一種針對(duì)虛擬化環(huán)境的流量檢測(cè)系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬化網(wǎng)絡(luò)技術(shù)領(lǐng)域�����,具體涉及一種針對(duì)虛擬化環(huán)境的流量檢測(cè)系統(tǒng)及方法�。
【背景技術(shù)】
[0002]隨著服務(wù)器虛擬化、存儲(chǔ)虛擬化�、網(wǎng)絡(luò)虛擬化等技術(shù)的提出,為了減少內(nèi)部網(wǎng)絡(luò)的維護(hù)成本����、計(jì)算資源的采購維護(hù)成本等,越來越多的企業(yè)將部分或全部企業(yè)網(wǎng)托管到公有云上��,各大數(shù)據(jù)中心的設(shè)備越來越多�����、物理機(jī)流量越來越海量。
[0003]傳統(tǒng)網(wǎng)絡(luò)已經(jīng)不能滿足這些新業(yè)務(wù)�����、新技術(shù)需要�,網(wǎng)絡(luò)設(shè)備的異構(gòu),網(wǎng)絡(luò)協(xié)議的異構(gòu)等因素導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)管理的復(fù)雜程度增大���,此時(shí)SDN應(yīng)運(yùn)而生�,為網(wǎng)絡(luò)的統(tǒng)一化管理提供了有效的手段�。
[0004]現(xiàn)階段,常見的異常流量檢測(cè)技術(shù)����,更多是針對(duì)常見異常流量檢測(cè)方法提出的改進(jìn)�����,而非是針對(duì)虛擬化環(huán)境�,而且異常流量檢測(cè)除了需要滿足精確性外,還需要適應(yīng)海量性���、實(shí)時(shí)性等要求�。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有技術(shù)存在的問題���,本發(fā)明提供一種針對(duì)虛擬化環(huán)境的流量檢測(cè)系統(tǒng)及方法�����。
[0006]本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
本發(fā)明提供一種針對(duì)虛擬化環(huán)境的流量檢測(cè)系統(tǒng),包括:
agent模塊:在虛擬化物理機(jī)hypervisor層中實(shí)現(xiàn)�,對(duì)流經(jīng)虛擬交換機(jī)的虛擬機(jī)流量實(shí)時(shí)采集,并與虛擬交換機(jī)上的流表做匹配:對(duì)于流表中匹配到的虛擬機(jī)流量�����,直接讓虛擬機(jī)流量通過虛擬交換機(jī)轉(zhuǎn)發(fā)���,對(duì)于流表中未匹配到的虛擬機(jī)流量����,則發(fā)送至異常流量檢測(cè)模塊并更新虛擬交換機(jī)流表���;
異常流量檢測(cè)模塊:在虛擬化物理機(jī)hypervisor層安裝的虛擬交換機(jī)的Control Ier中實(shí)現(xiàn)��,對(duì)未匹配到流表的虛擬機(jī)流量做流量檢測(cè):對(duì)于檢測(cè)結(jié)果為正常的虛擬機(jī)流量在流表處新增流表項(xiàng)以允許該種虛擬機(jī)流量通過;對(duì)于檢測(cè)結(jié)果為異常的虛擬機(jī)流量在流表處修改流表項(xiàng)�,設(shè)置訪問控制以阻斷流量異常的虛擬機(jī)��;
控制模塊:在與物理交換機(jī)連接的物理機(jī)中實(shí)現(xiàn),根據(jù)Spark計(jì)算集群實(shí)時(shí)處理的流經(jīng)物理交換機(jī)的物理機(jī)流量的流量指標(biāo)進(jìn)行DFI檢測(cè)��,決策出要阻斷的流量異常的物理機(jī)連接或要列入黑名單的物理機(jī)��,并更新物理交換機(jī)流表����。
[0007]所述控制模塊包括:
DFI檢測(cè)模塊:根據(jù)Spark計(jì)算集群實(shí)時(shí)處理的流經(jīng)物理交換機(jī)的物理機(jī)流量的流量指標(biāo)與對(duì)應(yīng)的正常基線做對(duì)比�����,差異超過允許范圍時(shí)則流經(jīng)物理交換機(jī)的物理機(jī)流量異常���,否則���,當(dāng)前時(shí)刻該兩個(gè)物理機(jī)間流經(jīng)物理交換機(jī)的物理機(jī)流量正常�����;
配置下發(fā)模塊:根據(jù)DFI檢測(cè)結(jié)果決策出要阻斷的物理機(jī)連接或要列入黑名單的物理機(jī)�,并更新物理交換機(jī)流表。
[0008]本發(fā)明還提供一種利用所述的流量檢測(cè)系統(tǒng)進(jìn)行虛擬化環(huán)境中虛擬機(jī)與虛擬機(jī)間流量檢測(cè)的方法�����,包括以下步驟:
采用sFlow協(xié)議實(shí)時(shí)采集流經(jīng)hypervisor層虛擬交換機(jī)的虛擬機(jī)流量形成采集虛擬機(jī)流量的日志流數(shù)據(jù),發(fā)送至虛擬交換機(jī)流表�����;
若采集到的同一hypervisor層流經(jīng)虛擬交換機(jī)的兩個(gè)虛擬機(jī)流量匹配到虛擬交換機(jī)流表�����,則當(dāng)前時(shí)刻流經(jīng)虛擬交換機(jī)的該兩個(gè)虛擬機(jī)流量正常�����,直接讓虛擬機(jī)流量通過虛擬交換機(jī)轉(zhuǎn)發(fā)��,否則�,該兩個(gè)虛擬機(jī)流量未匹配到虛擬交換機(jī)流表,對(duì)當(dāng)前時(shí)刻流經(jīng)虛擬交換機(jī)的該兩個(gè)虛擬機(jī)流量進(jìn)行異常流量檢測(cè):對(duì)于檢測(cè)結(jié)果為正常的虛擬機(jī)流量在流表處新增流表項(xiàng)以允許該種虛擬機(jī)流量通過;對(duì)檢測(cè)結(jié)果為異常的虛擬機(jī)流量在流表處修改流表項(xiàng)�,設(shè)置訪問控制以阻斷流量異常的虛擬機(jī)。
[0009]本發(fā)明還提供一種利用所述的流量檢測(cè)系統(tǒng)進(jìn)行虛擬化環(huán)境中虛擬機(jī)與虛擬機(jī)間流量檢測(cè)的方法����,包括以下步驟:
采用sFlow協(xié)議實(shí)時(shí)采集流經(jīng)某一 hypervisor層虛擬交換機(jī)的虛擬機(jī)流量形成采集虛擬機(jī)流量的日志流數(shù)據(jù),發(fā)送至虛擬交換機(jī)流表;
若采集到的當(dāng)前hypervisor層流經(jīng)虛擬交換機(jī)的虛擬機(jī)流量匹配到虛擬交換機(jī)流表�,則當(dāng)前時(shí)刻流經(jīng)虛擬交換機(jī)的流量正常,直接讓虛擬機(jī)流量通過虛擬交換機(jī)轉(zhuǎn)發(fā)至物理交換機(jī)�����,否則�,流經(jīng)虛擬交換機(jī)的虛擬機(jī)流量未匹配到虛擬交換機(jī)流表,當(dāng)前時(shí)刻流經(jīng)虛擬交換機(jī)的流量需要進(jìn)行異常流量檢測(cè):對(duì)于檢測(cè)結(jié)果為正常的虛擬機(jī)流量在流表處新增流表項(xiàng)��,以允許該種虛擬機(jī)流量通過虛擬交換機(jī)��,對(duì)于檢測(cè)結(jié)果為異常的虛擬機(jī)流量�,在流表處修改流表項(xiàng),設(shè)置訪問控制以阻斷流量異常的虛擬機(jī)��,結(jié)束流量檢測(cè)�;
流量采集PC集群采用NetFlow協(xié)議實(shí)時(shí)采集流經(jīng)物理交換機(jī)的物理機(jī)流量;
Spark計(jì)算集群實(shí)時(shí)處理流經(jīng)物理交換機(jī)物理機(jī)流量的流量指標(biāo)���;
根據(jù)Spark計(jì)算集群實(shí)時(shí)處理的流經(jīng)物理交換機(jī)的物理機(jī)流量的流量指標(biāo)����,與對(duì)應(yīng)的正?����;€做對(duì)比��,若差異超過允許范圍�����,則流經(jīng)物理交換機(jī)的物理機(jī)流量異常���,阻斷的當(dāng)前物理機(jī)的網(wǎng)絡(luò)連接�,并更新物理交換機(jī)流表�����,結(jié)束流量檢測(cè)�����,否則��,當(dāng)前時(shí)刻流經(jīng)物理交換機(jī)的物理機(jī)流量正常��,物理交換機(jī)將虛擬機(jī)流量轉(zhuǎn)發(fā)至其他hypervisor層�;
采用sFlow協(xié)議實(shí)時(shí)采集流經(jīng)另一 hypervisor層虛擬交換機(jī)的虛擬機(jī)流量形成采集流量的日志流數(shù)據(jù),發(fā)送至虛擬交換機(jī)流表;
若采集到的當(dāng)前hypervisor層流經(jīng)虛擬交換機(jī)的虛擬機(jī)流量匹配到虛擬交換機(jī)流表����,當(dāng)前時(shí)刻流經(jīng)虛擬交換機(jī)的流量正常,直接讓虛擬機(jī)流量通過虛擬交換機(jī)轉(zhuǎn)發(fā);否則����,流經(jīng)虛擬交換機(jī)的虛擬機(jī)流量未匹配到虛擬交換機(jī)流表,當(dāng)前時(shí)刻流經(jīng)虛擬交換機(jī)的流量需要進(jìn)行異常流量檢測(cè):對(duì)于檢測(cè)結(jié)果為正常的虛擬機(jī)流量在流表處新增流表項(xiàng)�����,以允許該種虛擬機(jī)流量在通過虛擬交換機(jī);對(duì)于檢測(cè)結(jié)果為異常的虛擬機(jī)流量在流表處修改流表項(xiàng)����,設(shè)置訪問控制以阻斷流量異常的虛擬機(jī),結(jié)束流量檢測(cè)��。
[0010]本發(fā)明還提供一種利用所述的流量檢測(cè)系統(tǒng)進(jìn)行虛擬化環(huán)境中虛擬機(jī)與物理機(jī)間流量檢測(cè)的方法���,包括以下步驟:
采用sFlow協(xié)議實(shí)時(shí)采集流經(jīng)某一 hypervisor層虛擬交換機(jī)的虛擬機(jī)流量形成采集虛擬機(jī)流量的日志流數(shù)據(jù)���,發(fā)送至虛擬交換機(jī)流表; 若采集到的當(dāng)前hypervisor層流經(jīng)虛擬交換機(jī)的虛擬機(jī)流量匹配到虛擬交換機(jī)流表���,則當(dāng)前時(shí)刻流經(jīng)虛擬交換機(jī)的流量正常���,直接讓虛擬機(jī)流量通過虛擬交換機(jī)轉(zhuǎn)發(fā)至物理交換機(jī);否則,流經(jīng)虛擬交換機(jī)的虛擬機(jī)流量未匹配到虛擬交換機(jī)流表����,當(dāng)前時(shí)刻流經(jīng)虛擬交換機(jī)的流量需要進(jìn)行異常流量檢測(cè):對(duì)于檢測(cè)結(jié)果為正常的虛擬機(jī)流量在流表處新增流表項(xiàng),以允許該種虛擬機(jī)流量在通過虛擬交換機(jī);對(duì)于檢測(cè)結(jié)果為異常的虛擬機(jī)流量在流表處修改流表項(xiàng)�,設(shè)置訪問控制以阻斷流量異常的虛擬機(jī),結(jié)束流量檢測(cè)��;
經(jīng)過流量采集PC集群采用NetFlow協(xié)議實(shí)時(shí)采集流經(jīng)物理交換機(jī)的物理機(jī)流量��;
Spark計(jì)算集群實(shí)時(shí)處理流經(jīng)物理交換機(jī)物理機(jī)流量的流量指標(biāo)����;
根據(jù)Spark計(jì)算集群實(shí)時(shí)處理的流經(jīng)物理交換機(jī)的物理機(jī)流量的流量指標(biāo),與對(duì)應(yīng)的正?����;€做對(duì)比��,若差異超過允許范圍����,流經(jīng)物理交換機(jī)的物理機(jī)流量異常�����,阻斷當(dāng)前物理機(jī)的網(wǎng)絡(luò)連接����,并更新物理交換機(jī)流表���,結(jié)束流量檢測(cè)����;否則�����,當(dāng)前時(shí)刻流經(jīng)物理交換機(jī)的物理機(jī)流量正常��,將虛擬機(jī)流量轉(zhuǎn)發(fā)至當(dāng)前物理機(jī)����。
[0011]本發(fā)明還提供一種利用所述的流量檢測(cè)系統(tǒng)進(jìn)行虛擬化環(huán)境中物理機(jī)與物理機(jī)間流量檢測(cè)的方法,包括以下步驟:
流量采集PC集群實(shí)時(shí)采集流經(jīng)物理交換機(jī)的物理機(jī)流量��;
Spark計(jì)算集群實(shí)時(shí)處理流經(jīng)物理交換機(jī)的物理機(jī)流量的流量指標(biāo);
根據(jù)Spark計(jì)算集群實(shí)時(shí)處理的流經(jīng)物理交換機(jī)的物理機(jī)流量的流量指標(biāo)����,與對(duì)應(yīng)的正常基線做對(duì)比���,若差異超過允許范圍,流經(jīng)物理交換機(jī)的物理機(jī)流量異常���,阻斷的兩個(gè)物理機(jī)連接或?qū)蓚€(gè)物理機(jī)列入黑名單��,并更新物理交換機(jī)流表��,結(jié)束流量檢測(cè)��;否則��,當(dāng)前