一种流量可视化方法、系统、设备及介质与流程

发明涉及云安全技术领域，尤其涉及一种流量可视化方法、系统、设备及介质。

背景技术：

随着虚拟化技术的发展，越来越多的企业走向公共云，较为典型的网络架构为公、私混合的数据中心体系结构。这个网络架构方便企业管理的同时，混合云基础设施的复杂性高，虚拟机如果防护不到位的话，很容易受到网络安全事件攻击。企业网络安全人员很希望能够直观的查看虚拟机的防护状态，流量走向，并且能方便增加或者减少安全组件，有效保护企业内部设施不受外界网络事件攻击。

技术实现要素：

(一)要解决的技术问题

本发明提供了一种流量可视化方法、系统、设备及介质，至少解决以上问题。

(二)技术方案

一方面本发明提供了一种流量可视化方法，包括：s1，根据现实网络架构，在可视化界面上绘制internet层、防火墙层、waf层以及虚拟主机层，其中，internet层为internet网络，防火墙层包括至少一个防火墙，waf层包括至少一个waf，虚拟主机层包括至少一个虚拟主机分组，每个虚拟主机分组包括至少一个虚拟主机；s2，将internet网络、防火墙、waf以及虚拟主机分组与现实网络架构中的设备进行关联；s3，根据现实网络架构中的各设备连接关系，在可视化界面上绘制internet网络、防火墙、waf以及虚拟主机分组之间的线条；s4，通过突出显示所述internet网络、防火墙、waf以及虚拟主机分组之间的线条，以使选中线条后，线条以高亮状态动态显示当前现实网络架构中的各设备之间的流量走向。

可选地，防火墙层及waf层均包括至少一个虚拟节点，虚拟主机与waf层中虚拟节点或waf链接。

可选地，至少一个虚拟主机分组具体为，若虚拟主机与waf链接则该虚拟主机为waf组，若虚拟主机通过waf层中的虚拟节点与防火墙层中的防火墙连接则为防火墙组，若虚拟主机通过waf层中的虚拟节点以及防火墙层中的虚拟节点与internet连接则为无防护组。

可选地，还包括将虚拟主机移动至目标分组中完成虚拟主机的分组，并采用数据结构stack记录操作信息，其中，操作信息包括虚拟主机的源分组信息、虚拟主机在源分组中的位置信息、虚拟主机的目标分组信息以及虚拟主机在目标分组中的位置信息。

可选地，至少一个虚拟主机分组具有多种布局方式，布局方式包括一字型和瀑布流型，通过布局控制参数控制至少一个虚拟主机分组的布局方式，其中，一字型布局方式为至少一个虚拟主机分组设于同一行，瀑布流型布局方式则为至少一个虚拟主机分组设于多行。

可选地，若至少一个虚拟主机分组的布局方式采用瀑布流型，则在虚拟主机层的每一虚拟主机分组中设置至少六个控制点，采用kinggraph构图法布置所述至少六个控制点且包括一个布置于每一所述虚拟主机分组几何中心的控制点，并将所述控制点生成连通图，通过最短路径法计算出waf层的waf或虚拟节点到所述几何中心控制点的最短路径，将所述最短路径上的控制点连接。

可选地，虚拟主机还包括安全组件标识，安全组件标识用于显示虚拟主机设有的安全组件信息。

另一方面本发明还提供了一种流量可视化系统，包括：分层模块，用于根据现实网络架构，在可视化界面上绘制internet层、防火墙层、waf层以及虚拟主机层，其中，internet层为internet网络，防火墙层包括至少一个防火墙，waf层包括至少一个waf，虚拟主机层包括至少一个虚拟主机分组，每个虚拟主机分组包括至少一个虚拟主机；关联模块，用于将所述internet网络、防火墙、waf以及虚拟主机分组与所述现实网络架构中的设备进行关联；连接模块，用于根据所述现实网络架构中的各设备连接关系，在可视化界面上绘制internet网络、防火墙、waf以及虚拟主机分组之间的线条；突出显示模块，用于通过突出显示所述internet网络、防火墙、waf以及虚拟主机分组之间的线条，以使选中线条后，线条以高亮状态动态显示当前现实网络架构中的各设备之间的流量走向。

再一方面本发明还提供了一种电子设备，设备包括：处理器；存储器，其存储有计算机可执行程序，该程序在被处理器执行时，使得处理器执行上述流量可视化方法。

又一方面本发明还提供了一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现上述流量可视化方法。

(三)有益效果

通过建立和实际网络架构符合的可视化网络架构，安全人员可直观看出当前虚拟主机的防护状态，同时可通过直接拖拽等方式改变虚拟主机的防护状态，简单方便直观。

附图说明

图1示意性示出了本公开实施例中流量可视化方法的步骤图；

图2示意性示出了本公开实施例中流量可视化网络架构图；

图3示意性示出了本公开实施例中虚拟主机分组的瀑布流型布局方式示意图；

图4示意性示出了本公开实施例的虚拟分组采用瀑布流型布置方式时控制点布置图；

图5示意性示出了本公开实施例中流量可视化系统框图；

图6示意性示出了本公开实施例中电子设备框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

本发明第一方面提供了一种流量可视化方法，包括：s1，根据现实网络架构，在可视化界面上绘制internet层、防火墙层、waf层以及虚拟主机层，其中，internet层为internet网络，防火墙层包括至少一个防火墙，waf层包括至少一个waf，虚拟主机层包括至少一个虚拟主机分组，每个虚拟主机分组包括至少一个虚拟主机；s2，将internet网络、防火墙、waf以及虚拟主机分组与现实网络架构中的设备进行关联；s3，根据现实网络架构中的各设备连接关系，在可视化界面上绘制internet网络、防火墙、waf以及虚拟主机分组之间的线条；s4，通过突出显示所述internet网络、防火墙、waf以及虚拟主机分组之间的线条，以使选中线条后，线条以高亮状态动态显示当前现实网络架构中的各设备之间的流量走向。

图1示意性示出了本公开实施例中流量可视化方法的步骤图，如图1所示，该流量可视化方法具体包括如下步骤。

s1，根据现实网络架构，在可视化界面上绘制internet层、防火墙层、waf层以及虚拟主机层，其中，internet层为internet网络，防火墙层包括至少一个防火墙，waf层包括至少一个waf，虚拟主机层包括至少一个虚拟主机分组，每个虚拟主机分组包括至少一个虚拟主机；

首先需要分析现实的网络架构的防护设备，现实网络架构中，一般包括internet、防火墙、waf、虚拟主机以及具有特定功能的安全小组件，该安全小组件设置于虚拟主机中，每个虚拟主机可采用不同的防护状态，如有的虚拟主机仅采取防火墙的防护策略，有的即采取了防火墙的防护策略又采取了waf的防护策略，然而有的虚拟主机没有采取任何防护策略。因此可将现实网络架构分为四层，依次为internet层、防火墙层、waf层及虚拟主机层，internet层为网络internet，防火墙层包括至少一个防火墙，waf层包括至少一个waf，虚拟主机层包括至少一个虚拟主机，虚拟主机可能直接连接internet或防火墙，因此需要在防火墙层及waf层均建立至少一个虚拟节点，当虚拟主机与防火墙层连接时，通过waf层的虚拟节点与防火墙层连接，当虚拟主机直接与internet连接时可以通过waf层的虚拟节点及防火墙层的虚拟节点与internet连接，其中直接与waf连接的虚拟主机在虚拟主机层为waf组，通过waf层的虚拟节点与防火墙中的防火墙连接的为防火墙组，通过waf层和防火墙层的虚拟节点与internet直接连接的为无防护组，进一步的防火墙层中的防火墙可能为多个，如图2所示，即第一防火墙、第二防火墙、……、第n防火墙，防火墙组对应的为第一防火墙组、第二防火墙组、……、第n防火墙组，同理，waf层中的waf可能为多个，即第一waf、第二waf、……、第nwaf，waf组对应的为第一waf组、第二waf组、……、第nwaf组(图中未示出)。

上述虚拟主机层中的多个虚拟主机分组的布局方式可以通过布局控制参数来控制，不同的布局控制参数可使得虚拟主机分组为一字型布置(如图3所示)或瀑布流型布置(如图4所示)，其中，一字型布置时所有虚拟主机分组均在同一行，瀑布流型布置时虚拟主机分组分布于多行。当采用瀑布流型布置时，为了布局的美观，在虚拟主机层增加如图4所示的控制点，该控制点在每一虚拟主机分组中的个数至少为六个，采用利用kinggraph思想构图法布置所述至少六个控制点，且包括一个布置于每一所述虚拟主机分组几何中心的控制点，所述控制点通过最短路径法计算出waf层的waf或虚拟节点到虚拟主机分组所述几何中心控制点的最短路径，将所有所述最短路径上的控制点顺次连接起来，使控制点生成连通图。

有的虚拟主机需要保证某一功能的安全设有专门的安全防护措施此处简称安全小组件，该安全小组件可通过不同的标识显示于虚拟主机层的对应的虚拟主机上，安全防护人员可直观的看出虚拟主机采取的防护策略。

s2，将internet网络、防火墙、waf以及虚拟主机分组与所述现实网络架构中的设备进行关联。

将internet层与internet绑定，将防火墙层的多个防火墙与现实网络架构中的防火墙一一绑定，将waf层的多个waf与现实网络架构中的waf一一绑定，将虚拟主机与现实网络架构中的虚拟主机一一绑定。

s3，根据现实网络架构中的各设备连接关系，在可视化界面上绘制internet网络、防火墙、waf以及虚拟主机分组之间的线条。

根据现实网络架构中的各设备连接关系，在可视化界面上绘制internet网络、防火墙、waf以及虚拟主机分组之间的线条，根据虚拟主机的防护状态通过线条将其防护关系直观的显示出来。

s4，通过突出显示所述internet网络、防火墙、waf以及虚拟主机分组之间的线条，以使选中线条后，线条以高亮状态动态显示当前现实网络架构中的各设备之间的流量走向。

为显示的直观性，不同的分组可采用不同颜色的线条标记，同时线条可动态的显示该分组流量的走向。

虚拟主机层各分组中的每台虚拟主机支持高亮、选中和拖拽操作，可将某一分组中的虚拟主机拖拽至另一分组实现分组的转移同时相对应的防护状态也会跟着改变，使用数据结构stack记录操作信息，这些操作信息包括虚拟主机的源分组信息、虚拟主机在源分组中的位置信息、虚拟主机的目标分组信息以及虚拟主机在目标分组中的位置信息等，方便撤回操作时恢复原分组策略，拖拽时虚拟主机上原有的安全小组件也会跟着虚拟主机变化。

同时允许在新增虚拟主机时增加线条以及减少虚拟主机时删除线条，线条的颜色可编辑，允许维护人员可根据需要设置自己习惯的线条颜色。

综上所述，通过建立和实际网络架构符合的可视化网络架构，安全人员可直观看出当前虚拟主机的防护状态，同时可通过直接拖拽等方式改变虚拟主机的防护状态，简单方便直观。

另一方面本发明实施例提供了一种流量可视化系统，参见图5，系统500包括：分层模块501、关联模块502、连接模块503以及突出显示模块504。

具体地，分层模块501，用于根据现实网络架构，在可视化界面上绘制internet层、防火墙层、waf层以及虚拟主机层，其中，internet层为internet网络，防火墙层包括至少一个防火墙，waf层包括至少一个waf，虚拟主机层包括至少一个虚拟主机分组，每个虚拟主机分组包括至少一个虚拟主机；关联模块502，用于将所述internet网络、防火墙、waf以及虚拟主机分组与所述现实网络架构中的设备进行关联；连接模块503，用于根据所述现实网络架构中的各设备连接关系，在可视化界面上绘制internet网络、防火墙、waf以及虚拟主机分组之间的线条；突出显示模块504，用于通过突出显示所述internet网络、防火墙、waf以及虚拟主机分组之间的线条，以使选中线条后，线条以高亮状态动态显示当前现实网络架构中的各设备之间的流量走向。

根据本申请的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本申请实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。

再一方面本发明实施例提供了一种电子设备，参见图6为本发明实施例的电子设备框图，电子设备600包括：处理器601和存储器602，该电子设备600可以执行根据本发明实施例的方法。

具体的，处理器601例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器601还可以包括用于缓存用途的板载存储器。处理器601可以是用于执行根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

存储器602，例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如，可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括：磁存储装置，如磁带或硬盘(hdd)；光存储装置，如光盘(cd-rom)；存储器，如随机存取存储器(ram)或闪存；和/或有线/无线通信链路。

存储器602可以包括计算机程序6021，该计算机程序6021可以包括代码/计算机可执行指令，其在由处理器601执行时使得处理器601执行例如上面本发明实施例的方法流程及其任何变形。

计算机程序6021可被配置为具有例如包括计算机程序模块的计算机程序代码。例如，在示例实施例中，计算机程序6021中的代码可以包括一个或多个程序模块，例如包括6021a、模块6021b、……。应当注意，模块的划分方式和个数并不是固定的，本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合，当这些程序模块组合被处理器601执行时，使得处理器601可以执行例如上面结合本发明实施例的方法流程及其任何变形。

本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本申请实施例的方法。

根据本申请的实施例，计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线、光缆、射频信号等等，或者上述的任意合适的组合。

本领域技术人员可以理解，本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本申请中。特别地，在不脱离本申请精神和教导的情况下，本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本申请的范围。

尽管已经参照本申请的特定示例性实施例示出并描述了本申请，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本申请的精神和范围的情况下，可以对本申请进行形式和细节上的多种改变。因此，本申请的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。