[发明专利]用于有效率的网络流数据分析的方法和装置

说明书

技术领域

本发明涉及网络通信以及使用分析，且具体地涉及用于收集并处理网络流数据的方法和装置。更具体地，本发明的示例实施例涉及使用流记录来识别网络攻击。

背景技术

分组数据网络被广泛用于在全世界范围传输数据。分组数据网络一般将数据格式化为用于在一个计算机和另一个计算机之间传输的分组。这些分组包括报头，报头包含与分组数据和路由相关的信息。数据网络使用路由器从发起计算机向目的计算机发送这些分组，路由器使用分组报头中的路由信息向目的计算机发送分组。分组的流是从特定源网络地址和端口向目的网络地址和端口发送的一组分组。这些特定的目的源网络地址和端口可以例如对应于不同的计算机。随着这些网络的扩张，使用他们的好处日渐增加。然而，这对于使用网络的商务也产生了攻击的机会。

一种攻击类型是分布式拒绝服务。这涉及大量遭到破坏的计算机攻击特定计算机，并通过建立海量网络连接来打击特定的计算机。另一种类型的攻击是端口扫描攻击。这涉及恶意计算机在一定范围的网络地址上建立连接并刺探这些网络地址以寻找弱点。

网络流(Netflow)是已知的网络协议，其可以用于收集并监视IP业务(traffic)。一些网络流分析引擎仅基于与IP地址相关联的数据的量，仅保持最高数目(一般高至1000)的源、目的IP地址。以这种方式过滤信息的缺点是实际的流信息丢失，特别是作为结果信息的上下文，例如与源和目的IP地址相关联的源和目的端口。因此，由于所有分布信息丢失，所以这种引擎不能识别攻击。

其他网络流分析引擎仅保留流的子集(一般在一个小时的时间段内大约10000个流)。该子集一般基于流的八比特组(octet)大小。该技术减少了对流所需的存储，与上述技术不同，其仍然保留了一些分布信息。然而，由于子集一般基于流的八比特组大小，特别是其最高值，且拒绝服务和端口扫描攻击可以包含少量的八比特组，与攻击相关联的流不出现在子集中，因此该攻击对于引擎来说同样是不可见的。

为了能够识别此处所述的攻击模式，必须分析所有的流，特别是仅具有少量八比特组和分组的流。一般不采取这种分析，因为其无效率，即，有效率地分析这种海量数据是不可行的，因为为了识别攻击，这不仅导致与存储容量相关的问题，还要求不现实的处理时间。

本发明的目标是通过提供有效处理并分析网络流数据的技术来克服这些问题，该技术具体地使得基于流信息全集的分析对分布式拒绝服务攻击和端口扫描攻击的识别成为可能。

发明内容

在所附权利要求中阐述了本发明的方面。

根据本发明的一个方面，流收集技术用于获得与数据网络中的连接有关的信息，其还可以用于在现实的时段内识别病毒攻击。这使得运营商可以通过例如重新配置防火墙设置以拒绝来自被标识为攻击中所涉及的相关地址的特定传输，以采取针对攻击的有目的的行动，从而确保网络安全地运行，且具有尽可能多的带宽。

根据实施例，这是通过以下步骤实现的：

-存储与流有关的信息；

-对每一个流特定的信息进行分类，以识别在特定的源和目的IP地址和端口之间的关联以及它们之间的传输量；

-然后，基于已分类的信息，对这些不同的源或目的地址和对话进行计数；以及

-按照最高不同地址或对话数目，对结果排序。

所谓的“对话”是在特定的源和目的IP地址和端口之间的传输，本发明对这些特定的源和目的IP地址和端口进行存储和分类，以建立它们之间的相应关联。如果会话数目大，则证明存在高业务量，这可能指示端口扫描攻击。

在优选实施例中，本发明从流记录中提取相关信息，并针对特定地址和通信模式之间的相应关联对其进行分析，其可能指示正在实施特定类型的攻击。然后，本发明基于这些不同关联和模式的量，对该信息进行分级，从而向用户提供对特定攻击发生的可能性的实时指示。

可以表示与对象有关的数据的多种方式中的一种是“元组”(tuple)。这是有序的值集合，每一个值描述了对象的某个方面。进而将元组存储为具有索引的块数据结构，比如电子表格(spreadsheets)中的行或数据库表中的行。在一个实施例中，本发明在元组中存储每一个流记录特定的信息，该元组包括流记录的相关字段。该技术是便于对大量这种信息进行容易分类的方便的技术。在另一实施例中，将元组写入存储器(比如随机存取存储器(RAM))中的整数数组。通过将元组块以这种方式写入存储器，本实施例使得能够将元组块合并，并且以容易的方式确定特定地址和对话的和。

现在将参照附图，通过示例来描述体现本发明的布置。