网络使用数据对于很多重要的商业功能而言是有用的，诸如订户计费、营销和客户关怀、产品开发、网络操作管理、网络和系统能力规划以及安全性。网络使用数据不包括在各方之间的通信会话中交换的实际信息，而是包括多个称为“流记录”的使用明细记录，其包含一种或多种类型的元数据(即，“关于数据的数据”)。已知的网络流记录协议包括或者在此使用的“流记录”被定义为在一段时间期间共享共用资源和目的地参数的IP分组的流对单向网络使用的小测量单元。
包括在每个流记录内的元数据的类型基于服务和网络的类型而变化，并且在某些情况下，基于提供流记录的特定网络设备而变化。通常，流记录提供与各方之间的特定事件或者通信连接有关的详细使用信息，诸如连接开始时间和停止时间、所传送数据的源(或者发起者)、数据的目的地或者接收者以及传送的数据量。流记录概括非常短的时段(从几毫秒到几秒，偶尔是几分钟)内的使用信息。根据涉及的服务和网络的类型，流记录还可以包括与传输协议、传输数据的类型、所提供的服务类型(ToS)等有关的信息。在电话网络中，组成使用信息的流记录称为呼叫明细记录(CDR)。
在网络监测中，收集、存储和分析网络流记录以产生有意义的结果。网络使用分析系统对这些流记录进行处理，并且生成支持各种业务功能的报告或者综合数据文件。网络使用分析系统提供与网络服务如何使用以及由谁使用有关的信息。网络使用分析系统还可以用于标识(或者预测)与客户满意度相关的问题，诸如由网络拥塞和网络安全滥用而引起的那些问题。在一个示例中，可以监测基于订户使用行为的网络利用和性能，以跟踪用户体验，预测将来的网络能力，或者标识指示网络滥用、诈骗和盗窃的使用行为。
在计算机安全中，访问控制列表(ACL)是附加到对象的许可的列表。更具体地，在联网中，ACL是指详述业务过滤规则的规则列表。ACL可以许可或者拒绝通过网络设备的业务。仅路由器和防火墙可以具有网络ACL。访问控制列表通常可以配置用于控制入站业务和出站业务二者。
ACL是通过限制去往和来自不期望的地址和/或端口的用户和设备访问来控制网络业务的一种方式。ACL通过通常在路由器接口处控制是否转发或者阻止路由的分组，来过滤网络业务，但是其他设备可以过滤分组。在访问列表内指定的标准的基础上，路由器检查每个分组以确定是否转发或者丢弃该分组。访问控制列表标准可以是业务的源地址或者业务的目的地地址、目标端口或者协议或者其中某些组合。通常，网际协议(IP)地址充当源设备在基于IP的网络中的标识符。访问控制列表基于网络内该IP标识符而允许差异化访问。
虽然ACL提供了有利的功能，但是建立ACL可能是费力的。特别地，ACL当前人工编程的。另外，选择IP地址以放置在ACL上可能是任意和不可预测的。
特别地，多种自治或者企业IP网络是大型、复杂和动态的，使得其难于管理。网络管理任务(诸如，监测网络中的业务、分析网络的性能或者重新配置网络以便改进性能)需要关于网络的信息。然而，因为大型IP网络是高度动态的，所以难以获得针对多种网络管理任务而言有用的信息。考虑到，大型IP网络可能具有数以万计的节点和数以百计的路由器和网关。大型公司网络可能具有300,000个节点和2,500个路由器。路由器、网关、交换机和其他设备时常发生故障、离线或者恢复使用。链路通常发生故障、恢复使用或者性能下降。例如，微波或者卫星链路可能经历减少其带宽的干扰。用于在大型IP网络中路由业务的诸如OSPF和BGP的协议是动态的，并且大型网络中的路由路径随着网络中状态的改变而改变。即使是相对稳定的网络，到达路由收敛的状态也会花费较长的时间。按照设计，IP网络上的两台计算机之间的通信路径在其之间的单个连接期间甚至也可能改变。鉴于这些因素以及以下讨论的其他因素，网络管理工具获得随着时间描绘网络的稍微完整和精确的网络图片的信息是很困难的。
网络复杂度使得管理网络较昂贵，因为其需要熟练的人工操作员的手动干预。大型IP网络的配置和管理难于自动化。对于密切的人工监管的这一需要导致很多操作员采取保守策略，即，倾向于网络稳定性而不是为优化网络性能进行频繁的重新配置。由此，网络管理领域的另一问题在于：IP网络将次优的网络配置保持得超过需要的时间，导致昂贵带宽容量的低效使用，以及与以其他可能方式相比的更高潜在通信延迟。用于自动化管理和配置的工具还没有广泛采用。
虽然确实存在用于网络管理(包括监测和维护ACL)的工具，但是这些工具是不成熟的而且具有很多缺陷。多数网络管理工具仅发现和轮询活跃的网络设备以生成包含图、计数值、平均、高业务区域等的报告。当前的工具倾向于忽略网络行为的全局动态，致力于集中统一从个体网络设备本地获得的可能冲突的数据。当前的工具没有使操作员执行各种可能有用的任务较为容易，可能有用的任务诸如，发现特定业务组采用的通过网络的路径，调查网络在‘如果-将会怎样’场景中的行为，在发生故障和恢复时监测网络的演变，或者在网络业务涉及特定应用或者服务时对其进行分析等。
如上所述，曾经尝试在个体用户计算机处测量网络业务，但是主机业务数据在范围内受到限制，并且通常无法显示涉及沿IP网络中特定路径的业务流的信息。主机或者终端系统网络测量不提供关于网络拓扑的有用信息。还存在于诸如路由器和交换机的网络设备处聚集IP业务数据的工具，诸如来自Cisco Systems的然而，已经证明，这些方法由于多种原因是不充分的，这些原因诸如不透明(例如，加密的、隧道式)业务、复杂的应用通信模式、采样假象、由监测引入路由器上的负载等。
另外，已知的用于标识病毒的技术是受限的。已知的技术通常寻找病毒的次生效应，诸如监测网络资源使用和标识请求反常的大量网络资源的应用。然而，可能难于区分病毒和需要大量网络资源的合法应用。而且，病毒正变得更加智能以避免检测。例如，病毒可能在系统中潜伏一段时间，等待信号来发作。例如，恶意病毒会潜伏直到获得保密数据。由此，在病毒等待动作时是难以检测的，因为其产生极小的副作用。

响应于这些以及其他需要，本发明的实施方式提供了一种用于使用从网络路由器导出的网络流记录来提供关于进入/离开设备的业务的信息的系统和方法。网络路由器可以配置用于授权或者拒绝经由该路由器传送业务的两个网络设备之间的各种类型的网络业务。所提出的方法描述了根据从由网络路由器导出的网络流信息衍生的信息而创建和应用路由器上的访问控制列表。
一种系统提供了对网络的动态控制，该系统包括：流记录存储，配置用于从网络接收流记录以及聚集该流记录；数据分析工具，配置用于接收聚集的流记录以及根据预定义的标准来分析聚集的流记录，以标识一个或多个网络地址和端口；以及网络设备，配置用于接收所标识的网络地址，以及将所标识的网络地址和端口向访问控制列表添加。可选地，该系统进一步包括访问控制列表存储，可选地配置用于存储所标识的网络地址和端口，以及将所标识的网络地址向网络设备提供。可选地，每个流记录包括源地址，并且根据源地址来聚集流记录。在其他方面，流记录包括每个相关联的流中传输的字节大小，以及预定义的标准包括在针对每个源地址的相关联流中传输的字节总数。可选地，数据输入设备接收来自用户的输入以定义预定义的标准。
可以通过从部件接收关于网络上业务的流记录来监测网络中的部件。可选地接收定义访问控制标准的数据，并且使用访问控制标准来分析流记录。标识满足访问控制标准的目标和源网络地址或范围和/或目标和源端口，并且将其向用户呈现。用户可以审阅所标识的地址或范围和/或端口，然后选择将其向网络部件之一转发。如果发送，则部件将标识的网络地址和/或端口添加到相关联的访问控制列表中，其中访问控制列表阻止业务到达所标识的网络地址和/或端口。可选地，每个访问控制列表的时段可以设置为允许移除自动输入的ACL条目。
以这种方式，ACL是应用在路由器或者防火墙中的业务过滤规则。存在两种ACL：标准ACL，其仅通过源IP地址来阻止或者允许业务；和扩展ACL，其通过源和目的地IP地址以及源和目的地端口来阻止。因此，本申请的实施方式包括存储所标识的地址或端口。
在用于动态控制网络业务的系统中，该系统包括：流生成设备，配置用于访问存储系统以提供流记录；流记录存储系统，配置用于接收并且存储流记录；以及数据分析设备，配置用于访问存储系统以及根据预定义的标准来评定所存储的流记录。如果这些流记录满足预定义的标准，则可以将地址/端口向审阅和批准的用户转发，以将其向ACL添加。为了辅助用户，还可以向用户显示与所标识的地址/端口相关联的流记录数据。
在另一实施方式中，此处所公开的技术描述了一种用于评估ACL中的地址/端口的方法。具体地，可以根据预定义的标准来评估与ACL中的地址/端口相关联的流记录。如果那些流记录满足预定义的标准，则可以将地址/端口向审阅和批准的用户转发，以在ACL中对其进行更新。否则，如果那些流记录不满足预定义的标准，则可以将地址/端口向审阅和批准的用户转发，以将其从ACL中移除。
附图说明
从结合附图的以下详细描述，本发明的特定示例性实施方式的上述以及其他目的、特征和优点将变得更为明显，其中：
图1A绘出了根据本发明网络的实施方式的示例性网络；
图1B(现有技术)绘出了已知的流记录分析系统；
图2(现有技术)绘出了已知的示例性流记录；
图3绘出了根据本发明的实施方式的、用于存储流记录的已知示例性表；
图4绘出了根据本发明的实施方式的、用于存储聚集的流记录的示例性表；
图5绘出了根据本发明的实施方式的、用于使用流数据来创建ACL的系统；
图6是说明根据本发明的实施方式的网络节点、访问控制系统和流记录存储系统之间的通信的服务流程图；以及
图7是绘出根据本发明的实施方式的、用于使用流记录来创建ACL的方法中的步骤的流程图。

图1A中绘出了根据本发明的实施方式的网络100，其中示出了根据一个实施方式说明本发明的网络视图的框图。如图所示，客户端设备108a-108n通过联网结构112耦合至服务器110a-110n，该联网结构112包括多个彼此耦合形成多个网络链路的路由设备106a-106n。客户端设备108a-108n经由路由设备106a-106n，或者更具体地，通过由路由设备106a-106n形成的网络链路，选择性地访问服务器110a-110n用于服务。遗憾的是，如本领域技术人员理解的，使得服务器110a-110n可容易地由客户端设备108a-108n访问的相同网络链路也使其易于受到一个或多个客户端设备108a-108n的滥用或者误用的攻击。例如，一个或多个客户端设备108a-108n可以单独或者联合发起攻击，诸如拒绝服务攻击，或者以其他方式使一个或多个服务器110a-110n、路由设备106a-106n和/或将元件互连的链路受害。根据本发明，采用由多个感测器104a-104n补充的导控器(director)102来检测和防止网络链路的此类滥用或者误用，以下进行更为全面的描述。针对示出的实施方式，将感测器104a-104n安置在分布的位置中。在备选的实施方式中，感测器104a-104n中的一些或者全部可以与路由设备106a-106n整体地安置。
网络112表示广泛的专用以及公用网络或者互连的网络，诸如跨国公司的企业网络或者因特网。诸如客户端108a-108n和服务器110a-110n的联网节点表示本领域已知的各种此类元件，包括个人用户机器、电子商务站点等。如上所述，路由设备106a-106n表示广泛的网络通信(trafficking)设备，包括但不限于传统的路由器、交换机、网关、集线器等。
虽然为了便于理解，附图中仅包括一个导控器102和少量网络节点、客户端108a-108n和服务器110a-110n、路由设备106a-106n和感测器104a-104n的每一个，但是根据以下描述，本领域技术人员将理解，本发明可以利用不止一个导控器102以及更多或更少的网络节点、路由设备106a-106n和感测器104a-104n来实现。特别地，本发明还可以利用一个或者多个导控器102来实现。当采用不止一个导控器102时，可以指派每个导控器102负责感测器104a-104n的子集，并且导控器102可以按照主/从关系彼此相关，导控器102之一充当“主”导控器(而其他的充当“从”导控器)，或者彼此对等或者组织到层级中，以共同承担以下描述的职责。
以下更加详细地描述导控器102的操作，并且导控器102包括流数据连接系统和访问控制设备，下文详述。
如图1B所示，在一个实施方式中，已知的网络使用分析系统111包括数据收集系统服务器130和数据存储系统140。数据收集系统服务器130也称为监听器，它是从所有各种网络代理120收集流数据报190以供存储和分析的中央服务器。数据收集系统服务器130从流记录生成设备120接收流记录190，该流记录生成设备120是作为IP网络114一部分的网络设备。在一个实施方式中，网络114包括因特网115。
通常，流记录生成设备120基本上可以包括能够以“线速度”处理未加工的网络业务并且根据该业务生成流记录的任何网络设备。示例性的流记录生成设备120包括路由器、交换机和网关，并且某些情况下，可以包括应用服务器、系统和网络探测器。在多数情况下，由流记录生成设备120生成的小流记录作为去往数据收集系统服务器130的流记录190的流而被导出。
各种网络协议在网络设备上运行，用于收集网络和网际协议业务信息。通常，诸如路由器的各种网络代理120具有能够生成流记录的流特征。流记录190通常在用户数据报协议(UDP)或者流控制传输协议(SCTP)分组中从网络代理120导出，并且使用流收集器来收集。更多信息请参考http://www.ietf.org/html.charters/ipfix-charter.html处的针对网际协议流信息输出(IPFIX)的因特网工程任务组(IETF)标准。
如上所述，流记录190通常由网络代理120经由UDP或者SCTP来发送，并且出于效率的原因，网络代理120在流记录一旦导出之后不会对其进行存储。利用UDP流，如果由于网络代理120与数据收集服务器130之间的网络拥塞而丢弃了流记录190，其可能会永久性丢失，因为网络代理120无法重发流记录190。还可以以每个接口为基础来支持流，以避免给路由器的处理器造成不必要的负荷。由此，流记录190通常基于对接口的分组输入，其中使其能够避免重复计数并且节省网络代理120的工作。同样，网络代理120可以导出丢弃分组的流记录。
已经通过多种方式定义了网络流。在一个实现中，流包括五元组：用以定义源IP地址、目的地IP地址、源TCP端口、目的地TCP端口和IP协议的分组的单向序列。通常，网络代理120将在其确定流结束时输出流记录。网络代理120通过“流计龄(aging)”来进行，其中当网络代理120观察到已有流的新业务时，网络代理120重置计龄计数器。而且，TCP流中的TCP会话终结将导致网络代理120终止该流。网络代理120还可以配置用于以固定间隔输出流记录，即使在该流仍然在进行时也是如此。备选地，管理员可以定义网络代理120的流特性。
流记录190可以包含与给定流中的业务有关的多种信息。示例性的流记录200包含以下值，如图2中定义的。具体地，典型的流记录200可以包括版本号210用以标识正在使用的流的类型。序列号220标识该流记录。
继续参考图2，输入和输出接口简单网络管理协议(SNMP)索引230可以用于通过SNMP来动态标识网络设备。SNMP由网络管理系统用于针对保证管理注意力的状况而监测网络附接的设备，并且包括用于网络管理的一组标准，包括应用层协议、数据库方案和数据对象集合。SNMP在所管理的系统上以变量的形式显露管理数据，其描述了系统配置。继而然后可以通过管理应用来查询(以及有时来设置)这些变量。每当添加或者移除插槽硬件时，模块化设备可以对其SNMP索引重新编号。索引值通常在启动时间指派，并且直到下一次重新启动之前保持固定。
继续参考图2，每个流记录200通常还包括与数据传输有关的信息，包括开始时间和结束时间的时间戳240。与数据传输有关的其他信息包括流中的字节和/或分组的数目的信息250。流记录200中还可以包括数据传送的条件，诸如描述源和目的地地址、源和目的地地址端口号、传输协议和服务类型(ToS)的报头数据260。对于传输控制协议(TCP)来说，流记录200还可以指示流期间的所有TCP标志的并集。如根据TCP所公知的，数据传输例如通过确认标志(ACK)配对来包括一系列通信确认。TCP标志的不平衡意味着消息故障，即消息被发送但却始终无法被接收到。
UDP传送机制缺乏可靠性不会显著影响从采样流获得的测量准确度。例如，如果流样本丢失，则在下一轮询间隔消逝时，将发送新的值。以这种方式，分组流样本的丢失略微减小了有效采样率。当使用采样时，UDP净荷包含采样的流数据报。由此，每个数据报提供诸如流版本、其发起代理的IP地址、序列号、其包含多少样本以及流样本的信息，而不是包括整个流记录190。
继续参考图1B，数据收集系统服务器130经由通信链路170从流记录生成设备120接收流式传输的流记录190。在一个实施方式中，流记录生成设备120可以包括在网络114内。在另一实施方式中，流记录生成设备120可以实现在物理上与网络114分离的位置，但功能上与网络114耦合。虽然图1将流记录生成设备120示为与数据收集系统服务器130分开，但是在另一实施方式中，其可以是数据分析系统服务器130的一部分。
数据分析系统服务器150访问和使用流记录190，以执行预定的网络使用统计分析。一般地，数据分析系统服务器150实现被定义用于解决一个或多个网络使用相关问题(诸如网络拥塞、网络安全滥用、诈骗和盗窃等)的各种统计模型。数据分析系统服务器150使用流记录190和统计模型来生成统计结果，其随后也可以存储在数据存储系统140内。用于存储统计结果的示例性实施方式将在下文详述。通过分析流数据，数据分析系统服务器150可以建立网络中的业务流和业务量的快照。数据分析系统150的应用将在下文详述。
在一个方面，数据分析系统服务器150可以响应于用户接口160，以用于对流记录190的交互分析。用户接口160基本上可以包括本领域已知的任何输入/输出设备，诸如键盘、鼠标、触摸板、显示器屏幕等。在一个示例中，可以将统计结果的图形显示输出至用户接口160处的显示器屏幕。
在一个实施方式中，数据分析系统服务器150包括计算机软件程序，其在一个或多个计算机或者服务器上可执行，用于根据本发明的各种实施方式来分析网络使用数据。虽然数据存储系统140被示出为在数据收集系统服务器130和/或数据分析系统服务器150外部，但是数据存储系统140可以备选地布置在服务器130或服务器150之内。数据存储系统140基本上可以包括本领域已知的任何易失性存储器(例如，RAM)和/或非易失性存储器(例如，硬盘驱动器或者其他持久存储设备)。
现在参考图3，其给出了一种用于在存储设备140中存储多个流记录200的示例性表300。特别地，所绘出的表300包括为n个接收到的流记录200中的每一个指派流记录标识符310的列。表300还包括：包含每个接收的流记录200的IP源地址320的列，包含每个接收的流记录200的时间戳330的列，以及包含流中与接收的流记录200相关联的字节大小340的列。
在图3的示例中，示例性流表300包括描述7个流的7个流记录，如流记录标识符310指示。在该特定的示例中，7个流在3个唯一的源地址320处发起。例如，流记录1、2、4和7都从相同的源发起。虽然没有绘出，但是示例性流表300可以类似地包括流记录200的其他方面，如以上在图2中所述，诸如目的地位置、QoS、传输协议等。继续参考图3中的示例性流表300，时间戳值330指示与每个流相关联的时间，而字节大小值340指示与列310中标识的所列出的流记录1-7相关联的每个流的大小。
现在参考图4，根据源IP地址420将示例性流数据表300中的数据聚集在聚集的流表400中。通常，聚集在一个或多个预定义的时段上完成。例如，示例性聚集的流表400包括具有与表300中的每个源IP地址420相关联的流记录的聚集数目410的列。聚集的流表400还指示针对表300中的每个源IP地址420的流的总计字节大小。下文详述聚集的流表400的应用。对于流记录表300，应当理解，可以按照期望来聚集流记录190，例如，根据图2中的示例性流记录200中所描述的一个或多个流记录类别。
现在参考图7，公开了根据本发明实施方式的访问控制方法700。在步骤710中，根据已知技术监测网络部件中的业务，如上所述，以及在步骤720中，收集流记录。通常，可以使用已经包括在多数网络部件中的功能性(诸如路由器、集线器、服务器等)来执行步骤710和步骤720，并且上述步骤可以用于收集和存储流记录(诸如示例性流记录表300)。从步骤720收集的流记录在步骤730中进行分析。例如，可以聚集流记录，诸如形成上述聚集的流记录表400。
继续参考访问控制方法700，在步骤740中定义访问控制条件。默认的预定义访问控制条件可以用于评定流记录。例如，可以标识与特定百分比或者数量的业务相关联的地址或者端口。例如，基于事务的最多数目410、330的时间或者传送数据的最大数量430，可以针对源IP地址420限制访问。这些标准可以是客观的(诸如建立某个标准的最大阈值)，或者基于通过具有最多或者最频繁网络资源消费者的源或目标IP地址和/或端口的标准(或者其他标准)的排名是主观的。可选地，标准可以由用户提供。
可以在步骤750中使用简单逻辑来标识满足这些标准的源或目标IP地址和/或端口。在步骤760中，可以向用户呈现所标识的源或目标IP地址和/或端口标识符。然后，在步骤770中，如果用户批准的话，可以将针对所标识的网络设备的这些源IP地址(或其他设备标识符)放置在ACL中，以请求网络设备忽略或者以其他方式拒绝传输与所标识的端口/地址相关联的业务。
现在参考图5，公开了一种根据本发明的实施方式的访问控制系统500。如上所述，流数据存储系统140可以接收原始流记录190。如上所述，流数据存储系统140可以按照多种已知方式聚集流记录190以实现系统目标，或者可以按照原始格式存储流记录。可以根据经由用户接口160接收和/或定义的、用以定义要添加到ACL中的网络地址/端口的标准，由数据分析工具150对流记录进行访问和评定。而且，应当理解，也可以自动地标识在时段上不满足预定义的标准的端口/地址，并且向用户建议从ACL中移除之。通常，将根据预定义的标准动态标识的流记录中的任何地址或者ACL中的地址向用户接口转发以便由管理员审阅。然后，管理员可以批准在ACL中添加/移除所标识的端口/地址。
可选地，可以将网络设备520上的ACL 590存储在ACL存储系统530中，或者将其向经由LAN 510或者因特网115接收业务的任何网络设备520转发。通常，网络设备520拒绝转发任何与设备520中或者可选的ACL存储530中的ACL中标识的设备相关联的任何业务。即，目的是ACL中的地址和/或从ACL中的地址发起的业务到达设备520，而不会通过网络510、115转发。当业务通信超时的时候，将通信从存储中移除，并且永远不会到达所指示的目的地。
现在参考图6中的服务流程图600，网络节点610可以将描述网络业务的流报告650向网络监测系统620转发。如上所述，网络监测系统620可以收集并存储流记录650。存储的流记录660可以由访问控制系统630进行访问，该访问控制系统630根据预定义的标准来评估存储的流记录660，以自动地标识网络地址/端口。将所标识的地址向用户接口640转发以便审阅。如果所标识的地址/端口被用户接受，则可以将该地址/端口向网络节点610发送，以作为用于实现ACL的ACL更新数据680。
虽然已经参考示例性实施方式对本发明进行了描述，但是可以在不脱离本发明的精神和范围的情况下做出各种添加、删除、替换或者其他修改。因此，本发明不应被认为由以上描述来限定，而是仅由所附权利要求的范围限定。