CN111131332A - 一种网络业务互联与流量采集分析记录系统 - Google Patents

一种网络业务互联与流量采集分析记录系统 Download PDF

Info

Publication number
CN111131332A
CN111131332A CN202010045464.XA CN202010045464A CN111131332A CN 111131332 A CN111131332 A CN 111131332A CN 202010045464 A CN202010045464 A CN 202010045464A CN 111131332 A CN111131332 A CN 111131332A
Authority
CN
China
Prior art keywords
flow
interconnection
network
analysis
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010045464.XA
Other languages
English (en)
Inventor
高宏运
谭大为
王华东
潘明
江海洋
何华
伟慕蠡
梁振海
陈钢
张明杰
张立明
郭兵
马千惠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenyang Railway Science And Technology Research Institute Co Ltd
Original Assignee
Shenyang Railway Science And Technology Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenyang Railway Science And Technology Research Institute Co Ltd filed Critical Shenyang Railway Science And Technology Research Institute Co Ltd
Priority to CN202010045464.XA priority Critical patent/CN111131332A/zh
Publication of CN111131332A publication Critical patent/CN111131332A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络业务互联与流量采集分析记录系统,包括接收数据源的流量采集层、业务层、应用层和基于模块化设计的分析记录系统,所述流量采集层、所述业务层和所述应用层通过网络连接。有益效果在于:可在不影响既有网络正常运行的情况下完成对网络设备流量数据进行采集、协议解析以及流量特征分析;以安全管理为中心,采用大数据、人工智能与深度学习算法相结合的技术,能够采集和记录网络原始流量数据,分析网络安全态势、资产接入情况和业务互联关系,实现网络系统中的网络安全管理、资产管理和访问关系管理,为铁路网络信息安全管理提供新的技术手段。

Description

一种网络业务互联与流量采集分析记录系统
技术领域
本发明涉及铁路网络安全技术领域,具体涉及一种网络业务互联与流量采集分析记录系统。
背景技术
在信息化不断深入发展下,信息基础设施建设日益普及,网络与信息系统逐渐成为国家与人民离不开的重要基础设施,网络信息安全问题已然成为关乎国家安全的重大战略问题。随着铁路信息化的快速发展和业务多样化的需要,使铁路内部的网络规模不断扩大,网络应用越来越多,铁路业务系统对外开放程度日益增强,网络安全形势日益严峻。当前铁路综合信息网安全建设方面具备一定的安全防控能力,如统一部署接入认证、安全审计等主要安全措施,但面临日趋复杂的网络安全形式,以及各类新技术、新业务、新应用的不断涌现,网络安全形势不容乐观。
为了加强网络和信息的安全管理,从源头避免安全事故的发生,发明人提出并开发一套适用于铁路自身网络要求的网络业务互联与流量采集分析记录系统。
发明内容
本发明的目的就在于为了解决上述问题而提供一种网络业务互联与流量采集分析记录系统,本发明提供的诸多技术方案中优选的技术方案具有:该系统从网络的整体安全角度出发,能够实现对网络威胁行为的感知、关联和溯源,并监控网络安全隐患等技术效果,详见下文阐述。
为实现上述目的,本发明提供了以下技术方案:
本发明提供的一种网络业务互联与流量采集分析记录系统,包括接收数据源的流量采集层、业务层、应用层和基于模块化设计的分析记录系统,所述流量采集层、所述业务层和所述应用层通过网络连接;
所述流量采集层用于采集数据源所产生得到原始流量数据,并进行流量重组、会话重组、应用重组、协议分析和策略匹配;
所述业务层用于流量采集层采集到的流量数据的计算和存储,其采用大数据架构上的流事件处理、系统存储和实时事件流的分析,基于实时分析、关联分析、深度学习、事件聚合引擎对实时事件流进行分析,并通过REDIS、HBASE和HDFS技术处理流事件处理所需的存储;
所述应用层包括业务互联监控、境内外互联监控、业务安全分析、设备拓扑、安全域拓扑分析、可疑设备分析、互联统计、木马通道监控、黑白灰名单管理、角色管理、日志管理、采集引擎管理和接口管理。
作为优选,所述分析记录系统包括事件监控模块、流量监控模块、病毒监控模块、僵尸网络监控模块、设备互联模块、统计报表模块、配置管理模块和系统管理模块。
作为优选,所述事件监控模块用于监控系统流量中的异常流量,还原事件名称、发生时间、所在引擎IP、源IP、目的IP和源端口目的端口,并最终以表格的形式展示网络中发生的安全事件;所述事件监控模块还用于事件的条件查询、导出和查看详细信息;
所述流量监控模块用于从互联流量和互联频次两方面做信息采集和统计分析;
所述病毒监控模块用于实时监测蠕虫病毒、勒索病毒和木马后门传输程序,同时绘制指定时间段内对应病毒的传播轨迹;
所述僵尸网络监控模块用于使用僵尸网络通信特征检测及随机域名检测技术,检测网络访问僵尸网络控制端的行为,以提前发现APT攻击或隐蔽性高、危害性大的僵尸网络,从而定位僵尸网络客户端;
所述设备互联模块由设备互联查询子模块、设备关系拓扑子模块、业务互联拓扑子模块和设备活跃度子模块组成;所述设备互联查询子模块用于将流量数据与黑名单或白名单进行比对,得出黑名单或白名单的互联数据;所述设备关系拓扑子模块用于展示网络的拓扑结构;所述业务互联拓扑子模块用于显示流量数据在各个业务系统直接的交互关系;所述设备活跃度子模块用于根据设备的主动连接次数、被动连接次数,以冒泡图的形式进行设备活跃情况的展示;
所述统计报表模块用于对设备智能发现情况、流量各协议占比情况、活跃主机排行、违规内容发现情况及安全事件进行统计;
所述配置管理模块用于管理所述分析记录系统运行的基础配置,包括引擎管理、封堵配置、时间策略、Syslog上报配置、样本文件上报配置、特征库升级配置、自定义特征、Pcap包留存配置、Pcap包下载、资产管理和非法外联;
所述系统管理模块用于对登录用户、登录角色、密码安全策略、设置用户唯一性检查、登录超时时间、最大在线用户数以及登录安全进行设置。
作为优选,所述数据源的数据来源为汇聚交换机、接入交换机和核心交换机。
综上,本发明的有益效果在于:1、可在不影响既有网络正常运行的情况下完成对网络设备流量数据进行采集、协议解析以及流量特征分析;其次利用人工智能与深度学习算法对网络流量进行深度分析,从原始流量数据提取特征后训练模型,再次感知网络威胁并对攻击入侵行为进行画像,对攻击手段使用机器学习进行建模,最后对海量数据进行关联分析和攻击溯源;
2、以安全管理为中心,采用大数据、人工智能与深度学习算法相结合的技术,能够采集和记录网络原始流量数据,分析网络安全态势、资产接入情况和业务互联关系,实现网络系统中的网络安全管理、资产管理和访问关系管理,为铁路网络信息安全管理提供新的技术手段。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的系统架构图;
图2是本发明的系统功能结构图。
附图标记说明如下:
1、数据源;2、流量采集层;3、业务层;4、应用层;5、分析记录系统;5a、事件监控模块;5b、流量监控模块;5c、病毒监控模块;5d、僵尸网络监控模块;5e、设备互联模块;5f、统计报表模块;5g、配置管理模块;5h、系统管理模块。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
参见图1-图2所示,本发明提供了一种网络业务互联与流量采集分析记录系统,包括接收数据源1的流量采集层2、业务层3、应用层4和基于模块化设计的分析记录系统5,流量采集层2、业务层3和应用层4通过网络连接;
流量采集层2用于采集数据源1所产生得到原始流量数据,并进行流量重组、会话重组、应用重组、协议分析和策略匹配;
业务层3用于流量采集层2采集到的流量数据的计算和存储,其采用大数据架构上的流事件处理、系统存储和实时事件流的分析,基于实时分析、关联分析、深度学习、事件聚合引擎对实时事件流进行分析,并通过REDIS、HBASE和HDFS技术处理流事件处理所需的存储;
应用层4包括业务互联监控、境内外互联监控、业务安全分析、设备拓扑、安全域拓扑分析、可疑设备分析、互联统计、木马通道监控、黑白灰名单管理、角色管理、日志管理、采集引擎管理和接口管理。
作为可选的实施方式,分析记录系统5包括事件监控模块5a、流量监控模块5b、病毒监控模块5c、僵尸网络监控模块5d、设备互联模块5e、统计报表模块5f、配置管理模块5g和系统管理模块5h;
事件监控模块5a用于监控系统流量中的异常流量,如访问非法链接、频繁尝试连接设备和设备尝试外联等,还原事件名称、发生时间、所在引擎IP、源IP、目的IP和源端口目的端口,并最终以表格的形式展示网络中发生的安全事件;事件监控模块5a还用于事件的条件查询、导出和查看详细信息;
流量监控模块5b用于从互联流量和互联频次两方面做信息采集和统计分析,其中互联流量监控是指动态统计流量表的主机互联流量大小,互联频次监控是指频次动态统计一段时间内的主机互联频次数据;
病毒监控模块5c用于实时监测蠕虫病毒、勒索病毒和木马后门传输程序,同时绘制指定时间段内对应病毒的传播轨迹;
僵尸网络监控模块5d用于使用僵尸网络通信特征检测及随机域名检测技术,检测网络访问僵尸网络控制端的行为,以提前发现APT攻击或隐蔽性高、危害性大的僵尸网络,从而定位僵尸网络客户端,用于病毒传播的事后分析;
设备互联模块5e由设备互联查询子模块、设备关系拓扑子模块、业务互联拓扑子模块和设备活跃度子模块组成;设备互联查询子模块用于将流量数据与黑名单或白名单进行比对,得出黑名单或白名单的互联数据;设备关系拓扑子模块用于展示网络的拓扑结构;业务互联拓扑子模块用于显示流量数据在各个业务系统直接的交互关系;设备活跃度子模块用于根据设备的主动连接次数、被动连接次数,以冒泡图的形式进行设备活跃情况的展示;
统计报表模块5f用于对设备智能发现情况、流量各协议占比情况、活跃主机排行、违规内容发现情况及安全事件进行统计;根据要统计的内容和数据的展现形式,生成报表文件下载到本地;
配置管理模块5g用于管理分析记录系统5运行的基础配置,包括引擎管理、封堵配置、时间策略、Syslog上报配置、样本文件上报配置、特征库升级配置、自定义特征、Pcap包留存配置、Pcap包下载、资产管理和非法外联;
系统管理模块5h用于对登录用户、登录角色、密码安全策略、设置用户唯一性检查、登录超时时间、最大在线用户数以及登录安全进行设置;
数据源1的数据来源为汇聚交换机、接入交换机和核心交换机。
本系统以安全管理为中心,采用大数据、人工智能与深度学习算法相结合的技术,能够采集和记录网络原始流量数据,分析网络安全态势、资产接入情况和业务互联关系,实现网络系统中的网络安全管理、资产管理和访问关系管理,为铁路网络信息安全管理提供新的技术手段。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (4)

1.一种网络业务互联与流量采集分析记录系统,包括接收数据源(1)的流量采集层(2)、业务层(3)、应用层(4)和基于模块化设计的分析记录系统(5),所述流量采集层(2)、所述业务层(3)和所述应用层(4)通过网络连接;
所述流量采集层(2)用于采集数据源(1)所产生得到原始流量数据,并进行流量重组、会话重组、应用重组、协议分析和策略匹配;
所述业务层(3)用于流量采集层(2)采集到的流量数据的计算和存储,其采用大数据架构上的流事件处理、系统存储和实时事件流的分析,基于实时分析、关联分析、深度学习、事件聚合引擎对实时事件流进行分析,并通过REDIS、HBASE和HDFS技术处理流事件处理所需的存储;
所述应用层(4)包括业务互联监控、境内外互联监控、业务安全分析、设备拓扑、安全域拓扑分析、可疑设备分析、互联统计、木马通道监控、黑白灰名单管理、角色管理、日志管理、采集引擎管理和接口管理。
2.根据权利要求1所述一种网络业务互联与流量采集分析记录系统,其特征在于:所述分析记录系统(5)包括事件监控模块(5a)、流量监控模块(5b)、病毒监控模块(5c)、僵尸网络监控模块(5d)、设备互联模块(5e)、统计报表模块(5f)、配置管理模块(5g)和系统管理模块(5h)。
3.根据权利要求2所述一种网络业务互联与流量采集分析记录系统,其特征在于:所述事件监控模块(5a)用于监控系统流量中的异常流量,还原事件名称、发生时间、所在引擎IP、源IP、目的IP和源端口目的端口,并最终以表格的形式展示网络中发生的安全事件;所述事件监控模块(5a)还用于事件的条件查询、导出和查看详细信息;
所述流量监控模块(5b)用于从互联流量和互联频次两方面做信息采集和统计分析;
所述病毒监控模块(5c)用于实时监测蠕虫病毒、勒索病毒和木马后门传输程序,同时绘制指定时间段内对应病毒的传播轨迹;
所述僵尸网络监控模块(5d)用于使用僵尸网络通信特征检测及随机域名检测技术,检测网络访问僵尸网络控制端的行为,以提前发现APT攻击或隐蔽性高、危害性大的僵尸网络,从而定位僵尸网络客户端;
所述设备互联模块(5e)由设备互联查询子模块、设备关系拓扑子模块、业务互联拓扑子模块和设备活跃度子模块组成;所述设备互联查询子模块用于将流量数据与黑名单或白名单进行比对,得出黑名单或白名单的互联数据;所述设备关系拓扑子模块用于展示网络的拓扑结构;所述业务互联拓扑子模块用于显示流量数据在各个业务系统直接的交互关系;所述设备活跃度子模块用于根据设备的主动连接次数、被动连接次数,以冒泡图的形式进行设备活跃情况的展示;
所述统计报表模块(5f)用于对设备智能发现情况、流量各协议占比情况、活跃主机排行、违规内容发现情况及安全事件进行统计;
所述配置管理模块(5g)用于管理所述分析记录系统(5)运行的基础配置,包括引擎管理、封堵配置、时间策略、Syslog上报配置、样本文件上报配置、特征库升级配置、自定义特征、Pcap包留存配置、Pcap包下载、资产管理和非法外联;
所述系统管理模块(5h)用于对登录用户、登录角色、密码安全策略、设置用户唯一性检查、登录超时时间、最大在线用户数以及登录安全进行设置。
4.根据权利要求1所述一种网络业务互联与流量采集分析记录系统,其特征在于:所述数据源(1)的数据来源为汇聚交换机、接入交换机和核心交换机。
CN202010045464.XA 2020-01-16 2020-01-16 一种网络业务互联与流量采集分析记录系统 Pending CN111131332A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010045464.XA CN111131332A (zh) 2020-01-16 2020-01-16 一种网络业务互联与流量采集分析记录系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010045464.XA CN111131332A (zh) 2020-01-16 2020-01-16 一种网络业务互联与流量采集分析记录系统

Publications (1)

Publication Number Publication Date
CN111131332A true CN111131332A (zh) 2020-05-08

Family

ID=70490015

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010045464.XA Pending CN111131332A (zh) 2020-01-16 2020-01-16 一种网络业务互联与流量采集分析记录系统

Country Status (1)

Country Link
CN (1) CN111131332A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111711616A (zh) * 2020-05-29 2020-09-25 武汉蜘易科技有限公司 网络区域边界安全防护系统、方法和设备
CN112422568A (zh) * 2020-11-19 2021-02-26 国网宁夏电力有限公司电力科学研究院 新能源厂站非法网络通道的识别方法及厂站系统
CN113098791A (zh) * 2021-03-30 2021-07-09 中山大学 一种多业务网络流的成分占比分析方法
CN114157506A (zh) * 2021-12-09 2022-03-08 中科计算技术西部研究院 基于流量和活跃度分析的网络异常扫描方法、系统及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7385924B1 (en) * 2003-09-30 2008-06-10 Packeteer, Inc. Enhanced flow data records including traffic type data
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7385924B1 (en) * 2003-09-30 2008-06-10 Packeteer, Inc. Enhanced flow data records including traffic type data
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111711616A (zh) * 2020-05-29 2020-09-25 武汉蜘易科技有限公司 网络区域边界安全防护系统、方法和设备
CN111711616B (zh) * 2020-05-29 2022-07-12 武汉蜘易科技有限公司 网络区域边界安全防护系统、方法和设备
CN112422568A (zh) * 2020-11-19 2021-02-26 国网宁夏电力有限公司电力科学研究院 新能源厂站非法网络通道的识别方法及厂站系统
CN113098791A (zh) * 2021-03-30 2021-07-09 中山大学 一种多业务网络流的成分占比分析方法
CN113098791B (zh) * 2021-03-30 2022-05-06 中山大学 一种多业务网络流的成分占比分析方法
CN114157506A (zh) * 2021-12-09 2022-03-08 中科计算技术西部研究院 基于流量和活跃度分析的网络异常扫描方法、系统及存储介质

Similar Documents

Publication Publication Date Title
CN112651006B (zh) 一种电网安全态势感知系统
CN111131332A (zh) 一种网络业务互联与流量采集分析记录系统
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
CN111277587A (zh) 基于行为分析的恶意加密流量检测方法及系统
Ganame et al. A global security architecture for intrusion detection on computer networks
Corona et al. Information fusion for computer security: State of the art and open issues
KR100424724B1 (ko) 네트워크 흐름 분석에 의한 침입 탐지 장치
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
Bidou Security operation center concepts & implementation
CN114553537A (zh) 一种面向工业互联网的异常流量监测方法和系统
Rizvi et al. Application of artificial intelligence to network forensics: Survey, challenges and future directions
Skopik et al. synERGY: Cross-correlation of operational and contextual data to timely detect and mitigate attacks to cyber-physical systems
CN114205816B (zh) 一种电力移动物联网信息安全架构及其使用方法
CN115378711A (zh) 一种工控网络的入侵检测方法和系统
Meijerink Anomaly-based detection of lateral movement in a microsoft windows environment
CN116939589A (zh) 一种基于校园无线网的学生上网监控系统
Affinito et al. Spark-based port and net scan detection
Rosa et al. Abnormal internet usage detection in LAN Islamic University of Riau Indonesia
Abudalfa et al. Evaluating performance of supervised learning techniques for developing real-time intrusion detection system
Xing [Retracted] Design of a Network Security Audit System Based on Log Data Mining
Lingkang et al. Detection of abnormal data flow at network boundary of renewable energy power system
Kadam et al. Various approaches for intrusion detection system: an overview
CN114760083A (zh) 一种攻击检测文件的发布方法、装置及存储介质
Liu et al. Behavior rhythm: A new model for behavior visualization and its application in system security management
Nalavade et al. Intrusion prevention systems: data mining approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200508