[发明专利]用于处理网络元数据的流式传输方法和系统

权利要求书

1.一种处理在使用一个或多个网络协议发射网络业务的网络上产生的网络元数据的方法，所述网络包含一些装置，所述装置中的至少一些通过入接口接收网络业务，并且通过出接口发射网络业务，所述方法包括以下步骤：

以至少一种数据格式从数据处理系统中的多个源接收网络元数据；

确定所述网络元数据的类型或特性；

处理所述网络元数据以从其提取有用信息；以及

至少部分响应于所述确定步骤的结果，将所述网络元数据的至少一部分转换成在所述数据处理系统中用于其它系统元数据的一个或多个不同数据格式。

2.根据权利要求1所述的方法，其中在所述网络元数据在所述网络上在产生了所述网络元数据的网络装置与能够存储所述网络元数据的装置之间移行时执行所述处理步骤。

3.根据权利要求2所述的方法，其中通过应用管理网络元数据处理的至少一种策略来实现所述处理步骤。

4.根据权利要求3所述的方法，其中出于检测所述网络上指示可能的安全威胁的业务的目的应用所述至少一种策略。

5.根据权利要求4所述的方法，其中所述至少一种策略包含以下步骤：

对传入网络业务源与所述网络上的受监控超限装置预定义列表进行比较；

在目的地IP地址在超限装置预定义列表上的情况下，将源IP/端口以及目的地IP/端口连同入NetFlow记录中报告的字节和包的数目存储在可能警告列表中；

检查输出记录以确定所述源IP/端口和所述目的地IP/端口是否与所述可能警告列表中的条目匹配；

如果发现匹配，那么将此匹配视为内部主机对外部对等装置请求作出了答复的指示；以及

用及时的方式产生警告消息以告知可能的僵尸网络感染。

6.根据权利要求4所述的方法，其中所述至少一种策略包含以下步骤：

收集关于与外部网络装置通信的内部网络装置的信息；所述信息包括通信装置的IP地址和协议列表；

应用流式传输群集分析方法以确定所述通信装置之间的通信的模式；

通过所有所计算模式的集合中存在较小不相交模式来识别所述通信装置之间的通信的异常例子；

在识别出至少一种异常通信模式的情况下，用及时的方式产生警告消息以告知可能的僵尸网络感染。

7.根据权利要求3所述的方法，其中出于识别所述网络上的业务尖峰的目的应用所述至少一种策略。

8.根据权利要求7所述的方法，其中所述至少一种策略包含以下步骤：

将所述传入网络业务源与所述网络上的受监控装置预定义列表比较；

在所述源IP地址在装置预定义列表上的情况下，将所述源IP连同所述入NetFlow记录中报告的字节和包的所述数目存储在存储器内数据库中；

以预定义间隔检查所述存储器内数据库，并且识别超出网络管理方所阐述的阈值的装置；

用及时的方式产生警告消息以告知业务尖峰。

9.根据权利要求3所述的方法，其中出于改善在所述网络上捕获NetFlow业务的可靠性的目的应用所述至少一种策略。

10.根据权利要求9所述的方法，其中所述至少一种策略包含以下步骤：经由不可靠网络传输协议接收一个或多个NetFlow消息；

任选地将所述接收到的NetFlow消息转换成除了NetFlow之外的一个或多个格式、NetFlow的不同衍生格式或与所述接收到的NetFlow相同的格式；

将所述接收到的或转换的消息经由不可靠网络传输协议转发到多个端点，经由可靠的网络传输协议转发到至少一个端点，或经由不可靠网络传输协议转发到至少一个端点和经由可靠的网络传输协议转发到至少一个端点。

11.根据权利要求3所述的方法，其中出于减少到达存储所述网络上的所述网络元数据的装置的NetFlow消息的数目的目的应用所述至少一种策略。