CN111683097A

CN111683097A - 一种基于两级架构的云网络流量监控系统

Info

Publication number: CN111683097A
Application number: CN202010523581.2A
Authority: CN
Inventors: 刘忻; 林冬艺
Original assignee: Guangzhou Bingo Software Co Ltd
Current assignee: Guangzhou Bingo Software Co Ltd
Priority date: 2020-06-10
Filing date: 2020-06-10
Publication date: 2020-09-18
Anticipated expiration: 2040-06-10
Also published as: CN111683097B

Abstract

本发明公开了一种基于两级架构的云网络流量监控系统，包括：一级网络监控引擎，部署于每一计算节点处，用于实时采集计算节点的网络流量，根据预设的恶意流量分析规则对网络流量进行监控，并根据监控结果对计算节点的异常网络流量进行实时拦截；二级网络监控引擎，获取若干个计算节点的一级网络监控引擎采集到的网络流量，对网络流量进行深度网络攻击行为分析，根据分析结果对计算节点的异常网络流量进行拦截，或对一级网络监控引擎的恶意流量分析规则进行更新。本发明中的监控系统，可以保证网络安全监控的时效性，同时可以对网络流量进行更深度的分析，提高整体网络监控服务的处理能力，且不会影响现有物理网络的处理性能。

Description

一种基于两级架构的云网络流量监控系统

技术领域

本发明属于网络流量监控技术领域，具体涉及一种基于两级架构的云网络流量监控系统。

背景技术

对于云网络架构的内部网络流量采集与监控分析处理，现有技术中普遍采用sflow、netflow、ipfix、mirror等流量采集方式，将网络流量采集到指定网络监控服务中，网络监控服务内置了流量采集引擎以及网络监控引擎，流量采集引擎负责对采集流量报文进行协议解析，网络监控引擎通过特征库识别，对网络进行安全分析，识别流量是否存在网络攻击，如DDOS攻击、网络入侵攻击、渗透攻击等异常网络行为，并通过控制网络交换设备或防火墙等设施，对网络攻击流量进行拦截，现有技术的网络流量监控架构可参照图1。

现有的云网络监控技术或架构存在以下几个问题：

1.单点网络监控服务处理性能不足

随着云平台的规模不断扩展，云内部网络的流量呈现指数式的增长，传统的网络监控服务存在单点网络监控服务处理性能不足的问题，导致网络监控分析的时效性差。

2.集群网络监控服务构建成本高

为了解决网络监控分析的性能问题，业界普遍采用服务器集群的方式解决，有一定程度上提升了网络安全分析的性能，但服务器集群的建设成本较高，而且需要额外规划网络分流器网络复杂度高。

3.网络采集流量影响现有物理网络的处理性能

采集流量需要经过物理网络到达网络安全分析服务器或服务器集群，大量的采集流量容易导致物理网络拥塞，影响现有物理网络的处理性能。为了解决这样的问题，业界普遍的做法，减少网络采样频率或采用独立的网络交换设备专用于流量采集，而增加专用的流量采集网络设备会增加网络构建成本与网络复杂度。

发明内容

为了克服上述技术缺陷，本发明提供一种基于两级架构的云网络流量监控系统，保证了网络安全监控的时效性，可以对网络流量进行更深度的分析，提高整体网络监控服务的处理能力，且不会影响现有物理网络的处理性能。

为了解决上述问题，本发明按以下技术方案予以实现的：

一种基于两级架构的云网络流量监控系统，包括：

一级网络监控引擎，部署于每一计算节点处，用于实时采集所述计算节点的网络流量，根据预设的恶意流量分析规则对所述网络流量进行监控，并根据监控结果对所述计算节点的异常网络流量进行实时拦截；

二级网络监控引擎，获取若干个所述计算节点的所述一级网络监控引擎采集到的所述网络流量，对所述网络流量进行深度网络攻击行为分析，根据分析结果对所述计算节点的异常网络流量进行拦截，或对所述一级网络监控引擎的所述恶意流量分析规则进行更新。

进一步的，所述一级网络监控引擎包括：

流量采集模块，用于对所述计算节点的虚拟交换机的网络流量进行采集；

数据标注模块，用于提取所述网络流量的网络信息，根据所述网络信息确定所述网络流量的VPC组网信息，将所述VPC组网信息与所述网络流量以及所述网络流量的采集时间戳进行关联，将关联的所述VPC组网信息、网络流量和采集时间戳组合成网络流量数据进行储存；

监控分析模块，用于根据所述恶意流量分析规则对所述网络流量数据进行分析，以识别出所述网络流量中的异常流量，并控制所述计算节点的虚拟交换机对所述异常流量进行拦截；

结果保存模块，用于将所述网络流量数据以及所述监控分析模块的监控记录和分析结果，保存至数据库中。

进一步的，所述恶意流量分析规则包括：

将所述网络流量中，单位时间内的网络攻击行为的次数高于预设的DDOS防御阈值参数的流量，判断为DDOS攻击异常流量；

和/或，将所述网络流量中，单位时间内的目标网络位置的访问次数高于预设的网络扫描防御阈值参数的流量，判断为网络扫描异常流量；和/或，根据预设的危险网络信息表中对应的危险地址的流量进行监控。

进一步的，所述监控分析模块还用于根据所述网络流量数据的所述VPC组网信息进行VPC组网安全分析，以检测是否存在组网失效结果或网络欺诈结果；所述组网失效结果包括安全组策略失效和ACL策略中的一种或两种；所述网络欺诈结果包括虚拟机恶意篡改Mac地址、ARP欺骗行为和恶意扮演网关中的一种或多种。

进一步的，所述监控分析模块还用于在进行所述VPC组网分析后发现所述网络流量存在组网失效结果或网络欺诈结果时，控制所述计算节点的虚拟交换机进行异常网络流量拦截或VPC组网策略修复。

进一步的，所述二级网络监控引擎包括：

数据收集模块，用于定期获取所述一级网络监控引擎的数据库中的所述网络流量数据以及所述监控分析模块的监控记录和分析结果；

特征对比模块，用于使用预设的特征库对所述网络流量数据进行特征对比，以识别所述网络流量数据中的网络攻击行为，在识别到存在网络攻击行为时控制对应的所述计算节点的虚拟交换机进行异常网络流量拦截；

特征提取模块，用于分析所述一级网络监控引擎的所述监控分析模块的监控记录和分析结果，提取出高危网络地址和DDOS攻击行为特征，根据所述高危网络地址更新所述监控分析模块的所述危险网络信息表，根据所述DDOS攻击行为特征更新所述监控分析模块的所述DDOS防御阈值参数。

进一步的，所述数据收集模块还用于根据所述VPC组网信息确定所述网络流量对应的云平台用户，并将所述对应的云平台用户与所述网络流量数据进行关联；

所述二级网络监控引擎还包括：

推送提醒模块，用于在所述特征对比模块识别到网络攻击行为时，对异常的网络流量所对应的云平台用户进行消息推送。

进一步的，所述网络攻击行为包括网络入侵工具攻击、暴力破解攻击和渗透攻击中的一种或多种。

进一步的，所述二级网络监控引擎还包括：

行为监控模块，用于监控分析所述网络流量数据中的非习惯性网络行为，并获取所述非习惯性网络行为对应的网络流量对应的网络信息以进行溯源。

进一步的，所述网络信息包括流量报文的源MAC地址、目标Mac地址、源IP地址和目标IP地址；所述VPC组网信息包括网卡信息、子网信息、VPC信息、安全组策略信息、ACL策略信息和外部网关信息。

相对于现有技术，本发明的有益效果为：

本发明公开了一种基于两级架构的云网络流量监控系统，其设置了两级的流量监控引擎，通过一级流量监控引擎对计算节点中流量进行实时采集和监控，保证了网络安全监控的时效性，再通过二级流量监控引擎对多个计算节点的一级流量监控引擎的数据进行获取，可以对网络流量进行更深度的分析，提高整体网络监控服务的处理能力，且不会影响现有物理网络的处理性能。

附图说明

图1是本发明的背景技术中所述现有的网络流量监控架构的结构示意图。

图2是本发明的实施例中所述基于两级架构的云网络流量监控系统的结构和流量传输示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。此外，本发明中的附图仅仅对本发明中的实施例的结构或功能做出示例性的说明，其大小、长度、比例在没有说明或标注的情况下，并不对实施例中的结构或功能做出具体的限定。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

如图2所示，本实施例公开了一种基于两级架构的云网络流量监控系统，包括一级网络监控引擎和二级网络监控引擎。其中一级网络监控引擎部署于每一计算节点处，用于实时采集计算节点的网络流量，根据预设的恶意流量分析规则对网络流量进行监控，并根据监控结果对计算节点的异常网络流量进行实时拦截，而二级网络监控引擎获取若干个计算节点的一级网络监控引擎采集到的网络流量，对网络流量进行深度网络攻击行为分析，根据分析结果对计算节点的异常网络流量进行拦截，或对一级网络监控引擎的恶意流量分析规则进行更新。

具体的，在一可选的实施例中，一级网络监控引擎通过CPU绑定的方式，将其进程与指定的CPU绑定，防止一级网络监控引擎与计算节点的其他进程产生竞争，并保障一级网络监控引擎的处理性能的稳定性。

具体的，一级网络监控引擎包括：

流量采集模块，用于对计算节点的虚拟交换机的网络流量进行采集；具体的，每个计算节点上的流量采集模块仅采集本计算节点上虚拟交换机的网络流量，如果采用sflow、netflow、IPFIX等网络导出协议的采集方式，流量采集模块则通过127.0.0.1与虚拟交换机建立通讯连接采集流量，如果采用Mirros的采集方式，则流量采集模块通过Peer网卡接入虚拟交换机，通过pcap的方式采集流量。

数据标注模块，用于提取网络流量的网络信息，根据网络信息确定网络流量的VPC组网信息，将VPC组网信息与网络流量以及网络流量的采集时间戳进行关联，将关联的VPC组网信息、网络流量和采集时间戳组合成网络流量数据进行储存。

具体的，数据标注模块会将流量采集引擎的流量报文的源MAC地址、目标Mac地址、源IP地址、目标IP地址等网络信息进行提取，并采用Key-value的方式读取VPC元数据缓存，可根据源MAC地址、源IP地址查询源虚拟机的VPC组网信息，可根据目标MAC地址信息、目标IP地址信息查询目标虚拟机的VPC组网信息，提取VPC组网信息中的关键信息，包括网卡信息(如网卡ID号，Mac地址、IP地址)、子网信息(子网网段)、VPC信息(VPC网段)、安全组策略(授权策略)、ACL策略(访问控制策略)、外部网关信息(网关IP地址)等，并将VPC组网关键信息标注到采集网络流量的记录中，存储到本地的时态数据库，时态数据会自动记录网络流量的时间戳。

监控分析模块，用于根据恶意流量分析规则对网络流量数据进行分析，以识别出网络流量中的异常流量，并控制计算节点的虚拟交换机对异常流量进行拦截；具体的，恶意流量分析规则包括：将网络流量中，单位时间内的网络攻击行为网络地址的访问次数高于预设的DDOS防御阈值参数的流量，判断为DDOS攻击异常流量；和/或，将网络流量中，单位时间内的目标网络位置的访问次数高于预设的网络扫描防御阈值参数的流量，判断为网络扫描异常流量；和/或，根据预设的危险网络信息表中对应的危险地址的流量进行监控。具体的，上述网络攻击行为包括但不限于SyncFlood、UDPFlood或ICMPFlood等DDOS攻击行为，上述目标网络位置可以为目标网络IP地址或目标端口地址。

具体的，监控分析模块还用于根据网络流量数据的VPC组网信息进行VPC组网安全分析，以检测是否存在组网失效结果或网络欺诈结果；组网失效结果包括安全组策略失效和ACL策略中的一种或两种；网络欺诈结果包括虚拟机恶意篡改Mac地址、ARP欺骗行为和恶意扮演网关中的一种或多种。具体的，监控分析模块还用于在进行VPC组网分析后发现网络流量存在组网失效结果或网络欺诈结果时，控制计算节点的虚拟交换机进行异常网络流量拦截或VPC组网策略修复。

具体的，监控分析模块对标注后的流量数据进行实时的监控分析，包括：

①根据DDOS防御的阀值参数，读取时态数据库的单位时间内的特征网络行为的次数，或特定网络IP地址或端口的访问次数，以监控DDOS攻击行为、网络扫描行为；

②根据高危IP地址表、高危端口表，监控高危网络访问流量；

③根据标注的VPC组网信息，监控VPC组网策略的失效或网络恶意欺骗/伪装行为，如虚拟机恶意篡改Mac地址、ARP欺骗行为、恶意扮演网关、安全组策略失效、ACL策略失效等。

监控分析模块根据监控结果调用SDN控制器API接口，SDN控制器通过Openflow协议下发流表至SDN交换机(也即虚拟交换机)拦截异常网络流量,或修复失效的VPC组网策略。

同时，一级网络监控引擎还包括结果保存模块，在图2中没有示出，其用于将网络流量数据以及监控分析模块的监控记录和分析结果，保存至数据库中，作为二级网络监控引擎的分析数据源。

具体的，二级网络监控引擎采用集中式的部署方式，通过独立的服务器进行部署，可选的，将二级网络监控引擎部署在云平台的网络管控中心上，进行离线数据分析，具体的，二级网络监控引擎包括：

数据收集模块，用于定期获取一级网络监控引擎的数据库中的网络流量数据以及监控分析模块的监控记录和分析结果；具体的，数据收集模块还用于根据VPC组网信息确定网络流量对应的云平台用户，并将对应的云平台用户与网络流量数据进行关联。

具体的，数据收集模块通过定时抽取和压缩传输的方式，汇聚所有计算节点一级实时监控引擎的时态数据库数据。根据汇聚的数据的VPC组网信息，查询VPC组网信息所属的云平台租户信息，并标注到流量数据，记录到数据存储中，建立网络流量、VPC组网信息、云平台租户身份信息的三者的关联关系。

深度分析单元，其包括特征比对模块、特征提取模块、行为监控模块，其中特征对比模块用于使用预设的特征库对网络流量数据进行特征对比，以识别网络流量数据中的网络攻击行为，在识别到存在网络攻击行为时控制对应的计算节点的虚拟交换机进行异常网络流量拦截；具体的，网络攻击行为包括网络入侵工具攻击、暴力破解攻击和渗透攻击中的一种或多种。

具体的，特征对比模块通过读取数据存储中的VPC组网信息以及云平台租户身份信息标注后的流量数据，进行深度的数据监控分析。通过特征库的流量比对，监控识别分析网络入侵工具、暴力破解攻击、渗透攻击等网络攻击行为。同时根据监控分析结果，如果发现网络攻击行为，特征对比模块可通过调用SDN控制器API接口，SDN控制器通过Openflow协议下发流表至SDN交换机拦截异常网络流量。

特征提取模块，用于分析一级网络监控引擎的监控分析模块的监控记录和分析结果，提取出高危网络地址和DDOS攻击行为特征，根据高危网络地址更新监控分析模块的危险网络信息表，根据DDOS攻击行为特征更新监控分析模块的DDOS防御阈值参数。具体的，其根据一级实时监控引擎的监控分析处理记录，以及离线监控引擎的网络异常行为分析结果，分析提取出高危IP地址、高危端口信息、DDOS攻击行为特征，并将高危IP地址、高危端口信息、DDOS网络特征信息同步更新至所有分布式的一级实时监控引擎的高危IP地址表、高危端口表以及DDOS特征阀值表中，提升一级实时监控引擎的监控分析效率和精确度。

推送提醒模块，用于在特征对比模块识别到网络攻击行为时，对异常的网络流量所对应的云平台用户进行消息推送，具体的，其根据流量数据标注的云平台租户身份信息，将特征对比模块的监控分析结果中异常网络流量的信息发送给对应的云平台租户。

行为监控模块，用于监控分析网络流量数据中的非习惯性网络行为，并获取非习惯性网络行为对应的网络流量对应的网络信息以进行溯源。

本实施例中公开的云网络流量监控系统具有以下优点：

1.本系统将网络监控分析与云平台结合，通过多层级的标签处理，将网络流量、VPC组网信息、云平台租户身份信息三者相互关联，实现网络异常行为可精确推送至对应用户，解决传统网络监控分析只有管理员身份的割裂性问题。

2.本系统将网络流量与VPC组网信息相互关联，实现监控分析云平台VPC组网逻辑的有效性，自动修复失效VPC组网策略。

3.本系统采用两级架构的监控分析引擎，一级实时监控引擎采用按计算节点分布式部署，通过本地连接方式采集流量，最大程度减少大流量采集对现有物理网络影响，一级实时监控引擎内置监控分析模块，通过就近采集、就近分析、就近决策的方式提升网络监控的时效性。二级离线监控引擎，汇集所有分布式一级实时监控引擎的数据进行深度分析，通过大量的特征库比对、深度报文分析、云平台VPC元数据分析，自动运算分析网络优化建议与深度失败网络攻击行为，并自动同步更新至SDN控制器与一级实时监控引擎，提升整体云平台网络的运作效率与安全性。

本领域普通技术人员可以意识到，结合本发明实施例中所公开的实施例描述的各示例的方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可查看存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上详细描述了本发明的较佳具体实施例，应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案，均应该在由本权利要求书所确定的保护范围之中。

Claims

1.一种基于两级架构的云网络流量监控系统，其特征在于，包括：

2.根据权利要求1所述的基于两级架构的云网络流量监控系统，其特征在于，所述一级网络监控引擎包括：

3.根据权利要求2所述的基于两级架构的云网络流量监控系统，其特征在于，所述恶意流量分析规则包括：

和/或，将所述网络流量中，单位时间内的目标网络位置的访问次数高于预设的网络扫描防御阈值参数的流量，判断为网络扫描异常流量；

和/或，根据预设的危险网络信息表中对应的危险地址的流量进行监控。

4.根据权利要求3所述的基于两级架构的云网络流量监控系统，其特征在于，所述监控分析模块还用于根据所述网络流量数据的所述VPC组网信息进行VPC组网安全分析，以检测是否存在组网失效结果或网络欺诈结果；所述组网失效结果包括安全组策略失效和ACL策略中的一种或两种；所述网络欺诈结果包括虚拟机恶意篡改Mac地址、ARP欺骗行为和恶意扮演网关中的一种或多种。

5.根据权利要求4中所述的基于两级架构的云网络流量监控系统，其特征在于，所述监控分析模块还用于在进行所述VPC组网分析后发现所述网络流量存在组网失效结果或网络欺诈结果时，控制所述计算节点的虚拟交换机进行异常网络流量拦截或VPC组网策略修复。

6.根据权利要求3中所述的基于两级架构的云网络流量监控系统，其特征在于，所述二级网络监控引擎包括：

7.根据权利要求6中所述的基于两级架构的云网络流量监控系统，其特征在于，所述数据收集模块还用于根据所述VPC组网信息确定所述网络流量对应的云平台用户，并将所述对应的云平台用户与所述网络流量数据进行关联；

所述二级网络监控引擎还包括：

8.根据权利要求6所述的基于两级架构的云网络流量监控系统，其特征在于，所述网络攻击行为包括网络入侵工具攻击、暴力破解攻击和渗透攻击中的一种或多种。

9.根据权利要求6所述的基于两级架构的云网络流量监控系统，其特征在于，所述二级网络监控引擎还包括：

10.根据权利要求1-9任一项所述的基于两级架构的云网络流量监控系统，其特征在于，所述网络信息包括流量报文的源MAC地址、目标Mac地址、源IP地址和目标IP地址；所述VPC组网信息包括网卡信息、子网信息、VPC信息、安全组策略信息、ACL策略信息和外部网关信息。