流量分析方法、云平台及相关装置与流程

本技术涉及网络安全，特别涉及一种流量分析方法、云平台及相关装置。

背景技术：

1、随着网络规模的日益增长，网络环境错综复杂。为了保障网络的安全稳定运行，需要对网络所承载的流量进行流量分析，以得到流量分析结果。

2、在相关技术中，通过入侵检测系统(intrusion detection system，ids)进行流量分析，以此来确定流量分析结果。例如，通过机器学习建立检测规则库，将待分析的流量与检测规则库包括的各个规则进行匹配，以确定对应的流量分析结果。或者，还能够通过抓包(packet capture)的方式复制待分析的流量，以得到镜像流量，进而将该镜像流量发送给流量分析设备来进行流量分析。

3、然而，通过ids进行流量分析时，需要维护检测规则库，且规则的更新和加载比较复杂。而通过抓包的方式进行流量分析时，需要先将流量进行复制，再基于复制后的镜像流量进行流量分析，导致流量分析的延时较大。

技术实现思路

1、本技术提供了一种流量分析方法、云平台及相关装置，能够提高流量分析的时效性。所述技术方案如下：

2、第一方面，提供了一种流量分析方法，应用于云平台，云平台包括管理节点和多个流量分析引擎；所述方法包括：管理节点获取目标流量分析任务对应的领域特定语言dsl的程序代码，该程序代码包括流量分析对象的位置，流量分析对象用于承载待分析的目标流量；管理节点对该程序代码进行验证，在该程序代码验证通过的情况下，管理节点将该程序代码分配至目标引擎，目标引擎为该多个流量分析引擎中距离流量分析对象最近的流量分析引擎；目标引擎基于该程序代码，确定流量分析结果。

3、云平台包括管理节点和流量分析引擎，管理节点用于获取目标流量分析任务对应的程序代码，流量分析引擎用于基于该程序代码进行流量分析。也即是，本技术通过云平台内的管理节点获取到目标流量分析任务对应的程序代码之后，通过流量分析引擎可以直接对云平台内的流量进行分析，不需要先按照抓包条件复制待分析的流量，再将镜像流量发送给云平台之外部署的流量分析设备进行流量分析，从而能够提高流量分析的时效性。

4、此外，管理节点获取到的目标流量分析任务对应的程序代码均是dsl语言格式的，因此，将整个云计算环境作为一个统一的语言界面，以此来实现不同的流量分析引擎对应统一的语言格式。也即是，通过本技术提供的方法，能够通过统一的dsl语言格式在云计算环境下进行实时且准确的流量分析。

5、在不同的情况下，管理节点获取目标流量分析任务对应的dsl的程序代码的方式有所不同，接下来将分为以下两种情况分别进行说明。

6、第一种情况，管理节点接收用户终端提交的目标流量分析任务对应的dsl的程序代码。

7、用户终端向管理节点提交程序代码，该程序代码为目标流量分析任务对应的dsl的程序代码。管理节点接收到用户终端提交的该程序代码之后，将该程序代码确定为目标流量分析任务对应的dsl的程序代码。

8、当用户终端检测到用户的流量分析操作时，用户终端显示程序编辑界面，程序编辑界面包括程序代码编辑框。用户能够在程序代码编辑框中输入程序代码。在用户终端检测到用户的确认操作时，向管理节点提交该程序代码。管理节点接收到用户终端提交的该程序代码之后，将该程序代码确定为目标流量分析任务对应的dsl的程序代码。

9、第二种情况，用户终端显示程序购买界面，程序购买界面包括多个流量分析任务的描述信息，管理节点接收用户终端提交的程序购买请求，该程序购买请求携带目标流量分析任务的标识；管理节点基于目标流量分析任务的标识，从存储的多个流量分析任务对应的dsl的程序代码中获取目标流量分析任务对应的dsl的程序代码。

10、也即是，云平台提供程序购买功能，用户能够查看该云平台提供的多个流量分析任务中每个流量分析任务对应的流量分析对象、流量分析任务的类型和流量分析结果，进而选择与自身期望的流量分析结果相匹配的目标流量分析任务。然后，管理节点直接基于目标流量分析任务的标识，获取目标流量分析任务对应的dsl的程序代码。这样，对于用户来说能够在云平台中直接购买程序代码，并不需要自己编辑程序代码，有利于降低用户编辑程序代码所花费的成本和时间。

11、管理节点获取到目标流量分析任务对应的dsl的程序代码之后，管理节点对该程序代码进行语法分析，以得到语法分析结果；在语法分析结果指示该程序代码不存在语法错误的情况下，管理节点对该程序代码进行语义分析，以得到语义分析结果；在语义分析结果指示该程序代码不存在语义错误的情况下，管理节点确定该程序代码验证通过。

12、管理节点获取到程序代码之后，先对程序代码进行验证，在程序代码验证通过的情况下，再通过流量分析引擎进行流量分析，能够进一步提高流量分析的准确性。

13、目标引擎对该程序代码进行即时编译，以得到该程序代码对应的可执行代码。目标引擎运行该可执行代码，以得到流量分析结果。

14、目标引擎基于该程序代码，确定用于执行目标流量分析任务的多个算子，对该多个算子的顺序进行编排，以得到算子编排结果，将算子编排结果确定为该程序代码对应的可执行代码。

15、也即是，将整个云计算环境作为一个统一的语言界面，上层的管理节点获取到的程序代码均是dsl语言格式的。下层的各个流量分析引擎通过即时编译，将统一的dsl语言格式动态地转换为各个流量分析引擎能够运行的语言格式，以此来屏蔽下层各个流量分析引擎之间的处理器差异，实现统一的dsl语言格式在云计算环境下进行流量分析。

16、目标引擎基于算子编排结果，通过运行该多个算子对目标流量进行流量分析，以得到流量分析结果。

17、可选地，该程序代码包括结果过滤条件。这样，在目标引擎基于该程序代码，确定流量分析结果之后，目标引擎还能够按照该程序代码包括的结果过滤条件，对流量分析结果进行筛选，并将筛选后的流量分析结果发送给管理节点。管理节点接收到目标引擎发送的筛选后的流量分析结果之后，将筛选后的流量分析结果发送给用户终端。用户终端接收并显示管理节点发送的筛选后的流量分析结果。

18、第二方面，提供了一种云平台，所述云平台包括管理节点和多个流量分析引擎，所述管理节点用于实现上述第一方面所述的流量分析方法，所述多个流量分析引擎用于实现上述第一方面所述的流量分析方法。

19、第三方面，提供了一种计算设备集群，所述计算设备集群包括至少一个计算设备，每个计算设备包括处理器和存储器，所述至少一个计算设备的处理器用于执行所述至少一个计算设备的存储器中存储的指令，以使得所述计算设备集群执行上述第一方面所提供的流量分析方法。

20、可选地，每个计算设备还可以包括通信总线，该通信总线用于每个计算设备的处理器与存储器之间建立连接。

21、第四方面，提供了一种计算机可读存储介质，所述存储介质内存储有指令，当所述指令在计算设备集群中运行时，使得计算设备集群执行上述第一方面所述的流量分析方法的步骤。

22、第五方面，提供了一种包含指令的计算机程序产品，当所述指令在计算设备集群中运行时，使得计算设备集群执行上述第一方面所述的流量分析方法的步骤。

23、上述第二方面、第三方面、第四方面和第五方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似，在这里不再赘述。