一種基于sflow和owamp的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)及方法
【專(zhuān)利摘要】本發(fā)明屬于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域,具體涉及一種基于SFLOW和OWAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)及方法��。本發(fā)明包括:管理控制模塊包含端點(diǎn)管理模塊�����、任務(wù)配置模塊和任務(wù)分發(fā)模塊:數(shù)據(jù)預(yù)處理模塊負(fù)責(zé)對(duì)數(shù)據(jù)采集模塊采集到的SFLOW數(shù)據(jù)信息和OWAMP數(shù)據(jù)信息進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化處理�,去除不同節(jié)點(diǎn)采集到的冗余信息,數(shù)據(jù)預(yù)處理后存儲(chǔ)到數(shù)據(jù)處理中心���;可視化模塊負(fù)責(zé)將來(lái)自性能評(píng)估模塊產(chǎn)生的評(píng)估信息以圖形化的形式展示給用戶���。會(huì)話發(fā)起端和會(huì)話接收端之間的會(huì)話采用HMAC加密���,而且采用NTP時(shí)鐘同步協(xié)議,在安全性和時(shí)效性方面具有巨大優(yōu)勢(shì)���;測(cè)量方式和基于往返的測(cè)量方式相比�,減少了往返時(shí)延���。
【專(zhuān)利說(shuō)明】-種基于SFLOW和OWAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)及 方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域��,具體涉及一種基于SFL0W和0WAMP的網(wǎng)絡(luò)安 全態(tài)勢(shì)信息獲取系統(tǒng)及方法��。
【背景技術(shù)】
[0002] 以虛擬專(zhuān)用網(wǎng)(VPN)�、實(shí)時(shí)視頻服務(wù)���、語(yǔ)音服務(wù)等為主題的新型網(wǎng)絡(luò)應(yīng)用
[0003] 方式�����,使用戶的關(guān)注焦點(diǎn)從傳統(tǒng)數(shù)據(jù)應(yīng)用轉(zhuǎn)向了網(wǎng)絡(luò)的安全性。所以當(dāng)前的網(wǎng)絡(luò) 安全需求��,要求能夠高效實(shí)時(shí)的獲取網(wǎng)絡(luò)中的數(shù)據(jù)信息,且不對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)運(yùn)行狀況 造成較大的影響�,能夠有效的分析網(wǎng)絡(luò)數(shù)據(jù)中蘊(yùn)含的各種安全事件信息并進(jìn)行評(píng)估,提供 受控網(wǎng)絡(luò)的全局運(yùn)行狀態(tài)信息���,提高系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)的認(rèn)知和理解能力���,及時(shí)將網(wǎng)絡(luò)的各 種數(shù)據(jù)信息交給網(wǎng)絡(luò)安全管理人員處理,并迅速生成網(wǎng)絡(luò)安全性能評(píng)估信息呈獻(xiàn)給用戶���。
[0004] 目前����,網(wǎng)絡(luò)安全態(tài)勢(shì)的數(shù)據(jù)信息�,可以通過(guò)SNMP、SFLOW���、NETFL0W等方法進(jìn)行采 集��,然而這些測(cè)量方法有個(gè)共同的缺陷是被動(dòng)測(cè)量�����,及需要對(duì)采集的數(shù)據(jù)進(jìn)行處理后才 能生成相應(yīng)的網(wǎng)絡(luò)安全性能評(píng)估���。于是���,本專(zhuān)利提出將SFL0W和OWAMP (One-Way Active Measurement Protocol)相結(jié)合的方法,實(shí)現(xiàn)主動(dòng)的測(cè)量���。
[0005] SFL0W技術(shù)可以獲得鏈路層��、網(wǎng)絡(luò)層和傳輸層的完整信息以及全網(wǎng)流量信息����,包括 了源��、目的IP地址�、源、目的端口號(hào)��、協(xié)議類(lèi)型等豐富的信息���,能夠?qū)崟r(shí)反映當(dāng)前網(wǎng)絡(luò)中的 安全狀態(tài)����、用戶的網(wǎng)絡(luò)行為等信息�����。而且����,SFL0W的"永遠(yuǎn)在線"、"全網(wǎng)監(jiān)控"���,以及SFL0W代 理不直接對(duì)獲取的數(shù)據(jù)信息進(jìn)行處理和存儲(chǔ)�����,使得它不會(huì)影響網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)通訊的性能 的特點(diǎn)�,使其在網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取中具有巨大優(yōu)勢(shì)�����。但是���,SFL0W采集不到諸如端到端 時(shí)延���、帶寬、抖動(dòng)等網(wǎng)絡(luò)性能方面的數(shù)據(jù)信息�����,而這方面是0WAMP協(xié)議的優(yōu)勢(shì)。
[0006] 0WAMP是端到端的主動(dòng)測(cè)量協(xié)議(RFC 4656)���,它的出現(xiàn)使單向的IP高精度測(cè)量 在廣泛可用的時(shí)鐘資源下成為了可能�����。在因特網(wǎng)中��,從源地址到目的地址通常與同一個(gè)目 的地址到源地址所經(jīng)過(guò)的路徑不同�,即所謂的"非對(duì)稱(chēng)路徑"����,在非對(duì)稱(chēng)路徑上的網(wǎng)絡(luò)性能 也不一樣。即使2條路徑是對(duì)稱(chēng)的�,也會(huì)因不對(duì)稱(chēng)的數(shù)據(jù)包隊(duì)列而產(chǎn)生不同的性能特征。 0WAMP是對(duì)IPPM(IP Performance Metrics)協(xié)議制定的關(guān)于網(wǎng)絡(luò)性能的各項(xiàng)參數(shù)進(jìn)行優(yōu)化 和擴(kuò)展��。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的目的在于提供一種能在大規(guī)模網(wǎng)絡(luò)環(huán)境下����,對(duì)于網(wǎng)絡(luò)運(yùn)行過(guò)程中的狀態(tài) 信息以及性能指標(biāo)能夠主動(dòng)測(cè)量的基于SFL0W和0WAMP網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)。本發(fā) 明的目的還在于提供一種基于SFL0W和0WAMP網(wǎng)絡(luò)安全態(tài)勢(shì)獲取方法。
[0008] 本發(fā)明的目的是這樣實(shí)現(xiàn)的:
[0009] 一種基于SFL0W和0WAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng):
[0010] 管理控制模塊包含端點(diǎn)管理模塊���、任務(wù)配置模塊和任務(wù)分發(fā)模塊: toon] 端點(diǎn)管理模塊負(fù)責(zé)記錄�����、處理來(lái)自任務(wù)配置模塊和任務(wù)分發(fā)模塊的執(zhí)行情況,以 及來(lái)自會(huì)話發(fā)起端和會(huì)話接收端數(shù)據(jù)包的異常信息����,并對(duì)會(huì)話發(fā)起端和會(huì)話接收端、數(shù)據(jù) 管理中心��、各個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行動(dòng)態(tài)配置和管理���;
[0012] 任務(wù)配置模塊接收來(lái)自用戶的采集任務(wù)命令����,根據(jù)用戶需求配置采集任務(wù)參數(shù)��, 并將配置好的采集任務(wù)交給任務(wù)分發(fā)模塊�����;
[0013] 任務(wù)分發(fā)模塊接收來(lái)自任務(wù)配置模塊配置的任務(wù),根據(jù)采集任務(wù)的不同�,將采集 任務(wù)分發(fā)給會(huì)話發(fā)起端不同的會(huì)話接收端代理模塊的任務(wù)監(jiān)聽(tīng)模塊;
[0014] 會(huì)話發(fā)起端是由會(huì)話發(fā)起端代理模塊構(gòu)成的����,其中,每一個(gè)會(huì)話發(fā)起端代理模塊 包含任務(wù)監(jiān)聽(tīng)模塊�、任務(wù)執(zhí)行模塊和信息查詢(xún)模塊;
[0015] 任務(wù)監(jiān)聽(tīng)模塊是監(jiān)聽(tīng)來(lái)自任務(wù)分發(fā)模塊的會(huì)話消息�,將具體的采集任務(wù)交由任務(wù) 執(zhí)行模塊;
[0016] 任務(wù)執(zhí)行模塊根據(jù)任務(wù)監(jiān)聽(tīng)模塊模塊監(jiān)聽(tīng)到的采集任務(wù)�,在指定時(shí)刻觸發(fā)執(zhí)行, 任務(wù)執(zhí)行情況信息輸出給信息查詢(xún)模塊�����;
[0017] 信息查詢(xún)模塊接收來(lái)自任務(wù)執(zhí)行模塊輸出的信息供用戶查詢(xún)����;
[0018] 會(huì)話接收端是由會(huì)話接收端代理模塊構(gòu)成的,每一個(gè)會(huì)話接收端代理模塊包含任 務(wù)接收模塊���、數(shù)據(jù)采集模塊��、數(shù)據(jù)預(yù)處理模塊���;
[0019] 任務(wù)接收模塊接收來(lái)自任務(wù)執(zhí)行模塊的采集任務(wù),并通過(guò)HMAC機(jī)制進(jìn)行身份和 安全認(rèn)證��,通過(guò)驗(yàn)證的采集任務(wù)數(shù)據(jù)包交給數(shù)據(jù)采集模塊����;
[0020] 數(shù)據(jù)采集模塊根據(jù)任務(wù)接收模塊測(cè)量數(shù)據(jù)包的信息來(lái)觸發(fā)代理采集網(wǎng)絡(luò)數(shù)據(jù)��,包 括SFL0W數(shù)據(jù)信息和0WAMP數(shù)據(jù)信息����,采集的SFL0W信息包括12個(gè)字段:源IP地址��、目的IP 地址��、源端口號(hào)�、目的端口號(hào)、IP服務(wù)類(lèi)型��、源MAC地址���、目的MAC地址���、TCP標(biāo)記位��、接口速 率���、源地址子網(wǎng)掩碼位數(shù)、目的地址子網(wǎng)掩碼位數(shù)和輸入輸出接口的端口值����,采集的0WAMP 數(shù)據(jù)包括5個(gè)字段:網(wǎng)絡(luò)連接性、網(wǎng)絡(luò)帶寬�、單路時(shí)延、往返時(shí)延�、單路數(shù)據(jù)包丟失;采集的 網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)一成XML格式數(shù)據(jù)后交由數(shù)據(jù)預(yù)處理模塊處理�;
[0021] 數(shù)據(jù)預(yù)處理模塊負(fù)責(zé)對(duì)數(shù)據(jù)采集模塊采集到的SFL0W數(shù)據(jù)信息和0WAMP數(shù)據(jù)信息 進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化處理,去除不同節(jié)點(diǎn)采集到的冗余信息�,數(shù)據(jù)預(yù)處理后存儲(chǔ)到數(shù)據(jù)處理中 心;
[0022] 數(shù)據(jù)處理模塊包含數(shù)據(jù)優(yōu)化模塊�����、性能評(píng)估模塊�;
[0023] 數(shù)據(jù)優(yōu)化模塊從數(shù)據(jù)管理中心讀取網(wǎng)絡(luò)數(shù)據(jù),對(duì)預(yù)處理后的信息通過(guò)采用索引優(yōu) 化的方式進(jìn)行優(yōu)化處理����,在數(shù)據(jù)管理中心進(jìn)行存儲(chǔ)��,然后交給性能評(píng)估模塊�;
[0024] 性能評(píng)估模對(duì)數(shù)據(jù)優(yōu)化模塊處理后的信息以往返時(shí)延�、單路數(shù)據(jù)包丟失為關(guān)鍵 字,采用關(guān)聯(lián)規(guī)則的處理方法來(lái)評(píng)估現(xiàn)有網(wǎng)絡(luò)��,最終生成網(wǎng)絡(luò)性能評(píng)估信息�,交給可視化模 塊供用戶查看;
[0025] 可視化模塊負(fù)責(zé)將來(lái)自性能評(píng)估模塊產(chǎn)生的評(píng)估信息以圖形化的形式展示給用 戶�����。
[0026] -種基于SFL0W和0WAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取方法:
[0027] (1)在管理控制模塊按照事先獲取用戶信息的具體要求�,配置采集任務(wù)參數(shù)���,并將 采集任務(wù)分發(fā)給會(huì)話發(fā)起端代理模塊��;
[0028] (2)會(huì)話發(fā)起端代理模塊向會(huì)話接收端代理模塊發(fā)送TCP連接請(qǐng)求���,請(qǐng)求通過(guò)后, 建立測(cè)試連接�;測(cè)試連接通過(guò)后采集任務(wù)數(shù)據(jù)包開(kāi)始經(jīng)過(guò)路由尋找目的端,在發(fā)送端為給 數(shù)據(jù)包打上時(shí)間戳����,經(jīng)過(guò)節(jié)點(diǎn)每一跳時(shí)��,由管理控制模塊記錄時(shí)延����、流量����、是否由于擁塞被 丟棄等相關(guān)屬性;
[0029] (3)采集任務(wù)數(shù)據(jù)包到達(dá)會(huì)話接收端代理模塊后�,立即給數(shù)據(jù)包打上另一個(gè)時(shí)間 戳,并通過(guò)偽隨機(jī)數(shù)方法來(lái)判定采集任務(wù)數(shù)據(jù)包是否在合法的時(shí)間范圍內(nèi)到達(dá)��,如果是����,將 該采集任務(wù)數(shù)據(jù)包記錄為合法的數(shù)據(jù)包,否則被丟棄�����;數(shù)據(jù)采集模塊根據(jù)合法數(shù)據(jù)包進(jìn)行 數(shù)據(jù)采集�����,采集的數(shù)據(jù)作為數(shù)據(jù)預(yù)處理模塊的輸入;
[0030] (4)數(shù)據(jù)預(yù)處理模塊對(duì)采集到的SFL0W數(shù)據(jù)信息和0WAMP數(shù)據(jù)信息進(jìn)行去冗余處 理��;
[0031] (5)數(shù)據(jù)優(yōu)化模塊對(duì)預(yù)處理后的信息采用索引優(yōu)化方法進(jìn)行優(yōu)化����,并進(jìn)行存儲(chǔ);
[0032] (6)性能評(píng)估模塊以網(wǎng)絡(luò)連接性�����、網(wǎng)絡(luò)帶寬�、往返時(shí)延、單路數(shù)據(jù)包丟失這些關(guān)鍵 數(shù)據(jù)�,通過(guò)采用關(guān)聯(lián)規(guī)則的處理方法來(lái)評(píng)估現(xiàn)有網(wǎng)絡(luò),為優(yōu)化網(wǎng)絡(luò)性能提供依據(jù)����;
[0033] (7)可視化模塊提供給用戶一個(gè)可視化的操作界面�����,將網(wǎng)絡(luò)性能評(píng)估信息實(shí)時(shí)呈 現(xiàn)給用戶���。
[0034] 本發(fā)明的有益效果體現(xiàn)在:
[0035] (1)會(huì)話發(fā)起端和會(huì)話接收端之間的會(huì)話采用HMAC (Hash-based Message Authentication Code,哈希運(yùn)算消息認(rèn)證碼)加密����,而且采用NTP (Network Time Protocol)時(shí)鐘同步協(xié)議,在安全性和時(shí)效性方面具有巨大優(yōu)勢(shì)��;
[0036] (2)測(cè)量方式和基于往返(roundtrip-based)的測(cè)量方式相比��,減少了往返時(shí)延�;
[0037] (3)測(cè)量允許用戶隔離網(wǎng)絡(luò)中的特定部分的流量的處理帶來(lái)的影響,可以更好的 確認(rèn)網(wǎng)絡(luò)產(chǎn)生擁塞的方向�;
[0038] (4)可以自定義測(cè)量數(shù)據(jù)包執(zhí)行的時(shí)間表,采集丟包率�����、平均時(shí)延���、抖動(dòng)����、延遲�、源、 目的IP地址���、源�����、目的端口號(hào)�����、協(xié)議類(lèi)型等豐富的網(wǎng)絡(luò)信息��。這些信息為分析網(wǎng)絡(luò)的具體行 為和對(duì)應(yīng)用資源進(jìn)行改善提供了可能�����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0039] 圖1基于SFL0W和0WAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)及方法的裝置框架圖�;
[0040] 圖2基于SFL0W和0WAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)及方法的工作流程圖;
[0041] 圖3基于SFL0W和0WAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)及方法具體實(shí)施的網(wǎng)絡(luò)部 署圖��。
【具體實(shí)施方式】
[0042] 下面結(jié)合具體實(shí)施例對(duì)本發(fā)明作更詳細(xì)的描述:
[0043] 本發(fā)明的基于SFL0W和0WAMP網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)包括管理控制模塊�、會(huì) 話發(fā)起端(由多個(gè)會(huì)話發(fā)起端代理模塊組成)、會(huì)話接收端(由多個(gè)會(huì)話接收端代理模塊組 成)�、數(shù)據(jù)處理模塊、可視化模塊����。
[0044] ①管理控制模塊包含端點(diǎn)管理模塊�、任務(wù)配置模塊和任務(wù)分發(fā)模塊�����。
[0045] 端點(diǎn)管理模塊負(fù)責(zé)記錄����、處理來(lái)自任務(wù)配置模塊和任務(wù)分發(fā)模塊的執(zhí)行情況�����,以 及來(lái)自會(huì)話發(fā)起端和會(huì)話接收端數(shù)據(jù)包的異常信息���,并對(duì)會(huì)話發(fā)起端和會(huì)話接收端���、數(shù)據(jù) 管理中心、各個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行動(dòng)態(tài)配置和管理����。
[0046] 任務(wù)配置模塊接收來(lái)自用戶的采集任務(wù)命令,根據(jù)用戶需求配置采集任務(wù)參數(shù)��, 并將配置好的采集任務(wù)交給任務(wù)分發(fā)模塊����。
[0047] 任務(wù)分發(fā)模塊接收來(lái)自任務(wù)配置模塊配置的任務(wù)�����,根據(jù)采集任務(wù)的不同�,將采集 任務(wù)分發(fā)給會(huì)話發(fā)起端不同的會(huì)話接收端代理模塊的任務(wù)監(jiān)聽(tīng)模塊����。
[0048] ②會(huì)話發(fā)起端是由多個(gè)會(huì)話發(fā)起端代理模塊構(gòu)成的。其中��,每一個(gè)會(huì)話發(fā)起端代 理模塊包含任務(wù)監(jiān)聽(tīng)模塊��、任務(wù)執(zhí)行模塊和信息查詢(xún)模塊���。
[0049] 任務(wù)監(jiān)聽(tīng)模塊是監(jiān)聽(tīng)來(lái)自任務(wù)分發(fā)模塊的會(huì)話消息����,將具體的采集任務(wù)交由任務(wù) 執(zhí)行模塊�。
[0050] 任務(wù)執(zhí)行模塊根據(jù)任務(wù)監(jiān)聽(tīng)模塊模塊監(jiān)聽(tīng)到的采集任務(wù),在指定時(shí)刻觸發(fā)執(zhí)行��, 任務(wù)執(zhí)行情況信息輸出給信息查詢(xún)模塊�����。
[0051] 信息查詢(xún)模塊接收來(lái)自任務(wù)執(zhí)行模塊輸出的信息供用戶查詢(xún)��。
[0052] ③會(huì)話接收端是由多個(gè)會(huì)話接收端代理模塊構(gòu)成的����。其中,每一個(gè)會(huì)話接收端代 理模塊包含任務(wù)接收模塊�����、數(shù)據(jù)采集模塊�����、數(shù)據(jù)預(yù)處理模塊����。
[0053] 任務(wù)接收模塊接收來(lái)自任務(wù)執(zhí)行模塊的采集任務(wù),并通過(guò)HMAC機(jī)制進(jìn)行身份和 安全認(rèn)證����,通過(guò)驗(yàn)證的采集任務(wù)數(shù)據(jù)包交給數(shù)據(jù)采集模塊。
[0054] 數(shù)據(jù)采集模塊根據(jù)任務(wù)接收模塊測(cè)量數(shù)據(jù)包的信息來(lái)觸發(fā)代理采集網(wǎng)絡(luò)數(shù)據(jù)�����,包 括SFL0W數(shù)據(jù)信息和0WAMP數(shù)據(jù)信息。采集的SFL0W信息包括12個(gè)字段:源IP地址����、目 的IP地址、源端口號(hào)���、目的端口號(hào)���、IP服務(wù)類(lèi)型、源MAC地址����、目的MAC地址、TCP標(biāo)記位���、 接口速率�、源地址子網(wǎng)掩碼位數(shù)���、目的地址子網(wǎng)掩碼位數(shù)和輸入輸出接口的端口值�����。采集的 0WAMP數(shù)據(jù)包括5個(gè)字段:網(wǎng)絡(luò)連接性�����、網(wǎng)絡(luò)帶寬�����、單路時(shí)延�����、往返時(shí)延�����、單路數(shù)據(jù)包丟失�����。采 集的網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)一成XML格式數(shù)據(jù)后交由數(shù)據(jù)預(yù)處理模塊處理���。
[0055] 數(shù)據(jù)預(yù)處理模塊負(fù)責(zé)對(duì)數(shù)據(jù)采集模塊采集到的SFL0W數(shù)據(jù)信息和0WAMP數(shù)據(jù)信息 進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化處理,去除不同節(jié)點(diǎn)采集到的冗余信息��,數(shù)據(jù)預(yù)處理后存儲(chǔ)到數(shù)據(jù)處理中 心。
[0056] ④數(shù)據(jù)處理模塊包含數(shù)據(jù)優(yōu)化模塊���、性能評(píng)估模塊�����。
[0057] 數(shù)據(jù)優(yōu)化模塊從數(shù)據(jù)管理中心讀取網(wǎng)絡(luò)數(shù)據(jù)���,對(duì)預(yù)處理后的信息通過(guò)采用索引優(yōu) 化的方式進(jìn)行優(yōu)化處理,在數(shù)據(jù)管理中心進(jìn)行存儲(chǔ)����,然后交給性能評(píng)估模塊。
[0058] 性能評(píng)估模對(duì)數(shù)據(jù)優(yōu)化模塊處理后的信息以往返時(shí)延���、單路數(shù)據(jù)包丟失為關(guān)鍵 字���,采用關(guān)聯(lián)規(guī)則的處理方法來(lái)評(píng)估現(xiàn)有網(wǎng)絡(luò),最終生成網(wǎng)絡(luò)性能評(píng)估信息�����,交給可視化模 塊供用戶查看��。
[0059] ⑤可視化模塊負(fù)責(zé)將來(lái)自性能評(píng)估模塊產(chǎn)生的評(píng)估信息以圖形化的形式展示給 用戶。
[0060] 本發(fā)明的基于SFL0W和0WAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取方法為:
[0061] (1)首先在管理控制模塊按照事先獲取用戶信息的具體要求�,配置采集任務(wù)參數(shù), 并將采集任務(wù)分發(fā)給會(huì)話發(fā)起端代理模塊�。
[0062] (2)會(huì)話發(fā)起端代理模塊向會(huì)話接收端代理模塊發(fā)送TCP連接請(qǐng)求,請(qǐng)求通過(guò)后���, 建立測(cè)試連接�。測(cè)試連接通過(guò)后采集任務(wù)數(shù)據(jù)包開(kāi)始經(jīng)過(guò)路由尋找目的端�,在發(fā)送端為給 數(shù)據(jù)包打上時(shí)間戳�����,經(jīng)過(guò)節(jié)點(diǎn)每一跳時(shí)����,由管理控制模塊記錄時(shí)延、流量��、是否由于擁塞被 丟棄等相關(guān)屬性�����。
[0063] (3)采集任務(wù)數(shù)據(jù)包到達(dá)會(huì)話接收端代理模塊后��,立即給數(shù)據(jù)包打上另一個(gè)時(shí)間 戳,并通過(guò)偽隨機(jī)數(shù)方法(RFC 4656)來(lái)判定采集任務(wù)數(shù)據(jù)包是否在合法的時(shí)間范圍內(nèi)到 達(dá)�����。如果是�����,將該采集任務(wù)數(shù)據(jù)包記錄為合法的數(shù)據(jù)包���,否則被丟棄���。數(shù)據(jù)采集模塊根據(jù)合 法數(shù)據(jù)包進(jìn)行數(shù)據(jù)采集,采集的數(shù)據(jù)作為數(shù)據(jù)預(yù)處理模塊的輸入�����。
[0064] (4)數(shù)據(jù)預(yù)處理模塊對(duì)采集到的SFL0W數(shù)據(jù)信息和0WAMP數(shù)據(jù)信息進(jìn)行去冗余等 簡(jiǎn)單的處理�。
[0065] (5)數(shù)據(jù)優(yōu)化模塊對(duì)預(yù)處理后的信息采用索引優(yōu)化方法進(jìn)行優(yōu)化,并進(jìn)行存儲(chǔ)����。
[0066] (6)性能評(píng)估模塊以網(wǎng)絡(luò)連接性、網(wǎng)絡(luò)帶寬、往返時(shí)延����、單路數(shù)據(jù)包丟失這些關(guān)鍵 數(shù)據(jù),通過(guò)采用關(guān)聯(lián)規(guī)則的處理方法來(lái)評(píng)估現(xiàn)有網(wǎng)絡(luò)���,為優(yōu)化網(wǎng)絡(luò)性能提供依據(jù)��。
[0067] (7)可視化模塊提供給用戶一個(gè)可視化的操作界面�����,將網(wǎng)絡(luò)性能評(píng)估信息實(shí)時(shí)呈 現(xiàn)給用戶�����。
[0068] 在具體實(shí)施中,首先將本發(fā)明提供的系統(tǒng)部署到網(wǎng)絡(luò)環(huán)境中����,如圖3所示:
[0069] (1)在網(wǎng)絡(luò)中的任一臺(tái)Intel-Linux架構(gòu)的PC主機(jī)上部署并運(yùn)行具有本發(fā)明裝 置框架圖(圖1所示)的軟件,將PC機(jī)的以太網(wǎng)卡連接到接入網(wǎng)絡(luò)中的局域網(wǎng)交換機(jī)上�, 使之能夠與網(wǎng)絡(luò)及網(wǎng)絡(luò)上的其他PC機(jī)通信。
[0070] (2)將網(wǎng)絡(luò)設(shè)備(交換機(jī)或者路由器)配置能夠產(chǎn)生SFL0W和0WAMP網(wǎng)絡(luò)流數(shù)據(jù)����。
[0071] 結(jié)合圖1所示����,本發(fā)明的一種基于SFL0W和0WAMP網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)及 方法包括管理控制模塊���、會(huì)話發(fā)起端(由多個(gè)會(huì)話發(fā)起端代理模塊組成)���、會(huì)話接收端(由 多個(gè)會(huì)話接收端代理模塊組成)、數(shù)據(jù)處理模塊����、可視化模塊。其中:會(huì)話接收端代理模塊 中的數(shù)據(jù)采集模塊包括SFL0W采集代理以及0WAMP測(cè)量代理�,主要功能是負(fù)責(zé)給網(wǎng)絡(luò)設(shè)備 發(fā)送配置指令和從網(wǎng)絡(luò)設(shè)備獲取網(wǎng)絡(luò)數(shù)據(jù)。
[0072] (l)sFl〇W數(shù)據(jù)包括:源IP地址�����、目的IP地址����、源端口號(hào)、目的端口號(hào)��、IP服務(wù)類(lèi) 型、源MAC地址����、目的MAC地址、TCP標(biāo)記位�、接口速率、源地址子網(wǎng)掩碼位數(shù)�、目的地址子網(wǎng) 掩碼位數(shù)和輸入輸出接口的端口值。
[0073] (2)0WAMP數(shù)據(jù)包括:網(wǎng)絡(luò)連接性�、單路時(shí)延、單路數(shù)據(jù)包丟失��、往返時(shí)延���、數(shù)據(jù)包 時(shí)延抖動(dòng)等��。
[0074] 參閱圖1和圖2,該系統(tǒng)通過(guò)以下步驟來(lái)獲取SFL0W和0WAMP網(wǎng)絡(luò)數(shù)據(jù)信息:
[0075] 步驟1首先用戶在客戶端發(fā)起采集網(wǎng)絡(luò)數(shù)據(jù)命令�����。
[0076] 步驟2管理控制模塊在接受到指令后配置采集任務(wù),采集需要的網(wǎng)絡(luò)流字段�����。并 將采集任務(wù)分發(fā)給不同的會(huì)話發(fā)起端代理模塊。
[0077] 步驟3會(huì)話發(fā)起端代理模塊接收到采集任務(wù)后����,與NTP時(shí)鐘服務(wù)器通信,進(jìn)行時(shí)鐘 同步��。
[0078] 步驟4會(huì)話發(fā)起端代理模塊與會(huì)話接收端代理模塊進(jìn)行控制連接和測(cè)試連接�,建 立連接成功執(zhí)行步驟5,否則執(zhí)行步驟2。
[0079] 步驟5會(huì)話發(fā)起端代理模塊發(fā)送采集任務(wù)數(shù)據(jù)包����,并給數(shù)據(jù)包打上時(shí)間戳。
[0080] 步驟6會(huì)話接收端如果接收到來(lái)自會(huì)話發(fā)起端的采集任務(wù)數(shù)據(jù)包��,則執(zhí)行步驟7�����, 否則執(zhí)行步驟6��。
[0081] 步驟7會(huì)話接收端與NTP時(shí)鐘服務(wù)器同步�。
[0082] 步驟8判斷數(shù)據(jù)包是否異常,如果數(shù)據(jù)包異常�,由端點(diǎn)記錄模塊記錄并處理,否則 執(zhí)行步驟9��。
[0083] 步驟9會(huì)話接收端給接收到數(shù)據(jù)包打上時(shí)間戳。
[0084] 步驟10判斷接收到的數(shù)據(jù)包是否超時(shí)����,如果不是執(zhí)行步驟11 ;否則,異常信息交 由端點(diǎn)管理模塊記錄并處理��。
[0085] 步驟11數(shù)據(jù)采集模塊中的SFL0W采集代理以及0WAMP測(cè)量代理采集網(wǎng)絡(luò)流數(shù)據(jù)����, 數(shù)據(jù)格式統(tǒng)一成XML格式后,由數(shù)據(jù)預(yù)處理模塊處理后存到數(shù)據(jù)管理中心�����。
[0086] 步驟12數(shù)據(jù)處理模塊從數(shù)據(jù)管理中心讀取網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行優(yōu)化處理���,形成評(píng)估報(bào) 生 1=1 〇
[0087] 步驟13可視化模塊展示網(wǎng)絡(luò)的安全評(píng)估信息���。
[0088] 本發(fā)明的有益效果體現(xiàn)在以下幾個(gè)方面:
[0089] 0WAMP 為會(huì)話進(jìn)行HMAC (Hash-based Message Authentication Code,哈希運(yùn)算消 息認(rèn)證碼)加密,而且采用NTP(Network Time Protocol)時(shí)鐘同步協(xié)議����,在安全性和時(shí)效 性方面具有巨大優(yōu)勢(shì)���。
[0090] 本系統(tǒng)的測(cè)量方式和基于往返(roundtrip-based)的測(cè)量方式相比��,減少了往返 時(shí)延����。
[0091] 本系統(tǒng)測(cè)量允許用戶隔離網(wǎng)絡(luò)中的特定部分流量處理帶來(lái)的影響,可以更好的確 認(rèn)網(wǎng)絡(luò)產(chǎn)生擁塞的方向����。
[0092] 可以自定義測(cè)量數(shù)據(jù)包執(zhí)行的時(shí)間表,采集丟包率����、平均時(shí)延、抖動(dòng)���、延遲�����、源�、目 的IP地址����、源�、目的端口號(hào)�、協(xié)議類(lèi)型等豐富的網(wǎng)絡(luò)信息。這些信息為分析網(wǎng)絡(luò)的具體行為 和對(duì)應(yīng)用資源進(jìn)行改善提供了可能��。
[0093] 本發(fā)明在會(huì)話發(fā)起端和會(huì)話接收端之間的會(huì)話采用HMAC(Hash_based Message Authentication Code,哈希運(yùn)算消息認(rèn)證碼)加密���,而且采用NTP (Network Time Protocol)時(shí)鐘同步協(xié)議����,在安全性和時(shí)效性方面具有巨大優(yōu)勢(shì)���;測(cè)量方式和基于往返 (roundtrip-based)的測(cè)量方式相比��,減少了往返時(shí)延�����;測(cè)量允許用戶隔離網(wǎng)絡(luò)中的特定 部分的流量的處理帶來(lái)的影響��,可以更好的確認(rèn)網(wǎng)絡(luò)產(chǎn)生擁塞的方向�;可以自定義測(cè)量數(shù) 據(jù)包執(zhí)行的時(shí)間表�,采集丟包率、平均時(shí)延���、抖動(dòng)���、延遲、源��、目的IP地址����、源、目的端口號(hào)����、 協(xié)議類(lèi)型等豐富的網(wǎng)絡(luò)信息。本發(fā)明可以應(yīng)用在網(wǎng)絡(luò)安全防護(hù)領(lǐng)域����,可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)具體 行為的分析以及對(duì)應(yīng)用資源的改善。
【權(quán)利要求】
1. 一種基于SFLOW和OWAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取系統(tǒng)�����,其特征在于: 管理控制模塊包含端點(diǎn)管理模塊�����、任務(wù)配置模塊和任務(wù)分發(fā)模塊: 端點(diǎn)管理模塊負(fù)責(zé)記錄、處理來(lái)自任務(wù)配置模塊和任務(wù)分發(fā)模塊的執(zhí)行情況��,以及來(lái) 自會(huì)話發(fā)起端和會(huì)話接收端數(shù)據(jù)包的異常信息�����,并對(duì)會(huì)話發(fā)起端和會(huì)話接收端��、數(shù)據(jù)管理 中心�����、各個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行動(dòng)態(tài)配置和管理����; 任務(wù)配置模塊接收來(lái)自用戶的采集任務(wù)命令,根據(jù)用戶需求配置采集任務(wù)參數(shù)��,并將 配置好的采集任務(wù)交給任務(wù)分發(fā)模塊��; 任務(wù)分發(fā)模塊接收來(lái)自任務(wù)配置模塊配置的任務(wù)�����,根據(jù)采集任務(wù)的不同,將采集任務(wù) 分發(fā)給會(huì)話發(fā)起端不同的會(huì)話接收端代理模塊的任務(wù)監(jiān)聽(tīng)模塊��; 會(huì)話發(fā)起端是由會(huì)話發(fā)起端代理模塊構(gòu)成的�����,其中���,每一個(gè)會(huì)話發(fā)起端代理模塊包含 任務(wù)監(jiān)聽(tīng)模塊、任務(wù)執(zhí)行模塊和信息查詢(xún)模塊���; 任務(wù)監(jiān)聽(tīng)模塊是監(jiān)聽(tīng)來(lái)自任務(wù)分發(fā)模塊的會(huì)話消息����,將具體的采集任務(wù)交由任務(wù)執(zhí)行 模塊���; 任務(wù)執(zhí)行模塊根據(jù)任務(wù)監(jiān)聽(tīng)模塊模塊監(jiān)聽(tīng)到的采集任務(wù)���,在指定時(shí)刻觸發(fā)執(zhí)行,任務(wù) 執(zhí)行情況信息輸出給信息查詢(xún)模塊�; 信息查詢(xún)模塊接收來(lái)自任務(wù)執(zhí)行模塊輸出的信息供用戶查詢(xún); 會(huì)話接收端是由會(huì)話接收端代理模塊構(gòu)成的���,每一個(gè)會(huì)話接收端代理模塊包含任務(wù)接 收模塊�����、數(shù)據(jù)采集模塊��、數(shù)據(jù)預(yù)處理模塊��; 任務(wù)接收模塊接收來(lái)自任務(wù)執(zhí)行模塊的采集任務(wù)��,并通過(guò)HMAC機(jī)制進(jìn)行身份和安全 認(rèn)證����,通過(guò)驗(yàn)證的采集任務(wù)數(shù)據(jù)包交給數(shù)據(jù)采集模塊; 數(shù)據(jù)采集模塊根據(jù)任務(wù)接收模塊測(cè)量數(shù)據(jù)包的信息來(lái)觸發(fā)代理采集網(wǎng)絡(luò)數(shù)據(jù)���,包括 SFL0W數(shù)據(jù)信息和0WAMP數(shù)據(jù)信息����,采集的SFL0W信息包括12個(gè)字段:源IP地址��、目的IP 地址�、源端口號(hào)、目的端口號(hào)�����、IP服務(wù)類(lèi)型、源MAC地址��、目的MAC地址�、TCP標(biāo)記位、接口速 率�、源地址子網(wǎng)掩碼位數(shù)、目的地址子網(wǎng)掩碼位數(shù)和輸入輸出接口的端口值�����,采集的0WAMP 數(shù)據(jù)包括5個(gè)字段:網(wǎng)絡(luò)連接性��、網(wǎng)絡(luò)帶寬��、單路時(shí)延����、往返時(shí)延��、單路數(shù)據(jù)包丟失��;采集的 網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)一成XML格式數(shù)據(jù)后交由數(shù)據(jù)預(yù)處理模塊處理�����; 數(shù)據(jù)預(yù)處理模塊負(fù)責(zé)對(duì)數(shù)據(jù)采集模塊采集到的SFL0W數(shù)據(jù)信息和0WAMP數(shù)據(jù)信息進(jìn)行 數(shù)據(jù)標(biāo)準(zhǔn)化處理,去除不同節(jié)點(diǎn)采集到的冗余信息���,數(shù)據(jù)預(yù)處理后存儲(chǔ)到數(shù)據(jù)處理中心���; 數(shù)據(jù)處理模塊包含數(shù)據(jù)優(yōu)化模塊、性能評(píng)估模塊�; 數(shù)據(jù)優(yōu)化模塊從數(shù)據(jù)管理中心讀取網(wǎng)絡(luò)數(shù)據(jù),對(duì)預(yù)處理后的信息通過(guò)采用索引優(yōu)化的 方式進(jìn)行優(yōu)化處理����,在數(shù)據(jù)管理中心進(jìn)行存儲(chǔ),然后交給性能評(píng)估模塊���; 性能評(píng)估模對(duì)數(shù)據(jù)優(yōu)化模塊處理后的信息以往返時(shí)延���、單路數(shù)據(jù)包丟失為關(guān)鍵字,采 用關(guān)聯(lián)規(guī)則的處理方法來(lái)評(píng)估現(xiàn)有網(wǎng)絡(luò)�,最終生成網(wǎng)絡(luò)性能評(píng)估信息,交給可視化模塊供 用戶查看�; 可視化模塊負(fù)責(zé)將來(lái)自性能評(píng)估模塊產(chǎn)生的評(píng)估信息以圖形化的形式展示給用戶。
2. -種基于SFL0W和0WAMP的網(wǎng)絡(luò)安全態(tài)勢(shì)信息獲取方法�����,其特征在于: (1) 在管理控制模塊按照事先獲取用戶信息的具體要求,配置采集任務(wù)參數(shù)��,并將采集 任務(wù)分發(fā)給會(huì)話發(fā)起端代理模塊����; (2) 會(huì)話發(fā)起端代理模塊向會(huì)話接收端代理模塊發(fā)送TCP連接請(qǐng)求,請(qǐng)求通過(guò)后��,建立 測(cè)試連接����;測(cè)試連接通過(guò)后采集任務(wù)數(shù)據(jù)包開(kāi)始經(jīng)過(guò)路由尋找目的端,在發(fā)送端為給數(shù)據(jù) 包打上時(shí)間戳�,經(jīng)過(guò)節(jié)點(diǎn)每一跳時(shí)����,由管理控制模塊記錄時(shí)延、流量��、是否由于擁塞被丟棄 等相關(guān)屬性�����; (3) 采集任務(wù)數(shù)據(jù)包到達(dá)會(huì)話接收端代理模塊后,立即給數(shù)據(jù)包打上另一個(gè)時(shí)間戳�����,并 通過(guò)偽隨機(jī)數(shù)方法來(lái)判定采集任務(wù)數(shù)據(jù)包是否在合法的時(shí)間范圍內(nèi)到達(dá)����,如果是,將該采 集任務(wù)數(shù)據(jù)包記錄為合法的數(shù)據(jù)包�����,否則被丟棄�;數(shù)據(jù)采集模塊根據(jù)合法數(shù)據(jù)包進(jìn)行數(shù)據(jù) 采集,采集的數(shù)據(jù)作為數(shù)據(jù)預(yù)處理模塊的輸入�; (4) 數(shù)據(jù)預(yù)處理模塊對(duì)采集到的SFLOW數(shù)據(jù)信息和OWAMP數(shù)據(jù)信息進(jìn)行去冗余處理; (5) 數(shù)據(jù)優(yōu)化模塊對(duì)預(yù)處理后的信息采用索引優(yōu)化方法進(jìn)行優(yōu)化��,并進(jìn)行存儲(chǔ)�����; (6) 性能評(píng)估模塊以網(wǎng)絡(luò)連接性��、網(wǎng)絡(luò)帶寬��、往返時(shí)延、單路數(shù)據(jù)包丟失這些關(guān)鍵數(shù)據(jù)����, 通過(guò)采用關(guān)聯(lián)規(guī)則的處理方法來(lái)評(píng)估現(xiàn)有網(wǎng)絡(luò),為優(yōu)化網(wǎng)絡(luò)性能提供依據(jù)�����; (7) 可視化模塊提供給用戶一個(gè)可視化的操作界面���,將網(wǎng)絡(luò)性能評(píng)估信息實(shí)時(shí)呈現(xiàn)給 用戶�����。
【文檔編號(hào)】H04L29/06GK104104548SQ201410374449
【公開(kāi)日】2014年10月15日 申請(qǐng)日期:2014年8月1日 優(yōu)先權(quán)日:2014年8月1日
【發(fā)明者】王慧強(qiáng), 郭方方, 唐勻龍, 馮光升, 周沫, 林俊宇, 修龍亭, 何占博 申請(qǐng)人:哈爾濱工程大學(xué)