[发明专利]一种监测网络流量异常的方法及系统

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种监测网络流量异常的方法及系统。

背景技术

在网络安全领域，网络流量异常是指网络中的流量不规则的显著变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常，因此，网络流量异常的监测和分析对网络安全应急响应部门非常重要。

目前，一种异常监测方法是采用交换机镜像技术，交换设备将多个网络端口的流量复制一份到镜像端口，该镜像端口是一个监测端口，镜像端口部署监测分析系统，通过对原始数据包内容的分析来判断网络流量是否存在异常。通常，镜像端口可部署1个或2个。

参照图1，是所述网络流量异常监测方法示意图。假设交换设备11有5个物理端口，其中端口1-4分别连接一个网络设备(PC1-PC4)，端口5是镜像端口，连接监测设备12，用于监测端口1-4连接的网络设备流量。如图所示，交换设备11将端口1-4的流量镜像到端口5，由端口5连接的监测设备12对各网络设备(PC1-PC4)的流量进行异常分析。

上述通过交换机镜像技术实现的网络流量异常监测方法，虽然能够准确地定位流量异常的原因，但存在如下缺点：

其一，所述传统方式是将全部或部分交换端口的流量镜像到1到2个镜像端口上，但是交换机的背板处理带宽是固定的，镜像需要将交换端口的流量复制一份到镜像端口，相当于增加了1倍的负载，因此不可避免地带来部分性能的损耗。尤其在端口密度较大的环境下，所带来的性能损耗通常是不可接受的。例如，一般交换机的端口都在12口以上，通过镜像端口监控全部流量会导致交换机实际处理性能严重下降。

其二，将所有或大部分交换端口镜像给1到2个镜像端口，导致镜像的源端口大于镜像的镜像端口，进而导致当源端口的流量和大于镜像端口的处理能力时，带来了丢包的现象。例如，将4个10M的交换端口镜像到一个10M的镜像端口上，每个源端口的流量即使只有5M，但是此时镜像端口的流量是5M×4＝20M，显然超过了镜像端口的输出能力。

其三，如果为了避免以上2个问题，只一对一的镜像，由于目前交换机一般只支持1或2个镜像端口，所以会带来无法镜像全部端口流量的问题。

发明内容

本发明所要解决的技术问题是提供一种监测网络流量异常的方法及系统，以解决现有采用交换机镜像技术监测流量异常，带来交换机性能损耗、数据包丢失等问题。

为解决上述技术问题，根据本发明提供的具体实施例，本发明公开了以下技术方案：

一种监测网络流量异常的方法，包括：

采用粗粒度监测方法定位交换机中流量异常的端口；

自动调整交换机的镜像端口，将异常端口流量复制到所述镜像端口；

采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因。

其中，按照以下步骤定位流量异常的端口：维护一张设备IP地址与交换机物理端口的对应表；监控所有设备的流量，当发现流量异常时，从监控信息中提取出流量异常的IP地址；查询所述对应表，得到与流量异常的IP地址对应的交换机物理端口。

其中，按照以下步骤自动调整交换机的镜像端口：自动发送镜像调整命令；执行所述命令进行交换机配置，将流量异常的端口配置为镜像源，将镜像端口配置为镜像目的。

所述方法还包括：当流量恢复正常后，自动取消所述镜像调整命令。

其中，采用细粒度监测方法分析出异常原因后，还包括：向管理人员发出报警信息。

一种监测网络流量异常的系统，包括：

粗粒度监测引擎，用于采用粗粒度监测方法定位交换机中流量异常的端口，并报告给控制中心；

控制中心，用于自动调整交换机的镜像端口，将异常端口流量复制到所述镜像端口；

细粒度监测引擎，用于采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因。

其中，所述粗粒度监测引擎包括：端口管理单元，用于维护一张设备IP地址与交换机物理端口的对应表；流量收集单元，用于收集与交换机相连设备的流量监控信息；监控分析单元，用于分析收集的监控信息，当发现流量异常时，从监控信息中提取出流量异常的IP地址，并查询所述对应表，得到与流量异常的IP地址对应的交换机物理端口。

其中，所述控制中心自动登录交换机管理页面，下发镜像调整命令进行交换机配置，将异常端口流量复制到镜像端口。