界网络中终端、服务器与设备的可用性、性能与安全性，有效地保障了无边界网络中终端、服务器与设备的硬件、***软件与应用软件的用性、性能与安全性，为网络用户提供一个可用、高性能与安全的网络环境。

本发明的目的是通过以下技术方案实现的：

一种无边界网络智能运维管理方法，包括以下步骤：

A、主动监测器进行可用性、性能与安全性的主动监测；

B、汇聚器进行缓存、转发配置与监测信息；

C、态势分析器基于终端、服务器与设备的可用性、性能与安全性数据进行态势分析；

D、态势分析器利用k-means聚类算法自学习正常网络行为秩序并检测网络攻击；

E、态势分析器利用指数平滑法与阈值预测网络攻击态势；

F、态势分析器基于时序、行为指纹与网络连接信息进行关联分析，回溯网络攻击源；

G、实时告警器实时通知运维人员异常事件；

H、实时响应器实时执行响应操作解决告警问题；

I、据存储器存储配置、监测、告警与日志信息；

J、管理器进行集中配置、展示主机、监控与态势信息。

优选地，所述步骤D包括：

D1、利用k-means聚类算法对网络行为信息自学***方误差作为标准测度函数，其定义如下：

E=∑ ^k _i=1 ∑ _p∈Ci |p - m _i | ²

E是所有网络主机的平方误差的总和，p是任意一个网络行为，m _i 是簇C _i 的中心；

D2、根据正常网络行为秩序检测网络攻击，若待检测网络行为存在于正常网络行为秩序中，则判定该网络行为是安全的；否则判定该网络行为是网络攻击。

优选地，所述步骤E包括：

E1、采用先验数据的平均值为初始值；

E2、选取平滑系数α，当网络行为序列呈现较稳定的水平趋势时，α在0.05～0.20之间取值，当网络行为序列有波动，但长期趋势变化不大时，α在0.1～0.4之间取值，当网络行为序列波动很大，长期趋势变化幅度较大，呈现明显且迅速的上升或下降趋势时，α在0.6～0.8间选值；

E3、采用指数平滑法进行网络态势预测，预测公式如下

S _t =αY _t-1 + (1-α)S _t-1

S _t 为t时刻的网络态势预测值，S _t-1 为t-1时刻的网络态势预测值，Y _t-1 为t-1时刻的网络态势实际值，α为平滑系数

E4、若t-2、t-1、t时刻的网络态势预测值S _t-2 、S _t-1 、S _t 都大于阈值，则该网络态势为网络攻击态势。

优选地，所述步骤F包括：

F1、基于时间与行为指纹对目标机上的网络攻击行为进行相似度分析，将一段时间内目标IP地址相同、目的端口相同、源IP地址不同的网络攻击行为进行归类，行为指纹包括数据库指纹、SSH指纹、Web指纹与邮件指纹，其中Web指纹包括SQL注入指纹、XSS指纹、目录遍历指纹、Webshell指纹与弱口令猜测指纹；

F2、基于时序与网络连接信息对傀儡机进行关联分析，回溯上一级傀儡机的IP地址，重复该行为，直到最终源IP地址为止，该最终源IP地址为攻击源。

一种无边界网络智能运维管理***，其特征在于包括：

主动监测器，包括本地主动监测器与远程主动监测器，能够进行可用性监测、性能监测与安全性监测，其中本地主动监测器能够定期获取硬件、软件与日志的数据或状态，远程主动监测器能够定期获取主机与网络服务的状态；

汇聚器，包括汇聚器客户端与汇聚服务器端，能够缓存、转发配置与监测信息，其中汇聚服务端缓存配置信息、分组汇集监测数据并跨网络转发，汇聚器客户端转发配置信息、归类数据并存储到数据存储器中；

态势分析器，能够进行可用性、性能与安全性数据的态势分析，安全态势分析包括主机安全分析与网络安全分析，其中主机安全态势分析包括漏洞分析、软件行为分析、用户行为分析、攻击行为分析与风险分析，网络安全态势分析包括自学习正常网络行为秩序并检测网络攻击、预测网络攻击态势、回溯网络攻击源；

实时告警器，能够通过屏幕、短信与邮件方式通知运维人员异常事件；

实时响应器，包括实时响应客户端与实时响应服务器端，其中实时响应客户端远程发送操作与响应命令，实时响应服务器端执行操作与应急响应，能够进行软件升级与卸载、备份与恢复、配置更改、策略加固、木马进程终止与恶意代码删除；

数据存储器，能够存储配置信息、监测信息、告警信息与日志信息；

管理器，包括信息展示、告警响应管理、配置管理与***管理，能够进行集中输入与展示所监控的主机信息，配置、展示监测与态势分析信息，其中信息展示包括列表展示、图形展示与关联展示。

首先，管理器进行配置被监控主机信息、监控信息与响应命令，并将监控信息通过汇聚器下发到被监控主机上的主动监测器；然后，主动监测器定期获取硬件、软件、配置文件与日志的数据或状态并发送给汇聚服务器端；汇聚服务器端分组汇总监测数据并缓存，汇聚器客户端定期获取缓存数据、对监测数据进行归类并存储到数据存储器中；态势分析器定期从数据存储器中读取监测数据进行阈值比较、统计分析，归纳其中的态势，如果出现异常，就将异常事件信息发送给实时告警器与实时响应器客户端；实时告警器以屏幕、短信与邮件方式通知运维人员；实时响应器客户端将相应响应命令远程发送给被监控主机上的实时响应器服务器端，实时响应器服务器端执行接收到的命令，包括软件升级与卸载、备份与恢复、配置更改、策略加固、木马进程终止与恶意代码删除；管理器定期从数据存储器中读取监测数据以列表、图形或关联方式进行展示。

由以上本发明提供的***方案可以看出，本发明克服了现有网络运维管理***的缺点，提供一种无边界网络智能运维管理方法与***，该***基于管理的主动性、运维的***性与准确性、安全的动态性与告警响应的实时性，主动、实时、动态、准确与***地监控无边界网络中终端、服务器与设备的可用性、性能与安全性，使得能够准确、快速与***地维护终端、服务器与设备的可用性、性能与安全性，有效地保障了无边界网络中终端、服务器与设备的硬件、***软件与应用软件的用性、性能与安全性，为网络用户提供一个可用、高性能与安全的网络环境。

附图说明

图1是无边界网络智能运维管理***的组网示意图；

图2是本发明方法的***结构示意图;

图3是本发明方法的主流程图;

图4是本发明方法的自学习正常网络行为秩序并检测网络攻击流程图;

图5是本发明方法的预测网络攻击态势流程图;

图6是本发明方法的回溯网络攻击源流程图。

具体实施方式

本发明方法的核心在于克服了现有网络运维管理***的缺点，提供一种无边界网络智能运维管理方法与***，该***基于管理的主动性、运维的***性与准确性、安全的动态性与告警响应的实时性，主动、实时、动态、准确与***地监控无边界网络中终端、服务器与设备的可用性、性能与安全性，有效地保障了无边界网络中终端、服务器与设备的硬件、***软件与应用软件的用性、性能与安全性，为网络用户提供一个可用、高性能与安全的网络环境。

无边界智能网络运维管理***的工作流程为：

首先，管理器进行配置被监控主机信息、监控信息与响应命令，并将监控信息通过汇聚器下发到被监控主机上的主动监测器；然后，主动监测器定期获取硬件、软件、配置文件与日志的数据或状态并发送给汇聚服务器端；汇聚服务器端分组汇总监测数据并缓存，汇聚器客户端定期获取缓存数据、对监测数据进行归类并存储到数据存储器中；态势分析器定期从数据存储器中读取监测数据进行阈值比较、统计分析，归纳其中的态势，如果出现异常，就将异常事件信息发送给实时告警器与实时响应器客户端；实时告警器以屏幕、短信与邮件方式通知运维人员；实时响应器客户端将相应响应命令远程发送给被监控主机上的实时响应器服务器端，实时响应器服务器端执行接收到的命令，包括软件升级与卸载、备份与恢复、配置更改、策略加固、木马进程终止与恶意代码删除；管理器定期从数据存储器中读取监测数据以列表、图形或关联方式进行展示。

无边界网络智能运维管理***组网结构如图1所示。其中，

网络环境，包括终端、实体或虚拟服务器、实体或虚拟设备；

无边界网络智能运维管理***，包括主动监测器、汇聚器、态势分析器、实时告警器、实时响应器、管理器与数据存储器；

互联网，包括路由器与交换机，可以传送和路由网络流量。

下面参照图2对本发明方法的***结构作详细说明：

主动监测器，包括本地主动监测器与远程主动监测器，能够进行可用性监测、性能监测与安全性监测，其中本地主动监测器能够定期获取硬件、软件与日志的数据或状态，远程主动监测器能够定期获取主机与网络服务的状态；

汇聚器，包括汇聚器客户端与汇聚服务器端，能够缓存、转发配置与监测信息，其中汇聚服务端缓存配置信息、分组汇集监测数据并跨网络转发，汇聚器客户端转发配置信息、归类数据并存储到数据存储器中；

态势分析器，能够进行可用性、性能与安全性数据的态势分析，安全态势分析包括主机安全分析与网络安全分析，其中主机安全态势分析包括漏洞分析、软件行为分析、用户行为分析、攻击行为分析与风险分析，网络安全态势分析包括自学习正常网络行为秩序并检测网络攻击、预测网络攻击态势、回溯网络攻击源；

实时告警器，能够通过屏幕、短信与邮件方式通知运维人员异常事件；

实时响应器，包括实时响应客户端与实时响应服务器端，其中实时响应客户端远程发送操作与响应命令，实时响应服务器端执行操作与应急响应，能够进行软件升级与卸载、备份与恢复、配置更改、策略加固、木马进程终止与恶意代码删除；

数据存储器，能够存储配置信息、监测信息、告警信息与日志信息；

管理器，包括信息展示、告警响应管理、配置管理与***管理，能够进行集中输入与展示所监控的主机信息，配置、展示监测与态势分析信息，其中信息展示包括列表展示、图形展示与关联展示。

首先，管理器进行配置被监控主机信息、监控信息与响应命令，并将监控信息通过汇聚器下发到被监控主机上的主动监测器；然后，主动监测器定期获取硬件、软件、配置文件与日志的数据或状态并发送给汇聚服务器端；汇聚服务器端分组汇总监测数据并缓存，汇聚器客户端定期获取缓存数据、对监测数据进行归类并存储到数据存储器中；态势分析器定期从数据存储器中读取监测数据进行阈值比较、统计分析，归纳其中的态势，如果出现异常，就将异常事件信息发送给实时告警器与实时响应器客户端；实时告警器以屏幕、短信与邮件方式通知运维人员；实时响应器客户端将相应响应命令远程发送给被监控主机上的实时响应器服务器端，实时响应器服务器端执行接收到的命令，包括软件升级与卸载、备份与恢复、配置更改、策略加固、木马进程终止与恶意代码删除；管理器定期从数据存储器中读取监测数据以列表、图形或关联方式进行展示。

为了使本技术领域的人员更好地理解本发明，下面结合图3所示的流程图对本发明作进一步的详细说明。包括以下步骤：

步骤301：管理器配置资产、监测、告警、响应、展示与***信息并存储；

步骤302：主动监测器通过汇聚器获取监测配置信息

步骤303：主动监测器进行可用性、性能与安全性的主动监测；

步骤304：汇聚器转发监测信息；

步骤305：态势分析器基于终端、服务器与设备的可用性、性能与安全性数据进行态势分析；

步骤306：态势分析器利用k-means聚类算法自学习正常网络行为秩序并检测网络攻击；

步骤307：态势分析器利用指数平滑法与阈值预测网络攻击态势；

步骤308：态势分析器基于时序、行为指纹与网络连接信息进行关联分析，回溯网络攻击源；

步骤309：判断是否存在异常事件，若有，则

步骤310：实时告警器实时通知运维人员异常事件；

步骤311：实时响应器实时执行响应操作解决告警问题；

步骤312：据存储器存储配置、监测、告警与日志信息；

步骤313：若没有有异常事件，则管理器进行集中配置、展示主机、监控与态势信息。

下面结合图4所示的流程图对本发明作进一步的详细说明。包括以下步骤：

步骤401：利用k-means聚类算法对网络行为信息自学***方误差作为标准测度函数，其定义如下：

E=∑ ^k _i=1 ∑ _p∈Ci |p - m _i | ²

E是所有网络主机的平方误差的总和，p是任意一个网络行为，m _i 是簇C _i 的中心；

步骤402：根据正常网络行为秩序检测网络攻击，若待检测网络行为存在于正常网络行为秩序中，则

步骤403：该网络行为是安全的；

步骤404：否则，该网络行为是网络攻击。

下面结合图5所示的流程图对本发明作进一步的详细说明。包括以下步骤：

步骤501：采用先验数据的平均值为初始值；

步骤502：选取平滑系数α，当网络行为序列呈现较稳定的水平趋势时，α在0.05～0.20之间取值，当网络行为序列有波动，但长期趋势变化不大时，α在0.1～0.4之间取值，当网络行为序列波动很大，长期趋势变化幅度较大，呈现明显且迅速的上升或下降趋势时，α在0.6～0.8间选值；

步骤503：采用指数平滑法进行网络态势预测，预测公式如下

S _t =αY _t-1 + (1-α)S _t-1

S _t 为t时刻的网络态势预测值，S _t-1 为t-1时刻的网络态势预测值，Y _t-1 为t-1时刻的网络态势实际值，α为平滑系数；

步骤504：若t-2、t-1、t时刻的网络态势预测值S _t-2 、S _t-1 、S _t 都大于阈值，则

步骤505：该网络态势为网络攻击态势；

步骤506：否则，该网络态势为正常网络态势。

下面结合图6所示的流程图对本发明作进一步的详细说明。包括以下步骤：

步骤601：基于时间与行为指纹对目标机上的网络攻击行为进行相似度分析，将一段时间内目标IP地址相同、目的端口相同、源IP地址不同的网络攻击行为进行归类，行为指纹包括数据库指纹、SSH指纹、Web指纹与邮件指纹，其中Web指纹包括SQL注入指纹、XSS指纹、目录遍历指纹、Webshell指纹与弱口令猜测指纹；

步骤602：基于时序与网络连接信息对傀儡机进行关联分析，回溯上一级傀儡机的IP地址，重复该行为；

步骤603：判断该源IP地址是否为最终源IP地址，若是，则

步骤604：该源IP地址为攻击源。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (5)

1.一种无边界网络智能运维管理方法，其特征在于包括以下步骤：

A、主动监测器进行可用性、性能与安全性的主动监测；

B、汇聚器进行缓存、转发配置与监测信息；

C、态势分析器基于终端、服务器与设备的可用性、性能与安全性数据进行态势分析；

D、态势分析器利用k-means聚类算法自学习正常网络行为秩序并检测网络攻击；

E、态势分析器利用指数平滑法与阈值预测网络攻击态势；

F、态势分析器基于时序、行为指纹与网络连接信息进行关联分析，回溯网络攻击源；

G、实时告警器实时通知运维人员异常事件；

H、实时响应器实时执行响应操作解决告警问题；

I、据存储器存储配置、监测、告警与日志信息；

J、管理器进行集中配置、展示主机、监控与态势信息。

2.根据权利要求1所述边界网络智能运维管理方法，其特征在于，所述步骤D包括：

D1、利用k-means聚类算法对网络行为信息自学习得到网络行为秩序，网络行为信息包括时间、源IP地址、目的IP地址、源端口、目的端口、协议号与行为指纹，k-means算法的处理过程为：首先，随机地从n个网络行为中选择k个作为初始聚类C的中心，以每个初始聚类中心为一簇；依次选取剩下的网络行为，根据其与各簇中心的相似度，将它赋给最近的簇；然后，重新计算每个新簇的聚类中心；不断重复这一过程，直到标准测度函数收敛；一个最终簇的时序对应一个正常网络行为秩序；

采用平方误差作为标准测度函数，其定义如下：

E=∑ ^k _i=1 ∑ _p∈Ci |p - m _i | ²

E是所有网络主机的平方误差的总和，p是任意一个网络行为，m _i 是簇C _i 的中心；

D2、根据正常网络行为秩序检测网络攻击，若待检测网络行为存在于正常网络行为秩序中，则判定该网络行为是安全的；否则判定该网络行为是网络攻击。

3.根据权利要求1所述边界网络智能运维管理方法，其特征在于，所述步骤E包括：

E1、采用先验数据的平均值为初始值；

E2、选取平滑系数α，当网络行为序列呈现较稳定的水平趋势时，α在0.05～0.20之间取值，当网络行为序列有波动，但长期趋势变化不大时，α在0.1～0.4之间取值，当网络行为序列波动很大，长期趋势变化幅度较大，呈现明显且迅速的上升或下降趋势时，α在0.6～0.8间选值；

E3、采用指数平滑法进行网络态势预测，预测公式如下

S _t = αY _t-1 + (1-α)S _t-1

S _t 为t时刻的网络态势预测值，S _t-1 为t-1时刻的网络态势预测值，Y _t-1 为t-1时刻的网络态势实际值，α为平滑系数；

E4、若t-2、t-1、t时刻的网络态势预测值S _t-2 、S _t-1 、S _t 都大于阈值，则该网络态势为网络攻击态势。

4.根据权利要求1所述边界网络智能运维管理方法，其特征在于，所述步骤F包括：

F1、基于时间与行为指纹对目标机上的网络攻击行为进行相似度分析，将一段时间内目标IP地址相同、目的端口相同、源IP地址不同的网络攻击行为进行归类，行为指纹包括数据库指纹、SSH指纹、Web指纹与邮件指纹，其中Web指纹包括SQL注入指纹、XSS指纹、目录遍历指纹、Webshell指纹与弱口令猜测指纹；

F2、基于时序与网络连接信息对傀儡机进行关联分析，回溯上一级傀儡机的IP地址，重复该行为，直到最终源IP地址为止，该最终源IP地址为攻击源。

5.一种智能的无边界网络运维管理***，其特征在于包括：

主动监测器，包括本地主动监测器与远程主动监测器，能够主动进行可用性监测、性能监测与安全性监测，其中本地主动监测器能够定期获取硬件、软件与日志的数据或状态，远程主动监测器能够定期获取主机与网络服务的状态；

汇聚器，包括汇聚器客户端与汇聚服务器端，能够缓存、转发配置与监测信息，其中汇聚服务端缓存配置信息、分组汇集监测数据并跨网络转发，汇聚器客户端转发配置信息、归类数据并存储到数据存储器中；

态势分析器，能够进行可用性、性能与安全性数据的态势分析，安全态势分析包括主机安全分析与网络安全分析，其中主机安全态势分析包括漏洞分析、软件行为分析、用户行为分析、攻击行为分析与风险分析，网络安全态势分析包括自学习正常网络行为秩序并检测网络攻击、预测网络攻击态势、回溯网络攻击源；

实时告警器，能够通过屏幕、短信与邮件方式通知运维人员异常事件；

实时响应器，包括实时响应客户端与实时响应服务器端，其中实时响应客户端实时远程发送操作与响应命令，实时响应服务器端实时执行操作与应急响应，能够进行软件升级与卸载、备份与恢复、配置更改、策略加固、木马进程终止与恶意代码删除；

数据存储器，能够存储配置信息、监测信息、告警信息与日志信息；

管理器，包括信息展示、告警响应管理、资产管理、配置管理与***管理，能够进行集中输入与展示所监控的主机信息，配置、展示监控与态势分析信息，其中信息展示包括列表展示、图形展示与关联展示

首先，管理器进行配置被监控主机信息、监控信息与响应命令，并将监控信息通过汇聚器下发到被监控主机上的主动监测器；然后，主动监测器定期获取硬件、软件、配置文件与日志的数据或状态并发送给汇聚服务器端；汇聚服务器端分组汇总监测数据并缓存，汇聚器客户端定期获取缓存数据、对监测数据进行归类并存储到数据存储器中；态势分析器定期从数据存储器中读取监测数据进行阈值比较、统计分析，归纳其中的态势，如果出现异常，就将异常事件信息发送给实时告警器与实时响应器客户端；实时告警器以屏幕、短信与邮件方式通知运维人员；实时响应器客户端将相应响应命令远程发送给被监控主机上的实时响应器服务器端，实时响应器服务器端执行接收到的命令，包括软件升级与卸载、备份与恢复、配置更改、策略加固、木马进程终止与恶意代码删除；管理器定期从数据存储器中读取监测数据以列表、图形或关联方式进行展示。