一种数据安全监测方法、装置、系统及存储介质与流程

1.本发明属于数据监测领域，尤其涉及一种数据安全监测方法、装置、系统及存储介质。


背景技术：

2.随流检测技术ifit(in-situflowinformationtelemetry)可应用于mpls、sr-mpls、ipv6等多种制式网络，其基于数据报文即可检测出网络的实时丢包率和时延等性能参数。
3.部署随流检测系统时，需要配置转发器(例如：路由器)和分析器。转发器主要用于针对业务流进行数据采集与上报，包括时间戳和报文统计；分析器则用于对转发器采集上报的检测信息计算并呈现。
4.但是现有的随流检测系统中，分析器并未对转发器针对业务流采集的数据量进行校验，这导致了当有其他客户非法入侵上述随流检测系统，并模拟该随流检测系统中的转发器向分析器发送数据时，分析器并不能确定该数据是否安全以及准确，这会造成分析器通过采集数据测量得到的ip网络的真实丢包率、时延等性能指标不够准确。


技术实现要素：

5.本发明实施例的目的在于提供一种数据安全监测方法、装置、系统及存储介质，旨在解决分析器无法对转发器发送的采集数据进行校验，导致分析器测量的ip网络的真实丢包率、时延等性能指标不够准确的问题。
6.本发明是这样实现的，本发明提供了一种数据安全监测方法，应用于随流检测系统，所述随流检测系统包括头节点、分析器和若干个其他节点，所述头节点为业务数据接入所述随流检测系统的首个节点，所述方法包括：
7.所述头节点对接入的业务数据封装随流检测指示信息，将并封装了所述随流检测指示信息的业务数据发送给其他节点，所述随流检测指示信息用于指示其他节点对所述业务数据进行检测；
8.所述其他节点接收到所述业务数据后，向所述分析器发送基于该业务数据生成的随流检测数据，所述随流检测数据至少包括所述节点的ip地址，业务数据的id，以及安全确认信息；
9.所述分析器用于获取所述各节点发送的随流检测数据，通过所述安全确认信息判断所述随流检测数据是否安全。
10.可选的，所述安全确认信息是由其他节点添加至所述随流检测数据的。
11.可选的，所述向所述分析器发送基于该业务数据生成的随流检测数据包括：
12.依据icmp标准协议进行扩展，将所述随流检测数据添加到icmp报文数据部分，所述其他节点通过向所述分析器发送icmp消息，将所述添加了随流检测数据的icmp报文发送给所述分析器。
13.可选的，所述通过所述安全确认信息判断所述随流检测数据是否安全包括：
14.所述分析器检测所述随流检测数据是否包含安全确认信息，当确定包含时，则判断所述随流检测数据安全；
15.当确定不包含时，则判断所述随流检测数据不安全，为无效数据。
16.可选的，所述安全确认信息为各个节点通过密钥进行加密的信息；所述通过所述安全确认信息判断所述随流检测数据是否安全包括：
17.所述分析器通过对应的密钥对所述安全确认信息进行解密，获得解密后的安全确认信息，判断所述解密后的安全确认信息是否为预设的信息，当判断为是时，则确定所述随流检测数据安全。
18.本发明的另一目的在于提供一种数据安全监测装置，其特征在于，应用于随流检测系统，所述随流检测系统包括头节点、分析器和若干个其他节点，所述头节点为业务数据接入所述随流检测系统的首个节点，所述装置包括：
19.封装单元，用于通过所述头节点对接入的业务数据封装随流检测指示信息，将并封装了所述随流检测指示信息的业务数据发送给其他节点，所述随流检测指示信息用于指示其他节点对所述业务数据进行检测；
20.检测单元，用于通过所述其他节点接收到所述业务数据后，向所述分析器发送基于该业务数据生成的随流检测数据，所述随流检测数据至少包括所述节点的ip地址，业务数据的id，以及安全确认信息；
21.检测单元，用于通过所述分析器用于获取所述各节点发送的随流检测数据，通过所述安全确认信息判断所述随流检测数据是否安全。
22.可选的，所述安全确认信息是由其他节点添加至所述随流检测数据的。
23.可选的，所述检测单元向所述分析器发送基于该业务数据生成的随流检测数据包括：
24.依据icmp标准协议进行扩展，将所述随流检测数据添加到icmp报文数据部分，所述其他节点通过向所述分析器发送icmp消息，将所述添加了随流检测数据的icmp报文发送给所述分析器。
25.本发明的另一目的在于提供一种数据安全监测系统，包括：终端设备、传输设备以及服务器设备；其中，所述终端设备通过传输设备连接服务器设备；
26.所述终端设备用于发送数据；
27.所述传输设备用于传输数据；
28.所述服务器设备用于执行上述任一项所述的数据安全监测方法。
29.本发明的另一目的在于提供一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时上述中任一项所述的数据安全监测方法。
30.由以上描述可以看出，本技术实施例中，其他节点根据该业务数据采集随流检测数据之后，在该随流检测数据中增加了安全确认信息，用于分析器对接收到的随流检测数据进行安全性校验。这解决了现有的随流检测系统中分析器无法对转发器发送的采集数据进行校验，导致分析器通过接受到的随流检测数据测量的ip网络的真实丢包率、时延等性能指标可能存在不够准确的问题。
附图说明
31.附图示出了本公开的示例性实施方式，并与其说明一起用于解释本公开的原理，其中包括了这些附图以提供对本公开的进一步理解，并且附图包括在本说明书中并构成本说明书的一部分。
32.图1为本技术中随流检测系统的框架图；
33.图2为本技术实施例的方法流程图；
34.图3为本技术未封装安全确认信息的随流检测数据的格式图；
35.图4为本技术封装安全确认信息的随流检测数据的格式图；
36.图5为本技术实施例的装置结构图。
具体实施方式
37.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明，
38.需要说明的是，在不冲突的情况下，本公开中的实施方式及实施方式中的特征可以相互组合。下面将参考附图并结合实施方式来详细说明本公开。
39.以下结合具体实施例对本发明的具体实现进行详细描述。
40.首先，简单介绍一下随流检测原理，如图1所示，具体：
41.1、随流检测系统中的首个节点接受到业务数据时，对该业务数据的数据报文中封装随流检测指示信息，该随流检测指示信息包含多个用于指示其他节点对该数据流进行采集，并将采集后的数据发送给分析器的字段，例如业务数据的id，使得其他节点可以识别不同的业务数据；时延检测标记，每个周期首包置1用于表示时延检测报文等等，上述字段都是用于实现业务数据的随流检测，和本发明中对随流检测数据进行校验的关系并不大，因此，在本发明中不进行详细说明。
42.封装完成后，首节点将该业务数据发送给其他节点。
43.2、其他节点接收到封装了随流检测指示信息的业务数据时，通过随流检测指示信息中的业务数据的id确定需要采集的业务数据，对其进行采集后发送给分析器。
44.3、分析器根据接收到的检测数据，测量业务数据的ip网络真实丢包率、时延等性能指标。
45.在上述方案中，分析器并未对转发器针对业务流采集的数据量进行校验，这导致了当有其他客户非法入侵上述随流检测系统，并模拟该随流检测系统中的转发器向分析器发送数据时，分析器并不能确定该数据是否安全以及准确，而从将该数据也统计为正常数据进行计算，使得分析器测量的ip网络真实丢包率、时延等性能指标不够准确。
46.针对上述问题，本发明实施例提供一种数据安全监测方法、装置、系统及存储介质，用于解决随流检测系统中分析器无法对转发器发送的采集数据进行校验，导致分析器计算的ip网络真实丢包率、时延等性能指标可能存在不够准确的问题。
47.如图2所示，为本发明实施例提供的数据安全监测方法的方法流程图，应用于随流检测系统，所述随流检测系统包括头节点、分析器和若干个其他节点，该方法包括：
48.步骤s201，所述头节点对接入的业务数据封装随流检测指示信息，将并封装了所
述随流检测指示信息的业务数据发送给其他节点。
49.在本实施例中，该随流检测指示信息用于指示其他节点对所述业务数据进行检测。
50.步骤s202，所述其他节点接收到所述业务数据后，向所述分析器发送基于该业务数据生成的随流检测数据。
51.在本实施例中，上述随流检测数据至少包括所述节点的ip地址，业务数据的id，以及安全确认信息。
52.如图3所示，展示的是未封装安全确认信息的随流检测数据的具体格式，其中，dataid为业务数据的id，其他节点从业务数据中携带的随流检测指示信息中获取。ttl为业务数据流的ttl值，用于标识上述分析器接收到各节点返回的随流检测数据的先后关系，以及其他一些用于确定该业务数据的ip网络真实丢包率、时延等性能指标的字段。在这些字段下方还预留有空闲字段，可以对该随流检测数据进行扩展，将安全确认信息携带在该空闲字段中。
53.如图4所示，展示的是携带了安全确认信息的随流检测数据。
54.作为本发明的一种优选实施例，所述安全确认信息是由其他节点添加至所述随流检测数据的。
55.在本实施例中，可以在其他节点预设添加指令，当其他节点收到包含随流检测指示信息的业务数据时，通过该添加指令在基于上述业务数据生成的随流检测数据中添加对应的安全确认信息。
56.作为本发明的一种优选实施例，所述向所述分析器发送基于该业务数据生成的随流检测数据包括：
57.依据icmp标准协议进行扩展，将所述随流检测数据添加到icmp报文数据部分，所述其他节点通过向所述分析器发送icmp消息，将所述添加了随流检测数据的icmp报文发送给所述分析器。
58.在本实施例中，可以以扩展icmp协议的方式将随流检测数据作为icmp消息发送给分析器。
59.步骤s203，所述分析器获取所述各节点发送的随流检测数据，通过所述安全确认信息判断所述随流检测数据是否安全。
60.作为本发明的一种优选实施例，所述通过所述安全确认信息判断所述随流检测数据是否安全包括：
61.所述分析器检测所述随流检测数据是否包含安全确认信息，当确定包含时，则判断所述随流检测数据安全；
62.当确定不包含时，则判断所述随流检测数据不安全，为无效数据。
63.在本实施例中，安全确认信息可以是一个标识性的字段，仅仅是用于判断随流检测数据是否包含该字段，当包含时，确定该随流检测数据是安全有效的，不包含时则确定该随流检测数据是不安全无效的，并不需要对安全确认信息的内容进行校验。
64.进一步的，分析器确定随流检测数据包含安全确认信息之后，还可以对安全确认信息的内容进行校验。例如，安全确认信息可以是一个分析器与各个节点预先设定的一个固定字符，分析器获取到随流检测数据后，通过解析该随流检测数据，获取到安全确认信息
中的固定字符之后，跟本地预设的字符进行对比，当两者相同则判定该随流检测数据是安全有效的，否则判定是不安全无效的。需要知道的是，具体通过安全确认信息判定随流检测数据是否安全有效的方法还有很多，本技术并不对此进行限制。
65.作为本发明的一种优选实施例，所述安全确认信息为各个节点通过密钥进行加密的信息；
66.所述通过所述安全确认信息判断所述随流检测数据是否安全包括：
67.所述分析器通过对应的密钥对所述安全确认信息进行解密，获得解密后的安全确认信息，判断所述解密后的安全确认信息是否为预设的信息，当判断为是时，则确定所述随流检测数据安全。
68.在本实施例中，各个节点可以根据预设的密钥生成算法和业务数据的id生成对应的密钥，并用该密钥对安全确认信息进行加密，得到加密后的安全确认信息，并将其添加到随流检测数据中。例如，预设的密钥生成算法可以是哈希算法，其他节点利用哈希算法对从随流检测指示信息中获取的业务数据id进行哈希运算，得到业务数据id对应的密钥。当然，也可以采用其它的加密算法，如md(messagedigestalgorithm)5、sha(securehashalgorithm，安全哈算法)-1作为密钥生成算法，以对业务数据id进行加密得到密钥，本技术对此不进行限定。
69.分析器接收到随流检测数据之后，判断该随流检测数据是否包含安全确认信息，当确定包含之后，依据预设的密钥生成算法和业务数据id生成对应的密钥，采用密钥对该安全确认信息进行解密。若解密后的安全确认信息为预设的信息，则判定上述随流检测数据安全有效，通过该随流检测数据确定ip网络的真实丢包率、时延等性能指标。
70.若该随流检测数据中不包含安全确认信息；或，该随流检测数据中包含安全确认信息，但是通过对应的密钥无法对该安全确认信息进行解密；或，可以通过对应的密钥对该安全确认信息进行解密，但是解密后的安全确认信息与预设的不同时，则可以判定该随流检测数据不安全无效，通过各个随流检测数据确定ip网络的真实丢包率、时延等性能指标时，不使用该无效不安全的随流检测数据。
71.至此，完成图2所示的流程。
72.在本发明实施例中，其他节点根据该业务数据采集随流检测数据之后，在该随流检测数据中增加了安全确认信息，用于分析器对接收到的随流检测数据进行安全性校验。这解决了现有的随流检测系统中分析器无法对转发器发送的采集数据进行校验，导致分析器通过接受到的随流检测数据测量的ip网络的真实丢包率、时延等性能指标可能存在不够准确的问题。
73.如图5所示，本发明实施例还提供了一种数据安全监测装置，应用于随流检测系统，所述随流检测系统包括头节点、分析器和若干个其他节点，所述头节点为业务数据接入所述随流检测系统的首个节点，所述装置包括：
74.封装单元501，用于通过所述头节点对接入的业务数据封装随流检测指示信息，将并封装了所述随流检测指示信息的业务数据发送给其他节点，所述随流检测指示信息用于指示其他节点对所述业务数据进行检测；
75.检测单元502，用于通过所述其他节点接收到所述业务数据后，向所述分析器发送基于该业务数据生成的随流检测数据，所述随流检测数据至少包括所述节点的ip地址，业
务数据的id，以及安全确认信息；
76.确认单元503，用于通过所述分析器获取所述各节点发送的随流检测数据，通过所述安全确认信息判断所述随流检测数据是否安全。
77.作为本发明的一种优选实施例，所述安全确认信息是由其他节点添加至所述随流检测数据的。
78.作为本发明的一种优选实施例，所述检测单元向所述分析器发送基于该业务数据生成的随流检测数据包括：
79.依据icmp标准协议进行扩展，将所述随流检测数据添加到icmp报文数据部分，所述其他节点通过向所述分析器发送icmp消息，将所述添加了随流检测数据的icmp报文发送给所述分析器。
80.上述示例的数据安全监测装置的实施方式中，各程序模块的逻辑划分仅是举例说明，实际应用中可以根据需要，例如出于相应硬件的配置要求或者软件的实现的便利考虑，将上述功能分配由不同的程序模块完成，即将所述数据安全监测装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分功能。
81.基于上述方法及装置，本技术还提供了一种数据安全监测系统，该系统包括：终端设备、传输设备以及服务器设备；其中，所述终端设备通过传输设备连接服务器设备；
82.所述终端设备用于发送数据；
83.所述传输设备用于传输数据；
84.所述服务器设备用于执行上述任一项所述的数据安全监测方法。
85.本发明上述实施例中提供了一种数据安全监测方法，并基于该数据安全监测方法提供了一种数据安全监测装置、系统及存储介质，通过上述方法、装置、系统及存储介质，本发明在随流检测系统的其他节点根据该业务数据采集随流检测数据之后，在该随流检测数据中增加了安全确认信息，用于分析器对接收到的随流检测数据进行安全性校验。这解决了现有的随流检测系统中分析器无法对转发器发送的采集数据进行校验，从而导致分析器通过接受到的随流检测数据测量的业务数据的ip网络真实丢包率、时延等性能指标可能存在不够准确的问题。
86.本实施例还公开了一种计算机设备，计算机设备包含处理器和存储器，所述存储器中存储由至少一条指令，所述至少一条指令由所述处理器加载并执行以实现上述任一所述的数据安全监测方法方法。
87.结合上述实施例中的数据安全监测方法，本技术实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种数据安全监测方法方法。
88.在本说明书的描述中，参考术语“一个实施例/方式”、“一些实施例/方式”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例/方式或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例/方式或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例/方式或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例/方式或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例/方式或示例以及不同实施例/方式或示例的特征进行结合和组合。
89.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本技术的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
90.本领域的技术人员应当理解，上述实施方式仅仅是为了清楚地说明本公开，而并非是对本公开的分析范围进行限定。对于所属领域的技术人员而言，在上述公开的基础上还可以做出其它变化或变型，并且这些变化或变型仍处于本公开的分析范围内。

技术特征：
1.一种数据安全监测方法，其特征在于，应用于随流检测系统，所述随流检测系统包括头节点、分析器和若干个其他节点，所述头节点为业务数据接入所述随流检测系统的首个节点，所述方法包括：所述头节点对接入的业务数据封装随流检测指示信息，将并封装了所述随流检测指示信息的业务数据发送给其他节点，所述随流检测指示信息用于指示其他节点对所述业务数据进行检测；所述其他节点接收到所述业务数据后，向所述分析器发送基于该业务数据生成的随流检测数据，所述随流检测数据至少包括所述节点的ip地址，业务数据的id，以及安全确认信息；所述分析器获取所述各节点发送的随流检测数据，通过所述安全确认信息判断所述随流检测数据是否安全。2.根据权利要求1所述的方法，其特征在于，所述安全确认信息是由其他节点添加至所述随流检测数据的。3.根据权利要求1所述的方法，其特征在于，所述向所述分析器发送基于该业务数据生成的随流检测数据包括：依据icmp标准协议进行扩展，将所述随流检测数据添加到icmp报文数据部分，所述其他节点通过向所述分析器发送icmp消息，将所述添加了随流检测数据的icmp报文发送给所述分析器。4.根据权利要求1所述的方法，其特征在于，所述通过所述安全确认信息判断所述随流检测数据是否安全包括：所述分析器检测所述随流检测数据是否包含安全确认信息，当确定包含时，则判断所述随流检测数据安全；当确定不包含时，则判断所述随流检测数据不安全，为无效数据。5.根据权利要求1所述的方法，其特征在于，所述安全确认信息为各个节点通过密钥进行加密的信息；所述通过所述安全确认信息判断所述随流检测数据是否安全包括：所述分析器通过对应的密钥对所述安全确认信息进行解密，获得解密后的安全确认信息，判断所述解密后的安全确认信息是否为预设的信息，当判断为是时，则确定所述随流检测数据安全。6.一种数据安全监测装置，其特征在于，应用于随流检测系统，所述随流检测系统包括头节点、分析器和若干个其他节点，所述头节点为业务数据接入所述随流检测系统的首个节点，所述装置包括：封装单元，用于通过所述头节点对接入的业务数据封装随流检测指示信息，将并封装了所述随流检测指示信息的业务数据发送给其他节点，所述随流检测指示信息用于指示其他节点对所述业务数据进行检测；检测单元，用于通过所述其他节点接收到所述业务数据后，向所述分析器发送基于该业务数据生成的随流检测数据，所述随流检测数据至少包括所述节点的ip地址，业务数据的id，以及安全确认信息；确认单元，用于通过所述分析器获取所述各节点发送的随流检测数据，通过所述安全确认信息判断所述随流检测数据是否安全。
7.根据权利要求6所述的装置，其特征在于，所述安全确认信息是由其他节点添加至所述随流检测数据的。8.根据权利要求6所述的装置，其特征在于，所述检测单元向所述分析器发送基于该业务数据生成的随流检测数据包括：依据icmp标准协议进行扩展，将所述随流检测数据添加到icmp报文数据部分，所述其他节点通过向所述分析器发送icmp消息，将所述添加了随流检测数据的icmp报文发送给所述分析器。9.一种数据安全监测系统，其特征在于，包括：终端设备、传输设备以及服务器设备；其中，所述终端设备通过传输设备连接服务器设备；所述终端设备用于发送数据；所述传输设备用于传输数据；所述服务器设备用于执行如权利要求1至5中任一项所述的数据安全监测方法。10.一种存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1至5中任一项所述的数据安全监测方法。

技术总结
本发明适用于数据监测领域，提供了一种数据安全监测方法、装置、系统及存储介质，在本发明实施例中，随流检测系统中的其他节点根据该业务数据采集随流检测数据之后，在该随流检测数据中增加了安全确认信息，用于分析器对接收到的随流检测数据进行安全性校验。这解决了现有的随流检测系统中分析器无法对转发器发送的采集数据进行校验，导致分析器通过接受到的随流检测数据测量的I P网络的真实丢包率、时延等性能指标可能存在不够准确的问题。延等性能指标可能存在不够准确的问题。延等性能指标可能存在不够准确的问题。


技术研发人员：周茜
受保护的技术使用者：杭州渡安科技有限公司
技术研发日：2023.07.31
技术公布日：2023/9/20