本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域.，尤其涉及一種網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制裝置。

背景技術(shù)：

傳統(tǒng)的入侵檢測技巧分為兩種：基于誤用檢測(misused-based)技巧和基于異常檢測(anomaly-based)技巧。前者通過描述每一種攻擊的特殊模式來檢測，是目前入侵檢測商業(yè)產(chǎn)品中使用的主要技巧，其依靠人為的預(yù)先設(shè)定報警規(guī)則來實現(xiàn)，所以在面對不斷變化的網(wǎng)絡(luò)攻擊時有其本身固有的缺陷。網(wǎng)絡(luò)攻擊的行為是變化的，方法、方式也是不斷變化的，傳統(tǒng)的入侵檢測技術(shù)幾乎都把檢測的方法固化在程序中，難以應(yīng)對實時變化的入侵方法(盡管目前有些產(chǎn)品提供了升級策略，但實施過程需要中斷業(yè)務(wù)，其實質(zhì)就是重新更換OS，難以根本性改變這種架構(gòu)模式的缺陷?；诋惓z測技巧主要針對解決誤用檢測技巧所面臨的問題，常見的異常流量檢測存在報警意義模糊，誤報率較高，系統(tǒng)之間難以協(xié)同等問題?，F(xiàn)有的入侵檢測系統(tǒng)都是僅僅包含檢測的方法和能力，并沒有在探測到入侵時能主動實施防御策略，而需要網(wǎng)絡(luò)管理員手工去配置一些額外的設(shè)備進行防御。

傳統(tǒng)入侵檢測僅僅是發(fā)現(xiàn)可疑的網(wǎng)絡(luò)行為并告警，并不直接實施防御功能，依賴于網(wǎng)絡(luò)管理員發(fā)現(xiàn)并根據(jù)經(jīng)驗判斷，從而開始其他設(shè)備，比如防火墻來對網(wǎng)絡(luò)行為進行限制或者影響，但做不到比較實時的聯(lián)動防御。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于提供一種網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制裝置，旨在解決傳統(tǒng)的入侵檢測存在面對不斷變化的網(wǎng)絡(luò)攻擊時有其本身固有的缺陷，報警意義模糊，誤報率較高，系統(tǒng)之間難以協(xié)同，沒有在探測到入侵時能主動實施防御策略，需要網(wǎng)絡(luò)管理員手工配置設(shè)備進行防御，但做不到比較實時的聯(lián)動防御的問題。

本發(fā)明是這樣實現(xiàn)的，一種網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制方法，所述網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制方法包括：

進行用戶局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā)；

實現(xiàn)獲得基本的鏡像流量，以及負責對鏡像流量數(shù)據(jù)進行預(yù)處理；

規(guī)則庫獲取最新規(guī)則動態(tài)，同時實現(xiàn)數(shù)據(jù)連接，轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài)；

根據(jù)分析算法的不同或者變化動態(tài)裝載分析算法到本聯(lián)動控制系統(tǒng)，從流量數(shù)據(jù)庫中依據(jù)標準的SQL規(guī)范來獲取數(shù)據(jù)進行分析；

存儲來自鏡像服務(wù)器的預(yù)處理流量，為各類網(wǎng)絡(luò)行為檢測分析服務(wù)器提供數(shù)據(jù)接口，支持網(wǎng)絡(luò)行為分析；提供規(guī)則數(shù)據(jù)庫，存儲進網(wǎng)絡(luò)行為檢測分析服務(wù)器產(chǎn)生的各類判決規(guī)則，同時判決規(guī)則數(shù)據(jù)庫為聯(lián)動控制裝置服務(wù)器提供來源數(shù)據(jù)。

進一步，所述進行用戶局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā)包括：正常流量時，該裝置對數(shù)據(jù)包不起作用；異常流量時，根據(jù)動態(tài)的轉(zhuǎn)發(fā)規(guī)則對異常流量實施丟棄處理，實現(xiàn)對網(wǎng)絡(luò)流量的區(qū)別對待，達到主動阻斷網(wǎng)絡(luò)攻擊。

進一步，所述實現(xiàn)獲得基本的鏡像流量，以及負責對鏡像流量數(shù)據(jù)進行預(yù)處理包括：

在鏡像端口上捕獲數(shù)據(jù)包，從TCP/IP協(xié)議棧的數(shù)據(jù)鏈路層開始對數(shù)據(jù)包進行分析，對數(shù)據(jù)包的源/目標MAC地址、IP地址、端口、傳輸層協(xié)議類型、TCP標志字段、序號、確認號、應(yīng)用層部分數(shù)據(jù)字段進行截取，并包裝為新的數(shù)據(jù)包格式，存入緩沖隊列中；

從緩沖隊列中獲取數(shù)據(jù)包的線程將緩沖隊列中的自定義數(shù)據(jù)包信息處理到數(shù)據(jù)庫集群系統(tǒng)做階段性保存。

進一步，所述根據(jù)分析算法的不同或者變化動態(tài)裝載到本聯(lián)動控制系統(tǒng)，從流量數(shù)據(jù)庫系統(tǒng)依據(jù)標準的SQL規(guī)范獲取數(shù)據(jù)進行分析包括：

根據(jù)業(yè)務(wù)數(shù)據(jù)庫表字段，選取感興趣的部分字段查詢某段時間范圍內(nèi)的數(shù)據(jù)；

依據(jù)分析算法中的異常檢測模型(由具體的檢測算法確定)判斷網(wǎng)絡(luò)行為；如基于端口號匹配、基于特征字段，基于傳輸層行為模式、基于HTTP行為模式，以及基于其他layer5層的數(shù)據(jù)特征等多種分析方法；

對異常流量進行判決，寫入轉(zhuǎn)發(fā)規(guī)則至動態(tài)規(guī)則庫；

依據(jù)網(wǎng)絡(luò)行為檢測分析服務(wù)器配置，對動態(tài)規(guī)則庫的規(guī)則進行有效性及時間戳修改；

提供用戶配置界面，對網(wǎng)絡(luò)行為檢測算法的各項參數(shù)進行初始配置或修訂。

進一步，所述規(guī)則庫獲取最新規(guī)則動態(tài)，同時實現(xiàn)數(shù)據(jù)連接，轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài)包括：

建立與流量數(shù)據(jù)庫集群系統(tǒng)之間的連接；

建立與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊之間的數(shù)據(jù)連接；

依據(jù)聯(lián)動控制調(diào)度配置實施規(guī)則調(diào)度策略；

將獲取到的動態(tài)規(guī)則表數(shù)據(jù)轉(zhuǎn)換為TLY格式，實現(xiàn)從聯(lián)動控制裝置到數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的推送。

本發(fā)明的另一目的在于提供一種所述網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制方法的網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制裝置，所述網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制裝置包括：

數(shù)據(jù)包轉(zhuǎn)發(fā)模塊，用于進行用戶局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā)；

數(shù)據(jù)包鏡像流量預(yù)處理模塊，用于實現(xiàn)從數(shù)據(jù)包轉(zhuǎn)發(fā)模塊中獲得基本的鏡像流量，以及負責對鏡像流量數(shù)據(jù)進行預(yù)處理；

聯(lián)動控制裝置模塊，用于從流量數(shù)據(jù)庫集群系統(tǒng)中的規(guī)則庫獲取最新規(guī)則動態(tài)，同時與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊實現(xiàn)數(shù)據(jù)連接，轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài)，并推送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊；

網(wǎng)絡(luò)行為檢測分析模塊，根據(jù)分析算法的不同或者變化動態(tài)裝入本聯(lián)動控制系統(tǒng)，從數(shù)據(jù)庫集群裝置處獲取數(shù)據(jù)，依據(jù)標準的SQL規(guī)范從數(shù)據(jù)庫集群系統(tǒng)獲取數(shù)據(jù)進行分析；

流量數(shù)據(jù)庫集群系統(tǒng)，用于存儲來自鏡像服務(wù)器的預(yù)處理流量，為各類網(wǎng)絡(luò)行為檢測分析服務(wù)器提供數(shù)據(jù)接口，支持網(wǎng)絡(luò)行為分析；提供規(guī)則數(shù)據(jù)庫，存儲進網(wǎng)絡(luò)行為檢測分析服務(wù)器產(chǎn)生的各類判決規(guī)則，同時判決規(guī)則數(shù)據(jù)庫為聯(lián)動控制裝置服務(wù)器提供來源數(shù)據(jù)。

進一步，所述數(shù)據(jù)包轉(zhuǎn)發(fā)模塊包括：數(shù)據(jù)輸入端口，數(shù)據(jù)輸出端口，數(shù)據(jù)鏡像端口，數(shù)據(jù)聯(lián)動控制端口。

進一步，所述數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器包括：

數(shù)據(jù)捕獲模塊，用于在鏡像端口上捕獲數(shù)據(jù)包，對數(shù)據(jù)包的源/目標MAC地址、IP地址、端口、傳輸層協(xié)議類型、TCP標志字段、序號、確認號、應(yīng)用層部分數(shù)據(jù)字段進行截取，并包裝為新的數(shù)據(jù)包格式，存入緩沖隊列中；

數(shù)據(jù)包線程獲取模塊，用于從緩沖隊列中獲取數(shù)據(jù)包的線程，線程是將緩沖隊列中的自定義數(shù)據(jù)包信息處理到數(shù)據(jù)庫集群系統(tǒng)做階段性保存。

進一步，所述網(wǎng)絡(luò)行為檢測分析服務(wù)器包括：

選取模塊，用于根據(jù)業(yè)務(wù)數(shù)據(jù)庫表字段，選取感興趣的部分字段查詢某段時間范圍內(nèi)的數(shù)據(jù)；

判斷模塊，用于依據(jù)分析算法中的異常檢測模型對數(shù)據(jù)進行分析處理，判斷網(wǎng)絡(luò)行為；

寫入模塊，用于對異常流量進行判決，寫入轉(zhuǎn)發(fā)規(guī)則至動態(tài)規(guī)則庫；

修改模塊，用于依據(jù)網(wǎng)絡(luò)行為檢測分析服務(wù)器配置，對動態(tài)規(guī)則庫的規(guī)則進行有效性及時間戳修改；

修訂模塊，用于提供用戶配置界面，對網(wǎng)絡(luò)行為檢測算法的各項參數(shù)進行初始配置或修訂；

進一步，所述聯(lián)動控制裝置服務(wù)器包括：

SQL連接模塊，用于建立與流量數(shù)據(jù)庫集群系統(tǒng)之間的連接；

數(shù)據(jù)連接模塊，用于建立與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊之間的數(shù)據(jù)連接；

實施模塊，用于依據(jù)聯(lián)動控制調(diào)度配置實施規(guī)則調(diào)度策略；

推送模塊，用于將獲取到的動態(tài)規(guī)則表數(shù)據(jù)轉(zhuǎn)換為TLY格式，實現(xiàn)從聯(lián)動控制裝置到數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的推送。

本發(fā)明提供的網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制裝置，結(jié)合傳統(tǒng)的網(wǎng)絡(luò)異常檢測PHAD(packet headeranomaly detection)模型方法，同時加以適當?shù)木W(wǎng)絡(luò)流量特征向量，通過有限地對數(shù)據(jù)包內(nèi)容關(guān)鍵字段進行檢測和分析，力求準確地判斷是否具有攻擊行為的網(wǎng)絡(luò)流量特征，在此基礎(chǔ)上，通過對數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的轉(zhuǎn)發(fā)規(guī)則表實施動態(tài)干預(yù)(主要指對規(guī)則的生效、有效時間等進行修改)，實現(xiàn)對異常數(shù)據(jù)流量的阻斷。本發(fā)明的主要特點是旁路分析攻擊行為，反向控制轉(zhuǎn)發(fā)行為，當探測到異常網(wǎng)絡(luò)攻擊時，能實時加以對數(shù)據(jù)流的主動截斷，從而達到主動探測攻擊、主動防御的聯(lián)動效果。本發(fā)明提出了一種既能檢測網(wǎng)絡(luò)攻擊行為，又能主動防御的聯(lián)動裝置，擴展了傳統(tǒng)的網(wǎng)絡(luò)入侵檢測設(shè)備的能力。

結(jié)合傳統(tǒng)的網(wǎng)絡(luò)異常檢測方法，同時加以有限地對數(shù)據(jù)包內(nèi)容關(guān)鍵字段進行檢測和分析,在此基礎(chǔ)上，通過對本裝置中的網(wǎng)絡(luò)轉(zhuǎn)發(fā)模塊的轉(zhuǎn)發(fā)規(guī)則表實施動態(tài)干預(yù)(主要指對規(guī)則的生效、有效時間等進行修改)，實現(xiàn)對異常數(shù)據(jù)流量的阻斷。本裝置的主要特點是旁路分析攻擊行為，反向控制轉(zhuǎn)發(fā)行為，當探測到異常網(wǎng)絡(luò)攻擊時，能實時加以對數(shù)據(jù)流的主動截斷，從而達到主動探測攻擊、主動防御的聯(lián)動效果。

本發(fā)明提供的網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制裝置將網(wǎng)絡(luò)入侵檢測功能與網(wǎng)絡(luò)主動防御通過該技術(shù)方案形成一個有機的整體，二者之間不再獨立，而是在檢測算法的作用下相互聯(lián)動，做到比較實時的主動網(wǎng)絡(luò)防御，整個過程不需要網(wǎng)絡(luò)管理人員參與。同時，防御的準確度和有效性可以通過不斷地調(diào)整、優(yōu)化檢測算法/方法來進行改進，同時本技術(shù)方案對與新的檢測方法/方式的引入提供了即插即用的軟件接口，新增、升級檢測方法與算法時，無需中斷網(wǎng)絡(luò)業(yè)務(wù)，實現(xiàn)了調(diào)整靈活，部署靈活。

附圖說明

圖1是本發(fā)明實施例提供的網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制裝置結(jié)構(gòu)示意圖；

圖中：1、路由器；2、數(shù)據(jù)包轉(zhuǎn)發(fā)模塊；3、用戶端；4、數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器；5、聯(lián)動控制裝置服務(wù)器；6、網(wǎng)絡(luò)行為檢測分析服務(wù)器；7、流量數(shù)據(jù)庫集群系統(tǒng)。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合實施例，對本發(fā)明進行進一步詳細說明。應(yīng)當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明結(jié)合傳統(tǒng)的網(wǎng)絡(luò)異常檢測PHAD(packet headeranomaly detection)模型方法，同時加以適當?shù)木W(wǎng)絡(luò)流量特征向量，通過有限地對數(shù)據(jù)包內(nèi)容關(guān)鍵字段進行檢測和分析，力求準確地判斷是否具有攻擊行為的網(wǎng)絡(luò)流量特征，在此基礎(chǔ)上，通過對數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的轉(zhuǎn)發(fā)規(guī)則表實施動態(tài)干預(yù)(主要指對規(guī)則的生效、有效時間等進行修改)，實現(xiàn)對異常數(shù)據(jù)流量的阻斷。本發(fā)明的主要特點是旁路分析攻擊行為，反向控制轉(zhuǎn)發(fā)行為，當探測到異常網(wǎng)絡(luò)攻擊時，能實時加以對數(shù)據(jù)流的主動截斷，從而達到主動探測攻擊、主動防御的聯(lián)動效果。

下面結(jié)合附圖對本發(fā)明的結(jié)構(gòu)作詳細的描述。

如圖1所示，本發(fā)明實施例的網(wǎng)絡(luò)入侵探測與主動防御聯(lián)動控制裝置包括：路由器1、數(shù)據(jù)包轉(zhuǎn)發(fā)模塊2、用戶端3、數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器4、聯(lián)動控制裝置服務(wù)器5、網(wǎng)絡(luò)行為檢測分析服務(wù)器6、流量數(shù)據(jù)庫集群系統(tǒng)7。

路由器1，

數(shù)據(jù)包轉(zhuǎn)發(fā)模塊2，用于進行用戶局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā)；

用戶端3，

數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器4，用于實現(xiàn)從數(shù)據(jù)包轉(zhuǎn)發(fā)模塊中獲得基本的鏡像流量，以及負責對鏡像流量數(shù)據(jù)進行預(yù)處理；

聯(lián)動控制裝置服務(wù)器5，用于從流量數(shù)據(jù)庫集群系統(tǒng)中的規(guī)則庫獲取最新規(guī)則動態(tài)，同時與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊實現(xiàn)數(shù)據(jù)連接，轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài)，并推送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊。

網(wǎng)絡(luò)行為檢測分析服務(wù)器6，根據(jù)分析算法的不同或者變化動態(tài)裝入，從數(shù)據(jù)庫集群裝置處獲取數(shù)據(jù)，依據(jù)標準的SQL規(guī)范從數(shù)據(jù)庫集群系統(tǒng)獲取數(shù)據(jù)進行分析。

流量數(shù)據(jù)庫集群系統(tǒng)7，用于存儲來自鏡像服務(wù)器的預(yù)處理流量，為各類網(wǎng)絡(luò)行為檢測分析服務(wù)器提供數(shù)據(jù)接口，支持網(wǎng)絡(luò)行為分析；提供規(guī)則數(shù)據(jù)庫，存儲進網(wǎng)絡(luò)行為檢測分析服務(wù)器產(chǎn)生的各類判決規(guī)則，同時判決規(guī)則數(shù)據(jù)庫為聯(lián)動控制裝置服務(wù)器提供來源數(shù)據(jù)。

下面結(jié)合附圖對本發(fā)明的工作原理作進一步的描述。

本發(fā)明裝置在用戶的網(wǎng)絡(luò)環(huán)境中，引入數(shù)據(jù)包轉(zhuǎn)發(fā)模塊、數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器、聯(lián)動控制裝置服務(wù)器、流量數(shù)據(jù)庫集群系統(tǒng)與網(wǎng)絡(luò)行為檢測分析服務(wù)器，其中網(wǎng)絡(luò)行為檢測分析服務(wù)器可根據(jù)分析算法的不同或者變化動態(tài)裝入，靈活性好，行為網(wǎng)絡(luò)行為檢測分析服務(wù)器之間互不影響。

1、數(shù)據(jù)包轉(zhuǎn)發(fā)模塊

數(shù)據(jù)包轉(zhuǎn)發(fā)模塊類似于交換機，其目的和功能是進行用戶局域網(wǎng)側(cè)的數(shù)據(jù)包到路由器之間的數(shù)據(jù)包轉(zhuǎn)發(fā)，對正常流量而言，為透明的(即不起任何作用)，對異常流量，可根據(jù)動態(tài)的的轉(zhuǎn)發(fā)規(guī)則對這部分流量實施丟棄處理，實現(xiàn)對網(wǎng)絡(luò)流量的區(qū)別對待，達到主動阻斷網(wǎng)絡(luò)攻擊的行為。

數(shù)據(jù)包轉(zhuǎn)發(fā)模塊是多端口設(shè)備，至少應(yīng)具備數(shù)據(jù)輸入端口，數(shù)據(jù)輸出端口，數(shù)據(jù)鏡像端口，數(shù)據(jù)聯(lián)動控制端口，根據(jù)用戶的需求，該設(shè)備也可具備兩種類型的數(shù)據(jù)鏡像端口，分別是出網(wǎng)絡(luò)數(shù)據(jù)與入網(wǎng)絡(luò)數(shù)據(jù)流量進行引流。

在數(shù)據(jù)包轉(zhuǎn)發(fā)模塊中，數(shù)據(jù)包的轉(zhuǎn)發(fā)依據(jù)如下規(guī)則表：表1轉(zhuǎn)發(fā)規(guī)則表

如上規(guī)則示意表，轉(zhuǎn)發(fā)模塊依據(jù)源/目標MAC地址，IP地址，端口，有效期實施對流量的判決，drop為丟棄，accept為放行，其規(guī)則表本身是動態(tài)實時變化的，來源為聯(lián)動控制裝置服務(wù)器。

2.數(shù)據(jù)包鏡像流量預(yù)處理服務(wù)器

實現(xiàn)從數(shù)據(jù)包轉(zhuǎn)發(fā)模塊中獲得基本的鏡像流量，以及負責對鏡像流量數(shù)據(jù)進行預(yù)處理，具體的處理方案如下：

1)在鏡像端口上捕獲數(shù)據(jù)包，對數(shù)據(jù)包的源/目標MAC地址、IP地址、端口、傳輸層協(xié)議類型、TCP標志字段(flag)、序號、確認號、應(yīng)用層部分數(shù)據(jù)字段進行截取，并包裝為新的數(shù)據(jù)包格式，存入緩沖隊列中。同時應(yīng)設(shè)計適當?shù)木彌_隊列容限，但數(shù)據(jù)流量超過隊列的平均長度時，實施概率性的丟包策略，確保數(shù)據(jù)鏡像服務(wù)器自身的穩(wěn)定運行。

2)設(shè)計從緩沖隊列中獲取數(shù)據(jù)包的線程，該線程的主要作用是將緩沖隊列中的自定義數(shù)據(jù)包信息處理到數(shù)據(jù)庫集群系統(tǒng)做階段性保存；

3.流量數(shù)據(jù)庫集群系統(tǒng)

流量數(shù)據(jù)庫根據(jù)用戶網(wǎng)絡(luò)的規(guī)模，應(yīng)設(shè)置為大小不等的數(shù)據(jù)庫集群系統(tǒng)，主要通過Scale Out橫向擴展的方法，增加處理節(jié)點以提高整體處理能力。網(wǎng)絡(luò)流量越大，理論上集群系統(tǒng)的節(jié)點，存儲空間越大。由于網(wǎng)絡(luò)流量的巨大，該集群系統(tǒng)的存儲容量并不需要無限制擴大來面對流量的劇增，而是采用存儲N天的機制，實施對過期數(shù)據(jù)的復(fù)寫，刪除超過門限值的歷史數(shù)據(jù)，實現(xiàn)循環(huán)利用磁盤空間。上述所有的內(nèi)容都要依據(jù)公司內(nèi)部的業(yè)務(wù)場景、數(shù)據(jù)量、訪問量、并發(fā)量、高可用的要求、DBA人群的數(shù)量等綜合權(quán)衡。

該流量數(shù)據(jù)庫集群系統(tǒng)主要有兩方面的作用，一是存儲來自鏡像服務(wù)器的預(yù)處理流量，而是為各類網(wǎng)絡(luò)行為檢測分析服務(wù)器提供數(shù)據(jù)接口，支持網(wǎng)絡(luò)行為分析，三是提供規(guī)則數(shù)據(jù)庫，存儲進網(wǎng)絡(luò)行為檢測分析服務(wù)器產(chǎn)生的各類判決規(guī)則，同時判決規(guī)則數(shù)據(jù)庫為聯(lián)動控制裝置提供了來源數(shù)據(jù)。

一般來說，其具體設(shè)計方案為：

1)基于用戶網(wǎng)絡(luò)規(guī)模等因素，搭建基于mysql的數(shù)據(jù)庫集群系統(tǒng)。

2)構(gòu)建業(yè)務(wù)數(shù)據(jù)庫表。

3)構(gòu)建轉(zhuǎn)發(fā)規(guī)則數(shù)據(jù)庫。

4)提供標準查詢接口，為網(wǎng)絡(luò)行為檢測分析服務(wù)器，聯(lián)動控制裝置服務(wù)器提供數(shù)據(jù)服務(wù)。

其中業(yè)務(wù)數(shù)據(jù)庫表格式定義如下：

流量規(guī)則庫表結(jié)構(gòu)參見表1。

3.網(wǎng)絡(luò)行為檢測分析服務(wù)器

網(wǎng)絡(luò)行為檢測分析服務(wù)器可根據(jù)分析算法的不同或者變化動態(tài)裝入，靈活性好，行為網(wǎng)絡(luò)行為檢測分析服務(wù)器之間互不影響。行為網(wǎng)絡(luò)行為檢測分析服務(wù)器從數(shù)據(jù)庫集群裝置處獲取數(shù)據(jù)，可以依據(jù)標準的SQL規(guī)范從數(shù)據(jù)庫集群系統(tǒng)獲取數(shù)據(jù)進行分析，具體的分析方法多種多樣。但數(shù)據(jù)分析的主要思路及解決方案如下：

1)根據(jù)業(yè)務(wù)數(shù)據(jù)庫表字段，選取感興趣的部分字段查詢某段時間范圍內(nèi)的數(shù)據(jù)；

2)依據(jù)這些數(shù)據(jù)的可能存在的內(nèi)在規(guī)律(由具體的檢測算法確定)判斷網(wǎng)絡(luò)行為，如基于端口號匹配、基于特征字段，基于傳輸層行為模式、基于HTTP行為模式，以及基于其他layer5層的數(shù)據(jù)特征等多種分析方法。

3)對異常流量進行判決，寫入轉(zhuǎn)發(fā)規(guī)則至動態(tài)規(guī)則庫；

4)依據(jù)網(wǎng)絡(luò)行為檢測分析服務(wù)器配置，對動態(tài)規(guī)則庫的規(guī)則進行有效性及時間戳修改；

5)提供用戶配置界面，對網(wǎng)絡(luò)行為檢測算法的各項參數(shù)進行初始配置或修訂；

4.聯(lián)動控制裝置服務(wù)器

在于從流量數(shù)據(jù)庫集群系統(tǒng)中的規(guī)則庫獲取最新規(guī)則動態(tài)，同時與本發(fā)明中的數(shù)據(jù)包轉(zhuǎn)發(fā)模塊實現(xiàn)數(shù)據(jù)連接，轉(zhuǎn)發(fā)其獲得的最新規(guī)則狀態(tài)，并推送至數(shù)據(jù)包轉(zhuǎn)發(fā)模塊。具體的設(shè)計方案如下：

1)建立與流量數(shù)據(jù)庫集群系統(tǒng)之間的連接；

2)建立與數(shù)據(jù)包轉(zhuǎn)發(fā)模塊之間的數(shù)據(jù)連接；

3)依據(jù)聯(lián)動控制調(diào)度配置(間隔時間，數(shù)據(jù)庫配置信息)等實施規(guī)則調(diào)度策略；

4)將獲取到的動態(tài)規(guī)則表數(shù)據(jù)轉(zhuǎn)換為TLY格式，實現(xiàn)從聯(lián)動控制裝置到數(shù)據(jù)包轉(zhuǎn)發(fā)模塊的推送。

以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。