一種網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備和方法
【專利摘要】本發(fā)明公開了一種網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備�����,包括確定模塊��、判斷模塊���、審計模塊和存儲模塊���;審計模塊包括內(nèi)容分析模塊、流量統(tǒng)計模塊�����、報文分類模塊和報文統(tǒng)計模塊,報文分類模塊的輸出端分別連接內(nèi)容分析模塊的輸入端和報文統(tǒng)計模塊的輸入端���,報文統(tǒng)計模塊的輸出端通過統(tǒng)計寄存器模塊連接流量統(tǒng)計模塊的輸入端�����,流量統(tǒng)計模塊和內(nèi)容分析模塊相連�;本發(fā)明構(gòu)成了一套全面�����、細(xì)粒度審計和控制的全網(wǎng)審計方案�����,可以提升流量審計設(shè)備的性能����,能夠在進(jìn)行網(wǎng)絡(luò)流量審計之前��,就根據(jù)存儲空間中空閑存儲空間的情況進(jìn)行判斷��,當(dāng)前是否有足夠的存儲空間以存儲審計得到的網(wǎng)絡(luò)流量信息,從而能夠避免現(xiàn)有技術(shù)中網(wǎng)絡(luò)審計流量信息的丟失�����。
【專利說明】
一種網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備和方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)數(shù)據(jù)處理技術(shù)領(lǐng)域���,具體是一種網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備和方法�?�!颈尘凹夹g(shù)】
[0002]隨著網(wǎng)絡(luò)的高速發(fā)展��,網(wǎng)絡(luò)規(guī)模也越來越大���,網(wǎng)絡(luò)中承載的應(yīng)用與業(yè)務(wù)也越來越多樣化����。面對日漸復(fù)雜的網(wǎng)絡(luò)�����,維護(hù)人員通常希望了解網(wǎng)絡(luò)中承載的業(yè)務(wù)以及各業(yè)務(wù)的流量情況��,以及內(nèi)網(wǎng)用戶及其流量情況���,并據(jù)此了解網(wǎng)絡(luò)的運(yùn)行情況�,以判斷網(wǎng)絡(luò)帶寬是否充足、網(wǎng)絡(luò)帶寬的分配是否合理��。當(dāng)出現(xiàn)網(wǎng)絡(luò)異常時�,能夠?yàn)槎ㄎ弧⒔鉀Q問題提供足夠的依據(jù)�。 因?yàn)榫W(wǎng)絡(luò)流量審計已經(jīng)成為網(wǎng)絡(luò)設(shè)備一個不可或缺的功能。
[0003]網(wǎng)絡(luò)流量審計通??梢苑譃閷?shí)時的網(wǎng)絡(luò)流量審計和歷史的網(wǎng)絡(luò)流量審計兩種。其中實(shí)時的網(wǎng)絡(luò)流量審計所代表的是網(wǎng)絡(luò)當(dāng)前的流量情況���,維護(hù)人員可以據(jù)此判斷當(dāng)前的網(wǎng)絡(luò)運(yùn)行情況以及進(jìn)行網(wǎng)絡(luò)故障的跟蹤定位;而歷史的網(wǎng)絡(luò)流量審計所代表的是過去一段時間的網(wǎng)絡(luò)流量情況以及網(wǎng)絡(luò)流量走勢���,通常用于事后網(wǎng)絡(luò)故障原因分析。兩種網(wǎng)絡(luò)流量審計有不同的應(yīng)用場合���,在網(wǎng)絡(luò)運(yùn)行情況以及故障定位上擔(dān)負(fù)著不同的責(zé)任�����,通常都是網(wǎng)絡(luò)設(shè)備所必須的。
[0004]流量審計設(shè)備是指IDS等對網(wǎng)絡(luò)流量和內(nèi)容進(jìn)行審計的設(shè)備�����,這類設(shè)備需要對網(wǎng)絡(luò)流量中各種類型的報文特征,和網(wǎng)絡(luò)傳輸?shù)膬?nèi)容進(jìn)行識別��、統(tǒng)計和分析�����。一般高速網(wǎng)絡(luò)審計設(shè)備包括兩部分功能��,一部分是基本的流量統(tǒng)計�,比如某個端口、ip���、協(xié)議的流量計數(shù)���,另一部分是對網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容的分析。其中�����,前者的處理過程簡單固定��,但需要處理所有的數(shù)據(jù)�,后者處理過程復(fù)雜但需要處理的數(shù)據(jù)較少���。在高速網(wǎng)絡(luò)的應(yīng)用環(huán)境中,網(wǎng)絡(luò)審計對設(shè)備性能要求很高�。
[0005]現(xiàn)有技術(shù)中通常通過兩種方法來進(jìn)行歷史網(wǎng)絡(luò)流量審計。
[0006]1.首先設(shè)定一個采樣周期的長度��,比如10分鐘���,然后在每個周期內(nèi)采樣設(shè)備轉(zhuǎn)發(fā)的各種審計對象(如各個業(yè)務(wù)��、各個用戶�����、用戶組等等)產(chǎn)生的數(shù)據(jù)流量大小���,并為這些維度生成流量審計記錄,保存寫入數(shù)據(jù)庫中���。假設(shè)我們需要審計內(nèi)網(wǎng)各用戶的歷史流量信息����,則定期采樣的信息記錄包括了用戶分別在兩個采樣周期內(nèi)的上行流量和下行流量��。
[0007]在實(shí)際實(shí)施中�,維護(hù)人員可以根據(jù)實(shí)際情況增刪需要審計的字段信息,比如上行包數(shù)���,下行包數(shù)等�。根據(jù)獲取到的審計信息��,維護(hù)人員便知道各用戶在每個周期的平均流量速率��,也可以知道各用戶在指定時間范圍內(nèi)的累計流量情況����。但是在該方法中,由于采樣周期是固定的��,而通常情況下�����,網(wǎng)絡(luò)中的用戶數(shù)以及網(wǎng)絡(luò)承載的業(yè)務(wù)數(shù)都可能隨著網(wǎng)絡(luò)的變化而改變����,如果同一個周期需要審計記錄的信息量太多,導(dǎo)致超過設(shè)備審計處理性能時,就可能發(fā)生網(wǎng)絡(luò)流量審計信息丟失��,最終使得網(wǎng)絡(luò)流量審計提供的信息變得不可靠�����,最終網(wǎng)絡(luò)流量審計也就失去了實(shí)際的意義�。
[0008]2.在上述第一種方法的基礎(chǔ)上,根據(jù)網(wǎng)絡(luò)設(shè)備的性能自動調(diào)整采樣周期���,調(diào)整方式為將本次處理時間與預(yù)設(shè)的采樣周期進(jìn)行對比�����,如果本次的處理時間大于預(yù)設(shè)的采樣周期����,則調(diào)大采樣周期�����,否則調(diào)小采樣周期�����,以使得網(wǎng)絡(luò)設(shè)備能夠以與實(shí)際的數(shù)據(jù)流量相應(yīng)的采樣周期來進(jìn)行審計,以避免網(wǎng)絡(luò)流量的審計信息丟失的問題��。但是�����,該方法根據(jù)上一個采樣周期的處理時長來調(diào)整下一個周期的采樣周期的時長���,屬于事后調(diào)整,具有一定的滯后性���,在有些情況下還是可能會造成流量審計信息的丟失�����。
[0009]可見�����,現(xiàn)有技術(shù)中缺乏能夠有效解決網(wǎng)絡(luò)流量審計信息丟失問題的技術(shù)方案���。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的目的在于提供一種靈活性好、處理能力強(qiáng)的網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備和方法��,以解決上述【背景技術(shù)】中提出的問題。
[0011]為實(shí)現(xiàn)上述目的�,本發(fā)明提供如下技術(shù)方案:
[0012]—種網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備,包括確定模塊���、判斷模塊�����、審計模塊和存儲模塊���, 所述確定模塊、判斷模塊��、審計模塊和存儲模塊依次相連���,所述確定模塊用于預(yù)先確定存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小��,具體為獲取預(yù)先為各個審計對象分配的存儲一次統(tǒng)計的網(wǎng)絡(luò)流量信息所需的存儲空間大小信息�;或者����,分別確定在當(dāng)前審計周期之前的若干個審計周期內(nèi),每個審計對象的網(wǎng)絡(luò)流量信息所占用的存儲空間的和值的均值;所述判斷模塊用于在當(dāng)前預(yù)定的審計周期內(nèi)�����,根據(jù)所述確定模塊確定的存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小,判斷空閑的存儲空間是否大于或等于所述確定模塊確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和;所述審計模塊包括內(nèi)容分析模塊�、流量統(tǒng)計模塊、報文分類模塊和報文統(tǒng)計模塊����,所述報文分類模塊的輸出端分別連接內(nèi)容分析模塊的輸入端和報文統(tǒng)計模塊的輸入端��,所述報文統(tǒng)計模塊的輸出端通過統(tǒng)計寄存器模塊連接流量統(tǒng)計模塊的輸入端���,所述流量統(tǒng)計模塊和內(nèi)容分析模塊相連;所述報文分類模塊將需要進(jìn)行內(nèi)容分析的流量上傳給網(wǎng)絡(luò)審計軟件模塊中的內(nèi)容分析模塊����, 所述統(tǒng)計寄存器模塊用于存儲報文統(tǒng)計模塊上傳的數(shù)據(jù)并傳給流量統(tǒng)計模塊���,所述報文統(tǒng)計模塊根據(jù)報文特征進(jìn)行統(tǒng)計并更新網(wǎng)絡(luò)審計軟件模塊中可讀取的統(tǒng)計寄存器模塊����,所述報文分類模塊根據(jù)網(wǎng)卡ip����、端口����、協(xié)議����、長度特征把報文分類處理;所述存儲模塊用于存儲所述審計模塊統(tǒng)計得到的網(wǎng)絡(luò)流量信息。
[0013]作為本發(fā)明進(jìn)一步的方案:所述空閑的存儲空間為緩存中空閑的存儲空間����。
[0014]作為本發(fā)明進(jìn)一步的方案:所述存儲模塊具體用于:根據(jù)審計周期與預(yù)定的報表生成周期的對應(yīng)關(guān)系,將統(tǒng)計得到的網(wǎng)絡(luò)流量信息存儲到與當(dāng)前審計周期對應(yīng)的報表生成周期的審計報表中�。
[0015]所述網(wǎng)絡(luò)流量的聯(lián)動審計方法,具體步驟如下:[〇〇16](1)網(wǎng)絡(luò)審計設(shè)備進(jìn)行數(shù)據(jù)分析��,發(fā)現(xiàn)目標(biāo)主機(jī)收發(fā)的協(xié)議端口數(shù)據(jù)出現(xiàn)情況異常時����,經(jīng)由控制中心向目標(biāo)主機(jī)的審計系統(tǒng)發(fā)送聯(lián)動請求;所述數(shù)據(jù)分析具體為網(wǎng)絡(luò)審計設(shè)備通過抓包方式進(jìn)行協(xié)議分析或/和流量監(jiān)視;
[0017](2)在當(dāng)前預(yù)定的審計周期內(nèi)�����,根據(jù)預(yù)先確定的存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小�,判斷空閑的存儲空間是否大于或等于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和;
[0018](3)在判斷得到空閑的存儲空間大于或等于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和的情況下����,依次統(tǒng)計各個審計對象在上一個審計周期內(nèi)產(chǎn)生的網(wǎng)絡(luò)流量信息���,并存儲統(tǒng)計得到的網(wǎng)絡(luò)流量信息;
[0019](4)在判斷得到空閑的存儲空間小于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和的情況下��,等待預(yù)定的等待周期�,在等待該預(yù)定的等待周期到時后、且空閑的存儲空間大于或等于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和的情況�,依次統(tǒng)計各個審計對象在上一個審計周期內(nèi)和等待周期內(nèi)產(chǎn)生的網(wǎng)絡(luò)流量信息,并存儲統(tǒng)計得到的網(wǎng)絡(luò)流量信息���;
[0020](5)目標(biāo)主機(jī)的審計系統(tǒng)根據(jù)統(tǒng)計得到的網(wǎng)絡(luò)流量信息進(jìn)行相應(yīng)的聯(lián)動處理,并經(jīng)由控制中心向網(wǎng)絡(luò)審計設(shè)備反饋聯(lián)動結(jié)果��;[0021 ](6)網(wǎng)絡(luò)審計設(shè)備根據(jù)所述聯(lián)動結(jié)果對目標(biāo)主機(jī)進(jìn)行控制���。[〇〇22]作為本發(fā)明再進(jìn)一步的方案:所述步驟(2)中預(yù)先確定存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小���,具體包括:獲取預(yù)先為各個審計對象分配的存儲一次統(tǒng)計的網(wǎng)絡(luò)流量信息所需的存儲空間大小信息;或者�,分別確定在當(dāng)前審計周期之前的若干個審計周期內(nèi),每個審計對象的網(wǎng)絡(luò)流量信息所占用的存儲空間的和值的均值�����。
[0023]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:
[0024]本發(fā)明實(shí)現(xiàn)了網(wǎng)絡(luò)審計設(shè)備與主機(jī)審計系統(tǒng)的通信和聯(lián)動審計���,構(gòu)成一套全面�����、 細(xì)粒度審計和控制的全網(wǎng)審計方案���,可以提升流量審計設(shè)備的性能,能夠在進(jìn)行網(wǎng)絡(luò)流量審計之前�����,就根據(jù)存儲空間中空閑存儲空間的情況進(jìn)行判斷��,當(dāng)前是否有足夠的存儲空間以存儲審計得到的網(wǎng)絡(luò)流量信息�,從而能夠避免現(xiàn)有技術(shù)中網(wǎng)絡(luò)審計流量信息的丟失?��!靖綀D說明】
[0025]圖1為本發(fā)明中網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備的結(jié)構(gòu)示意圖����。【具體實(shí)施方式】
[0026]下面結(jié)合【具體實(shí)施方式】對本專利的技術(shù)方案作進(jìn)一步詳細(xì)地說明���。
[0027]請參閱圖1���,一種網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備,包括確定模塊�、判斷模塊、審計模塊和存儲模塊�,所述確定模塊、判斷模塊���、審計模塊和存儲模塊依次相連���,所述確定模塊用于預(yù)先確定存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小�����,具體為獲取預(yù)先為各個審計對象分配的存儲一次統(tǒng)計的網(wǎng)絡(luò)流量信息所需的存儲空間大小信息���;或者����,分別確定在當(dāng)前審計周期之前的若干個審計周期內(nèi),每個審計對象的網(wǎng)絡(luò)流量信息所占用的存儲空間的和值的均值;所述判斷模塊用于在當(dāng)前預(yù)定的審計周期內(nèi)���,根據(jù)所述確定模塊確定的存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小�,判斷空閑的存儲空間是否大于或等于所述確定模塊確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和;所述審計模塊包括內(nèi)容分析模塊���、流量統(tǒng)計模塊����、報文分類模塊和報文統(tǒng)計模塊����,所述報文分類模塊的輸出端分別連接內(nèi)容分析模塊的輸入端和報文統(tǒng)計模塊的輸入端,所述報文統(tǒng)計模塊的輸出端通過統(tǒng)計寄存器模塊連接流量統(tǒng)計模塊的輸入端����,所述流量統(tǒng)計模塊和內(nèi)容分析模塊相連;所述報文分類模塊將需要進(jìn)行內(nèi)容分析的流量上傳給網(wǎng)絡(luò)審計軟件模塊中的內(nèi)容分析模塊,所述統(tǒng)計寄存器模塊用于存儲報文統(tǒng)計模塊上傳的數(shù)據(jù)并傳給流量統(tǒng)計模塊����, 所述報文統(tǒng)計模塊根據(jù)報文特征進(jìn)行統(tǒng)計并更新網(wǎng)絡(luò)審計軟件模塊中可讀取的統(tǒng)計寄存器模塊,所述報文分類模塊根據(jù)網(wǎng)卡ip�����、端口、協(xié)議����、長度特征把報文分類處理;所述存儲模塊用于存儲所述審計模塊統(tǒng)計得到的網(wǎng)絡(luò)流量信息。
[0028]所述空閑的存儲空間為緩存中空閑的存儲空間��;所述存儲模塊具體用于:根據(jù)審計周期與預(yù)定的報表生成周期的對應(yīng)關(guān)系��,將統(tǒng)計得到的網(wǎng)絡(luò)流量信息存儲到與當(dāng)前審計周期對應(yīng)的報表生成周期的審計報表中�。
[0029]所述網(wǎng)絡(luò)流量的聯(lián)動審計方法,具體步驟如下:
[0030](1)網(wǎng)絡(luò)審計設(shè)備進(jìn)行數(shù)據(jù)分析����,發(fā)現(xiàn)目標(biāo)主機(jī)收發(fā)的協(xié)議端口數(shù)據(jù)出現(xiàn)情況異常時,經(jīng)由控制中心向目標(biāo)主機(jī)的審計系統(tǒng)發(fā)送聯(lián)動請求;所述數(shù)據(jù)分析具體為網(wǎng)絡(luò)審計設(shè)備通過抓包方式進(jìn)行協(xié)議分析或/和流量監(jiān)視�����;
[0031](2)在當(dāng)前預(yù)定的審計周期內(nèi)�,根據(jù)預(yù)先確定的存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小,判斷空閑的存儲空間是否大于或等于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和;所述預(yù)先確定存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小���,具體包括:獲取預(yù)先為各個審計對象分配的存儲一次統(tǒng)計的網(wǎng)絡(luò)流量信息所需的存儲空間大小信息;或者,分別確定在當(dāng)前審計周期之前的若干個審計周期內(nèi), 每個審計對象的網(wǎng)絡(luò)流量信息所占用的存儲空間的和值的均值����;
[0032](3)在判斷得到空閑的存儲空間大于或等于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和的情況下,依次統(tǒng)計各個審計對象在上一個審計周期內(nèi)產(chǎn)生的網(wǎng)絡(luò)流量信息����,并存儲統(tǒng)計得到的網(wǎng)絡(luò)流量信息;
[0033](4)在判斷得到空閑的存儲空間小于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和的情況下�,等待預(yù)定的等待周期,在等待該預(yù)定的等待周期到時后�、且空閑的存儲空間大于或等于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和的情況,依次統(tǒng)計各個審計對象在上一個審計周期內(nèi)和等待周期內(nèi)產(chǎn)生的網(wǎng)絡(luò)流量信息�����,并存儲統(tǒng)計得到的網(wǎng)絡(luò)流量信息�;
[0034](5)目標(biāo)主機(jī)的審計系統(tǒng)根據(jù)統(tǒng)計得到的網(wǎng)絡(luò)流量信息進(jìn)行相應(yīng)的聯(lián)動處理,并經(jīng)由控制中心向網(wǎng)絡(luò)審計設(shè)備反饋聯(lián)動結(jié)果����;
[0035](6)網(wǎng)絡(luò)審計設(shè)備根據(jù)所述聯(lián)動結(jié)果對目標(biāo)主機(jī)進(jìn)行控制。
[0036]所述控制中心與網(wǎng)絡(luò)審計設(shè)備之間的通信方式以及控制中心與主機(jī)審計系統(tǒng)之間的通信方式�����,采用TCP但不限于TCP,控制中心作為監(jiān)聽端���,網(wǎng)絡(luò)審計設(shè)備作為發(fā)起端�,通信包類型包括請求包和響應(yīng)包為例���,更為具體的說明本發(fā)明實(shí)施例中的方法流程��。
[0037]可將本發(fā)明方法的主要流程分解為網(wǎng)絡(luò)審計設(shè)備控制流程���,控制中心控制流程, 以及代理主機(jī)控制流程三部分�����,并且該三部分流程之間存在聯(lián)動關(guān)系�����,以下分別詳述三部分流程以及其間的聯(lián)動關(guān)系:
[0038]網(wǎng)絡(luò)審計設(shè)備控制流程中�,網(wǎng)絡(luò)審計設(shè)備采集數(shù)據(jù)包,網(wǎng)絡(luò)審計設(shè)備對采集的數(shù)據(jù)包進(jìn)行緩沖����,網(wǎng)絡(luò)審計設(shè)備分析采集到的數(shù)據(jù)包�����,具體通過抓包方式進(jìn)行協(xié)議分析和流量監(jiān)視,網(wǎng)絡(luò)審計設(shè)備判斷目標(biāo)主機(jī)的收發(fā)數(shù)據(jù)情況是否有異常��,若有����,網(wǎng)絡(luò)審計設(shè)備向目標(biāo)主機(jī)的審計系統(tǒng)發(fā)送聯(lián)動請求,具體可以是發(fā)送查詢或控制請求包�,例如:發(fā)現(xiàn)某主機(jī)發(fā)出或接收的某協(xié)議端口的數(shù)據(jù)不正常,80端口 HTTP�����、20和21端口的FTP等����,可能是主機(jī)被安裝了本馬程序,正在利用某常用端口穿透防火墻正向外網(wǎng)發(fā)送數(shù)據(jù);或者發(fā)現(xiàn)流量有異常����; 網(wǎng)絡(luò)審計設(shè)備接收反饋的聯(lián)動結(jié)果,網(wǎng)絡(luò)審計設(shè)備處理聯(lián)動結(jié)果���,對該聯(lián)動結(jié)果進(jìn)行曰志記錄或報警等處理��,例如:通知管理員對目標(biāo)主機(jī)進(jìn)行控制���,否則進(jìn)行常規(guī)的審計日記記錄���。
[0039]代理主機(jī)控制流程中,主機(jī)審計系統(tǒng)啟動主機(jī)審計服務(wù)���,主機(jī)審計系統(tǒng)連接控制中心��,主機(jī)審計系統(tǒng)等待控制事件�,即等待聯(lián)動請求�����,主機(jī)審計系統(tǒng)收到聯(lián)動請求后�,進(jìn)行聯(lián)動處理;例如:如果為通信端口有異常,則查詢與該端口關(guān)聯(lián)的進(jìn)程信息���;如果為流量異常�,則統(tǒng)計流量最大的前幾個進(jìn)程的信息;主機(jī)審計系統(tǒng)將查詢��、統(tǒng)計后的結(jié)果作為聯(lián)動結(jié)果反饋。
[0040]控制中心控制流程中����,控制中心啟動主機(jī)網(wǎng)絡(luò)監(jiān)聽���,控制中心啟動聯(lián)動網(wǎng)絡(luò)監(jiān)聽�����, 控制中心等待聯(lián)動請求���,控制中心收到聯(lián)動請求后,處理聯(lián)動事件�����,得到主機(jī)控制事件��,控制中心等待主機(jī)控制事件分析過程完成����,控制中心發(fā)送主機(jī)控制事件,即發(fā)送聯(lián)動請求���,控制中心接收控制事件結(jié)果����,即接收主機(jī)審計系統(tǒng)反饋的查詢、統(tǒng)計后的結(jié)果�����,控制中心將控制事件結(jié)果整合為聯(lián)動結(jié)果��,控制中心向網(wǎng)絡(luò)審計設(shè)備反饋聯(lián)動結(jié)果��。
[0041]本發(fā)明實(shí)現(xiàn)了網(wǎng)絡(luò)審計設(shè)備與主機(jī)審計系統(tǒng)的通信和聯(lián)動審計���,構(gòu)成一套全面����、 細(xì)粒度審計和控制的全網(wǎng)審計方案����,可以提升流量審計設(shè)備的性能,能夠在進(jìn)行網(wǎng)絡(luò)流量審計之前���,就根據(jù)存儲空間中空閑存儲空間的情況進(jìn)行判斷����,當(dāng)前是否有足夠的存儲空間以存儲審計得到的網(wǎng)絡(luò)流量信息,從而能夠避免現(xiàn)有技術(shù)中網(wǎng)絡(luò)審計流量信息的丟失����。
[0042]上面對本專利的較佳實(shí)施方式作了詳細(xì)說明,但是本專利并不限于上述實(shí)施方式����,在本領(lǐng)域的普通技術(shù)人員所具備的知識范圍內(nèi)���,還可以在不脫離本專利宗旨的前提下作出各種變化��。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備�����,其特征在于����,包括確定模塊�、判斷模塊、審計模塊和 存儲模塊���,所述確定模塊���、判斷模塊���、審計模塊和存儲模塊依次相連,所述確定模塊用于預(yù) 先確定存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小��,具體為獲取預(yù)先為各個 審計對象分配的存儲一次統(tǒng)計的網(wǎng)絡(luò)流量信息所需的存儲空間大小信息����;或者,分別確定 在當(dāng)前審計周期之前的若干個審計周期內(nèi)����,每個審計對象的網(wǎng)絡(luò)流量信息所占用的存儲空 間的和值的均值;所述判斷模塊用于在當(dāng)前預(yù)定的審計周期內(nèi),根據(jù)所述確定模塊確定的 存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小�����,判斷空閑的存儲空間是否大于 或等于所述確定模塊確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和;所述審計 模塊包括內(nèi)容分析模塊���、流量統(tǒng)計模塊�、報文分類模塊和報文統(tǒng)計模塊,所述報文分類模塊 的輸出端分別連接內(nèi)容分析模塊的輸入端和報文統(tǒng)計模塊的輸入端���,所述報文統(tǒng)計模塊的 輸出端通過統(tǒng)計寄存器模塊連接流量統(tǒng)計模塊的輸入端�����,所述流量統(tǒng)計模塊和內(nèi)容分析模 塊相連;所述報文分類模塊將需要進(jìn)行內(nèi)容分析的流量上傳給網(wǎng)絡(luò)審計軟件模塊中的內(nèi)容 分析模塊�,所述統(tǒng)計寄存器模塊用于存儲報文統(tǒng)計模塊上傳的數(shù)據(jù)并傳給流量統(tǒng)計模塊���, 所述報文統(tǒng)計模塊根據(jù)報文特征進(jìn)行統(tǒng)計并更新網(wǎng)絡(luò)審計軟件模塊中可讀取的統(tǒng)計寄存 器模塊�,所述報文分類模塊根據(jù)網(wǎng)卡ip����、端口�����、協(xié)議��、長度特征把報文分類處理;所述存儲模 塊用于存儲所述審計模塊統(tǒng)計得到的網(wǎng)絡(luò)流量信息�����。2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備,其特征在于����,所述空閑的存儲空間 為緩存中空閑的存儲空間。3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備����,其特征在于,所述存儲模塊具體用 于:根據(jù)審計周期與預(yù)定的報表生成周期的對應(yīng)關(guān)系���,將統(tǒng)計得到的網(wǎng)絡(luò)流量信息存儲到 與當(dāng)前審計周期對應(yīng)的報表生成周期的審計報表中�����。4.采用如權(quán)利要求1-3任一所述的網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備進(jìn)行審計的方法�����,其特征 在于�����,具體步驟如下:(1)網(wǎng)絡(luò)審計設(shè)備進(jìn)行數(shù)據(jù)分析�,發(fā)現(xiàn)目標(biāo)主機(jī)收發(fā)的協(xié)議端口數(shù)據(jù)出現(xiàn)情況異常時�, 經(jīng)由控制中心向目標(biāo)主機(jī)的審計系統(tǒng)發(fā)送聯(lián)動請求;所述數(shù)據(jù)分析具體為網(wǎng)絡(luò)審計設(shè)備通 過抓包方式進(jìn)行協(xié)議分析或/和流量監(jiān)視���;(2)在當(dāng)前預(yù)定的審計周期內(nèi),根據(jù)預(yù)先確定的存儲各個審計對象的網(wǎng)絡(luò)流量信息所 需的存儲空間的大小����,判斷空閑的存儲空間是否大于或等于所確定的各個審計對象的網(wǎng)絡(luò) 流量信息所需的存儲空間之和;(3)在判斷得到空閑的存儲空間大于或等于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所 需的存儲空間之和的情況下�,依次統(tǒng)計各個審計對象在上一個審計周期內(nèi)產(chǎn)生的網(wǎng)絡(luò)流量 信息,并存儲統(tǒng)計得到的網(wǎng)絡(luò)流量信息�����;(4)在判斷得到空閑的存儲空間小于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存 儲空間之和的情況下��,等待預(yù)定的等待周期�,在等待該預(yù)定的等待周期到時后、且空閑的存 儲空間大于或等于所確定的各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間之和的情況���,依 次統(tǒng)計各個審計對象在上一個審計周期內(nèi)和等待周期內(nèi)產(chǎn)生的網(wǎng)絡(luò)流量信息,并存儲統(tǒng)計 得到的網(wǎng)絡(luò)流量信息�;(5)目標(biāo)主機(jī)的審計系統(tǒng)根據(jù)統(tǒng)計得到的網(wǎng)絡(luò)流量信息進(jìn)行相應(yīng)的聯(lián)動處理,并經(jīng)由 控制中心向網(wǎng)絡(luò)審計設(shè)備反饋聯(lián)動結(jié)果���;(6)網(wǎng)絡(luò)審計設(shè)備根據(jù)所述聯(lián)動結(jié)果對目標(biāo)主機(jī)進(jìn)行控制����。5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)流量的聯(lián)動審計設(shè)備進(jìn)行審計的方法,其特征在于��,所述 步驟(2)中預(yù)先確定存儲各個審計對象的網(wǎng)絡(luò)流量信息所需的存儲空間的大小����,具體包括: 獲取預(yù)先為各個審計對象分配的存儲一次統(tǒng)計的網(wǎng)絡(luò)流量信息所需的存儲空間大小信息; 或者����,分別確定在當(dāng)前審計周期之前的若干個審計周期內(nèi),每個審計對象的網(wǎng)絡(luò)流量信息 所占用的存儲空間的和值的均值�����。
【文檔編號】H04L12/24GK105978706SQ201610236604
【公開日】2016年9月28日
【申請日】2016年4月14日
【發(fā)明人】楊丹
【申請人】麗水市睿鼎知識產(chǎn)權(quán)咨詢有限公司