一種基于網絡流量的綜合安全監測分析系統技術方案

本發明專利技術公開了一種基于網絡流量的綜合安全監測分析系統,支持多種類型流量的統一獲取、集中處理、冗余過濾和負載均衡，并將多種分析技術引擎前移，集成到系統中，從而達到功能集成化和設備小型化的目的。

【技術實現步驟摘要】
一種基于網絡流量的綜合安全監測分析系統
本專利技術涉及計算機網絡領域，具體而言，涉及一種基于網絡流量的綜合安全監測分析系統。
技術介紹
當前，基于網絡流量的安全監測系統主要包括入侵檢測系統、網絡行為分析系統、惡意代碼檢測系統、網絡內容安全審計系統等。當前這些系統存在如下問題：(1)每種設備的功能都相對單一，對網絡進行全面的安全監測時，需在網絡中部署多種設備和系統，給網絡機房管理帶來巨大負擔；(2)多種分析設備對于網絡流量的采集、處理過程基本類似，只是分析手段和方法不同，因此，部署多種分析設備，對于網絡流量的采集和處理過程是重復的，容易造成資源浪費；(3)要完成綜合安全監測分析，需要多種分析設備和系統共同部署，不符合功能集成化和設備小型化的要求，在便攜性和快速部署方面比較弱；(4)多種分析結果數據各自獨立，難以完成多種分析數據的融合，數據共享性差，融合關聯分析缺乏。
技術實現思路
為解決上述問題，本專利技術基于ATCA標準架構，實現了一種基于網絡流量的綜合安全監測分析系統。一種基于網絡流量的綜合安全監測分析系統，包括機箱、匯聚裝置、過濾裝置、交換裝置和分析計算裝置；其中，匯聚裝置、過濾裝置、交換裝置、分析計算裝置通過機箱的背板互連；所述分析計算裝置由至少一個燒錄有分析計算軟件的分析計算板卡組成；所述匯聚裝置包括接口子卡和輸入板卡；接口子卡設置在輸入板卡上；接口子卡作為各類網絡鏈路的輸入接口，根據自身維護的數據流表識別流量數據包，并將接收到的網絡鏈路數據轉換成以太網流量數據，然后發給輸入板卡；所述輸入板卡按照過濾裝置發送的流量過濾轉發策略對從接口子卡接收的數據包轉發給交換板卡或作丟棄處理；所述過濾裝置通過所述背板讀取交換板卡的數據包，識別流量的應用協議，并進行解析，得到的解析結果通過交換板卡的配置接口提供給用戶，用于制定流量過濾轉發策略，用戶制定完流量過濾轉發策略將該策略配置到過濾裝置中；所述交換裝置接收匯聚裝置發送的流量數據，通過交換板背板接口或者前面板輸出接口，根據過濾裝置發送的流量過濾轉發策略將流量轉發到對應的分析計算板卡中，由此對數據進行具體的流量分析。進一步的，所述交換裝置提供配置接口，實現對綜合安全監測分析系統的本地或遠程運維管理。進一步的，所述機箱還包括電源、板卡插槽、通信系統及散熱裝置。較佳的，所述機箱采用ATCA標準實現。較佳的，每個綜合安全監測分析系統根據需求設置多個匯聚裝置。較佳的，所述接口子卡支持標準模塊接口，支持ATM155M、ATM622M、POS155M、POS622M、POS2.5G、POS10G、POS40G、10GE、1GE接口類型。較佳的，所述分析計算板卡包括入侵檢測模塊、異常行為分析模塊、網絡內容審計模塊、可疑代碼捕獲模塊或融合關聯分析模塊中的一種、兩種、三種、四種或者五種模塊。較佳的，分析計算板卡中設置多個相同的計算板卡進行并行運算，當交換裝置向分析計算發送數據流時，每發送一次，分析計算板卡均對數據流進行負載均衡處理，即：對于交換裝置發送的數據包，提取數據包的源IP與目的IP，并對其進行哈希計算：HASH(源IP，目的IP)，得到的二進制結果再轉換為十進制結果；將該十進制結果對計算分析模塊中所包含的計算板卡數量n取余數，并根據該余數的值進行流量分配：當余數為0時，將數據流分配給第1號計算板卡，當余數為1時，將數據流分配給第2號計算板卡，依此類推，根據該規律對數據流進行分配。較佳的，分析計算裝置的分析計算板卡中包括融合關聯分析模塊用于獲得其它分析計算板卡的分析結果，當其中一個分析計算板卡的分析結果提示出現可疑IP時，融合關聯分析模塊調用其它分析計算板卡對該可疑IP相關的分析結果，并進行匯總分析，判斷是否是否為安全事件。一種綜合安全監測分析系統的級聯系統，包括多個綜合安全監測分析系統，采用多層級聯的形式，即：綜合安全監測分析系統分為至少兩級，每一級中至少包括一個綜合安全監測分析系統，其中，交換裝置的輸出接口與上一級綜合安全監測分析系統的匯聚裝置的輸入接口相連。本專利技術具有如下有益效果：本專利技術提供了一個動態可擴展的流量綜合安全分析平臺，支持多種類型流量的統一獲取、集中處理、冗余過濾和負載均衡，并將多種分析技術引擎前移，集成到平臺中，從而達到功能集成化和設備小型化的目的。附圖說明圖1示出了本專利技術所述的基于網絡流量的綜合安全監測分析系統的示意圖。圖2示出了本專利技術各組成部分的邏輯關系。圖3示出了多設備級聯過程中的連接關系。圖4示出了分析計算裝置結構及與交換裝置連接關系圖。具體實施方式下面結合附圖并舉實施例，對本專利技術進行詳細描述。本專利技術的一種基于網絡流量的綜合安全監測分析系統，如圖1所示，由機箱、匯聚裝置、過濾裝置、交換裝置和分析計算裝置組成。其中機箱為匯聚裝置、過濾裝置、交換裝置、分析計算裝置提供了互聯互通和協同工作的基礎必要條件；匯聚裝置是設備的輸入端，主要用于采集各種鏈路類型的網絡流量；過濾裝置用于識別網絡應用協議，并據此配置過濾和負載均衡規則；交換裝置實現其它裝置間數據融合、交換轉發；分析計算裝置依據用戶需要集成了不同的流量分析功能。上述裝置間邏輯關系如圖2所示。其中，匯聚裝置、過濾裝置、交換裝置、分析計算裝置通過機箱背板互連。所述機箱，主要包括電源、板卡插槽、背板、通信系統及散熱裝置。采用ATCA標準實現，是各種板卡連接并協同工作的紐帶。機箱共分為匯聚層、過濾層、交換層和分析計算層四個區域，匯聚層插槽插入匯聚裝置，過濾層插槽插入過濾板卡，交換層插槽插入交換裝置，分析計算層插槽插入分析計算裝置。各區域的裝置通過機箱背板相連。其中匯聚層和分析計算層是必選區域，其它區域以及所有區域的裝置數量由用戶根據網絡節點流量監測的需求而確定。設備中各類板卡支持熱插拔和自動配置生效，便于部署和維護。所述匯聚裝置，包括接口子卡和輸入板卡。輸入板卡上設置有多種接口子卡，接口子卡提供當前主流的各類網絡鏈路的輸入接口，將不同類型、不同速率的鏈路統一接入到設備中，進行集中處理，將其轉換成以太網流量數據輸出，至交換裝置，從而實現高速骨干網絡多類鏈路數據的統一獲取匯聚和協議轉換輸出。其中輸入板卡基于ATCA標準實現，用于承載多種接口子卡，實現多種鏈路流量的處理與轉發，每個輸入板卡最多承載4個接口子卡。單個輸入板卡最大支持80G流量匯聚。一臺設備上可根據需求設置多個匯聚裝置，最多支持4塊匯聚裝置。接口子卡用于采集不同鏈路流量數據，接口子卡可根據流量速率和流量類型選擇不同的子卡類型。接口子卡支持標準模塊接口，支持ATM155M、ATM622M、POS155M、POS622M、POS2.5G、POS10G、POS40G、10GE、1GE接口類型。接口子卡根據維護的數據流表識別流量數據包，并進行轉換，再發給輸入板卡；輸入板卡按照過濾裝置發送的流量過濾轉發策略對接收的數據包進行轉發或丟棄處理。過濾裝置為過濾板卡。過濾裝置通過背板接口讀取交換板卡的數據數據包，識別流量的應用協議，并進行解析，得到的解析結果通過交換板卡的配置接口提供給用戶，用于制定流量過濾轉發策略，并將該策略配置到過濾裝置中；過濾板識別400余種當前主要的網絡流量協議。通過過濾板卡，本專利技術實現了應用級的負載均衡。交換裝置為交換板卡。交換板卡接收匯聚本文檔來自技高網...

【技術保護點】
一種基于網絡流量的綜合安全監測分析系統，其特征在于，包括機箱、匯聚裝置、過濾裝置、交換裝置和分析計算裝置；其中，匯聚裝置、過濾裝置、交換裝置、分析計算裝置通過機箱的背板互連；所述分析計算裝置由至少一個燒錄有分析計算軟件的分析計算板卡組成；所述匯聚裝置包括接口子卡和輸入板卡；接口子卡設置在輸入板卡上；接口子卡作為各類網絡鏈路的輸入接口，根據自身維護的數據流表識別流量數據包，并將接收到的網絡鏈路數據轉換成以太網流量數據，然后發給輸入板卡；所述輸入板卡按照過濾裝置發送的流量過濾轉發策略對從接口子卡接收的數據包轉發給交換板卡或作丟棄處理；所述過濾裝置通過所述背板讀取交換板卡的數據包，識別流量的應用協議，并進行解析，得到的解析結果通過交換板卡的配置接口提供給用戶，用于制定流量過濾轉發策略，用戶制定完流量過濾轉發策略將該策略配置到過濾裝置中；所述交換裝置接收匯聚裝置發送的流量數據，通過交換板背板接口或者前面板輸出接口，根據過濾裝置發送的流量過濾轉發策略將流量轉發到對應的分析計算板卡中，由此對數據進行具體的流量分析。

【技術特征摘要】
1.一種基于網絡流量的綜合安全監測分析系統，其特征在于，包括機箱、匯聚裝置、過濾裝置、交換裝置和分析計算裝置；其中，匯聚裝置、過濾裝置、交換裝置、分析計算裝置通過機箱的背板互連；所述分析計算裝置由至少一個燒錄有分析計算軟件的分析計算板卡組成；所述匯聚裝置包括接口子卡和輸入板卡；接口子卡設置在輸入板卡上；接口子卡作為各類網絡鏈路的輸入接口，根據自身維護的數據流表識別流量數據包，并將接收到的網絡鏈路數據轉換成以太網流量數據，然后發給輸入板卡；所述輸入板卡按照過濾裝置發送的流量過濾轉發策略對從接口子卡接收的數據包轉發給交換板卡或作丟棄處理；所述過濾裝置通過所述背板讀取交換板卡的數據包，識別流量的應用協議，并進行解析，得到的解析結果通過交換板卡的配置接口提供給用戶，用于制定流量過濾轉發策略，用戶制定完流量過濾轉發策略將該策略配置到過濾裝置中；所述交換裝置接收匯聚裝置發送的流量數據，通過交換板背板接口或者前面板輸出接口，根據過濾裝置發送的流量過濾轉發策略將流量轉發到對應的分析計算板卡中，由此對數據進行具體的流量分析。2.如權利要求1所述的一種基于網絡流量的綜合安全監測分析系統，其特征在于，所述交換裝置提供配置接口，實現對綜合安全監測分析系統的本地或遠程運維管理。3.如權利要求1所述的一種基于網絡流量的綜合安全監測分析系統，其特征在于，所述機箱還包括電源、板卡插槽、通信系統及散熱裝置。4.如權利要求1所述的一種基于網絡流量的綜合安全監測分析系統，其特征在于，所述機箱采用ATCA標準實現。5.如權利要求1所述的一種基于網絡流量的綜合安全監測分析系統，其特征在于，每個綜合安全監測分析系統根據需求設置多個匯聚裝置。6.如權利要求1所述的一種基于網絡流量的綜合安全監測分析系統，其特征在于，所述接口子卡支持標準模塊接口，支持...

【專利技術屬性】
技術研發人員：高巖，連海港，王文彬，李杰，張偉，趙鵬，張志斌，
申請(專利權)人：中國人民解放軍六一六六零部隊，
類型：發明
國別省市：北京,11