CN112583817A - 网络震荡监测与预警方法、装置和介质 - Google Patents
网络震荡监测与预警方法、装置和介质 Download PDFInfo
- Publication number
- CN112583817A CN112583817A CN202011435664.2A CN202011435664A CN112583817A CN 112583817 A CN112583817 A CN 112583817A CN 202011435664 A CN202011435664 A CN 202011435664A CN 112583817 A CN112583817 A CN 112583817A
- Authority
- CN
- China
- Prior art keywords
- network
- information
- oscillation
- address
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0888—Throughput
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Environmental & Geological Engineering (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络震荡监测与预警方法、装置和介质,该方法包括:利用身份识别库对接入网络的设备的操作系统进行身份识别认证;抓取进入设备的报文;以及根据IP地址和/或MAC地址对抓取的报文进行拆分并分析,以统计网络内各设备的单位时间的发包频率和发包个数,并根据统计结果绘制数据图像以与基准流量模型进行比较。当所述数据图像持续预定时间地超过所述基准流量模型预定范围时,判定出现网络震荡事件。从而,能够提升网络安全性以及对网络中的环路、ARP欺骗攻击进行实时监控、识别、溯源。
Description
技术领域
本发明涉及计算机技术邻域,具体地,涉及网络震荡监测与预警方法、装置和介质。
背景技术
以太网在互联网通信中被广泛使用,极大地方便了人们的工作和生活,然而由于以太网自身的技术特性(CSMA/CD带冲突检测的载波监听多路访问)限制,导致其容易受到网络环路和恶意攻击的影响,从而引起网络异常而使用户不能正常使用网络。
如果网络上的一台设备意外接成环路,对整个网络将是灾难性的,其会在短时间内产生海量报文而占满整个网络带宽,导致所有计算机都无法正常使用网络,从而造成网络瘫痪并影响工作。业界将其形象地称作“广播风暴”,可见其危害性之大。
鉴于此,需要对接入系统中的设备进行验证,以防止设备能够随意接入网络而产生例如网络环路和恶意攻击这样的网络震荡。例如,现有技术将用户和设备、设备和IP地址做了静态绑定以解决该技术问题。然而,如果用户换了设备,或者设备换了IP地址则无法进行正常使用网络,则必须同步手工更改,从而导致使用受限,尤其是在大型网络中,这种静态绑定的技术方案不可行且效率极低。而且,现有技术通常对网络的通信质量无法进行评估,其没有自动监控机制,无法对网络质量(例如,带宽、时延等)进行客观且直观的评估,而且也无法快速实时获取网络问题的产生及其原因,反馈速度慢、排查原因耗时长且效率低下。
发明内容
鉴于以上情况而做出本发明,并且本发明的目的是提供一种网络震荡监测与预警方法、装置和介质,其能够提升网络安全性,对能够接入网络中的设备进行控制,从而使得随意接入网络中的设备无法进行网络通信,并且能够对网络中的环路、ARP(地址解析协议)欺骗攻击进行实时监控、识别、溯源。此外,本发明的网络震荡监测与预警方法、装置和介质还能够实时监控网络通信质量,对网络当前的通信质量(例如,吞吐、带宽、时延等)进行实时监控和评估;当发生通信质量差(即,网络震荡,典型场景为网络环路和ARP攻击)的情况时,能够第一时间识别、感知,并在网络震荡后快速找出引发震荡的源头即,引发震荡的设备,并且能够快速将网络震荡所对应的详细信息通知网管,方便后续快速处理网络震荡。
根据本发明的一个方面,提供一种网络震荡监测与预警方法,包括:
动态身份认证识别步骤,利用身份识别库对接入网络的设备的操作系统进行身份识别认证;
数据包抓取步骤,抓取进入所述设备的报文;以及
统计分析步骤,根据IP地址和/或MAC地址对抓取的所述报文进行拆分并分析,以统计网络内各设备的单位时间的发包频率和发包个数,并根据统计结果绘制数据图像以与基准流量模型进行比较,其中,
根据预设的判定标准判定所述数据图像是否出现流量异常,从而感知网络震荡事件。
进一步地,在所述动态身份认证识别步骤中,提取设备信息以及通过识别认证的身份信息,以建立所述身份信息与所述设备信息的映射。
进一步地,所述网络震荡监测与预警方法还包括:
通知步骤,在判定出现所述网络震荡事件的情况下,发送通知信息,并且
所述通知信息包括所述设备信息、所述身份信息和震荡事件信息。
进一步地,在所述统计分析步骤中,能够发现IP地址和MAC地址的对应关系与系统预先存储的对应关系不匹配的异常情况。
进一步地,在所述统计分析步骤中,还能够发现新接入主机的异常情况。
进一步地,在所述通知步骤中,当发现所述异常情况时,也发送所述通知信息。
进一步地,所述判定标准为超过所述基准流量模型预定范围以预定持续时间。
根据本发明的另一个方面,提供了一种网络震荡监测与预警装置,包括:
动态身份认证识别模块,该动态身份认证识别模块用于利用身份识别库对接入网络的设备的操作系统进行身份识别认证;
数据包抓取模块,该数据包抓取模块用于抓取进入所述设备的报文;以及
统计分析模块,该统计分析模块用于根据IP地址和/或MAC地址对抓取的所述报文进行拆分并分析,以统计网络内各设备的单位时间的发包频率和发包个数,并根据统计结果绘制数据图像以与基准流量模型进行比较,其中,
根据预设的判定标准判定所述数据图像是否出现流量异常,从而感知网络震荡事件。
进一步地,所述动态身份认证识别模块提取设备信息以及通过识别认证的身份信息,以建立所述身份信息与所述设备信息的映射。
进一步地,所述身份识别库包括指纹库、面部特征库。
进一步地,所述网络震荡监测与预警装置还包括:
通知模块,该通知模块在判定出现所述网络震荡事件的情况下,发送通知信息,并且
所述通知信息包括所述设备信息、所述身份信息和震荡事件信息。
进一步地,所述统计分析模块能够发现IP地址和MAC地址的对应关系与系统预先存储的对应关系不匹配的异常情况。
进一步地,所述统计分析模块还能够发现新接入主机的异常情况。
进一步地,所述通知模块当发现所述异常情况时,也发送所述通知信息。
根据本发明的又一个方面,提供了一种网络震荡监测与预警电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现前文一个方面所述的方法。
根据本发明的再一个方面,提供了一种计算机可读介质,其中,
所述介质上存储有程序,该程序被执行用以实现如前文一个方面所述的方法中的各个步骤。
以下结合本发明的附图及优选实施方式对本发明的技术方案做进一步详细地描述,本发明的有益效果将进一步明确。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,但其说明仅用于解释本发明,并不构成对本发明的不当限定。
图1(a)和1(b)是用于说明ARP攻击的示意图;
图2(a)和2(b)是示出ARP攻击前的正常通信状态的实例的图;
图3是示出欺骗报文的一个具体实例的图;
图4(a)至4(c)是示出ARP攻击后的异常通信状态的实例的图;
图5是根据本发明一优选实施例的网络震荡监测与预警方法的步骤的示意性流程图;
图6是根据本发明一优选实施例的网络震荡监测与预警方法的动态身份认证识别步骤所提取的信息的示意图;
图7(a)是根据本发明一优选实施例的网络震荡监测与预警方法的统计分析步骤中绘制的数据图像的一个实例的曲线图,图7(b)是示出正常时的基准流量模型的一个示例的曲线图;
图8是根据本发明一优选实施例的网络震荡监测与预警方法的统计分析步骤中所识别出的IP地址与MAC地址不匹配的一个具体实例的示意图;
图9是根据本发明一优选实施例的网络震荡监测与预警方法的统计分析步骤中所识别出的新接入主机的示意图;
图10是根据本发明一优选实施例的网络震荡监测与预警装置的各个模块的示意性框图;以及
图11是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
下面将结合本发明的具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分优选实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在描述本发型的各实施例之前,首先针对产生网络震荡的一个应用场景的ARP攻击的原理进行简单描述。
如图1(a)和1(b)所示,基于以太网的CSMA/CD工作原理,在同一个广播域里的两台计算机(PC)1和2的通信过程如下:用户A(使用PC1)希望向用户B(使用PC2)发送一份文件(用户A的电脑IP地址192.168.100.220,用户B的电脑IP地址192.168.100.221),计算机1在发送报文前必须获得计算机2的地址(MAC地址,即物理地址),因此,计算机1首选发送ARP广播以查询计算机2的MAC地址,然而该过程中,在同一个网络内的所有其它主机(计算机2、计算机3、计算机4)都能够接收到该ARP广播报文。这种通信机制就为恶意攻击创建了条件。
下文以具体实例说明ARP攻击的危害。
如图2(a),PC2在没有被攻击前,通信是正常的,可以成功访问公网的服务器8.8.8.8。而且,如图2(b)所示,PC2的ARP表项也正常,记录的网关192.168.100.1的MAC地址(68:91:d0:d1:9:2f)是正确的,这也是如图2(a)所示能够成功访问公网服务器8.8.8.8的原因。
当PC1发起对PC2的ARP攻击时,如图3所示,PC1冒充网关发出ARP报文(具体地,ARPReply(ARP应答)报文),其含有假的MAC地址(0:c:29:4f:b9:54)。其后,PC2使用例如wireshark这样的抓包工具进行抓包,得到例如图4(a)所示的报文,使得PC2获取到假的网关MAC地址(0:c:29:4f:b9:54),并且更新ARP表,导致不能正常上网,大量丢包,见图4(b)。如图4(c)所示,此时PC2的ARP表项已经更新,网关的MAC地址已经不是真正的网关的MAC地址了,即,从真正的MAC地址(68:91:d0:d1:9:2f)更新为假的MAC地址(0:c:29:4f:b9:54)。
以上描述的ARP攻击是本发明所要重点解决的问题之一,然而本发明不限于这种情况,而还可以应用于其它对通信质量产生影响从而产生网络震荡的各种场景。以上描述的ARP仅为一个具体实例以用于说明,而不意在对本发明的应用场景进行限制。
下面结合图5-9,详细描述本发明的优选实施例的网络震荡监测与预警方法。
图5是根据本发明一优选实施例的网络震荡监测与预警方法的步骤的示意性流程图;图6是根据本发明一优选实施例的网络震荡监测与预警方法的动态身份认证识别步骤所提取的信息的示意图;图7(a)是根据本发明一优选实施例的网络震荡监测与预警方法的统计分析步骤中绘制的数据图像的一个实例的曲线图,图7(b)是示出正常时的基准流量模型的一个示例的曲线图;图8是根据本发明一优选实施例的网络震荡监测与预警方法的统计分析步骤中所识别出的IP地址与MAC地址不匹配的一个具体实例的示意图;图9是根据本发明一优选实施例的网络震荡监测与预警方法的统计分析步骤中所识别出的新接入主机的一个示例的示意图。
如图5所示,根据本发明的网络震荡监测与预警方法包括动态身份认证识别步骤S101、数据包抓取步骤S102、统计分析步骤S103以及反馈通知步骤S104。
下文将详细描述上述各个步骤。
步骤S101,动态身份认证识别步骤
利用例如身份认证识别引擎(内置有各种操作系统的身份识别库),对接入网络的设备的操作系统进行身份识别认证,提取设备信息以及认证的身份信息,并将设备信息和身份信息存储至数据库。
参见图6所示,例如,该身份识别库可以是指纹库、面部特征库(瞳孔、人脸等),并且不受限制,只要能够用于识别身份信息即可。例如,身份信息可以包括设备的所属人/部门/工号等信息。设备信息可以包括设备IP地址、设备MAC地址、操作系统类型等。以前文描述的PC2为例,下文表1中示出了不同操作系统的身份识别库经过扫描识别后,提取出的设备信息和身份信息的一个实例。
表1利用身份识别库识别的设备信息和身份信息的实例
| 设备IP地址 | 设备MAC地址 | 操作系统类型 | 使用者 |
| 192.168.100.220 | 00:0c:29:4f:b9:54 | Windows 10 | 张三 |
通过利用身份识别库对设备进行身份认证,能够实现被认证的身份信息所对应的用户与设备资产之间的映射关系,即,建立身份信息与设备信息的映射(参见图6),并且这种映射关系是动态的,无需对用户与其所使用的设备或IP地址进行绑定限制。这使得即使用户更换了设备,或者设备更换了IP地址,也能够正常使用网络,而无需同步手工更改也能够正常使用而不受限。此外,这种动态身份认证适合大型企业网络,具有便捷、高效和灵活的优势效果。
并且,对于没有通过身份识别认证的设备,例如,输入的指纹不在指纹库中,则证明该用户的身份存疑,此时认证不通过,使得该设备无法接入网络以进行网络通信。通过这样的设置,能够尽可能避免非法用户的侵入,尽可能降低系统发生网络震荡的风险。
步骤S102,数据包抓取步骤
使用抓包引擎利用自动化脚本对进入设备的报文进行随机抓取,其采样周期可以依据当前网络质量好坏动态调节。当网络质量好时,可以适当缩短采样周期。
步骤S103,统计分析步骤
对抓包引擎所抓取的报文进行处理和分析。具体地,针对抓取的报文,按照不同IP地址/MAC地址所对应的设备进行拆分,然后送入对应于各设备的待分析队列。在对报文进行分析时,可以对各设备在单位时间内发包频率和发包个数进行统计,并实时绘制数据图像。将绘制好的数据图像与正常时的基准流量模型进行对比,以判定数据图像是否异常从而感知网络震荡事件。具体地,可以根据现场环境灵活设定判定标准。例如,可以设定三个值:允许的瞬时突发值、告警阀值和持续时间(秒)。如果突发流量超过基准流量10%-20%都可以接受,即,允许的瞬时突发值可以设定为超过基准流量模型的20%。当超过基准流量模型50%(警告阀值)且持续30秒(持续时间)时,可以判定为流量异常,即,当超过基准流量模型预定范围(50%)以预定时间(30秒以上)时,为震荡事件。
上述判定标准可以根据实际情况而灵活设定,而不限于上述描述的具体实例。
作为一个实例,在PC2上利用例如wireshark抓包,并根据IP地址/MAC地址对数据包进行拆分,送入分别与PC1、PC3和PC4相对应的待分析队列。然后,分别对PC1、PC3和PC4在单位时间内的发包频率和发包个数进行统计,并实时绘制数据图像,例如,参见图7(a)所示。
如图7(a)所示,其横轴代表时间,纵轴代表统计的包数。在图7(a)所示的实例中,通过与图7(b)所示的基准流量模型的实例进行比较发现,在图中的A点附近,发包个数显著增大,已经超过了流量模型的50%以上且持续时间超过30秒,此种情况下,可以将A点处标记为发生震荡事件。
在对报文进行处理和分析时,还可以发现与系统中预先存储的ARP表不匹配的情况,参见图8所示,其中的IP地址与MAC地址与系统中预先存储的情况不匹配,此种情况可以标记为异常情况,其可能发生恶意攻击,进而有可能产生震荡事件。
此外,还可以如图9所示,根据IP地址和MAC地址发现新接入的主机,此种情况也可以标记为异常情况。在该异常情况下,发出对网络质量(带宽、延时等)的一次探测,以评估当前的网络质量。例如,可以设定在发现异常情况后的预定时间段内(例如,5-10分钟)对新接入主机的发包个数进行前文所述的统计分析和数据图像绘制,并对比绘制好的数据图像与正常时的基准流量模型。如果在该预定时间段内,新接入主机的发包个数未超过基准流量模型的第二预定范围,则可以暂时判定该新接入主机的安全风险较低,并结束探测。如果在该预定时间段内,新接入主机的发包个数在第二预定时间内超过基准流量模型的第二预定范围,则判定该新接入主机存在潜在恶意攻击的可能,可以将其标记为震荡事件。其中,第二预定范围可以设定为小于或等于前文描述的警告阀值,第二预定时间也可以设定为小于等于前文描述的持续时间,以加强对新接入主机的监测。
步骤S104,通知步骤
在统计分析步骤中发现震荡事件的情况下,自动向网络管理负责人发送通知信息(例如,通过邮件发送),通知其发生震荡事件并发送该震荡事件的详细信息,包括身份信息、设备信息和事件信息(发生时间、发包频次等)。
此外,还可以将步骤S103中发现的异常情况通知网络管理负责人,进行备案。
以上详细描述了本发明的网络震荡监测与预警方法,利用该网络震荡监测与预警方法,能够提升网络安全性,对能够接入网络中的设备进行控制,从而使得随意接入网络中的设备无法进行网络通信,并且能够对网络中的环路、ARP欺骗攻击进行实时监控、识别、溯源。此外,本发明的网络震荡监测与预警方法还能够实时监控网络通信质量,对网络当前的通信质量(例如,吞吐、带宽、时延等)进行实时监控和评估;当发生通信质量差(即,网络震荡,典型场景为网络环路和ARP攻击)的情况时,能够第一时间识别、感知,并在网络震荡后快速找出引发震荡的源头即,引发震荡的设备,并且能够快速将网络震荡所对应的详细信息通知网管,方便后续快速处理网络震荡。
本发明的另一方面提供了一种网络震荡监测与预警装置,下文将参考图10描述本发明的网络震荡监测与预警装置的各个模块。
如图10所示,根据本发明的网络震荡监测与预警装置200包括动态身份认证识别模块201、数据包抓取模块202、统计分析模块203以及通知模块204。下文将详细描述各个模块。
动态身份认证识别模块201
动态身份认证识别模块201利用例如身份认证识别引擎(内置有各种操作系统的身份识别库),对接入网络的设备的操作系统进行身份识别认证,提取设备信息以及认证的身份信息,并将设备信息和身份信息存储至数据库。
参见图6所示,例如,该身份识别库可以是指纹库、面部特征库(瞳孔、人脸等),并且不受限制,只要能够用于识别身份信息即可。例如,身份信息可以包括设备的所属人/部门/工号等信息。设备信息可以包括设备IP地址、设备MAC地址、操作系统类型等。以前文描述的PC2为例,表1中示出了不同操作系统的身份识别库经过扫描识别后,提取出的设备信息和身份信息的一个实例。
动态身份认证识别模块201通过利用身份识别库对设备进行身份认证,能够实现被认证的身份信息所对应的用户与设备资产之间的映射关系,即,建立身份信息与设备信息的映射(参见图6),并且这种映射关系是动态的,无需对用户与其所使用的设备或IP地址进行绑定限制。这使得即使用户更换了设备,或者设备更换了IP地址,也能够正常使用网络,而无需同步手工更改也能够正常使用而不受限。此外,这种动态身份认证适合大型企业网络,具有便捷、高效和灵活的优势效果。
并且,对于没有通过身份识别认证的设备,例如,输入的指纹不在指纹库中,则证明该用户的身份存疑,此时认证不通过,使得该设备无法接入网络以进行网络通信。通过这样的设置,能够尽可能避免非法用户的侵入,尽可能降低系统发生网络震荡的风险。
数据包抓取模块202
数据包抓取模块202使用抓包引擎利用自动化脚本对进入设备的报文进行随机抓取,其采样周期可以依据当前网络质量好坏动态调节。当网络质量好时,可以适当缩短采样周期。
统计分析模块203
统计分析模块203对抓包引擎所抓取的报文进行处理和分析。具体地,针对抓取的报文,统计分析模块203按照不同IP地址/MAC地址所对应的设备进行拆分,然后送入对应于各设备的待分析队列。在对报文进行分析时,统计分析模块203可以对各设备在单位时间内发包频率和发包个数进行统计,并实时绘制数据图像,并将绘制好的数据图像与正常时的基准流量模型进行对比,以感知网络震荡事件。具体地,可以根据现场环境灵活设定判定标准。例如,可以设定三个值:允许的瞬时突发值、告警阀值和持续时间(秒)。例如,如果突发流量超过基准流量10%-20%都可以接受,即,允许的瞬时突发值可以设定为超过基准流量模型的20%。当超过基准流量模型50%(警告阀值)且持续30秒(持续时间)时判定为流量异常,即,当超过基准流量模型预定范围(50%)以预定时间(30秒以上)时,判定为网络震荡事件。
作为一个实例,在PC2上统计分析模块203利用例如wireshark抓包,并根据IP地址/MAC地址对数据包进行拆分,送入分别与PC1、PC3和PC4相对应的待分析队列。然后,统计分析模块203分别对PC1、PC3和PC4在单位时间内的发包频率和发包个数进行统计,并实时绘制数据图像,例如,参见图7(a)所示。
如图7(a)所示,其横轴代表时间,纵轴代表统计的包数。在图7(a)所示的实例中,通过与图7(b)所示的基准流量模型的实例进行比较发现,在图中的A点附近,发包个数显著增大,已经超过了流量模型的50%,以上且持续时间超过30秒,此种情况下,可以将A点处标记为发生震荡事件。
在对报文进行处理和分析时,统计分析模块203还可以发现与系统中预先存储的ARP表不匹配的情况,参见图8所示,其中的IP地址与MAC地址与系统中预先存储的情况不匹配,此种情况可以标记为异常情况,其可能发生恶意攻击,进而有可能产生震荡事件。
此外,还可以如图9所示,统计分析模块203根据IP地址和MAC地址发现新接入的主机,此种情况也可以标记为异常情况。在该异常情况下,发出对网络质量(带宽、延时等)的一次探测,以评估当前的网络质量。例如,可以设定在发现异常情况后的预定时间段内(例如,5-10分钟)对新接入主机的发包个数进行前文所述的统计分析和数据图像绘制,并对比绘制好的数据图像与正常时的基准流量模型。如果在该预定时间段内,新接入主机的发包个数未超过基准流量模型的第二预定范围,则可以暂时判定该新接入主机的安全风险较低,并结束探测。如果在该预定时间段内,新接入主机的发包个数在第二预定时间内超过基准流量模型的第二预定范围,则判定该新接入主机存在潜在恶意攻击的可能,可以将其标记为震荡事件。其中,第二预定范围可以设定为小于或等于前文描述的警告阀值,第二预定时间也可以设定为小于等于前文描述的持续时间,以加强对新接入主机的监测。
通知模块204
在统计分析步骤中发现震荡事件的情况下,通知模块204自动向网络管理负责人发送通知信息(例如,通过邮件发送),通知其发生震荡事件并发送该震荡事件的详细信息,包括身份信息、设备信息和事件信息(发生时间、发包频次等)。
此外,通知模块204还可以将步骤S103中发现的异常情况通知网络管理负责人,进行备案。
以上详细描述了本发明的网络震荡监测与预警装置,利用该网络震荡监测与预警装置,能够提升网络安全性,对能够接入网络中的设备进行控制,从而使得随意接入网络中的设备无法进行网络通信,并且能够对网络中的环路、ARP欺骗攻击进行实时监控、识别、溯源。此外,本发明的网络震荡监测与预警装置还能够实时监控网络通信质量,对网络当前的通信质量(例如,吞吐、带宽、时延等)进行实时监控和评估;当发生通信质量差(即,网络震荡,典型场景为网络环路和ARP攻击)的情况时,能够第一时间识别、感知,并在网络震荡后快速找出引发震荡的源头即,引发震荡的设备,并且能够快速将网络震荡所对应的详细信息通知网管,方便后续快速处理网络震荡。
另外,本发明的实施例还提供了一种计算机系统,下面参考图11,其为适于用来实现本发明实施例的网络震荡监测与预警装置的计算机系统的结构示意图。图11所示仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图11所示,计算机系统300包括中央处理单元(CPU)301,其可以根据存储在只读存储器(ROM)302中的程序或者从存储部分308加载到随机访问存储器(RAM)303中的程序而执行各种适当的动作和处理。在RAM 303中,还存储有系统300操作所需的各种程序和数据。CPU 301、ROM302以及RAM 303通过总线304彼此相连。输入/输出(I/O)接口305也连接至总线304。
以下部件连接至I/O接口305:包括键盘、鼠标等的输入部分306;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分303;包括硬盘等的存储部分308;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分309。通信部分309经由诸如因特网的网络执行通信处理。驱动器310也根据需要连接至I/O接口305。可拆卸介质311,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器310上,以便于从其上读出的计算机程序根据需要被安装入存储部分308。
特别地,根据本发明公开的实施例,上文参考流程图描述的步骤可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行图1所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分309从网络上被下载和安装,和/或从可拆卸介质311被安装。在该计算机程序被中央处理单元(CPU)301执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的方法、装置和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块及其单元也可以设置在处理器中,例如,可以描述为:一种处理器包括动态身份认证识别模块、数据包抓取模块、统计分析模块以及通知模块。其中,这些模块的名称在某种情况下并不构成对该模块及其单元本身的限定,例如,动态身份认证识别模块还可以被描述为“身份识别模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:
动态身份认证识别步骤,利用身份识别库对接入网络的设备的操作系统进行身份识别认证;
数据包抓取步骤,抓取进入所述设备的报文;
统计分析步骤,根据IP地址和/或MAC地址对抓取的所述报文进行拆分并分析,以统计网络内各设备的单位时间的发包频率和发包个数,并根据统计结果绘制数据图像以与基准流量模型进行比较,以及
通知步骤,在判定出现所述网络震荡事件的情况下,发送通知信息。其中,
根据预设的判定标准判定所述数据图像是否出现流量异常,从而感知网络震荡事件。
上述本发明的各实施例能够提升网络安全性,对能够接入网络中的设备进行控制,从而使得随意接入网络中的设备无法进行网络通信,并且能够对网络中的环路、ARP欺骗攻击进行实时监控、识别、溯源。此外,本发明的网络震荡监测与预警方法、装置和介质还能够实时监控网络通信质量,对网络当前的通信质量(例如,吞吐、带宽、时延等)进行实时监控和评估;当发生通信质量差(即,网络震荡,典型场景为网络环路和ARP攻击)的情况时,能够第一时间识别、感知,并在网络震荡后快速找出引发震荡的源头即,引发震荡的设备,并且能够快速将网络震荡所对应的详细信息通知网管,方便后续快速处理网络震荡。
以上所述仅为本申请的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (11)
1.一种网络震荡监测与预警方法,其特征在于,包括:
动态身份认证识别步骤,利用身份识别库对接入网络的设备的操作系统进行身份识别认证;
数据包抓取步骤,抓取进入所述设备的报文;以及
统计分析步骤,根据IP地址和/或MAC地址对抓取的所述报文进行拆分并分析,以统计网络内各设备的单位时间的发包频率和发包个数,并根据统计结果绘制数据图像以与基准流量模型进行比较,其中,
根据预设的判定标准判定所述数据图像是否出现流量异常,从而感知网络震荡事件。
2.根据权利要求1所述的方法,其特征在于,其中,
在所述动态身份认证识别步骤中,提取设备信息以及通过识别认证的身份信息,以建立所述身份信息与所述设备信息的映射。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
通知步骤,在判定出现所述网络震荡事件的情况下,发送通知信息,并且
所述通知信息包括所述设备信息、所述身份信息和震荡事件信息。
4.根据权利要求3所述的方法,其特征在于,其中,
在所述统计分析步骤中,能够发现IP地址和MAC地址的对应关系与系统预先存储的对应关系不匹配的异常情况。
5.根据权利要求4所述的方法,其特征在于,其中,
在所述统计分析步骤中,还能够发现新接入主机的异常情况。
6.根据权利要求4或5所述的方法,其特征在于,其中,
在所述通知步骤中,当发现所述异常情况时,也发送所述通知信息。
7.根据权利要求1至6的任意一项所述的方法,其特征在于,其中,
所述判定标准为超过所述基准流量模型预定范围以预定持续时间。
8.一种网络震荡监测与预警装置,其特征在于,包括:
动态身份认证识别模块,该动态身份认证识别模块用于利用身份识别库对接入网络的设备的操作系统进行身份识别认证;
数据包抓取模块,该数据包抓取模块用于抓取进入所述设备的报文;以及
统计分析模块,该统计分析模块用于根据IP地址和/或MAC地址对抓取的所述报文进行拆分并分析,以统计网络内各设备的单位时间的发包频率和发包个数,并根据统计结果绘制数据图像以与基准流量模型进行比较,其中,
根据预设的判定标准判定所述数据图像是否出现流量异常,从而感知网络震荡事件。
9.根据权利要求8所述的装置,其特征在于,还包括,
通知模块,该通知模块用于在判定出现所述网络震荡事件的情况下,发送通知信息。
10.一种网络震荡监测与预警系统,其特征在于,包括:
一个或多个处理器;以及
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
11.一种计算机可读介质,其特征在于,其中,
所述介质上存储有程序,该程序被执行用以实现如权利要求1-7的任意一项所述的方法中的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011435664.2A CN112583817B (zh) | 2020-12-07 | 2020-12-07 | 网络震荡监测与预警方法、装置和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011435664.2A CN112583817B (zh) | 2020-12-07 | 2020-12-07 | 网络震荡监测与预警方法、装置和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112583817A true CN112583817A (zh) | 2021-03-30 |
| CN112583817B CN112583817B (zh) | 2023-04-28 |
Family
ID=75130840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011435664.2A Active CN112583817B (zh) | 2020-12-07 | 2020-12-07 | 网络震荡监测与预警方法、装置和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583817B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070064617A1 (en) * | 2005-09-15 | 2007-03-22 | Reves Joseph P | Traffic anomaly analysis for the detection of aberrant network code |
| JP2007300263A (ja) * | 2006-04-28 | 2007-11-15 | Yokogawa Electric Corp | ネットワーク異常検出装置およびネットワーク異常検出方法 |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN106506242A (zh) * | 2016-12-14 | 2017-03-15 | 北京东方棱镜科技有限公司 | 一种网络异常行为和流量监测的精确定位方法与系统 |
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
| CN108574672A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于移动终端的arp攻击感知的方法及装置 |
-
2020
- 2020-12-07 CN CN202011435664.2A patent/CN112583817B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070064617A1 (en) * | 2005-09-15 | 2007-03-22 | Reves Joseph P | Traffic anomaly analysis for the detection of aberrant network code |
| JP2007300263A (ja) * | 2006-04-28 | 2007-11-15 | Yokogawa Electric Corp | ネットワーク異常検出装置およびネットワーク異常検出方法 |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN106506242A (zh) * | 2016-12-14 | 2017-03-15 | 北京东方棱镜科技有限公司 | 一种网络异常行为和流量监测的精确定位方法与系统 |
| CN108574672A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于移动终端的arp攻击感知的方法及装置 |
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112583817B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| US20030159069A1 (en) | Network-based attack tracing system and method using distributed agent and manager system | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN108600003B (zh) | 一种面向视频监控网络的入侵检测方法、装置及系统 | |
| CN107204965B (zh) | 一种密码破解行为的拦截方法及系统 | |
| CN101621428A (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
| CN110798427A (zh) | 一种网络安全防御中的异常检测方法、装置及设备 | |
| CN111541670A (zh) | 一种新型动态蜜罐系统 | |
| CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
| KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
| CN114095258A (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
| CN111556473A (zh) | 一种异常访问行为检测方法及装置 | |
| CN113079185A (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| CN115550049A (zh) | 一种物联网设备的漏洞检测方法及系统 | |
| CN111654499B (zh) | 一种基于协议栈的暴破攻击识别方法和装置 | |
| CN111726810A (zh) | 数控加工环境中的无线信号监测及无线通信行为审计系统 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| CN111049853A (zh) | 一种基于计算机网络的安全认证系统 | |
| CN101547127B (zh) | 一种内、外网络报文的识别方法 | |
| CN112583817A (zh) | 网络震荡监测与预警方法、装置和介质 | |
| CN114726607B (zh) | 一种基于交换机监视网络数据的网络安全监测系统 | |
| CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
| CN113037779B (zh) | 一种积极防御系统中的智能自学习白名单方法和系统 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |