[发明专利]一种报文流量监控方法、系统及电子设备

说明书

本发明提供了一种报文流量监控方法、系统及电子设备，该方法包括：被配置为执行镜像功能的交换机引导报文流量至交换机的目的端口；基于抓包工具获取报文流量以形成流量表；对流量表中报文在南北向上所形成的转发指标执行排序操作，对符合设定告警阈值的报文执行对外通知，报文流量监控方法运行于服务器中，转发指标以配置文件的形式保存至工作目录中。通过本发明所揭示的报文流量监控方法、系统及电子设备，降低了对报文在转发过程中所形成的流量进行监控与预警的部署成本，使得对流量进行监控的实时性得以提高；同时，降低了在对流量进行监控过程中对正常流量的干扰同时，并能够对网络攻击及异常访问所对应的IP地址予以封堵。

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种报文网络流量监控方法、系统及一种电子设备。

背景技术

随着云计算时代突飞猛进般的持续发展，越来越多的企业，单位都会应用到云计算，云计算本身的特点就存在资源可复用，特别在网络资源的重复利用中，参差不齐的网络报文都集中在各个设备当中。防火墙对于数据中心来说则是必不可少的，而每个安全厂商都拥有自己的体系和方法，对于小型成本的数据中心而言，低成本的网络处理方案就成为主流。

然而，对于小型数据中心或单个主机服务而言，防火墙成本较高，且防火墙为硬件设备，存在故障率，且故障时很大程度反而会影响正在运行的业务。同时，手动分析网络流量则存在人工成本较大的缺陷；同时，在遭受到网络攻击时，无法对网络流量进行有效管控与排查，多数需要互联网运营商(ISP)接入检查，后续无法具体了解网络异常时的网络状态。同时，如果仅仅依赖防火墙，则在出现巨量的数据报文转发场景中时，如果防火墙自身的硬件性能不足，则会导致对数据报文的转发及流量监控出现异常。

同时，申请人经过检索后发现，公开号为CN 108123911 A的中国发明专利申请公开了一种通过流量检测网络攻击的方法。该现有技术在被保护网络的连接互联网链路上串联部署网络流量分析器，流量分析器监控所有的网络报文流量的大小，获得原始网络流量数据；同一流量网络报文在小于5秒时间内出现十次以上，确认为网络攻击。申请人指出，上述现有技术仅通过流量网络报文在设定的时间段内出现的次数以判断是否为网络攻击，仅具有检测流量攻击的效果；同时，被保护网络的连接互联网链路上串联部署网络流量分析器，在一定程度上会对报文流量产生干涉，由此对正常访问的用户的业务会造成一定影响；此外，上述现有技术还存在受到诱导攻击的风险；最后，在现有技术也存在功能单一的局限性。

发明内容

本发明的目的在于揭示一种报文网络流量监控方法、系统及一种电子设备，用以解决现有技术中所存在的缺陷，尤其是为了降低对报文在转发过程中所形成的流量进行监控与预警的部署成本与并实现实时监控，实现降低在对流量进行监控过程中对正常流量的干扰同时，实现对网络攻击及异常访问所对应的IP地址予以封堵。

为实现上述第一个目的，本发明提供了一种报文流量监控方法，包括：

被配置为执行镜像功能的交换机引导报文流量至交换机的目的端口；

基于抓包工具获取报文流量以形成流量表；

对流量表中报文在南北向上所形成的转发指标执行排序操作，对符合设定告警阈值的报文执行对外通知，所述报文流量监控方法运行于服务器中，所述转发指标以配置文件的形式保存至工作目录中。

作为本发明的进一步改进，所述目的端口位于加载服务的至少一个第一网卡上，所述第一网卡被配置为混杂模式。

作为本发明的进一步改进，在对符合设定告警阈值的报文对外通知之后予以屏蔽符合设定告警阈值的报文所对应的IP地址。

作为本发明的进一步改进，所述方法还包括：

在形成流量表之后，将所述流量表保存至物理资源中，所述物理资源由第一存储器和/或第二存储器组成，所述第一存储器选自内存或者JVM。