[发明专利]一种网络业务互联与流量采集分析记录系统

权利要求书

1.一种网络业务互联与流量采集分析记录系统，包括接收数据源（1）的流量采集层（2）、业务层（3）、应用层（4）和基于模块化设计的分析记录系统（5），所述流量采集层（2）、所述业务层（3）和所述应用层（4）通过网络连接；

所述流量采集层（2）用于采集数据源（1）所产生得到原始流量数据，并进行流量重组、会话重组、应用重组、协议分析和策略匹配；

所述业务层（3）用于流量采集层（2）采集到的流量数据的计算和存储，其采用大数据架构上的流事件处理、系统存储和实时事件流的分析，基于实时分析、关联分析、深度学习、事件聚合引擎对实时事件流进行分析，并通过REDIS、HBASE和HDFS技术处理流事件处理所需的存储；

所述应用层（4）包括业务互联监控、境内外互联监控、业务安全分析、设备拓扑、安全域拓扑分析、可疑设备分析、互联统计、木马通道监控、黑白灰名单管理、角色管理、日志管理、采集引擎管理和接口管理。

2.根据权利要求1所述一种网络业务互联与流量采集分析记录系统，其特征在于：所述分析记录系统（5）包括事件监控模块（5a）、流量监控模块（5b）、病毒监控模块（5c）、僵尸网络监控模块（5d）、设备互联模块（5e）、统计报表模块（5f）、配置管理模块（5g）和系统管理模块（5h）。

3.根据权利要求2所述一种网络业务互联与流量采集分析记录系统，其特征在于：所述事件监控模块（5a）用于监控系统流量中的异常流量，还原事件名称、发生时间、所在引擎IP、源IP、目的IP和源端口目的端口，并最终以表格的形式展示网络中发生的安全事件；所述事件监控模块（5a）还用于事件的条件查询、导出和查看详细信息；

所述流量监控模块（5b）用于从互联流量和互联频次两方面做信息采集和统计分析；

所述病毒监控模块（5c）用于实时监测蠕虫病毒、勒索病毒和木马后门传输程序，同时绘制指定时间段内对应病毒的传播轨迹；

所述僵尸网络监控模块（5d）用于使用僵尸网络通信特征检测及随机域名检测技术，检测网络访问僵尸网络控制端的行为，以提前发现APT攻击或隐蔽性高、危害性大的僵尸网络，从而定位僵尸网络客户端；

所述设备互联模块（5e）由设备互联查询子模块、设备关系拓扑子模块、业务互联拓扑子模块和设备活跃度子模块组成；所述设备互联查询子模块用于将流量数据与黑名单或白名单进行比对，得出黑名单或白名单的互联数据；所述设备关系拓扑子模块用于展示网络的拓扑结构；所述业务互联拓扑子模块用于显示流量数据在各个业务系统直接的交互关系；所述设备活跃度子模块用于根据设备的主动连接次数、被动连接次数，以冒泡图的形式进行设备活跃情况的展示；

所述统计报表模块（5f）用于对设备智能发现情况、流量各协议占比情况、活跃主机排行、违规内容发现情况及安全事件进行统计；

所述配置管理模块（5g）用于管理所述分析记录系统（5）运行的基础配置，包括引擎管理、封堵配置、时间策略、Syslog上报配置、样本文件上报配置、特征库升级配置、自定义特征、Pcap包留存配置、Pcap包下载、资产管理和非法外联；

所述系统管理模块（5h）用于对登录用户、登录角色、密码安全策略、设置用户唯一性检查、登录超时时间、最大在线用户数以及登录安全进行设置。

4.根据权利要求1所述一种网络业务互联与流量采集分析记录系统，其特征在于：所述数据源（1）的数据来源为汇聚交换机、接入交换机和核心交换机。