一种网络流量的联动审计设备和方法

文档序号:10615809阅读:357来源:国知局
一种网络流量的联动审计设备和方法
【专利摘要】本发明公开了一种网络流量的联动审计设备,包括确定模块、判断模块、审计模块和存储模块;审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,流量统计模块和内容分析模块相连;本发明构成了一套全面、细粒度审计和控制的全网审计方案,可以提升流量审计设备的性能,能够在进行网络流量审计之前,就根据存储空间中空闲存储空间的情况进行判断,当前是否有足够的存储空间以存储审计得到的网络流量信息,从而能够避免现有技术中网络审计流量信息的丢失。
【专利说明】
一种网络流量的联动审计设备和方法
技术领域
[0001]本发明涉及网络数据处理技术领域,具体是一种网络流量的联动审计设备和方法。【背景技术】
[0002]随着网络的高速发展,网络规模也越来越大,网络中承载的应用与业务也越来越多样化。面对日渐复杂的网络,维护人员通常希望了解网络中承载的业务以及各业务的流量情况,以及内网用户及其流量情况,并据此了解网络的运行情况,以判断网络带宽是否充足、网络带宽的分配是否合理。当出现网络异常时,能够为定位、解决问题提供足够的依据。 因为网络流量审计已经成为网络设备一个不可或缺的功能。
[0003]网络流量审计通常可以分为实时的网络流量审计和历史的网络流量审计两种。其中实时的网络流量审计所代表的是网络当前的流量情况,维护人员可以据此判断当前的网络运行情况以及进行网络故障的跟踪定位;而历史的网络流量审计所代表的是过去一段时间的网络流量情况以及网络流量走势,通常用于事后网络故障原因分析。两种网络流量审计有不同的应用场合,在网络运行情况以及故障定位上担负着不同的责任,通常都是网络设备所必须的。
[0004]流量审计设备是指IDS等对网络流量和内容进行审计的设备,这类设备需要对网络流量中各种类型的报文特征,和网络传输的内容进行识别、统计和分析。一般高速网络审计设备包括两部分功能,一部分是基本的流量统计,比如某个端口、ip、协议的流量计数,另一部分是对网络数据内容的分析。其中,前者的处理过程简单固定,但需要处理所有的数据,后者处理过程复杂但需要处理的数据较少。在高速网络的应用环境中,网络审计对设备性能要求很高。
[0005]现有技术中通常通过两种方法来进行历史网络流量审计。
[0006]1.首先设定一个采样周期的长度,比如10分钟,然后在每个周期内采样设备转发的各种审计对象(如各个业务、各个用户、用户组等等)产生的数据流量大小,并为这些维度生成流量审计记录,保存写入数据库中。假设我们需要审计内网各用户的历史流量信息,则定期采样的信息记录包括了用户分别在两个采样周期内的上行流量和下行流量。
[0007]在实际实施中,维护人员可以根据实际情况增删需要审计的字段信息,比如上行包数,下行包数等。根据获取到的审计信息,维护人员便知道各用户在每个周期的平均流量速率,也可以知道各用户在指定时间范围内的累计流量情况。但是在该方法中,由于采样周期是固定的,而通常情况下,网络中的用户数以及网络承载的业务数都可能随着网络的变化而改变,如果同一个周期需要审计记录的信息量太多,导致超过设备审计处理性能时,就可能发生网络流量审计信息丢失,最终使得网络流量审计提供的信息变得不可靠,最终网络流量审计也就失去了实际的意义。
[0008]2.在上述第一种方法的基础上,根据网络设备的性能自动调整采样周期,调整方式为将本次处理时间与预设的采样周期进行对比,如果本次的处理时间大于预设的采样周期,则调大采样周期,否则调小采样周期,以使得网络设备能够以与实际的数据流量相应的采样周期来进行审计,以避免网络流量的审计信息丢失的问题。但是,该方法根据上一个采样周期的处理时长来调整下一个周期的采样周期的时长,属于事后调整,具有一定的滞后性,在有些情况下还是可能会造成流量审计信息的丢失。
[0009]可见,现有技术中缺乏能够有效解决网络流量审计信息丢失问题的技术方案。
【发明内容】

[0010]本发明的目的在于提供一种灵活性好、处理能力强的网络流量的联动审计设备和方法,以解决上述【背景技术】中提出的问题。
[0011]为实现上述目的,本发明提供如下技术方案:
[0012]—种网络流量的联动审计设备,包括确定模块、判断模块、审计模块和存储模块, 所述确定模块、判断模块、审计模块和存储模块依次相连,所述确定模块用于预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体为获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值;所述判断模块用于在当前预定的审计周期内,根据所述确定模块确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所述确定模块确定的各个审计对象的网络流量信息所需的存储空间之和;所述审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块, 所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块,所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;所述存储模块用于存储所述审计模块统计得到的网络流量信息。
[0013]作为本发明进一步的方案:所述空闲的存储空间为缓存中空闲的存储空间。
[0014]作为本发明进一步的方案:所述存储模块具体用于:根据审计周期与预定的报表生成周期的对应关系,将统计得到的网络流量信息存储到与当前审计周期对应的报表生成周期的审计报表中。
[0015]所述网络流量的联动审计方法,具体步骤如下:[〇〇16](1)网络审计设备进行数据分析,发现目标主机收发的协议端口数据出现情况异常时,经由控制中心向目标主机的审计系统发送联动请求;所述数据分析具体为网络审计设备通过抓包方式进行协议分析或/和流量监视;
[0017](2)在当前预定的审计周期内,根据预先确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和;
[0018](3)在判断得到空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,依次统计各个审计对象在上一个审计周期内产生的网络流量信息,并存储统计得到的网络流量信息;
[0019](4)在判断得到空闲的存储空间小于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,等待预定的等待周期,在等待该预定的等待周期到时后、且空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况,依次统计各个审计对象在上一个审计周期内和等待周期内产生的网络流量信息,并存储统计得到的网络流量信息;
[0020](5)目标主机的审计系统根据统计得到的网络流量信息进行相应的联动处理,并经由控制中心向网络审计设备反馈联动结果;[0021 ](6)网络审计设备根据所述联动结果对目标主机进行控制。[〇〇22]作为本发明再进一步的方案:所述步骤(2)中预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体包括:获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值。
[0023]与现有技术相比,本发明的有益效果是:
[0024]本发明实现了网络审计设备与主机审计系统的通信和联动审计,构成一套全面、 细粒度审计和控制的全网审计方案,可以提升流量审计设备的性能,能够在进行网络流量审计之前,就根据存储空间中空闲存储空间的情况进行判断,当前是否有足够的存储空间以存储审计得到的网络流量信息,从而能够避免现有技术中网络审计流量信息的丢失。【附图说明】
[0025]图1为本发明中网络流量的联动审计设备的结构示意图。【具体实施方式】
[0026]下面结合【具体实施方式】对本专利的技术方案作进一步详细地说明。
[0027]请参阅图1,一种网络流量的联动审计设备,包括确定模块、判断模块、审计模块和存储模块,所述确定模块、判断模块、审计模块和存储模块依次相连,所述确定模块用于预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体为获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值;所述判断模块用于在当前预定的审计周期内,根据所述确定模块确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所述确定模块确定的各个审计对象的网络流量信息所需的存储空间之和;所述审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块,所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块, 所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;所述存储模块用于存储所述审计模块统计得到的网络流量信息。
[0028]所述空闲的存储空间为缓存中空闲的存储空间;所述存储模块具体用于:根据审计周期与预定的报表生成周期的对应关系,将统计得到的网络流量信息存储到与当前审计周期对应的报表生成周期的审计报表中。
[0029]所述网络流量的联动审计方法,具体步骤如下:
[0030](1)网络审计设备进行数据分析,发现目标主机收发的协议端口数据出现情况异常时,经由控制中心向目标主机的审计系统发送联动请求;所述数据分析具体为网络审计设备通过抓包方式进行协议分析或/和流量监视;
[0031](2)在当前预定的审计周期内,根据预先确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和;所述预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体包括:获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内, 每个审计对象的网络流量信息所占用的存储空间的和值的均值;
[0032](3)在判断得到空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,依次统计各个审计对象在上一个审计周期内产生的网络流量信息,并存储统计得到的网络流量信息;
[0033](4)在判断得到空闲的存储空间小于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,等待预定的等待周期,在等待该预定的等待周期到时后、且空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况,依次统计各个审计对象在上一个审计周期内和等待周期内产生的网络流量信息,并存储统计得到的网络流量信息;
[0034](5)目标主机的审计系统根据统计得到的网络流量信息进行相应的联动处理,并经由控制中心向网络审计设备反馈联动结果;
[0035](6)网络审计设备根据所述联动结果对目标主机进行控制。
[0036]所述控制中心与网络审计设备之间的通信方式以及控制中心与主机审计系统之间的通信方式,采用TCP但不限于TCP,控制中心作为监听端,网络审计设备作为发起端,通信包类型包括请求包和响应包为例,更为具体的说明本发明实施例中的方法流程。
[0037]可将本发明方法的主要流程分解为网络审计设备控制流程,控制中心控制流程, 以及代理主机控制流程三部分,并且该三部分流程之间存在联动关系,以下分别详述三部分流程以及其间的联动关系:
[0038]网络审计设备控制流程中,网络审计设备采集数据包,网络审计设备对采集的数据包进行缓冲,网络审计设备分析采集到的数据包,具体通过抓包方式进行协议分析和流量监视,网络审计设备判断目标主机的收发数据情况是否有异常,若有,网络审计设备向目标主机的审计系统发送联动请求,具体可以是发送查询或控制请求包,例如:发现某主机发出或接收的某协议端口的数据不正常,80端口 HTTP、20和21端口的FTP等,可能是主机被安装了本马程序,正在利用某常用端口穿透防火墙正向外网发送数据;或者发现流量有异常; 网络审计设备接收反馈的联动结果,网络审计设备处理联动结果,对该联动结果进行曰志记录或报警等处理,例如:通知管理员对目标主机进行控制,否则进行常规的审计日记记录。
[0039]代理主机控制流程中,主机审计系统启动主机审计服务,主机审计系统连接控制中心,主机审计系统等待控制事件,即等待联动请求,主机审计系统收到联动请求后,进行联动处理;例如:如果为通信端口有异常,则查询与该端口关联的进程信息;如果为流量异常,则统计流量最大的前几个进程的信息;主机审计系统将查询、统计后的结果作为联动结果反馈。
[0040]控制中心控制流程中,控制中心启动主机网络监听,控制中心启动联动网络监听, 控制中心等待联动请求,控制中心收到联动请求后,处理联动事件,得到主机控制事件,控制中心等待主机控制事件分析过程完成,控制中心发送主机控制事件,即发送联动请求,控制中心接收控制事件结果,即接收主机审计系统反馈的查询、统计后的结果,控制中心将控制事件结果整合为联动结果,控制中心向网络审计设备反馈联动结果。
[0041]本发明实现了网络审计设备与主机审计系统的通信和联动审计,构成一套全面、 细粒度审计和控制的全网审计方案,可以提升流量审计设备的性能,能够在进行网络流量审计之前,就根据存储空间中空闲存储空间的情况进行判断,当前是否有足够的存储空间以存储审计得到的网络流量信息,从而能够避免现有技术中网络审计流量信息的丢失。
[0042]上面对本专利的较佳实施方式作了详细说明,但是本专利并不限于上述实施方式,在本领域的普通技术人员所具备的知识范围内,还可以在不脱离本专利宗旨的前提下作出各种变化。
【主权项】
1.一种网络流量的联动审计设备,其特征在于,包括确定模块、判断模块、审计模块和 存储模块,所述确定模块、判断模块、审计模块和存储模块依次相连,所述确定模块用于预 先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体为获取预先为各个 审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定 在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空 间的和值的均值;所述判断模块用于在当前预定的审计周期内,根据所述确定模块确定的 存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于 或等于所述确定模块确定的各个审计对象的网络流量信息所需的存储空间之和;所述审计 模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块 的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的 输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模 块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容 分析模块,所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块, 所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存 器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;所述存储模 块用于存储所述审计模块统计得到的网络流量信息。2.根据权利要求1所述的网络流量的联动审计设备,其特征在于,所述空闲的存储空间 为缓存中空闲的存储空间。3.根据权利要求1所述的网络流量的联动审计设备,其特征在于,所述存储模块具体用 于:根据审计周期与预定的报表生成周期的对应关系,将统计得到的网络流量信息存储到 与当前审计周期对应的报表生成周期的审计报表中。4.采用如权利要求1-3任一所述的网络流量的联动审计设备进行审计的方法,其特征 在于,具体步骤如下:(1)网络审计设备进行数据分析,发现目标主机收发的协议端口数据出现情况异常时, 经由控制中心向目标主机的审计系统发送联动请求;所述数据分析具体为网络审计设备通 过抓包方式进行协议分析或/和流量监视;(2)在当前预定的审计周期内,根据预先确定的存储各个审计对象的网络流量信息所 需的存储空间的大小,判断空闲的存储空间是否大于或等于所确定的各个审计对象的网络 流量信息所需的存储空间之和;(3)在判断得到空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所 需的存储空间之和的情况下,依次统计各个审计对象在上一个审计周期内产生的网络流量 信息,并存储统计得到的网络流量信息;(4)在判断得到空闲的存储空间小于所确定的各个审计对象的网络流量信息所需的存 储空间之和的情况下,等待预定的等待周期,在等待该预定的等待周期到时后、且空闲的存 储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况,依 次统计各个审计对象在上一个审计周期内和等待周期内产生的网络流量信息,并存储统计 得到的网络流量信息;(5)目标主机的审计系统根据统计得到的网络流量信息进行相应的联动处理,并经由 控制中心向网络审计设备反馈联动结果;(6)网络审计设备根据所述联动结果对目标主机进行控制。5.根据权利要求4所述的网络流量的联动审计设备进行审计的方法,其特征在于,所述 步骤(2)中预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体包括: 获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息; 或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息 所占用的存储空间的和值的均值。
【文档编号】H04L12/24GK105978706SQ201610236604
【公开日】2016年9月28日
【申请日】2016年4月14日
【发明人】杨丹
【申请人】丽水市睿鼎知识产权咨询有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1