本发明专利技术提供了一种基于openflow的流深度关联分析方法,包括:openflow流采集器将接收的数据包按照流进行记录,对所述流信息进行压缩,并将压缩后的流信息发送至流分析控制器;流分析控制器根据连接状态,对接收到的流信息进行整合;流分析控制器从多个维度对整合后的流信息进行分析,得到分析结果;将所述分析结果与预设阈值进行比较,若所述分析结果超过预设阈值,则发出警告,并生成报表。本发明专利技术还提供了一种基于openflow的流深度关联分析系统,包括流分析控制器及至少一个openflow流采集器。本发明专利技术能够对流进行采集、归类、联合,满足应用进行日志分析、安全分析的要求。
【技术实现步骤摘要】
本专利技术涉及计算机网络
,尤其涉及一种基于openflow的流深度关联分析方法及系统。
技术介绍
传统网络中的数据分析方法有基于包抽样、基于连接和基于NetFlow等,具体如下:(1)基于包抽样的方法。该方法依据一定的算法对数据链路上所传输的包进行采样,抽取一部分包进行分析。(2)基于连接的方法。该方法将链路上的包按流进行重组,并记录连接的状态,进而对各个连接进行分析。(3)基于NetFlow的方法。该方法通过Cisco的NetFlow协议,将各链路上的流信息汇总到服务器,然后进行分析。然而上述数据分析方法存在如下功能上的缺陷:(1)传统网络数据分析方法中的包抽样方法粒度较粗,可能会漏掉网络中的关键异常行为。(2)基于连接的方法负载太重,无法应用于高速网络中。(3)由于NetFlow没有保存数据链路层的信息、连接状态信息和用户信息等,基于NetFlow的方法无法提供相关的分析结果,不能满足对网络流量多种维度的分析要求,尤其是无法满足安全事件行为分析的场景。
技术实现思路
针对现有技术不能满足对网络流量多种维度的分析要求,尤其是无法满足安全事件行为分析的的缺陷,本专利技术提供了一种基于openflow的流深度关联分析方法及系统。第一方面,本专利技术提供了一种基于openflow的流深度关联分析方法,该方法包括:openflow流采集器将接收的数据包按照流进行记录,对所述流信息进行压缩,并将压缩后的流信息发送至流分析控制器;流分析控制器根据连接状态,对接收到的流信息进行整合;流分析控制器从多个维度对整合后的流信息进行分析,得到分析结果;将所述分析结果与预设阈值进行比较,若所述分析结果超过预设阈值,则发出警告,并生成报表。优选地,所述openflow流采集器将接收的数据包按照流进行记录,包括: openflow流采集器将接收的数据包按照流进行记录,并根据流的协议在所述流中加入不同的信息;其中,所述信息包括:时间、包数量、字节数、持续时间、物理服务器IP地址、源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、流的方向、VLANTag、TCP Flags和 Ethernet Type0优选地,所述流分析控制器根据连接状态,对接收到的流信息进行整合,包括:流分析控制器将同一个流的数据进行合并,并根据连接状态,将同一连接的不同流进行合并。优选地,所述流分析控制器从多个维度对整合后的流信息进行分析,得到分析结果,包括:流分析控制器读取租户信息及整合后的流信息,根据MAC地址将流映射到租户,并针对不同的应用进行分析;流分析控制器从包括资源、时间、端口及协议的多个维度对流信息进行统计,得到预设时间段内TCP半开连接的数量,同一 IP地址所连接的IP地址的数量,同一 IP地址所连接的端口的数量,同一 MAC地址所发送的ARP包的数量,以及同一虚拟机所发送和接收的字节数。优选地,所述流分析控制器从多个维度对整合后的流信息进行分析,得到分析结果的步骤后,所述方法还包括:将所述分析结果保存至数据库中;从所述数据库中读取所述分析结果,并将所述分析结果通过呈现界面展现出来。第二方面,本专利技术提供了一种基于openflow的流深度关联分析系统,该系统包括:流分析控制器及至少一个openflow流采集器;openflow流采集器,与所述流分析控制器连接,用于将接收的数据包按照流进行记录,对所述流信息进行压缩,并将压缩后的流信息发送至流分析控制器;流分析控制器,用于根据连接状态,对接收到的流信息进行整合;从多个维度对整合后的流信息进行分析,得到分析结果;将所述分析结果与预设阈值进行比较,若所述分析结果超过预设阈值,则发出警告,并生成报表。优选地,所述openflow流采集器包括内核模块及用户空间模块,其中:内核模块,用于将接收的数据包按照流进行记录并根据流的协议在所述流中加入不同的信息;其中,所述信息包括:时间、包数量、字节数、持续时间、物理服务器IP地址、源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、流的方向、VLANTag、TCP Flags和 Ethernet Type ;用户空间模块,用于将内核模块中的流复制到用户空间,并对所述流进行压缩。优选地,所述流分析控制器包括流采集及控制模块,用于:流分析控制器将同一个流的数据进行合并,并根据连接状态,将同一连接的不同流进行合并。优选地,所述流分析控制器还包括应用分析模块,用于:流分析控制器读取租户信息及整合后的流信息,根据MAC地址将流映射到租户,并针对不同的应用进行分析;流分析控制器从包括资源、时间、端口及协议的多个维度对流信息进行统计,得到预设时间段内TCP半开连接的数量,同一 IP地址所连接的IP地址的数量,同一 IP地址所连接的端口的数量,同一 MAC地址所发送的ARP包的数量,以及同一虚拟机所发送和接收的字节数。优选地,所述流分析控制器还包括呈现接口模块,用于:从数据库中读取分析结果,并将所述分析结果通过呈现界面展现出来。由上述技术方案可知,本专利技术提供一种基于openflow的流深度关联分析方法及系统,能够对虚拟网络、物理网络中的所有流量进行采集、归类、联合,并进行分析,能够满足对网络流量多种维度的分析要求,尤其是能够满足安全事件行为分析的要求。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。图1是本专利技术一实施例提供的基于openflow的流深度关联分析方法的流程示意图;图2是本专利技术一实施例提供的基于openflow的流深度关联分析系统的结构示意图;图3是本专利技术另一实施例提供的基于openflow的流深度关联分析系统的结构示意图。【具体实施方式】下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。如图1所示,为本专利技术一实施例提供的一种基于openflow的流深度关联分析方法的流程示意图,该方法包括如下步骤:SI:openflow流采集器将接收的数据包按照流进行记录,对所述流信息进行压缩,并将压缩后的流信息发送至流分析控制器。具体来说,各服务器的openflow流采集器将压缩后的流信息发送给流分析控制器进行汇总。S2:流分析控制器根据连接状态,对接收到的流信息进行整合。具体来说,流分析控制器维护着一个重组队列,以对接收到的所有流信息进行重组整合。S3:流分析控制器从多个维度对整合后的流信息进行分析,得到分析结果。具体来说,流分析控制器可从资源、时间、端口及协议等多个维度进行统计,得到相应的统计结果。S4:将所述分析结果与预设阈值进行比较,若所述分析结果超过预设阈值,则发出警告,并生成报表。其中,预设阈值可根据不同的应用场景进行调整。上述报表为发出警告对应的信息列表。当前第1本文档来自技高网...
【技术保护点】
一种基于openflow的流深度关联分析方法,其特征在于,该方法包括:openflow流采集器将接收的数据包按照流进行记录,对所述流信息进行压缩,并将压缩后的流信息发送至流分析控制器;流分析控制器根据连接状态,对接收到的流信息进行整合;流分析控制器从多个维度对整合后的流信息进行分析,得到分析结果;将所述分析结果与预设阈值进行比较,若所述分析结果超过预设阈值,则发出警告,并生成报表。
【技术特征摘要】
【专利技术属性】
技术研发人员:张天鹏,张志明,骆怡航,
申请(专利权)人:北京云杉世纪网络科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。