[发明专利]虚拟化流量的采集方法及装置

说明书

本发明公开了一种虚拟化流量的采集方法及装置，其中该方法包括：全局控制系统创建每一租户业务网络与采集网络的映射关系；区域控制系统根据映射关系，为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数；虚拟交换机根据采集参数将镜像流量通过镜像端口发送至对应的区域控制系统；区域控制系统对镜像流量进行类型识别，将不同类型的镜像流量分发给不同的应用分析系统；全局控制系统对区域控制系统的流量类型识别结果，流量分发结果及应用分析系统的分析结果进行关联分析，统一呈现每一租户业务网络的业务信息及安全信息。本发明可以实现多租户场景下准确地对租户内东西向流量进行监控，提高了租户云上业务的安全性。

技术领域

本发明涉及云计算技术领域，尤其涉及一种虚拟化流量的采集方法及装置。

背景技术

本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

公有云通过划分租户实现物理资源的共享以及虚拟网络的隔离，提高了资源的利用率，同时云计算可以对资源进行灵活分配，弹性扩容，快速恢复，使得运维效率大大提高，降低了项目部署的周期，节省了运维成本。随着云计算的发展，越来越多的业务选择云上部署，东西向的流量越来越大，无论从业务角度还是安全角度，都有必要对东西向流量进行监控。

对于租户内的流量，现有传统的物理的流量采集手段都变得不可用。对于数据中心通过镜像端口的方式采集流量，也不能满足多租户的场景，因为汇聚之后的流量无法区分租户信息。

发明内容

本发明实施例提供一种基于软件定义的虚拟化流量采集方法，用以实现多租户场景下准确地对租户内东西向流量进行监控，提高租户云上业务的安全性，该方法包括：

全局控制系统根据租户业务网络信息及采集网络信息，创建每一租户业务网络与采集网络的映射关系；

区域控制系统根据所述映射关系，为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数；所述虚拟镜像端口为采集网络隧道的端节点，所述隧道信息包括隧道的源端地址、目的端地址及租户业务网络在采集网络中的标识，所述隧道的源端地址为租户侧地址，目的端地址为区域控制系统的地址；

虚拟交换机根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统；

区域控制系统对所述镜像流量进行类型识别，根据流量类型识别结果，将不同类型的镜像流量分发给不同的应用分析系统，得到流量分发结果；

全局控制系统对区域控制系统的流量类型识别结果，流量分发结果及应用分析系统的分析结果进行关联分析，统一呈现每一租户业务网络的业务信息及安全信息。

本发明实施例还提供一种基于软件定义的虚拟化流量采集装置，用以实现多租户场景下准确地对租户内东西向流量进行监控，提高租户云上业务的安全性，该装置包括：

全局控制系统，用于根据租户业务网络信息及采集网络信息，创建每一租户业务网络与采集网络的映射关系；对区域控制系统的流量类型识别结果，流量分发结果及应用分析系统的分析结果进行关联分析，统一呈现每一租户业务网络的业务信息及安全信息；

区域控制系统，用于根据所述映射关系，为每一租户业务网络的待采集镜像流量创建虚拟镜像端口并配置采集参数；对所述镜像流量进行类型识别，根据流量类型识别结果，将不同类型的镜像流量分发给不同的应用分析系统，得到流量分发结果；所述虚拟镜像端口为采集网络隧道的端节点，所述隧道信息包括隧道的源端地址、目的端地址及租户业务网络在采集网络中的标识，所述隧道的源端地址为租户侧地址，目的端地址为区域控制系统的地址；

虚拟交换机，用于根据所述采集参数将所述镜像流量通过所述镜像端口发送至对应的区域控制系统。