云内流量牵引方法及装置与流程

1.本发明涉及网络安全技术领域，尤其涉及一种云内流量牵引方法及装置。


背景技术：

2.云平台也称为云计算平台，是基于硬件资源和软件资源的服务，提供计算、网络和存储能力。由云平台中的虚拟机之间通信产生的流量，为云平台内部的流量，也被称为云内流量、东西向流量或者横向流量。目前为了更好的了解云平台内的安全状态，会将云平台内部的流量全部牵引到云平台外部的分析设备中，进而分析出云平台内的安全状态。其中，流量牵引是根据隧道协议对流量进行转发。
3.现有的云内流量牵引方法，通常是将云平台内部的全部流量转发到云平台外部的分析设备，无法对流量进行选择性过滤和转发，从而导致转发产生的大量流量占用云平台过多的带宽，增大了网络资源的消耗，并且会转发大量无价值的流量，将大量无价值的流量转到分析设备，会降低分析设备的资源利用率。


技术实现要素：

4.针对现有技术中的问题，本发明实施例提供一种云内流量牵引方法及装置。
5.具体地，本发明实施例提供了以下技术方案：
6.第一方面，本发明实施例提供了一种云内流量牵引方法，在云平台的每一台物理机中部署安全虚拟机，所述流量牵引方法应用于所述安全虚拟机，包括：
7.获取镜像到所述安全虚拟机的镜像端口的所述云平台中虚拟机的流量；
8.基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量；
9.基于隧道协议向所述云平台外部的分析设备转发所得到的目标流量。
10.进一步地，所述基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量，包括：
11.判断所获取的流量的mac地址与所述转发过滤策略中虚拟机网卡的mac信息是否匹配；其中，所述mac地址包括源mac地址和/或目的mac地址；
12.若所获取的流量的mac地址与所述转发过滤策略中虚拟机网卡的mac信息匹配，则将对应的流量确定为所述待转发的目标流量。
13.进一步地，所述基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量之后，还包括：
14.基于所述转发过滤策略中定义的过滤规则对所得到的待转发的目标流量进行过滤，更新所述待转发的目标流量。
15.进一步地，基于所述转发过滤策略中定义的过滤规则对所得到的待转发的目标流量进行过滤，更新所述待转发的目标流量，包括：
16.判断所得到的待转发的目标流量与所述转发过滤策略中定义的过滤规则是否匹
配；
17.若所得到的待转发的目标流量与所述转发过滤策略中定义的过滤规则匹配，则保留对应的待转发的目标流量。
18.进一步地，所述安全虚拟机从所述镜像端口获取的流量，是所述云平台中与所述安全虚拟机部署于同一台物理机中的虚拟机的流量。
19.进一步地，获取所述云平台中虚拟机镜像到所述安全虚拟机的镜像端口的流量之前，还包括：
20.从web服务器拉取所述转发过滤策略，所述转发过滤策略是所述web服务器基于所述云平台中虚拟机的信息生成。
21.进一步地，所述云平台中虚拟机的信息是所述web服务器调用所述云平台的应用程序接口从所述云平台获取。
22.第二方面，本发明实施例还提供了一种云内流量牵引装置，在云平台的每一台物理机中部署安全虚拟机，所述流量牵引装置应用于所述安全虚拟机，包括：
23.流量获取模块，用于获取镜像到所述安全虚拟机的镜像端口的所述云平台中虚拟机的流量；
24.第一流量过滤模块，用于基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量；
25.流量转发模块，用于基于隧道协议向所述云平台外部的分析设备转发所得到的目标流量。
26.第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述云内流量牵引方法的步骤。
27.第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述云内流量牵引方法的步骤。
28.第五方面，本发明实施例还提供了一种计算机程序产品，其上存储有可执行指令，该指令被处理器执行时使处理器实现第一方面所述云内流量牵引方法的步骤。
29.本发明实施例提供的云内流量牵引方法及装置，通过在云平台的每一台物理机中部署安全虚拟机，使云平台中的虚拟机将流量镜像到安全虚拟机的镜像端口，使安全虚拟机根据虚拟机网卡的mac信息对从镜像端口获取的流量进行过滤，将过滤后的流量转发到云平台外部的分析设备；由于mac地址可以作为每块网卡的唯一标识，因此安全虚拟机可以实现以虚拟机网卡为粒度对流量的选择性过滤和转发，可以避免云平台向外部分析设备转发的流量过大，占用过多的带宽，减少网络资源的消耗，可以大大减少转发的流量中的无价值流量，可以提高外部分析设备的资源利用率，还可以根据用户的需求确定选择性转发的流量，可以实现在采集的源头对流量进行初步筛选。
附图说明
30.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发
明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
31.图1是本发明实施例提供的云内流量牵引方法的流程示意图；
32.图2是本发明另一实施例提供的云内流量牵引方法的流程示意图；
33.图3是本发明又一实施例提供的云内流量牵引方法的流程示意图；
34.图4是本发明实施例提供的云内流量牵引方法一应用场景的系统架构示意图；
35.图5是图4中云平台与web服务器交互的示意图；
36.图6是图4中云平台向外部分析设备转发流量的示意图；
37.图7是本发明实施例提供的云内流量牵引装置的结构示意图；
38.图8是本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
39.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
40.下面结合图1-图6描述本发明实施例的云内流量牵引方法。
41.请参阅图1，图1是本发明实施例提供的云内流量牵引方法的流程示意图，图1所示的云内流量牵引方法可以由云内流量牵引装置执行，在云平台的每一台物理机中可以部署安全虚拟机，云内流量牵引装置可以应用于安全虚拟机，可以采用现有的虚拟机部署方法在云平台的每一台物理机中部署安全虚拟机，本发明实施例对在云平台的每一台物理机中部署安全虚拟机的实现方法不作限定。如图1所示，该云内流量牵引方法至少包括：
42.101，获取镜像到安全虚拟机的镜像端口的云平台中虚拟机的流量。
43.在本发明实施例中，在云平台中虚拟机之间通信产生流量时，云平台提供的流量镜像能力可以将虚拟机通信产生的流量转发到安全虚拟机的镜像端口，由安全虚拟机的镜像端口接收云平台中虚拟机通信产生的流量，安全虚拟机的镜像端口为安全虚拟机中的网卡。其中，云平台可以为私有云或者公有云，本发明实施例对云平台的类型和应用领域不作限定。可选地，云平台提供的流量镜像能力可以连续地将虚拟机之间通信产生的流量镜像到安全虚拟机，本发明实施例对云平台提供的流量镜像能力将虚拟机之间通信产生的流量镜像到安全虚拟机的实现方式不作限定。在安全虚拟机中的镜像端口接收到云平台中的虚拟机镜像的流量之后，安全虚拟机可以从镜像端口获取镜像的流量，进行后续处理。在一些可选的例子中，对于云平台中每一台物理机部署的安全虚拟机，镜像端口所接收到的流量可以是与该安全虚拟机部署于同一台物理机中的虚拟机的流量。
44.102，基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量。
45.在本发明实施例中，在从镜像端口获取云平台中的虚拟机镜像的流量之后，安全虚拟机可以根据转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，筛选出需要转发的目标流量。其中，转发过滤策略可以是预先设置于安全虚拟机中的，本发明实施例对在安全虚拟机中预先设置转发过滤策略的实现方法不作限定。可选地，转发过滤策略
可以是在安全虚拟机部署时配置于安全虚拟机中的，或者也可以是在安全虚拟机部署之后从web服务器拉取的。当转发过滤策略是从web服务器拉取的时，转发过滤策略可以是web服务器基于云平台中虚拟机的信息生成，本发明实施例对web服务器获取云平台中虚拟机的信息的实现方法不作限定。可选地，云平台中虚拟机的信息可以是web服务器调用云平台的应用程序接口(application programming interface，简称api)从云平台获取，或者也可以是web服务器接收云平台向web服务器发送的云平台中虚拟机的信息获取。
46.103，基于隧道协议向云平台外部的分析设备转发所得到的目标流量。
47.在本发明实施例中，在根据转发过滤策略中虚拟机网卡的mac信息对流量进行过滤得到待转发的目标流量之后，安全虚拟机可以根据隧道协议对所得到的目标流量进行封装、加密等处理，并将处理后的目标流量发送到云平台外部的分析设备，由分析设备对流量进行处理，生成流量日志、威胁分析报告等。其中，隧道协议可以采用现有的隧道协议来实现，本发明实施例对隧道协议的类型不作限定，例如，隧道协议可以采用通用路由封装(generic routing encapsulation，简称gre:)、虚拟扩展局域网(virtual extensible local area network，简称vxlan)等实现点对点通信的网络协议。
48.本发明实施例提供的云内流量牵引方法，通过在云平台的每一台物理机中部署安全虚拟机，使云平台中的虚拟机将流量镜像到安全虚拟机的镜像端口，使安全虚拟机根据虚拟机网卡的mac信息对从镜像端口获取的流量进行过滤，将过滤后的流量转发到云平台外部的分析设备；由于mac地址可以作为每块网卡的唯一标识，因此安全虚拟机可以实现以虚拟机网卡为粒度对流量的选择性过滤和转发，可以避免云平台向外部分析设备转发的流量过大，占用过多的带宽，减少网络资源的消耗，可以大大减少转发的流量中的无价值流量，可以提高外部分析设备的资源利用率，还可以根据用户的需求确定选择性转发的流量，可以实现在采集的源头对流量进行初步筛选。
49.请参阅图2，图2是本发明另一实施例提供的云内流量牵引方法的流程示意图，如图2所示，该云内流量牵引方法至少包括：
50.201，获取镜像到安全虚拟机的镜像端口的云平台中虚拟机的流量。
51.在本发明实施例中，关于201的说明可以参见图1中关于101的说明，故此处不再赘述。
52.202，基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量。
53.在本发明实施例中，关于202的说明可以参见图1中关于102的说明，故此处不再赘述。
54.203，基于转发过滤策略中定义的过滤规则对所得到的待转发的目标流量进行过滤，更新待转发的目标流量。
55.在本发明实施例中，在根据转发过滤策略中虚拟机网卡的mac信息对流量进行过滤得到待转发的目标流量之后，安全虚拟机还可以根据转发过滤策略中定义的过滤规则对目标流量进行过滤，对目标流量进行进一步筛选，并以筛选出的流量作为需要转发的目标流量，向云平台外部的分析设备进行转发。其中，转发过滤策略中定义的过滤规则可以根据云平台的应用场景进行定义，本发明实施例对转发过滤策略中定义的过滤规则的内容不作限定。
56.204，基于隧道协议向云平台外部的分析设备转发所得到的目标流量。
57.在本发明实施例中，关于204的说明可以参见图1中关于103的说明，故此处不再赘述。
58.请参阅图3，图3是本发明又一实施例提供的云内流量牵引方法的流程示意图，如图3所示，该云内流量牵引方法至少包括：
59.301，获取镜像到安全虚拟机的镜像端口的云平台中虚拟机的流量。
60.在本发明实施例中，关于301的说明可以参见图1中关于101的说明，故此处不再赘述。
61.302，判断所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息是否匹配。
62.若所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息匹配，则执行303；否则，将对应的流量丢弃。
63.303，将对应的流量确定为待转发的目标流量。
64.在本发明实施例中，在从镜像端口获取云平台中的虚拟机镜像的流量之后，安全虚拟机可以将所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息进行匹配，并判断所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息是否匹配，若所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息匹配，则将对应的流量确定为待转发的目标流量，若所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息不匹配，则将对应的流量丢弃。
65.其中，进行匹配的mac地址可以为源mac地址，或者也可以为目的mac地址，或者还可以为源mac地址和目的mac地址。若转发过滤策略中虚拟机网卡的mac信息只包括源mac地址时，安全虚拟机只需要将所获取的流量的源mac地址与转发过滤策略中虚拟机网卡的mac信息进行匹配。若转发过滤策略中虚拟机网卡的mac信息只包括目的mac地址时，安全虚拟机只需要将所获取的流量的目的mac地址与转发过滤策略中虚拟机网卡的mac信息进行匹配。若转发过滤策略中虚拟机网卡的mac信息既包括源mac地址又包括目的mac地址时，安全虚拟机需要将所获取的流量的源mac地址和目的mac地址与转发过滤策略中虚拟机网卡的mac信息进行匹配。
66.在另一些可选的例子中，在从镜像端口获取云平台中的虚拟机镜像的流量之后，安全虚拟机可以将所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息进行匹配，并判断所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息是否匹配，若所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息匹配，则将对应的流量丢弃，若所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息不匹配，则将对应的流量确定为待转发的目标流量。
67.304，判断所得到的待转发的目标流量与转发过滤策略中定义的过滤规则是否匹配。
68.若所得到的待转发的目标流量与转发过滤策略中定义的过滤规则匹配，则执行305；否则，将对应的待转发的目标流量丢弃。
69.305，保留对应的待转发的目标流量。
70.在本发明实施例中，在根据转发过滤策略中虚拟机网卡的mac信息对流量进行过
滤得到待转发的目标流量之后，安全虚拟机可以将所得到的待转发的目标流量与转发过滤策略中定义的过滤规则进行匹配，并判断所得到的待转发的目标流量与转发过滤策略中定义的过滤规则是否匹配，若所得到的待转发的目标流量与转发过滤策略中定义的过滤规则匹配，则保留对应的待转发的目标流量，若所得到的待转发的目标流量与转发过滤策略中定义的过滤规则不匹配，则将对应的待转发的目标流量丢弃。
71.在另一些可选的例子中，在根据转发过滤策略中虚拟机网卡的mac信息对流量进行过滤得到待转发的目标流量之后，安全虚拟机可以将所得到的待转发的目标流量与转发过滤策略中定义的过滤规则进行匹配，并判断所得到的待转发的目标流量与转发过滤策略中定义的过滤规则是否匹配，若所得到的待转发的目标流量与转发过滤策略中定义的过滤规则匹配，则将对应的待转发的目标流量丢弃，若所得到的待转发的目标流量与转发过滤策略中定义的过滤规则不匹配，则保留对应的待转发的目标流量。
72.306，基于隧道协议向云平台外部的分析设备转发所得到的目标流量。
73.在本发明实施例中，关于306的说明可以参见图1中关于103的说明，故此处不再赘述。
74.请参阅图4、图5和图6，图4是本发明实施例提供的云内流量牵引方法一应用场景的系统架构示意图，图5是图4中云平台与web服务器交互的示意图，图6是图4中云平台向外部分析设备转发流量的示意图。如图4、图5和与6所示，在本地实施例中，实现云内流量牵引的系统包括：云平台、web服务器和分析设备。其中，web服务器调用云平台的api接口从云平台获取云平台中虚拟机的信息，并根据云平台中虚拟机的信息生成细粒度的转发过滤策略。在云平台的每一台物理机中部署安全虚拟机，安全虚拟机从web服务器拉取细粒度的转发过滤策略，云平台提供的流量镜像能力将云平台中虚拟机之间通信产生的流量镜像到安全虚拟机的镜像端口，安全虚拟机从镜像端口获取镜像的流量，并将所获取的流量与细粒度的转发过滤策略进行匹配，将匹配成功的流量根据隧道协议转发到云平台外部的分析设备。其中，安全虚拟机将所获取的流量与细粒度的转发过滤策略进行匹配的过程包括：将所获取的流量的源mac地址和目的mac地址与细粒度的转发过滤策略中的mac信息进行匹配，若匹配成功，则认为该流量是需要转发的流量，会将该流量进一步与细粒度的转发过滤策略中的过滤规则进行匹配，将匹配成功的流量根据隧道协议转发到云平台外部的分析设备，若中间任何一个环节匹配失败则丢弃该流量。
75.下面对本发明提供的云内流量牵引装置进行描述，下文描述的云内流量牵引装置与上文描述的云内流量牵引方法可相互对应参照。
76.请参阅图7，图7是本发明实施例提供的云内流量牵引装置的结构示意图，在云平台的每一台物理机中可以部署安全虚拟机，图7所示的云内流量牵引装置应用于安全虚拟机，可用来执行图1的云内流量牵引方法，可以采用现有的虚拟机部署方法在云平台的每一台物理机中部署安全虚拟机，本发明实施例对在云平台的每一台物理机中部署安全虚拟机的实现方法不作限定。如图7所示，该云内流量牵引装置至少包括：
77.流量获取模块710，用于获取镜像到安全虚拟机的镜像端口的云平台中虚拟机的流量。
78.第一流量过滤模块720，用于基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量.
79.流量转发模块730，用于基于隧道协议向云平台外部的分析设备转发所得到的目标流量。
80.可选地，第一流量过滤模块720，包括：
81.第一判断单元，用于判断所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息是否匹配；其中，mac地址包括源mac地址和/或目的mac地址。
82.流量确定单元，用于根据第一判断单元的判断结果，若所获取的流量的mac地址与转发过滤策略中虚拟机网卡的mac信息匹配，则将对应的流量确定为待转发的目标流量。
83.可选地，该云内流量牵引装置还包括：
84.第二流量过滤模块，用于基于转发过滤策略中定义的过滤规则对所得到的待转发的目标流量进行过滤，更新待转发的目标流量。
85.可选地，第二流量过滤模块，包括：
86.第二判断单元，用于判断所得到的待转发的目标流量与转发过滤策略中定义的过滤规则是否匹配。
87.流量保留单元，用于根据第二判断单元的判断结果，若所得到的待转发的目标流量与转发过滤策略中定义的过滤规则匹配，则保留对应的待转发的目标流量。
88.可选地，安全虚拟机从镜像端口获取的流量，是云平台中与安全虚拟机部署于同一台物理机中的虚拟机的流量。
89.可选地，该云内流量牵引装置还包括：
90.策略拉取模块，用于从web服务器拉取转发过滤策略，转发过滤策略是web服务器基于云平台中虚拟机的信息生成。
91.可选地，云平台中虚拟机的信息是web服务器调用云平台的应用程序接口从云平台获取。
92.图8示例了一种电子设备的实体结构示意图，如图8所示，该电子设备可以包括：处理器(processor)810、通信接口(communications interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行如下方法：获取镜像到所述安全虚拟机的镜像端口的所述云平台中虚拟机的流量；基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量；基于隧道协议向所述云平台外部的分析设备转发所得到的目标流量。
93.此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
94.另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的方法，例如包括：
获取镜像到所述安全虚拟机的镜像端口的所述云平台中虚拟机的流量；基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量；基于隧道协议向所述云平台外部的分析设备转发所得到的目标流量。
95.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
96.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
97.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。