一种基于eBPF的流量采集方法及装置与流程

技术特征：
1.一种基于ebpf的流量采集方法，其特征在于，该方法包括：待采集节点接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口传递给内核态的ebpf模块；内核态的ebpf模块附着在xdp跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；流量分析系统接收到流量后，根据流量处置规则，对流量进行处理和分析；控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。2.根据权利要求1所述的基于ebpf的流量采集方法，其特征在于，所述控制系统接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息。3.根据权利要求2所述的基于ebpf的流量采集方法，其特征在于，所述控制系统根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统。4.根据权利要求1所述的基于ebpf的流量采集方法，其特征在于，所述控制系统从云管平台获取租户网络信息以及租户资产信息。5.根据权利要求2所述的基于ebpf的流量采集方法，其特征在于，根据所述流量特征确定采集参数的配置信息。6.根据权利要求3所述的基于ebpf的流量采集方法，其特征在于，所述控制系统直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置。7.根据权利要求2所述的基于ebpf的流量采集方法，其特征在于，所述流量分析系统若部署在vpc内部，则镜像端口为待采集机器的物理接口或者虚拟接口，若部署在vpc外部，则需要配置镜像接口为镜像端口与流量分析系统之间通道的源端，且该通道头部携带租户标识。8.根据权利要求1所述的基于ebpf的流量采集方法，其特征在于，所述流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统。9.根据权利要求8所述的基于ebpf的流量采集方法，其特征在于，若所述流量分析组件为多租户共享或者与流量汇聚组件部署在不同网络时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件将携带租户信息的分析结果上报至控制系统。10.根据权利要求1或8所述的基于ebpf的流量采集方法，其特征在于，所述流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统。11.一种基于ebpf的流量采集装置，其特征在于，该装置包括：待采集节点，用于接收采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口传递给内核态的ebpf模块；内核态的ebpf模块附着在xdp跟踪点上，接收采集参数的配置信息和镜像端口，对于进入待采集节点
的流量，根据采集参数的配置信息进行过滤，将过滤后的流量通过镜像端口发送到流量分析系统；流量分析系统，用于接收到流量后，根据流量处置规则，对流量进行处理和分析；控制系统，用于汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。12.根据权利要求11所述的基于ebpf的流量采集装置，其特征在于，所述控制系统，还用于接收租户的监控请求，结合租户网络信息，确定待采集的节点信息和流量特征，并根据流量分析系统的部署位置与租户网络的关系，确定镜像端口信息。13.根据权利要求12所述的基于ebpf的流量采集装置，其特征在于，所述控制系统，还用于根据所确定的待采集的节点信息，向待采集节点分发采集参数的配置信息以及镜像端口信息，并将流量处置规则发送给流量分析系统。14.根据权利要求11所述的基于ebpf的流量采集装置，其特征在于，所述控制系统从云管平台获取租户网络信息以及租户资产信息。15.根据权利要求12所述的基于ebpf的流量采集装置，其特征在于，根据所述流量特征确定采集参数的配置信息。16.根据权利要求13所述的基于ebpf的流量采集装置，其特征在于，所述控制系统直接对待采集节点进行采集参数的配置，或者通过云管平台对待采集节点进行采集参数的配置。17.根据权利要求12所述的基于ebpf的流量采集装置，其特征在于，所述流量分析系统若部署在vpc内部，则镜像端口为待采集机器的物理接口或者虚拟接口，若部署在vpc外部，则需要配置镜像接口为镜像端口与流量分析系统之间通道的源端，且该通道头部携带租户标识。18.根据权利要求11所述的基于ebpf的流量采集装置，其特征在于，所述流量分析系统包括流量汇聚组件以及多个流量分析组件；流量汇聚组件接收流量并进行预处理，再根据流量处置规则将匹配的流量转发至相应的流量分析组件；流量分析组件根据租户所订阅的信息，将分析结果上报至控制系统。19.根据权利要求18所述的基于ebpf的流量采集装置，其特征在于，若所述流量分析组件为多租户共享或者与流量汇聚组件部署在不同网络时，则流量汇聚组件将携带租户信息的流量转发至流量分析组件，流量分析组件将携带租户信息的分析结果上报至控制系统。20.根据权利要求11或18所述的基于ebpf的流量采集装置，其特征在于，所述流量处置规则是根据用户对流量的分析需求以及流量分析系统的拓扑结构，转化为相应的流量映射规则，将符合匹配特征的流量转发至租户所订阅的流量分析系统。21.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1-10中任一项所述方法。22.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1-10中任一项所述方法的计算机程序。

技术总结
本发明公开一种基于eBPF的流量采集方法及装置，其中，该方法包括：待采集节点接收到采集参数的配置信息以及镜像端口信息，根据镜像端口信息创建镜像端口，并将采集参数的配置信息和镜像端口传递给内核态的eBPF模块；内核态的eBPF模块接收采集参数的配置信息和镜像端口，内核态的eBPF模块附着在XDP跟踪点上，根据采集参数的配置信息对流量进行过滤，并通过镜像端口发送到流量分析系统；控制系统汇总流量分析系统的分析结果，结合租户网络信息以及租户资产信息进行关联分析，统一呈现租户资产之间的拓扑关系，流量路径关系以及租户资产的安全状态。该方法及装置实现多租户的流量采集，效率更高，方案更简单，更通用。更通用。更通用。


技术研发人员：何文娟
受保护的技术使用者：中盈优创资讯科技有限公司
技术研发日：2021.09.27
技术公布日：2022/2/6