CN107819633A - 一种快速发现并处理网络故障的系统及其处理方法 - Google Patents
一种快速发现并处理网络故障的系统及其处理方法 Download PDFInfo
- Publication number
- CN107819633A CN107819633A CN201711241849.8A CN201711241849A CN107819633A CN 107819633 A CN107819633 A CN 107819633A CN 201711241849 A CN201711241849 A CN 201711241849A CN 107819633 A CN107819633 A CN 107819633A
- Authority
- CN
- China
- Prior art keywords
- network
- unit
- trigger condition
- server
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Abstract
本发明涉及网络安全技术领域,具体涉及一种快速发现并处理网络故障的系统及其处理方法,该处理方法是利用服务器不间断地对目标网络设备的运行状态及流量数据进行监测及分析,并将获取的目标网络设备的流量数据捕获后建立流量数据库,然后对流量数据库进行实时分析与判断,一旦发现网络异常,则采取相应的处理规则对故障源进行屏蔽,从而实现网络故障的快速修复。本发明能够快速处理因网络非法行为引起的网络故障,解决了运维效率低的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种快速发现并处理网络故障的系统及其处理方法。
背景技术
目前网络运维主要通过路由器、交换机、网管产品和人工结合的模式进行信息网络的日常维护,无法快速处理因网络非法行为引起的软故障,运维效率较低,不能满足网络用户对网络稳定性的要求。
本发明通过对各类网络故障案例的详细分析与统计,提出一种可以对各种常见网络故障快速定位处理的方法,做到及时发现,及时处理从而达到现有网络运维自动化需求,改变现在传统意义上以人工加网络流量监测工具,分析排除网络故障的劣势。
发明内容
本发明提供了一种快速发现并处理网络故障的系统及其处理方法,能够快速处理因网络非法行为引起的网络故障,解决了运维效率低的技术问题。
一种快速发现并处理网络故障的系统,该系统包括目标网络设备及服务器,其特征在于:
所述服务器包括:
触发条件单元,用于设定目标网络设备的IP流量及其阈值、端口流量及其阈值、CPU负载及其利用率、内存负载及其利用率中的一种或者多种作为触发条件,还用于接收流量分析单元的异常数据,判断是否触发了触发条件,若是则将判断结果发送给故障分析单元,若否,则继续进行流量或者负载监测。
所述目标网络设备包括:
流量监测单元,用于根据所述触发条件单元设定的触发条件,对所述IP流量、端口流量中的一种或者多种进行实时监测,并建立流量数据库,并将监测数据发送给上传单元。
负载监测单元,用于根据所述触发条件单元设定的触发条件,对CPU负载利用率、内存负载利用率中的一种或者多种进行实时监测,并将监测数据发送给所述上传单元。
上传单元,用于将所述监测数据实时上传到服务器。
所述服务器还包括:
流量分析单元,用于判断所述监测数据是否出现异常,并将异常数据发送给所述触发条件单元。
故障源分析单元,用于根据所触发的触发条件分析判断被攻击的对象和被攻击的类型确定故障源,选择执行相应的处理规则。
所述目标网络设备还包括:
处理单元,用于根据所述故障源分析单元选择的处理规则,对相应的故障源进行隔离和修复。
进一步,所述故障源分析单元包括:
报警单元,用于根据所述故障源被攻击的类型,向用户进行攻击报警;
判断单元,用于根据所述故障源被攻击的类型,判断应当采取的相应的处理规则。
进一步,所述目标网络设备还包括:
辅助单元,通过目标网络设备的端口镜像或Trunk端口对网络的流量进行实时监测,并将监测数据上传至服务器。
一种快速发现并处理网络故障的方法,其特征在于,包括以下步骤:
S301:在服务器设定目标网络设备的IP流量及其阈值、端口流量及其阈值、CPU负载及其利用率、内存负载及其利用率中的一种或者多种作为触发条件;
S302:目标网络设备根据所述步骤S301中设定的触发条件,对所述IP流量、端口流量、CPU负载利用率、内存负载利用率中的一种或者多种进行实时监测,建立流量数据库,并将监测数据上传至服务器;
S303:服务器判断所述步骤S302中的监测数据是否触发了所述触发条件,若是,则进行步骤S304,若否,则返回步骤S302。
S304:根据所述步骤S303中所触发的相应条件分析被攻击的对象和被攻击的类型,确定故障源,选择执行相应的处理规则。
S305:目标网络设备根据所述步骤S304中的处理规则对网络进行隔离和修复。
进一步,所述步骤S301还包括在服务器设定单个IP流量、单个目标设备端口的流量、单个IP的连接数中的一种或者多种作为次触发条件,所述次触发条件为当所述触发条件被触发时,次被触发的次触发条件。
进一步,所述目标网络设备还可以通过端口镜像或Trunk端口对网络的流量进行实时监测,并将监测数据上传至服务器。
进一步,所述触发条件包括以下条件中的一种或者多种:IP及其相应的MAC与IP_MAC审批表不匹配或未核准、MAC地址与MAC审批表不匹配或未核准、IP地址与IP审批表不匹配或未核准、多个IP地址对应同一MAC地址、多个MAC地址对应同一IP地址、一个网段内出现多个DHCP服务器、一个网段内不存在DHCP服务、测试单台DHCP服务器失败或者测试单台DNS服务器失败。
进一步,所述处理规则包括以下规则中的一种或者多种:交换机屏蔽IP对应物理端口、交换机屏蔽IP对应MAC地址、ARP阻断IP、旁路式限制带宽、生成报警记录。
本发明所产生的有益效果如下:
本发明采用流量采集的方式快速、精准、全面地对网络流量进行采集、捕捉与分析,具有以下有益效果:
1、本发明采用纯旁路的部署方式接入到所管理的网络环境中,最大限度地减少对网络平台的影响,保障网络带宽的合理利用。
2、本发明结合目标设备自身产生的各种流量数据信息,采用多种处理规则与目标设备进行配合,可准确、快速、自动地定位及排除故障,具有极强的实用性和可操作性,大大减轻了网络管理人员的工作强度。
3、本发明提供了更多的定位及排除故障的手段,并针对相应的故障提供多种故障处理规则,智能高效解决局域网内98%以上软故障造成的网络拥堵和中断。
4、本发明在网络系统完全瘫痪时及时定位与排除故障,能够在最短的时间内找出导致网络中断或网络缓慢的故障源,并及时将其屏蔽,从而保障骨干网络的正常运行或关键业务的不间运行。
5、本发明能够利用流量数据库提供目标设备在过去的任意时间段内的流量信息状况,为追踪网络平台的历史攻击行为提供极大的方便。
附图说明
图1为本发明的结构示意图;
图2为本发明实施例的一个网络结构示意图;
图3为本发明的防御修复方法的流程图。
具体实施方式
下面结合附图和具体的实施例来进一步详细的说明本发明,但本发明的保护范围并不限于此。
一种快速发现并处理网络故障的系统及其处理方法,利用服务器不间断地对目标网络设备的运行状态及流量数据进行监测及分析,并将获取的目标网络设备的流量数据捕获后建立流量数据库,然后对流量数据库进行实时分析与判断,一旦发现网络异常,则采取相应的处理规则对故障源进行屏蔽,从而实现网络故障的快速修复。如果目标网络设备不提供协议支持,则采用端口镜像或Trunk端口进行实时抓取流量包并模拟生成NetFlow、xflow或xstream的方式来进行流量分析与故障恢复。
下面针对一个基本的网络架构进行说明,如图2所示,网络系统包括用户终端206,与用户终端206相连的路由器205,以及与路由器205相连接的交换机202,所述交换机202通过防火墙203与网络204相连接;在不破坏该网络系统结构的状况下,在交换机202的端口上设置服务器201,最大限度地减少对网络平台的影响。
如图1所示,一种快速发现并处理网络故障的系统,该系统包括目标网络设备及服务器,其中:
所述服务器包括:
触发条件单元104,用于设定目标网络设备的IP流量及其阈值、端口流量及其阈值、CPU负载及其利用率、内存负载及其利用率中的一种或者多种作为主触发条件;还可以用于设定单个IP流量、单个目标设备端口的流量、单个IP的连接数中的一种或者多种作为次触发条件;次触发条件为当所述主触发条件被触发时,次被触发的次触发条件。可以单独设定主触发条件,或者同时设定主触发条件和次触发条件。
所述目标网络设备包括:
流量监测单元101,用于根据所述触发条件单元104设定的触发条件,对所述IP流量、端口流量中的一种或者多种进行实时监测,建立流量数据库,并将监测数据发送给所述上传单元。
负载监测单元102,用于根据所述触发条件单元104设定的触发条件,对CPU负载利用率、内存负载利用率中的一种或者多种进行实时监测,并将监测数据发送给所述上传单元103。
上传单元103,用于将所述监测数据实时上传到服务器。
所述服务器还包括:
流量分析单元105,用于判断所述监测数据是否触发了设定的所述触发条件,并根据所触发的相应条件分析被攻击的对象和被攻击的类型,确定故障源。
故障源分析单元106,用于根据所述故障源被攻击的类型选择执行相应的处理规则。故障源分析单元106包括报警单元,用于根据所述故障源被攻击的类型,向用户进行攻击报警;判断单元,用于根据所述故障源被攻击的类型,判断应当采取的相应的处理规则。
所述目标网络设备还包括:
处理单元107,用于根据选择的所述处理规则对相应的故障源进行隔离和修复。
辅助单元,通过目标网络设备的端口镜像或Trunk端口对网络的流量进行实时监测,并将监测数据上传至服务器。
如图3所示,一种快速发现并处理网络故障的方法,包括以下步骤:
S301:在服务器设定目标网络设备的IP流量及其阈值、端口流量及其阈值、CPU负载及其利用率、内存负载及其利用率中的一种或者多种作为触发条件。根据网络的实际情况,单独设定触发条件,或者同时设定触发条件和次触发条件。次触发条件可以设定为单个IP流量、单个目标设备端口的流量、单个IP的连接数中的一种或者多种,所述次触发条件为当所述触发条件被触发时,次被触发的次触发条件。
上述触发条件为触发处理规则的必要条件,例如路由器的CPU实时负载到达设定的百分比后满足触发条件,则触发指定的处理规则。
上述次触发条件为当触发条件被激活时,次触发的条件,与触发条件并行,能够有针对性的作出更为严谨和有效的处理规则,能够实现更精确的定位故障源。例如触发条件设定为路由器CPU利用率,次触发条件设定为单IP流量或端口流量,可避免系统根据单一触发条件,发生误判。
触发条件包括以下条件中的一个或者多个:IP及其相应的MAC与IP_MAC审批表不匹配或未核准、MAC地址与MAC审批表不匹配或未核准、IP地址与IP审批表不匹配或未核准、多个IP地址对应同一MAC地址、多个MAC地址对应同一IP地址、一个网段内出现多个DHCP服务器、一个网段内不存在DHCP服务、测试单台DHCP服务器失败或者测试单台DNS服务器失败。
上述IP_MAC审批表:通过审核的IP与MAC地址都记录在IP_MAC审批表中,只有当网络设备的IP&MAC绑定地址与IP_MAC审批表中的IP&MAC完全匹配,系统才允许该网络设备接入网络,否则根据处理规则进行相应的报警或屏蔽处理。
上述MAC审批表:通过审核的所有MAC地址都是记录在MAC审批表中,只有接入网络的MAC地址与MAC审批表中的MAC完全匹配,系统才允许该网络设备接入网络,否则根据处理规则进行相应的报警或屏蔽处理。
上述IP审批表:通过审核的所有IP地址都是记录在IP审批表中,只有网络设备的IP地址与IP审批表中的IP完全匹配,系统才允许该网络设备接入网络,否则根据策略进行相应的报警或屏蔽处理。
服务器对接入终端进行检查,防止非法终端接入网络。能实现在链路层及网络层对设备进行准入管理控制。
S302:目标网络设备根据设定的所述触发条件,对所述IP流量、端口流量、CPU负载利用率、内存负载利用率中的一种或者多种进行实时监测,并建立流量数据库,并将监测数据上传至服务器;
根据触发条件进行监测的类型,包括以下三种:
1)自定义监测:通过所采集目标设备的监测数据来分析判断网络状况。
2)自定义其他设备监测:在网络中,所有的网络设备都是相关联的,其中一台设备出现故障,另一台设备就有可能出现异常,例如,某PC机中病毒成为傀儡机向外发出大量攻击数据包,此时网关路由器的CPU利用率会异常,同时该PC机接入的交换机对应端口的流入数据包也会出现异常,从而影响整个网络的性能。
3)网络设备IP流量、端口流量以及IP连接数的监测:主要用于用户数较多,特别是要监控交换机下是否接入二层交换机或采用DHCP分配IP地址与交换机端口没有固定对应关系时,设定交换机端口发送/接收的流量(bps)、数据包数(pps)、广播包数(pps)作为主触发条件,可提前发现网络异常。通常表现在交换机某个端口发送/接收的流量(bps)、数据包数(pps)、广播包数(pps)三个指标中其中一个或多个不正常。将交换机的单个端口流量(或数据包数或广播包数)设为主触发条件,可有效地提前发现此类网络故障。
通常路由器的一个接口连接到一个子网,某个子网发生异常时,通常表现在路由器的某个端口发送/接收的流量(bps)、数据包数(pps)、广播包数(pps)三个指标中的其中一个指标不正常。将路由器的单个端口流量设为主触发条件,可有效地提前发现网络故障。
根据次触发条件进行监测的类型,包括以下三种:
1)IP进出流量:单个IP地址发送/接收的流量(bps)、数据包数(pps)、广播包数(pps)和连接数(cps)发生异常时,通常发生网络大规模网络故障的前兆。如某台计算机感染病毒或被黑客攻击成为其发起DDOS攻击的“肉鸡”,其网络表现为流量(bps)、数据包数(pps)和连接数(cps)三个指标中其中一个不正常。
2)交换机的单个端口流量:主要用于用户数较多,特别是要监控交换机下是否连接二层交换机时或采用DHCP分配,IP地址与交换机端口没有固定对应关系时,通过设定交换机端口发送/接收的流量(bps)、数据包数(pps)、广播包数(pps)作为次触发条件,可提前发现网络异常。通常表现在交换机的某个端口的流量(bps)、数据包数(pps)、广播包数(pps)三个指标中其中一个指标不正常。
3)路由器的单个端口流量:主要用于监控某个子网段是否正常,通常路由器的一个端口连接到一个子网,某个子网发生异常时,通常表现在路由器的某个端口的流量(bps)、数据包数(pps)、广播包数(pps)三个指标中其中一个不正常。
CPU实时负载主要为路由器和交换机的CPU负载情况,根据需要监测的设备的IP地址实时监测CPU负载。
目标设备内存实时负载,根据需要监测的设备的IP地址实时监测内存负载。
目标网络设备还可以通过端口镜像或Trunk端口对网络的流量进行实时监测,并将监测数据上传至服务器。当路由器受到攻击时,造成CPU利用率过高,无法发出netflow数据或响应SNMP信息时,系统将受到限制,此时目标网络设备可以通过端口镜像或Trunk端口接收来自交换机或路由器的镜像流量,为用户提供有效的网络故障定位和处理规则。
交换机端口流量或者路由器端口流量监测的数据类型可以为以下任意一种:发送包数量、接收包数量、发送包和接收包数量、发送流量数量、接收流量数量、发送流量和接收流量数量、发送会话数量、接收会话数量、发送会话和接收会话数量。
总出口进/出流量:总出口设置为所管理网络出口的核心交换机或者路由器上联端口。服务器可采集网络进出流量数值并进行存储,方便网络流量查询和网络故障排除。
流量追溯:在对历史流量进行分析时,可通过流量数据库对过去某个时段内的流量进行深入分析。例如:利用xFlow IP流量分析在过去某一时间段内的相关IP地址的通信状况;或者利用交换机/路由器端口流量分析在过去某一时间段各IP地址的流量分布状况,可使管理员从多方面透视当前网络。例如:发现在2013-5-9 14:14:19这个时间,外网流入端口fa0/31端口的流量最大,此时可以通过流量数据库查询该交换机端口在过去某一时间段内各IP的通信情况,或者查询该交换机端口在过去某一时间段内各IP的流量分布状况。路由器端口流量主要便于对某个指定IP地址在过去某一时间段内的流量进行分析;交换机端口流量主要便于对某个指定交换机端口在过去某一时间段内的流量进行分析。
S303:服务器根据所述监测数据判断是否触发了设定的所述触发条件。若是,则进行步骤S304,若否,则返回步骤S302。
S304:根据所述步骤S303中所触发的相应条件分析被攻击的对象和被攻击的类型,确定故障源,根据所述故障源被攻击的类型选择执行相应的处理规则。
如果在短时间内路由器和交换机在CPU实时负载和内存实时负载这两项指标激增,代表网络出现异常流量,或者观察交换机和路由器各端口的实时流量判断是否触发了设定的所述触发条件。
S305:目标网络设备根据所述处理规则对网络进行隔离和修复。
交换机端口流量监测异常,如果无法通过远程方式远程访问到交换机,可以通过关闭/恢复交换机相应端口来排除和检查网络故障的发生源。例如:发现交换端口fa0/46端口的发数据包达到9.15Kpps,远超正常值。向网络发送大量数据包致使接入路由器CPU利用率过高,最终导致其他接入用户网络不稳定。服务器检测到该异常状况后,执行屏蔽交换端口fa0/46端口的操作,及时的阻断该异常行为,达到网络故障恢复和净化网络流量的目的。
路由器端口流量监测包括当前站点路由器接口(包括子接口)流量进行监测,这个流量是通过SNMP采集到的。例如:发现路由器端口fa0/0端口的流入数据包达到了7280PPS,超过了正常值;怀疑接入此端口的下行网络设备主机有攻击行为或感染病毒,向网络发送大量数据包,故障源为该端口;服务器检测到该异常状况后,执行屏蔽路由器端口fa0/0端口的操作,及时的阻断该异常行为,达到网络故障恢复和净化网络流量的目的。
处理规则包括以下规则中的一种或者多种:
1)路由器屏蔽物理端口:对相应的物理端口(或子接口)进行操作的,使故障源从现网络中隔离;
2)路由器屏蔽IP:服务器通过向故障源网关所在路由器发送ARP“欺骗”信息,使故障源从现网络中隔离,且只能将故障源隔离在子网内;
3)定位交换机屏蔽IP对应物理端口:对于多级交换网络组成的大型网络,如果所有接入的交换机都支持SNMP功能,可以通过IP和MAC准确定位其接入对应交换机的物理端口并对故障源进行隔离,从而实现仅对故障源进行隔离,将隔离区域控制在最小范围;
4)定位交换机屏蔽IP对应MAC地址:对于多级交换网络组成的大型网络,通过故障源IP准确定位其接入交换机的物理端口,同时核对当前IP对应的MAC使用命令以及交换机屏蔽故障源IP相对应的MAC地址,可防止故障源更改IP后再次影响网络。从而实现彻底故障源进行隔离,并将隔离区域控制在最小范围;
5)ARP阻断IP:采用ARP方法,在指定子网内隔离IP,达到隔离目的;
6)旁路式限制带宽:某些大流量操作影响到网络性能,可以选择直接屏蔽该终端,也可以通过旁路式限制带宽操作将其带宽限制到一定值,可以在不屏蔽该用户的情况下使网络恢复正常,以防止其非法占用带宽影响到网络的性能。其中服务器属于所在子网;
7)生成报警记录:如果所监测的信息不足以影响到网络的稳定性,可以在触发监测条件时生成报警信息;
8)短信报警:当接入设备触发处理规则,服务器向指定手机发送报警信息;
9)自定义路由器/交换机动作脚本。
本发明的应用效果测试:
搭建不同规模的模拟网络平台测试:采用多种测试手段进行测试,实现网络故障源的报警及自动隔离功能。在确保本发明对网络平台零干扰的前提下,选择一家网管水平较为薄弱的网络进行测试:采用“纯旁路结构、分布式布署、集中化管理”的模式,对该单位的网络平台的所有网络设备、服务器系统进行监测,设定相应的报警或故障处理阀值,并执行相应的故障处理操作,整个故障处理时间小于2分钟。
要说明的是,上述实施例是对本发明技术方案的说明而非限制,所属技术领域普通技术人员的等同替换或者根据现有技术而做的其它修改,只要没超出本发明技术方案的思路和范围,均应包含在本发明所要求的权利范围之内。
Claims (8)
1.一种快速发现并处理网络故障的系统,该系统包括目标网络设备及服务器,其特征在于:
所述服务器包括:
触发条件单元,用于设定目标网络设备的IP流量及其阈值、端口流量及其阈值、CPU负载及其利用率、内存负载及其利用率中的一种或者多种作为触发条件,还用于接收流量分析单元的异常数据,判断是否触发了触发条件,若是则将判断结果发送给故障分析单元,若否,则继续进行流量或者负载监测;
所述目标网络设备包括:
流量监测单元,用于根据所述触发条件单元设定的触发条件,对所述IP流量、端口流量中的一种或者多种进行实时监测,并建立流量数据库,并将监测数据发送给上传单元;
负载监测单元,用于根据所述触发条件单元设定的触发条件,对CPU负载利用率、内存负载利用率中的一种或者多种进行实时监测,并将监测数据发送给所述上传单元;
上传单元,用于将所述监测数据实时上传到服务器;
所述服务器还包括:
流量分析单元,用于判断所述监测数据是否出现异常,并将异常数据发送给所述触发条件单元;
故障源分析单元,用于根据所触发的触发条件分析判断被攻击的对象和被攻击的类型确定故障源,选择执行相应的处理规则;
所述目标网络设备还包括:
处理单元,用于根据所述故障源分析单元选择的处理规则,对相应的故障源进行隔离和修复。
2.根据权利要求1所述的一种快速发现并处理网络故障的系统,其特征在于,所述故障源分析单元包括:
报警单元,用于根据所述故障源被攻击的类型,向用户进行攻击报警;
判断单元,用于根据所述故障源被攻击的类型,判断应当采取的相应的处理规则。
3.根据权利要求1所述的一种快速发现并处理网络故障的系统,其特征在于,所述目标网络设备还包括:
辅助单元,通过目标网络设备的端口镜像或Trunk端口对网络的流量进行实时监测,并将监测数据上传至服务器。
4.根据权利要求1所述的一种快速发现并处理网络故障的系统的处理方法,其特征在于,包括以下步骤:
S301:在服务器设定目标网络设备的IP流量及其阈值、端口流量及其阈值、CPU负载及其利用率、内存负载及其利用率中的一种或者多种作为触发条件;
S302:目标网络设备根据所述步骤S301中设定的触发条件,对所述IP流量、端口流量、CPU负载利用率、内存负载利用率中的一种或者多种进行实时监测,建立流量数据库,并将监测数据上传至服务器;
S303:服务器判断所述步骤S302中的监测数据是否触发了所述触发条件,若是,则进行步骤S304,若否,则返回步骤S302;
S304:根据所述步骤S303中所触发的相应条件分析被攻击的对象和被攻击的类型,确定故障源,选择执行相应的处理规则;
S305:目标网络设备根据所述步骤S304中的处理规则对网络进行隔离和修复。
5.根据权利要求4所述的一种快速发现并处理网络故障的系统的处理方法,其特征在于,所述步骤S301还包括在服务器设定单个IP流量、单个目标设备端口的流量、单个IP的连接数中的一种或者多种作为次触发条件,所述次触发条件为当所述触发条件被触发时,次被触发的次触发条件。
6.根据权利要求4所述的一种快速发现并处理网络故障的系统的处理方法,所述目标网络设备还可以通过端口镜像或Trunk端口对网络的流量进行实时监测,并将监测数据上传至服务器。
7.根据权利要求4所述的一种快速发现并处理网络故障的系统的处理方法,所述触发条件包括以下条件中的一种或者多种:IP及其相应的MAC与IP_MAC审批表不匹配或未核准、MAC地址与MAC审批表不匹配或未核准、IP地址与IP审批表不匹配或未核准、多个IP地址对应同一MAC地址、多个MAC地址对应同一IP地址、一个网段内出现多个DHCP服务器、一个网段内不存在DHCP服务、测试单台DHCP服务器失败或者测试单台DNS服务器失败。
8.根据权利要求4所述的一种快速发现并处理网络故障的系统的处理方法,所述处理规则包括以下规则中的一种或者多种:交换机屏蔽IP对应物理端口、交换机屏蔽IP对应MAC地址、ARP阻断IP、旁路式限制带宽、生成报警记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711241849.8A CN107819633B (zh) | 2017-11-30 | 2017-11-30 | 一种快速发现并处理网络故障的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711241849.8A CN107819633B (zh) | 2017-11-30 | 2017-11-30 | 一种快速发现并处理网络故障的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107819633A true CN107819633A (zh) | 2018-03-20 |
| CN107819633B CN107819633B (zh) | 2021-05-28 |
Family
ID=61605169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711241849.8A Active CN107819633B (zh) | 2017-11-30 | 2017-11-30 | 一种快速发现并处理网络故障的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819633B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639587A (zh) * | 2018-12-11 | 2019-04-16 | 国网河南省电力公司开封供电公司 | 一种基于电气自动化的流量监测系统 |
| CN110213114A (zh) * | 2019-06-21 | 2019-09-06 | 深圳前海微众银行股份有限公司 | 去中心化的网络服务方法、装置、设备及可读存储介质 |
| CN110311825A (zh) * | 2019-08-08 | 2019-10-08 | 河南中烟工业有限责任公司 | 一种通过预警回溯快速处置通讯网络故障的方法 |
| CN110719601A (zh) * | 2019-09-18 | 2020-01-21 | 四川豪威尔信息科技有限公司 | 一种基于物联网的5g基站在线管理系统 |
| CN111817896A (zh) * | 2020-07-16 | 2020-10-23 | 中国民航信息网络股份有限公司 | 一种接口监控方法及装置 |
| CN113315652A (zh) * | 2021-04-29 | 2021-08-27 | 山东英信计算机技术有限公司 | 一种优化交换机访问控制的方法、系统、设备及介质 |
| CN113630285A (zh) * | 2020-11-11 | 2021-11-09 | 中国移动通信有限公司研究院 | 宽带网络质量诊断方法、装置及系统 |
| CN114979106A (zh) * | 2022-04-19 | 2022-08-30 | 惠州高盛达科技有限公司 | 一种基于维护矩阵的路由器检测方法 |
| CN115277365A (zh) * | 2022-07-27 | 2022-11-01 | 时趣互动(北京)科技有限公司 | 一种基于web的网络设备日志流量分析方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101257416A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 基于网络与基于主机相结合的联网式异常流量防御方法 |
| CN101567812A (zh) * | 2009-03-13 | 2009-10-28 | 华为技术有限公司 | 对网络攻击进行检测的方法和装置 |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| CN104426697A (zh) * | 2013-08-29 | 2015-03-18 | 上海斐讯数据通信技术有限公司 | 网络故障管理系统 |
| CN105282169A (zh) * | 2015-11-04 | 2016-01-27 | 中国电子科技集团公司第四十一研究所 | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 |
-
2017
- 2017-11-30 CN CN201711241849.8A patent/CN107819633B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101257416A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 基于网络与基于主机相结合的联网式异常流量防御方法 |
| CN101567812A (zh) * | 2009-03-13 | 2009-10-28 | 华为技术有限公司 | 对网络攻击进行检测的方法和装置 |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| CN104426697A (zh) * | 2013-08-29 | 2015-03-18 | 上海斐讯数据通信技术有限公司 | 网络故障管理系统 |
| CN105282169A (zh) * | 2015-11-04 | 2016-01-27 | 中国电子科技集团公司第四十一研究所 | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 |
Non-Patent Citations (2)
| Title |
|---|
| 胡楠等: "基于网络APT攻击防护的网络安全预警技术", 《电气应用》 * |
| 连红: "IPv6环境下SYN-Flood攻击防范的研究", 《微电子学与计算机》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639587A (zh) * | 2018-12-11 | 2019-04-16 | 国网河南省电力公司开封供电公司 | 一种基于电气自动化的流量监测系统 |
| CN110213114A (zh) * | 2019-06-21 | 2019-09-06 | 深圳前海微众银行股份有限公司 | 去中心化的网络服务方法、装置、设备及可读存储介质 |
| CN110213114B (zh) * | 2019-06-21 | 2024-04-09 | 深圳前海微众银行股份有限公司 | 去中心化的网络服务方法、装置、设备及可读存储介质 |
| CN110311825A (zh) * | 2019-08-08 | 2019-10-08 | 河南中烟工业有限责任公司 | 一种通过预警回溯快速处置通讯网络故障的方法 |
| CN110719601A (zh) * | 2019-09-18 | 2020-01-21 | 四川豪威尔信息科技有限公司 | 一种基于物联网的5g基站在线管理系统 |
| CN110719601B (zh) * | 2019-09-18 | 2023-11-21 | 北京东方博泰正通通信工程有限责任公司 | 一种基于物联网的5g基站在线管理系统 |
| CN111817896A (zh) * | 2020-07-16 | 2020-10-23 | 中国民航信息网络股份有限公司 | 一种接口监控方法及装置 |
| CN113630285A (zh) * | 2020-11-11 | 2021-11-09 | 中国移动通信有限公司研究院 | 宽带网络质量诊断方法、装置及系统 |
| CN113315652A (zh) * | 2021-04-29 | 2021-08-27 | 山东英信计算机技术有限公司 | 一种优化交换机访问控制的方法、系统、设备及介质 |
| CN113315652B (zh) * | 2021-04-29 | 2022-07-19 | 山东英信计算机技术有限公司 | 一种优化交换机访问控制的方法、系统、设备及介质 |
| CN114979106A (zh) * | 2022-04-19 | 2022-08-30 | 惠州高盛达科技有限公司 | 一种基于维护矩阵的路由器检测方法 |
| CN115277365A (zh) * | 2022-07-27 | 2022-11-01 | 时趣互动(北京)科技有限公司 | 一种基于web的网络设备日志流量分析方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107819633B (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819633A (zh) | 一种快速发现并处理网络故障的系统及其处理方法 | |
| CN106330602B (zh) | 一种云计算虚拟租户网络监控方法及系统 | |
| Lakkaraju et al. | NVisionIP: netflow visualizations of system state for security situational awareness | |
| CN102045214B (zh) | 僵尸网络检测方法、装置和系统 | |
| CN102801738B (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
| CN104219218B (zh) | 一种主动安全防御的方法及装置 | |
| KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
| CN108063753A (zh) | 一种信息安全监测方法及系统 | |
| CN107222462A (zh) | 一种局域网内部攻击源的自动定位、隔离方法 | |
| KR20110070189A (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| KR101553264B1 (ko) | 네트워크 침입방지 시스템 및 방법 | |
| CN109462621A (zh) | 网络安全保护方法、装置及电子设备 | |
| CN105991638A (zh) | 一种网络攻击路径分析与生成方法及系统 | |
| CN106453434A (zh) | 一种网络流量的监测方法及监测系统 | |
| CN111600863A (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| CN104539483A (zh) | 网络测试系统 | |
| CN108769076A (zh) | 具有网络隔离功能的数据采集系统、方法及装置 | |
| Ádám et al. | Artificial neural network based IDS | |
| Matoušek et al. | Increasing visibility of iec 104 communication in the smart grid | |
| CN107360115A (zh) | 一种sdn网络防护方法及装置 | |
| CN106302412A (zh) | 一种针对信息系统抗压性测试的智能检测系统和检测方法 | |
| CN107426014A (zh) | 一种eoc设备的管理系统 | |
| D’Antonio et al. | High-speed intrusion detection in support of critical infrastructure protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |