[发明专利]一种基于分布式的网络流量分析系统及方法

说明书

本发明公开了一种基于分布式的网络流量分析系统及方法，包括采集模块、分析模块、分析管理模块、通讯模块和服务器，采集模块连接分析模块，分析模块通过交换机连接分析管理模块，分析管理模块通过通讯模块与服务器连接。采集模块对网络中原始流量信息进行采集，分析模块接收采集模块采集的流量信息，并将其合理分布到多个分析引擎，通过分布式分析方式提高分析速率，并将分析结果传输给分析管理模块，分析管理模块对多个分析引擎的分析结果进行集中处理，并将统一数据分析结果对应整合通过显示器实现对网络流量的多层次进行全方位的综合分析，实现了基于网络流量的应用层分析，达到了通过网络流量的监测分析保障网络中应用系统安全性的目的。

技术领域

本发明涉及计算机技术领域，具体为一种基于分布式的网络流量分析系统及方法。

背景技术

随着网络技术的发展和网络规模的扩大化，许多企业单位间的业务都由网络应用系统来承载，通过网络应用系统来进行业务工作，不仅方便性好， 而且效率高，然而，随着网络系统的规模扩大，种类增多，网络行为也越来越复杂且不易控制，这样就导致了一些重要的或需要保密的网络数据的安全性也受到了一定程度的威胁，而这些数据一旦被窃取或攻击，就会给社会带来一定的危害和损失，因此，IT管理部门需要保障网络系统的安全性，则需要对网络流量进行分析，现有的网络流量分析系统大多都是 部署在单个节点，数据处理能力和分析处理能力较弱，不具备对大规模网络流量信息进行分析处理的能力，为此我们提出一种基于分布式的网络流量分析系统及方法用于解决上述问题。

发明内容

本发明的目的在于提供一种基于分布式的网络流量分析系统及方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种基于分布式的网络流量分析系统，包括采集模块、分析模块、分析管理模块、通讯模块和服务器，所述采集模块连接分析模块，所述分析模块通过交换机连接分析管理模块，所述分析管理模块通过通讯模块与服务器连接，

所述采集模块用于采集网络中各节点的原始流量信息，并筛选过滤提取网络层和应用层流量信息，并将流量传输给分析模块；

所述分析模块包括多个分析引擎，用于对流量信息进行流量分析，并将同一数据的分析结果传输给分析管理模块；

所述分析管理模块对分析模块中多个引擎的分析结果进行统一处理，并将处理后的最终数据进行显示，同时将数据通过通讯模块传输至服务器存储。

优选的一种实施案例，所述采集模块包括过滤单元、抓取单元和提取单元，所述过滤单元、抓取单元和提取单元依次连接，所述过滤单元用于实现对流量数据的筛选过滤，所述抓取单元用于实现对过滤后的流量数据进行抓取，所述提取单元用于对抓取的数据进行解析并提取出网络层和应用层流量数据。

优选的一种实施案例，所述网络层为网络中各节点的原始流量信息，包括网络层IP协议头信息和TCP协议头信息等，所述应用层为应用系统的配置文件分析出原流量信息中特定源地址的特定流量信息，采用快速协议分析技术对特定流量信息进行分组解析，提取其应用层流量信息，包括应用层HTTP协议头和数据信息等。

优选的一种实施案例，所述分析引擎通过负载均衡器与采集模块连接，通过负载均衡器将采集的流量信息进行合理分配，将流量信息分配给多个分析引擎进行分析处理。

优选的一种实施案例，所述分析引擎包括网络分析、应用分析和追踪分析，具体的：

所述网络分析对流量数据进行总流量情况统计，并对IP层网络数据信息的网络基本情况进行分析；

所述应用分析根据应用系统的配置文件对应用层流量信息进行流量统计分析，判断是否存在异常流量信息；

所述追踪分析用于应用系统中有异常流量时，针对所述异常流量信息，确定与异常流量信息相关的具有IP地址的追踪主机，并对追踪主机进行监测，记录所述追踪主机的操作内容、操作时间及操作对象。