[发明专利]一种基于SFLOW和OWAMP的网络安全态势信息获取系统及方法

摘要

本发明属于网络安全态势感知领域，具体涉及一种基于SFLOW和OWAMP的网络安全态势信息获取系统及方法。本发明包括：管理控制模块包含端点管理模块、任务配置模块和任务分发模块：数据预处理模块负责对数据采集模块采集到的SFLOW数据信息和OWAMP数据信息进行数据标准化处理，去除不同节点采集到的冗余信息，数据预处理后存储到数据处理中心；可视化模块负责将来自性能评估模块产生的评估信息以图形化的形式展示给用户。会话发起端和会话接收端之间的会话采用HMAC加密，而且采用NTP时钟同步协议，在安全性和时效性方面具有巨大优势；测量方式和基于往返的测量方式相比，减少了往返时延。

主权项

1.一种基于SFLOW和OWAMP的网络安全态势信息获取系统，包括管理控制模块、由多个会话发起端代理模块组成的会话发起端、由多个会话接收端代理模块组成的会话接收端、数据处理模块、可视化模块；其特征在于：①管理控制模块包含端点管理模块、任务配置模块和任务分发模块；端点管理模块负责记录、处理来自任务配置模块和任务分发模块的执行情况，以及来自会话发起端和会话接收端数据包的异常信息，并对会话发起端和会话接收端、数据管理中心、各个网络设备进行动态配置和管理；任务配置模块接收来自用户的采集任务命令，根据用户需求配置采集任务参数，并将配置好的采集任务交给任务分发模块；任务分发模块接收来自任务配置模块配置的任务，根据采集任务的不同，将采集任务分发给会话发起端不同的会话接收端代理模块的任务监听模块；②会话发起端是由多个会话发起端代理模块构成的；其中，每一个会话发起端代理模块包含任务监听模块、任务执行模块和信息查询模块；任务监听模块是监听来自任务分发模块的会话消息，将具体的采集任务交由任务执行模块；任务执行模块根据任务监听模块模块监听到的采集任务，在指定时刻触发执行，任务执行情况信息输出给信息查询模块；信息查询模块接收来自任务执行模块输出的信息供用户查询；③会话接收端是由多个会话接收端代理模块构成的；其中，每一个会话接收端代理模块包含任务接收模块、数据采集模块、数据预处理模块；任务接收模块接收来自任务执行模块的采集任务，并通过HMAC机制进行身份和安全认证，通过验证的采集任务数据包交给数据采集模块；数据采集模块根据任务接收模块测量数据包的信息来触发代理采集网络数据，包括SFLOW数据信息和OWAMP数据信息；采集的SFLOW信息包括12个字段：源IP地址、目的IP地址、源端口号、目的端口号、IP服务类型、源MAC地址、目的MAC地址、TCP标记位、接口速率、源地址子网掩码位数、目的地址子网掩码位数和输入输出接口的端口值；采集的OWAMP数据包括5个字段：网络连接性、网络带宽、单路时延、往返时延、单路数据包丢失；采集的网络数据统一成XML格式数据后交由数据预处理模块处理；数据预处理模块负责对数据采集模块采集到的SFLOW数据信息和OWAMP数据信息进行数据标准化处理，去除不同节点采集到的冗余信息，数据预处理后存储到数据处理中心；④数据处理模块包含数据优化模块、性能评估模块；数据优化模块从数据管理中心读取网络数据，对预处理后的信息通过采用索引优化的方式进行优化处理，在数据管理中心进行存储，然后交给性能评估模块；性能评估模对数据优化模块处理后的信息以往返时延、单路数据包丢失为关键字，采用关联规则的处理方法来评估现有网络，最终生成网络性能评估信息，交给可视化模块供用户查看；⑤可视化模块负责将来自性能评估模块产生的评估信息以图形化的形式展示给用户；基于SFLOW和OWAMP的网络安全态势信息获取包括：(1)首先在管理控制模块按照事先获取用户信息的具体要求，配置采集任务参数，并将采集任务分发给会话发起端代理模块；(2)会话发起端代理模块向会话接收端代理模块发送TCP连接请求，请求通过后，建立测试连接；测试连接通过后采集任务数据包开始经过路由寻找目的端，在发送端为给数据包打上时间戳，经过节点每一跳时，由管理控制模块记录时延、流量和是否由于拥塞被丢弃这些相关属性；(3)采集任务数据包到达会话接收端代理模块后，立即给数据包打上另一个时间戳，并通过伪随机数方法来判定采集任务数据包是否在合法的时间范围内到达；如果是，将该采集任务数据包记录为合法的数据包，否则被丢弃；数据采集模块根据合法数据包进行数据采集，采集的数据作为数据预处理模块的输入；(4)数据预处理模块对采集到的SFLOW数据信息和OWAMP数据信息进行去冗余的处理；(5)数据优化模块对预处理后的信息采用索引优化方法进行优化，并进行存储；(6)性能评估模块以网络连接性、网络带宽、往返时延、单路数据包丢失这些关键数据，通过采用关联规则的处理方法来评估现有网络，为优化网络性能提供依据；(7)可视化模块提供给用户一个可视化的操作界面，将网络性能评估信息实时呈现给用户；将系统部署到网络环境中包括：(1)在网络中的任一台Intel—Linux架构的PC主机上部署并运行具有装置框架图的软件，将PC机的以太网卡连接到接入网络中的局域网交换机上，使之能够与网络及网络上的其他PC机通信；(2)将网络设备配置能够产生SFLOW和OWAMP网络流数据；其中：会话接收端代理模块中的数据采集模块包括SFLOW采集代理以及OWAMP测量代理，主要功能是负责给网络设备发送配置指令和从网络设备获取网络数据；sFlow数据包括：源IP地址、目的IP地址、源端口号、目的端口号、IP服务类型、源MAC地址、目的MAC地址、TCP标记位、接口速率、源地址子网掩码位数、目的地址子网掩码位数和输入输出接口的端口值；OWAMP数据包括：网络连接性、单路时延、单路数据包丢失、往返时延和数据包时延抖动；该系统通过以下步骤来获取SFLOW和OWAMP网络数据信息：步骤1首先用户在客户端发起采集网络数据命令；步骤2管理控制模块在接受到指令后配置采集任务，采集需要的网络流字段；并将采集任务分发给不同的会话发起端代理模块；步骤3会话发起端代理模块接收到采集任务后，与NTP时钟服务器通信，进行时钟同步；步骤4会话发起端代理模块与会话接收端代理模块进行控制连接和测试连接，建立连接成功执行步骤5，否则执行步骤2；步骤5会话发起端代理模块发送采集任务数据包，并给数据包打上时间戳；步骤6会话接收端如果接收到来自会话发起端的采集任务数据包，则执行步骤7，否则执行步骤6；步骤7会话接收端与NTP时钟服务器同步；步骤8判断数据包是否异常，如果数据包异常，由端点记录模块记录并处理，否则执行步骤9；步骤9会话接收端给接收到数据包打上时间戳；步骤10判断接收到的数据包是否超时，如果不是执行步骤11；否则，异常信息交由端点管理模块记录并处理；步骤11数据采集模块中的SFLOW采集代理以及OWAMP测量代理采集网络流数据，数据格式统一成XML格式后，由数据预处理模块处理后存到数据管理中心；步骤12数据处理模块从数据管理中心读取网络数据进行优化处理，形成评估报告；步骤13可视化模块展示网络的安全评估信息。