[发明专利]一种基于内网流量的IP白名单构建方法

说明书

技术领域

本发明涉及内网流量监控领域和IP白名单构建方法领域，核心是利用捕获到的内外网之间的通信流量数据，采用特定的规则构建IP白名单。

背景技术

内网流量监控系统是指通过监控网络流量来实时发现网络攻击行为的系统。通常包括通信流量捕获模块、数据处理模块、数据展示模块。面对越来越严峻网络安全形势，针对内网所面临的不同威胁，内网流量监控系统需要利用不同的规则，对数据包进行分析。然而，随着网络数据量的日益增长，深度分析每一个数据包所造成的巨大开销，逐渐成为行业面临的一大难题。

在监控网络数据量庞大的内网时，内网监控系统面临着以下几个问题，首先是庞大的数据量使得数据捕获模块可能无法捕获内网中全部的数据包，使得系统可能无法还原全部的历史通信信息；其次是因为所需处理数据量过大，深度分析每一个网络数据包就会占用巨大的计算资源。此外，由于通常情况下需要提供历史数据的查询，所以处理好的数据需要存储一定时间段，由此占用了极大的存储硬件资源，且查询速度极慢。然而，内网中的数据流通常是以正常的数据流量为主，因此大量的软硬件资源都被消耗在了处理正常的网络数据上。

为了解决以上的问题，提高内网流量监控系统的可用性，现在广泛使用的方法之一是使用IP白名单来直接降低所需处理的数据量。传统的内网监控系统使用的IP白名单通常有两种生成办法，一是直接利用网上已有的白名库；二是以数据包分析为基础，匹配内网流量包的特征来判断通信是否正常。但这些方法存在如下的这些问题。

一、以已有的白名单库为基础，白名单中的IP数量巨大，且由于不同内网的使用情况不同，很多白单中的IP根本不会被访问，对于降低监控系统所需处理数据量的目标来说帮助很小。

二、以数据包分析为基础的白名单生成需要有原始数据包作为基础，提取原始数据包特征，通过匹配特征的方法过滤正常的数据包流量，这种方法需要不断地维护、更新特征库，使得生成白名单的成本很大，且效率不高。

现在对于内网安全的管理者来说，监控内网流量已经是必备的管理手段，对于内网监控系统的可用性和效率的要求，也随着网络的不断发展而水涨船高。而现有的解决办法却各有各的缺点，为此迫切需要一种，针对性强、高效的办法来克服这些缺点。

发明内容

“一种基于内网流量的IP白名单构建方法”是在对内网流量监控的可用性研究过程中所提出的发明。本发明的一个目标是针对现有的白名单生成算法生成成本高，白名单针对性不强的缺点，提出一种基于简单的内外网通信数据（五元组，生成时间，上/下行数据量大小）生成IP白名单的方法。本发明提供了一种新的白名单构造方法，区别于传统的基于网络数据包分析和使用白名单库的方法，该方法基于内网网络流量的记录，利用针对性强且高效的规则，来实现白名单的生成。该方法在生成过程中采用统计分析数据流信息的方法，不用进行包分析，也不用进行特征匹配，并且规则的设定可以在很大程度上将恶意IP排除在外，因此该方法具有生成效率高，学习成本低，白名单IP针对性强，IP白名单信誉度高等优势。

本发明提出了一种基于内网流量的IP白名单生成方法，该方法根据内网数据流数据量的特点以及内网用户使用网络的行为特点，通过采用极具针对性的规则来生成白名单。该方法包含了三个模块：数据捕获模块，捕获网络数据包并提取出数据包的五元组信息（源IP，目的IP，源端口，目的端口，运输层协议），数据包的产生时间信息，数据包的大小信息，并将这些信息交由数据预处理模块进行处理；数据预处理模块，用于将捕获的数据包信息以匹配五元组的方式组成网络数据流信息，并将网络数据流的信息存入数据库中（包括：流的五元组信息，流的产生时间，上行流量的大小，下行流量的大小），以网络数据流的信息作为IP白名单构建的基础数据；白名单生成模块，基于数据库中网络数据流信息，利用构建IP白名单的规则（包括：判断网络数据流下上行比例的大小，判断同一内网IP对外网IP在一定时间内的访问次数，判断一外网IP在一定时间段内被多少内网IP访问，判断外网IP是否有非工作时段的访问行为）来实现IP白名单的生成。

附图说明

从下面结合附图的详细描述中，将会更清楚的理解本发明的目标、实现方法、优点和特性，其中。

图1是一个展示本发明的白名单构建的架构图。

图2是一个说明本发明的数据捕获模块的流程图。

图3是一个说明本发明的数据预处理模块的流程图。

图4是一个说明本发明的白名单生成模块的流程图。

具体实施方式