CN112351024B

CN112351024B - 一种公网通信安全监测系统及方法

Info

Publication number: CN112351024B
Application number: CN202011209445.2A
Authority: CN
Inventors: 邹钟璐; 罗金满; 陈小群; 黄贺平
Original assignee: Guangdong Power Grid Co Ltd; Dongguan Power Supply Bureau of Guangdong Power Grid Co Ltd
Current assignee: Guangdong Power Grid Co Ltd; Dongguan Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date: 2020-11-03
Filing date: 2020-11-03
Publication date: 2023-04-07
Anticipated expiration: 2040-11-03
Also published as: CN112351024A

Abstract

本发明公开了一种公网通信安全监测系统及方法，系统包括物理层模块、用于监测网络硬件实体，执行层模块、控制系统、调度层模块和交互层模块；其探针工作方法，包括通过数据包抓取模块捕获被动捕获接入该安全监测系统的网络中被流量探针识别的数据包；将流表维护模块将数据包按照特定的规则成数据包数据流；通过解码模块和识别模块完成对该数据包数据流的源IP和目的IP对的网络流量的协议和应用识别，以及基本的流量统计和分析；通过性能分析模块完成数据包数据流的协议和业务性能测量，实现了对公网租用资源及其运行状态的可知、可信、可视化管理，提升了公网通信服务保障能力，为公网资源的运行管理和评价提供了技术支撑平台。

Description

一种公网通信安全监测系统及方法

技术领域

本发明涉及电力通信技术领域，具体涉及一种公网通信安全监测系统及方法。

背景技术

目前公网通信广泛的应用于电力通信的应急通信、互联网接入、远程抄表、移动办公等领域，并成为电力通信网的重要组成部分，为电网生产和企业管理发挥了重要作用，未来随着智能电网发展，公网通信的应用规模将进一步扩大，而电网用户对规模庞大的公网通信安全与服务保障管理方面缺少有效的平台支撑，存在以下问题：

采用GPRS等公网无线通道存在安全隐患，攻击者可通过截获并模仿信号，对电网设备进行误控制，引发电网事故，成为整个电力通信网安全的短板，影响社会公共安全，如何通过技术手段监测公网网络行为成为了公网管理的难点；

缺少有效的通信监控和故障定位手段，通信故障不能及时发现，不能准确定位故障位置，难以判断电网装置还是运营商通道故障，导致双方职责不清，相互推诿延缓故障处理，或者同时处理，频繁去现场，效率低下。

随着电网公司公网通信由分散管理向统一规范管理变革，迫切需要对规模庞大但分散在多家运营商平台的电网租用的公网数据进行有效的一体化管理与集约化运维。

发明内容

本发明的目的在于提供一种公网通信安全监测系统及方法，以解决现有技术中的在公网通信的应用规模将进一步扩大的前提下，电网用户对规模庞大的公网通信安全与服务保障管理方面缺少有效的平台支撑技术问题。

为解决上述技术问题，本发明具体提供下述技术方案：

本发明提供了一种公网通信安全监测系统，包括物理层模块、执行层模块、调度层模块和交互层模块；

所述物理层模块，用于测试网络硬件实体部署的物理位置；

所述执行层模块，用于监测网络硬件实体，并对网络硬件实体的综合流量性能分析；

所述调度层模块，用于连接内置于网络硬件实体的控制系统，并对控制系统进行网络硬件实体监测任务事件进行调度，监测结果采集和存储，以及监测结果的二次分析和预警；

所述交互层模块，用于连接控制系统内的对网络硬件实体监测任务事件产生的报表的子系统，并提供用于系统配置管理的展示界面。

可选的，所述物理层模块、执行层模块、调度层模块和交互层模块组合成的管理中心组件架构于一探针模块，所述探针模块通过在物理层模块与执行层链接的出口链路上设置流量探针来完成物理层模块上的流量任务事件的识别、抓取和分析。

可选的，所述探针模块包括任务接收管理模块、升级管理模块、数据包抓取模块、流表维护模块、解码模块、识别模块、性能测试模块以及监测结果管理模块；

所述任务接收管理模块，用于完成对控制系统中的子系统发送的对网络硬件实体的监测和升级的任务事件接收、处理和响应反馈工作；

所述升级管理模块，用于连接解码模块和识别模块，根据系统输入的升级任务参数对解码模块、识别模块分别进行相应的解码规则、识别规则的升级；

所述数据包抓取模块，用于通过采用兼容通用的TCPDUMP函数库以及数据过滤规则，并在流量探针中设置调用TCPDUMP函数库内的函数的链接，利用流量探针对对物理层出口链路的流量数据包进行采集；

所述流表维护模块，用于通过使用源IP和目的IP对记录节点保存一个指向链路ID结构的指针，当每新建立一条流量数据流，就分析流量数据流产生的数据包的地址属于哪一条链路，并将该链路的虚链路ID结构的指针填到流记录节点中；

所述性能测试模块，用于通过对在数据包捕获模块获得数据包进行分析，并借助于流表维护模块中数据包到达序列和状态的维护，利用解码模块和协议识别模块中的结果，分别完成链路层性能分析、网络层性能分析、传输层性能分析和应用层性能分析功能；

所述监测结果管理模块，用于对数据包抓取模块、流表管理模块、解码模块、识别模块和性能分析模块中产生的监测结果的维护管理工作，并接收由子系统传递过来的监测结果采集的命令，并按需给予响应。

可选的，所述监测系统还包括报表呈现模块、后台数据库模块和通信模块；

所述报表呈现模块，设置在位于物理层模块的测试硬件实体的控制设备的数据接口卡上，用于完成性能测量数据的报表与展示功能；

所述后台数据库模块，用于采用主从架构，针对执行层模块分析的网络流量的数据特点及业务特点，利用水平分割、垂直分割、读写分离、缓存和压缩技术，对物理层模块产生的网络新事件的数据存储和查询；

所述安全通信模块，用于实现控制系统与子系统之间的认证和安全通信工作。

可选的，流表维护模块包括一级结构和二级结构，所述一级结构为源IP和目的IP对记录节点，所述二级结构为Flow指针；

所述一级结构和所述二级结构具体实现的功能包括：流表初始化、流表项查找、流表项增加、流表项更新、流表项删除、流表项老化以及流表项导出。

可选的，所述解码模块连接接入该安全监测系统的网络的数据链路层到应用层，并对网络的数据链路层到应用层的通信协议和应用进行解码分析，所述解码模块通过扩展NetPDL方式实现。

可选的，控制系统在报表呈现模块的控制子系统采用WEB界面方式实现，WEB界面接收物理层模块的用户的配置信息，向接入该安全监测系统的网络的本地数据库中添加报表呈现任务，并向后台监听程序下达任务，后台监听程序启动对应计时器，在特定的时间生成报表监控结果，并写入本地数据库。

可选的，所述安全监测系统用于将物理层模块的网络硬件实体、性能测试模块的测试子系统和探针模块的流量探针的数据通过写入主数据库，利用一台本地数据库或多台本地数据库从主数据库中进行数据复制。

本发明还提供了公网通信安全监测方法，包括步骤：

S100、通过数据包抓取模块捕获被动捕获接入该安全监测系统的网络中被流量探针识别的数据包；

S200、将流表维护模块将数据包按照特定的规则成数据包数据流；

S300、通过解码模块和识别模块完成对该数据包数据流的源IP和目的IP对的网络流量的协议和应用识别，以及基本的流量统计和分析；

S400、通过性能分析模块完成数据包数据流的协议和业务性能测量。

本发明与现有技术相比较具有如下有益效果：

发明对电力通信公网的网络性能与业务特征进行了评估与提取，实现了对公网租用资源及其运行状态的可知、可信、可视化管理，提升了公网通信服务保障能力，为公网资源的运行管理和评价提供了技术支撑平台，以安全、经济地支撑各类电力业务的有效运行，从而有力推进电网精益化一体化管控水平。

此外，通过DPI流量包深度检测实现了对公网网络行为的分析，结合访问控制行为控制功能，有助于消除非合法授权用户的非法访问，极大提升公网通信的安全防控能力。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。

图1为本发明实施例基于被动网络流量探针装置的公网安全监测系统的结构框架示意图；

图2为本发明实施例基于被动网络流量探针装置的公网安全监测系统的被动流量探针软件结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1和图2所示，本发明提供了一种公网通信安全监测系统，包括物理层模块、执行层模块、调度层模块和交互层模块，各模块具体功能如下：

物理层模块，用于测试网络硬件实体部署的物理位置。

执行层模块，用于监测网络硬件实体，并对网络硬件实体的综合流量性能分析。

执行层模块通过两种方式对网络链路及关键业务完成流量和协议分析、性能分析、性能测试，以及业务流量特征等工作。

其中一种工作方式为，通过旁路方式将公网网络总出口的数据流量经过分光、镜像或其它方式复制并发送到流量探针设备，该模块作为整个系统的入口开始对数据进行处理；

另一种工作方式为为，通过调度管理平面下达测试任务并生成测试数据包，将测试数据包注入到监控网络中，通过分析测试数据包的行为和到达时间，开展对网络性能的测量和评估。

调度层模块，用于连接内置于网络硬件实体的控制系统，并对控制系统进行网络硬件实体监测任务事件进行调度，监测结果采集和存储，以及监测结果的二次分析和预警。

交互层模块，用于连接控制系统内的对网络硬件实体监测任务事件产生的报表的子系统，并提供用于系统配置管理的展示界面。

此外，该公网通信安全监测系统还包括将物理层模块、执行层模块、调度层模块和交互层模块组合成的管理中心组件架构在网络应用层上的探针模块，探针模块通过在物理层模块与执行层链接的出口链路上设置流量探针来完成物理层模块上的流量任务事件的识别、抓取和分析。

具体地，探针模块包括任务接收管理模块、升级管理模块、数据包抓取模块、流表维护模块、解码模块、识别模块、性能测试模块以及监测结果管理模块。

任务接收管理模块用于完成对控制系统中的子系统发送的对网络硬件实体的监测和升级的任务事件接收、处理和响应反馈工作；

任务接收和升级管理模块可以接收的来自于控制设备中的控制子系统的参数有以下几种类型：

1)数据包捕获和过滤规则；

2)流表项管理参数；

3)启动的解码协议；

4)解码模块升级；

5)解码规则升级；

6)协议识别模块升级；

7)协议识别规则升级；

8)性能测量选项。

升级管理模块主要完成流量探针中的解码模块(包含解码模块自身的升级和解码规则的升级)和识别模块(包含识别模块自身的升级和识别规则的升级)相关的软件升级工作。在升级管理模块中，接收由任务接收和管理模块传递过来的升级信息(解码模块或者协议识别模块的升级消息)，解析参数后并完成相应的升级操作。

数据包抓取模块、通过采用兼容通用的TCPDUMP函数库以及数据过滤规则，并在流量探针中设置调用TCPDUMP函数库内的函数的链接，利用流量探针对对物理层出口链路的流量数据包进行采集；

兼容已有业界通用产品所支持的过滤规则，包括：

1)捕获链路的ID号，指定捕获哪条链路/虚链路上的数据；

2)起始时间，捕获的启动时间和停止时间；

3)捕获字节数；

4)捕获包个数；

5)包长度，捕获小于指定包长度的数据包；

6)BPF过滤规则，可以兼容任何tcpdump支持的过滤规则。

流表维护模块，通过使用源IP和目的IP对记录节点保存一个指向链路ID结构的指针，当每新建立一条流量数据流，就分析流量数据流产生的数据包的地址属于哪一条链路，并将该链路的虚链路ID结构的指针填到流记录节点中。

流表维护模块是整个流量探针的系统中的核心数据结构，其核心表项采用多元组(在标准的源地址、目的地址、源端口、目的端口和协议所定义的五元组基础上扩展的多元组，扩展项包括应用层协议类型、流量指标和性能指标，等等)的形式出现。

性能测试模块，通过对在数据包捕获模块获得数据包进行分析，并借助于流表维护模块中数据包到达序列和状态的维护，利用解码模块和协议识别模块中的结果，分别完成链路层性能分析、网络层性能分析、传输层性能分析和应用层性能分析功能。

在性能测量模块中，通过对在数据包捕获模块获得数据包进行分析，并借助于流表维护模块中数据包到达序列和状态的维护，利用解码模块和协议识别模块中的结果，分别完成链路层性能分析、网络层性能分析、传输层性能分析和应用层性能分析等功能。特别的，在完成应用层业务性能分析的过程中，系统将实现应用业务溯源模块，以实时动态追溯某一个具体应用层业务的完成过程，记录每一个步骤上响应时间，进而针对数据、语音、视频、多媒体和其他由用户自定义的扩展的应用层业务的性能测试的工作。

监测结果管理模块，用于对数据包抓取模块、流表管理模块、解码模块、识别模块和性能分析模块中产生的监测结果的维护管理工作，并接收由子系统传递过来的监测结果采集的命令，并按需给予响应。

在监测结果管理模块中，包括监测结果添加、监测结果更新、监测结果查询和监测结果提取等模块的功能主要围绕着监测结果队列展开。监测结果队列维护在数据包捕获模块、流表管理模块、解码模块、识别模块和性能分析模块等产生的所有监测结果。并且，适应网络流量的时间局部性和空间局部性的特征，在监测结果管理模块中增加了监测结果缓存队列。

通过监测结果缓存系列，既可以快速响应监测结果查询和提取的请求，又能够将监测结果的动态增加和更新(面向监测结果缓存队列完成)与监测结果的周期性导出、存储(面向监测结果队列完成)相区隔和独立，可增强监测结果管理的并行性和效率。

监测系统还包括报表呈现模块、后台数据库模块和通信模块。

具体地，报表呈现模块，设置在位于物理层模块的测试硬件实体的控制设备的数据接口卡上，完成性能测量数据的报表与展示功能。

报表呈现子系统的软件架构由表示层、Business层、数据访问层和数据存储。在表示层，采用UI组件和UI处理组件建立基本视图，接收报表监控子系统中表单提交的数据，然后通过动作进行处理，再转发到对应的网页。Business层主要负责业务管理，提供相应的服务接口和Business流。

数据库访问层我们采用数据库的访问组件，通过数据库访问组件与数据库建立数据通道，并使用存储过程对报表/呈现子系统中的数据进行增删改查等操作。

后台数据库模块，采用主从架构，针对执行层模块分析的网络流量的数据特点及业务特点，采用水平分割、垂直分割、读写分离、缓存和压缩技术，对物理层模块产生的网络新事件的数据存储和查询。

在高可用性上，从硬件和数据共享两个方面来考虑，一方面采用硬件冗余的方式，另一方面，在数据共享上，主要考虑了数据的复制，如上述主从架构中的同步复制。在可扩展上，可采用硬件升级的方式，在软件层面，采用水平分割和垂直分割，将数据分布到多个分布式的数据库中。

其中，数据访问代理与控制层，将系统中各个子系统的数据，根据其业务特征，进行合理的分割。同时，数据访问代理与控制层把数据存储到各个不同的数据库中，对应用服务层的查询请求，从各个数据库中取得结果后返回结果集。

在具体技术层面上，将控制实体、测试子系统和流量探针的数据通过写入主数据库，采用一台从数据库或多台从数据库，从主数据库中进行复制。当主数据库失效时，由数据库监测主控程序发出切换命令，切换到从数据库继续工作。采用该架构，可以有效避免数据库单点故障，提高数据的可用性。

采用数据库访问代理与控制层中的预处理模块，将数据根据业务特点及用户的实际需求，预处理成多种维度的数据供用户查看。预处理模块可以预先将原始数据进行水平分割和垂直分割。水平分割能提高在用户查询的响应度，用户数据分析的处理速度。特别地，针对网络业务数据的特点，我们针对外部地址这一类特殊的数据采用垂直分割，采用这一技术，可大大缩减用户查询数据的响应度。

当数据具有多个复制副本之后，在数据访问与控制层，采用读写分离技术，将业务数据的入库过程与用户的查询分开，不仅可以提高用户对数据获取响应的时间，还可以提高数据库的写入和读取的性能。

另外，在数据库的前端，采用cache技术，将用户经查询的数据集缓存下来。提高数据库的性能。

在数据库选择上，将采用目前最为流行的开放源代码的数据库MySQL。它由一个服务器守护程序mysqld和很多不同的客户程序和库组成，是完全网络化的跨平台的关系型数据库系统，是一个多用户、多线程的SQL数据库，是一个客户机/服务器结构的应用。

本实施例中的安全通信模块负责完成与控制子系统间的认证和安全通信工作。这个模块在每一个子系统中都是必备的模块，并且整个系统中采用统一标准实现。

流表维护模块包括两级结构，一级结构是源IP和目的IP对记录节点，二级结构是Flow指针，一级结构和二级结构具体实现的功能包括：流表初始化、流表项查找、流表项增加、流表项更新、流表项删除、流表项老化以及流表项导出。

解码模块连接接入该安全监测系统的网络的数据链路层到应用层，并对网络的数据链路层到应用层的通信协议和应用进行解码分析，解码模块通过扩展NetPDL方式实现。

为增强该模块的可扩展性、适用于不同监测环境下的不同网络协议和网络业务系统的协议解码分析需求，解码模块将采用扩展NetPDL的方式实现，即ExNetPDL引擎。NetPDL(Network Protocol Description Language)是一种描述OSI第二层到OSI第七层的描述语言。NetPDL语言是一种于XML的语言，它通过字段对齐，创建一个能够分析所有协议独特的数据库。

NetPDL的引擎设计独立于NetVM运行，每一个NetPDL引擎都具有独立的NetPDL数据库。NetPDL具有强大的扩展性、可视性和独立性的特色。PDML语言是一个用来描述数据包解码信息的简单的标记语言。

PDML一中标记语言，与NetPDL密切相关。NetPDL引擎使用该语言理解NetPDL的可视化扩展，创建每一个数据包的详细视图。

一个数据包的详细视图是一个XML文件，包含所有有关协议和在一个数据包中最重要字段信息。PDML文件列出所有捕获的数据包，并分析每个数据包的协议，以及每一个字段的重要信息。PSML语言与PDML相似，但是它描述的是数据包的概要视图。

识别模块主要完成应用层业务的在线识别工作。在识别模块中主要完成识别引擎(完成具体识别的过程)和识别规则管理两部分的功能。系统使用脚本解释器解析出读入的识别脚本中所描述的识别规则并将结果交给识别规则树维护模块。识别规则树维护模块按照脚本中描述的识别规则的包长限制信息和优先级信息构建识别操作树。

协议识别引擎使用数据包，数据包所属流表的流记录以及识别规则树信息实现流量识别工作。识别规则的描述主要是对主要的识别方法进行模块，通过描述一个完整识别方法由哪几种基本的识别操作组合而成，实现复杂的流量识别方法的描述，以及复杂的流量识别方法描述。

为提高识别引擎的识别效率，识别特征组织拟采用如下两种方法优化识别规则的组织：

1)对于经常被识别的流量标注较高的优先级，优先识别；

2)根据特征出现的数据包，进行识别特征分组，提高识别速度。

控制系统在报表呈现模块的控制子系统采用WEB界面方式实现，WEB界面接收物理层模块的用户的配置信息，向接入该安全监测系统的网络的本地数据库中添加报表呈现任务，并向后台监听程序下达任务，后台监听程序启动对应计时器，在特定的时间生成报表监控结果，并写入本地数据库。

安全监测系统将物理层模块的网络硬件实体、性能测试模块的测试子系统和探针模块的流量探针的数据通过写入主数据库，采用一台本地数据库或多台本地数据库从主数据库中进行数据复制。

本发明提供了一种上述公网通信安全监测系统的探针工作方法，具体包括步骤：

以上实施例仅为本申请的示例性实施例，不用于限制本申请，本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内，对本申请做出各种修改或等同替换，这种修改或等同替换也应视为落在本申请的保护范围内。

Claims

1.一种公网通信安全监测系统，其特征在于，包括物理层模块、执行层模块、调度层模块和交互层模块；

所述物理层模块，用于测试网络硬件实体部署的物理位置；

所述交互层模块，用于连接控制系统内的对网络硬件实体监测任务事件产生的报表的子系统，并提供用于系统配置管理的展示界面；

所述物理层模块、执行层模块、调度层模块和交互层模块组合成的管理中心组件架构于一探针模块，所述探针模块通过在物理层模块与执行层链接的出口链路上设置流量探针来完成物理层模块上的流量任务事件的识别、抓取和分析；

所述探针模块包括任务接收管理模块、升级管理模块、数据包抓取模块、流表维护模块、解码模块、识别模块、性能测试模块以及监测结果管理模块；

所述数据包抓取模块，用于通过采用兼容通用的TCPDUMP函数库以及数据过滤规则，并在流量探针中设置调用TCPDUMP函数库内的函数的链接，利用流量探针对物理层出口链路的流量数据包进行采集；

所述监测结果管理模块，用于对数据包抓取模块、流表管理模块、解码模块、识别模块和性能分析模块中产生的监测结果的维护管理工作，并接收由子系统传递过来的监测结果采集的命令，并按需给予响应；

物理层模块的网络硬件实体、测试子系统和流量探针的数据通过写入主数据库，采用一台从数据库或多台从数据库，从主数据库中进行复制；当主数据库失效时，由数据库监测主控程序发出切换命令，切换到从数据库继续工作。

2.根据权利要求1所述的一种公网通信安全监测系统，其特征在于，所述监测系统还包括报表呈现模块、后台数据库模块和安全通信模块；

3.根据权利要求2所述的一种公网通信安全监测系统，其特征在于，流表维护模块包括一级结构和二级结构，所述一级结构为源IP和目的IP对记录节点，所述二级结构为Flow指针；

4.根据权利要求1所述的一种公网通信安全监测系统，其特征在于，所述解码模块连接接入该安全监测系统的网络的数据链路层到应用层，并对网络的数据链路层到应用层的通信协议和应用进行解码分析，所述解码模块通过扩展NetPDL方式实现。

5.根据权利要求1所述的一种公网通信安全监测系统，其特征在于，控制系统在报表呈现模块的控制子系统采用WEB界面方式实现，WEB界面接收物理层模块的用户的配置信息，向接入该安全监测系统的网络的本地数据库中添加报表呈现任务，并向后台监听程序下达任务，后台监听程序启动对应计时器，在特定的时间生成报表监控结果，并写入本地数据库。

6.一种公网通信安全监测方法，基于如权利要求1-5任一项所述的公网通信安全监测系统实现，其特征在于，包括步骤：

S200、流表维护模块将数据包按照特定的规则形成数据包数据流；