[发明专利]基于异常反馈的NetFlow采样处理方法

说明书

本发明公开了一种基于异常反馈的NetFlow采样处理方法。本方法以NetFlow原理为基础，利用异常分析服务器输出的分析结果，提取异常流量对应的NetFlow记录的特征值，反馈器进行基于统计结果的异常检测，输出防范策略的行为特征参数，发送给路由流量采集点和采集服务器，路由流量采集点调整对异常流量包的采样率，采集服务器调整对路由流量采集点的流量接收权重。本发明充分利用异常分析的分析结果，实时自动调整路由流量采集点采样率，调整采集服务器的采集策略，避免无效流量的采集，降低来自路由流量采集点的接收压力，实现对网络流量状态的实时反馈与利用。

技术领域

本发明属于网络流量采样处理技术领域，特别是一种基于异常反馈的NetFlow采样处理方法。

背景技术

随着Internet的发展，网络用户、接入设备日益增长，对计算机网络的安全运行产生了压力，并且由于操作系统的升级与漏洞的修补，入侵主机进而进行破坏的病毒攻击方式在攻击中所占比例逐渐减少，这些攻击转而改为恶意的消耗网络有限的资源或占用系统，进而破坏系统对外提供服务的能力，但是传统的系统升级无法检测并预防此类攻击。因此，计算机网络状况的实时监控的工作，显得十分必要。计算机网络状况的实时监控，就是对网络上的数据流量进行统计和分析。由于各种各样的应用对网络带宽的需求越来越高，传统的网络流量统计和数据采集方式开销大、对数据传输延时的影响大，已经不能满足现在的需求，因此，需要一种新的流量统计技术来适应现在的网络环境。针对此类攻击，业界提出了以检测网络数据流的方法来判断网络异常和攻击：借助实时的检测网络数据流信息，通过与历史记录模式匹配(判断是否正常)、或者与异常模式匹配(判断是否被攻击)，让网络管理人员可以实时查看全网的状态，检测网络性能可能出现的瓶颈，并进行自动处理或告警显示，以保证网络高效、可靠地运转。

NetFlow技术正是这样的能适应新环境的流量采集方法。它由于不需要对数据包中的数据进行分析，而只是对包头信息进行统计，因而有很高的处理速度，能够满足高速网络的需求，同时NetFlow数据提供的属性信息刚好能从多角度反映出网络中的异常行为特征，不但能够在攻击实施初期就发现异常行为，还能够监测未知的病毒。由于NetFlow具有以上特性，因此可以为网络管理员或分析者提供丰富的网络数据流信息，如IP地址、协议类型、端口以及服务类型等，这些信息可以用于网络与应用程序监测、用户监和计费、网络规划、安全分析、流量工程以及可以作为数据仓库用于数据挖掘。然而，由于分析NetFlow数据产生的结果后是由网络管理员进行下一步操作，不能对网络中的异常进行及时的干预，因此存在无效流量的采集，增加了来自路由流量采集点的接收压力，无法对网络流量状态进行实时反馈与利用。

发明内容

本发明目的在于提供一种能够对网络流量状态进行实时反馈与利用的基于异常反馈的NetFlow采样处理方法。

本发明的原理为：以NetFlow原理为基础，利用异常分析服务器输出的分析结果，提取异常流量对应的NetFlow记录的特征值，反馈器进行基于统计结果的异常检测，输出防范策略的行为特征参数，发送给路由流量采集点和采集服务器，路由流量采集点调整对特定流量包的采样率，采集服务器调整对路由流量采集点的流量接收权重。

实现本发明目的的技术解决方案为：一种基于异常反馈的NetFlow采样处理方法，采用以下步骤：

步骤1：异常分析器分析NetFlow数据，并提取异常流量对应的NetFlow记录的特征值；

步骤2：根据步骤1分析结果，进行基于统计结果的异常检测，输出防范策略的行为特征参数；

步骤3：路由流量采集点调整对异常流量包的采样率；

步骤4：采集服务器调整对路由流量采集点的流量接收权重。

进一步地，步骤1所述的异常流量对应的NetFlow记录的特征值包括源地址、目的地址、协议类型、源端口、目的端口方面的特征。