CN105099821B - 基于云的虚拟环境下流量监控的方法和装置 - Google Patents
基于云的虚拟环境下流量监控的方法和装置 Download PDFInfo
- Publication number
- CN105099821B CN105099821B CN201510461505.2A CN201510461505A CN105099821B CN 105099821 B CN105099821 B CN 105099821B CN 201510461505 A CN201510461505 A CN 201510461505A CN 105099821 B CN105099821 B CN 105099821B
- Authority
- CN
- China
- Prior art keywords
- data traffic
- protocol type
- sending
- data
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于云的虚拟环境下流量监控的方法和装置,涉及互联网技术领域,能够解决现有技术中安全检测效率低的问题。本发明的方法包括:接收源虚拟机发送的数据流量;确定所述数据流量的协议类型;基于云平台将所述数据流量发送给对应所述协议类型的安全设备进行处理;将所述数据流量发送给目标虚拟机。本发明适用于安全设备对数据流量进行安全性检测的场景中。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种基于云的虚拟环境下流量监控的方法和装置。
背景技术
虚拟机技术是指在一个物理机上通过虚拟机软件模拟出一个或多个虚拟机。其中,每台虚拟机均使用物理机的一部分处理资源(CPU、内存等),并且各台虚拟机的配置通常相同。因此,虚拟机技术是目前普遍使用的一种技术。
现有技术中,当一个虚拟机(以下称为源虚拟机)向另一个虚拟机(以下称为目标虚拟机)发送数据时,需要经过交换机或者路由器的选择,通过一定路径才能达到目标虚拟机。但是,虚拟机之间的数据交互也存在一定的安全隐患(如漏洞攻击),所以在源虚拟机发送的数据经过交换机或者路由器之后,需要经过安全设备对数据进行清洗,在确定数据安全后才发送到目标虚拟机,以保证目标虚拟机的安全。然而,现有技术并不对流量进行区分,所有的流量都由SDN(Software Defined Network,软件定义网络)等安全设备来进行防护。由此往往造成安全设备负荷过大,而导致安全检测效率较低等问题。
发明内容
有鉴于此,本发明提供一种基于云的虚拟环境下流量监控的方法和装置,能够解决现有技术中安全检测效率低的问题。
依据本发明一个方面,提供了一种基于云的虚拟环境下流量监控的方法,所述方法包括:
接收源虚拟机发送的数据流量;
确定所述数据流量的协议类型;
基于云平台将所述数据流量发送给对应所述协议类型的安全设备进行处理;
将所述数据流量发送给目标虚拟机。
依据本发明另一个方面,提供了一种基于云的虚拟环境下流量监控的装置,所述装置包括:
接收单元,用于接收源虚拟机发送的数据流量;
确定单元,用于确定所述接收单元接收的所述数据流量的协议类型;
发送单元,用于基于云平台将所述数据流量发送给对应所述确定单元确定的所述协议类型的安全设备进行处理;
所述发送单元,还用于将所述数据流量发送给目标虚拟机。
借由上述技术方案,本发明提供的基于云的虚拟环境下流量监控的方法和装置,能够在接收到源虚拟机发送的数据流量之后,先确定该数据流量的协议类型,再基于云平台将该数据流量发送给对应该协议类型的安全设备进行处理,最后才将数据流量发送给目标虚拟机。与现有技术中所有数据流量都由SDN来进行安全防护相比,本发明通过先确定数据流量的协议类型,再将数据流量发送给与该协议类型对应的安全设备进行处理,从而使得不同协议类型的数据流量可以由不同的安全设备来进行安全防护,进而避免安全设备负荷过大,从而使得安全检测效率得到提高。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种基于云的虚拟环境下流量监控的方法的流程图;
图2示出了本发明实施例提供的一种虚拟机之间数据传输的示意图;
图3示出了本发明实施例提供的另一种虚拟机之间数据传输的示意图;
图4示出了本发明实施例提供的一种基于云的虚拟环境下流量监控的装置的组成框图;
图5示出了本发明实施例提供的另一种基于云的虚拟环境下流量监控的装置的组成框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种基于云的虚拟环境下流量监控的方法,如图1所示,该方法包括:
101、接收源虚拟机发送的数据流量。
当源虚拟机向目标虚拟机发送数据流量时,需要先经过虚拟交换设备(包括虚拟交换机和虚拟路由器等)的路由选择,确定路径,然后通过该路径才能到达目标虚拟机。因此,虚拟交换设备会先接收源虚拟机发送的数据流量,以便后续进行路由选择等操作。
102、确定数据流量的协议类型。
其中,虚拟交换设备接收的数据流量的数据包中包含源虚拟机的IP(InternetProtocol,网间协议)地址、目标虚拟机的IP地址、虚拟交换设备的IP地址、数据流量的协议类型以及数据请求的具体请求内容(或者数据响应的具体响应内容)等,所以虚拟交换设备可以根据数据流量的数据包确定数据流量的协议类型。
需要说明的是,由于数量流量是源虚拟机发送的,所以源虚拟机所使用的协议类型就是数据流量的协议类型。
103、基于云平台将数据流量发送给对应协议类型的安全设备进行处理。
由于虚拟机之间的数据交互也存在攻击或者漏洞,所以虚拟交换设备可以先将数据流量发送给安全设备进行安全性检测,例如病毒查杀、漏洞修复和审计等,然后将处理后的数据流量发送给目标虚拟机,使得目标虚拟机所接收的数据流量是安全的。
需要说明的是,安全设备在对数据流量进行处理时,也可能会确定所有的数据都是不安全的,即将所有数据都进行安全删除,从而不向目标虚拟机发送任何数据。
在实际应用中,不同的安全设备所能处理的流量数据的协议类型往往存在差异,例如DDOS(Distributed Denial of service,分布式拒绝服务)攻击检测设备能够处理应用层协议或者传输层协议的数据流量,而数据库审计设备能够处理网络层协议的数据流量。因此,将不同协议类型的数据流量发送给对应的安全设备进行安全性检测,可以避免安全设备发生负荷过大现象,同时也可以对数据流量进行针对性的安全检测。
需要说明的是,当当前协议类型对应一种安全设备时,虚拟交换设备会将该数据流量发送给一种安全设备进行处理;当当前协议类型对应至少两种安全设备时,虚拟交换设备会将该数据流量发送该至少两种安全设备分别进行处理。
本步骤中的基于云平台是指虚拟交换设备侧所需的协议策略、虚拟机协议库等可以从云平台侧获取。
此外,虚拟交换设备可以对数据流量进行备份,从而仅对备份的数据流量进行安全性检测,进而对虚拟机之间存在的攻击、漏洞以及攻击源进行统计与分析,以便通知目标虚拟机,供目标虚拟机用户对攻击采取防御操作,而不直接对源虚拟机发送的数据流量进行处理。
104、将数据流量发送给目标虚拟机。
在步骤103中提及虚拟交换设备可以直接将数据流量发送给安全设备进行处理,也可以将备份的数据流量发送给安全设备进行处理。因此,当采用前者操作方法时,安全设备需要将处理后的数据流量先发送给虚拟交换设备,再由虚拟交换设备发送给目标虚拟机;当采用后者操作方法时,虚拟交换设备则直接将源虚拟机发送的数据流量发送给目标虚拟机。
在实际应用中,源虚拟机和目标虚拟机可以位于同一个宿主机中,也可以位于不同的宿主机中。例如,如图2所示,源虚拟机与目标虚拟机位于同一个宿主机中,其中虚拟机1为源虚拟机,虚拟机3为目标虚拟机,则上述步骤101至104的具体过程(以不进行备份而直接由安全设备进行处理为例)为:虚拟机1向虚拟交换设备发送数据流量,虚拟交换设备接收到该数据流量并确定其协议类型后,向对应该协议类型的安全设备(例如为安全设备2)发送该数据流量,在安全设备2对该数据流量处理完成后,将处理后的数据流量发送给虚拟交换设备,再由虚拟交换设备将处理后的数据流量发送给虚拟机3。
又如,如图3所示,源虚拟机与目标虚拟机位于两个不同的宿主机中,其中源虚拟机为宿主机1中的虚拟机2,目标虚拟机为宿主机2中的虚拟机3,则上述步骤101至104的具体过程(以不进行备份而直接由安全设备进行处理为例)为:宿主机1中的虚拟机2向宿主机1中的虚拟交换设备发送数据流量,宿主机1中的虚拟交换设备确定该数据流量的目标虚拟机为宿主机2中的虚拟机,则宿主机1中的虚拟交换设备将该数据流量发送给宿主机2中的虚拟交换设备,由宿主机2中的虚拟交换设备来确定该数据流量的协议类型,并发送给对应协议类型的安全设备(位于宿主机2中)进行处理,最后由宿主机2中的虚拟交换设备将处理后的数据流量发送给宿主机2中的虚拟机3。
本发明实施例提供的基于云的虚拟环境下流量监控的方法,能够在接收到源虚拟机发送的数据流量之后,先确定该数据流量的协议类型,再基于云平台将该数据流量发送给对应该协议类型的安全设备进行处理,最后才将数据流量发送给目标虚拟机。与现有技术中所有数据流量都由SDN来进行安全防护相比,本发明通过先确定数据流量的协议类型,再将数据流量发送给与该协议类型对应的安全设备进行处理,从而使得不同协议类型的数据流量可以由不同的安全设备来进行安全防护,进而避免安全设备负荷过大,从而使得安全检测效率得到提高。
进一步的,对于上述步骤102中确定数据流量的数据类型的具体实现方式可以为:虚拟交换设备解析数据流量中的数据包,并根据该数据包中的特定字段来确定协议类型。
具体的,数据流量中的数据包包括源虚拟机的IP地址、目标虚拟机的IP地址、虚拟交换设备的IP地址、数据流量的协议类型以及数据请求的具体请求内容(或者数据响应的具体响应内容)等,并且每一项内容分布在数据包的不同字段,例如,协议类型分布在包头的特定字段。因此可以根据数据包中的特定字段来确定数据流量的协议类型。
进一步的,由于将数据流量发送给对应协议类型的安全设备进行处理是基于云平台实现的,所以虚拟交换设备需要先从云平台侧获取协议策略,然后根据该协议策略将该数据流量发送给对应协议类型的安全设备进行处理。
其中,协议策略为记录协议类型与安全设备对应关系的策略,虚拟交换设备可以根据协议策略查找到对应当前协议类型的安全设备,从而将数据流量发送给查找到的安全设备进行安全检测。
在实际应用中,虚拟交换设备可以提前从云平台侧获取协议策略,并将其存储在本地。当需要使用协议策略时,可以直接从本地获取。此外,虚拟交换设备也可以通过云平台对本地存储的协议策略进行实时更新。当虚拟交换设备不将协议策略存储在本地时,可以在需要使用协议策略时,直接从云平台侧获取最新版本的协议策略。
具体的,安全设备包括Web防火墙、Web审计设备、数据库审计设备、管理审计设备和攻击检测设备。在实际应用中,宿主机中的安全设备可以由上述五种安全设备中的至少一个安全设备组成,即用户可以根据实际情况选择安装哪几种安全设备。下面针对不同情况进行详细介绍:
情况一:在实际应用中,若虚拟机常常遭受Web攻击,则可以在宿主机中安装Web防火墙。若宿主机中的安全设备包括Web防火墙,则根据协议策略将数据流量发送给对应协议类型的安全设备进行处理的具体实现方式为:虚拟交换设备检测接收的数据流量是否为Web协议类型数据,若该数据流量为Web协议类型数据,则将该数据流量发送给Web防火墙进行过滤。
其中,Web协议类型主要包括HTTP(Hypertext Transfer Protocol,超文本传送协议)和HTTPS(Hypertext Transfer Protocol Secure,超文本传输安全协议)等,Web防火墙主要为虚拟WAF(Web Application Firewall,Web应用防护系统)。
情况二:在实际应用中,常常需要对虚拟机的操作进行跟踪、检测,判断其是否符合审计规则,从而保证虚拟机之间的安全交互,因此可以在宿主机中安装审计设备。其中,审计设备主要包括Web审计设备、数据库审计设备和管理审计设备。
具体的,若安全设备包括Web审计设备,则虚拟交换设备确定数据流量的协议类型后,会判断该协议类型是否为Web协议类型。当该协议类型为Web协议类型时,虚拟交换设备会将该数据流量发送给Web审计设备进行审计。其中,Web协议类型主要包括HTTP、HTTPS和SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)。
若安全设备包括数据库审计设备,则虚拟交换设备确定数据流量的协议类型后,会判断该协议类型是否为数据库协议类型。当该协议类型为数据库协议类型时,虚拟交换设备会将该数据流量发送给数据库审计设备进行审计。其中,数据库协议类型主要包括TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)。
若安全设备包括管理审计设备,则虚拟交换设备确定数据流量的协议类型后,会判断该协议类型是否为管理协议类型。当该协议类型为管理协议类型时,虚拟交换设备会将该数据流量发送给管理审计设备进行审计。其中,管理协议类型主要包括SSH(SecureShell,安全壳协议)和Telnet(远程终端协议)。
情况三:在实际应用中,若虚拟机常常遭受DDOS攻击,则可以在宿主机中安装攻击检测设备。若安全设备包括攻击检测设备,虚拟交换设备确定数据流量的协议类型后,会判断该协议类型是否为传输层协议类型或者应用层协议类型。当该协议类型为传输层协议类型或者应用层协议类型时,虚拟交换设备会将数据流量发送给攻击检测设备进行DDOS攻击检测。其中,传输层协议类型主要包括TCP和UDP(User Datagram Protocol,用户数据包协议),应用层协议类型主要包括HTTP、FTP(File Transfer Protocol,文件传输协议)、SMTP、SNMP(Simple Network Management Protocol,简单网络管理协议)、DNS(DomainNameSystem,域名系统)、Telnet和HTTPS。
需要说明的是,当宿主机中存在多种安全设备时,会出现一种协议类型对应多个安全设备的现象。此时,虚拟交换设备可以将数据流量分别发送给对应的多个安全设备,由此,多个安全设备可以对该数据流量分别进行对应的安全检测。
示例性的,若虚拟交换设备确定数据流量为HTTP协议类型数据,则可以将该数据流量分别发送给Web防火墙、Web审计设备和攻击检测设备进行不同的安全性检测,在三种安全设备的检测结果都为安全时,虚拟交换设备才将数据流量发送给目标虚拟机。
进一步的,在上述实施例中提到虚拟交换设备可以直接将数据流量发送给对应协议类型的安全设备进行处理,所以当安全设备对该数据流量进行处理后,安全设备需要将处理后的数据流量发送给虚拟交换设备,以便虚拟交换设备接收安全设备处理后的数据流量,并将该处理后的数据流量发送给目标虚拟机,进而使得目标虚拟机接收到的数据流量为安全的数据流量。
进一步的,在实际应用中,虚拟机所使用的协议类型往往也存在差异,因此常常存在目标虚拟机无法解析源虚拟机发送的数据流量的现象。为了解决上述问题,本发明实施例提供了以下实现方法:
虚拟交换设备根据处理后的数据流量中的数据包确定目标虚拟机的IP地址,并根据虚拟机协议库查找对应IP地址的协议类型。若IP地址的协议类型与处理后的数据流量的协议类型不同,则将处理后的数据流量的协议类型转换为IP地址的协议类型,以获得转换后的数据流量;若IP地址的协议类型与处理后的数据流量的协议类型相同,则无需对处理后的数据流量进行协议类型的转换操作。
其中,处理后的数据流量的协议类型与处理前的数据流量(即源虚拟机发送的数据流量)的协议类型相同,虚拟机协议库中存储有各个虚拟机的IP地址和对应的协议类型,虚拟机协议库可以从云平台获取,并通过云平台实时进行更新。
示例性的,源虚拟机所使用的协议的协议类型为HTTP,而目标虚拟机所使用的协议的协议类型为FTP。当虚拟交换设备接收到源虚拟机发送的数据流量并确定该数据流量的协议类型为HTTP时,虚拟交换设备将该数据流量发送给与HTTP协议类型相对应的安全设备。在安全设备对该数量流量进行处理之后,将处理后的数据流量发送给虚拟交换设备。此时,虚拟交换设备先确定目标虚拟机的协议类型,即FTP,然后将协议类型为HTTP的处理后的数据流量转换为协议类型为FTP的处理后的数据流量,最后将协议类型为FTP的处理后的数据流量(即转换后的数据流量)发送给目标虚拟机。
进一步的,在上述实施例中提到安全设备可以仅针对数据流量进行安全性检测与分析,若存在攻击,则将分析结果发送给目标虚拟机,由目标虚拟机的用户对攻击源采取防御操作,而不改变目标虚拟机所接收的数据流量中的具体内容。
具体的,在虚拟交换设备接收到源虚拟机发送的数据流量后,先对数据流量进行备份,再将备份前的数据流量(即原始的数据流量)发送给目标虚拟机,而对于备份的数据流量,则先确定其协议类型,再将备份的数据流量发送给对应协议类型的安全设备进行处理,以便安全设备对该备份的数据流量进行安全性检测与分析。
进一步的,由于虚拟交换设备需要接收源虚拟机发送的数据流量,也需要接收安全设备发送的数据流量,所以虚拟机交换设备需要识别所接收的数据流量的来源,才能确定对该数据流量的后续操作。
具体的,虚拟交换设备需要检测当前接收的数据流量的数据包中是否存在处理标识。若当前接收的数据流量的数据包中存在处理标识,则确定当前接收的数据流量为经安全设备处理后的数量流量;若当前接收的数据流量的数据包中不存在处理标识,则确定当前接收的数据流量为源虚拟机发送的数据流量。
其中,处理标识可以为安全设备对数据流量进行处理后,为其添加的已处理标识,也可以为安全设备的IP地址,只要能够确定该数据流量是否为安全设备发送的数据流量即可。
例如,“1”用于标识数据流量已经过安全设备的处理,“0”用于标识数据流量未经过安全设备的处理,则处理标识为“1”。由此,虚拟交换设备可以检测数据流量的数据包中的处理标识位是否为“1”。若为“1”,则确定该数据流量为经安全设备处理后的数据流量;若为“0”,则确定该数据流量为源虚拟机发送的数据流量。
又如,虚拟交换设备中存储有各个安全设备的IP地址,当接收到数据流量后,可以查看数据流量的数据包中的源IP地址是否为安全设备的IP地址。当确定该源IP地址为安全设备的IP地址时,可以确定该数据流量为经安全设备处理后的数据流量;当确定该源IP地址不是安全设备的IP地址时,可以确定该数据流量为源虚拟机发送的数据流量。
进一步的,依据上述方法实施例,本发明的另一个实施例还提供了一种基于云的虚拟环境下流量监控的装置,如图4所示,该装置包括:接收单元21、确定单元22和发送单元23。其中,
接收单元21,用于接收源虚拟机发送的数据流量;
确定单元22,用于确定接收单元21接收的数据流量的协议类型;
发送单元23,用于基于云平台将数据流量发送给对应确定单元22确定的协议类型的安全设备进行处理;
发送单元23,还用于将数据流量发送给目标虚拟机。
进一步的,如图5所示,确定单元22,包括:
解析模块221,用于解析数据流量中的数据包;
确定模块222,用于根据解析模块221解析的数据包中的特定字段确定协议类型。
进一步的,发送单元23,用于获取云平台侧的协议策略,并根据协议策略将数据流量发送给对应协议类型的安全设备进行处理。
具体的,如图5所示,发送单元23,包括:
第一发送模块231,用于当数据流量为Web协议类型数据时,将数据流量发送给Web防火墙进行过滤。
第二发送模块232,用于当数据流量为Web协议类型数据时,将数据流量发送给Web审计设备进行审计;
第三发送模块233,用于当数据流量为数据库协议类型数据时,将数据流量发送给数据库审计设备进行审计;
第四发送模块234,用于当数据流量为管理协议类型数据时,将数据流量发送给管理审计设备进行审计。
第五发送模块235,用于当数据流量为传输层协议类型数据,或者数据流量为应用层协议类型数据时,将数据流量发送给攻击检测设备进行分布式拒绝服务DDOS攻击检测。
接收模块236,用于接收安全设备处理后的数据流量;
第六发送模块237,用于将接收模块236接收的处理后的数据流量发送给目标虚拟机。
进一步的,如图5所示,发送单元23,还包括:
确定模块238,用于在将接收模块236接收的处理后的数据流量发送给目标虚拟机之前,根据处理后的数据流量中的数据包确定目标虚拟机的网间协议IP地址;
查找模块239,用于根据虚拟机协议库查找对应确定模块238确定的IP地址的协议类型;
转换模块2310,用于当查找模块239查找的IP地址的协议类型与处理后的数据流量的协议类型不同时,将处理后的数据流量的协议类型转换为IP地址的协议类型,以获得转换后的数据流量,其中处理后的数据流量的协议类型与处理前的数据流量的协议类型相同;
第六发送模块237,用于将转换模块2310获得的转换后的数据流量发送给目标虚拟机。
进一步的,如图5所示,该装置还包括:
备份单元24,用于在接收单元21接收源虚拟机发送的数据流量之后,对数据流量进行备份;
发送单元23,还包括:
第七发送模块2311,用于基于云平台将备份单元24备份的数据流量发送给对应协议类型的安全设备进行处理;
第八发送模块2312,用于将备份前的数据流量发给目标虚拟机。
进一步的,如图5所示,该装置还包括:
检测单元25,用于检测当前接收的数据流量的数据包中是否存在处理标识;
确定单元22,还用于当检测单元25的检测结果为当前接收的数据流量的数据包中存在处理标识时,确定当前接收的数据流量为经安全设备处理后的数量流量,当检测单元25的检测结果为当前接收的数据流量的数据包中不存在处理标识时,确定当前接收的数据流量为源虚拟机发送的数据流量。
本发明实施例提供的基于云的虚拟环境下流量监控的装置,能够在接收到源虚拟机发送的数据流量之后,先确定该数据流量的协议类型,再基于云平台将该数据流量发送给对应该协议类型的安全设备进行处理,最后才将数据流量发送给目标虚拟机。与现有技术中所有数据流量都由SDN来进行安全防护相比,本发明通过先确定数据流量的协议类型,再将数据流量发送给与该协议类型对应的安全设备进行处理,从而使得不同协议类型的数据流量可以由不同的安全设备来进行安全防护,进而避免安全设备负荷过大,从而使得安全检测效率得到提高。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的随身电子防丢设备的状态检测方法、设备、服务器及系统设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (18)
1.一种基于云的虚拟环境下流量监控的方法,其特征在于,所述方法包括:
接收源虚拟机发送的数据流量;
确定所述数据流量的协议类型;
基于云平台将所述数据流量发送给对应所述协议类型的安全设备进行处理;
将所述数据流量发送给目标虚拟机;所述源虚拟机和所述目标虚拟机位于不同的宿主机中;
在所述接收源虚拟机发送的数据流量之后,所述方法进一步包括:
对所述数据流量进行备份;
所述基于云平台将所述数据流量发送给对应所述协议类型的安全设备进行处理,包括:
基于云平台将备份的数据流量发送给对应所述协议类型的安全设备进行处理,以便所述安全设备对所述备份的数据流量进行安全性检测与分析,并在确定存在攻击时,将分析结果发送给所述目标虚拟机;
所述将所述数据流量发送给目标虚拟机,包括:
将备份前的数据流量发给所述目标虚拟机;
所述协议类型包括数据库协议类型、管理协议类型、传输层协议类型、应用层协议类型。
2.根据权利要求1所述的方法,其特征在于,所述确定所述数据流量的协议类型,包括:
解析所述数据流量中的数据包,并根据所述数据包中的特定字段确定所述协议类型。
3.根据权利要求2所述的方法,其特征在于,所述基于云平台将所述数据流量发送给对应所述协议类型的安全设备进行处理,包括:
获取所述云平台侧的协议策略;
根据所述协议策略将所述数据流量发送给对应所述协议类型的安全设备进行处理。
4.根据权利要求3所述的方法,其特征在于,所述根据所述协议策略将所述数据流量发送给对应所述协议类型的安全设备进行处理,包括:
若所述数据流量为Web协议类型数据,则将所述数据流量发送给Web防火墙进行过滤。
5.根据权利要求3所述的方法,其特征在于,所述根据所述协议策略将所述数据流量发送给对应所述协议类型的安全设备进行处理,包括:
若所述数据流量为Web协议类型数据,则将所述数据流量发送给Web审计设备进行审计;或者,
若所述数据流量为数据库协议类型数据,则将所述数据流量发送给数据库审计设备进行审计;或者,
若所述数据流量为管理协议类型数据,则将所述数据流量发送给管理审计设备进行审计。
6.根据权利要求3所述的方法,其特征在于,所述根据所述协议策略将所述数据流量发送给对应所述协议类型的安全设备进行处理,包括:
若所述数据流量为传输层协议类型数据,或者所述数据流量为应用层协议类型数据,则将所述数据流量发送给攻击检测设备进行分布式拒绝服务DDOS攻击检测。
7.根据权利要求1所述的方法,其特征在于,所述将所述数据流量发送给目标虚拟机,包括:
接收所述安全设备处理后的数据流量,并将所述处理后的数据流量发送给所述目标虚拟机。
8.根据权利要求7所述的方法,其特征在于,在所述将所述处理后的数据流量发送给所述目标虚拟机之前,所述方法进一步包括:
根据所述处理后的数据流量中的数据包确定所述目标虚拟机的网间协议IP地址;
根据虚拟机协议库查找对应所述IP地址的协议类型;
若所述IP地址的协议类型与所述处理后的数据流量的协议类型不同,则将所述处理后的数据流量的协议类型转换为所述IP地址的协议类型,以获得转换后的数据流量,其中所述处理后的数据流量的协议类型与处理前的数据流量的协议类型相同;
所述将所述处理后的数据流量发送给所述目标虚拟机,包括:
将所述转换后的数据流量发送给所述目标虚拟机。
9.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
检测当前接收的数据流量的数据包中是否存在处理标识;
若所述当前接收的数据流量的数据包中存在所述处理标识,则确定所述当前接收的数据流量为经所述安全设备处理后的数量流量;
若所述当前接收的数据流量的数据包中不存在所述处理标识,则确定所述当前接收的数据流量为所述源虚拟机发送的数据流量。
10.一种基于云的虚拟环境下流量监控的装置,其特征在于,所述装置包括:
接收单元,用于接收源虚拟机发送的数据流量;
确定单元,用于确定所述接收单元接收的所述数据流量的协议类型;
发送单元,用于基于云平台将所述数据流量发送给对应所述确定单元确定的所述协议类型的安全设备进行处理;
所述发送单元,还用于将所述数据流量发送给目标虚拟机;所述源虚拟机和所述目标虚拟机位于不同的宿主机中;
所述装置进一步包括:
备份单元,用于在所述接收单元接收源虚拟机发送的数据流量之后,对所述数据流量进行备份;
所述发送单元,还包括:
第七发送模块,用于基于云平台将所述备份单元备份的数据流量发送给对应所述协议类型的安全设备进行处理,以便所述安全设备对所述备份的数据流量进行安全性检测与分析,并在确定存在攻击时,将分析结果发送给所述目标虚拟机;
第八发送模块,用于将备份前的数据流量发给所述目标虚拟机;
所述协议类型包括数据库协议类型、管理协议类型、传输层协议类型、应用层协议类型。
11.根据权利要求10所述的装置,其特征在于,所述确定单元,包括:
解析模块,用于解析所述数据流量中的数据包;
确定模块,用于根据所述解析模块解析的所述数据包中的特定字段确定所述协议类型。
12.根据权利要求11所述的装置,其特征在于,所述发送单元,用于获取所述云平台侧的协议策略,并根据所述协议策略将所述数据流量发送给对应所述协议类型的安全设备进行处理。
13.根据权利要求12所述的装置,其特征在于,所述发送单元,包括:
第一发送模块,用于当所述数据流量为Web协议类型数据时,将所述数据流量发送给Web防火墙进行过滤。
14.根据权利要求12所述的装置,其特征在于,所述发送单元,包括:
第二发送模块,用于当所述数据流量为Web协议类型数据时,将所述数据流量发送给Web审计设备进行审计;
第三发送模块,用于当所述数据流量为数据库协议类型数据时,将所述数据流量发送给数据库审计设备进行审计;
第四发送模块,用于当所述数据流量为管理协议类型数据时,将所述数据流量发送给管理审计设备进行审计。
15.根据权利要求12所述的装置,其特征在于,所述发送单元,包括:
第五发送模块,用于当所述数据流量为传输层协议类型数据,或者所述数据流量为应用层协议类型数据时,将所述数据流量发送给攻击检测设备进行分布式拒绝服务DDOS攻击检测。
16.根据权利要求10所述的装置,其特征在于,所述发送单元,包括:
接收模块,用于接收所述安全设备处理后的数据流量;
第六发送模块,用于将所述接收模块接收的所述处理后的数据流量发送给所述目标虚拟机。
17.根据权利要求16所述的装置,其特征在于,所述发送单元,还包括:
确定模块,用于在所述将所述接收模块接收的所述处理后的数据流量发送给所述目标虚拟机之前,根据所述处理后的数据流量中的数据包确定所述目标虚拟机的网间协议IP地址;
查找模块,用于根据虚拟机协议库查找对应所述确定模块确定的所述IP地址的协议类型;
转换模块,用于当所述查找模块查找的所述IP地址的协议类型与所述处理后的数据流量的协议类型不同时,将所述处理后的数据流量的协议类型转换为所述IP地址的协议类型,以获得转换后的数据流量,其中所述处理后的数据流量的协议类型与处理前的数据流量的协议类型相同;
所述第六发送模块,用于将所述转换模块获得的所述转换后的数据流量发送给所述目标虚拟机。
18.根据权利要求10所述的装置,其特征在于,所述装置进一步包括:
检测单元,用于检测当前接收的数据流量的数据包中是否存在处理标识;
所述确定单元,还用于当所述检测单元的检测结果为所述当前接收的数据流量的数据包中存在所述处理标识时,确定所述当前接收的数据流量为经所述安全设备处理后的数量流量,当所述检测单元的检测结果为所述当前接收的数据流量的数据包中不存在所述处理标识时,确定所述当前接收的数据流量为所述源虚拟机发送的数据流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510461505.2A CN105099821B (zh) | 2015-07-30 | 2015-07-30 | 基于云的虚拟环境下流量监控的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510461505.2A CN105099821B (zh) | 2015-07-30 | 2015-07-30 | 基于云的虚拟环境下流量监控的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105099821A CN105099821A (zh) | 2015-11-25 |
| CN105099821B true CN105099821B (zh) | 2020-05-12 |
Family
ID=54579432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510461505.2A Active CN105099821B (zh) | 2015-07-30 | 2015-07-30 | 基于云的虚拟环境下流量监控的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105099821B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024068833A1 (en) * | 2022-09-30 | 2024-04-04 | Senseon Tech Ltd | Processing and/or generating cybersecurity telemetry data |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306622B (zh) * | 2015-11-30 | 2018-08-10 | 南京优速网络科技有限公司 | 一种云网融合域名解析系统及其dns服务方法 |
| CN105704125B (zh) * | 2016-01-15 | 2018-08-28 | 王新珩 | 多协议互操作的通信设备及通信方法 |
| CN106341418B (zh) * | 2016-10-08 | 2019-07-02 | 中国科学院信息工程研究所 | Dns分布式反射型拒绝服务攻击检测、防御方法与系统 |
| CN107104852A (zh) * | 2017-03-28 | 2017-08-29 | 深圳市神云科技有限公司 | 监控云平台虚拟网络环境的方法及装置 |
| CN107046546A (zh) * | 2017-05-18 | 2017-08-15 | 郑州云海信息技术有限公司 | 一种网络安全控制方法及装置 |
| CN108933706B (zh) * | 2017-05-23 | 2022-02-25 | 华为技术有限公司 | 一种监测数据流量的方法、装置及系统 |
| CN107360058A (zh) * | 2017-07-12 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种实现流量监控的方法及装置 |
| CN107395621A (zh) * | 2017-08-18 | 2017-11-24 | 国云科技股份有限公司 | 一种虚拟机网卡流量分类监控方法 |
| CN107979609B (zh) * | 2017-12-14 | 2020-09-22 | 广东天网安全信息科技有限公司 | 后反应式防护方法及自主学习型防火墙系统 |
| CN108200038A (zh) * | 2017-12-28 | 2018-06-22 | 山东浪潮云服务信息科技有限公司 | 一种虚拟机安全防护方法、装置、可读介质及存储控制器 |
| CN108156079B (zh) * | 2017-12-29 | 2021-08-13 | 深信服科技股份有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
| CN110099004A (zh) * | 2019-03-29 | 2019-08-06 | 贵阳忆联网络有限公司 | 一种网络安全路由方法及系统 |
| CN113055395B (zh) * | 2021-03-26 | 2023-09-05 | 深信服科技股份有限公司 | 一种安全检测方法、装置、设备及存储介质 |
| CN113904787A (zh) * | 2021-08-05 | 2022-01-07 | 深信服科技股份有限公司 | 一种流量审计方法、装置、设备和计算机可读存储介质 |
| CN114465744A (zh) * | 2021-09-15 | 2022-05-10 | 中科方德软件有限公司 | 一种安全访问方法及网络防火墙系统 |
| CN114760266B (zh) * | 2022-03-01 | 2023-06-09 | 烽台科技(北京)有限公司 | 虚拟地址生成方法、装置和计算机设备 |
| CN115378557B (zh) * | 2022-10-25 | 2023-02-17 | 成都星联芯通科技有限公司 | 热备实现方法、装置、系统、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
| CN102594623A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 防火墙的数据检测方法及装置 |
| CN102801560A (zh) * | 2012-08-03 | 2012-11-28 | 福建富士通信息软件有限公司 | 可以实现审计大量设备并扩容用户的审计系统的审计方法 |
| CN104660554A (zh) * | 2013-11-19 | 2015-05-27 | 北京天地超云科技有限公司 | 一种虚拟机通信数据安全的实现方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9407519B2 (en) * | 2013-03-15 | 2016-08-02 | Vmware, Inc. | Virtual network flow monitoring |
| CN103634306B (zh) * | 2013-11-18 | 2017-09-15 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
| CN103763403B (zh) * | 2013-12-30 | 2017-03-15 | 华为技术有限公司 | 报文流量控制方法及相关装置和计算节点 |
-
2015
- 2015-07-30 CN CN201510461505.2A patent/CN105099821B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
| CN102594623A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 防火墙的数据检测方法及装置 |
| CN102801560A (zh) * | 2012-08-03 | 2012-11-28 | 福建富士通信息软件有限公司 | 可以实现审计大量设备并扩容用户的审计系统的审计方法 |
| CN104660554A (zh) * | 2013-11-19 | 2015-05-27 | 北京天地超云科技有限公司 | 一种虚拟机通信数据安全的实现方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024068833A1 (en) * | 2022-09-30 | 2024-04-04 | Senseon Tech Ltd | Processing and/or generating cybersecurity telemetry data |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105099821A (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105099821B (zh) | 基于云的虚拟环境下流量监控的方法和装置 | |
| US9787700B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| WO2021008028A1 (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US20160366159A1 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| JP2008066945A (ja) | 攻撃検出システム及び攻撃検出方法 | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN106506547B (zh) | 针对拒绝服务攻击的处理方法、waf、路由器及系统 | |
| JP2018508166A (ja) | アクセス要求を規制するシステムおよび方法 | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN106878240B (zh) | 僵尸主机识别方法及装置 | |
| Gonzalez et al. | The impact of application-layer denial-of-service attacks | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| CN112311728A (zh) | 主机攻陷判定方法、装置、计算设备及计算机存储介质 | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| CN113168460A (zh) | 用于数据分析的方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161123 Address after: 100088 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant after: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: Beijing Qihu Technology Co., Ltd. Applicant before: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. |
|
| CB02 | Change of applicant information |
Address after: No. 32, Building 3, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: Qianxin Technology Group Co.,Ltd. Address before: Beijing Chaoyang District Jiuxianqiao Road 10, building 15, floor 17, layer 1701-26, 3 Applicant before: Beijing Qihoo Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |