一种基于eBPF的流量采集方法及装置与流程

一种基于ebpf的流量采集方法及装置
技术领域
1.本发明涉及云安全管理技术领域，尤其是一种基于ebpf的流量采集方法及装置。


背景技术：

2.随着云计算的发展，其灵活分配，弹性扩容和快速恢复的特性，使得越来越多的业务选择云上部署，用户希望对云内的业务进行监控，了解云内资产的运行状态。
3.对于租户内的流量，所有传统的和物理的流量采集手段都变得不可用。对于数据中心通过镜像端口的方式采集流量，也不能满足多租户的场景，汇聚之后的流量无法区分租户信息。
4.目前，一种方案是通过在租户vpc网络内部署虚拟机进行量的采集，但虚拟机的部署仅仅适用于虚拟化的场景，不能适应于容器化的环境，同时虚拟机的部署也占用了租户的计算资源；另一种方案是通过运管接口来采集流量，但仅适用某个特定的网管，对接不同的运管，需要适配不同的接口。这两种方案都是在用户态进行流量的捕获和处置，效率较低。
5.ebpf(extended berkeley packet filter，扩展的伯克利包过滤器)作为linux的顶级项目，其优越的性能以及可编程等特性，使其在系统跟踪、观测、性能调优、安全和网络等领域发挥重要的角色。相对于系统的性能分析和观测，ebpf技术在网络技术中的表现，更是让人眼前一亮，ebpf技术与xdp(express data path，特快数据路径)和tc(traffic control，流量控制)组合可以实现更加强大的网络功能，更可为sdn(software defined network，软件定义网络)提供基础支撑。


技术实现要素：

6.为解决目前两种方案存在的上述问题，本发明提供一种基于ebpf的流量采集方法及装置，实现多租户的流量采集，效率更高，方案更简单，更通用。
7.为实现上述目的，本发明采用下述技术方案：
8.在本发明一实施例中，提出了一种基于ebpf的流量采集方法，该方法包括：
9.待采集节点接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口通bpf_map传递给内核态的ebpf模块；
10.内核态的ebpf模块附着在xdp跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；
11.流量分析系统接收到流量后，根据流量处置规则，对流量进行处理和分析；
12.控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。
13.进一步地，控制系统接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息。
14.进一步地，控制系统根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统。
15.进一步地，控制系统从云管平台获取租户网络信息以及租户资产信息。
16.进一步地，根据流量特征确定采集参数的配置信息。
17.进一步地，控制系统直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置。
18.进一步地，流量分析系统若部署在vpc内部，则镜像端口为待采集机器的物理接口或者虚拟接口，若部署在vpc外部，则需要配置镜像接口为镜像端口与流量分析系统之间通道的源端，且该通道头部携带租户标识。
19.进一步地，流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统。
20.进一步地，若流量分析组件为多租户共享或者与流量汇聚组件部署在不同网络时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件将携带租户信息的分析结果上报至控制系统。
21.进一步地，流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统。
22.在本发明一实施例中，还提出了一种基于ebpf的流量采集装置，该装置包括：
23.待采集节点，用于接收采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口传递给内核态的ebpf模块；内核态的ebpf模块附着在xdp跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；
24.流量分析系统，用于接收到流量后，根据流量处置规则，对流量进行处理和分析；
25.控制系统，用于汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。
26.进一步地，控制系统，还用于接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息；
27.进一步地，控制系统，还用于根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统；
28.进一步地，控制系统从云管平台获取租户网络信息以及租户资产信息。
29.进一步地，根据流量特征确定采集参数的配置信息。
30.进一步地，控制系统直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置。
31.进一步地，流量分析系统若部署在vpc内部，则镜像端口为待采集机器的物理接口或者虚拟接口，若部署在vpc外部，则需要配置镜像接口为镜像端口与流量分析系统之间通
道的源端，且该通道头部携带租户标识。
32.进一步地，流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统。
33.进一步地，若流量分析组件为多租户共享或者与流量汇聚组件部署在不同网络时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件将携带租户信息的分析结果上报至控制系统。
34.进一步地，流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统。
35.在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述基于ebpf的流量采集方法。
36.在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行基于ebpf的流量采集方法的计算机程序。
37.有益效果：
38.1、本发明通过ebpf采集流量，效率更高。
39.2、本发明通过overlay(堆叠)承载租户的流量，实现多租户流量的统一监控。
附图说明
40.图1是本发明一实施例的基于ebpf的流量采集方法流程示意图；
41.图2是本发明一实施例的对租户a网络的流量监控实例图；
42.图3本发明一实施例的基于ebpf的流量采集装置结构示意图；
43.图4是本发明一实施例的计算机设备结构示意图。
具体实施方式
44.下面将参考若干示例性实施方式来描述本发明的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
45.本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
46.根据本发明的实施方式，提出了一种基于ebpf的流量采集方法及装置，内核态的ebpf模块接收采集参数的配置信息和镜像端口，内核态的ebpf模块附着在xdp跟踪点上，根据采集参数的配置信息对流量进行过滤，并通过镜像端口发送到流量分析系统；控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态，提高了租户云上业务的可视性和安全性。
47.下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。
48.图1是本发明一实施例的基于ebpf的流量采集方法流程示意图。如图1所示，该方法包括：
49.s1、控制系统接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息；
50.控制系统可以是软件定义安全控制器或者安全运营平台或者云安全管理中心等；
51.控制系统从云管平台获取租户网络信息以及租户资产信息；租户网络信息包括租户标识、租户网络类型、vpc(virtual private cloud，虚拟私有云)信息、子网信息以及接口信息、云主机信息、网络组件信息以及安全组件信息；租户网络类型可以是vlan(virtual local area network，虚拟局域网)或者vxlan(virtual extensible local area network，虚拟扩展局域网)等；
52.租户的监控请求可以是对某个网络或者某个节点或者某种特征的流量进行监控；
53.流量分析系统若部署在vpc内部，则镜像端口可以为待采集机器的物理接口或者虚拟接口，若部署在vpc外部，则需要配置镜像接口为隧道的源端，该隧道为镜像端口与流量分析系统之间的通道，即流量分析系统为隧道的终端，该隧道头部携带租户标识；
54.租户可以独享流量分析系统，也可以选择和其他用户共享流量分析系统；独享流量分析系统时，租户可以选择将流量分析系统部署在vpc内部，若有多个vpc，则可以将流量分析系统部署在vpc内部，并打通vpc网络；
55.流量特征包括端口信息，五元组信息以及某种应用类型的流量；可以根据流量特征确定采集参数的配置信息；
56.s2、控制系统根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统；
57.控制系统可以直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置；
58.采集参数包括流量的端口信息，五元组信息以及某种应用类型；
59.s3、待采集节点接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口通bpf_map(bpf是用户态和内核态进行通信的结构体)传递给内核态的ebpf模块；
60.镜像端口即流量的转发接口，可以是实际的物理端口，也可以是节点的虚拟端口以及隧道端口；隧道可以为vxlan或者nvgre(network virtualization using generic routing encapsulation，通用路由协议封装的网络虚拟化)或者geneve(generic network virtualization encapsulation，通用网络虚拟化封装)等，隧道中携带租户标识；
61.通过bpf_map在用户态程序和插入内核的bpf函数间进行异步通信，使得ebpf模块可以动态接收采集参数的配置信息的变化；
62.s4、内核态的ebpf模块附着在xdp跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；
63.ebpf模块附着在xdp跟踪点上，使得不需要进入内核协议栈，即可以对流量进行处理，使得性能获得极大的提高；
64.s5、流量分析系统接收到流量后，根据流量处置规则，对流量进行处理和分析；
65.流量分析系统可以部署在vpc的内部，也可以部署在vpc的外部；流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统；流量分析组件包括深度包检测，入侵检测和安全审计等组件；分析结果包括告警信息、安全事件和流信息等；
66.流量汇聚组件和流量分析组件，作为流量分析系统的构成组件，可以部署在一起，也可以分开部署；
67.若流量汇聚组件和流量分析组件部署在不同的网络中，则流量汇聚组件将流量转发至流量分析组件时，需要携带租户信息；
68.若流量分析组件为多租户共享时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件上报分析结果时，需要携带租户信息；流量分析系统中的租户信息和租户网络可以分离，控制系统根据实际组网，在流量分析系统中配置租户标识，可以是基于接口，基于vlan，也可以使用隧道的方式；
69.流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统；
70.s6、控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。
71.需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
72.为了对上述基于ebpf的流量采集方法进行更为清楚的解释，下面结合一个具体的实施例来进行说明，然而值得注意的是该实施例仅是为了更好地说明本发明，并不构成对本发明不当的限定。
73.实施例：
74.租户a根据自身的业务需求，希望对租户私有云网络vpc-1中的节点vm1和vm2的进行流量监控，vpc-1部署在某公有云的上海资源池可用区域a。如图2所示，租户a网络vpc-1中的核心资产vm1和vm2，流量分析系统中的流量汇聚组件h1以及流量分析组件a1和a2。
75.实现步骤如下：
76.s1、控制系统接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息；
77.控制系统可以是软件定义安全控制器或者安全运营平台或者云安全管理中心等；
78.控制系统从云管平台获取租户网络信息以及租户资产信息；租户网络信息包括租户标识、租户网络类型、vpc(virtual private cloud，虚拟私有云)信息、子网信息以及接口信息、云主机信息、网络组件信息以及安全组件信息；租户网络类型可以是vlan(virtual local area network，虚拟局域网)或者vxlan(virtual extensible local area network，虚拟扩展局域网)等；
79.租户的监控请求可以是对某个网络或者某个节点或者某种特征的流量进行监控；本实施例中，需要对节点vm1和vm2进行流量监控；可以对某个子网或者某个业务系统或者某种类型的流量，比如web应用的流量或者dns流量进行采集，或者某个端口流量，比如8080端口的流量进行监控，还可以指定监控某个接口的流量。
80.流量分析系统若部署在vpc内部，则镜像端口可以为待采集机器的物理接口或者虚拟接口，若部署在vpc外部，则需要配置镜像接口为隧道的源端，该隧道为镜像端口与流量分析系统之间的通道，即流量分析系统为隧道的终端，该隧道头部携带租户标识；
81.租户可以独享流量分析系统，也可以选择和其他用户共享流量分析系统；独享流量分析系统时，租户可以选择将流量分析系统部署在vpc内部，若有多个vpc，则可以将流量分析系统部署在vpc内部，并打通vpc网络；
82.流量特征包括端口信息，五元组信息以及某种应用类型的流量；可以根据流量特征确定采集参数的配置信息；
83.s2、控制系统根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统；
84.控制系统可以直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置；
85.采集参数包括流量的端口信息，五元组信息以及某种应用类型；
86.s3、待采集节点接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口通bpf_map(bpf是用户态和内核态进行通信的结构体)传递给内核态的ebpf模块；
87.镜像端口即流量的转发接口，可以是实际的物理端口，也可以是节点的虚拟端口以及隧道端口；隧道可以为vxlan或者nvgre(network virtualization using generic routing encapsulation，通用路由协议封装的网络虚拟化)或者geneve(generic network virtualization encapsulation，通用网络虚拟化封装)等，隧道中携带租户标识；
88.通过bpf_map在用户态程序和插入内核的bpf函数间进行异步通信，使得ebpf模块可以动态接收采集参数的配置信息的变化；
89.s4、内核态的ebpf模块附着在xdp跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；
90.ebpf模块附着在xdp跟踪点上，使得不需要进入内核协议栈，即可以对流量进行处理，使得性能获得极大的提高；
91.s5、流量分析系统接收到流量后，根据流量处置规则，对流量进行处理和分析；
92.流量分析系统可以部署在vpc的内部，也可以部署在vpc的外部；流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统；流量分析组件包括深度包检测，入侵检测和安全审计等组件；分析结果包括告警信息、安全事件和流信息等；
93.流量汇聚组件和流量分析组件，作为流量分析系统的构成组件，可以部署在一起，也可以分开部署；
94.若流量汇聚组件和流量分析组件部署在不同的网络中，则流量汇聚组件将流量转发至流量分析组件时，需要携带租户信息；
95.若流量分析组件为多租户共享时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件上报分析结果时，需要携带租户信息；流量分析系统中的租户信息和租户网络可以分离，控制系统根据实际组网，在流量分析系统中配置租户标识，可以是基于接口，基于vlan，也可以使用隧道的方式；
96.流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统；比如，租户a希望对ipv4类型的流量进行入侵检测，根据用户请求结合流量分析系统的拓扑结构，将用户请求转换为流量映射规则，即流量汇聚组件筛选出入端口p1的ipv4的流量，将该入端口为p1(p1为该租户a的流量入端口)的ipv4类型的流量转发至p2端口(流量分析系统的p2端口连接入侵检测系统)
97.s6、控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。
98.基于同一发明构思，本发明还提出一种基于ebpf的流量采集装置。该装置的实施可以参见上述方法的实施，重复之处不再赘述。以下所使用的术语“模块”，可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
99.图3是本发明一实施例的基于ebpf的流量采集装置结构示意图。如图3所示，该装置包括：
100.控制系统101，用于接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统103的部署位置与租户网络的关系，确定镜像端口信息；根据所确定的待采集的节点信息，向待采集节点102分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统103；
101.待采集节点102，用于接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口通bpf_map传递给内核态的ebpf模块；内核态的ebpf模块附着在xdp跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统103；
102.控制系统101可以是软件定义安全控制器或者安全运营平台或者云安全管理中心等；
103.控制系统101从云管平台获取租户网络信息以及租户资产信息；租户网络信息包括租户标识、租户网络类型、vpc(virtual private cloud，虚拟私有云)信息、子网信息以及接口信息、云主机信息、网络组件信息以及安全组件信息；租户网络类型可以是vlan(virtual local area network，虚拟局域网)或者vxlan(virtual extensible local area network，虚拟扩展局域网)等；
104.租户的监控请求可以是对某个网络或者某个节点或者某种特征的流量进行监控；
105.流量分析系统103若部署在vpc内部，则镜像端口可以为待采集机器的物理接口或
者虚拟接口，若部署在vpc外部，则需要配置镜像接口为隧道的源端，该隧道为镜像端口与流量分析系统103之间的通道，即流量分析系统103为隧道的终端，该隧道头部携带租户标识；
106.租户可以独享流量分析系统103，也可以选择和其他用户共享流量分析系统103；独享流量分析系统103时，租户可以选择将流量分析系统103部署在vpc内部，若有多个vpc，则可以将流量分析系统103部署在vpc内部，并打通vpc网络；
107.流量特征包括端口信息，五元组信息以及某种应用类型的流量；可以根据流量特征确定采集参数的配置信息；
108.控制系统101可以直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置；
109.采集参数包括流量的端口信息，五元组信息以及某种应用类型；
110.镜像端口即流量的转发接口，可以是实际的物理端口，也可以是节点的虚拟端口以及隧道端口；隧道可以为vxlan或者nvgre(network virtualization using generic routing encapsulation，通用路由协议封装的网络虚拟化)或者geneve(generic network virtualization encapsulation，通用网络虚拟化封装)等，隧道中携带租户标识；
111.通过bpf_map在用户态程序和插入内核的bpf函数间进行异步通信，使得ebpf模块可以动态接收采集参数的配置信息的变化；
112.ebpf模块附着在xdp跟踪点上，使得不需要进入内核协议栈，即可以对流量进行处理，使得性能获得极大的提高；
113.流量分析系统103，用于接收到流量后，根据流量处置规则，对流量进行处理和分析；
114.流量分析系统103可以部署在vpc的内部，也可以部署在vpc的外部；流量分析系统103包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统101；流量分析组件包括深度包检测，入侵检测和安全审计等组件；分析结果包括告警信息、安全事件和流信息等；
115.流量汇聚组件和流量分析组件，作为流量分析系统103的构成组件，可以部署在一起，也可以分开部署；
116.若流量汇聚组件和流量分析组件部署在不同的网络中，则流量汇聚组件将流量转发至流量分析组件时，需要携带租户信息；
117.若流量分析组件为多租户共享时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件上报分析结果时，需要携带租户信息；流量分析系统103中的租户信息和租户网络可以分离，控制系统根据实际组网，在流量分析系统103中配置租户标识，可以是基于接口，基于vlan，也可以使用隧道的方式；
118.流量处置规则是根据用户对流量的分析需求以及流量分析系统103的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统103；
119.控制系统101，用于汇总流量分析系统103的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资
产的安全状态。
120.应当注意，尽管在上文详细描述中提及了基于ebpf的流量采集装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
121.基于前述发明构思，如图4所示，本发明还提出一种计算机设备200，包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230，处理器220执行计算机程序230时实现前述基于ebpf的流量采集方法。
122.基于前述发明构思，本发明还提出一种计算机可读存储介质，计算机可读存储介质存储有执行前述基于ebpf的流量采集方法的计算机程序。
123.本发明提出的基于ebpf的流量采集方法及装置，通过ebpf采集流量，效率更高；通过overlay(堆叠)承载租户的流量，实现多租户流量的统一监控。
124.虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
125.对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。