本发明专利技术公开了一种网络边界流量采集方法、装置及存储介质,属于流量分析技术领域。装置包括处理器和计算机可读存储介质,该存储介质中存储有计算机程序,处理器运行该计算机程序可实现:对所有经过边界设备的流量进行全量镜像处理;为镜像处理后的流量建立全局哈希表和边界哈希表;判断进入全局哈希表中的数据报文是否为新会话;是则加入全局哈希表,再判断是否为边界流量;是则加入边界哈希表;若不是则丢弃;若为旧会话,则在边界哈希表中查看是否存在该会话,不存在则丢弃,存在则加入边界哈希表。本发明专利技术通过边界流量识别技术,实现了从全部流量中将网络边界设备的流量筛选出来,为针对边界设备进行的安全分析提供了理论支撑。针对边界设备进行的安全分析提供了理论支撑。针对边界设备进行的安全分析提供了理论支撑。
【技术实现步骤摘要】
一种网络边界流量采集方法、装置及存储介质
[0001]本专利技术涉及流量分析领域,具体涉及一种网络边界流量采集方法、装置及存储介质。
技术介绍
[0002]当前网络现状分为LAN(局域网)和WAN(广域网),具体点的分化就是internet(互联网)和intranet(企业内部网络),由于现阶段的IP是由IPv4的划分方式得到的有限的地址,并且为了企业或者家庭内部网络的安全,使得两种网络采用不同段的IP并且由路由器、防火墙等设备连接网络,像路由器、防火墙等用来连接两个网络的设备都叫边界设备。现有的防火墙、交换机,主要是串接到用户的网络中,作为流量审计或者入侵检测,但其自身产生的网络访问流量情况却缺乏监管,要想监管防火墙、交换机的自身流量,则需要从这些设备路由的巨量流量中将其自身流量分离出来。
技术实现思路
[0003]本专利技术旨在解决现有技术中存在的边界设备的自身流量无法监管的问题,提出一种网络边界流量采集方法、装置及存储介质,通过边界流量识别技术,可以快速筛出边界设备中的自身流量,为针对边界设备进行的安全分析提供理论支撑。
[0004]为了实现上述专利技术目的,本专利技术的技术方案如下:一种网络边界流量采集方法,包括如下步骤:步骤S1、将所有经过边界设备的流量进行全量镜像捕获处理;步骤S2、为镜像处理后的流量建立记录所有会话的全局hash表和记录边界流量的边界hash表;步骤S3、判断加入全局hash表中的数据报文所属会话是否为新会话;若为新会话,则将该数据报文所属会话加入全局hash表,再判断该数据报文是否为边界流量;若为边界流量,则该数据报文所属会话加入边界hash表进行记录,并将该数据报文存入存储介质;若不是边界流量,则丢弃该条会话对应的数据报文;若为旧会话,则在边界hash表中查看是否存在该会话,不存在则丢弃该条会话所对应的数据报文,存在则将该数据报文所属会话加入边界hash表进行记录,同时将该数据报文存入存储介质。
[0005]进一步的,镜像处理后的流量按照四元组进行分组,分组后的流量又按照不同的传输层协议分为TCP会话、UDP会话、ICMP会话来进行边界流量的判断。
[0006]进一步的,针对每个分组的TCP会话、UDP会话、ICMP会话分别建立用于记录所有会话的全局hash表和用于记录边界流量的边界hash表。
[0007]进一步的,TCP会话和UDP会话利用四元组拼接计算hash值,ICMP会话利用IP对拼接计算hash值。
[0008]进一步的,新会话和旧会话的判断方法如下:
定时更新流量采集时间,一个会话在某段流量采集时间t内到来的数据报文都使该会话判断为旧会话;如果一个会话在该某段流量采集时间t内,不再有新的数据报文到来,则将该会话的key信息从全局hash表和边界hash表中移除,即使后续到来相同hash值的数据报文,都判断为新增会话的数据报文。
[0009]进一步的,边界流量的判断过程如下:如果该会话是一个新会话,则提取该会话的数据报文的TTL进行判断;若数据报文不带有SYN标志位,则丢弃该数据报文,不作为流量开始采集的数据帧;若数据报文带有SYN或SYN|ACK标志位,则提取该数据报文的TTL (Time To Live,存活时间)进行判断,若满足TTL=64或者TTL=255,则判断为边界流量;若不满足TTL=64或者TTL=255,则丢弃该数据报文。
[0010]进一步的,为解决上述全部或部分问题,本专利技术还提供了一种计算机可读存储介质,其存储有计算机程序,运行该计算机程序可执行上述的网络边界流量采集方法。
[0011]一种网络边界流量采集装置,该装置包括处理器和上述的计算机可读存储介质,所述处理器运行所述计算机可读存储介质中存储的计算机程序。
[0012]综上所述,本专利技术具有以下优点:1、本专利技术所述的网络边界流量采集方法,通过边界流量识别技术,实现了从全部流量中将网络边界设备的流量筛选出来的效果,通过精确定位边界设备产生的边界流量,为针对边界设备进行的安全分析提供了理论支撑;2、本专利技术在对边界流量进行采集的过程中,将镜像后的流量按照四元组进行分组,分组后的流量又按照不同的传输层协议分为TCP会话、UDP会话、ICMP会话来进行边界流量的判断。上述操作是为了方便后续流量到来时,能快速派发到不同的分组进行处理,减少哈希冲突,同时提升系统处理的并发量;3、本专利技术采用全局hash表和边界hash表进行边界流量的分离时,如果一个会话在该段采集时间t内,不再有新的数据报文到来,则该会话的key信息从全局hash表和边界hash表中移除。通过定时清除全局hash表和边界hash表中的一些垃圾数据,可以提升系统性能。
附图说明
[0013]图1为本专利技术所述边界流量采集设备的分布示意图;图2为本专利技术一种网络边界流量采集方法的实施逻辑框图;图中:1、边界流量采集设备;2、镜像交换机;3、边界设备。
具体实施方式
[0014]为了更清楚地说明本专利技术,下面结合优选实施例和附图对本专利技术做进一步的说明。本领域技术人员应当理解,下面所具体描述的内容是说明性的而非限制性的,不应以此限制本专利技术的保护范围。
[0015]本专利技术的说明书和权利要求书及上述附图中的属于“第一”、“第二”等是用于区别不同的对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法或设备固有的气体步骤或单元。
[0016]实施例1本专利技术提供了一种网络边界流量采集方法,包括如下步骤:步骤S1、将所有经过边界设备的流量进行全量镜像捕获处理;步骤S2、为镜像处理后的流量建立记录所有会话的全局hash表和记录边界流量的边界hash表;步骤S3、判断加入全局hash表中的数据报文所属会话是否为新会话;若为新会话,则将该数据报文所属会话加入全局hash表,再判断该数据报文是否为边界流量;若为边界流量,则该数据报文所属会话加入边界hash表进行记录;若不是边界流量,则丢弃该条会话对应的数据报文;若为旧会话,则在边界hash表中查看是否存在该会话,不存在则丢弃该条会话所对应的数据报文,存在则将该数据报文所属会话加入边界hash表进行记录。
[0017]实施例2在实施例1的基础上,本实施例2还公开了一种计算机可读存储介质,其存储有计算机程序,运行该计算机程序可执行实施例1中所述的网络边界流量采集方法。
[0018]进一步的,本实施例还公开了一种网络边界流量采集设备,该设备包括处理器和上述计算机可读存储介质,处理器运行所述计算机可读存储介质中存储的计算机程序。
[0019]实施例3本专利技术提供了一种网络边界流量采集方法,包括以下步骤:步骤一、如图1所示,将边界流量采集设备1部署到需要监测的边界设备3之外,采用镜像交换机2,将所有经过边界设备3的流量进本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络边界流量采集方法,其特征在于,包括如下步骤:步骤S1、将所有经过边界设备的流量进行全量镜像捕获处理;步骤S2、为镜像处理后的流量建立记录所有会话的全局hash表和记录边界流量的边界hash表;步骤S3、判断加入全局hash表中的数据报文所属会话是否为新会话;若为新会话,则将该数据报文所属会话加入全局hash表,再判断该数据报文是否为边界流量;若为边界流量,则该数据报文所属会话加入边界hash表进行记录,并将该数据报文存入存储介质;若不是边界流量,则丢弃该条会话对应的数据报文;若为旧会话,则在边界hash表中查看是否存在该会话,不存在则丢弃该会话所对应的数据报文,存在则将该数据报文所属会话加入边界hash表进行记录,同时将该数据报文存入存储介质。2.根据权利要求1所述的一种网络边界流量采集方法,其特征在于,镜像处理后的流量按照四元组进行分组,分组后的流量又按照不同的传输层协议分为TCP会话、UDP会话、ICMP会话来进行边界流量的判断。3.根据权利要求2所述的一种网络边界流量采集方法,其特征在于,针对每个分组的TCP会话、UDP会话、ICMP会话分别建立用于记录所有会话的全局hash表和用于记录成功判断为边界流量的会话的边界hash表。4.根据权利要求2所述的一种网络边界流量采集方法,其特征在于:TCP会话和UDP会话利用四元组拼接计算hash值,ICMP会话利用IP对拼接计算hash值。5.根据权利要求2所述的一种网络边界流量采集方法,其特征在于,TCP会话的边界流量的判断过程如下:如果该会话是一个新会话,则提取该会话...
【专利技术属性】
技术研发人员:王伟旭,田红伟,徐文勇,
申请(专利权)人:成都数默科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。