[发明专利]一种流量审计方法、装置、服务器及审计设备

说明书

本申请提供一种流量审计方法、装置、服务器及审计设备，该方法应用于服务器，包括：获得用于获取流量的配置信息；根据配置信息获取服务器产生的内部流量，内部流量不经过网络设备；向审计设备发送内部流量，以使审计设备对内部流量进行审计。通过在服务器内部获取服务器内部流量，并将该内部流量转发至审计设备，由审计设备来对内部流量进行审计操作，通过这种方式有效地解决了当服务器的内部流量不经过交换机时，难以对服务器的内部流量进行审计操作的问题。

技术领域

本申请涉及计算机安全和网络安全的技术领域，具体而言，涉及一种流量审计方法、装置、服务器及审计设备。

背景技术

端口镜像(Port Mirroring)，是指通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听，指定端口称之为“镜像端口”或“目的端口”，在不严重影响源端口正常吞吐流量的情况下，可以通过镜像端口对网络的流量进行监控分析。

目前常用的流量审计方法都是通过在网络出口的交换机上设置端口镜像的方式来审计的，即在该交换机中将需要流量审计的源端口转发至镜像端口，通过镜像端口将流量发送给审计设备，以此来达到流量审计的目的。然而在具体实践中发现，这种方式难以对服务器内部的流量进行审计，即当服务器的内部流量不经过交换机时，难以对服务器的内部流量进行审计操作。

发明内容

本申请实施例的目的在于提供一种流量审计方法、装置、服务器及审计设备，用于改善当服务器的内部流量不经过交换机时，难以对服务器的内部流量进行审计操作的问题。

本申请提供了一种流量审计方法，应用于服务器，包括：获得用于获取流量的配置信息；根据所述配置信息获取所述服务器产生的内部流量，所述内部流量不经过网络设备；向审计设备发送所述内部流量，以使所述审计设备对所述内部流量进行审计。在上述的实现过程中，在服务器内部获取服务器内部流量，并将该内部流量转发至审计设备，由审计设备来对内部流量进行审计操作，通过这种方式有效地解决了当服务器的内部流量不经过交换机时，难以对服务器的内部流量进行审计操作的问题。

可选地，所述服务器上运行着控制台服务程序，所述获得用于获取流量的配置信息，包括：使用所述控制台服务程序接收所述审计设备发送的所述配置信息；将所述配置信息存储至本地缓存中。在上述的实现过程中，使用控制台服务程序接收审计设备发送的配置信息，从而使得配置信息的解析获得更加准确，通过使用本地缓存从而加速配置信息的存储和读取的速度。

可选地，所述服务器上运行着抓包转发程序，所述根据所述配置信息获取所述服务器产生的内部流量，包括：从所述本地缓存中读取所述配置信息；使用所述抓包转发程序根据所述配置信息获取所述服务器产生的内部流量。在上述的实现过程中，通过使用抓包转发程序获取内部流量，极大地提升了获取内部流量的性能，同时减轻了服务器的负载压力。

可选地，所述配置信息包括：至少一个源端口和一个镜像端口，所述镜像端口与所述审计设备连接，所述使用所述抓包转发程序根据所述配置信息获取所述服务器产生的内部流量，包括：使用所述抓包转发程序获取所述至少一个源端口的内部流量；所述向审计设备发送所述内部流量，包括：使用所述抓包转发程序将所述内部流量发送至所述镜像端口，以通过所述镜像端口向所述审计设备发送所述内部流量。在上述的实现过程中，通过使用抓包转发程序获取源端口的内部流量，并将该内部流量转发至目的端口，以通过该端口向审计设备发送内部流量，从而极大地提升了获取内部流量的性能，同时减轻了服务器的负载压力。

可选地，所述配置信息包括：压缩信息；所述向审计设备发送所述内部流量，包括：根据所述压缩信息对所述内部流量进行压缩；向所述审计设备发送压缩后的内部流量。在上述的实现过程中，根据压缩信息对内部流量进行压缩，并向审计设备发送压缩后的内部流量，从而减轻了网络负载，即减少了网络需要传输的数据流量。