一種基于規(guī)則引擎的流量采集方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及基于規(guī)則弓I擎的流量采集方法�。
【背景技術(shù)】
[0002]傳統(tǒng)的流量采集基于源IP�、目標(biāo)IP、源端口����、目標(biāo)端口及少量協(xié)議(五元組)。其采集規(guī)則不靈活�����,往往導(dǎo)致采集的流量過多或者不全面�����。
[0003]因此�,需要一種更加靈活的流量采集方案���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提出一種靈活的流量采集方案,其中在流量采集代理上配置規(guī)則引擎�,分析通過的流量信息,并根據(jù)規(guī)則查看相應(yīng)流量是否是感興趣的流量���,并決定是否存儲(chǔ)相應(yīng)流量�。
[0005]本發(fā)明公開��,基于規(guī)則引擎的流量采集方法��,包括:在網(wǎng)絡(luò)設(shè)備處設(shè)置流量采集代理��,由流量采集代理通過鏡像的方式將流量復(fù)制到規(guī)則引擎�����,規(guī)則引擎根據(jù)自定義規(guī)則分析流量并且采集相應(yīng)流量��。
[0006]規(guī)則引擎分析流量包括分析與自定義規(guī)則相關(guān)的以下一個(gè)或多個(gè)流量特征:訪問頻率���、協(xié)議�����、請(qǐng)求端口����、操作命令、HTTP頭部信息��、GET或者POST請(qǐng)求���、下載或者上傳文件的大小��。
[0007]規(guī)則引擎采集相應(yīng)流量包括采集符合自定義規(guī)則的條件的流量�����。
[0008]所述自定義規(guī)則由用戶自定義。
[0009]由規(guī)則引擎分析自定義規(guī)則生成元操作指令�����,并且根據(jù)元操作指令分析流量并且采集相應(yīng)流量�。
[0010]本發(fā)明的優(yōu)勢在于流量采集的控制粒度能夠更細(xì)化,不僅限于傳統(tǒng)的五元組�����。流量采集內(nèi)容更有針對(duì)性,減少多采集的流量��,減少分析時(shí)的干擾�����。本發(fā)明能夠設(shè)置采集時(shí)長���,自主控制采集時(shí)間�,并且規(guī)則庫可動(dòng)態(tài)擴(kuò)充�����,便于未來升級(jí)擴(kuò)展�。此外,本發(fā)明的采集方案能夠與原有系統(tǒng)隔離�����,不會(huì)影響原有系統(tǒng)�。更加靈活地,本發(fā)明的流量采集可以選擇應(yīng)用部分規(guī)則�����,而且規(guī)則引擎功能模塊易于擴(kuò)展。本發(fā)明還可以判斷當(dāng)規(guī)則中包含相應(yīng)功能時(shí)啟動(dòng)功能模塊���,不包含時(shí)禁用功能模����,如此可以有效降低分析引擎的資源消耗����,提升分析效率。
【附圖說明】
[0011]在參照附圖閱讀了本發(fā)明的【具體實(shí)施方式】以后�,本領(lǐng)域技術(shù)人員將會(huì)更清楚地了解本發(fā)明。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的是���,附圖僅僅用于配合【具體實(shí)施方式】說明本發(fā)明的技術(shù)方案���,而并非意在對(duì)本發(fā)明的保護(hù)范圍構(gòu)成限制。
[0012]圖1是根據(jù)本發(fā)明實(shí)施例的基于規(guī)則引擎的流量采集方法的示意圖����。
[0013]圖2是根據(jù)本發(fā)明實(shí)施例的基于規(guī)則引擎的流量采集方法的示例����。
【具體實(shí)施方式】
[0014]下面參照附圖����,對(duì)本發(fā)明的【具體實(shí)施方式】作進(jìn)一步的詳細(xì)描述��。應(yīng)當(dāng)理解的是���,可對(duì)所描述的實(shí)施例進(jìn)行結(jié)構(gòu)的和功能的修改���。另外,可針對(duì)任何給定的或特定的應(yīng)用所期望和有利的那樣��,一個(gè)實(shí)施例的一個(gè)或多個(gè)特征可以與另一個(gè)實(shí)施例的一個(gè)或多個(gè)特征相組合�。
[0015]圖1是根據(jù)本發(fā)明實(shí)施例的基于規(guī)則引擎的流量采集方法的示意圖。如圖1所示�����,該方法包括:在網(wǎng)絡(luò)設(shè)備處設(shè)置流量采集代理���,由流量采集代理通過鏡像的方式將流量復(fù)制到規(guī)則引擎����,規(guī)則引擎根據(jù)自定義規(guī)則分析流量并且采集相應(yīng)流量。規(guī)則引擎可以將流量前后進(jìn)行關(guān)聯(lián)�����。規(guī)則引擎分析流量包括分析與自定義規(guī)則相關(guān)的以下一個(gè)或多個(gè)流量特征:訪問頻率�、協(xié)議、請(qǐng)求端口���、操作命令���、HTTP頭部信息、GET或者POST請(qǐng)求���、下載或者上傳文件的大小��。規(guī)則引擎采集相應(yīng)流量包括采集符合自定義規(guī)則的條件的流量�����。自定義規(guī)則由用戶自定義���。
[0016]圖2是根據(jù)本發(fā)明實(shí)施例的基于規(guī)則引擎的流量采集方法的示例。如圖所示���,網(wǎng)絡(luò)流量通過流量采集代理時(shí)�����,被其復(fù)制��。流量鏡像被發(fā)送至規(guī)則引擎�����。規(guī)則引擎結(jié)合自定義規(guī)則分析并采集相應(yīng)的流量��。這里��,自定義規(guī)則可以由用戶通過規(guī)則編輯界面輸入��。規(guī)則引擎可以被配置成執(zhí)行流量的頻率統(tǒng)計(jì)���、端口統(tǒng)計(jì)、HTTP請(qǐng)求類型���、C段統(tǒng)計(jì)����、操作命令、文件下載/上傳大小的分析�、協(xié)議分析統(tǒng)計(jì)、HTTP頭部分析匹配�����、敏感文件分析等操作�。可以理解�����,規(guī)則引擎還可以執(zhí)行其它分析流量的操作��。規(guī)則引擎通過分析自定義規(guī)則來執(zhí)行相應(yīng)的操作����,并且采集符合自定義規(guī)則指定條件的流量。規(guī)則引擎可以被設(shè)置在流量采集代理中�。
[0017]自定義規(guī)則可以是一條或多條關(guān)聯(lián)特定流量特征并且指定相應(yīng)條件的規(guī)則。作為示例��,自定義規(guī)則可以被配置為:當(dāng)通過TELNET執(zhí)行GET命令時(shí)�,記錄其流量;當(dāng)上傳/下載的文件包含PNG或者JPEG文件時(shí)��,記錄其流量;當(dāng)某C段IP訪問超過一定頻率時(shí)��,記錄其流量三個(gè)小時(shí)����;當(dāng)某C段IP訪問的端口 24小時(shí)內(nèi)累積超過10個(gè)時(shí)�,記錄其流量;指定記錄某IP的HTTP POST流量��;指定忽略某IP所有的流量�����。這些規(guī)則可以形成規(guī)則庫����。規(guī)則引擎接收流量鏡像時(shí)可以應(yīng)用規(guī)則例如“當(dāng)通過TELNET執(zhí)行GET命令時(shí),記錄其流量”��,判斷當(dāng)前流量是否是通過TELNET執(zhí)行GET命令��,如果是則采集該流量�,否則丟棄該流量。規(guī)則弓I擎在執(zhí)行完當(dāng)前規(guī)則后�,可以繼續(xù)應(yīng)用另一規(guī)則����。
[0018]如上所述�,自定義規(guī)則可以是一條或多條關(guān)聯(lián)特定流量特征并且指定相應(yīng)條件的規(guī)則。在一個(gè)實(shí)施例中�����,在自定義規(guī)則中設(shè)置流量采集時(shí)長����,控制采集時(shí)間。在一個(gè)實(shí)施例中����,規(guī)則弓I擎按序應(yīng)用由多條規(guī)則組成的規(guī)則庫中的每一規(guī)則。在一個(gè)實(shí)施例中��,新的規(guī)則通過用戶輸入被加入到規(guī)則庫中��。
[0019]在一個(gè)實(shí)施例中�,由規(guī)則引擎分析自定義規(guī)則生成元操作指令,并且根據(jù)元操作指令分析流量并且采集相應(yīng)流量�。可以例如,從自定義規(guī)則中提取關(guān)鍵指令來生成元操作指令���。在分析流量時(shí)�,規(guī)則引擎可以調(diào)用相應(yīng)的功能模塊來統(tǒng)計(jì)���、分析流量中的相應(yīng)的指標(biāo)��,例如端口、協(xié)議���、HTTP頭部等��。如上所述���,規(guī)則引擎可以輪流應(yīng)用自定義規(guī)則中的每一個(gè)。在一個(gè)實(shí)施例中����,規(guī)則引擎還可以判斷當(dāng)規(guī)則中包含相應(yīng)功能時(shí)啟動(dòng)功能模塊,不包含時(shí)禁用功能模�����,如此可以有效降低分析引擎的資源消耗,提升分析效率����。例如,當(dāng)前規(guī)則未涉及統(tǒng)計(jì)項(xiàng)���,則不做統(tǒng)計(jì)�,可以禁用對(duì)應(yīng)模塊��。例如��,當(dāng)前規(guī)則無協(xié)議相關(guān)要求��,則可以禁用協(xié)議分析模塊���。當(dāng)規(guī)則引擎判斷流量符合自定義規(guī)則時(shí)���,記錄該流量,并可以將該流量存儲(chǔ)到指定的目標(biāo)位置��。
[0020]通過以上實(shí)施方式的描述�,本領(lǐng)域中的普通技術(shù)人員能夠理解,在不偏離本發(fā)明的精神和范圍的情況下����,還可以對(duì)本發(fā)明的【具體實(shí)施方式】作各種變更和替換�。這些變更和替換都落在本發(fā)明權(quán)利要求書所限定的范圍內(nèi)��。
【主權(quán)項(xiàng)】
1.一種基于規(guī)則引擎的流量采集方法��,其特征在于�,包括:在網(wǎng)絡(luò)設(shè)備處設(shè)置流量采集代理,由流量采集代理通過鏡像的方式將流量復(fù)制到規(guī)則引擎����,規(guī)則引擎根據(jù)自定義規(guī)則分析流量并且采集相應(yīng)流量。2.如權(quán)利要求1所述的方法��,其特征在于��,規(guī)則引擎分析流量包括分析與自定義規(guī)則相關(guān)的以下一個(gè)或多個(gè)流量特征:訪問頻率����、協(xié)議�、請(qǐng)求端口、操作命令��、HTTP頭部信息�����、GET或者POST請(qǐng)求、下載或者上傳文件的大小�����。3.如權(quán)利要求2所述的方法��,其特征在于��,規(guī)則引擎采集相應(yīng)流量包括采集符合自定義規(guī)則的條件的流量��。4.如權(quán)利要求3所述的方法���,其特征在于����,所述自定義規(guī)則由用戶自定義��。5.如權(quán)利要求4所述的方法����,其特征在于,由規(guī)則引擎分析自定義規(guī)則生成元操作指令�,并且根據(jù)元操作指令分析流量并且采集相應(yīng)流量�。
【專利摘要】本發(fā)明公開基于規(guī)則引擎的流量采集方法���,包括:在網(wǎng)絡(luò)設(shè)備處設(shè)置流量采集代理����,由流量采集代理通過鏡像的方式將流量復(fù)制到規(guī)則引擎���,規(guī)則引擎根據(jù)自定義規(guī)則分析流量并且采集相應(yīng)流量�。
【IPC分類】H04L29/06, H04L12/26
【公開號(hào)】CN105591833
【申請(qǐng)?zhí)枴緾N201410688661
【發(fā)明人】劉發(fā)章, 華錦芝
【申請(qǐng)人】中國銀聯(lián)股份有限公司
【公開日】2016年5月18日
【申請(qǐng)日】2014年11月26日