本發(fā)明提供了一種報(bào)文流量監(jiān)控方法、系統(tǒng)及電子設(shè)備，該方法包括：被配置為執(zhí)行鏡像功能的交換機(jī)引導(dǎo)報(bào)文流量至交換機(jī)的目的端口；基于抓包工具獲取報(bào)文流量以形成流量表；對(duì)流量表中報(bào)文在南北向上所形成的轉(zhuǎn)發(fā)指標(biāo)執(zhí)行排序操作，對(duì)符合設(shè)定告警閾值的報(bào)文執(zhí)行對(duì)外通知，報(bào)文流量監(jiān)控方法運(yùn)行于服務(wù)器中，轉(zhuǎn)發(fā)指標(biāo)以配置文件的形式保存至工作目錄中。通過本發(fā)明所揭示的報(bào)文流量監(jiān)控方法、系統(tǒng)及電子設(shè)備，降低了對(duì)報(bào)文在轉(zhuǎn)發(fā)過程中所形成的流量進(jìn)行監(jiān)控與預(yù)警的部署成本，使得對(duì)流量進(jìn)行監(jiān)控的實(shí)時(shí)性得以提高；同時(shí)，降低了在對(duì)流量進(jìn)行監(jiān)控過程中對(duì)正常流量的干擾同時(shí)，并能夠?qū)W(wǎng)絡(luò)攻擊及異常訪問所對(duì)應(yīng)的IP地址予以封堵。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種報(bào)文網(wǎng)絡(luò)流量監(jiān)控方法、系統(tǒng)及一種電子設(shè)備。

背景技術(shù)

隨著云計(jì)算時(shí)代突飛猛進(jìn)般的持續(xù)發(fā)展，越來越多的企業(yè)，單位都會(huì)應(yīng)用到云計(jì)算，云計(jì)算本身的特點(diǎn)就存在資源可復(fù)用，特別在網(wǎng)絡(luò)資源的重復(fù)利用中，參差不齊的網(wǎng)絡(luò)報(bào)文都集中在各個(gè)設(shè)備當(dāng)中。防火墻對(duì)于數(shù)據(jù)中心來說則是必不可少的，而每個(gè)安全廠商都擁有自己的體系和方法，對(duì)于小型成本的數(shù)據(jù)中心而言，低成本的網(wǎng)絡(luò)處理方案就成為主流。

然而，對(duì)于小型數(shù)據(jù)中心或單個(gè)主機(jī)服務(wù)而言，防火墻成本較高，且防火墻為硬件設(shè)備，存在故障率，且故障時(shí)很大程度反而會(huì)影響正在運(yùn)行的業(yè)務(wù)。同時(shí)，手動(dòng)分析網(wǎng)絡(luò)流量則存在人工成本較大的缺陷；同時(shí)，在遭受到網(wǎng)絡(luò)攻擊時(shí)，無法對(duì)網(wǎng)絡(luò)流量進(jìn)行有效管控與排查，多數(shù)需要互聯(lián)網(wǎng)運(yùn)營商(ISP)接入檢查，后續(xù)無法具體了解網(wǎng)絡(luò)異常時(shí)的網(wǎng)絡(luò)狀態(tài)。同時(shí)，如果僅僅依賴防火墻，則在出現(xiàn)巨量的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)場(chǎng)景中時(shí)，如果防火墻自身的硬件性能不足，則會(huì)導(dǎo)致對(duì)數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)及流量監(jiān)控出現(xiàn)異常。

同時(shí)，申請(qǐng)人經(jīng)過檢索后發(fā)現(xiàn)，公開號(hào)為CN 108123911 A的中國發(fā)明專利申請(qǐng)公開了一種通過流量檢測(cè)網(wǎng)絡(luò)攻擊的方法。該現(xiàn)有技術(shù)在被保護(hù)網(wǎng)絡(luò)的連接互聯(lián)網(wǎng)鏈路上串聯(lián)部署網(wǎng)絡(luò)流量分析器，流量分析器監(jiān)控所有的網(wǎng)絡(luò)報(bào)文流量的大小，獲得原始網(wǎng)絡(luò)流量數(shù)據(jù)；同一流量網(wǎng)絡(luò)報(bào)文在小于5秒時(shí)間內(nèi)出現(xiàn)十次以上，確認(rèn)為網(wǎng)絡(luò)攻擊。申請(qǐng)人指出，上述現(xiàn)有技術(shù)僅通過流量網(wǎng)絡(luò)報(bào)文在設(shè)定的時(shí)間段內(nèi)出現(xiàn)的次數(shù)以判斷是否為網(wǎng)絡(luò)攻擊，僅具有檢測(cè)流量攻擊的效果；同時(shí)，被保護(hù)網(wǎng)絡(luò)的連接互聯(lián)網(wǎng)鏈路上串聯(lián)部署網(wǎng)絡(luò)流量分析器，在一定程度上會(huì)對(duì)報(bào)文流量產(chǎn)生干涉，由此對(duì)正常訪問的用戶的業(yè)務(wù)會(huì)造成一定影響；此外，上述現(xiàn)有技術(shù)還存在受到誘導(dǎo)攻擊的風(fēng)險(xiǎn)；最后，在現(xiàn)有技術(shù)也存在功能單一的局限性。

發(fā)明內(nèi)容

本發(fā)明的目的在于揭示一種報(bào)文網(wǎng)絡(luò)流量監(jiān)控方法、系統(tǒng)及一種電子設(shè)備，用以解決現(xiàn)有技術(shù)中所存在的缺陷，尤其是為了降低對(duì)報(bào)文在轉(zhuǎn)發(fā)過程中所形成的流量進(jìn)行監(jiān)控與預(yù)警的部署成本與并實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)降低在對(duì)流量進(jìn)行監(jiān)控過程中對(duì)正常流量的干擾同時(shí)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊及異常訪問所對(duì)應(yīng)的IP地址予以封堵。

為實(shí)現(xiàn)上述第一個(gè)目的，本發(fā)明提供了一種報(bào)文流量監(jiān)控方法，包括：

被配置為執(zhí)行鏡像功能的交換機(jī)引導(dǎo)報(bào)文流量至交換機(jī)的目的端口；

基于抓包工具獲取報(bào)文流量以形成流量表；

對(duì)流量表中報(bào)文在南北向上所形成的轉(zhuǎn)發(fā)指標(biāo)執(zhí)行排序操作，對(duì)符合設(shè)定告警閾值的報(bào)文執(zhí)行對(duì)外通知，所述報(bào)文流量監(jiān)控方法運(yùn)行于服務(wù)器中，所述轉(zhuǎn)發(fā)指標(biāo)以配置文件的形式保存至工作目錄中。

作為本發(fā)明的進(jìn)一步改進(jìn)，所述目的端口位于加載服務(wù)的至少一個(gè)第一網(wǎng)卡上，所述第一網(wǎng)卡被配置為混雜模式。

作為本發(fā)明的進(jìn)一步改進(jìn)，在對(duì)符合設(shè)定告警閾值的報(bào)文對(duì)外通知之后予以屏蔽符合設(shè)定告警閾值的報(bào)文所對(duì)應(yīng)的IP地址。

作為本發(fā)明的進(jìn)一步改進(jìn)，所述方法還包括：

在形成流量表之后，將所述流量表保存至物理資源中，所述物理資源由第一存儲(chǔ)器和/或第二存儲(chǔ)器組成，所述第一存儲(chǔ)器選自內(nèi)存或者JVM。