本发明专利技术公开了一种网络流量的联动审计设备,包括确定模块、判断模块、审计模块和存储模块;审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,流量统计模块和内容分析模块相连;本发明专利技术构成了一套全面、细粒度审计和控制的全网审计方案,可以提升流量审计设备的性能,能够在进行网络流量审计之前,就根据存储空间中空闲存储空间的情况进行判断,当前是否有足够的存储空间以存储审计得到的网络流量信息,从而能够避免现有技术中网络审计流量信息的丢失。
【技术实现步骤摘要】
本专利技术涉及网络数据处理
,具体是一种网络流量的联动审计设备和方法。
技术介绍
随着网络的高速发展,网络规模也越来越大,网络中承载的应用与业务也越来越多样化。面对日渐复杂的网络,维护人员通常希望了解网络中承载的业务以及各业务的流量情况,以及内网用户及其流量情况,并据此了解网络的运行情况,以判断网络带宽是否充足、网络带宽的分配是否合理。当出现网络异常时,能够为定位、解决问题提供足够的依据。因为网络流量审计已经成为网络设备一个不可或缺的功能。网络流量审计通常可以分为实时的网络流量审计和历史的网络流量审计两种。其中实时的网络流量审计所代表的是网络当前的流量情况,维护人员可以据此判断当前的网络运行情况以及进行网络故障的跟踪定位;而历史的网络流量审计所代表的是过去一段时间的网络流量情况以及网络流量走势,通常用于事后网络故障原因分析。两种网络流量审计有不同的应用场合,在网络运行情况以及故障定位上担负着不同的责任,通常都是网络设备所必须的。流量审计设备是指IDS等对网络流量和内容进行审计的设备,这类设备需要对网络流量中各种类型的报文特征,和网络传输的内容进行识别、统计和分析。一般高速网络审计设备包括两部分功能,一部分是基本的流量统计,比如某个端口、ip、协议的流量计数,另一部分是对网络数据内容的分析。其中,前者的处理过程简单固定,但需要处理所有的数据,后者处理过程复杂但需要处理的数据较少。在高速网络的应用环境中,网络审计对设备性能要求很高。现有技术中通常通过两种方法来进行历史网络流量审计。1.首先设定一个采样周期的长度,比如10分钟,然后在每个周期内采样设备转发的
各种审计对象(如各个业务、各个用户、用户组等等)产生的数据流量大小,并为这些维度生成流量审计记录,保存写入数据库中。假设我们需要审计内网各用户的历史流量信息,则定期采样的信息记录包括了用户分别在两个采样周期内的上行流量和下行流量。在实际实施中,维护人员可以根据实际情况增删需要审计的字段信息,比如上行包数,下行包数等。根据获取到的审计信息,维护人员便知道各用户在每个周期的平均流量速率,也可以知道各用户在指定时间范围内的累计流量情况。但是在该方法中,由于采样周期是固定的,而通常情况下,网络中的用户数以及网络承载的业务数都可能随着网络的变化而改变,如果同一个周期需要审计记录的信息量太多,导致超过设备审计处理性能时,就可能发生网络流量审计信息丢失,最终使得网络流量审计提供的信息变得不可靠,最终网络流量审计也就失去了实际的意义。2.在上述第一种方法的基础上,根据网络设备的性能自动调整采样周期,调整方式为将本次处理时间与预设的采样周期进行对比,如果本次的处理时间大于预设的采样周期,则调大采样周期,否则调小采样周期,以使得网络设备能够以与实际的数据流量相应的采样周期来进行审计,以避免网络流量的审计信息丢失的问题。但是,该方法根据上一个采样周期的处理时长来调整下一个周期的采样周期的时长,属于事后调整,具有一定的滞后性,在有些情况下还是可能会造成流量审计信息的丢失。可见,现有技术中缺乏能够有效解决网络流量审计信息丢失问题的技术方案。
技术实现思路
本专利技术的目的在于提供一种灵活性好、处理能力强的网络流量的联动审计设备和方法,以解决上述
技术介绍
中提出的问题。为实现上述目的,本专利技术提供如下技术方案:一种网络流量的联动审计设备,包括确定模块、判断模块、审计模块和存储模块,所述确定模块、判断模块、审计模块和存储模块依次相连,所述确定模块用于预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体为获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在
当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值;所述判断模块用于在当前预定的审计周期内,根据所述确定模块确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所述确定模块确定的各个审计对象的网络流量信息所需的存储空间之和;所述审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块,所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块,所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;所述存储模块用于存储所述审计模块统计得到的网络流量信息。作为本专利技术进一步的方案:所述空闲的存储空间为缓存中空闲的存储空间。作为本专利技术进一步的方案:所述存储模块具体用于:根据审计周期与预定的报表生成周期的对应关系,将统计得到的网络流量信息存储到与当前审计周期对应的报表生成周期的审计报表中。所述网络流量的联动审计方法,具体步骤如下:(1)网络审计设备进行数据分析,发现目标主机收发的协议端口数据出现情况异常时,经由控制中心向目标主机的审计系统发送联动请求;所述数据分析具体为网络审计设备通过抓包方式进行协议分析或/和流量监视;(2)在当前预定的审计周期内,根据预先确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和;(3)在判断得到空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,依次统计各个审计对象在上一个审计周期内产生的网络
流量信息,并存储统计得到的网络流量信息;(4)在判断得到空闲的存储空间小于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,等待预定的等待周期,在等待该预定的等待周期到时后、且空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况,依次统计各个审计对象在上一个审计周期内和等待周期内产生的网络流量信息,并存储统计得到的网络流量信息;(5)目标主机的审计系统根据统计得到的网络流量信息进行相应的联动处理,并经由控制中心向网络审计设备反馈联动结果;(6)网络审计设备根据所述联动结果对目标主机进行控制。作为本专利技术再进一步的方案:所述步骤(2)中预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体包括:获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值。与现有技术相比,本专利技术的有益效果是:本专利技术实现了网络审计设备与主机审计系统的通信和联动审计,构成一套全面、细粒度审计和控制的全网审计方案,可以提升流量审计设备的性能,能够在进行网络流量审计之前,就根据存储空间中空闲存储空间的情况进行判断,当前是否有足够的存储空间以存储审计得到的网络流量信息,从而能够避免现有技术中网络审计流量信息的丢失。附图说明本文档来自技高网...
【技术保护点】
一种网络流量的联动审计设备,其特征在于,包括确定模块、判断模块、审计模块和存储模块,所述确定模块、判断模块、审计模块和存储模块依次相连,所述确定模块用于预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体为获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值;所述判断模块用于在当前预定的审计周期内,根据所述确定模块确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所述确定模块确定的各个审计对象的网络流量信息所需的存储空间之和;所述审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块,所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块,所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;所述存储模块用于存储所述审计模块统计得到的网络流量信息。...
【技术特征摘要】
1.一种网络流量的联动审计设备,其特征在于,包括确定模块、判断模块、审计模块和存储模块,所述确定模块、判断模块、审计模块和存储模块依次相连,所述确定模块用于预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体为获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值;所述判断模块用于在当前预定的审计周期内,根据所述确定模块确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所述确定模块确定的各个审计对象的网络流量信息所需的存储空间之和;所述审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块,所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块,所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;所述存储模块用于存储所述审计模块统计得到的网络流量信息。2.根据权利要求1所述的网络流量的联动审计设备,其特征在于,所述空闲的存储空间为缓存中空闲的存储空间。3.根据权利要求1所述的网络流量的联动审计设备,其特征在于,所述存储模块具体用于:根据审计周期与预定的报表生成周期的对应关系,将统计得到的网络流量信息存储到与当前审计周期对应的报表生成周期的审计报表...
【专利技术属性】
技术研发人员:杨丹,
申请(专利权)人:丽水市睿鼎知识产权咨询有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。