本发明属于网络流量监控,具体涉及一种基于智能网卡的流量监控方法及系统。
背景技术:
1、网络流量监测在网络管理、入侵监测、协议分析、流量工程等领域有着广泛的应用,网络流量监测同时也是网络流量特征归纳、网络行为分析的重要基础,因此网络流量监测正逐步得到业界的重视。网络流量监测是获取网络性能参数的重要手段,是进行网络安全评估、入侵监测与防护的基础,是研究网络新技术的基本手段,也是网络管理的有力补充,因此网络流量监测意义重大。
2、网络流量监测需要先进行网络流量的采集,常见的方法是从路由器、交换机、防火墙以及服务器收集数据时,使用被称为镜像端口的span端口、分光线缆或者网络分路器tap收集数据。使用这些方法一方面会占用链路的实际物理带宽,导致用户带宽降低,可能会影响用户正常业务;另一方面需要对现有网络进行改造,额外添加链路或使用分光线缆以及流量分析服务器等,增加了网络规划部署复杂度。
3、此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种基于智能网卡的流量监控方法及系统,是非常有必要的。
技术实现思路
1、针对现有技术的上述现有网络流量监测方式占用实际物理带库,影响用户业务,以及需要改造现有网络,增加网络复杂度的缺陷,本发明提供一种基于智能网卡的流量监控方法及系统,以解决上述技术问题。
2、第一方面,本发明提供一种基于智能网卡的流量监控方法,包括如下步骤:
3、s 1.在服务器环境中配置智能网卡,并在智能网卡中创建虚拟监控端口;
4、s 2.使用虚拟监控端口获取待监测流量的流量模型,并根据预先设置的过滤规则对流量特征进行监控;
5、s 3.根据流量特征监控结果以及预先设置的监管方式对存在异常的流量主体的网络动作进行监管限制;
6、s4.在异常解除后,根据预设的恢复方式恢复流量主体的网络动作;
7、s 5.删除空闲的虚拟监控端口。
8、进一步地,步骤s1具体步骤如下:
9、s 11.在服务器系统中安装智能网卡,智能网卡设有若干虚拟功能端口和一个对外端口;
10、s 12.获取服务器系统中的待监测主机及其网卡、待监测虚拟机及其虚拟网卡;
11、s 13.将各网卡、虚拟网卡分别选择智能网卡的一个虚拟功能端口进行连接,并为各选择的虚拟功能端口到对外端口创建转发链路;
12、s 14.登录待监测主机或待监测虚拟机的物理主机的智能网卡系统,为每个转发链路创建虚拟监控端口。
13、进一步地,步骤s 2具体步骤如下:
14、s 21.预先设置过滤规则;
15、s 22.在智能网卡上使用镜像技术将待监测主机或待监测虚拟机在转发链路上出入方向的流量镜像到对应虚拟监控端口;
16、s 23.判断是否需要添加过滤规则;
17、若是,进入步骤s 24;
18、若否,进入步骤s 25;
19、s 24.获取待添加过滤规则种类,进行过滤规则添加;
20、s 25.虚拟监控端口获取对应转发链路上流量的流量模型,并使用过滤规则判断对应流量特征是否异常。
21、进一步地,步骤s 24具体步骤如下:
22、s 241.获取待添加过滤规则种类;
23、当待添加过滤规则为根据源ip及目的ip过滤时,进入步骤s242;
24、当待添加过滤规则为根据传输协议号以及协议端口号添加过滤规则时,进入步骤s 243;
25、当待添加过滤规则为根据协议字段添加过滤规则时,进入步骤s244;
26、当待添加过滤规则为自定义特定规则时,进入步骤s245;
27、s 242.过滤规则为基于主机或虚拟机级别,监控用户流量是否存在异常,进入步骤s 3;
28、s 243.过滤规则为基于整网业务流量类型,监控网络是否存在异常协议流量攻击,进入步骤s 3;
29、s 244.过滤规则为基于协议的详细字段,对协议交互过程进行监控,辨别是否存在异常;
30、s 245.过滤规则为对特定用户或特定业务流量进行监控。
31、进一步地,步骤s 3具体步骤如下:
32、s 31.判断流量特征监控结果是否存在异常;
33、若否,返回步骤s 2;
34、若是,进入步骤s 32;
35、s 32.判断异常等级;
36、当异常等级为轻型异常,进入步骤s 33;
37、当异常等级为中型异常,进入步骤s 34;
38、当异常等级为重型异常,进入步骤s 35;
39、s 33.智能网卡向日志系统发送日志,记录主机或虚拟机的异常行为日志,进入步骤s4;
40、s 34.智能网卡向日志系统发送日志的同时,记录主机或虚拟机的异常行为日志的同时,进行信息告警,进入步骤s4;
41、s 35.智能网卡对转发链路进行流量限速、限制应用或者隔离用户,进入步骤s4。
42、进一步地,步骤s4具体步骤如下:
43、s41.判断预设的恢复方式;
44、当预设的恢复方式为自动方式时,进入步骤s42;
45、当预设的恢复方式为手动方式时,进入步骤s47;
46、s42.判断异常等级为重型异常的主机或虚拟机在设定时间段内是否再次发生异常;
47、若是,进入步骤s44;
48、若否,进入步骤s43;
49、s43.智能网卡解除主机或虚拟机的监管限制,进入步骤s 5;
50、s44.判断主机或虚拟机在设定时间段内发生异常的次数是否大于设定次数;
51、若是,进入步骤s45;
52、若否,进入步骤s46;
53、s45.对主机或虚拟机的访问用户进行隔离,进入步骤s5;
54、s46.智能网卡保持对主机或虚拟机的监控限制,进入步骤s5;
55、s47.智能网卡接收到用户指令后,解除对主机或虚拟机的监控限制,进入步骤s5。
56、进一步地,步骤s 5具体步骤如下:
57、s 51.判断智能网卡中是否存在空闲的虚拟监控端口;
58、若是,进入步骤s 52;
59、若否,返回步骤s 2;
60、s 52.删除空闲的虚拟监控端口,返回步骤s2。
61、第二方面,本发明提供一种基于智能网卡的流量监控系统,包括:
62、虚拟机监控端口创建模块,用于在服务器环境中配置智能网卡,并在智能网卡中创建虚拟监控端口;
63、流量监控模块,用于使用虚拟监控端口获取待监测流量的流量模型,并根据预先设置的过滤规则对流量特征进行监控;
64、监控限制模块,用于根据流量特征监控结果以及预先设置的监管方式对存在异常的流量主体的网络动作进行监管限制;
65、监管解除模块,用于在异常解除后,根据预设的恢复方式恢复流量主体的网络动作;
66、空闲监控端口删除模块,用于删除空闲的虚拟监控端口。
67、进一步地,虚拟机监控端口创建模块包括:
68、智能网卡安装单元,用于在服务器系统中安装智能网卡,智能网卡设有若干虚拟功能端口和一个对外端口;
69、待监测主体及网卡获取单元,用于获取服务器系统中的待监测主机及其网卡、待监测虚拟机及其虚拟网卡;
70、转发链路创建单元,用于将各网卡、虚拟网卡分别选择智能网卡的一个虚拟功能端口进行连接,并为各选择的虚拟功能端口到对外端口创建转发链路;
71、虚拟监控端口创建单元,用于登录待监测主机或待监测虚拟机的物理主机的智能网卡系统,为每个转发链路创建虚拟监控端口;
72、流量监控模块包括:
73、过滤规则预设单元,用于预先设置过滤规则;
74、流量镜像单元,用于在智能网卡上使用镜像技术将待监测主机或待监测虚拟机在转发链路上出入方向的流量镜像到对应虚拟监控端口;
75、过滤规则添加判断单元,用于判断是否需要添加过滤规则;
76、过滤规则添加单元,用于需要添加过滤规则时,获取待添加过滤规则种类,进行过滤规则添加;
77、流量监控单元,用于虚拟监控端口获取对应转发链路上流量的流量模型,并使用过滤规则判断对应流量特征是否异常;
78、监控限制模块包括:
79、流量监控结果判断单元,用于判断流量特征监控结果是否存在异常;
80、异常等级判断单元,用于流量特征监控结果存在异常时,判断异常等级;
81、轻型异常日志记录单元,用于当异常等级为轻型异常时,智能网卡向日志系统发送日志,记录主机或虚拟机的异常行为日志;
82、中型异常信息告警单元,用于当异常等级为中型异常时,智能网卡向日志系统发送日志的同时,记录主机或虚拟机的异常行为日志的同时,进行信息告警;
83、重型异常限制单元,用于当异常等级为重型异常,智能网卡对转发链路进行流量限速、限制应用或者隔离用户。
84、进一步地,监管解除模块包括:
85、恢复方式判断单元,用于判断预设的恢复方式;
86、异常再次发生判断单元,用于当预设的恢复方式为自动方式时,判断异常等级为重型异常的主机或虚拟机在设定时间段内是否再次发生异常;
87、监管限制第一解除单元,用于在设定时间段内未再次发生异常时,智能网卡解除主机或虚拟机的监管限制;
88、异常频率判断单元,用于在设定时间段内再次发生异常时,判断主机或虚拟机在设定时间段内发生异常的次数是否大于设定次数;
89、访问用户隔离单元,用于发生异常的次数大于设定次数时,对主机或虚拟机的访问用户进行隔离;
90、监控限制判断单元,用于发生异常的次数小于等于设定次数时,智能网卡保持对主机或虚拟机的监控限制;
91、监控限制第二解除单元,用于当预设的恢复方式为手动方式时,智能网卡接收到用户指令后,解除对主机或虚拟机的监控限制;
92、空闲监控端口删除模块包括:
93、空闲虚拟监控端口判断单元,用于判断智能网卡中是否存在空闲的虚拟监控端口;
94、空闲虚拟监控端口删除单元,用于当存在空闲虚拟监控端口时,删除空闲的虚拟监控端。
95、本发明的有益效果在于,
96、本发明提供的基于智能网卡的流量监控方法及系统,通过智能网卡实现虚拟监控端口创建、删除,并且与待监控的主机或者虚机对应网口进行绑定,将待监控的主机或者虚机对应网口的流量无损镜像到虚拟监控端口,在智能网卡上就可以进行流量监控、分析与控制。本发明通过添加指定的过滤规则,针对特定流量进行监控、分析与控制,不占用实际物理带宽,不需要使用额外的分光线缆和流量分析服务器,也无需改动现有网络,同时更接近用户,能够进行更细粒度的流量监管。
97、此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
98、由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。