內網流量控制系統的製作方法
2023-08-06 01:03:11
專利名稱:內網流量控制系統的製作方法
技術領域:
本實用新型涉及電力行業流量監控領域,尤其涉及一種內網流量控制系統。
背景技術:
隨著網際網路的普及,網絡安全事件的發生離我們越來越近,我們可能遇到如下情況I)員工利用工作時間,聊天、炒股、玩網路遊戲等行為,影響工作效率;2)員工訪問不良網站,遭受惡意代碼、間諜軟體及釣魚式攻擊等,影響企業網絡正常運行;3)員工隨意使用P2P下載、在線視頻等,嚴重佔用網絡帶寬,導致正常業務無法獲取足夠網絡資源;4)員工瀏覽非法網站、發表敏感信息和傳播非法言論,造成惡劣社會影響,並可能導致國家法律問題;5)員工隨意通過EMAIL、即時通訊等方式發送敏感業務信息,導致信息外洩事件發生;6)合規性管理要求。根據《網際網路安全保護技術措施規定》中明確要求網際網路服務提供者和連接到網際網路上的企事業單位必須記錄、跟蹤網絡運行狀態,監測網際網路安全事件,並對網絡中的違法信息進行管理。在內網流量監控中,要想做到有效的監控,首先要達到有效的流量分析,這就涉及到具體的流量檢測,在當前的內網流量監控系統中,針對P2P流的檢測一直是難點,也是當今的熱點。P2P流量具有以下基本特徵(I) P2P應用的平均連接時間比較長,有別於傳統應用連接時間較短的特性。(2)由於負載均衡,P2P主機通常只建立較少的埠連接,有別於傳統主機通信連接較多的特性。(3) P2P主機既作伺服器又作客戶端,有別於傳統主機只承擔一個角色的特徵。(4)由於P2P協議自身特點,它會與眾多用戶連接並交換信息,有別於傳統用戶只與少量幾個用戶或伺服器進行連接的特徵。(5) P2P主機流量更多體現為上行下行流量基本對稱,有別於傳統主機下行流量大於上行流量的特徵。當前常用的P2P流檢測方法(I)埠匹配通過數據包的協議類型、埠號來進行P2P識別。缺點是不斷有新的協議、新的埠加入到這個P2P應用埠表裡來,埠表不好維護;另外動態的埠不好維護;同時對於一些VPN的應用或者通過NAT轉換的應用無能為力。(2)深度數據包檢測對P2P數據包特徵比特串進行匹配.例如對於BT,如果IP包的數據區包含BT協議的特徵串「BitTorrent protocol 」,那麼就禁止該數據包通過。這樣,BT對等連接的握手無法建立,下載也無法繼續。這種檢測方法易於理解、升級方便、維護簡單,並且命中率非常高,原理上說基本上能檢測出所有的P2P流量,因而是目前運用最普遍也是最成熟的方法。然而這種方法也存在以下不足之處檢測效率較低、需要預先定義識別規則、需要分析數據包中一定長度的淨載荷內容,不僅存在侵犯用戶隱私的隱患,且給存儲空間帶來了更高的要求。(3)基於流特徵的識別作為一種充分利用客戶端資源的新型應用,P2P應用在網絡層和傳輸層表現出來的流量特徵相對於其它應用,如HTTP、FTP、DNS等,有許多不同的地方。基於流量特徵的檢測技術即是通過檢測這些新的流量特徵來發現P2P應用。
發明內容本實用新型克服了現有技術的不足,提供一種識別性能高、識別的誤報率和漏報率低的內網流量控制系統。為解決上述的技術問題,本實用新型採用以下技術方案 一種內網流量控制系統,包括中心節點資料庫、採集器、中心節點分析器和監控端,所述採集器設置在網絡節點處並與中心節點連接,所述中心節點分析器也與中心節點連接,所述採集器對節點的進程流信息進行採集,並向與中心節點連接的中心節點分析器上報採集到的節點進程流信息,所述中心節點分析器對上報節點的進程流信息進行實時分析,輸出分析結果,並寫入與中心節點連接的中心節點資料庫,所述監控端與中心節點分析器連接。為了更好的實現本實用新型,下面作出進一步技術改進作為優選上述監控端對採集器的配置命令通過中心節點分析器轉發。作為優選上述採集器根據配置命令來調整採集器的滑動窗口大小和採集的指標內容。作為優選上述監控端將中心節點分析器的分析結果進行圖形化顯示,並將圖形化信息提供給與其連接的網管伺服器,所述監控端上設置有與網管伺服器連接的接口。作為優選上述採集器和中心節點分析器提供可擴展功能模塊。作為優選上述可擴展功能模塊為內網監控、網絡分析、殭屍網絡識別、終端管理、鍵盤記錄、語音監聽中的一種。本實用新型還可以是以下技術方案上述的採集器有三個。與現有技術相比,本實用新型的有益效果是通過本實用新型的內網流量控制系統對內網流量的監控中,具有識別性能高,識別誤報率和漏報率低的特點。
圖I為本實用新型的原理示意圖;其中,附圖中的附圖標記所對應的名稱為I 一中心節點資料庫,2—採集器,3—中心節點,4 一中心節點分析器,5—監控端。
具體實施方式
下面結合實施例對本實用新型作進一步地詳細說明,但本實用新型的實施方式不限於此。如圖I所示,一種內網流量控制系統,包括中心節點資料庫I、採集器2、中心節點分析器4和監控端5,所述採集器2設置在網絡節點處並與中心節點3連接,所述中心節點分析器4也與中心節點3連接,所述採集器2對節點的進程流信息進行採集,並向與中心節點3連接的中心節點分析器4上報採集到的節點進程流信息,所述中心節點分析器4對上報節點的進程流信息進行實時分析,輸出分析結果,並寫入與中心節點3連接的中心節點資料庫I,所述監控端5與中心節點分析器4連接。監控端5對採集器2的配置命令通過中心節點分析器4轉發;監控端5將中心節點分析器4的分析結果進行圖形化顯示,並將圖形化信息提供給與其連接的外部網管伺服器,所述監控端5上設置有與外部網管伺服器連接的接口。
·[0040]採集器2和中心節點分析器4提供可擴展功能模塊,可擴展功能模塊為內網監控、網絡分析、殭屍網絡識別、終端管理、鍵盤記錄、語音監聽中的一種。本實施例的採集器2為三個,當然採集器2的個數根據實際情況而定。下面對本實施例的工作流程進行進一步的描述I.新的採集器2向中心節點分析器4發送註冊信息;2.中心節點分析器4返回給採集器2分配的認證帳號和認證密碼;3.採集器2向中心節點分析器發送認證信息;4.中心節點分析器4驗證認證信息,成功後向監控端5提示有新的採集器2上線,同時向採集器2返回認證成功信息;5.採集器2採集節點的進程行為信息;6.滑動窗口時間到,採集器2向中心節點分析器4上報節點的進程行為信息;7.中心節點分析器4分析節點的進程行為信息;8.監控端5根據分析結果進行顯示。本實用新型的內網流量控制系統具有如下特點I)支持對內部網絡多節點進程的網絡連接實時監控,並採集所有進程網絡連接的詳細信息,包括網絡連接的源IP和目的IP,源埠和目的埠,以及網絡連接狀態;2)支持對網絡內部多節點進程的網絡傳輸實時監控,採用winpcap進行抓包,獲得滑動窗口內的總流量和上下行流量,從而分別得出每個進程的網絡傳輸率和上下行流量比。3)在對網絡內部多節點進程網絡抓包的基礎上,對數據包進行分析。從而構建出與該節點交互的節點圖,從而計算該節點的節點分布度。4)中心節點3對網絡內部多節點進程的網絡行為進行統計,利用多特徵判斷算法和多節點行為相似度算法來檢測P2P節點和P2P進程。內網流量控制系統在對系統進程網絡行為進行採集的基礎之上,給出良好的監控界面。目前所實現的Demo便能實現以下功能[0058]A.即時動態顯示網絡內部節點所有進程的網絡平均連接數曲線;B.即時動態顯示網絡內部節點所有進程的網絡傳輸率曲線;C.即時動態顯示網絡內部節點所有進程的上下行流量比曲線;D.即時動態顯示網絡內部節點所有進程的網絡連接節點分布度曲線;E.採用滑動窗口模式上報進程網絡行為信息,中心節點負責分析這些行為信息,根據多特徵判斷算法和多節點行為相似度算法識別P2P節點和P2P進程。F.提供開放的接口,只需簡單的開發便能支持多種網絡流量分析和識別功能。綜上所述,便可以較好地實現本實用新型。以上內容是結合具體的優選實施方式對本實用新型所作的進一步詳細說明,不能認定本實用新型的具體實施只局限於這些說明。對於本實用新型所屬技術領域的普通技術人員來說,在不脫離本實用新型構思的前提下,還可以做出若干簡單推演或替換,都應當視為屬於本實用新型的保護範圍。
權利要求1.一種內網流量控制系統,其特徵在於所述的控制系統包括中心節點資料庫(I)、採集器(2)、中心節點分析器(4)和監控端(5),所述採集器(2)設置在網絡節點處並與中心節點(3)連接,所述中心節點分析器(4)也與中心節點(3)連接,所述採集器(2)對節點的進程流信息進行採集,井向與中心節點(3)連接的中心節點分析器(4)上報採集到的節點進程流信息,所述中心節點分析器(4)對上報節點的進程流信息進行實時分析,輸出分析結果,並寫入與中心節點(3)連接的中心節點資料庫(I),所述監控端(5)也與中心節點分析器(4)連接。
2.根據權利要求I所述的內網流量控制系統,其特徵在於所述監控端(5)對採集器(2)的配置命令通過中心節點分析器(4)轉發。
3.根據權利要求2所述的內網流量控制系統,其特徵在於所述採集器(2)根據配置命令來調整採集器(2 )的滑動窗ロ大小和採集的指標內容。
4.根據權利要求I所述的內網流量控制系統,其特徵在於所述監控端(5)將中心節點分析器(4)的分析結果進行圖形化顯示,並將圖形化信息提供給與其連接的網管伺服器,所述監控端(5)上設置有與網管伺服器連接的接ロ。
5.根據權利要求I所述的內網流量控制系統,其特徵在於所述採集器(2)和中心節點分析器(4)提供可擴展功能模塊。
6.根據權利要求5所述的內網流量控制系統,其特徵在於所述可擴展功能模塊為內網監控、網絡分析、殭屍網絡識別、終端管理、鍵盤記錄、語音監聽中的ー種。
7.根據權利要求I所述的內網流量控制系統,其特徵在於所述的採集器(2)有三個。
專利摘要本實用新型公開了一種內網流量控制系統,包括中心節點資料庫、採集器、中心節點分析器和監控端,所述採集器設置在網絡節點處並與中心節點連接,所述中心節點分析器也與中心節點連接,所述採集器對節點的進程流信息進行採集,並向與中心節點連接的中心節點分析器上報採集到的節點進程流信息,所述中心節點分析器對上報節點的進程流信息進行實時分析,輸出分析結果,並寫入與中心節點連接的中心節點資料庫,所述監控端與中心節點分析器連接;監控端對採集器的配置命令通過中心節點分析器轉發。通過本實用新型的內網流量控制系統對內網流量的監控中,具有識別性能高,識別誤報率和漏報率低的優點。
文檔編號H04L29/08GK202424749SQ20112051496
公開日2012年9月5日 申請日期2011年12月12日 優先權日2011年12月12日
發明者王秋 申請人:四川省電力公司廣安電業局