CN110213198A - 网络流量的监控方法及系统 - Google Patents

网络流量的监控方法及系统 Download PDF

Info

Publication number
CN110213198A
CN110213198A CN201810167636.3A CN201810167636A CN110213198A CN 110213198 A CN110213198 A CN 110213198A CN 201810167636 A CN201810167636 A CN 201810167636A CN 110213198 A CN110213198 A CN 110213198A
Authority
CN
China
Prior art keywords
network
data
monitoring
module
service module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810167636.3A
Other languages
English (en)
Inventor
张培
徐宁
任明洋
王文功
岑辉林
代向东
申利飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Standard Software Co Ltd
Original Assignee
China Standard Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Standard Software Co Ltd filed Critical China Standard Software Co Ltd
Priority to CN201810167636.3A priority Critical patent/CN110213198A/zh
Publication of CN110213198A publication Critical patent/CN110213198A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种网络流量监控方法及系统,所述监控方法包括:步骤S1:监控网络设备,从第一服务模块产生的网络数据中抓取数据包;步骤S2:将数据包进行存储;步骤S3:对数据包进行分析,根据分析结果产生动态规则;步骤S4:导入静态规则,根据动态规则和静态规则对第一服务模块产生的网络数据进行监控过滤;步骤S5:将经过监控过滤的网络数据传递至第二服务模块,其中,第一服务模块和第二服务模块的其中一个为网络应用服务模块,另一个为网络接口。本发明提供的网络流量监控方法及系统,监控方式灵活,监控内容可靠,不影响网络数据的正常传输。

Description

网络流量的监控方法及系统
技术领域
本发明涉及互联网数据安全技术领域,具体涉及一种网络流量的监控方法及系统。
背景技术
随着网络技术、Internet和通信技术的快速发展,信息网络技术已经成为政治、军事、经济、医疗乃至社会各领域的基础,信息网络在我们的生活中占据了越来越重要的地位。网络资源被广泛利用的同时,信息的安全问题也日益严峻。网络攻击、数据破坏等安全问题也随之出现,例如非法的网络账户共享、非法VOIP电话滥用、DDos攻击、蠕虫泛滥等现象,使得网络流量存在大量的安全问题,不仅带来了经济损失,更可能危害社会安全。针对上述问题,各级网络监管部门加大了对网络流量的监管力度,各网络运营商也在积极寻找一些新的技术手段对网络上的各种流量进行有效的管理。
在网络管理中,最重要环节是进行流量监控和流量分析。网络流量监控提供了一种在实际环境中探索网络特性的手段。网络流量监测是一个从网络设备上采集数据、解码数据、分析数据的过程,它从网络中采集一些具体的指标性数据,反馈给检测者,这些数据为网络的运行和维护提供了重要信息,对于网络的资源分布,容量规划、网络性能分析、异常检测与隔离、安全管理等都是十分重要的。它能在最短时间内发现威胁,在第一时间进行分析,通过流量分析来确定攻击,然后快速采取措施。
一直以来,企业网络的信息安全防御理念集中在防火墙等网关级别以及一些网络边界,如图1所示,内部网络通过核心交换机与防火墙连接外部网络,实现互联网访问。企业内网主要通过在网关处部署防火墙来解决网络安全问题,实现包括系统的漏洞扫描、入侵检测系统、安全审计系统等在内的网络防御,主要的安全监控设施设置在网络入口。目前这些技术相对成熟,很大程度上能够防止外部不安全因素的入侵和威胁。根据有关权威机构的研究显示:来自于网络外部的不安全事件只占20%,源于内部网络的不安全事件却占80%的比例。可见内网的不安全因素远高于外网,如何保障内网信息安全是网络管理人员需要面对的重要问题。
目前大多企业和单位网络采用的内网信任机制,这种机制默认企业和单位内部接触网络的工作人员都是安全可信任的,这是造成内网不安全现象出现的主要原因。内网用户是直接操作内网的主要群体,而用户行为是灵活多变不可预测的,很多安全事件都是源于内网用户的非法操作,如果内网中没有一个有效管理和监控内网用户行为的审计制度,对内部用户行为就没有制约。内部网络的许多信息都是保密的,一旦出现破坏及涉密事件,后果很严重。因此,需要一种能够实时记录和监督内网用户的行为,通过对内部用户行为的记录,收集待审计的数据,最终实现审计分析和异常检测。
图2为现有的面向网络层协议的流量监控方法的流程图,如图所示,所述方法包括:
步骤S101:获取网络设备的所有端口信息。
在具体实现中,可通过七层协议解码获取网络设备的所有端口信息。
步骤S102:根据获取的端口信息获取所述网络设备的链路情况,并获取所述网络设备的网速。
步骤S103:在所述网络设备多为多链路,且所述网络设备的网速超过1000M时,获取网络设备所有链路的流量镜像。
在具体实现中,可通过在线TAP方式获取网络设备所有链路的流量镜像。当然,在所述网络设备为单链路,或所述网络设备的网速未超过1000M时,按照现有的流量监控方式进行流量监控。
步骤S104:根据获取的流量镜像获取所述网络设备的流量信息。
在具体实现中,所述流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数和输出队。
步骤S105:获取所述网络设备的物理层信息及数据链路层信息。
步骤S106:根据预设监控频率获取所述流量信息、物理层信息及数据链路层信息并保存。
在具体实现中,所述网络流量监控信息可通过图或表进行展示,并以.png格式保存到指定地方。对于所述预设监控频率,可采用默认的监控频率,例如:5分钟和9分钟两个时间段,当然,也可以自定任何时间点和时间段,这个时间用于定义监控的频率。
然而,现有的流量监控方法和流量监控装置,存在如下不足:监控粒度只能细化到针对IP地址端口,不能针对某个进程在某一单位时间内的流量进行监控。虽然现有的一部分监控方法可以将所监控端口和常用软件使用的默认端口进行关联,做到针对进程的流量监控,但该手段有一定局限性:如果常用软件修改默认运行端口,则可能产生错误的采集结果。
发明内容
为解决现有技术存在的不足,本发明提供了一种网络流量的监控方法,包括如下步骤:
步骤S1:监控网络设备,从第一服务模块产生的网络数据中抓取数据包;
步骤S2:将数据包进行存储;
步骤S3:对数据包进行分析,根据分析结果产生动态规则;
步骤S4:导入静态规则,根据动态规则和静态规则对第一服务模块产生的网络数据进行监控过滤;
步骤S5:将经过监控过滤的网络数据传递至第二服务模块,其中,
第一服务模块和第二服务模块的其中一个为网络应用服务模块,另一个为网络接口。
其中,所述步骤S1包括:
步骤S11:用户启动网络设备,进入操作系统;
步骤S12:网络设备的第一服务模块产生流量时,监控网络设备产生的网络数据;
步骤S13:在数据链路层对网络数据进行旁路处理,捕获第一服务模块流经网络设备的所有网络数据;
步骤S14:将捕获的网络数据发送至BPF过滤器;
步骤S15:BPF过滤器根据用户设定的过滤规则对网络数据进行逐一匹配;
步骤S16:将与过滤规则匹配的网络数据发送至内核缓冲器,将不匹配的网络数据直接丢弃;
步骤S17:用户层缓冲器不断从内核缓冲器获取网络数据,形成等待应用程序处理的数据包。
其中,所述步骤S12中,通过读取网络设备上的/proc目录,获取设备列表、进程启动命令信息、进程状态信息TCP以及UDP协议的连接情况中的至少一项,对网络设备进行旁路监听。
其中,所述步骤S2中,根据数据存储策略将数据包存储至预先设置的Mysql数据库中。
其中,所述步骤S3包括:
步骤S31:采集用户输入的查询参数;
步骤S32:根据查询参数生成查询指令;
步骤S33:根据查询指令查询存储的数据包,并输出查询结果;
步骤S34:根据查询结果生成流量报表;
步骤S35:根据流量报表生成图形;
步骤S36:根据生成的图形分析网络行为,生成动态规则。
其中,所述步骤S4中,监控过滤的过程中,监控的方式为旁路监听,监控的内容包括网络数据的传输时间、进程号、进程名称、通信协议、源地址、目标地址、源端口号以及目标端口号中的至少一项。
本发明另外提供了一种网络流量的监控系统,用于对流经第一服务模块和第二服务模块之间的网络数据进行监控过滤,包括:
网络数据包抓取模块,与第一服务模块连接,用于对第一服务模块产生的网络数据进行数据包抓取;
数据包存储分析模块,与网络数据包抓取模块连接,用于对抓取的数据包进行存储分析,生成动态规则;
监控审计规则配置管理模块,与数据包存储分析模块连接,用于接收数据包存储分析模块生成的动态规则,并导入静态规则,以形成对网络数据的监控规则;
网络数据监控过滤模块,与第一服务模块以及监控审计规则配置管理模块连接,用于根据监控审计规则配置管理模块提供的监控规则,监控过滤第一服务模块的网络数据;
第一服务模块和第二服务模块的其中一个为网络应用服务模块,另一个为网络接口。
其中,所述网络数据包抓取模块抓取数据包的过程包括:
步骤S1:用户启动网络设备,进入操作系统;
步骤S2:网络设备的第一服务模块产生流量时,监控网络设备产生的网络数据;
步骤S3:在数据链路层对网络数据进行旁路处理,捕获第一服务模块流经网络设备的所有网络数据;
步骤S4:将捕获的网络数据发送至BPF过滤器;
步骤S5:使BPF过滤器根据用户设定的过滤规则对网络数据进行逐一匹配;
步骤S6:将与过滤规则匹配的网络数据发送至内核缓冲器,将不匹配的网络数据直接丢弃;
步骤S7:使用户层缓冲器不断从内核缓冲器获取网络数据,形成等待应用程序处理的数据包。
其中,所述数据包存储分析模块对数据包的分析过程包括:
步骤S1:采集用户输入的查询参数;
步骤S2:根据查询参数生成查询指令;
步骤S3:根据查询指令查询存储的数据包,并输出查询结果;
步骤S4:根据查询结果生成流量报表;
步骤S5:根据流量报表生成图形;
步骤S6:根据生成的图形分析网络行为,生成动态规则
本发明提供的网络流量监控方法及系统,监控方式灵活,监控内容可靠,不影响网络数据的正常传输。
附图说明
图1:企业网络现状拓扑图;
图2:现有的面向网络层协议的流量监控方法的流程图;
图3:本发明的网络流量监控系统的系统框架图;
图4:本发明的网络流量监控方法的实现流程图。
附图标记说明
10 网络数据包抓取模块
20 数据包存储分析模块
30 监控审计规则配置管理模块
40 网络数据监控过滤模块
50 网络应用服务模块
60 网络接口。
具体实施方式
为了对本发明的技术方案及有益效果有更进一步的了解,下面结合附图详细说明本发明的技术方案及其产生的有益效果。
本发明的网络流量监控方法,主要在现有的操作系统环境下,监控审计网络进程的网络流量,对传输层上的内容进行抓取分析,本发明既可以对内网的网络流量进行监控,也可以对外网的网络流量进行监控,图3为本发明的一实施例的网络流量监控系统的系统框架图,如图3所示,本发明仅以内网为例(数据流由网络应用服务模块50流向网络接口60),介绍本发明的详细技术方案,外网(数据流由网络接口60流向网络应用服务模块50)的流量监控方式与其相同,本发明不多加累述。
如图3所示,本发明提供的一种网络流量的监控系统,用于依照相应的监控过滤规则,对网络应用服务模块50(浏览器、聊天工具或下载工具等)流向网络接口60的数据进行监控过滤,所述监控系统包括网络数据包抓取模块10、数据包存储分析模块20、监控审计规则配置管理模块30以及网络数据监控过滤模块40四个功能模块,而在正常访问网络时,网络应用服务模块10直接通过网络接口60访问外部网络。
图4为本发明提供的网络流量的监控方法的实现流程图,请结合图3及图4所示,详细介绍本发明的网络流量的监控系统的工作方式、各个功能模块的作用及配合关系以及本发明的网络流量监控的实现方法。
一、启动监控系统
1.1:用户启动网络设备(个人电脑、服务器等),进入操作系统。
1.2:用户启用网络应用,监控系统会在网络应用服务模块50启动时自动启动。
二、网络数据包抓取模块10抓取数据包
网络设备的网络应用服务模块50产生网络数据流量(下文简称网络数据)时,网络数据包抓取模块10会捕获部分网络数据流量信息包(下文简称数据包),此抓取过程仅抓取有用的网络数据,并不截留任何数据包,具体过程为:
2.1:读取网络设备上的/proc目录,获取设备列表、进程启动命令信息、进程状态信息TCP以及UDP协议的连接情况中的至少一项,对网络应用服务模块50进行旁路监听。
2.2:在数据链路层对网络数据进行旁路处理,捕获网络应用服务模块50流经网络设备的所有网络数据;此过程仅是对网络数据的一份拷贝,不影响网络数据的正常传输。
2.3:将捕获的网络数据发送至BPF过滤器。
2.4:BPF过滤器根据用户设定的过滤规则对网络数据进行逐一匹配。
2.5:将与过滤规则匹配的网络数据发送至内核缓冲器,将不匹配的网络数据直接丢弃;这对处理大流量的网络数据极为有用,可以减少网络数据从内核空间向用户空间拷贝耗费的CPU周期,这一优势在高速网络下较为明显。
2.6:用户层缓冲器不断从内核缓冲器获取网络数据,形成等待应用程序处理的数据包。
本发明在使用于Linux操作系统中时,由于Linux操作系统本身提供了具有强大功能的网络抓包库,可通过该网络抓包库来完成对传输层的数据包的抓取,并分析及审计网络行为。
三、数据包存储分析模块20存储数据包
监控系统接收到数据包之后,会对数据包进行收集存储,较佳的,根据数据存储策略将数据包存储至预先设置的Mysql数据库中。存储的数据结果本发明在使用于Linux操作系统中时,由于Linux操作系统本身提供了具有强大功能的网络抓包库libcap,可通过Linux操作系统内部提供的libcap库来完成对传输层的数据包的抓取,并分析及审计网络行为。及存储策略如表1及表2所示。
表1:存储数据结构
表2:数据存储策略
四、数据包存储分析模块20分析数据包
网络监管员可以查询存储在数据库中的数据包,对用户的网络行为进行分析,具体步骤如下:
4.1:采集用户输入的查询参数,用户输入的查询参数信息可以为流量统计的起止时间、IP地址、端口号、协议、进程名称等参数。
4.2:根据查询参数生成查询指令。
4.3:根据查询指令在数据库中进行查询,并输出查询结果。
4.4:根据查询结果生成流量报表。
4.5:根据流量报表生成图形,具体的,可根据用户的需求生成不同的统计图形,例如二维流量趋势或饼图统计等。
4.6:根据生成的图形分析网络行为,根据分析处理结果生成异常行为审计反馈和动态规则,动态规则发送给监控审计规则配置管理模块30。
五、监控审计规则配置管理模块30导入静态规则
监控审计规则配置管理模块30接收数据包存储分析模块20生成的动态规则,也可以同时导入静态规则,将规则转换后发送给网络数据监控过滤模块40。
六、网络数据监控过滤模块40实现监控过滤
网络应用服务模块50发送的网络数据,需要经过网络数据监控过滤模块40后才能达到网络接口60,访问外部网络,本发明采用旁路监听的方式,对网络数据的传输时间、进程号、进程名称、通信协议、源地址、目标地址、源端口号以及目标端口号进行监控,同时,结合监控审计规则配置管理模块30转换后的动态规则,对网络数据进行监控过滤。
本发明的有益效果如下:
1、通过对传输层的网络数据进行捕获,并能够获取进程号和程序名称,使监控内容更可靠,控制方式也更加细致灵活。
2、通过采用旁路监听的方式,对网络数据的正常传输无影响。
3、能够实现全网络的数据流量的监控,并且存储开销相对较小。
4.通过以二维流量趋势或饼图统计等方式显示数据包分析结果,可以更加直观地为研究人员提供可用信息。
本发明中,所谓的“Voice over Internet Protocol”,是指通过IP数据包发送实现的语音业务。
本发明中,所谓的“DDoS”,是指Distributed Denial of Service,也即,分布式拒绝服务攻击。
本发明中,所谓的“Network Behavior Analysis”,是指网络行为分析。
本发明中,所谓的“NBAD”,是指网络行为异常检测。
本发明中,所谓的“Securty Auditing”,是指安全审计。
本发明中,所谓的“Intrusion Detection System”,是指入侵检测系统。
本发明中,所谓的“Libpcap”,是指Packet Capture Library,也即,网络数据包捕获的函数库。
本发明中,所谓的“BPF”,是指berkeley packet filter,也即,“伯克利包过滤”语法。
虽然本发明已利用上述较佳实施例进行说明,然其并非用以限定本发明加直观地为研究人员提供可用信息。
的保护范围,任何本领域技术人员在不脱离本发明的精神和范围之内,相对上述实施例进行各种变动与修改仍属本发明所保护的范围,因此本发明的保护范围以权利要求书所界定的为准。

Claims (9)

1.一种网络流量的监控方法,其特征在于,包括如下步骤:
步骤S1:监控网络设备,从第一服务模块产生的网络数据中抓取数据包;
步骤S2:将数据包进行存储;
步骤S3:对数据包进行分析,根据分析结果产生动态规则;
步骤S4:导入静态规则,根据动态规则和静态规则对第一服务模块产生的网络数据进行监控过滤;
步骤S5:将经过监控过滤的网络数据传递至第二服务模块,其中,
第一服务模块和第二服务模块的其中一个为网络应用服务模块,另一个为网络接口。
2.如权利要求1所述的网络流量的监控方法,其特征在于,所述步骤S1包括:
步骤S11:用户启动网络设备,进入操作系统;
步骤S12:网络设备的第一服务模块产生流量时,监控网络设备产生的网络数据;
步骤S13:在数据链路层对网络数据进行旁路处理,捕获第一服务模块流经网络设备的所有网络数据;
步骤S14:将捕获的网络数据发送至BPF过滤器;
步骤S15:BPF过滤器根据用户设定的过滤规则对网络数据进行逐一匹配;
步骤S16:将与过滤规则匹配的网络数据发送至内核缓冲器,将不匹配的网络数据直接丢弃;
步骤S17:用户层缓冲器不断从内核缓冲器获取网络数据,形成等待应用程序处理的数据包。
3.如权利要求2所述的网络流量的监控方法,其特征在于,所述步骤S12中,通过读取网络设备上的/proc目录,获取设备列表、进程启动命令信息、进程状态信息TCP以及UDP协议的连接情况中的至少一项,对网络设备进行旁路监听。
4.如权利要求1所述的网络流量的监控方法,其特征在于:所述步骤S2中,根据数据存储策略将数据包存储至预先设置的Mysql数据库中。
5.如权利要求1所述的网络流量的监控方法,其特征在于,所述步骤S3包括:
步骤S31:采集用户输入的查询参数;
步骤S32:根据查询参数生成查询指令;
步骤S33:根据查询指令查询存储的数据包,并输出查询结果;
步骤S34:根据查询结果生成流量报表;
步骤S35:根据流量报表生成图形;
步骤S36:根据生成的图形分析网络行为,生成动态规则。
6.如权利要求1所述的网络流量的监控方法,其特征在于:所述步骤S4中,监控过滤的过程中,监控的方式为旁路监听,监控的内容包括网络数据的传输时间、进程号、进程名称、通信协议、源地址、目标地址、源端口号以及目标端口号中的至少一项。
7.一种网络流量的监控系统,用于对流经第一服务模块和第二服务模块之间的网络数据进行监控过滤,其特征在于包括:处理的数据包。
网络数据包抓取模块,与第一服务模块连接,用于对第一服务模块产生的网络数据进行数据包抓取;
数据包存储分析模块,与网络数据包抓取模块连接,用于对抓取的数据包进行存储分析,生成动态规则;
监控审计规则配置管理模块,与数据包存储分析模块连接,用于接收数据包存储分析模块生成的动态规则,并导入静态规则,以形成对网络数据的监控规则;
网络数据监控过滤模块,与第一服务模块以及监控审计规则配置管理模块连接,用于根据监控审计规则配置管理模块提供的监控规则,监控过滤第一服务模块的网络数据;
第一服务模块和第二服务模块的其中一个为网络应用服务模块,另一个为网络接口。
8.如权利要求7所述的网络流量的监控系统,其特征在于:所述网络数据包抓取模块抓取数据包的过程包括:
步骤S1:用户启动网络设备,进入操作系统;
步骤S2:网络设备的第一服务模块产生流量时,监控网络设备产生的网络数据;
步骤S3:在数据链路层对网络数据进行旁路处理,捕获第一服务模块流经网络设备的所有网络数据;
步骤S4:将捕获的网络数据发送至BPF过滤器;
步骤S5:使BPF过滤器根据用户设定的过滤规则对网络数据进行逐一匹配;
步骤S6:将与过滤规则匹配的网络数据发送至内核缓冲器,将不匹配的网络数据直接丢弃;
步骤S7:使用户层缓冲器不断从内核缓冲器获取网络数据,形成等待应用程序处理的数据包。
9.如权利要求7所述的网络流量的监控系统,其特征在于:所述数据包存储分析模块对数据包的分析过程包括:
步骤S1:采集用户输入的查询参数;
步骤S2:根据查询参数生成查询指令;
步骤S3:根据查询指令查询存储的数据包,并输出查询结果;
步骤S4:根据查询结果生成流量报表;
步骤S5:根据流量报表生成图形;
步骤S6:根据生成的图形分析网络行为,生成动态处理的数据包。
CN201810167636.3A 2018-02-28 2018-02-28 网络流量的监控方法及系统 Pending CN110213198A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810167636.3A CN110213198A (zh) 2018-02-28 2018-02-28 网络流量的监控方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810167636.3A CN110213198A (zh) 2018-02-28 2018-02-28 网络流量的监控方法及系统

Publications (1)

Publication Number Publication Date
CN110213198A true CN110213198A (zh) 2019-09-06

Family

ID=67778999

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810167636.3A Pending CN110213198A (zh) 2018-02-28 2018-02-28 网络流量的监控方法及系统

Country Status (1)

Country Link
CN (1) CN110213198A (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110662244A (zh) * 2019-10-08 2020-01-07 北京城市网邻信息技术有限公司 数据包展示方法及移动终端
CN110913287A (zh) * 2019-12-23 2020-03-24 北京首都在线科技股份有限公司 信号处理方法、系统以及应用于该方法和系统的分光设备
CN110943895A (zh) * 2019-12-31 2020-03-31 许继集团有限公司 一种网关机、基于Linux系统的网络数据处理方法及装置
CN111162949A (zh) * 2019-12-31 2020-05-15 国网山西省电力公司信息通信分公司 一种基于Java字节码嵌入技术的接口监测方法
CN111314296A (zh) * 2020-01-15 2020-06-19 福建奇点时空数字科技有限公司 一种基于旁路技术的网络流量分析安全服务系统
CN111464390A (zh) * 2020-03-31 2020-07-28 中国建设银行股份有限公司 网络应用系统监控预警方法及系统
CN112260889A (zh) * 2020-09-28 2021-01-22 中孚安全技术有限公司 一种基于Linux的进程流量监控方法、系统及设备
CN112395051A (zh) * 2020-12-04 2021-02-23 北京优特捷信息技术有限公司 可观察性系统的数据融合实现方法和装置
CN112565262A (zh) * 2020-12-03 2021-03-26 恒安嘉新(北京)科技股份公司 一种流量数据处理方法、系统、网络设备及存储介质
CN113259347A (zh) * 2021-05-12 2021-08-13 东信和平科技股份有限公司 一种工业互联网内的设备安全系统及设备行为管理方法
CN113254202A (zh) * 2021-05-18 2021-08-13 成都图迅科技有限公司 一种基于万兆以太网口的5g基站前传无损抓包方法
CN113507395A (zh) * 2021-06-21 2021-10-15 华东师范大学 一种网络数据流的状态追踪装置
CN114095255A (zh) * 2021-11-22 2022-02-25 安徽健坤通信股份有限公司 一种网络安全监控的方法、装置及存储介质
CN114124470A (zh) * 2021-11-01 2022-03-01 山东顺国电子科技有限公司 网络流量元数据采集技术算法
CN114629828A (zh) * 2022-05-12 2022-06-14 杭州玖玖盾信息科技有限公司 一种网络访问检测方法及电子设备
CN115037654A (zh) * 2022-05-09 2022-09-09 维沃移动通信有限公司 流量统计方法、装置、电子设备及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030149888A1 (en) * 2002-02-01 2003-08-07 Satyendra Yadav Integrated network intrusion detection
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
CN103959711A (zh) * 2012-09-07 2014-07-30 Sk电信有限公司 利用监控策略和过滤策略管理网络流量的系统和方法
CN104484259A (zh) * 2014-11-25 2015-04-01 北京奇虎科技有限公司 应用程序的流量监控方法、装置和移动终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030149888A1 (en) * 2002-02-01 2003-08-07 Satyendra Yadav Integrated network intrusion detection
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
CN103959711A (zh) * 2012-09-07 2014-07-30 Sk电信有限公司 利用监控策略和过滤策略管理网络流量的系统和方法
CN104484259A (zh) * 2014-11-25 2015-04-01 北京奇虎科技有限公司 应用程序的流量监控方法、装置和移动终端

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110662244B (zh) * 2019-10-08 2021-04-13 北京城市网邻信息技术有限公司 数据包展示方法、装置及可读存储介质
CN110662244A (zh) * 2019-10-08 2020-01-07 北京城市网邻信息技术有限公司 数据包展示方法及移动终端
CN110913287A (zh) * 2019-12-23 2020-03-24 北京首都在线科技股份有限公司 信号处理方法、系统以及应用于该方法和系统的分光设备
CN110943895A (zh) * 2019-12-31 2020-03-31 许继集团有限公司 一种网关机、基于Linux系统的网络数据处理方法及装置
CN111162949A (zh) * 2019-12-31 2020-05-15 国网山西省电力公司信息通信分公司 一种基于Java字节码嵌入技术的接口监测方法
CN111314296A (zh) * 2020-01-15 2020-06-19 福建奇点时空数字科技有限公司 一种基于旁路技术的网络流量分析安全服务系统
CN111464390A (zh) * 2020-03-31 2020-07-28 中国建设银行股份有限公司 网络应用系统监控预警方法及系统
CN112260889A (zh) * 2020-09-28 2021-01-22 中孚安全技术有限公司 一种基于Linux的进程流量监控方法、系统及设备
CN112565262A (zh) * 2020-12-03 2021-03-26 恒安嘉新(北京)科技股份公司 一种流量数据处理方法、系统、网络设备及存储介质
CN112395051B (zh) * 2020-12-04 2021-10-22 北京优特捷信息技术有限公司 可观察性系统的数据融合实现方法和装置
CN112395051A (zh) * 2020-12-04 2021-02-23 北京优特捷信息技术有限公司 可观察性系统的数据融合实现方法和装置
CN113259347A (zh) * 2021-05-12 2021-08-13 东信和平科技股份有限公司 一种工业互联网内的设备安全系统及设备行为管理方法
CN113254202A (zh) * 2021-05-18 2021-08-13 成都图迅科技有限公司 一种基于万兆以太网口的5g基站前传无损抓包方法
CN113507395A (zh) * 2021-06-21 2021-10-15 华东师范大学 一种网络数据流的状态追踪装置
CN113507395B (zh) * 2021-06-21 2023-02-03 华东师范大学 一种网络数据流的状态追踪装置
CN114124470A (zh) * 2021-11-01 2022-03-01 山东顺国电子科技有限公司 网络流量元数据采集技术算法
CN114095255A (zh) * 2021-11-22 2022-02-25 安徽健坤通信股份有限公司 一种网络安全监控的方法、装置及存储介质
CN115037654A (zh) * 2022-05-09 2022-09-09 维沃移动通信有限公司 流量统计方法、装置、电子设备及可读存储介质
CN115037654B (zh) * 2022-05-09 2024-01-09 维沃移动通信有限公司 流量统计方法、装置、电子设备及可读存储介质
CN114629828A (zh) * 2022-05-12 2022-06-14 杭州玖玖盾信息科技有限公司 一种网络访问检测方法及电子设备

Similar Documents

Publication Publication Date Title
CN110213198A (zh) 网络流量的监控方法及系统
Parra et al. Implementation of deep packet inspection in smart grids and industrial Internet of Things: Challenges and opportunities
EP3304824B1 (en) Policy-driven compliance
US11757945B2 (en) Collaborative database and reputation management in adversarial information environments
Zhang et al. An IoT honeynet based on multiport honeypots for capturing IoT attacks
CN112383546A (zh) 一种处理网络攻击行为的方法、相关设备及存储介质
Komisarek et al. Machine Learning Based Approach to Anomaly and Cyberattack Detection in Streamed Network Traffic Data.
WO2015149062A1 (en) System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment
US11968239B2 (en) System and method for detection and mitigation of data source compromises in adversarial information environments
CN113240116B (zh) 基于类脑平台的智慧防火云系统
Zammit A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data
Miloslavskaya Information security management in SOCs and SICs
Frankowski et al. Application of the Complex Event Processing system for anomaly detection and network monitoring
US20240171614A1 (en) System and method for internet activity and health forecasting and internet noise analysis
CN115296936B (zh) 一种反网络犯罪辅侦的自动化方法及系统
Crooks et al. Operational security, threat intelligence & distributed computing: the WLCG Security Operations Center Working Group
Neise Graph-based event correlation for network security defense
Chaudhari et al. Real time logs and traffic monitoring, analysis and visualization setup for IT security enhancement
Jeon et al. Passive fingerprinting of scada in critical infrastructure network without deep packet inspection
Tudosi et al. Design and Implementation of an Automated Dynamic Rule System for Distributed Firewalls.
Sari Countering the IoT-powered volumetric cyberattacks with next-generation cyber-firewall: Seddulbahir
Khoa et al. Cyber Threat Intelligence for Proactive Defense against Adversary in SDN-assisted IIoTs context
US11792209B2 (en) Robust learning of web traffic
Liu Enhancing Network Security Through Router-Based Firewalls: An Investigation into Design, Effectiveness, and Human Factors
Miloslavskaya et al. Network Security Intelligence Centres for Information Security Incident Management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190906

RJ01 Rejection of invention patent application after publication