一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法和系統(tǒng)的制作方法

文檔序號(hào)：10626884閱讀：309來源：國知局

導(dǎo)航： X技術(shù)> 最新專利>電子通信裝置的制造及其應(yīng)用技術(shù)

一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法和系統(tǒng)包括：通過流量鏡像采集虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)。根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow。對(duì)業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow持續(xù)計(jì)算以構(gòu)建業(yè)務(wù)互聯(lián)通訊對(duì)列表list；當(dāng)業(yè)務(wù)互聯(lián)通訊對(duì)的數(shù)量超過第一閾值時(shí)，對(duì)業(yè)務(wù)互聯(lián)通訊對(duì)list進(jìn)行壓縮。根據(jù)壓縮后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，基于特征值基線判斷增加的新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果是異?；ヂ?lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果是正?；ヂ?lián)，則更新特征值基線。基于異?；ヂ?lián)告警的次數(shù)和嚴(yán)重等級(jí)獲得業(yè)務(wù)互聯(lián)指數(shù)，作為業(yè)務(wù)互聯(lián)的整體審計(jì)指標(biāo)。通過本發(fā)明的方案，能夠在復(fù)雜多變的云環(huán)境下，提供全面、可靠的信息安全防護(hù)。
【專利說明】
一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法和系統(tǒng)
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及信息安全領(lǐng)域，尤其涉及一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法和系統(tǒng)。
【背景技術(shù)】
[0002] 在當(dāng)前信息建設(shè)過程中，對(duì)云計(jì)算技術(shù)關(guān)注度越來越高，當(dāng)前大量企業(yè)網(wǎng)絡(luò)環(huán)境已經(jīng)進(jìn)入了云環(huán)境時(shí)代。云計(jì)算通過網(wǎng)絡(luò)將大量的計(jì)算和存儲(chǔ)資源連接起來，進(jìn)行統(tǒng)一的管理和調(diào)度，按需提供服務(wù)。使用者只需通過網(wǎng)絡(luò)訪問就可以獲取存儲(chǔ)空間、計(jì)算能力或應(yīng) 用系統(tǒng)。然而云計(jì)算卻對(duì)網(wǎng)絡(luò)安全防護(hù)提出了嚴(yán)重的挑戰(zhàn)。云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)的扁平化和高速化需求，使傳統(tǒng)多層數(shù)據(jù)中心網(wǎng)絡(luò)逐漸向平面網(wǎng)絡(luò)架構(gòu)過渡，平面網(wǎng)絡(luò)架構(gòu)使用基于數(shù)據(jù)流、非攔截、最短路徑結(jié)構(gòu)來最大限度地提升網(wǎng)絡(luò)性能，隨之安全域也沒有清晰的物理邊界。
[0003] 過去，傳統(tǒng)模式下的信息安全防護(hù)解決方案中，最重要的一點(diǎn)就是建立網(wǎng)絡(luò)邊界，區(qū)分信任域和非信任域，然后在網(wǎng)絡(luò)邊界用網(wǎng)關(guān)進(jìn)行訪問控制和安全防御。在虛擬化時(shí)代，同一個(gè)主機(jī)上的虛擬系統(tǒng)互相訪問則不會(huì)經(jīng)過這些過時(shí)的網(wǎng)關(guān)設(shè)備。再有，傳統(tǒng)物理時(shí)代能夠用"拔網(wǎng)線"這樣的手段立即中止網(wǎng)絡(luò)形式的病毒爆發(fā)，在虛擬化時(shí)代這樣的策略已經(jīng) 是不符合新的系統(tǒng)形態(tài)。而且邊界式的防護(hù)在云計(jì)算時(shí)代也隨著邊界定義模糊、消失而不再適用。傳統(tǒng)信息安全防護(hù)體系在云計(jì)算時(shí)代面臨重大的挑戰(zhàn)。
[0004] 同時(shí)，在云環(huán)境下，企業(yè)業(yè)務(wù)的復(fù)雜度越來越高，變化頻率也越來越快，因此傳統(tǒng) 的邊界防護(hù)策略難以湊效，基于業(yè)務(wù)互聯(lián)關(guān)系分析技術(shù)更加適應(yīng)復(fù)雜的云環(huán)境。
[0005] 傳統(tǒng)的安全審計(jì)往往基于網(wǎng)絡(luò)環(huán)境中的各類設(shè)備的syslog日志實(shí)現(xiàn)，由于 syslog日志信息本身的全面性和可靠性較差，因此，在復(fù)雜多變的云環(huán)境下，必須有新的技術(shù)來應(yīng)對(duì)這種局面。

【發(fā)明內(nèi)容】

[0006] 為了解決上述問題，本發(fā)明提出了一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法和系統(tǒng)，能夠在復(fù) 雜多變的云環(huán)境下，提供全面、可靠的信息安全防護(hù)。
[0007] 為了達(dá)到上述目的，本發(fā)明提出了一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，該方法包括：
[0008] 通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)。
[0009] 根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow。
[0010] 對(duì)業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow進(jìn)行持續(xù)計(jì)算，以二元組形式構(gòu)建業(yè)務(wù)互聯(lián)通訊對(duì)列表list，二元組包括客戶端網(wǎng)間互聯(lián)協(xié)議IP、服務(wù)端IP ;當(dāng)業(yè)務(wù)互聯(lián)通訊對(duì)list中的業(yè)務(wù)互聯(lián)通訊對(duì)的數(shù)量超過預(yù)定的第一閾值時(shí)，采用壓縮算法對(duì)業(yè)務(wù)互聯(lián)通訊對(duì)list進(jìn) 行壓縮處理。
[0011] 根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為異 ?；ヂ?lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線。
[0012] 以固定的時(shí)間周期統(tǒng)計(jì)全網(wǎng)異常互聯(lián)情況，基于異?；ヂ?lián)告警的次數(shù)和嚴(yán)重等級(jí)獲得業(yè)務(wù)互聯(lián)指數(shù)，業(yè)務(wù)互聯(lián)指數(shù)作為業(yè)務(wù)互聯(lián)的整體審計(jì)指標(biāo)，審計(jì)指標(biāo)的計(jì)算公式為：
[0013]
[0014] 其中，N是本時(shí)間周期內(nèi)所述異常互聯(lián)告警的總數(shù)；PRI為異?；ヂ?lián)告警的嚴(yán)重等級(jí)，PRI為正整數(shù)，取值范圍1-5 ;Ni為每一個(gè)嚴(yán)重等級(jí)下異?；ヂ?lián)告警的數(shù)量。
[0015] 優(yōu)選地，通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)是指：
[0016] 采用多路并行采集技術(shù)同時(shí)采集云環(huán)境下虛擬交換機(jī)和實(shí)體交換機(jī)的端口鏡像流量，端口鏡像流量數(shù)據(jù)包括：主機(jī)內(nèi)虛擬機(jī)流量信息、主機(jī)間虛擬機(jī)流量信息和虛擬機(jī)到實(shí)體主機(jī)之間的流量信息。
[0017] 優(yōu)選地，根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow包括以下步驟：
[0018] 對(duì)原始流量數(shù)據(jù)的原始流量數(shù)據(jù)報(bào)文進(jìn)行業(yè)務(wù)應(yīng)用協(xié)議識(shí)別并進(jìn)行五元組標(biāo)記，五元組包括：客戶端IP、服務(wù)端IP、客戶端端口、服務(wù)端端口和應(yīng)用協(xié)議。
[0019] 對(duì)五元組標(biāo)記后的原始流量數(shù)據(jù)報(bào)文進(jìn)行分組，對(duì)分組后的各組原始流量數(shù)據(jù)報(bào) 文間隔性地實(shí)施匯總統(tǒng)計(jì)計(jì)算，構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow ;其中，每兩次匯總統(tǒng)計(jì) 計(jì)算之間的時(shí)間間隔相等。
[0020] 優(yōu)選地，
[0021] 該時(shí)間間隔為20秒。
[0022] 業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow的格式為：
[0023] AppFlow采用主動(dòng)式數(shù)據(jù)推送機(jī)制和用戶數(shù)據(jù)包協(xié)議UDP協(xié)議。
[0024] AppFlow封裝格式為1個(gè)標(biāo)頭Header和多個(gè)記錄Record。
[0025] 其中，所述Header的格式為：
[0026] 版本號(hào)Version :所處位置為Header，字段長度為2Bytes，OffSet = 0 ;
[0027] 報(bào)文中Record個(gè)數(shù)Count :所處位置為Header，字段長度為2Bytes，OffSet = 2 ;
[0028] 報(bào)文生成時(shí)間SystemTime :所處位置為Header，字段長度為4Bytes，OffSet = 4。
[0029] 其中，所述Record的格式為：
[0030] 源 IP Srclp :所處位置為 Record，字段長度為 4Bytes，OffSet = 0 ;
[0031] 目的 IP Dstlp :所處位置為 Record，字段長度為 4Bytes，OffSet = 4 ;
[0032] 源端口 SrcPort :所處位置為 Record，字段長度為 2Bytes，OffSet = 8 ;
[0033] 目的端口 DstPort :所處位置為Record，字段長度為2Bytes，OffSet = 10 ;
[0034] 四層協(xié)議Protocol_L4 :所處位置為Record，字段長度為lBytes，OffSet = 12 ;
[0035] 應(yīng)用層協(xié)議Protocol_App :所處位置為Record，字段長度為lBytes，OffSet = 13 ；
[0036] 流入索引If_in :所處位置為Record，字段長度為2Bytes，OffSet = 16 ;
[0037] 流出索引 Protocol_App :所處位置為 Record，字段長度為 2Bytes，OffSet = 16 ;
[0038] 包數(shù) Count_Packet :所處位置為 Record，字段長度為 4Bytes，OffSet = 18 ;
[0039] 字節(jié)數(shù) Count_Byte :所處位置為 Record，字段長度為 4Bytes，OffSet = 22 ;
[0040] 開始時(shí)間Start_Time :所處位置為Record，字段長度為4Bytes，OffSet = 26 ;
[0041] 結(jié)束時(shí)間End_Time :所處位置為Record，字段長度為4Bytes，OffSet = 30。
[0042] 優(yōu)選地，
[0043] 該方法還包括：實(shí)時(shí)監(jiān)測(cè)業(yè)務(wù)互聯(lián)通訊對(duì)，發(fā)現(xiàn)新的業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，實(shí)時(shí)更新所述業(yè)務(wù)互聯(lián)通訊對(duì)list。
[0044] 第一閾值為10萬個(gè)。
[0045] 采用壓縮算法對(duì)list進(jìn)行壓縮處理是指：將客戶端IP同屬于第一網(wǎng)段以及服務(wù) 端IP同屬于第二網(wǎng)段的多個(gè)業(yè)務(wù)互聯(lián)通訊對(duì)合并為一個(gè)，合并后的業(yè)務(wù)互聯(lián)通訊對(duì)表示第一網(wǎng)段到第二網(wǎng)段的業(yè)務(wù)互聯(lián)通訊對(duì)。
[0046] 優(yōu)選地，根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為異?；ヂ?lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線是指：
[0047] 依據(jù)包括通訊次數(shù)、字節(jié)流量、應(yīng)用協(xié)議主成分的聚類特征三元組，采用平衡迭代削減聚類法將壓縮后的業(yè)務(wù)互聯(lián)通訊對(duì)list分為多個(gè)群組group ;將多個(gè)group中的各個(gè) group內(nèi)的業(yè)務(wù)互聯(lián)通訊對(duì)的平均通訊頻次和平均通訊字節(jié)流速作為該group的特征值基線，當(dāng)該group內(nèi)增加一個(gè)或多個(gè)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，將新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與該group的特征值基線相比較，當(dāng)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與特征值基線的偏離度大于預(yù)定的第二閾值時(shí)，將一個(gè)或多個(gè)新的業(yè) 務(wù)互聯(lián)通訊對(duì)確定為異常互聯(lián)，并進(jìn)行異常互聯(lián)告警；當(dāng)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與特征值基線的偏離度小于或等于第二閾值時(shí)，將一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為正?；ヂ?lián)，并依據(jù)一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié) 流速對(duì)該group的特征值基線進(jìn)行更新。
[0048] 本發(fā)明還提出了一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)系統(tǒng)，該系統(tǒng)包括：采集模塊、第一構(gòu)建模塊、第二構(gòu)建模塊、判定模塊以及計(jì)算模塊。
[0049] 采集模塊，用于通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)。
[0050] 第一構(gòu)建模塊，用于根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow。
[0051] 第二構(gòu)建模塊，用于對(duì)業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow進(jìn)行持續(xù)計(jì)算，以二元組形式構(gòu)建業(yè)務(wù)互聯(lián)通訊對(duì)列表list，二元組包括客戶端IP、服務(wù)端IP ;當(dāng)業(yè)務(wù)互聯(lián)通訊對(duì) list中的業(yè)務(wù)互聯(lián)通訊對(duì)的數(shù)量超過預(yù)定的第一閾值時(shí)，采用壓縮算法對(duì)業(yè)務(wù)互聯(lián)通訊對(duì) list進(jìn)行壓縮處理。
[0052] 判定模塊，用于根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為異常互聯(lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線。
[0053] 計(jì)算模塊，用于以固定的時(shí)間周期統(tǒng)計(jì)全網(wǎng)異?；ヂ?lián)情況，基于異?；ヂ?lián)告警的次數(shù)和嚴(yán)重等級(jí)獲得業(yè)務(wù)互聯(lián)指數(shù)，業(yè)務(wù)互聯(lián)指數(shù)作為業(yè)務(wù)互聯(lián)的整體審計(jì)指標(biāo)，審計(jì)指標(biāo)的計(jì)算公式為：
[0054]
[0055] 其中，N是本時(shí)間周期內(nèi)異?；ヂ?lián)告警的總數(shù)；PRI為異常互聯(lián)告警的嚴(yán)重等級(jí)， PRI為正整數(shù)，取值范圍1-5 ;Ni為每一個(gè)嚴(yán)重等級(jí)下異?；ヂ?lián)告警的數(shù)量。
[0056] 優(yōu)選地，通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)是指：
[0057] 采用多路并行采集技術(shù)同時(shí)采集云環(huán)境下虛擬交換機(jī)和實(shí)體交換機(jī)的端口鏡像流量，端口鏡像流量數(shù)據(jù)包括：主機(jī)內(nèi)虛擬機(jī)流量信息、主機(jī)間虛擬機(jī)流量信息和虛擬機(jī)到實(shí)體主機(jī)之間的流量信息。
[0058] 優(yōu)選地，根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow包括以下步驟：
[0059] 對(duì)原始流量數(shù)據(jù)的原始流量數(shù)據(jù)報(bào)文進(jìn)行業(yè)務(wù)應(yīng)用協(xié)議識(shí)別并進(jìn)行五元組標(biāo)記，五元組包括：客戶端IP、服務(wù)端IP、客戶端端口、服務(wù)端端口和應(yīng)用協(xié)議；
[0060] 對(duì)五元組標(biāo)記后的原始流量數(shù)據(jù)報(bào)文進(jìn)行分組，對(duì)分組后的各組原始流量數(shù)據(jù)報(bào) 文間隔性地實(shí)施匯總統(tǒng)計(jì)計(jì)算，構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow ;其中，每兩次匯總統(tǒng)計(jì) 計(jì)算之間的時(shí)間間隔相等。
[0061] 優(yōu)選地，
[0062] 該時(shí)間間隔為20秒；
[0063] 業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow的格式為：
[0064] AppFlow采用主動(dòng)式數(shù)據(jù)推送機(jī)制和用戶數(shù)據(jù)包協(xié)議UDP協(xié)議。
[0065] AppFlow封裝格式為1個(gè)標(biāo)頭Header和多個(gè)記錄Record。
[0066] 其中，Header的格式為：
[0067] 版本號(hào)Version :所處位置為Header，字段長度為2Bytes，OffSet = 0 ;
[0068] 報(bào)文中Record個(gè)數(shù)Count :所處位置為Header，字段長度為2Bytes，OffSet = 2 ;
[0069] 報(bào)文生成時(shí)間SystemTime :所處位置為Header，字段長度為4Bytes，OffSet = 4。
[0070] 其中，Record的格式為：
[0071] 源 IP Srclp :所處位置為 Record，字段長度為 4Bytes，OffSet = 0 ;
[0072] 目的 IP Dstlp :所處位置為 Record，字段長度為 4Bytes，OffSet = 4 ;
[0073] 源端口 SrcPort :所處位置為 Record，字段長度為 2Bytes，OffSet = 8 ;
[0074] 目的端口 DstPort :所處位置為Record，字段長度為2Bytes，OffSet = 10 ;
[0075] 四層協(xié)議Protocol_L4 :所處位置為Record，字段長度為lBytes，OffSet = 12 ;
[0076] 應(yīng)用層協(xié)議Protocol_App :所處位置為Record，字段長度為lBytes，OffSet = 13 ；
[0077] 流入索引If_in :所處位置為Record，字段長度為2Bytes，OffSet = 16 ;
[0078] 流出索引 Protocol_App :所處位置為 Record，字段長度為 2Bytes，OffSet = 16 ;
[0079] 包數(shù) Count_Packet :所處位置為 Record，字段長度為 4Bytes，OffSet = 18 ;
[0080] 字節(jié)數(shù) Count_Byte :所處位置為 Record，字段長度為 4Bytes，OffSet = 22 ;
[0081] 開始時(shí)間Start_Time :所處位置為Record，字段長度為4Bytes，OffSet = 26 ;
[0082] 結(jié)束時(shí)間End_Time :所處位置為Record，字段長度為4Bytes，OffSet = 30。
[0083] 優(yōu)選地，
[0084] 該系統(tǒng)還包括更新模塊：用于實(shí)時(shí)監(jiān)測(cè)所述業(yè)務(wù)互聯(lián)通訊對(duì)，發(fā)現(xiàn)新的業(yè)務(wù)互聯(lián) 通訊對(duì)時(shí)，實(shí)時(shí)更新業(yè)務(wù)互聯(lián)通訊對(duì)list。
[0085] 第一閾值為10萬個(gè)。
[0086] 采用壓縮算法對(duì)list進(jìn)行壓縮處理是指：將客戶端IP同屬于第一網(wǎng)段以及服務(wù) 端IP同屬于第二網(wǎng)段的多個(gè)業(yè)務(wù)互聯(lián)通訊對(duì)合并為一個(gè)，合并后的業(yè)務(wù)互聯(lián)通訊對(duì)表示第一網(wǎng)段到第二網(wǎng)段的業(yè)務(wù)互聯(lián)通訊對(duì)。
[0087] 優(yōu)選地，根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為異?；ヂ?lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線是指：
[0088] 依據(jù)包括通訊次數(shù)、字節(jié)流量、應(yīng)用協(xié)議主成分的聚類特征三元組，采用平衡迭代削減聚類法將壓縮后的業(yè)務(wù)互聯(lián)通訊對(duì)list分為多個(gè)群組group ;將多個(gè)group中的各個(gè) group內(nèi)的業(yè)務(wù)互聯(lián)通訊對(duì)的平均通訊頻次和平均通訊字節(jié)流速作為該group的特征值基線，當(dāng)該group內(nèi)增加一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，將新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與該group的特征值基線相比較，當(dāng)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與特征值基線的偏離度大于預(yù)定的第二閾值時(shí)，將一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為異?；ヂ?lián)，并進(jìn)行異常互聯(lián)告警；當(dāng)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與特征值基線的偏離度小于或等于第二閾值時(shí)，將一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為正?；ヂ?lián)，并依據(jù)一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速對(duì)該group的特征值基線進(jìn)行更新。
[0089] 與現(xiàn)有技術(shù)相比，本發(fā)明包括：通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)。根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow。對(duì)業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow進(jìn)行持續(xù)計(jì)算，以二元組形式構(gòu)建業(yè)務(wù)互聯(lián)通訊對(duì)列表list，二元組包括客戶端網(wǎng)間互聯(lián)協(xié)議IP、服務(wù)端IP ;當(dāng)業(yè)務(wù)互聯(lián)通訊對(duì)list中的業(yè)務(wù)互聯(lián)通訊對(duì)的數(shù) 量超過預(yù)定的第一閾值時(shí)，采用壓縮算法對(duì)業(yè)務(wù)互聯(lián)通訊對(duì)list進(jìn)行壓縮處理。根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為異?；ヂ?lián)，則進(jìn)行異常互聯(lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線。以固定的時(shí)間周期統(tǒng)計(jì)全網(wǎng)異?；ヂ?lián)情況，基于異?；ヂ?lián)告警的次數(shù)和嚴(yán)重等級(jí)獲得業(yè)務(wù)互聯(lián)指數(shù)，業(yè)務(wù)互聯(lián)指數(shù)作為業(yè)務(wù)互聯(lián)的整體審計(jì)指標(biāo)，審計(jì)指標(biāo)的計(jì)算公式為：
[0090]
[0091] 其中，N是本時(shí)間周期內(nèi)所述異?；ヂ?lián)告警的總數(shù)；PRI為異?；ヂ?lián)告警的嚴(yán)重等級(jí)，PRI為正整數(shù)，取值范圍1-5 ;Ni為每一個(gè)嚴(yán)重等級(jí)下異?；ヂ?lián)告警的數(shù)量。通過本發(fā) 明的方案，能夠在復(fù)雜多變的云環(huán)境下，提供全面、可靠的信息安全防護(hù)。
【附圖說明】
[0092] 下面對(duì)本發(fā)明實(shí)施例中的附圖進(jìn)行說明，實(shí)施例中的附圖是用于對(duì)本發(fā)明的進(jìn)一步理解，與說明書一起用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限制。
[0093] 圖1為本發(fā)明的業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法流程圖；
[0094] 圖2為本發(fā)明的業(yè)務(wù)互聯(lián)關(guān)系審計(jì)系統(tǒng)框圖。
【具體實(shí)施方式】
[0095] 為了便于本領(lǐng)域技術(shù)人員的理解，下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的描述，并不能用來限制本發(fā)明的保護(hù)范圍。
[0096] 本發(fā)明針對(duì)云環(huán)境網(wǎng)絡(luò)復(fù)雜、變化頻率高的特點(diǎn)，基于鏡像流量充分采集云環(huán)境的網(wǎng)絡(luò)信息，采用流數(shù)據(jù)思想對(duì)海量網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，采用聚類分析方法對(duì)云環(huán)境下各業(yè)務(wù)之間互聯(lián)關(guān)系進(jìn)行安全審計(jì)，輔助用戶進(jìn)行安全決策。
[0097] 具體地，本發(fā)明提出了一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，如圖1所示，該方法包括：
[0098] S101、通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)。
[0099] 優(yōu)選地，通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)是指：
[0100] 采用多路并行采集技術(shù)同時(shí)采集云環(huán)境下虛擬交換機(jī)和實(shí)體交換機(jī)的端口鏡像流量，端口鏡像流量數(shù)據(jù)包括：主機(jī)內(nèi)虛擬機(jī)流量信息、主機(jī)間虛擬機(jī)流量信息和虛擬機(jī)到實(shí)體主機(jī)之間的流量信息。
[0101] 端口鏡像技術(shù)是為了方便對(duì)一個(gè)或多個(gè)網(wǎng)絡(luò)接口的流量進(jìn)行分析（如入侵檢測(cè) 系統(tǒng)IDS產(chǎn)品、網(wǎng)絡(luò)分析儀等），可以通過配置交換機(jī)來把一個(gè)或多個(gè)端口（虛擬局域網(wǎng) VLAN)的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽，是網(wǎng)絡(luò)通信協(xié)議的一種方式在企業(yè) 中用端口鏡像功能，可以很好的對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控管理，在網(wǎng)絡(luò)出現(xiàn)故障的時(shí)候，可以做到很好地故障定位。在云環(huán)境下虛擬交換機(jī)和實(shí)體交換機(jī)都具備端口鏡像能力。
[0102] S102、根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow。
[0103] 優(yōu)選地，根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow包括以下步驟：
[0104] 對(duì)原始流量數(shù)據(jù)的原始流量數(shù)據(jù)報(bào)文進(jìn)行業(yè)務(wù)應(yīng)用協(xié)議識(shí)別并進(jìn)行五元組標(biāo)記，五元組包括：客戶端IP、服務(wù)端IP、客戶端端口、服務(wù)端端口和應(yīng)用協(xié)議。
[0105] 對(duì)五元組標(biāo)記后的原始流量數(shù)據(jù)報(bào)文進(jìn)行分組，對(duì)分組后的各組原始流量數(shù)據(jù)報(bào) 文間隔性地實(shí)施匯總統(tǒng)計(jì)計(jì)算，構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow ;其中，每兩次匯總統(tǒng)計(jì) 計(jì)算之間的時(shí)間間隔相等。
[0106] 優(yōu)選地，
[0107] 該時(shí)間間隔為20秒。
[0108] 業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow的格式為：
[0109] AppFlow采用主動(dòng)式數(shù)據(jù)推送機(jī)制和用戶數(shù)據(jù)包協(xié)議UDP協(xié)議。
[0110] AppFlow封裝格式為1個(gè)標(biāo)頭Header和多個(gè)記錄Record。
[0111] 其中，所述Header的格式為：
[0112] 版本號(hào)Version :所處位置為Header，字段長度為2Bytes，OffSet = 0 ;
[0113] 報(bào)文中Record個(gè)數(shù)Count :所處位置為Header，字段長度為2Bytes，OffSet = 2 ;
[0114] 報(bào)文生成時(shí)間SystemTime :所處位置為Header，字段長度為4Bytes，OffSet = 4。
[0115] 用表格形式表不為：
[0116]
[0117] 其中，所述Record的格式為：
[0118] 源 IP Srclp :所處位置為 Record，字段長度為 4Bytes，OffSet = 0 ;
[0119] 目的 IP Dstlp :所處位置為 Record，字段長度為 4Bytes，OffSet = 4 ;
[0120] 源端口 SrcPort :所處位置為 Record，字段長度為 2Bytes，OffSet = 8 ;
[0121] 目的端口 DstPort :所處位置為Record，字段長度為2Bytes，OffSet = 10 ;
[0122] 四層協(xié)議Protocol_L4 :所處位置為Record，字段長度為lBytes，OffSet = 12 ;
[0123] 應(yīng)用層協(xié)議Protocol_App :所處位置為Record，字段長度為lBytes，OffSet = 13 ；
[0124] 流入索引If_in :所處位置為Record，字段長度為2Bytes，OffSet = 16 ;
[0125] 流出索引 Protocol_App :所處位置為 Record，字段長度為 2Bytes，OffSet = 16 ;
[0126] 包數(shù) Count_Packet :所處位置為 Record，字段長度為 4Bytes，OffSet = 18 ;
[0127] 字節(jié)數(shù) Count_Byte :所處位置為 Record，字段長度為 4Bytes，OffSet = 22 ;
[0128] 開始時(shí)間Start_Time :所處位置為Record，字段長度為4Bytes，OffSet = 26 ;
[0129] 結(jié)束時(shí)間End_Time :所處位置為Record，字段長度為4Bytes，OffSet = 30。
[0130] 用表格形式表不為：
[0131]
[0132] 其中，對(duì)原始流量數(shù)據(jù)報(bào)文進(jìn)行業(yè)務(wù)應(yīng)用協(xié)議識(shí)別并標(biāo)記采用DPI (每英寸網(wǎng)點(diǎn) 數(shù)）技術(shù)。應(yīng)用識(shí)別根據(jù)應(yīng)用協(xié)議的不同模型化分類，使用不同的識(shí)別技術(shù)，準(zhǔn)確識(shí)別應(yīng)用協(xié)議。應(yīng)用協(xié)議從基于傳輸控制協(xié)議/用戶數(shù)據(jù)報(bào)協(xié)議TCP/UDP固定端口發(fā)展成絕大多數(shù) 基于TCP/UDP可變端口，因此應(yīng)用協(xié)議識(shí)別需要將報(bào)文的深度內(nèi)容檢測(cè)及相關(guān)協(xié)議解析、檢測(cè)驗(yàn)證結(jié)合起來進(jìn)行。
[0133] S103、對(duì)業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow進(jìn)行持續(xù)計(jì)算，以二元組形式構(gòu)建業(yè)務(wù)互聯(lián)通訊對(duì)列表list，二元組包括客戶端網(wǎng)間互聯(lián)協(xié)議IP、服務(wù)端IP ;當(dāng)業(yè)務(wù)互聯(lián)通訊對(duì) list中的業(yè)務(wù)互聯(lián)通訊對(duì)的數(shù)量超過預(yù)定的第一閾值時(shí)，采用壓縮算法對(duì)業(yè)務(wù)互聯(lián)通訊對(duì) list進(jìn)行壓縮處理。
[0134] 優(yōu)選地，
[0135] 該方法還包括：實(shí)時(shí)監(jiān)測(cè)業(yè)務(wù)互聯(lián)通訊對(duì)，發(fā)現(xiàn)新的業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，實(shí)時(shí)更新所述業(yè)務(wù)互聯(lián)通訊對(duì)list。
[0136] 第一閾值為10萬個(gè)。
[0137] 采用壓縮算法對(duì)list進(jìn)行壓縮處理是指：將客戶端IP同屬于第一網(wǎng)段以及服務(wù) 端IP同屬于第二網(wǎng)段的多個(gè)業(yè)務(wù)互聯(lián)通訊對(duì)合并為一個(gè)，合并后的業(yè)務(wù)互聯(lián)通訊對(duì)表示第一網(wǎng)段到第二網(wǎng)段的業(yè)務(wù)互聯(lián)通訊對(duì)。
[0138] 為了保證在超大規(guī)模IP環(huán)境下的系統(tǒng)穩(wěn)定性，當(dāng)業(yè)務(wù)互聯(lián)通訊對(duì)list超過一定規(guī)模（如10萬個(gè)，依據(jù)應(yīng)用環(huán)境不同而不同），需要對(duì)業(yè)務(wù)互聯(lián)通訊對(duì)list進(jìn)行壓縮。
[0139] S104、根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù)互聯(lián)通訊對(duì) 為異?；ヂ?lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線。
[0140] 優(yōu)選地，根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為異?；ヂ?lián)，則進(jìn)行異常互聯(lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線是指：
[0141] 依據(jù)包括通訊次數(shù)、字節(jié)流量、應(yīng)用協(xié)議主成分的聚類特征三元組，采用平衡迭代削減聚類法將壓縮后的業(yè)務(wù)互聯(lián)通訊對(duì)list分為多個(gè)群組group ;將多個(gè)group中的各個(gè) group內(nèi)的業(yè)務(wù)互聯(lián)通訊對(duì)的平均通訊頻次和平均通訊字節(jié)流速作為該group的特征值基線，隨著時(shí)間推進(jìn)，當(dāng)該group內(nèi)有新的通訊對(duì)發(fā)生，即，當(dāng)該group內(nèi)增加一個(gè)或多個(gè)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，將新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與該group的特征值基線相比較，當(dāng)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與特征值基線的偏離度大于預(yù)定的第二閾值時(shí)，將一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為異常互聯(lián)，并進(jìn)行異常互聯(lián)告警；當(dāng)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與特征值基線的偏離度小于或等于第二閾值時(shí)，將一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為正?；ヂ?lián)，并依據(jù)一個(gè) 或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速對(duì)該group的特征值基線進(jìn)行更新。
[0142] 平衡迭代削減聚類法（即BIRCH算法），其核心是用一個(gè)聚類特征三元組（通訊次數(shù)、字節(jié)流量、應(yīng)用協(xié)議主成分）表示一個(gè)簇的有關(guān)信息，從而使一簇點(diǎn)的表示可用對(duì)應(yīng)的聚類特征，而不必用具體的一組點(diǎn)來表示。它通過構(gòu)造滿足分支因子和簇直徑限制的聚類特征樹來求聚類。BIRCH算法通過聚類特征可以方便地進(jìn)行中心、半徑、直徑及類內(nèi)、類間距離的運(yùn)算。算法的聚類特征樹是一個(gè)具有兩個(gè)參數(shù)分枝因子B和類直徑T的高度平衡樹。分枝因子規(guī)定了樹的每個(gè)節(jié)點(diǎn)子女的最多個(gè)數(shù)，而類直徑體現(xiàn)了對(duì)一類點(diǎn)的直徑大小的限制即這些點(diǎn)在多大范圍內(nèi)可以聚為一類，非葉子結(jié)點(diǎn)為它的子女的最大關(guān)鍵字，可以根據(jù) 這些關(guān)鍵字進(jìn)行插人索引，它總結(jié)了其子女的信息。
[0143] 業(yè)務(wù)通訊對(duì)群組的特征值基線為該群組內(nèi)各業(yè)務(wù)互聯(lián)通訊對(duì)的平均通訊次數(shù)和字節(jié)流量。AppFlow是按照等時(shí)間間隔匯總統(tǒng)計(jì)所得，該時(shí)間間隔為20秒，通過AppFlow 計(jì)算獲得業(yè)務(wù)互聯(lián)通信對(duì)，當(dāng)該群組內(nèi)有新的業(yè)務(wù)互聯(lián)通訊對(duì)發(fā)生，該通訊對(duì)本周期內(nèi)（20 秒）的平均通訊次數(shù)或字節(jié)流量超過所在群組的特征基線值，則生成異?；ヂ?lián)告警。
[0144] S105、以固定的時(shí)間周期統(tǒng)計(jì)全網(wǎng)異?；ヂ?lián)情況，基于異常互聯(lián)告警的次數(shù)和嚴(yán) 重等級(jí)獲得業(yè)務(wù)互聯(lián)指數(shù)，業(yè)務(wù)互聯(lián)指數(shù)作為業(yè)務(wù)互聯(lián)的整體審計(jì)指標(biāo)，審計(jì)指標(biāo)的計(jì)算公式為：
[0145]
[0146] 其中，N是本時(shí)間周期內(nèi)所述異常互聯(lián)告警的總數(shù)；PRI為異常互聯(lián)告警的嚴(yán)重等級(jí)，PRI為正整數(shù)，取值范圍1-5 ;Ni為每一個(gè)嚴(yán)重等級(jí)下異常互聯(lián)告警的數(shù)量。
[0147] 業(yè)務(wù)互聯(lián)指數(shù)代表整個(gè)云環(huán)境的業(yè)務(wù)互聯(lián)安全態(tài)勢(shì)。
[0148] 本發(fā)明還提出了一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)系統(tǒng)01，如圖2所示，該系統(tǒng)包括：采集模塊02、第一構(gòu)建模塊03、第二構(gòu)建模塊04、判定模塊05以及計(jì)算模塊06。
[0149] 采集模塊02,用于通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)。
[0150] 第一構(gòu)建模塊03,用于根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow。
[0151] 第二構(gòu)建模塊04,用于對(duì)業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow進(jìn)行持續(xù)計(jì)算，以二元組形式構(gòu)建業(yè)務(wù)互聯(lián)通訊對(duì)列表list，二元組包括客戶端IP、服務(wù)端IP ;當(dāng)業(yè)務(wù)互聯(lián)通訊對(duì) list中的業(yè)務(wù)互聯(lián)通訊對(duì)的數(shù)量超過預(yù)定的第一閾值時(shí)，采用壓縮算法對(duì)業(yè)務(wù)互聯(lián)通訊對(duì) list進(jìn)行壓縮處理。
[0152] 判定模塊05,用于根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù) 互聯(lián)通訊對(duì)為異?；ヂ?lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線。
[0153] 計(jì)算模塊06,用于以固定的時(shí)間周期統(tǒng)計(jì)全網(wǎng)異常互聯(lián)情況，基于異?；ヂ?lián)告警的次數(shù)和嚴(yán)重等級(jí)獲得業(yè)務(wù)互聯(lián)指數(shù)，業(yè)務(wù)互聯(lián)指數(shù)作為業(yè)務(wù)互聯(lián)的整體審計(jì)指標(biāo)，審計(jì) 指標(biāo)的計(jì)算公式為：
[0154]
[0155] 其中，N是本時(shí)間周期內(nèi)異?；ヂ?lián)告警的總數(shù)；PRI為異?；ヂ?lián)告警的嚴(yán)重等級(jí)， PRI為正整數(shù)，取值范圍1-5 ;Ni為每一個(gè)嚴(yán)重等級(jí)下異?；ヂ?lián)告警的數(shù)量。
[0156] 優(yōu)選地，通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)是指：
[0157] 采用多路并行采集技術(shù)同時(shí)采集云環(huán)境下虛擬交換機(jī)和實(shí)體交換機(jī)的端口鏡像流量，端口鏡像流量數(shù)據(jù)包括：主機(jī)內(nèi)虛擬機(jī)流量信息、主機(jī)間虛擬機(jī)流量信息和虛擬機(jī)到實(shí)體主機(jī)之間的流量信息。
[0158] 優(yōu)選地，根據(jù)原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow包括以下步驟：
[0159] 對(duì)原始流量數(shù)據(jù)的原始流量數(shù)據(jù)報(bào)文進(jìn)行業(yè)務(wù)應(yīng)用協(xié)議識(shí)別并進(jìn)行五元組標(biāo)記，五元組包括：客戶端IP、服務(wù)端IP、客戶端端口、服務(wù)端端口和應(yīng)用協(xié)議；
[0160] 對(duì)五元組標(biāo)記后的原始流量數(shù)據(jù)報(bào)文進(jìn)行分組，對(duì)分組后的各組原始流量數(shù)據(jù)報(bào) 文間隔性地實(shí)施匯總統(tǒng)計(jì)計(jì)算，構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow ;其中，每兩次匯總統(tǒng)計(jì) 計(jì)算之間的時(shí)間間隔相等。
[0161] 優(yōu)選地，
[0162] 該時(shí)間間隔為20秒；
[0163] 業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow的格式為：
[0164] AppFlow采用主動(dòng)式數(shù)據(jù)推送機(jī)制和用戶數(shù)據(jù)包協(xié)議UDP協(xié)議。
[0165] AppFlow封裝格式為1個(gè)標(biāo)頭Header和多個(gè)記錄Record。
[0166] 其中，Header的格式為：
[0167] 版本號(hào)Version :所處位置為Header，字段長度為2Bytes，OffSet = 0 ;
[0168] 報(bào)文中Record個(gè)數(shù)Count :所處位置為Header，字段長度為2Bytes，OffSet = 2 ;
[0169] 報(bào)文生成時(shí)間SystemTime :所處位置為Header，字段長度為4Bytes，OffSet = 4。
[0170] 其中，Record的格式為：
[0171] 源 IP Srclp :所處位置為 Record，字段長度為 4Bytes，OffSet = 0 ;
[0172] 目的 IP Dstlp :所處位置為 Record，字段長度為 4Bytes，OffSet = 4 ;
[0173] 源端口 SrcPort :所處位置為 Record，字段長度為 2Bytes，OffSet = 8 ;
[0174] 目的端口 DstPort :所處位置為Record，字段長度為2Bytes，OffSet = 10 ;
[0175] 四層協(xié)議Protocol_L4 :所處位置為Record，字段長度為lBytes，OffSet = 12 ;
[0176] 應(yīng)用層協(xié)議Protocol_App :所處位置為Record，字段長度為lBytes，OffSet = 13 ；
[0177] 流入索引If_in :所處位置為Record，字段長度為2Bytes，OffSet = 16 ;
[0178] 流出索引 Protocol_App :所處位置為 Record，字段長度為 2Bytes，OffSet = 16 ;
[0179] 包數(shù) Count_Packet :所處位置為 Record，字段長度為 4Bytes，OffSet = 18 ;
[0180] 字節(jié)數(shù) Count_Byte :所處位置為 Record，字段長度為 4Bytes，OffSet = 22 ;
[0181] 開始時(shí)間Start_Time :所處位置為Record，字段長度為4Bytes，OffSet = 26 ;
[0182] 結(jié)束時(shí)間End_Time :所處位置為Record，字段長度為4Bytes，OffSet = 30。
[0183] 優(yōu)選地，
[0184] 該系統(tǒng)還包括更新模塊07 :用于實(shí)時(shí)監(jiān)測(cè)所述業(yè)務(wù)互聯(lián)通訊對(duì)，發(fā)現(xiàn)新的業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，實(shí)時(shí)更新業(yè)務(wù)互聯(lián)通訊對(duì)list。
[0185] 第一閾值為10萬個(gè)。
[0186] 采用壓縮算法對(duì)list進(jìn)行壓縮處理是指：將客戶端IP同屬于第一網(wǎng)段以及服務(wù) 端IP同屬于第二網(wǎng)段的多個(gè)業(yè)務(wù)互聯(lián)通訊對(duì)合并為一個(gè)，合并后的業(yè)務(wù)互聯(lián)通訊對(duì)表示第一網(wǎng)段到第二網(wǎng)段的業(yè)務(wù)互聯(lián)通訊對(duì)。
[0187] 優(yōu)選地，根據(jù)壓縮處理后的業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于特征值基線判斷增加的一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為異?；ヂ?lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新特征值基線是指：
[0188] 依據(jù)包括通訊次數(shù)、字節(jié)流量、應(yīng)用協(xié)議主成分的聚類特征三元組，采用平衡迭代削減聚類法將壓縮后的業(yè)務(wù)互聯(lián)通訊對(duì)list分為多個(gè)群組group ;將多個(gè)group中的各個(gè) group內(nèi)的業(yè)務(wù)互聯(lián)通訊對(duì)的平均通訊頻次和平均通訊字節(jié)流速作為該group的特征值基線，當(dāng)該group內(nèi)增加一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，將新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與該group的特征值基線相比較，當(dāng)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與特征值基線的偏離度大于預(yù)定的第二閾值時(shí)，將一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為異?；ヂ?lián)，并進(jìn)行異?；ヂ?lián)告警；當(dāng)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與特征值基線的偏離度小于或等于第二閾值時(shí)，將一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為正?；ヂ?lián)，并依據(jù)一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速對(duì)該group的特征值基線進(jìn)行更新。
[0189] 需要說明的是，以上所述的實(shí)施例僅是為了便于本領(lǐng)域的技術(shù)人員理解而已，并不用于限制本發(fā)明的保護(hù)范圍，在不脫離本發(fā)明的發(fā)明構(gòu)思的前提下，本領(lǐng)域技術(shù)人員對(duì) 本發(fā)明所做出的任何顯而易見的替換和改進(jìn)等均在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1. 一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，其特征在于，所述方法包括：通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)；根據(jù)所述原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFloW ; 對(duì)所述業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow進(jìn)行持續(xù)計(jì)算，W二元組形式構(gòu)建業(yè)務(wù)互聯(lián)通訊對(duì)列表list,所述二元組包括客戶端網(wǎng)間互聯(lián)協(xié)議IP、服務(wù)端IP ;當(dāng)所述業(yè)務(wù)互聯(lián)通訊對(duì) list中的業(yè)務(wù)互聯(lián)通訊對(duì)的數(shù)量超過預(yù)定的第一闊值時(shí)，采用壓縮算法對(duì)所述業(yè)務(wù)互聯(lián)通訊對(duì)list進(jìn)行壓縮處理；根據(jù)壓縮處理后的所述業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于所述特征值基線判斷增加的一個(gè)或多個(gè)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果所述新的業(yè)務(wù)互聯(lián)通訊對(duì)為異?；ヂ?lián)，則進(jìn)行異?；ヂ?lián)報(bào)警；如果所述新的業(yè)務(wù)互聯(lián)通訊對(duì)為正常互聯(lián)，貝U 更新所述特征值基線； W固定的時(shí)間周期統(tǒng)計(jì)全網(wǎng)異?；ヂ?lián)情況，基于所述異?；ヂ?lián)告警的次數(shù)和嚴(yán)重等級(jí) 獲得業(yè)務(wù)互聯(lián)指數(shù)，所述業(yè)務(wù)互聯(lián)指數(shù)作為業(yè)務(wù)互聯(lián)的整體審計(jì)指標(biāo)，所述審計(jì)指標(biāo)的計(jì) 算公式為：其中，N是本時(shí)間周期內(nèi)所述異?；ヂ?lián)告警的總數(shù)；PRI為所述異?；ヂ?lián)告警的嚴(yán)重等級(jí)，所述PRI為正整數(shù)，取值范圍1-5 ;Ni為每一個(gè)嚴(yán)重等級(jí)下所述異?；ヂ?lián)告警的數(shù)量。2. 如權(quán)利要求1所述的業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，其特征在于，所述通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)是指：采用多路并行采集技術(shù)同時(shí)采集云環(huán)境下所述虛擬交換機(jī)和實(shí)體交換機(jī)的端口鏡像流量，所述端口鏡像流量數(shù)據(jù)包括：主機(jī)內(nèi)虛擬機(jī)流量信息、主機(jī)間虛擬機(jī)流量信息和虛擬機(jī)到實(shí)體主機(jī)之間的流量信息。3. 如權(quán)利要求1所述的業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，其特征在于，所述根據(jù)所述原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow包括W下步驟：對(duì)所述原始流量數(shù)據(jù)的原始流量數(shù)據(jù)報(bào)文進(jìn)行業(yè)務(wù)應(yīng)用協(xié)議識(shí)別并進(jìn)行五元組標(biāo)記，所述五元組包括：客戶端IP、服務(wù)端IP、客戶端端口、服務(wù)端端口和應(yīng)用協(xié)議；對(duì)五元組標(biāo)記后的所述原始流量數(shù)據(jù)報(bào)文進(jìn)行分組，對(duì)分組后的各組所述原始流量數(shù) 據(jù)報(bào)文間隔性地實(shí)施匯總統(tǒng)計(jì)計(jì)算，構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow ;其中，每兩次所述匯總統(tǒng)計(jì)計(jì)算之間的時(shí)間間隔相等。4. 如權(quán)利要求3所述業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，其特征在于，所述時(shí)間間隔為20秒；所述業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow的格式為：所述AppFlow采用主動(dòng)式數(shù)據(jù)推送機(jī)制和用戶數(shù)據(jù)包協(xié)議UDP協(xié)議；所述AppFlow封裝格式為1個(gè)標(biāo)頭化ader和多個(gè)記錄Record ; 其中，所述化ader的格式為：版本號(hào)Version :所處位置為化ader，字段長度為2B^es，Offset = 0 ; 報(bào)文中Record個(gè)數(shù)Count :所處位置為Header,字段長度為2B}ftes，OffSet = 2 ; 報(bào)文生成時(shí)間SystemTime :所處位置為化ader，字段長度為4B^es，Offset = 4 ; 其中，所述Record的格式為：源IP SrcIp :所處位置為Record,字段長度為4B}ftes，OffSet = 0 ; 目的IP DstIp :所處位置為Record,字段長度為4B}rtes，Offset = 4 ; 源端口 SrcPort :所處位置為Record,字段長度為2B}ftes，OffSet = 8 ; 目的端口化巧ort :所處位置為Record,字段長度為2B^es，Offset = 10 ; 四層協(xié)議Pr〇tocol_L4 :所處位置為Record,字段長度為lB}ftes，OffSet = 12 ; 應(yīng)用層協(xié)議Protocol_App :所處位置為Record,字段長度為IB^es，Offset = 13 ; 流入索引If_in :所處位置為Record,字段長度為2B^es，Offset = 16 ; 流出索引Protocol_App :所處位置為Record,字段長度為2B}rtes，Offset = 16 ; 包數(shù) Count_Packet :所處位置為 Record,字段長度為 4B}ftes，OffSet = 18 ; 字節(jié)數(shù)Count_B}fte :所處位置為Record,字段長度為4B}ftes，OffSet = 22 ; 開始時(shí)間Sta;rt_Time :所處位置為Record,字段長度為4B}ftes，OffSet = 26 ; 結(jié)束時(shí)間化cLTime :所處位置為Record,字段長度為4B^es，Offset = 30。5. 如權(quán)利要求1所述業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，其特征在于，所述方法還包括：實(shí)時(shí)監(jiān)測(cè)所述業(yè)務(wù)互聯(lián)通訊對(duì)，發(fā)現(xiàn)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，實(shí) 時(shí)更新所述業(yè)務(wù)互聯(lián)通訊對(duì)list ; 所述第一闊值為10萬個(gè)；所述采用壓縮算法對(duì)所述list進(jìn)行壓縮處理是指：將所述客戶端IP同屬于第一網(wǎng)段 W及所述服務(wù)端IP同屬于第二網(wǎng)段的多個(gè)所述業(yè)務(wù)互聯(lián)通訊對(duì)合并為一個(gè)，合并后的所述業(yè)務(wù)互聯(lián)通訊對(duì)表示所述第一網(wǎng)段到所述第二網(wǎng)段的業(yè)務(wù)互聯(lián)通訊對(duì)。6. 如權(quán)利要求1所述業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，其特征在于，所述根據(jù)壓縮處理后的所述業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于所述特征值基線判斷增加的一個(gè)或多個(gè) 新的所述業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果所述新的業(yè)務(wù)互聯(lián)通訊對(duì)為異?；ヂ?lián)，貝U 進(jìn)行異?；ヂ?lián)報(bào)警；如果所述新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新所述特征值基線是指：依據(jù)包括通訊次數(shù)、字節(jié)流量、應(yīng)用協(xié)議主成分的聚類特征=元組，采用平衡迭代削減聚類法將壓縮后的所述業(yè)務(wù)互聯(lián)通訊對(duì)list分為多個(gè)群組group ;將所述多個(gè)group中的各個(gè)group內(nèi)的所述業(yè)務(wù)互聯(lián)通訊對(duì)的平均通訊頻次和平均通訊字節(jié)流速作為該group的特征值基線，當(dāng)該group內(nèi)增加一個(gè)或多個(gè)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，將新的所述業(yè)務(wù) 互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與該group的所述特征值基線相比較，當(dāng)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與所述特征值基線的偏離度大于預(yù)定的第二闊值時(shí)，將所述一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為異?；ヂ?lián)，并進(jìn)行異?；ヂ?lián)告警；當(dāng) 新的所述業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與所述特征值基線的偏離度小于或等于所述第二闊值時(shí)，將所述一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為正常互聯(lián)，并依據(jù)所述一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速對(duì)該group的所述特征值基線進(jìn)行更新。7. -種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)系統(tǒng)，其特征在于，所述系統(tǒng)包括：采集模塊、第一構(gòu)建模塊、第二構(gòu)建模塊、判定模塊W及計(jì)算模塊；所述采集模塊，用于通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)；所述第一構(gòu)建模塊，用于根據(jù)所述原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFloW ; 所述第二構(gòu)建模塊，用于對(duì)所述業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow進(jìn)行持續(xù)計(jì)算，W二元組形式構(gòu)建業(yè)務(wù)互聯(lián)通訊對(duì)列表list,所述二元組包括客戶端IP、服務(wù)端IP ;當(dāng)所述業(yè)務(wù) 互聯(lián)通訊對(duì)list中的業(yè)務(wù)互聯(lián)通訊對(duì)的數(shù)量超過預(yù)定的第一闊值時(shí)，采用壓縮算法對(duì)所述業(yè)務(wù)互聯(lián)通訊對(duì)list進(jìn)行壓縮處理；所述判定模塊，用于根據(jù)壓縮處理后的所述業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于所述特征值基線判斷增加的一個(gè)或多個(gè)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果所述新的業(yè)務(wù)互聯(lián)通訊對(duì)為異常互聯(lián)，則進(jìn)行異常互聯(lián)報(bào)警；如果所述新的業(yè)務(wù)互聯(lián)通訊對(duì)為正常互聯(lián)，則更新所述特征值基線；所述計(jì)算模塊，用于W固定的時(shí)間周期統(tǒng)計(jì)全網(wǎng)異?；ヂ?lián)情況，基于所述異?；ヂ?lián)告警的次數(shù)和嚴(yán)重等級(jí)獲得業(yè)務(wù)互聯(lián)指數(shù)，所述業(yè)務(wù)互聯(lián)指數(shù)作為業(yè)務(wù)互聯(lián)的整體審計(jì)指標(biāo)，所述審計(jì)指標(biāo)的計(jì)算公式為：其中，N是本時(shí)間周期內(nèi)所述異?；ヂ?lián)告警的總數(shù)；PRI為所述異常互聯(lián)告警的嚴(yán)重等級(jí)，所述PRI為正整數(shù)，取值范圍1-5 ;Ni為每一個(gè)嚴(yán)重等級(jí)下所述異常互聯(lián)告警的數(shù)量。8. 如權(quán)利要求7所述的業(yè)務(wù)互聯(lián)關(guān)系審計(jì)系統(tǒng)，其特征在于，所述通過流量鏡像采集云環(huán)境中虛擬交換和實(shí)體交換機(jī)中的原始流量數(shù)據(jù)是指：采用多路并行采集技術(shù)同時(shí)采集云環(huán)境下所述虛擬交換機(jī)和實(shí)體交換機(jī)的端口鏡像流量，所述端口鏡像流量數(shù)據(jù)包括：主機(jī)內(nèi)虛擬機(jī)流量信息、主機(jī)間虛擬機(jī)流量信息和虛擬機(jī)到實(shí)體主機(jī)之間的流量信息。9. 如權(quán)利要求7所述的業(yè)務(wù)互聯(lián)關(guān)系審計(jì)系統(tǒng)，其特征在于，所述根據(jù)所述原始流量數(shù)據(jù)構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow包括W下步驟：對(duì)所述原始流量數(shù)據(jù)的原始流量數(shù)據(jù)報(bào)文進(jìn)行業(yè)務(wù)應(yīng)用協(xié)議識(shí)別并進(jìn)行五元組標(biāo)記，所述五元組包括：客戶端IP、服務(wù)端IP、客戶端端口、服務(wù)端端口和應(yīng)用協(xié)議；對(duì)五元組標(biāo)記后的所述原始流量數(shù)據(jù)報(bào)文進(jìn)行分組，對(duì)分組后的各組所述原始流量數(shù) 據(jù)報(bào)文間隔性地實(shí)施匯總統(tǒng)計(jì)計(jì)算，構(gòu)建業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow ;其中，每兩次所述匯總統(tǒng)計(jì)計(jì)算之間的時(shí)間間隔相等。10. 如權(quán)利要求9所述業(yè)務(wù)互聯(lián)關(guān)系審計(jì)系統(tǒng)，其特征在于，所述時(shí)間間隔為20秒；所述業(yè)務(wù)流信息數(shù)據(jù)協(xié)議AppFlow的格式為：所述AppFlow采用主動(dòng)式數(shù)據(jù)推送機(jī)制和用戶數(shù)據(jù)包協(xié)議UDP協(xié)議；所述AppFlow封裝格式為1個(gè)標(biāo)頭化ader和多個(gè)記錄Record ; 其中，所述化ader的格式為：版本號(hào)Version :所處位置為化ader，字段長度為2B^es，Offset = 0 ; 報(bào)文中Record個(gè)數(shù)Count :所處位置為Header,字段長度為2B}ftes，OffSet = 2 ; 報(bào)文生成時(shí)間SystemTime :所處位置為化ader，字段長度為4B^es，Offset = 4 ; 其中，所述Record的格式為：源IP SrcIp :所處位置為Record,字段長度為4B}ftes，OffSet = 0 ; 目的IP DstIp :所處位置為Record,字段長度為4B}rtes，Offset = 4 ; 源端口 SrcPort :所處位置為Record,字段長度為2B}ftes，OffSet = 8 ; 目的端口化巧ort :所處位置為Record,字段長度為2B^es，Offset = 10 ; 四層協(xié)議Pr〇tocol_L4 :所處位置為Record,字段長度為lB}ftes，OffSet = 12 ; 應(yīng)用層協(xié)議Protocol_App :所處位置為Record,字段長度為IB^es，Offset = 13 ; 流入索引If_in :所處位置為Record,字段長度為2B^es，Offset = 16 ; 流出索引Protocol_App :所處位置為Record,字段長度為2B}rtes，Offset = 16 ; 包數(shù) Count_Packet :所處位置為 Record,字段長度為 4B}ftes，OffSet = 18 ; 字節(jié)數(shù)Count_B}fte :所處位置為Record,字段長度為4B}ftes，OffSet = 22 ; 開始時(shí)間Sta;rt_Time :所處位置為Record,字段長度為4B}ftes，OffSet = 26 ; 結(jié)束時(shí)間化cLTime :所處位置為Record,字段長度為4B^es，Offset = 30。11. 如權(quán)利要求7所述業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法，其特征在于，所述系統(tǒng)還包括更新模塊：用于實(shí)時(shí)監(jiān)測(cè)所述業(yè)務(wù)互聯(lián)通訊對(duì)，發(fā)現(xiàn)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，實(shí)時(shí)更新所述業(yè)務(wù)互聯(lián)通訊對(duì)list ; 所述第一闊值為10萬個(gè)；所述采用壓縮算法對(duì)所述list進(jìn)行壓縮處理是指：將所述客戶端IP同屬于第一網(wǎng)段 W及所述服務(wù)端IP同屬于第二網(wǎng)段的多個(gè)所述業(yè)務(wù)互聯(lián)通訊對(duì)合并為一個(gè)，合并后的所述業(yè)務(wù)互聯(lián)通訊對(duì)表示所述第一網(wǎng)段到所述第二網(wǎng)段的業(yè)務(wù)互聯(lián)通訊對(duì)。12. 如權(quán)利要求7所述業(yè)務(wù)互聯(lián)關(guān)系審計(jì)系統(tǒng)，其特征在于，所述根據(jù)壓縮處理后的所述業(yè)務(wù)互聯(lián)通訊對(duì)list構(gòu)建特征值基線，并基于所述特征值基線判斷增加的一個(gè)或多個(gè) 新的所述業(yè)務(wù)互聯(lián)通訊對(duì)是否為異?；ヂ?lián)；如果所述新的業(yè)務(wù)互聯(lián)通訊對(duì)為異?；ヂ?lián)，貝U 進(jìn)行異?；ヂ?lián)報(bào)警；如果所述新的業(yè)務(wù)互聯(lián)通訊對(duì)為正?；ヂ?lián)，則更新所述特征值基線是指：依據(jù)包括通訊次數(shù)、字節(jié)流量、應(yīng)用協(xié)議主成分的聚類特征=元組，采用平衡迭代削減聚類法將壓縮后的所述業(yè)務(wù)互聯(lián)通訊對(duì)list分為多個(gè)群組group ;將所述多個(gè)group中的各個(gè)group內(nèi)的所述業(yè)務(wù)互聯(lián)通訊對(duì)的平均通訊頻次和平均通訊字節(jié)流速作為該group的特征值基線，當(dāng)該group內(nèi)增加一個(gè)或多個(gè)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)時(shí)，將新的所述業(yè)務(wù) 互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與該group的所述特征值基線相比較，當(dāng)新的所述業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與所述特征值基線的偏離度大于預(yù)定的第二闊值時(shí)，將所述一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為異?；ヂ?lián)，并進(jìn)行異常互聯(lián)告警；當(dāng) 新的所述業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速與所述特征值基線的偏離度小于或等于所述第二闊值時(shí)，將所述一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)確定為正?；ヂ?lián)，并依據(jù)所述一個(gè)或多個(gè)新的業(yè)務(wù)互聯(lián)通訊對(duì)的通訊頻次和通訊字節(jié)流速對(duì)該group的所述特征值基線進(jìn)行更新。
【文檔編號(hào)】H04L29/06GK105991623SQ201510098835
【公開日】2016年10月5日
【申請(qǐng)日】2015年3月5日
【發(fā)明人】張延佳
【申請(qǐng)人】北京啟明星辰信息安全技術(shù)有限公司, 北京啟明星辰信息技術(shù)股份有限公司

完整全部詳細(xì)技術(shù)資料下載

該技術(shù)已申請(qǐng)專利。僅供學(xué)習(xí)研究，如用于商業(yè)用途，請(qǐng)聯(lián)系技術(shù)所有人。
技術(shù)研發(fā)人員：張延佳;
技術(shù)所有人：北京啟明星辰信息安全技術(shù)有限公司;北京啟明星辰信息技術(shù)股份有限公司;
我是此專利的發(fā)明人

上一篇：一種服務(wù)器的安全管理方法及裝置的制造方法
上一篇：一種報(bào)文驗(yàn)證方法及設(shè)備的制造方法

該領(lǐng)域下的技術(shù)專家
如您需求助技術(shù)專家，請(qǐng)點(diǎn)此查看客服電話進(jìn)行咨詢。
1、王老師：1.數(shù)字信號(hào)處理 2.傳感器技術(shù)及應(yīng)用 3.機(jī)電一體化產(chǎn)品開發(fā) 4.機(jī)械工程測(cè)試技術(shù) 5.逆向工程技術(shù)研究
2、王老師：1.機(jī)器人 2.嵌入式控制系統(tǒng)開發(fā)
3、孫老師：1.振動(dòng)信號(hào)時(shí)頻分析理論與測(cè)試系統(tǒng)設(shè)計(jì) 2.汽車檢測(cè)系統(tǒng)設(shè)計(jì) 3.汽車電子控制系統(tǒng)設(shè)計(jì)
4、畢老師：機(jī)構(gòu)動(dòng)力學(xué)與控制
5、袁老師：1.計(jì)算機(jī)視覺 2.無線網(wǎng)絡(luò)及物聯(lián)網(wǎng)
如您是高校老師，可以點(diǎn)此聯(lián)系我們加入專家?guī)臁?/a>

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條留言

還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊！

精彩留言，會(huì)給你點(diǎn)贊！

互聯(lián)網(wǎng)安全審計(jì)系統(tǒng)相關(guān)技術(shù)

互聯(lián)網(wǎng)業(yè)務(wù)監(jiān)控系統(tǒng)相關(guān)技術(shù)

国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

一種業(yè)務(wù)互聯(lián)關(guān)系審計(jì)方法和系統(tǒng)的制作方法