本發明公開了一種基于兩級架構的云網絡流量監控系統，包括：一級網絡監控引擎，部署于每一計算節點處，用于實時采集計算節點的網絡流量，根據預設的惡意流量分析規則對網絡流量進行監控，并根據監控結果對計算節點的異常網絡流量進行實時攔截；二級網絡監控引擎，獲取若干個計算節點的一級網絡監控引擎采集到的網絡流量，對網絡流量進行深度網絡攻擊行為分析，根據分析結果對計算節點的異常網絡流量進行攔截，或對一級網絡監控引擎的惡意流量分析規則進行更新。本發明中的監控系統，可以保證網絡安全監控的時效性，同時可以對網絡流量進行更深度的分析，提高整體網絡監控服務的處理能力，且不會影響現有物理網絡的處理性能。

技術領域

本發明屬于網絡流量監控技術領域，具體涉及一種基于兩級架構的云網絡流量監控系統。

背景技術

對于云網絡架構的內部網絡流量采集與監控分析處理，現有技術中普遍采用sflow、netflow、ipfix、mirror等流量采集方式，將網絡流量采集到指定網絡監控服務中，網絡監控服務內置了流量采集引擎以及網絡監控引擎，流量采集引擎負責對采集流量報文進行協議解析，網絡監控引擎通過特征庫識別，對網絡進行安全分析，識別流量是否存在網絡攻擊，如DDOS攻擊、網絡入侵攻擊、滲透攻擊等異常網絡行為，并通過控制網絡交換設備或防火墻等設施，對網絡攻擊流量進行攔截，現有技術的網絡流量監控架構可參照圖1。

現有的云網絡監控技術或架構存在以下幾個問題：

1.單點網絡監控服務處理性能不足

隨著云平臺的規模不斷擴展，云內部網絡的流量呈現指數式的增長，傳統的網絡監控服務存在單點網絡監控服務處理性能不足的問題，導致網絡監控分析的時效性差。

2.集群網絡監控服務構建成本高

為了解決網絡監控分析的性能問題，業界普遍采用服務器集群的方式解決，有一定程度上提升了網絡安全分析的性能，但服務器集群的建設成本較高，而且需要額外規劃網絡分流器網絡復雜度高。

3.網絡采集流量影響現有物理網絡的處理性能

采集流量需要經過物理網絡到達網絡安全分析服務器或服務器集群，大量的采集流量容易導致物理網絡擁塞，影響現有物理網絡的處理性能。為了解決這樣的問題，業界普遍的做法，減少網絡采樣頻率或采用獨立的網絡交換設備專用于流量采集，而增加專用的流量采集網絡設備會增加網絡構建成本與網絡復雜度。

發明內容

為了克服上述技術缺陷，本發明提供一種基于兩級架構的云網絡流量監控系統，保證了網絡安全監控的時效性，可以對網絡流量進行更深度的分析，提高整體網絡監控服務的處理能力，且不會影響現有物理網絡的處理性能。

為了解決上述問題，本發明按以下技術方案予以實現的：

一種基于兩級架構的云網絡流量監控系統，包括：

一級網絡監控引擎，部署于每一計算節點處，用于實時采集所述計算節點的網絡流量，根據預設的惡意流量分析規則對所述網絡流量進行監控，并根據監控結果對所述計算節點的異常網絡流量進行實時攔截；

二級網絡監控引擎，獲取若干個所述計算節點的所述一級網絡監控引擎采集到的所述網絡流量，對所述網絡流量進行深度網絡攻擊行為分析，根據分析結果對所述計算節點的異常網絡流量進行攔截，或對所述一級網絡監控引擎的所述惡意流量分析規則進行更新。

進一步的，所述一級網絡監控引擎包括：

流量采集模塊，用于對所述計算節點的虛擬交換機的網絡流量進行采集；

數據標注模塊，用于提取所述網絡流量的網絡信息，根據所述網絡信息確定所述網絡流量的VPC組網信息，將所述VPC組網信息與所述網絡流量以及所述網絡流量的采集時間戳進行關聯，將關聯的所述VPC組網信息、網絡流量和采集時間戳組合成網絡流量數據進行儲存；