[发明专利]一种基于openflow的流深度关联分析方法及系统

说明书

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种基于openflow的流深度关联分析方法及系统。

背景技术

传统网络中的数据分析方法有基于包抽样、基于连接和基于NetFlow等，具体如下：(1)基于包抽样的方法。该方法依据一定的算法对数据链路上所传输的包进行采样，抽取一部分包进行分析。(2)基于连接的方法。该方法将链路上的包按流进行重组，并记录连接的状态，进而对各个连接进行分析。(3)基于NetFlow的方法。该方法通过Cisco的NetFlow协议，将各链路上的流信息汇总到服务器，然后进行分析。

然而上述数据分析方法存在如下功能上的缺陷：(1)传统网络数据分析方法中的包抽样方法粒度较粗，可能会漏掉网络中的关键异常行为。(2)基于连接的方法负载太重，无法应用于高速网络中。(3)由于NetFlow没有保存数据链路层的信息、连接状态信息和用户信息等，基于NetFlow的方法无法提供相关的分析结果，不能满足对网络流量多种维度的分析要求，尤其是无法满足安全事件行为分析的场景。

发明内容

针对现有技术不能满足对网络流量多种维度的分析要求，尤其是无法满足安全事件行为分析的的缺陷，本发明提供了一种基于openflow的流深度关联分析方法及系统。

第一方面，本发明提供了一种基于openflow的流深度关联分析方法，该方法包括：

openflow流采集器将接收的数据包按照流进行记录，对所述流信息进行压缩，并将压缩后的流信息发送至流分析控制器；

流分析控制器根据连接状态，对接收到的流信息进行整合；

流分析控制器从多个维度对整合后的流信息进行分析，得到分析结果；

将所述分析结果与预设阈值进行比较，若所述分析结果超过预设阈值，则发出警告，并生成报表。

优选地，所述openflow流采集器将接收的数据包按照流进行记录，包括：

openflow流采集器将接收的数据包按照流进行记录，并根据流的协议在所述流中加入不同的信息；

其中，所述信息包括：时间、包数量、字节数、持续时间、物理服务器IP地址、源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、流的方向、VLAN Tag、TCP Flags和Ethernet Type。

优选地，所述流分析控制器根据连接状态，对接收到的流信息进行整合，包括：

流分析控制器将同一个流的数据进行合并，并根据连接状态，将同一连接的不同流进行合并。

优选地，所述流分析控制器从多个维度对整合后的流信息进行分析，得到分析结果，包括：

流分析控制器读取租户信息及整合后的流信息，根据MAC地址将流映射到租户，并针对不同的应用进行分析；

流分析控制器从包括资源、时间、端口及协议的多个维度对流信息进行统计，得到预设时间段内TCP半开连接的数量，同一IP地址所连接的IP地址的数量，同一IP地址所连接的端口的数量，同一MAC地址所发送的ARP包的数量，以及同一虚拟机所发送和接收的字节数。

优选地，所述流分析控制器从多个维度对整合后的流信息进行分析，得到分析结果的步骤后，所述方法还包括：

将所述分析结果保存至数据库中；

从所述数据库中读取所述分析结果，并将所述分析结果通过呈现界面展现出来。

第二方面，本发明提供了一种基于openflow的流深度关联分析系统，该系统包括：流分析控制器及至少一个openflow流采集器；

openflow流采集器，与所述流分析控制器连接，用于将接收的数据包按照流进行记录，对所述流信息进行压缩，并将压缩后的流信息发送至流分析控制器；

流分析控制器，用于根据连接状态，对接收到的流信息进行整合；从多个维度对整合后的流信息进行分析，得到分析结果；将所述分析结果与预设阈值进行比较，若所述分析结果超过预设阈值，则发出警告，并生成报表。

优选地，所述openflow流采集器包括内核模块及用户空间模块，其中：

内核模块，用于将接收的数据包按照流进行记录并根据流的协议在所述流中加入不同的信息；

其中，所述信息包括：时间、包数量、字节数、持续时间、物理服务器IP地址、源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、流的方向、VLAN Tag、TCP Flags和Ethernet Type；

用户空间模块，用于将内核模块中的流复制到用户空间，并对所述流进行压缩。