[发明专利]一种网络监控方法

说明书

本发明涉及一种网络监控方法，所述方法包括：设定初始查表表项，利用该初始查表表项，在选定时间段内，对被监控网络中的报文进行查表运算，得到查表运算结果，并且获得包含表项与实际网络报文匹配结果的查表统计向量数据，并根据此查表统计向量数据，对当前的查表表项进行实时修改，实现自动双向反馈式表项下发，可以在极短的时间内，无需人工干预的情况下，完成正确的硬件表项下发，实现正确的业务管控方式。

技术领域

本发明涉及信息安全领域，尤其涉及一种网络监控方法。

背景技术

随着互联网的发展，互联网的业务倾向多样性、复杂性及个性化的趋势。特别是多样业务负载于IP的业务的特点，IP业务逐步成为各种通信基础设施的统一平台，承载的业务越来越多，并且呈现出许多崭新的特征，例如少数低价值的业务正在占有巨大带宽资源，客户的网络行为监控复杂化，更加重要的是对于一些不良信息，缺乏有效的识别和管控手段，导致恶意信息或者不良信息能够通过网络大规模泛滥，影响网络信息安全。

现有的网络安全管控技术一般采用表项下发模式描述用户行为特征。采用的方式一般为抓取用户行为的特征信息，根据特征进行编码后下发到管控硬件产品中，对于用户网上数据包进行过滤、分析以企图分析用户行为的方式进行管理控制。但是由于互联网络的业务特征日趋多元化及隐蔽化。并且采用“合理”网络安防手段，采用原有方式无法得到固定业务特征及业务特征规律。所以难以用简单的几元组方式描述特征，导致管控失败。

失控的原因之一在于在业务特征下发后，无法根据实际网络情况进行动态调整。如果能把已下达的业务特征即管控硬件产品中表项，根据管控产品的网络中实际统计信息及变化特点进行上报，有后台系统根据上报信息进行运算，及时调整业务特征即管控硬件产品表项，就可以实现自动调整监控方式。实现系统的灵活性及适配性。势必大大降低网络管控速度。尽可能地降低网络管理员及后台特征人员的工作反应速度。这是人工配置无法比拟的方式。

发明内容

本发明的目的在于克服现有技术的不足，提供一种网络监控方法，所述方法包括：设定初始查表表项，利用该初始查表表项，在选定时间段内，对被监控网络中的报文进行查表运算，得到查表运算结果，并且获得包含表项与实际网络报文匹配结果的查表统计向量数据，并根据此查表统计向量数据，对当前的查表表项进行实时修改；在相同时间段内，提取当前网络中实际的网络数据报文业务特征数据；比对查表运算结果与网络数据报文业务特征数据，形成比对特征数据；设定比对特征数据的阈值：若比对特征数据在阈值之内，则维持现有查表项不变；若比对特征数据超过阈值，则重新下发新的表项。

与现有技术相比，本发明的有益效果为：

本发明涉及一种网络监控方法，所述方法包括：设定初始查表表项，利用该初始查表表项，在选定时间段内，对被监控网络中的报文进行查表运算，得到查表运算结果，并且获得包含表项与实际网络报文匹配结果的查表统计向量数据，并根据此查表统计向量数据，对当前的查表表项进行实时修改，实现自动双向反馈式表项下发，可以在极短的时间内，无需人工干预的情况下，完成正确的硬件表项下发，实现正确的业务管控方式。

具体实施方式

下面进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

实施例：

一种网络监控方法，所述方法包括：设定初始查表表项，利用该初始查表表项，在选定时间段内，对被监控网络中的报文进行查表运算，得到查表运算结果，并且获得包含表项与实际网络报文匹配结果的查表统计向量数据，并根据此查表统计向量数据，对当前的查表表项进行实时修改。

在相同时间段内，提取当前网络中实际的网络数据报文业务特征数据。

比对查表运算结果与网络数据报文业务特征数据，形成比对特征数据。