CN101562534A - 一种网络行为分析系统 - Google Patents
一种网络行为分析系统 Download PDFInfo
- Publication number
- CN101562534A CN101562534A CNA200910039734XA CN200910039734A CN101562534A CN 101562534 A CN101562534 A CN 101562534A CN A200910039734X A CNA200910039734X A CN A200910039734XA CN 200910039734 A CN200910039734 A CN 200910039734A CN 101562534 A CN101562534 A CN 101562534A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- module
- analysis
- data acquisition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 63
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 238000004891 communication Methods 0.000 claims abstract description 11
- 238000005259 measurement Methods 0.000 claims description 33
- 230000004044 response Effects 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 22
- 238000007405 data analysis Methods 0.000 claims description 16
- 238000007781 pre-processing Methods 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 5
- 230000010365 information processing Effects 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 abstract description 8
- 238000001514 detection method Methods 0.000 abstract description 7
- 238000012517 data analytics Methods 0.000 abstract 1
- 238000012216 screening Methods 0.000 description 6
- 238000000034 method Methods 0.000 description 4
- 238000012163 sequencing technique Methods 0.000 description 4
- SHZPNDRIDUBNMH-NIJVSVLQSA-L atorvastatin calcium trihydrate Chemical compound O.O.O.[Ca+2].C=1C=CC=CC=1C1=C(C=2C=CC(F)=CC=2)N(CC[C@@H](O)C[C@@H](O)CC([O-])=O)C(C(C)C)=C1C(=O)NC1=CC=CC=C1.C=1C=CC=CC=1C1=C(C=2C=CC(F)=CC=2)N(CC[C@@H](O)C[C@@H](O)CC([O-])=O)C(C(C)C)=C1C(=O)NC1=CC=CC=C1 SHZPNDRIDUBNMH-NIJVSVLQSA-L 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012797 qualification Methods 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000001143 conditioned effect Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络行为分析系统,它通过一到多个数据采集系统从网络中各处的链路、路由器、交换机采集网络中的应用、协议、连接、流量、内容、性能等信息,并对所采集的信息进行预处理;通信系统把各个数据采集系统预处理后的数据传输到数据分析系统;数据分析系统对收集到的数据,进行即时的、历史的、选择性的网络行为分析和未来的网络行为预测;显示系统把网络行为分析结果显示给用户。本发明是一种内部网络管理、性能分析、网络安全检测系统,可以用于容量规划、故障排除、问题预防、服务水平管理、应用层分析、基于应用识别的应用监控、基于数据源的网络监控、发现未知的应用、定位网络攻击等。
Description
技术领域
本发明属于网络管理、网络性能分析与网络安全技术领域,特别是涉及一种网络行为分析系统。
技术背景
现有关于网络管理、网络性能分析与网络安全等技术均存在一定的局限。
网络管理系统主要是利用SNMP、RMON、Netflow、Sflow等协议,从路由器、交换机上采集通过每个接口的流量情况,从而给用户提供有关网络中各设备和链路的流量状况,但不能够分析网络的行为并找到性能下降的原因。
网络性能测量与分析系统,主要是测量网络路径的连通性、时延、时延变化、瓶颈带宽、丢失率等,为网络性能的评估和应用系统的路径选择提供依据,但不能够分析网络的行为并找到故障点或瓶颈链路。
网络安全系统主要是通过分组的深度解析,找到网络中存在的入侵行为,并发出报警信息,但不能够发现网络性能的下降或找到攻击流量的来源。
相比之下,网络行为分析系统,通过探头采集网络中多条链路上的分组,或者通过SNMP、RMON、Netflow、Sflow等协议从网络设备采集流量数据,实现对网络中的应用、协议、连接、流量、内容、性能的多层次的全方位的综合分析,使得更容易定位故障点、瓶颈链路、找到性能下降的原因、发现攻击流的来源。这种系统的突出优点是提供人机交互的方式,使得网络管理人员可以利用网络行为分析的结果,实现容量规划、故障排除、问题预防、服务水平管理、应用层分析、基于应用识别的应用监控、基于数据源的网络监控、发现未知的应用或者攻击等。
发明内容
本发明的目的在于克服现有技术的不足,提供一种网络行为分析系统。
为了实现本发明目的,采用的技术方案如下:
一种网络行为分析系统,包括数据采集系统、通信系统和数据分析系统,所述数据采集系统从网络上采集信息,再对所采集的信息进行预处理,所述通信系统分别与数据采集系统和数据分析系统连接,把经过数据采集系统预处理后的数据传输到数据分析系统,所述数据分析系统对通信系统送来的数据进行网络行为分析和网络行为预测。
上述技术方案中,所述的数据采集系统包含本地采集模块、远程采集模块、应用识别模块、响应时间测量模块、路径性能测量模块、分组捕获模块、数据预处理模块;所述本地采集模块、和/或远程采集模块从网络上采集信息,并选择通过应用识别模块、响应时间测量模块、路径性能测量模块、分组捕获模块的一个或多个进行处理,然后再通过数据预处理模块进行预处理,获取各项统计结果。
所述本地采集模块采用如下三种方式接入网络:
(1)在两个网络设备之间,配置一台包括两块网卡的数据采集设备,数据采集设备的两块网卡分别通过网线与两个网络设备连接,使得流经这两个网络设备之间链路的所有分组都经过该数据采集设备;
(2)采用探测头把链路上的信号分接到数据采集设备的一块网卡,使得经过该链路的所有分组都分接到该数据采集设备;
(3)采用网线把数据采集设备的一块网卡连接到网络设备的镜像口或者监控口,使得通过该网络设备的分组复制到数据采集设备;
所述的远程采集模块每1分钟都通过SNMP、或RMON、或Netflow、或Sflow协议,从网络设备上采集一次数据。
所述的应用识别模块对采集的信息分组进行解析,提取其应用层数据,并对应用层数据进行应用识别,把识别结果用一个整数值mark唯一标记;
所述的响应时间测量模块测量请求包与响应包之间的时间差;
所述的路径性能测量模块测量网络路径的性能;
所述的分组捕获模块根据预设的条件对数据分组进行匹配,当匹配条件满足时,把对应连接的五元组信息、分组及其到达时间记录下来,所预设的条件包括关键词、和/或URL、和/或IP地址、和/或端口号;
所述的数据预处理模块对采集到的信息分组进行预处理,获取各项统计结果。
所述数据预处理模块包含分段处理子模块、内网IP处理子模块、外网IP处理子模块、端口处理子模块、三元组信息映射子模块、五元组信息处理子模块、数据统计子模块、保存数据子模块。
所述的数据分析系统包含链路分析模块、主机分析模块、IP分组分析模块、连接分析模块、应用分析模块、协议字段分析模块、总体分析模块、历史分析和预测分析模块。
本发明是一种内部网络管理、性能分析、网络安全检测系统,可以用于容量规划、故障排除、问题预防、服务水平管理、应用层分析、基于应用识别的应用监控、基于数据源的网络监控、发现未知的应用、定位网络攻击等。
附图说明
图1为本发明的系统总体结构
图2为本发明的数据采集系统
图3为本发明的数据分析系统
图4为本发明的数据显示系统
图5为本发明的数据通信系统
图6为本发明的数据记录方式
图7为本发明的内网地址段搜索前缀树IA和表D
具体实施方式
下面结合附图对本发明做进一步的说明。本发明的具体实施例如下:
本发明的系统总体结构如附图1所示。一到多个数据采集系统、一个通信系统、一个数据分析系统和一个显示系统;数据采集系统负责从网络中各处的链路、路由器、交换机采集网络中的应用、协议、连接、流量、内容、性能等信息,并对所采集的信息进行预处理;通信系统负责把各个数据采集系统预处理后的数据传输到数据分析系统;数据分析系统负责对收集到的数据,进行即时的、历史的、选择性的网络行为分析和未来的网络行为预测。
本发明的数据采集系统如附图2所示,它包含本地采集模块、远程采集模块、应用识别模块、响应时间测量模块、路径性能测量模块、分组捕获模块、数据预处理模块。
每个子模块具体介绍如下:
1、本地采集模块,包括三种应用场景:
第一种应用场景是,在两个网络设备(即路由器或者交换机)之间,配置一台数据采集系统,数据采集系统的二块网卡分别通过网线与两个网络设备连接,使得流经这两个网络设备之间链路的所有分组都经过该数据采集设备;第二个应用场景是,用探测头把链路上的信号分接到数据采集设备的一块网卡,使得经过该链路的所有分组都可以分接到数据采集设备;第三种应用场景是,用网线把数据采集设备的一块网卡连接到网络设备的镜像口或者监控口,使得通过该网络设备的分组可以复制到数据采集设备。
在第一种应用场景下,数据采集设备采集输入的所有分组,并把输入的所有分组不加改变地从另一个网卡转发出去;在第二、三种应用场景下,数据采集设备只采集输入的分组,采集之后丢弃收到的分组。
2、远程采集模块
每1分钟,通过SNMP、RMON、Netflow、Sflow等协议,从路由器、交换机上采集一次流量数据。
3、应用识别模块
对采集的分组进行解析,提取其应用层数据,并对应用层数据进行应用识别;把识别结果用一个整数值mark标记,不同的mark值代表不同的应用。
4、响应时间测量模块
采取主动和被动测量的方式测量请求包与响应包之间的时间差。主动测量方式是仿真正常应用过程,向服务器发送请求分组,在收到来自服务器的响应分组时,测量请求包与响应包之间的时间差;
被动测量方式,是监测向服务器方向传输的每一个包含应用层数据的分组的结尾时间TCS和来自服务器的每一个包含应用层数据的分组的开始时间TSC。即当收到C-S方向的分组时,如果其应用层数据长度大于0,则令TCS等于其到达时间,并令flag=1;如果C-S方向接连来了多个包含应用层数据的分组,则前面分组的到达时间被后面的覆盖掉,TCS记录的总是最新到达的包含应用层数据的分组的结尾时间;
当开始接收一个S-C方向的分组时,令TSC等于当前时间;如果其应用层数据长度等于0,则不做处理;如果其应用层数据长度大于0,则进行如下操作:
-如果flag=0,则不计算应用层响应时间;
-如果flag=1,则计算得到应用层服务响应时间art=TSC-TCS,并令flag=0;
5、路径性能测量模块
采用主动和被动测量方式测量路径的性能。
第一种主动测量方式是在待测路径的一端发送探测分组序列,在待测链路的另一端测量相邻探测分组之间的时间间隔以及探测分组的丢失率,然后用测量得到的数据,统计计算得到路径的时延分布、可用带宽、利用率、分组丢失率等性能参数;
第二种主动测量方式是在路径的一端发送TTL=n的探测分组,使得该探测分组在第n个路由器被丢弃并产生一个ICMP包;通过测量探测包与返回的ICMP包之间的时间差,可以测量到第n个路由器的来回时延;通过测量ICMP包之间的时间间隔相对于原探测分组之间的时间间隔的改变量,测量时延分布、可用带宽、利用率、分组丢失率等性能参数;
被动测量方式是,对每一个TCP连接进行来回时延RTT测量,具体方法如下:
当收到由A to B方向传输的分组时,记录其到达时间和最后一个比特的序列号;当收到B to A方向的对该分组的确认ACK时,计算来回时间rtt,但对于重传的分组不计算rtt;
6、分组捕获模块
根据预设的条件(即管理员所感兴趣的内容):关键词、URL、IP地址、端口号等,对分组进行匹配。当匹配条件满足时,把对应连接的全部信息(五元组、时间)及其分组记录下来。
7、数据预处理模块
对采集到的分组进行预处理,获取各项统计结果,并分别记录到数组{Fieldi[·],i=1,...,N}和Flow[·]之中。Flow[·]的结构如附图6所示。数据预处理模块包含各协议字段值的分段处理子模块idx(ai)、内网IP处理子模块inband(IP)、外网IP处理子模块outband(IP)、端口处理子模块portx(port)、三元组信息映射子模块3tuple(ipx1,ipx2,prtx1)、五元组信息处理子模块、数据统计子模块、保存数据子模块。各子模块具体如下:
a)各协议字段值的分段处理子模块idx(ai)
设分组头部总共有N个字段,每个字段的取值是一个二进制整数 i=1,...,N,其中ki的常见取值为1,4,8,13,16,32;当ki的取值小于等于8时,令idxi=ai;否则,对ai进行分段处理,并用idxi代表ai所属的段;例如令idxi=Mbit(ai+ai>>1),其中Mbit(x)代表求x的最高不为0比特;最后,令idx(ai)返回idxi。
b)内网IP处理子模块inband(IP)
内网IP处理子模块是要检查给定IP是否属于内网IP地址列表IA,并把该IP映射为一个更短的唯一标识ipx。映射方法是,按照该IP在当前时间段内出现的先后顺序,在数组D[·][·]内进行顺序编号,如附图7所示:
-设IP地址=a.b.c.d;
-ip_count=1;
-令i=IA[0][a],j=IA[i][b],k=IA[j][c];
-如果i=0或j=0或k=0,则该IP不属于内网IP地址列表IA,令inband(IP)返回ipx=-1;;
-否则它是内网IP,令其索引ipx等于它出现的先后顺序ip_count,即如果D[k][d]=0,则令D[k][d]=ip_count,ip_count++;
-最后,令inband(IP)返回该IP对应的ipx=D[k][d];
c)外网IP处理子模块outband(IP)
外网IP处理子模块,是要把大于平均访问率的外网IP地址映射为比32比特更短的唯一标识ipx。具体做法是:
-令计数器ip_order的初值等于2;
-用前一个统计周期的结果来决定本统计周期的外网IP集。设前一统计周期内自动建立的外网IP的前缀树为PT0,average0是平均每个外网IP被访问的次数;如果一个外网IP的被访问次数大于等于average0,则该IP在当前统计周期内就具有了被顺序编号的资格。
-建立当前统计周期的外网IP前缀树PT。当调用outband(IP)时,如果该IP在PT中不存在,则在PT中增加一条路径,代表该IP的前缀,并进一步检查该IP在PT0中是否具有被顺序编号的资格,如果有,则令对应于该IP的ipx=ip_order,并令ip_order加1;否则令ipx=1,即把不具有编号资格的所有IP统一编号为1;最后,令outband(IP)返回该IP对应的ipx,并令对应于该IP的访问次数计数器加1。
-计算平均每个外网IP被访问的次数average。设totalip是被访问的外网IP总数,totalref是PT被访问的次数。每次调用outband(IP),totalref都加1;PT中每出现一个新的外网IP,totalip都加1。在当前统计周期结束时,令average=totalref/totalip.
d)端口处理子模块portx(port)
按照port出现的先后顺序,顺序编号,把每一个port用其编号唯一标识。具体算法用前缀树E1和E2实现:
-令计数器c初值是1,port_order初值是1;把端口号port分成二个字节,即令port=p1.p2;
-令i=E1[p1];如果i=0,则令i=c,E1[p1]=c,c++;
-令prtx=E2[i][p2];如果prtx=0则令prtx=port_order,E2[i][p2]=port_order,port_order++;
-最后,令portx(port)返回prtx;
e)三元组映射子模块3tuple(ipx1,ipx2,prtx1)
该模块用于把三元组信息对应为一个唯一标识,即它出现的先后顺序,如附图6所示。具体做法是用三元组列表F来得到其顺序标号dx:
-令key_order的初值为1;
-如果F[ipx1][ipx2][prtx1]=0,则令F[ipx1][ipx2][prtx1]=key_order,key_order++;
-返回dx=F[ipx1][ipx2][prtx1];
其中,三元组列表F中的F[ipx1][ipx2][0]用于记录那些不包含传输层协议的IP对之间的流量,例如icmp,igmp,st,egp,igp等。
f)五元组信息处理子模块
在出现新建连接时,先获取连接发起方的地址srcIP:srcPort和连接接受方的地址dstIP:dstPort,然后:
-判断服务器端口和客户机端口
●令srvrIP:srvrPort=dstIP:dstPort;
●如果srcPort<1024,则令srvrIP:srvrPort=srcIP:srcPort;
●如果dstPort<1024,则令srvrIP:srvrPort=dstIP:dstPort;
●相应地,把另一方命名为clntIP:clntPort;
-再获取源目IP和端口的标识:
●令ipx1=inband(srvrIP);如果ipx1<0,则令ipx1=outband(srvrIP);
●令ipx2=inband(clntIP);如果ipx2<0,则令ipx2=outband(clntIP);
●如果srvrPort存在,则令prtx1=portx(srvrPort);如果srvrPort不存在,例如icmp包等,令prtx1=0;
g)数据统计子模块
-在每个分组到达时执行的操作:
●当一个分组到达时,由分组解析获得网络层头部和传输层头部各字段的取值a1,a2,...,aN;再用所述的分段处理模块idx(ai)把各字段的取值a1,a2,...,aN分段处理得到对应的索引值:idx1,idx2,...,idxN;
●获取五元组信息,并利用所述五元组处理模块得到ipx1,ipx2,prtx1;然后用dx=3tuple(ipx1,ipx2,prtx1)得到该连接的三元组信息对应的dx,这里不区别具有相同端口号的tcp和udp,例如53/udp和53/tcp,也不考虑client的端口号prtx2。
●然后对各协议字段进行累加统计,设total_length是IP头部的分组长度,Gi是到达时间间隔,它等于给定值idxi出现的时间间隔,则,for i=1,2,...,N,令
Fieldi[idxi].pkts++, //记录字段i取值idxi的总包数
Fieldi[idxi].bytes+=total_length,//记录字段i取值idxi的总字节数
Fieldi[idxi].gap+=Gi, //字段i取值idxi的总时间间隔
●再对该分组所属的流进行累加统计,设GCS是C to S方向分组到达时间间隔,GSC是S to C方向分组到达时间间隔,则当该分组是x(x=CS or SC)方向传输的分组时,令
Flow[dx].pkts.x++;
Flow[dx].bytes.x+=total_length;
Flow[dx].gap.x+=Gx;
-在出现新建连接时:
●记录该连接开始的时间start;
●令Flow[idx].conn++;//记录具有相同三元组的连接的次数
●记录该连接的五元组信息Flow[dx].5-tuple;
-在连接结束时,设end就是系统当前时间:
●令Flow[dx].dwell+=end-start; //记录连接持续的时间
-在对该连接进行的应用识别结束时:
●令Flow[dx].appl=mark; //记录应用识别结果;
-累加应用层的响应时间
●Flow[dx].resp+=art,并记录采集art样本数:Flow[dx].resp_c++;
-累加RTT时间:
●Flow[dx].rtt+=rtt,并记录采集的rtt样本的个数Flow[dx].rtt_c++;
i)保存数据子模块
每隔一个给定的时间interval,保存一次统计结果到数据库或者文件,保存的内容包括:代表采集点的链路、路由器、交换机的ID,采集的时间time,统计结果{Fieldi[·],i=1,...,N}和Flow[·];其中采集点ID采用全局统一编号,由各数据采集系统从数据分析系统获取。最后对各数组{Fieldi[·],i=1,...,N}和Flow[·],以及各计数器进行初始化。Flow[·]的结构如附图6所示。
本发明的数据分析系统如附图3所示,它包含链路分析模块、主机分析模块、IP分组分析模块、连接分析模块、应用分析模块、协议字段分析模块、总体分析模块、历史分析和预测分析模块。
每个子模块具体介绍如下:
1、链路分析模块
a)统计每条链路的流量,包括:每条链路的输入字节数、分组数;输出字节数、分组数;b)统计每条链路的利用率、可用带宽、时延、丢失率;c)统计所有链路的流量分布、利用率分布、时延分布、丢失率分布;d)排序并定位最大利用率、最大时延或最大丢失率的链路。
2、主机分析模块
a)统计每个服务器的响应时间;b)统计每个主机的输入、输出流量;c)统计每个主机发起连接的次数、接受连接的次数、连接的持续时间;d)统计每个主机采用的应用类型;e)统计所有服务器的响应时间分布、输入输出流量分布、连接出入度分布、连接持续时间分布、应用类型分布;f)排序并定位具有最大或最小特征值的主机;
3、IP分组分析模块
a)统计每种分组类型(icmp,igmp,st,tcp,egp,igp,udp)的数据量、分组数、到达时间间隔分布、分组长度分布;b)统计分组类型的流量分布、平均间隔分布、平均长度分布;c)排序并定位具有最大或最小特征值的分组类型;
4、连接(流)分析模块
a)统计每个连接的输入、输出数据量和分组数;b)统计每个连接的持续时间;c)统计连接的到达时间间隔;d)统计每个连接的应用类型、使用的端口号;e)统计连接的流量分布、持续时间分布、到达时间间隔分布、应用类型分布、端口号分布;f)排序并定位具有最大或最小特征值的连接;
5、应用(端口)分析模块
a)统计每种应用的上传流量、下载流量、总流量、发生频次;b)统计每种应用用到的端口号;c)统计每种应用的平均持续时间、平均响应时间、平均连接数;d)统计每种应用涉及到的Client数、Server数;e)统计应用的流量分布、频繁程度分布、端口号分布、平均持续时间分布、平均响应时间分布、平均连接数分布、Client数分布、Server数分布;f)排序并定位最大或最小特征值的应用;
6、协议字段分析模块
a)IP层各字段的统计分布,包括:Header Length,Service Type,Total Length,Identification,Flags D bit,Flags M bit,Fragment Offset,Time to Live,Protocol,IPOptions;b)传输层各字段的统计分布,包括:Sequence Number,Acknowledgement Number,TCP URG,TCP ACK,TCP PSH,TCP RST,TCP SYN,TCP FIN,Window,Urgent Pointer,TCP Options。
7、总体分析模块
分析网络的总体情况,并评估当前网络运行状况(好、中、差)。
a)首先从各模块获得当前统计量和历史值的均值和方差,包括:
1. | 每条链路j流量in/out/total字节速率 | 15. | 各连接的流量 |
2. | 每条链路流量in/out/total分组速率 | 16. | 各连接的持续时间 |
3. | 每条链路利用率 | 17. | 平均新建连接率 |
4. | 每条链路剩余带宽 | 18. | 平均连接持续时间 |
5. | 各链路中各类应用的含量 | 19. | 平均连接数据量(in/out/total) |
6. | 各链路各种分组(icmp,igmp,st,tcp,egp,igp,udp)含量 | 20. | 各应用类型含量(新建连接率、持续时间、数据量) |
7. | 每个服务器的响应时间 | 21. | 各应用的各连接的流量 |
8. | 每个IP的流量(in/out字节速率、in/out分组速率、总分组率、总字节率) | 22. | 各应用的平均持续时间、I/O字节数、响应时间 |
9. | 每个IP的出度/s、入度/s、连接平均持续时间 | 23. | 各应用类型含量、各应用使用的端口、未知应用及其端口 |
10. | 每个IP的各应用类型含量、端口 | 24. | 各应用的各连接的持续时间 |
11. | 每个IP在链路j上的流量 | 25. | IP层各字段出现频次 |
12. | 总分组速率、总字节速率 | 26. | 传输层各字段出现频次 |
13. | 平均每条链路上看到的分组长度分布、分组到达时间间隔分布 | 27. | 各应用的各服务器的服务响应时间 |
14. | 源IP流量 |
b)正常程度测量:设当前的各项统计量为x1,...,xn,其对应的均值方差分别为:μ1,...,μn,σ1,...,σn,则每项统计量当前的异常程度为:
-评估网络运行状况(好、中、差):
好:如果max{Qi}≤2;
中:如果2<max{Qi}≤3;
差:如果max{Qi}>3;并给出警示信息。
9、历史分析和预测分析模块
分析某个统计量的若干小时的历史数据、预测未来一段时间内的发展趋势、选取按给定门限、范围、指标确定的数据。
本发明的数据显示系统如附图4所示,它包含输入界面和显示界面。输入界面包括功能模块选择界面、数据源命名界面、输入内网地址界面、统计时间间隔选择界面、分组筛选条件输入界面;显示界面提供各种菜单选择,以显示各项统计结果、统计分布、这些统计结果和统计分布的历史轨迹、按门限范围指标筛选的结果、未来的预测值、按预设条件捕获的分组内容等。
数据显示系统具体介绍如下:
1、输入界面
a)功能模块选择界面
用户界面给出一个功能模块选择表格,把输入结果记录到logic selec[]。
应用识别 | 协议分析 | 流量采集 | 响应时间测量 | 分组采集 | 路径测量 | |
selec[] | true/false | true/false | true/false | true/false | true/false | true/false |
数据采集系统根据selec[]的取值选择或不选择所对应的功能模块。
b)数据源命名界面
用户界面提供如下表格,用于输入数据采集系统的探测点、路由器端口(链路)、交换机端口、服务器等有关信息,并对它们进行命名和分组,以及对各个组命名。结果保存到表格element[][]:
类型 | 服务器 | 数据采集系统的探测点 | 路由器端口(链路) | 交换机端口 |
名字/域名 | ||||
IP地址 | ||||
MAC地址 | ||||
全局标识ID | ||||
组名 | ||||
组号 | ||||
组员号 | ||||
所属部门 | ||||
地理位置 |
数据采集系统把element[][]中的ID作为数据来源的标识。该标识可以由系统通过顺序编号自动产生。
c)输入内网地址界面
用户界面给出全部的内网地址段和掩码。后台程序把它细化到每个网络地址段都是24比特长,然后生成内网IP地址段查询表IA,它是一棵前缀树,如附图7所示。数据采集系统利用IA进行内网IP地址索引。
d)统计时间间隔选择界面
用户界面给出统计时间间隔interval。默认是1分钟,可以选择大于等于1分钟。数据采集系统将根据该时间周期统计和保存数据。
e)筛选条件输入界面
使得用户可以输入感兴趣的URLs,keywords,ports,application numbers。数据采集系统将根据这些筛选条件记录符合条件的分组。
2、显示界面
提供各种菜单选择,以显示各项统计结果、统计分布、这些统计结果和统计分布,例如总体分析、链路分析、主机分析、分组分析、连接分析、协议分析应用分析、性能分析的当前情况、历史轨迹、按门限范围指标筛选的结果、未来的预测值、按预设条件捕获的分组内容等,如附图4所示。
a)显示网络总体分布情况菜单
-各链路的利用率、路径的可用带宽、时延分布;
-所有网络单元列表:数据采集系统、路由器、交换机、服务器、链路(包括:所属组、名字、IP地址、域名等);
-监控点在网络拓扑中的分布图;
-流量走向示意图:显示网络拓扑中每个源IP产生的流量在各链路上的流量。
b)显示排序结果菜单:
-按利用率排序所有链路
-按服务响应时间排序所有服务器
-按分组数排序各种协议的分组
-按流量排序连接、按持续时间排序连接
-按应用含量排序各应用类型
-按出现的频次排序IP层各协议字段、传输层各协议字段
c)显示链路分析结果菜单:
-显示:按利用率排序所有链路(列出前10条)、每条链路利用率、剩余带宽。
-点击右键进一步可选:每条链路的
流量(in/out字节速率、in/out分组速率、总分组率、总字节率)
各种分组(icmp,igmp,st,tcp,egp,igp,udp)含量
前10名按流量排序的连接
各应用类型含量
d)显示主机或服务器分析结果菜单:
-显示:按服务响应时间排序所有服务器、服务响应时间。
-点击右键进一步可选:每个IP的:
流量(in/out字节速率、in/out分组速率、总分组率、总字节率)
出度/s、入度/s、连接平均持续时间
各应用类型含量、各应用使用的端口、未知应用及其端口
e)显示IP分组分析结果菜单:
-显示:总分组速率、总字节速率、到达时间间隔分布、分组长度分布、各种分组(icmp,igmp,st,tcp,egp,igp,udp)含量。
-点击右键进一步可选:
IP层各字段统计
按流量排序源IP
各应用类型含量
f)显示连接(流)分析结果菜单:
-显示:按流量排序连接(三元组)、按持续时间排序连接(三元组)、连接平均到达率、连接平均持续时间、连接平均传输的数据量(in/out/total)。
-点击右键进一步可选:
各应用类型含量(按连接到达率、持续时间、数据量分别排序)
传输层各字段统计
每个连接的流量(in/out字节速率、in/out分组速率、总分组率、总字节率)
g)显示应用(端口)分析结果菜单:
-显示:各应用类型含量、各应用使用的端口、未知应用及其端口。
-点击右键进一步可选:各应用的
平均持续时间、I/O字节数、响应时间
按流量排序的连接(三元组)
按持续时间排序的连接(三元组)
按服务响应时间排序的服务器
捕获未知应用的分组
h)显示协议字段分析结果菜单:
提供以下可选项:
-IP层分析:Header Length,Service Type,Total Length,Identification,Flags D bit,Flags M bit,Fragment Offset,Time to Live,Protocol,IPOptions
-传输层分析:Sequence Number,Acknowledgement Number,TCP URG,TCP ACK,TCP PSH,TCP RST,TCP SYN,TCP FIN,Window,UrgentPointer,TCP Options
-各种分组(icmp,igmp,st,tcp,egp,igp,udp)含量
i)显示路径性能分析结果菜单:
-显示:网络主动测量得到的各链路的利用率、路径的可用带宽、时延分布等。
j)显示总体分析结果菜单:
-显示:当前网络运行状况(好、中、差)、报警/预警信息。
-进一步提供以下可选项:
所有网络单元列表:数据采集设备、路由器、交换机、服务器、链路(显示:所属组、名字、IP地址、域名等)
按利用率排序所有链路(列出前10条)
按服务响应时间排序所有服务器
各种分组(icmp,igmp,st,tcp,egp,igp,udp)含量
按流量排序连接(三元组)、按持续时间排序连接(三元组)
各应用类型含量
各协议字段含量
各链路的利用率、路径的可用带宽、时延分布
监控点分布图
流量走向示意图
本发明的数据通信系统如附图5所示,它向所有数据采集系统传送全局配置参数,包括:功能模块选择selec[]、数据源编号方案element[][]、内网IP地址表IA、统计时间周期interval、分组筛选条件、系统配置命令;并从数据采集系统读取经过预处理的数据。
Claims (6)
1、一种网络行为分析系统,其特征在于包括数据采集系统、通信系统和数据分析系统,所述数据采集系统从网络上采集信息,再对所采集的信息进行预处理,所述通信系统分别与数据采集系统和数据分析系统连接,把经过数据采集系统预处理后的数据传输到数据分析系统,所述数据分析系统对通信系统送来的数据进行网络行为分析和网络行为预测。
2、根据权利要求1所述的网络行为分析系统,其特征在于所述的数据采集系统包含本地采集模块、远程采集模块、应用识别模块、响应时间测量模块、路径性能测量模块、分组捕获模块、数据预处理模块;所述本地采集模块、和/或远程采集模块从网络上采集信息,并选择通过应用识别模块、响应时间测量模块、路径性能测量模块、分组捕获模块的一个或多个进行处理,然后再通过数据预处理模块进行预处理,获取各项统计结果。
3、根据权利要求2所述的网络行为分析系统,其特征在于所述本地采集模块采用如下三种方式接入网络:
(1)在两个网络设备之间,配置一台包括两块网卡的数据采集设备,数据采集设备的两块网卡分别通过网线与两个网络设备连接,使得流经这两个网络设备之间链路的所有分组都经过该数据采集设备;
(2)采用探测头把链路上的信号分接到数据采集设备的一块网卡,使得经过该链路的所有分组都分接到该数据采集设备;
(3)采用网线把数据采集设备的一块网卡连接到网络设备的镜像口或者监控口,使得通过该网络设备的分组复制到数据采集设备;
所述的远程采集模块每1分钟都通过SNMP、或RMON、或Netflow、或Sflow协议,从网络设备上采集一次数据。
4、根据权利要求2或3所述的网络行为分析系统,其特征在于所述的应用识别模块对采集的信息分组进行解析,提取其应用层数据,并对应用层数据进行应用识别,把识别结果用一个整数值mark唯一标记;
所述的响应时间测量模块测量请求包与响应包之间的时间差;
所述的路径性能测量模块测量网络路径的性能;
所述的分组捕获模块根据预设的条件对数据分组进行匹配,当匹配条件满足时,把对应连接的五元组信息、分组及其到达时间记录下来,所预设的条件包括关键词、和/或URL、和/或IP地址、和/或端口号;
所述的数据预处理模块对采集到的信息分组进行预处理,获取各项统计结果。
5、根据权利要求4所述的网络行为分析系统,其特征在于所述数据预处理模块包含分段处理子模块、内网IP处理子模块、外网IP处理子模块、端口处理子模块、三元组信息映射子模块、五元组信息处理子模块、数据统计子模块、保存数据子模块。
6、根据权利要求1所述的网络行为分析系统,其特征在于所述的数据分析系统包含链路分析模块、主机分析模块、IP分组分析模块、连接分析模块、应用分析模块、协议字段分析模块、总体分析模块、历史分析和预测分析模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910039734XA CN101562534B (zh) | 2009-05-26 | 2009-05-26 | 一种网络行为分析系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910039734XA CN101562534B (zh) | 2009-05-26 | 2009-05-26 | 一种网络行为分析系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101562534A true CN101562534A (zh) | 2009-10-21 |
CN101562534B CN101562534B (zh) | 2011-12-14 |
Family
ID=41221166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910039734XA Expired - Fee Related CN101562534B (zh) | 2009-05-26 | 2009-05-26 | 一种网络行为分析系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101562534B (zh) |
Cited By (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101820635A (zh) * | 2010-05-20 | 2010-09-01 | 中兴通讯股份有限公司 | 一种移动通讯数据的采集方法和装置 |
CN101848104A (zh) * | 2010-03-17 | 2010-09-29 | 深圳市易聆科信息技术有限公司 | 一种网管系统的记录方法、装置及计算机设备 |
CN102123413A (zh) * | 2011-03-29 | 2011-07-13 | 杭州电子科技大学 | 无线传感网络的网络监测和协议分析系统 |
CN102185762A (zh) * | 2011-04-19 | 2011-09-14 | 北京网康科技有限公司 | 用户数据发送行为的识别与提取及其处理设备 |
CN102346745A (zh) * | 2010-08-02 | 2012-02-08 | 阿里巴巴集团控股有限公司 | 单词的用户行为数的预测方法和装置 |
CN103748997B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 支持内部网络安全监控系统开发的通用系统 |
CN101714930B (zh) * | 2009-12-30 | 2012-05-23 | 北京云快线软件服务有限公司 | 一种实现网络监控的方法及系统 |
CN103425720A (zh) * | 2012-05-23 | 2013-12-04 | 捷讯研究有限公司 | 用于分割并使用知识库的装置及关联方法 |
CN103455593A (zh) * | 2013-09-01 | 2013-12-18 | 北京航空航天大学 | 一种基于社交网络的服务竞争性实现系统及方法 |
CN103457949A (zh) * | 2013-08-29 | 2013-12-18 | 哈尔滨工程大学 | 一种基于sFlow的大规模网络安全分析方法 |
CN103856965A (zh) * | 2014-03-24 | 2014-06-11 | 宁夏信友通信监理咨询有限责任公司 | Wlan网络综合分析系统及方法 |
CN103944775A (zh) * | 2014-03-14 | 2014-07-23 | 广州源典科技有限公司 | 一种网络流量采集分析及展示输出的方法 |
CN103944763A (zh) * | 2014-04-25 | 2014-07-23 | 国家电网公司 | 一种电力系统网络辅助管理系统及管理方法 |
CN103973591A (zh) * | 2014-06-04 | 2014-08-06 | 浪潮电子信息产业股份有限公司 | 一种智能网络流量拥塞解决方法 |
CN104429026A (zh) * | 2012-07-06 | 2015-03-18 | 日本电气株式会社 | 通信系统、控制装置、通信方法及程序 |
CN105187437A (zh) * | 2015-09-24 | 2015-12-23 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种sdn网络拒绝服务攻击的集中式检测系统 |
CN105634835A (zh) * | 2014-10-27 | 2016-06-01 | 任子行网络技术股份有限公司 | 一种上网数据的云审计方法、系统以及审计路由器 |
CN106470118A (zh) * | 2015-08-21 | 2017-03-01 | 睿石网云(北京)科技有限公司 | 一种应用系统性能异常检测方法和系统 |
CN106817271A (zh) * | 2015-11-30 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 流量图谱的形成方法和装置 |
CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
CN107690778A (zh) * | 2015-05-29 | 2018-02-13 | 微软技术许可有限责任公司 | 使用镜像探测分组测量网络的性能 |
CN107948088A (zh) * | 2018-01-05 | 2018-04-20 | 宝牧科技(天津)有限公司 | 一种网络应用层负载均衡的方法 |
CN108055166A (zh) * | 2017-12-20 | 2018-05-18 | 中山大学 | 一种嵌套的应用层协议的状态机提取系统及其提取方法 |
CN108228887A (zh) * | 2018-01-31 | 2018-06-29 | 百度在线网络技术(北京)有限公司 | 用于生成信息的方法和装置 |
CN108769032A (zh) * | 2018-05-31 | 2018-11-06 | 郑州信大天瑞信息技术有限公司 | 内网安全专家分析方法及系统 |
CN108989289A (zh) * | 2018-06-21 | 2018-12-11 | 北京亚鸿世纪科技发展有限公司 | 一种保障流量采集完整性的方法及装置 |
CN109756398A (zh) * | 2019-01-09 | 2019-05-14 | 湖北凌晖信息科技有限公司 | 一种网络信息数据采集方法及系统 |
CN110011831A (zh) * | 2019-03-03 | 2019-07-12 | 北京立思辰安科技术有限公司 | 一种流量通信拓扑图自动绘制方法 |
CN110022248A (zh) * | 2019-04-19 | 2019-07-16 | 山东浪潮云信息技术有限公司 | 链路流量统计方法及系统、流量统计主机以及统计请求端 |
CN110198293A (zh) * | 2018-04-08 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 服务器的攻击防护方法、装置、存储介质和电子装置 |
CN110851233A (zh) * | 2019-10-15 | 2020-02-28 | 成都西山居世游科技有限公司 | 一种基于Docker容器的服务网络信息统计方法及其系统 |
CN111464379A (zh) * | 2020-03-13 | 2020-07-28 | 视联动力信息技术股份有限公司 | 一种数据处理的方法和装置 |
CN112636974A (zh) * | 2020-12-22 | 2021-04-09 | 安徽飞凯电子技术有限公司 | 一种基于大数据的通信设备智能监管系统 |
CN114169415A (zh) * | 2021-11-29 | 2022-03-11 | 北京智美互联科技有限公司 | 一种系统故障模式识别的方法和系统 |
CN114339826A (zh) * | 2021-11-30 | 2022-04-12 | 浙江三维利普维网络有限公司 | 性能数据文件的生成方法、装置、存储介质及电子装置 |
CN114466398A (zh) * | 2021-12-20 | 2022-05-10 | 中盈优创资讯科技有限公司 | 一种通过netflow数据分析5G终端用户行为的方法及装置 |
CN115001993A (zh) * | 2022-05-30 | 2022-09-02 | 杭州爆米花科技股份有限公司 | 一种流量集成化采集系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8811172B1 (en) * | 2014-04-10 | 2014-08-19 | tw telecom holdings inc. | Network path selection using bandwidth prediction |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1417690A (zh) * | 2002-12-03 | 2003-05-14 | 南京金鹰国际集团软件系统有限公司 | 基于构件的应用过程审计平台系统 |
CN1588897A (zh) * | 2004-09-13 | 2005-03-02 | 深圳市中实科技有限公司 | 网络化数字通信矢量信号测试分析服务器、客户端及系统 |
CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测系统 |
-
2009
- 2009-05-26 CN CN200910039734XA patent/CN101562534B/zh not_active Expired - Fee Related
Cited By (58)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101714930B (zh) * | 2009-12-30 | 2012-05-23 | 北京云快线软件服务有限公司 | 一种实现网络监控的方法及系统 |
CN101848104A (zh) * | 2010-03-17 | 2010-09-29 | 深圳市易聆科信息技术有限公司 | 一种网管系统的记录方法、装置及计算机设备 |
CN101848104B (zh) * | 2010-03-17 | 2011-05-18 | 深圳市易聆科信息技术有限公司 | 一种网管系统的记录方法、装置及计算机设备 |
CN101820635A (zh) * | 2010-05-20 | 2010-09-01 | 中兴通讯股份有限公司 | 一种移动通讯数据的采集方法和装置 |
CN103748997B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 支持内部网络安全监控系统开发的通用系统 |
US8849738B2 (en) | 2010-08-02 | 2014-09-30 | Alibaba Group Holding Limited | Predicting a user behavior number of a word |
CN102346745B (zh) * | 2010-08-02 | 2014-04-02 | 阿里巴巴集团控股有限公司 | 单词的用户行为数的预测方法和装置 |
CN102346745A (zh) * | 2010-08-02 | 2012-02-08 | 阿里巴巴集团控股有限公司 | 单词的用户行为数的预测方法和装置 |
CN102123413B (zh) * | 2011-03-29 | 2013-07-17 | 杭州电子科技大学 | 无线传感网络的网络监测和协议分析系统 |
CN102123413A (zh) * | 2011-03-29 | 2011-07-13 | 杭州电子科技大学 | 无线传感网络的网络监测和协议分析系统 |
CN102185762A (zh) * | 2011-04-19 | 2011-09-14 | 北京网康科技有限公司 | 用户数据发送行为的识别与提取及其处理设备 |
CN102185762B (zh) * | 2011-04-19 | 2014-04-16 | 北京网康科技有限公司 | 用户数据发送行为的识别与提取方法 |
CN103425720A (zh) * | 2012-05-23 | 2013-12-04 | 捷讯研究有限公司 | 用于分割并使用知识库的装置及关联方法 |
CN104429026A (zh) * | 2012-07-06 | 2015-03-18 | 日本电气株式会社 | 通信系统、控制装置、通信方法及程序 |
CN103457949B (zh) * | 2013-08-29 | 2016-09-14 | 哈尔滨工程大学 | 一种基于sFlow的大规模网络安全分析方法 |
CN103457949A (zh) * | 2013-08-29 | 2013-12-18 | 哈尔滨工程大学 | 一种基于sFlow的大规模网络安全分析方法 |
CN103455593A (zh) * | 2013-09-01 | 2013-12-18 | 北京航空航天大学 | 一种基于社交网络的服务竞争性实现系统及方法 |
CN103455593B (zh) * | 2013-09-01 | 2016-10-05 | 北京航空航天大学 | 一种基于社交网络的服务竞争性实现系统及方法 |
CN103944775A (zh) * | 2014-03-14 | 2014-07-23 | 广州源典科技有限公司 | 一种网络流量采集分析及展示输出的方法 |
CN103856965A (zh) * | 2014-03-24 | 2014-06-11 | 宁夏信友通信监理咨询有限责任公司 | Wlan网络综合分析系统及方法 |
CN103944763A (zh) * | 2014-04-25 | 2014-07-23 | 国家电网公司 | 一种电力系统网络辅助管理系统及管理方法 |
CN103944763B (zh) * | 2014-04-25 | 2017-12-08 | 国家电网公司 | 一种电力系统网络辅助管理系统及管理方法 |
CN103973591A (zh) * | 2014-06-04 | 2014-08-06 | 浪潮电子信息产业股份有限公司 | 一种智能网络流量拥塞解决方法 |
CN105634835A (zh) * | 2014-10-27 | 2016-06-01 | 任子行网络技术股份有限公司 | 一种上网数据的云审计方法、系统以及审计路由器 |
CN105634835B (zh) * | 2014-10-27 | 2018-12-25 | 任子行网络技术股份有限公司 | 一种上网数据的云审计方法、系统以及审计路由器 |
CN107690778A (zh) * | 2015-05-29 | 2018-02-13 | 微软技术许可有限责任公司 | 使用镜像探测分组测量网络的性能 |
CN107690778B (zh) * | 2015-05-29 | 2020-12-18 | 微软技术许可有限责任公司 | 使用镜像探测分组测量网络的性能的方法及设备 |
CN106470118A (zh) * | 2015-08-21 | 2017-03-01 | 睿石网云(北京)科技有限公司 | 一种应用系统性能异常检测方法和系统 |
CN106470118B (zh) * | 2015-08-21 | 2019-11-08 | 睿石网云(北京)科技有限公司 | 一种应用系统性能异常检测方法和系统 |
CN105187437A (zh) * | 2015-09-24 | 2015-12-23 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种sdn网络拒绝服务攻击的集中式检测系统 |
CN105187437B (zh) * | 2015-09-24 | 2018-06-26 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种sdn网络拒绝服务攻击的集中式检测系统 |
CN106817271A (zh) * | 2015-11-30 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 流量图谱的形成方法和装置 |
CN106817271B (zh) * | 2015-11-30 | 2020-05-22 | 阿里巴巴集团控股有限公司 | 流量图谱的形成方法和装置 |
CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
CN107566320B (zh) * | 2016-06-30 | 2020-05-26 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
CN108055166A (zh) * | 2017-12-20 | 2018-05-18 | 中山大学 | 一种嵌套的应用层协议的状态机提取系统及其提取方法 |
CN108055166B (zh) * | 2017-12-20 | 2021-02-12 | 中山大学 | 一种嵌套的应用层协议的状态机提取系统及其提取方法 |
CN107948088A (zh) * | 2018-01-05 | 2018-04-20 | 宝牧科技(天津)有限公司 | 一种网络应用层负载均衡的方法 |
CN108228887A (zh) * | 2018-01-31 | 2018-06-29 | 百度在线网络技术(北京)有限公司 | 用于生成信息的方法和装置 |
CN108228887B (zh) * | 2018-01-31 | 2019-12-03 | 百度在线网络技术(北京)有限公司 | 用于生成信息的方法和装置 |
CN110198293A (zh) * | 2018-04-08 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 服务器的攻击防护方法、装置、存储介质和电子装置 |
CN108769032A (zh) * | 2018-05-31 | 2018-11-06 | 郑州信大天瑞信息技术有限公司 | 内网安全专家分析方法及系统 |
CN108989289B (zh) * | 2018-06-21 | 2020-10-13 | 北京亚鸿世纪科技发展有限公司 | 一种保障流量采集完整性的方法及装置 |
CN108989289A (zh) * | 2018-06-21 | 2018-12-11 | 北京亚鸿世纪科技发展有限公司 | 一种保障流量采集完整性的方法及装置 |
CN109756398A (zh) * | 2019-01-09 | 2019-05-14 | 湖北凌晖信息科技有限公司 | 一种网络信息数据采集方法及系统 |
CN110011831A (zh) * | 2019-03-03 | 2019-07-12 | 北京立思辰安科技术有限公司 | 一种流量通信拓扑图自动绘制方法 |
CN110022248A (zh) * | 2019-04-19 | 2019-07-16 | 山东浪潮云信息技术有限公司 | 链路流量统计方法及系统、流量统计主机以及统计请求端 |
CN110851233A (zh) * | 2019-10-15 | 2020-02-28 | 成都西山居世游科技有限公司 | 一种基于Docker容器的服务网络信息统计方法及其系统 |
CN111464379B (zh) * | 2020-03-13 | 2023-09-12 | 视联动力信息技术股份有限公司 | 一种数据处理的方法和装置 |
CN111464379A (zh) * | 2020-03-13 | 2020-07-28 | 视联动力信息技术股份有限公司 | 一种数据处理的方法和装置 |
CN112636974A (zh) * | 2020-12-22 | 2021-04-09 | 安徽飞凯电子技术有限公司 | 一种基于大数据的通信设备智能监管系统 |
CN114169415A (zh) * | 2021-11-29 | 2022-03-11 | 北京智美互联科技有限公司 | 一种系统故障模式识别的方法和系统 |
CN114169415B (zh) * | 2021-11-29 | 2024-06-18 | 北京国瑞数智技术有限公司 | 一种系统故障模式识别的方法和系统 |
CN114339826A (zh) * | 2021-11-30 | 2022-04-12 | 浙江三维利普维网络有限公司 | 性能数据文件的生成方法、装置、存储介质及电子装置 |
CN114339826B (zh) * | 2021-11-30 | 2024-01-26 | 浙江三维利普维网络有限公司 | 性能数据文件的生成方法、装置、存储介质及电子装置 |
CN114466398A (zh) * | 2021-12-20 | 2022-05-10 | 中盈优创资讯科技有限公司 | 一种通过netflow数据分析5G终端用户行为的方法及装置 |
CN115001993A (zh) * | 2022-05-30 | 2022-09-02 | 杭州爆米花科技股份有限公司 | 一种流量集成化采集系统 |
CN115001993B (zh) * | 2022-05-30 | 2023-02-28 | 杭州爆米花科技股份有限公司 | 一种流量集成化采集系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101562534B (zh) | 2011-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101562534B (zh) | 一种网络行为分析系统 | |
CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
CN1163020C (zh) | 对网络流的端到端特性进行非干扰测量的方法和系统 | |
KR100814546B1 (ko) | 통신 데이터를 수집하여 분석하는 장치 및 방법 | |
CN102315974B (zh) | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 | |
Duffield et al. | Trajectory sampling for direct traffic observation | |
CN102307123B (zh) | 基于传输层流量特征的nat流量识别方法 | |
US8095640B2 (en) | Distributed architecture for real-time flow measurement at the network domain level | |
KR100523486B1 (ko) | 트래픽 측정 시스템 및 그의 트래픽 분석 방법 | |
US6836466B1 (en) | Method and system for measuring IP performance metrics | |
Wang et al. | A data streaming method for monitoring host connection degrees of high-speed links | |
US20060165003A1 (en) | Method and apparatus for monitoring data routing over a network | |
US20030225549A1 (en) | Systems and methods for end-to-end quality of service measurements in a distributed network environment | |
CN101138200A (zh) | 评估分组网络上运行的实时应用的服务质量的方法及装置 | |
CN102104611A (zh) | 一种基于混杂模式的DDoS攻击检测方法及装置 | |
US20060224886A1 (en) | System for finding potential origins of spoofed internet protocol attack traffic | |
Liu et al. | MOZART: Temporal coordination of measurement | |
CN104092588B (zh) | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 | |
CN101572634A (zh) | 一种利用互相关函数被动测量tcp连接往返时延的方法 | |
He et al. | Remote detection of bottleneck links using spectral and statistical methods | |
Perdices et al. | On the modeling of multi-point RTT passive measurements for network delay monitoring | |
CN108512816A (zh) | 一种流量劫持的检测方法及装置 | |
CN115766471B (zh) | 一种基于组播流量的网络业务质量分析方法 | |
Chonka et al. | Detecting and tracing DDoS attacks by intelligent decision prototype | |
Muthuprasanna et al. | Distributed divide-and-conquer techniques for effective DDoS attack defenses |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111214 Termination date: 20180526 |
|
CF01 | Termination of patent right due to non-payment of annual fee |