流量分析安全管控系统、方法及装置与流程

本发明涉及流量分析领域，具体而言，涉及一种流量分析安全管控系统、方法及装置。

背景技术：

大数据和云计算近年来在各个领域越来越多被广泛运用，从普通百姓家中到大型互联网it(informationtechnology，信息科技与产业)公司及各类统计机构，大数据和云计算同各行业逐渐走向深度融合。大数据时代的到来，不仅是方便了人们的生活和工作，更引发了人们对大数据和云计算的高度关注和安全思考。

图1示出现有技术中一种流量分析安全管控系统的示意图。

如图1所示，混合云(hybridcloud)系统10包括公有云(publiccloud)系统11、私有云(privatecloud)系统(例如图1中的13、14和15)。在混合云系统10的外部部署流量控制系统20，流量控制系统20分别连接互联网30和用户终端40。

目前市场上成熟的流量控制系统主要通过代理模式、串联模式、旁路模式等部署在企业用户网络中，主要实现：行为管理审计、网络流量控制、网络流量分析等管理控制功能。

现有流量控制系统主要实现的是对用户访问互联网内容和对用户使用企业网络带宽大小的控制，无法满足企业内部对混合云内部服务器区总流量大小的限制，也无法审计到混合云内部服务器对用户、互联网等对象提供的应用流量明细。若私有云用户需要了解私有云内部网络流量使用情况，很难提供详细说明，尤其需要提供公有云、私有云的管理开发运维人员的流量使用详情是一个巨大的挑战。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

本发明的目的在于提供一种流量分析安全管控系统、方法及装置、电子设备和计算机可读介质，能够实现私有云系统和公有云系统之间的流量分析安全管控。

根据本发明的一个方面，提供一种流量分析安全管控系统，包括：

公有云系统；

至少一个私有云系统，所述至少一个私有云系统分别与所述公有云系统相连形成混合云系统；

至少一个内部流量控制系统，设置于所述混合云系统内部，且各内部流量控制系统分别与所述公有云系统和至少一个私有云系统相连。

在本发明的一种示例性实施例中，所述至少一个私有云系统包括第一私有云系统，所述至少一个内部流量控制系统包括第一内部流量控制系统，所述第一内部流量控制系统分别与所述第一私有云系统和所述公有云系统相连。

在本发明的一种示例性实施例中，所述第一内部流量控制系统用于配置所述第一私有云系统和所述公有云系统之间的安全策略。

在本发明的一种示例性实施例中，所述第一内部流量控制系统用于集中采集所述第一私有云系统的网络流量日志，获得所述第一私有云系统的网络流量日志分析结果。

在本发明的一种示例性实施例中，所述安全策略包括：流量总量统计阻断策略和/或白名单策略。

在本发明的一种示例性实施例中，还包括：

外部流量控制系统，设置于所述混合云系统外部，所述外部流量控制系统分别与所述公有云系统和用户终端相连。

在本发明的一种示例性实施例中，所述外部流量控制系统和所述公有云系统分别连接互联网。

在本发明的一种示例性实施例中，所述公有云系统包括公有云服务器，各私有云系统分别包括内部服务器。

根据本发明的一个方面，提供一种流量分析安全管控方法，应用于上述任一实施例所述的流量分析安全管控系统；所述方法包括：

统计所述第一私有云系统流向所述公有云系统的流量，获得所述第一私有云系统流向所述公有云系统的流量总量；

若所述第一私有云系统流向所述公有云系统的流量总量超过流量阈值，则阻断所述第一私有云系统和所述公有云系统之间的通信连接。

在本发明的一种示例性实施例中，还包括：

监控所述第一私有云系统流向所述公有云系统的流量是否来自白名单中预设的监控系统；

将来自所述白名单中预设的监控系统的流量从所述流量总量中剔除。

根据本发明的一个方面，提供一种流量分析安全管控装置，应用于上述任一实施例所述的流量分析安全管控系统；所述装置包括：

流量统计模块，配置为统计所述第一私有云系统流向所述公有云系统的流量，获得所述第一私有云系统流向所述公有云系统的流量总量；

连接阻断模块，配置为若所述第一私有云系统流向所述公有云系统的流量总量超过流量阈值，则阻断所述第一私有云系统和所述公有云系统之间的通信连接。

根据本发明的一个方面，提供一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现上述任一实施例所述的流量分析安全管控方法。

根据本发明的一个方面，提供一种电子设备，包括：

一个或多个处理器；

存储装置，配置为存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述任一实施例所述的流量分析安全管控方法。

本发明的一种示例性实施例中的流量分析安全管控系统，通过在混合云系统内部设置的至少一个内部流量控制系统，能够实现相应私有云系统和公有云系统之间的流量分析安全管控。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

通过参照附图来详细描述其示例实施例，本发明的上述和其它特征及优点将变得更加明显。

图1示出现有技术中一种流量分析安全管控系统的示意图。

图2示出根据本发明一示例性实施例的流量分析安全管控系统的示意图。

图3示出根据本发明一示例性实施例的第一内部流量控制系统的示意图。

图4示出根据本发明一示例性实施例的流量分析安全管控方法的流程图。

图5示出根据本发明一示例性实施例的流量分析安全管控装置的框图。

图6示出了可以应用本发明实施例的流量分析安全管控方法或流量分析安全管控装置的示例性系统架构的示意图。

图7示出了适于用来实现本发明实施例的电子设备的结构示意图。

具体实施例

现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施例；相反，提供这些实施例使得本发明将全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本发明的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本发明的技术方案而没有所述特定细节中的一个或更多，或者可以采用其它的方法、组元、材料、装置、步骤等。在其它情况下，不详细示出或描述公知结构、方法、装置、实现、材料或者操作以避免模糊本发明的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个软件硬化的模块中实现这些功能实体或功能实体的一部分，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

下面对本发明实施例中涉及到的一些术语进行说明。

云计算(cloudcomputing)是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需求提供给计算机各种终端和其他设备。

大数据(bigdata)又称为巨量资料，指的是传统数据处理应用软件不足以处理它们的大或复杂的数据集的术语。

公有云(publiccloud)是指云基础设施提供服务给一般公众或某个大型行业团队，并由销售云计算服务的组织所有。公有云的核心属性是共享资源服务。

私有云(privatecloud)是指云基础设施专为一个单一的组织运作，它可以由该组织或某个第三方管理并可以位于组织内部或外部。私有云的核心属性是专有资源。

混合云(hybridcloud)是指云基础设施由两个或多个云(私有、社区或公共)组成，以独立实体存在，但是通过标准的或专有的技术绑定在一起，这些技术促进了数据和应用的可移植性。混合云的核心属性是共享资源服务。

网络流量控制(networktrafficcontrol)是一种利用软件或硬件方式来实现对电脑网络流量的控制。它的最主要方法，是引入qos的概念，从通过不同类型的网络数据包标记，从而决定数据包通行的优先次序。

网络流量分析(networktrafficanalysissystem)主要指从网络的带宽流量分析、协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。

图2示出根据本发明一示例性实施例的流量分析安全管控系统的示意图。

如图2所示，本发明实施方式提供的流量分析安全管控系统可以包括公有云系统110、至少一个私有云系统(图示中示出3个分别为121、122和123为例，但本发明并不限定于此)，至少一个私有云系统分别与公有云系统110相连形成混合云系统100。

例如，第一私有云系统121与公有云系统110相连，第二私有云系统122与公有云系统110相连，第三私有云系统123与公有云系统110相连，第一私有云系统121、第二私有云系统122和第三私有云系统123以及公共云系统110共同组成混合云系统100。

需要说明的是，本发明实施例中的“相连”是指网络通信连接，可以通过任意合适的无线或者有线连接方式。

继续参考图2，所述流量分析安全管控系统还可以包括至少一个内部流量控制系统，图2中以3个内部流量控制系统为例进行说明，但本发明并不限定于此，内部流量控制系统的数量和设置可以根据实际需求进行自主调整。

其中，各内部流量控制系统可以设置于混合云系统100内部，且各内部流量控制系统分别与公有云系统110和至少一个私有云系统相连。

例如，第一内部流量控制系统131分别与公有云系统110和第一私有云系统121相连；第二内部流量控制系统132分别与公有云系统110和第二私有云系统122相连；第三内部流量控制系统133分别与公有云系统110和第三私有云系统123相连。

在示例性实施例中，所述至少一个私有云系统可以包括第一私有云系统121，所述至少一个内部流量控制系统可以包括第一内部流量控制系统131，所述第一内部流量控制系统131可以分别与所述第一私有云系统121和所述公有云系统110相连。

在图2所示的实施例中，所述流量分析安全管控系统还可以包括外部流量控制系统200，外部流量控制系统200可以设置于所述混合云系统100外部，所述外部流量控制系统200可以分别与所述公有云系统110和用户终端400相连。

在图2所示的实施例中，所述外部流量控制系统200和所述公有云系统110分别连接互联网300。

在图2所示的实施例中，所述公有云系统110可以包括公有云服务器，各私有云系统可以分别包括内部服务器。

图3示出根据本发明一示例性实施例的第一内部流量控制系统的示意图。

本发明实施方式提供的第一内部流量控制系统131可以用于配置所述第一私有云系统和所述公有云系统之间的安全策略。

在示例性实施例中，所述安全策略可以包括：流量总量统计阻断策略和/或白名单策略。

如图3所示，若所述安全策略包括所述流量总量统计阻断策略，所述第一内部流量控制系统131可以进一步包括：流量统计单元1311以及连接阻断单元1312。

其中，流量统计单元1311可以用于统计所述第一私有云系统121流向所述公有云系统110的流量，获得所述第一私有云系统121流向所述公有云系统110的流量总量。

连接阻断单元1312可以用于若所述第一私有云系统121流向所述公有云系统110的流量总量超过流量阈值，则阻断所述第一私有云系统121和所述公有云系统110之间的通信连接。

本发明实施例中，所述流量阈值可以根据具体的应用场景进行自主设置，例如可以将第一私有云系统121流向公有云系统110方向的流量阈值设置为1g，若第一内部流量控制系统131监控判断统计的第一私有云系统121流向公有云系统110方向的流量总量大于等于1g，则可以阻断第一私有云系统121和公有云系统110之间的通信连接。

本发明实施例提供的流量分析安全管控系统，主要针对混合云模式中的私有云的流量进行安全管理控制分析，通过在各个私有云部署内部流量控制系统，以解决现有混合云架构中，网络流量不透明的问题，对当前的控制措施进行调整，将带宽大小设置调整为流量总量设置。调整流量控制系统部署位置，并对流量控制系统进出口进行重新定义，实现私有云服务器到用户终端、私有云内服务器到互联网等对象的网络流量的分析审计。

继续参考图3所示的实施例，若所述安全策略还包括所述白名单策略，所述第一内部流量控制系统131还可以进一步包括：流量来源监控单元1313以及流量剔除单元1314。

其中，流量来源监控单元1313可以用于监控所述第一私有云系统流向所述公有云系统的流量是否来自白名单中预设的监控系统。

流量剔除单元1314可以用于将来自所述白名单中预设的监控系统的流量从所述流量总量中剔除。

在实际情况中，由于一些监控系统会耗费较大的流量，但这些监控流量如果也累计到第一私有云系统121流向公有云系统110的流量总量中，可能会导致无法使用，因此，可以预先设置监控系统的白名单，在该白名单内的监控系统产生的流量并不累计到流量总量中，这样可以进一步提高流量总量统计的准确性。

在示例性实施例中，所述第一内部流量控制系统131可以用于集中采集所述第一私有云系统121的网络流量日志，获得所述第一私有云系统121的网络流量日志分析结果。

例如，第一内部流量控制系统131可以实时采集第一私有云系统121流向公有云系统110的网络流量日志详情，并在需要在时候可以将其打印或者以视图形式显示出来，这样用户就可以清楚直观的了解到第一私有云系统121的各个ip(internetprotocoladdress，互联网协议地址)地址具体使用了多少流量，这些流量具体访问了哪些网址等等，有利于后续的问题追踪和定位。

本发明实施方式提供的流量分析安全管控系统，通过调整流量控制系统位置，结合目前网络架构，在各个私有云部署流量控制系统，并对流量控制系统进行定制开发调整，对部署的流量控制系统进行安全策略配置，根据需求定制开发调整流量控制系统，实现安全策略要求，并集中采集私有云的网络流量日志，一方面，对从私有云方向出往公有云、互联网、用户的流量按照总量设置自动阻断的安全机制；另一方面，从私有云方向出往公有云、互联网、用户的流量分析，能够实现细粒度审计，并能对审计结果进行集中收集、处理、加工、展示，能够审计私有云内部服务器对公有云、互联网、用户等提供的网络流量分析结果。

本发明实施方式提供的流量分析安全管控系统，可以提高公司作为管理人员对于私有云内部网络流量的识别和分析需求，便于进行安全管理；规范私有云内部安全建设，为私有云用户提供统一、规范、详细、准确的流量分析结果；优化私有云网络流量分析结果，便于对外推广私有云项目，提高客户认知度。

图4示出根据本发明一示例性实施例的流量分析安全管控方法的流程图。本发明实施方式提供的流量分析安全管控方法可以应用于如上述任一实施例提供的流量分析安全管控系统。

如图4所示，本发明实施例提供的流量分析安全管控方法可以包括以下步骤。

在步骤s410中，统计所述第一私有云系统流向所述公有云系统的流量，获得所述第一私有云系统流向所述公有云系统的流量总量。

在步骤s420中，若所述第一私有云系统流向所述公有云系统的流量总量超过流量阈值，则阻断所述第一私有云系统和所述公有云系统之间的通信连接。

在示例性实施例中，所述方法还可以包括：监控所述第一私有云系统流向所述公有云系统的流量是否来自白名单中预设的监控系统；将来自所述白名单中预设的监控系统的流量从所述流量总量中剔除。

本发明实施例提供的流量分析安全管控方法的具体实现可以参照上述流量分析安全管控系统中的内容，在此不再赘述。

图5示出根据本发明一示例性实施例的流量分析安全管控装置的框图。本发明实施方式提供的流量分析安全管控装置可以应用于如上述任一实施例提供的流量分析安全管控系统。

如图5所示，本发明实施例提供的流量分析安全管控装置500可以包括流量统计模块510和连接阻断模块520。

其中，流量统计模块510可以配置为统计所述第一私有云系统流向所述公有云系统的流量，获得所述第一私有云系统流向所述公有云系统的流量总量。

连接阻断模块520可以配置为若所述第一私有云系统流向所述公有云系统的流量总量超过流量阈值，则阻断所述第一私有云系统和所述公有云系统之间的通信连接。

在示例性实施例中，流量分析安全管控装置500还可以包括流量来源监控模块和流量剔除模块。

其中，所述流量来源监控模块可以配置为监控所述第一私有云系统流向所述公有云系统的流量是否来自白名单中预设的监控系统。所述流量剔除模块可以配置为将来自所述白名单中预设的监控系统的流量从所述流量总量中剔除。

本发明实施例提供的流量分析安全管控装置中的各个模块的具体实现可以参照上述流量分析安全管控方法中的内容，在此不再赘述。

图6示出了可以应用本发明实施例的流量分析安全管控方法或流量分析安全管控装置的示例性系统架构100的示意图。

如图6所示，系统架构100可以包括终端设备101、102、103中的一种或多种，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

应该理解，图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。

用户可以使用终端设备101、102、103通过网络104与服务器105交互，以接收或发送消息等。终端设备101、102、103可以是具有显示屏的各种电子设备，包括但不限于智能手机、平板电脑、便携式计算机和台式计算机等等。

服务器105可以是提供各种服务的服务器。例如用户利用终端设备103(也可以是终端设备101或102)向服务器105发送请求。服务器105可以基于该请求中携带的相关信息，在数据库中检索到匹配的搜索结果，并将搜索结果反馈给终端设备103，进而用户可以基于终端设备103上显示的内容进行观看。

图7示出了适于用来实现本发明实施例的电子设备的结构示意图。

需要说明的是，图7示出的电子设备200仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，电子设备200包括中央处理单元(cpu)201，其可以根据存储在只读存储器(rom)202中的程序或者从存储部分208加载到随机访问存储器(ram)203中的程序而执行各种适当的动作和处理。在ram203中，还存储有系统操作所需的各种程序和数据。cpu201、rom202以及ram203通过总线204彼此相连。输入/输出(i/o)接口205也连接至总线204。

以下部件连接至i/o接口205：包括键盘、鼠标等的输入部分206；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分207；包括硬盘等的存储部分208；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至i/o接口205。可拆卸介质211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器210上，以便于从其上读出的计算机程序根据需要被安装入存储部分208。

特别地，根据本发明的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分209从网络上被下载和安装，和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(cpu)201执行时，执行本申请的方法和/或装置中限定的各种功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的方法、装置和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块和/或单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的模块和/或单元也可以设置在处理器中。其中，这些模块和/或单元的名称在某种情况下并不构成对该模块和/或单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如下述实施例中所述的方法。例如，所述的电子设备可以实现如图4所示的各个步骤。

需要说明的是，尽管在附图中以特定顺序描述了本发明中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

应当注意，尽管在上文详细描述中提及了流量分析安全管控系统的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本发明实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本发明实施例的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施例。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。