本申请公开了一种业务系统的网络流量的基线管理与监测方法及装置,基线管理与监测方法包括:采集原始网络流量数据;对原始网络流量数据做预处理,并依据配置策略对预处理后的原始网络流量进行配置,获得有效的网络流量数据;基于有效的网络流量数据,以时间点为单位获得有效的网络流量数据对应的多个维度的监测数据,形成第一基础数据源数据;将第一基础数据源数据与最新的基线数据进行匹配,若某一时间点上的至少一个监测数据超过了异常报警阈值,则发出该时间点的告警信息。本申请采用旁路部署方式,拆分出目标业务系统的网络流量,进而进一步对目标业务系统的网络流量进行监测,相对于现有技术降低了运维成本,提高了监测效率。监测效率。监测效率。
【技术实现步骤摘要】
业务系统的网络流量的基线管理与监测方法及装置
[0001]本申请涉及计算机
,更具体地,涉及一种业务系统的网络流量的基线管理与监测方法及装置。
技术介绍
[0002]随着信息化技术的发展、企业对业务系统平台依赖程度越来越高,业务系统给企业带来利益的同时,也伴随着各种风险。业务系统由单个或多个资产组成,现有的网络安全防护体系基本都是采用架构安全(安全域、ACL、访问控制)、被动防御(防病毒、防火墙、入侵检测等)等,随着实战防护需求与技术的不断发展,网络安全正迈入实战攻防的主动防御阶段。
[0003]现有技术中,将网络流量的监测系统直接部署到被监测的业务系统的服务器上,在业务系统的每个端口设置检测模块,以获取访问该业务系统的网络流量,进而对业务系统的流量进行分析。
[0004]但是,当被监测的业务系统数量多时,需要部署的监测系统也会增多,这样的部署方式在增加工作量的同时也加大了维护工作的难度。
技术实现思路
[0005]本申请提供一种业务系统的网络流量的基线管理与监测方法及装置,采用旁路部署的方式,通过独立于业务系统的监测装置对网络流量数据进行监测,并且基于从网络流量数据获得的多维度监测数据进行监测,因此监测装置的数量不会随着被监测的业务系统数量的增多而增多,相对于现有技术,大大降低了工作量和监测装置的维护难度。
[0006]本申请提供了一种业务系统的网络流量的基线管理与监测方法,包括:
[0007]采集原始网络流量数据;
[0008]对原始网络流量数据做预处理,并依据配置策略对预处理后的原始网络流量进行配置,获得有效的网络流量数据;
[0009]基于有效的网络流量数据,以时间点为单位获得有效的网络流量数据对应的多个维度的监测数据,形成第一基础数据源数据;
[0010]将第一基础数据源数据与最新的基线数据进行匹配,若某一时间点上的至少一个监测数据超过了异常报警阈值,则发出该时间点的告警信息。
[0011]优选地,基线管理与监测方法还包括:基于预设时间段内的第一基础数据源数据更新基线数据。
[0012]基线管理与监测方法还包括:若某一时间点上的某个监测数据超过了对应的基线上限,则将监测数据标记为自动识别异常数据。
[0013]优选地,在更新基线数据之前将标记为自动识别异常数据的监测数据从预设时间段内的第一基础数据源数据中过滤掉。
[0014]优选地,配置策略包括目标业务系统的第一过滤策略和无用网络流量数据的第二
过滤策略。
[0015]优选地,基线管理与监测方法还包括数据的查缺和插补,具体包括:
[0016]基于第一基础数据源数据和对应的镜像流量数据判断是否存在数据缺失;
[0017]若是,则对缺失部分进行插补,形成第二基础数据源数据;并且,
[0018]将第二基础数据源数据与最新的基线数据进行匹配。
[0019]本申请还提供一种业务系统的网络流量的基线管理与监测装置,包括采集模块、预处理和配置模块、监测数据获得模块以及监测模块;
[0020]采集模块用于采集原始网络流量数据;
[0021]预处理和配置模块用于对原始网络流量数据做预处理,并依据配置策略对预处理后的原始网络流量进行配置,获得有效的网络流量数据;
[0022]监测数据获得模块用于基于有效的网络流量数据,以时间点为单位获得有效的网络流量数据对应的多个维度的监测数据,形成第一基础数据源数据;
[0023]监测模块用于将第一基础数据源数据与最新的基线数据进行匹配,若某一时间点上的至少一个监测数据超过了异常报警阈值,则发出该时间点的告警信息。
[0024]优选地,基线管理与监测装置还包括基线数据更新模块,基线数据更新模块用于基于预设时间段内的第一基础数据源数据更新基线数据。
[0025]优选地,基线管理与监测装置还包括标记模块,标记模块用于在某一时间点上的某个监测数据超过了对应的基线上限时,将监测数据标记为自动识别异常数据。
[0026]优选地,基线管理与监测装置还包括补充模块,补充模块包括判断模块和插补模块;
[0027]判断模块用于基于第一基础数据源数据和对应的镜像流量数据判断是否存在数据缺失;
[0028]插补模块用于存在数据缺失时对缺失部分进行插补,形成第二基础数据源数据;
[0029]并且监测模块用于将第二基础数据源数据与最新的基线数据进行匹配。
[0030]通过以下参照附图对本申请的示例性实施例的详细描述,本申请的其它特征及其优点将会变得清楚。
附图说明
[0031]被结合在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且连同其说明一起用于解释本申请的原理。
[0032]图1为本申请提供的业务系统的网络流量的基线管理与监测方法的流程图;
[0033]图2为本申请提供的业务系统的网络流量的基线管理与监测装置的结构图。
具体实施方式
[0034]现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。
[0035]以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本申请及其应用或使用的任何限制。
[0036]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为说明书的一部分。
[0037]在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
[0038]本申请提供一种业务系统的网络流量的基线管理与监测方法及装置,采用旁路部署的方式,通过独立于业务系统的监测装置对网络流量数据进行监测,并且基于从网络流量数据获得的多维度监测数据进行监测,因此监测装置的数量不会随着被监测的业务系统数量的增多而增多,相对于现有技术,大大降低了工作量和监测装置的维护难度,减少运维成本。
[0039]实施例一
[0040]如图1所示,本申请提供的业务系统的网络流量的基线管理与监测方法包括:
[0041]S110:采集原始网络流量数据。
[0042]需要说明的是,原始网络流量数据是对从网络上获取的镜像流量进行处理获得的。
[0043]S120:对原始网络流量数据做预处理,并依据配置策略对预处理后的原始网络流量进行配置,获得有效的网络流量数据。
[0044]具体地,预处理主要包括对原始网络流量数据进行格式化、清洗处理等操作。其中,清洗处理包括但不限于如下操作:对传输层会话进行还原,消除网络上造成的乱序、重传等,然后进行地址、协议、端口识别,从数据流中提取摘要信息(包括源IP地址、URL、入流量、出流量等),形成摘要数据。
[0045]配置策略包括目标业务系统的第一过滤策略和无用网络流量数据的第本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种业务系统的网络流量的基线管理与监测方法,其特征在于,包括:采集原始网络流量数据;对所述原始网络流量数据做预处理,并依据配置策略对预处理后的原始网络流量进行配置,获得有效的网络流量数据;基于所述有效的网络流量数据,以时间点为单位获得所述有效的网络流量数据对应的多个维度的监测数据,形成第一基础数据源数据;将所述第一基础数据源数据与最新的基线数据进行匹配,若某一时间点上的至少一个监测数据超过了异常报警阈值,则发出该时间点的告警信息。2.根据权利要求1所述的业务系统的网络流量的基线管理与监测方法,其特征在于,还包括:基于预设时间段内的第一基础数据源数据更新所述基线数据。3.根据权利要求2所述的业务系统的网络流量的基线管理与监测方法,其特征在于,还包括:若某一时间点上的某个监测数据超过了对应的基线上限,则将所述监测数据标记为自动识别异常数据。4.根据权利要求3所述的业务系统的网络流量的基线管理与监测方法,其特征在于,在更新所述基线数据之前将标记为自动识别异常数据的监测数据从所述预设时间段内的第一基础数据源数据中过滤掉。5.根据权利要求1所述的业务系统的网络流量的基线管理与监测方法,其特征在于,所述配置策略包括目标业务系统的第一过滤策略和无用网络流量数据的第二过滤策略。6.根据权利要求1所述的业务系统的网络流量的基线管理与监测方法,其特征在于,还包括数据的查缺和插补,具体包括:基于所述第一基础数据源数据和对应的镜像流量数据判断是否存在数据缺失;若是,则对缺失部分进行插补,形成第二基础数据源数据;并且,将所述第二基础数据源数据与最新的基...
【专利技术属性】
技术研发人员:李威,李健俊,姜学峰,张成挺,姚广,缪桢敏,
申请(专利权)人:浙江中烟工业有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。