一種基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法
【專利摘要】本發(fā)明公開了一種基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法���,該方法具體是:步驟1)接收網(wǎng)絡(luò)中的sFlow數(shù)據(jù)���;步驟2)sFlow數(shù)據(jù)解析;步驟3)判斷數(shù)據(jù)類型��,判斷步驟2)中解析后數(shù)據(jù)類型是否屬于流樣本�,如果是則執(zhí)行步驟4),反之則執(zhí)行步驟6)����;步驟4)接收流樣本數(shù)據(jù);步驟5)性能數(shù)據(jù)分析�����,并生成性能安全事件�����;步驟6)接收計數(shù)器樣本數(shù)據(jù);步驟7)網(wǎng)絡(luò)流數(shù)據(jù)分析�,并生成網(wǎng)絡(luò)流安全事件;步驟8)安全事件存儲�����,將步驟5)中所生成的性能安全事件和步驟7)中網(wǎng)絡(luò)流安全事件存儲到數(shù)據(jù)庫中����,并繼續(xù)執(zhí)行步驟1)。本發(fā)明面向大規(guī)模網(wǎng)絡(luò)�,通過sFlow所含豐富的信息實現(xiàn)了對網(wǎng)絡(luò)的自動化安全分析����。
【專利說明】—種基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)安全分析方法,特別涉及一種基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法��。
【背景技術(shù)】
[0002]在現(xiàn)有網(wǎng)絡(luò)安全分析中��,由于網(wǎng)絡(luò)運行狀況瞬息萬變�����,復(fù)雜性和不確定性也隨之增加�����,使得其中頻繁地對大量數(shù)據(jù)信息處理過程給網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全分析極大負(fù)擔(dān)。
[0003]現(xiàn)有技術(shù)中����,針對以上問題現(xiàn)有的對網(wǎng)絡(luò)安全實時或近實時的分析方法主要基于三種常見的協(xié)議(SNMP、NetFlow和sFlow)實現(xiàn)的�。如王宏磊發(fā)表的“王宏磊.SNMP安全態(tài)勢信息獲取及分析技術(shù)[D].哈爾濱工程大學(xué)碩士學(xué)位論文.2010:30-47頁”,提出了一種基于SNMP網(wǎng)絡(luò)安全態(tài)勢信息分析技術(shù)���,該技術(shù)通過對判定樹挖掘算法的研究與改進�����,并依賴異常信息規(guī)則庫和網(wǎng)絡(luò)流量信息變化���,從而實現(xiàn)對網(wǎng)絡(luò)安全的分析。
[0004]現(xiàn)有技術(shù)中�����,如賈冠昕����,楊波,陳貞翔,彭立志發(fā)表的“賈冠昕��,楊波����,陳貞翔,彭立志.基于NetFlow時間序列的網(wǎng)絡(luò)異常檢測[J].計算機工程與應(yīng)用.2008���,44(24): 128-131頁”���,提出了一種基于NetFlow時間序列滑動窗口檢測網(wǎng)絡(luò)異常的方法,該方法利用網(wǎng)絡(luò)流量在正常運行的情況下具有一定的周期性���、穩(wěn)定性的特性,從而檢測產(chǎn)生異常波動的流量�,達(dá)到對網(wǎng)絡(luò)異常的檢測。
[0005]現(xiàn)有技術(shù)中��,如李彭軍�、張海、郭文明發(fā)表的“李彭軍�,張海,郭文明.基于sFlow技術(shù)的園區(qū)網(wǎng)蠕蟲病毒偵測系統(tǒng)[J].計算機工程與設(shè)計.2007, 28(2):346-348頁”����,提出了一種基于sFlow技術(shù)的園區(qū)網(wǎng)蠕蟲病毒偵測系統(tǒng)���,給出了利用sFlow數(shù)據(jù)中的IP地址信息和MAC地址信息相結(jié)合,使該系統(tǒng)能夠快速偵測和定位已感染蠕蟲病毒的計算機�����,并結(jié)合對網(wǎng)絡(luò)流量的檢測���,從而達(dá)到了全網(wǎng)監(jiān)控和快速定位偽造IP地址的病毒源���。
[0006]然而,由于SNMP協(xié)議采用輪詢的機制進行采集并且信息大部分屬于接口方面的數(shù)據(jù)�����,缺少網(wǎng)絡(luò)層方面的數(shù)據(jù)�,采集信息比較片面;而NetFlow協(xié)議由于需要接收每一個數(shù)據(jù)包��,雖然在網(wǎng)絡(luò)中流量小的時候效果比較好�����,但是當(dāng)流量非常大的時候數(shù)據(jù)的丟包率就比較高;故這兩種協(xié)議不能很好地應(yīng)用于大規(guī)模網(wǎng)絡(luò)環(huán)境��。不同于Netflow, sFlow采用了采樣模式�,sFlow協(xié)議支持基于端口、IP地址�����、IP子網(wǎng)�、服務(wù)級別、SNMP計數(shù)����、TCP、UDP或ICMP流量等第二層到第七層數(shù)據(jù)包及字節(jié)計數(shù)���;并且在網(wǎng)絡(luò)中流量較大的時候其誤差率較小和具有“一直在線”的特點���,故sFlow非常適合大規(guī)模網(wǎng)絡(luò)��。但現(xiàn)有的基于sFlow的網(wǎng)絡(luò)安全分析主要針對的是網(wǎng)絡(luò)流量和幾種常見異常的分析�,這使得sFlow其他方面的信息基本沒有應(yīng)用。因此���,解決將sFlow應(yīng)用于大規(guī)模網(wǎng)絡(luò)和通過sFlow所含豐富的信息來對網(wǎng)絡(luò)進行安全分析是當(dāng)前急需解決的技術(shù)問題�。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的在于提供一種面向大規(guī)模網(wǎng)絡(luò),通過sFlow所含豐富的信息來對網(wǎng)絡(luò)進行自動化安全分析的基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法��。[0008]為了實現(xiàn)上述目的����,本發(fā)明的技術(shù)方案包括下列步驟:
[0009]I)接收接收網(wǎng)絡(luò)中的sFlow數(shù)據(jù);
[0010]2) sFlow數(shù)據(jù)解析�����,利用sFlow協(xié)議官方所定義的各字段含義和字節(jié)數(shù)來解析步驟I)中所接收到的sFlow數(shù)據(jù)����;
[0011]3)判斷數(shù)據(jù)類型,判斷步驟2)中解析后數(shù)據(jù)類型是否屬于流樣本��,如果是則執(zhí)行步驟4)����,反之則執(zhí)行步驟6);
[0012]4)接收流樣本數(shù)據(jù),接收流樣本(Flow Sample和Expanded Flow Sample)中包含的所有數(shù)據(jù);
[0013]5)性能數(shù)據(jù)分析��,對步驟4)中所解析后的計數(shù)器樣本中包含的所有數(shù)據(jù)采用一種性能分析方法來進行分析��,并生成性能安全事件;
[0014]6)接收計數(shù)器樣本數(shù)據(jù)����,計數(shù)器樣本(Counter Sample和Expanded CounterSample)中包含的所有數(shù)據(jù);
[0015]7)網(wǎng)絡(luò)流數(shù)據(jù)分析���,對步驟6)中所解析后的流樣本中包含的所有數(shù)據(jù)采用一種網(wǎng)絡(luò)流分析方法來進行分析���,并生成網(wǎng)絡(luò)流安全事件;
[0016]8)安全事件存儲���,將步驟5)中所生成的性能安全事件和步驟7)中網(wǎng)絡(luò)流安全事件存儲到數(shù)據(jù)庫中�,并繼續(xù)執(zhí)行步驟I)���。
[0017]進一步的�����,所述的步驟5)性能數(shù)據(jù)分析�����,其中還包含一種性能分析方法���,包括下列步驟:
[0018](I)接收計數(shù)器樣本中包含的所有數(shù)據(jù);
[0019](2)判斷步驟(I)中計數(shù)器樣本中包含的所有數(shù)據(jù)中的接口狀態(tài)位(ifStatus)是否為3�,如果是則進入步驟(3),否則接口狀態(tài)異常并進入步驟(5)���;
[0020](3)對步驟(2)中判斷完的計數(shù)器樣本中包含的所有數(shù)據(jù)進行多項性能數(shù)據(jù)的計算�;其中多項性能數(shù)據(jù)包括=CPU使用率(5秒鐘�����、I分鐘和5分鐘)���、當(dāng)前內(nèi)存空閑率�����、當(dāng)前接口利用率����、輸入輸出丟包率和輸入輸出數(shù)據(jù)差錯率����;
[0021](4)判斷步驟(3)中所計算的多項性能數(shù)據(jù)是否處于既定正常閾值內(nèi)���,如果是則性能正常并進入步驟(5),反之則性能異常并進入步驟(5)��,其中正常閾值的確定根據(jù)長期對網(wǎng)絡(luò)的運行性能數(shù)據(jù)進行監(jiān)測分析所得到的綜合值����;
[0022](5)將分析結(jié)果綜合成性能安全事件。
[0023]進一步的���,所述的步驟7)網(wǎng)絡(luò)流數(shù)據(jù)分析���,其中還包含一種網(wǎng)絡(luò)流分析方法,包括下列步驟:
[0024](I)接收流樣本中包含的所有數(shù)據(jù)��;
[0025](2)判斷步驟(I)中流樣本中包含的所有數(shù)據(jù)中的源地址是否為合法地址�����,如果是則進入步驟(3 )���,否則源地址不合法并進入步驟(7 );
[0026](3)對步驟(2)中判斷完的流樣本中包含的所有數(shù)據(jù)進行按七元組信息分別進行數(shù)據(jù)統(tǒng)計計數(shù)�����,數(shù)據(jù)統(tǒng)計計數(shù)主要是統(tǒng)計T分鐘(T可以由網(wǎng)絡(luò)管理人員確定)內(nèi)七元組信息中各個信息出現(xiàn)不同的數(shù)量�。其中七元組信息包括:源地址����、目的地址、源端口���、目的端口���、源MAC地址、目的MAC地址和協(xié)議類型��;
[0027](4)判斷步驟(3)中所計算的數(shù)據(jù)統(tǒng)計計數(shù)是否超過閾值�,如果是則數(shù)據(jù)異常并進入步驟(7),反之則進入步驟(5)��。其中閾值為管理人員根據(jù)網(wǎng)絡(luò)具體狀況確定的���;[0028](5)按七元組信息分別進行流量前N位(N可以由網(wǎng)絡(luò)管理人員確定)的計算�,流量前N位的計算主要是七元組信息中各個信息所統(tǒng)計流量按從大到小的前N位�。其中七元組信息包括:源地址、目的地址、源端口����、目的端口、源MAC地址���、目的MAC地址和協(xié)議類型����;
[0029](6)將步驟(5)中所得到的流量前N位進行基于TopN多特征相似度的流量分析過程;
[0030](7)將分析結(jié)果綜合成網(wǎng)絡(luò)流安全事件��。
[0031]進一步的����,如上所述的一種網(wǎng)絡(luò)流分析方法,還包含一種基于TopN多特征相似度的流量分析�����,包括下列步驟:
[0032](I)最近一個沒有數(shù)據(jù)異常的時刻T按照七元組信息中各個信息所統(tǒng)計流量按從大到小的前N位��,得到了時刻T的7 X N維的多特征矩陣�����。其中七元組信息包括:源地址、目的地址�����、源端口�����、目的端口����、源MAC地址��、目的MAC地址和協(xié)議類型����;
[0033]
【權(quán)利要求】
1.一種基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法,其特征在于:所述的方法包括下列步驟: (1)接收接收網(wǎng)絡(luò)中的sFlow數(shù)據(jù)���; (2)sFlow數(shù)據(jù)解析����,利用sFlow協(xié)議官方所定義的各字段含義和字節(jié)數(shù)來解析步驟(O中所接收到的sFlow數(shù)據(jù)�����; (3)判斷數(shù)據(jù)類型,判斷步驟(2)中解析后數(shù)據(jù)類型是否屬于流樣本���,如果是則執(zhí)行步驟(4)��,反之則執(zhí)行步驟(6); (4)接收流樣本數(shù)據(jù)��,接收流樣本中包含的所有數(shù)據(jù)�; (5)性能數(shù)據(jù)分析�����,對步驟(4)中所解析后的計數(shù)器樣本中包含的所有數(shù)據(jù)采用一種性能分析方法來進行分析���,并生成性能安全事件�; (6)接收計數(shù)器樣本數(shù)據(jù)����,計數(shù)器樣本中包含的所有數(shù)據(jù); (7)網(wǎng)絡(luò)流數(shù)據(jù)分析�,對步驟(6)中所解析后的流樣本中包含的所有數(shù)據(jù)采用一種網(wǎng)絡(luò)流分析方法來進行分析,并生成網(wǎng)絡(luò)流安全事件���; (8)安全事件存儲�,將步驟(5)中所生成的性能安全事件和步驟(7)中網(wǎng)絡(luò)流安全事件存儲到數(shù)據(jù)庫中,并繼續(xù)執(zhí)行步驟(I)��。
2.如權(quán)利要求1所述的一種基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法�,其特征在于:所述的一種性能分析方法包括下列步驟: (5.1)接收計數(shù)器樣本中包含`的所有數(shù)據(jù); (5.2)判斷步驟(5.1)中計數(shù)器樣本中包含的所有數(shù)據(jù)中的接口狀態(tài)位是否為3��,如果是則進入步驟(5.3)�����,否則接口狀態(tài)異常并進入步驟(5.5)��; (5.3)對步驟(5.2)中判斷完的計數(shù)器樣本中包含的所有數(shù)據(jù)進行多項性能數(shù)據(jù)的計算��;其中多項性能數(shù)據(jù)包括=CPU使用率����、當(dāng)前內(nèi)存空閑率�����、當(dāng)前接口利用率�����、輸入輸出丟包率和輸入輸出數(shù)據(jù)差錯率; (5.4)判斷步驟(5.3)中所計算的多項性能數(shù)據(jù)是否處于既定正常閾值內(nèi)���,如果是則性能正常并進入步驟(5.5)��,反之則性能異常并進入步驟(5.5)���,其中正常閾值的確定根據(jù)長期對網(wǎng)絡(luò)的運行性能數(shù)據(jù)進行監(jiān)測分析所得到的綜合值; (5.5)將分析結(jié)果綜合成性能安全事件����。
3.如權(quán)利要求1或2所述的一種基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法,其特征在于:所述的一種網(wǎng)絡(luò)流分析方法包括下列步驟: (7.1)接收流樣本中包含的所有數(shù)據(jù)���; (7.2)判斷步驟(7.1)中流樣本中包含的所有數(shù)據(jù)中的源地址是否為合法地址�����,如果是則進入步驟(7.3)����,否則源地址不合法并進入步驟(7.7)���; (7.3)對步驟(7.2)中判斷完的流樣本中包含的所有數(shù)據(jù)進行按七元組信息分別進行數(shù)據(jù)統(tǒng)計計數(shù)�����,數(shù)據(jù)統(tǒng)計計數(shù)主要是統(tǒng)計T分鐘內(nèi)七元組信息中各個信息出現(xiàn)不同的數(shù)量����,其中七元組信息包括:源地址、目的地址�����、源端口��、目的端口����、源MAC地址���、目的MAC地址和協(xié)議類型����; (7.4)判斷步驟(7.3)中所計算的數(shù)據(jù)統(tǒng)計計數(shù)是否超過閾值���,如果是則數(shù)據(jù)異常并進入步驟(7.7)���,反之則進入步驟(7.5)�����,其中閾值為管理人員根據(jù)網(wǎng)絡(luò)具體狀況確定的�����; (7.5)按七元組信息分別進行流量前N位的計算,流量前N位的計算主要是七元組信息中各個信息所統(tǒng)計流量按從大到小的前N位�����,其中七元組信息包括:源地址���、目的地址、源端口����、目的端口、源MAC地址����、目的MAC地址和協(xié)議類型�; (7.6)將步驟(7.5)中所得到的流量前N位進行基于TopN多特征相似度的流量分析過程; (7.7)將分析結(jié)果綜合成網(wǎng)絡(luò)流安全事件����。
4.如權(quán)利要求3所述的一種基于sFlow的大規(guī)模網(wǎng)絡(luò)安全分析方法,其特征在于所述的基于TopN多特征相似度的流量分析包括下列步驟: 1)最近一個沒有數(shù)據(jù)異常的時刻T按照七元組信息中各個信息所統(tǒng)計流量按從大到小的前N位��,得到了時刻T的7XN維的多特征矩陣�,其中七元組信息包括:源地址、目的地址��、源端口���、目的端口�����、源MAC地址���、目的MAC地址和協(xié)議類型;
【文檔編號】H04L29/06GK103457949SQ201310385025
【公開日】2013年12月18日 申請日期:2013年8月29日 優(yōu)先權(quán)日:2013年8月29日
【發(fā)明者】郭方方, 陳欣, 王慧強, 呂宏武, 馮光升 申請人:哈爾濱工程大學(xué)