一种监测网络流量异常的方法及系统

1.一种监测网络流量异常的方法，其特征在于，包括：
维护一张设备IP地址与交换机物理端口的对应表；
采用粗粒度监测方法监控所有设备的流量，当发现流量异常时，从监控信息中提取出流量异常的IP地址；查询所述对应表，得到与流量异常的IP地址对应的交换机物理端口；
自动发送镜像调整命令，执行所述命令进行交换机配置，将流量异常的端口配置为镜像源，将镜像端口配置为镜像目的；
采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因；
当流量恢复正常后，自动取消所述镜像调整命令。
2.根据权利要求1所述的方法，其特征在于，采用细粒度监测方法分析出异常原因后，还包括：向管理人员发出报警信息。
3.一种监测网络流量异常的系统，其特征在于，包括：
粗粒度监测引擎，用于采用粗粒度监测方法定位交换机中流量异常的端口，并报告给控制中心；
所述粗粒度监测引擎包括端口管理单元、流量收集单元及监控分析单元：其中，所述端口管理单元，用于维护一张设备IP地址与交换机物理端口的对应表；所述流量收集单元，用于收集与交换机相连设备的流量监控信息；所述监控分析单元，用于分析收集的监控信息，当发现流量异常时，从监控信息中提取出流量异常的IP地址，并查询所述对应表，得到与流量异常的IP地址对应的交换机物理端口；
控制中心，用于自动登录交换机管理页面，下发镜像调整命令进行交换机配置，将异常端口流量复制到镜像端口；
细粒度监测引擎，用于采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因；
所述粗粒度监测引擎还用于，发现流量恢复正常后，报告给控制中心，由控制中心自动取消所述镜像调整命令。
4.根据权利要求3所述的系统，其特征在于，所述细粒度监测引擎包括：
原始包接收单元，用于从镜像端口接收流量异常的数据包；
异常监测单元，用于采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因；
报警单元，用于向管理人员发出报警信息。

技术领域\n本发明涉及网络安全领域，特别是涉及一种监测网络流量异常的方法及系统。\n背景技术\n在网络安全领域，网络流量异常是指网络中的流量不规则的显著变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常，因此，网络流量异常的监测和分析对网络安全应急响应部门非常重要。\n目前，一种异常监测方法是采用交换机镜像技术，交换设备将多个网络端口的流量复制一份到镜像端口，该镜像端口是一个监测端口，镜像端口部署监测分析系统，通过对原始数据包内容的分析来判断网络流量是否存在异常。通常，镜像端口可部署1个或2个。\n参照图1，是所述网络流量异常监测方法示意图。假设交换设备11有5个物理端口，其中端口1-4分别连接一个网络设备(PC1-PC4)，端口5是镜像端口，连接监测设备12，用于监测端口1-4连接的网络设备流量。如图所示，交换设备11将端口1-4的流量镜像到端口5，由端口5连接的监测设备12对各网络设备(PC1-PC4)的流量进行异常分析。\n上述通过交换机镜像技术实现的网络流量异常监测方法，虽然能够准确地定位流量异常的原因，但存在如下缺点：\n其一，所述传统方式是将全部或部分交换端口的流量镜像到1到2个镜像端口上，但是交换机的背板处理带宽是固定的，镜像需要将交换端口的流量复制一份到镜像端口，相当于增加了1倍的负载，因此不可避免地带来部分性能的损耗。尤其在端口密度较大的环境下，所带来的性能损耗通常是不可接受的。例如，一般交换机的端口都在12口以上，通过镜像端口监控全部流量会导致交换机实际处理性能严重下降。\n其二，将所有或大部分交换端口镜像给1到2个镜像端口，导致镜像的源端口大于镜像的镜像端口，进而导致当源端口的流量和大于镜像端口的处理能力时，带来了丢包的现象。例如，将4个10M的交换端口镜像到一个10M的镜像端口上，每个源端口的流量即使只有5M，但是此时镜像端口的流量是5M×4＝20M，显然超过了镜像端口的输出能力。\n其三，如果为了避免以上2个问题，只一对一的镜像，由于目前交换机一般只支持1或2个镜像端口，所以会带来无法镜像全部端口流量的问题。\n发明内容\n本发明所要解决的技术问题是提供一种监测网络流量异常的方法及系统，以解决现有采用交换机镜像技术监测流量异常，带来交换机性能损耗、数据包丢失等问题。\n为解决上述技术问题，根据本发明提供的具体实施例，本发明公开了以下技术方案：\n一种监测网络流量异常的方法，包括：\n维护一张设备IP地址与交换机物理端口的对应表；\n采用粗粒度监测方法监控所有设备的流量，当发现流量异常时，从监控信息中提取出流量异常的IP地址；查询所述对应表，得到与流量异常的IP地址对应的交换机物理端口；\n自动发送镜像调整命令，执行所述命令进行交换机配置，将流量异常的端口配置为镜像源，将镜像端口配置为镜像目的；\n自动调整交换机的镜像端口，将异常端口流量复制到所述镜像端口；\n采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因；\n当流量恢复正常后，自动取消所述镜像调整命令。\n其中，采用细粒度监测方法分析出异常原因后，还包括：向管理人员发出报警信息。\n一种监测网络流量异常的系统，包括：\n粗粒度监测引擎，用于采用粗粒度监测方法定位交换机中流量异常的端口，并报告给控制中心；\n所述粗粒度监测引擎包括端口管理单元、流量收集单元及监控分析单元：其中，所述端口管理单元，用于维护一张设备IP地址与交换机物理端口的对应表；所述流量收集单元，用于收集与交换机相连设备的流量监控信息；所述监控分析单元，用于分析收集的监控信息，当发现流量异常时，从监控信息中提取出流量异常的IP地址，并查询所述对应表，得到与流量异常的IP地址对应的交换机物理端口；\n控制中心，用于自动登录交换机管理页面，下发镜像调整命令进行交换机配置，将异常端口流量复制到镜像端口；\n细粒度监测引擎，用于采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因；\n所述粗粒度监测引擎还用于，发现流量恢复正常后，报告给控制中心，由控制中心自动取消所述镜像调整命令。\n其中，所述细粒度监测引擎包括：原始包接收单元，用于从镜像端口接收流量异常的数据包；异常监测单元，用于采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因；报警单元，用于向管理人员发出报警信息。\n根据本发明提供的具体实施例，本发明公开了以下技术效果：\n本发明实施例提供了一种监测网络流量异常的方法，是对传统交换机镜像技术的改进，采用自动动态调整的方式，达到准确地对异常流量进行细粒度分析的目的。该方法先通过粗粒度监测方法定位交换机中流量异常的端口，然后自动调整交换机的镜像端口，将异常端口流量复制到所述镜像端口，最后再采用细粒度监测方法对镜像端口流量进行分析，得出流量异常原因。所述方法具有以下效果：\n其一，只有在流量异常的时候才会触发交换机镜像，大部分时间内不会使用交换机的镜像功能，所以不会增加负载而影响交换机的性能；\n其二，动态而有针对性地调整镜像端口，避免了将多个端口镜像到一个端口带来的丢包情况；\n其三，对比传统的镜像所有端口的方法，减少了检测设备的数量，降低了安全设备的投资成本；\n其四，由粗到细的检测流程，保证了高效的前提下，对异常流量的准确定位。\n附图说明\n图1是现有技术中网络流量异常监测方法示意图；\n图2是本发明实施例所述网络流量异常监测方法的应用环境示意图；\n图3是本发明实施例所述监测网络流量异常的方法流程图；\n图4是本发明实施例所述监测网络流量异常的系统结构图。\n具体实施方式\n为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。\n本发明实施例提供了一种监测网络流量异常的方法，是对传统交换机镜像技术的改进，采用自动动态调整的方式，根据实际流量情况自动调整交换机的流量镜像功能，将流量异常的端口流量镜像输出给检测设备，从而达到准确地对异常流量进行细粒度分析的目的。\n为清楚说明所述监测方法，下面将以实施例的形式先介绍该方法的应用环境。\n参照图2，是所述应用环境示意图。假设此网络中存在一台交换机21和三台服务器，交换机21有多个端口，分配其中的端口1、端口2和端口3来分别连接服务器PC1、PC2和PC3，再分配一个端口作为镜像端口来连接监测设备22，同时交换机21还与边界路由器23连接。本发明实施例部署了一个控制系统24来对服务器的流量进行监控，并控制监测设备22进行异常分析。本实施例中，假设服务器PC1的流量出现异常，PC1正在遭受流量攻击，攻击流量主要是UDP(User Datagram Protocol，用户数据报协议)协议的洪水攻击。\n下面结合图2说明本发明方法。参照图3，实施例所述监测网络流量异常的方法流程图。\n步骤301，在正常情况下，交换机21的镜像端口处于未使能状态，即没有开启交换机21的镜像功能。\n步骤302，先采用粗粒度监测手段定位流量异常的端口为端口1。\n本实施例中，定位流量异常端口的方式是：控制系统24维护一张服务器IP地址与交换机物理端口的对应表，并对与交换机相连的服务器进行流量监控；当控制系统24采用粗粒度手段监测到某个服务器的流量出现异常时，根据该对应表就可以查询到与该服务器IP地址对应的交换机物理端口。其中，所述交换机的物理端口是指交换机端口的物理地址。当然，本实施例并不限定其它方法来定位流量异常端口。\n在网络安全领域，用于网络监测的粗粒度监测手段也有多种，本实施例是结合使用SNMP技术和NetFlow技术来实现的。SNMP(Simple NetworkManagement Protocol，简单网络管理协议)是一个标准的用于管理IP网络上结点的协议。NetFlow技术通过NetFlow分析器实现，NetFlow分析器是一个基于web的带宽监控工具，NetFlow数据记录中包含了源地址和目的地址，端到端会话所使用的协议等信息。\n结合图2所示，本实施例具体采用的异常端口定位方式如下：\n首先，通过以下方式来维护一张对应表：控制系统24从边界路由器23获取SNMP信息，得到各服务器IP地址和MAC(Media Access Control，介质访问控制)地址的对应表，此表定时刷新，以保持数据准确性；控制系统24从交换机21获取SNMP信息，得到MAC地址和交换机物理端口的对应表，此表定时刷新，以保持数据准确性。将所述两张表整合得到一张服务器IP地址与交换机物理端口的对应表，相应的，此表也定时刷新来保持数据的准确性。当然，本实施例并不限定由其它方法来得到IP地址与交换机物理端口的对应关系。\n其次，控制系统24接收边界路由器23的NetFlow信息，监控各服务器流量的变化，当发现到服务器PC1的流量突增时，通过IP地址和交换机物理端口的对应表，确定出PC1直连在交换机21的端口1上。具体监测方法是：收集所有IP的NetFlow信息，统计出每个IP地址对应的流量；然后分析流量是否异常，如果某个IP的流量出现突增或其它异常现象，则从NetFlow信息中提取出流量异常的IP地址；再根据自己维护的IP地址与交换机物理端口的对应表，查询得到流量异常的IP对应的是物理端口1。\n步骤303，当通过粗粒度监测手段发现流量异常的端口后，启动交换机的镜像功能，自动调整交换机的镜像端口，将流量异常端口的流量镜像到监测设备22所在的端口。\n本实施例采用的是动态调整方式，根据实际流量情况，只在流量异常的情况下才会自动触发交换机的流量镜像功能。所述调整过程是：控制系统24通过命令行的管理页面(如telnet)登录交换机21，下发调整镜像口的命令，该命令实质上是对交换机镜像功能的配置，调整命令包括如下动作：进入交换机的全局配置模式，将流量异常的端口1配置为镜像源，将监测设备22所在的镜像端口配置为镜像目的。通过自动配置，交换机21就会自动按照所述配置信息将端口1的流量复制一份到镜像端口。\n实质上，交换机镜像端口的自动调整是对镜像源的调整，即每次更改镜像源的配置，因为发生流量异常的端口不是固定不变的，而镜像目的通常默认为监测设备固定所在的端口。\n步骤304，完成自动调整后，由镜像端口上的监测设备22通过细粒度监测手段对镜像端口的流量进行分析，得出流量异常的原因。例如，监测设备22通过对服务器PC1的镜像流量分析，确定出PC1正在遭受的攻击类型(如UDP洪水攻击)、攻击源等信息。\n在网络安全领域，用于网络监测的细粒度监测手段也有多种，例如协议分析、统计分析、畸形包检测等方式。其中，所述协议分析是指通过对数据包的协议识别，理解数据包的应用，并与已知的攻击手段的特征对比，从而监测出攻击手段；所述统计分析则是记录一段时间内流量的曲线，建立正常流量的模型，包括流量的大小和流量中各协议的构成等，以此作为发现流量攻击的依据；所述畸形包检测是指验证数据包是否符合正常的应用，是否存在某些可能导致服务器处理异常的不符合RFC(Request for Comments，意即“请求注解”，包含了关于Internet的几乎所有的标准化文献)规定的现象。由于本实施例可使用多种细粒度监测手段，因此关于细粒度监测手段的描述在此不再详述。\n优选步骤305，当通过上述步骤确定出流量异常的端口和异常原因时，还会及时发出报警信息，通知管理人员采取相应的处理措施。\n步骤306，上述过程中，粗粒度监测和细粒度监测方法在并行运行，当由于管理人员采取措施制止流量攻击，或者流量攻击自行结束时，粗粒度监测方式发现原来的异常流量恢复正常，此时，控制系统24会自动取消上述镜像端口调整命令，将交换机恢复到未使用镜像功能的初始状态。此后，还会继续使用粗粒度方式监控各个设备的流量情况。\n上述基于动态调整的流量异常监测方法，尤其适用于高密度的交换环境，因为该方法只有在流量异常的时候才会触发交换机镜像，大部分时间内不会使用交换机的镜像功能，所以不会增加负载而影响交换机的性能。本发明所述方法采用由粗到细的检测流程，保证了高效的前提下，对异常流量的准确定位；而且，通过动态而有针对性地调整镜像端口，避免了将多个端口镜像到一个端口带来的丢包情况；同时，还减少了检测设备的数量，降低了安全设备的投资成本。\n针对上述方法，本发明还提供了一种监测网络流量异常的系统实施例。参照图4，是所述监测网络流量异常的系统结构图。\n所述系统主要包括三个模块，分别是粗粒度监测引擎41、控制中心42和细粒度监测引擎43。其中，粗粒度监测引擎41负责通过粗粒度监测方法定位交换机中流量异常的端口，并报告给控制中心。控制中心42是对整个系统的控制，负责根据粗粒度监测引擎41的触发发出控制命令，自动实现对交换机镜像端口的调整，从而将异常端口流量镜像到镜像端口。细粒度监测引擎43负责对镜像端口流量进行细粒度监测，分析出流量异常的原因。细粒度监测引擎43通常是一台监测设备，连接到交换机的镜像端口上，因此控制中心42发出的调整命令即是将异常端口流量镜像到监测设备所在的端口。\n上述三部分模块从硬件形态上，可以根据实际性能的需要而彼此分离，每部分都作为单独的硬件存在；而在一些对性能要求不高的情况下，也可以部分集成在一个硬件中，或三部分完全集成在一个统一的硬件平台之上。本发明在此对具体的实现形态不做限定。\n下面将以其中的一种实现形态为例进行详细说明。\n本实施例中，所述粗粒度监测引擎41采用的粗粒度监测方法是SNMP技术和NetFlow技术，通过SNMP信息得到交换机相连的设备IP地址和交换机物理端口的对应关系，通过NetFlow信息得到各设备的流量情况。因此，所述粗粒度监测引擎41按照功能划分又包括三个子单元：负责维护对应表的端口管理单元，负责收集流量监控信息的流量收集单元，以及负责流量分析、定位异常端口的监控分析单元。参照图4，所述三个子单元分别对应SNMP收集单元411、NetFlow收集单元412和NetFlow监测单元413。\n其中，SNMP收集单元411负责从交换机相连的路由器获取SNMP信息，得到IP地址和MAC地址的对应表；并从交换机21获取SNMP信息，得到MAC地址和交换机物理端口的对应表；然后将两张表整合得到一张IP地址与交换机物理端口的对应表。SNMP收集单元411在维护这张IP与物理端口对应表的时候，需要定时对该表刷新以保持数据的准确性。\nNetFlow收集单元412负责从交换机相连的路由器获取NetFlow信息，收集所有IP的流量监控信息，并发送给NetFlow监测单元413进行分析处理。所述NetFlow监测单元413负责统计出每个IP地址对应的流量情况，并分别进行监测分析，当发现某个IP的流量出现突增或其它异常现象，则提取出流量异常的IP地址，然后根据SNMP收集单元411维护的对应表，查询确定该IP对应的交换机物理端口。NetFlow监测单元413定位出流量异常的端口后，将异常IP和对应的端口报告给控制中心42。\n控制中心42按照功能划分包括处理单元421和核心控制单元422，所述处理单元421负责接收从粗粒度监测引擎41发来的请求，请求中包含发生流量异常的IP地址和对应的交换机物理端口。所述核心控制单元422负责根据请求，通过命令行的管理页面(如telnet)自动登录交换机21，下发调整镜像口的控制命令，该命令是对交换机镜像功能的配置，即将请求中的流量异常端口配置为镜像源，将细粒度监测引擎43所在的端口配置为镜像目的。这样，交换机被配置成将异常端口的流量复制一份给细粒度监测引擎43。\n细粒度监测引擎43按照功能划分包括原始包接收单元431和异常监测单元432，所述原始包接收单元431负责从镜像端口接收流量数据包，所述异常监测单元432负责对数据包中的镜像流量进行分析监测，采用细粒度手段确定异常原因、流量攻击类型、攻击源等详细信息。如前所述，异常监测单元432可采用的细粒度监测手段有多种，例如协议分析、统计分析、畸形包检测等方式，在此不再详述。\n优选的，细粒度监测引擎43还包括报警单元433，负责根据异常监测单元432的触发向管理人员发出报警信息，通知管理人员采取相应的处理措施。\n上述粗粒度监测引擎41和细粒度监测引擎43是并行运行，即细粒度监测引擎43对镜像流量进行细粒度监测分析的同时，粗粒度监测引擎41还继续对各端口进行粗粒度监测。当粗粒度监测引擎41监测到原来发生异常的端口流量恢复正常时，粗粒度监测引擎41将流量正常的事件报告给控制中心42，由控制中心42自动取消上述镜像端口调整命令，将交换机恢复到未使用镜像功能的初始状态。\n上述监测系统能够根据实际流量情况自动调整交换机的流量镜像功能，将流量异常的端口流量镜像输出给监测设备，尤其适用于高密度的交换环境。\n图4所示系统中未详述的部分可以参见图3所示方法的相关部分，为了篇幅考虑，在此不再详述。\n以上对本发明所提供的一种监测网络流量异常的方法及系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。