System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种针对云环境东西向流量的新型采集系统及方法技术方案_技高网
当前位置: 首页 > 专利查询>天翼云科技有限公司专利>正文

一种针对云环境东西向流量的新型采集系统及方法技术方案

技术编号:40938967 阅读:2 留言:0更新日期:2024-04-18 14:57
本发明专利技术公开了一种针对云环境东西向流量的新型采集系统机方法,属于云计算网络安全技术领域,通过虚拟交换单元OVS采集云主机东西向流量,根本上解决了流量采集盲区的问题;不需要在云主机内部按照Agent软件,根本上解决了兼容性,性能抢占,敏感数据泄露的问题;基于组织架构,IP版本,流量方向,端口,地址范围等多维度进行精细化,可视化采集策略制定,大幅提高用户的配置效率;通过特定加权负载分担算法,能够实现智能分发流量给不同的流量采集器,避免用户手工配置失误造成采集器超负荷丢包,同时用户不需要单独配置负载均衡设备,帮助用户大大节约了方案成本。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于云计算网络安全,尤其涉及一种针对云环境东西向流量的新型采集系统及方法


技术介绍

1、随着网络安全形势的剧变,网络空间安全的战略地位逐步凸显,危害网络空间的国际事件屡屡发生,而云计算基础设施作为重要的数字资产及业务聚集地,面临的安全形势尤为严峻。为了应对云计算环境下的各种网络攻击行为,业界已经提出多种针对云计算安全防御解决方案,其中流量监测作为应对apt高级攻击行为的主要手段,越来越受到业界的重视。

2、然而,目前业界的云安全流量监测手段主要还是采用传统的网络流量监测方法,即将流量采集器旁路部署在核心交换机上,通过在核心交换机配置端口镜像,将流量镜像给流量采集器。但是,这种传统镜像流量采集方法在云计算环境下,存在以下问题:

3、1、云计算环境下,流量路径更加复杂,经过核心交换机的东西向流量只是一小部分,大部分东西向流量其实是云平台内部流转,这些流量如果不进行采集,那么流量监测将存在很大盲区,云平台的安全仍然存在很大的风险;

4、2、传统流量采集方法是在核心交换机上手动登入后台配置镜像策略,这种方法操作复杂,能力要求很高,特别是对客户来说,易用性较差;

5、3、传统流量采集方法主要是基于五元组进行流量筛选,无法从用户,组织的维度进行快速过滤,无法满足更多维度的分析需求;

6、4、由于云环境流量很大,特别是东西向虚拟机之间的交换流量,通常一台流量采集器无法满足流量采集需求,而需要部署多台,传统方案通常无法智能分发流量,往往需要人工手动选择或者依赖单独的负载分担设备,通过手工选择探针无法及时发现探针负载情况,很难及时作出调整,而部署独立的负载分担设备则会增加用户的方案成本;

7、基于以上传统采集方案的问题,目前业界主流网络安全厂商推出了另外一种云平台东西向流量采集方案,即在云主机部署agent,通过agent抓取主机本地流量,以解决流量监测盲区的问题,但是这种方案在实际应用中,仍然存在以下问题:

8、1、兼容性风险,由于云计算环境操作系统和应用环境越来越复杂,agent在实际部署中,经常出现端口冲突或其他兼容性问题;

9、2、资源抢占,由于agent需要部署在客户的每台主机中,而且需要实时对流量进行抓取,难免对客户自身业务性能造成影响;

10、3、网络安全,由于agent需要部署在客户的业务主机上,部分敏感行业的客户出于安全考虑,担心agent抓取部分敏感信息,也不太愿意接受这种方案;

11、4、该方案同样无法智能分发流量给不同的流量采集器,需要人工手动选择或者依赖单独的负载分担设备,通过手工选择探针无法及时发现探针负载情况,很难及时作出调整,而部署独立的负载分担设备则会增加用户的方案成本.


技术实现思路

1、本专利技术所要解决的技术问题是针对
技术介绍
的不足提供一种针对云环境东西向流量的新型采集系统及方法,能够提供深度的,精细化的东西向流量采集方案,避免出现流量监测盲区,同时监测方案与客户的业务主机解耦,不存在兼容性,性能,敏感信息泄露的风险,通过加权负载分担算法,系统能够实现智能流量分发,满足大规模流量采集需求,同时节约用户的采集方案成本。

2、本专利技术为解决上述技术问题采用以下技术方案:

3、一种针对云环境东西向流量的新型采集系统,包含控制平台、流量采集器、虚拟交换单元ovs、镜像网关、云环境的spine及leaf交换系统;

4、其中,控制平台,用于全网云基础设施统一管理,并为用户提供可视化操作页面;

5、虚拟交换单元ovs,用于宿主机上各虚拟机之间,以及虚拟机与外界的数据交换,同时作为vxlan的端点设备,负责vxlan数据包的封装和解封装;

6、镜像网关,作为独立的网关设备,用于负责将虚拟交换单元ovs转发过来的vxlan数据包进行解封装,同时负责通过加权负载分担算法计算出最佳目标流量采集器,并将流量发送给采集器;

7、云环境的spine及leaf交换系统,用于负责整个系统网络ip可达。

8、作为本专利技术一种针对云环境东西向流量的新型采集系统的进一步优选方案,所述全网云基础设施包含云主机和虚拟交换单元ovs。

9、作为本专利技术一种针对云环境东西向流量的新型采集系统的进一步优选方案,所述镜像网关在将解封装后的原始流量发送给流量采集器时,选择走原有核心交换机网络转发。

10、作为本专利技术一种针对云环境东西向流量的新型采集系统的进一步优选方案,所述镜像网关在将解封装后的原始流量发送给流量采集器时,选择走独立的镜像网络进行转发;其中,独立镜像网络不占用业务链路带宽。

11、一种针对云环境东西向流量的新型采集系统的实现方法,基于控制平台,通过下发镜像流量采集指令给虚拟交换单元ovs,完成指定流量数据采集,具体包含如下步骤:

12、步骤1,在控制平台上完成第三方流量采集器信息配置;

13、步骤2,在控制平台上创建流量过滤器,一个镜像会话对应一个过滤器,过滤器内添加多条精细化流量采集规则;

14、步骤3,在流量过滤器下创建流量采集规则;

15、步骤4,在控制平台上基于用户组织架构进行云主机可视化筛选,筛选出目标云主机后,可批量绑定流量过滤器和目标流量采集器组,绑定后自动创建流量镜像会话,下发给底层虚拟交换单元ovs;

16、步骤5,虚拟交换单元ovs接收到镜像会话指令后,基于会话内的流量过滤器,采集相关云主机的流量数据,并基于会话目的ip,封装vxlan数据包,发送到统一流量镜像网关;

17、步骤6,统一流量镜像网关轮询获取流量采集器组的cpu和内存信息,计算出最佳目标流量采集器;

18、步骤7,统一流量镜像网关收到vxlan数据包后,进行解封装,得到流量数据原始报文,并基于步骤6计算出的最佳目标流量采集器地址,将流量原始报文转发给流量采集器。

19、作为本专利技术针对云环境东西向流量的新型采集系统的实现方法的进一步优选方案,在步骤1中,流量采集器信息需要包括underlay ip地址,资源池标签信息。

20、作为本专利技术针对云环境东西向流量的新型采集系统的实现方法的进一步优选方案,在步骤3中,流量采集规则支持ip版本、传输协议、端口号范围、ip地址范围、采集策略、流量传输方向、规则优先级进行自定义。

21、作为本专利技术针对云环境东西向流量的新型采集系统的实现方法的进一步优选方案,在步骤3中,ip版本选择ipv4,传输协议选择any,端口号范围和ip地址范围不做限制,采集策略选择是,流量传输方向选择东西向,规则优先级系统自动添加,通过可视化上下拖拽方式进行优先级调整,默认优先级数值越小,优先级越高。

22、作为本专利技术针对云环境东西向流量的新型采集系统的实现方法的进一步优选方案,在步骤5中,会话目的ip包含流量采集器ip或者ip范围。

23、作为本专利技术针对本文档来自技高网...

【技术保护点】

1.一种针对云环境东西向流量的新型采集系统,其特征在于:包含控制平台、流量采集器、虚拟交换单元OVS、镜像网关、云环境的Spine及leaf交换系统;

2.根据权利要求1所述的一种针对云环境东西向流量的新型采集系统,其特征在于:所述全网云基础设施包含云主机和虚拟交换单元OVS。

3.根据权利要求1所述的一种针对云环境东西向流量的新型采集系统,其特征在于:所述镜像网关在将解封装后的原始流量发送给流量采集器时,选择走原有核心交换机网络转发。

4.根据权利要求1所述的一种针对云环境东西向流量的新型采集系统,其特征在于:所述镜像网关在将解封装后的原始流量发送给流量采集器时,选择走独立的镜像网络进行转发;其中,独立镜像网络不占用业务链路带宽。

5.一种基于权利要求1至4任一项所述的针对云环境东西向流量的新型采集系统的实现方法,其特征在于:基于控制平台,通过下发镜像流量采集指令给虚拟交换单元OVS,完成指定流量数据采集,具体包含如下步骤:

6.根据权利要求5所述的针对云环境东西向流量的新型采集系统的实现方法,其特征在于:在步骤1中,流量采集器信息需要包括underlay IP地址,资源池标签信息。

7.根据权利要求5所述的针对云环境东西向流量的新型采集系统的实现方法,其特征在于:在步骤3中,流量采集规则支持IP版本、传输协议、端口号范围、IP地址范围、采集策略、流量传输方向、规则优先级进行自定义。

8.根据权利要求7所述的针对云环境东西向流量的新型采集系统的实现方法,其特征在于:在步骤3中,IP版本选择IPv4,传输协议选择ANY,端口号范围和IP地址范围不做限制,采集策略选择是,流量传输方向选择东西向,规则优先级系统自动添加,通过可视化上下拖拽方式进行优先级调整,默认优先级数值越小,优先级越高。

9.根据权利要求5所述的针对云环境东西向流量的新型采集系统的实现方法,其特征在于:在步骤5中,会话目的IP包含流量采集器IP或者IP范围。

10.根据权利要求5所述的针对云环境东西向流量的新型采集系统的实现方法,其特征在于:在步骤6中,通过加权负载分担算法计算出最佳目标流量采集器。

...

【技术特征摘要】

1.一种针对云环境东西向流量的新型采集系统,其特征在于:包含控制平台、流量采集器、虚拟交换单元ovs、镜像网关、云环境的spine及leaf交换系统;

2.根据权利要求1所述的一种针对云环境东西向流量的新型采集系统,其特征在于:所述全网云基础设施包含云主机和虚拟交换单元ovs。

3.根据权利要求1所述的一种针对云环境东西向流量的新型采集系统,其特征在于:所述镜像网关在将解封装后的原始流量发送给流量采集器时,选择走原有核心交换机网络转发。

4.根据权利要求1所述的一种针对云环境东西向流量的新型采集系统,其特征在于:所述镜像网关在将解封装后的原始流量发送给流量采集器时,选择走独立的镜像网络进行转发;其中,独立镜像网络不占用业务链路带宽。

5.一种基于权利要求1至4任一项所述的针对云环境东西向流量的新型采集系统的实现方法,其特征在于:基于控制平台,通过下发镜像流量采集指令给虚拟交换单元ovs,完成指定流量数据采集,具体包含如下步骤:

6.根据权利要求5所述的针对云环境东西向流量的新型采...

【专利技术属性】
技术研发人员:姚永亮姜德强潘晓东陈丽娜
申请(专利权)人:天翼云科技有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有