[发明专利]一种基于SFLOW和OWAMP的网络安全态势信息获取系统及方法

说明书

本发明属于网络安全态势感知领域，具体涉及一种基于SFLOW和OWAMP的网络安全态势信息获取系统及方法。本发明包括：管理控制模块包含端点管理模块、任务配置模块和任务分发模块：数据预处理模块负责对数据采集模块采集到的SFLOW数据信息和OWAMP数据信息进行数据标准化处理，去除不同节点采集到的冗余信息，数据预处理后存储到数据处理中心；可视化模块负责将来自性能评估模块产生的评估信息以图形化的形式展示给用户。会话发起端和会话接收端之间的会话采用HMAC加密，而且采用NTP时钟同步协议，在安全性和时效性方面具有巨大优势；测量方式和基于往返的测量方式相比，减少了往返时延。

技术领域

本发明属于网络安全态势感知领域，具体涉及一种基于SFLOW和OWAMP的网络安全态势信息获取系统及方法。

背景技术

以虚拟专用网(VPN)、实时视频服务、语音服务等为主题的新型网络应用

方式，使用户的关注焦点从传统数据应用转向了网络的安全性。所以当前的网络安全需求，要求能够高效实时的获取网络中的数据信息，且不对网络设备和网络运行状况造成较大的影响，能够有效的分析网络数据中蕴含的各种安全事件信息并进行评估，提供受控网络的全局运行状态信息，提高系统对整个网络的认知和理解能力，及时将网络的各种数据信息交给网络安全管理人员处理，并迅速生成网络安全性能评估信息呈献给用户。

目前，网络安全态势的数据信息，可以通过SNMP、SFLOW、NETFLOW等方法进行采集，然而这些测量方法有个共同的缺陷是被动测量，及需要对采集的数据进行处理后才能生成相应的网络安全性能评估。于是，本专利提出将SFLOW和OWAMP(One-Way ActiveMeasurement Protocol)相结合的方法，实现主动的测量。

SFLOW技术可以获得链路层、网络层和传输层的完整信息以及全网流量信息，包括了源、目的IP地址、源、目的端口号、协议类型等丰富的信息，能够实时反映当前网络中的安全状态、用户的网络行为等信息。而且，SFLOW的“永远在线”、“全网监控”，以及SFLOW代理不直接对获取的数据信息进行处理和存储，使得它不会影响网络设备和网络通讯的性能的特点，使其在网络安全态势信息获取中具有巨大优势。但是，SFLOW采集不到诸如端到端时延、带宽、抖动等网络性能方面的数据信息，而这方面是OWAMP协议的优势。

OWAMP是端到端的主动测量协议(RFC 4656)，它的出现使单向的IP高精度测量在广泛可用的时钟资源下成为了可能。在因特网中，从源地址到目的地址通常与同一个目的地址到源地址所经过的路径不同，即所谓的“非对称路径”，在非对称路径上的网络性能也不一样。即使2条路径是对称的，也会因不对称的数据包队列而产生不同的性能特征。OWAMP是对IPPM(IP Performance Metrics)协议制定的关于网络性能的各项参数进行优化和扩展。

发明内容

本发明的目的在于提供一种能在大规模网络环境下，对于网络运行过程中的状态信息以及性能指标能够主动测量的基于SFLOW和OWAMP网络安全态势信息获取系统。本发明的目的还在于提供一种基于SFLOW和OWAMP网络安全态势获取方法。

本发明的目的是这样实现的：

一种基于SFLOW和OWAMP的网络安全态势信息获取系统：

管理控制模块包含端点管理模块、任务配置模块和任务分发模块：

端点管理模块负责记录、处理来自任务配置模块和任务分发模块的执行情况，以及来自会话发起端和会话接收端数据包的异常信息，并对会话发起端和会话接收端、数据管理中心、各个网络设备进行动态配置和管理；

任务配置模块接收来自用户的采集任务命令，根据用户需求配置采集任务参数，并将配置好的采集任务交给任务分发模块；