[发明专利]一种基于sflow的防火墙流量检测方法、系统、设备及介质

说明书

本发明提出一种基于sflow的防火墙流量检测方法、系统、设备及介质，首先将内嵌于交换机或者路由器等转发设备的sFlow Agent通过特定的采样技术获取网络设备上的流量转发统计并实时地通过sFlow数据报文发送到sFlow Collector以供sFlow Collector进行分析，将防火墙作为sFlow Collector，对sFlow Agent采样收集的sflow报文进行安全审计；本发明防火墙审计防护的都是sflow采样报文，相比于通过镜像的方式审计所有流量，防火墙性能的消耗有了极大的改善，通过采样比的方式对sflow agent发送的报文进行按比例采样，提升了防火墙旁路部署审计流量的效率。

技术领域

本发明涉及网络安全领域，具体地说，涉及一种基于sflow的防火墙流量检测方法、系统、设备及介质。

背景技术

防火墙旁路部署在网络的核心设备侧审计流量时，因为防火墙只能接受对端设备通过镜像的方式将其接口收发方向的所有流量全部发送到防火墙上，防火墙才可以进行该网络中经过的所有外网流量进行安全审计。但是这样就会经常发生现网流量太大，导致防火墙的性能消耗巨大，很多低规格低性能的防火墙无法承载大流量的场景，只能购买更高规格的防火墙才可以负载大型流量场景的流量审计工作，这个问题如果不解决，就会对防火墙本身的CPU、内存等性能资源造成极大的浪费，需要不断地提升防火墙的性能规格才能不断满足复杂庞大的流量场景。

现有防火墙旁路模式部署下，审计分析流量时只能通过镜像的方式获取对端设备流量，只能全量分析镜像过来的所有流量，对防火墙本身的性能消耗巨大以及分析流量的效率也是极低的，存在技术局限性带来的性能瓶颈问题，防火墙如果只支持镜像这种把对端核心流量完全复制过来进行安全审计的方法，那对防火墙自身的性能消耗浪费是一个很严峻的问题，但是如果可以采用按照一定的采样比例对庞大的流量进行随机采样的方式进行流量审计，这样既可以保证对现网流量进行安全审计，又可以降低对防火墙性能的消耗。因为流量小了，对防火墙的吞吐性能、CPU以及内存的消耗就会小很多，这样防火墙就可以多承载一些其他的安全防护功能。但是目前防火墙上没有实现基于sflow流量分析技术去分析流量的方法。

发明内容

本发明针对现有的防火墙只能通过镜像的方式获取对端设备的流量，对防火墙本身的性能消耗巨大以及分析流量的效率极低的问题，提出一种基于sflow的防火墙流量检测方法、系统、设备及介质，首先将内嵌于交换机或者路由器等转发设备的sFlow Agent通过sFlow采样技术获取网络设备上的流量转发统计并实时地通过sFlow数据报文发送到sFlow Collector以供sFlow Collector进行分析，然后将防火墙作为sFlow Collector，对sFlow Agent采样收集的sflow报文进行安全审计；防火墙只审计防护sflow采样报文，相比于通过镜像的方式审计所有流量，极大地改善了防火墙性能消耗，提升了防火墙旁路部署审计流量的效率。

本发明具体实现内容如下：

一种基于sflow的防火墙流量检测方法，包括以下步骤：

步骤1：内嵌于转发设备的sFlow Agent对流经网络设备的数据包进行周期性采样，得到网络信息，并将网络信息按照固定的格式发送至sFlow Collector；

sFlow系统包含一个嵌入在设备中的sFlow Agent和远端的sFlow Collector。其中，sFlow Agent通过sFlow采样获取本设备上的接口统计信息和数据信息，将信息封装成sFlow报文，sFlow Agent会将sFlow报文发送到指定的sFlow Collector；

所述sFlow采样的采样方式为随机采样，将每一个接口处理的报文设定一个范围为0～N的随机值，设置一个阈值n，n∈[0,N]，当报文的随机值小于这个阈值时，报文采样。