[发明专利]一种多维度网络态势感知的方法、设备及系统

说明书

技术领域

本发明涉及网络态势感知技术领域，特别涉及一种多维度网络态势感知的方法、设备及系统。

背景技术

下面首先介绍本领域的几个技术术语。

网络态势感知(NSA，Network Situation Awareness)：网络态势是指由各种网络设备的运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

多维度：相关物件的不同属性。例如网络流的应用、用户等属性。

关联性：通过不同维度的关联可以产生不同的网络感知报告集。

应用识别：对网络中的流进行识别，标记流属于什么协议以及流的行为等。

管道：是流控产品中的概念，把网络的内部和外部网口统一配置到一个管道中，使得管道具有管理流量的功能。

3A用户认证：分别为认证(Authentication)、授权(Authorization)、计帐(Accounting)。

认证(Authentication)：验证用户的身份与可使用的网络服务；

授权(Authorization)：依据认证结果开放网络服务给用户；

计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

随着网络规模的日益扩大和网络流量的急速增加，对网络行为的精确测量越来越困难。网络时刻受到故障、攻击、灾难或突发事件的威胁，其可用性、安全性和生存性面临严峻挑战。网络运行状况瞬息万变。因此，现代网络管理必须能够在急剧变化的复杂环境中，高效组织不确定的网管信息并进行分析评估，提供被管对象的详细信息，提高网络管理员对整个网络运行状况的认知和理解，提供多样化、个性化的管理服务，辅助指挥人员迅速、准确地做出决策，弥补当前网络管理的不足。

但是，现有技术中的网络管理中的各个网络管理单元处于独立的工作状态，每个网络管理单元只负责收集与本单元有关的网络信息状态。随着网络规模的不断扩大，相应的网络管理单元也越来越复杂，导致网络管理信息越来越庞大，如果相互之间没有联系，则不能有效进行信息的共享和反馈。并且，现有的网络态势感知主要是以安全感知为主，但是随着网络规模的不断扩大，用户对于网络整体情况的关注不仅仅局限于安全角度。

综上所述，目前的以感知安全为主的网络态势感知方法已经不能有效感知整个网络的态势。

发明内容

本发明要解决的技术问题是提供一种多维度网络态势感知的方法、设备及系统，能够有效感知整个网络的态势。

本发明提供一种多维度网络态势感知的方法，包括以下步骤：

对网络中的报文进行采样，对采样命中的报文进行特征提取；

利用提取的特征和网络设备中的流进行匹配，如果匹配命中，则更新网络设备中匹配命中的流的信息；如果匹配未命中，则从所述采样命中的报文中提取具有多维度的相互关联的属性信息，利用所述提取的属性信息生成一条新的流存储于网络设备中；

将网络设备中存储的流发送给第三方服务器；

第三方服务器将所述流按照设定的至少两个维度进行关联，将关联后的结果进行网络态势呈现。

优选地，所述对网络中的报文进行采样，具体为：通过随机抽取样本的方式对网络中的报文进行采样。

优选地，所述将网络设备中存储的流发送给第三方服务器之前，还包括：将网络设备中存储的流进行整合。

优选地，所述网络设备中存储的流存储在网络设备的缓存中。

本发明还提供一种多维度网络态势感知的设备，包括：

特征提取单元，用于对网络中的报文进行采样，对采样命中的报文进行特征提取；

流匹配单元，用于利用所述特征提取单元提供的特征和网络设备中的流进行匹配；

流更新单元，当所述流匹配单元匹配命中时，用于更新网络设备中匹配命中的流的信息；

流生成单元，当所述流匹配单元匹配未命中时，用于从所述采样命中的报文中提取具有多维度的相互关联的属性信息，利用所述提取的属性信息生成一条新的流存储于网络设备中；

流发送单元，用于将网络设备中存储的流发送给网络态势呈现单元；

网络态势呈现单元，用于将所述流按照设定的至少两个维度进行关联，将关联后的结果进行网络态势呈现。

优选地，所述特征提取单元包括采样子单元；

所述采样子单元，用于通过随机抽取样本的方式对网络中的报文进行采样。