一种基于eBPF的流量采集方法及装置制造方法及图纸

本发明专利技术公开一种基于eBPF的流量采集方法及装置，其中，该方法包括：待采集节点接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口传递给内核态的eBPF模块；内核态的eBPF模块接收采集参数的配置信息和镜像端口，内核态的eBPF模块附着在XDP跟踪点上，根据采集参数的配置信息对流量进行过滤，并通过镜像端口发送到流量分析系统；控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。该方法及装置实现多租户的流量采集，效率更高，方案更简单，更通用。更通用。更通用。

【技术实现步骤摘要】
一种基于eBPF的流量采集方法及装置


[0001]本专利技术涉及云安全管理
，尤其是一种基于eBPF的流量采集方法及装置。

技术介绍

[0002]随着云计算的发展，其灵活分配，弹性扩容和快速恢复的特性，使得越来越多的业务选择云上部署，用户希望对云内的业务进行监控，了解云内资产的运行状态。
[0003]对于租户内的流量，所有传统的和物理的流量采集手段都变得不可用。对于数据中心通过镜像端口的方式采集流量，也不能满足多租户的场景，汇聚之后的流量无法区分租户信息。
[0004]目前，一种方案是通过在租户VPC网络内部署虚拟机进行量的采集，但虚拟机的部署仅仅适用于虚拟化的场景，不能适应于容器化的环境，同时虚拟机的部署也占用了租户的计算资源；另一种方案是通过运管接口来采集流量，但仅适用某个特定的网管，对接不同的运管，需要适配不同的接口。这两种方案都是在用户态进行流量的捕获和处置，效率较低。
[0005]eBPF(extended Berkeley Packet Filter，扩展的伯克利包过滤器)作为Linux的顶级项目，其优越的性能以及可编程等特性，使其在系统跟踪、观测、性能调优、安全和网络等领域发挥重要的角色。相对于系统的性能分析和观测，eBPF技术在网络技术中的表现，更是让人眼前一亮，eBPF技术与XDP(eXpress Data Path，特快数据路径)和TC(Traffic Control，流量控制)组合可以实现更加强大的网络功能，更可为SDN(software defined network，软件定义网络)提供基础支撑。

技术实现思路

[0006]为解决目前两种方案存在的上述问题，本专利技术提供一种基于eBPF的流量采集方法及装置，实现多租户的流量采集，效率更高，方案更简单，更通用。
[0007]为实现上述目的，本专利技术采用下述技术方案：
[0008]在本专利技术一实施例中，提出了一种基于eBPF的流量采集方法，该方法包括：
[0009]待采集节点接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口通BPF_MAP传递给内核态的eBPF模块；
[0010]内核态的eBPF模块附着在XDP跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；
[0011]流量分析系统接收到流量后，根据流量处置规则，对流量进行处理和分析；
[0012]控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。
[0013]进一步地，控制系统接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息。
[0014]进一步地，控制系统根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统。
[0015]进一步地，控制系统从云管平台获取租户网络信息以及租户资产信息。
[0016]进一步地，根据流量特征确定采集参数的配置信息。
[0017]进一步地，控制系统直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置。
[0018]进一步地，流量分析系统若部署在VPC内部，则镜像端口为待采集机器的物理接口或者虚拟接口，若部署在VPC外部，则需要配置镜像接口为镜像端口与流量分析系统之间通道的源端，且该通道头部携带租户标识。
[0019]进一步地，流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统。
[0020]进一步地，若流量分析组件为多租户共享或者与流量汇聚组件部署在不同网络时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件将携带租户信息的分析结果上报至控制系统。
[0021]进一步地，流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统。
[0022]在本专利技术一实施例中，还提出了一种基于eBPF的流量采集装置，该装置包括：
[0023]待采集节点，用于接收采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口传递给内核态的eBPF模块；内核态的eBPF模块附着在XDP跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；
[0024]流量分析系统，用于接收到流量后，根据流量处置规则，对流量进行处理和分析；
[0025]控制系统，用于汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。
[0026]进一步地，控制系统，还用于接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息；
[0027]进一步地，控制系统，还用于根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统；
[0028]进一步地，控制系统从云管平台获取租户网络信息以及租户资产信息。
[0029]进一步地，根据流量特征确定采集参数的配置信息。
[0030]进一步地，控制系统直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置。
[0031]进一步地，流量分析系统若部署在VPC内部，则镜像端口为待采集机器的物理接口或者虚拟接口，若部署在VPC外部，则需要配置镜像接口为镜像端口与流量分析系统之间通
道的源端，且该通道头部携带租户标识。
[0032]进一步地，流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统。
[0033]进一步地，若流量分析组件为多租户共享或者与流量汇聚组件部署在不同网络时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件将携带租户信息的分析结果上报至控制系统。
[0034]进一步地，流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统。
[003本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于eBPF的流量采集方法，其特征在于，该方法包括：待采集节点接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口传递给内核态的eBPF模块；内核态的eBPF模块附着在XDP跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；流量分析系统接收到流量后，根据流量处置规则，对流量进行处理和分析；控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。2.根据权利要求1所述的基于eBPF的流量采集方法，其特征在于，所述控制系统接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息。3.根据权利要求2所述的基于eBPF的流量采集方法，其特征在于，所述控制系统根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统。4.根据权利要求1所述的基于eBPF的流量采集方法，其特征在于，所述控制系统从云管平台获取租户网络信息以及租户资产信息。5.根据权利要求2所述的基于eBPF的流量采集方法，其特征在于，根据所述流量特征确定采集参数的配置信息。6.根据权利要求3所述的基于eBPF的流量采集方法，其特征在于，所述控制系统直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置。7.根据权利要求2所述的基于eBPF的流量采集方法，其特征在于，所述流量分析系统若部署在VPC内部，则镜像端口为待采集机器的物理接口或者虚拟接口，若部署在VPC外部，则需要配置镜像接口为镜像端口与流量分析系统之间通道的源端，且该通道头部携带租户标识。8.根据权利要求1所述的基于eBPF的流量采集方法，其特征在于，所述流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统。9.根据权利要求8所述的基于eBPF的流量采集方法，其特征在于，若所述流量分析组件为多租户共享或者与流量汇聚组件部署在不同网络时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件将携带租户信息的分析结果上报至控制系统。10.根据权利要求1或8所述的基于eBPF的流量采集方法，其特征在于，所述流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统。11.一种基于eBPF的流量采集装置，其特征在于，该装置包括：待采集节点，用于接收采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口传递给内核态的eBPF模块；内核态的eB...

【专利技术属性】
技术研发人员：何文娟，
申请(专利权)人：中盈优创资讯科技有限公司，
类型：发明
国别省市：