本发明专利技术公开了流量监测技术领域的一种终端设备异常网络访问行为监测系统及方法,系统包括转发模块、控制模块和应用程序,所述转发模块根据所述控制模块生成的转发策略、采集策略和统计策略执行转发数据、采集数据和统计数据;所述控制模块根据所述转发模块上传的采集数据和统计数据生成安全防御模型并把安全策略下发至所述转发模块,同时向应用程序提供API接口。本发明专利技术解决了网络架构的灵活性的问题,具有开放式可编程网络、数据与控制平面分离、逻辑集中控制、网络服务的自动化应用控制等特点;基于SDN网络架构,采用DFI作为监测手段,DFI资源开销低,适应性强,实现了监测的轻量化,系统在管理维护上的工作量变少,使用维护成本更低。
A monitoring system and method for abnormal network access behavior of terminal equipment
【技术实现步骤摘要】
一种终端设备异常网络访问行为监测系统及方法
本专利技术属于流量监测
,具体涉及一种终端设备异常网络访问行为监测系统及方法。
技术介绍
物联网终端设备呈现规模庞大、结构复杂、种类多样等趋势。物联网要在短时间内做到异常网络访问行为监测,对硬件资源开销极高。此外,物联网络结构不灵活,网络越发失控,网络安全问题突出,人工维护工作海量,维护成本居高不下,无法适应不断涌现的新设备、新业务的监测需求。随着物联网事业的发展,物联网规模在不断扩大,网络攻击手段多样化,不可避免地带来物联网安全问题突出,对物联网正常运行带来巨大隐患。常用的流量监测手段有DPI(DeepPacketInspection,深度报文检测),在传统报文检测技术(数据链路层、网络层、传输层)之上增加了对应用层数据的应用协议识别,报文内容检测与深度解析。DPI技术可使用其三大类的检测手段:基于应用数据的“特征值”检测、基于应用层协议的识别检测、基于行为模式的数据检测。根据不同的检测方法对可能含有的异常数据的报文逐一的拆包分析,通过对报文内容的分析,深度挖据出宏观数据流中存在的细微数据变化。传统网络是分布式控制的架构,每台设备都包含独立的控制平面,数据平面。在传统网络中,每台设备均独立收集网络信息,独立计算,仅关心本机运行。这种网络架构的弊端就是所有设备在进行安全监测时,缺乏统一性和全局性,需要单独维护每台单独设备,无法调整。物联网具有开放性、多源异构性和普遍性等特点,给人们带来了便利,同时物联网的设备、网络和应用也面临着严重的安全威胁。因此,人们在网络中设置若干监测点,用以收集网络信息,达到监测网络的目的。而随着“互联网+”和“能源互联网”时代的到来,无处不在的电力物联网作为互联网在电力领域的延伸,其规模正在经历爆炸式的增长,电网万物互联时代即将到来。传统网络架构不能灵活地适应新设备和新业务快速增长的需求,当网络新增节点,网络发生变化时,需要人工调整网络监测点及配置。服务质量难以保证,产业价值链难以维系,严重影响了物联网的安全性,不能灵活监控网络,快速生成针对新设备和服务的安全解决方案,安全维护成本高。DPI技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术,当IP数据包或UDP数据流经过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。DPI识别技术可划分为以下三类:特征字的识别技术、应用层网关识别技术、行为模式识别技术。采用DPI技术由于要逐包进行拆包操作,并与后台数据库进行匹配对比,所以速度慢。基于DPI技术的带宽管理系统,总是滞后新应用,需要紧跟新协议和新型应用的产生而不断升级后台应用数据库,否则就不能有效识别、管理新技术下的带宽,提高模式匹配效率。
技术实现思路
为解决现有技术中的不足,本专利技术提供一种终端设备异常网络访问行为监测系统及方法,具有监测方法轻量化、网络架构灵活、使用维护工作量少等特点。为达到上述目的,本专利技术所采用的技术方案是:一种终端设备异常网络访问行为监测系统,包括转发模块、控制模块和应用程序,所述转发模块根据所述控制模块的指令获取采集数据与统计数据,得到第一采集数据集和第一统计数据集;所述控制模块分别对第一采集数据集和第一统计数据集中的数据进行清洗处理,打上标签,做成样本,根据这些样本生成监测模型并对监测模型进行训练;所述转发模块根据生成的监测模型下发的转发策略、采集策略和统计策略执行转发数据、采集数据和统计数据,并再次获取采集数据与统计数据,得到第二采集数据集和第二统计数据集;所述控制模块将第二采集数据集和第二统计数据集作为监测模型的输入,计算判断是否为异常流量;若是异常流量,则发出告警;同时向应用程序提供应用程序接口。进一步地,所述转发模块包括解包器、转发器、采集器和统计器,所述解包器用于接收并解析网络包,获取网络包表项中的actionset,并根据actionset中的内容对网络包进行转发或丢弃;所述转发器用于根据解包器对网络包的解析,处理并从指定的带外端口转发网络包或根据openflow协议,把网络包封装openflow消息的头部,并以switch-to-controller的消息类型从指定的带内端口输出至控制模块;所述采集器用于根据actionset中的采集规则,抽取网络包中的字段,封装openflow消息的头部,并以switch-to-controller的消息类型从指定的带内端口输出至控制模块;同时,所述统计器用于根据actionset中的统计规则,更新统计数据。进一步地,所述控制模块包括控制器,所述控制器的安全组件包括openflow解析器、采样数据库、流学习库和DFI学习器,所述openflow解析器用于解析转发模块传送的switch-to-controller消息,把采样数据输入至采样数据库,把统计数据输入至流学习库;所述采样数据库用于存储采样数据;所述流学习库用于存储统计数据以及经过处理的数据流样本数据;所述DFI学习器用于根据应用程序设置的参数,从流学习库中学习样本,生成监测策略,并以controller-to-switch消息把监测策略下发至转发模块。一种终端设备异常网络访问行为监测方法,包括,a、转发模块根据控制模块的指令获取采集数据与统计数据,得到第一采集数据集和第一统计数据集;b、控制模块分别对第一采集数据集和第一统计数据集中的数据进行清洗处理,打上标签,做成样本,根据这些样本生成监测模型并对监测模型进行训练;c、转发模块根据生成的监测模型,再次获取采集数据与统计数据,得到第二采集数据集和第二统计数据集;d、控制模块将第二采集数据集和第二统计数据集作为监测模型的输入,计算判断是否为异常流量;若是异常流量,则发出告警。进一步地,所述步骤a,具体包括:控制模块下发采集指令和统计指令给转发模块,转发模块根据这些指令采集与统计数据,并上报给控制模块。进一步地,控制模块把采集指令和统计指令转化成标准的openflow协议包,下发至转发模块。进一步地,所述清洗处理包括补全残缺数据、删除错误数据和删除重复数据。进一步地,一条所述采集指令包含两部分内容:网络流和动作;网络流采用五元组的形式标识,即源地址、目的地址、源端口号、目标端口号,协议;动作包括修改、转发、上送和丢弃。进一步地,计算判断是否为异常流量的方法是:根据应用程序告警信息判断是否为异常流量;若是异常流量,则获取异常流量的详细信息并标记。一种非暂态计算机可读存储介质,其上存储有计算机程序,该程序被计算机执行时,实现前述方法。与现有技术相比,本专利技术所达到的有益效果:(1)本专利技术所述系统通过采用包括转发模块、控制模块和应用程序的SDN网络架构,解决了网络架构的灵活性的问题,具有开放式可编程网络、数据与控制平面分离、逻辑集中控制、网络服务的自动化应用控制等特点;(2)本专利技术所述方法基于SDN网络架构,本文档来自技高网...
【技术保护点】
1.一种终端设备异常网络访问行为监测系统,其特征是,包括转发模块、控制模块和应用程序,/n所述转发模块根据所述控制模块的指令获取采集数据与统计数据,得到第一采集数据集和第一统计数据集;/n所述控制模块分别对第一采集数据集和第一统计数据集中的数据进行清洗处理,打上标签,做成样本,根据这些样本生成监测模型并对监测模型进行训练;/n所述转发模块根据生成的监测模型下发的转发策略、采集策略和统计策略执行转发数据、采集数据和统计数据,并再次获取采集数据与统计数据,得到第二采集数据集和第二统计数据集;/n所述控制模块将第二采集数据集和第二统计数据集作为监测模型的输入,计算判断是否为异常流量;若是异常流量,则发出告警;同时向应用程序提供应用程序接口。/n
【技术特征摘要】
1.一种终端设备异常网络访问行为监测系统,其特征是,包括转发模块、控制模块和应用程序,
所述转发模块根据所述控制模块的指令获取采集数据与统计数据,得到第一采集数据集和第一统计数据集;
所述控制模块分别对第一采集数据集和第一统计数据集中的数据进行清洗处理,打上标签,做成样本,根据这些样本生成监测模型并对监测模型进行训练;
所述转发模块根据生成的监测模型下发的转发策略、采集策略和统计策略执行转发数据、采集数据和统计数据,并再次获取采集数据与统计数据,得到第二采集数据集和第二统计数据集;
所述控制模块将第二采集数据集和第二统计数据集作为监测模型的输入,计算判断是否为异常流量;若是异常流量,则发出告警;同时向应用程序提供应用程序接口。
2.根据权利要求1所述的终端设备异常网络访问行为监测系统,其特征是,所述转发模块包括解包器、转发器、采集器和统计器,所述解包器用于接收并解析网络包,获取网络包表项中的actionset,并根据actionset中的内容对网络包进行转发或丢弃;
所述转发器用于根据解包器对网络包的解析,处理并从指定的带外端口转发网络包或根据openflow协议,把网络包封装openflow消息的头部,并以switch-to-controller的消息类型从指定的带内端口输出至控制模块;
所述采集器用于根据actionset中的采集规则,抽取网络包中的字段,封装openflow消息的头部,并以switch-to-controller的消息类型从指定的带内端口输出至控制模块;同时,所述统计器用于根据actionset中的统计规则,更新统计数据。
3.根据权利要求1所述的终端设备异常网络访问行为监测系统,其特征是,所述控制模块包括控制器,所述控制器的安全组件包括openflow解析器、采样数据库、流学习库和DFI学习器,所述openflow解析器用于解析转发模块传送的switch-to-controller消息,把采样数据输入至采样数据库,把统计数据输入至流学习库;
所述采样数据库用于存储采样数据;
所述流学习库用于存...
【专利技术属性】
技术研发人员:汪洋,韦小刚,孙歆,李沁园,孙昌华,
申请(专利权)人:国网电力科学研究院有限公司,南京南瑞信息通信科技有限公司,国网浙江省电力有限公司电力科学研究院,国家电网有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。