CN115277503A - 一种监控网络流量的方法、装置、存储介质及电子设备 - Google Patents

一种监控网络流量的方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN115277503A
CN115277503A CN202210731315.8A CN202210731315A CN115277503A CN 115277503 A CN115277503 A CN 115277503A CN 202210731315 A CN202210731315 A CN 202210731315A CN 115277503 A CN115277503 A CN 115277503A
Authority
CN
China
Prior art keywords
data
server
network
event
flow rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210731315.8A
Other languages
English (en)
Other versions
CN115277503B (zh
Inventor
谢宁宁
孙李坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210731315.8A priority Critical patent/CN115277503B/zh
Publication of CN115277503A publication Critical patent/CN115277503A/zh
Application granted granted Critical
Publication of CN115277503B publication Critical patent/CN115277503B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请的一些实施例提供一种监控网络流量的方法、装置、存储介质及电子设备,该方法包括:获取监控到的服务器的网络流量数据,其中,所述网络流量数据包括网络数据流速以及与所述网络数据流速对应的服务器数据通道,其中,所述服务器数据通道为服务器端口或服务器网卡;确认所述网络数据流速超出流速阈值,则获取与所述网络流量数据对应的事件信息,其中,所述事件信息包括事件类别;获取与所述事件信息对应的风险等级,并根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置。本申请的一些实施例可以对服务器的网络流量进行智能化限速处置,不需要部署额外的网络设备,有效确保了服务器服务的正常运行。

Description

一种监控网络流量的方法、装置、存储介质及电子设备
技术领域
本申请涉及网络数据传输技术领域,具体而言,涉及一种监控网络流量的方法、装置、存储介质及电子设备。
背景技术
随着互联网的高速发展,网络中需要传输的数据逐渐增多。
目前,在网络安全项目中网络带宽的网络传输流量是有限的,现有技术中通过增设外部网络设备干扰,确保服务器网络流量的传输稳定性,依赖性较高。但是在没有外部网络设备支撑的情况下,服务器网络流量占用的带宽较高时,容易影响服务器业务系统的正常运行以及访问,进而导致重要数据的丢失以及正常传输。
因此,如何提供一种高效的监控网络流量的方法的技术方案成为亟需解决的技术问题。
发明内容
本申请的一些实施例的目的在于提供一种监控网络流量的方法、装置、存储介质及电子设备,通过本申请的实施例的技术方案可以对服务器的网络流量进行智能化限速处置,不需要部署额外的网络设备,有效确保了服务器服务的正常运行,同时可以降低重要数据无法正常传输的风险。
第一方面,本申请的一些实施例提供了一种监控网络流量的方法,包括:获取监控到的服务器的网络流量数据,其中,所述网络流量数据包括网络数据流速以及与所述网络数据流速对应的服务器数据通道,其中,所述服务器数据通道为服务器端口或服务器网卡;确认所述网络数据流速超出流速阈值,则获取与所述网络流量数据对应的事件信息,其中,所述事件信息包括事件类别;获取与所述事件信息对应的风险等级,并根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置。
本申请的一些实施例通过对达到流量阈值的网络流量数据对应的事件类别的风险等级进行评估,确认对服务器数据通道的处置方式,可以实现对服务器的网络流量进行智能化限速处置,不需要部署额外的网络设备,有效确保了服务器的业务系统的正常运行,同时可以降低重要数据无法正常传输的风险,也降低了服务器因某个业务端口(也就是服务器端口)占用带宽较大而影响其他服务正常运行的风险。
在一些实施例,所述获取监控到的服务器的网络流量数据,包括:调取所述服务器的网络流量数据模型;将所述网络流量数据模型进行分割,得到至少一条流速数据;利用正则匹配算法对所述流速数据进行匹配,获取所述网络流量数据。
本申请的一些实施例通过对获取到的网络流量数据模型进行分割和匹配得到网络流速数据,可以为后续确认该网络流速数据对应的服务器数据通道的限速处置方式提供数据支撑。
在一些实施例,所述获取监控到的服务器的网络流量数据,包括:获取所述服务器数据通道在目标时段内的数据传输量;求解所述数据传输量与所述目标时段的比值,获取所述网络数据流速。
本申请的一些实施例通过在目标时段内的数据传输量可以得到准确地网络数据流速。
在一些实施例,所述获取与所述事件信息对应的风险等级,包括:基于预先存储的多个事件类别与事件风险等级的对照表,确定所述事件类别对应的风险等级,其中,所述事件风险等级是根据所述多个事件类别中各事件类别的优先级确定的,所述事件风险等级包括第一等级和第二等级,所述第一等级的事件的优先级低于所述第二等级的事件的优先级;所述根据所述风险等级对所述服务器数据通道的网络流量进行处置,包括:若确认所述风险等级为所述第一等级,则获取限速指令,并对所述服务器数据通道执行所述限速指令;若确认所述风险等级为所述第二等级,则对所述服务器数据通道的网络流量不进行处置。
本申请的一些实施例通过得到网络流量数据对应的事件类别的风险等级,对服务器数据通道自动执行限速指令或不进行处置,使得优先级较高的事件对应的数据可以正常传输,有效确保了服务器业务系统的正常运行。
在一些实施例,在所述对所述服务器数据通道执行所述限速指令之前,所述方法还包括:将所述服务器数据通道的处置状态更新为限速;将所述网络流量数据、所述事件信息以及所述处置状态存储至信息库中,其中,所述处置状态包括所述限速和取消限速中的任一种,所述网络流量数据还包括:流量数据源地址、流量数据源端口、流量数据目的地址和流量数据目的端口,所述事件信息还包括:事件发生时间、事件类型、事件操作结果、事件设备类型以及事件设备地址。
本申请的一些实施例通过将服务器数据通道相关的信息存储至信息库,可以将网络流量数据持久化,丰富信息库的数据量。
在一些实施例,在所述对所述服务器数据通道执行所述限速指令之后,所述方法还包括:定时检测所述服务器数据通道的流量数据,获取数据流速;根据所述数据流速,确定处置指令,并依据所述处置指令确认是否取消对所述服务器数据通道的限速。
本申请的一些实施例通过对服务器数据通道进行定时检测,可以实现对服务器数据通道的灵活调整,确保服务器服务的正常运行和访问,避免了长时间对服务器数据通道进行限速影响重要数据的传输。
在一些实施例,所述根据所述数据流速,确定处置指令,并依据所述处置指令确认是否取消对所述服务器数据通道的限速,包括:若所述数据流速与所述流速阈值相等,则获取所述限速指令,并继续对所述服务器数据通道执行所述限速指令;若所述数据流速小于所述流速阈值,则获取所述取消限速的指令,并对所述服务器数据通道执行所述取消限速的指令,将所述信息库中的所述处置状态更改为取消限速。
本申请的一些实施例通过对数据流速与流速阈值的关系,确定对服务器数据通道执行的指令,可以实现对服务器数据通道的智能化调整,确保服务器的业务服务系统的正常运行和访问。
在一些实施例,所述根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置,包括:将所述事件信息和所述网络流量数据缓存至业务队列中,并生成告警信息或向业务人员发送处置提醒信息,其中,所述业务队列用于缓存需要限速处置的服务器数据通道。
本申请的一些实施例还可以通过将事件信息和网络流量数据缓存至业务队列中,并发送处置提醒信息向业务人员进行告警的方式进行人工处置,灵活度较高。
第二方面,本申请的一些实施例提供了一种监控网络流量的装置,包括:数据获取模块,被配置为获取监控到的服务器的网络流量数据,其中,所述网络流量数据包括网络数据流速以及与所述网络数据流速对应的服务器数据通道,其中,所述服务器数据通道为服务器端口或服务器网卡;数据判定模块,被配置为确认所述网络数据流速超出流速阈值,则获取与所述网络流量数据对应的事件信息,其中,所述事件信息包括事件类别;处置模块,被配置为获取与所述事件信息对应的风险等级,并根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置。
第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的方法。
附图说明
为了更清楚地说明本申请的一些实施例的技术方案,下面将对本申请的一些实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请的一些实施例提供的一种监控网络流量的系统图之一;
图2为本申请的一些实施例提供的一种监控网络流量的系统图之二;
图3为本申请的一些实施例提供的一种监控网络流量的方法流程图;
图4为本申请的一些实施例提供的一种监控网络流量的装置组成框图;
图5为本申请的一些实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本申请的一些实施例中的附图,对本申请的一些实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
相关技术中,在面对海量数据在网络中传输时,一般依赖于外部网络设备干扰来降低服务器数据传输时的带宽占用率。但是在没有外部网络设备干扰的情况下,服务器的一个业务系统对应的服务器端口的网络流量数据占用的带宽太高,会导致其他业务系统端口的正常运行和访问,此时极易出现重要数据丢失或无法正常传输的情况。例如在网络安全项目中重要数据无法正常传输可能会增大服务器的安全风险。
鉴于此,本申请的一些实施例提供了一种监控网络流量的方法,该方法可以在服务器的网络数据流速命中流速阈值的情况下,对该网络数据流速对应的事件的风险等级进行确认,进而确认对服务器数据通道的网络流量是否进行限速处置。本申请的一些实施例可以实现对服务器的智能化处置,有效确保了服务器服务的正常运行,同时可以降低重要数据无法正常传输的风险。
如图1所示,本申请的一些实施例提供了一种监控网络流量的系统,该系统包括:终端100和服务器200,其中,终端100可以与服务器200上的任一服务器端口进行连接实现数据传输。终端100可以向服务器200的服务器端口(作为服务器数据通道的一个示例)发送需要传输的网络数据,服务器200可以对该服务器端口的网络流量数据进行监控和风险等级评估,并确认对服务器端口的网络流量是否进行限速处置。
在本申请的另一些实施例中,由于服务器200可以设置有多个服务器端口或服务器网卡,因此每台服务器200可以连接有多个终端100。
在本申请的一些实施例中终端120可以是防火墙设备、移动终端设备,也可以为非便携的电脑终端等等,本申请在此不作具体限定。
在本申请的另一些实施例中还提供了如图2所示的一种监控网络流量的系统,将该监控网络流量的系统部署至服务器200中,可以使得服务器200具有对该服务器数据通道的网络流量数据进行监控和风险等级评估,并确认对服务器端口的网络流量是否进行限速处置的功能。
在本申请的另一些实施例中,监控网络流量的系统包括:流量监控层210、监控分析层220、数据抓取层230、风险评估层240、结果记录层250以及流速处置层260。
下面示例性阐述各模块的功能。
在本申请的一些实施例中,流量监控层210用于调取所述服务器的网络流量数据模型;将所述网络流量数据模型进行分割,得到至少一条流速数据;利用正则匹配算法对所述流速数据进行匹配,获取所述网络流量数据。其中,所述网络流量数据包括:网络数据流速、与所述网络数据流速对应的服务器数据通道、数据传输量、目标时段、流量数据源地址、流量数据源端口、流量数据目的地址和流量数据目的端口。
例如,在本申请的一些实施例中,流量监控层210包括流量监控(也就是iftop_server)服务以及流量分析(也就是traffic_analysis)服务。iftop_server服务会通过在程序代码中调用系统的iftop监控指令获取服务器的网络流量数据,该网络流量数据包括源IP(Internet Protocol,网络互连协议,作为流量数据源地址的一个示例)、源端口(作为流量数据源端口的一个示例)、目的IP(作为流量数据目的地址的一个示例)和目的端口(作为流量数据目的端口的一个示例)、目标时段以及数据传输量等信息的网络流量数据模型。iftop_server服务在获取到网络流量数据模型后会发送给traffic_analysis服务,traffic_analysis收到网络数据模型后对其进行分割得到多条流速数据,然后利用正则匹配算法将各流速数据匹配到相关的字段得到的网络流量数据(例如,源IP:1.1.1.1、源端口:1909、目的IP:1.1.1.2、目的端口:1908、目标时段:5秒、数据传输量20M)发送至监控分析层220。其中,目标时段可以根据实际的情况进行设定。
在本申请的一些实施例中,监控分析层220用于求解所述数据传输量与所述目标时段的比值,获取所述网络数据流速。监控分析层220还用于确认所述网络数据流速与流速阈值之间的关系。
例如,在本申请的一些实施例中,监控分析层220包括监控分析引擎和阈值模型。监控分析引擎用于求解网络数据流速即20/5=4M/s。阈值模型中设置有至少一个流速阈值(例如端口阈值或网卡阈值),每个流速阈值对应不同的服务器端口和服务器网卡。例如,80端口对应80端口阈值,22端口对应22端口阈值等。通过阈值模型可以判断某个服务器数据通道的网络数据流速是否命中阈值模型,若网络数据流速小于流速阈值则确认未命中阈值模型,此时不需要进行任何处置,若网络数据流速超出流速阈值则确认命中阈值模型,然后将网络流量数据封装发送至数据抓取层230。
在本申请的另一些实施例中,监控分析层220的阈值模型中的流速阈值还可以是在目标时间段内设置的最大数据传输量,例如,10秒的传输量为100M,如果每10秒采集到的数据传输量为102M,此时为命中阈值模型,若低于100M则未命中阈值模型。
在本申请的一些实施例中,数据抓取层230用于获取与所述网络流量数据对应的事件信息,其中,所述事件信息包括:事件类别、事件发生时间、事件类型、事件操作结果、事件设备类型以及事件设备地址。
例如,在本申请的一些实施例中,数据抓取层230包括抓包服务(例如,tcpdump_pack服务,即对网络上的数据包进行截获的包分析工具)、包解析服务(例如,pack_analysis服务)以及数据转换服务(例如,pack_convert服务)。数据抓取层230在接收到监控分析层220发送的网络流量数据后解析出对应的源IP和源端口,tcpdump_pack服务会通过程序代码调用操作系统的tcpdump指令去对源IP和源端口进行数据包截取,然后pack_analysis服务对截取到的数据包进行解析,得到至少一条网络数据包,之后pack_convert服务将网络数据包封装成固定格式和可读性较高的数据流信息(也就是事件信息)。然后将数据流信息以及源IP、源端口发送至风险评估层240。例如,数据流信息可以包括:事件名称:登录,事件发生时间:2022-05-31 11:50:09,日志级别:信息,事件类别:操作日志,事件类型:登录,用户名:superadmin,事件操作结果:成功,事件设备类型:防火墙以及事件设备地址:1.3.2.1等等。应理解在实际的数据传输时,数据流信息中还可能包含一些日志数据、ping操作数据包(例如nmap数据包)等等。
在本申请的一些实施例中,风险评估层240用于获取与所述事件信息对应的风险等级,并根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置。若确认所述风险等级为所述第一等级,则获取限速指令,若确认所述风险等级为所述第二等级,则对所述服务器数据通道的网络流量不进行处置。
在本申请的一些实施例中,风险评估层240还用于基于预先存储的多个事件类别与事件风险等级的对照表,确定所述事件类别对应的风险等级,其中,所述事件风险等级是根据所述多个事件类别中各事件类别的优先级确定的,所述事件风险等级包括第一等级和第二等级,所述第一等级的事件的优先级低于所述第二等级的事件的优先级。
例如,在本申请的一些实施例中,风险评估层240包括风险命中服务和风险模型。风险模型中内置有数据转换算法,可以将数据流信息进行数据转换(例如,可以将xml格式数据或者json格式数据序列化并转换成二进制的数据流信息)。风险命中服务可以对接收到数据抓取层230的数据流信息进行分析,筛选出需要的数据,例如筛选出事件类别。通过事件类别与风险模型进行碰撞判定风险等级,并获取相应的指令,其中,风险模型中存储有多个事件类别与事件风险等级的对照表,以此可以得到事件类别对应的风险等级。风险等级可以分为第一等级和第二等级,其中第一等级可以包括低等需求事件和中等需求事件,第二等级为高等需求事件。其中,低等需求事件和中等需求事件可以指的是操作日志事件,高等需求事件可以指的是病毒或攻击类的数据事件。
在本申请的一些实施例中,结果记录层250用于将所述服务器数据通道的处置状态更新为限速;将所述网络流量数据、所述事件信息以及所述处置状态存储至信息库中,其中,所述处置状态包括所述限速和取消限速中的任一种。
例如,在本申请的一些实施例中,结果记录层250包括MySQL数据库(作为信息库的一个具体示例)。通过将网络流量数据、事件信息以及服务器数据通道的处置状态存储在MySQL(My Esquel,数据库管理系统)数据库中,实现数据的持久化处理。
在本申请的一些实施例中,流速处置层260用于对所述服务器数据通道执行所述限速指令。
例如,在本申请的一些实施例中,流速处置层260在接收到对服务器端口进行的限速指令后,调用操作系统中的限速指令来实现对服务器端口的限速。
在本申请的一些实施例中,结果记录层250还用于定时检测所述服务器数据通道的流量数据,获取数据流速;根据所述数据流速,确定处置指令,并依据所述处置指令确认是否取消对所述服务器数据通道的限速。
在本申请的一些实施例中,监控分析层220用于判定数据流速和流速阈值的关系,也就是判定所述数据流速与所述流速阈值是否相等,然后将结果发送至结果记录层250。若所述数据流速与所述流速阈值相等,则结果记录层250可以获取所述限速指令,若所述数据流速小于所述流速阈值,则结果记录层250可以获取所述取消限速的指令,将所述信息库中的所述处置状态更改为取消限速。
例如,在本申请的一些实施例中,结果记录层250还包括redis(RemoteDictionary Server,远程字典服务),该服务可以设置定时任务,该定时任务可以在MySQL中生效的限速任务(也就是处置状态为限速的服务器数据通道)中在redis中匹配是否失效。例如可以设置为10分钟对服务器端口进行监控,通过监控到的数据流速与监控分析层220中的阈值模型的流速阈值进行碰撞,如果数据流速达到了流速阈值则获取限速指令,否则获取取消限速的指令,并将MySQL中服务器端口的处置状态更新为取消限速。
在本申请的一些实施例中,流速处置层260还用于继续对所述服务器数据通道执行所述限速指令或者对所述服务器数据通道执行所述取消限速的指令。
例如,在本申请的一些实施例中,流速处置层260包括网卡限速接口、端口限速接口以及清除限速接口。上述限速的为服务器端口,因此调用端口限速接口对服务器端口进行限速。若得到的是取消限速的指令,则调用清除限速接口对服务器端口进行取消限速即可。
在本申请的一些实施例中,结果记录层250还用于将所述事件信息和所述网络流量数据缓存至业务队列中,并生成告警信息或向业务人员发送处置提醒信息,其中,所述业务队列用于缓存需要限速处置的服务器数据通道。
例如,在本申请的一些实施例中,结果记录层250还包括业务拓展服务,其中业务拓展服务可以供研发人员开发一些需求功能。例如,需要增加业务人员手动对服务器数据通道进行限速处置,此时,结果记录层250可以将风险评估层240的数据信息(例如,事件信息、网络数据信息和风险等级)缓存至业务队列中等待业务人员作相应的处理。例如还可以增加风险数据信息告警功能,对服务器的网络流量监控时可以将监控到的风险数据信息提醒业务人员,以采取相应的措施维护服务器安全运行。
下面结合附图3示例性阐述本申请的一些实施例提供的由服务器200执行的一种监控网络流量的方法实现过程。
请参见附图3,图3为本申请的一些实施例提供的一种监控网络流量的方法流程图,该方法包括:
S310,获取监控到的服务器的网络流量数据,其中,所述网络流量数据包括网络数据流速以及与所述网络数据流速对应的服务器数据通道,其中,所述服务器数据通道为服务器端口或服务器网卡。
例如,在本申请的一些实施例中,服务器上设置有不同的服务器网卡或服务器端口以此实现对不同的终端设备的数据传输。在对服务器进行监控时,也就是对任一服务器网卡或任一服务器端口的网络流量监控。
在本申请的一些实施例中,S310包括调取所述服务器的网络流量数据模型;将所述网络流量数据模型进行分割,得到至少一条流速数据;利用正则匹配算法对所述流速数据进行匹配,获取所述网络流量数据。
例如,作为本申请的一个具体示例,网络流量数据在代码层均是英文格式,为了可以读懂网络流量数据需要对得到的网络流量数据模型进行分割和匹配,得到对应的源IP、源端口、目的IP和目的端口。其中,源IP指的是发送网络数据的数据源设备IP,通过服务器可以将数据发送至目的IP的接收数据的目的设备。例如,网络流量数据可以包括:源IP:1.1.1.1,源端口:1909,目的IP:1.1.1.2,目的端口:1908,时间段:5秒,数据传输量100M,服务器端口:80。
在本申请的另一实施例中,若数据源设备IP可以将网络数据传输至服务器,此时服务器也可以作为目的设备。
在本申请的一些实施例中,S310还包括获取所述服务器数据通道在目标时段内的数据传输量;求解所述数据传输量与所述目标时段的比值,获取所述网络数据流速。
例如,在本申请的一些实施例中,网络数据流速=100/5=20M/s。
S320,确认所述网络数据流速超出流速阈值,则获取与所述网络流量数据对应的事件信息,其中,所述事件信息包括事件类别。
例如,作为本申请的一个具体示例,服务器端口80的流速阈值为10M/s,可以得出网络数据流速20M/s超出了流速阈值,此时,获取源IP也就是产生该网络流量数据的对应的事件信息。例如,事件信息中事件类别为操作日志,事件名称:登录,事件发生时间:2022-05-31 11:50:09,日志级别:信息,事件类型:登录,用户名:superadmin,事件操作结果:成功,事件设备类型:防火墙以及事件设备地址:1.3.2.1。
S330,获取与所述事件信息对应的风险等级。
在本申请的一些实施例中,S330可以包括:基于预先存储的多个事件类别与事件风险等级的对照表,确定所述事件类别对应的风险等级,其中,所述事件风险等级是根据所述多个事件类别中各事件类别的优先级确定的,所述事件风险等级包括第一等级和第二等级,所述第一等级的事件的优先级低于所述第二等级的事件的优先级。
例如,在本申请的一些实施例中,产生网络流量数据的设备不同,对应的事件的等级也不相同。在网络安全领域,涉及到网络安全的事件对应的数据比较重要,因此这类事件定义为第二等级,只是涉及到操作日志一类是事件对应的数据重要性较低,因此这类事件定义为第一等级,可以理解的是,对照表是根据实际情况进行预先定制的,可以针对不同的项目进行调整,本申请在此不作具体限定。
S340,根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置。
在本申请的一些实施例中,若确认所述风险等级为所述第一等级,则获取限速指令,并对所述服务器数据通道执行所述限速指令;若确认所述风险等级为所述第二等级,则对所述服务器数据通道的网络流量不进行处置。
例如,作为本申请的一个具体示例,上述的事件类别为操作日志,根据S330中的对照表可以得出该事件属于第一等级,此时生成限速指令,并对服务器端口80执行限速指令,对其进行限速处置。
在本申请的一些实施例中,S340中在对所述服务器数据通道执行所述限速指令之前,监控网络流量的方法还包括:将所述服务器数据通道的处置状态更新为限速;将所述网络流量数据、所述事件信息以及所述处置状态存储至信息库中,其中,所述处置状态包括所述限速和取消限速中的任一种,所述网络流量数据还包括:流量数据源地址、流量数据源端口、流量数据目的地址和流量数据目的端口,所述事件信息还包括:事件发生时间、事件类型、事件操作结果、事件设备类型以及事件设备地址。
例如,作为本申请的一个具体示例,将服务器端口80的处置状态存储至信息库中,并将与服务器端口80相关的网络流量数据和事件信息均存储在信息库,实现对数据的持久化处理。
在本申请的一些实施例中,S340中在对所述服务器数据通道执行所述限速指令之后,监控网络流量的方法还包括:定时检测所述服务器数据通道的流量数据,获取数据流速;根据所述数据流速,确定处置指令,并依据所述处置指令确认是否取消对所述服务器数据通道的限速。其中,若所述数据流速与所述流速阈值相等,则获取所述限速指令,并继续对所述服务器数据通道执行所述限速指令;若所述数据流速小于所述流速阈值,则获取所述取消限速的指令,并对所述服务器数据通道执行所述取消限速的指令,将所述信息库中的所述处置状态更改为取消限速。
例如,作为本申请的一个具体示例,将检测周期设置为10分钟,在这10分钟之内对服务器端口80进行监控,如果数据流速达到了10M/s,则认为实际的数据流速高于10M/s,此时得到限速指令,需要继续对该服务器端口80进行限速;如果数据流速小于10M/s,此时得到取消限速的指令,则对服务器端口80取消限速,有效避免了对服务器端口进行长时间限速,导致重要数据无法正常传输的风险。
在本申请的一些实施例中,S340还可以包括:将所述事件信息和所述网络流量数据缓存至业务队列中,并生成告警信息或向业务人员发送处置提醒信息,其中,所述业务队列用于缓存需要限速处置的服务器数据通道。
例如,作为本申请的一个具体示例,还可以对服务器端口进行手动处置,通过将事件信息、网络流量数据和风险等级缓存到业务队列,并提醒业务人员进行处置,灵活性较高。
通过本申请的一些实施例可知,监控网络流量的方法可以部署在服务器上,使得服务器可以自动实现对网络流量的监控和处置,降低运维成本,不需要配置外部网络设备,实现了服务器数据通道的限速的自动化。而且,该方法还可以降低服务器因某个业务端口或网卡(也就是服务器端口或服务器网卡)占用带宽较大而影响其他服务正常运行的风险。
请参考图4,图4示出了本申请的一些实施例提供的监控网络流量的装置的组成框图。应理解,该监控网络流量的装置与上述图3方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该监控网络流量的装置的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
图4的监控网络流量的装置包括至少一个能以软件或固件的形式存储于存储器中或固化在监控网络流量的装置中的软件功能模块,该监控网络流量的装置包括:数据获取模块410,被配置为获取监控到的服务器的网络流量数据,其中,所述网络流量数据包括网络数据流速以及与所述网络数据流速对应的服务器数据通道,其中,所述服务器数据通道为服务器端口或服务器网卡;数据判定模块420,被配置为确认所述网络数据流速超出流速阈值,则获取与所述网络流量数据对应的事件信息,其中,所述事件信息包括事件类别;处置模块430,被配置为获取与所述事件信息对应的风险等级,并根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请的一些实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如上述实施例提供的监控网络流量的方法中的任意实施例所对应方法的操作。
本申请的一些实施例还提供了一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如上述实施例提供的监控网络流量的方法中的任意实施例所对应方法的操作。
如图5所示,本申请的一些实施例提供一种电子设备500,该电子设备500包括:存储器510、处理器520以及存储在存储器510上并可在处理器520上运行的计算机程序,其中,处理器520通过总线530从存储器510读取程序并执行所述程序时可实现如上述监控网络流量的方法包括的任意实施例的方法。
处理器520可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器520可以是微处理器。
存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现上述所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (12)

1.一种监控网络流量的方法,其特征在于,包括:
获取监控到的服务器的网络流量数据,其中,所述网络流量数据包括网络数据流速以及与所述网络数据流速对应的服务器数据通道,其中,所述服务器数据通道为服务器端口或服务器网卡;
确认所述网络数据流速超出流速阈值,则获取与所述网络流量数据对应的事件信息,其中,所述事件信息包括事件类别;
获取与所述事件信息对应的风险等级,并根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置。
2.如权利要求1所述的方法,其特征在于,所述获取监控到的服务器的网络流量数据,包括:
调取所述服务器的网络流量数据模型;
将所述网络流量数据模型进行分割,得到至少一条流速数据;
利用正则匹配算法对所述流速数据进行匹配,获取所述网络流量数据。
3.如权利要求1或2所述的方法,其特征在于,所述获取监控到的服务器的网络流量数据,包括:
获取所述服务器数据通道在目标时段内的数据传输量;
求解所述数据传输量与所述目标时段的比值,获取所述网络数据流速。
4.如权利要求1或2所述的方法,其特征在于,
所述获取与所述事件信息对应的风险等级,包括:
基于预先存储的多个事件类别与事件风险等级的对照表,确定所述事件类别对应的风险等级,其中,所述事件风险等级是根据所述多个事件类别中各事件类别的优先级确定的,所述事件风险等级包括第一等级和第二等级,所述第一等级的事件的优先级低于所述第二等级的事件的优先级;
所述根据所述风险等级对所述服务器数据通道的网络流量进行处置,包括:
若确认所述风险等级为所述第一等级,则获取限速指令,并对所述服务器数据通道执行所述限速指令;
若确认所述风险等级为所述第二等级,则对所述服务器数据通道的网络流量不进行处置。
5.如权利要求4所述的方法,其特征在于,在所述对所述服务器数据通道执行所述限速指令之前,所述方法还包括:
将所述服务器数据通道的处置状态更新为限速;
将所述网络流量数据、所述事件信息以及所述处置状态存储至信息库中,其中,所述处置状态包括所述限速和取消限速中的任一种,所述网络流量数据还包括:流量数据源地址、流量数据源端口、流量数据目的地址和流量数据目的端口,所述事件信息还包括:事件发生时间、事件类型、事件操作结果、事件设备类型以及事件设备地址。
6.如权利要求5所述的方法,其特征在于,在所述对所述服务器数据通道执行所述限速指令之后,所述方法还包括:
定时检测所述服务器数据通道的流量数据,获取数据流速;
根据所述数据流速,确定处置指令,并依据所述处置指令确认是否取消对所述服务器数据通道的限速。
7.如权利要求6所述的方法,其特征在于,所述根据所述数据流速,确定处置指令,并依据所述处置指令确认是否取消对所述服务器数据通道的限速,包括:
若所述数据流速与所述流速阈值相等,则获取所述限速指令,并继续对所述服务器数据通道执行所述限速指令;
若所述数据流速小于所述流速阈值,则获取所述取消限速的指令,并对所述服务器数据通道执行所述取消限速的指令,将所述信息库中的所述处置状态更改为取消限速。
8.如权利要求1-2、5-7中任一项所述的方法,其特征在于,所述根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置,包括:
将所述事件信息和所述网络流量数据缓存至业务队列中,并生成告警信息或向业务人员发送处置提醒信息,其中,所述业务队列用于缓存需要限速处置的服务器数据通道。
9.一种监控网络流量的装置,其特征在于,包括:
数据获取模块,被配置为获取监控到的服务器的网络流量数据,其中,所述网络流量数据包括网络数据流速以及与所述网络数据流速对应的服务器数据通道,其中,所述服务器数据通道为服务器端口或服务器网卡;
数据判定模块,被配置为确认所述网络数据流速超出流速阈值,则获取与所述网络流量数据对应的事件信息,其中,所述事件信息包括事件类别;
处置模块,被配置为获取与所述事件信息对应的风险等级,并根据所述风险等级确认对所述服务器数据通道的网络流量是否进行限速处置。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1-8中任意一项权利要求所述的方法。
11.一种计算机程序产品,其特征在于,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时实现权利要求1-8中任意一项权利要求所述的方法。
12.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现权利要求1-8中任意一项权利要求所述的方法。
CN202210731315.8A 2022-06-24 2022-06-24 一种监控网络流量的方法、装置、存储介质及电子设备 Active CN115277503B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210731315.8A CN115277503B (zh) 2022-06-24 2022-06-24 一种监控网络流量的方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210731315.8A CN115277503B (zh) 2022-06-24 2022-06-24 一种监控网络流量的方法、装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN115277503A true CN115277503A (zh) 2022-11-01
CN115277503B CN115277503B (zh) 2024-03-15

Family

ID=83760956

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210731315.8A Active CN115277503B (zh) 2022-06-24 2022-06-24 一种监控网络流量的方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN115277503B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101552722A (zh) * 2008-04-03 2009-10-07 北京启明星辰信息技术股份有限公司 一种管理网络流量带宽的方法及装置
JP2010218455A (ja) * 2009-03-18 2010-09-30 Ricoh Co Ltd スイッチ、情報処理装置およびデータ転送制御方法
CN109756426A (zh) * 2017-11-01 2019-05-14 南京烽火软件科技有限公司 用户流量控制装置
US10581728B1 (en) * 2013-09-20 2020-03-03 Amazon Technologies, Inc. Rate limiting of network traffic
EP3644563A1 (en) * 2018-10-25 2020-04-29 Cisco Technology, Inc. Sampling traffic telemetry for device classification with distributed probabilistic data structures
CN112019446A (zh) * 2020-08-28 2020-12-01 北京浪潮数据技术有限公司 一种接口限速方法、装置、设备及可读存储介质
WO2021012974A1 (zh) * 2019-07-23 2021-01-28 中兴通讯股份有限公司 基于云平台的容器化应用网络流控方法、装置、设备及存储介质
CN114064074A (zh) * 2021-11-05 2022-02-18 百度在线网络技术(北京)有限公司 一种升级任务管控方法、装置、电子设备及存储介质
CN114428705A (zh) * 2021-12-30 2022-05-03 中科大数据研究院 一种网络数据的监测方法、装置、设备以及存储介质
CN114500381A (zh) * 2022-01-20 2022-05-13 北京奇艺世纪科技有限公司 网络带宽限制方法、系统、电子设备及可读存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101552722A (zh) * 2008-04-03 2009-10-07 北京启明星辰信息技术股份有限公司 一种管理网络流量带宽的方法及装置
JP2010218455A (ja) * 2009-03-18 2010-09-30 Ricoh Co Ltd スイッチ、情報処理装置およびデータ転送制御方法
US10581728B1 (en) * 2013-09-20 2020-03-03 Amazon Technologies, Inc. Rate limiting of network traffic
CN109756426A (zh) * 2017-11-01 2019-05-14 南京烽火软件科技有限公司 用户流量控制装置
EP3644563A1 (en) * 2018-10-25 2020-04-29 Cisco Technology, Inc. Sampling traffic telemetry for device classification with distributed probabilistic data structures
WO2021012974A1 (zh) * 2019-07-23 2021-01-28 中兴通讯股份有限公司 基于云平台的容器化应用网络流控方法、装置、设备及存储介质
CN112019446A (zh) * 2020-08-28 2020-12-01 北京浪潮数据技术有限公司 一种接口限速方法、装置、设备及可读存储介质
CN114064074A (zh) * 2021-11-05 2022-02-18 百度在线网络技术(北京)有限公司 一种升级任务管控方法、装置、电子设备及存储介质
CN114428705A (zh) * 2021-12-30 2022-05-03 中科大数据研究院 一种网络数据的监测方法、装置、设备以及存储介质
CN114500381A (zh) * 2022-01-20 2022-05-13 北京奇艺世纪科技有限公司 网络带宽限制方法、系统、电子设备及可读存储介质

Also Published As

Publication number Publication date
CN115277503B (zh) 2024-03-15

Similar Documents

Publication Publication Date Title
CN106961352B (zh) 监控系统及监控方法
CN108572907B (zh) 一种告警方法、装置、电子设备及计算机可读存储介质
US9432389B1 (en) System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US6941367B2 (en) System for monitoring relevant events by comparing message relation key
CN112953971B (zh) 一种网络安全流量入侵检测方法和系统
US20160283307A1 (en) Monitoring system, monitoring device, and test device
CN112511517B (zh) 一种邮件检测方法、装置、设备及介质
CN113612647B (zh) 一种告警处理方法及装置
CN112583850B (zh) 网络攻击防护方法、装置及系统
CN114338372A (zh) 网络信息安全监控方法及系统
CN104243192B (zh) 故障处理方法及系统
US11636198B1 (en) System and method for cybersecurity analyzer update and concurrent management system
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
US10666671B2 (en) Data security inspection mechanism for serial networks
CN117789433A (zh) Dvs防外破平台中的告警方法、装置和电子设备
CN115277503B (zh) 一种监控网络流量的方法、装置、存储介质及电子设备
CN111510443B (zh) 基于设备画像的终端监测方法和终端监测装置
CN112087465B (zh) 一种基于聚合信息确定威胁事件的方法及装置
CN114900359A (zh) 一种网络安全事件回溯方法和系统
CN114338189A (zh) 基于节点拓扑关系链的态势感知防御方法、装置及系统
CN114338221A (zh) 一种基于大数据分析的网络检测系统
CN112600736A (zh) 一种用于智能网关的远程运维管理系统
CN112134845A (zh) 一种抗拒绝服务系统
CN116074185B (zh) 一种请求检测方法、系统、装置、电子设备及存储介质
CN113630396B (zh) 处理网络安全告警信息的方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant