一种基于云网络的流量监控方法、装置、设备及存储介质与流程
本发明涉及云网络平台技术领域,特别涉及一种基于云网络的流量监控方法、装置、设备及计算机可读存储介质。
背景技术:
在云计算时代,大量的虚拟机之间会有通信,网络业务种类也有很多,私有协议各种各样,这就使得云平台(即云网络平台)的流量(即业务流量)难以有效管理,例如计算机的用户通过访问非法站点进行非法信息的传递和发布等滥用网络资源和泄露敏感信息的违规行为。
因此,如何能够对云平台上需要进行转发业务流量进行监测,避免通过访问非法站点传递和发布非法信息的情况,减少滥用网络资源和泄露敏感信息等违规行为的发生。
技术实现要素:
本发明的目的是提供一种基于云网络的流量监控方法、装置、设备及计算机可读存储介质,以监测云平台上需要转发的业务流量,减少滥用网络资源和泄露敏感信息等违规行为的发生。
为解决上述技术问题,本发明提供一种基于云网络的流量监控方法,包括:
获取被监测主机上的业务流量;
根据每个所述业务流量的5元组信息,确定每个所述业务流量对应的流量类型;其中,所述流量类型包括安全流量类型和非安全流量类型;
控制所述被监测主机丢弃所述业务流量中的第一业务流量;其中,所述第一业务流量对应的流量类型为所述非安全流量类型。
可选的,所述流量类型还包括安全流量类型预设数量的预设安全行为类型时,所述根据每个所述业务流量的5元组信息,确定每个所述业务流量对应的流量类型之后,还包括:
控制所述被监测主机按照所述预设安全行为类型各自对应的转发方式,对所述业务流量中的第二业务流量进行转发;其中,每个所述第二业务流量对应的流量类型为任一所述预设安全行为类型。
可选的,所述获取被监测主机上的业务流量,包括:
监测主机对所述被监测主机上的所述业务流量进行镜像,得到镜像的所述业务流量。
可选的,所述根据每个所述业务流量的5元组信息,确定每个所述业务流量对应的流量类型,包括:
判断当前业务流量的5元组信息中的端口号是否知名端口;其中,当前业务流量为任一所述业务流量;
若是,则根据当前业务流量的5元组信息,利用第一数学模型确定当前业务流量对应的流量类型;
若否,则根据当前业务流量的5元组信息,利用第二数学模型确定当前业务流量对应的流量类型。
可选的,所述根据当前业务流量的5元组信息,利用第一数学模型确定当前业务流量对应的流量类型,包括:
判断当前业务流量的5元组信息中的源ip和目的ip是否均处于所述端口号对应的安全ip范围内;
若否,则确定当前业务流量对应的流量类型为所述非安全流量类型;
若是,则判断当前业务流量的5元组信息中的源mac和目的mac是否均处于所述端口号对应的安全mac范围内;
若不均处于所述安全mac范围,则确定当前业务流量对应的流量类型为所述非安全流量类型;
若均处于所述安全mac范围,则确定当前业务流量对应的流量类型为所述安全流量类型。
可选的,所述第二数学模型的训练过程,包括:
根据当前训练业务流量的5元组信息,利用基分类器选择决策树训练得出当前迭代次数对应的每个预设行为类型的分类结果;
通过
判断当前迭代次数是否达到阈值;
若是,则根据当前迭代次数对应的当前训练业务流量属于每个所述预设行为类型的概率,确定目标预设行为类型;其中,所述目标预设行为类型为当前迭代次数对应的当前训练业务流量属于每个所述预设行为类型的概率中的最大值对应的预设行为类型;
若否,则通过
根据当前训练业务流量的5元组信息和当前迭代次数中每个所述预设行为类型对应的残差,利用基分类器选择决策树训练得出下一迭代次数对应的每个预设行为类型的分类结果,并将下一迭代次数作为当前迭代次数,执行所述通过
可选的,所述阈值为4。
本发明还提供了一种基于云网络的流量监控装置,包括:
获取模块,用于获取被监测主机上的业务流量;
确定模块,用于根据每个所述业务流量的5元组信息,确定每个所述业务流量对应的流量类型;其中,所述流量类型包括安全流量类型和非安全流量类型;
控制模块,用于控制所述被监测主机丢弃所述业务流量中的第一业务流量;其中,所述第一业务流量对应的流量类型为所述非安全流量类型。
本发明还提供了一种基于云网络的流量监控设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的基于云网络的流量监控方法的步骤。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的基于云网络的流量监控方法的步骤。
本发明所提供的一种基于云网络的流量监控方法,包括:获取被监测主机上的业务流量;根据每个业务流量的5元组信息,确定每个业务流量对应的流量类型;其中,流量类型包括安全流量类型和非安全流量类型;控制被监测主机丢弃业务流量中的第一业务流量;其中,第一业务流量对应的流量类型为非安全流量类型;
可见,本发明通过根据每个业务流量的5元组信息,确定每个业务流量对应的流量类型,能够监测云平台上需要转发的业务流量的类型,从而通过控制被监测主机丢弃业务流量中的第一业务流量,丢弃不安全的业务流量,避免通过访问非法站点传递和发布非法信息的情况发生,减少了滥用网络资源和泄露敏感信息等违规行为的发生。此外,本发明还提供了一种基于云网络的流量监控装置、设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种基于云网络的流量监控方法的流程图;
图2为本发明实施例所提供的另一种基于云网络的流量监控方法的流程示意图;
图3为本发明实施例所提供的另一种基于云网络的流量监控方法的知名端口的流量检测过程的流程示意图;
图4为本发明实施例所提供的另一种基于云网络的流量监控方法的数学模型的训练过程的流程示意图;
图5为本发明实施例所提供的一种基于云网络的流量监控装置的结构框图;
图6为本发明实施例所提供的一种基于云网络的流量监控设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例所提供的一种基于云网络的流量监控方法的流程图。该方法可以包括:
步骤101:获取被监测主机上的业务流量。
其中,本步骤中的被监测主机可以为云网络平台中用于进行业务流量转发的设备,如服务器。本步骤中的业务流量可以为需要监控的被监测主机上要进行转发的相应业务的流量(即流量包)。
可以理解的是,本步骤的目的可以为监测主机或被监测主机上的处理器通过获取被监测主机上的业务流量,从而实现对被监测主机上的业务流量的监控。其中,上述监测主机可以为用于对被监测主机上的业务流量进行监控的设备,如服务器。
具体的,对于本步骤中处理器获取被监测主机上的业务流量的具体方式,可以由设计人员根据使用场景和用户需求自行设置,如被监测主机的处理器可以直接获取被监测主机自身需要转发的业务流量;监测主机的处理器可以从被监测主机上抓取业务流量;监测主机的处理器也可以镜像得到被监测主机上的业务流量,如监测主机的处理器可以对被监测主机上的业务流量进行镜像,得到镜像的业务流量。只要监测主机或被监测主机上的处理器可以获取被监测主机上的业务流量,本实施例对此不作任何限制。
步骤102:根据每个业务流量的5元组信息,确定每个业务流量对应的流量类型;其中,流量类型包括安全流量类型和非安全流量类型。
可以理解的是,本步骤中的5元组信息可以为源ip、目的ip、源mac、目的mac和端口号这5个元素的信息。本步骤中的安全流量类型可以为确定为安全的业务流量对应的流量类型,本步骤中的非安全流量类型确定为不安全的业务流量对应的流量类型。本步骤的目的可以处理器利用每个业务流量的5元组信息,确定每个业务流量对应的流量类型,从而能够根据所确定的流量类型,对业务流量进行相应的转发或丢弃。
具体的,对于本步骤中处理器根据每个业务流量的5元组信息,确定每个业务流量对应的流量类型的具体方式,可以由设计人员根据使用场景和用户需求自行设置,如为了减少流量类型确定所需的计算量,如图2所示,本实施例可以根据业务流量的5元组信息中的端口号,将业务流量划分为知名端口(即知名端口号)对应的业务流量和非知名端口对应的业务流量这两类,从而用相应的两种数学模型进行处理;知名端口号(well-knownportnumbers)可以为由互联网名称与数字地址分配机构(icann)预留给传输控制协议(tcp)和用户数据包协议(udp)使用的端口号。也就是说,本步骤可以包括判断当前业务流量的5元组信息中的端口号是否知名端口;若是,则根据当前业务流量的5元组信息,利用第一数学模型(如图2中数学模型1)确定当前业务流量对应的流量类型;若否,则根据当前业务流量的5元组信息,利用第二数学模型(如图2中流量监测技术的得到数学模型)确定当前业务流量对应的流量类型;其中,当前业务流量为任一业务流量。
对应的,对于上述处理器根据当前业务流量的5元组信息,利用第一数学模型确定当前业务流量对应的流量类型的具体方式,即第一数学模型对知名端口对应的业务流量的监测流程,可以由设计人员自行设置,如由于知名端口号在云网络中所对应的ip地址和mac地址都有指定的范围(即安全ip范围和安全mac范围),因此如图3所示,一个业务流量的5元组信息中端口号为知名端口时,若该业务流量的5元组信息中源ip、目的ip、源mac或目的mac不在上述范围内,则可以确定该业务流量不安全。也就是说,处理器根据当前业务流量的5元组信息,利用第一数学模型确定当前业务流量对应的流量类型的过程,可以包括:判断当前业务流量的5元组信息中的源ip和目的ip是否均处于端口号对应的安全ip范围(即ip地址的安全域)内;若否,则确定当前业务流量对应的流量类型为非安全流量类型,即当前业务流量为第一业务流量(即非安全流量);若是,则判断当前业务流量的5元组信息中的源mac和目的mac是否均处于端口号对应的安全mac范围(即mac地址的安全域)内;若不均处于安全mac范围,则确定当前业务流量对应的流量类型为非安全流量类型;若均处于安全mac范围,则确定当前业务流量对应的流量类型为安全流量类型。
相应的,对于上述处理器根据当前业务流量的5元组信息,利用第二数学模型确定当前业务流量对应的流量类型的具体方式,可以由设计人员自行设置,只要处理器可以利用当前业务流量的5元组信息,利用第二数学模型确定当前业务流量对应的流量类型,本实施例对此不作任何限制。例如第二数学模型可以通过如图4所示的训练得到过程,准备训练模型所需的大量数据(即训练业务流量),如大于或等于10万个训练业务流量,每个训练业务流量可以需要有特征值和目标值这两个特性,特征值可以为训练业务流量的五元组信息,目标值可以为训练业务流量真实的流量类型,如训练业务流量是否安全流量(1或0)的流量类型(即安全流量类型或非安全流量类型);通过数据清洗将相关性太大的训练业务流量去除一部分,这部分训练业务流量对第二数学模型的训练构建起不到太大的作用,可以省去以减少不必要的计算量;通过数据训练,将清洗后的训练业务流量带入到机器学习算法中进行训练,从而得到第二数学模型,具体的,可以采用如下方式进行机器学习的训练:
假设预测结果有k个类,即利用第二数学模型确定的流量类型为有k个类型,如预设行为类型的数量为k,针对已经清洗好的训练样本x(即当前训练业务流量),可以用一个n维的向量表示分类结果,其中0表示不属于该类,1表示属于该类。根据当前训练业务流量的5元组信息,利用基分类器选择决策树,在第一次迭代对当前训练业务流量进行训练之后可以产生k棵树,即k预设行为类型的分类结果,t1(x),t2(x),...,tk(x);那么,在本次训练中,当前训练业务流量属于第n类的概率可以为:
上式中,p1n(x)为第一次迭代对应的当前训练业务流量属于当前预设行为类型的概率,n为当前预设行为类型,tn(x)为当前预设行为类型的分类结果,k为预设行为类型的数量,当前预设行为类型为任一预设行为类型;
假设当前训练业务流量真实属于第q类的预设行为类型(即预设真实行为类型),即1≤q≤k,那么有
第二次迭代可以在第一次迭代的基础上,使用第一次迭代(x,y1n),继续训练出k棵树,就这样一直迭代达到预设迭代次数,如第3次迭代(为了防止过拟合),每轮训练出k棵树,当训练完毕之后,来一个新样本的时候,样本属于第n个类别的概率是
也就是说,本实施例中利用机器学习训练第二数学模型的过程可以包括:
根据当前训练业务流量的5元组信息,利用基分类器选择决策树训练得出当前迭代次数对应的每个预设行为类型的分类结果;
通过
判断当前迭代次数是否达到阈值;
若是,则根据当前迭代次数对应的当前训练业务流量属于每个预设行为类型的概率,确定目标预设行为类型;其中,目标预设行为类型为当前迭代次数对应的当前训练业务流量属于每个预设行为类型的概率中的最大值对应的预设行为类型;
若否,则通过
根据当前训练业务流量的5元组信息和当前迭代次数中每个预设行为类型对应的残差,利用基分类器选择决策树训练得出下一迭代次数对应的每个预设行为类型的分类结果,并将下一迭代次数作为当前迭代次数,执行通过
对应的,如图4所示,通过上述方式进行数据训练后,可以将数据放到训练得到的模型中验证;若准确率达到预期,则模型训练结束,将训练得到的模型作为第二数学模型;若准确率达不到预期,可以返回数据清洗步骤,修正模型后重新训练。
需要说明的是,上述处理器确定每个业务流量对应的流量类型的过程,是以分别利用第一数学模型和第二数学模型,确认业务流量对应的流量类型为例进行的展示,也可以直接利用一个数学模型,确认业务流量对应的流量类型,即不将业务流量划分为知名端口对应的业务流量和非知名端口对应的业务流量这两类,而是直接利用训练构建的能够对全部业务流量进行流量类型检测的数学模型,确定每个业务流量对应的流量类型;其中,该数学模型的训练构建方式可以采用与第二数学模型的训练构建方式相似的方式实现,本实施例对此不作任何限制。
步骤103:控制被监测主机丢弃业务流量中的第一业务流量;其中,第一业务流量对应的流量类型为非安全流量类型。
可以理解的是,本步骤中的第一业务流量可以为确定的不安全的业务流量,即步骤102中确定的流量类型为非安全流量类型的业务流量。本步骤的目的可以为处理器控制被监测主机丢弃(过滤)全部业务流量中不安全的业务流量(即第一业务流量),以避免被监测主机转发不安全的业务流量,从而通过访问非法站点传递和发布非法信息的情况发生,减少了滥用网络资源和泄露敏感信息等违规行为的发生。
具体的,本步骤中的第一业务流量可以包括利用上述第一数学模型确定的流量类型为非安全流量类型的业务流量以及利用上述第二数学模型确定的流量类型为非安全流量类型或非安全流量类型对应的预设行为类型(即预设非安全行为类型)的业务流量;也就是说,若利用第二数学模型确定的流量类型包括安全流量类型对应的多个预设行为类型(预设安全行为类型)和安全流量类型或预设非安全行为类型,以使处理器可以检测出业务流量的行为,如浏览网页、邮件、网络攻击、购物和聊天等,从而使处理器可以控制被监测主机按照预设安全行为类型各自对应的转发方式,对业务流量中的第二业务流量进行转发;其中,每个第二业务流量对应的流量类型为任一预设安全行为类型,如利用第二数学模型确定的安全流量类型对应的预设行为类型。也就是说,当业务流量为利用第一数学模型确定的非安全流量类型的业务流量或利用第一数学模型确定的非安全流量类型或预设非安全行为类型时,处理器可以控制被监测主机丢弃该业务流量;当业务流量为利用第一数学模型确定的安全流量类型的业务流量时,可以控制被监测主机按照现有知名端口的业务流量的转发方式,确定该业务流量的行为,并进行相应转发;当业务流量为利用第二数学模型确定的预设安全行为类型时,处理器可以根据所确定的预设安全行为类型对应的转发方式,对该业务流量进行转发,即通过预先设置各预设安全行为类型各自对应的转发方式,从而在检测到非知名端口的业务流量的行为后能够进行相应转发。
本实施例中,本发明实施例通过根据每个业务流量的5元组信息,确定每个业务流量对应的流量类型,能够监测云平台上需要转发的业务流量的类型,从而通过控制被监测主机丢弃业务流量中的第一业务流量,丢弃不安全的业务流量,避免通过访问非法站点传递和发布非法信息的情况发生,减少了滥用网络资源和泄露敏感信息等违规行为的发生。
请参考图5,图5为本发明实施例所提供的一种基于云网络的流量监控装置的结构框图。该装置可以包括:
获取模块10,用于获取被监测主机上的业务流量;
确定模块20,用于根据每个业务流量的5元组信息,确定每个业务流量对应的流量类型;其中,流量类型包括安全流量类型和非安全流量类型;
控制模块30,用于控制被监测主机丢弃业务流量中的第一业务流量;其中,第一业务流量对应的流量类型为非安全流量类型。
可选的,流量类型还包括安全流量类型预设数量的预设安全行为类型时,该装置还可以包括:
转发控制模块,用于控制被监测主机按照预设安全行为类型各自对应的转发方式,对业务流量中的第二业务流量进行转发;其中,每个第二业务流量对应的流量类型为任一预设安全行为类型。
可选的,获取模块10可以具体用于对被监测主机上的业务流量进行镜像,得到镜像的业务流量。
可选的,确定模块20,可以包括:
判断子模块,用于判断当前业务流量的5元组信息中的端口号是否知名端口;其中,当前业务流量为任一业务流量;
第一确定子模块,用于若为知名端口,则根据当前业务流量的5元组信息,利用第一数学模型确定当前业务流量对应的流量类型;
第二确定子模块,用于若不为知名端口,则根据当前业务流量的5元组信息,利用第二数学模型确定当前业务流量对应的流量类型。
可选的,第一确定子模块,可以包括:
第一判断单元,用于判断当前业务流量的5元组信息中的源ip和目的ip是否均处于端口号对应的安全ip范围内;
第一确定单元,用于若不均处于端口号对应的安全ip范围内,则确定当前业务流量对应的流量类型为非安全流量类型;
第二判断单元,用于若均处于端口号对应的安全ip范围内,则判断当前业务流量的5元组信息中的源mac和目的mac是否均处于端口号对应的安全mac范围内;
第二确定单元,用于若不均处于安全mac范围,则确定当前业务流量对应的流量类型为非安全流量类型;
第三确定单元,用于若均处于安全mac范围,则确定当前业务流量对应的流量类型为安全流量类型。
可选的,该装置还可以包括:训练模块,用于训练第二数学模型;
训练模块可以包括:
分类子模块,用于根据当前训练业务流量的5元组信息,利用基分类器选择决策树训练得出当前迭代次数对应的每个预设行为类型的分类结果;
概率确定子模块,用于通过
迭代判断子模块,用于判断当前迭代次数是否达到阈值;
行为确定子模块,用于若达到阈值,则根据当前迭代次数对应的当前训练业务流量属于每个预设行为类型的概率,确定目标预设行为类型;其中,目标预设行为类型为当前迭代次数对应的当前训练业务流量属于每个预设行为类型的概率中的最大值对应的预设行为类型;
残差确定子模块,用于若不达到阈值,则通过
迭代分类子模块,用于根据当前训练业务流量的5元组信息和当前迭代次数中每个预设行为类型对应的残差,利用基分类器选择决策树训练得出下一迭代次数对应的每个预设行为类型的分类结果,并将下一迭代次数作为当前迭代次数,向概率确定子模块发送启动信号。
可选的,阈值可以具体为4。
本实施例中,本发明实施例通过确定模块20根据每个业务流量的5元组信息,确定每个业务流量对应的流量类型,能够监测云平台上需要转发的业务流量的类型,从而通过控制模块30控制被监测主机丢弃业务流量中的第一业务流量,丢弃不安全的业务流量,避免通过访问非法站点传递和发布非法信息的情况发生,减少了滥用网络资源和泄露敏感信息等违规行为的发生。
请参考图6,图6为本发明实施例所提供的一种基于云网络的流量监控设备的结构示意图。该设备1可以包括:
存储器11,用于存储计算机程序;处理器12,用于执行该计算机程序时实现如上述实施例所提供的基于云网络的流量监控方法的步骤。
设备1可以包括存储器11、处理器12和总线13。
其中,存储器11至少包括一种类型的可读存储介质,该可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,sd或dx存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是设备1的内部存储单元。存储器11在另一些实施例中也可以是设备1的外部存储设备,例如服务器上配备的插接式硬盘,智能存储卡(smartmediacard,smc),安全数字(securedigital,sd)卡,闪存卡(flashcard)等。进一步地,存储器11还可以既包括设备1的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于设备1的应用软件及各类数据,例如:执行基于云网络的流量监控方法的程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器12在一些实施例中可以是一中央处理器(centralprocessingunit,cpu)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器11中存储的程序代码或处理数据,例如执行基于云网络的流量监控方法的程序的代码等。
该总线13可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
进一步地,设备还可以包括网络接口14,网络接口14可选的可以包括有线接口和/或无线接口(如wi-fi接口、蓝牙接口等),通常用于在该设备1与其他电子设备之间建立通信连接。
可选地,该设备1还可以包括用户接口15,用户接口15可以包括显示器(display)、输入单元比如按键,可选的用户接口15还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organiclight-emittingdiode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在设备1中处理的信息以及用于显示可视化的用户界面。
图6仅示出了具有组件11-15的设备1,本领域技术人员可以理解的是,图6示出的结构并不构成对设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
此外,本申请实施例还公开了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如上述实施例所提供的基于云网络的流量监控方法的步骤。
其中,该存储介质可以包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
以上对本发明所提供的一种基于云网络的流量监控方法、装置、设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!