通过设备日志分析识别业务流的方法

通过设备日志分析识别业务流的方法

发表时间：2014-11-21T15:30:36.793Z 来源：《价值工程》2014年第4月上旬供稿作者：张建星

[导读] 为了使每台防火墙真正起到安全控制的作用，每台防火墙都要根据实际的访问需求制定出成百上千条安全策略。

Method of Device Log Analysis to Identify the Traffic Flow

张建星ZHANG Jian-xing曰栾俊廷LUAN Jun-ting（中移全通系统集成有限公司，石家庄050021）（China Mobile System Integration Co.，Ltd.，Shijiazhuang 050021，China）

摘要院网络安全在企业信息化中的位置越来越重要，越来越多的网络和系统需要防火墙设备进行安全防护。防火墙设备上的安全策略部署质量的高低，是防火墙设备是否起到安全防护作用的关键。但对于企业网络中众多复杂的各种应用，其数据流向往往比较复杂。本文针对企业网防火墙策略发现问题，提出一种采用网络设备日志分析实现识别业务流的方法，该方法可以低成本、高效率的发现网络中的业务流，进而为防火墙策略的部署提供依据。

Abstract: Network security in the enterprise information is more and more important, and more and more network and systems needfirewall security for security protection. The level of security policy deployment quality is a key for whether the firewall device play the roleof security protection. But for many complex applications in enterprise network, its data flow is often more complicated. According to theproblems of enterprise network firewall policy, this paper proposes a method that using network device log analysis to identify the trafficflow. The method can discovery network traffic with low-cost, high-efficiency, and thus provide the basis for the deployment of firewallpolicy.

关键词院防火墙；网络安全；安全策略Key words: firewall；network security；security policy

中图分类号院TP393 文献标识码院A 文章编号院1006-4311（2014）10-0223-020

引言在企业网络的网络管理及项目建设上，防火墙的应用越来越广泛。在一张网络中部署的防火墙数目小到五六台多则十几台、几十台。为了使每台防火墙真正起到安全控制的作用，每台防火墙都要根据实际的访问需求制定出成百上千条安全策略。每条安全策略都要有针对性的对合法的数据流予以允许通过，对非法的数据流予以拒绝。在网络应用日益复杂的今天，如何对现网数据流进行识别（统计、分析）是摆在工程技术和网络维护人员面前的一个重要课题。

1 目前的识别方法及问题目前，数据流的识别主要采用的技术有Netflow/Sflow和SPAN 技术。

Netflow/Sflow 技术主要是支持该技术的数据节点设备上启用该特性，通过采集服务器到节点设备上采集数据，然后对数据进行分析整理得到网络中的数据流信息。

Netflow/sFlow 技术能对数据网络的通信流量进行详细的行为模式分析和计量，并提供网络运行的详细统计数据。

但是，NetFlow/sFlow 支持情况受设备类型、板卡类型、软件版本、软件授权等条件制约，某些厂商设备甚至需要采购专用硬件。SPAN 技术（镜像抓包）是一种基于被动侦听原理的网络分析方式。使用这种技术，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，可以使用网络监听的方式来进行记录、分析。将网络接口设置在监听模式，可以将网上传输的源源不断的信息截获。但是，这种技术需要把整个数据包的信息都记录下来，包含对于数据流分析基本没有用处的data 信息，这样就需要处理大量的无关信息，分析效率比较低，而且对于已经部署IDS、流量清洗等设备的节点，受到网络端口镜像SESSION 数量的限制，而无法实施。

2 解决办法利用在路由器、交换机、防火墙设备普遍支持的访问控制功能，在设备上部署开放的数据流抓取策略（所谓开放的数据流抓取策略，就是采用允许数据流通过的访问控制列表或策略，以便在不影响现有业务流通过的前提下生成数据流日志），生成表1 所示的数据流向日志（Cisco 设备产生的log 节选）。

由表1 可以发现，每条日志中记录了数据流的协议类型、源ip、源端口、目的ip、目的端口等信息。以上日志信息可以提取如表2 所示的信息。

部署周期内形成的日志文件记录了本时间段内所有数据流访问信息。通过软件工具对日志进行分析、抽取、统计、整理，就可以得到通过某一网络节点的数据流信息。

利用得到的数据流信息，通过甄别、筛选、汇总，就可以形成该节点正常业务流信息，为安全策略的制定、实时维护提供依据。

由于绝大多数厂商（Cisco、Juniper、华为等）的数据网络设备（防火墙、路由器、交换机）都支持这种通过部署开放策略生成数据流向日志的功能，因此，通过该方法可实现对多厂商、异构数据网络数据流识别。

此方法相比Netflow、SPAN 等数据流分析技术，特点是支持设备更广泛、部署位置灵活，无需改变现网结构，实现容易、成本低，并支持海量数据的分析整理。

3 具体实施方案淤确定数据流分析方案。获取数据流分析需求，根据需求选择开放策略所部属的网络节点部署位置，同时编写开放的访问控制策略。

于部署开放控制策略并采集日志。在数据网络的节点上部署开放的安全策略，数据流流经该节点就可以生成数据访问日志。日志采集服务器负责收集节点生成的日志，并按照预定格式生成日志文件。

盂从日志文件中分析数据流。日志分析程序从日志文件中分析数据流的协议、源目的IP、端口等信息，以及节点的位置。由于每种设备的日志格式各不相同，并且中间可能夹杂其他无关冗余的日志信息，这就要求关键信息的提取既要准确又要快速，以便适应大数据量的计算。另外，客户端发起源端口是可变的，能够根据服务端的端口识别数据流，并能够准确分析、剔除重复数据，进而统计出准确的数据流信息，并生成数据流结果文件。

本方法可对现网中的业务流进行有效的分析，并能根据所得的结果生成合适的安全策略，而且对数据网中的节点设备要求较低，无需支持Netflow/sFlow 等高级特性。

笔者在实际工程中，采用本方法和自主软件，搜集并分析了上百GB 的日志文件，并把得到的结果运用在实际的网络安全项目中的多种类型的防火墙的策略部署工作中，大大提高了工作效率和准确性，对今后实施此类工程中的安全策略部署具有极强的指导和借鉴意义。

4 结论本文分析了在企业网络中采用网络设备日志分析，实现识别业务数据流的方法，并为制定满足系统防护需求的防火墙安全策略提供了一套切实可行的方案。在企业信息化系统中部署和维护防火墙策略的过程中，可以借鉴和参考。

参考文献院[1]乔辉.浅谈多重异构防火墙网络环境下的安全策略管理[J].中国电子商务，2012(2).[2]王健援浅议计算机网络安全策略[J]援科技情报开发与经济援2006，16援[3]鲁海龙，刘淑芬，吴瑶睿等援企业网络安全关键技术研究[J]援微计算机信息，2009(12)：43-45援作者简介院张建星（1973-），男，河北宁晋人，硕士，研究方向为数据网络通信。