一种面向工控云平台的业务流量采集方法与流程

1.本发明涉及数字信息的传输技术领域，具体涉及一种面向工控云平台的业务流量采集方法。


背景技术：

2.工控云平台是指将工业控制系统(industrial control system，简称ics)部署在云计算环境中的解决方案。工控系统用于监控和控制各种工业过程，例如电力系统、水处理厂、制造工厂等。随着云计算和物联网的发展，将工控系统迁移到云平台上已成为一种趋势，这样可以实现集中管理、远程监控、数据分析和资源共享等优势。然而，将工控系统连接到云平台也带来了一系列的安全风险和挑战。工控系统的安全性对于保护生产过程和关键基础设施的正常运行至关重要。因此，为了确保工控云平台的安全性，流量采集和审计成为一项重要的安全措施。
3.目前工业云平台业务流量采集方案在实践中可能存在一些不足之处，如流量审计探针部署对业务资源的竞争；工控系统通常使用特定的网络设备和协议，而这些设备可能不支持流量采集或与流量审计解决方案不兼容。这就需要额外的工作来确保网络设备与审计系统之间的兼容性，以实现流量的准确采集和监测等。
4.现有技术的云平台流量采集方案都有其独特的优势和劣势：
5.1.span/rspan/erspan(switched port analyzer/remote span/encapsulated remote span)
6.优势：
7.直接在网络交换机上进行流量镜像，不需要额外的服务器或代理；可以捕获所有通过交换机的流量，包括内部和外部流量；提供实时捕获和分析能力。
8.劣势：
9.只能捕获经过交换机的流量，无法直接捕获主机之间的流量；依赖网络交换机的功能和配置，不同厂商的交换机支持程度和配置方式可能有差异；需要对网络设备进行配置和管理。
10.2.网络流量镜像代理
11.优势：
12.提供了灵活的部署方式，可以将流量镜像代理部署在云环境中的虚拟机或容器中；可以捕获云环境内的流量，并通过网络将流量转发到指定的收集节点；可以进行流量过滤、转码和聚合等处理操作。
13.劣势：
14.需要额外的服务器资源来承载流量镜像代理，增加了系统的复杂性和成本；需要在云环境中进行配置和管理流量镜像代理；可能会受到网络延迟和带宽限制的影响。
15.3.网络流量嗅探器(network tap)
16.优势：
17.直接连接到网络链路中，可以捕获所有通过链路的流量，包括入站和出站流量；无需对网络设备进行配置和管理；提供高可靠性和实时性的流量捕获。
18.劣势：
19.需要物理访问网络链路，可能需要额外的硬件设备；部署和维护相对复杂，需要进行物理连接和调整；对网络链路的干扰较大。
20.4.rpcapd
21.优势：
22.rpcapd允许用户通过网络远程访问并捕获位于远程主机上的流量；可以将流量捕获和分析功能集中在一台或少数几台主机上。这样可以简化配置和管理，并减少对多个主机进行单独配置的工作量；提供了跨平台的支持，可以在不同操作系统上运行；支持安全的远程访问和数据传输。它提供了加密和身份验证机制，可以确保在网络传输过程中的数据安全性和隐私保护。
23.劣势：
24.由于rpcapd是通过网络进行远程访问和数据传输的，因此可能会受到网络延迟的影响；远程流量捕获和分析需要在网络上传输大量的数据。这可能会消耗较大的带宽资源；使用rpcapd进行远程流量采集需要建立可靠的网络连接。如果网络连接不稳定或中断，可能会导致流量采集中断或数据丢失。
25.综上所述，结合目前可行的工控云平台流量采集方案，其劣势可以总结为资源竞争、高效业务流量采集，业务流量转发效率和可靠性以及复杂的网络拓扑结构四个方面。
26.即常见存在如下问题：
27.大规模流量高性能要求：工业云平台涉及到大量的数据流量，特别是对于大型工业系统来说，流量可能非常庞大。传统的流量采集解决方案可能无法满足工控云平台中高速数据传输和实时分析的要求，导致性能下降或延迟增加。有效地处理和分析这些大规模的流量需要强大的计算和存储资源，以及高效的数据处理算法。
28.高实时性要求：工业控制系统对实时性有很高的要求，对于流量采集也不例外。审计系统需要能够及时检测和响应异常流量，并能够在短时间内做出准确的判断和反应。这对于系统的可扩展性和性能提出了挑战。
29.复杂的网络拓扑结构：工业云平台通常由分布在不同地理位置的工控设备和云服务器组成，往往需要配置和管理多个审计节点，涉及到不同设备和虚拟化环境之间的集成，导致部署变得复杂和繁琐，这样的复杂网络拓扑结构增加了流量采集的复杂性，需要确保在跨网络边界和多个设备之间进行准确的流量监测和分析。
30.因此，需要一种可解决工控云平台流量采集中资源竞争、采集和转发流量效率不高、网络拓扑复杂的方法。


技术实现要素：

31.本发明是为了解决工控云平台流量资源竞争、效率不高、网络拓扑复杂的问题，提供一种面向工控云平台的业务流量采集方法，可以远程采集工控云平台的业务流量，审计探针和业务不在同一个虚拟设备上部署，避免了资源竞争对业务性能的影响并且可以实现同时对多个虚拟设备上的业务程序进行流量采集。通过流量采集程序采集业务网口流量，
并采用多线程自定义可靠udp-rudp来传输原始报文，提高流量的吞吐率，整体采集性能较传统方案在流量吞吐率、资源竞争、实时性和网络拓扑结构都有较大提升。
32.本发明提供一种面向工控云平台的业务流量采集方法，包括以下步骤：
33.s1、将业务程序部署在工控云平台的第一虚拟设备上，在第一虚拟设备上部署流量采集服务端程序，业务程序通过第一虚拟网口进行交互，流量采集服务端通过第二虚拟网口交互，流量采集服务端绑定并监听第一虚拟网口上的流量，流量采集服务端程序进入被动模式等待远程客户端的连接；
34.s2、将流量审计探针部署在工控云平台的第二虚拟设备上，在第二虚拟设备上部署流量采集客户端程序，流量采集客户端程序通过第三虚拟网口与流量采集服务端程序连接、监听并接收第一虚拟设备上的采集流量；
35.s3、当有流量进入第一虚拟网口时，流量采集服务端程序启动，流量采集服务端程序进行流量采集、过滤后镜像业务程序流量，得到业务流量的镜像原始报文，镜像原始报文使用udp作为底层传输协议；
36.s4、流量采集服务端程序将镜像原始报文添加rudp首部封装成rudp数据包发送给流量采集客户端程序；
37.s5、流量采集客户端程序通过第三虚拟网口接收rudp数据包后剥离rudp首部信息对接收到的数据包进行确认，并判断是否需要进行重传或者重组，如果不需要进行重传或者重组时，流量采集客户端程序解析出原始报文发送给流量审计探针；
38.s6、流量审计探针进行流量实时审计、分析结果后上报，面向工控云平台的业务流量采集方法完成。
39.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，步骤s1中，在第一虚拟设备上配置dpdk环境，流量采集服务端程序通过dpdk绑定并监听第一虚拟网口上的流量。
40.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，步骤s2中，流量采集客户端程序使用第一虚拟设备的ip、端口和虚拟网口pci与流量采集服务端程序进行连接。
41.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，步骤s3中，过滤的策略为：根据数据包的源ip地址、目的ip地址、源端口号、目的端口号和传输协议类型进行流量过滤。
42.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，步骤s4中，在udp首部前加上rudp首部以添加数据包排序机制、确认机制和超时重传机制对udp进行扩展。
43.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，数据包排序机制为：rudp首部包括同步段序列号，rudp使用同步段序列号对发送的数据包进行排序，每个数据包的同步段序列号均不同；
44.步骤s5中，流量采集客户端程序根据同步段序列号对数据包进行排序以使数据包按正确的顺序传输和重组；
45.确认机制为：rudp首部包括使用接收确认号，步骤s5中，流量采集客户端程序在接收一个数据包后，向流量采集服务端发送一个确认消息，指示已成功接收到数据包；流量采
集服务端程序接收到确认消息后确认数据包已成功到达流量采集客户端；
46.当流量采集服务端未在设定时间内收到确认消息时，则判断数据包丢失，并触发超时重传机制；
47.超时重传机制为：当流量采集服务端判断数据包丢失时重新发送数据包。
48.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，流量采集客户端在发送数据包后设置定时器，定时器进行时间设定。
49.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，rudp首部包括：同步段序列号、接收确认号、重置段确认号、空段确认号、传输连接状态段确认号、首部长度段、校验段、序列号段和应答段。
50.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，rudp首部为96bites，同步段确认号、接收确认号、重置段确认号、空段确认号、传输连接状态段确认号均各为1bite，首部长度段为8bites，校验段为16bites，还包括3bites的0段，序列号段和应答段长度均为32bites。
51.本发明所述的一种面向工控云平台的业务流量采集方法，作为优选方式，步骤s6中，分析结果包括生成日志和话单信息，分析结果上传给态势感知平台。
52.针对目前可行方案的劣势，本项技术方案旨在解决以下的技术问题：
53.1.资源竞争：在目前的工控云平台流量采集方案中，审计探针和业务通常安装在同一台虚拟设备上，导致资源竞争的问题。这可能会影响流量审计的准确性和业务性能。为了解决这个问题，本项技术方案提出了一种远程流量采集的方法，可以将审计功能从业务设备中剥离出来，并且可以实现对审计探针一对多以避免资源竞争并提高系统的整体性能。
54.2.高效采集流量：在远程流量采集中，关键的一步是高效地采集流量以供审计探针分析。目前一些常用的抓包工具如libpcap等均存在效率不高的问题。为了提高采集流量的效率，本项技术方案提出了一种新的流量采集技术，该技术需要绑定业务程序的虚拟网口，并基于dpdk进行更高效的流量采集并且可以根据自定义的过滤策略，如数据包的五元组实现更高效的流量采集，减少资源消耗并提高采集性能。
55.3.远程流量转发效率：在部署业务的虚拟设备上进行流量采集后，如何高效地进行远程流量转发是另一个关键问题。目前可通过rpcapd和vswitch等工具进行远程流量转发，但其部署复杂且稳定性和转发效率有限且可能受到网络延迟、带宽消耗和对网络连接的依赖等劣势的影响。本项技术方案采用的是基于udp的改良远程流量转发方法，通过自定义rudp(reliable-udp)传输优化数据传输协议、利用多线程并行处理等技术手段，能够穿越nat和工控防火墙实现更高效的远程流量转发，降低延迟和时延，并提升整体的审计效率。
56.4.复杂的网络拓扑结构：在工控系统中，网络拓扑通常较为复杂，涉及多个设备和网络层级，导致流量采集部署的困难和复杂性增加。本项技术方案提出了一种分层级的流量审计部署方法，在不同的虚拟设备上部署流量采集服务端和客户端。这种分层级的部署方法能够应对复杂的网络部署情况，避免了虚拟或者物理网络交换机等设备的部署，可以适应不同的网络拓扑和架构，提供了更好的兼容性和灵活性。
57.通过这些创新，本项技术方案旨在提供一种高效的工控云平台流量采集方案。该
方案通过远程流量采集、高效镜像和转发技术，解决了资源竞争、流量采集效率、远程转发效率和复杂的网络拓扑结构等问题，提高了工控云平台的流量审计性能和系统整体效率。
58.本项技术方案提出了一种技术方案，旨在改进工控云平台上业务流量采集的效率和可靠性。以下是该技术方案的介绍：
59.首先，在业务程序所在的虚拟设备上部署流量采集程序的服务端。服务端程序使用基于dpdk的方式绑定业务程序交互的虚拟网口，接着服务端程序进入被动模式，等待远程客户端的连接和交互。这种方式可以高效地监听和镜像业务程序网口流量，还可以通过过滤策略(如ip或者端口)对采集到的业务流量进行过滤。这种新的绑定和监听业务网口的能够实现对业务流量的零拷贝和高效镜像，确保审计数据的准确性和完整性。
60.其次，在流量审计探针的虚拟设备上部署流量采集程序的客户端。流量采集程序的客户端通过使用业务程序所在虚拟设备的ip地址、端口和虚拟网口pci(peripheral component interconnect)的列表与流量采集程序服务端进行连接，可实现一对多个业务程序流量进行镜像采集。一旦建立连接，客户端就可以实时通过服务端进行对业务虚拟网口进行监控，当业务虚拟网口有流量进入，服务端将业务采集流量以rudp的协议进行封装转发给客户端。客户端对接收的流量进行分析和剥离出原始业务流量以供流量审计探针进行进一步的分析。
61.通过以上技术方案，本项技术方案旨在提高工控云平台上业务流量审计的效率和可靠性。使用基于dpdk的绑定业务程序虚拟网口的流量采集方式，并且能够基于数据包的五元组对流量进行预过滤，实现高效的业务流量捕获和采集，确保审计数据的准确性。将流量审计探针与业务虚拟设备分离部署，避免了资源竞争问题，提高了整个系统的性能。同时，通过自定义rudp(可靠udp)来进行原始流量的转发，能够穿越nat和工控防火墙，并将业务流量传输到流量审计探针进行准确的分析。这样的方案能够有效提升工控云平台上业务流量审计的效率和可靠性，进一步增强网络安全和运行监控能力。通过该技术方案，工控云平台能够更好地应对资源竞争、提高流量采集效率，并实现远程流量转发，为工业控制系统的安全保护提供了可靠的解决方案。
62.本发明具有以下优点：
63.(1)提高流量采集效率：传统的流量采集技术如vawitch和rpcapd可能存在效率低下的问题，而本项技术方案提出的基于dpdk绑定业务程序虚拟网口的流量采集方式，还可以通过策略对业务流量进行基于数据包五元组的预过滤镜像。该方案可以准确地捕获业务流量，并确保传输的准确性和完整性，显著提高流量采集的效率，提高了审计的可靠性
64.(2)提高镜像流量的转发效率：通过自定义rudp(可靠udp)来进行原始流量的转发，利用其序列号和确认应答、重传机制、流控制以及udp协议的基本特性，减小了网络延迟、带宽消耗和对网络连接的依赖等劣势，并且能够穿越nat和工控防火墙，可以实现更高的数据处理速度和更低的延迟，从而提高业务流量的实时采集效率。
65.(3)避免资源竞争：传统的流量采集方案中，审计探针和业务部署在同一台虚拟设备上，可能导致资源竞争和性能瓶颈。而本项技术方案中的技术方案将流量采集程序的服务端部署在业务虚拟设备上，通过与流量审计探针所在的另一台虚拟设备进行连接和数据转发，避免了资源竞争问题，可实现审计探针一对多个业务流量的采集镜像，提高了系统的整体性能。
66.(4)提高审计准确性和可靠性：通过高效的流量采集和准确的流量审计，该技术方案能够增强工控云平台的网络安全和运维能力。及时监测和分析业务流量，可以发现潜在的安全威胁和异常行为，加强网络防护和入侵检测。同时，对业务流量进行实时审计分析，可以提供有价值的数据和指标，帮助优化网络性能和运维管理。
附图说明
67.图1为一种面向工控云平台的业务流量采集方法原理图；
68.图2为一种面向工控云平台的业务流量采集方法流程图；
69.图3为一种面向工控云平台的业务流量采集方法rudp发送和接收流程图；
70.图4为一种面向工控云平台的业务流量采集方法rudp首部格式示意图。
具体实施方式
71.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
72.实施例1
73.如图1～2所示，一种工控云平台业务流量采集方法，本系统部署分为两个过程：
74.1.业务程序所在虚拟设备的流量采集服务端：
75.在工控云平台的业务程序所在的第一虚拟设备上部署流量采集服务端程序，配置dpdk环境，其绑定业务程序交互的第一虚拟网口。流量采集服务端进入被动模式，等待远程客户端的连接，并通过第二虚拟网口与流量采集客户端进行交互。该部署方式确保服务端程序能够实时监听并通过相应的过滤策略镜像业务程序第一虚拟网口上的流量。
76.2.流量审计探针所在虚拟设备的流量采集客户端：
77.在工控云平台的流量审计探针所在第二虚拟设备上部署流量采集客户端。流量采集客户端通过使用第一虚拟设备的ip、端口和虚拟网口pci与流量采集服务端进行连接。一旦连接建立，流量采集客户端即可实时监听并接收业务虚拟设备网口1上的采集流量。
78.流量采集服务端和客户端采用的是自定义的rudp协议，其相对于tcp的一些优势：
79.1.更低的延迟：rudp是基于udp的可靠传输协议，相对于tcp，它通常具有更低的延迟。这是因为rudp在传输过程中不需要进行tcp的三次握手和四次挥手等复杂的连接管理过程，减少了额外的延迟。
80.2.更高的吞吐量：rudp采用了更为简单的传输机制，避免了tcp的拥塞控制算法和流量控制机制，因此在某些情况下可以实现更高的吞吐量。特别是在对实时性要求较高、数据包丢失对应用影响较小的场景下，rudp可以更好地满足需求。
81.3.简化的连接管理：rudp不需要像tcp那样维护连接状态和序列号等信息，因此在连接管理方面更为简化。
82.4.穿越nat和工控防火墙：在工控云平台场景下，tcp在nat或防火墙穿越实现非常困难，相对来说udp穿越却简单很多，rudp以udp协议为基础添加可靠机制更适合工控场景下的应用。
83.综上所述，rudp相对于tcp的优势主要体现在更低的延迟、更高的吞吐量、和简化的连接管理等方面。因此在本发明中选用了更适合业务场景的rudp进行采集流量转发。如
图4所示，使用udp作为底层传输协议，在udp首部前加上了自定义的rudp首部以添加一些机制来提供数据的可靠性和完整性。下面是rudp实现可靠传输的主要流程如图3所示，其的主要机制：
84.数据包排序：rudp使用序列号对发送的数据包进行排序。每个数据包都附带一个唯一的序列号，接收方根据序列号对数据包进行排序，以确保数据按正确的顺序传输和重组。
85.确认机制：接收方在成功接收一个数据包后，会向发送方发送一个确认(ack)消息，指示已成功接收到该数据包。发送方接收到确认消息后，可以确认数据包已成功到达接收方。如果发送方在一定时间内未收到确认消息，它会认为数据包丢失，并触发超时重传机制。
86.超时重传：当发送方发送一个数据包后，它会设置一个定时器。如果在定时器超时之前未收到接收方的确认消息，发送方会认为数据包丢失，并重新发送该数据包。这样可以确保数据的可靠传输，即使在网络中发生丢包的情况下也能够重新发送丢失的数据包。
87.syn 表示一个同步段
88.ack 表示确认号
89.rst表示该数据包是一个重置段
90.nul表示该数据包是空段
91.tcs表示报文是一个传输连接状态段
92.总的来说，rudp通过添加数据包排序、确认机制、超时重传等机制，对udp进行了扩展，实现了可靠的数据传输。这些机制保证了数据的正确传输和完整性，即使在不可靠的网络环境中也能够提供可靠的数据传输服务。
93.当工控云平台流量审计系统部署完成后，远程连接建立，有流量进入业务网口时，采集和流量转发的流程如图3所示：
94.1.当业务程序虚拟网口进行交互时，流量采集服务端通过dpdk绑定并监听该网口上的流量，并根据预先制定的过滤策略如数据包的ip、端口和协议类型进行流量过滤以更高效和准确的镜像业务程序流量。
95.2.流量采集服务端根据rudp协议对镜像原始报文在udp的基础上添加数据包序号、序列号和确认序列号、等首部信息，以确保可靠传输来实现rudp的传输协议，并将捕获到的原始报文，封装成rudp数据包发送给流量采集客户端。
96.3.流量采集客户端接收到rudp数据包后，剥离rudp首部信息对接收到的数据包进行确认，并根据需要进行重传或者重组以确保数据的可靠性。解析出原始报文，并根据需要进行进一步处理或转发。
97.4.流量采集客户端将解析出的原始报文转发给流量审计探针进行实时分析，分析结果包括生成日志和相应话单信息，这些结果上传给态势感知平台进行进一步的处理和分析。
98.通过该部署方案和流程，工控云平台业务流量审计系统能够高效地进行流量采集、转发和分析，提高了审计的效率和可靠性。业务流量采集服务端和客户端的远程连接以及数据转发，确保了业务流量的实时传输和准确分析，进一步增强了网络安全和运行监控能力。
99.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

技术特征：
1.一种面向工控云平台的业务流量采集方法，其特征在于：包括以下步骤：s1、将业务程序部署在工控云平台的第一虚拟设备上，在所述第一虚拟设备上部署流量采集服务端程序，业务程序通过第一虚拟网口进行交互，所述流量采集服务端通过第二虚拟网口交互，所述流量采集服务端绑定并监听所述第一虚拟网口上的流量，所述流量采集服务端程序进入被动模式等待远程客户端的连接；s2、将流量审计探针部署在所述工控云平台的第二虚拟设备上，在所述第二虚拟设备上部署流量采集客户端程序，所述流量采集客户端程序通过第三虚拟网口与所述流量采集服务端程序连接、监听并接收所述第一虚拟设备上的采集流量；s3、当有流量进入所述第一虚拟网口时，所述流量采集服务端程序启动，所述流量采集服务端程序进行流量采集、过滤后镜像业务程序流量，得到业务流量的镜像原始报文，所述镜像原始报文使用udp作为底层传输协议；s4、所述流量采集服务端程序将所述镜像原始报文添加rudp首部封装成rudp数据包发送给所述流量采集客户端程序；s5、所述流量采集客户端程序通过所述第三虚拟网口接收所述rudp数据包后剥离rudp首部信息对接收到的数据包进行确认，并判断是否需要进行重传或者重组，如果不需要进行重传或者重组时，所述流量采集客户端程序解析出原始报文发送给所述流量审计探针；s6、所述流量审计探针进行流量实时审计、分析结果后上报，面向工控云平台的业务流量采集方法完成。2.根据权利要求1所述的一种面向工控云平台的业务流量采集方法，其特征在于：步骤s1中，在所述第一虚拟设备上配置dpdk环境，所述流量采集服务端程序通过dpdk绑定并监听所述第一虚拟网口上的流量。3.根据权利要求1所述的一种面向工控云平台的业务流量采集方法，其特征在于：步骤s2中，所述流量采集客户端程序使用所述第一虚拟设备的ip、端口和虚拟网口pci与所述流量采集服务端程序进行连接。4.根据权利要求1所述的一种面向工控云平台的业务流量采集方法，其特征在于：步骤s3中，过滤的策略为：根据数据包的源ip地址、目的ip地址、源端口号、目的端口号和传输协议类型进行流量过滤。5.根据权利要求1所述的一种面向工控云平台的业务流量采集方法，其特征在于：步骤s4中，在udp首部前加上所述rudp首部以添加数据包排序机制、确认机制和超时重传机制对udp进行扩展。6.根据权利要求5所述的一种面向工控云平台的业务流量采集方法，其特征在于：所述数据包排序机制为：所述rudp首部包括同步段序列号，rudp使用所述同步段序列号对发送的数据包进行排序，每个数据包的所述同步段序列号均不同；步骤s5中，所述流量采集客户端程序根据所述同步段序列号对数据包进行排序以使数据包按正确的顺序传输和重组；所述确认机制为：所述rudp首部包括使用接收确认号，步骤s5中，所述流量采集客户端程序在接收一个数据包后，向所述流量采集服务端发送一个确认消息，指示已成功接收到数据包；所述流量采集服务端程序接收到确认消息后确认数据包已成功到达所述流量采集客户端；
当所述流量采集服务端未在设定时间内收到确认消息时，则判断数据包丢失，并触发所述超时重传机制；所述超时重传机制为：当所述流量采集服务端判断数据包丢失时重新发送数据包。7.根据权利要求6所述的一种面向工控云平台的业务流量采集方法，其特征在于：所述流量采集客户端在发送数据包后设置定时器，所述定时器进行时间设定。8.根据权利要求5所述的一种面向工控云平台的业务流量采集方法，其特征在于：所述rudp首部包括：同步段序列号、接收确认号、重置段确认号、空段确认号、传输连接状态段确认号、首部长度段、校验段、序列号段和应答段。9.根据权利要求8所述的一种面向工控云平台的业务流量采集方法，其特征在于：所述rudp首部为96bites，所述同步段确认号、所述接收确认号、所述重置段确认号、所述空段确认号、所述传输连接状态段确认号均各为1bite，所述首部长度段为8bites，所述校验段为16bites，还包括3bites的0段，所述序列号段和所述应答段长度均为32bites。10.根据权利要求1所述的一种面向工控云平台的业务流量采集方法，其特征在于：步骤s6中，分析结果包括生成日志和话单信息，分析结果上传给态势感知平台。

技术总结
本发明提供一种面向工控云平台的业务流量采集方法，将流量采集程序的服务端部署在业务虚拟设备上，通过与流量审计探针所在的另一台虚拟设备进行连接和数据转发，避免了资源竞争问题，可实现审计探针一对多个业务流量的采集镜像，提高了系统的整体性能，增强工控云平台的网络安全和运维能力；基于DPDK绑定业务程序虚拟网口的流量采集方式，通过过滤策略对业务流量进行基于数据包五元组的预过滤镜像；通过自定义RUDP(可靠UDP)来进行原始流量的转发，利用其序列号和确认应答、重传机制、流控制以及UDP协议的基本特性，减小了网络延迟、带宽消耗和对网络连接的依赖等劣势，并且能够穿越NAT和工控防火墙，帮助优化网络性能和运维管理。理。理。


技术研发人员：林飞 唐威 朱江 易永波 古元 毛华阳 华仲峰
受保护的技术使用者：北京亚鸿世纪科技发展有限公司
技术研发日：2023.07.11
技术公布日：2023/10/15