(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111645663.5 (22)申请日 2021.12.3 0 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 胡卫文　付程　刘嘉奇　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 田小倩 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/16(2022.01) H04L 69/164(2022.01) G06F 9/445(2018.01) (54)发明名称 一种流量牵引方法及装置 (57)摘要 本申请涉及数据传输技术领域， 尤其涉及一 种流量牵引方法及装置。 用于解决已有技术下对 分布式应用场景中的东西向流量存在可视化盲 点的问题， 该方法为： 通过牵引采集插件采集云 平台中目标计算节点的待监控网卡的流量， 并基 于配置信息包含的安全检测设备的目的端口， 通 过socket客户端通信方式， 将上述流量通过UDP 形式牵引至安全检测设备， 以使安全检测设备对 所述流量进行安全检测， 其中， 牵引采集插件部 署在目标计算节点中的目标虚拟 机内， 待监控网 卡是基于导入到牵引采集插件中的配置信息确 定的； 这样， 通过socket客户端方式， 将云平台中 的流量牵引至云平台外部的安全检测设备， 从而 实现了对虚拟机内部所有流量的全方位的安全 监控。 权利要求书2页 说明书11页 附图4页 CN 114363035 A 2022.04.15 CN 114363035 A 1.一种流 量牵引方法， 其特 征在于， 包括： 通过牵引采集插件采集云平台中目标计算节点的待监控网卡的流量； 其中， 所述牵引 采集插件部署在目标计算节点中的目标虚拟机内， 所述牵引采集插件是在所述云平台的控 制节点中部署牵引控制插件后部署的， 所述牵引控制插件用于监控所述云平台中各个计算 节点内的每个虚拟机的发包流量， 所述待监控网卡是基于导入到所述牵引采集插件中的配 置信息确定的； 基于所述配置信息包含 的安全检测设备的目的端 口， 通过socket客户端通信方式， 将 所述流量通过用户数据包协议UDP形式牵引至所述安全检测设备， 以使所述安全检测设备 对所述流量进行安全检测。 2.如权利要求1所述的方法， 其特征在于， 所述通过牵引采集插件采集云平台中目标计 算节点的待监控网卡的流 量， 包括： 通过所述牵引采集插件调用抓包指令tcpdump获取通过所述待监控网卡的流量， 其中， 所述抓包指令用于复制通过 所述待监控网卡的流 量。 3.如权利要求1所述的方法， 其特征在于， 在所述基于所述配置信 息包含的安全检测设 备的目的端口， 通过socket 客户端通信方式， 将所述流量通过用户数据包协议UDP形式牵引 至所述安全检测设备之前， 还 包括： 通过所述牵引采集插件采集到的所述流量的累积字节数达到字节阈值 时， 将所述字节 阈值对应的流量进行压缩， 并基于所述配置信息包含的加密算法， 对压缩后的所述字节阈 值对应的流 量进行加密， 得到加密流 量； 将所述目标虚拟机的标识信息作为报文头， 并基于所述报文头， 对所述加密流量进行 封装， 得到目标流 量； 所述基于所述配置信息包含的安全检测设备的目的端口， 通过socket客户端通信方 式， 将所述 流量通过用户数据包协议UD P形式牵引至所述 安全检测设备， 包括： 基于所述配置信息包含 的安全检测设备的目的端 口， 通过socket客户端通信方式， 将 所述目标流 量通过所述UDP形式牵引至所述 安全检测设备。 4.如权利要求1 ‑3任一项所述的方法， 其特征在于， 所述流量是通过所述待监控 网卡的 第一流量和第二流量中的任意一种， 其中， 所述第一流量是所述云平台中各个计算节点之 间交互的流量， 所述第二 流量是所述云平台外 部用户与所述云平台之间交 互的流量。 5.一种流 量牵引方法， 其特 征在于， 包括： 接收通过用户数据包协议UD P形式牵引的流 量； 对所述流量进行安全检测； 其中， 所述流量是通过牵引采集插件采集云平台中目标计算节点的待监控网卡的流 量， 所述牵引采集插件部署在目标计算节点中的目标虚拟机内， 所述牵引采集插件是在所 述云平台的控制节点中部署牵引控制插件后部署的， 所述牵引控制插件用于监控所述云平 台中各个计算节点内的每个虚拟机的发包流量， 所述待监控网卡是导入到所述牵引采集插 件中的配置信息确定的。 6.如权利要求5所述的方法， 其特 征在于， 所述对所述 流量进行安全检测， 包括： 提取所述流量包含的每个数据包各自的五元组特征值， 并分别基于所述五元组特征值 建立各自对应的哈希会话；权　利　要　求　书 1/2 页 2 CN 114363035 A 2将具有同一五元组特征值的数据包进行归类， 并基于归类结果， 确定不同的数据流， 以 及分别对不同的数据流包含的数据包进行安全检测， 其中， 所述安全检测包括动态文件沙 箱检测、 静态文件特征值检测、 网络入侵检测、 弱密码 检测、 网络风暴检测、 僵木蠕检测中的 部分或全部； 在所述对所述 流量进行安全检测之后， 还 包括： 分别将不同的数据流中确定为存在威胁的各个数据包进行存储， 并针对每个存在威胁 的数据流执 行如下操作： 分别提取所述存在威胁的各个数据包各自包含的威胁字段， 并基于提取到的各个威胁 字段， 生成并存 储所述存在威胁的数据流的安全检测日志信息 。 7.一种流 量牵引装置， 其特 征在于， 包括： 采集模块， 用于通过牵引采集插件采集云平台中目标计算节点的待监控网卡的流量； 其中， 所述牵引采集插件部署在目标计算节点中的目标虚拟机内， 所述牵引采集插件是在 所述云平台的控制节 点中部署牵引控制插件后部署的， 所述牵引控制插件用于监控所述云 平台中各个计算节点内的每个虚拟机的发包流量， 所述待监控网卡是基于导入到所述牵引 采集插件中的配置信息确定的； 牵引模块， 用于基于所述配置信息包含 的安全检测设备的目的端口， 通过socket客户 端通信方式， 将所述流量通过用户数据包协 议UDP形式牵引至所述安全检测设备， 以使 所述 安全检测设备对所述 流量进行安全检测。 8.一种流 量牵引装置， 其特 征在于， 包括： 接收模块， 用于 接收通过用户数据包协议UD P形式牵引的流 量； 检测模块， 用于对所述 流量进行安全检测； 其中， 所述流量是通过牵引采集插件采集云平台中目标计算节点的待监控网卡的流 量， 所述牵引采集插件部署在目标计算节点中的目标虚拟机内， 所述牵引采集插件是在所 述云平台的控制节点中部署牵引控制插件后部署的， 所述牵引控制插件用于监控所述云平 台中各个计算节点内的每个虚拟机的发包流量， 所述待监控网卡是导入到所述牵引采集插 件中的配置信息确定的。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储程序指令； 处理器， 用于调用所述存储器中存储的程序指令， 按照获得的程序指令执行如权利要 求1‑4、 权利要求5 ‑6任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 存储有计算机可执行指令， 所述计算机可 执行指令用于执 行如权利要求1 ‑4、 权利要求5 ‑6任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114363035 A 3