CN116455680B - 云平台的tcp全流量采集和聚合方法、系统及计算机设备 - Google Patents
云平台的tcp全流量采集和聚合方法、系统及计算机设备 Download PDFInfo
- Publication number
- CN116455680B CN116455680B CN202310722734.XA CN202310722734A CN116455680B CN 116455680 B CN116455680 B CN 116455680B CN 202310722734 A CN202310722734 A CN 202310722734A CN 116455680 B CN116455680 B CN 116455680B
- Authority
- CN
- China
- Prior art keywords
- message
- flow
- traffic
- east
- west
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002776 aggregation Effects 0.000 title claims abstract description 60
- 238000004220 aggregation Methods 0.000 title claims abstract description 60
- 238000000034 method Methods 0.000 title claims abstract description 45
- 239000002184 metal Substances 0.000 claims abstract description 57
- 229910052751 metal Inorganic materials 0.000 claims abstract description 57
- 238000005192 partition Methods 0.000 claims abstract description 47
- 238000005206 flow analysis Methods 0.000 claims abstract description 37
- 230000004044 response Effects 0.000 claims description 17
- 238000005538 encapsulation Methods 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 14
- 230000005641 tunneling Effects 0.000 claims description 10
- 238000012790 confirmation Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims 2
- 238000004458 analytical method Methods 0.000 abstract description 36
- 238000001514 detection method Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 10
- 230000004931 aggregating effect Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 150000002739 metals Chemical class 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000005129 volume perturbation calorimetry Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明提供了一种云平台的TCP全流量采集和聚合方法、系统以及计算机设备,其方法实现,包括:采集进出物理分区的南北向流量;采集物理分区内的裸金属云主机的第一东西向流量以及虚拟云主机的第二东西向流量;对第一东西向流量以及第二东西向流量进行流量聚合;对南北向流量以及流量聚合后的东西向流量进行流量分析。通过采集南北向流量以及东西向流量,将所有流量聚合到一点,为流量分析平台提供完整的云平台流量,以便进行全面的流量检测分析,且通过流量聚合,将离散的TCP会话上下行报文重新拟合成符合时序的报文序列,可同时适应虚拟云主机和裸金属云主机,无需额外部署代理软件或采集分析虚机,所有流量只需采集一次,不会重复采集。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种云平台的TCP全流量采集和聚合方法、系统及计算机设备。
背景技术
随着云计算技术的发展,云平台凭借其弹性、灵活、安全和低成本等优点,使得原来越多的企业选择上云,上云已成为企业数字化转型的必由之路。随着计算资源和存储资源的虚拟化,网络资源虚拟化也迎来快速发展时期。软件定义网络(下文简称:SDN)技术,通过控制转发分离,使得网络能够像软件一样具有可编程能力,提高了网络配置效率。网络的虚拟化在提高了网络的灵活性、便捷性同时,也带了如何监控的新问题,网络运维、网络运营、网络安全等方面面临全新的挑战。
基于云环境边界与传统网络的相似性,云平台边界安全,尤其对南北向流量安全检测能力和部署应用趋于成熟和稳定。反而在云平台中云主机(虚机与虚机、裸金属与虚机、裸金属与裸金属)之间的东西向流量缺乏有效的管控手段。“东西向流量不可视”一直以来是云平台安全建设重点要解决的问题。
目前,常见的全流量采集分析方案主要包括两种,参见图1,第一种是在在所有云主机(包括虚机和裸金属)中安装流量采集代理软件,该代理软件挂载入云主机操作系统的网络驱动程序,按照已配置的流量采集配置参数,对云主机的网络流量进行采集,然后由代理软件在云主机本地进行流量分析处理。参见图2,第二种是,在云平台中,所有的虚机都下挂在虚拟网络交换机(下文简称:vswitch)之下。假设要采集业务虚机A的网络流量,在业务虚机A的相同网络区域内,部署采集分析虚机B,SDN控制器通过开放流协议(下文简称:openflow协议)配置宿主机的vswitch,将业务虚机A的全流量镜像给采集分析虚机,然后在采集分析虚机B本地进行流量分析处理。
但是采用上述第一种方案进行全流量采集时,代理软件运行在云主机中,存在被攻击者入侵后关闭该代理软件停止流量采集,或篡改采集后流量数据的可能性;代理软件运行在云主机中,采集和分析都占用云主机的资源,势必影响同云主机业务系统的工作性能;所有云主机都要部署代理软件,带来日常维护的额外工作量和复杂度;流量分析分散在所有云主机上完成,仅限于分析本机数据,无法开展多主机关联分析;并且分析能力受限于本机资源,也不利于集中分析策略管理;流量分析分散在所有云主机完成上,分析结果还需要集中上报,需要配置额外的网络策略,并部署分析结果收集系统。而采用第二种方案进行全流量采集时,需要在不同业务系统的虚拟专有网络(下文简称:VPC)内新增部署1台或多台采集分析虚机,占用额外资源;仅适用于SDN网络内的虚拟云主机,不适用于裸金属云主机;由于采集所有云主机的全流量,对于东西向流量而言,会重复采集,比如不是同一个vswitch下的云主机A与云主机B的通讯,针对云主机A采集了一份,针对云主机B也采集了一份;多点部署采集分析虚机,带来日常维护的额外工作量;流量分析分散在多个采集分析虚机上完成,仅限于分析本子网数据,无法开展跨子网关联分析流量分析分散在多个采集分析虚机上完成,分析能力受限于本机资源,也不利于集中分析策略管理;分析结果还需要集中上报,需要配置额外的网络策略,并部署分析结果收集系统。因此,构建稳定、完整的全流量采集和分析手段,尤其是东西向流量,成为当前亟待解决的问题。
发明内容
本发明实施例的目的在于提供一种云平台的TCP全流量采集和聚合方法、系统及计算机设备,旨在解决上述现有技术中存在的至少一个问题。
第一方面,本发明实施例是这样实现的,提供了一种云平台的TCP全流量采集和聚合方法,所述云平台被划分为至少一个物理分区,所述方法包括:
采集进出所述物理分区的南北向流量;
采集所述物理分区内的裸金属云主机的第一东西向流量以及虚拟云主机的第二东西向流量;
对所述第一东西向流量以及第二东西向流量进行流量聚合;
对所述南北向流量以及流量聚合后的东西向流量进行流量分析。
在一实施例中,所述对所述第一东西向流量以及第二东西向流量进行流量聚合,包括:
当接收到新的TCP报文时,从所述新的TCP报文中提取标识符,所述标识符包括源IP地址+源端口号和/或目的IP地址+目的端口号;
根据所述新的TCP报文的标识符,判断是否存在相同标识符的报文队列;
若是,则将所述新的TCP报文插入至所述报文队列中对应的位置;
若否,则根据所述新的TCP报文的标识符,创建新的报文队列,并将所述新的TCP报文放入所述新的报文队列的首部。
在一实施例中,所述将所述新的TCP报文插入至所述报文队列中对应的位置,包括:
以接收到所述新的TCP报文的时间作为起始时间,在所述报文队列中往回检索预设回溯时间内的所有报文;
判断检索到的回溯报文中,是否存在所述新的TCP报文的应答报文;
若是,则将所述新的TCP报文插入到所述应答报文前面;
若否,则判断所述新的TCP报文是否符合预设排序条件;
在一实施例中,所述判断所述新的TCP报文是否符合预设排序条件之后,包括:
若是,则按照预设排序规则,将所述新的TCP报文插入到对应位置;
若否,则将所述新的TCP报文放在所述报文队列的尾部。
在一实施例中,所述判断检索到的回溯报文中,是否存在所述新的TCP报文的应答报文,包括:
获取所述新的TCP报文的序号、确认号、报文体长度以及报文方向;
当在所述回溯报文中,存在报文方向与所述新的TCP报文方向相反,报文类型包含ACK,且确认号为所述新的TCP报文的序号+报文体长度+1的目标回溯报文,则将所述目标回溯报文作为所述新的TCP报文的应答报文。
在一实施例中,所述采集进出所述物理分区的南北向流量,包括:
通过SDN网关连接南北向核心交换机以及核心交换机;
在所述SDN网关上建立与连接在核心交换机上的分流器设备的第一IP隧道,并配置全流量镜像;
通过所述SDN网关采集进出所述物理分区的南北向流量,对所述南北向流量进行隧道协议封装后,通过所述第一IP隧道发送至所述分流器设备。
在一实施例中,所述采集所述物理分区内的裸金属云主机的第一东西向流量,包括:
通过第一接入交换机连接所述裸金属云主机以及核心交换机;
在所述第一接入交换机上建立与连接在所述核心交换机上的分流器设备的第二IP隧道;
配置源地址为所述物理分区内云主机地址、目的地址为与所述第一接入交换机连接的裸金属云主机的第一东西向下行流量镜像;
对镜像到的第一东西向下行流量进行隧道协议封装后,通过所述第二IP隧道发送给所述分流器设备。
在一实施例中,所述采集所述物理分区内的虚拟云主机的第二东西向流量,包括:
通过虚拟网络交换机连接虚拟云主机以及第二接入交换机,所述第二接入交换机连接核心交换机;
在所述虚拟网络交换机中建立连接在所述核心交换机上的分流器设备的第三IP隧道;
配置源地址为所述物理分区内云主机地址、目的地址为与所述虚拟网络交换机连接的虚拟云主机的第二东西向下行流量镜像;
对镜像到的第二东西向下行流量进行隧道协议封装后,通过所述第三IP隧道发送给所述分流器设备。
第二方面,提供了一种云平台TCP全流量采集和聚合系统,所述云平台被划分为至少一个物理分区,所述系统,包括:
SDN网关,用于采集进出所述物理分区的南北向流量;
第一接入交换机,用于采集所述物理分区内的裸金属云主机的第一东西向流量;
虚拟网络交换机,用于采集所述物理分区内的虚拟云主机的第二东西向流量;
流量聚合器,用于对所述第一东西向流量以及第二东西向流量进行流量聚合;
流量分析平台,用于对所述南北向流量以及流量聚合后的东西向流量进行流量分析。
第三方面,提供了一种计算机设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机可读指令,处理器执行计算机可读指令时实现如上述面云平台的TCP全流量采集和聚合方法的步骤。
第四方面,提供了一种可读存储介质,可读存储介质存储有计算机可读指令,计算机可读指令被处理器执行时实现如上述面云平台的TCP全流量采集和聚合方法的步骤。
本申请实施例提供了一种云平台的TCP全流量采集和聚合方法、系统以及计算机设备,其方法实现,包括采集进出所述物理分区的南北向流量;采集所述物理分区内的裸金属云主机的第一东西向流量以及虚拟云主机的第二东西向流量;对所述第一东西向流量以及第二东西向流量进行流量聚合;对所述南北向流量以及流量聚合后的东西向流量进行流量分析。本申请中可通过采集南北向流量以及东西向流量,将所有流量聚合到一点,为流量分析平台提供完整的云平台流量,实现集中式的流量分析,以便进行全面的流量检测分析,且可通过流量聚合,实现离散的TCP会话上下行报文重新拟合成符合时序的报文序列,可以同时适应虚拟云主机和裸金属云主机,无需额外部署代理软件或采集分析虚机,并且所有流量只需采集一次,不会重复采集。
附图说明
图1是现有技术提供的一种通过代理软件进行本机流量采集、本机分析的方法的应用环境图;
图2是现有技术提供的一种通过流量镜像采集、本地分析的方法的应用环境图;
图3是本申请实施例提供的一种本云平台的TCP全流量采集和聚合方法的应用环境图;
图4是本申请实施例提供的一种本云平台的TCP全流量采集和聚合方法的实现流程图;
图5是本申请实施例提供的一种裸金属云主机1发送TCP报文给裸金属云主机2的场景示意图;
图6是本申请实施例提供的一种裸金属云主机1发送TCP报文给虚拟云主机2的场景示意图;
图7是本申请实施例提供的一种虚拟云主机1发送TCP报文给虚拟云主机2的场景示意图;
图8是本申请实施例提供的一种虚拟云主机1发送TCP报文给裸金属云主机1的场景示意图;
图9是本申请实施例提供的一种云平台的TCP全流量采集和聚合系统的结构示意图;
图10本发明一实施例中计算机设备的一示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本实施例提供的云平台的TCP全流量采集和聚合方法,可应用在如图3的应用环境中,其中,云平台为了便于资源的池化管理,可将该云平台划分为一个或多个物理分区,每个物理分区作为一个交付点POD(Point of Delivery),POD内组网可采用标准的SDN架构。每个POD中可设置有至少一个SDN网关,该SDN网关可分别连接设置于该POD中的核心交换机,以及设置在该POD外部的南北向核心交换机,该南北向核心交换机可通过防火墙、路由器与互联网下的其他设备进行通信连接,该核心交换机可分别通过接入交换机与设置在POD内部的裸金属云主机以及虚拟云主机进行通信连接,且在连接虚拟云主机时,该虚拟云主机通过虚拟网络交换机(vswitch)与接入交换机连接。
其中,该SDN网关还可与POD间东西向核心交换机连接,用于实现不同POD之间的通信。
在本申请实施例中,为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
参见图4,示出了一种云平台的TCP全流量采集和聚合方法的实现流程,包括如下步骤:
在步骤S110中,采集进出所述物理分区的南北向流量;
在本申请实施例中,南北向流量是指是云平台外部和云平台内云主机之间交互的流量。
在本申请实施例中,SDN网关可分别连接南北向核心交换机以及POD中的核心交换机,该南北向流量具体可包括:POD内与云平台外部的流量,其可通过SDN网关以及南北向核心交换机进行内外交互。以及,POD之间的东西向流量,可从核心交换机到SDN网关,在由SDN网关上连接POD间东西向核心交换机,以发送到其他POD中。
在本申请一实施例中,该采集进出所述物理分区的南北向流量,包括:
通过SDN网关连接南北向核心交换机以及核心交换机;
在所述SDN网关上建立与连接在核心交换机上的分流器设备的第一IP隧道,并配置全流量镜像;
通过所述SDN网关采集进出所述物理分区的南北向流量,对所述南北向流量进行隧道协议封装后,通过所述第一IP隧道发送至所述分流器设备。
具体地,由图3可知,POD的所有南北向流量都经过SDN网关,因此可选择SDN网关作为南北向流量采集点。从SDN网关所在位置可知,其采集到的是完整的进出POD的南北向流量,并且不包含POD内云主机之间的东西向流量。通过该SDN网关进行南北向流量采集时,可先在该SDN网关上建立与连接在核心交换机上的分流器设备的IP隧道,并配置全流量镜像,对采集到的流量进行隧道协议封装后,通过IP隧道发送给分流器设备,分流器设备收到流量数据后,进行隧道协议解封装,还原出原始采集到的南北向流量,并发送给流量分析平台进行流量分析。
在步骤S120中,采集所述物理分区内的裸金属云主机的第一东西向流量以及虚拟云主机的第二东西向流量;
在本申请实施例中,东西向流量是指云平台内部布置的云主机之间交互的流量。对于该POD,该东西向流量可包括,同一接入交换机下连接的云主机之间交互的流量,以及不同接入交换机连接的云主机之间交互的流量。
其中,该第一东西向流量以及该第二东西向流量均可为单向流量,即可为从源地址到目的地址的单向流量。
在本申请一实施例中,所述采集所述物理分区内的裸金属云主机的第一东西向流量,包括:
通过第一接入交换机连接所述裸金属云主机以及核心交换机;
在所述第一接入交换机上建立与连接在所述核心交换机上的分流器设备的第二IP隧道;
配置源地址为所述物理分区内云主机地址、目的地址为与所述第一接入交换机连接的裸金属云主机的第一东西向下行流量镜像;
对镜像到的第一东西向下行流量进行隧道协议封装后,通过所述第二IP隧道发送给所述分流器设备。
具体地,对于裸金属云主机,可选择与其连接的接入交换机作为第一东西向流量采集点。在该接入交换机上配置与连接核心交换机上的分流器设备的IP隧道,并配置源地址为POD内云主机地址、目的地址为本接入交换机下裸金属云主机的第一东西向下行流量镜像,对镜像到的第一东西向下行流量进行隧道协议封装后,通过IP隧道发送给该分流器设备,该分流器设备在接收到封装后的第一东西向下行流量后,可进行隧道协议解封,还原出原始的第一东西向下行流量,并发送给流量聚合器进行流量聚合后,发送给流量分析平台进行流量分析。
其中,该第一东西向下行流量是指该从源地址到目的地址的单向流量,即为该POD内云主机到该裸金属云主机的流量。
在本申请一实施例中,所述采集所述物理分区内的虚拟云主机的第二东西向流量,包括:
通过虚拟网络交换机连接虚拟云主机以及第二接入交换机,所述第二接入交换机连接核心交换机;
在所述虚拟网络交换机中建立连接在所述核心交换机上的分流器设备的第三IP隧道;
配置源地址为所述物理分区内云主机地址、目的地址为与所述虚拟网络交换机连接的虚拟云主机的第二东西向下行流量镜像;
对镜像到的第二东西向下行流量进行隧道协议封装后,通过所述第三IP隧道发送给所述分流器设备。
具体地,对于虚拟云主机,可选择虚拟网络交换机(vswitch)作为第二东西向流量采集点。建立该vswitch与连接在核心交换机上的分流器设备的IP隧道,通过SDN控制器使用开放流协议配置vswitch,并配置源地址为POD内云主机地址,目的地址为该vswitch连接的虚拟云主机的第二东西向下行流量镜像,对镜像到的第二东西向下行流量进行隧道协议封装后,通过IP隧道发送给分流器设备,该分流器设备接收到该第二东西向下行流量后,可进行隧道协议解封装,还原出原始采集到的第二东西向下行流量,并提供给流量聚合器,通过流量聚合器对该第二东西向下行流量进行聚合后,发送至流量分析平台进行流量分析。
其中,该第二东西向下行流量是指该从源地址到目的地址的单向流量,即为该POD内云主机到该虚拟云主机的流量。
参见图5,示出了裸金属云主机1发送TCP报文给裸金属云主机2的场景示意图,其中,该裸金属云主机1以及裸金属云主机2均与接入交换机1连接,该裸金属云主机1通过接入交换机1向裸金属云主机2发送数据包,具体如序号①②所示,该裸金属云主机2通过该接入交换机1向裸金属云主机1发送ACK包,具体如序号③④所示,由于在采集东西向流量时,仅采集了下行流量,因此,其仅采集了②④两个报文,已包含了完整的东西向流量,且不存在采集重复报文的情况。
参见图6,示出了裸金属云主机1发送TCP报文给虚拟云主机2的场景示意图。其中,该接入交换机1分别与裸金属云主机1以及裸金属云主机2通信连接,该接入交换机2通过vswitch分别与虚拟云主机1以及虚拟云主机2通信连接,该接入交换机1以及接入交换机2分别与核心交换机1以及核心交换机2通信连接。该裸金属云主机1可通过接入交换机1-核心交换机2-接入交换机2-vswitch的路线向虚拟云主机2发送数据包,具体如序号①②所示,该虚拟云主机2可通过vswitch-接入交换机2-核心交换机2-接入交换机1的路线向裸金属云主机1发送ACK包,具体如序号③④所示,由于在采集东西向流量时,仅采集了下行流量,因此,其仅采集了②④两个报文,已包含了完整的东西向流量,且不存在采集重复报文的情况。
参见图7,示出了虚拟云主机1发送TCP报文给虚拟云主机2的场景示意图。其中,接入交换机2通过vswitch分别与虚拟云主机1以及虚拟云主机2通信连接,该接入交换机1以及接入交换机2分别与核心交换机1以及核心交换机2通信连接。该虚拟云主机1向该虚拟云主机2发送数据包,具体如序号①②所示,该虚拟云主机2向该虚拟云主机1发送ACK包,具体如序号③④所示,由于在采集东西向流量时,仅采集了下行流量,因此,其仅采集了②④两个报文,已包含了完整的东西向流量,且不存在采集重复报文的情况。
参见图8,示出了虚拟云主机1发送TCP报文给裸金属云主机1的场景示意图。其中,该接入交换机1分别与裸金属云主机1以及裸金属云主机2通信连接,该接入交换机2通过vswitch分别与虚拟云主机1以及虚拟云主机2通信连接,该接入交换机1以及接入交换机2分别与核心交换机1以及核心交换机2通信连接。该虚拟云主机1通过vswitch-接入交换机2-核心交换机2-接入交换机1的路线向裸金属云主机1发送数据包,具体如序号①②所示,该裸金属云主机1通过接入交换机1-核心交换机2-接入交换机2-vswitch的路线向虚拟云主机1发送ACK包,具体如序号③④所示,由于在采集东西向流量时,仅采集了下行流量,因此,其仅采集了②④两个报文,已包含了完整的东西向流量,且不存在采集重复报文的情况。
由上述图5-图8所示可知,在进行东西向流量采集时,可以采集到POD内完整的POD东西向流量,并且不包含POD的南北向流量,通过上述方式对南北向流量以及东西向流量进行采集,不需要在云平台POD内部署额外的软硬件资源,可以在分流器设备处汇聚了POD的南北向和东西向全流量,以便进行集中的流量分析。
在步骤S130中,对所述第一东西向流量以及第二东西向流量进行流量聚合;
在本申请实施例中,在进行南北向流量采集时,可以同时采集上下行流量,因此其在采集时,流量已经聚合在一起了,可以直接发送给流量分析平台进行流量分析。而东西向流量在进行采集时,只采集了下行流量,且可能同一会话的上下行流量分散在两个采集点,因此采集到的东西向流量是离散的TCP报文,没有组成完整的TCP会话流量,无法进行后续流量分析,因此,分流器设备从不同端口收到的南北向和东西向流量,也要通过不同端口发送给流量分析平台或流量聚合器。其中,南北向流量可以直接分析,而东西向流量则需要先进行流量聚合,再进行分析。
在本申请一实施例中,所述对所述第一东西向流量以及第二东西向流量进行流量聚合,包括:
当接收到新的TCP报文时,从所述新的TCP报文中提取标识符,所述标识符包括源IP地址+源端口号和/或目的IP地址+目的端口号;
根据所述新的TCP报文的标识符,判断是否存在相同标识符的报文队列;
若是,则将所述新的TCP报文插入至所述报文队列中对应的位置;
若否,则根据所述新的TCP报文的标识符,创建新的报文队列,并将所述新的TCP报文放入所述新的报文队列的首部。
具体地,以源IP地址+源端口号、目的IP地址+目的端口号作为标识符,不区分源和目的方向,分别建立报文队列,同一会话的上下行报文归类在同一个报文队列中。当接收到新的TCP报文时,可从/>的IP头中提取源IP地址、目的IP地址、IP报文长度、IP头部长度;从/>的TCP头中提取TCP头部长度、源端口号和目的端口号、序号(下文简称:seq)、确认号(下文简称:ack)和报文类型(下文简称:type),并选取标识符,例如,源IP地址、源端口号、目的IP地址、目的端口,与已建立的报文队列的标识符进行一一对比,当比对一致,则说明存在相同标识符的报文队列,可以将述新的TCP报文插入至已建立的报文队列中的正确位置,否则,根据该新的TCP报文的标识符,创建新的报文队列,并将所述新的TCP报文放入所述新的报文队列的首部。
其中,报文类型可包括:URG、ACK、PSH、RST、SYN、FIN。一个报文的类型可能同时有1个或多个,比如SYN、ACK、SYN+ACK、PSH+ACK、FIN+ACK等。
进一步,还可计算出该新的TCP报文的体长度(下文简称:len)=IP报文长度-IP头部长度-TCP头部长度,以便后续进行新的TCP报文插入已建立队列时使用。
在本申请一实施例中,所述将所述新的TCP报文插入至所述报文队列中对应的位置,包括:
以接收到所述新的TCP报文的时间作为起始时间,在所述报文队列中往回检索预设回溯时间内的所有报文;
判断检索到的回溯报文中,是否存在所述新的TCP报文的应答报文;
若是,则将所述新的TCP报文插入到所述应答报文前面;
若否,则判断所述新的TCP报文是否符合预设排序条件;
若是,则按照预设排序规则,将所述新的TCP报文插入到对应位置;
若否,则将所述新的TCP报文放在所述报文队列的尾部。
由于报文的采集耗时、隧道协议封装耗时、隧道传输耗时、隧道协议解封装耗时存在不确定性,因此同一会话的报文到达分流器设备的时序不一定与真实的报文时序相同,可能存在乱序。因此,可设定回溯时间,例如可为T秒,即从收到报文的时刻开始,在队列中往回检索T秒内所有报文,判定/>与这些报文的时序关系。
其中,所述判断检索到的回溯报文中,是否存在所述新的TCP报文的应答报文,包括:
获取所述新的TCP报文的序号、确认号、报文体长度以及报文方向;
当在所述回溯报文中,存在报文方向与所述新的TCP报文方向相反,报文类型包含ACK,且确认号为新的TCP报文的序号+报文体长度+1的目标回溯报文,则将所述目标回溯报文作为所述新的TCP报文的应答报文。例如,假设新报文的序号seq=x、确认号ack=y,报文体长度len=z,报文方向为从I/>到I/>,如果在回溯到的报文中,存在报文方向为从I/>到I,报文类型type含ACK,且报文的确认号ack = x + z + 1的报文/>,则报文/>是/>的应答报文,将报文/>插入在/>前面。
进一步,如果存在多个报文满足上述条件,则将报文/>插入在所有报文/>的前面。
如果,在回溯的报文中,不存在应答报文,即,不存在报文方向为从I到I/>,报文类型type含ACK,且报文的确认号ack=x+z+1的报文,则可进一步判断是否存在符合预设排序条件的报文,该符合预设排序条件的报文可为报文方向为从I/>到I/>的报文,报文类型type含ACK,且报文确认号ack等于/>的确认号ack的报文/>,则可按照预设排序规则对和/>进行排序,该预设排序规则的优先级从高到低为:序号seq小的排在序号seq大的前面、长度len小的排在长度len大的前面、报文类型type仅含ACK的排在报文类型type含ACK和其它类型的前面。
进一步,如果回溯的报文中不存在应答报文,且不存在符合该预设排序规则的报文,则可将该报文放在报文队列的尾部,即最后位置。
可以理解,所有接收到的TCP报文,均重复执行上述对所述第一东西向流量以及第二东西向流量进行流量聚合的步骤,即可完成东西向离散的TCP会话上下行报文重新拟合成符合流量前后时序关系的报文序列。进行流量聚合后,即可将聚合后的东西向流量发送给流量分析平台进行流量分析。
在步骤S140中,对所述南北向流量以及流量聚合后的东西向流量进行流量分析。
在本申请实施例中,分流器设备可将接收到的南北向流量以及进行了流量聚合后的东西向流量发送给流量分析平台进行流量检测与分析,例如,可提取流量特征,并基于该流量特征判断是否为异常流量,该流量是否健康状态等,并可将分析结果进行可视化展示,以便用户查看以及进行对应处理。
其中,在对该流量进行分析时,可将其与正常流量特征进行对比,根据对比结果确定其是否为异常流量,还可通过预先构建的目标检测模型,通过将该流量输入至目标检测模型中计算得到该流量的健康状态。
本申请实施例提供了一种云平台的TCP全流量采集和聚合方法、系统以及计算机设备,其方法实现,包括采集进出所述物理分区的南北向流量;采集所述物理分区内的裸金属云主机的第一东西向流量以及虚拟云主机的第二东西向流量;对所述第一东西向流量以及第二东西向流量进行流量聚合;对所述南北向流量以及流量聚合后的东西向流量进行流量分析。本申请中可通过采集南北向流量以及东西向流量,将所有流量聚合到一点,为流量分析平台提供完整的云平台流量,实现集中式的流量分析,以便进行全面的流量检测分析,且可通过流量聚合,实现离散的TCP会话上下行报文重新拟合成符合时序的报文序列,可以同时适应虚拟云主机和裸金属云主机,无需额外部署代理软件或采集分析虚机,并且所有流量只需采集一次,不会重复采集。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种云平台的TCP全流量采集和聚合系统,该云平台的TCP全流量采集和聚合系统与上述实施例中云平台的TCP全流量采集和聚合方法一一对应。如图9所示,所述云平台被划分为至少一个物理分区,所述系统,包括:SDN网关10、接入交换机20、虚拟网络交换机30、流量聚合器40和流量分析平台50。各功能模块详细说明如下:
SDN网关10,用于采集进出所述物理分区的南北向流量;
第一接入交换机21,用于采集所述物理分区内的裸金属云主机60的第一东西向流量;
虚拟网络交换机30,用于采集所述物理分区内的虚拟云主机70的第二东西向流量;
流量聚合器40,用于对所述第一东西向流量以及第二东西向流量进行流量聚合;
流量分析平台50,用于对所述南北向流量以及流量聚合后的东西向流量进行流量分析。
在本申请一实施例中,该云平台的TCP全流量采集和聚合系统,还包括第一核心交换机81以及第二核心交换机82,该第一核心交换机81可分别与该SDN网关10、第一接入交换机21以及第二接入交换机22通信连接,该云平台的TCP全流量采集和聚合系统,还包括分流器设备90,该分流器设备90分别与该流量聚合器70以及第一核心交换机81、第二核心交换机82通信连接。该SDN网关10也可包括第一SDN网关21以及第二SDN网关22,且分别与该第一核心交换机81以及第二核心交换机82通信连接,且其采集的南北向流量可通过该第一核心交换机81以及第二核心交换机82发送给分流器设备90,在通过分流器设备90发送给该流量分析平台70。该第一接入交换机21以及虚拟网络交换机30采集的第一东西向流量以及第二东西向流量可也可分别通过与其连接的第一核心交换机81以及第二核心交换机82发送给分流器设备90,在通过分流器设备90发送给该流量分析平台70。
其中,该虚拟网络交换机30可通过第二接入交换机22与第一核心交换机81以及第二核心交换机82连接。
可以理解,该SDN网关10、核心交换机、接入交换机、裸金属云主机以及虚拟云主机均可包括多个,具体可以根据实际情况进行设置。
在一实施例中,流量聚合器40还用于:
当接收到新的TCP报文时,从所述新的TCP报文中提取标识符,所述所述标识符包括源IP地址+源端口号和/或目的IP地址+目的端口号;
根据所述新的TCP报文的标识符,判断是否存在相同标识符的报文队列;
若是,则将所述新的TCP报文插入至所述报文队列中对应的位置;
若否,则根据所述新的TCP报文的标识符,创建新的报文队列,并将所述新的TCP报文放入所述新的报文队列的首部。
在一实施例中,流量聚合器40还用于:
以接收到所述新的TCP报文的时间作为起始时间,在所述报文队列中往回检索预设回溯时间内的所有报文;
判断检索到的回溯报文中,是否存在所述新的TCP报文的应答报文;
若是,则将所述新的TCP报文插入到所述应答报文前面;
若否,则判断所述新的TCP报文是否符合预设排序条件。
若是,则按照预设排序规则,将所述新的TCP报文插入到对应位置;
若否,则将所述新的TCP报文放在所述报文队列的尾部。
在一实施例中,流量聚合器40还用于:
获取所述新的TCP报文的序号、确认号、报文体长度以及报文方向;
当在所述回溯报文中,存在报文方向与所述新的TCP报文方向相反,报文类型包含ACK,且确认号为新的TCP报文的序号+报文体长度+1的目标回溯报文,则将所述目标回溯报文作为所述新的TCP报文的应答报文。
在一实施例中,SDN网关10,还用于:
通过SDN网关连接南北向核心交换机以及核心交换机;
在所述SDN网关上建立与连接在核心交换机上的分流器设备的第一IP隧道,并配置全流量镜像;
通过所述SDN网关采集进出所述物理分区的南北向流量,对所述南北向流量进行隧道协议封装后,通过所述第一IP隧道发送至所述分流器设备。
在一实施例中,第一接入交换机30,还用于:
连接所述裸金属云主机以及核心交换机;
在所述第一接入交换机上建立与连接在所述核心交换机上的分流器设备的第二IP隧道;
配置源地址为所述物理分区内云主机地址、目的地址为与所述第一接入交换机连接的裸金属云主机的第一东西向下行流量镜像;
对镜像到的第一东西向下行流量进行隧道协议封装后,通过所述第二IP隧道发送给所述分流器设备。
在一实施例中,虚拟网络交换机30,还用于:
连接虚拟云主机以及第二接入交换机,所述第二接入交换机连接核心交换机;
在所述虚拟网络交换机中建立连接在所述核心交换机上的分流器设备的第三IP隧道;
配置源地址为所述物理分区内云主机地址、目的地址为与所述虚拟网络交换机连接的虚拟云主机的第二东西向下行流量镜像;
对镜像到第二东西下行流量进行隧道协议封装后,通过所述第三IP隧道发送给所述分流器设备。
本申请实施例中,可通过采集南北向流量以及东西向流量,将所有流量聚合到一点,为流量分析平台提供完整的云平台流量,实现集中式的流量分析,以便进行全面的流量检测分析,且可通过流量聚合,实现离散的TCP会话上下行报文重新拟合成符合时序的报文序列,可以同时适应虚拟云主机和裸金属云主机,无需额外部署代理软件或采集分析虚机,并且所有流量只需采集一次,不会重复采集。
关于云平台的TCP全流量采集和聚合系统的具体限定可以参见上文中对于云平台的TCP全流量采集和聚合方法的限定,在此不再赘述。上述云平台的TCP全流量采集和聚合系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端设备,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括可读存储介质。该可读存储介质存储有计算机可读指令。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种面云平台的TCP全流量采集和聚合方法。本实施例所提供的可读存储介质包括非易失性可读存储介质和易失性可读存储介质。
一种计算机设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机可读指令,处理器执行计算机可读指令时实现如上述面云平台的TCP全流量采集和聚合方法的步骤。
一种可读存储介质,可读存储介质存储有计算机可读指令,计算机可读指令被处理器执行时实现如上述面云平台的TCP全流量采集和聚合方法的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指令相关的硬件来完成,所述的计算机可读指令可存储于一非易失性可读取存储介质或易失性可读存储介质中,该计算机可读指令在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、直接存储器总线动态RAM(DRDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种云平台的TCP全流量采集和聚合方法,其特征在于,所述云平台被划分为至少一个物理分区,所述物理分区中设置有至少一个SDN网关以及与所述SDN网关通信连接的核心交换机、所述核心交换机分别与第一接入交换机以及第二交换机连接,所述第一接入交换机与裸金属云主机连接,所述第二交换机与虚拟云主机通过虚拟网络交换机连接,所述方法包括:
通过所述SDN网关采集进出所述物理分区的南北向流量;
通过所述接入交换机采集所述物理分区内的所述裸金属云主机的第一东西向流量以及通过所述虚拟网络交换机采集所述虚拟云主机的第二东西向流量,其中,所述第一东西向流量与所述第二东西向流量包括离散TCP报文;
分别对所述第一东西向流量以及第二东西向流量中的离散TCP报文进行流量聚合,以将所述离散TCP报文重新拟合成符合流量前后时序关系的报文序列;
对所述南北向流量以及流量聚合后的东西向流量进行流量分析。
2.如权利要求1所述的云平台的TCP全流量采集和聚合方法,其特征在于,所述对所述第一东西向流量以及第二东西向流量进行流量聚合,包括:
当接收到新的TCP报文时,从所述新的TCP报文中提取标识符,所述标识符包括源IP地址+源端口号和/或目的IP地址+目的端口号;
根据所述新的TCP报文的标识符,判断是否存在相同标识符的报文队列;
若是,则将所述新的TCP报文插入至所述报文队列中对应的位置;
若否,则根据所述新的TCP报文的标识符,创建新的报文队列,并将所述新的TCP报文放入所述新的报文队列的首部。
3.如权利要求2所述的云平台的TCP全流量采集和聚合方法,其特征在于,所述将所述新的TCP报文插入至所述报文队列中对应的位置,包括:
以接收到所述新的TCP报文的时间作为起始时间,在所述报文队列中往回检索预设回溯时间内的所有报文;
判断检索到的回溯报文中,是否存在所述新的TCP报文的应答报文;
若是,则将所述新的TCP报文插入到所述应答报文前面;
若否,则判断所述新的TCP报文是否符合预设排序条件。
4.如权利要求3所述的云平台的TCP全流量采集和聚合方法,其特征在于,所述判断所述新的TCP报文是否符合预设排序条件之后,包括:
若是,则按照预设排序规则,将所述新的TCP报文插入到对应位置;
若否,则将所述新的TCP报文放在所述报文队列的尾部。
5.如权利要求3所述的云平台的TCP全流量采集和聚合方法,其特征在于,所述判断检索到的回溯报文中,是否存在所述新的TCP报文的应答报文,包括:
获取所述新的TCP报文的序号、确认号、报文体长度以及报文方向;
当在所述回溯报文中,存在报文方向与所述新的TCP报文方向相反,报文类型包含ACK,且确认号为所述新的TCP报文的序号+报文体长度+1的目标回溯报文,则将所述目标回溯报文作为所述新的TCP报文的应答报文。
6.如权利要求1所述的云平台的TCP全流量采集和聚合方法,其特征在于,所述通过所述SDN网关采集进出所述物理分区的南北向流量,包括:
通过所述SDN网关连接南北向核心交换机;
在所述SDN网关上建立与连接在所述核心交换机上的分流器设备的第一IP隧道,并配置全流量镜像;
通过所述SDN网关采集进出所述物理分区的南北向流量,对所述南北向流量进行隧道协议封装后,通过所述第一IP隧道发送至所述分流器设备。
7.如权利要求1所述的云平台的TCP全流量采集和聚合方法,其特征在于,所述通过所述第一接入交换机采集所述物理分区内的裸金属云主机的第一东西向流量,包括:
在所述第一接入交换机上建立与连接在所述核心交换机上的分流器设备的第二IP隧道;
配置源地址为所述物理分区内云主机地址、目的地址为与所述第一接入交换机连接的裸金属云主机的第一东西向下行流量镜像;
对镜像到的第一东西向下行流量进行隧道协议封装后,通过所述第二IP隧道发送给所述分流器设备。
8.如权利要求1所述的云平台的TCP全流量采集和聚合方法,其特征在于,所述通过所述虚拟网络交换机采集所述物理分区内的虚拟云主机的第二东西向流量,包括:
在所述虚拟网络交换机中建立连接在所述核心交换机上的分流器设备的第三IP隧道;
配置源地址为所述物理分区内云主机地址、目的地址为与所述虚拟网络交换机连接的虚拟云主机的第二东西向下行流量镜像;
对镜像到的第二东西向下行流量进行隧道协议封装后,通过所述第三IP隧道发送给所述分流器设备。
9.一种云平台的TCP全流量采集和聚合系统,其特征在于,所述云平台被划分为至少一个物理分区,所述物理分区中设置有至少一个SDN网关以及与所述SDN网关通信连接的核心交换机、所述核心交换机分别与第一接入交换机以及第二交换机连接,所述第一接入交换机与裸金属云主机连接,所述第二交换机与虚拟云主机通过虚拟网络交换机连接,所述系统,包括:
所述SDN网关,用于采集进出所述物理分区的南北向流量;
所述第一接入交换机,用于采集所述物理分区内的所述裸金属云主机的第一东西向流量;
所述虚拟网络交换机,用于采集所述物理分区内的所述虚拟云主机的第二东西向流量,其中,所述第一东西向流量与所述第二东西向流量包括离散TCP报文;
流量聚合器,用于分别对所述第一东西向流量以及第二东西向流量中的离散TCP报文进行流量聚合,以将所述离散TCP报文重新拟合成符合流量前后时序关系的报文序列;
流量分析平台,用于对所述南北向流量以及流量聚合后的东西向流量进行流量分析。
10.一种计算机设备,其特征在于,包括存储设备以及处理器,所述存储设备用于存储计算机程序,所述处理器运行所述计算机程序以使所述计算机设备执行根据权利要求1至7任一项所述的云平台的TCP全流量采集和聚合方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310722734.XA CN116455680B (zh) | 2023-06-19 | 2023-06-19 | 云平台的tcp全流量采集和聚合方法、系统及计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310722734.XA CN116455680B (zh) | 2023-06-19 | 2023-06-19 | 云平台的tcp全流量采集和聚合方法、系统及计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116455680A CN116455680A (zh) | 2023-07-18 |
CN116455680B true CN116455680B (zh) | 2023-10-13 |
Family
ID=87135995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310722734.XA Active CN116455680B (zh) | 2023-06-19 | 2023-06-19 | 云平台的tcp全流量采集和聚合方法、系统及计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116455680B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109450735A (zh) * | 2018-12-04 | 2019-03-08 | 成都知道创宇信息技术有限公司 | 一种基于上行流量的识别tcp正常请求的方法 |
CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
WO2019192318A1 (zh) * | 2018-04-04 | 2019-10-10 | 中兴通讯股份有限公司 | 流量平滑方法、服务器及转发设备 |
CN112437072A (zh) * | 2020-11-17 | 2021-03-02 | 广州西麦科技股份有限公司 | 一种云平台中虚拟机流量牵引系统、方法、设备及介质 |
CN114374526A (zh) * | 2021-09-28 | 2022-04-19 | 中远海运科技股份有限公司 | 一种面向云主机全流量网络访问防护的方法及装置 |
CN115941558A (zh) * | 2022-11-11 | 2023-04-07 | 上海市大数据股份有限公司 | 一种基于云平台OpenStack流量监控系统和方法 |
CN116248479A (zh) * | 2022-12-29 | 2023-06-09 | 天翼云科技有限公司 | 网络路径探测方法、装置、设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11057348B2 (en) * | 2019-08-22 | 2021-07-06 | Saudi Arabian Oil Company | Method for data center network segmentation |
-
2023
- 2023-06-19 CN CN202310722734.XA patent/CN116455680B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
WO2019192318A1 (zh) * | 2018-04-04 | 2019-10-10 | 中兴通讯股份有限公司 | 流量平滑方法、服务器及转发设备 |
CN109450735A (zh) * | 2018-12-04 | 2019-03-08 | 成都知道创宇信息技术有限公司 | 一种基于上行流量的识别tcp正常请求的方法 |
CN112437072A (zh) * | 2020-11-17 | 2021-03-02 | 广州西麦科技股份有限公司 | 一种云平台中虚拟机流量牵引系统、方法、设备及介质 |
CN114374526A (zh) * | 2021-09-28 | 2022-04-19 | 中远海运科技股份有限公司 | 一种面向云主机全流量网络访问防护的方法及装置 |
CN115941558A (zh) * | 2022-11-11 | 2023-04-07 | 上海市大数据股份有限公司 | 一种基于云平台OpenStack流量监控系统和方法 |
CN116248479A (zh) * | 2022-12-29 | 2023-06-09 | 天翼云科技有限公司 | 网络路径探测方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116455680A (zh) | 2023-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8149705B2 (en) | Packet communications unit | |
WO2021207922A1 (zh) | 报文传输方法、装置及系统 | |
CN106685903B (zh) | 基于sdn的数据传输方法、sdn控制器和sdn系统 | |
US20120257529A1 (en) | Computer system and method of monitoring computer system | |
EP2544409A1 (en) | Generic monitoring packet handling mechanism for OpenFlow 1.1 | |
US20200296624A1 (en) | Frame aggregation method, network setting frame sending method, and device | |
CN111092840B (zh) | 处理策略的生成方法、系统及存储介质 | |
US10623278B2 (en) | Reactive mechanism for in-situ operation, administration, and maintenance traffic | |
CN102111822B (zh) | 一种基于认知技术的物联网方法 | |
CN105515816B (zh) | 检测层次信息的处理方法及装置 | |
CN106357726A (zh) | 负载均衡方法及装置 | |
CN103281257A (zh) | 一种协议报文处理方法和设备 | |
CN107241280A (zh) | 基于信誉的网络流量的动态优先级排序 | |
CN115484047A (zh) | 云平台中的泛洪攻击的识别方法、装置、设备及存储介质 | |
CN107222403A (zh) | 一种数据传输方法、系统和电子设备 | |
CN104883362A (zh) | 异常访问行为控制方法及装置 | |
CN112105074A (zh) | 基于mec的访问流量分流系统及方法 | |
CN116455680B (zh) | 云平台的tcp全流量采集和聚合方法、系统及计算机设备 | |
CN113328956A (zh) | 一种报文处理方法及装置 | |
CN105991353A (zh) | 故障定位的方法和装置 | |
Osiński et al. | Achieving end-to-end network visibility with host-int | |
CN110290124B (zh) | 一种交换机入端口阻断方法及装置 | |
CN110768870A (zh) | 一种智能专线的质量监控方法和装置 | |
CN104243338A (zh) | 报文处理方法、设备和系统 | |
CN112671662B (zh) | 数据流加速方法、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |