[实用新型]内网流量控制系统

说明书

技术领域

本实用新型涉及电力行业流量监控领域，尤其涉及一种内网流量控制系统。

背景技术

随着互联网的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况： 

1）员工利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率； 

2）员工访问不良网站，遭受恶意代码、间谍软件及钓鱼式攻击等，影响企业网络正常运行； 

3）员工随意使用P2P下载、在线视频等，严重占用网络带宽，导致正常业务无法获取足够网络资源； 

4）员工浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题； 

 5）员工随意通过EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生； 

6）合规性管理要求。根据《互联网安全保护技术措施规定》中明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件，并对网络中的违法信息进行管理。 

在内网流量监控中，要想做到有效的监控，首先要达到有效的流量分析，这就涉及到具体的流量检测，在当前的内网流量监控系统中，针对P2P流的检测一直是难点，也是当今的热点。

P2P流量具有以下基本特征：

（1）P2P应用的平均连接时间比较长,有别于传统应用连接时间较短的特性。

（2）由于负载均衡,P2P主机通常只建立较少的端口连接,有别于传统主机通信连接较多的特性。

（3）P2P主机既作服务器又作客户端,有别于传统主机只承担一个角色的特征。

（4）由于 P2P协议自身特点,它会与众多用户连接并交换信息,有别于传统用户只与少量几个用户或服务器进行连接的特征。

（5）P2P主机流量更多体现为上行下行流量基本对称,有别于传统主机下行流量大于上行流量的特征。

当前常用的P2P流检测方法

（1）端口匹配：通过数据包的协议类型、端口号来进行P2P识别。缺点是：不断有新的协议、新的端口加入到这个P2P应用端口表里来，端口表不好维护；另外动态的端口不好维护；同时对于一些VPN的应用或者通过NAT转换的应用无能为力。

 (2）深度数据包检测：对P2P数据包特征比特串进行匹配. 例如对于BT，如果IP包的数据区包含BT协议的特征串“BitTorrent protocol”，那么就禁止该数据包通过。这样，BT对等连接的握手无法建立，下载也无法继续。这种检测方法易于理解、升级方便、维护简单，并且命中率非常高，原理上说基本上能检测出所有的P2P流量，因而是目前运用最普遍也是最成熟的方法。然而这种方法也存在以下不足之处：检测效率较低、需要预先定义识别规则、需要分析数据包中一定长度的净载荷内容，不仅存在侵犯用户隐私的隐患，且给存储空间带来了更高的要求。

（3）基于流特征的识别: 作为一种充分利用客户端资源的新型应用，P2P应用在网络层和传输层表现出来的流量特征相对于其它应用，如HTTP、FTP、DNS等，有许多不同的地方。基于流量特征的检测技术即是通过检测这些新的流量特征来发现P2P应用。

发明内容

本实用新型克服了现有技术的不足，提供一种识别性能高、识别的误报率和漏报率低的内网流量控制系统。

为解决上述的技术问题，本实用新型采用以下技术方案：

一种内网流量控制系统，包括中心节点数据库、采集器、中心节点分析器和监控端，所述采集器设置在网络节点处并与中心节点连接，所述中心节点分析器也与中心节点连接，所述采集器对节点的进程流信息进行采集，并向与中心节点连接的中心节点分析器上报采集到的节点进程流信息，所述中心节点分析器对上报节点的进程流信息进行实时分析，输出分析结果，并写入与中心节点连接的中心节点数据库，所述监控端与中心节点分析器连接。

为了更好的实现本实用新型，下面作出进一步技术改进：

作为优选：上述监控端对采集器的配置命令通过中心节点分析器转发。

作为优选：上述采集器根据配置命令来调整采集器的滑动窗口大小和采集的指标内容。

作为优选：上述监控端将中心节点分析器的分析结果进行图形化显示，并将图形化信息提供给与其连接的网管服务器，所述监控端上设置有与网管服务器连接的接口。

作为优选：上述采集器和中心节点分析器提供可扩展功能模块。

作为优选：上述可扩展功能模块为内网监控、网络分析、僵尸网络识别、终端管理、键盘记录、语音监听中的一种。

本实用新型还可以是以下技术方案：