CN105991623B - 一种业务互联关系审计方法和系统 - Google Patents

一种业务互联关系审计方法和系统 Download PDF

Info

Publication number
CN105991623B
CN105991623B CN201510098835.XA CN201510098835A CN105991623B CN 105991623 B CN105991623 B CN 105991623B CN 201510098835 A CN201510098835 A CN 201510098835A CN 105991623 B CN105991623 B CN 105991623B
Authority
CN
China
Prior art keywords
interconnection
communication
services
offset
present position
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510098835.XA
Other languages
English (en)
Other versions
CN105991623A (zh
Inventor
张延佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venus Information Security Technology Co Ltd
Beijing Venus Information Technology Co Ltd
Original Assignee
Beijing Venus Information Security Technology Co Ltd
Beijing Venus Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venus Information Security Technology Co Ltd, Beijing Venus Information Technology Co Ltd filed Critical Beijing Venus Information Security Technology Co Ltd
Priority to CN201510098835.XA priority Critical patent/CN105991623B/zh
Publication of CN105991623A publication Critical patent/CN105991623A/zh
Application granted granted Critical
Publication of CN105991623B publication Critical patent/CN105991623B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明一种业务互联关系审计方法和系统包括:通过流量镜像采集虚拟交换和实体交换机中的原始流量数据。根据原始流量数据构建业务流信息数据协议AppFlow。对业务流信息数据协议AppFlow持续计算以构建业务互联通讯对列表list;当业务互联通讯对的数量超过第一阈值时,对业务互联通讯对list进行压缩。根据压缩后的业务互联通讯对list构建特征值基线,基于特征值基线判断增加的新的业务互联通讯对是否为异常互联;如果是异常互联,则进行异常互联报警;如果是正常互联,则更新特征值基线。基于异常互联告警的次数和严重等级获得业务互联指数,作为业务互联的整体审计指标。通过本发明的方案,能够在复杂多变的云环境下,提供全面、可靠的信息安全防护。

Description

一种业务互联关系审计方法和系统
技术领域
本发明涉及信息安全领域,尤其涉及一种业务互联关系审计方法和系统。
背景技术
在当前信息建设过程中,对云计算技术关注度越来越高,当前大量企业网络环境已经进入了云环境时代。云计算通过网络将大量的计算和存储资源连接起来,进行统一的管理和调度,按需提供服务。使用者只需通过网络访问就可以获取存储空间、计算能力或应用系统。然而云计算却对网络安全防护提出了严重的挑战。云计算数据中心网络的扁平化和高速化需求,使传统多层数据中心网络逐渐向平面网络架构过渡,平面网络架构使用基于数据流、非拦截、最短路径结构来最大限度地提升网络性能,随之安全域也没有清晰的物理边界。
过去,传统模式下的信息安全防护解决方案中,最重要的一点就是建立网络边界,区分信任域和非信任域,然后在网络边界用网关进行访问控制和安全防御。在虚拟化时代,同一个主机上的虚拟系统互相访问则不会经过这些过时的网关设备。再有,传统物理时代能够用“拔网线”这样的手段立即中止网络形式的病毒爆发,在虚拟化时代这样的策略已经是不符合新的系统形态。而且边界式的防护在云计算时代也随着边界定义模糊、消失而不再适用。传统信息安全防护体系在云计算时代面临重大的挑战。
同时,在云环境下,企业业务的复杂度越来越高,变化频率也越来越快,因此传统的边界防护策略难以凑效,基于业务互联关系分析技术更加适应复杂的云环境。
传统的安全审计往往基于网络环境中的各类设备的syslog日志实现,由于syslog日志信息本身的全面性和可靠性较差,因此,在复杂多变的云环境下,必须有新的技术来应对这种局面。
发明内容
为了解决上述问题,本发明提出了一种业务互联关系审计方法和系统,能够在复杂多变的云环境下,提供全面、可靠的信息安全防护。
为了达到上述目的,本发明提出了一种业务互联关系审计方法,该方法包括:
通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据。
根据原始流量数据构建业务流信息数据协议AppFlow。
对业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯对列表list,二元组包括客户端网间互联协议IP、服务端IP;当业务互联通讯对list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对list进行压缩处理。
根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线。
以固定的时间周期统计全网异常互联情况,基于异常互联告警的次数和严重等级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计指标的计算公式为:
其中,N是本时间周期内所述异常互联告警的总数;PRI为异常互联告警的严重等级,PRI为正整数,取值范围1-5;Ni为每一个严重等级下异常互联告警的数量。
优选地,通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是指:
采用多路并行采集技术同时采集云环境下虚拟交换机和实体交换机的端口镜像流量,端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到实体主机之间的流量信息。
优选地,根据原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
对原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记,五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议。
对五元组标记后的原始流量数据报文进行分组,对分组后的各组原始流量数据报文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow;其中,每两次汇总统计计算之间的时间间隔相等。
优选地,
该时间间隔为20秒。
业务流信息数据协议AppFlow的格式为:
AppFlow采用主动式数据推送机制和用户数据包协议UDP协议。
AppFlow封装格式为1个标头Header和多个记录Record。
其中,所述Header的格式为:
版本号Version:所处位置为Header,字段长度为2Bytes,OffSet=0;
报文中Record个数Count:所处位置为Header,字段长度为2Bytes,OffSet=2;
报文生成时间SystemTime:所处位置为Header,字段长度为4Bytes,OffSet=4。
其中,所述Record的格式为:
源IP SrcIp:所处位置为Record,字段长度为4Bytes,OffSet=0;
目的IP DstIp:所处位置为Record,字段长度为4Bytes,OffSet=4;
源端口SrcPort:所处位置为Record,字段长度为2Bytes,OffSet=8;
目的端口DstPort:所处位置为Record,字段长度为2Bytes,OffSet=10;
四层协议Protocol_L4:所处位置为Record,字段长度为1Bytes,OffSet=12;
应用层协议Protocol_App:所处位置为Record,字段长度为1Bytes,OffSet=13;
流入索引If_in:所处位置为Record,字段长度为2Bytes,OffSet=16;
流出索引Protocol_App:所处位置为Record,字段长度为2Bytes,OffSet=16;
包数Count_Packet:所处位置为Record,字段长度为4Bytes,OffSet=18;
字节数Count_Byte:所处位置为Record,字段长度为4Bytes,OffSet=22;
开始时间Start_Time:所处位置为Record,字段长度为4Bytes,OffSet=26;
结束时间End_Time:所处位置为Record,字段长度为4Bytes,OffSet=30。
优选地,
该方法还包括:实时监测业务互联通讯对,发现新的业务互联通讯对时,实时更新所述业务互联通讯对list。
第一阈值为10万个。
采用压缩算法对list进行压缩处理是指:将客户端IP同属于第一网段以及服务端IP同属于第二网段的多个业务互联通讯对合并为一个,合并后的业务互联通讯对表示第一网段到第二网段的业务互联通讯对。
优选地,根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线是指:
依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代削减聚类法将压缩后的业务互联通讯对list分为多个群组group;将多个group中的各个group内的业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基线,当该group内增加一个或多个新的所述业务互联通讯对时,将新的业务互联通讯对的通讯频次和通讯字节流速与该group的特征值基线相比较,当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度大于预定的第二阈值时,将一个或多个新的业务互联通讯对确定为异常互联,并进行异常互联告警;当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度小于或等于第二阈值时,将一个或多个新的业务互联通讯对确定为正常互联,并依据一个或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的特征值基线进行更新。
本发明还提出了一种业务互联关系审计系统,该系统包括:采集模块、第一构建模块、第二构建模块、判定模块以及计算模块。
采集模块,用于通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据。
第一构建模块,用于根据原始流量数据构建业务流信息数据协议AppFlow。
第二构建模块,用于对业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯对列表list,二元组包括客户端IP、服务端IP;当业务互联通讯对list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对list进行压缩处理。
判定模块,用于根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线。
计算模块,用于以固定的时间周期统计全网异常互联情况,基于异常互联告警的次数和严重等级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计指标的计算公式为:
其中,N是本时间周期内异常互联告警的总数;PRI为异常互联告警的严重等级,PRI为正整数,取值范围1-5;Ni为每一个严重等级下异常互联告警的数量。
优选地,通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是指:
采用多路并行采集技术同时采集云环境下虚拟交换机和实体交换机的端口镜像流量,端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到实体主机之间的流量信息。
优选地,根据原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
对原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记,五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议;
对五元组标记后的原始流量数据报文进行分组,对分组后的各组原始流量数据报文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow;其中,每两次汇总统计计算之间的时间间隔相等。
优选地,
该时间间隔为20秒;
业务流信息数据协议AppFlow的格式为:
AppFlow采用主动式数据推送机制和用户数据包协议UDP协议。
AppFlow封装格式为1个标头Header和多个记录Record。
其中,Header的格式为:
版本号Version:所处位置为Header,字段长度为2Bytes,OffSet=0;
报文中Record个数Count:所处位置为Header,字段长度为2Bytes,OffSet=2;
报文生成时间SystemTime:所处位置为Header,字段长度为4Bytes,OffSet=4。
其中,Record的格式为:
源IP SrcIp:所处位置为Record,字段长度为4Bytes,OffSet=0;
目的IP DstIp:所处位置为Record,字段长度为4Bytes,OffSet=4;
源端口SrcPort:所处位置为Record,字段长度为2Bytes,OffSet=8;
目的端口DstPort:所处位置为Record,字段长度为2Bytes,OffSet=10;
四层协议Protocol_L4:所处位置为Record,字段长度为1Bytes,OffSet=12;
应用层协议Protocol_App:所处位置为Record,字段长度为1Bytes,OffSet=13;
流入索引If_in:所处位置为Record,字段长度为2Bytes,OffSet=16;
流出索引Protocol_App:所处位置为Record,字段长度为2Bytes,OffSet=16;
包数Count_Packet:所处位置为Record,字段长度为4Bytes,OffSet=18;
字节数Count_Byte:所处位置为Record,字段长度为4Bytes,OffSet=22;
开始时间Start_Time:所处位置为Record,字段长度为4Bytes,OffSet=26;
结束时间End_Time:所处位置为Record,字段长度为4Bytes,OffSet=30。
优选地,
该系统还包括更新模块:用于实时监测所述业务互联通讯对,发现新的业务互联通讯对时,实时更新业务互联通讯对list。
第一阈值为10万个。
采用压缩算法对list进行压缩处理是指:将客户端IP同属于第一网段以及服务端IP同属于第二网段的多个业务互联通讯对合并为一个,合并后的业务互联通讯对表示第一网段到第二网段的业务互联通讯对。
优选地,根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线是指:
依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代削减聚类法将压缩后的业务互联通讯对list分为多个群组group;将多个group中的各个group内的业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基线,当该group内增加一个或多个新的业务互联通讯对时,将新的业务互联通讯对的通讯频次和通讯字节流速与该group的特征值基线相比较,当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度大于预定的第二阈值时,将一个或多个新的业务互联通讯对确定为异常互联,并进行异常互联告警;当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度小于或等于第二阈值时,将一个或多个新的业务互联通讯对确定为正常互联,并依据一个或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的特征值基线进行更新。
与现有技术相比,本发明包括:通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据。根据原始流量数据构建业务流信息数据协议AppFlow。对业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯对列表list,二元组包括客户端网间互联协议IP、服务端IP;当业务互联通讯对list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对list进行压缩处理。根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线。以固定的时间周期统计全网异常互联情况,基于异常互联告警的次数和严重等级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计指标的计算公式为:
其中,N是本时间周期内所述异常互联告警的总数;PRI为异常互联告警的严重等级,PRI为正整数,取值范围1-5;Ni为每一个严重等级下异常互联告警的数量。通过本发明的方案,能够在复杂多变的云环境下,提供全面、可靠的信息安全防护。
附图说明
下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
图1为本发明的业务互联关系审计方法流程图;
图2为本发明的业务互联关系审计系统框图。
具体实施方式
为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不能用来限制本发明的保护范围。
本发明针对云环境网络复杂、变化频率高的特点,基于镜像流量充分采集云环境的网络信息,采用流数据思想对海量网络数据进行处理,采用聚类分析方法对云环境下各业务之间互联关系进行安全审计,辅助用户进行安全决策。
具体地,本发明提出了一种业务互联关系审计方法,如图1所示,该方法包括:
S101、通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据。
优选地,通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是指:
采用多路并行采集技术同时采集云环境下虚拟交换机和实体交换机的端口镜像流量,端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到实体主机之间的流量信息。
端口镜像技术是为了方便对一个或多个网络接口的流量进行分析(如入侵检测系统IDS产品、网络分析仪等),可以通过配置交换机来把一个或多个端口(虚拟局域网VLAN)的数据转发到某一个端口来实现对网络的监听,是网络通信协议的一种方式在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。在云环境下虚拟交换机和实体交换机都具备端口镜像能力。
S102、根据原始流量数据构建业务流信息数据协议AppFlow。
优选地,根据原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
对原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记,五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议。
对五元组标记后的原始流量数据报文进行分组,对分组后的各组原始流量数据报文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow;其中,每两次汇总统计计算之间的时间间隔相等。
优选地,
该时间间隔为20秒。
业务流信息数据协议AppFlow的格式为:
AppFlow采用主动式数据推送机制和用户数据包协议UDP协议。
AppFlow封装格式为1个标头Header和多个记录Record。
其中,所述Header的格式为:
版本号Version:所处位置为Header,字段长度为2Bytes,OffSet=0;
报文中Record个数Count:所处位置为Header,字段长度为2Bytes,OffSet=2;
报文生成时间SystemTime:所处位置为Header,字段长度为4Bytes,OffSet=4。
用表格形式表示为:
其中,所述Record的格式为:
源IP SrcIp:所处位置为Record,字段长度为4Bytes,OffSet=0;
目的IP DstIp:所处位置为Record,字段长度为4Bytes,OffSet=4;
源端口SrcPort:所处位置为Record,字段长度为2Bytes,OffSet=8;
目的端口DstPort:所处位置为Record,字段长度为2Bytes,OffSet=10;
四层协议Protocol_L4:所处位置为Record,字段长度为1Bytes,OffSet=12;
应用层协议Protocol_App:所处位置为Record,字段长度为1Bytes,OffSet=13;
流入索引If_in:所处位置为Record,字段长度为2Bytes,OffSet=16;
流出索引Protocol_App:所处位置为Record,字段长度为2Bytes,OffSet=16;
包数Count_Packet:所处位置为Record,字段长度为4Bytes,OffSet=18;
字节数Count_Byte:所处位置为Record,字段长度为4Bytes,OffSet=22;
开始时间Start_Time:所处位置为Record,字段长度为4Bytes,OffSet=26;
结束时间End_Time:所处位置为Record,字段长度为4Bytes,OffSet=30。
用表格形式表示为:
其中,对原始流量数据报文进行业务应用协议识别并标记采用DPI(每英寸网点数)技术。应用识别根据应用协议的不同模型化分类,使用不同的识别技术,准确识别应用协议。应用协议从基于传输控制协议/用户数据报协议TCP/UDP固定端口发展成绝大多数基于TCP/UDP可变端口,因此应用协议识别需要将报文的深度内容检测及相关协议解析、检测验证结合起来进行。
S103、对业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯对列表list,二元组包括客户端网间互联协议IP、服务端IP;当业务互联通讯对list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对list进行压缩处理。
优选地,
该方法还包括:实时监测业务互联通讯对,发现新的业务互联通讯对时,实时更新所述业务互联通讯对list。
第一阈值为10万个。
采用压缩算法对list进行压缩处理是指:将客户端IP同属于第一网段以及服务端IP同属于第二网段的多个业务互联通讯对合并为一个,合并后的业务互联通讯对表示第一网段到第二网段的业务互联通讯对。
为了保证在超大规模IP环境下的系统稳定性,当业务互联通讯对list超过一定规模(如10万个,依据应用环境不同而不同),需要对业务互联通讯对list进行压缩。
S104、根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线。
优选地,根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线是指:
依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代削减聚类法将压缩后的业务互联通讯对list分为多个群组group;将多个group中的各个group内的业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基线,随着时间推进,当该group内有新的通讯对发生,即,当该group内增加一个或多个新的所述业务互联通讯对时,将新的业务互联通讯对的通讯频次和通讯字节流速与该group的特征值基线相比较,当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度大于预定的第二阈值时,将一个或多个新的业务互联通讯对确定为异常互联,并进行异常互联告警;当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度小于或等于第二阈值时,将一个或多个新的业务互联通讯对确定为正常互联,并依据一个或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的特征值基线进行更新。
平衡迭代削减聚类法(即BIRCH算法),其核心是用一个聚类特征三元组(通讯次数、字节流量、应用协议主成分)表示一个簇的有关信息,从而使一簇点的表示可用对应的聚类特征,而不必用具体的一组点来表示。它通过构造满足分支因子和簇直径限制的聚类特征树来求聚类。BIRCH算法通过聚类特征可以方便地进行中心、半径、直径及类内、类间距离的运算。算法的聚类特征树是一个具有两个参数分枝因子B和类直径T的高度平衡树。分枝因子规定了树的每个节点子女的最多个数,而类直径体现了对一类点的直径大小的限制即这些点在多大范围内可以聚为一类,非叶子结点为它的子女的最大关键字,可以根据这些关键字进行插人索引,它总结了其子女的信息。
业务通讯对群组的特征值基线为该群组内各业务互联通讯对的平均通讯次数和字节流量。AppFlow是按照等时间间隔汇总统计所得,该时间间隔为20秒,通过AppFlow计算获得业务互联通信对,当该群组内有新的业务互联通讯对发生,该通讯对本周期内(20秒)的平均通讯次数或字节流量超过所在群组的特征基线值,则生成异常互联告警。
S105、以固定的时间周期统计全网异常互联情况,基于异常互联告警的次数和严重等级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计指标的计算公式为:
其中,N是本时间周期内所述异常互联告警的总数;PRI为异常互联告警的严重等级,PRI为正整数,取值范围1-5;Ni为每一个严重等级下异常互联告警的数量。
业务互联指数代表整个云环境的业务互联安全态势。
本发明还提出了一种业务互联关系审计系统01,如图2所示,该系统包括:采集模块02、第一构建模块03、第二构建模块04、判定模块05以及计算模块06。
采集模块02,用于通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据。
第一构建模块03,用于根据原始流量数据构建业务流信息数据协议AppFlow。
第二构建模块04,用于对业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯对列表list,二元组包括客户端IP、服务端IP;当业务互联通讯对list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对业务互联通讯对list进行压缩处理。
判定模块05,用于根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线。
计算模块06,用于以固定的时间周期统计全网异常互联情况,基于异常互联告警的次数和严重等级获得业务互联指数,业务互联指数作为业务互联的整体审计指标,审计指标的计算公式为:
其中,N是本时间周期内异常互联告警的总数;PRI为异常互联告警的严重等级,PRI为正整数,取值范围1-5;Ni为每一个严重等级下异常互联告警的数量。
优选地,通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是指:
采用多路并行采集技术同时采集云环境下虚拟交换机和实体交换机的端口镜像流量,端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到实体主机之间的流量信息。
优选地,根据原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
对原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记,五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议;
对五元组标记后的原始流量数据报文进行分组,对分组后的各组原始流量数据报文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow;其中,每两次汇总统计计算之间的时间间隔相等。
优选地,
该时间间隔为20秒;
业务流信息数据协议AppFlow的格式为:
AppFlow采用主动式数据推送机制和用户数据包协议UDP协议。
AppFlow封装格式为1个标头Header和多个记录Record。
其中,Header的格式为:
版本号Version:所处位置为Header,字段长度为2Bytes,OffSet=0;
报文中Record个数Count:所处位置为Header,字段长度为2Bytes,OffSet=2;
报文生成时间SystemTime:所处位置为Header,字段长度为4Bytes,OffSet=4。
其中,Record的格式为:
源IP SrcIp:所处位置为Record,字段长度为4Bytes,OffSet=0;
目的IP DstIp:所处位置为Record,字段长度为4Bytes,OffSet=4;
源端口SrcPort:所处位置为Record,字段长度为2Bytes,OffSet=8;
目的端口DstPort:所处位置为Record,字段长度为2Bytes,OffSet=10;
四层协议Protocol_L4:所处位置为Record,字段长度为1Bytes,OffSet=12;
应用层协议Protocol_App:所处位置为Record,字段长度为1Bytes,OffSet=13;
流入索引If_in:所处位置为Record,字段长度为2Bytes,OffSet=16;
流出索引Protocol_App:所处位置为Record,字段长度为2Bytes,OffSet=16;
包数Count_Packet:所处位置为Record,字段长度为4Bytes,OffSet=18;
字节数Count_Byte:所处位置为Record,字段长度为4Bytes,OffSet=22;
开始时间Start_Time:所处位置为Record,字段长度为4Bytes,OffSet=26;
结束时间End_Time:所处位置为Record,字段长度为4Bytes,OffSet=30。
优选地,
该系统还包括更新模块07:用于实时监测所述业务互联通讯对,发现新的业务互联通讯对时,实时更新业务互联通讯对list。
第一阈值为10万个。
采用压缩算法对list进行压缩处理是指:将客户端IP同属于第一网段以及服务端IP同属于第二网段的多个业务互联通讯对合并为一个,合并后的业务互联通讯对表示第一网段到第二网段的业务互联通讯对。
优选地,根据压缩处理后的业务互联通讯对list构建特征值基线,并基于特征值基线判断增加的一个或多个新的业务互联通讯对是否为异常互联;如果新的业务互联通讯对为异常互联,则进行异常互联报警;如果新的业务互联通讯对为正常互联,则更新特征值基线是指:
依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代削减聚类法将压缩后的业务互联通讯对list分为多个群组group;将多个group中的各个group内的业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基线,当该group内增加一个或多个新的业务互联通讯对时,将新的业务互联通讯对的通讯频次和通讯字节流速与该group的特征值基线相比较,当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度大于预定的第二阈值时,将一个或多个新的业务互联通讯对确定为异常互联,并进行异常互联告警;当新的业务互联通讯对的通讯频次和通讯字节流速与特征值基线的偏离度小于或等于第二阈值时,将一个或多个新的业务互联通讯对确定为正常互联,并依据一个或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的特征值基线进行更新。
需要说明的是,以上所述的实施例仅是为了便于本领域的技术人员理解而已,并不用于限制本发明的保护范围,在不脱离本发明的发明构思的前提下,本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本发明的保护范围之内。

Claims (12)

1.一种业务互联关系审计方法,其特征在于,所述方法包括:
通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据;
根据所述原始流量数据构建业务流信息数据协议AppFlow;
对所述业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯对列表list,所述二元组包括客户端网间互联协议IP、服务端IP;当所述业务互联通讯对list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对所述业务互联通讯对list进行压缩处理;
根据压缩处理后的所述业务互联通讯对list构建特征值基线,并基于所述特征值基线判断增加的一个或多个新的所述业务互联通讯对是否为异常互联;如果所述新的业务互联通讯对为异常互联,则进行异常互联报警;如果所述新的业务互联通讯对为正常互联,则更新所述特征值基线;
以固定的时间周期统计全网异常互联情况,基于所述异常互联告警的次数和严重等级获得业务互联指数,所述业务互联指数作为业务互联的整体审计指标,所述审计指标的计算公式为:
其中,N是本时间周期内所述异常互联告警的总数;PRI为所述异常互联告警的严重等级,所述PRI为正整数,取值范围1-5;Ni为每一个严重等级下所述异常互联告警的数量。
2.如权利要求1所述的业务互联关系审计方法,其特征在于,所述通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是指:
采用多路并行采集技术同时采集云环境下所述虚拟交换机和实体交换机的端口镜像流量,所述端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到实体主机之间的流量信息。
3.如权利要求1所述的业务互联关系审计方法,其特征在于,所述根据所述原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
对所述原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记,所述五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议;
对五元组标记后的所述原始流量数据报文进行分组,对分组后的各组所述原始流量数据报文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow;其中,每两次所述汇总统计计算之间的时间间隔相等。
4.如权利要求3所述业务互联关系审计方法,其特征在于,
所述时间间隔为20秒;
所述业务流信息数据协议AppFlow的格式为:
所述AppFlow采用主动式数据推送机制和用户数据包协议UDP协议;
所述AppFlow封装格式为1个标头Header和多个记录Record;
其中,所述Header的格式为:
版本号Version:所处位置为Header,字段长度为2Bytes,OffSet=0;
报文中Record个数Count:所处位置为Header,字段长度为2Bytes,OffSet=2;
报文生成时间SystemTime:所处位置为Header,字段长度为4Bytes,OffSet=4;
其中,所述Record的格式为:
源IP SrcIp:所处位置为Record,字段长度为4Bytes,OffSet=0;
目的IP DstIp:所处位置为Record,字段长度为4Bytes,OffSet=4;
源端口SrcPort:所处位置为Record,字段长度为2Bytes,OffSet=8;
目的端口DstPort:所处位置为Record,字段长度为2Bytes,OffSet=10;
四层协议Protocol_L4:所处位置为Record,字段长度为1Bytes,OffSet=12;
应用层协议Protocol_App:所处位置为Record,字段长度为1Bytes,OffSet=13;
流入索引If_in:所处位置为Record,字段长度为2Bytes,OffSet=16;
流出索引Protocol_App:所处位置为Record,字段长度为2Bytes,OffSet=16;
包数Count_Packet:所处位置为Record,字段长度为4Bytes,OffSet=18;
字节数Count_Byte:所处位置为Record,字段长度为4Bytes,OffSet=22;
开始时间Start_Time:所处位置为Record,字段长度为4Bytes,OffSet=26;
结束时间End_Time:所处位置为Record,字段长度为4Bytes,OffSet=30。
5.如权利要求1所述业务互联关系审计方法,其特征在于,
所述方法还包括:实时监测所述业务互联通讯对,发现新的所述业务互联通讯对时,实时更新所述业务互联通讯对list;
所述第一阈值为10万个;
所述采用压缩算法对所述list进行压缩处理是指:将所述客户端IP同属于第一网段以及所述服务端IP同属于第二网段的多个所述业务互联通讯对合并为一个,合并后的所述业务互联通讯对表示所述第一网段到所述第二网段的业务互联通讯对。
6.如权利要求1所述业务互联关系审计方法,其特征在于,所述根据压缩处理后的所述业务互联通讯对list构建特征值基线,并基于所述特征值基线判断增加的一个或多个新的所述业务互联通讯对是否为异常互联;如果所述新的业务互联通讯对为异常互联,则进行异常互联报警;如果所述新的业务互联通讯对为正常互联,则更新所述特征值基线是指:
依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代削减聚类法将压缩后的所述业务互联通讯对list分为多个群组group;将所述多个group中的各个group内的所述业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基线,当该group内增加一个或多个新的所述业务互联通讯对时,将新的所述业务互联通讯对的通讯频次和通讯字节流速与该group的所述特征值基线相比较,当新的所述业务互联通讯对的通讯频次和通讯字节流速与所述特征值基线的偏离度大于预定的第二阈值时,将所述一个或多个新的业务互联通讯对确定为异常互联,并进行异常互联告警;当新的所述业务互联通讯对的通讯频次和通讯字节流速与所述特征值基线的偏离度小于或等于所述第二阈值时,将所述一个或多个新的业务互联通讯对确定为正常互联,并依据所述一个或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的所述特征值基线进行更新。
7.一种业务互联关系审计系统,其特征在于,所述系统包括:采集模块、第一构建模块、第二构建模块、判定模块以及计算模块;
所述采集模块,用于通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据;
所述第一构建模块,用于根据所述原始流量数据构建业务流信息数据协议AppFlow;
所述第二构建模块,用于对所述业务流信息数据协议AppFlow进行持续计算,以二元组形式构建业务互联通讯对列表list,所述二元组包括客户端IP、服务端IP;当所述业务互联通讯对list中的业务互联通讯对的数量超过预定的第一阈值时,采用压缩算法对所述业务互联通讯对list进行压缩处理;
所述判定模块,用于根据压缩处理后的所述业务互联通讯对list构建特征值基线,并基于所述特征值基线判断增加的一个或多个新的所述业务互联通讯对是否为异常互联;如果所述新的业务互联通讯对为异常互联,则进行异常互联报警;如果所述新的业务互联通讯对为正常互联,则更新所述特征值基线;
所述计算模块,用于以固定的时间周期统计全网异常互联情况,基于所述异常互联告警的次数和严重等级获得业务互联指数,所述业务互联指数作为业务互联的整体审计指标,所述审计指标的计算公式为:
其中,N是本时间周期内所述异常互联告警的总数;PRI为所述异常互联告警的严重等级,所述PRI为正整数,取值范围1-5;Ni为每一个严重等级下所述异常互联告警的数量。
8.如权利要求7所述的业务互联关系审计系统,其特征在于,所述通过流量镜像采集云环境中虚拟交换和实体交换机中的原始流量数据是指:
采用多路并行采集技术同时采集云环境下所述虚拟交换机和实体交换机的端口镜像流量,所述端口镜像流量数据包括:主机内虚拟机流量信息、主机间虚拟机流量信息和虚拟机到实体主机之间的流量信息。
9.如权利要求7所述的业务互联关系审计系统,其特征在于,所述根据所述原始流量数据构建业务流信息数据协议AppFlow包括以下步骤:
对所述原始流量数据的原始流量数据报文进行业务应用协议识别并进行五元组标记,所述五元组包括:客户端IP、服务端IP、客户端端口、服务端端口和应用协议;
对五元组标记后的所述原始流量数据报文进行分组,对分组后的各组所述原始流量数据报文间隔性地实施汇总统计计算,构建业务流信息数据协议AppFlow;其中,每两次所述汇总统计计算之间的时间间隔相等。
10.如权利要求9所述业务互联关系审计系统,其特征在于,
所述时间间隔为20秒;
所述业务流信息数据协议AppFlow的格式为:
所述AppFlow采用主动式数据推送机制和用户数据包协议UDP协议;
所述AppFlow封装格式为1个标头Header和多个记录Record;
其中,所述Header的格式为:
版本号Version:所处位置为Header,字段长度为2Bytes,OffSet=0;
报文中Record个数Count:所处位置为Header,字段长度为2Bytes,OffSet=2;
报文生成时间SystemTime:所处位置为Header,字段长度为4Bytes,OffSet=4;
其中,所述Record的格式为:
源IP SrcIp:所处位置为Record,字段长度为4Bytes,OffSet=0;
目的IP DstIp:所处位置为Record,字段长度为4Bytes,OffSet=4;
源端口SrcPort:所处位置为Record,字段长度为2Bytes,OffSet=8;
目的端口DstPort:所处位置为Record,字段长度为2Bytes,OffSet=10;
四层协议Protocol_L4:所处位置为Record,字段长度为1Bytes,OffSet=12;
应用层协议Protocol_App:所处位置为Record,字段长度为1Bytes,OffSet=13;
流入索引If_in:所处位置为Record,字段长度为2Bytes,OffSet=16;
流出索引Protocol_App:所处位置为Record,字段长度为2Bytes,OffSet=16;
包数Count_Packet:所处位置为Record,字段长度为4Bytes,OffSet=18;
字节数Count_Byte:所处位置为Record,字段长度为4Bytes,OffSet=22;
开始时间Start_Time:所处位置为Record,字段长度为4Bytes,OffSet=26;
结束时间End_Time:所处位置为Record,字段长度为4Bytes,OffSet=30。
11.如权利要求7所述业务互联关系审计系统,其特征在于,
所述系统还包括更新模块:用于实时监测所述业务互联通讯对,发现新的所述业务互联通讯对时,实时更新所述业务互联通讯对list;
所述第一阈值为10万个;
所述采用压缩算法对所述list进行压缩处理是指:将所述客户端IP同属于第一网段以及所述服务端IP同属于第二网段的多个所述业务互联通讯对合并为一个,合并后的所述业务互联通讯对表示所述第一网段到所述第二网段的业务互联通讯对。
12.如权利要求7所述业务互联关系审计系统,其特征在于,所述根据压缩处理后的所述业务互联通讯对list构建特征值基线,并基于所述特征值基线判断增加的一个或多个新的所述业务互联通讯对是否为异常互联;如果所述新的业务互联通讯对为异常互联,则进行异常互联报警;如果所述新的业务互联通讯对为正常互联,则更新所述特征值基线是指:
依据包括通讯次数、字节流量、应用协议主成分的聚类特征三元组,采用平衡迭代削减聚类法将压缩后的所述业务互联通讯对list分为多个群组group;将所述多个group中的各个group内的所述业务互联通讯对的平均通讯频次和平均通讯字节流速作为该group的特征值基线,当该group内增加一个或多个新的所述业务互联通讯对时,将新的所述业务互联通讯对的通讯频次和通讯字节流速与该group的所述特征值基线相比较,当新的所述业务互联通讯对的通讯频次和通讯字节流速与所述特征值基线的偏离度大于预定的第二阈值时,将所述一个或多个新的业务互联通讯对确定为异常互联,并进行异常互联告警;当新的所述业务互联通讯对的通讯频次和通讯字节流速与所述特征值基线的偏离度小于或等于所述第二阈值时,将所述一个或多个新的业务互联通讯对确定为正常互联,并依据所述一个或多个新的业务互联通讯对的通讯频次和通讯字节流速对该group的所述特征值基线进行更新。
CN201510098835.XA 2015-03-05 2015-03-05 一种业务互联关系审计方法和系统 Active CN105991623B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510098835.XA CN105991623B (zh) 2015-03-05 2015-03-05 一种业务互联关系审计方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510098835.XA CN105991623B (zh) 2015-03-05 2015-03-05 一种业务互联关系审计方法和系统

Publications (2)

Publication Number Publication Date
CN105991623A CN105991623A (zh) 2016-10-05
CN105991623B true CN105991623B (zh) 2019-04-26

Family

ID=57039389

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510098835.XA Active CN105991623B (zh) 2015-03-05 2015-03-05 一种业务互联关系审计方法和系统

Country Status (1)

Country Link
CN (1) CN105991623B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109995555B (zh) * 2017-12-29 2022-06-03 中国移动通信集团山西有限公司 监控方法、装置、设备及介质
CN110896547B (zh) * 2018-09-13 2023-07-21 中国移动通信集团山东有限公司 一种nb-iot网络问题的定位方法及装置
CN109981495B (zh) * 2019-03-11 2021-03-16 盛科网络(苏州)有限公司 一种非现场即时性的芯片诊断方法及装置
CN113656837A (zh) * 2021-08-25 2021-11-16 杭州安恒信息安全技术有限公司 一种基于云环境的安全访问控制方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1656731A (zh) * 2002-02-08 2005-08-17 杜松网络公司 基于多方法网关的网络安全系统和方法
CN101438255A (zh) * 2004-12-07 2009-05-20 思科技术公司 基于应用层消息检查的网络和应用攻击保护
CN102577302A (zh) * 2009-03-20 2012-07-11 思杰系统有限公司 用于在具有流量管理的连接中使用端点审计的系统和方法
EP2482520A1 (en) * 2011-01-27 2012-08-01 Verint Systems Limited System and method for efficient classification and processing of network traffic

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1656731A (zh) * 2002-02-08 2005-08-17 杜松网络公司 基于多方法网关的网络安全系统和方法
CN101438255A (zh) * 2004-12-07 2009-05-20 思科技术公司 基于应用层消息检查的网络和应用攻击保护
CN102577302A (zh) * 2009-03-20 2012-07-11 思杰系统有限公司 用于在具有流量管理的连接中使用端点审计的系统和方法
EP2482520A1 (en) * 2011-01-27 2012-08-01 Verint Systems Limited System and method for efficient classification and processing of network traffic

Also Published As

Publication number Publication date
CN105991623A (zh) 2016-10-05

Similar Documents

Publication Publication Date Title
Zhou et al. A survey on network data collection
CN108900541B (zh) 一种针对云数据中心sdn安全态势感知系统及方法
US10154053B2 (en) Method and apparatus for grouping features into bins with selected bin boundaries for use in anomaly detection
CN105429977B (zh) 基于信息熵度量的深度包检测设备异常流量监控方法
US20160359695A1 (en) Network behavior data collection and analytics for anomaly detection
CN105991623B (zh) 一种业务互联关系审计方法和系统
CN212259006U (zh) 一种网络安全管理设备
CN106559407A (zh) 一种基于sdn的网络流量异常监测系统
CN109274673A (zh) 一种网络流量异常检测和防御方法
CN105515998B (zh) 一种sptn域三层域和二层域互通的方法与系统
Vilalta et al. Improving security in Internet of Things with software defined networking
CN108833430B (zh) 一种软件定义网络的拓扑保护方法
CN106301921A (zh) 基于隧道的大象流量传输调度方法及系统
Qiu et al. Global Flow Table: A convincing mechanism for security operations in SDN
Singh et al. A reference dataset for network traffic activity based intrusion detection system
Mahmood et al. Network traffic analysis and SCADA security
CN113037542B (zh) 一种基于软件定义网络的云网络拓扑构建方法
CN108667804A (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统
CN109150920A (zh) 一种基于软件定义网络的攻击检测溯源方法
Pekár et al. Issues in the passive approach of network traffic monitoring
CN107241359A (zh) 一种面向软件定义网络的轻量级网络流量异常检测方法
Zhao et al. Sdn-enabled rule verification on data plane
CN114553670A (zh) 一种信息化网络安全应急联动系统及方法
CN111800311B (zh) 分散计算状态实时感知方法
CN116458120A (zh) 保护网络资源免受已知威胁

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant