本發(fā)明屬于計算機(jī)網(wǎng)絡(luò)技術(shù)相關(guān)領(lǐng)域，尤其是涉及一種基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析系統(tǒng)及方法。

背景技術(shù)：

傳統(tǒng)業(yè)務(wù)分析系統(tǒng)部分基于DPI(Deep Packet Inspection，深度數(shù)據(jù)包檢查)，對數(shù)據(jù)包進(jìn)行深度檢測，然后得到應(yīng)用級別的分析報表；部分基于netflow/openflow，對數(shù)據(jù)包進(jìn)行采樣匯聚成流，并分析流對應(yīng)連接的各個標(biāo)志位以及狀態(tài)信息等，得到分析報表。

但是，上述傳統(tǒng)業(yè)務(wù)分析系統(tǒng)存在如下諸多弊端導(dǎo)致無法很好跟云平臺結(jié)合：

1、基于DPI方式業(yè)務(wù)分析系統(tǒng)往往由于性能瓶頸，無法滿足大規(guī)模云平臺用戶業(yè)務(wù)分析需求；

2、基于netflow/openflow方式的業(yè)務(wù)系統(tǒng)，往往會對用戶業(yè)務(wù)流量進(jìn)行抽樣分析，抽樣間隔粒度會比較大，無法得到精確的業(yè)務(wù)分析數(shù)據(jù)；

3、分析系統(tǒng)獨立于云平臺，只能得到基于IP的分析報表，無法區(qū)分不同用戶，無法結(jié)合用戶業(yè)務(wù)系統(tǒng)信息形成用戶最終希望得到的分析報表；

4、傳統(tǒng)業(yè)務(wù)分析系統(tǒng)無法做到對業(yè)務(wù)的智能分析，也不支持自定義業(yè)務(wù)分析模板，導(dǎo)致分析結(jié)果準(zhǔn)確性無法達(dá)到實際需求；

5、傳統(tǒng)業(yè)務(wù)分析系統(tǒng)在分布式場景部署中無法做到靈活擴(kuò)展。

技術(shù)實現(xiàn)要素：

針對現(xiàn)有技術(shù)的缺陷，本發(fā)明提供一種基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析系統(tǒng)及方法。

一方面，本發(fā)明實施例提出一種基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析系統(tǒng)，包括：

DFI流采集器集群和用戶業(yè)務(wù)統(tǒng)計分析控制器集群；其中，

所述用戶業(yè)務(wù)統(tǒng)計分析控制器集群包括數(shù)據(jù)存儲模塊、業(yè)務(wù)統(tǒng)計分析模塊和報表呈現(xiàn)模塊；

所述DFI流采集器集群，用于收集云平臺的業(yè)務(wù)流量，對所述業(yè)務(wù)流量進(jìn)行處理，得到標(biāo)準(zhǔn)DFI流數(shù)據(jù)，并將所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)保存到所述數(shù)據(jù)存儲模塊；

所述業(yè)務(wù)統(tǒng)計分析模塊，用于從所述數(shù)據(jù)存儲模塊讀取標(biāo)準(zhǔn)DFI流數(shù)據(jù)，對云平臺不同用戶的不同業(yè)務(wù)進(jìn)行統(tǒng)計，得到不同時間粒度的各業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)，形成業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)，并且將所述統(tǒng)計數(shù)據(jù)分別與預(yù)設(shè)的安全分析模板和性能分析模板進(jìn)行匹配分析，得到不同用戶不同業(yè)務(wù)的業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)，并將所述業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)、業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)保存到所述數(shù)據(jù)存儲模塊；

所述報表呈現(xiàn)模塊，用于從所述數(shù)據(jù)存儲模塊讀取報表數(shù)據(jù)，并對所述報表數(shù)據(jù)進(jìn)行呈現(xiàn)。

優(yōu)選地，所述DFI流采集器集群包括：

內(nèi)核空間模塊和用戶空間模塊；其中，

所述內(nèi)核空間模塊，用于對云平臺各個機(jī)架用戶業(yè)務(wù)流量數(shù)據(jù)包進(jìn)行全量采集，并對其中的包信息進(jìn)行提取整合成基礎(chǔ)DFI流數(shù)據(jù)；

所述用戶空間模塊，用于通過調(diào)用云平臺控制器API(應(yīng)用程序編程接口)，獲取用戶業(yè)務(wù)系統(tǒng)數(shù)據(jù)，與所述內(nèi)核空間模塊獲取的基礎(chǔ)DFI流數(shù)據(jù)整合成標(biāo)準(zhǔn)DFI流數(shù)據(jù)，并將所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)發(fā)送至所述數(shù)據(jù)存儲模塊進(jìn)行存儲，其中，所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)包括基礎(chǔ)DFI流數(shù)據(jù)、用戶ID、設(shè)備ID、私有網(wǎng)絡(luò)ID、網(wǎng)絡(luò)接口ID和網(wǎng)絡(luò)接口類型。

優(yōu)選地，所述內(nèi)核空間模塊，具體用于對所述數(shù)據(jù)包進(jìn)行基礎(chǔ)DFI流信息提取，并將同一連接不同的流進(jìn)行匯聚，得到基礎(chǔ)DFI流數(shù)據(jù)，其中，所述基礎(chǔ)DFI流數(shù)據(jù)包括：起始時間、源ip、目的ip、源mac、目的mac、源端口、目的端口、協(xié)議類型、vlan、數(shù)據(jù)包數(shù)量、有效負(fù)載、持續(xù)時間。

優(yōu)選地，所述業(yè)務(wù)統(tǒng)計分析模塊，用于通過調(diào)用云平臺控制器API，獲取用戶信息，基于所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)和用戶信息，對云平臺不同用戶的不同業(yè)務(wù)進(jìn)行統(tǒng)計。

優(yōu)選地，所述報表呈現(xiàn)模塊采用lcweb作為界面框架，并利用painter調(diào)用所述數(shù)據(jù)存儲模塊中的報表數(shù)據(jù)。

優(yōu)選地，所述報表呈現(xiàn)模塊對外提供API，以供云平臺控制器和云平臺監(jiān)控系統(tǒng)通過調(diào)用該API獲取獲取所述報表數(shù)據(jù)。

優(yōu)選地，所述報表呈現(xiàn)模塊，還用于在所述業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)顯示用戶業(yè)務(wù)系統(tǒng)出現(xiàn)安全或性能問題時，向用戶發(fā)送通知信息。

優(yōu)選地，所述安全分析模板包括DDos\Dos攻擊模板、Synflood攻擊模板、ARPspoofing攻擊模板、蠕蟲病毒攻擊模板和/或自定義模板；

所述性能分析模板包括web服務(wù)性能分析模板、數(shù)據(jù)庫性能分析模板、負(fù)載均衡器性能分析模板、文件服務(wù)器性能分析模板，以及混合分析模板和/或自定義模板。

優(yōu)選地，所述DFI流采集器集群和用戶業(yè)務(wù)統(tǒng)計分析控制器集群采用分布式架構(gòu)。

另一方面，本發(fā)明實施例提出一種基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析方法，包括：

所述DFI流采集器集群收集云平臺的業(yè)務(wù)流量，對所述業(yè)務(wù)流量進(jìn)行處理，得到標(biāo)準(zhǔn)DFI流數(shù)據(jù)，并將所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)保存到所述數(shù)據(jù)存儲模塊；

所述業(yè)務(wù)統(tǒng)計分析模塊從所述數(shù)據(jù)存儲模塊讀取標(biāo)準(zhǔn)DFI流數(shù)據(jù)，對云平臺不同用戶的不同業(yè)務(wù)進(jìn)行統(tǒng)計，得到不同時間粒度的各業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)，形成業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)，并且將所述統(tǒng)計數(shù)據(jù)分別與預(yù)設(shè)的安全分析模板和性能分析模板進(jìn)行匹配分析，得到不同用戶不同業(yè)務(wù)的業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)，并將所述業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)、業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)保存到所述數(shù)據(jù)存儲模塊；

所述報表呈現(xiàn)模塊從所述數(shù)據(jù)存儲模塊讀取報表數(shù)據(jù)，并對所述報表數(shù)據(jù)進(jìn)行呈現(xiàn)。

本發(fā)明實施例具有如下有益效果：

1、由于DFI流采集器集群和用戶業(yè)務(wù)統(tǒng)計分析控制器集群可以采用分布式架構(gòu)，因而能夠滿足大規(guī)模云平臺用戶業(yè)務(wù)分析需求，且在分布式場景部署中能夠做到靈活擴(kuò)展；

2、本發(fā)明直接收集云平臺的業(yè)務(wù)流量進(jìn)行分析，而非抽樣分析，因而能夠得到精確的業(yè)務(wù)分析數(shù)據(jù)；

3、本發(fā)明利用業(yè)務(wù)統(tǒng)計分析模塊基于標(biāo)準(zhǔn)DFI流數(shù)據(jù)，對云平臺不同用戶的不同業(yè)務(wù)進(jìn)行統(tǒng)計，得到不同時間粒度的各業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)，形成業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)，并且將所述統(tǒng)計數(shù)據(jù)分別與預(yù)設(shè)的安全分析模板和性能分析模板進(jìn)行匹配分析，得到不同用戶不同業(yè)務(wù)的業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)，能夠區(qū)分不同用戶，而標(biāo)準(zhǔn)DFI流數(shù)據(jù)由用戶業(yè)務(wù)系統(tǒng)數(shù)據(jù)，與基礎(chǔ)DFI流數(shù)據(jù)整合形成，因此能夠結(jié)合用戶業(yè)務(wù)系統(tǒng)信息形成用戶最終希望得到的分析報表；

4、本發(fā)明能夠做到對業(yè)務(wù)的智能分析，且支持自定義業(yè)務(wù)分析模板，使得分析結(jié)果準(zhǔn)確性能夠達(dá)到實際需求。

附圖說明

圖1為本發(fā)明基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析系統(tǒng)一實施例的結(jié)構(gòu)示意圖；

圖2為本發(fā)明基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析方法一實施例的流程示意圖；

圖3為本發(fā)明基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析方法另一實施例的流程示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。

參看圖1，本實施例公開一種基于DFI(Deep Flow Inspection，深度流檢測)的云平臺用戶業(yè)務(wù)統(tǒng)計分析系統(tǒng)，包括：

DFI流采集器集群和用戶業(yè)務(wù)統(tǒng)計分析控制器集群；其中，

所述DFI流采集器集群包括至少一個DFI流采集器，所述DFI流采集器旁掛在機(jī)架ToR上；所述用戶業(yè)務(wù)統(tǒng)計分析控制器集群包括至少一個用戶業(yè)務(wù)統(tǒng)計分析控制器，具體可根據(jù)云平臺實際規(guī)模情況靈活進(jìn)行資源擴(kuò)充。

所述用戶業(yè)務(wù)統(tǒng)計分析控制器集群包括數(shù)據(jù)存儲模塊、業(yè)務(wù)統(tǒng)計分析模塊和報表呈現(xiàn)模塊；

所述數(shù)據(jù)存儲模塊具體實現(xiàn)可為數(shù)據(jù)存儲集群Elasticsearch，所述業(yè)務(wù)統(tǒng)計分析模塊具體實現(xiàn)可為用戶業(yè)務(wù)統(tǒng)計分析analyzer，所述報表呈現(xiàn)模塊具體實現(xiàn)可為報表呈現(xiàn)系統(tǒng)，可以采用lcweb作為界面框架，并利用painter調(diào)用所述數(shù)據(jù)存儲模塊中的報表數(shù)據(jù)。

所述DFI流采集器集群，用于收集云平臺的業(yè)務(wù)流量，對所述業(yè)務(wù)流量進(jìn)行處理，得到標(biāo)準(zhǔn)DFI流數(shù)據(jù)，并將所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)保存到所述數(shù)據(jù)存儲模塊；

本實施例中，DFI流采集器集群可以包括：

內(nèi)核空間模塊和用戶空間模塊；其中，

所述內(nèi)核空間模塊，用于對云平臺各個機(jī)架用戶業(yè)務(wù)流量數(shù)據(jù)包進(jìn)行全量采集，并對其中的包信息進(jìn)行提取整合成基礎(chǔ)DFI流數(shù)據(jù)；

本實施例中，所述內(nèi)核空間模塊，具體可以用于對所述數(shù)據(jù)包進(jìn)行基礎(chǔ)DFI流信息提取，并將同一連接不同的流進(jìn)行匯聚，得到基礎(chǔ)DFI流數(shù)據(jù)，其中，所述基礎(chǔ)DFI流數(shù)據(jù)包括：起始時間、源ip、目的ip、源mac、目的mac、源端口、目的端口、協(xié)議類型、vlan、數(shù)據(jù)包數(shù)量、有效負(fù)載、持續(xù)時間。

所述用戶空間模塊，用于通過調(diào)用云平臺控制器API，獲取用戶業(yè)務(wù)系統(tǒng)數(shù)據(jù)(DFI流擴(kuò)展信息)，與所述內(nèi)核空間模塊獲取的基礎(chǔ)DFI流數(shù)據(jù)整合成標(biāo)準(zhǔn)DFI流數(shù)據(jù)，并將所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)發(fā)送至所述數(shù)據(jù)存儲模塊進(jìn)行存儲，其中，所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)包括基礎(chǔ)DFI流數(shù)據(jù)、用戶ID、設(shè)備ID、私有網(wǎng)絡(luò)ID、網(wǎng)絡(luò)接口ID和網(wǎng)絡(luò)接口類型。

具體地，所述用戶空間模塊將用戶業(yè)務(wù)系統(tǒng)數(shù)據(jù)與基礎(chǔ)DFI流數(shù)據(jù)進(jìn)行整合的過程為：獲取基礎(chǔ)DFI流數(shù)據(jù)中的vlan信息和mac信息，將所述基礎(chǔ)DFI流數(shù)據(jù)中的vlan信息和mac信息與所述用戶業(yè)務(wù)系統(tǒng)數(shù)據(jù)中的vlan信息和mac信息信息進(jìn)行匹配，找出vlan信息和mac信息均相同的用戶業(yè)務(wù)系統(tǒng)數(shù)據(jù)和基礎(chǔ)DFI流數(shù)據(jù)進(jìn)行整合，得到標(biāo)準(zhǔn)DFI流數(shù)據(jù)。

所述業(yè)務(wù)統(tǒng)計分析模塊，用于從所述數(shù)據(jù)存儲模塊讀取標(biāo)準(zhǔn)DFI流數(shù)據(jù)，對云平臺不同用戶的不同業(yè)務(wù)進(jìn)行統(tǒng)計，得到不同時間粒度的各業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)，形成業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)，并且將所述統(tǒng)計數(shù)據(jù)分別與預(yù)設(shè)的安全分析模板和性能分析模板進(jìn)行匹配分析，得到不同用戶不同業(yè)務(wù)的業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)，并將所述業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)、業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)保存到所述數(shù)據(jù)存儲模塊；

在具體應(yīng)用中，安全分析模板是在大數(shù)據(jù)基礎(chǔ)上，針對可能遇到的網(wǎng)絡(luò)安全情景(如:DDos攻擊，端口掃描，Synflood，ARP Sproof等)進(jìn)行建模形成泛匹配模板，性能分析模板是在各類業(yè)務(wù)系統(tǒng)性能需求以及網(wǎng)絡(luò)連接狀態(tài)基礎(chǔ)上，針對不同業(yè)務(wù)的特性歸納出的匹配模板。具體地，所述安全分析模板包括但不限于如下內(nèi)容：DDos\Dos攻擊模板、Synflood攻擊模板、ARPspoofing攻擊模板、蠕蟲病毒攻擊模板等，以及自定義模板。所述性能分析模板包括但不限于如下內(nèi)容：web服務(wù)性能分析模板、數(shù)據(jù)庫性能分析模板、負(fù)載均衡器性能分析模板、文件服務(wù)器性能分析模板，以及混合分析模板，如：游戲業(yè)務(wù)性能分析模板、視頻業(yè)務(wù)性能分析模板、基于web服務(wù)的業(yè)務(wù)系統(tǒng)性能分析模板等，以及自定義模板。

業(yè)務(wù)統(tǒng)計分析模塊主要從兩方面對用戶業(yè)務(wù)進(jìn)行分析：一是業(yè)務(wù)安全，一是業(yè)務(wù)性能。用戶業(yè)務(wù)統(tǒng)計分析analyzer將標(biāo)準(zhǔn)DFI流數(shù)據(jù)與內(nèi)置安全分析模板和性能分析模板進(jìn)行匹配分析，得到安全分析和性能分析報表數(shù)據(jù)。另外analyzer會利用通過調(diào)用云平臺控制器API獲取的用戶信息將用戶同一業(yè)務(wù)、同一虛擬化實例網(wǎng)絡(luò)接口的不同流數(shù)據(jù)進(jìn)行整合，并切分成不同時間粒度進(jìn)行存儲，形成業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)。業(yè)務(wù)統(tǒng)計分析模塊采取的算法具有智能化以及自學(xué)習(xí)能力，能夠精確匹配出常見的網(wǎng)絡(luò)安全問題以及性能瓶頸問題。

所述報表呈現(xiàn)模塊，用于從所述數(shù)據(jù)存儲模塊讀取報表數(shù)據(jù)，并對所述報表數(shù)據(jù)進(jìn)行呈現(xiàn)。

對于報表呈現(xiàn)模塊，針對市場上大部分統(tǒng)計分析系統(tǒng)采用獨立的報表呈現(xiàn)系統(tǒng)的短板，發(fā)明了一種混合呈現(xiàn)模式的方法，既可以以獨立系統(tǒng)呈現(xiàn)，又可以對外提供標(biāo)準(zhǔn)API，供其它系統(tǒng)(如：云平臺控制器，云平臺監(jiān)控系統(tǒng)等)調(diào)用，用于云平臺高度集成開發(fā)，給客戶以更好的體驗。比如，云平臺控制器可以通過調(diào)用該API獲取用戶業(yè)務(wù)統(tǒng)計分析數(shù)據(jù)，通過云平臺自身的統(tǒng)計信息顯示系統(tǒng)做業(yè)務(wù)分析展示以及報表下載服務(wù)。

所述報表呈現(xiàn)模塊，還可以用于在所述業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)顯示用戶業(yè)務(wù)系統(tǒng)出現(xiàn)安全或性能問題時，向用戶發(fā)送通知信息。

本發(fā)明通過DFI流以及安全分析模板和性能分析模板進(jìn)行匹配分析，能夠快速定位出云平臺中網(wǎng)絡(luò)安全問題所在：哪個用戶的哪個業(yè)務(wù)系統(tǒng)下的哪個虛擬機(jī)。并綜合多方面分析給出客戶可參考的解決方案，便于客戶快速處理問題，保證業(yè)務(wù)連續(xù)穩(wěn)定性。

參看圖2，本實施例公開一種基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析方法，包括：

S1、所述DFI流采集器集群收集云平臺的業(yè)務(wù)流量，對所述業(yè)務(wù)流量進(jìn)行處理，得到標(biāo)準(zhǔn)DFI流數(shù)據(jù)，并將所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)保存到所述數(shù)據(jù)存儲模塊；

S2、所述業(yè)務(wù)統(tǒng)計分析模塊從所述數(shù)據(jù)存儲模塊讀取標(biāo)準(zhǔn)DFI流數(shù)據(jù)，對云平臺不同用戶的不同業(yè)務(wù)進(jìn)行統(tǒng)計，得到不同時間粒度的各業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)，形成業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)，并且將所述統(tǒng)計數(shù)據(jù)分別與預(yù)設(shè)的安全分析模板和性能分析模板進(jìn)行匹配分析，得到不同用戶不同業(yè)務(wù)的業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)，并將所述業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)、業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)保存到所述數(shù)據(jù)存儲模塊；

S3、所述報表呈現(xiàn)模塊從所述數(shù)據(jù)存儲模塊讀取報表數(shù)據(jù)，并對所述報表數(shù)據(jù)進(jìn)行呈現(xiàn)。

如圖3所述為本發(fā)明基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析方法另一實施例的流程示意圖，參見圖3，本發(fā)明基于DFI的云平臺用戶業(yè)務(wù)統(tǒng)計分析方法的過程如下：

(1)利用DFI流采集器集群收集云平臺的業(yè)務(wù)流量，對所述業(yè)務(wù)流量進(jìn)行聚合，得到基礎(chǔ)DFI流數(shù)據(jù)，并將其存儲在DFI流和報表數(shù)據(jù)庫中。

(2)將所述基礎(chǔ)DFI流數(shù)據(jù)與調(diào)用API從云平臺控制器用戶信息和業(yè)務(wù)信息數(shù)據(jù)庫中獲取的用戶業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行聚合，得到標(biāo)準(zhǔn)DFI流數(shù)據(jù)。

(3)利用業(yè)務(wù)統(tǒng)計分析模塊對所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)進(jìn)行用戶業(yè)務(wù)統(tǒng)計，得到不同時間粒度的各業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)，形成業(yè)務(wù)統(tǒng)計報表數(shù)據(jù)。同時，基于模版數(shù)據(jù)庫中存儲的安全分析模板和性能分析模板，利用業(yè)務(wù)統(tǒng)計分析模塊對所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)進(jìn)行用戶業(yè)務(wù)分析，得到不同用戶不同業(yè)務(wù)的業(yè)務(wù)安全和性能狀態(tài)數(shù)據(jù)，形成業(yè)務(wù)安全和性能狀態(tài)報表數(shù)據(jù)。具體對所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)進(jìn)行用戶業(yè)務(wù)分析的過程為：

(30)對所述標(biāo)準(zhǔn)DFI流數(shù)據(jù)進(jìn)行用戶業(yè)務(wù)統(tǒng)計，得到不同時間粒度的各業(yè)務(wù)流量統(tǒng)計數(shù)據(jù)；

(31)對所述統(tǒng)計數(shù)據(jù)進(jìn)行關(guān)鍵信息提取，并將提取到的關(guān)鍵信息組成某一種特定的格式，而該格式與所使用的模板的格式一致；

(31)將所述特定格式的數(shù)據(jù)分別與安全分析模板和性能分析模板進(jìn)行匹配分析，得到不同用戶不同業(yè)務(wù)的業(yè)務(wù)安全和性能狀態(tài)數(shù)據(jù)。

在具體應(yīng)用中，安全分析模板對應(yīng)的關(guān)鍵信息包括協(xié)議類型、IP、mac信息、虛擬ID、虛擬接口等，性能分析模板對應(yīng)的關(guān)鍵信息包括IP、負(fù)載、網(wǎng)絡(luò)延時、虛擬ID、虛擬接口等。

將所述特定格式的數(shù)據(jù)與模板進(jìn)行匹配分析時，若特定格式的數(shù)據(jù)與模板匹配上，則得到異常業(yè)務(wù)分析數(shù)據(jù)，否則，則得到正常業(yè)務(wù)分析數(shù)據(jù)。

需要說明的是，前述的業(yè)務(wù)統(tǒng)計分析模塊的用戶業(yè)務(wù)統(tǒng)計與分析是兩個獨立的過程，當(dāng)然，為了提高運算效率，用戶業(yè)務(wù)分析過程也可以基于用戶業(yè)務(wù)統(tǒng)計的結(jié)果進(jìn)行。

(4)將步驟(3)得到的報表數(shù)據(jù)存儲在DFI流和報表數(shù)據(jù)庫中，最后報表呈現(xiàn)模塊可以從DFI流和報表數(shù)據(jù)庫中讀取報表數(shù)據(jù)進(jìn)行呈現(xiàn)。

本發(fā)明具有如下優(yōu)點：不需要在云平臺內(nèi)部主機(jī)增加流量探針，只需要在機(jī)架ToR上旁掛DFI流采集器；能夠針對不同的云平臺系統(tǒng)做用戶業(yè)務(wù)系統(tǒng)分析，并提供標(biāo)準(zhǔn)的API可供云平臺控制器調(diào)用獲取用戶業(yè)務(wù)分析報表數(shù)據(jù)。

下面以2個具體的實施例對本發(fā)明的實施過程進(jìn)行說明。

實例1

云平臺租戶虛擬機(jī)被進(jìn)行密碼暴力破解實例:

云平臺環(huán)境復(fù)雜，各種租戶各種業(yè)務(wù)的網(wǎng)絡(luò)流量交織在一起，密碼暴力破解特征在于流量小，持續(xù)性，固定端口，半開鏈接等。本實例能夠?qū)崿F(xiàn)快速檢測定位。

租戶云平臺業(yè)務(wù)系統(tǒng)中某一臺linux虛擬機(jī)的ssh端口對公網(wǎng)開放，給黑客進(jìn)行密碼破解留下可乘之機(jī)，黑客可以采用固定或者非固定ip對租戶linux虛擬機(jī)進(jìn)行ssh登錄嘗試，該linux虛擬機(jī)的網(wǎng)絡(luò)流量中包含大量ssh端口的數(shù)據(jù)包。則本發(fā)明的實現(xiàn)過程如下：

1).通過DFI流采集器獲取到linux虛擬機(jī)的ssh服務(wù)連接流信息；

2).DFI流采集器獲取到的流信息經(jīng)過業(yè)務(wù)統(tǒng)計分析模塊進(jìn)行密碼暴力破解模板匹配，定位出ssh登錄密碼暴力破解問題；

3).報表呈現(xiàn)系統(tǒng)會在報表頁面顯著的顯示問題虛擬機(jī)以及問題分析結(jié)果，并且能夠發(fā)送郵件通知租戶，進(jìn)行及時處理；

實例2

虛擬機(jī)服務(wù)性能檢測實例:

租戶業(yè)務(wù)負(fù)載隨時都在變動，具有一定的不可預(yù)期性，本實例能夠快速定位租戶業(yè)務(wù)系統(tǒng)的瓶頸所在，使租戶能夠及時的擴(kuò)充資源，以應(yīng)對業(yè)務(wù)負(fù)載的變動，具體實現(xiàn)方法如下：

1).DFI流采集器負(fù)責(zé)底層業(yè)務(wù)系統(tǒng)流量采集匯聚，得到不同業(yè)務(wù)應(yīng)用的實時網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接情況；

2).DFI采集器將收集到的流信息發(fā)送給業(yè)務(wù)統(tǒng)計分析模塊，從多個維度進(jìn)行信息分析：網(wǎng)絡(luò)帶寬使用率，包速率，端口，協(xié)議，連接狀態(tài)。并與系統(tǒng)內(nèi)置性能分析模板進(jìn)行匹配，得到精確的分析數(shù)據(jù)；

3).分析數(shù)據(jù)通過界面呈現(xiàn)系統(tǒng)呈現(xiàn)給租戶，并在業(yè)務(wù)應(yīng)用性能出現(xiàn)瓶頸時，發(fā)送告警郵件，租戶能夠及時的調(diào)整業(yè)務(wù)系統(tǒng)資源，保證業(yè)務(wù)的連續(xù)和穩(wěn)定。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)、或計算機(jī)程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機(jī)可用程序代碼的計算機(jī)可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實施的計算機(jī)程序產(chǎn)品的形式。

本申請是參照根據(jù)本申請實施例的方法、設(shè)備(系統(tǒng))、和計算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機(jī)程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機(jī)程序指令到通用計算機(jī)、專用計算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機(jī)器，使得通過計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機(jī)程序指令也可存儲在能引導(dǎo)計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機(jī)可讀存儲器中，使得存儲在該計算機(jī)可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機(jī)程序指令也可裝載到計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機(jī)實現(xiàn)的處理，從而在計算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。術(shù)語“上”、“下”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系，僅是為了便于描述本發(fā)明和簡化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作，因此不能理解為對本發(fā)明的限制。除非另有明確的規(guī)定和限定，術(shù)語“安裝”、“相連”、“連接”應(yīng)做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機(jī)械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連，可以是兩個元件內(nèi)部的連通。對于本領(lǐng)域的普通技術(shù)人員而言，可以根據(jù)具體情況理解上述術(shù)語在本發(fā)明中的具體含義。

本發(fā)明的說明書中，說明了大量具體細(xì)節(jié)。然而能夠理解的是，本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實踐。在一些實例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。類似地，應(yīng)當(dāng)理解，為了精簡本發(fā)明公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋呈反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式，其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互組合。本發(fā)明并不局限于任何單一的方面，也不局限于任何單一的實施例，也不局限于這些方面和/或?qū)嵤├娜我饨M合和/或置換。而且，可以單獨使用本發(fā)明的每個方面和/或?qū)嵤├蛘吲c一個或更多其他方面和/或其實施例結(jié)合使用。

最后應(yīng)說明的是：以上各實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述各實施例對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改，或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求和說明書的范圍當(dāng)中。