国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種網(wǎng)絡(luò)行為分析系統(tǒng)的制作方法

      文檔序號:7946304閱讀:326來源:國知局

      專利名稱::一種網(wǎng)絡(luò)行為分析系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      :本發(fā)明屬于網(wǎng)絡(luò)管理、網(wǎng)絡(luò)性能分析與網(wǎng)絡(luò)安全
      技術(shù)領(lǐng)域
      ,特別是涉及一種網(wǎng)絡(luò)行為分析系統(tǒng)。
      背景技術(shù)
      :現(xiàn)有關(guān)于網(wǎng)絡(luò)管理、網(wǎng)絡(luò)性能分析與網(wǎng)絡(luò)安全等技術(shù)均存在一定的局限。網(wǎng)絡(luò)管理系統(tǒng)主要是利用SNMP、RMON、Netflow、Sflow等協(xié)議,從路由器、交換機上采集通過每個接口的流量情況,從而給用戶提供有關(guān)網(wǎng)絡(luò)中各設(shè)備和鏈路的流量狀況,但不能夠分析網(wǎng)絡(luò)的行為并找到性能下降的原因。網(wǎng)絡(luò)性能測量與分析系統(tǒng),主要是測量網(wǎng)絡(luò)路徑的連通性、時延、時延變化、瓶頸帶寬、丟失率等,為網(wǎng)絡(luò)性能的評估和應(yīng)用系統(tǒng)的路徑選擇提供依據(jù),但不能夠分析網(wǎng)絡(luò)的行為并找到故障點或瓶頸鏈路。網(wǎng)絡(luò)安全系統(tǒng)主要是通過分組的深度解析,找到網(wǎng)絡(luò)中存在的入侵行為,并發(fā)出報警信息,但不能夠發(fā)現(xiàn)網(wǎng)絡(luò)性能的下降或找到攻擊流量的來源。相比之下,網(wǎng)絡(luò)行為分析系統(tǒng),通過探頭采集網(wǎng)絡(luò)中多條鏈路上的分組,或者通過SNMP、RMON、Netflow、Sflow等協(xié)議從網(wǎng)絡(luò)設(shè)備采集流量數(shù)據(jù),實現(xiàn)對網(wǎng)絡(luò)中的應(yīng)用、協(xié)議、連接、流量、內(nèi)容、性能的多層次的全方位的綜合分析,使得更容易定位故障點、瓶頸鏈路、找到性能下降的原因、發(fā)現(xiàn)攻擊流的來源。這種系統(tǒng)的突出優(yōu)點是提供人機交互的方式,使得網(wǎng)絡(luò)管理人員可以利用網(wǎng)絡(luò)行為分析的結(jié)果,實現(xiàn)容量規(guī)劃、故障排除、問題預(yù)防、服務(wù)水平管理、應(yīng)用層分析、基于應(yīng)用識別的應(yīng)用監(jiān)控、基于數(shù)據(jù)源的網(wǎng)絡(luò)監(jiān)控、發(fā)現(xiàn)未知的應(yīng)用或者攻擊等。
      發(fā)明內(nèi)容本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種網(wǎng)絡(luò)行為分析系統(tǒng)。為了實現(xiàn)本發(fā)明目的,采用的技術(shù)方案如下一種網(wǎng)絡(luò)行為分析系統(tǒng),包括數(shù)據(jù)采集系統(tǒng)、通信系統(tǒng)和數(shù)據(jù)分析系統(tǒng),所述數(shù)據(jù)采集系統(tǒng)從網(wǎng)絡(luò)上采集信息,再對所采集的信息進(jìn)行預(yù)處理,所述通信系統(tǒng)分別與數(shù)據(jù)采集系統(tǒng)和數(shù)據(jù)分析系統(tǒng)連接,把經(jīng)過數(shù)據(jù)采集系統(tǒng)預(yù)處理后的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)分析系統(tǒng),所述數(shù)據(jù)分析系統(tǒng)對通信系統(tǒng)送來的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)行為分析和網(wǎng)絡(luò)行為預(yù)測。上述技術(shù)方案中,所述的數(shù)據(jù)采集系統(tǒng)包含本地采集模塊、遠(yuǎn)程采集模塊、應(yīng)用識別模塊、響應(yīng)時間測量模塊、路徑性能測量模塊、分組捕獲模塊、數(shù)據(jù)預(yù)處理模塊;所述本地采集模塊、和/或遠(yuǎn)程采集模塊從網(wǎng)絡(luò)上采集信息,并選擇通過應(yīng)用識別模塊、響應(yīng)時間測量模塊、路徑性能測量模塊、分組捕獲模塊的一個或多個進(jìn)行處理,然后再通過數(shù)據(jù)預(yù)處理模塊進(jìn)行預(yù)處理,獲取各項統(tǒng)計結(jié)果。所述本地采集模塊采用如下三種方式接入網(wǎng)絡(luò)(1)在兩個網(wǎng)絡(luò)設(shè)備之間,配置一臺包括兩塊網(wǎng)卡的數(shù)據(jù)采集設(shè)備,數(shù)據(jù)采集設(shè)備的兩塊網(wǎng)卡分別通過網(wǎng)線與兩個網(wǎng)絡(luò)設(shè)備連接,使得流經(jīng)這兩個網(wǎng)絡(luò)設(shè)備之間鏈路的所有分組都經(jīng)過該數(shù)據(jù)采集設(shè)備;(2)釆用探測頭把鏈路上的信號分接到數(shù)據(jù)采集設(shè)備的一塊網(wǎng)卡,使得經(jīng)過該鏈路的所有分組都分接到該數(shù)據(jù)采集設(shè)備;(3)采用網(wǎng)線把數(shù)據(jù)采集設(shè)備的一塊網(wǎng)卡連接到網(wǎng)絡(luò)設(shè)備的鏡像口或者監(jiān)控口,使得通過該網(wǎng)絡(luò)設(shè)備的分組復(fù)制到數(shù)據(jù)采集設(shè)備;所述的遠(yuǎn)程采集模塊每1分鐘都通過SNMP、或RMON、或Netflow、或Sflow協(xié)議,從網(wǎng)絡(luò)設(shè)備上采集一次數(shù)據(jù)。所述的應(yīng)用識別模塊對采集的信息分組進(jìn)行解析,提取其應(yīng)用層數(shù)據(jù),并對應(yīng)用層數(shù)據(jù)進(jìn)行應(yīng)用識別,把識別結(jié)果用一個整數(shù)值mark唯一標(biāo)記;所述的響應(yīng)時間測量模塊測量請求包與響應(yīng)包之間的時間差;所述的路徑性能測量模塊測量網(wǎng)絡(luò)路徑的性能;所述的分組捕獲模塊根據(jù)預(yù)設(shè)的條件對數(shù)據(jù)分組進(jìn)行匹配,當(dāng)匹配條件滿足時,把對應(yīng)連接的五元組信息、分組及其到達(dá)時間記錄下來,所預(yù)設(shè)的條件包括關(guān)鍵詞、和/或URL、和/或IP地址、和/或端口號;所述的數(shù)據(jù)預(yù)處理模塊對采集到的信息分組進(jìn)行預(yù)處理,獲取各項統(tǒng)計結(jié)果。所述數(shù)據(jù)預(yù)處理模塊包含分段處理子模塊、內(nèi)網(wǎng)IP處理子模塊、外網(wǎng)IP處理子模塊、端口處理子模塊、三元組信息映射子模塊、五元組信息處理子模塊、數(shù)據(jù)統(tǒng)計子模塊、保存數(shù)據(jù)子模塊。所述的數(shù)據(jù)分析系統(tǒng)包含鏈路分析模塊、主機分析模塊、IP分組分析模塊、連接分析模塊、應(yīng)用分析模塊、協(xié)議字段分析模塊、總體分析模塊、歷史分析和預(yù)測分析模塊。本發(fā)明是一種內(nèi)部網(wǎng)絡(luò)管理、性能分析、網(wǎng)絡(luò)安全檢測系統(tǒng),可以用于容量規(guī)劃、故障排除、問題預(yù)防、服務(wù)水平管理、應(yīng)用層分析、基于應(yīng)用識別的應(yīng)用監(jiān)控、基于數(shù)據(jù)源的網(wǎng)絡(luò)監(jiān)控、發(fā)現(xiàn)未知的應(yīng)用、定位網(wǎng)絡(luò)攻擊等。圖l為本發(fā)明的系統(tǒng)總體結(jié)構(gòu)圖2為本發(fā)明的數(shù)據(jù)采集系統(tǒng)圖3為本發(fā)明的數(shù)據(jù)分析系統(tǒng)圖4為本發(fā)明的數(shù)據(jù)顯示系統(tǒng)圖5為本發(fā)明的數(shù)據(jù)通信系統(tǒng)圖6為本發(fā)明的數(shù)據(jù)記錄方式圖7為本發(fā)明的內(nèi)網(wǎng)地址段搜索前綴樹IA和表D具體實施例方式下面結(jié)合附圖對本發(fā)明做進(jìn)一歩的說明。本發(fā)明的具體實施例如下-本發(fā)明的系統(tǒng)總體結(jié)構(gòu)如附圖l所示。一到多個數(shù)據(jù)采集系統(tǒng)、一個通信系統(tǒng)、一個數(shù)據(jù)分析系統(tǒng)和一個顯示系統(tǒng);數(shù)據(jù)采集系統(tǒng)負(fù)責(zé)從網(wǎng)絡(luò)中各處的鏈路、路由器、交換機采集網(wǎng)絡(luò)中的應(yīng)用、協(xié)議、連接、流量、內(nèi)容、性能等信息,并對所采集的信息進(jìn)行預(yù)處理;通信系統(tǒng)負(fù)責(zé)把各個數(shù)據(jù)采集系統(tǒng)預(yù)處理后的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)分析系統(tǒng);數(shù)據(jù)分析系統(tǒng)負(fù)責(zé)對收集到的數(shù)據(jù),進(jìn)行即時的、歷史的、選擇性的網(wǎng)絡(luò)行為分析和未來的網(wǎng)絡(luò)行為預(yù)測。本發(fā)明的數(shù)據(jù)采集系統(tǒng)如附圖2所示,它包含本地采集模塊、遠(yuǎn)程采集模塊、應(yīng)用識別模塊、響應(yīng)時間測量模塊、路徑性能測量模塊、分組捕獲模塊、數(shù)據(jù)預(yù)處理模塊。每個子模塊具體介紹如下1、本地采集模塊,包括三種應(yīng)用場景第一種應(yīng)用場景是,在兩個網(wǎng)絡(luò)設(shè)備(即路由器或者交換機)之間,配置一臺數(shù)據(jù)采集系統(tǒng),數(shù)據(jù)采集系統(tǒng)的二塊網(wǎng)卡分別通過網(wǎng)線與兩個網(wǎng)絡(luò)設(shè)備連接,使得流經(jīng)這兩個網(wǎng)絡(luò)設(shè)備之間鏈路的所有分組都經(jīng)過該數(shù)據(jù)采集設(shè)備;第二個應(yīng)用場景是,用探測頭把鏈路上的信號分接到數(shù)據(jù)采集設(shè)備的一塊網(wǎng)卡,使得經(jīng)過該鏈路的所有分組都可以分接到數(shù)據(jù)采集設(shè)備;第三種應(yīng)用場景是,用網(wǎng)線把數(shù)據(jù)采集設(shè)備的一塊網(wǎng)卡連接到網(wǎng)絡(luò)設(shè)備的鏡像口或者監(jiān)控口,使得通過該網(wǎng)絡(luò)設(shè)備的分組可以復(fù)制到數(shù)據(jù)采集設(shè)備。在第一種應(yīng)用場景下,數(shù)據(jù)采集設(shè)備采集輸入的所有分組,并把輸入的所有分組不加改變地從另一個網(wǎng)卡轉(zhuǎn)發(fā)出去;在第二、三種應(yīng)用場景下,數(shù)據(jù)采集設(shè),ii采集輸入的分組,采集之后丟棄收到的分組。2、遠(yuǎn)程采集模塊每1分鐘,通過SNMP、RMON、Netflow、Sflow等協(xié)議,從路由器、交換機上采集一次流量數(shù)據(jù)。3、應(yīng)用識別模塊對采集的分組進(jìn)行解析,提取其應(yīng)用層數(shù)據(jù),并對應(yīng)用層數(shù)據(jù)進(jìn)行應(yīng)用識別;把識別結(jié)果用一個整數(shù)值mark標(biāo)記,不同的mark值代表不同的應(yīng)用。4、響應(yīng)時間測量模塊采取主動和被動測量的方式測量請求包與響應(yīng)包之間的時間差。主動測量方式是仿真正常應(yīng)用過程,向服務(wù)器發(fā)送請求分組,在收到來自服務(wù)器的響應(yīng)分組時,測量請求包與響應(yīng)包之間的時間差;被動測量方式,是監(jiān)測向服務(wù)器方向傳輸?shù)拿恳粋€包含應(yīng)用層數(shù)據(jù)的分組的結(jié)尾時間Tcs和來自服務(wù)器的每一個包含應(yīng)用層數(shù)據(jù)的分組的開始時間Tsc。即當(dāng)收到C-S方向的分組時,如果其應(yīng)用層數(shù)據(jù)長度大于0,則令Tcs等于其到達(dá)時間,并令flag二l;如果C-S方向接連來了多個包含應(yīng)用層數(shù)據(jù)的分組,則前面分組的到達(dá)時間被后面的覆蓋掉,Tcs記錄的總是最新到達(dá)的包含應(yīng)用層數(shù)據(jù)的分組的結(jié)尾時間;當(dāng)開始接收一個S-C方向的分組時,令Tsc等于當(dāng)前時間;如果其應(yīng)用層數(shù)據(jù)長度等于O,則不做處理;如果其應(yīng)用層數(shù)據(jù)長度大于O,則進(jìn)行如下操作-如果flagi,則不計算應(yīng)用層響應(yīng)時間;-如果flag=l,則計算得到應(yīng)用層服務(wù)響應(yīng)時間art=Tsc_Tcs,并令flag=0;5、路徑性能測量模塊采用主動和被動測量方式測量路徑的性能。第一種主動測量方式是在待測路徑的一端發(fā)送探測分組序列,在待測鏈路的另一端測量相鄰探測分組之間的時間間隔以及探測分組的丟失率,然后用測量得到的數(shù)據(jù),統(tǒng)計計算得到路徑的時延分布、可用帶寬、利用率、分組丟失率等性能參數(shù);第二種主動測量方式是在路徑的一端發(fā)送TTL=n的探測分組,使得該探測分組在第n個路由器被丟棄并產(chǎn)牛一個ICMP包;通過測量探測包與返回的ICMP包之間的時間差,可以測量到第n個路由器的來回時延;通過測量ICMP包之間的時間間隔相對于原探測分組之間的時間間隔的改變量,測量時延分布、可用帶寬、利用率、分組丟失率等性能參數(shù);被動測量方式是,對每一個TCP連接進(jìn)行來回時延RTT測量,具體方法如下當(dāng)收到由AtoB方向傳輸?shù)姆纸M時,記錄其到達(dá)時間和最后一個比特的序列號;當(dāng)收到BtoA方向的對該分組的確認(rèn)ACK時,計算來回時間rtt,但對于重傳的分組不計算rtt;6、分組捕獲模塊根據(jù)預(yù)設(shè)的條件(即管理員所感興趣的內(nèi)容)關(guān)鍵詞、URL、IP地址、端口號等,對分組進(jìn)行匹配。當(dāng)匹配條件滿足時,把對應(yīng)連接的全部信息(五元組、時間)及其分組記錄下來。7、數(shù)據(jù)預(yù)處理模塊對采集到的分組進(jìn)行預(yù)處理,獲取各項統(tǒng)計結(jié)果,并分別記錄到數(shù)組{Fields],^1,…,A^和Flow[.]之中。Flow[.]的結(jié)構(gòu)如附圖6所示。數(shù)據(jù)預(yù)處理模塊包含各協(xié)議字段值的分段處理子模塊idx(a,.)、內(nèi)網(wǎng)IP處理子模塊inband(IP)、外網(wǎng)IP處理子模塊outband(IP)、端口處理子模塊portx(port)、三元組信息映射子模塊3tuple(ipxl,ipx2,prtxl)、五元組信息處理子模塊、數(shù)據(jù)統(tǒng)計子模塊、保存數(shù)據(jù)子模塊。各子模塊具體如下a)各協(xié)議字段值的分段處理子模塊idx(a,)設(shè)分組頭部總共有iV個字段,每個字段的取值是一個二進(jìn)制整數(shù)^e,/=1,其中&的常見取值為1,4,8,13,16,32;當(dāng)&的取值小于等于8時,令/血,=^;否則,對fl,.進(jìn)行分段處理,并用/血,代表a所屬的段;例如令z'血,=M>/《a,.+a,.>>1),其中M6械x)代表求x的最高不為0比特;最后,令idxO,.)返回/血,。b)內(nèi)網(wǎng)IP處理子模塊inband(IP)內(nèi)網(wǎng)IP處理子模塊是要檢查給定IP是否屬于內(nèi)網(wǎng)IP地址列表IA,并把該IP映射為一個更短的唯一標(biāo)識ipx。映射方法是,按照該IP在當(dāng)前時間段內(nèi)出現(xiàn)的先后順序,在數(shù)組D[.]門內(nèi)進(jìn)行順序編號,如附圖7所示-設(shè)IP地址二a.b.c.d;—ip—count=l;-令i=IA[a],j=IA[i][b],k,][c];-如果i=0或j=0或k=0,則該IP不屬于內(nèi)網(wǎng)IP地址列表IA,令inband(IP)返回ipx=-l;;-否則它是內(nèi)網(wǎng)IP,令其索引ipx等于它出現(xiàn)的先后順序ip—count,即如果D[k][d]=0,則令D[k][d]=ip—count,ip—count++;-最后,令inband(IP)返回該IP對應(yīng)的ipx=D[k][d];c)外網(wǎng)IP處理子模塊outband(IP)外網(wǎng)IP處理子模塊,是要把大于平均訪問率的外網(wǎng)IP地址映射為比32比特更短的唯一標(biāo)識ipx。具體做法是-令計數(shù)器ip—order的初值等于2;-用前一個統(tǒng)計周期的結(jié)果來決定本統(tǒng)計周期的外網(wǎng)IP集。設(shè)前一統(tǒng)計周期內(nèi)自動建立的外網(wǎng)IP的前綴樹為PT0,average0是平均每個外網(wǎng)IP被訪問的次數(shù);如果一個外網(wǎng)IP的被訪問次數(shù)大于等于averageO,則該IP在當(dāng)前統(tǒng)計周期內(nèi)就具有了被順序編號的資格。-建立當(dāng)前統(tǒng)計周期的外網(wǎng)IP前綴樹PT。當(dāng)調(diào)用outband(IP)時,如果該IP在PT中不存在,則在PT中增加一條路徑,代表該IP的前綴,并進(jìn)一步檢査該IP在PTO中是否具有被順序編號的資格,如果有,則令X寸應(yīng)于該IP的ipx=ip—order,并令ip—order力P1;否則令ipx=l,即把不具有編號資格的所有IP統(tǒng)一編號為1;最后,令outband(IP)返回該IP對應(yīng)的ipx,并令對應(yīng)于該IP的訪問次數(shù)計數(shù)器加1。-計算平均每個外網(wǎng)IP被訪問的次數(shù)average。設(shè)totalip是被訪問的外網(wǎng)IP總數(shù),totalref是PT被訪問的次數(shù)。每次調(diào)用outband(IP),totalref都加l;PT屮每出現(xiàn)一個新的外網(wǎng)IP,totalip都加l。在當(dāng)前統(tǒng)計周期結(jié)束時,令average=totalref/totalip.d)端口處理子模塊portx(port)按照port出現(xiàn)的先后順序,順序編號,把每一個port用其編號唯一標(biāo)識。具體算法用前綴樹El和E2實現(xiàn)-令計數(shù)器c初值是1,port—order初值是1;把端口號port分成二個字節(jié),即令port-pl.p2;-令i二El[pl];如果iK),則令i二c,El[pi;hc,C++;-令prtx=E2[i][p2];如果prtx=0貝U令prtx=port—order,E2[i][p2]=port—order,port—order++;-最后,令portx(port)返回prtx;e)三元組映射子模塊3tuple(ipxl,ipx2,prtxl)該模塊用于把三元組信息對應(yīng)為一個唯一標(biāo)識,即它出現(xiàn)的先后順序,如附圖6所示。具體做法是用三元組列表F來得到其順序標(biāo)號dx:-令key—order的初(t為1;-如果F[ipxl][ipx2][prtxl]=0,則令F[ipx1][ipx2][prtxl]=key—order,key_order++;-返回dx=F[ipxl][ipx2][prtxl];其中,三元組列表F中的F[ipxl][ipx2]用于記錄那些不包含傳輸層協(xié)議的IPX寸之間的流量,例如icmp,igmp,st,egp,igp等。f)五元組信息處理子模塊在出現(xiàn)新建連接時,先獲取連接發(fā)起方的地址srcIP:srcPort和連接接受方的地址dstIP:dstPort,然后-判斷服務(wù)器端口和客戶機端口*令srvrIP:srvrPort=dstIP:dstPort;*如果srcPort<1024,則令srvrIP:srvrPort=srcIP:srcPort;*如果dstPort<1024,則令srvrIP:srvrPort-dstIP:dstPort;*相應(yīng)地,把另一方命名為clntIP:clntPort;-再獲取源目IP和端口的標(biāo)識*令ipxl=inband(srvrIP);如果ipx1〈0,貝lj令ipxl=outband(srvrIP);*令ipx2=inband(clntIP);如果ipx2〈0,則令ipx2=outband(clntIP);*如果srvrPort存在,則令prtxl=portx(srvrPort);如果srvrPort不存在,例如icmp包等,令prtxl=0;g)數(shù)據(jù)統(tǒng)計子模塊-在每個分組到達(dá)時執(zhí)行的操作當(dāng)一個分組到達(dá)時,由分組解析獲得網(wǎng)絡(luò)層頭部和傳輸層頭部各字段的取值^a2,再用所述的分段處理模塊idx(W把各字段的取值A(chǔ),"2,...,aw分段處理得到對應(yīng)的索引值^q,/血2,...,z'血w;*獲取五元組信息,并利用所述五元組處理模塊得到ipxl,ipx2,prtxl;然后用dx=3tuple(ipxl,ipx2,prtxl)得到該連接的三元組信息對應(yīng)的dx,這里不區(qū)別具有相同端口號的tcp和udp,例如53/udp和53/tcp,也不考慮client的端口號prtx2。*然后對各協(xié)議字段進(jìn)行累加統(tǒng)計,設(shè)total—length是IP頭部的分組長度,G是到達(dá)時間間隔,它等于給定值/血,出現(xiàn)的時間間隔,貝U,forz'=l,2,…,見令Field^成].pkts++,〃記錄字段/取值^c,的總包數(shù)Field,.[/血,].bytes+=total」ength,〃記錄字段/取值的總字節(jié)數(shù)Field,[/血,].gap+=〃字段/取值^c,'的總時間間隔*再對該分組所屬的流進(jìn)行累加統(tǒng)計,設(shè)Gcs是CtoS方向分組到達(dá)時間間隔,Cw是StoC方向分組到達(dá)時間間隔,則當(dāng)該分組是x(xK:SorSC)方向傳輸?shù)姆纸M時,令Flow[dx].pkts.x++;Flow[dx].bytes.x+=totaljength;Flow[dx].gap.x+=G義;_在出現(xiàn)新建連接時攀記錄該連接開始的時間start;*令?10界"(1乂].(:0皿++;〃記錄具有相同三元組的連接的次數(shù)*記錄該連接的五元組信息Flow[dx].5-tuple;-在連接結(jié)束時,設(shè)end就是系統(tǒng)當(dāng)前時間*令Flow[dx].dwell+=end-start;〃記錄連接持續(xù)的時間-在對該連接進(jìn)行的應(yīng)用識別結(jié)束時*令Flow[dx].app卜mark;〃記錄應(yīng)用識別結(jié)果;-累加應(yīng)用層的響應(yīng)時間*Flow[dx].resp+=art,并記錄采集art樣本數(shù)Flow[dx].resp—C++;-累加RTT時間*Flow[dx].rtt+=rtt,并記錄采集的rtt樣本的個數(shù)Flow[dx].rtt—C++;i)保存數(shù)據(jù)子模塊每隔一個給定的時間interval,保存一次統(tǒng)計結(jié)果到數(shù)據(jù)庫或者文件,保存的內(nèi)容包括代表采集點的鏈路、路由器、交換機的ID,采集的時間time,統(tǒng)計結(jié)果(FieH.[.],纟=1,...,#}和Flow[.];其中采集點ID采用全局統(tǒng)一編號,由各數(shù)據(jù)采集系統(tǒng)從數(shù)據(jù)分析系統(tǒng)獲取。最后對各數(shù)組{Fields,/=1,...^}和Flow[.],以及各計數(shù)器進(jìn)行初始化。Flow[.]的結(jié)構(gòu)如附圖6所示。本發(fā)明的數(shù)據(jù)分析系統(tǒng)如附圖3所示,它包含鏈路分析模塊、主機分析模塊、IP分組分析模塊、連接分析模塊、應(yīng)用分析模塊、協(xié)議字段分析模塊、總體分析模塊、歷史分析和預(yù)測分析模塊。每個子模塊具體介紹如下1、鏈路分析模塊a)統(tǒng)計每條鏈路的流量,包括每條鏈路的輸入字節(jié)數(shù)、分組數(shù);輸出字節(jié)數(shù)、分組數(shù);b)統(tǒng)計每條鏈路的利用率、可用帶寬、時延、丟失率;c)統(tǒng)計所有鏈路的流量分布、利用率分布、時延分布、丟失率分布;d)排序并定位最大利用率、最大時延或最大丟失率的鏈路。2、主機分析模塊a)統(tǒng)計每個服務(wù)器的響應(yīng)時間;b)統(tǒng)計每個主機的輸入、輸出流量;c)統(tǒng)計每個主機發(fā)起連接的次數(shù)、接受連接的次數(shù)、連接的持續(xù)時間;d)統(tǒng)計每個主機采用的應(yīng)用類型;e)統(tǒng)計所有服務(wù)器的響應(yīng)時間分布、輸入輸出流量分布、連接出入度分布、連接持續(xù)時間分布、應(yīng)用類型分布;f)排序并定位具有最大或最小特征值的主機;3、IP分組分析模塊a)統(tǒng)計每種分組類型(icmp,igmp,st,tcp,egp,igp,udp)的數(shù)據(jù)量、分組數(shù)、到達(dá)時間間隔分布、分組長度分布;b)統(tǒng)計分組類型的流量分布、平均間隔分布、平均長度分布;c)排序并定位具有最大或最小特征值的分組類型;4、連接(流)分析模塊a)統(tǒng)計每個連接的輸入、輸出數(shù)據(jù)量和分組數(shù);b)統(tǒng)計每個連接的持續(xù)時間;c)統(tǒng)計連接的到達(dá)時間間隔;d)統(tǒng)計每個連接的應(yīng)用類型、使用的端口號;e)統(tǒng)計連接的流量分布、持續(xù)時間分布、到達(dá)時間間隔分布、應(yīng)用類型分布、端口號分布;f)排序并定位具有最大或最小特征值的連接;'5、應(yīng)用(端U)分析模塊a)統(tǒng)計每種應(yīng)用的上傳流量、下載流量、總流量、發(fā)生頻次;b)統(tǒng)計每種應(yīng)用用到的端口號;c)統(tǒng)計每種應(yīng)用的平均持續(xù)時間、平均響應(yīng)時間、平均連接數(shù);d)統(tǒng)計每種應(yīng)用涉及到的Client數(shù)、Server數(shù);e)統(tǒng)計應(yīng)用的流量分布、頻繁程度分布、端口號分布、平均持續(xù)時間分布、平均響應(yīng)時間分布、平均連接數(shù)分布、Client數(shù)分布、Server數(shù)分布;f)排序并定位最大或最小特征值的應(yīng)用;6、協(xié)議字段分析模塊a)IP層各字段的統(tǒng)計分布,包括HeaderLength,ServiceType,TotalLength,Identification,FlagsDbit,FlagsMbit,FragmentOffset,TimetoLive,Protocol,IPOptions;b)傳輸層各字段的統(tǒng)計分布,包括S叫uenceNumber,AcknowledgementNumber,TCPURG,TCPACK,TCPPSH,TCPRST,TCPSYN,TCPFIN,Window,UrgentPointer,TCPOptions。7、總體分析模塊分析網(wǎng)絡(luò)的總體情況,并評估當(dāng)前網(wǎng)絡(luò)運行狀況(好、中、差)。a)首先從各模塊獲得當(dāng)前統(tǒng)計量和歷史值的均值和方差,包括:1.每條鏈路j流量in/out/total字節(jié)速率15.各連接的流量2.每條鏈路流量in/out/total分組速率16.各連接的持續(xù)時間3.每條鏈路利用率17.平均新建連接率4.每條鏈路剩余帶寬18.平均連接持續(xù)時間5.各鏈路中各類應(yīng)用的含量19.平均連接數(shù)據(jù)量(in/out/total)6.各鏈路各種分組(icmp,igmp,st,top,egP,igP,udp)含量20.各應(yīng)用類型含量(新建連接率、持續(xù)時間、數(shù)據(jù)量)7.每個服務(wù)器的響應(yīng)時間21.各應(yīng)用的各連接的流量8.每個IP的流量(in/out字節(jié)速率、in/out分組速率、總分組率、總字節(jié)率)22.各應(yīng)用的平均持續(xù)時間、I/O字節(jié)數(shù)、響應(yīng)時間9.每個IP的出度/s、入度/s、連接平均持續(xù)時間23.各應(yīng)用類型含量、各應(yīng)用使用的端U、未知應(yīng)用及其端口10.每個IP的各應(yīng)用類型含量、端口24.各應(yīng)用的各連接的持續(xù)時間11.每個IP在鏈路j上的流量25.IP層各字段出現(xiàn)頻次12.總分組速率、總字節(jié)速率26.傳輸層各字段出現(xiàn)頻次13.平均每條鏈路上看到的分組長度分布、分組到達(dá)時間間隔分布27.各應(yīng)用的各服務(wù)器的服務(wù)響應(yīng)時間14.源IP流量b)正常程度測量設(shè)當(dāng)前的各項統(tǒng)計量為;c,,...,x,其對應(yīng)的均值方差分別為m,...,^,,...,,則每項統(tǒng)計量當(dāng)前的異常程度為°",-評估網(wǎng)絡(luò)運行狀況(好、中、差)好如果max(船2;中如果2〈max(G〉53;差如果max(^〉3;并給出警示信息。9、歷史分析和預(yù)測分析模塊分析某個統(tǒng)計量的若干小時的歷史數(shù)據(jù)、預(yù)測未來一段時間內(nèi)的發(fā)展趨勢、選取按給定門限、范圍、指標(biāo)確定的數(shù)據(jù)。本發(fā)明的數(shù)據(jù)顯示系統(tǒng)如附圖4所示,它包含輸入界面和顯示界面。輸入界面包括功能模塊選擇界面、數(shù)據(jù)源命名界面、輸入內(nèi)網(wǎng)地址界面、統(tǒng)計時間間隔選擇界面、分組篩選條件輸入界面;顯示界面提供各種菜單選擇,以顯示各項統(tǒng)計結(jié)果、統(tǒng)計分布、這些統(tǒng)計結(jié)果和統(tǒng)計分布的歷史軌跡、按門限范圍指標(biāo)篩選的結(jié)果、未來的預(yù)測值、按預(yù)設(shè)條件捕獲的分組內(nèi)容等。數(shù)據(jù)顯示系統(tǒng)具體介紹如下1、輸入界面a)功能模塊選擇界面用戶界面給出一個功能模塊選擇表格,把輸入結(jié)果記錄到logicselec[]。應(yīng)用識別協(xié)議分析流量采集響應(yīng)時間測量分組采集路徑測量selec[]true/falsetrue/falsetrue/falsetrue/falsetrue/falsetrue/false數(shù)據(jù)采集系統(tǒng)根據(jù)selec[]的取值選擇或不選擇所對應(yīng)的功能模塊。b)數(shù)據(jù)源命名界面用戶界面提供如下表格,用于輸入數(shù)據(jù)采集系統(tǒng)的探測點、路由器端口(鏈路)、交換機端口、服務(wù)器等有關(guān)信息,并對它們進(jìn)行命名和分組,以及對各個組命名。結(jié)果保存到表格element[][]:<table>tableseeoriginaldocumentpage18</column></row><table>數(shù)據(jù)采集系統(tǒng)把element[][]中的ID作為數(shù)據(jù)來源的標(biāo)識。該標(biāo)識可以由系統(tǒng)通過順序編號自動產(chǎn)生。c)輸入內(nèi)網(wǎng)地址界面用戶界面給出全部的內(nèi)網(wǎng)地址段和掩碼。后臺程序把它細(xì)化到每個網(wǎng)絡(luò)地址段都是24比特長,然后生成內(nèi)網(wǎng)IP地址段查詢表IA,它是一棵前綴樹,如附圖7所示。數(shù)據(jù)采集系統(tǒng)利用IA進(jìn)行內(nèi)網(wǎng)IP地址索引。d)統(tǒng)計時間間隔選擇界面用戶界面給出統(tǒng)計時間間隔interval。默認(rèn)是1分鐘,可以選擇大于等于1分鐘。數(shù)據(jù)采集系統(tǒng)將根據(jù)該時間周期統(tǒng)計和保存數(shù)據(jù)。e)篩選條件輸入界面使得用戶可以輸入感興趣的URLs,keywords,ports,applicationnumbers。數(shù)據(jù)采集系統(tǒng)將根據(jù)這些篩選條件記錄符合條件的分組。2、顯示界面提供各種菜單選擇,以顯示各項統(tǒng)計結(jié)果、統(tǒng)計分布、這些統(tǒng)計結(jié)果和統(tǒng)計分布,例如總體分析、鏈路分析、主機分析、分組分析、連接分析、協(xié)議分析應(yīng)用分析、性能分析的當(dāng)前情況、歷史軌跡、按門限范圍指標(biāo)篩選的結(jié)果、未來的預(yù)測值、按預(yù)設(shè)條件捕獲的分組內(nèi)容等,如附圖4所示。a)顯示網(wǎng)絡(luò)總體分布情況菜單_各鏈路的利用率、路徑的可用帶寬、時延分布;_所有網(wǎng)絡(luò)單元列表數(shù)據(jù)采集系統(tǒng)、路由器、交換機、服務(wù)器、鏈路(包括所屬組、名字、IP地址、域名等);-監(jiān)控點在網(wǎng)絡(luò)拓?fù)渲械姆植紙D;_流量走向示意圖顯示網(wǎng)絡(luò)拓?fù)渲忻總€源IP產(chǎn)生的流量在各鏈路上的流量。b)顯示排序結(jié)果菜單-按利用率排序所有鏈路-按服務(wù)響應(yīng)時間排序所有服務(wù)器-按分組數(shù)排序各種協(xié)議的分組-按流量排序連接、按持續(xù)時間排序連接-按應(yīng)用含量排序各應(yīng)用類型-按出現(xiàn)的頻次排序IP層各協(xié)議字段、傳輸層各協(xié)議字段C)顯示鏈路分析結(jié)果菜單-顯示按利用率排序所有鏈路(列出前10條)、每條鏈路利用率、乘除帶寬。-點擊右鍵進(jìn)一步可選每條鏈路的流量(in/out字節(jié)速率、in/out分組速率、總分組率、總字節(jié)率)各禾中分組(icmp,igmp,st,tcp,egp,igp,udp)含量前10名按流量排序的連接各應(yīng)用類型含量d)顯示主機或服務(wù)器分析結(jié)果菜單-顯示按服務(wù)響應(yīng)時間排序所有服務(wù)器、服務(wù)響應(yīng)時間。-點擊右鍵進(jìn)一步可選每個IP的流量(in/out字節(jié)速率、in/out分組速率、總分組率、總字節(jié)率)出度/s、入度/s、連接平均持續(xù)時間各應(yīng)用類型含量、各應(yīng)用使用的端口、未知應(yīng)用及其端口e)顯示IP分組分析結(jié)果菜單-顯示總分組速率、總字節(jié)速率、到達(dá)時間間隔分布、分組長度分布、各禾中分組(icmp,igmp,st,tcp,egp,igp,udp)含l。-點擊右鍵進(jìn)一步可選IP層各字段統(tǒng)計按流量排序源IP各應(yīng)用類型含量f)顯示連接(流;i分析結(jié)果菜單-顯示按流量排序連接(三元組)、按持續(xù)時間排序連接(三元組)、連接平均到達(dá)率、連接平均持續(xù)時間、連接平均傳輸?shù)臄?shù)據(jù)量(in/out/total)。-點擊右鍵進(jìn)一步可選各應(yīng)用類型含量(按連接到達(dá)率、持續(xù)時間、數(shù)據(jù)量分別排序)傳輸層各字段統(tǒng)計每個連接的流量(in/out字節(jié)速率、in/out分組速率、總分組率、總字節(jié)率)g)顯示應(yīng)用(端口)分析結(jié)果菜單-顯示各應(yīng)用類型含量、各應(yīng)用使用的端口、耒知應(yīng)用及其端口。-點擊右鍵進(jìn)一步可選各應(yīng)用的平均持續(xù)時間、1/0字節(jié)數(shù)、響應(yīng)時間按流量排序的連接(三元組)按持續(xù)時間排序的連接(三元組)按服務(wù)響應(yīng)時間排序的服務(wù)器捕獲未知應(yīng)用的分組h)顯示協(xié)議字段分析結(jié)果菜單提供以下可選項-IP層分析HeaderLength,ServiceType,TotalLength,Identification,FlagsDbit,FlagsMbit,FragmentOffset,TimetoLive,Protocol,IPOptions-傳輸層分析SequenceNumber,AcknowledgementNumber,TCPURG,TCPACK,TCPPSH,TCPRST,TCPSYN,TCPFIN,Window,UrgentPointer,TCPOptions一各禾中分組(icmp,igmp,st,tcp,egp,igp,udp)含量i)顯示路徑性能分析結(jié)果菜單-顯示網(wǎng)絡(luò)主動測量得到的各鏈路的利用率、路徑的可用帶寬、時延分布等。j)顯示總體分析結(jié)果菜單-顯示當(dāng)前網(wǎng)絡(luò)運行狀況(好、中、差)、報警/預(yù)警信息。_進(jìn)一步提供以下可選項所有網(wǎng)絡(luò)單元列表數(shù)據(jù)采集設(shè)備、路由器、交換機、服務(wù)器、鏈路(顯示所屬組、名字、IP地址、域名等)按利用率排序所有鏈路(列出前10條)按服務(wù)響應(yīng)時間排序所有服務(wù)器各禾中分組(icmp,igmp,st,tcp,egp,igp,udp)含量按流量排序連接(三元組)、按持續(xù)時間排序連接(三元組)各應(yīng)用類型含量各協(xié)議字段含量各鏈路的利用率、路徑的可用帶寬、時延分布監(jiān)控點分布圖流量走向示意圖本發(fā)明的數(shù)據(jù)通信系統(tǒng)如附圖5所示,它向所有數(shù)據(jù)采集系統(tǒng)傳送全局配置參數(shù),包括功能模塊選擇selec[]、數(shù)據(jù)源編號方案element[][]、內(nèi)網(wǎng)IP地址表IA、統(tǒng)計時間周期interval、分組篩選條件、系統(tǒng)配置命令;并從數(shù)據(jù)采集系統(tǒng)讀取經(jīng)過預(yù)處理的數(shù)據(jù)。權(quán)利要求1、一種網(wǎng)絡(luò)行為分析系統(tǒng),其特征在于包括數(shù)據(jù)采集系統(tǒng)、通信系統(tǒng)和數(shù)據(jù)分析系統(tǒng),所述數(shù)據(jù)采集系統(tǒng)從網(wǎng)絡(luò)上采集信息,再對所采集的信息進(jìn)行預(yù)處理,所述通信系統(tǒng)分別與數(shù)據(jù)采集系統(tǒng)和數(shù)據(jù)分析系統(tǒng)連接,把經(jīng)過數(shù)據(jù)采集系統(tǒng)預(yù)處理后的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)分析系統(tǒng),所述數(shù)據(jù)分析系統(tǒng)對通信系統(tǒng)送來的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)行為分析和網(wǎng)絡(luò)行為預(yù)測。2、根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò)行為分析系統(tǒng),其特征在于所述的數(shù)據(jù)采集系統(tǒng)包含本地采集模塊、遠(yuǎn)程采集模塊、應(yīng)用識別模塊、響應(yīng)時間測量模塊、路徑性能測量模塊、分組捕獲模塊、數(shù)據(jù)預(yù)處理模塊;所述本地采集模塊、和/或遠(yuǎn)程采集模塊從網(wǎng)絡(luò)上采集信息,并選擇通過應(yīng)用識別模塊、響應(yīng)時間測量模塊、路徑性能測量模塊、分組捕獲模塊的一個或多個進(jìn)行處理,然后再通過數(shù)據(jù)預(yù)處理模塊進(jìn)行預(yù)處理,獲取各項統(tǒng)計結(jié)果。3、根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)行為分析系統(tǒng),其特征在于所述本地采集模塊采用如下三種方式接入網(wǎng)絡(luò)(1)在兩個網(wǎng)絡(luò)設(shè)備之間,配置一臺包括兩塊網(wǎng)卡的數(shù)據(jù)采集設(shè)備,數(shù)據(jù)采集設(shè)備的兩塊網(wǎng)卡分別通過網(wǎng)線與兩個網(wǎng)絡(luò)設(shè)備連接,使得流經(jīng)這兩個網(wǎng)絡(luò)設(shè)備之間鏈路的所有分組都經(jīng)過該數(shù)據(jù)采集設(shè)備;(2)采用探測頭把鏈路上的信號分接到數(shù)據(jù)采集設(shè)備的一塊網(wǎng)卡,使得經(jīng)過該鏈路的所有分組都分接到該數(shù)據(jù)采集設(shè)備;(3)采用網(wǎng)線把數(shù)據(jù)采集設(shè)備的一塊網(wǎng)卡連接到網(wǎng)絡(luò)設(shè)備的鏡像口或者監(jiān)控口,使得通過該網(wǎng)絡(luò)設(shè)備的分組復(fù)制到數(shù)據(jù)采集設(shè)備;所述的遠(yuǎn)程采集模塊每1分鐘都通過SNMP、或RMON、或Netflow、或Sflow協(xié)議,從網(wǎng)絡(luò)設(shè)備上采集一次數(shù)據(jù)。4、根據(jù)權(quán)利要求2或3所述的網(wǎng)絡(luò)行為分析系統(tǒng),其特征在于所述的應(yīng)用識別模塊對釆集的信息分組進(jìn)行解析,提取其應(yīng)用層數(shù)據(jù),并對應(yīng)用層數(shù)據(jù)進(jìn)行應(yīng)用識別,把識別結(jié)果用一個整數(shù)值mark唯一標(biāo)記;所述的響應(yīng)時間測量模塊測量請求包與響應(yīng)包之間的時間差;所述的路徑性能測量模塊測量網(wǎng)絡(luò)路徑的性能;所述的分組捕獲模塊根據(jù)預(yù)設(shè)的條件對數(shù)據(jù)分組進(jìn)行匹配,當(dāng)匹配條件滿足時,把對應(yīng)連接的五元組信息、分組及其到達(dá)時間記錄下來,所預(yù)設(shè)的條件包括關(guān)鍵詞、和/或URL、和/或IP地址、和/或端口號;所述的數(shù)據(jù)預(yù)處理模塊對采集到的信息分組進(jìn)行預(yù)處理,獲取各項統(tǒng)計結(jié)果。5、根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)行為分析系統(tǒng),其特征在于所述數(shù)據(jù)預(yù)處理模塊包含分段處理子模塊、內(nèi)網(wǎng)IP處理子模塊、外網(wǎng)IP處理子模塊、端口處理子模塊、三元組信息映射子模塊、五元組信息處理子模塊、數(shù)據(jù)統(tǒng)計子模塊、保存數(shù)據(jù)子模塊。6、根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò)行為分析系統(tǒng),其特征在于所述的數(shù)據(jù)分析系統(tǒng)包含鏈路分析模塊、主機分析模塊、IP分組分析模塊、連接分析模塊、應(yīng)用分析模塊、協(xié)議字段分析模塊、總體分析模塊、歷史分析和預(yù)測分析模塊。全文摘要本發(fā)明提供一種網(wǎng)絡(luò)行為分析系統(tǒng),它通過一到多個數(shù)據(jù)采集系統(tǒng)從網(wǎng)絡(luò)中各處的鏈路、路由器、交換機采集網(wǎng)絡(luò)中的應(yīng)用、協(xié)議、連接、流量、內(nèi)容、性能等信息,并對所采集的信息進(jìn)行預(yù)處理;通信系統(tǒng)把各個數(shù)據(jù)采集系統(tǒng)預(yù)處理后的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)分析系統(tǒng);數(shù)據(jù)分析系統(tǒng)對收集到的數(shù)據(jù),進(jìn)行即時的、歷史的、選擇性的網(wǎng)絡(luò)行為分析和未來的網(wǎng)絡(luò)行為預(yù)測;顯示系統(tǒng)把網(wǎng)絡(luò)行為分析結(jié)果顯示給用戶。本發(fā)明是一種內(nèi)部網(wǎng)絡(luò)管理、性能分析、網(wǎng)絡(luò)安全檢測系統(tǒng),可以用于容量規(guī)劃、故障排除、問題預(yù)防、服務(wù)水平管理、應(yīng)用層分析、基于應(yīng)用識別的應(yīng)用監(jiān)控、基于數(shù)據(jù)源的網(wǎng)絡(luò)監(jiān)控、發(fā)現(xiàn)未知的應(yīng)用、定位網(wǎng)絡(luò)攻擊等。文檔編號H04L12/24GK101562534SQ20091003973公開日2009年10月21日申請日期2009年5月26日優(yōu)先權(quán)日2009年5月26日發(fā)明者余順爭申請人:中山大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1