一种适用于云环境的流量审计方法转让专利
申请号 : CN201710850255.0
文献号 : CN107566218B
文献日 : 2021-01-29
发明人 : 吴雅琴 , 范渊 , 刘博 , 龙文洁
申请人 : 杭州安恒信息技术股份有限公司
摘要 :
本发明涉及一种基于云坏境的流量审计方法,云环境包括1个主服务器和若干与之连接的从服务器,确定任一从服务器为目标服务器并安装抓包程序和流量代理模块,将需要审计的目标服务器的流量代理模块注册到审计设备中,在审计设备中配置需要审计的目标服务器,同步至流量代理模块,流量代理模块控制抓包程序采集需要审计的目标服务器的流量包,根据配置信息对目标服务器的流量包进行过滤,增加封包信息进行封包,通过流量代理模块发送至审计设备。本发明使审计设备通过流量代理模块控制目标服务器及其上的抓包程序工作,抓取目标服务器的流量包并封装后回传至审计设备进行审计,实现在云环境中获取审计对象的访问流量的功能,最终达到完成审计目的。
权利要求 :
1.一种适用于云环境的流量审计方法,所述云环境包括1个主服务器和若干与主服务器连接的从服务器,其特征在于:所述方法包括以下步骤:步骤1:确定任一从服务器为目标服务器,在需要审计的目标服务器上安装抓包程序,在需要审计的目标服务器上安装流量代理模块,得到目标服务器的配置信息,对应所述流量代理模块设置审计设备;目标服务器的配置信息包括目标服务器的IP和端口;
步骤2:将需要审计的目标服务器的流量代理模块注册到审计设备中;所述步骤2中,待审计的目标服务器通过在命令行中输入审计设备的IP,审计设备接收后,待审计的目标服务器上的流量代理模块注册到审计设备中,审计设备获得待审计的目标服务器的IP和端口;
步骤3:在审计设备中配置需要审计的目标服务器,配置需要审计的目标服务器包括配置目标服务器的IP、目标服务器的端口、目标服务器的服务名称和目标服务器的服务类型,同步至流量代理模块;
步骤4:流量代理模块控制抓包程序采集需要审计的目标服务器的流量包;
步骤5:流量代理模块根据步骤3的配置对目标服务器的流量包进行过滤;
步骤6:流量代理模块对过滤后的流量包增加封包信息进行封包;
步骤7:对封包后的流量包进行定时验证,包括以下步骤:
步骤7.1:流量代理模块定时向审计设备发送验证包;
步骤7.2:审计设备验证通过,则通信正常,进行步骤7.5,否则进行步骤7.3;
步骤7.3:流量代理模块关闭原始连接,并重新建立连接;
步骤7.4:重新建立连接后,流量代理模块再次向审计设备发送验证包,审计设备验证通过,则通信正常,进行步骤7.5;否则进行步骤7.3;
步骤7.5:将封包后的流量包通过流量代理模块发送至审计设备。
2.根据权利要求1所述的一种适用于云环境的流量审计方法,其特征在于:所述步骤1中,抓包程序包括配合设置的抓包驱动和文件库。
3.根据权利要求1所述的一种适用于云环境的流量审计方法,其特征在于:所述步骤3中,所述目标服务器的IP和目标服务器的端口与审计设备对应。
4.根据权利要求1所述的一种适用于云环境的流量审计方法,其特征在于:所述步骤2中,流量代理模块注册到审计设备中时注册信息设有密钥,所述步骤3中,审计设备配置需要审计的目标服务器时,目标服务器的IP和端口也设有密钥,步骤2和步骤3的密钥配对成功,则目标服务器的IP和端口同步至流量代理模块。
5.根据权利要求1所述的一种适用于云环境的流量审计方法,其特征在于:所述步骤5中,根据目标服务器的IP、目标服务器的端口、目标服务器的服务名称和目标服务器的服务类型对流量包进行过滤。
6.根据权利要求1所述的一种适用于云环境的流量审计方法,其特征在于:所述步骤6中,封包信息包括IP、时间、端口和流量包的长度。
说明书 :
一种适用于云环境的流量审计方法
技术领域
[0001] 本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种网络技术、数据库审计方面的适用于云环境的流量审计方法。
背景技术
[0002] 云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
[0003] 云环境下的网络中,各种存储设备通过应用软件连接起来协同工作,向外提供数据存储和访问业务,大量的数据存储在由不同的服务器和存储设备构成的集合上,采用分布式数据存储方式进行管理。
[0004] 云环境平台包括了大量的服务器,在服务器集群中包括了一个主服务器和大量从属服务器,主服务器和大量从服务器相互协调进行工作,使用户只需登录到一台服务器上,就能实现访问服务集群中的资源,并且能实现负载均衡,保证大量用户随时随地高速的访问和使用云平台中的资源。
[0005] 云计算技术在提供了发展平台的同时,也对数据的安全和隐私的保护方面带来巨大的隐患,大量的公共信息资源发布在多个服务器上,加大了云环境平台的风险,也因此对云环境的使用者和服务者提出了严峻的考验。
[0006] 对于这种数据层面的隐患,可以采用审计设备来完成流量包的采集与传递,供技术人员进行分析作业。传统的审计设备,大都通过在交换机上配置镜像端口来采集审计对象的流量,对采集到的流量进行分析最终达到审计目的。
[0007] 然而,由于在云环境中包括大量的服务器,在服务器集群中包括了一个主服务器和大量从服务器,在从服务器之间进行数据交换时,它们之间的流量是不经过交换机的,因此无法使用交换机镜像的方式采集审计对象的流量,这使得云环境下的数据风险被进一步放大,为云环境平台的正向发展带来了隐患。
发明内容
[0008] 本发明的主要目的在于克服现有网络技术、数据库审计技术的不足,提供一种优化的适用于云环境的流量审计方法。
[0009] 本发明所采用的技术方案为,一种基于云坏境的流量审计方法,所述云环境包括1个主服务器和若干与主服务器连接的从服务器,所述方法包括以下步骤:
[0010] 步骤1:确定任一从服务器为目标服务器,在需要审计的目标服务器上安装抓包程序,在需要审计的目标服务器上安装流量代理模块,得到目标服务器的配置信息,对应所述流量代理模块设置审计设备;
[0011] 步骤2:将需要审计的目标服务器的流量代理模块注册到审计设备中;
[0012] 步骤3:在审计设备中配置需要审计的目标服务器,同步至流量代理模块;
[0013] 步骤4:流量代理模块控制抓包程序采集需要审计的目标服务器的流量包;
[0014] 步骤5:根据步骤3的配置信息对目标服务器的流量包进行过滤;
[0015] 步骤6:对过滤后的流量包增加封包信息进行封包;
[0016] 步骤7:对封包后的流量包,通过流量代理模块发送至审计设备。
[0017] 优选地,所述步骤1中,抓包程序包括配合设置的抓包驱动和文件库。
[0018] 优选地,所述步骤1中,目标服务器的配置信息包括目标服务器的IP和端口。
[0019] 优选地,所述步骤2中,待审计的目标服务器通过在命令行中输入审计设备的IP,审计设备接收后,待审计的目标服务器上的流量代理模块注册到审计设备中,审计设备获得待审计的目标服务器的IP和端口。
[0020] 优选地,所述步骤3中,在审计设备上配置待审计的目标服务器的IP和端口,同步到流量代理模块。
[0021] 优选地,所述步骤3中,配置需要审计的目标服务器包括配置目标服务器的IP、目标服务器的端口、目标服务器的服务名称和目标服务器的服务类型,所述目标服务器的IP和目标服务器的端口与审计设备对应。
[0022] 优选地,所述步骤2中,流量代理模块注册到审计设备中时注册信息设有密钥,所述步骤3中,审计设备配置需要审计的目标服务器时配置信息也设有密钥,步骤2和步骤3的密钥配对成功,则配置信息同步至流量代理模块。
[0023] 优选地,所述步骤5中,根据目标服务器的IP、目标服务器的端口、目标服务器的服务名称和目标服务器的服务类型对流量包进行过滤。
[0024] 优选地,所述步骤6中,封包信息包括IP、时间、端口和流量包的长度。
[0025] 优选地,所述步骤7中,对封包后的流量包还进行定时验证;所述步骤7包括以下步骤:
[0026] 步骤7.1:流量代理模块定时向审计设备发送验证包;
[0027] 步骤7.2:审计设备返回正确,则通信正常,进行步骤7.5,否则进行步骤7.3;
[0028] 步骤7.3:流量代理模块关闭原始连接,并重新建立连接;
[0029] 步骤7.4:重新建立连接后,流量代理模块再次向审计设备发送验证包,审计设备返回正确,则通信正常,进行步骤7.5;否则进行步骤7.3;
[0030] 步骤7.5:将封包后的流量包通过流量代理模块发送至审计设备。
[0031] 本发明提供了一种优化的适用于云环境的流量审计方法,通过在待审计的目标服务器上设置抓包程序和流量代理模块,通过配置审计设备、流量代理模块和目标服务器,使得审计设备能通过流量代理模块控制目标服务器及其上的抓包程序工作,抓取目标服务器的流量包并封装后回传至审计设备进行审计,解决了现有技术的不足,实现在云环境中获取审计对象的访问流量的功能,最终达到完成审计目的。
附图说明
[0032] 图1为本发明的方法流程图。
具体实施方式
[0033] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0034] 如图所示,本发明涉及一种基于云坏境的流量审计方法,所述云环境包括1个主服务器和若干与主服务器连接的从服务器,所述方法包括以下步骤。
[0035] 步骤1:确定任一从服务器为目标服务器,在需要审计的目标服务器上安装抓包程序,在需要审计的目标服务器上安装流量代理模块,得到目标服务器的配置信息,对应所述流量代理模块设置审计设备。
[0036] 所述步骤1中,抓包程序包括配合设置的抓包驱动和文件库。
[0037] 所述步骤1中,目标服务器的配置信息包括目标服务器的IP和端口。
[0038] 本发明中,所述抓包驱动和文件库,一般情况下是由第三方提供的开源程序,主要用于将网络中传输的发送或接受的数据包进行截获并存储。
[0039] 本发明中,流量代理模块被安装在待审计的目标服务器上,通过配置关键信息实现审计设备对目标服务器的流量采集。
[0040] 步骤2:将需要审计的目标服务器的流量代理模块注册到审计设备中。
[0041] 所述步骤2中,待审计的目标服务器通过在命令行中输入审计设备的IP,审计设备接收后,待审计的目标服务器上的流量代理模块注册到审计设备中,审计设备获得待审计的目标服务器的IP和端口。
[0042] 本发明中,在安装好流量代理模块的待审计服务器的命令行中,输入审计设备的IP,审计设备会接收到注册信息,流量代理模块会被注册到审计服务器中, 审计设备获得待审计的目标服务器的IP和端口。
[0043] 步骤3:在审计设备中配置需要审计的目标服务器,同步至流量代理模块。
[0044] 所述步骤3中,在审计设备上配置待审计的目标服务器的IP和端口,同步到流量代理模块。
[0045] 所述步骤3中,配置需要审计的目标服务器包括配置目标服务器的IP、目标服务器的端口、目标服务器的服务名称和目标服务器的服务类型,所述目标服务器的IP和目标服务器的端口与审计设备对应。
[0046] 本发明中,在审计设备中配置需要审计的目标服务器,同步至流量代理模块。
[0047] 本发明中,配置流量代理模块信息是指审计设备的管理员登录审计系统管理平台配置的流量代理服务信息,包括但不限于以下:流量代理服务的IP、流量代理服务的端口。
[0048] 本发明中,配置需要审计的目标服务器的信息是指审计设备管理员登录审计系统管理平台配置流量代理模块里的代理信息,包括但不限于以下:目标服务器的IP、目标服务器的端口、目标服务器的服务名称和目标服务器的服务类型。
[0049] 所述步骤2中,流量代理模块注册到审计设备中时注册信息设有密钥,所述步骤3中,审计设备配置需要审计的目标服务器时配置信息也设有密钥,步骤2和步骤3的密钥配对成功,则配置信息同步至流量代理模块。
[0050] 本发明中,通过注册时配设的密钥和配置时配设的密钥进行配对,当配对成功时,配置有效,配置信息同步至流量代理模块。
[0051] 步骤4:流量代理模块控制抓包程序采集需要审计的目标服务器的流量包。
[0052] 步骤5:根据步骤3的配置信息对目标服务器的流量包进行过滤。
[0053] 所述步骤5中,根据目标服务器的IP、目标服务器的端口、目标服务器的服务名称和目标服务器的服务类型对流量包进行过滤。
[0054] 步骤6:对过滤后的流量包增加封包信息进行封包。
[0055] 所述步骤6中,封包信息包括IP、时间、端口和流量包的长度。
[0056] 本发明中,时间一般记录流量包发生的时间,便于审计设备接收流量包。
[0057] 本发明中,流量包的长度,是便于审计设备接收流量包时,按本次流量包长度进行截取,避免当通信拥堵时流量包可能会连接在一起发送的情况。
[0058] 步骤7:对封包后的流量包,通过流量代理模块发送至审计设备。
[0059] 所述步骤7中,对封包后的流量包还进行定时验证;所述步骤7包括以下步骤:
[0060] 步骤7.1:流量代理模块定时向审计设备发送验证包;
[0061] 步骤7.2:审计设备返回正确,则通信正常,进行步骤7.5,否则进行步骤7.3;
[0062] 步骤7.3:流量代理模块关闭原始连接,并重新建立连接;
[0063] 步骤7.4:重新建立连接后,流量代理模块再次向审计设备发送验证包,审计设备返回正确,则通信正常,进行步骤7.5;否则进行步骤7.3;
[0064] 步骤7.5:将封包后的流量包通过流量代理模块发送至审计设备。
[0065] 本发明中,一般情况下,审计设备的端口默认是54321,同样也可以在审计设备管理平台自行配置。
[0066] 本发明中,流量代理模块在审计设备上注册成功后,审计设备的管理员可以远程管理流量代理模块。
[0067] 本发明中,还可以定时对封包后的流量包进行验证,时间可以根据实际情况设置,如2分钟。
[0068] 本发明中,验证包为事先约定的验证包,验证通过则通信正常,验证不通过则需要重新建立连接,流量包不丢失,并进行再次发送。
[0069] 本发明中,主要采用网口采集与流量代理配合的方式实现流量审计,其中,流量代理模块的工作原理如下:
[0070] 第一步:注册流量代理模块;agent通过命令行及审计设备IP和密钥组合,将注册请求发送至审计设备,将服务器的信息注册到审计设备,包括IP和网口信息等;注册时不带端口,流量代理模块与审计设备的通信采用固定端口,端口固定为443;
[0071] 第二步:配置信息;审计设备配置agent服务器IP、agent流量采集的网口、agent流量采集的端口,将这些配置信息加上密钥,同步至agent;当且仅当密钥配对成功时,配置信息才能成功同步至agent;
[0072] 第三步:抓包;agent程序调用第三方库,抓取第一步所配置的端口、网口的流量包;
[0073] 第四步:组包;对抓到的包进行包装,在原始包的基础上加上包头信息,包头信息包括流量的包长度、包时间等,这些信息的存放的位置及在包头中所占的长度都是agent跟审计设备约定好的,以便审计设备能够正确解析数据包;
[0074] 第五步:验证包;agent每隔两分钟会给审计设备发送约定的验证包,若得到审计设备正确的返回,则认为通信正常,否则认为通信异常,agent会自动关闭原始连接,重新创建新连接;审计设备或者agent重启后,还能自动建立连接,继续进行数据发送的任务,而不会因为一次正常或非正常的连接断开导致任务终止;
[0075] 第六步:发送;若agent认为连接正常,则会通过socket方式发送数据包。