[发明专利]一种网络流量的分析系统及方法

说明书

技术领域

本发明涉及互联网领域，更具体的说，是涉及一种网络流量的分析系统及方法。

背景技术

随着网络技术的发展和网络规模的扩大化，许多企事业单位间的业务都由网络应用系统来承载，通过网络应用系统来进行业务工作，不仅方便性好，而且效率高。然而，随着网络系统中越来越多的应用系统的交叉部署，网络行为也越来越复杂且不易控制，这样就导致了一些重要的或需要保密的网络数据的安全性也受到了一定程度的威胁，而这些数据一旦被窃取或攻击，就会给社会带来一定的危害和损失，因此，IT管理部门需要保障应用系统的安全性。

为了保障应用系统的安全性，IT管理部门需要监测各个应用系统的流量和网络行为。而监测分析应用系统的流量和通常采用流量监测分析设备，传统的流量监测分析设备主要利用简单网络管理(SNMP)、网络流量监测(NetFlow)、网络流量分析(sFlow)、远程监控(RMON)等协议，从路由器、交换机上采集通过每个接口的流量数据，从而给用户提供有关网络中各设备和链路的流量情况，这种设备通过统计流量信息来分析TCP/IP包的三层/四层信息，分析时采用抽样技术，不对会话进行全程跟踪分析。采用这种设备无法分析出网络中的行为，即无法掌握会话的应用层业务分析，因此无法保障网络会话应用层的安全性。

基于上述现有技术存在的缺点，如何提供一种网络流量的分析系统及方法，能够实现对网络进行基于应用层的监测分析，从而保障网络中应用系统的安全性，是本领域技术人员急需解决的问题。

发明内容

有鉴于此，本发明提供了一种网络流量的分析系统及方法，以克服现有技术中由于不能够对应用层进行监测分析而造成的不能够保障应用层的安全性的问题。

为实现上述目的，本发明提供如下技术方案：

一种网络流量的分析系统，包括：流量采集模块和流量分析模块；

所述流量采集模块用于采集网络中各节点的原始流量信息，并从所述原始流量信息中提取出应用层流量信息；

所述流量分析模块用于对所述应用层流量信息进行流量分析，并统计所述应用层流量信息的分析结果，所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小。

其中，所述流量采集模块具体包括：

本地采集模块，用于持续获取通过网络中各节点的原始流量信息；

预处理模块，用于根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息；

应用提取模块，用于对所述特定流量信息进行分组解析，识别出应用层流量信息。

其中，所述流量分析模块具体包括：

应用流量统计分析模块，用于根据所述系统的应用主体的配置文件和相关的预设策略对所述应用层流量信息进行流量统计分析，判断是否存在异常流量信息；

追踪分析模块，用于在所述系统的应用主体中有异常流量时，针对所述异常的流量信息，确定追踪主机，并对所述追踪主机进行监测，记录所述追踪主机的操作内容、操作时间及操作对象，所述追踪主机为与异常流量信息相关的具有IP地址的设备。

优选的，还包括：

网络操作监测模块，用于监测所述系统的应用主体的网络操作。

优选的，还包括：

报警模块，用于在应用系统中出现异常流量信息和/或异常网络操作的情况下，通知用户所述应用系统存在异常流量信息或异常网络操作。

优选的，还包括：

安全审计模块，用于记录并统计异常流量信息及异常网络操作。

一种网络流量的分析方法，包括：

流量采集模块采集网络中各节点的原始流量信息，并从所述原始流量信息中提取出应用层流量信息；

流量分析模块对所述应用层流量信息进行流量分析，并统计所述应用层流量信息的分析结果，所述流量分析包括分析与所述流量相关的具有IP地址的设备的协议类型、通信端口、会话时间以及数据流量大小。

其中，所述流量采集模块采集网络中各节点的原始流量信息，并从所述原始流量信息中提取出应用层流量信息具体包括：

本地采集模块持续获取通过网络中各节点的原始流量信息；

预处理模块根据所述系统的应用主体的配置文件分析出所述原始流量信息中特定源地址的特定流量信息；

应用提取模块对所述特定流量信息进行分组解析，识别出应用层流量信息。

其中，所述流量分析模块对所述应用层流量信息进行流量分析，并统计所述应用层流量信息的分析结果具体为：