CN110100415B - 用于将网络流量准备好进行快速分析的系统 - Google Patents
用于将网络流量准备好进行快速分析的系统 Download PDFInfo
- Publication number
- CN110100415B CN110100415B CN201780080106.9A CN201780080106A CN110100415B CN 110100415 B CN110100415 B CN 110100415B CN 201780080106 A CN201780080106 A CN 201780080106A CN 110100415 B CN110100415 B CN 110100415B
- Authority
- CN
- China
- Prior art keywords
- network flow
- elements
- marked
- network
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 claims abstract description 34
- 239000002131 composite material Substances 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 14
- 238000001514 detection method Methods 0.000 claims description 13
- 239000003550 marker Substances 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 2
- 238000005259 measurement Methods 0.000 claims 2
- 238000007781 pre-processing Methods 0.000 description 22
- 238000007405 data analysis Methods 0.000 description 7
- 150000001875 compounds Chemical class 0.000 description 3
- 238000009795 derivation Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003012 network analysis Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/067—Generation of reports using time frame reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Monitoring And Testing Of Exchanges (AREA)
Abstract
一种通过将网络流分解成多个元素后进行标记而使网络流准备好进行分析的系统和方法。经标记元素可以可选地包括根据任何类型的、包括但不限于IPFIX或Netflow标准的网络流标准的任何类型的元素,或者可以可选地从这些元素中获得。
Description
技术领域
本发明是用于将网络流量准备好进行分析的系统和方法,特别是用于将网络流准备好进行分析的系统和方法。
背景技术
出于多种原因需要分析网络流量。
“Flow-based Compromise Detection”(作者:Rick Hofstede,ISBN:978-90-365-4066-7;2016,简称为“论文”)描述了一种分析网络流量的方法,该方法与基于分组的分析不同。该论文描述了基于流的网络分析以及一些用于检测与网络连接的计算设备的所受感染的一些应用程序。基于流的网络分析涉及以流导出记录的形式准备和导出流以作为与网络行为有关的信息。
为了运行该流程,分析分组,以提取适合导出的信息作为导出流。导出流以来自多个分组的数据为特征。根据导出流协议执行导出,包括但不限于IPFIX或Netflow。虽然这两种协议都是有用的,但是IPFIX的开发是为了支持从设备或网络探测器(设计用于转发分组)的流导出。然而,两种协议都不需要单个设备来捕获和分析分组以获得导出流。
以IPFIX为例,流信息以信息元素或IE的形式导出。不同的IE可能采用的格式以及所包含信息的类型与IANA所维护的标准相关。下面是可接受的流导出元素(IE或字段)的一些示例的表格。表1示出了流的可接受的IANA元素的非限制性示例。
表1,流的IANA元素:
根据IPFIX或Netflow导出协议,流可以可选地被定义为“在特定时间间隔内经过网络中的观察点的IP分组集,使得属于特定流的所有分组具有一组共同属性”。这些导出协议定义了以下共同属性:分组报头字段(例如源IP地址、目的IP地址和端口号)、基于分组内容的解释信息、以及元信息。一旦流终止,那么该流将被导出。
在典型数据库中,共同属性可以可选地被存储为行,以每个属性作为一列。可以可选地按照上述论文中所描述的那样执行分组分析。
发明内容
本发明是一种通过将网络流分解成多个元素后对其进行标记来将网络流准备好进行分析的系统和方法。经标记元素可以可选地包括根据任何类型的网络流标准(包括但不限于IPFIX或Netflow标准)的任何类型的元素的组合,或者可以可选地从这些元素中获得,例如,可选地,可以添加外部(非流)信息,或者通过对网络流标准元素执行某种类型的计算。
例如根据网络流的外部信息或通过对网络流标准元素执行某种类型的计算来从一个或多个网络流标准元素中得出的经标记元素在此被确定为简单经标记元素。经标记元素是从网络流标准元素中获得的,但它本身不是单一的网络流标准元素。
这种简单经标记元素的非限制性示例是地理位置标记元素,其从导出的网络流的IP地址和查找表中获得。查找表将IP地址与地理位置进行匹配,并且不被视为网络流标准元素。简单经标记元素的另一个非限制性示例是经过时间或持续时间,其可以可选地从流开始时间和流结束时间网络流标准元素计算出。简单经标记元素的另一非限制性示例是计算来自特定IP地址的流量的频率。这种经标记元素的又一非限制性示例是流量比,其可选地从发送到特定IP地址或特定IP地址的特定端口的数据量以及从其接收到的数据量中获得。这种经标记元素的又一非限制性示例是端口/IP地址元素,其可选地从网络流的源IP地址和目的端口的组合中获得。
可选地,经标记元素由一个或多个经处理的网络流标准元素(即,来自一个或多个简单经标记元素)确定,并且在本文中被称为复合经标记元素。复合经标记元素可以可选地包含多个简单经标记元素的组合。附加地或替代地,可以可选地通过对简单经标记元素执行某种类型的计算或者通过将网络流标准元素与简单经标记元素组合(可选地,还包括某种类型的计算或网络流的外部信息)来从简单经标记元素加网络流的外部信息中获得复合元素。
这种复合经标记元素的非限制性实例可以可选地从上述经过时间或持续时间简单经标记元素加上与地理位置有关的另一简单经标记元素的组合中获得。这种复合经标记元素的另一个非限制性示例可以可选地通过对到达特定地理位置的流量数量(无论是频率、字节或其组合)进行计数来获得。
经标记元素还可以可选地用作构建块,以构建更复杂的经标记元素,其在本文中也被称为复合元素。例如,可以可选地分析先前描述的流量比,以确定哪部分来自特定端口,或者正在被发送到目的IP地址上的特定端口。这种分析可以可选地通过将多个复合经标记元素进行组合或将复合经标记元素与简单经标记元素进行组合来完成。因此,可以以非常灵活的方式使用经标记元素,并且可以可选地将其组合以创建新的这种经标记元素。
根据本发明的至少一些实施例,一种用于分析网络流的方法包括接收网络流,分析网络流并按列编写经标记元素。可选地,按行分析网络流。这增加了该流程的功效。优选地,该方法包括在确定复合经标记元素之前,首先分析网络流以确定更简单的经标记元素。优选地调整该方法,使得在确定了特定经标记元素之后执行需要特定经标记元素的标记流程。可选地,通过针对网络流将每种类型的经标记元素(无论是简单,复合还是复杂)映射到这种经标记元素记录的列来执行该调整。简单经标记元素优选地映射到首先要写入的列,而复合经标记元素优选地仅映射到至少在包含有复合经标记元素所依赖的简单元素的那些列之后要被写入的列。本身需要至少一个复合经标记元素的复合经标记元素优选地映射到至少在包含有所需复合经标记元素的那些列之后要写入的列等。
除非另外定义,否则本文使用的所有技术和科学术语具有与本发明所属领域的普通技术人员通常理解的含义相同的含义。本文提供的材料、方法和实施例仅是说明性的而非限制性的。
本发明的方法和系统的实现涉及手动、自动或其组合地执行或完成某些所选任务或步骤。此外,根据本发明的方法和系统的优选实施例的实际仪器和设备,可以通过硬件或任何固件的任何操作系统上的软件或其组合来实现若干所选步骤。例如,作为硬件,本发明的所选步骤可以实现为芯片或电路。作为软件,本发明的所选步骤可以实现为通过计算机使用任何合适的操作系统来执行的多个软件指令。在任何情况下,本发明的方法和系统的所选步骤可以被描述为由数据处理器执行,例如用于执行多个指令的计算平台。
尽管针对“计算机网络”上的“计算机”描述了本发明,但应该注意,可选地,任何具有数据处理器和执行一个或多个指令的能力的设备均可以被描述为计算机或计算设备,包括但不限于任何类型的个人计算机(PC)、服务器、蜂窝电话、IP电话、智能电话、PDA(个人数字助理)、瘦客户端、移动通信设备,智能手表、头戴式显示器或其他能够与外部通信的可穿戴设备、虚拟的或基于云的处理器或寻呼机。任何彼此通信的两个或更多个这样的设备可以可选地包括“计算机网络”。
附图说明
在此参考附图仅通过举例的方式描述了本发明。现在具体关于附图需要强调的是,所示的细节仅是示例性的,并且仅出于对本发明的优选实施例的说明性讨论的目的,且被呈现以提供被认为是对本发明的原理和概念方面的最有用的且易于理解的描述。在这方面,并未尝试比对基本理解本发明所必需的程度更详细地展示本发明的结构细节,结合附图进行的描述使得如何在实践中体现本发明的几种形式对于本领域技术人员变得明显。
图1示出了根据本发明的至少一些实施例的用于收集和分析流的示例性且非限制性的说明性系统;
图2示出了根据本发明的至少一些实施例的用于收集和准备流的示例性且非限制性的说明性系统;
图3示出了根据本发明的至少一些实施例的用于流导出、收集和分析的示例性且非限制性的说明性流程;
图4示出了根据本发明的至少一些实施例的用于流分析的示例性且非限制性的说明性详细流程;
图5示出了根据本发明的至少一些实施例的用于流数据预处理的示例性且非限制性的说明性详细流程;
图6示出了根据本发明的至少一些实施例的用于流数据处理的示例性且非限制性的说明性详细流程;以及
图7A-7C示出了根据本发明的至少一些实施例的用于流元素标记的示例性且非限制性的说明性详细流程。
具体实施方式
根据本发明的至少一些实施例,提供了一种用于通过标记来将网络流准备好进行分析的系统和方法。不需要关于流的用于成功标记的先验知识,而且标记也不需要对流的含义或意义做出任何判断。相反,标记提供了一种稳定、可重现且高效的流程,以用于将网络流快速分解为有用的信息。
现在转到附图,图1示出了根据本发明的至少一些实施例的用于收集和分析流的示例性且非限制性的说明性系统。如图1所示,提供了系统100,其具有一个或多个网络,通过该网络收集流数据。如前所述,流数据涉及与通过一个网络或多个网络的分组的流有关的数据。如图所示,提供了远程网络1,其可以可选地连接到被称为流导出器4的装置。流导出器4可以可选地是专用装置或设备。可替选地,流导出器4可以是除了流导出之外还具有其他功能的服务器或其他计算设备。
如前所述,流导出可选地并且优选地以收集分组数据为特征,然后将分组数据组织成导出流,再将其导出。可选地根据一个或多个不同的协议进行流导出,包括但不限于IPFIX和/或NetFlow。IPFIX协议目前称为RFC 7011,NetFlow协议称为RFC 3954。所述流数据是元数据摘要,流导出器2使用这些流导出协议中的一个来准备该元数据摘要。流数据优选地被组织成使得并不需要所有分组数据,例如可选地,流数据可以仅从分组报头中获得,或者从其他分组行为可量化的分组特征或分析中获得。
然后,流导出器4以及流导出器2可以可选地准备这样的数据并将其发送到流收集器和分析应用程序7,该流收集器和分析应用程序7可选地且优选地由计算设备102操作。现在,根据计算设备102的相对位置,可以可选地在计算设备102、远程网络1和可选地例如本地网络3之间建立不同的连接。这些连接可以可选地通过任何网络进行,包括但不限于因特网5。
在此处示出的针对系统100的示例中,流导出器4通过因特网5与路由器6通信。流导出器2从本地网络3接收流并处理其中所包含的数据。流导出器2和流导出器4根本上经由路由器6通过计算设备102进行通信,尽管可以可选地使用任何类型的网络装置来连接来自这些不同网络的这些不同流,可选地包括通过因特网5进行的任何类型的通信。
然后,所示的流收集器和分析应用程序7收集流并且可以可选地执行某种类型的分析。这将在图C中更详细地进行描述。
图2示出了根据本发明的至少一些实施例的用于收集和准备流的示例性且非限制性的说明性系统,包括示例性系统200,其提供关于流的分析和准备的附加细节。在该图中,为了便于解释,已经省略了一些计算设备,但是应当注意,可选地,流导出器8、流收集器10和分析应用程序11可以分别可选地实现为网络设备或装置,和/或操作任何类型的软件的服务器,即使在这种情况下,为了便于解释,可以可选地不显示这些设备。
因此,流导出器8再次根据流导出器协议准备流并将其导出,可选地,该流导出协议也可以是NetFlow、IPFIX或任何其他合适的流导出协议。然后,流通过网络9被导出到流收集器10,可选地,该网络9可以是因特网。
流收集器10可以可选地从多个流导出器8收集流(未示出),然后将收集到的流发送到分析应用程序11。
可选地,流收集器10可以或可以不与一个或多个流导出器8位于同一主机系统上。因此,在这种情况下,例如,流收集器10可以可选地与流导出器8分别位于不同的主机系统和/或不同的网络上。流收集器10可以可选地与分析应用程序11在相同的主机系统上操作,或者甚至由相同的计算设备进行操作,或者可以可选地与分析应用程序11分别位于不同的主机系统上和/或分别由不同的计算设备进行操作。同样,关于流收集分析流程,在图C中示出了进一步的细节。
图3现在涉及图C,其示出了根据本发明的至少一些实施例的用于流导出、收集和分析的可选流程。如图所示,优选地,多个流导出器12将流通过网络13导出到流收集器14。再次如关于前图所描述的,可选地,此处示出的每个组件均可以实现为独立的网络装置或设备,或者可以可选地实现为服务器或服务器组的一部分(可选地实现为固件或软件)。尽管未示出这样的计算设备,但是它们被认为是图的固有部分,并且实际上会容易地被本领域普通技术人员添加和理解。
因此,回到图3,流由流收集器(或流收集点)14收集,并且可选地且优选地被放置在流数据存储器15中。可选地,该流数据存储器15可以是临时的或永久型的数据存储器。然后,流数据分析组件16可选地且优选地从流数据存储器15中读取流,以执行某种类型的分析。可以可选地由结果处理组件17处理该分析的结果。
可以可选地根据任何类型的存储设备来实现流数据存储器15,包括但不限于硬盘、SAN存储器、RAM盘、任何类型的存储结构、队列等。发送到结果处理组件17的流数据分析16的结果可以可选地包括但不限于针对异常行为、网络路由更新、网络模型创建或更新、低预测等发送的警报。然而,流数据分析16可以可选地对于分析的含义是不知道的,使得例如流数据分析16可以可选地不确定特定的流是否指示对计算机系统的某个部分的未授权的访问、存在(或不存在)恶意软件等。可选地,流数据分析16不会将所有结果都发送到结果处理组件17,而是选择那些信息量最大且/或表示网络、网络模型或系统的某种类型的状态变化的结果,和/或可以代表可选地根据预定规则设置的某种类型的警报的结果,其可以指示结果处理组件17需要更详细地进行检查的结果。
结果处理组件17可以可选地包括但不限于恶意软件检测应用程序、未授权访问检测应用程序或异常检测应用程序、或者任何类型的受感染检测(其中计算机系统的操作以某种方式受感染)中的一个或多个。
在图3中被称为项“D”的图4(也示为D)提供了关于流数据分析16的更多细节。图4涉及示例性的详细的数据分析流程。再次如图所示,提供了收集数据的流数据收集或收集器18。可选地,在这种情况下,这可以是表示从多个组件收集流数据的功能组件,且可选地进行预处理或不进行预处理。
在阶段19中,分析流程开始,例如,这可以可选地包括某种类型的预处理或数据的收集。在阶段20中,确定新的流数据是否可用。如果新的流数据不可用,则该处理优选地直接进入阶段26,在阶段26中分析流程结束,并且任何异常的或其他重要的结果均被发送到先前描述的结果处理阶段27。可选地且优选地仅包括被称为重要、异常的结果、表示变化的结果,或者是可以可选地根据一个或多个规则触发的结果。
然而,当在阶段20中有新的流数据可用时,则该流程继续到阶段21,同时预处理该流数据。结合图E更详细地描述了该预处理阶段。预处理阶段优选地以流数据列的形式将更多的元数据添加到流数据。预处理和标记对于本发明,至少对于一些实施例来讲是重要的,因为其涉及一种可以以某种方式预分析或预处理被检查的数据以减少所需的计算资源和/或以更容易实现的方式分发这些计算资源的方法,该方法至少更加灵活并且允许系统内的不同装置和/或计算设备或组件承担该处理方法和/或任何类型的分析的不同方面。
在预处理完成后,在阶段22中分析流数据。在分析流数据后,在阶段23中对其进行后处理。如果在阶段24中发现可公布的结果,则将在阶段25中公布该结果。无论是否有可发布的结果,且如果在发布后仍有可发布的结果,在任何一种情况下,分析处理均如前所述在阶段26中结束。
图5涉及图E,其更详细地描述了对流数据的预处理。因此,在图5中,如在阶段28中所示,对数据进行分析,以确定所接收的数据的类型,并确认数据是否适于处理。预处理流程实际在阶段29中开始。在阶段30中确定预处理模块的顺序。可选地,这可以至少部分地根据数据的一个或多个特征和/或根据先前已经实现的一个或多个规则来确定。这些规则还可以可选地由数据的一个或多个特征触发。
对于预处理,假设存在一个或多个模块,每个模块在分析流数据时都具有特定的预处理任务。由于模块可以依赖于特定标记的存在,因此重要的是调度模块执行的顺序,以最大化可以完成的标记的数量。这种调度还可以防止无限循环中的循环依赖。因此,例如,如果一个模块依赖于另一个模块的结果,那么显然地,依赖于其他模块的结果的模块需要在提供该结果的模块之后实现。
如果调度足够提前和/或如果提供了足够的信息,则可以调度并行执行。该调度优选地在阶段30中完成。
在阶段31中,以确定的顺序选择用于预处理的每个模块,该模块优选地是预处理专用模块(专用于特定的简单或复合经标记元素)。如前所述,所确定的顺序优选地涉及每个模块需要哪些信息。例如,如果模块仅需要标准网络流元素,则该模块能够可选地首先运行。需要已经标记的元素的模块优选地在所需的经标记元素准备好之后运行。
接下来在阶段32中,使用所选模块预处理流数据。图F示出了该处理的更多细节。在阶段33中,确定每个模块的预处理是否实际上已经执行以预处理流数据。如果不是,则流程返回到阶段31。如果是,并且实际上已经执行了所有模块,则在阶段34中,预处理流程结束,并且在阶段35中,分析流程优选地继续。
现在转到图6,图F中示出了一种方法,其更详细地涉及每个模块的预处理阶段。如图所示,在预处理活动阶段36中,接着在阶段37中开始模块在标记中的执行。首先,确定对于该模块所需的所有列是否在阶段38中可用。每个模块可选地至少需要一列来添加或更新元数据或标签。在没有列的情况下,或者作为前提条件,标签可以包括时间戳或序列号或者不需要该特定流数据集的上下文的任何东西。
如果没有可用的可标记列,则该模块的执行在阶段45结束,并且继续另一个模块的预处理,或者继续执行阶段46中的另一个步骤。如果所需的列可用,则会为这些列中的每一行启动迭代循环。因此,继续更详细地说,在阶段38中确定可标记列是否可用,并且如果再次没有可用的可标记列,则表明标记流程在阶段45中结束。然而,可选地,这可能只是针对这个特定模块的流程,并且事实上,可能有需要根据特定模块的顺序来对其重新调度,以在该流程中随后执行该模块,或者如果实际上该模块正在等待结果,甚至可能在不同的流程中执行该模块。
可选地并且优选地,系统足够灵活,使得如果已经示出特定模块未按顺序执行,则可以可选地在随后的预处理的迭代中的该顺序的不同部分中执行该模块,以避免不得不多次重新调度模块。当然,这可能并不是在所有情况下都是可行的,在这种情况下,可以可选地执行模块重新调度以确保所有模块都被实际执行。
一旦确定了可标记列可用,则在阶段39中确定行数据是否可用。如果行数据可用,则在阶段40中,优选地读取每行中的列。根据本发明的至少一些实施例,预处理方法按列操作而不是按行操作,使得在考虑下一列之前完全读取每列中的每个单元,而不是将每一行作为单独的个体读取。在后一种情况下,每个单元和每一行将对应于不同的列,使得在考虑下一行之前,按行读取来自多列的单元格。然而,在这种情况下,由于这些单元来自同一列,因此在考虑下一列之前考虑来自多行的单元。
接下来在阶段41中,确定标记数据。在阶段42中,如果需要创建新的结果列,则创建它,并且在阶段43中初始化该结果列。
在阶段44中写入标记数据,然后该流程继续回到阶段39,直到一列全部完成。每个列均完成之后,标记流程可以可选地以不同的模块继续,或者可选地以不同的列继续,直到标记流程结束,如阶段45所示。在阶段46中,预处理流程优选地以下一个模块继续。
可选地,可以借助一列或多列的查找表,通过计算或逻辑归纳/推断和/或使用不同数据库的更复杂的算法来确定标签的值。优选地,标记流程不会在行或行组合的值的任何上下文中产生关于重要性的任何结论。标记流程最好不加选择地处理每个符合条件的行,并添加标记而不处理整个行。
如果需要将标记数据写入新列,如前所述,则需要在阶段42中创建该列或在阶段43中初始化该列。
图7A-7C示出了根据本发明的至少一些实施例的用于在非限制性示例的网络数据流被处理以形成标记数据时对其进行流元素标记的示例性且非限制性的说明性详细流程。作为非限制性且说明性的示例给出了该数据。该数据由流收集器接收并作为特定类型的流元数据47的列存储在中间存储器中。在该例中,是一些常见但不受限制的流数据属性示例。
开始标记的第一模块48查看“目的IP地址”列,并通过在特定表中执行查找来为该IP地址确定已注册的物理位置。该数据将被写入名为“目的地理位置”的新列,作为简单经标记元素的示例。
开始标记的第二模块49再次使用“目的IP地址”列,但它也使用内部数据库,其持续跟踪IP地址的访问频率。其递增内部数据库中的值,将该值存储在数据库中,并将数据写入名为“频率”的新列,作为简单经标记元素的另一个示例。
第三模块50使用“发送字节”和“接收字节”列,然后使用公式(发送/接收)×1000000来计算流量比并将该值放入新列“流量比”中,作为简单经标记元素的另一个示例。
第四模块51使用列“源IP地址”和“目的端口”以及内部数据库来从该源IP地址的先前活动确定该组合作为异常孤立点的度量。该度量将写入新列“异常”,以作为复合经标记元素的示例。
第五模块52使用“目的端口”和“流量比”来添加或减去“异常”列中已存在的值。在现有列“异常”中更新该结果,或者可选地在新列中更新该结果,以作为复合经标记元素的示例。
应当理解,为了清楚起见而在单独的实施例的上下文中描述的本发明的某些特征也可以在单个实施例中组合提供。相反,为了简洁起见而在单个实施例的上下文中描述的本发明的多个特征也可以分开提供或以任何合适的子组合提供。
尽管已经结合本发明的具体实施方案描述了本发明,但是显然,许多替代、修改和变型对于本领域技术人员而言是显而易见的。因此,旨在涵盖落入所附权利要求的精神和广义范围内的所有这些替代、修改和变型。本说明书中提及的所有出版物、专利和专利申请均通过引用整体并入本说明书中,其程度如同每个单独的出版物、专利或专利申请被具体和单独地指明通过引用并入本文的程度相同。另外,本申请中任何参考的引用或标识不应被解释为承认这样的参考可用作本发明的现有技术。
Claims (21)
1.一种用于分析来自网络的计算机网络流的系统,所述系统包括:
网络流导出器,其用于准备从所述网络接收的网络流;
网络流分析器,其用于将从所述网络流导出器接收的所述网络流分解为多个网络流标准元素;
流标记器,其包括多个模块用于标记从所述网络流分析器接收的所述多个网络流标准元素以形成经标记元素,其中,所述经标记元素源自所述多个网络流标准元素,其中所述流标记器经配置以基于所述多个网络流标准元素之间的标记依赖性来确定所述多个模块的顺序,并以确定的顺序运行所述多个模块以标记所述多个网络流标准元素;以及
结果处理组件,其用于处理所述经标记元素,所述结果处理组件包括恶意软件检测应用程序、未授权访问检测应用程序、异常检测应用程序、或者用于确定计算机是否受感染的受感染检测应用程序中的至少一个;
其中,所述经标记元素包括复合经标记元素,所述复合经标记元素源自以下至少一项:多个简单经标记元素的组合分析、简单经标记元素加上所述网络流的外部的信息的组合分析、通过对所述简单经标记元素执行计算获得的分析或通过将网络流标准元素与所述简单经标记元素组合获得的分析;
其中,通过将所述网络流的外部的信息源应用于所述网络流标准元素中的至少一者、根据对所述网络流标准元素中的至少一者执行的计算或其组合,而从所述网络流标准元素中的所述至少一者得到每一简单经标记元素。
2.根据权利要求1所述的系统,其中,所述复合经标记元素还包括简单经标记元素和复合经标记元素的组合或多个复合经标记元素的组合。
3.根据权利要求1所述的系统,其中,所述经标记元素包括至少一个简单经标记元素和至少一个复合经标记元素,并且其中所述流标记器迭代地标记所述多个网络流标准元素,使得在所述至少一个简单经标记元素之后确定所述至少一个复合经标记元素。
4.根据权利要求3所述的系统,其中,所述标记以根据所述多个网络流标准元素之间的标记依赖性确定的迭代顺序来执行。
5.根据权利要求1所述的系统,其中,所述简单经标记元素选自由流量比和端口/IP地址元素组成的组,所述流量比是从向IP地址或IP地址的端口发送的数据量和从IP地址或IP地址的端口接收的数据量中获得的,所述端口/IP地址元素是从所述网络流的源IP地址和目的端口中获得的。
6.根据权利要求1所述的系统,其中,所述网络流标准元素中的至少一者是根据IPFIX或Netflow标准中的一个或两个确定的。
7.根据权利要求1所述的系统,其中,所述网络流外部的信息源包括用于将经标记元素的值与外部信息值进行匹配的查找表。
8.根据权利要求7所述的系统,其中,所述查找表包括地理位置信息,并且所述经标记元素包括IP地址。
9.根据权利要求1所述的系统,其中所述网络流包括具有公共属性集的多个分组,所述网络流分析器根据被组织成多个列的所述公共属性集来确定所述网络流标准元素,每个属性在一列中;并且其中所述流标记器根据所述多个网络流标准元素之间的标记依赖性确定的迭代顺序来标记所述多个网络流标准元素。
10.根据权利要求9所述的系统,其中,所述多个分组属性选自由分组报头字段元素、所述多个分组的测量属性、基于分组内容的解释信息以及元信息组成的组。
11.根据权利要求1所述的系统,其中,所述流标记器确定所述多个模块中的至少一者需要根据所述标记依赖性重新调度以执行,使得根据所述重新调度而在所述多个模块中的至少另一者之后执行所述多个模块中的至少一者。
12.根据权利要求1所述的系统,其中所述网络包括本地网络。
13.根据权利要求1所述的系统,其中,所述标记元素指示所述网络的状态中的改变。
14.根据权利要求1所述的系统,其包括与所述网络流分析器通信的流数据存储器,用于存储所述网络流。
15.根据权利要求1所述的系统,其中,所述多个模块中的每一者对所述多个网络流标准元素执行相应标记,以得到所述标记元素。
16.根据权利要求15所述的系统,其中,调度所述多个模块以执行所述相应标记是基于所述多个网络流标准元素之间的标记依赖性。
17.一种用于分析网络流的方法,所述网络流包括具有共同属性集的多个分组,所述方法由权利要求1所述的系统执行,所述方法包括:
a.接收网络流,其中,所述网络流包括被组织成列的多个分组属性,每个属性在一列中;
b.分析所述网络流,以将所述网络流分解成多个元素;
c.以根据所述多个元素之间的标记依赖性确定的迭代顺序来标记所述多个元素;以及
d.按列编写经标记元素。
18.根据权利要求17所述的方法,其中,对所述网络流进行的所述分析包括:首先确定简单经标记元素,然后确定复合经标记元素;
其中,根据所述网络流的外部的信息源、根据计算、或其组合,而从所述网络流标准元素中的至少一者得到所述简单经标记元素;以及
其中从多个简单经标记元素的组合得到所述复合经标记元素。
19.根据权利要求18所述的方法,其中,对所述网络流进行的所述分析还包括:针对所述网络流将每种类型的经标记元素映射到经标记元素记录的列;以及根据标记依赖性来确定所述列的顺序。
20.根据权利要求17所述的方法,其中,所述多个分组属性选自由分组报头字段元素、所述多个分组的测量属性、基于分组内容的解释信息以及元信息组成的组。
21.一种用于在多个操作中分析来自网络的计算机网络流的方法,所述方法包括:
用网络流导出器准备从所述网络接收的网络流;
由网络流分析器将从所述网络流导出器接收的所述网络流分解为多个网络流标准元素;
由流标记器中包括的多个模块标记从所述网络流分析器接收的所述多个网络流标准元素以形成经标记元素,其中,从所述多个网络流标准元素得到所述经标记元素,其中标记所述多个网络流标准元素包括:
基于所述多个网络流标准元素之间的标记依赖性来确定所述多个模块的顺序;以及
以确定的顺序运行所述多个模块以标记所述多个网络流标准元素;
其中所述得到所述经标记元素包括得到复合经标记元素,其中所述得到所述复合经标记元素包括以下至少一者:
组合分析多个简单经标记元素;
组合分析简单经标记元素加上所述网络流的外部的信息;
对所述简单经标记元素执行计算;或将网络流标准元素与所述简单经标记元素组合;以及
用结果处理组件处理所述经标记元素,所述结果处理组件包括恶意软件检测应用程序、未授权访问检测应用程序、异常检测应用程序、或者用于确定计算机是否受感染的受感染检测应用程序中的至少一个;
其中,从所述网络流标准元素中的至少一者得到每一简单经标记元素包括将所述网络流的外部的信息源应用于所述网络流标准元素中的至少一者、对所述网络流标准元素中的至少一者执行计算、或其组合;以及
其中所述操作由网络设备、网络装置或服务器执行。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662440836P | 2016-12-30 | 2016-12-30 | |
| US62/440,836 | 2016-12-30 | ||
| PCT/IB2017/057197 WO2018122640A1 (en) | 2016-12-30 | 2017-11-17 | System for preparing network traffic for fast analysis |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110100415A CN110100415A (zh) | 2019-08-06 |
| CN110100415B true CN110100415B (zh) | 2024-04-05 |
Family
ID=60574668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780080106.9A Active CN110100415B (zh) | 2016-12-30 | 2017-11-17 | 用于将网络流量准备好进行快速分析的系统 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US11184255B2 (zh) |
| EP (1) | EP3563522A1 (zh) |
| JP (1) | JP7069173B2 (zh) |
| KR (1) | KR102476126B1 (zh) |
| CN (1) | CN110100415B (zh) |
| AU (1) | AU2017385032B2 (zh) |
| CA (1) | CA3046178C (zh) |
| IL (1) | IL267453B2 (zh) |
| RU (1) | RU2753189C2 (zh) |
| SG (1) | SG10201913949UA (zh) |
| WO (1) | WO2018122640A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102476126B1 (ko) * | 2016-12-30 | 2022-12-12 | 비트디펜더 네덜란드 비.브이. | 고속 분석을 위한 네트워크 트래픽 준비 시스템 |
| AU2019307885B2 (en) * | 2018-07-18 | 2024-03-07 | Bitdefender Ipr Management Ltd | Systems and methods for reporting computer security incidents |
| US10798005B2 (en) * | 2018-09-13 | 2020-10-06 | International Business Machines Corporation | Optimizing application throughput |
| CN110569360A (zh) * | 2019-09-06 | 2019-12-13 | 成都深思科技有限公司 | 网络会话数据标注与自动关联的方法 |
| WO2023162037A1 (ja) * | 2022-02-22 | 2023-08-31 | 日本電信電話株式会社 | 通信システム、通信方法及び通信プログラム |
| US11606383B1 (en) * | 2022-03-03 | 2023-03-14 | Uab 360 It | Securing against network vulnerabilities |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101563908A (zh) * | 2006-12-19 | 2009-10-21 | 国际商业机器公司 | 分析网络流的装置和方法 |
| CN102811162A (zh) * | 2011-06-03 | 2012-12-05 | 弗卢克公司 | 用于有效率的网络流数据分析的方法和装置 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7164698B1 (en) * | 2000-03-24 | 2007-01-16 | Juniper Networks, Inc. | High-speed line interface for networking devices |
| AU2001251454A1 (en) * | 2000-04-07 | 2001-10-23 | Louis D. Giacalone Jr. | Method and system for electronically distributing, displaying and controlling advertising and other communicative media |
| WO2002017571A1 (en) * | 2000-08-24 | 2002-02-28 | Tiara Networks, Inc. | System and method for connecting geographically distributed virtual local area networks |
| US7143343B2 (en) * | 2002-04-11 | 2006-11-28 | International Business Machines Corporation | Dynamic creation of an application's XML document type definition (DTD) |
| US8588069B2 (en) * | 2003-08-29 | 2013-11-19 | Ineoquest Technologies, Inc. | System and method for analyzing the performance of multiple transportation streams of streaming media in packet-based networks |
| US8751619B2 (en) * | 2011-05-31 | 2014-06-10 | Cisco Technology, Inc. | Autonomous performance probing |
| US20090168648A1 (en) * | 2007-12-29 | 2009-07-02 | Arbor Networks, Inc. | Method and System for Annotating Network Flow Information |
| US8856863B2 (en) * | 2008-06-10 | 2014-10-07 | Object Security Llc | Method and system for rapid accreditation/re-accreditation of agile IT environments, for example service oriented architecture (SOA) |
| US8125920B2 (en) * | 2009-03-04 | 2012-02-28 | Cisco Technology, Inc. | System and method for exporting structured data in a network environment |
| US8335754B2 (en) * | 2009-03-06 | 2012-12-18 | Tagged, Inc. | Representing a document using a semantic structure |
| WO2012135221A1 (en) * | 2011-03-28 | 2012-10-04 | Citrix Systems, Inc. | Systems and methods for tracking application layer flow via a multi-connection intermediary device |
| US9392010B2 (en) * | 2011-11-07 | 2016-07-12 | Netflow Logic Corporation | Streaming method and system for processing network metadata |
| RU2483463C1 (ru) * | 2012-04-11 | 2013-05-27 | Открытое акционерное общество "СУПЕРТЕЛ" | Способ и устройство для формирования протокола единой передачи разнородных типов данных |
| US9438488B2 (en) * | 2012-11-09 | 2016-09-06 | Citrix Systems, Inc. | Systems and methods for appflow for datastream |
| US9178769B2 (en) * | 2013-01-08 | 2015-11-03 | Comcast Cable Communication, Llc | Generation and management of network connectivity information |
| US9706004B2 (en) * | 2013-04-06 | 2017-07-11 | Citrix Systems, Inc. | Systems and methods for exporting client and server timing information for webpage and embedded object access |
| US9432269B2 (en) * | 2013-04-06 | 2016-08-30 | Citrix Systems, Inc. | Systems and methods for exporting application details using appflow |
| WO2015164370A1 (en) * | 2014-04-22 | 2015-10-29 | Orckit-Corrigent Ltd. | A method and system for deep packet inspection in software defined networks |
| US10193783B2 (en) * | 2014-12-31 | 2019-01-29 | Nicira, Inc. | System for aggregating statistics associated with interfaces |
| US9667656B2 (en) * | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
| US10063451B2 (en) * | 2015-09-28 | 2018-08-28 | Juniper Networks, Inc. | Providing application metadata using export protocols in computer networks |
| US20170214701A1 (en) * | 2016-01-24 | 2017-07-27 | Syed Kamran Hasan | Computer security based on artificial intelligence |
| KR102476126B1 (ko) * | 2016-12-30 | 2022-12-12 | 비트디펜더 네덜란드 비.브이. | 고속 분석을 위한 네트워크 트래픽 준비 시스템 |
| AU2019307885B2 (en) * | 2018-07-18 | 2024-03-07 | Bitdefender Ipr Management Ltd | Systems and methods for reporting computer security incidents |
| US10862854B2 (en) * | 2019-05-07 | 2020-12-08 | Bitdefender IPR Management Ltd. | Systems and methods for using DNS messages to selectively collect computer forensic data |
-
2017
- 2017-11-17 KR KR1020197017659A patent/KR102476126B1/ko active IP Right Grant
- 2017-11-17 SG SG10201913949UA patent/SG10201913949UA/en unknown
- 2017-11-17 EP EP17809037.9A patent/EP3563522A1/en not_active Ceased
- 2017-11-17 CN CN201780080106.9A patent/CN110100415B/zh active Active
- 2017-11-17 US US16/475,211 patent/US11184255B2/en active Active
- 2017-11-17 AU AU2017385032A patent/AU2017385032B2/en active Active
- 2017-11-17 JP JP2019533045A patent/JP7069173B2/ja active Active
- 2017-11-17 RU RU2019116128A patent/RU2753189C2/ru active
- 2017-11-17 CA CA3046178A patent/CA3046178C/en active Active
- 2017-11-17 WO PCT/IB2017/057197 patent/WO2018122640A1/en unknown
-
2019
- 2019-06-18 IL IL267453A patent/IL267453B2/en unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101563908A (zh) * | 2006-12-19 | 2009-10-21 | 国际商业机器公司 | 分析网络流的装置和方法 |
| CN102811162A (zh) * | 2011-06-03 | 2012-12-05 | 弗卢克公司 | 用于有效率的网络流数据分析的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2017385032A1 (en) | 2019-07-04 |
| RU2019116128A (ru) | 2021-02-01 |
| CA3046178C (en) | 2024-02-20 |
| IL267453B2 (en) | 2023-05-01 |
| KR102476126B1 (ko) | 2022-12-12 |
| JP2020503753A (ja) | 2020-01-30 |
| IL267453B1 (en) | 2023-01-01 |
| KR20190101374A (ko) | 2019-08-30 |
| RU2753189C2 (ru) | 2021-08-12 |
| WO2018122640A1 (en) | 2018-07-05 |
| CA3046178A1 (en) | 2018-07-05 |
| IL267453A (en) | 2019-08-29 |
| AU2017385032B2 (en) | 2022-11-03 |
| EP3563522A1 (en) | 2019-11-06 |
| RU2019116128A3 (zh) | 2021-02-25 |
| US20190342190A1 (en) | 2019-11-07 |
| CN110100415A (zh) | 2019-08-06 |
| JP7069173B2 (ja) | 2022-05-17 |
| SG10201913949UA (en) | 2020-03-30 |
| US11184255B2 (en) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110100415B (zh) | 用于将网络流量准备好进行快速分析的系统 | |
| CN107566206B (zh) | 一种流量测量方法、设备及系统 | |
| US20210385251A1 (en) | System and methods for integrating datasets and automating transformation workflows using a distributed computational graph | |
| EP3282643B1 (en) | Method and apparatus of estimating conversation in a distributed netflow environment | |
| CN109697456A (zh) | 业务分析方法、装置、设备及存储介质 | |
| US8064359B2 (en) | System and method for spatially consistent sampling of flow records at constrained, content-dependent rates | |
| CN110472154A (zh) | 一种资源推送方法、装置、电子设备及可读存储介质 | |
| CN108763044A (zh) | 一种日志处理方法及装置 | |
| CN109729095A (zh) | 数据处理方法、装置和计算设备及介质 | |
| CN110377576A (zh) | 创建日志模板的方法和装置、日志分析方法 | |
| CN108055166B (zh) | 一种嵌套的应用层协议的状态机提取系统及其提取方法 | |
| CN108809770A (zh) | 一种资源监控方法和系统 | |
| CN109359109A (zh) | 一种基于分布式流计算的数据处理方法及系统 | |
| CN105550250B (zh) | 一种访问日志的处理方法及装置 | |
| US20170031578A1 (en) | Simulating a user interface to submit data received from a device | |
| CN110022343A (zh) | 自适应事件聚合 | |
| US11755611B2 (en) | Storing and identifying content through content descriptors in a historian system | |
| CN114490861A (zh) | 遥测数据解析方法、装置、设备及介质 | |
| KR101345095B1 (ko) | 클러스터 환경 기반의 bgp 라우팅 정보 분석 방법 및 시스템 | |
| CN107888696A (zh) | 一种存储实验室设备信息获取方法、系统及相关装置 | |
| CN112968957B (zh) | 针对图书馆馆藏资源的分析方法、装置、设备及存储介质 | |
| CN115695221A (zh) | 业务数据采集方法和业务数据存储方法 | |
| Liso | Tensor Based Monitoring of Large-Scale Network Traffic | |
| JP5422478B2 (ja) | 性能計測分析支援プログラムおよび性能計測分析支援装置 | |
| CN111339574A (zh) | 区块数据处理方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |