CN113703915B - 访问关系可视化方法、装置、电子设备和存储介质 - Google Patents
访问关系可视化方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113703915B CN113703915B CN202110943018.5A CN202110943018A CN113703915B CN 113703915 B CN113703915 B CN 113703915B CN 202110943018 A CN202110943018 A CN 202110943018A CN 113703915 B CN113703915 B CN 113703915B
- Authority
- CN
- China
- Prior art keywords
- virtual machines
- access
- virtual machine
- virtual
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/328—Computer systems status display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种访问关系可视化方法、装置、电子设备和存储介质,所述方法包括:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
Description
技术领域
本申请涉及可视化技术领域,涉及但不限于一种访问关系可视化方法、装置、电子设备和存储介质。
背景技术
相关技术中,实现云平台内业务访问关系可视化的方案主要包括:通过在云平台内虚拟机上安装插件采集流量并计算访问关系,该种方案插件的入侵可能不够安全;通过在云平台的虚拟网络中部署NFV(Network Functions Virtualization,网络功能虚拟化)设备,该种方案可能存在单点故障;对云平台进行流量镜像,将流量镜像导出至外部物理分析设备,由外部物理设备进行流量分析和访问关系计算,该种方案部署成本高。
发明内容
有鉴于此,本申请实施例提供一种访问关系可视化方法、装置、电子设备和存储介质。
第一方面,本申请实施例提供一种访问关系可视化方法,所述方法包括:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
第二方面,本申请实施例提供一种访问关系可视化装置,包括:获取模块,用于获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;确定模块,用于根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;校正模块,用于根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;生成模块,用于根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
第三方面,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请实施例第一方面所述访问关系可视化方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例第一方面所述访问关系可视化方法中的步骤。
本申请实施例中,通过根据虚拟机的标签信息结合虚拟机的数据流信息,确定虚拟机之间的访问关系,并以访问关系视图的形式对所述虚拟机之间的访问关系进行可视化显示,从而能够更直观地展示云平台上虚拟机之间的访问关系,提高日常运维及相关安全工作的效率和准确性。
附图说明
图1为本申请实施例一种访问关系可视化方法的流程示意图;
图2为本申请实施例一种环境之间的访问关系视图;
图3为本申请实施例一种环境内的虚拟机之间的访问关系视图;
图4为本申请实施例一种虚拟机本身的访问关系视图;
图5为本申请实施例一种访问关系可视化展示方法的实现原理示意图;
图6为本申请实施例一种云平台的架构示意图;
图7为本申请实施例提供的一种云平台上的虚拟机之间的访问关系可视化的方法示意图;
图8为本申请实施例一种访问关系可视化装置的组成结构示意图;
图9为本申请实施例电子设备的一种硬件实体示意图。
具体实施方式
下面结合附图和实施例对本申请的技术方案进一步详细阐述。
图1为本申请实施例一种访问关系可视化方法的流程示意图,如图1所示,该方法包括:
步骤102:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
其中,云平台也称为云计算平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力;虚拟机是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在实体计算机中能够完成的工作在虚拟机中都能够实现,虚拟机必须安装于物理机上才能运行,该物理机称为该虚拟机的宿主机;所述数据流信息可以是表征数据传输属性的信息,所述标签信息可以是标注虚拟机属性的特征值。
步骤104:根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;
其中,通过每一虚拟机的标签信息,确定虚拟机之间的初始访问关系,可以称为静态判断方法;可以根据所述至少两个虚拟机中任意两个虚拟机中每一虚拟机的标签信息,确定对应两个虚拟机之间的初始访问关系,进而可以确定所述至少两个虚拟机之间的初始访问关系。
步骤106:根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;
其中,通过每一虚拟机的数据流信息,对虚拟机之间的初始访问关系进行校正,可以称为动态校准方法;可以根据所述至少两个虚拟机中任意两个虚拟机中每一虚拟机的数据流信息,对对应两个虚拟机之间的初始访问关系进行校正得到目标访问关系,进而可以确定所述至少两个虚拟机之间的目标访问关系。
步骤108:根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
其中,可以通过图形组件绘制所述至少两个虚拟机之间的访问关系视图,所述访问关系视图中至少展示所述至少两个虚拟机之间的目标访问关系。
本申请实施例中,通过根据虚拟机的标签信息结合虚拟机的数据流信息,确定虚拟机之间的访问关系,并以访问关系视图的形式对所述虚拟机之间的访问关系进行可视化显示,从而能够更直观地展示云平台上虚拟机之间的访问关系,提高日常运维及相关安全工作的效率和准确性。
本申请实施例还提供一种访问关系可视化方法,所述方法包括以下步骤:
步骤S202:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
其中,所述标签信息可以包括环境标签、业务系统标签和类型标签;所述环境标签可以表示网络规划的逻辑分区,用来满足不同的监管要求和业务需求,每一所述环境标签中可以表示一个或多个业务系统组成的环境,所述环境标签可以包括办公环境、生产环境和测试环境等。
所述业务系统标签可以表示一个或多个虚拟机组成的、用来满足某种业务需求的工作单元,所述业务系统标签可以包括OA(Office Automation,办公自动化)系统、仓储系统和订单系统等,所述仓储系统可以是ERP(Enterprise Resource Planning,企业资源计划)系统。
所述类型标签可以表示每一虚拟机的工作属性,用来描述虚拟机之间是否应当存在访问关系的特征值之一,所述类型标签可以包括前端、中间件和数据库等。
所述数据流信息可以包括源IP地址、目的IP地址,所述源IP地址可以是发送数据包的虚拟机的IP地址,所述目的IP地址可以是接收数据包的虚拟机的IP地址。
步骤S204:根据所述至少两个虚拟机中任意两个虚拟机的环境标签和类型标签的一致性,确定对应两个虚拟机之间的初始访问关系;
其中,假设至少两个虚拟机中包括虚拟机A和虚拟机B,虚拟机A的标签信息表示为办公环境|OA系统|前端,虚拟机B的标签信息表示为生产环境|订单系统|数据库,则由于虚拟机A和虚拟机B的环境标签不同,则虚拟机A和虚拟机B的初始访问关系默认为不通信。需要说明的是,所述业务系统标签不存在默认的初始访问关系。
步骤S206:根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址,确定所述至少两个虚拟机之间的校正访问关系;
其中,所述虚拟机的源IP地址可以是该虚拟机的IP(Internet Protocol,网际互连协议)地址,所述虚拟机的目的IP地址可以是该虚拟机发送的数据包的接收方的IP地址;假设虚拟机A将数据包发送至虚拟机B,则虚拟机A和虚拟机B之间的校正访问关系可以是通信。
步骤S208:在所述校正访问关系与所述初始访问关系一致的情况下,将所述初始访问关系确定为至少两个虚拟机之间的目标访问关系;
步骤S210:在所述校正访问关系与所述初始访问关系不一致的情况下,将所述校正访问关系确定为至少两个虚拟机之间的目标访问关系;
步骤S212:根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
本申请实施例中,通过根据虚拟机的环境标签和类型标签确定虚拟机之间的初始访问关系,从而能够更高效、更准确地确定虚拟机之间的初始访问关系;通过根据虚拟机的源IP地址和目的IP地址,确定虚拟机之间的目标访问关系,从而可以更便捷、更高效、更方便地确定虚拟机之间的目标访问关系。
本申请实施例还提供一种访问关系可视化方法,所述方法包括以下步骤:
步骤S302:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;其中,所述标签信息可以包括环境标签、业务系统标签和类型标签;
步骤S304:在所述至少两个虚拟机中任意两个虚拟机的环境标签不一致的情况下,确定对应两个虚拟机之间的初始访问关系为不通信;
步骤S306:在所述至少两个虚拟机中任意两个虚拟机的环境标签和类型标签均一致的情况下,确定对应两个虚拟机之间的初始访问关系为通信;
步骤S308:在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、且一个虚拟机的类型标签为前端,另一个虚拟机的类型标签为中间件的情况下,确定对应两个虚拟机之间的初始访问关系为通信;
步骤S310:在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、一个虚拟机的类型标签为中间件,另一个虚拟机的类型标签为数据库的情况下,确定对应两个虚拟机之间的初始访问关系为通信;
其中,可以支持修改虚拟机之间的初始访问关系,还可以新增类型标签。
步骤S312:在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、且一个虚拟机的类型标签为前端,另一个虚拟机的类型标签为数据库的情况下,确定对应两个虚拟机之间的初始访问关系为不通信;
其中,由于中间件一般是前端和数据库之间的交互媒介,前端和数据库之间一般并不直接交互,因此,前端和中间件,或者中间件和数据库之间的初始访问关系默认为通信,前端和数据库之间的初始访问关系默认为不通信。
步骤S314:根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址,确定所述至少两个虚拟机之间的目标访问关系;
步骤S316:根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
本申请实施例中,通过根据虚拟机的环境标签和类型标签确定虚拟机之间的初始访问关系,从而能够更高效、更准确地确定虚拟机之间的初始访问关系;通过根据虚拟机的源IP地址和目的IP地址,确定虚拟机之间的目标访问关系,从而可以更便捷、更高效、更方便地确定虚拟机之间的目标访问关系。
本申请实施例还提供一种访问关系可视化方法,所述方法包括以下步骤:
步骤S402:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
其中,所述标签信息包括环境标签、业务系统标签和类型标签;所述类型标签包括前端、中间件和数据库;所述数据流信息包括源IP地址、目的IP地址、访问时间戳和数据包数量;
步骤S404:根据所述至少两个虚拟机中任意两个虚拟机的环境标签和类型标签的一致性,确定对应两个虚拟机之间的初始访问关系;
步骤S406:根据所述至少两个虚拟机中每一所述虚拟机的访问时间戳,确定所述至少两个虚拟机中任意两个虚拟机之间的访问时间规律;
其中,所述访问时间规律包括是否为定时访问;上一个访问是否必定带入下一个访问,即两个访问之间是否具有访问依赖关系等。
步骤S408:根据所述至少两个虚拟机中每一所述虚拟机的数据包数量,确定所述至少两个虚拟机中任意两个虚拟机之间的访问流量规律;
其中,所述访问流量规律包括数据包数量正常和数据包数量异常,所述数据包数量正常即数据包数量接近于安全情况下的数据包的数量;所述数据包数量异常即数据包数量相较于安全情况下的数据包的数量发生上升或者下降,进一步地,还可以是数据包上升或者下降的幅度大于预设的幅度阈值。
步骤S410:根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址、访问时间规律和访问流量规律,确定所述至少两个虚拟机之间的校正访问关系;
步骤S412:在所述校正访问关系与所述初始访问关系一致的情况下,将所述初始访问关系确定为至少两个虚拟机之间的目标访问关系;
步骤S414:在所述校正访问关系与所述初始访问关系不一致的情况下,将所述校正访问关系确定为至少两个虚拟机之间的目标访问关系;
步骤S416:根据环境标签,将所述至少两个虚拟机划分为至少一个环境集合;
其中,可以根据环境标签,将所述至少两个虚拟机划分为办公环境集合,生产环境集合和测试环境集合。
步骤S418:根据业务系统标签,将每一所述环境集合划分为至少一个系统子集;
其中,每一所述环境集合中都可以包括至少一个业务系统,例如所述生产环境集合中可以包括订单系统、所述办公环境中可以包括OA系统,所述开发环境中可以包括仓储系统等。
步骤S420:在任意两个环境集合中分别存在一个虚拟机,且两个虚拟机之间的目标访问关系为通信的情况下,确定对应两个环境集合之间的访问关系为通信;
步骤S422:在任意两个环境集合中不存在目标访问关系为通信的虚拟机的情况下,确定对应两个环境集合之间的访问关系为不通信;
步骤S424:根据所述至少一个环境集合、每一所述环境集合中的至少一个系统子集、任意两个环境集合之间的访问关系为通信或者不通信,生成所述至少两个虚拟机之间的访问关系视图。
其中,所述环境之间的访问关系视图中可以展示所述至少一个环境集合中每一所述环境集合,以及每一所述环境集合中的业务系统子集和任意两个环境集合之间的访问关系。
图2为本申请实施例一种环境之间的访问关系视图,参见图2,所述环境之间的访问关系视图中可以展示生产环境集合201、办公环境集合202和开发环境集合203,以及生产环境集合201中的订单系统2011、办公环境集合202中的OA系统2021和开发环境集合203中的仓储系统2031。
所述环境之间的访问关系视图中还可以分别用不同颜色的箭头和不同的文字展示环境集合之间的访问关系或者环境内业务系统到业务系统之间的访问关系,如可以用红色的虚线箭头204表示生产环境集合201和办公环境集合202之间的访问关系为拒绝(即不通信),可以用灰色的实线箭头205表示生产环境集合201和开发环境集合203之间的访问关系为通信;可以用文字“通信:生产环境->开发环境”表示生产环境集合201和开发环境集合203之间的访问关系为通信,可以用文字“拒绝:办公环境->生产环境”表示办公环境集合202和生产环境集合201之间的访问关系为拒绝。
本申请实施例中,通过结合虚拟机的源IP地址、目的IP地址和访问时间规律和访问流量规律,确定虚拟机之间的目标访问关系,从而能够更可靠地确定虚拟机之间的目标访问关系;另外,通过展示环境之间的访问关系,可以更直观地从环境维度展示虚拟机之间的访问关系。
本申请实施例还提供一种访问关系可视化方法,所述方法包括以下步骤:
步骤S502:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
其中,所述标签信息包括环境标签和类型标签;所述类型标签包括前端、中间件和数据库;所述数据流信息包括源IP地址、目的IP地址,所述数据流信息还包括访问时间戳和数据包数量;
步骤S504:根据所述至少两个虚拟机中任意两个虚拟机的环境标签和类型标签的一致性,确定对应两个虚拟机之间的初始访问关系;
步骤S506:根据所述至少两个虚拟机中每一所述虚拟机的访问时间戳,确定所述至少两个虚拟机中任意两个虚拟机之间的访问时间规律;
步骤S508:根据所述至少两个虚拟机中每一所述虚拟机的数据包数量,确定所述至少两个虚拟机中任意两个虚拟机之间的访问流量规律;
步骤S510:在以下三条均满足的条件下,确定两个虚拟机之间的校正访问关系为通信;在以下三条中至少一条不满足的条件下,确定两个虚拟机之间的校正访问关系为不通信:
所述至少两个虚拟机中任意两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址表明对应两个虚拟机之间有通信;
对应两个虚拟机之间的访问时间规律满足特定的时间规律条件;
对应两个虚拟机之间的访问流量规律满足特定的流量规律条件;
其中,所述特定的时间规律条件可以是定时访问,表明两个虚拟机之间的访问为安全访问。所述特定的流量规律条件可以是数据包数量正常,表明两个虚拟机之间的访问为安全访问;在数据包数量异常的情况下,可能是一台虚拟机遭受到另一台虚拟机的攻击。
步骤S512:在所述校正访问关系与所述初始访问关系一致的情况下,将所述初始访问关系确定为至少两个虚拟机之间的目标访问关系;
步骤S514:在所述校正访问关系与所述初始访问关系不一致的情况下,将所述校正访问关系确定为至少两个虚拟机之间的目标访问关系;
步骤S516:根据业务系统标签,将所述至少两个虚拟机划分为至少一个系统子集;
步骤S518:在任意两个系统子集中分别存在一个虚拟机,且两个虚拟机之间的目标访问关系为通信的情况下,确定对应两个系统子集之间的访问关系为通信;
步骤S520:在任意两个系统子集中不存在目标访问关系为通信的虚拟机的情况下,确定对应两个系统子集之间的访问关系为不通信;
步骤S522:根据所述至少一个系统子集和任意两个系统子集之间的访问关系为通信或者不通信,生成所述至少两个虚拟机之间的访问关系视图。
其中,参见图2,所述环境之间的访问关系视图中还可以展示所述至少一个业务系统子集中每一所述业务系统子集,以及每一所述业务系统子集中的类型和任意两个业务系统子集之间的访问关系。
例如,可以用文字“通信:订单系统->仓储系统”表示订单系统2011和仓储系统2031之间的访问关系为通信,可以用文字“拒绝:OA系统->仓储系统”表示OA系统2021和订单系统2011之间的访问关系为拒绝。
本申请实施例中,通过结合虚拟机的源IP地址、目的IP地址和访问时间规律和访问流量规律,确定虚拟机之间的目标访问关系,从而能够更可靠地确定虚拟机之间的目标访问关系;另外,通过展示业务系统之间的访问关系,可以更直观地从业务系统维度展示虚拟机之间的访问关系。
本申请实施例还提供一种访问关系可视化方法,所述方法包括以下步骤:
步骤S602:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
其中,所述标签信息包括环境标签和类型标签;所述类型标签包括前端、中间件和数据库;所述数据流信息包括源IP地址、目的IP地址,所述数据流信息还包括访问时间戳和数据包数量;所述数据流信息包括源IP地址、目的IP地址、协议和端口号;
步骤S604:根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;
步骤S606:根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;
步骤S608:根据业务系统标签,将所述至少两个虚拟机划分为至少一个系统子集;
步骤S610:在任意两个系统子集中分别存在一个虚拟机,且两个虚拟机之间的目标访问关系为通信的情况下,确定对应两个系统子集之间的访问关系为通信;
步骤S612:在任意两个系统子集中不存在目标访问关系为通信的虚拟机的情况下,确定对应两个系统子集之间的访问关系为不通信;
步骤S614:根据每一所述虚拟机的源IP地址和目的IP地址,确定所述至少两个虚拟机中任意两个虚拟机之间的数据流向;
其中,所述虚拟机的源IP地址可以是该虚拟机的IP(Internet Protocol,网际互连协议)地址,所述虚拟机的IP地址可以是该虚拟机发送的数据包的接收方的IP地址;假设虚拟机A将数据包发送至虚拟机B,则虚拟机A和虚拟机B之间的目标访问关系可以是通信。数据流向是虚拟机A到虚拟机B。
步骤S616:根据类型标签,将每一所述虚拟机确定为对应类型;
步骤S618:在任意两个虚拟机之间的目标访问关系为通信的情况下,确定对应类型之间的访问关系为通信;
步骤S620:在任意两个虚拟机之间的目标访问关系为不通信的情况下,确定对应类型之间的访问关系为不通信;
步骤S622:根据所述至少一个类型、任意两个类型之间的访问关系为通信或者不通信、数据流向、每一所述类型的协议和端口号,生成所述至少两个虚拟机之间的访问关系视图。
其中,所述环境内的虚拟机之间的访问关系视图中可以展示工作负载到工作负载间的访问,展示信息包含环境集合、所述环境集合中选定的业务系统集合,以及所述选定的业务系统集合中每一所述类型、任意两个类型之间的访问关系和数据流向,每一所述类型的协议和端口号。
图3为本申请实施例一种环境内的虚拟机之间的访问关系视图,参见图3,所述环境内的虚拟机之间的访问关系视图中可以展示生产环境集合301内的订单系统3011、以及订单系统3011中的WEB类型30111、中间件类型30112和其他业务系统中的数据库类型30113。
所述环境内的虚拟机之间的访问关系视图中还可以分别用绿色的箭头和不同的文字展示环境集合之间的访问关系,如可以用绿色的箭头30114表示WEB类型30111、中间件类型30112之间的访问关系为通信,数据流向为从WEB类型30111到中间件类型30112,可以用绿色的箭头30115表示中间件类型30112和数据库类型30113之间的访问关系为通信,数据流向为从中间件类型30112到数据库类型30113,其中,访问关系为通信又可以称为匹配通信策略,WEB类型30111和数据库类型30113之间无连接,表示访问关系为不通信,即匹配拦截策略。
可以用文字“WEB->中间件TCP 80通信”表示WEB类型的虚拟机和中间件类型的虚拟机之间的访问关系为通信,协议为TCP协议,端口号为80,匹配通信策略,数据流向为从WEB类型的虚拟机到中间件类型的虚拟机。
通过展示类型之间(即虚拟机之间)的访问关系,可以更直观地从类型维度展示虚拟机之间的访问关系。
本申请实施例还提供一种访问关系可视化方法,所述方法包括以下步骤:
步骤S702:获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
其中,所述标签信息包括环境标签和类型标签;所述类型标签包括前端、中间件和数据库;所述数据流信息包括源IP地址、目的IP地址,所述数据流信息还包括访问时间戳和数据包数量;所述数据流信息包括源IP地址、目的IP地址、协议和端口号;所述数据流信息包括虚拟机标识、源IP地址、目的IP地址、开放的协议和端口号、建议封堵的协议和端口号和隔离状态。
步骤S704:根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;
步骤S706:根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;
步骤S708:根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图;
步骤S710:在所述访问关系视图中展示所述至少两个虚拟机中每一所述虚拟机的数据流信息、标签信息和访问信息;
所述虚拟机的数据流信息中包括以下至少一项:每一所述虚拟机的虚拟机标识、源IP地址、目的IP地址、开放的协议和端口号、建议封堵的协议和端口号和隔离状态;
所述虚拟机的标签信息包括以下至少一项:环境标签、业务系统标签和类型标签;
所述虚拟机的访问信息包括以下至少一项:每一所述虚拟机的目标访问关系的个数和状态。
图4为本申请实施例一种虚拟机本身的访问关系视图,参见图4,所述虚拟机本身的访问关系视图中可以展示虚拟机的虚拟机标识“虚拟机-1”,虚拟机的源IP地址“192.168.0.1”,虚拟机的标签信息“生产环境|订单系统|WEB”,“开放的协议和端口号TCP80TCP 53”,“建议封堵的协议和端口号UDP 161”,目标访问关系的个数“10条目标访问关系已生效,2条目标访问关系为试运行”,隔离状态包括隔离和未隔离,处于隔离状态时虚拟机-1与所有其他虚拟机均不通信。
本申请实施例中,通过展示每一虚拟机的信息,从而可以从虚拟机本身的维度展示虚拟机的信息。
相关技术中,实现云平台内业务访问关系可视化的方案主要有如下三种:
第一种方案,通过给云平台内的虚拟机安装插件,通过插件获取虚拟机的端口信息以及发出、接收的数据流,将获取到的信息统一传到一个中央组件(例如一个虚拟机),中央组件进行后台计算得出虚拟机间的访问关系。
第二种方案,在云平台的虚拟网络中部署NFV设备(例如虚拟防火墙),一般每个宿主机部署一个。将流量引流至NFV,NFV对流量进行解析并获取数据包信息(例如源、目的IP)并正常转发流量。NFV将流量信息汇总到一个中央组件(例如一个虚拟机),中央组件进行后台计算后得出虚拟机间的访问关系。
第三种方案,对云平台进行流量镜像,将流量镜像导出至外部物理分析设备,由外部物理设备进行流量分析和访问关系计算。
然而上述相关技术方案存在入侵、单点故障、部署成本高等问题,陈述如下:
云平台内虚拟机安装插件采集流量并计算访问关系的第一种方案,在监管要求严格的公司或组织中行不通,插件的侵入性以及额外的性能开销,是此类客户不能接受的。
NFV引流的第二种方案由于NFV最终会成为数据转发的承担者,可能会使得原本最优的流量路径发生变化,必须都到NFV上进行中转,带来网络性能下降的可能以及形成单点故障。
镜像流量的第三种方案对于云平台虚拟交换机有要求,不是所有云平台都能满足的,并且此方案部署成本相对高,多用于较大数据中心规模场景,不会是中小数据中心客户能够接受的。
目前业内大多数虚拟化平台或云平台都不具有业务访问可视化的能力,这使得业务在上云之后,IT(Internet Technology,互联网技术)运维人员或安全人员看到的往往是一堆配置或命令,无从得知当前所维护的业务系统到底是如何通信的。云的特征是超配,越来越多的业务上云,业务间耦合、依赖的现象也逐渐加重,最终IT运维人员或安全人员面临的局面是不知道变更或修改一个配置造成的业务影响。虽然可以通过方案类的方式解决,但从目前业务成熟的方案来看,或多或少都具有明显的缺陷,例如入侵式的插件、流量重定向等。
针对此场景,使得云平台天然具有业务方案关系可视化的能力就显得很关键。本申请实施例需要数据面支持IPFIX(IP Flow Information Export,IP数据流信息输出)协议。通过数据面底层的流量信息采集和访问关系计算,加上匹配业务属性的虚拟机标签,就能可视化展示出满足IT运维人员或安全人员预期的端到端的业务访问视图,辅助梳理整个云平台内的业务关系,提高日常运维及安全相关工作的效率和准确性。
在业务可视化展示上最终呈现以下三种展示维度:
第一种,环境间的访问关系可视化,参见图2,访问关系箭头展示环境间的访问,通信:订单系统->数据库,拒绝:OA系统->数据库。
第二种,环境内的访问关系可视化,参见图3,环境内的访问关系可视化包括业务系统之间的访问关系,以及同一业务系统不同类型之间的访问关系,访问关系展示工作负载到工作负载之间的访问,展示信息包含应用类型、流向、协议、端口,是否匹配策略,所述策略包括通信和拦截,WEB->中间件,网络协议:TCP80,匹配通信策略WEB->中间件TCP80通信。
第三种,虚拟机信息可视化,参见图4,展示信息包含:虚拟机编号、源IP地址、环境标签、业务系统标签和类型标签、开放的端口(没开放的就是封堵)、建议封堵的端口、策略条数、策略状态(试运行、已生效)以及隔离状态(勒索场景专用)。
图5为本申请实施例一种访问关系可视化展示方法的实现原理示意图,参见图5,所述方法包括以下步骤:
步骤501:流信息的采集;
其中,流信息又可以称为数据流信息,图6为本申请实施例一种云平台的架构示意图,参见图5或图6,可以通过IPFIX协议,从云平台的数据面601直接采集虚拟机的源IP地址、目的IP地址、协议、端口号、流起始时间戳、流终止时间戳、包数信息(又可以称为数据包数量)等数据流信息。参见图5,所述数据面601中包括虚拟交换机-1,虚拟路由器和虚拟交换机-2,所述虚拟交换机-1可以包括虚拟机-1,虚拟机-2和虚拟机-3,所述虚拟交换机-2可以包括虚拟机-4,虚拟机-5和虚拟机-6。
步骤502:标签信息的采集;
其中,标签信息可以是标注虚拟机属性的特征值,所述标签信息可以包含环境(又称环境标签)、类型(又称类型标签)、所属业务(又称业务系统标签),所述标签信息可以由用户手动输入,保存至云平台的控制面的数据库中。采集标签信息时,可以通过接口的方式请求,以虚拟机ID(Identity document,身份标识号)作为索引值获取虚拟机的标签信息,参见图5,所述虚拟机-1的标签信息可以包括:生产环境|前端|订单系统,所述虚拟机-2的标签信息可以包括:生产环境|中间件|订单系统。
步骤503:算法虚拟机的启动;
步骤504:确定虚拟机-1到虚拟机-2的访问行为基线;
其中,参见图6,流信息与标签信息采集后,统一存至本地数据库服务602中(一个宿主机一个数据库服务)并通过集群管理网络进行数据备份。在每个宿主机上,启动一个算法虚拟机604,算法虚拟机604从本地数据库服务602中获取流信息和标签信息,以标签信息计算粗粒度的访问关系,如生产环境不可以与办公环境进行通信,以流信息校正访问关系,如根据源、目的IP、流时间戳、包数判断办公系统中存在一台特权虚拟机可以访问生产系统中的某台虚拟机,即判断两台虚拟机之间的访问行为基线。
步骤505:确定虚拟机-1和虚拟机-2存在必须的网络通信。
其中,可以根据虚拟机-1到虚拟机-2的访问行为基线确定虚拟机-1和虚拟机-2存在必须的网络通信。
步骤506:可视化展示访问关系;
其中,本地算法虚拟机604将计算出来的业务访问关系通过集群管理网络同步至集群管理面603,最终通过图形组件绘制业务访问关系视图。
以标签信息计算粗粒度的访问关系,可以称为静态判断,环境标签默认含有生产环境、办公环境和测试环境,环境之间访问关系默认不通;类型标签默认包含有前端、中间件和数据库,前端和中间件间的访问关系默认通信,中间件和数据库间访问关系默认通信,前端和数据库间访问关系默认不通,支持修改默认关系以及新增类型,所属业务系统标签不存在默认访问关系。
在静态判断中,对比输入的不同标签信息(环境标签、业务系统标签,可以包括类型标签),所述类型标签又可以称为中间件、负载均衡;类型标签也可以不做静态判断),在环境标签不一致时,默认虚拟机为不通信,例如用户对虚拟机A输入的办公环境|OA系统|前端,对虚拟机B输入的是生产环境|订单系统|数据库,则虚拟机A、虚拟机B默认不通信;例如用户输入的名称是办公环境和测试环境,则这两个环境不一样,则默认为不通信;对于相同具有相同标签信息的虚拟机,默认为通信。
以流信息校正访问关系,可以称为动态校准,在动态校准中,第一方面,可以通过数据面采集到的虚拟机源IP地址、目的IP地址,判断虚拟机之间是否有无访问。
第二方面,可以通过时间戳判断虚拟机之间的访问关系是否具有规律。例如,由时间戳判断为定时访问:每周三下午会进行访问;由时间戳判断上一个访问必定带入下一个访问,具有访问依赖关系。需要说明的是,还可以通过数据面采集到的虚拟机源IP地址、目的IP地址结合协议和端口号,判断虚拟机之间是否有无访问,还可以通过时间戳结合访问次数判断虚拟机之间的访问关系是否具有规律。
第三方面,可以通过包数量判断虚拟机之间的访问以及流量是否具有规律。例如,虚拟机之间的通信数据包数量是正常的,不是异常的,例如遭受攻击时,包数量会上升或下降。
以第一方面至第三方面的判断结果作为输入,描述一对虚拟机之间的访问是否合理,校准基于静态的标签信息划分的访问关系。
关系正常校准:即第一方面有通信,且第二方面和第三方面都是有规律的,则一对虚拟机可以通信。
关系异常校准:即第一方面无通信,则不可以通信;或第一方面有通信,但第二方面和第三方面有任一不正常,则不可以通信。
图7为本申请实施例一种云平台上的虚拟机之间的访问关系可视化的方法示意图,所述方法包括以下步骤:
步骤701:用户通过云平台的管理面71输入虚拟机的标签信息,标签信息保存至云平台的控制面72的数据库;
步骤702:所述控制面72的数据库更新触发云平台的数据面73进行虚拟机的流信息采集;
步骤703:所述数据面73将采集到的流信息采集数据保存至本地数据库服务74;
步骤704:本地数据库服务74将流信息推到算法虚拟机75,算法虚拟机75从控制面72的数据库中拉取标签信息;
步骤705:算法虚拟机75进行访问关系计算;
步骤706:算法虚拟机75将访问关系计算结果上报至管理面71,管理面71通过画图组件绘制访问关系图。
本申请实施例中,云平台天然具有业务可视化能力,对宿主机及虚拟机零侵入,也无需部署外部物理设备或改造物理网络,可以动态呈现业务访问依赖关系,业务通信不再是黑盒状态,极大提高运维定障、安全预警的效率。
本申请实施例从虚拟机的零侵扰性、流量的零干预性以及部署成本高三个角度,实现了以下效果:
流量采集无需安装插件(包括宿主机及虚拟机)或重定向流量,直接在数据面直接采集源IP、目的IP、协议、端口号、流起始时间戳、流终止时间戳、包数信息,结合虚拟机标签,提供计算虚拟机访问关系的数据集。
通过采集的数据计算虚拟机访问模型,从环境到环境、虚拟机到虚拟机、单个虚拟机三个层次描述业务系统间、业务系统内虚拟机的通信情况,达到展示正常访问、确认拦截访问、发现未知/异常访问的效果。
无需额外部署设备或改变现有数据中心物理网络拓扑,业务上云平台后在授权的情况下即可使用。
基于前述的实施例,本申请实施例提供一种访问关系可视化装置,该装置包括所包括的各模块,可以通过电子设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU,Central Processing Unit)、微处理器(MPU,Microprocessor Unit)、数字信号处理器(DSP,Digital Signal Processing)或现场可编程门阵列(FPGA,Field Programmable Gate Array)等。
图8为本申请实施例一种访问关系可视化装置的组成结构示意图,如图8所示,所述装置800包括获取模块801、确定模块802、校正模块803和生成模块804,其中:
获取模块801,用于获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
确定模块802,用于根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;
校正模块803,用于根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;
生成模块804,用于根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
在一个实施例中,所述标签信息包括环境标签和类型标签;所述类型标签包括前端、中间件和数据库;所述确定模块802,包括:第一确定子模块,用于在所述至少两个虚拟机中任意两个虚拟机的环境标签不一致的情况下,确定对应两个虚拟机之间的初始访问关系为不通信;第二确定子模块,用于在所述至少两个虚拟机中任意两个虚拟机的环境标签和类型标签均一致的情况下,确定对应两个虚拟机之间的初始访问关系为通信。
在一个实施例中,所述确定模块802,还包括:第三确定子模块,用于在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、且一个虚拟机的类型标签为前端,另一个虚拟机的类型标签为中间件的情况下,确定对应两个虚拟机之间的初始访问关系为通信;第四确定子模块,用于在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、一个虚拟机的类型标签为中间件,另一个虚拟机的类型标签为数据库的情况下,确定对应两个虚拟机之间的初始访问关系为通信;第五确定子模块,用于在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、且一个虚拟机的类型标签为前端,另一个虚拟机的类型标签为数据库的情况下,确定对应两个虚拟机之间的初始访问关系为不通信。
在一个实施例中,所述数据流信息包括源IP地址、目的IP地址;所述校正模块803,第六确定子模块,用于根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址,确定所述至少两个虚拟机之间的校正访问关系;第七确定子模块,用于在所述校正访问关系与所述初始访问关系一致的情况下,将所述初始访问关系确定为至少两个虚拟机之间的目标访问关系;第八确定子模块,用于在所述校正访问关系与所述初始访问关系不一致的情况下,将所述校正访问关系确定为至少两个虚拟机之间的目标访问关系。
在一个实施例中,所述数据流信息还包括访问时间戳和数据包数量;所述装置还包括:第一再确定模块,用于根据所述至少两个虚拟机中每一所述虚拟机的访问时间戳,确定所述至少两个虚拟机中任意两个虚拟机之间的访问时间规律;第二再确定模块,用于根据所述至少两个虚拟机中每一所述虚拟机的数据包数量,确定所述至少两个虚拟机中任意两个虚拟机之间的访问流量规律;所述第六确定子模块,用于根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址、访问时间规律和访问流量规律,确定所述至少两个虚拟机之间的校正访问关系。
在一个实施例,所述第六确定子模块,用于在以下三条均满足的条件下,确定两个虚拟机之间的校正访问关系为通信;在以下三条中至少一条不满足的条件下,确定两个虚拟机之间的校正访问关系为不通信:所述至少两个虚拟机中任意两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址表明对应两个虚拟机之间有通信;对应两个虚拟机之间的访问时间规律满足特定的时间规律条件;对应两个虚拟机之间的访问流量规律满足特定的流量规律条件。
在一个实施例中,所述标签信息还包括业务系统标签,所述生成模块504,包括:第一划分子模块,用于根据环境标签,将所述至少两个虚拟机划分为至少一个环境集合;第二划分子模块,用于根据业务系统标签,将每一所述环境集合划分为至少一个系统子集;第一确定子模块,用于在任意两个环境集合中分别存在一个虚拟机,且两个虚拟机之间的目标访问关系为通信的情况下,确定对应两个环境集合之间的访问关系为通信;第二确定子模块,用于在任意两个环境集合中不存在目标访问关系为通信的虚拟机的情况下,确定对应两个环境集合之间的访问关系为不通信;生成子模块,用于根据所述至少一个环境集合、每一所述环境集合中的至少一个系统子集、任意两个环境集合之间的访问关系为通信或者不通信,生成所述至少两个虚拟机之间的访问关系视图。
在一个实施例中,所述生成模块804,包括:划分子模块,用于根据业务系统标签,将所述至少两个虚拟机划分为至少一个系统子集;第一确定子模块,用于在任意两个系统子集中分别存在一个虚拟机,且两个虚拟机之间的目标访问关系为通信的情况下,确定对应两个系统子集之间的访问关系为通信;第二确定子模块,用于在任意两个系统子集中不存在目标访问关系为通信的虚拟机的情况下,确定对应两个系统子集之间的访问关系为不通信;生成子模块,用于根据所述至少一个系统子集和任意两个系统子集之间的访问关系为通信或者不通信,生成所述至少两个虚拟机之间的访问关系视图。
在一个实施例中,所述数据流信息包括源IP地址、目的IP地址、协议和端口号;所述生成模块804,包括:第一确定子模块,用于根据每一所述虚拟机的源IP地址和目的IP地址,确定所述至少两个虚拟机中任意两个虚拟机之间的数据流向;第二确定子模块,用于根据类型标签,将每一所述虚拟机确定为对应类型;第三确定子模块,用于在任意两个虚拟机之间的目标访问关系为通信的情况下,确定对应类型之间的访问关系为通信;第四确定子模块,用于在任意两个虚拟机之间的目标访问关系为不通信的情况下,确定对应类型之间的访问关系为不通信;生成子模块,用于根据所述至少一个类型、任意两个类型之间的访问关系为通信或者不通信,数据流向、每一所述类型的协议和端口号,生成所述至少两个虚拟机之间的访问关系视图。
在一个实施例中,所述装置还包括展示模块,用于在所述访问关系视图中展示所述至少两个虚拟机中每一所述虚拟机的数据流信息、标签信息和访问信息;所述虚拟机的数据流信息中包括以下至少一项:每一所述虚拟机的虚拟机标识、源IP地址、目的IP地址、开放的协议和端口号、建议封堵的协议和端口号和隔离状态;所述虚拟机的标签信息包括以下至少一项:环境标签、业务系统标签和类型标签;所述虚拟机的访问信息包括以下至少一项:每一所述虚拟机的目标访问关系的个数和状态。。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
对应地,本申请实施例提供一种电子设备,图9为本申请实施例电子设备的一种硬件实体示意图,如图9所示,该电子设备900的硬件实体包括:包括存储器901和处理器902,所述存储器901存储有可在处理器902上运行的计算机程序,所述处理器902执行所述程序时实现上述实施例访问关系可视化方法中的步骤。
存储器901配置为存储由处理器902可执行的指令和应用,还可以缓存待处理器902以及电子设备900中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random AccessMemory,RAM)实现。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的访问关系可视化方法中的步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同设备实施例相似的有益效果。对于本申请存储介质和方法实施例中未披露的技术细节,请参照本申请设备实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得计算机设备(可以是手机、平板电脑、台式机、个人数字助理、导航仪、数字电话、视频电话、电视机、传感设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (13)
1.一种访问关系可视化方法,其特征在于,所述方法包括:
获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;
根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;
根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
2.根据权利要求1所述的方法,其特征在于,所述虚拟机的标签信息包括所述虚拟机的环境标签和类型标签;所述根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系,包括:
在所述至少两个虚拟机中任意两个虚拟机的环境标签不一致的情况下,确定对应两个虚拟机之间的初始访问关系为不通信;
在所述至少两个虚拟机中任意两个虚拟机的环境标签和类型标签均一致的情况下,确定对应两个虚拟机之间的初始访问关系为通信。
3.根据权利要求2所述的方法,其特征在于,所述虚拟机的类型标签包括前端、中间件和数据库;所述根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系,还包括以下之一:
在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、且一个虚拟机的类型标签为前端,另一个虚拟机的类型标签为中间件的情况下,确定对应两个虚拟机之间的初始访问关系为通信;
在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、一个虚拟机的类型标签为中间件,另一个虚拟机的类型标签为数据库的情况下,确定对应两个虚拟机之间的初始访问关系为通信;
在所述至少两个虚拟机中任意两个虚拟机的环境标签一致、且一个虚拟机的类型标签为前端,另一个虚拟机的类型标签为数据库的情况下,确定对应两个虚拟机之间的初始访问关系为不通信。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述数据流信息包括源IP地址、目的IP地址;
所述根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系,包括:
根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址,确定所述至少两个虚拟机之间的校正访问关系;
在所述校正访问关系与所述初始访问关系一致的情况下,将所述初始访问关系确定为至少两个虚拟机之间的目标访问关系;
在所述校正访问关系与所述初始访问关系不一致的情况下,将所述校正访问关系确定为至少两个虚拟机之间的目标访问关系。
5.根据权利要求4所述的方法,其特征在于,所述数据流信息还包括访问时间戳和数据包数量;所述方法还包括:
根据所述至少两个虚拟机中每一所述虚拟机的访问时间戳,确定所述至少两个虚拟机中任意两个虚拟机之间的访问时间规律;
根据所述至少两个虚拟机中每一所述虚拟机的数据包数量,确定所述至少两个虚拟机中任意两个虚拟机之间的访问流量规律;
所述根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址,确定所述至少两个虚拟机之间的校正访问关系,包括:根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址、访问时间规律和访问流量规律,确定所述至少两个虚拟机之间的校正访问关系。
6.根据权利要求5所述的方法,其特征在于,所述根据所述至少两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址、访问时间规律和访问流量规律,确定所述至少两个虚拟机之间的校正访问关系,包括:
在以下三条均满足的条件下,确定两个虚拟机之间的校正访问关系为通信;在以下三条中至少一条不满足的条件下,确定两个虚拟机之间的校正访问关系为不通信:
所述至少两个虚拟机中任意两个虚拟机中每一所述虚拟机的源IP地址和目的IP地址表明对应两个虚拟机之间有通信;
对应两个虚拟机之间的访问时间规律满足特定的时间规律条件;
对应两个虚拟机之间的访问流量规律满足特定的流量规律条件。
7.根据权利要求2或3所述的方法,其特征在于,所述标签信息还包括业务系统标签,所述根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图,包括:
根据环境标签,将所述至少两个虚拟机划分为至少一个环境集合;
根据业务系统标签,将每一所述环境集合划分为至少一个系统子集;
在任意两个环境集合中分别存在一个虚拟机,且两个虚拟机之间的目标访问关系为通信的情况下,确定对应两个环境集合之间的访问关系为通信;
在任意两个环境集合中不存在目标访问关系为通信的虚拟机的情况下,确定对应两个环境集合之间的访问关系为不通信;
根据所述至少一个环境集合、每一所述环境集合中的至少一个系统子集、任意两个环境集合之间的访问关系为通信或者不通信,生成所述至少两个虚拟机之间的访问关系视图。
8.根据权利要求2或3所述的方法,其特征在于,所述标签信息还包括业务系统标签,所述根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图,包括:
根据业务系统标签,将所述至少两个虚拟机划分为至少一个系统子集;
在任意两个系统子集中分别存在一个虚拟机,且两个虚拟机之间的目标访问关系为通信的情况下,确定对应两个系统子集之间的访问关系为通信;
在任意两个系统子集中不存在目标访问关系为通信的虚拟机的情况下,确定对应两个系统子集之间的访问关系为不通信;
根据所述至少一个系统子集和任意两个系统子集之间的访问关系为通信或者不通信,生成所述至少两个虚拟机之间的访问关系视图。
9.根据权利要求2或3所述的方法,其特征在于,所述数据流信息包括源IP地址、目的IP地址、协议和端口号;所述根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图,包括:
根据每一所述虚拟机的源IP地址和目的IP地址,确定所述至少两个虚拟机中任意两个虚拟机之间的数据流向;
根据类型标签,将每一所述虚拟机确定为对应类型;
在任意两个虚拟机之间的目标访问关系为通信的情况下,确定对应类型之间的访问关系为通信;
在任意两个虚拟机之间的目标访问关系为不通信的情况下,确定对应类型之间的访问关系为不通信;
根据所述至少一个类型、任意两个类型之间的访问关系为通信或者不通信和数据流向、每一所述类型的协议和端口号,生成所述至少两个虚拟机之间的访问关系视图。
10.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
在所述访问关系视图中展示所述至少两个虚拟机中每一所述虚拟机的数据流信息、标签信息和访问信息;
所述虚拟机的数据流信息中包括以下至少一项:每一所述虚拟机的虚拟机标识、源IP地址、目的IP地址、开放的协议和端口号、建议封堵的协议和端口号和隔离状态;
所述虚拟机的标签信息包括以下至少一项:环境标签、业务系统标签和类型标签;
所述虚拟机的访问信息包括以下至少一项:每一所述虚拟机的目标访问关系的个数和状态。
11.一种访问关系可视化装置,其特征在于,所述装置包括:
获取模块,用于获取云平台内至少两个虚拟机中每一所述虚拟机的数据流信息和标签信息;所述标签信息用于标注所述虚拟机的属性;
确定模块,用于根据所述至少两个虚拟机中每一所述虚拟机的标签信息,确定所述至少两个虚拟机之间的初始访问关系;
校正模块,用于根据所述至少两个虚拟机中每一所述虚拟机的数据流信息,对所述至少两个虚拟机之间的初始访问关系进行校正,得到所述至少两个虚拟机之间的目标访问关系;
生成模块,用于根据所述至少两个虚拟机之间的目标访问关系和每一所述虚拟机的标签信息,生成所述至少两个虚拟机之间的访问关系视图。
12.一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至10中任一项所述访问关系可视化方法中的步骤。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至10中任一项所述访问关系可视化方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110943018.5A CN113703915B (zh) | 2021-08-17 | 2021-08-17 | 访问关系可视化方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110943018.5A CN113703915B (zh) | 2021-08-17 | 2021-08-17 | 访问关系可视化方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113703915A CN113703915A (zh) | 2021-11-26 |
| CN113703915B true CN113703915B (zh) | 2023-07-14 |
Family
ID=78653034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110943018.5A Active CN113703915B (zh) | 2021-08-17 | 2021-08-17 | 访问关系可视化方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113703915B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114650187B (zh) * | 2022-04-29 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN115118466B (zh) * | 2022-06-14 | 2024-04-12 | 深信服科技股份有限公司 | 一种策略生成方法、装置、电子设备和存储介质 |
| CN115883628A (zh) * | 2022-11-30 | 2023-03-31 | 北京安博通科技股份有限公司 | 一种资产相互访问关系建立方法、装置、设备及存储介质 |
| CN115622808B (zh) * | 2022-12-13 | 2023-05-23 | 北京市大数据中心 | 安全隔离的方法、电子设备、计算机可读介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107276858A (zh) * | 2017-08-17 | 2017-10-20 | 深信服科技股份有限公司 | 一种访问关系梳理方法及系统 |
| CN108777679A (zh) * | 2018-05-22 | 2018-11-09 | 深信服科技股份有限公司 | 终端的流量访问关系生成方法、装置和可读存储介质 |
| CN112260880A (zh) * | 2020-12-17 | 2021-01-22 | 金锐同创(北京)科技股份有限公司 | 一种网络访问关系的显示方法及相关设备 |
| CN112261176A (zh) * | 2020-12-24 | 2021-01-22 | 金锐同创(北京)科技股份有限公司 | 一种网络实际访问关系的获取方法及相关设备 |
| CN113242159A (zh) * | 2021-05-24 | 2021-08-10 | 中国工商银行股份有限公司 | 应用访问关系确定方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162627B (zh) * | 2015-08-24 | 2018-12-18 | 上海天旦网络科技发展有限公司 | 发现与呈现网络应用访问信息的方法和系统 |
| US11700258B2 (en) * | 2016-12-30 | 2023-07-11 | Ssh Communications Security Oyj | Access relationships in a computer system |
-
2021
- 2021-08-17 CN CN202110943018.5A patent/CN113703915B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107276858A (zh) * | 2017-08-17 | 2017-10-20 | 深信服科技股份有限公司 | 一种访问关系梳理方法及系统 |
| CN108777679A (zh) * | 2018-05-22 | 2018-11-09 | 深信服科技股份有限公司 | 终端的流量访问关系生成方法、装置和可读存储介质 |
| CN112260880A (zh) * | 2020-12-17 | 2021-01-22 | 金锐同创(北京)科技股份有限公司 | 一种网络访问关系的显示方法及相关设备 |
| CN112261176A (zh) * | 2020-12-24 | 2021-01-22 | 金锐同创(北京)科技股份有限公司 | 一种网络实际访问关系的获取方法及相关设备 |
| CN113242159A (zh) * | 2021-05-24 | 2021-08-10 | 中国工商银行股份有限公司 | 应用访问关系确定方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113703915A (zh) | 2021-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113703915B (zh) | 访问关系可视化方法、装置、电子设备和存储介质 | |
| US20200304390A1 (en) | Synthetic data for determining health of a network security system | |
| US11765198B2 (en) | Selecting actions responsive to computing environment incidents based on severity rating | |
| US10402293B2 (en) | System for virtual machine risk monitoring | |
| US10262145B2 (en) | Systems and methods for security and risk assessment and testing of applications | |
| US10079846B2 (en) | Domain name system (DNS) based anomaly detection | |
| CN107683597B (zh) | 用于异常检测的网络行为数据收集和分析 | |
| US10778645B2 (en) | Firewall configuration manager | |
| EP3304822A1 (en) | Method and apparatus for grouping features into bins with selected bin boundaries for use in anomaly detection | |
| US11095611B2 (en) | Traffic visibility and segmentation policy enforcement for workloads in different address spaces | |
| US20190379677A1 (en) | Intrusion detection system | |
| US10887323B2 (en) | Detecting malicious beaconing communities using lockstep detection and co-occurrence graph | |
| CN111538558B (zh) | 用于自动选择安全虚拟机的系统和方法 | |
| US11263266B2 (en) | Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program | |
| CN103931140A (zh) | 虚拟化网络的分布式地址解析服务 | |
| US20240048580A1 (en) | Detection of escalation paths in cloud environments | |
| CN110780912A (zh) | 利用分段支持的分层生成树软件补丁 | |
| US11368545B2 (en) | Ranking of enterprise devices using activity-based network profiles and functional characterization-based device clustering | |
| Klement et al. | Open or not open: Are conventional radio access networks more secure and trustworthy than Open-RAN? | |
| US20170099304A1 (en) | Automatic generation of cluster descriptions | |
| EP3379772B1 (en) | Analysis method, analysis device, and analysis program | |
| CN113114588B (zh) | 数据处理方法、装置、电子设备和存储介质 | |
| CN114697052B (zh) | 网络防护方法及装置 | |
| US10020990B2 (en) | Network stability reconnaisance tool | |
| CN114615015A (zh) | 服务系统修复优先级的确定方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |