基於流信息對網絡設備上的acl進行配置的方法

2023-06-30 23:11:41 1

專利名稱：基於流信息對網絡設備上的acl進行配置的方法
技術領域：
本發明涉及使用從網絡路由器導出的網絡流數據來提供關於進入/離開設備的 業務的信息。網絡路由器可以配置用於授權或者拒絕經由路由器傳送其業務的兩個網絡設 備之間各種類型的網絡業務。所提出的方法描述了根據從由網絡路由器導出的網絡流信息 衍生的信息來動態創建和應用路由器上的訪問控制列表。
背景技術：
網絡使用數據對於很多重要的商業功能而言是有用的，諸如訂戶計費、營銷和客 戶關懷、產品開發、網絡操作管理、網絡和系統能力規劃以及安全性。網絡使用數據不包括 在各方之間的通信會話中交換的實際信息，而是包括多個稱為「流記錄」的使用明細記錄， 其包含一種或多種類型的元數據(即，「關於數據的數據」)。已知的網絡流記錄協議包括 Netflow 、sFlow 、jFlow 、cFlow 或者 Netstream 。在此使用的「流記錄」被 定義為在一段時間期間共享共用資源和目的地參數的IP分組的流對單向網絡使用的小測 量單元。包括在每個流記錄內的元數據的類型基於服務和網絡的類型而變化，並且在某些 情況下，基於提供流記錄的特定網絡設備而變化。通常，流記錄提供與各方之間的特定事件 或者通信連接有關的詳細使用信息，諸如連接開始時間和停止時間、所傳送數據的源(或 者發起者)、數據的目的地或者接收者以及傳送的數據量。流記錄概括非常短的時段(從 幾毫秒到幾秒，偶爾是幾分鐘)內的使用信息。根據涉及的服務和網絡的類型，流記錄還可 以包括與傳輸協議、傳輸數據的類型、所提供的服務類型(ToS)等有關的信息。在電話網絡 中，組成使用信息的流記錄稱為呼叫明細記錄(CDR)。在網絡監測中，收集、存儲和分析網絡流記錄以產生有意義的結果。網絡使用分析 系統對這些流記錄進行處理，並且生成支持各種業務功能的報告或者綜合數據文件。網絡 使用分析系統提供與網絡服務如何使用以及由誰使用有關的信息。網絡使用分析系統還可 以用於標識(或者預測)與客戶滿意度相關的問題，諸如由網絡擁塞和網絡安全濫用而引 起的那些問題。在一個示例中，可以監測基於訂戶使用行為的網絡利用和性能，以跟蹤用戶 體驗，預測將來的網絡能力，或者標識指示網絡濫用、詐騙和盜竊的使用行為。在計算機安全中，訪問控制列表(ACL)是附加到對象的許可的列表。更具體地，在 聯網中，ACL是指詳述業務過濾規則的規則列表。ACL可以許可或者拒絕通過網絡設備的業 務。僅路由器和防火牆可以具有網絡ACL。訪問控制列表通常可以配置用於控制入站業務 和出站業務二者。ACL是通過限制去往和來自不期望的地址和/或埠的用戶和設備訪問來控制網 絡業務的一種方式。ACL通過通常在路由器接口處控制是否轉發或者阻止路由的分組，來過 濾網絡業務，但是其他設備可以過濾分組。在訪問列表內指定的標準的基礎上，路由器檢查 每個分組以確定是否轉發或者丟棄該分組。訪問控制列表標準可以是業務的源地址或者業 務的目的地地址、目標埠或者協議或者其中某些組合。通常，網際協議(IP)地址充當源設備在基於IP的網絡中的標識符。訪問控制列表基於網絡內該IP標識符而允許差異化訪 問。雖然ACL提供了有利的功能，但是建立ACL可能是費力的。特別地，ACL當前人工 編程的。另外，選擇IP位址以放置在ACL上可能是任意和不可預測的。特別地，多種自治或者企業IP網絡是大型、複雜和動態的，使得其難於管理。網絡 管理任務(諸如，監測網絡中的業務、分析網絡的性能或者重新配置網絡以便改進性能)需 要關於網絡的信息。然而，因為大型IP網絡是高度動態的，所以難以獲得針對多種網絡管 理任務而言有用的信息。考慮到，大型IP網絡可能具有數以萬計的節點和數以百計的路由 器和網關。大型公司網絡可能具有300，000個節點和2，500個路由器。路由器、網關、交換 機和其他設備時常發生故障、離線或者恢復使用。鏈路通常發生故障、恢復使用或者性能下 降。例如，微波或者衛星鏈路可能經歷減少其帶寬的幹擾。用於在大型IP網絡中路由業務 的諸如OSPF和BGP的協議是動態的，並且大型網絡中的路由路徑隨著網絡中狀態的改變而 改變。即使是相對穩定的網絡，到達路由收斂的狀態也會花費較長的時間。按照設計，IP網 絡上的兩臺計算機之間的通信路徑在其之間的單個連接期間甚至也可能改變。鑑於這些因 素以及以下討論的其他因素，網絡管理工具獲得隨著時間描繪網絡的稍微完整和精確的網 絡圖片的信息是很困難的。網絡複雜度使得管理網絡較昂貴，因為其需要熟練的人工操作員的手動幹預。大 型IP網絡的配置和管理難於自動化。對於密切的人工監管的這一需要導致很多操作員採 取保守策略，即，傾向於網絡穩定性而不是為優化網絡性能進行頻繁的重新配置。由此，網 絡管理領域的另一問題在於IP網絡將次優的網絡配置保持得超過需要的時間，導致昂貴 帶寬容量的低效使用，以及與以其他可能方式相比的更高潛在通信延遲。用於自動化管理 和配置的工具還沒有廣泛採用。雖然確實存在用於網絡管理(包括監測和維護ACL)的工具，但是這些工具是不成 熟的而且具有很多缺陷。多數網絡管理工具僅發現和輪詢活躍的網絡設備以生成包含圖、 計數值、平均、高業務區域等的報告。當前的工具傾向於忽略網絡行為的全局動態，致力於 集中統一從個體網絡設備本地獲得的可能衝突的數據。當前的工具沒有使操作員執行各種 可能有用的任務較為容易，可能有用的任務諸如，發現特定業務組採用的通過網絡的路徑， 調查網絡在『如果-將會怎樣』場景中的行為，在發生故障和恢復時監測網絡的演變，或者 在網絡業務涉及特定應用或者服務時對其進行分析等。如上所述，曾經嘗試在個體用戶計算機處測量網絡業務，但是主機業務數據在範 圍內受到限制，並且通常無法顯示涉及沿IP網絡中特定路徑的業務流的信息。主機或者終 端系統網絡測量不提供關於網絡拓撲的有用信息。還存在於諸如路由器和交換機的網絡設 備處聚集IP業務數據的工具，諸如來自Cisco Systems的NetFlow 。然而，已經證明，這 些方法由於多種原因是不充分的，這些原因諸如不透明(例如，加密的、隧道式)業務、複雜 的應用通信模式、採樣假象、由監測引入路由器上的負載等。另外，已知的用於標識病毒的技術是受限的。已知的技術通常尋找病毒的次生效 應，諸如監測網絡資源使用和標識請求反常的大量網絡資源的應用。然而，可能難於區分病 毒和需要大量網絡資源的合法應用。而且，病毒正變得更加智能以避免檢測。例如，病毒可 能在系統中潛伏一段時間，等待信號來發作。例如，惡意病毒會潛伏直到獲得保密數據。由
5此，在病毒等待動作時是難以檢測的，因為其產生極小的副作用。

發明內容
響應於這些以及其他需要，本發明的實施方式提供了一種用於使用從網絡路由器 導出的網絡流記錄來提供關於進入/離開設備的業務的信息的系統和方法。網絡路由器可 以配置用於授權或者拒絕經由該路由器傳送業務的兩個網絡設備之間的各種類型的網絡 業務。所提出的方法描述了根據從由網絡路由器導出的網絡流信息衍生的信息而創建和應 用路由器上的訪問控制列表。一種系統提供了對網絡的動態控制，該系統包括流記錄存儲，配置用於從網絡接 收流記錄以及聚集該流記錄；數據分析工具，配置用於接收聚集的流記錄以及根據預定義 的標準來分析聚集的流記錄，以標識一個或多個網絡地址和埠 ；以及網絡設備，配置用於 接收所標識的網絡地址，以及將所標識的網絡地址和埠向訪問控制列表添加。可選地，該 系統進一步包括訪問控制列表存儲，可選地配置用於存儲所標識的網絡地址和埠，以及 將所標識的網絡地址向網絡設備提供。可選地，每個流記錄包括源地址，並且根據源地址來 聚集流記錄。在其他方面，流記錄包括每個相關聯的流中傳輸的字節大小，以及預定義的標 準包括在針對每個源地址的相關聯流中傳輸的字節總數。可選地，數據輸入設備接收來自 用戶的輸入以定義預定義的標準。可以通過從部件接收關於網絡上業務的流記錄來監測網絡中的部件。可選地接收 定義訪問控制標準的數據，並且使用訪問控制標準來分析流記錄。標識滿足訪問控制標準 的目標和源網絡地址或範圍和/或目標和源埠，並且將其向用戶呈現。用戶可以審閱所 標識的地址或範圍和/或埠，然後選擇將其向網絡部件之一轉發。如果發送，則部件將標 識的網絡地址和/或埠添加到相關聯的訪問控制列表中，其中訪問控制列表阻止業務到 達所標識的網絡地址和/或埠。可選地，每個訪問控制列表的時段可以設置為允許移除 自動輸入的ACL條目。以這種方式，ACL是應用在路由器或者防火牆中的業務過濾規則。存在兩種ACL 標準ACL，其僅通過源IP位址來阻止或者允許業務；和擴展ACL，其通過源和目的地IP位址 以及源和目的地埠來阻止。因此，本申請的實施方式包括存儲所標識的地址或埠。在用於動態控制網絡業務的系統中，該系統包括流生成設備，配置用於訪問存儲 系統以提供流記錄；流記錄存儲系統，配置用於接收並且存儲流記錄；以及數據分析設備， 配置用於訪問存儲系統以及根據預定義的標準來評定所存儲的流記錄。如果這些流記錄滿 足預定義的標準，則可以將地址/埠向審閱和批准的用戶轉發，以將其向ACL添加。為了 輔助用戶，還可以向用戶顯示與所標識的地址/埠相關聯的流記錄數據。在另一實施方式中，此處所公開的技術描述了一種用於評估ACL中的地址/埠 的方法。具體地，可以根據預定義的標準來評估與ACL中的地址/埠相關聯的流記錄。如 果那些流記錄滿足預定義的標準，則可以將地址/埠向審閱和批准的用戶轉發，以在ACL 中對其進行更新。否則，如果那些流記錄不滿足預定義的標準，則可以將地址/埠向審閱 和批准的用戶轉發，以將其從ACL中移除。


從結合附圖的以下詳細描述，本發明的特定示例性實施方式的上述以及其他目 的、特徵和優點將變得更為明顯，其中圖IA繪出了根據本發明網絡的實施方式的示例性網絡；圖IB(現有技術)繪出了已知的流記錄分析系統；圖2 (現有技術)繪出了已知的示例性流記錄；圖3繪出了根據本發明的實施方式的、用於存儲流記錄的已知示例性表；圖4繪出了根據本發明的實施方式的、用於存儲聚集的流記錄的示例性表；圖5繪出了根據本發明的實施方式的、用於使用流數據來創建ACL的系統；圖6是說明根據本發明的實施方式的網絡節點、訪問控制系統和流記錄存儲系統 之間的通信的服務流程圖；以及圖7是繪出根據本發明的實施方式的、用於使用流記錄來創建ACL的方法中的步 驟的流程圖。
具體實施例方式圖IA中繪出了根據本發明的實施方式的網絡100，其中示出了根據一個實施方 式說明本發明的網絡視圖的框圖。如圖所示，客戶端設備108a-108n通過聯網結構112耦 合至伺服器llOa-llOn，該聯網結構112包括多個彼此耦合形成多個網絡鏈路的路由設備 106a-106n。客戶端設備108a_108n經由路由設備106a_106n，或者更具體地，通過由路由設 備106a-106n形成的網絡鏈路，選擇性地訪問伺服器IlOa-IlOn用於服務。遺憾的是，如本 領域技術人員理解的，使得伺服器IlOa-IlOn可容易地由客戶端設備108a-108n訪問的相 同網絡鏈路也使其易於受到一個或多個客戶端設備108a-108n的濫用或者誤用的攻擊。例 如，一個或多個客戶端設備108a-108n可以單獨或者聯合發起攻擊，諸如拒絕服務攻擊，或 者以其他方式使一個或多個伺服器1 IOa-110η、路由設備106a-106n和/或將元件互連的鏈 路受害。根據本發明，採用由多個感測器104a-104n補充的導控器(director) 102來檢測 和防止網絡鏈路的此類濫用或者誤用，以下進行更為全面的描述。針對示出的實施方式，將 感測器104a-104n安置在分布的位置中。在備選的實施方式中，感測器104a-104n中的一 些或者全部可以與路由設備106a-106n整體地安置。網絡112表示廣泛的專用以及公用網絡或者互連的網絡，諸如跨國公司的企業網絡 或者網際網路。諸如客戶端108a-108n和伺服器IlOa-IlOn的聯網節點表示本領域已知的各種 此類元件，包括個人用戶機器、電子商務站點等。如上所述，路由設備106a-106n表示廣泛的 網絡通信(trafficking)設備，包括但不限於傳統的路由器、交換機、網關、集線器等。雖然為了便於理解，附圖中僅包括一個導控器102和少量網絡節點、客戶端 108a-108n和伺服器110a_110n、路由設備106a_106n和感測器104a_104n的每一個，但是 根據以下描述，本領域技術人員將理解，本發明可以利用不止一個導控器102以及更多或 更少的網絡節點、路由設備106a-106n和感測器104a-104n來實現。特別地，本發明還可以 利用一個或者多個導控器102來實現。當採用不止一個導控器102時，可以指派每個導控 器102負責感測器104a-104n的子集，並且導控器102可以按照主/從關係彼此相關，導控 器102之一充當「主」導控器(而其他的充當「從」導控器)，或者彼此對等或者組織到層級
7中，以共同承擔以下描述的職責。以下更加詳細地描述導控器102的操作，並且導控器102包括流數據連接系統和 訪問控制設備，下文詳述。如圖IB所示，在一個實施方式中，已知的網絡使用分析系統111包括數據收集系 統伺服器130和數據存儲系統140。數據收集系統伺服器130也稱為監聽器，它是從所有 各種網絡代理120收集流數據報190以供存儲和分析的中央伺服器。數據收集系統伺服器 130從流記錄生成設備120接收流記錄190，該流記錄生成設備120是作為IP網絡114 一 部分的網絡設備。在一個實施方式中，網絡114包括網際網路115。通常，流記錄生成設備120基本上可以包括能夠以「線速度」處理未加工的網絡業 務並且根據該業務生成流記錄的任何網絡設備。示例性的流記錄生成設備120包括路由 器、交換機和網關，並且某些情況下，可以包括應用伺服器、系統和網絡探測器。在多數情況 下，由流記錄生成設備120生成的小流記錄作為去往數據收集系統伺服器130的流記錄190 的流而被導出。各種網絡協議在網絡設備上運行，用於收集網絡和網際協議業務信息。通常，諸如 路由器的各種網絡代理120具有能夠生成流記錄的流特徵。流記錄190通常在用戶數據報 協議(UDP)或者流控制傳輸協議(SCTP)分組中從網絡代理120導出，並且使用流收集器來 收集。Ir 多信Jl、i青參考 http //www, ietf. org/html, charters/ipf ix~charter. html 處的 針對網際協議流信息輸出(IPFIX)的網際網路工程任務組(IETF)標準。如上所述，流記錄190通常由網絡代理120經由UDP或者SCTP來發送，並且出於 效率的原因，網絡代理120在流記錄一旦導出之後不會對其進行存儲。利用UDP流，如果由 於網絡代理120與數據收集伺服器130之間的網絡擁塞而丟棄了流記錄190，其可能會永久 性丟失，因為網絡代理120無法重發流記錄190。還可以以每個接口為基礎來支持流，以避 免給路由器的處理器造成不必要的負荷。由此，流記錄190通常基於對接口的分組輸入，其 中使其能夠避免重複計數並且節省網絡代理120的工作。同樣，網絡代理120可以導出丟 棄分組的流記錄。已經通過多種方式定義了網絡流。在一個實現中，流包括五元組用以定義源IP 地址、目的地IP位址、源TCP埠、目的地TCP埠和IP協議的分組的單向序列。通常，網 絡代理120將在其確定流結束時輸出流記錄。網絡代理120通過「流計齡(aging) 」來進 行，其中當網絡代理120觀察到已有流的新業務時，網絡代理120重置計齡計數器。而且， TCP流中的TCP會話終結將導致網絡代理120終止該流。網絡代理120還可以配置用於以 固定間隔輸出流記錄，即使在該流仍然在進行時也是如此。備選地，管理員可以定義網絡代 理120的流特性。流記錄190可以包含與給定流中的業務有關的多種信息。示例性的流記錄200包 含以下值，如圖2中定義的。具體地，典型的流記錄200可以包括版本號210用以標識正在 使用的流的類型。序列號220標識該流記錄。繼續參考圖2，輸入和輸出接口簡單網絡管理協議(SNMP)索引230可以用於通過 SNMP來動態標識網絡設備。SNMP由網絡管理系統用於針對保證管理注意力的狀況而監測 網絡附接的設備，並且包括用於網絡管理的一組標準，包括應用層協議、資料庫方案和數據 對象集合。SNMP在所管理的系統上以變量的形式顯露管理數據，其描述了系統配置。繼而然後可以通過管理應用來查詢(以及有時來設置)這些變量。每當添加或者移除插槽硬體 時，模塊化設備可以對其SNMP索引重新編號。索引值通常在啟動時間指派，並且直到下一 次重新啟動之前保持固定。繼續參考圖2，每個流記錄200通常還包括與數據傳輸有關的信息，包括開始時間 和結束時間的時間戳240。與數據傳輸有關的其他信息包括流中的字節和/或分組的數目 的信息250。流記錄200中還可以包括數據傳送的條件，諸如描述源和目的地地址、源和目 的地地址埠號、傳輸協議和服務類型(ToS)的報頭數據260。對於傳輸控制協議(TCP)來 說，流記錄200還可以指示流期間的所有TCP標誌的併集。如根據TCP所公知的，數據傳輸 例如通過確認標誌(ACK)配對來包括一系列通信確認。TCP標誌的不平衡意味著消息故障， 即消息被發送但卻始終無法被接收到。UDP傳送機制缺乏可靠性不會顯著影響從採樣流獲得的測量準確度。例如，如果流 樣本丟失，則在下一輪詢間隔消逝時，將發送新的值。以這種方式，分組流樣本的丟失略微 減小了有效採樣率。當使用採樣時，UDP淨荷包含採樣的流數據報。由此，每個數據報提供 諸如流版本、其發起代理的IP位址、序列號、其包含多少樣本以及流樣本的信息，而不是包 括整個流記錄190。繼續參考圖1B，數據收集系統伺服器130經由通信鏈路170從流記錄生成設備 120接收流式傳輸的流記錄190。在一個實施方式中，流記錄生成設備120可以包括在網絡 114內。在另一實施方式中，流記錄生成設備120可以實現在物理上與網絡114分離的位 置，但功能上與網絡114耦合。雖然圖1將流記錄生成設備120示為與數據收集系統服務 器130分開，但是在另一實施方式中，其可以是數據分析系統伺服器130的一部分。數據分析系統伺服器150訪問和使用流記錄190，以執行預定的網絡使用統計分 析。一般地，數據分析系統伺服器150實現被定義用於解決一個或多個網絡使用相關問題 (諸如網絡擁塞、網絡安全濫用、詐騙和盜竊等)的各種統計模型。數據分析系統伺服器150 使用流記錄190和統計模型來生成統計結果，其隨後也可以存儲在數據存儲系統140內。用 於存儲統計結果的示例性實施方式將在下文詳述。通過分析流數據，數據分析系統伺服器 150可以建立網絡中的業務流和業務量的快照。數據分析系統150的應用將在下文詳述。在一個方面，數據分析系統伺服器150可以響應於用戶接口 160，以用於對流記錄 190的交互分析。用戶接口 160基本上可以包括本領域已知的任何輸入/輸出設備，諸如鍵 盤、滑鼠、觸摸板、顯示器屏幕等。在一個示例中，可以將統計結果的圖形顯示輸出至用戶接 口 160處的顯示器屏幕。在一個實施方式中，數據分析系統伺服器150包括計算機軟體程序，其在一個或 多個計算機或者伺服器上可執行，用於根據本發明的各種實施方式來分析網絡使用數據。 雖然數據存儲系統140被示出為在數據收集系統伺服器130和/或數據分析系統伺服器 150外部，但是數據存儲系統140可以備選地布置在伺服器130或伺服器150之內。數據存 儲系統140基本上可以包括本領域已知的任何易失性存儲器(例如，RAM)和/或非易失性 存儲器(例如，硬碟驅動器或者其他持久存儲設備)。現在參考圖3，其給出了一種用於在存儲設備140中存儲多個流記錄200的示例性 表300。特別地，所繪出的表300包括為η個接收到的流記錄200中的每一個指派流記錄標 識符310的列。表300還包括包含每個接收的流記錄200的IP源地址320的列，包含每個接收的流記錄200的時間戳330的列，以及包含流中與接收的流記錄200相關聯的字節 大小340的列。在圖3的示例中，示例性流表300包括描述7個流的7個流記錄，如流記錄標識符 310指示。在該特定的示例中，7個流在3個唯一的源地址320處發起。例如，流記錄1、2、 4和7都從相同的源發起。雖然沒有繪出，但是示例性流表300可以類似地包括流記錄200 的其他方面，如以上在圖2中所述，諸如目的地位置、QoS、傳輸協議等。繼續參考圖3中的示 例性流表300，時間戳值330指示與每個流相關聯的時間，而字節大小值340指示與列310 中標識的所列出的流記錄1-7相關聯的每個流的大小。現在參考圖4，根據源IP位址420將示例性流數據表300中的數據聚集在聚集的 流表400中。通常，聚集在一個或多個預定義的時段上完成。例如，示例性聚集的流表400 包括具有與表300中的每個源IP位址420相關聯的流記錄的聚集數目410的列。聚集的 流表400還指示針對表300中的每個源IP位址420的流的總計字節大小。下文詳述聚集 的流表400的應用。對於流記錄表300，應當理解，可以按照期望來聚集流記錄190，例如， 根據圖2中的示例性流記錄200中所描述的一個或多個流記錄類別。現在參考圖7，公開了根據本發明實施方式的訪問控制方法700。在步驟710中， 根據已知技術監測網絡部件中的業務，如上所述，以及在步驟720中，收集流記錄。通常，可 以使用已經包括在多數網絡部件中的功能性(諸如路由器、集線器、伺服器等)來執行步驟 710和步驟720，並且上述步驟可以用於收集和存儲流記錄(諸如示例性流記錄表300)。從 步驟720收集的流記錄在步驟730中進行分析。例如，可以聚集流記錄，諸如形成上述聚集 的流記錄表400。繼續參考訪問控制方法700，在步驟740中定義訪問控制條件。默認的預定義訪 問控制條件可以用於評定流記錄。例如，可以標識與特定百分比或者數量的業務相關聯的 地址或者埠。例如，基於事務的最多數目410、330的時間或者傳送數據的最大數量430， 可以針對源IP位址420限制訪問。這些標準可以是客觀的(諸如建立某個標準的最大閾 值)，或者基於通過具有最多或者最頻繁網絡資源消費者的源或目標IP位址和/或埠的 標準(或者其他標準)的排名是主觀的。可選地，標準可以由用戶提供。可以在步驟750中使用簡單邏輯來標識滿足這些標準的源或目標IP位址和/或 埠。在步驟760中，可以向用戶呈現所標識的源或目標IP位址和/或埠標識符。然後， 在步驟770中，如果用戶批准的話，可以將針對所標識的網絡設備的這些源IP位址(或其 他設備標識符)放置在ACL中，以請求網絡設備忽略或者以其他方式拒絕傳輸與所標識的 埠 /地址相關聯的業務。現在參考圖5，公開了一種根據本發明的實施方式的訪問控制系統500。如上所 述，流數據存儲系統140可以接收原始流記錄190。如上所述，流數據存儲系統140可以按 照多種已知方式聚集流記錄190以實現系統目標，或者可以按照原始格式存儲流記錄。可 以根據經由用戶接口 160接收和/或定義的、用以定義要添加到ACL中的網絡地址/埠 的標準，由數據分析工具150對流記錄進行訪問和評定。而且，應當理解，也可以自動地標 識在時段上不滿足預定義的標準的埠 /地址，並且向用戶建議從ACL中移除之。通常，將 根據預定義的標準動態標識的流記錄中的任何地址或者ACL中的地址向用戶接口轉發以 便由管理員審閱。然後，管理員可以批准在ACL中添加/移除所標識的埠 /地址。
10
可選地，可以將網絡設備520上的ACL 590存儲在ACL存儲系統530中，或者將其 向經由LAN 510或者網際網路115接收業務的任何網絡設備520轉發。通常，網絡設備520 拒絕轉發任何與設備520中或者可選的ACL存儲530中的ACL中標識的設備相關聯的任何 業務。即，目的是ACL中的地址和/或從ACL中的地址發起的業務到達設備520，而不會通 過網絡510、115轉發。當業務通信超時的時候，將通信從存儲中移除，並且永遠不會到達所 指示的目的地。現在參考圖6中的服務流程圖600，網絡節點610可以將描述網絡業務的流報告 650向網絡監測系統620轉發。如上所述，網絡監測系統620可以收集並存儲流記錄650。 存儲的流記錄660可以由訪問控制系統630進行訪問，該訪問控制系統630根據預定義的 標準來評估存儲的流記錄660，以自動地標識網絡地址/埠。將所標識的地址向用戶接 口 640轉發以便審閱。如果所標識的地址/埠被用戶接受，則可以將該地址/埠向網 絡節點610發送，以作為用於實現ACL的ACL更新數據680。雖然已經參考示例性實施方式對本發明進行了描述，但是可以在不脫離本發明的 精神和範圍的情況下做出各種添加、刪除、替換或者其他修改。因此，本發明不應被認為由 以上描述來限定，而是僅由所附權利要求的範圍限定。
權利要求
一種用於動態控制網絡通信的系統，所述系統包括網絡設備，配置用於接收網絡業務以及產生描述所述網絡業務的流記錄；流記錄存儲，配置用於從所述網絡設備接收所述流記錄，以及存儲所述流記錄；以及數據分析工具，配置用於訪問所述存儲的流記錄，以及根據預定義的標準來評定所述流記錄以動態標識地址；其中所述網絡設備配置用於接收所述標識的埠地址，以及將所述標識的節點或者埠地址向訪問控制列表添加。
2.根據權利要求1的系統，進一步包括訪問控制列表存儲，配置用於存儲所述標識的 地址，以及將所述標識的地址向所述網絡設備提供。
3.根據權利要求1的系統，其中所述網絡設備配置用於產生描述所述網絡業務的多個 流記錄，並且所述多個流記錄中的每一個包括源節點、目的地節點、源埠和目的地埠地 址中的至少一個，並且所述流記錄根據所述節點和/或埠地址而被聚集。
4.根據權利要求3的系統，其中所述流記錄包括在每個相關聯的流中傳輸的字節大 小，並且所述預定義的標準包括針對所述節點或者埠地址中每一個的相關聯的流中傳輸 的字節總數。
5.根據權利要求1的系統，進一步包括輸入/輸出設備，配置用於向用戶顯示從所述數 據分析工具接收的所述標識的地址，並且由此僅在用戶提供接受所述標識的地址的輸入的 情況下，將所述標識的地址向所述網絡設備轉發，以將其向所述訪問控制列表添加。
6.根據權利要求1的系統，其中所述輸入/輸出設備進一步獲得和顯示與所述標識的 地址相關聯的流記錄數據。
7.一種用於管理網絡的方法，包括監測通過所述網絡中的部件的業務；從所述部件接收描述所述業務的流記錄；分析所述流記錄，以及標識滿足預定義的標準的地址；以及將所述標識的地址向所述網絡部件之一轉發，其中所述部件將所述標識的網絡地址向 相關聯的訪問控制列表添加，其中所述訪問控制列表指引所述部件轉發與所述標識的地址 相關聯的業務。
8.根據權利要求7的方法，其中在預定義時段後，自動地將所述標識的地址從所述訪 問控制列表中移除。
9.根據權利要求7的方法，其中所述地址標識源節點、目的地節點、源埠和目的地端 口中的至少一個。
10.根據權利要求9的方法，其中所述地址標識源節點。
11.根據權利要求7的方法，其中所述預定義的標準包括與地址相關聯的最大字節總數。
12.根據權利要求7的方法，進一步包括向用戶顯示所述標識的地址，並且由此在所述 用戶批准所述標識的地址之後發生所述標識的地址的轉發。
13.根據權利要求12的方法，進一步包括向所述用戶顯示與所述標識的地址相關聯的 流記錄數據。
14.一種用於動態控制網絡中的業務的系統，所述系統包括流記錄生成設備，配置用於提供描述所述網絡業務的流記錄；流記錄存儲系統，配置用於接收和存儲所述流記錄；數據分析設備，配置用於訪問所述存儲系統以及根據預定義的標準評定所述存儲的流 記錄；所述數據分析設備由此動態地標識滿足所述預定義的標準的至少一個地址，所述地 址包括與所述業務相關聯的埠或節點地址。
15.根據權利要求14的系統，其中所述流數據存儲系統配置用於聚集所述流記錄。
16.根據權利要求14的系統，其中所述流記錄中的每一個包括時間戳，並且所述預定 義的標準包括時間窗。
17.根據權利要求14的系統，進一步包括訪問控制列表存儲，其中所述標識的地址被 添加至所述訪問控制列表，以及所述網絡中的部件將不轉發與所述訪問控制列表中的地址 相關聯的業務。
18.根據權利要求17的系統，進一步包括用戶接口，配置用於向用戶顯示所述標識的 地址，並且由此僅在所述用戶接受所述標識的地址之後，向所述訪問控制列表添加所述標 識的地址。
19.根據權利要求18的系統，其中所述用戶接口進一步配置用於向所述用戶顯示與所 述標識的地址相關聯的流記錄數據。
20.一種用於評估訪問控制列表上的地址的方法，所述方法包括監測通過網絡中的部件的業務；從所述部件接收描述所述業務的流記錄；根據預定義的標準，分析與所述訪問控制列表中的地址相關聯的、任何接收的流記錄;以及如果所述地址滿足所述預定義的標準，則更新所述訪問控制列表中的地址。
21.根據權利要求22的方法，進一步包括向用戶顯示所述地址，並且由此在所述用戶 批准所述地址之後發生所述地址的更新。
22.根據權利要求21的方法，進一步包括向所述用戶顯示與所述地址相關聯的流記錄 數據。
23.根據權利要求19的方法，其中所述地址標識源節點、目的地節點、源埠和目的地 埠中的至少一個。
24.根據權利要求19的方法，其中在預定義時段之後，自動地從所述訪問控制列表中 移除所述地址。
全文摘要
本發明的實施方式提供了一種用於使用從網絡路由器導出的網絡流記錄來提供關於進入/離開設備的業務的信息的系統和方法。網絡路由器或者集線器可以配置用於授權或者拒絕經由路由器傳送業務的兩個網絡設備之間各種類型的網絡業務。所提出的方法描述了根據從由網絡路由器導出的網絡流信息衍生的信息來創建和應用路由器上的訪問控制列表。
文檔編號H04L29/06GK101933290SQ200880125889
公開日2010年12月29日 申請日期2008年12月12日 優先權日2007年12月18日
發明者G·紐曼 申請人:太陽風環球有限責任公司