專利名稱:具有對(duì)網(wǎng)絡(luò)流量進(jìn)行解析功能的日志裝置、系統(tǒng)與方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)流量日志記錄與分析的方法、系統(tǒng)與裝置。
背景技術(shù):
因?yàn)橐恍┮?guī)章制度,許多公司都要求存儲(chǔ)一定時(shí)間段的網(wǎng)絡(luò)流量。例如,US 404證明與《保險(xiǎn)便攜性和責(zé)任法》(HIPPA)要求公司要保存網(wǎng)絡(luò)流量5到7年。通常情況下,公司按照政府的規(guī)定,都會(huì)雇傭一個(gè)使用網(wǎng)絡(luò)數(shù)據(jù)包嗅探器技術(shù)采集網(wǎng)絡(luò)流量的服務(wù)商。然后把這些流量存儲(chǔ)在指定的地點(diǎn)。數(shù)據(jù)一經(jīng)存儲(chǔ),各種各樣的分析裝置就對(duì)數(shù)據(jù)進(jìn)行分類,存檔以及從數(shù)據(jù)中挖掘想要的信息。對(duì)這些數(shù)據(jù)包逐個(gè)分析,析取出所要求的信息。
有關(guān)技術(shù)方面,在一個(gè)稱作網(wǎng)絡(luò)監(jiān)視器的裝置中可以看到網(wǎng)絡(luò)流量狀況,客戶端與服務(wù)器以及客戶與客戶之間的數(shù)據(jù)交換。網(wǎng)絡(luò)監(jiān)視器也就是所說的一個(gè)“數(shù)據(jù)包嗅探器”(Packet sniffer),通過它可以看到在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)并建立蹤跡。一種最常用的數(shù)據(jù)包嗅探器是開源的ETHEREAL,ETHEREAL也對(duì)捕捉到的數(shù)據(jù)包進(jìn)行各樣的分析。舉例來說,數(shù)據(jù)包嗅探器可用于發(fā)現(xiàn)并修理網(wǎng)絡(luò)以及其應(yīng)用性能故障,監(jiān)測(cè)網(wǎng)絡(luò)使用的情況,檢測(cè)網(wǎng)絡(luò)物理故障,并可以查找網(wǎng)絡(luò)安全隱患,以及采集網(wǎng)絡(luò)流量進(jìn)行分析。
圖1描述了一用于從網(wǎng)絡(luò)中捕捉流入的流量的系統(tǒng)。具體地,圖1示出了來自互聯(lián)網(wǎng)絡(luò)(Internet)10中的數(shù)據(jù)包從不同的數(shù)據(jù)源傳輸?shù)礁髯缘哪康牡?。舉例說明,如果一內(nèi)部網(wǎng)絡(luò)如一有組織的局域網(wǎng)(LAN)13是所傳輸數(shù)據(jù)包的各自的目的地,則這些數(shù)據(jù)包由防火墻11接收。防火墻11設(shè)置在內(nèi)部網(wǎng)絡(luò)13與互聯(lián)網(wǎng)絡(luò)(Internet)10之間。防火墻11通過監(jiān)測(cè)到達(dá)的網(wǎng)絡(luò)流量,保護(hù)內(nèi)部網(wǎng)絡(luò)13。通過防火墻11的流量被傳輸?shù)铰酚善?2。另一方面,嗅探器(Sniffer)14捕捉從防火墻11流入路由器12的的流量,然后把捕捉到的數(shù)據(jù)包發(fā)送到存儲(chǔ)裝置15?;蛘呤?,嗅探器(Sniffer)14可設(shè)置在防火墻11之前,以捕捉所有指定發(fā)送到內(nèi)部網(wǎng)絡(luò)13的數(shù)據(jù)包,或可設(shè)置在路由器12中以捕捉所有到達(dá)路由器12的網(wǎng)絡(luò)數(shù)據(jù)包。
嗅探器14在記錄網(wǎng)絡(luò)活動(dòng)方面較有價(jià)值,但是其在分析網(wǎng)絡(luò)活動(dòng)方面的功能非常薄弱,因?yàn)槠洳荒茏R(shí)別數(shù)據(jù)傳輸?shù)膮f(xié)議,舉例來說,現(xiàn)有技術(shù)的嗅探器不能識(shí)別HTML,XML,及其他協(xié)議。嗅探器獲取的數(shù)據(jù)包在所知的幀閱讀器窗口的顯示成對(duì)用戶來說非常不友好的多框架式閱讀界面。尤其當(dāng)大量的數(shù)據(jù)集結(jié)在一起時(shí),讀取捕捉到的數(shù)據(jù)包就更復(fù)雜,因?yàn)樗械臄?shù)據(jù)都緊串在一起了。而且,因?yàn)閭鬏數(shù)臄?shù)據(jù)包交叉在一起,讀取捕獲的數(shù)據(jù)包真是難上加難。那樣的話,在根據(jù)一給定的請(qǐng)求和/或響應(yīng)想要讀取捕獲的數(shù)據(jù)包部分時(shí),用戶很容易將其認(rèn)為是與所述給定的請(qǐng)求和/或響應(yīng)相對(duì)應(yīng)的數(shù)據(jù)及與其它的請(qǐng)求和/或響應(yīng)相對(duì)應(yīng)的數(shù)據(jù)。
換句話說,現(xiàn)有技術(shù)的缺點(diǎn)之一就是難于搜索數(shù)據(jù)包嗅探器的蹤跡及重建其原始內(nèi)容。例如,如果用戶想發(fā)現(xiàn)一特殊郵件是否包含敏感詞語的組合時(shí),就需要尋找所有那個(gè)時(shí)間段發(fā)送的數(shù)據(jù)包,并重建所有郵件的數(shù)據(jù)包然后再進(jìn)行搜索。在現(xiàn)有技術(shù)中,如以上所解釋的,嗅探器把網(wǎng)絡(luò)流量進(jìn)行日志記錄到一個(gè)存儲(chǔ)裝置上。分析器順序檢測(cè)存儲(chǔ)裝置中沒有分類的數(shù)據(jù)包裝置。因此,為分析數(shù)據(jù)流量,每個(gè)存儲(chǔ)的數(shù)據(jù)包必須要按順序逐個(gè)檢測(cè)。
現(xiàn)有技術(shù)的另一個(gè)缺點(diǎn)就是分析器可能為分析數(shù)據(jù)包設(shè)置了各種各樣的規(guī)則。這些規(guī)則是預(yù)先編程的。在現(xiàn)有技術(shù)中,用戶沒有調(diào)整這些規(guī)則的靈活性。
而且,在現(xiàn)有技術(shù)中,當(dāng)使用嗅探器記錄網(wǎng)絡(luò)數(shù)據(jù)包的時(shí)候,CPU(中央處理器)與內(nèi)存被大量占用。所以,如果用戶也試圖利用同一臺(tái)機(jī)器來搜索以前記錄的數(shù)據(jù)包時(shí),會(huì)導(dǎo)致CPU與內(nèi)存過載。也就是說,要花費(fèi)相當(dāng)長的時(shí)間才能夠找到所要的數(shù)據(jù)包。同時(shí),也可能由于資源過載而使得嗅探器遺漏一些數(shù)據(jù)包。
總而言之,在現(xiàn)有技術(shù)中,對(duì)網(wǎng)絡(luò)流量的日志記錄與分析過程是非常耗時(shí)耗力的。
發(fā)明內(nèi)容
本發(fā)明的目的之一在于提供一種方法、系統(tǒng)及裝置,以更有效的對(duì)數(shù)據(jù)流量進(jìn)行日志記錄及分析裝置。本發(fā)明的另一個(gè)目的在于提供一個(gè)完整的解決方案,以對(duì)數(shù)據(jù)進(jìn)行日志記錄與分析。本發(fā)明的又一目的在于為用戶在監(jiān)控網(wǎng)絡(luò)流量時(shí)提供更多的靈活性。進(jìn)一步的,本發(fā)明的目的還在于,能在實(shí)現(xiàn)存儲(chǔ)并分析大量的網(wǎng)絡(luò)數(shù)據(jù)時(shí),不導(dǎo)致網(wǎng)絡(luò)速度緩慢與計(jì)算機(jī)資源的過載。
示例性的,非限定性的,本發(fā)明的實(shí)施例可以克服上述提到的裝置及未提到的缺點(diǎn)。本發(fā)明并必要能夠克服上述的所有不足,并且本發(fā)明的示例性的、不作為限定的實(shí)施例也不一定能克服上述的所有問題。應(yīng)參考所附的權(quán)利要求來確定本發(fā)明的實(shí)際保護(hù)范圍。
根據(jù)本發(fā)明一示例性的、非限定性的實(shí)施例,本發(fā)明提供了一種用來管理網(wǎng)絡(luò)數(shù)據(jù)包的日志裝置。所述的日志裝置包括流量捕捉部件,用于接收網(wǎng)絡(luò)數(shù)據(jù)包,并根據(jù)預(yù)先設(shè)定的規(guī)則通過篩選一些網(wǎng)絡(luò)數(shù)據(jù)包來進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的過濾裝置。該日志裝置還包括存儲(chǔ)部件,用于存儲(chǔ)所篩選出的網(wǎng)絡(luò)數(shù)據(jù)包,以及用于根據(jù)用戶指定的參數(shù)來組織所存儲(chǔ)的數(shù)據(jù)包的分析部件。流量捕捉部件、存儲(chǔ)部件以及分析部件集成在單一的物理裝置中,用戶可以實(shí)時(shí)監(jiān)控流量。
根據(jù)本發(fā)明另一示例性的、非限定性的實(shí)施例,本發(fā)明提供了一種管理網(wǎng)絡(luò)數(shù)據(jù)包的日志系統(tǒng)。該日志系統(tǒng)包括一用來接收網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)關(guān)計(jì)算機(jī)。所述網(wǎng)關(guān)計(jì)算機(jī)設(shè)置成根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的源地址、其目標(biāo)地址、網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口的選擇以及一具體的流量會(huì)話是否與網(wǎng)絡(luò)數(shù)據(jù)包預(yù)先設(shè)定的特征相匹配來篩選接收到的數(shù)據(jù)包的。日志系統(tǒng)進(jìn)一步包括用來存儲(chǔ)所篩選出的數(shù)據(jù)包的存儲(chǔ)裝置以及用來根據(jù)用戶指定的參數(shù)組織所存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)包的分析計(jì)算機(jī)。
根據(jù)本發(fā)明又一示例性的、非限定性的實(shí)施例,本發(fā)明還提供了一種管理網(wǎng)絡(luò)數(shù)據(jù)包的方法。該方法包括在網(wǎng)關(guān)上從各種數(shù)據(jù)源接收網(wǎng)絡(luò)數(shù)據(jù)包;從接收的網(wǎng)絡(luò)數(shù)據(jù)包中篩選數(shù)據(jù)包;及,把所篩選出的網(wǎng)絡(luò)數(shù)據(jù)包存儲(chǔ)在存儲(chǔ)裝置中。所述網(wǎng)關(guān)配置可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的源地址以及目標(biāo)地址、網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、所指定的端口以及一特殊流量會(huì)話是否與預(yù)先設(shè)定的特征相匹配來篩選數(shù)據(jù)包。
通過對(duì)以下本發(fā)明示例性的、非限定性的實(shí)施例及其附圖的描述,來對(duì)本發(fā)明進(jìn)行詳細(xì)說明與描述。在附圖中,相同的標(biāo)記代表相似的部件。
圖1是按照現(xiàn)有技術(shù)的用于監(jiān)控網(wǎng)絡(luò)流量的系統(tǒng)方框圖;圖2是按照本發(fā)明一示例性的、非限定性的實(shí)施例用于監(jiān)控網(wǎng)絡(luò)流量的系統(tǒng)的方框圖;圖3是按照本發(fā)明一示例性實(shí)施例的存儲(chǔ)裝置的結(jié)構(gòu)示意圖;圖4是按照本發(fā)明一示例性實(shí)施例的日志裝置的方框圖;圖5是按照本發(fā)明一示例性實(shí)施例的日志裝置的面板的結(jié)構(gòu)圖;圖6是按照本發(fā)明一示例性實(shí)施例的網(wǎng)絡(luò)流量分析器的圖形用戶界面圖;圖7是按照本發(fā)明一示例性實(shí)施例的流量顯示器的界面圖。
圖8是按照本發(fā)明一示例性實(shí)施例的流量顯示器設(shè)置窗口的界面圖;圖9按照本發(fā)明一示例性實(shí)施例的是流量顯示器中的日期過濾器的界面圖;圖10是按照本發(fā)明一示例性實(shí)施例的簡(jiǎn)單日志搜索的界面圖;圖11是按照本發(fā)明一示例性實(shí)施例的高級(jí)日志搜索的界面圖;圖12是按照本發(fā)明一示例性實(shí)施例的網(wǎng)絡(luò)分析器設(shè)置界面圖;圖13是按照本發(fā)明一示例性實(shí)施例的報(bào)告范圍設(shè)置界面圖;圖14是按照本發(fā)明一示例性實(shí)施例的報(bào)警事件設(shè)置界面圖。
具體實(shí)施例方式
圖2描述了按照本發(fā)明一示例性、非限制性實(shí)施例的日志裝置的方框圖。圖2所述的日志裝置包括防火墻模塊21與存儲(chǔ)裝置22。這兩個(gè)模塊通過一個(gè)或多個(gè)千兆以太網(wǎng)連接器連接。為簡(jiǎn)單明了起見,圖2中只示出了一個(gè)千兆以太網(wǎng)連接器。另外,日志裝置還可包括一顯示單元(如圖5所示,并在下文做出更詳細(xì)的描述)。該顯示單元可設(shè)置在日志裝置的面板中?;蛘?,日志裝置可與一用于向用戶顯示數(shù)據(jù)的監(jiān)控器相連接。該具有日志記錄與分析的功能日志裝置可與交換機(jī),網(wǎng)關(guān)或路由器集成。
如圖2所示,進(jìn)入的數(shù)據(jù),從互聯(lián)網(wǎng)(Internet)20流入的數(shù)據(jù),遇到防火墻21。防火墻21可設(shè)置在一分離的電路板上或者與存儲(chǔ)裝置22設(shè)置在單獨(dú)同一的電路板上。
圖2所述的防火墻21上設(shè)置有一過濾模塊,用于過濾進(jìn)入的流量。用戶可以設(shè)定過濾模塊軟件。例如,用戶可以決定監(jiān)控網(wǎng)關(guān)上的哪個(gè)端口的流量,以怎樣的流量模式(源地址與目標(biāo)地址或服務(wù))發(fā)送到存儲(chǔ)裝置22。用戶可以根據(jù)數(shù)據(jù)包的傳輸協(xié)議或格式,或者基于一特殊的流量會(huì)話是否與預(yù)先設(shè)定的特征相匹配這樣的規(guī)則來篩選流量。用戶可以任意多種結(jié)合方式指定上述任意數(shù)量的示例性規(guī)則。
而且,用戶可以指定日志的長度。例如,用戶能夠設(shè)置參數(shù)只記錄數(shù)據(jù)包包頭的日志?;蛘撸脩裟軌蛟O(shè)置參數(shù)以記錄全部的內(nèi)容或只記錄與會(huì)話有關(guān)的數(shù)據(jù)(數(shù)據(jù)長度)的日志。例如,用戶可以要求只記錄IP數(shù)據(jù)包的包頭日志,和記錄所有其他類型數(shù)據(jù)包的整個(gè)數(shù)據(jù)包的日志。舉例說明,用戶可以用以下方法指定參數(shù)a)通過操作日志裝置的面板,以下將詳細(xì)說明;b)通過網(wǎng)絡(luò),使用軟件應(yīng)用程序連接到日志裝置上配置參數(shù);c)通過使用一串行電纜將其連接到日志裝置面板上的串行端口,將在下面作更詳細(xì)的說明。正如本領(lǐng)域的技術(shù)人員將會(huì)認(rèn)識(shí)的,還有上述未提及的其它方法可以連接到日志裝置上。
因此,當(dāng)數(shù)據(jù)包到達(dá)防火墻21的時(shí)候,會(huì)檢測(cè)諸如源地址以及目標(biāo)地址、格式等數(shù)據(jù)包信息。以上所提供的例子中,如果數(shù)據(jù)包是一IP數(shù)據(jù)包,那么只有其包頭的日志記錄到存儲(chǔ)裝置22中。也就是說,防火墻21作為過濾裝置,識(shí)別數(shù)據(jù)包的格式并篩選出其日志將被記錄在存儲(chǔ)裝置22中的數(shù)據(jù)包。而且,防火墻告知存儲(chǔ)裝置22要存儲(chǔ)的數(shù)據(jù)包的類型與內(nèi)容,以便于進(jìn)行消息的恢復(fù),即便于數(shù)據(jù)的分析。例如,用戶在圖5所示的日志裝置的面板上設(shè)置參數(shù),并且使用軟件指令告知防火墻21設(shè)置的參數(shù)。接著,防火墻21再通過千兆以太網(wǎng)連接器告知存儲(chǔ)裝置22用戶設(shè)置的參數(shù)。
也就是說,防火墻21根據(jù)用戶指定的規(guī)則選擇性地決定哪些數(shù)據(jù)包要保存在存儲(chǔ)裝置22中,以及哪些數(shù)據(jù)包不需做日志記錄便可以通過。通過設(shè)置用于存儲(chǔ)數(shù)據(jù)包的規(guī)則或過濾器可以使得對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步的分析更便利。換句話說,防火墻21是設(shè)置用于篩選某些流量類型并且將那些被篩選出的流量類型發(fā)送到存儲(chǔ)裝置22,沒被選擇的流量將繞過日志記錄步驟。作為變換但不作為限制,防火墻21可以是交換機(jī)或者其他的網(wǎng)關(guān)裝置。流量類型可根據(jù)源地址與目標(biāo)地址、數(shù)據(jù)包協(xié)議類型或者端口數(shù)量,和/或一特殊的流量會(huì)話是否與預(yù)先設(shè)定的特征相匹配來進(jìn)行選擇。作為示例,本發(fā)明中列舉了一些規(guī)則,可以選擇使用其中的任意數(shù)量,使用其他的規(guī)則也屬于本發(fā)明的保護(hù)范圍內(nèi)。
特別地,防火墻21還可包括以下部件用來執(zhí)行防火墻操作以及上述提到的過濾操作的處理器以及存儲(chǔ)裝置。防火墻21的存儲(chǔ)裝置用來存儲(chǔ)用戶指定的參數(shù),處理器用于執(zhí)行所要求的操作以對(duì)要發(fā)送到存儲(chǔ)裝置22的數(shù)據(jù)包進(jìn)行過濾。選擇性地,防火墻裝置21可以包括不止一個(gè)處理器。
接下來,經(jīng)過防火墻21過濾的數(shù)據(jù)被發(fā)送到存儲(chǔ)裝置22。存儲(chǔ)裝置22從防火墻21處接收數(shù)據(jù)并將其存儲(chǔ)在如硬盤或閃存等的持久存儲(chǔ)裝置中。存儲(chǔ)裝置22有一處理器或控制器,用來控制存儲(chǔ)的數(shù)據(jù)以及進(jìn)行其他操作。例如,通過使用一處理器,存儲(chǔ)裝置22不僅可以存儲(chǔ)原始數(shù)據(jù)包中的數(shù)據(jù),而且可以重建數(shù)據(jù)并以應(yīng)用格式存儲(chǔ)應(yīng)用級(jí)別的數(shù)據(jù)(如電子郵件、下載的文件等)以便分類與檢索。存儲(chǔ)裝置22中的處理器對(duì)接收到數(shù)據(jù)包建立索引或分類以便進(jìn)行進(jìn)一步的搜索。存儲(chǔ)裝置22的處理器可以自動(dòng)覆蓋舊的數(shù)據(jù)部分以給新數(shù)據(jù)挪出空間。當(dāng)防火墻21與存儲(chǔ)裝置22集成到同一電路板上的時(shí)候,提供至少兩個(gè)處理器,如中央處理器(CPU)是有利的,以使得一處理器用于控制防火墻的操作,另一處理器用于控制數(shù)據(jù)包的存儲(chǔ)。
存儲(chǔ)裝置22中也可以有一千兆以太網(wǎng)(GbE)控制器,其一個(gè)端口連接到防火墻21,另一個(gè)端口連接到日志裝置的面板上?;蛘撸鎯?chǔ)裝置22可只連接到防火墻上,如以上所述。
并且,存儲(chǔ)裝置22可以包括多個(gè)存儲(chǔ)裝置,如圖3所述。典型的存儲(chǔ)裝置22可以是RAID(獨(dú)立磁盤冗余陣列)硬盤陣列,其包括硬盤31a,31b直到31n。存儲(chǔ)裝置22還包括一RAID控制器32,及至少兩個(gè)或更多的GbE端口33a、33b。例如,RAID控制器32通過GbE端口33a接收數(shù)據(jù)包,以及通過GbE端口33b接收用戶請(qǐng)求。另外,RAID控制器32確定將接收到的數(shù)據(jù)包傳輸?shù)?1a、31b或31n中的哪個(gè)硬盤,并把接收到的數(shù)據(jù)傳輸?shù)揭呀?jīng)確定的硬盤31a、31b或31n上。
圖4所示按照本發(fā)明一示例性實(shí)施例的日志裝置包括如上述的一防火墻與存儲(chǔ)區(qū)域。也就是說,日志裝置40包括一網(wǎng)關(guān)計(jì)算機(jī)41。作為例子,該網(wǎng)關(guān)計(jì)算機(jī)41可以是路由器、交換機(jī)、多網(wǎng)絡(luò)端口的網(wǎng)絡(luò)集線器(hub)或者為現(xiàn)有所知的某一類型的防火墻。此外,日志裝置40還包括存儲(chǔ)設(shè)備42,例如在圖3中所示的硬盤陣列以及分析計(jì)算機(jī)43。作為變化,網(wǎng)關(guān)計(jì)算機(jī)41與分析計(jì)算機(jī)43可以是計(jì)算部件,如集成在一個(gè)物理裝置中的CPU。
一用戶,如網(wǎng)絡(luò)管理員通過交互作用設(shè)置用于過濾數(shù)據(jù)的參數(shù),例如使用分析計(jì)算機(jī)43。然而,可以通過直接配置網(wǎng)關(guān)計(jì)算機(jī)41來設(shè)置過濾參數(shù),因?yàn)榫W(wǎng)關(guān)計(jì)算機(jī)41經(jīng)常提供一種過濾進(jìn)入數(shù)據(jù)的方法以使得用戶能只捕獲需要的數(shù)據(jù)而不是到達(dá)網(wǎng)關(guān)計(jì)算機(jī)41的每一數(shù)據(jù)包。
網(wǎng)關(guān)計(jì)算機(jī)41接收網(wǎng)絡(luò)流量。網(wǎng)關(guān)計(jì)算機(jī)41應(yīng)用用戶設(shè)置的參數(shù)對(duì)接收到的數(shù)據(jù)進(jìn)行過濾并把過濾的數(shù)據(jù)發(fā)送到存儲(chǔ)設(shè)備42。在存儲(chǔ)設(shè)備42中,應(yīng)用一控制器把數(shù)據(jù)發(fā)送到各個(gè)硬盤上。也就是說,一旦存儲(chǔ)裝置捕獲了原始數(shù)據(jù)包的拷貝,然后就對(duì)數(shù)據(jù)包進(jìn)行重建并以其原始的格式存儲(chǔ)在硬盤中。一旦流量被捕捉并被存儲(chǔ)在硬盤后,用戶與分析計(jì)算機(jī)43交互作用,使用并組織存儲(chǔ)在存儲(chǔ)設(shè)備42中的數(shù)據(jù)。根據(jù)用戶的請(qǐng)求,分析計(jì)算機(jī)43與存儲(chǔ)設(shè)備42連接以恢復(fù)并使用存儲(chǔ)的數(shù)據(jù)。
日志裝置應(yīng)該具有一用戶界面或者可以連接到一用戶界面,以使得用戶能夠查看日志并搜索/分類數(shù)據(jù)。用戶界面可設(shè)置在日志裝置50的面板上,參見圖5。具體地,日志裝置50可包括一套主硬盤51以及一套從硬盤或備份硬盤52。備份硬盤是為冗余數(shù)據(jù)提供的。日志裝置還可包括多個(gè)端口53,如以太網(wǎng)接口1、2、3與4。端口53用于連接到被監(jiān)控的裝置,也就是說,這些裝置用來接收發(fā)送到日志裝置50的數(shù)據(jù)。而且,日志裝置50還可包括幾個(gè)管理端口54,如圖5所示的端口5、6。這些管理端口54用于把日志裝置50連接到一用戶界面如監(jiān)視器。此外,日志裝置50本身還可包括一顯示器55及一面板56,用來接收配置日志裝置50的用戶輸入。
分析計(jì)算機(jī)43給用戶提供存儲(chǔ)在存儲(chǔ)裝置22中數(shù)據(jù)的實(shí)時(shí)顯示與歷史記錄的顯示。用戶能夠過濾顯示的數(shù)據(jù)條目。用戶還可以設(shè)置成對(duì)日志文件進(jìn)行周期性掃描,以查找郵件,HTTP或者FTP流量以及對(duì)以內(nèi)容日志格式存儲(chǔ)的原始信息的重建。
而且,用戶能夠設(shè)置生成與流量有關(guān)的報(bào)告。也就是說,分析計(jì)算機(jī)43有報(bào)告功能,以生成各式報(bào)告,如流量模式或安全報(bào)告,以下將詳細(xì)介紹。例如,用戶也可以通過指定特殊數(shù)據(jù)類型與搜索詞對(duì)日志內(nèi)容進(jìn)行搜索。而且,用戶也可根據(jù)數(shù)據(jù)的大小進(jìn)行搜索。用戶還可以使用其他的規(guī)則進(jìn)行搜索,同樣,其他規(guī)則也在本發(fā)明的范圍之內(nèi)。
另外,用戶可設(shè)置使用報(bào)警機(jī)制。也就是說,用戶可以設(shè)置自動(dòng)報(bào)警的規(guī)則,來對(duì)特殊的數(shù)據(jù)包或信息向用戶報(bào)警,以下將詳細(xì)說明。所述報(bào)警規(guī)則可以根據(jù)數(shù)據(jù)包的大小、關(guān)鍵詞、和/或模式比如存儲(chǔ)裝置儲(chǔ)存數(shù)據(jù)包的速度來設(shè)定。進(jìn)一步地,一用于說明在介質(zhì)或存儲(chǔ)裝置中存儲(chǔ)有多少數(shù)據(jù)以及這些數(shù)據(jù)將被保存的時(shí)間的統(tǒng)計(jì)信息或記錄也將提供給用戶。
作為例子,圖6所示的界面圖可用于分析存儲(chǔ)的數(shù)據(jù)流量。網(wǎng)絡(luò)分析器60包括流量顯示器61、瀏覽器項(xiàng)62、搜索項(xiàng)63、以及配置項(xiàng)64。而且,網(wǎng)絡(luò)分析器60還可包括報(bào)表與報(bào)警項(xiàng)目(圖中沒有繪出)。每個(gè)所列出的項(xiàng)目61-64以及報(bào)告項(xiàng)目與報(bào)警項(xiàng)目,將在下文進(jìn)一步詳細(xì)說明。
流量顯示器選中流量顯示器61后,用戶可以看到存儲(chǔ)在存儲(chǔ)裝置中的所有數(shù)據(jù)包。也就是說,通過在顯示器上顯示這些數(shù)據(jù)包,用戶可以看到在一個(gè)預(yù)先設(shè)定的時(shí)間段內(nèi)所有記錄在存儲(chǔ)裝置中的流量日志。流量顯示器有兩種模式,一種模式用于顯示歷史數(shù)據(jù),如上一年的數(shù)據(jù)信息;另一種模式用于顯示當(dāng)前的數(shù)據(jù),如最近一個(gè)星期的網(wǎng)絡(luò)流量。
舉例說明,當(dāng)用戶選中流量顯示器61時(shí),存儲(chǔ)在存儲(chǔ)裝置中的流量日志都將以圖7中所示的格式顯示。圖7中的量顯示器700將在一預(yù)先設(shè)定的時(shí)間段710如2004年8月1日到2004年9月1日內(nèi)接收到的數(shù)據(jù)包進(jìn)行顯示。也就是說,流量顯示器700是工作在歷史記錄模式。選中更改項(xiàng)目720可以改變時(shí)間段710。當(dāng)用戶選中更改項(xiàng)目720時(shí),圖8所示的向?qū)椭脩暨x擇合適的時(shí)間范圍。
如圖8所示,用戶可以指定開始時(shí)間810與結(jié)束時(shí)間820。關(guān)于開始時(shí)間810,用戶也可以使開始時(shí)間保持不指定811模式。當(dāng)不指定開始時(shí)間時(shí),將顯示存儲(chǔ)裝置中最早的日志。另一方面,如果通過選擇指定模式815確定要指定開始時(shí)間,可以通過日期816與時(shí)間818來設(shè)定開始的日期和時(shí)間。
用戶還可以進(jìn)一步設(shè)定結(jié)束時(shí)間820。如圖8的示例,有三種選項(xiàng)可以設(shè)置結(jié)束時(shí)間820。用戶還可以選中滾動(dòng)日志顯示821選項(xiàng)。當(dāng)選中滾動(dòng)日志顯示821選項(xiàng)時(shí),一有新的流量進(jìn)入時(shí),將根據(jù)用戶指定的參數(shù)對(duì)其進(jìn)行檢測(cè),如果其合適將被顯示給用戶。也就是說,滾動(dòng)日志顯示821是對(duì)最新進(jìn)入流量的實(shí)時(shí)顯示。選項(xiàng)二是設(shè)定當(dāng)前的時(shí)間822為結(jié)束時(shí)間820。所以,所有符合設(shè)定時(shí)間的進(jìn)入流量中符合用戶設(shè)定規(guī)則的數(shù)據(jù)包都將被顯示。選項(xiàng)三是指定結(jié)束時(shí)間823。在該選項(xiàng)中,用戶可以指定結(jié)束時(shí)間的具體日期824與時(shí)間826。而且,用戶可以從彈出的日歷圖標(biāo)817與825框中選擇日期。
用戶還可以進(jìn)一步選擇每頁瀏覽的記錄數(shù)量(數(shù)據(jù)包的數(shù)量)。如圖7所示,顯示的記錄數(shù)量730設(shè)定的是30條。顯示框740向用戶顯示出了當(dāng)前瀏覽的是哪條日志。例如,在圖7中示出了用戶正在查看n個(gè)記錄中的第一個(gè)記錄。用戶也可以在搜索項(xiàng)750中鍵入一個(gè)或多個(gè)關(guān)鍵詞然后按開始鍵760來搜索。
在流量顯示器700中,對(duì)于每個(gè)記錄770a到g(指每個(gè)數(shù)據(jù)包)都包括以下各項(xiàng)記錄的編號(hào)771(如1、2、3...7)、到達(dá)網(wǎng)關(guān)計(jì)算機(jī)的日期772(2005年3月12日),到達(dá)的時(shí)間773(到達(dá)的時(shí)、分、秒),各數(shù)據(jù)包產(chǎn)生的源774(源主機(jī)的IP地址,如192.168.01),數(shù)據(jù)包到達(dá)的目的地775(目的地主機(jī)的IP地址,如255.255.255.255)以及傳輸協(xié)議776(數(shù)據(jù)包格式,如傳輸控制協(xié)議TCP、地址解析協(xié)議ARP、網(wǎng)間控制報(bào)文協(xié)議ICMP及域名系統(tǒng)DNS)與附加信息777。附加信息777可包含有以下的項(xiàng)目,如數(shù)據(jù)包是否到達(dá)了目標(biāo)地址,信息的類型如該信息是否為同步信息和/或應(yīng)答消息,或者該信息是否是詢問信息等。要顯示查看記錄(數(shù)據(jù)包)的詳細(xì)信息,用戶只需要點(diǎn)擊圖標(biāo)778,數(shù)據(jù)包的內(nèi)容及其他詳細(xì)信息都會(huì)顯示出來。數(shù)據(jù)包內(nèi)容可以是下表(界面截圖)所示內(nèi)容
而且,可以對(duì)項(xiàng)771至775指定附加的過濾器,如圖標(biāo)778a到778e所示。也就是說,可以對(duì)778a、778b、778c、778d、778e中的每一項(xiàng)設(shè)置過濾器。例如,可通過圖9所示的用戶圖形界面設(shè)置對(duì)日期的過濾器。
例如,如圖9所示,用戶可以通過指定“之前”、“之后”、“在范圍內(nèi)”來指定日期的過濾范圍910。而且,用戶也可以指定不在某一范圍內(nèi)920項(xiàng)。對(duì)于“之前”和“之后”的過濾范圍910,設(shè)置一日期和時(shí)間,而指定“在范圍內(nèi)”時(shí),開始的日期項(xiàng)(從...)930和結(jié)束的日期項(xiàng)(到...)940都需要設(shè)置。時(shí)間也可進(jìn)行相應(yīng)的設(shè)置(圖中為示出)。
最后,如圖7所示,所有的記錄都用顏色進(jìn)行標(biāo)注。根據(jù)設(shè)定的日志安全級(jí)別,每行的記錄可以預(yù)先指定為不同顏色。例如,標(biāo)準(zhǔn)的HTTP請(qǐng)求(TCP)為低危險(xiǎn)性,可以用綠色標(biāo)注;而復(fù)制的TCP ACK信息具有較高的危險(xiǎn)性,可用紅色來標(biāo)注。其他被認(rèn)為具有中度危險(xiǎn)性的數(shù)據(jù)包可以用比較中性顏色如藍(lán)色進(jìn)行標(biāo)注。對(duì)于安全性不能夠確定的數(shù)據(jù)包可用白色來標(biāo)注。此外,為了方便用戶使用,用數(shù)字表示的可以通過如圖7所示復(fù)選框中的“解析主機(jī)名稱”與“解析服務(wù)”更改為以名稱顯示。
圖7到9中描述的流量顯示器700是作為一個(gè)例子提出的,其不在任何方面用來限制本發(fā)明的保護(hù)范圍。
瀏覽器選中瀏覽器項(xiàng)62,用戶可以查看存儲(chǔ)在存儲(chǔ)裝置中所有的數(shù)據(jù)包。也就是說,通過在顯示器中顯示這些數(shù)據(jù)包,用戶可以看到在設(shè)定的時(shí)間段內(nèi)所有記錄在存儲(chǔ)裝置中的流量日志。瀏覽器項(xiàng)62有兩種或更多種的模式,一種模式用于顯示歷史數(shù)據(jù),如上一年的數(shù)據(jù)信息;另一個(gè)顯示當(dāng)前的數(shù)據(jù),如最近一個(gè)星期的網(wǎng)絡(luò)流量。瀏覽器使得用戶可以從頭到尾的逐個(gè)瀏覽所顯示的流量記錄。
搜索選中搜索項(xiàng)63,用戶可以選擇使用各種關(guān)鍵詞對(duì)存儲(chǔ)在硬盤的流量進(jìn)行搜索。具體地,提供了兩種搜索的類型基本搜索1000與高級(jí)搜索1100(如圖10、圖11)。
選中基本搜索1000時(shí),顯示圖10所示的界面。圖10中,用戶可以在框1010處指定一個(gè)或多個(gè)關(guān)鍵詞,然后選中搜索項(xiàng)1020開始搜索。一旦搜索項(xiàng)1020被選中后,根據(jù)所鍵入的關(guān)鍵詞對(duì)所有存儲(chǔ)在硬盤的數(shù)據(jù)進(jìn)行搜索。符合指定規(guī)則的數(shù)據(jù)包顯示在搜索結(jié)果部分1050。搜索結(jié)果部分1050可以對(duì)顯示的流量數(shù)據(jù)包進(jìn)行過濾,類似于上述流量顯示器的顯示功能。用戶可以選擇搜索歷史項(xiàng)1030重看進(jìn)行過的搜索。以前的搜索結(jié)果顯示在搜索結(jié)果部分1050。用戶也可以選中清除歷史記錄項(xiàng)1040清除搜索的歷史記錄。
選中高級(jí)搜索1100時(shí),顯示圖11所示的界面。高級(jí)搜索1100比簡(jiǎn)單搜索1000提供了更多的選擇。舉例說明,用戶可以通過所有詞項(xiàng)1110選擇指定以用戶輸入所有詞作為關(guān)鍵詞進(jìn)行搜索,也可指定精確詞搜索項(xiàng)1120根據(jù)用戶輸入的詞進(jìn)行精確搜索進(jìn)行。而且,也可根據(jù)用戶鍵入的關(guān)鍵詞中的至少一個(gè)詞1130進(jìn)行搜索,或是也可以在流量日志中進(jìn)行不包含某一個(gè)或多個(gè)關(guān)鍵詞的搜索(不包含所述詞項(xiàng)1140)。最后,用戶可以設(shè)定要查詢數(shù)據(jù)流量的時(shí)間(日期在...之內(nèi)項(xiàng)1160),用戶根據(jù)設(shè)定的時(shí)間對(duì)日志進(jìn)行搜索。當(dāng)用戶選擇設(shè)置查詢時(shí)間時(shí),可以通過一下拉菜單來進(jìn)行設(shè)定。用戶可指定所需搜索的最近的小時(shí),最近的天或最近的星期等。一旦用戶在項(xiàng)1110,1120,1130,1140與1160中的一個(gè)或多個(gè)區(qū)域輸入搜索的規(guī)則后,選中搜索鍵1170便可以確定搜索了。搜索結(jié)果在搜索結(jié)果部分1150處顯示,類似上述圖10的搜索結(jié)果部分1050。
執(zhí)行搜索后,會(huì)有通知告示用戶搜索進(jìn)行的進(jìn)度。然后,在系統(tǒng)中發(fā)現(xiàn)的結(jié)果將被顯示。也就是說,當(dāng)發(fā)現(xiàn)新的數(shù)據(jù)包與用戶鍵入的搜索規(guī)則相符合時(shí),其將在搜索結(jié)果部分1050或1150處顯示。用戶也可以通過在圖形用戶界面中選中合適的項(xiàng)(圖中沒有顯示)在任何時(shí)間下結(jié)束搜索。例如,當(dāng)用戶找到所要求的所有數(shù)據(jù)包時(shí),可結(jié)束搜索。示出的搜索功能只是作為例子提出,并不用于限制本發(fā)明保護(hù)范圍。
配置用戶還擁有設(shè)置網(wǎng)絡(luò)分析器的高度靈活性。通過選中配置項(xiàng)64,圖12示出了配置和使能網(wǎng)絡(luò)分析器的界面1200。配置功能可使能網(wǎng)絡(luò)分析器且可以設(shè)置滾動(dòng)日志及將日志傳輸或復(fù)制到二級(jí)裝置或備份裝置中。
如圖12所示,操作啟用網(wǎng)絡(luò)分析器項(xiàng)1210可以啟動(dòng)或關(guān)閉分析器功能。當(dāng)關(guān)閉分析器的時(shí)候,所有其他的配置操作也失效。另一方面,當(dāng)啟動(dòng)分析器的時(shí)候,需要在下拉菜單項(xiàng)1215中指定一個(gè)要進(jìn)行分析的端口,例如,圖中所示指定端口2。而且,通過選擇從標(biāo)準(zhǔn)日志重啟設(shè)置項(xiàng)1220可重新啟用設(shè)置。當(dāng)選擇重新啟用項(xiàng)時(shí),其它的配置設(shè)置都會(huì)消失,啟用標(biāo)準(zhǔn)日志設(shè)置的界面。具體地,例如,從其他的服務(wù)器上傳標(biāo)準(zhǔn)日志設(shè)置。
而且,通過操作日志滾動(dòng)信息區(qū)域1230可以調(diào)整滾動(dòng)日志的設(shè)置。作為例子,在框1233中可以指定日志文件的大小以及在框1236處指定日志文件生成的時(shí)間。也就是說,在圖中區(qū)域1239中,用戶可以設(shè)置成在一個(gè)月的某幾天或某個(gè)時(shí)間段生成每月的日志,設(shè)置成在一星期的某幾天或某個(gè)時(shí)間段生成每星期的日志,或設(shè)置成在一天的某個(gè)時(shí)間段生成每天的日志。因此,用戶可以設(shè)置日志滾動(dòng)的頻率。
而且,日志上傳功能可通過啟動(dòng)日志上載選項(xiàng)1240實(shí)現(xiàn)。日志滾動(dòng)后進(jìn)行日志上傳。要上傳日志文件,需要在框1241處指定FTP服務(wù)器的IP地址,在框1242處提供用戶名與在框1243處輸入密碼。可以設(shè)定日志上傳的時(shí)間,也就是說,通過選項(xiàng)1244a可以設(shè)置在日志滾動(dòng)后上傳日志文件或通過選項(xiàng)1244b可以設(shè)置以一預(yù)先設(shè)定的時(shí)間間隔上傳日志文件,如在每天的某一時(shí)間或多個(gè)時(shí)間內(nèi)上傳。同樣,可以設(shè)定上傳日志文件的格式,如通過選項(xiàng)1245可設(shè)置以壓縮格式上載或通過選項(xiàng)1246設(shè)定在上傳后刪除文件。當(dāng)設(shè)定了所有設(shè)置后,通過選擇應(yīng)用選項(xiàng)1250確認(rèn)接受所有的設(shè)置。所述的配置項(xiàng)只作為例子進(jìn)行說明,并不用于限制本發(fā)明的保護(hù)范圍。
此外,網(wǎng)絡(luò)分析器60可以生成報(bào)告與設(shè)置警告和警報(bào)。在圖形用戶界面中,報(bào)告與報(bào)警可以是兩個(gè)獨(dú)立的菜單項(xiàng)。選中報(bào)告項(xiàng)后,用戶可以通過選項(xiàng)配置或創(chuàng)建報(bào)告并在隔離的情況下瀏覽文件的匯總,也就是說,這些文件可能被認(rèn)為是含有病毒的文件。同樣,也可以通過選項(xiàng)選擇瀏覽定義好的報(bào)告。
當(dāng)用戶選擇配置或創(chuàng)建報(bào)告時(shí),將提供已經(jīng)定義好的報(bào)告表格。該表格可包括報(bào)告名稱,如“日?qǐng)?bào)”或“周報(bào)”;產(chǎn)生這些報(bào)告的裝置,如所有裝置或組4中的裝置;這些報(bào)告產(chǎn)生的時(shí)間,如每天上午12點(diǎn)或每周周一的凌晨一點(diǎn)。表格中還可包含對(duì)于報(bào)告可采取的措施。這些措施可包括刪除報(bào)告、編輯報(bào)告,以及生成或運(yùn)行報(bào)告。例如,通過選項(xiàng)“運(yùn)行報(bào)告”,可以即時(shí)生成報(bào)告而不需等待其設(shè)定的時(shí)間。用戶也可以編輯已定義的報(bào)告或創(chuàng)建新的報(bào)告。
用戶選擇合適的菜單選項(xiàng),以生成一新的報(bào)告。對(duì)于每個(gè)新報(bào)告,用戶指定其名稱、報(bào)告的時(shí)間段、以及報(bào)告的范圍。圖13示出了設(shè)置報(bào)告范圍的圖形用戶界面示例。如圖13所示,在框1310處指定裝置的類型。在區(qū)域1320處,用戶可以設(shè)定生成的報(bào)告是否是所有裝置的報(bào)告,還是每個(gè)裝置生成一份報(bào)告,或每個(gè)虛擬域生成一份報(bào)告。為了方便用戶使用,在報(bào)告中的數(shù)字可用其相應(yīng)的名稱來代替。例如,用戶可以選擇解析報(bào)告中的主機(jī)的名稱和/或服務(wù)器名稱。此外,還提供了如圖13所示的高級(jí)設(shè)置選項(xiàng)。也就是說,生成的報(bào)告可以通過設(shè)置選項(xiàng)1330與1340進(jìn)行排列。
此外,用戶可以創(chuàng)建報(bào)告組。在創(chuàng)建報(bào)告組中,用戶可以選擇基本組以生成最常用的報(bào)告,選擇所有可能的報(bào)告組,或選擇定制報(bào)告組。例如,當(dāng)選擇基本或標(biāo)準(zhǔn)報(bào)告組的時(shí)候,應(yīng)用的報(bào)告類型被自動(dòng)選中而其它的選項(xiàng)將變灰,所述應(yīng)用的報(bào)告類型是從所有可能的報(bào)告類型中自動(dòng)選擇出來的。也可以是,用戶選擇生成所有的可能的報(bào)告,所有的報(bào)告都被自動(dòng)檢查。或者,當(dāng)用戶選擇產(chǎn)生所有可能的報(bào)告時(shí),所有的選項(xiàng)框?qū)⒈蛔詣?dòng)選中。當(dāng)選擇定制報(bào)告組時(shí),用戶設(shè)定應(yīng)該包括在定制組中的報(bào)告。也就是說,用戶從所有可能的報(bào)告中選擇應(yīng)該生成的報(bào)告。
舉例說明,可以生成以下種類的報(bào)告a)監(jiān)控網(wǎng)絡(luò)活動(dòng);b)監(jiān)控網(wǎng)頁活動(dòng);c)監(jiān)控文件傳輸協(xié)議(FTP)活動(dòng);d)監(jiān)控終端活動(dòng);e)監(jiān)控郵件活動(dòng);f)監(jiān)控入侵活動(dòng);g)監(jiān)控反病毒活動(dòng);h)監(jiān)控網(wǎng)頁過濾器的活動(dòng);I)監(jiān)控郵件過濾器活動(dòng);j)監(jiān)控虛擬個(gè)人網(wǎng)絡(luò)(VPN)活動(dòng);及k)監(jiān)控內(nèi)容活動(dòng)。以上列表只是示例,并不用于限制該發(fā)明的保護(hù)范圍。監(jiān)控網(wǎng)絡(luò)的其他活動(dòng)也在本發(fā)明的保護(hù)范圍之內(nèi)。因此,如果以上所列舉的a到j(luò)類報(bào)告是所有可能生成的報(bào)告,當(dāng)用戶選擇生成所有可能的報(bào)告時(shí),將生成上述所有a到j(luò)類的報(bào)告。標(biāo)準(zhǔn)或基本的報(bào)告組可預(yù)先設(shè)定只包括從a到c類,還有f與g類報(bào)告。當(dāng)用戶選擇定制組選項(xiàng)時(shí),用戶可以選擇a到j(luò)類中的任何類報(bào)告。
在生成用戶定制報(bào)告組時(shí),對(duì)于選擇的報(bào)告組中的每一項(xiàng)報(bào)告,用戶還可以指定1)根據(jù)日期與方向監(jiān)控流量;2)按一周中的天與方向監(jiān)控流量;3)按一天中的小時(shí)與方向監(jiān)控流量等等。提供有默認(rèn)設(shè)置,如,監(jiān)控所有流入的流量。
用戶還可以創(chuàng)建一過濾日志,類似于上述的過濾日志創(chuàng)建。接下來,用戶可以指定日志生成的時(shí)間如每天凌晨3點(diǎn),與設(shè)定日志輸出的格式。例如,可以設(shè)定文件或郵件輸出的格式。例如,可以文本、pdf、MS Word、HTML或其它的格式來存儲(chǔ)文件或發(fā)送郵件。此外,還指定了報(bào)告應(yīng)該被發(fā)送到電子郵件地址。
為編輯現(xiàn)有的報(bào)告,提供有一菜單,該菜單包括報(bào)告的各種類別或特點(diǎn)如時(shí)間段、報(bào)告范圍、報(bào)告選擇、裝置、過濾器、時(shí)間表與輸出等。用戶可以通過選擇以上所列出的類別與特點(diǎn)對(duì)報(bào)告進(jìn)行編輯。
根據(jù)本發(fā)明一示例性的、不作為限定的實(shí)施例的網(wǎng)絡(luò)分析器進(jìn)一步包括可設(shè)置警告或警報(bào)。所述警告或警報(bào)用于監(jiān)控某一特殊的事件或動(dòng)作行為并且一旦此特殊事件或動(dòng)作發(fā)生時(shí)就會(huì)以一預(yù)先設(shè)定的方式做出響應(yīng)。在本發(fā)明一示例性的實(shí)施例中警報(bào)的設(shè)置包括識(shí)別要監(jiān)控的裝置及設(shè)置報(bào)警觸發(fā)事件。首先,識(shí)別所要監(jiān)控以報(bào)警的裝置。例如,如上所述有關(guān)報(bào)告,用戶可以指定所有裝置、一特殊組或類的裝置組、或僅僅是一單個(gè)裝置。其次,需要設(shè)置報(bào)警事件。報(bào)警事件是引發(fā)一個(gè)警報(bào)的觸發(fā)器或條件,如一觸發(fā)了發(fā)送一條警告通知到一具體裝置上的條件。同樣,可設(shè)置當(dāng)被監(jiān)控的事件發(fā)生時(shí)應(yīng)該采取的行動(dòng)或響應(yīng)。
當(dāng)用戶選中報(bào)警項(xiàng)目時(shí),會(huì)顯示一個(gè)設(shè)定好的警告或警報(bào)列表。對(duì)于每一設(shè)置的報(bào)警事件,會(huì)顯示警報(bào)的名稱、所監(jiān)控的裝置、觸發(fā)條件以及當(dāng)事件或觸發(fā)條件發(fā)生的時(shí)候所采取的行為動(dòng)作或響應(yīng)。例如,一報(bào)警事件可以是一個(gè)事件日志或一病毒,其行動(dòng)或響應(yīng)可以是給某一具體的人發(fā)送電子郵件。
可以實(shí)時(shí)添加或編輯報(bào)警事件,如圖14的示例所示。為在報(bào)警事件1410處添加報(bào)警事件,為設(shè)置報(bào)警事件用戶在選擇裝置項(xiàng)1420處選擇裝置。具體地,用戶可以使用箭頭項(xiàng)1423及1424從可供選擇的裝置列表1421中選擇需要裝置并將其置于選中的裝置列表1422中或撤銷選擇。用戶還可以指定一個(gè)或多個(gè)觸發(fā)條件1430。例如,用戶可以通過框1431選擇一事件,如事件日志或真實(shí)性校驗(yàn)日志事件,用戶也可以在框1432中選擇嚴(yán)重性及在框1433中選擇生成級(jí)別。用戶也可以通過框1431、1432、1433及添加項(xiàng)1434添加新的事件并指定其嚴(yán)重性及級(jí)別??娠@示出已設(shè)置的觸發(fā)事件列表1435。用戶可以從觸發(fā)事件列表1435處選擇觸發(fā)事件及利用刪除項(xiàng)1436刪除。用戶也可以指定所采取的動(dòng)作或響應(yīng)1440。例如,用戶可以在框1441處選擇警報(bào)要發(fā)送的電子郵件地址或添加警報(bào)將要被發(fā)送的電子郵件地址,例如,在框1442中輸入郵件地址及選中添加項(xiàng)1443可以添加郵件地址。可列出設(shè)定的動(dòng)作或響應(yīng)列表1444。列表1444中可包括警報(bào)要發(fā)送到的郵件地址,如應(yīng)該被通知到的目標(biāo)郵件地址、源地址以及服務(wù)器如Syslog-1與SNMP-2。同樣,用戶也可以使用刪除項(xiàng)1445對(duì)列表1444中的響應(yīng)項(xiàng)目進(jìn)行刪除。用戶還可以通過圖14所示的表格設(shè)置各種服務(wù)器,如郵件服務(wù)器,SNMP服務(wù)器以及系統(tǒng)服務(wù)器。因此,可以設(shè)置各種各樣警告或警報(bào)以在事件失敗、可能的病毒攻擊等情況下通知用戶。用戶可以通過用戶友好的對(duì)話框即時(shí)設(shè)置需要的警報(bào)。
根據(jù)本發(fā)明一示例性的實(shí)施例,一些網(wǎng)關(guān)裝置如防火墻或交換機(jī)選擇性地發(fā)送流量到日志裝置上。根據(jù)如下規(guī)則中的一個(gè)或多個(gè)如源地址與目標(biāo)地址,流量協(xié)議和端口號(hào)、以及預(yù)先設(shè)定的特征(如,預(yù)先設(shè)定的特征是否與一特殊流量會(huì)話相匹配)對(duì)流量進(jìn)行過濾。用戶可實(shí)時(shí)設(shè)置過濾規(guī)則。過濾的數(shù)據(jù)存儲(chǔ)在存儲(chǔ)裝置中且另一裝置分析所述過濾的數(shù)據(jù)。例如,可以對(duì)存儲(chǔ)的數(shù)據(jù)執(zhí)行各式各樣的搜索,可生成報(bào)告或設(shè)置警告或警報(bào)。
網(wǎng)關(guān)裝置與分析裝置可以只是設(shè)置在一裝置中的兩個(gè)計(jì)算部件,而存儲(chǔ)裝置是設(shè)置在所述裝置中的一單一存儲(chǔ)部件。網(wǎng)關(guān)部件把數(shù)據(jù)或數(shù)據(jù)包寫到存儲(chǔ)部件中。同時(shí),分析部件可以對(duì)數(shù)據(jù)即時(shí)分類及分析,以為實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量提供一種有效的方法。
本發(fā)明上述的及其它的特性包括各種新穎的方法步驟、具有各種模塊的系統(tǒng)以及具有各種新穎部件的裝置,其都結(jié)合附圖進(jìn)行了描述,并在權(quán)利要求書中指出。應(yīng)該理解的是具體實(shí)施本發(fā)明的特殊流程及部件的結(jié)構(gòu)僅作為示例提出,并不作為對(duì)本發(fā)明的限制。本發(fā)明還可有其它多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種管理網(wǎng)絡(luò)數(shù)據(jù)包的日志裝置,其特征在于,包括流量捕捉部件,用來接收網(wǎng)絡(luò)數(shù)據(jù)包,并通過篩選符合預(yù)先設(shè)定規(guī)則的數(shù)據(jù)包來過濾所述接收到的網(wǎng)絡(luò)數(shù)據(jù)包;存儲(chǔ)部件,用于存儲(chǔ)篩選出的網(wǎng)絡(luò)數(shù)據(jù)包;及分析部件,用于根據(jù)用戶指定的至少一個(gè)參數(shù),組織存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)包;其中,所述流量捕捉部件、存儲(chǔ)部件及分析部件集成在一單一物理裝置中。
2.根據(jù)權(quán)利要求1所述的日志裝置,其特征在于,所述流量捕捉部件及分析部件中的每個(gè)包含至少一個(gè)處理器。
3.根據(jù)權(quán)利要求1所述的日志裝置,其特征在于,所述存儲(chǔ)部件包括多個(gè)獨(dú)立磁盤冗余陣列硬盤及一獨(dú)立磁盤冗余陣列控制器以確定流入的網(wǎng)絡(luò)數(shù)據(jù)包應(yīng)存儲(chǔ)在哪個(gè)獨(dú)立磁盤冗余陣列硬盤中。
4.根據(jù)權(quán)利要求3所述的日志裝置,其特征在于,所述存儲(chǔ)部件與所述流量捕捉部件及分析部件中的至少之一相連接;且,所述流量捕捉部件是防火墻、網(wǎng)關(guān)計(jì)算機(jī)與交換機(jī)中之一。
5.根據(jù)權(quán)利要求1所述的日志裝置,其特征在于,進(jìn)一步包括顯示器與用戶界面;其中,所述用于過濾網(wǎng)絡(luò)數(shù)據(jù)包的預(yù)先設(shè)定的規(guī)則是通過所述用戶界面指定的;所述用來篩選網(wǎng)絡(luò)數(shù)據(jù)包的預(yù)先定義的規(guī)則包括指定的源地址、目標(biāo)地址、協(xié)議、端口、以及符合具體流量會(huì)話的預(yù)先設(shè)定的特征中的至少一個(gè)。
6.根據(jù)權(quán)利要求5所述的日志裝置,其特征在于,當(dāng)用戶通過所述用戶界面輸入預(yù)先設(shè)定的規(guī)則時(shí),所述流量捕捉部件根據(jù)所述接收到的用戶輸入自動(dòng)及實(shí)時(shí)調(diào)整網(wǎng)絡(luò)數(shù)據(jù)包的篩選。
7.根據(jù)權(quán)利要求1所述的日志裝置,其特征在于,基于所述預(yù)先設(shè)定的規(guī)則進(jìn)行數(shù)據(jù)包的篩選包括選擇那些其預(yù)先設(shè)定的特征與一具體流量會(huì)話相匹配的網(wǎng)絡(luò)數(shù)據(jù)包。
8.根據(jù)權(quán)利要求1所述的日志裝置,其特征在于,基于所述預(yù)先設(shè)定的規(guī)則進(jìn)行數(shù)據(jù)包的篩選包括選擇那些其預(yù)先設(shè)定的特征與具體流量會(huì)話相匹配的網(wǎng)絡(luò)數(shù)據(jù)包;以及,所述預(yù)先定義的規(guī)則進(jìn)一步包括指定至少一部分的所述網(wǎng)絡(luò)數(shù)據(jù)包存儲(chǔ)在所述存儲(chǔ)部件中。
9.根據(jù)權(quán)利要求1所述的日志裝置,其特征在于,所述分析部件從所述存儲(chǔ)的數(shù)據(jù)包中提供一與所述用戶指定的至少一個(gè)參數(shù)相匹配的數(shù)據(jù)包列表,該數(shù)據(jù)包列表至少包括以下內(nèi)容之一選擇的出現(xiàn)在所述網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容中的文字?jǐn)?shù)字式字符;選擇的不出現(xiàn)在所述網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容中的文字?jǐn)?shù)字式字符;網(wǎng)絡(luò)協(xié)議;時(shí)間;日期;其中,所述分析部件為與所述用戶指定的至少一個(gè)參數(shù)相匹配的網(wǎng)絡(luò)數(shù)據(jù)包中的每一網(wǎng)絡(luò)數(shù)據(jù)包設(shè)置一安全級(jí)別指示。
10.根據(jù)權(quán)利要求1所述的日志裝置,其特征在于,所述分析部件根據(jù)用戶指定的參數(shù)生成至少一報(bào)告,所述參數(shù)至少包括以下之一生成所述至少一報(bào)告的時(shí)間段;指定的所述至少一報(bào)告涉及的至少一裝置;指定的所述至少一報(bào)告的排序;指定的報(bào)告類型。
11.根據(jù)權(quán)利要求10所述的日志裝置,其特征在于,所述報(bào)告類型包括所有報(bào)告,所述所有報(bào)告的一基本組,及一定制報(bào)告組,在定制報(bào)告組中用戶從所述所有的報(bào)告中選擇至少一個(gè)報(bào)告,其中,所述所有的報(bào)告包括網(wǎng)絡(luò)活動(dòng)報(bào)告,網(wǎng)頁活動(dòng)報(bào)告,文件傳輸協(xié)議報(bào)告,終端活動(dòng)報(bào)告,郵件活動(dòng)報(bào)告,入侵活動(dòng)報(bào)告,反病毒活動(dòng)報(bào)告,網(wǎng)頁過濾報(bào)告,郵件過濾報(bào)告,虛擬個(gè)人網(wǎng)絡(luò)活動(dòng)報(bào)告,與內(nèi)容活動(dòng)報(bào)告;其中,為所述所有報(bào)告中的每個(gè)報(bào)告指定了時(shí)間段與數(shù)據(jù)包的傳輸方向。
12.根據(jù)權(quán)利要求11所述的日志裝置,其特征在于,所述用戶指定的至少一個(gè)參數(shù)進(jìn)一步包括對(duì)報(bào)告輸出格式的指定。
13.根據(jù)權(quán)利要求1所述的日志裝置中,其特征在于,所述分析部件根據(jù)用戶指定的參數(shù)設(shè)置至少一個(gè)警報(bào),所述參數(shù)包括指定至少一監(jiān)控的裝置及指定觸發(fā)事件與響應(yīng)。
14.根據(jù)權(quán)利要求13所述的日志裝置,其特征在于,所述觸發(fā)事件包括事件類型與等級(jí)水平,其中,所述響應(yīng)包括告知服務(wù)器或者給預(yù)先設(shè)定的目的地址發(fā)送郵件。
15.一種管理網(wǎng)絡(luò)數(shù)據(jù)包的日志系統(tǒng),其特征在于,所述日志系統(tǒng)包括接收網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)關(guān)計(jì)算機(jī),所述網(wǎng)關(guān)計(jì)算機(jī)設(shè)置用于根據(jù)如下原則對(duì)所述接收到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行篩選,所述原則包括數(shù)據(jù)包的源地址,數(shù)據(jù)包的目標(biāo)地址,數(shù)據(jù)包傳輸協(xié)議,端口的選擇,及一具體流量會(huì)話是否與數(shù)據(jù)包預(yù)先設(shè)定的特征相匹配;存儲(chǔ)篩選出的數(shù)據(jù)包的存儲(chǔ)裝置;及根據(jù)用戶指定的參數(shù)組織所述存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)包的分析計(jì)算機(jī)。
16.根據(jù)權(quán)利要求15所述的日志系統(tǒng),其特征在于,所述網(wǎng)關(guān)計(jì)算機(jī)是交換機(jī)與防火墻計(jì)算機(jī)的其中之一;所述存儲(chǔ)裝置包括多個(gè)獨(dú)立磁盤冗余陣列硬盤,以及一獨(dú)立磁盤冗余陣列控制器,用于確定流入的網(wǎng)絡(luò)數(shù)據(jù)包存儲(chǔ)到所述獨(dú)立磁盤冗余陣列硬盤中的哪個(gè)硬盤;其中,所述存儲(chǔ)裝置與所述網(wǎng)關(guān)計(jì)算機(jī)及分析計(jì)算機(jī)中的至少一個(gè)相連接。
17.根據(jù)權(quán)利要求15所述的日志系統(tǒng),其特征在于,所述用戶指定的參數(shù)至少包括以下內(nèi)容之一關(guān)鍵字、排除用的關(guān)鍵字、網(wǎng)絡(luò)協(xié)議、時(shí)間日期及分析部件內(nèi)容中出現(xiàn)的精確詞條;其中,所述分析部件示出與所述用戶指定參數(shù)相匹配的網(wǎng)絡(luò)數(shù)據(jù)包并指出所述示出的每個(gè)數(shù)據(jù)的安全級(jí)別。
18.根據(jù)權(quán)利要求15所述的日志系統(tǒng),其特征在于,所述分析計(jì)算機(jī)根據(jù)用戶指定的參數(shù)生成至少一報(bào)告,所述用戶指定的參數(shù)包括所述至少一報(bào)告生成的時(shí)間段;對(duì)所述至少一報(bào)告涉及的至少一裝置的指定;對(duì)所述至少一報(bào)告的排序進(jìn)行指定;對(duì)報(bào)告類型的指定。
19.根據(jù)權(quán)利要求18所述的日志系統(tǒng),其特征在于,所述報(bào)告類型包括所有報(bào)告,所述所有報(bào)告的一基本組,及一用戶定制報(bào)告組,在定制報(bào)告組中用戶從所述所有報(bào)告中選擇至少一個(gè)報(bào)告;其中,所述所有的報(bào)告包括網(wǎng)絡(luò)活動(dòng)報(bào)告,網(wǎng)頁活動(dòng)報(bào)告,文件傳輸協(xié)議報(bào)告,終端活動(dòng)報(bào)告,郵件活動(dòng)報(bào)告,入侵活動(dòng)報(bào)告,反病毒活動(dòng)報(bào)告,網(wǎng)頁過濾報(bào)告,郵件過濾報(bào)告,虛擬個(gè)人網(wǎng)絡(luò)活動(dòng)報(bào)告,及內(nèi)容活動(dòng)報(bào)告;其中,為所述所有報(bào)告中的每個(gè)報(bào)告指定了時(shí)間段與網(wǎng)絡(luò)數(shù)據(jù)包的方向。
20.根據(jù)權(quán)利要求19所述的日志系統(tǒng),其特征在于,所述用戶指定的參數(shù)進(jìn)一步包括對(duì)報(bào)告輸出格式的指定。
21.根據(jù)權(quán)利要求15所述的日志系統(tǒng),其特征在于,裝置所述分析計(jì)算機(jī)根據(jù)用戶指定的參數(shù)設(shè)置至少一警報(bào),所述參數(shù)包括指定至少一監(jiān)控的裝置,指定一觸發(fā)事件及響應(yīng)。
22.根據(jù)權(quán)利要求21所述的日志系統(tǒng),其特征在于,所述觸發(fā)事件包括事件類型及等級(jí)水平;其中,所述響應(yīng)包括告知服務(wù)器或者給預(yù)先設(shè)定的目的地址發(fā)送郵件。
23.根據(jù)權(quán)利要求15所述的日志系統(tǒng),其特征在于,所述網(wǎng)關(guān)計(jì)算機(jī)設(shè)置用于根據(jù)用戶輸入來篩選所述接收到的數(shù)據(jù)包,其中,所述的用戶輸入至少包括如下內(nèi)容之網(wǎng)絡(luò)數(shù)據(jù)包的源地址,網(wǎng)絡(luò)數(shù)據(jù)包的目標(biāo)地址,網(wǎng)絡(luò)數(shù)據(jù)包的傳輸協(xié)議,端口的選擇及預(yù)先設(shè)定的特征;其中,當(dāng)接收到用戶的輸入時(shí),網(wǎng)關(guān)計(jì)算機(jī)根據(jù)用戶輸入實(shí)時(shí)調(diào)整篩選的規(guī)則。
24.一種管理網(wǎng)絡(luò)數(shù)據(jù)包的方法,其特征在于,包括在網(wǎng)關(guān)處,從多種數(shù)據(jù)源接收網(wǎng)絡(luò)數(shù)據(jù)包;從所述接收到的網(wǎng)絡(luò)數(shù)據(jù)包中篩選網(wǎng)絡(luò)數(shù)據(jù)包;及把所述篩選出的網(wǎng)絡(luò)數(shù)據(jù)包保存在存儲(chǔ)裝置中,其中,所述網(wǎng)關(guān)設(shè)置用于根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的源地址及網(wǎng)絡(luò)數(shù)據(jù)包的目標(biāo)地址,根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議,根據(jù)指定的端口,和/或根據(jù)一特殊的流量會(huì)話是否與一預(yù)先設(shè)定的特征相匹配來篩選數(shù)據(jù)包。
25.根據(jù)權(quán)利要求24所述的方法,其特征在于,進(jìn)一步包括分析所述存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)包,其中,所述分析包括為所述存儲(chǔ)的數(shù)據(jù)包建立索引。
26.根據(jù)權(quán)利要求24所述的方法,其特征在于,進(jìn)一步包括根據(jù)用戶提供的規(guī)則分析所述存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)包的步驟;其中,所述分析包括在存儲(chǔ)的數(shù)據(jù)包中進(jìn)行搜索與瀏覽,復(fù)制所述存儲(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)包的原始內(nèi)容,根據(jù)用戶提供的規(guī)則生成網(wǎng)絡(luò)流量報(bào)告,和/或根據(jù)用戶提供的規(guī)則設(shè)置報(bào)警。
27.根據(jù)權(quán)利要求24所述的方法,其特征在于,所述用于通過網(wǎng)關(guān)篩選網(wǎng)絡(luò)數(shù)據(jù)包的參數(shù)是用戶指定的。
全文摘要
本發(fā)明公開了一種用于管理網(wǎng)絡(luò)數(shù)據(jù)包的日志裝置、系統(tǒng)與方法。所述日志裝置包括一流量捕捉部件,用于接收數(shù)據(jù)包并根據(jù)預(yù)先設(shè)定的規(guī)則篩選一些網(wǎng)絡(luò)數(shù)據(jù)包以對(duì)所述網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過濾。該日志裝置還包括用來存儲(chǔ)所篩選出的網(wǎng)絡(luò)數(shù)據(jù)包的存儲(chǔ)裝置以及用于根據(jù)用戶指定的參數(shù)組織存儲(chǔ)的數(shù)據(jù)包的分析部件。所述流量捕捉部件、存儲(chǔ)部件以及分析部件集成在一單一的物理裝置中,使用戶能夠?qū)崟r(shí)監(jiān)控實(shí)時(shí)網(wǎng)絡(luò)流量。所述流量捕捉部件根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的源地址與目標(biāo)地址,傳輸協(xié)議,指定的端口以及一具體的流量會(huì)話是否與預(yù)先設(shè)定的特征相匹配來篩選所述網(wǎng)絡(luò)數(shù)據(jù)包。
文檔編號(hào)H04L12/26GK1925423SQ200610000969
公開日2007年3月7日 申請(qǐng)日期2006年1月16日 優(yōu)先權(quán)日2005年8月30日
發(fā)明者謝青, 謝華, 謝冰 申請(qǐng)人:飛塔信息科技(北京)有限公司