一种基于流量代理的审计方法与流程

1.本发明涉及网络数据安全技术，具体涉及流量审计技术。


背景技术：

2.针对网络流量，传统的审计设备，通过在交换机配置镜像端口来采集审计对象的流量；再对采集的流量进行分析以达到审计目的。其中，流量审计时每次都需获取全部的网络流量数据，再通过一系列技术对所有的网络流量进行审计。
3.随着网络技术的不断发展，如5g网络通过引入虚拟化技术实现了软件与硬件的解耦，通过nfv(网络功能虚拟化)技术的部署，使得部分功能网元以虚拟功能网元的形式部署在云化的基础设施上；又如，在云环境下，产生海量数据流量，大量用户随时随地高速的访问和使用云平台中的资源。这给流量审计工作也带来诸多的问题。
4.现有流量审计方案在实际应用过程中，主要存在如下的问题：
5.(1)5g网络架构下，数据流量暴涨，传统审计方式下，流量审计每次都对获取全部的网络流量数据进行审计，审计效率低下，影响用户体验；
6.(2)当多个审计用户同时需要对流量进行审计时，需要分别给多个审计用户分别发送全部流量，占用大量信道或网络资源，不仅导致审计效率低，在传输过程中，增加数据风险；
7.(3)云环境中包含大量的服务器，审计用户可以获取全部的服务器数据流量，这使得云环境下的数据风险进一步放大。
8.由此可见，提供一种效率高且安全的流量审计方案为本领域亟需解决的问题。


技术实现要素：

9.针对现有流量审计方案在审计效率以及数据安全性方面所存在的问题，本发明的目的在于提供一种基于流量代理的审计方法，其基于流量代理模式，能够提高审计效率以及数据审计安全性。
10.为了达到上述目的，本发明提供的基于流量代理的审计方法，在待审计的服务器端配置流量代理模块，并在数据包头设置流量标识与用户权限，由流量代理模块对数据流量进行分组，按审计端的审计需求牵引流量到审计通道，审计端按需求和/或根据权限审计流量备份。
11.进一步的，所述审计方法采用正交的walsh码标识多种数据流量来进行分组。
12.进一步的，所述审计方法包括如下步骤：
13.(1)在交换机端配置流量代理模块，并将流量代理模块信息分别反馈给待审计的服务器端和审计端；
14.(2)审计端发送流量审计请求，所述审计请求的数据包封装有流量标识以及用户权限；
15.(3)交换机接收到审计请求后，将审计请求直接反馈到配置的流量代理模块，流量
代理模块检测接收到的流量审计请求数据包，并将检测到的审计流量需求反馈给服务器端；
16.(4)服务器端根据接收到的审计流量需求，将按需向交换机端发送数据流量，交换机端的流量代理模块对接收的数据流量进行封装并发送给审计端；
17.(5)审计端接收到数据流量包后对数据流量进行审计。
18.进一步的，所述步骤(3)中流量代理模块对接收到的流量审计请求数据包中的正交walsh码做正交检测，若正交检测值为0，则发送对应的做正交检测的walsh码标识的流量；否则不做处理。
19.进一步的，所述步骤(4)中服务器端对接收到的交换机请求的流量审计做正交检测，若正交检测值为0，则发送对应的做正交检测的walsh码标识的流量；否则不做处理。
20.进一步的，所述步骤(4)中对接收的数据流量进行封装时，在在每种类型的数据流量前加一个字段，标识该数据流量。其中该字段为正交walsh码。
21.进一步的，所述步骤(4)中在发送封装的数据流量时，在网络环境好的情况下，采用自主选择流量发送方式；在网络环境拥堵的情况下，则打包同时发送流量数据包。
22.本发明提供的基于流量代理的审计方案，相对于现有技术，具有如下优点：
23.1.审计效率高，提升用户体验：本方案通过流量代理模块对流量进行分组，并使审计端按需提取数据流量，提高审计数据流量效率。
24.2.数据审计安全：本方案通过在数据包头设置用户权限，解析出审计端权限信息，流量代理模块根据将综合用户权限及用户审计需求id，给审计端发送数据流量。
附图说明
25.以下结合附图和具体实施方式来进一步说明本发明。
26.图1为本发明实例中流量代理工作流程图；
27.图2为本发明实例中审计需求数据流量包格式；
28.图3为本发明实例中采用的时分数据流量包格式；
29.图4为本发明实例中采用的频分数据流量包格式；
30.图5为本发明实例中采用的时频分数据流量包格式。
具体实施方式
31.为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
32.本发明方案创新的在待审计的服务器端配置流量代理模块，同时针对待审计的服务器端与审计端之间传输的所有数据，在数据包头设置流量标识与用户权限；在此基础上由流量代理模块对数据流量进行分组，按审计端的审计需求，利用流量代理牵引流量到审计通道，审计端按需求和/或根据权限审计流量备份，由此实现提高审计效率以及解决云环境下的数据风险问题。
33.具体的，本发明中配置的流量代理模块用于进行流量识别，为交换机的虚拟镜像。
34.如此的流量代理模块在进行配置时，该流量代理模块与服务器端直连，配置后，接收到流量审计申请后开启运行。
35.本发明中配置的流量代理模块对数据流量进行分组时，采用正交的walsh码标识多种数据流量来进行分组。
36.本发明将采用正交的walsh码标识多种数据流量来实现分组，同时也采用正交的walsh码来标识不同用户，具体的实现方案如下：
37.(1)码字分配给用户：在用户请求流量审计时，交换机端的流量代理模块给每个用户分配一个正交2n阶(n为正整数，由总审计用户数目决定)walsh码作为标识；用户检测：交换机端的流量代理模块根据接收到的多个用户请求的流量审计，同时打包发送多用户所需的审计流量给不同用户；
38.(2)码字分配给不同流量：利用正交walsh码标识不同的流量，比如视频流量，音频流量等，具体可根据需求对流量进行分类。
39.参见图1，其所示为本方案基于流量代理模式进行网络流量数据进行审计的实施流程。
40.由图可知，本方案基于流量代理模式进行网络流量数据审计的流程主要包括如下步骤：
41.(1)在交换机端配置流量代理模块，并将流量代理模块信息分别反馈给服务器端和审计端。
42.本步骤中流量代理模块通过直接发送通信数据包的方式进行反馈。
43.(2)审计端发送流量审计请求，其中审计请求的数据包封装有标识流量的id以及用户权限。
44.(3)交换机接收到审计请求后，将请求直接反馈到所配置的流量代理模块，流量代理模块检测交换机接收到的流量审计请求数据包，并将检测到的审计流量需求反馈给服务器端。
45.具体的，本步骤中流量代理模块对接收到的流量审计请求数据包中的正交walsh码做正交检测，若正交检测值为0，则发送对应的做正交检测的walsh码标识的流量；否则不做处理。
46.(4)服务器端根据接收到的审计流量需求，将按需向交换机端发送数据流量，交换机端中流量代理模块将根据当前信道或网络环境对接收的数据流量进行封装并发送给审计端。
47.本步骤中，服务器端根据用户请求的审计流量包中携带的walsh码标识的流量类别发送相应类型的审计流量。具体的，服务器端对接收到的交换机请求的流量审计做正交检测，若正交检测值为0，则发送对应的做正交检测的walsh码标识的流量；否则不做处理。
48.本步骤中，交换机端中流量代理模块对接收的数据流量进行封装时，通过在每种类型的数据流量前加一个字段来标识该数据流量。具体，本方案优选在数据流量包前面加上walsh码字段，以标识该类型的流量或者该用户的流量。
49.本步骤中，在发送封装的数据流量时，在网络环境好的情况下，采用自主选择流量发送方式；在网络环境拥堵的情况下，则打包同时发送流量数据包。
50.优选的，本方案当前信道环境好的情况下，流量代理模块可以分批次发送审计流量；如果信道环境拥堵，则选择同时给多个用户发送审计流量。
51.(5)审计端接收到数据流量包后对数据流量进行审计。
52.这里需要说明的，本方案在具体实施，对于所涉及的数据流量包在进行封装时，优选在数据包头封装审计用户权限，在数据段封装相应的流量数据包id或需求数据包id。
53.对于审计端生成的审计需求数据流量包，其在数据包头封装审计用户权限，同时在数据段封装对应于不同流量数据类型的需求数据包id。
54.对于在数据包头封装审计用户权限，优选由云环境中的主服务器统一设置。
55.对于封装的需求数据包id，其用来标识不同的流量审计需求或者不同的审计用户，比如：视频流量，音频流量等。
56.具体的，这里的需求数据包id由流量代理模块统一分配，并将此分配信息反馈给审计端和服务器端。如此，审计端在形成发送流量审计请求时，则可基于流量代理模块所分配的id来封装相应的审计请求的数据包。
57.对于反馈的流量数据包，其在数据包头封装审计用户权限，同时在数据段封装对应于不同流量数据类型的流量数据包id。具体实施方案同上。
58.标识id：可以用正交walsh码来标识，由于walsh码是有序的，利用walsh码顺序打捆数据包，给用户发送流量数据包，用户根据walsh码顺序解析不同类型的流量数据，可以节省信道或网络资源，提高审计效率。
59.这里的标识id、流量数据包id、需求数据包id都均为正交walsh码。在具体实现，可按照用户数选取正交walsh码位数自动生成walsh码。
60.据此数据格式，本方案的审计端在生成并发送流量审计请求时，可以一次发送多种类型的数据流量审计需求，相应的审计需求流量包格式，可采用如图2所示的审计需求数据流量包格式，即在数据包的包头封装审计用户权限，同时在数据段根据所需流量数据的类型，依次封装有对应不同类型流量数据的需求数据包id。
61.作为举例，审计端需要一次发送n种类型的数据流量审计需求，审计端可生成包含审计用户权限以及n种数据类型需求的数据流量审计请求数据包。如图2所示，该数据流量审计请求数据包的包头封装有审计用户权限，同时在数据段依次封装对应n种流量数据类型的需求数据包id1……
需求数据包idn。
62.进一步的，本方案在针对多个审计端同时发送多种类型的数据流量审计需求时，配置在交换机中的流量代理模块只发送一个流量数据包，使得审计端接收到该流量数据包时，将根据分配的walsh码解析自己所需审计的流量数据。
63.进一步的，本方案中的流量代理模块可以根据当前信道环境，反馈不同的流量数据包格式。作为举例，可以反馈时分流量数据包，如图3所示；可以反馈频分流量数据包，如图4；可以反馈时频分流量数据包，如图5所示。
64.本发明所给出的基于流量代理的审计方案，在具体实施时，通过将流量代理模块注册到需要审计的服务器中，并对数据流量进行分组，同时在审计端按需进行流量审计，提高审计效率，从而提升审计用户体验；从而有效克服现有方案在5g网络下，审计效率较低，用户体验差的问题。
65.本方案针对多个审计端同时进行数据审计时，同时给多个审计端发送同一个流量数据包，使得审计端将依据自身的权限，按需解析自己的流量数据；从而有效克服现有方案在5g网络下，面临多个审计用户同时进行数据审计时，将占用大量信道或网络资源，审计效率较低，数据安全风险增加的问题。
66.本方案对流量包进行过滤，并设置权限，按照实际需求牵引流量，仅将审计端关心的流量备份发送到审计平台，审计端根据权限或实际需求抓取流量包，从而进行流量审计；从而有效克服云环境下的审计数据风险进一步放大的问题。
67.以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。