CN115529245A - 流信息补全方法及装置、云主机设备和计算机存储介质 - Google Patents
流信息补全方法及装置、云主机设备和计算机存储介质 Download PDFInfo
- Publication number
- CN115529245A CN115529245A CN202110688835.0A CN202110688835A CN115529245A CN 115529245 A CN115529245 A CN 115529245A CN 202110688835 A CN202110688835 A CN 202110688835A CN 115529245 A CN115529245 A CN 115529245A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- information
- identifier
- machine identifier
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000004891 communication Methods 0.000 claims abstract description 16
- 230000006399 behavior Effects 0.000 claims description 4
- 238000003012 network analysis Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 15
- 238000012098 association analyses Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 238000005070 sampling Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000010561 standard procedure Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流信息补全方法及装置、云主机设备和计算机存储介质,所述流信息补全方法包括以下步骤:获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识;根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,其中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据;将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中,解决现有技术中无法准确获取虚拟机标识的问题,有利于进行网络分析。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种流信息补全方法及装置、云主机设备和计算机存储介质。
背景技术
在云环境下,尤其是多VPC(Virtual Private Cloud,虚拟云)的场景下,往往使用私有IP地址来进行组网,该方案需要依赖于知道VPC拓扑之间的连接关系,而这个连接关系在很多情况下可能是得不到的,同时,同一个私有IP地址被多个不同的云主机使用,私有IP地址已经不能作为云主机的唯一标识,因此,现有技术采用VM ID(Virtual MachineIdentifier,虚拟机标识)作为主机的唯一标识,在进行IPFIX(IP Flow InformationExport Protocol,流信息)采样时,采用网络流的源地址和目的地址并结合5元组信息确定唯一一条网络流,但是,现有技术存在的弊端是:同一条网络流上,每个IPFIX采样点只能获得与采样点直连的云主机的源地址和目的地址,而并不能得到对端云主机的源地址和目的地址,对后续网络分析造成影响。
发明内容
本发明主要目的在于提供一种流信息补全方法及装置、云主机设备和计算机存储介质,旨在解决现有技术中无法准确获取虚拟机标识的问题。
为实现上述目的,本发明提供一种流信息补全方法,在一实施例中,所述流信息补全方法包括以下步骤:
获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识;
根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,其中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据;
将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中。
在一实施例中,所述根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识的步骤包括:
获取所述第一虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识;
根据所述地址信息以及所述虚拟云标识在所述虚拟云中查找所述第二虚拟机标识。
在一实施例中,所述获取所述第一虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识之后,包括:
若在所述虚拟云中查找不到所述第二虚拟机标识,则判断虚拟机是否采用弹性地址;
若所述虚拟机采用弹性地址时,将所述弹性地址对应的虚拟机的属性信息添加至所述数据流信息中。
在一实施例中,所述若在所述虚拟云中查找不到所述第二虚拟机标识,则判断虚拟机是否采用弹性地址的步骤之后,还包括:
若所述虚拟机没有采用弹性地址,则获取当前数据流信息的配置参数;
根据所述配置参数查找匹配的预设数据流信息;
将所述预存数据流信息对应的虚拟机标识作为所述数据流信息的第二虚拟机标识。
在一实施例中,所述数据流信息的配置参数至少包括:五元组、字节数、数据包数以及流向;所述五元组至少包括:源地址、目的地址、源端口号、目的端口号以及协议类型。
在一实施例中,所述若所述虚拟机没有采用弹性地址之后,包括:
若在预设时间内未匹配到对应的预设数据流信息,则将所述数据流信息记录至行为日志中。
在一实施例中,所述属性信息包括安全组信息以及租户标识中的至少一个。
为实现上述目的,本发明还提供一种流信息补全装置,所述装置包括:
获取模块,用于获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识,以及根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,其中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据;
数据流补全模块,用于将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中。
为实现上述目的,本发明还提供一种云主机设备,所述云主机设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的流信息补全程序,所述流信息补全程序被所述处理器执行时实现如上所述的流信息补全方法的各个步骤。
为实现上述目的,本发明还提供一种计算机存储介质,所述计算机存储介质存储有流信息补全程序,所述流信息补全程序被处理器执行时实现如上所述的流信息补全方法的各个步骤。
本发明提供的流信息补全方法及装置、云主机设备和计算机存储介质,至少具有以下技术效果:
由于采用了获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识,根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中的技术方案,解决现有技术中无法准确获取虚拟机标识的问题,进行数据流信息的补全有利于进行网络分析。
附图说明
图1为本发明实施例涉及的云主机设备架构示意图;
图2为本发明流信息补全方法的第一实施例的流程示意图;
图3为本发明流信息补全方法的第二实施例中步骤S120的细化流程示意图;
图4为本发明流信息补全方法的第三实施例的流程示意图;
图5为本发明流信息补全方法的第四实施例的流程示意图;
图6为本发明流信息采集装置示意图;
图7为本发明虚拟云拓扑结构示意图;
图8为本发明流信息补全方法的流程示意图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请为解决现有技术中无法准确获取虚拟机标识的问题,采用了获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识;根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,其中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据;将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中的技术方案,有利于进行网络分析。
为了更好地理解上述技术方案,下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
如图1所示,图1为本发明实施例方案涉及的硬件运行环境的结构示意图。
需要说明的是,图1即可为云主机设备的硬件运行环境的架构示意图。
如图1所示,该云主机设备可以包括:处理器1001,例如CPU,存储器1005,用户接口1003,网络接口1004,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1所示的云主机设备结构并不构成对云主机设备的限定,云主机设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及流信息补全程序。其中,操作系统是管理和控制云主机设备硬件和软件资源的程序,流信息补全程序以及其它软件或程序的运行。
在图1所示的云主机设备中,用户接口1003主要用于连接终端,与终端进行数据通信;网络接口1004主要用于后台服务器,与后台服务器进行数据通信;处理器1001可以用于调用存储器1005中存储的流信息补全程序。
在本实施例中,云主机设备包括:存储器1005、处理器1001及存储在所述存储器上并可在所述处理器上运行的流信息补全程序,其中:
在本申请实施例中,处理器1001可以用于调用存储在存储器1005中的流信息补全程序,并执行以下操作:
获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识;
根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,其中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据;
将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中。
在本申请实施例中,处理器1001可以用于调用存储在存储器1005中的流信息补全程序,并执行以下操作:
获取所述第一虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识;
根据所述地址信息以及所述虚拟云标识在所述虚拟云中查找所述第二虚拟机标识。
在本申请实施例中,处理器1001可以用于调用存储在存储器1005中的流信息补全程序,并执行以下操作:
若在所述虚拟云中查找不到所述第二虚拟机标识,则判断虚拟机是否采用弹性地址;
若所述虚拟机采用弹性地址时,将所述弹性地址对应的虚拟机的属性信息添加至所述数据流信息中。
在本申请实施例中,处理器1001可以用于调用存储在存储器1005中的流信息补全程序,并执行以下操作:
若所述虚拟机没有采用弹性地址,则获取当前数据流信息的配置参数;
根据所述配置参数查找匹配的预设数据流信息;
将所述预存数据流信息对应的虚拟机标识作为所述数据流信息的第二虚拟机标识。
在本申请实施例中,处理器1001可以用于调用存储在存储器1005中的流信息补全程序,并执行以下操作:
若在预设时间内未匹配到对应的预设数据流信息,则将所述数据流信息记录至行为日志中。
由于本申请实施例提供的云主机设备,为实施本申请实施例的方法所采用的云主机设备,故而基于本申请实施例所介绍的方法,本领域所属人员能够了解该云主机设备的具体结构及变形,故而在此不再赘述。凡是本申请实施例的方法所采用的云主机设备都属于本申请所欲保护的范围。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
如图6所示,图6为本发明流信息采集装置示意图,所述流信息采集装置除了包括云主机设备外,还包括路由器(Router)、IPFIX流信息收集器、消息中间件、关联分析引擎、数据库、网络流分析平台以及平台控制器,IPFIX流采集设备如交换机,将IPFIX流信息上传到IPFIX流量收集器,收集器进行信息解析以后传输给消息中间件,关联分析引擎不断地从消息中间件中获取流信息,进行关联分析操作,将网络流信息进行补全,然后将关联分析完成的结果存入到数据库中,供网络流分析平台进行分析。其中在进行关联分析的时候,关联分析引擎还需要从平台控制器获取一些租户标识、安全组信息等信息,以完善流信息。
其中,所述路由器为3层路由器,不同的虚拟云之间可以采用虚拟云路由器进行通信,也可以采用虚拟私有网络进行通信获取其他专线进行通信,通过虚拟云路由器进行通信,则两个虚拟云一般属于不同的网段,如图7所示,图7为本发明虚拟云拓扑结构示意图,图7中所示的VPC 1和VPC 3,二者的网段分别为192.168.1.0/24和192.168.3.0/24,而通过虚拟私有网络或者类似的专线连接,则两个虚拟云一般属于同一个网段,如图7中所示的VPC 1和VPC 2,二者均属于192.168.1.0/24网段;
所述IPFIX流信息收集器中的IPFIX是由IETF推出的一种基于Netflow v9发展而来的标准流信息导出协议,所述IPFIX流信息收集器基于标准IPFIX协议采集并处理数据流信息,每台流量采集设备只获取与其连接的虚拟机的数据流信息,例如,如图6所示的流信息采集装置示意图,包括两台流量采集设备,每台流量采集设备与虚拟机通过接口连接用于采集虚拟机发送的数据流信息,这些流量采集设备的类型可以是软件交换机也可以是硬件交换机,还可以是路由器、防火墙等,若流量采集设备类型不同,流量采集设备与虚拟机的连接方式也不同;
所述关联分析引擎用于将不同流量采集设备采集的数据流信息进行关联,以得到完整的数据流信息;
所述平台控制器能获取虚拟云内关于网络节点的其他信息,例如租户标识、安全组信息、虚拟机的IP地址,虚拟机标识以及虚拟机与租户的从属关系等。
对于软件实现,可通过执行本发明实施例所述功能的模块(例如过程、函数等)来实现本发明实施例所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
基于上述结构,提出本发明的实施例,其中,图8为本发明流信息补全方法的流程示意图,共分为6个模块,其中模块1是已知源虚拟机标识时对目的虚拟机标识等信息进行补全的流程,模块6为已知目的虚拟机标识信息时对源虚拟机标识等信息进行补全的过程。模块6与模块1的功能是可类比的,因而不再进行赘述,模块2,3,4,5是对模块1实现的细化。
一般情况下,根据流数据流的流向判断源虚拟机标识与目的虚拟机标识,若存在两台虚拟机,分别为第一虚拟机与第二虚拟机,假定数据流的流向为第一虚拟机流向第二虚拟机,则定义数据流的流向是正向的,则此时,第一虚拟机对应的虚拟机标识为源虚拟机标识,第二虚拟机对应的虚拟机标识为目的虚拟机标识;反之,假定数据流的流向为第二虚拟机流向第一虚拟机,则定义数据流的流向是反向的,则此时,第一虚拟机对应的虚拟机标识为目的虚拟机标识,第二虚拟机对应的虚拟机标识为源虚拟机标识。
参照图2,图2为本发明流信息补全方法的第一实施例的流程示意图,包括以下步骤:
步骤S110,获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识。
在本实施例中,在同一个虚拟云网络中,存在多台虚拟机,每两台虚拟机之间通过完整的流条目进行关联,在这个过程中,所述流量采集设备用于采集与其连接的虚拟机输出的数据流信息,将采集的数据流信息发送至流信息收集器与关联分析引擎中进行数据流信息的关联,同时,关联分析引擎还从平台控制器获取租户标识、安全组信息等信息,以完善流信息,从而构成一条完整的流条目,因为存在多台虚拟机且虚拟机之间对应生成一条流条目,因此构成了一个包含同一个虚拟云网络所有流条目信息的列表,如图7所示,在虚拟云VPC1中,形成的流条目信息列表如下表所示:
在本实施例中,所述数据流信息也称为网络流信息,所述数据流信息不仅包括虚拟机的标识,还包括传统的5元组信息、数据流的开始时间、数据流的结束时间、数据流进入采集器的端口、数据流离开采集器的端口、数据流结束的原因、数据流最大的生存时间、数据流的流方向、采集时间段内的字节数、数据包数等;所述第一虚拟机标识用来在一个网络域内唯一标识一个虚拟机,一般使用UUID来进行表示,所述UUID(Universally UniqueIdentifier,通用唯一标识符)是用于计算机体系中以识别信息数目的一个128位标识符,根据标准方法生成,不依赖中央机构的注册和分配,UUID具有唯一性。
步骤S120,根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识。
在本实施例中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据,所述第二虚拟机标识与第一虚拟机标识是对立的,所述第一虚拟机标识与所述第二虚拟机标识可以是源虚拟机标识,也可以是目的虚拟机标识,当所述第一虚拟机标识为源虚拟机标识时,所述第二虚拟机标识为目的虚拟机标识,反之,当所述第一虚拟机标识为目的虚拟机标识时,所述第二虚拟机标识为源虚拟机标识,即第一虚拟机标识与第二虚拟机标识不能同时为源虚拟机标识或者目的虚拟机标识,本申请以第一虚拟机标识为源虚拟机标识,第二虚拟机标识为目的虚拟机标识为例进行数据流信息补全展开论述,而当第一虚拟机标识为目的虚拟机标识,第二虚拟机标识为源虚拟机标识进行数据流信息补全原理与前者相同,这里不再赘述。
在本实施例中,在不同虚拟云场景下是允许虚拟机地址复用的,但在同一个虚拟云场景下,如果虚拟机地址复用会导致虚拟机地址冲突,采用流量采集设备采集并上传的第一虚拟机的数据流信息,通过解析所述数据流信息从而获取所述数据流信息中第一虚拟机标识,在已知第一虚拟机标识的情况下,由于同一虚拟云场景下每台虚拟机对应的虚拟机标识是唯一的,即可通过平台控制器反查到该虚拟云场景下的虚拟云标识,在同一个虚拟云场景下,将租户标识、第二虚拟机的地址、虚拟云标识为匹配条件查询第二虚拟机标识,若匹配条件存在于步骤S110所述的流条目信息列表中,则查到的虚拟机标识即为第二虚拟机标识,并且表明第二虚拟机标识与第一虚拟机标识同属于一个虚拟云场景中。
步骤S130,将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中。
在本实施例中,通过查询步骤S110中所述的流条目信息列表,即可得到第二虚拟机标识对应的虚拟机的属性信息,最后将属性信息加入到数据流信息中并存入数据库中,实现对流条目的补全。
由于采用了获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识,根据数据流信息中的地址信息在流条目信息列表中查找匹配的第一虚拟机标识对应的第二虚拟机标识,同时证明所述第一虚拟机标识与所述第二虚拟机标识同属于一个虚拟云场景下,将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中,实现了在不知道虚拟云拓扑结构的基础上实现对流信息进行补全。
参照图3,图3为本发明流信息补全方法的第二实施例中步骤S120的细化流程示意图,在本实施例中,第一实施例中步骤S120包括:
步骤S121,获取所述第一虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识。
在本实施例中,所述虚拟机位于虚拟云中,在已知第一虚拟机标识时,获取所述第一虚拟机标识对应的虚拟机,判断该虚拟机所在的虚拟云场景,从而获取所述虚拟云场景对应的虚拟云标识,所述虚拟云为虚拟机构建隔离的、用户自主配置和管理的虚拟网络环境,用户可以自由配置虚拟云内的地址段、子网、安全组等子服务;如图8中模块2中所示,获取一条网络流信息,检查所述网络流的流向,通过流信息收集器采集网络流信息,在已知源虚拟机标识的情况下,由于源虚拟机标识的唯一性,即可通过平台控制器反查到该虚拟云的虚拟云标识。
步骤S122,根据所述地址信息以及所述虚拟云标识在所述虚拟云中查找所述第二虚拟机标识。
在本实施例中,在同一个虚拟云场景内将租户标识、目的地址、虚拟云标识为匹配条件查询目的虚拟机标识,若匹配条件存在于虚拟云场景内的流条目信息列表中,则查到的虚拟机标识即为目的虚拟机标识,并且表明目的虚拟机标识与源虚拟机标识同属于一个虚拟云场景,然后再查询流条目信息列表,即可得到目的虚拟机的租户标识、安全组列表等信息,最后将目的虚拟机标识、租户标识、安全组列表等信息加入到流信息进行补全,并将补全后的流信息存入数据库,以便后续流信息的匹配。
由于采用了获取源虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识,租户标识、目的地址、虚拟云标识为匹配条件在虚拟云流条目信息列表中查找匹配的目的虚拟机标识,最后将目的虚拟机标识、租户标识、安全组列表等信息加入到流信息进行补全的技术方案,解决了如何获取第二虚拟机标识的技术问题,实现数据流信息补全的效果。
参照图4,图4为本发明流信息补全方法的第三实施例的流程示意图,在本实施例中,第二实施例中步骤S121之后,包括:
步骤S221,若在所述虚拟云中查找不到第二虚拟机标识,则判断虚拟机是否采用弹性地址。
在本实施例中,所述弹性地址为EIP(Elastic IP,弹性地址),一般弹性地址是可以独立购买和持有的公网IP地址资源,具有全网唯一性,EIP不同于虚拟云中使用的私有IP地址,所述私有IP地址,也可称为专网地址,属于非注册IP地址,专门为组织机构内部使用,它是局域网范畴内的,私有IP地址禁止出现在互联网络中,在虚拟云内的虚拟机一般都会使用私有IP地址;在模块2中当查询不到对应的目的虚拟机标识,则表明目的虚拟机标识与源虚拟机标识不在同一个虚拟云场景内,此时进入模块4处理,判断虚拟机是否采用弹性地址。
步骤S222,若所述虚拟机采用弹性地址时,将所述弹性地址对应的虚拟机的属性信息添加至所述数据流信息中。
在本实施例中,所述属性标识包括安全组信息以及租户标识中的至少一个,所述安全组信息是一个逻辑上的分组,为同一个虚拟云场景内具有相同安全保护需求并相互信任的虚拟机提供访问策略,安全组创建后,可以在安全组中定义各种访问规则,当虚拟机加入该安全组后,即受到这些访问规则的保护,所述访问规则中包括出方向、入方向规则,这些规则会对安全组内部的虚拟机出入方向的数据流进行访问控制;所述租户标识代表用户身份,默认情况下,每个用户可以创建100个安全组,一个安全组最多只允许用于50条安全组规则,一台虚拟机最多只能被添加到5个安全组中。所述模块4是对EIP的处理,如果IP地址为EIP,则进入EIP处理逻辑,将EIP所属虚拟机标识,EIP安全组信息,EIP所属租户标识等信息存入数据库,以进行数据流信息的补全。
由于采用了若在虚拟云中查找不到目的虚拟机标识,则判断虚拟机是否采用弹性地址,当虚拟机采用弹性地址时,将所述弹性地址对应的虚拟机的属性信息添加至所述数据流信息,以进行数据流信息的补全的技术方案,解决了当目的虚拟机标识与源虚拟机标识不在同一个虚拟云场景下,如何进行数据流信息补全的技术问题,实现了通过判断是否存在弹性地址,若存在弹性地址,则进行数据流信息的补全。
参照图5,图5为本发明流信息补全方法的第四实施例的流程示意图,在本实施例中,第三实施例中步骤S221之后,包括:
步骤S321,若所述虚拟机没有采用弹性地址,则获取当前数据流信息的配置参数。
在一实施例中,当目的虚拟机标识与源虚拟机标识不在同一个虚拟云场景下时,目的虚拟机地址又不是EIP的时候,即进入模块5处理逻辑,进行关联分析,获取当前数据流信息的配置参数,所述数据流信息的配置参数至少包括:五元组、字节数、数据包数以及流向;所述五元组至少包括:源地址、目的地址、源端口号、目的端口号以及协议类型。
步骤S322,根据所述配置参数查找匹配的预设数据流信息。
在本实施例中,首先将该条数据流信息存入到一个缓存数据结构中,所述缓存数据结构可以是一个队列,也可以是共享内存,依赖于具体实现,随之提取数据流信息中的五元组、字节数、数据包数、流向的反向值作为匹配条件,在缓存数据结构中已有的数据流信息查找匹配的预设数据流信息。
步骤S323,将所述预存数据流信息对应的虚拟机标识作为所述数据流信息的第二虚拟机标识。
在本实施例中,将匹配到的预存数据流信息对应的虚拟机标识作为该数据流信息的目的虚拟机标识,随后在流条目信息列表中获取安全组信息、租户标识等信息,将这些信息补全到流信息并存入数据库中,在匹配的过程中,为该条数据流信息设置一个超时时间,若未能匹配成功,则可能与该条数据流对应的流信息还未到达,则重新去缓存数据结构中查找匹配的数据流信息,直到匹配成功或者超时,若发生超时,则将该数据流信息记录到行为日志中,表明该条数据流信息未匹配到,或者目的IP为线下IP,非云上IP等。
由于采用了若虚拟机没有采用弹性地址,则获取当前数据流信息的配置参数,根据所述配置参数查找匹配的预设数据流信息,将所述预存数据流信息对应的虚拟机标识作为所述数据流信息的第二虚拟机标识的技术方案,解决了当目的虚拟机标识、源虚拟机标识不在同一个虚拟云场景下且目的虚拟机地址又不是弹性地址时,如何进行数据流信息补全的技术问题,实现了数据流信息的补全效果。
基于同一发明构思,本发明还提供一种流信息补全装置,所述流信息补全装置包括:获取模块、数据流补全模块等,下面将对各个模块进行展开描述:
获取模块,用于获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识,以及根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,其中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据;具体的,所述获取模块还用于获取所述第一虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识,根据所述地址信息以及所述虚拟云标识在所述虚拟云中查找所述第二虚拟机标识,若在所述虚拟云中查找不到第二虚拟机标识,则判断虚拟机是否采用弹性地址,若所述虚拟机采用弹性地址时,将所述弹性地址对应的虚拟机的属性信息添加至所述数据流信息中,若所述虚拟机没有采用弹性地址,则获取当前数据流信息的配置参数,根据所述配置参数查找匹配的预设数据流信息,将所述预存数据流信息对应的虚拟机标识作为所述数据流信息的第二虚拟机标识。
数据流补全模块,用于将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中。
由于采用了获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识,获取所述第一虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识,根据所述地址信息以及所述虚拟云标识在所述虚拟云中查找所述第二虚拟机标识,若在所述虚拟云中查找不到第二虚拟机标识,则判断虚拟机是否采用弹性地址,若所述虚拟机采用弹性地址时,将所述弹性地址对应的虚拟机的属性信息添加至所述数据流信息中,若所述虚拟机没有采用弹性地址,则获取当前数据流信息的配置参数,根据所述配置参数查找匹配的预设数据流信息,将所述预存数据流信息对应的虚拟机标识作为所述数据流信息的第二虚拟机标识,将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中的技术方案,在不知道虚拟云拓扑连接关系的情况下,根据采集的流信息的特点对数据流信息进行补全。
基于同一发明构思,本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有流信息补全程序,所述流信息补全程序被处理器执行时实现如上所述的流信息补全方法的各个步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
由于本申请实施例提供的计算机存储介质,为实施本申请实施例的方法所采用的计算机存储介质,故而基于本申请实施例所介绍的方法,本领域所属人员能够了解该计算机存储介质的具体结构及变形,故而在此不再赘述。凡是本申请实施例的方法所采用的计算机存储介质都属于本申请所欲保护的范围。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用计算机存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为标识。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种流信息补全方法,其特征在于,所述方法包括:
获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识;
根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,其中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据;
将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中。
2.如权利要求1所述的流信息补全方法,其特征在于,所述根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识的步骤包括:
获取所述第一虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识;
根据所述地址信息以及所述虚拟云标识在所述虚拟云中查找所述第二虚拟机标识。
3.如权利要求2所述的流信息补全方法,其特征在于,所述获取所述第一虚拟机标识对应的虚拟机所在的虚拟云的虚拟云标识之后,包括:
若在所述虚拟云中查找不到第二虚拟机标识,则判断虚拟机是否采用弹性地址;
若所述虚拟机采用弹性地址时,将所述弹性地址对应的虚拟机的属性信息添加至所述数据流信息中。
4.如权利要求3所述的流信息补全方法,其特征在于,所述若在所述虚拟云中查找不到所述第二虚拟机标识,则判断虚拟机是否采用弹性地址的步骤之后,还包括:
若所述虚拟机没有采用弹性地址,则获取当前数据流信息的配置参数;
根据所述配置参数查找匹配的预设数据流信息;
将所述预存数据流信息对应的虚拟机标识作为所述数据流信息的第二虚拟机标识。
5.如权利要求4所述的流信息补全方法,其特征在于,所述数据流信息的配置参数至少包括:五元组、字节数、数据包数以及流向;所述五元组至少包括:源地址、目的地址、源端口号、目的端口号以及协议类型。
6.如权利要求4所述的流信息补全方法,其特征在于,所述若所述虚拟机没有采用弹性地址之后,包括:
若在预设时间内未匹配到对应的预设数据流信息,则将所述数据流信息记录至行为日志中。
7.如权利要求1所述的流信息补全方法,其特征在于,所述属性信息包括安全组信息以及租户标识中的至少一个。
8.一种流信息补全装置,其特征在于,所述装置包括:
获取模块,用于获取流量采集设备上传的数据流信息,并获取所述数据流信息中第一虚拟机标识,以及根据所述数据流信息中的地址信息获取所述第一虚拟机标识对应的第二虚拟机标识,其中,所述数据流信息包括第一虚拟机标识对应的虚拟机与所述第二虚拟机标识对应的虚拟机之间的通信数据;
数据流补全模块,用于将所述第二虚拟机标识对应的虚拟机的属性信息添加至所述数据流信息中。
9.一种云主机设备,其特征在于,所述云主机设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的流信息补全程序,所述流信息补全程序被所述处理器执行时实现如权利要求1-7任一项所述的流信息补全方法的各个步骤。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有流信息补全程序,所述流信息补全程序被处理器执行时实现如权利要求1-7任一项所述的流信息补全方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110688835.0A CN115529245A (zh) | 2021-06-25 | 2021-06-25 | 流信息补全方法及装置、云主机设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110688835.0A CN115529245A (zh) | 2021-06-25 | 2021-06-25 | 流信息补全方法及装置、云主机设备和计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115529245A true CN115529245A (zh) | 2022-12-27 |
Family
ID=84694378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110688835.0A Pending CN115529245A (zh) | 2021-06-25 | 2021-06-25 | 流信息补全方法及装置、云主机设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115529245A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108347493A (zh) * | 2017-01-25 | 2018-07-31 | 华为技术有限公司 | 混合云管理方法、装置和计算设备 |
| CN109240796A (zh) * | 2018-08-10 | 2019-01-18 | 新华三云计算技术有限公司 | 虚拟机信息获取方法及装置 |
| CN109361608A (zh) * | 2018-11-23 | 2019-02-19 | 北京六方领安网络科技有限公司 | 报文处理方法、系统及存储介质 |
| CN109587290A (zh) * | 2019-01-04 | 2019-04-05 | 平安科技(深圳)有限公司 | 一种域名解析的方法及相关装置 |
| CN110719215A (zh) * | 2019-10-21 | 2020-01-21 | 北京百度网讯科技有限公司 | 虚拟网络的流信息采集方法及装置 |
-
2021
- 2021-06-25 CN CN202110688835.0A patent/CN115529245A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108347493A (zh) * | 2017-01-25 | 2018-07-31 | 华为技术有限公司 | 混合云管理方法、装置和计算设备 |
| CN109240796A (zh) * | 2018-08-10 | 2019-01-18 | 新华三云计算技术有限公司 | 虚拟机信息获取方法及装置 |
| CN109361608A (zh) * | 2018-11-23 | 2019-02-19 | 北京六方领安网络科技有限公司 | 报文处理方法、系统及存储介质 |
| CN109587290A (zh) * | 2019-01-04 | 2019-04-05 | 平安科技(深圳)有限公司 | 一种域名解析的方法及相关装置 |
| CN110719215A (zh) * | 2019-10-21 | 2020-01-21 | 北京百度网讯科技有限公司 | 虚拟网络的流信息采集方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20160080263A1 (en) | Sdn-based service chaining system | |
| EP3905622A1 (en) | Botnet detection method and system, and storage medium | |
| CN110474816B (zh) | 网络拓扑发现的方法及存储介质 | |
| CN105554009B (zh) | 一种通过网络数据获取设备操作系统信息的方法 | |
| JP2007336512A (ja) | 統計情報収集システム及び統計情報収集装置 | |
| CN110855576A (zh) | 应用识别方法及装置 | |
| EP3945739A1 (en) | Non-intrusive / agentless network device identification | |
| CN106921578B (zh) | 一种转发表项的生成方法和装置 | |
| CN111953552B (zh) | 数据流的分类方法和报文转发设备 | |
| CN107181605B (zh) | 报文检测方法及系统、内容提取装置、流量匹配装置 | |
| CN106789486B (zh) | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 | |
| CN107896188B (zh) | 数据转发方法及装置 | |
| US11245712B2 (en) | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code | |
| CN107070851B (zh) | 基于网络流的连接指纹生成和垫脚石追溯的系统和方法 | |
| CN107979619B (zh) | 一种twamp会话协商方法、客户端及服务端 | |
| JP2022515990A (ja) | 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 | |
| CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
| CN107547676B (zh) | 一种地址处理方法及装置 | |
| CN107888467B (zh) | 基于pppoe的报文转发方法、装置、bras和交换机 | |
| EP3910906A1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
| CN116232777B (zh) | SDN-IIOT中基于统计度量的DDoS攻击检测与防御方法及相关设备 | |
| CN113014602A (zh) | 一种基于最优通信路径的工业网络防御方法和系统 | |
| KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
| US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
| CN116436790A (zh) | 一种网络靶场中场景靶机网络拓扑检测方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |