专利名称:网络流量特征识别规则的建立方法、识别控制方法及装置的制作方法
技术领域:
本发明涉及网络技术领域,具体涉及一种网络流量特征识别规则的建立方法、识 别控制方法及装置。
背景技术:
基于流(Flow)的Flow分析技术是目前主流的网络流量分析技术,主要包括 NetFlow、sFlow、cFlow 禾口 NetStream 四种。
NetFlow是当今应用最为广泛的流量分析技术。NetFlow能够采集开放式系统互 联(Open System Interconnect, 0SI)参考模型中第2到4层网络流量的信息,包括源IP地 址、目的IP地址、源端口、目的端口、IP层协议类型等,可以回答有关IP流量方面的问题,比 如谁在什么时间、在什么地方、使用何种协议、访问谁、具体的流量是多少等。但是,NetFlow 仅对网络流量中的IP包头进行分析,不能真正判断网络流量中的应用类型。其它sFlow、 cFlow和NetStream与NetFlow类似,也是基于OSI参考模型中第2到4层的网络流量分析 技术。
深度包检测(De印Packet Inspection, DPI)技术在分析IP包头的基础上,增加 了对应用层的分析,是一种基于应用层的流量检测和控制技术,可以提取OSI参考模型中 第2到7层网络流量的信息,能够识别大部分网络流量的应用协议类型,再根据预设的策略 对网络流量进行控制。现有的DPI技术所识别的应用协议类型包括大类名称,例如即时通 讯(Instant Messaging, IM)、P2P (Peer—to—Peer)等,禾口小类名称,例如 skype、MSN(Windows Live Messenger), emule, edonkey等,可以按照应用协议类型的大类名称和小类名称制定 策略,控制网络流量。
基于DPI技术的管理系统需要维护一个特征数据库,当网络流量经过时,通过将 解包后的网络流量应用信息与特征数据库进行比较来确定网络流量的应用协议类型;而 对于特征数据库中没有相关数据的未知网络流量,就无法分析确定网络流量的应用协议类 型,此时就要更新特征数据库。
现有的DPI技术更新特征数据库,建立应用协议特征识别规则的方法是首先安 装与应用协议对应的应用软件并运行该应用软件产生网络流量,然后提取该网络流量的特 征,得到应用协议与网络流量特征的对应关系从而形成应用协议特征识别规则,添加到特 征数据库中。当网络流量经过时,提取该网络流量的特征,并与特征数据库中的应用协议特 征识别规则对比,从而识别出该网络流量的应用协议类型,还可以识别出产生该网络流量 的应用软件的名称。
可见,对于未知的网络流量,现有的DPI技术无法对其进行有效分析和控制;并 且,在不知道产生该网络流量的应用软件时,也不能建立应用协议特征识别规则以更新特 征数据库。从而,当网络中未知流量占比较高时,基于DPI技术的管理系统的分析和控制能 力会明显降低。发明内容
本发明实施例提供一种网络流量特征识别规则的建立方法、识别控制方法及装置。
一种网络流量特征识别规则的建立方法,包括
分析中心服务器接收网络流量样本;
获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中,所述 流量特征包括标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个;
当所述流量特征包含的特征参量达到相应阈值时,确定该网络流量属于所述相应 阈值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则;
将所述特征识别规则下发给网络流量设备。
一种网络流量识别控制方法,包括
采集网络流量样本;
根据预设的特征提取方式提取采集到的网络流量样本的流量特征;
根据特征识别规则对采集到的网络流量样本的流量特征进行识别,获得所述网络 流量样本的类别,所述特征识别规则从分析中心服务器获得;
根据所述类别获取预设的控制策略,并根据所述控制策略对所述网络流量进行相 应操作;
当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所 述网络流量样本上传给分析中心服务器。
一种分析中心服务器,包括
样本库单元,用于接收网络流量样本;
分析引擎单元,用于获取所述网络流量样本的载荷数据,从所述载荷数据中提取 流量特征,其中,所述流量特征包括标识特征、基本特征、行为特征、安全特征和内容特征 中的至少一个;
应用知识库单元,用于当所述流量特征包含的各个特征参量达到相应阈值时,确 定该网络流量属于所述相应阀值对应的类别,将所述流量特征与类别对应存储,以生成特 征识别规则,将所述特征识别规则下发给网络流量设备。
一种网络流量设备,包括分析单元,分别与所述分析单元连接的采样单元、控制 单元和知识库管理单元,以及与所述控制单元连接的策略单元;
所述知识库管理单元,用于从分析中心服务器获取网络流量的特征识别规则;
所述采样单元,用于采集网络流量样本,当根据特征识别规则不能对采集到的网 络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器;
所述分析单元,用于根据预设的特征提取方式提取采集到的网络流量样本的流量 特征,并根据特征识别规则对采集到的网络流量样本进行识别,获得所述网络流量样本的 类别;
所述控制单元,用于根据所述类别从所述策略单元中获取预设的控制策略,并根 据所述控制策略对所述网络流量进行相应操作。
采用本发明实施例提供的网络流量特征识别规则的建立方法,分析中心服务器提 取网络流量的流量特征后,可以按照流量特征的各个特征参量与阈值的比较建立特征识别规则,用于对网络流量进行分类;从而解决了现有技术中需要预先安装并运行产生该网络 流量的应用软件,才能建立相应的特征识别的规则的问题,通过将动态更新的特征识别规 则下发给网络流量设备,可以持续提高网络流量设备对网络流量的分析识别及控制能力。
图1是本发明提供的网络流量特征识别规则的建立方法实施例的示意图2是本发明提供的网络流量识别控制方法实施例的示意图3是本发明提供的分析中心服务器实施例的示意图4是本发明提供的网络流量设备实施例的示意图5是本发明方法实施例中Appflow流量特征的格式的示意图6是本发明提供的网络流量控制系统实施例的示意图。
具体实施方式
本发明实施例提供一种网络流量特征识别规则的建立方法和一种网络流量识别 控制方法。本发明实施例还提供相应的装置。以下分别进行详细说明。
请参考图1,本发明实施例提供一种网络流量特征识别规则的建立方法,应用于分 析中心服务器。该分析中心服务器与网络流量设备远程连接,可用于对网络流量设备遇到 的未知网络流量进行流量特征提取。该方法包括
101、分析中心服务器接收网络流量样本。
分析中心服务器接收的未知网络流量样本可以是网络流量设备上传的,也可以是 用户上传的。
102、获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中, 所述流量特征包括标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个。
所述流量特征包括标识特征、基本特征、行为特征、安全特征和内容特征中的至 少一个。
对于载荷数据是相对于需要提取的特征而言的,例如,对于所述流量特征属于会 话层、表示层、应用层的字段,需要获取会话层、表示层、应用层的数据,而这部分数据对应 于传输层报文的载荷数据。
流量特征提取方式由人工预先设置,分析中心服务器可以按照该特征提取方式直 接对网络流量的报文数据等进行挖掘提取出有用的信息,例如预设提取安全特征和内容 特征,以判断该流量是否属于加密视频流量。在某些情况下,例如根据预设的特征提取方式 不能提取到有效地流量特征时,可以采取人工分析或者与人工分析相结合的方式,提取未 知网络流量样本的流量特征。
103、当流量特征包含的各个特征参量达到相应阈值时,确定该网络流量属于所述 相应阀值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则。
分析中心服务器可以设定各种阈值对网络流量进行特征刻画,建立特征识别规 则。流量特征包含多个特征参量,可以为每个特征参量设定一个或者一组阈值,当一个或者 多个特征参量达到相应的阈值时,就可以确定该网络流量属于相应的类别。可以定义各种 适于实际的类别,而不必仅仅按照应用协议的大类或者小类名称对网络流量进行分类。例如,可以设置一个带宽占用阈值,在带宽占用值超多该带宽占用阈值时,将该网络流量分入 带宽消耗类别。
104、将特征识别规则下发给网络流量设备。
该特征识别规则用于下发给网络流量设备,使网络流量设备可以按照特征识别规 则识别网络流量。
在一个实施例中,步骤102中预设的特征提取方式可以是
a、提取所述网络流量样本的源IP地址、目的IP地址、源端口、目的端口、IP层协 议类型。
可以采用现有的NetFlow分析技术提取对应于OSI参考模型中第2到4层网络流 量的信息,提取到的NetFlow特征包括源IP地址、目的IP地址、源端口、目的端口、IP层协 议类型等。
b、根据所述源IP地址和与目的IP地址,结合已知的第三方数据库提取用户属性, 所述第三方数据库中保存有用户属性与IP地址的对应关系。
用户属性可以包括用户名、手机号、用户ID、组织机构属性、地理区域属性等特征 中的至少一个。往往在第三方的数据库中会保存有源IP地址与用户属性的对应关系列表 等,可以通过获取的源IP地址从已知的第三方数据库中提取用户属性。
C、从所述网络流量样本包含的传输控制协议TCP的协议栈指纹,或者超文本传输 协议HTTP和文件传输协议FTP的版本字段,或者报文数据包含的关键字段中,提取终端与 服务器应用环境属性。
终端与服务器应用环境属性包括终端与服务器采用的软件的类型与版本,例如终 端采用的操作系统、浏览器等软件的类型及版本,以及服务器采用的操作系统等软件的类 型及其版本等。网络流量包含的传输控制协议(TransmissionControl Protocol, TCP)的 协议栈指纹包括一些独一无二的特性,通过这些特征,可以准确定位操作系统类型及其版 本。也可以利用网络流量中包含的已知协议例如超文本传输协议(HyperText Transfer Protocol,HTTP)和文件传输协议(File Transfer Protocol,FTP)的版本字段来获取终端 与服务器应用环境属性。还可以直接从网络流量的报文数据包含的各种信息例如关键字段 等以获取终端与服务器应用环境属性。
d、将所述网络流量样本包含的报文数据与预先建立的应用报文数据库进行比较, 以从所述应用报文数据库保存的报文数据与标识特征的对应关系中,提取标识特征。
可以预先建立一个应用报文数据库,其中保存有各种常用的应用报文数据及其标 识特征。将网络流量样本与该应用报文数据库进行对比可以获取大部分网络流量的标识特 征,标识特征包括应用协议的类型、名称及版本号等。还可以直接从网络流量的报文数据中 包含的各种信息例如关键字段等以获取标识特征。
e、从所述未知网络流量样本中提取基本特征、行为特征、安全特征和内容特征。
可以直接从网络流量的报文数据包含的各种信息例如关键字段以获取基本特征、 行为特征、安全特征和内容特征等。其中,基本特征可以包括连接数统计、端口号域值范 围、是否使用动态端口等;行为特征可以包括客户端与服务器端的连接交互方式、带宽消 耗规律、是否传输文件、是否传输音频、是否传输视频等;安全特征包括是否加密传输、是 否压缩传输、是否有其它逃避识别的特性等;内容特征包括传输的文件名、文件性质、文件内容等,其中文件内容可以是普通文件、音频、视频、图片、脚本、可执行二进制文件等。
提取了上述各种流量特征后,就可以生成特定格式的流量特征,本发明中将该特 定格式的流量特征称为Appflow流量特征。请参考图5,Appflow流量特征包括=Appflow 版本号、Netflow特征和应用层特征,其中应用层特征包括用户属性、终端与服务器端应用 属性和应用流量属性,应用流量属性又包括标识特征、基本特征、行为特征、安全特征和内 容特征。Appflow流量特征包括了采用上述提取方法能够提取到的未知网络流量的尽量多 的各种特征,从而方便识别该未知网络流量的类别,方便对该未知网络流量进行精细的控 制。可以解决现有技术中,当用户不熟悉某大类或者某小类的网络流量的详细特征时,就不 能制定适当的控制策略的问题。
在一个实施例中,步骤103中将特征识别规则下发给所述网络流量设备的步骤具 体可以是包括
将建立好的特征识别规则存储在分析中心服务器的应用知识库中;
在收到网络流量设备发送的更新请求时,将所述应用知识库中的特征识别规则下 发给所述网络流量设备。
在其它实施例中,分析中心服务器也可以定期发送更新的特征识别规则给各个网络流量设备。
应用知识库是分析中心服务器上的一个数据库,存储所有建立好的特征识别规 则。各个网络流量设备可以将其本地知识库和分析中心服务器上的应用知识库进行比较, 判断版本是否相同,在版本不同时发送更新请求给分析中心服务器。分析中心服务器收到 更新请求,就会将网络流量设备的本地知识库中缺少的特征识别规则下发给网络流量设备。
采用本发明实施例提供的网络流量特征识别规则的建立方法,分析中心服务器提 取网络流量的流量特征后,可以按照流量特征的各个特征参量与阈值比较建立特征识别规 则,用于对网络流量进行分类,解决了现有技术中需要预先安装并运行产生该网络流量的 应用软件,才能建立相应的特征识别的规则的问题,通过将动态更新的特征识别规则下发 给网络流量设备,可以持续提高网络流量设备对网络流量的分析识别及控制能力;还可以 定义各种适于实际的类别,而不必仅仅按照应用协议的大类或者小类名称对网络流量进行 分类。
请参考图2,本发明实施例还提供一种网络流量识别控制方法,应用于网络流量设 备;该网络流量设备可以采用透明方式、路由方式、或者前两者的混合方式直路部署在网络 中,也可以旁路部署在网络中;并且网络流量设备与中心分析服务器远程连接;其中,直路 部署是指网络流量设备作为中转站,参与网络流量的接收和转发,旁路部署是指网络流量 设备仅获取复制的网络流量,不参与网络流量的转发。该方法包括以下步骤
201、网络流量设备采集网络流量样本。
202、根据预设的特征提取方式提取采集到的网络流量样本的流量特征。
所述流量特征包括用户属性、终端与服务器端应用属性和应用流量属性,所述应 用流量属性包括标识特征、基本特征、行为特征、安全特征和内容特征。
本步骤中,按照预设的特征提取方式提取网络流量样本的流量特征,以便于识别 该网络流量,提取到的流量特征愈多,则网络流量的可识别性就愈强。8
203、根据所述特征识别规则对采集到的网络流量样本的流量特征进行识别,获得 所述网络流量样本的类别,所述特征识别规则从分析中心服务器获得。
将采集到的流量特征与本地知识库中的特征识别规则进行对比,就可以识别出该 网络流量样本的类别。并且可以根据特征识别规则输出特征格式的流量特征,即Appflow 流量特征。
特征识别规则是分析中心服务器建立的,对应于各个类别的网络流量,随着处理 的网络流量类别的增加,特征识别规则也在不断的增加。网络流量设备可以接收分析中心 服务器定期下发的特征识别规则;也可以在需要时或者定期向分析中心服务器发送更新请 求,接收所述分析中心服务器在收到更新请求后下发的特征识别规则。例如,网络流量设 备可以定期将其本地知识库和分析中心服务器上的应用知识库进行比较,判断版本是否相 同,在版本不同时发送更新请求给分析中心服务器;分析中心服务器收到更新请求,就会将 网络流量设备中缺少的特征识别规则下发给网络流量设备。网络流量设备将收到的特征识 别规则保存在本地知识库中。
204、根据所述类别获取预设的控制策略,并根据所述控制策略对所述网络流量进 行相应操作。
控制策略是用户预先建立的,可以为每个类别的网络流量建立一种控制策略。网 络流量设备在识别出网络流量的类别后,就可以根据该类别获取相应的控制策略,并按照 该控制策略对该网络流量执行相应的操作,例如阻断、放行、限流、干扰、审计等。
若本地存储中已有该类别网络流量的控制策略,则可以从本地存储中查询并获取 预设的控制策略;若本地存储中没有该类别网络流量的控制策略,则可以将所述能够识别 的网络流量样本的流量特征及类别输出到显示装置,供用户分析以制定控制策略,再接收 用户输入的用于控制所述能够识别的网络流量的控制策略,并存储所述控制策略。
205、当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时, 将所述网络流量样本上传给分析中心服务器。
对于不能识别的网络流量样本,网络流量设备可以将该不能识别的网络流量上传 给分析中心服务器,由该分析中心服务器对其进行分类,建立特征识别规则,请求接收分析 中心服务器的该特征识别规则,以对后续同样的网络流量进行识别。
在一个实施例中,步骤202中预设的特征提取方式可以与上一实施例所述的特征 提取方式相同,包括所述步骤a、b、c、d、e,此处不再详述。
需要说明的是,特定格式的Appflow流量特征,如图5所示,包括=Appflow版本 号、Netflow特征和应用层特征,其中应用层特征包括用户属性、终端与服务器端应用环境 属性和应用流量属性,应用流量属性又包括标识特征、基本特征、行为特征、安全特征和内 容特征。具体如下
[1]名称AppFlow
[2]版本头格式
[3]NetFlow特征为OSI参考模型中第2-4层特征,遵守IP数据流信息输出(IP Flow Information Export, IPFIX)定义(兼容 NetFlow 格式)
[4]应用层特征,如下
[4. 1]用户属性可以包括用户名、手机号、用户ID、组织机构属性、地理区域属性等特征,例如格式可以为{用户标识符(user identifier, UID) =¥,用户名称=¥,用户 位置(Location) =V,…}
[4. 2]终端与服务器端应用环境属性可以包括终端采用的操作系统、浏览器等 软件的类型及版本,以及服务器采用的操作系统等软件的类型及其版本等,例如格式可以 为{操作系统(Operating System, OS)类型=V,OS版本号=V,…}
[4. 3]应用流量属性可以按响应时序排列,还可把应用端的连接关系表达出来, 如下所示
标识特征{应用协议类型=V,应用协议名称=V,应用协议版本号=V,···}
基本特征{连接数=V,端口号域值=V,动态端口 =V,···}
行为特征{动态端口 = V,连接交互模式=V,带宽消耗倾向=V,文件传输=V, 语音传输=V,视频传输=V,···}
安全特征{加密=V,压缩=V,逃避识别=V,…}
内容特征{文件=V,图像=V,视频=V,···}
Appflow流量特征包括了采用上述提取方法能够提取到的未知网络流量的尽量多 的各种特征,从而方便识别该未知网络流量的类别,方便对该未知网络流量进行精细的控 制。
在一个实施例中,步骤201之前还包括
建立网络流量的流表和/或会话表,并利用所述流表和/或会话表采网络流量样 本。
可以为网络流量建立流表和/或会话表,并添加流和/或会话标识,以方便网络流 量进行采样。
在该实施例的基础上,在为网络流量建立流表和/或会话表之前还可以包括一个 预处理步骤,包括对网络流量进行IP报文分片重组和TCP流重组,以方便建立流表和/或会话表。
采用本发明实施例提供的网络流量识别控制方法,提取网络流量的流量特征后, 可以按照特征识别规则识别其类别,该类别可以是特征识别规则定义的各种类别,而解决 了现有技术中网络流量仅能按照应用协议的大类或者小类名称进行分类的局限,从而可以 实现对网络流量的精细化控制;并且由于能够将不能识别的网络流量发给分析中心服务器 并获取分析中心服务器下发的特征识别规则,从而可以持续提高对网络流量的识别和控制 能力。
在一个应用场景中,假定出现了一种新的软件,采用的应用协议类型是在P2P基 础上的改进。则按照现有技术,由于该新的软件的网络流量的协议类型不同于现有的P2P, 则不能识别该网络流量;而采用本发明实施例的技术方案,不必局限于识别协议类型,可以 按照其具体的流量特征进行分类识别,从而识别出该网络流量属于带宽消耗类别,进而对 其进行相应的流量控制。
请参考图3,本发明实施例还提供一种分析中心服务器,包括分析引擎单元302, 以及分别与分析引擎单元302连接的样本库单元301和应用知识库单元303。其中
样本库单元301,用于接收网络流量样本。
分析引擎单元302,用于获取网络流量样本的载荷数据,从载荷数据中提取流量特征,其中,流量特征包括标识特征、基本特征、行为特征、安全特征和内容特征中的至少一 个。
应用知识库单元303,用于当所述流量特征包含的各个特征参量达到相应阈值时, 确定该网络流量属于所述相应阀值对应的类别,将所述流量特征与类别对应存储,以生成 特征识别规则,并将所述特征识别规则下发给所述网络流量设备。
在一个实施例中,所述应用知识库单元303进一步包括
存储单元,用于存储所述特征识别规则;
接收发送单元,用于接收所述网络流量设备发送的更新请求,将存储的特征识别 规则下发给所述网络流量设备。
本发明实施例提供的分析中心服务器,提取未知网络流量的流量特征后,可以按 照流量特征的各个特征参量与阈值的比较建立特征识别规则,用于对网络流量进行分类, 解决了现有技术中需要预先安装并运行产生该网络流量的应用软件,才能建立相应的特征 识别的规则的问题,通过将动态更新的特征识别规则下发给网络流量设备,可以持续提高 网络流量设备对网络流量的分析识别及控制能力;还可以定义各种适于实际的类别,而不 必仅仅按照应用协议的大类或者小类名称对网络流量进行分类。
请参考图4,本发明实施例还提供一种网络流量设备,包括分析单元401,分别与 所述分析单元401连接的采样单元402、控制单元403和知识库管理单元404,以及与所述 控制单元403连接的策略单元405。其中
所述知识库管理单元404,用于从分析中心服务器获取网络流量的特征识别规则。
所述采样单元402,用于采集网络流量样本,当根据特征识别规则不能对采集到的 网络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器;。
所述分析单元401,用于根据预设的特征提取方式提取采集到的网络流量样本的 流量特征,并根据特征识别规则对采集到的网络流量样本进行识别,获取所述网络流量样 本的类别。其中,所述流量特征包括应用环境属性、标识特征、基本特征、行为特征、安全特 征和内容特征。
所述控制单元403,用于根据所述类别从所述策略单元405中获取预设的控制策 略,并根据所述控制策略对所述网络流量进行相应操作。
在一个实施例中,采样单元402,具体用于接收网络流量,建立网络流量的流表和 /或会话表,并利用所述流表和/或会话表采集网络流量样本。其中,建立网络流量的流表 和/或会话表,并添加流和/或会话标识,是为了方便对网络流量进行采样。
在该实施例的基础上,网络流量设备还可以包括一个预处理单元,用于对网络流 量进行IP报文分片重组和TCP流重组,以方便建立流表和/或会话表。
在一个实施例中,所述分析单元401包括一个加载于其上的本地知识库,所有的 特征识别模块都存储在该本地知识库中。
在一个实施例中,所述知识库管理单元404进一步包括
发送接收单元,用于向分析中心服务器发送更新请求,并接收所述分析中心服务 器下发的特征识别规则。
具体的,知识库管理单元404可以周期性查看本地知识库与分析中心服务器的应 用知识库的版本差异,在版本有差异时,同步两个知识库,即向分析中心服务器发送更新请求,并将接收到的特征识别规则存储在本地知识库中,完成本地知识库的同步更新。知识 库管理单元404还可以用于对本地知识库做完整性校验,以保证本地知识库的安全。
该网络流量设备可以采用透明方式、路由方式、或者前两者的混合方式直路部署 在网络中,也可以旁路部署在网络中;并且网络流量设备与中心分析服务器远程连接;其 中,直路部署是指网络流量设备作为中转站,参与网络流量的接收和转发,旁路部署是指网 络流量设备仅获取复制的网络流量,不参与网络流量的转发。
具体的,该网络流量设备具体部署于网络中的网关位置,所包含的各个单元可以 部署于同一台物理设备上,也可以分布式部署于多台物理设备上。在流量控制场合,可以独 立采用本发明实施例的网络流量设备;也可以将本发明实施例提供的网络流量设备与现有 的网络流量设备串接部署,对现有的网络流量设备未能识别的网络流量进一步识别;还可 以将提取生成的Appflow流量特征输出该第三方设备。
本发明实施例提供的网络流量设备,提取网络流量的流量特征后,可以按照特征 识别规则识别其类别,该类别可以是特征识别规则定义的各种类别,而解决了现有技术中 网络流量仅能按照应用协议的大类或者小类名称进行分类的局限,从而可以实现对网络流 量的精细化控制;并且由于能够将不能识别的网络流量发给分析中心服务器并获取分析中 心服务器下发的特征识别规则,从而可以持续提高对网络流量的识别和控制能力。
请参考图6,本发明实施例提供一种网络流量控制系统,包括分析中心服务器 601和通过网络与该分析中心服务器601连接的多个网络流量设备602。
分析中心服务器601,用于接收网络流量样本;获取所述网络流量样本的载荷数 据,从所述载荷数据中提取流量特征,其中,所述流量特征包括标识特征、基本特征、行为 特征、安全特征和内容特征中的至少一个,当所述流量特征包含的各个特征参量达到相应 阈值时,确定该网络流量属于所述相应阀值对应的类别,并将所述特征识别规则下发给所 述网络流量设备。
网络流量设备602,用于采集网络流量样本;根据预设的特征提取方式提取采集 到的网络流量样本的流量特征,根据所述特征识别规则对采集到的网络流量样本的流量特 征进行识别,获得所述网络流量样本的类别,所述特征识别规则从分析中心服务器获得;根 据所述类别获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作;当 根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网络流量 样本上传给分析中心服务器。
所述流量特征包括用户属性、终端与服务器端应用属性和应用流量属性,所述应 用流量属性包括标识特征、基本特征、行为特征、安全特征和内容特征。
本发明实施例提供的网络流量控制系统,可以按照流量特征的各个特征参量与阈 值的比较建立特征识别规则,用于对网络流量进行分类,解决了现有技术中需要预先安装 并运行产生该网络流量的应用软件,才能建立相应的特征识别的规则的问题;可以按照特 征识别规则识别网络流量类别,该类别可以是特征识别规则定义的各种类别,解决了现有 技术中网络流量仅能按照应用协议的大类或者小类名称进行分类的局限,从而可以实现对 网络流量的精细化控制。
采用本发明实施例提供的技术方案
分析中心服务器无需预先安装并运行产生该网络流量的应用软件就可以提取网12络流量特征并建立特征识别规则,可以定义各种适于实际的类别,而不必仅仅按照应用协 议的大类或者小类名称进行分类。
网络流量设备可以将未知网络流量发给分析中心服务器,获取分析中心服务器分 析后下发的特征识别规则,实时更新本地的特征识别规则,因而,可以持续提高网络流量设 备对网络流量的识别控制能力;多台网络流量设备在连接一台分析中心服务器时,还可以 共享分析中心服务器的应用知识库。
提供了一种可以兼容Netflow与IPFIX的,描述OSI参考模型中第2到7层网络 流量信息的Appflow流量特征格式,描述了用户属性、终端与服务器端应用属性和应用流 量属性等多种特征,从而用户可以对网络流量制定更详细的控制策略,进行更精细的控制。
本以上对本发明实施例所提供的网络流量特征识别规则的建立方法、网络流量识 别控制方法以及分析中心服务器和网络流量设备以及网络流量控制系统进行了详细介绍, 本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是 用于帮助理解本发明的方法及其核心思想,不应理解为对本发明的限制。
权利要求
1.一种网络流量特征识别规则的建立方法,其特征在于,包括 分析中心服务器接收网络流量样本;获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中,所述流量 特征包括标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个;当所述流量特征包含的特征参量达到相应阈值时,确定该网络流量属于所述相应阈值 对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则; 将所述特征识别规则下发给网络流量设备。
2.根据权利要求1所述的方法,其特征在于,所述获取所述网络流量样本的载荷数据, 从所述载荷数据中提取流量特征,包括从所述网络流量样本包含的传输控制协议TCP/IP的协议栈指纹,或者超文本传输协 议HTTP或文件传输协议FTP的服务器端与客户端软件版本字段,或者报文数据包含的关键 字段中,提取终端与服务器应用环境属性,所述终端与服务器应用环境属性包括终端与服 务器采用的软件的类型与版本;将所述网络流量样本包含的报文数据与预先建立的应用报文数据库进行比较,以从所 述应用报文数据库保存的报文数据与标识特征的对应关系中,提取标识特征; 从所述网络流量样本中提取基本特征、行为特征、安全特征和内容特征。
3.根据权利要求1所述的方法,其特征在于,所述将所述特征识别规则下发给所述网 络流量设备包括将所述特征识别规则存储在分析中心服务器的应用知识库中; 在收到所述网络流量设备发送的更新请求时,将所述应用知识库中的特征识别规则下 发给所述网络流量设备。
4.一种网络流量识别控制方法,其特征在于,包括 采集网络流量样本;根据预设的特征提取方式提取采集到的网络流量样本的流量特征; 根据特征识别规则对采集到的网络流量样本的流量特征进行识别,获得所述网络流量 样本的类别,所述特征识别规则从分析中心服务器获得;根据所述类别获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作;当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网 络流量样本上传给分析中心服务器。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括获取特征识别规则的步 骤,具体为向分析中心服务器发送更新请求;接收所述分析中心服务器下发的特征识别规则。
6.根据权利要求4所述的方法,其特征在于,所述根据预设的特征提取方式提取采集 到的网络流量样本的流量特征包括提取所述网络流量样本的源IP地址、目的IP地址、源端口、目的端口、IP层协议类型; 根据所述源IP地址与目的IP地址,结合已知的第三方数据库提取用户属性,所述第三 方数据库中保存有用户属性与IP地址的对应关系,所述用户属性包括用户名、手机号、用户ID、组织机构属性、地理区域属性中的至少一个;从所述网络流量样本包含的传输控制协议TCP/IP的协议栈指纹,或者超文本传输协 议HTTP或文件传输协议FTP的服务器端与客户端软件版本字段,或者报文数据包含的关键 字段中,提取终端与服务器应用环境属性,所述终端与服务器应用环境属性包括终端与服 务器采用的软件的类型与版本;将所述网络流量样本包含的报文数据与预先建立的应用报文数据库进行比较,以从所 述应用报文数据库保存的的报文数据与标识特征的对应关系中,提取标识特征;从所述未知网络流量样本的报文数据中提取基本特征、行为特征、安全特征和内容特征。
7.根据权利要求4所述的方法,其特征在于,所述采集网络流量样本包括建立网络流量的流表和/或会话表,利用所述流表和/或会话表采集网络流量样本。
8.一种分析中心服务器,其特征在于,包括样本库单元,用于接收网络流量样本;分析引擎单元,用于获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量 特征,其中,所述流量特征包括标识特征、基本特征、行为特征、安全特征和内容特征中的 至少一个;应用知识库单元,用于当所述流量特征包含的各个特征参量达到相应阈值时,确定该 网络流量属于所述相应阀值对应的类别,将所述流量特征与类别对应存储,以生成特征识 别规则,将所述特征识别规则下发给网络流量设备。
9.一种网络流量设备,其特征在于,包括分析单元,分别与所述分析单元连接的采样 单元、控制单元和知识库管理单元,以及与所述控制单元连接的策略单元;所述知识库管理单元,用于从分析中心服务器获取网络流量的特征识别规则;所述采样单元,用于采集网络流量样本,当根据特征识别规则不能对采集到的网络流 量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器;所述分析单元,用于根据预设的特征提取方式提取采集到的网络流量样本的流量特 征,并根据特征识别规则对采集到的网络流量样本进行识别,获得所述网络流量样本的类 别;所述控制单元,用于根据所述类别从所述策略单元中获取预设的控制策略,并根据所 述控制策略对所述网络流量进行相应操作。
全文摘要
本发明公开了一种网络流量特征识别规则的建立方法,包括分析中心服务器接收网络流量样本,获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,当所述流量特征包含的特征参量达到相应阈值时,确定该网络流量属于所述相应阈值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则,将所述特征识别规则下发给网络流量设备。采用本发明实施例方法,分析中心服务器无需预先安装并运行产生该网络流量的应用软件,就可以提取网络流量的流量特征,建立特征识别规则,通过将动态更新的特征识别规则下发给网络流量设备,可以持续提高网络流量设备对网络流量的分析识别及控制能力。
文档编号H04L12/26GK102045363SQ20101061976
公开日2011年5月4日 申请日期2010年12月31日 优先权日2010年12月31日
发明者钱晓斌 申请人:成都市华为赛门铁克科技有限公司