[发明专利]一种跨主机租户的东西向网络流量镜像采集方法

说明书

本发明提供一种跨主机租户的东西向网络流量镜像采集方法，其步骤包括：1)流量采集控制服务器根据待采集租户的租户名以及从云服务主控服务器获取的租户的网络配置信息和租户的虚拟机在物理主机上的分布信息生成与待采集租户对应的流量采集配置参数；2)流量采集控制服务器将上述流量采集配置参数通过云服务主机的流量采集Agent下发到流量采集驱动程序；3)流量采集驱动程序对上述流量采集配置参数指定的采集流量进行镜像，并将镜像的采集流量发送给流量采集Agent。本发明方法可以在Linux内核驱动程序层，根据租户名和租户的网络配置信息以及租户的虚拟机在物理主机上的分布信息，动态采集租户的东西向网络流量。

技术领域

本发明涉及通信技术安全领域，尤其涉及一种跨主机租户的东西向网络流量镜像采集方法。

背景技术

随着云计算业务的广泛发展，出于安全的需要，需要对云内的东西向网络流量进行监控，这就需要对云内租户的东西向网络流量进行镜像。而要完成东西向网络流量的镜像，就需要实现以下功能：

1)对租户的网络流量进行区分；

2)有效地将租户的网络流量进行镜像并传输到网络数据分析中心进行分析。

目前对网络流量镜像一般采用分光或交换机镜像端口的方式来实现。所述分光是指通过分光器，将光纤中的光进行克隆，其实就是通过透镜，将光纤中的光复制出来；比如将入射光分成两束，一束的能量是70％，另一束的能量是30％，因为光是数据的载体，光被复制，也就意味着网络传输的数据被复制。但所述分光一般用在数据中心和外网的接口上，即用于南北向网络流量的采集。

所述交换机镜像端口是指在交换机上进行配置，将一个接口上传输的数据，复制到镜像端口，这样在镜像端口就可以收到被复制的数据。因为一个租户的虚拟机可能分布在多个物理主机上，网络流量可能要涉及多个机架，因此不能确定租户的网络流量涉及哪些物理接口，而且也不可能对所有的交换机端口进行镜像。因此上述两种方式对于云内租户的东西向网络流量并不适用。

发明内容

本发明的目的在于提供一种跨主机租户的东西向网络流量镜像采集方法，该方法基于租户各自的租户名，在配置界面上设置需要做流量镜像的租户名，以完成对该租户网络流量的采集和分析。

为达上述目的，本发明所采用的技术方案为：

一种跨主机租户的东西向网络流量镜像采集方法，其步骤包括：

1)流量采集控制服务器根据待采集租户的租户名以及从云服务主控服务器获取的租户的网络配置信息和租户的虚拟机在物理主机上的分布信息生成与待采集租户对应的流量采集配置参数；

2)流量采集控制服务器将上述流量采集配置参数通过云服务主机的流量采集Agent下发到流量采集驱动程序；

3)流量采集驱动程序对上述流量采集配置参数指定的采集流量进行镜像，并将镜像的采集流量发送给流量采集Agent。

进一步地，该方法步骤还包括：流量采集Agent将上述镜像的采集流量发送到流量分析服务器，并由流量分析服务器对所述镜像的采集流量进行分析，以根据分析结果验证所述采集流量与待采集租户的对应情况。

进一步地，步骤1)中所述流量采集配置参数是指租户的虚拟网络的类型和ID。

进一步地，步骤2)中所述流量采集Agent部署在云服务主机上。

进一步地，步骤2)和步骤3)具体包括以下步骤：

a)流量采集Agent接收流量采集控制服务器的命令，将上述流量采集配置参数中待采集租户的流量的标识设置到流量采集驱动程序中；

b)流量采集驱动程序接收流量采集Agent的命令，根据上述待采集租户的流量的标识对该租户的流量采集配置参数进行配置；