CN102143085A - 一种多维度网络态势感知的方法、设备及系统 - Google Patents

一种多维度网络态势感知的方法、设备及系统 Download PDF

Info

Publication number
CN102143085A
CN102143085A CN201110107656XA CN201110107656A CN102143085A CN 102143085 A CN102143085 A CN 102143085A CN 201110107656X A CN201110107656X A CN 201110107656XA CN 201110107656 A CN201110107656 A CN 201110107656A CN 102143085 A CN102143085 A CN 102143085A
Authority
CN
China
Prior art keywords
stream
network
message
network equipment
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201110107656XA
Other languages
English (en)
Other versions
CN102143085B (zh
Inventor
张帅
杨聪毅
何志福
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING LEADSEC TECHNOLOGY CO LTD
Original Assignee
BEIJING LEADSEC TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING LEADSEC TECHNOLOGY CO LTD filed Critical BEIJING LEADSEC TECHNOLOGY CO LTD
Priority to CN201110107656.XA priority Critical patent/CN102143085B/zh
Publication of CN102143085A publication Critical patent/CN102143085A/zh
Application granted granted Critical
Publication of CN102143085B publication Critical patent/CN102143085B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种多维度网络态势感知的方法、设备和系统,其中方法包括:对网络中的报文进行采样,提取采样的报文中的特征,利用提取的特征判断网络设备中是否已经有该特征对应的流,如果有,则对网络设备中的流的信息进行更新;如果没有,则从报文中提取多维度的相互关联的属性信息,利用属性信息生成新的流存储于网络设备中,将网络设备中的流发送给第三方服务器,第三方服务器对流按照设定的至少两个维度进行关联,将关联的结果进行网络态势的呈现。本发明从多维度对流进行关联,从而分析网络态势,最终将分析的结果进行呈现。由于可以从不同的维度对流进行关联,关联的结果是不同的,根据需要选择维度,多角度地全方位地感知整个网络的态势。

Description

一种多维度网络态势感知的方法、设备及系统
技术领域
本发明涉及网络态势感知技术领域,特别涉及一种多维度网络态势感知的方法、设备及系统。
背景技术
下面首先介绍本领域的几个技术术语。
网络态势感知(NSA,Network Situation Awareness):网络态势是指由各种网络设备的运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。
多维度:相关物件的不同属性。例如网络流的应用、用户等属性。
关联性:通过不同维度的关联可以产生不同的网络感知报告集。
应用识别:对网络中的流进行识别,标记流属于什么协议以及流的行为等。
管道:是流控产品中的概念,把网络的内部和外部网口统一配置到一个管道中,使得管道具有管理流量的功能。
3A用户认证:分别为认证(Authentication)、授权(Authorization)、计帐(Accounting)。
认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
随着网络规模的日益扩大和网络流量的急速增加,对网络行为的精确测量越来越困难。网络时刻受到故障、攻击、灾难或突发事件的威胁,其可用性、安全性和生存性面临严峻挑战。网络运行状况瞬息万变。因此,现代网络管理必须能够在急剧变化的复杂环境中,高效组织不确定的网管信息并进行分析评估,提供被管对象的详细信息,提高网络管理员对整个网络运行状况的认知和理解,提供多样化、个性化的管理服务,辅助指挥人员迅速、准确地做出决策,弥补当前网络管理的不足。
但是,现有技术中的网络管理中的各个网络管理单元处于独立的工作状态,每个网络管理单元只负责收集与本单元有关的网络信息状态。随着网络规模的不断扩大,相应的网络管理单元也越来越复杂,导致网络管理信息越来越庞大,如果相互之间没有联系,则不能有效进行信息的共享和反馈。并且,现有的网络态势感知主要是以安全感知为主,但是随着网络规模的不断扩大,用户对于网络整体情况的关注不仅仅局限于安全角度。
综上所述,目前的以感知安全为主的网络态势感知方法已经不能有效感知整个网络的态势。
发明内容
本发明要解决的技术问题是提供一种多维度网络态势感知的方法、设备及系统,能够有效感知整个网络的态势。
本发明提供一种多维度网络态势感知的方法,包括以下步骤:
对网络中的报文进行采样,对采样命中的报文进行特征提取;
利用提取的特征和网络设备中的流进行匹配,如果匹配命中,则更新网络设备中匹配命中的流的信息;如果匹配未命中,则从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;
将网络设备中存储的流发送给第三方服务器;
第三方服务器将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
优选地,所述对网络中的报文进行采样,具体为:通过随机抽取样本的方式对网络中的报文进行采样。
优选地,所述将网络设备中存储的流发送给第三方服务器之前,还包括:将网络设备中存储的流进行整合。
优选地,所述网络设备中存储的流存储在网络设备的缓存中。
本发明还提供一种多维度网络态势感知的设备,包括:
特征提取单元,用于对网络中的报文进行采样,对采样命中的报文进行特征提取;
流匹配单元,用于利用所述特征提取单元提供的特征和网络设备中的流进行匹配;
流更新单元,当所述流匹配单元匹配命中时,用于更新网络设备中匹配命中的流的信息;
流生成单元,当所述流匹配单元匹配未命中时,用于从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;
流发送单元,用于将网络设备中存储的流发送给网络态势呈现单元;
网络态势呈现单元,用于将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
优选地,所述特征提取单元包括采样子单元;
所述采样子单元,用于通过随机抽取样本的方式对网络中的报文进行采样。
优选地,还包括流整合单元,用于将网络设备中存储的流进行整合。
本发明还提供一种多维度网络态势感知的系统,包括网络设备和第三方服务器;
所述网络设备,用于对网络中的报文进行采样,对采样命中的报文进行特征提取;利用提取的特征和网络设备中的流进行匹配,如果匹配命中,则更新网络设备中匹配命中的流的信息;如果匹配未命中,则从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;将网络设备中存储的流发送给第三方服务器;
第三方服务器,用于将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
优选地,所述网络设备,还用于将存储在网络设备中的流进行整合,将整合后的流发送给第三方服务器。
优选地,所述网络设备通过随机抽取样本的方式对网络中的报文进行采样。
与现有技术相比,本发明具有以下优点:
本发明提供的多维度网络态势感知的方法、设备和系统,对网络中的报文进行采样,提取采样的报文中的特征,利用提取的特征判断网络设备中是否已经有该特征对应的流,如果有,则对网络设备中的流的信息进行更新;如果没有,则从报文中提取多维度的相互关联的属性信息,利用属性信息生成新的流存储于网络设备中,将网络设备中的流发送给第三方服务器,第三方服务器对流按照设定的至少两个维度进行关联,将关联的结果进行网络态势的呈现。本发明采样网络中的报文,提取报文中的流,利用流作为属性信息的载体,从多维度对流进行关联,从而分析网络态势,最终将分析的结果进行呈现。由于可以从不同的维度对流进行关联,因此,关联的结果是不同的,可以根据需要选择维度,从而多角度地全方位地感知整个网络的态势。
附图说明
图1是本发明提供的多维度网络态势感知方法的实施例一流程图;
图2是本发明提供的多维度网络态势感知方法的实施例二流程图;
图3是本发明选择user和app两个维度进行关联的网络态势感知呈现图;
图4是本发明选择IP地址和应用进行关联的网络态势感知呈现图;
图5是本发明选择源地址和应用进行关联的网络态势感知呈现图;
图6是本发明提供的多维度网络态势感知的设备实施例一结构图;
图7是本发明提供的多维度网络态势感知的设备实施例二结构图;
图8是本发明提供的多维度网络态势感知的系统实施例结构图。
具体实施方式
为了使本领域技术人员能够更好地理解和实施本发明提供的技术方案,下面介绍本领域的几个基本概念。
流:是作为属性的载体存在的,一条流中可以包含很多属性。但是区分一条流与另一条流是否相同的标准并不是要判断所有的属性是否相同,而是判断表征流的几个特征是否相同即可。例如,通过基本五元组来判断流,基本五元组是指:源地址、目的地址、源端口、目的端口和协议。只要两条流的五元组中的一个特征不相同,则认为这两条流不同,不属于同一条流。
流的整合:整合也通常称为聚合,流是由基本五元组(源地址、目的地址、源端口、目的端口、协议)来区分不同的流。只要基本五元组有一个不相同,这条流就被定义为不同的流。当如果对于10条不同的流,以流的某个属性进行聚合的话,可能10条不同的流就会被聚合成同一条流。比如以协议进行聚合,10条流如果都是UDP的协议的话,那么这10条不同的流就被聚合为1条流。如果10条流中有4条TCP的协议,有6条UDP的协议,那么这10条流就被聚合为2条流,分别是UDP流和TCP流。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。
参见图1,该图为本发明提供的多维度网络态势感知方法的实施例一流程图。
本实施例提供的多维度网络态势感知的方法,包括以下步骤:
S101:对网络中的报文进行采样,对采样命中的报文进行特征提取;
提取报文中的特征主要是为了判断网络设备中是否已经存在特征所表征的流。报文中的特征是区分一条流与另一条流的标准。
S102:利用提取的特征和网络设备中的流进行匹配;如果匹配命中,则执行S103;如果匹配未命中,则执行S104;
由于区分流的标准是由特征来表征的,因此,只要网络设备中的流的特征与从命中的报文中提供的特征相同,则说明网络设备中已经存在报文对应的流,则不再将报文对应的流存储到网络设备中,只是更新网络设备中已经存在的流的信息即可,例如,更新流的数量等。
S103:更新网络设备中匹配命中的流的信息;
更新流的信息有流的大小(即报文大小的累加和)、流中报文的个数等。
S104:从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;
如果网络设备中没有命中的报文中的特征对应流,则生成新的流存储于网络设备中。需要说明的是,生成的新的流包含多维度的相互关联的属性信息。
S105:将网络设备中存储的流发送给第三方服务器;
由于网络设备仅是一个存储流,实现流的转发的设备,因此为了通过流感知网络态势,还需要进行进一步的分析处理,由第三方服务器来实现。
S106:第三方服务器将所述流按照预定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
第三方服务器对流进行一个数据加工过程,将数据加工的结果呈现给使用者。这样使用者便可以直观地感知网络态势。
选择不同的维度进行关联可以出现不同的结果,因此,可以从维度的选择上来不同角度地感知网络态势。从而可以全面地透析整个网络的状况。
本发明提供的多维度网络态势感知的方法,对网络中的报文进行采样,提取采样的报文中的特征,利用提取的特征判断网络设备中是否已经有该特征对应的流,如果有,则对网络设备中的流的信息进行更新;如果没有,则从报文中提取多维度的相互关联的属性信息,利用属性信息生成新的流存储于网络设备中,将网络设备中的流发送给第三方服务器,第三方服务器对流按照设定的至少两个维度进行关联,将关联的结果进行网络态势的呈现。本发明采样网络中的报文,提取报文中的流,利用流作为属性信息的载体,从多维度对流进行关联,从而分析网络态势,最终将分析的结果进行呈现。由于可以从不同的维度对流进行关联,因此,关联的结果是不同的,可以根据需要选择维度,从而多角度地全方位地感知整个网络的态势。
参见图2,该图为本发明提供的多维度网络态势感知方法的实施例二流程图。
S201:通过随机抽取样本的方式对网络中的报文进行采样,对采样命中的报文进行特征提取;
由于网络的流量增长迅速,因此利用采样的方法测量部分网络流量,从统计学角度获得对网络整体的认识。本实施例中采用采样统计学中的随机抽取样本的方式,例如,对网络中的每10个报文,采集其中的一个报文作为样本,采集到的报文则是采样命中的报文。
S202:利用提取的特征和网络设备中的流进行匹配;如果匹配命中,则执行S203;如果匹配未命中,则执行S204;
S203:更新网络设备中匹配命中的流的信息;
S204:从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;
S205:将网络设备中存储的流进行整合。
本实施例中网络设备中存储的流存储在网络设备的缓存(Cache)中。由于缓存的容量是有限的,因此,为了节省缓存的空间,可以对流进行整合,这样将大大降低流占用的空间,以便于缓存存储更多的内容。
S206:将整合后的流和未整合的流均发送给第三方服务器。
S207:第三方服务器将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
下面结合表格举例说明本发明提供的网络态势感知方法是如何实现的。
本发明实施例中提供了常用的维度,通过这些维度的关联可以获得关注的网络态势。
例如多维度的流如表1所示:
  samp   sa   sport   da   dport   proto   ifin   Ifout   pipe   app   user   group   role   url   tos   flow   pack
不同维度的含义如表2所示:
  samp   采样比
  Sa   源地址
  sport   源端口
  da   目的地址
  dport   目的端口
  proto   协议
  ifin   入网口
  ifout   出网口
  pipe   流控产品的管道信息
  app   应用识别流信息
  user   3A用户认证用户信息
  group   3A用户认证组信息
  role   3A用户角色信息
  url   网址信息
  tos   服务类型
  flow   流量信息
  pack   报文个数信息
表1所示的是一条包含17个维度的流,如果需要从某一个角度获知网络的态势,可以选择相应的维度进行关联,例如可以选择两个维度进行关联,也可以选择三个维度进行关联。
关联的几个维度之间存在一定的物理关联性。例如,选择user和app两个维度进行关联,则结果是用户的应用情况。
参见图3,该图为选择user和app两个维度进行关联的网络态势感知呈现图。
用户是user2,应用的是QQ、Game和Thunder。
从图3的呈现图中,可以很直观地观测到用户user2使用QQ、Game和Thunder这三个应用的比例分别为36.10%、36.61%和27.29%,包括每种应用的流量信息。
表3
Figure BDA0000057877120000081
参见图4,该图是本发明选择IP地址和应用进行关联的网络态势感知呈现图。
例如,可以选择源地址(Sa)、目的地址(da)和应用识别流信息(app)三个维度进行关联,则关联的结果是每个IP的应用情况。
源地址和目的地址组成IP,再结合应用进行关联分析。
例如,IP地址是201.169.8.0,应用QQ、Game和Thunder的网络流量的比例分别是37.61%、34.54%和27.85%。
按照这种方法,可以感知每个IP地址应用的情况。
参见图5,该图为本发明选择源地址和应用进行关联的网络态势感知呈现图。
例如,选择源地址(Sa)和应用识别流信息(app)进行关联,图5所示的呈现图中是选择了十个IP地址,分别应用Thunder的情况。
从以上实施例可以获知,选择不同的维度进行关联性可以获取网络不同角度的运行情况,从而可以全面地感知整个网络的情况,全面感知网络的运行态势。
不同的维度关联性可以自由来选择,最终第三方服务器将根据选择的维度进行流的关联,并将关联后的结果呈现给用户。
并且本发明提供几个典型的多维度关联的模板,其中包括3A用户认证用户信息(user)和应用识别流信息(app)的关联模板(简称用户和应用关联)、流控产品的管道信息(pipe)和应用识别流信息(app)的关联模板(简称管道和应用管理)。
基于上述一种多维度网络态势感知的方法,本发明还提供了一种多维度网络态势感知的设备,下面结合具体实施例来详细说明其组成部分。
参见图6,该图为本发明提供的多维度网络态势感知的设备实施例一结构图。
本发明提供的多维度网络态势感知的设备,包括:
特征提取单元601,用于对网络中的报文进行采样,对采样命中的报文进行特征提取;
提取报文中的特征主要是为了判断网络设备中是否已经存在特征所表征的流。报文中的特征是区分一条流与另一条流的标准。
流匹配单元602,用于利用所述特征提取单元601提供的特征和网络设备中的流进行匹配;
流更新单元603,当所述流匹配单元602匹配命中时,用于更新网络设备中匹配命中的流的信息;
流生成单元604,当所述流匹配单元602匹配未命中时,用于从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;
由于区分流的标准是由特征来表征的,因此,只要网络设备中的流的特征与从命中的报文中提供的特征相同,则说明网络设备中已经存在报文对应的流,则不再将报文对应的流存储到网络设备中,只是更新网络设备中已经存在的流的信息即可,例如,更新流的数量等。
流发送单元605,用于将网络设备中存储的流发送给网络态势呈现单元606;
网络态势呈现单元606,用于将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
选择不同的维度进行关联可以出现不同的结果,因此,可以从维度的选择上来不同角度地感知网络态势。从而可以全面地透析整个网络的状况。
本发明提供的多维度网络态势感知的设备,对网络中的报文进行采样,提取采样的报文中的特征,利用提取的特征判断网络设备中是否已经有该特征对应的流,如果有,则对网络设备中的流的信息进行更新;如果没有,则从报文中提取多维度的相互关联的属性信息,利用属性信息生成新的流存储于网络设备中,将网络设备中的流发送给网络态势呈现单元606,网络态势呈现单元606对流按照设定的至少两个维度进行关联,将关联的结果进行网络态势的呈现。本发明采样网络中的报文,提取报文中的流,利用流作为属性信息的载体,从多维度对流进行关联,从而分析网络态势,最终将分析的结果进行呈现。由于可以从不同的维度对流进行关联,因此,关联的结果是不同的,可以根据需要选择维度,从而多角度地全方位地感知整个网络的态势。
参见图7,该图为本发明提供的多维度网络态势感知的设备实施例二结构图。
本实施例提供的多维度网络态势感知的设备中的特征提取单元包括采样子单元601a;
所述采样子单元601a,用于通过随机抽取样本的方式对网络中的报文进行采样。
由于网络的流量增长迅速,因此利用采样的方法测量部分网络流量,从统计学角度获得对网络整体的认识。本实施例中采用采样统计学中的随机抽取样本的方式,例如,对网络中的每10个报文,采集其中的一个报文作为样本,采集到的报文则是采样命中的报文。
本实施例提供的多维度网络态势感知的设备还包括流整合单元607,用于将网络设备中存储的流进行整合。
本实施例中网络设备中存储的流存储在网络设备的缓存(Cache)中。由于缓存的容量是有限的,因此,为了节省缓存的空间,可以对流进行整合,这样将大大降低流占用的空间,以便于缓存存储更多的内容。
流发送单元605用于将整合后的流和未整合的流均发送给网络态势呈现单元606。
从以上实施例可以获知,选择不同的维度进行关联性可以获取网络不同角度的运行情况,从而可以全面地感知整个网络的情况,全面感知网络的运行态势。例如,可以选择两个维度进行关联,也可以选择三个维度进行关联。
基于上述一种多维度网络态势感知的方法,本发明还提供了一种多维度网络态势感知的系统,下面结合具体实施例来详细说明其组成部分。
参见图8,该图为本发明提供的多维度网络态势感知的系统实施例结构图。
本发明提供的多维度网络态势感知的系统,包括网络设备801和第三方服务器802。
所述网络设备801,用于对网络中的报文进行采样,对采样命中的报文进行特征提取;利用提取的特征和网络设备中的流进行匹配,如果匹配命中,则更新网络设备中匹配命中的流的信息;如果匹配未命中,则从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;将网络设备中存储的流发送给第三方服务器802;
第三方服务器802,用于将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
本发明提供的多维度网络态势感知的设备,网络设备801对网络中的报文进行采样,提取采样的报文中的特征,利用提取的特征判断网络设备801中是否已经有该特征对应的流,如果有,则对网络设备801中的流的信息进行更新;如果没有,则从报文中提取多维度的相互关联的属性信息,利用属性信息生成新的流存储于网络设备801中,将网络设备801中的流发送给第三方服务器802,第三方服务器802对流按照设定的至少两个维度进行关联,将关联的结果进行网络态势的呈现。本发明采样网络中的报文,提取报文中的流,利用流作为属性信息的载体,从多维度对流进行关联,从而分析网络态势,最终将分析的结果进行呈现。由于可以从不同的维度对流进行关联,因此,关联的结果是不同的,可以根据需要选择维度,从而多角度地全方位地感知整个网络的态势。
本发明提供的网络设备801,还用于将存储在网络设备801中的流进行整合,将整合后的流发送给第三方服务器802。当然,未整合的流也发给第三方服务器802。
所述网络设备801通过随机抽取样本的方式对网络中的报文进行采样。
由于网络的流量增长迅速,因此利用采样的方法测量部分网络流量,从统计学角度获得对网络整体的认识。本实施例中采用采样统计学中的随机抽取样本的方式,例如,对网络中的每10个报文,采集其中的一个报文作为样本,采集到的报文则是采样命中的报文。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。

Claims (10)

1.一种多维度网络态势感知的方法,其特征在于,包括以下步骤:
对网络中的报文进行采样,对采样命中的报文进行特征提取;
利用提取的特征和网络设备中的流进行匹配,如果匹配命中,则更新网络设备中匹配命中的流的信息;如果匹配未命中,则从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;
将网络设备中存储的流发送给第三方服务器;
第三方服务器将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
2.根据权利要求1所述的多维度网络态势感知的方法,其特征在于,所述对网络中的报文进行采样,具体为:通过随机抽取样本的方式对网络中的报文进行采样。
3.根据权利要求1所述的多维度网络态势感知的方法,其特征在于,所述将网络设备中存储的流发送给第三方服务器之前,还包括:将网络设备中存储的流进行整合。
4.根据权利要求1-3任一项所述的多维度网络态势感知的方法,其特征在于,所述网络设备中存储的流存储在网络设备的缓存中。
5.一种多维度网络态势感知的设备,其特征在于,包括:
特征提取单元,用于对网络中的报文进行采样,对采样命中的报文进行特征提取;
流匹配单元,用于利用所述特征提取单元提供的特征和网络设备中的流进行匹配;
流更新单元,当所述流匹配单元匹配命中时,用于更新网络设备中匹配命中的流的信息;
流生成单元,当所述流匹配单元匹配未命中时,用于从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;
流发送单元,用于将网络设备中存储的流发送给网络态势呈现单元;
网络态势呈现单元,用于将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
6.根据权利要求5所述的多维度网络态势感知的设备,其特征在于,所述特征提取单元包括采样子单元;
所述采样子单元,用于通过随机抽取样本的方式对网络中的报文进行采样。
7.根据权利要求5所述的多维度网络态势感知的设备,其特征在于,还包括流整合单元,用于将网络设备中存储的流进行整合。
8.一种多维度网络态势感知的系统,其特征在于,包括网络设备和第三方服务器;
所述网络设备,用于对网络中的报文进行采样,对采样命中的报文进行特征提取;利用提取的特征和网络设备中的流进行匹配,如果匹配命中,则更新网络设备中匹配命中的流的信息;如果匹配未命中,则从所述采样命中的报文中提取具有多维度的相互关联的属性信息,利用所述提取的属性信息生成一条新的流存储于网络设备中;将网络设备中存储的流发送给第三方服务器;
第三方服务器,用于将所述流按照设定的至少两个维度进行关联,将关联后的结果进行网络态势呈现。
9.根据权利要求8所述的多维度网络态势感知的系统,其特征在于,所述网络设备,还用于将存储在网络设备中的流进行整合,将整合后的流发送给第三方服务器。
10.根据权利要求8或9所述的多维度网络态势感知的系统,其特征在于,所述网络设备通过随机抽取样本的方式对网络中的报文进行采样。
CN201110107656.XA 2011-04-27 2011-04-27 一种多维度网络态势感知的方法、设备及系统 Expired - Fee Related CN102143085B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110107656.XA CN102143085B (zh) 2011-04-27 2011-04-27 一种多维度网络态势感知的方法、设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110107656.XA CN102143085B (zh) 2011-04-27 2011-04-27 一种多维度网络态势感知的方法、设备及系统

Publications (2)

Publication Number Publication Date
CN102143085A true CN102143085A (zh) 2011-08-03
CN102143085B CN102143085B (zh) 2014-07-16

Family

ID=44410320

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110107656.XA Expired - Fee Related CN102143085B (zh) 2011-04-27 2011-04-27 一种多维度网络态势感知的方法、设备及系统

Country Status (1)

Country Link
CN (1) CN102143085B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546392A (zh) * 2011-11-28 2012-07-04 曙光信息产业(北京)有限公司 一种基于tcp连接的网络报文采样系统和方法
CN103401990A (zh) * 2013-07-10 2013-11-20 北京恒信仪和信息技术有限公司 利用手机传感器和网络进行物体标记及提取的方法和系统
CN103763320A (zh) * 2014-01-21 2014-04-30 中国联合网络通信集团有限公司 一种流量记录的合并方法和合并系统
CN106100990A (zh) * 2016-06-06 2016-11-09 中国电子科技集团公司第三十研究所 一种基于sdn架构的通信网络多维度资源调控方法和系统
CN108667685A (zh) * 2018-04-08 2018-10-16 南京邮电大学 移动应用网络流量聚类装置
CN113726780A (zh) * 2021-08-31 2021-11-30 平安科技(深圳)有限公司 基于态势感知的网络监控方法、装置、电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060143709A1 (en) * 2004-12-27 2006-06-29 Raytheon Company Network intrusion prevention
CN101184000A (zh) * 2007-12-14 2008-05-21 北京交通大学 基于报文采样和应用签名的互联网应用流量识别方法
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060143709A1 (en) * 2004-12-27 2006-06-29 Raytheon Company Network intrusion prevention
CN101184000A (zh) * 2007-12-14 2008-05-21 北京交通大学 基于报文采样和应用签名的互联网应用流量识别方法
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赖积保等: "基于Netflow 的网络安全态势感知系统研究", 《计算机应用研究》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546392A (zh) * 2011-11-28 2012-07-04 曙光信息产业(北京)有限公司 一种基于tcp连接的网络报文采样系统和方法
CN102546392B (zh) * 2011-11-28 2014-08-27 曙光信息产业(北京)有限公司 一种基于tcp连接的网络报文采样系统和方法
CN103401990A (zh) * 2013-07-10 2013-11-20 北京恒信仪和信息技术有限公司 利用手机传感器和网络进行物体标记及提取的方法和系统
CN103763320A (zh) * 2014-01-21 2014-04-30 中国联合网络通信集团有限公司 一种流量记录的合并方法和合并系统
CN103763320B (zh) * 2014-01-21 2017-01-25 中国联合网络通信集团有限公司 一种流量记录的合并方法和合并系统
CN106100990A (zh) * 2016-06-06 2016-11-09 中国电子科技集团公司第三十研究所 一种基于sdn架构的通信网络多维度资源调控方法和系统
CN106100990B (zh) * 2016-06-06 2019-04-05 中国电子科技集团公司第三十研究所 一种基于sdn架构的通信网络多维度资源调控方法和系统
CN108667685A (zh) * 2018-04-08 2018-10-16 南京邮电大学 移动应用网络流量聚类装置
CN113726780A (zh) * 2021-08-31 2021-11-30 平安科技(深圳)有限公司 基于态势感知的网络监控方法、装置、电子设备
CN113726780B (zh) * 2021-08-31 2022-10-11 平安科技(深圳)有限公司 基于态势感知的网络监控方法、装置、电子设备

Also Published As

Publication number Publication date
CN102143085B (zh) 2014-07-16

Similar Documents

Publication Publication Date Title
CN102143085B (zh) 一种多维度网络态势感知的方法、设备及系统
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
CN102624706B (zh) 一种dns隐蔽信道的检测方法
US9204293B2 (en) Apparatuses, methods, and computer program products for data retention and lawful intercept for law enforcement agencies
CN107888605B (zh) 一种物联网云平台流量安全分析方法和系统
WO2017107780A1 (zh) 一种识别计费欺诈的非法代理的方法、设备及系统
CN104488231A (zh) 利用按照需求的装置的实时网络监视和订户标识
KR101272670B1 (ko) 사용자 단말의 접속 네트워크 식별 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
CN109039987A (zh) 一种用户账户登录方法、装置、电子设备和存储介质
CN109495467B (zh) 拦截规则的更新方法、设备及计算机可读存储介质
US11876827B2 (en) Multiple sourced classification
CN109561051A (zh) 内容分发网络安全检测方法及系统
CN104883363A (zh) 异常访问行为分析方法及装置
CN102882748A (zh) 网络接入检测系统和网络接入检测方法
CN113225339B (zh) 网络安全监测方法、装置、计算机设备及存储介质
US8296425B2 (en) Method and system for lawful interception of internet service
Wang et al. Smart devices information extraction in home wi‐fi networks
US20180288612A1 (en) User equipment and method for protection of user privacy in communication networks
CN101854366A (zh) 一种对等网络流量识别的方法及装置
Li et al. A complete evaluation of the Chinese IP geolocation databases
Kim et al. A novel approach to detection of mobile rogue access points
CN102595410A (zh) 检测wap恶意订购的系统和方法
CN113032787B (zh) 一种系统漏洞检测方法及装置
CN102196440A (zh) 网络审计和入侵检测方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140716

Termination date: 20200427