1.一種基于SFLOW和OWAMP的網絡安全態勢信息獲取系統，包括管理控制模塊、由多個會話發起端代理模塊組成的會話發起端、由多個會話接收端代理模塊組成的會話接收端、數據處理模塊、可視化模塊；

其特征在于：

①管理控制模塊包含端點管理模塊、任務配置模塊和任務分發模塊；

端點管理模塊負責記錄、處理來自任務配置模塊和任務分發模塊的執行情況，以及來自會話發起端和會話接收端數據包的異常信息，并對會話發起端和會話接收端、數據管理中心、各個網絡設備進行動態配置和管理；

任務配置模塊接收來自用戶的采集任務命令，根據用戶需求配置采集任務參數，并將配置好的采集任務交給任務分發模塊；

任務分發模塊接收來自任務配置模塊配置的任務，根據采集任務的不同，將采集任務分發給會話發起端不同的會話接收端代理模塊的任務監聽模塊；

②會話發起端是由多個會話發起端代理模塊構成的；其中，每一個會話發起端代理模塊包含任務監聽模塊、任務執行模塊和信息查詢模塊；

任務監聽模塊是監聽來自任務分發模塊的會話消息，將具體的采集任務交由任務執行模塊；

任務執行模塊根據任務監聽模塊模塊監聽到的采集任務，在指定時刻觸發執行，任務執行情況信息輸出給信息查詢模塊；

信息查詢模塊接收來自任務執行模塊輸出的信息供用戶查詢；

③會話接收端是由多個會話接收端代理模塊構成的；其中，每一個會話接收端代理模塊包含任務接收模塊、數據采集模塊、數據預處理模塊；

任務接收模塊接收來自任務執行模塊的采集任務，并通過HMAC機制進行身份和安全認證，通過驗證的采集任務數據包交給數據采集模塊；

數據采集模塊根據任務接收模塊測量數據包的信息來觸發代理采集網絡數據，包括SFLOW數據信息和OWAMP數據信息；采集的SFLOW信息包括12個字段：源IP地址、目的IP地址、源端口號、目的端口號、IP服務類型、源MAC地址、目的MAC地址、TCP標記位、接口速率、源地址子網掩碼位數、目的地址子網掩碼位數和輸入輸出接口的端口值；采集的OWAMP數據包括5個字段：網絡連接性、網絡帶寬、單路時延、往返時延、單路數據包丟失；采集的網絡數據統一成XML格式數據后交由數據預處理模塊處理；

數據預處理模塊負責對數據采集模塊采集到的SFLOW數據信息和OWAMP數據信息進行數據標準化處理，去除不同節點采集到的冗余信息，數據預處理后存儲到數據處理中心；

④數據處理模塊包含數據優化模塊、性能評估模塊；

數據優化模塊從數據管理中心讀取網絡數據，對預處理后的信息通過采用索引優化的方式進行優化處理，在數據管理中心進行存儲，然后交給性能評估模塊；

性能評估模對數據優化模塊處理后的信息以往返時延、單路數據包丟失為關鍵字，采用關聯規則的處理方法來評估現有網絡，最終生成網絡性能評估信息，交給可視化模塊供用戶查看；

⑤可視化模塊負責將來自性能評估模塊產生的評估信息以圖形化的形式展示給用戶；

基于SFLOW和OWAMP的網絡安全態勢信息獲取包括：

(1)首先在管理控制模塊按照事先獲取用戶信息的具體要求，配置采集任務參數，并將采集任務分發給會話發起端代理模塊；

(2)會話發起端代理模塊向會話接收端代理模塊發送TCP連接請求，請求通過后，建立測試連接；測試連接通過后采集任務數據包開始經過路由尋找目的端，在發送端為給數據包打上時間戳，經過節點每一跳時，由管理控制模塊記錄時延、流量和是否由于擁塞被丟棄這些相關屬性；

(3)采集任務數據包到達會話接收端代理模塊后，立即給數據包打上另一個時間戳，并通過偽隨機數方法來判定采集任務數據包是否在合法的時間范圍內到達；如果是，將該采集任務數據包記錄為合法的數據包，否則被丟棄；數據采集模塊根據合法數據包進行數據采集，采集的數據作為數據預處理模塊的輸入；

(4)數據預處理模塊對采集到的SFLOW數據信息和OWAMP數據信息進行去冗余的處理；

(5)數據優化模塊對預處理后的信息采用索引優化方法進行優化，并進行存儲；

(6)性能評估模塊以網絡連接性、網絡帶寬、往返時延、單路數據包丟失這些關鍵數據，通過采用關聯規則的處理方法來評估現有網絡，為優化網絡性能提供依據；

(7)可視化模塊提供給用戶一個可視化的操作界面，將網絡性能評估信息實時呈現給用戶；

將系統部署到網絡環境中包括：

(1)在網絡中的任一臺Intel—Linux架構的PC主機上部署并運行具有裝置框架圖的軟件，將PC機的以太網卡連接到接入網絡中的局域網交換機上，使之能夠與網絡及網絡上的其他PC機通信；

(2)將網絡設備配置能夠產生SFLOW和OWAMP網絡流數據；

其中：會話接收端代理模塊中的數據采集模塊包括SFLOW采集代理以及OWAMP測量代理，主要功能是負責給網絡設備發送配置指令和從網絡設備獲取網絡數據；sFlow數據包括：源IP地址、目的IP地址、源端口號、目的端口號、IP服務類型、源MAC地址、目的MAC地址、TCP標記位、接口速率、源地址子網掩碼位數、目的地址子網掩碼位數和輸入輸出接口的端口值；OWAMP數據包括：網絡連接性、單路時延、單路數據包丟失、往返時延和數據包時延抖動；

該系統通過以下步驟來獲取SFLOW和OWAMP網絡數據信息：

步驟1首先用戶在客戶端發起采集網絡數據命令；

步驟2管理控制模塊在接受到指令后配置采集任務，采集需要的網絡流字段；并將采集任務分發給不同的會話發起端代理模塊；

步驟3會話發起端代理模塊接收到采集任務后，與NTP時鐘服務器通信，進行時鐘同步；

步驟4會話發起端代理模塊與會話接收端代理模塊進行控制連接和測試連接，建立連接成功執行步驟5，否則執行步驟2；

步驟5會話發起端代理模塊發送采集任務數據包，并給數據包打上時間戳；

步驟6會話接收端如果接收到來自會話發起端的采集任務數據包，則執行步驟7，否則執行步驟6；

步驟7會話接收端與NTP時鐘服務器同步；

步驟8判斷數據包是否異常，如果數據包異常，由端點記錄模塊記錄并處理，否則執行步驟9；

步驟9會話接收端給接收到數據包打上時間戳；

步驟10判斷接收到的數據包是否超時，如果不是執行步驟11；否則，異常信息交由端點管理模塊記錄并處理；

步驟11數據采集模塊中的SFLOW采集代理以及OWAMP測量代理采集網絡流數據，數據格式統一成XML格式后，由數據預處理模塊處理后存到數據管理中心；

步驟12數據處理模塊從數據管理中心讀取網絡數據進行優化處理，形成評估報告；

步驟13可視化模塊展示網絡的安全評估信息。