CN105681313B - 一种针对虚拟化环境的流量检测系统及方法 - Google Patents
一种针对虚拟化环境的流量检测系统及方法 Download PDFInfo
- Publication number
- CN105681313B CN105681313B CN201610064084.4A CN201610064084A CN105681313B CN 105681313 B CN105681313 B CN 105681313B CN 201610064084 A CN201610064084 A CN 201610064084A CN 105681313 B CN105681313 B CN 105681313B
- Authority
- CN
- China
- Prior art keywords
- flow
- traffic
- virtual machine
- machine
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种针对虚拟化环境的流量检测系统及方法,系统包括:agent模块,流表中匹配到的虚拟机流量直接通过虚拟交换机转发,流表中未匹配到的虚拟机流量发送至异常流量检测模块并更新虚拟交换机流表;异常流量检测模块,对于检测结果为正常的虚拟机流量在流表处新增流表项以允许该种虚拟机流量通过;对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机;控制模块:决策出要阻断的流量异常的物理机连接或要列入黑名单的物理机并更新物理交换机流表。本发明可以检测虚拟机之间、物理机之间、虚拟机和物理机之间的异常流量,更加适应流量海量性、实时性检测等要求,可以对虚拟化流量进行更加全面的检测。
Description
技术领域
本发明涉及虚拟化网络技术领域,具体涉及一种针对虚拟化环境的流量检测系统及方法。
背景技术
随着服务器虚拟化、存储虚拟化、网络虚拟化等技术的提出,为了减少内部网络的维护成本、计算资源的采购维护成本等,越来越多的企业将部分或全部企业网托管到公有云上,各大数据中心的设备越来越多、物理机流量越来越海量。
传统网络已经不能满足这些新业务、新技术需要,网络设备的异构,网络协议的异构等因素导致传统网络管理的复杂程度增大,此时SDN应运而生,为网络的统一化管理提供了有效的手段。
现阶段,常见的异常流量检测技术,更多是针对常见异常流量检测方法提出的改进,而非是针对虚拟化环境,而且异常流量检测除了需要满足精确性外,还需要适应海量性、实时性等要求。
发明内容
针对现有技术存在的问题,本发明提供一种针对虚拟化环境的流量检测系统及方法。
本发明的技术方案是这样实现的:
本发明提供一种针对虚拟化环境的流量检测系统,包括:
agent模块:在虚拟化物理机hypervisor层中实现,对流经虚拟交换机的虚拟机流量实时采集,并与虚拟交换机上的流表做匹配:对于流表中匹配到的虚拟机流量,直接让虚拟机流量通过虚拟交换机转发,对于流表中未匹配到的虚拟机流量,则发送至异常流量检测模块并更新虚拟交换机流表;
异常流量检测模块:在虚拟化物理机hypervisor层安装的虚拟交换机的Controller中实现,对未匹配到流表的虚拟机流量做流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项以允许该种虚拟机流量通过;对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机;
控制模块:在与物理交换机连接的物理机中实现,根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标进行DFI检测,决策出要阻断的流量异常的物理机连接或要列入黑名单的物理机,并更新物理交换机流表。
所述控制模块包括:
DFI检测模块:根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标与对应的正常基线做对比,差异超过允许范围时则流经物理交换机的物理机流量异常,否则,当前时刻该两个物理机间流经物理交换机的物理机流量正常;
配置下发模块:根据DFI检测结果决策出要阻断的物理机连接或要列入黑名单的物理机,并更新物理交换机流表。
本发明还提供一种利用所述的流量检测系统进行虚拟化环境中虚拟机与虚拟机间流量检测的方法,包括以下步骤:
采用sFlow协议实时采集流经hypervisor层虚拟交换机的虚拟机流量形成采集虚拟机流量的日志流数据,发送至虚拟交换机流表;
若采集到的同一hypervisor层流经虚拟交换机的两个虚拟机流量匹配到虚拟交换机流表,则当前时刻流经虚拟交换机的该两个虚拟机流量正常,直接让虚拟机流量通过虚拟交换机转发,否则,该两个虚拟机流量未匹配到虚拟交换机流表,对当前时刻流经虚拟交换机的该两个虚拟机流量进行异常流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项以允许该种虚拟机流量通过;对检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机。
本发明还提供一种利用所述的流量检测系统进行虚拟化环境中虚拟机与虚拟机间流量检测的方法,包括以下步骤:
采用sFlow协议实时采集流经某一hypervisor层虚拟交换机的虚拟机流量形成采集虚拟机流量的日志流数据,发送至虚拟交换机流表;
若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,则当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发至物理交换机,否则,流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量通过虚拟交换机,对于检测结果为异常的虚拟机流量,在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测;
流量采集PC集群采用NetFlow协议实时采集流经物理交换机的物理机流量;
Spark计算集群实时处理流经物理交换机物理机流量的流量指标;
根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,则流经物理交换机的物理机流量异常,阻断的当前物理机的网络连接,并更新物理交换机流表,结束流量检测,否则,当前时刻流经物理交换机的物理机流量正常,物理交换机将虚拟机流量转发至其他hypervisor层;
采用sFlow协议实时采集流经另一hypervisor层虚拟交换机的虚拟机流量形成采集流量的日志流数据,发送至虚拟交换机流表;
若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发;否则,流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量在通过虚拟交换机;对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测。
本发明还提供一种利用所述的流量检测系统进行虚拟化环境中虚拟机与物理机间流量检测的方法,包括以下步骤:
采用sFlow协议实时采集流经某一hypervisor层虚拟交换机的虚拟机流量形成采集虚拟机流量的日志流数据,发送至虚拟交换机流表;
若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,则当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发至物理交换机;否则, 流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量在通过虚拟交换机;对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测;
经过流量采集PC集群采用NetFlow协议实时采集流经物理交换机的物理机流量;
Spark计算集群实时处理流经物理交换机物理机流量的流量指标;
根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,流经物理交换机的物理机流量异常,阻断当前物理机的网络连接,并更新物理交换机流表,结束流量检测;否则,当前时刻流经物理交换机的物理机流量正常,将虚拟机流量转发至当前物理机。
本发明还提供一种利用所述的流量检测系统进行虚拟化环境中物理机与物理机间流量检测的方法,包括以下步骤:
流量采集PC集群实时采集流经物理交换机的物理机流量;
Spark计算集群实时处理流经物理交换机的物理机流量的流量指标;
根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,流经物理交换机的物理机流量异常,阻断的两个物理机连接或将两个物理机列入黑名单,并更新物理交换机流表,结束流量检测;否则,当前时刻流经物理交换机的该两个物理机流量正常。
所述设置访问控制的方式包括:开启/关闭流量异常的虚拟机,或者通过虚拟交换机划分VLAN。
所述虚拟交换机划分VLAN的方式是:通过为每个虚拟交换机端口设置其所属于的VLAN、并在异常流量的数据包中添加VLAN标识:当虚拟交换机发送虚拟机流量数据包时,在以太网数据帧中添加一个VLAN字段用以标识该虚拟机流量数据包所属VLAN;在接收虚拟机流量数据包时,如果收到的虚拟机流量数据包携带的VLAN 标号与该端口所属的VLAN 相匹配,则虚拟交换机会去掉该数据包的VLAN字段,并把该数据包提交给相应的虚拟机,否则直接丢弃这个数据包。
有益效果:
本发明适用于网络虚拟化要求。由于在hypervisor层上安装了支持OpenFlow协议的虚拟交换机,物理机之间配置了物理SDN交换机,于是可以进行全方位、细粒度的流量检测。具体来说,可以检测虚拟机之间、物理机之间、虚拟机和物理机之间的异常流量。由于采用了Spark计算集群进行实时计算,系统更加适应流量海量性、实时性检测等要求,可以对虚拟化流量进行更加全面的检测,且对于异常流量可以进行实时处理,处理粒度也可以更加细节精确。
附图说明
图1是本发明具体实施方式的针对虚拟化环境的流量检测系统示意图;
图2是本发明具体实施方式的agent模块调用关系示意图;
图3是本发明具体实施方式的控制模块调用示意图;
图4是本发明实施例1的虚拟化环境中虚拟机与虚拟机间流量检测的方法流程图;
图5是本发明实施例1的虚拟机与虚拟机间流量检测示意图;
图6是本发明实施例2的虚拟化环境中虚拟机与虚拟机间流量检测的方法流程图;
图7是本发明实施例2的虚拟机与虚拟机间流量检测示意图;
图8是本发明实施例3的虚拟化环境中虚拟机与物理机间流量检测的方法流程图;
图9是本发明实施例3的虚拟化环境中虚拟机与物理机间流量检测示意图;
图10是本发明实施例4的虚拟化环境中物理机与物理机间流量检测的方法流程示意图;
图11是本发明实施例4的虚拟化环境中物理机与物理机间流量检测示意图。
具体实施方式
下面结合附图对本发明的具体实施方式做详细说明。
实施例1
本实施例中的虚拟化环境中包含多个hypervisor层及多个物理机,每一个hypervisor层均均安装有支持OpenFlow协议的Open vSwitch虚拟交换机,每一个物理机分别连接至SDN交换机。
针对虚拟化环境的流量检测系统如图1所示,包括:agent模块、异常流量检测模块和控制模块。
agent模块安装在虚拟化物理机hypervisor层,而hypervisor层安装有支持OpenFlow协议的Open vSwitch,agent模块采用sFlow协议对流经虚拟交换机的虚拟机流量实时采集,并与虚拟交换机上的流表做匹配:对于流表中匹配到的虚拟机流量,直接让虚拟机流量通过虚拟交换机转发,对于流表中未匹配到的虚拟机流量,则发送至异常流量检测模块并更新虚拟交换机流表; agent模块调用关系如图2所示。
异常流量检测模块:在虚拟化物理机hypervisor层安装的虚拟交换机的Controller中实现,对未匹配到流表的虚拟机流量做流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项以允许该种虚拟机流量通过;对检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机;本实施例的异常流量检测模块可采用(但不限于)Optimized Threshold Random Walk或Adaptive Rate LimitingControl Algorithm检测算法。此外,还有如基于特征字的检测、基于应用网关的检测等技术,可以根据实际应用需求来改进不同类型的检测算法。
Optimized Threshold Random Walk算法主要针对端口扫描攻击进行检测。通过建立本虚拟机的“连接历史记录集”,用以标识一定时间段内的连接到本虚拟机的目的主机信息。当本虚拟机要发出一个连接请求时,先根据“连接历史记录集”判断该目的主机是否被连接过,要是一个新连接,则把该目的主机添加至“连接历史记录集”,同时还得监测该新连接的状态变化,比如Pending变为Success,或者变为Fail(TCP RST)等。状态变化一次就会把状态变化数目和阈值进行比较,判断本虚拟机是否正常。其中阈值会根据机器学习的技术进行动态调整。
Adaptive Rate Limiting Control Algorithm算法主要针对flood 攻击进行检测。核心思想是维持两个集合:“工作集”和“缓冲队列”,来限制本虚拟机建立的连接数目,进一步限制物理机流量的流通速率。当虚拟机发出一个连接请求时,首先会检查“工作集”中有无该连接,如果有或者“工作集”未满载,则可以正常进行连接;否则,此连接会被转存至“缓冲队列”中。每过一段时间,“缓冲队列”中的连接会被取出来进行响应。当“缓冲队列”也满载时,则虚拟机停止响应新连接。“工作集”和“缓冲队列”的大小会根据机器学习的技术进行动态调整。
控制模块:在与物理交换机连接的物理机中实现,根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标进行DFI检测,决策出要阻断的流量异常的物理机连接或要列入黑名单的物理机,并更新物理交换机流表。控制模块调用关系如图3所示。为了满足处理海量流量、实时性等要求,控制模块采用了实时处理框架Spark,对流量进行实时处理,并调用DFI检测模块(其中DFI检测基于流量行为,检测速度快,不会对系统造成性能瓶颈),对流量进行检测,最后根据检测结果更新、下发相应的策略,以保证虚拟化环境的安全性。
控制模块包括:
DFI检测模块:根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标与对应的正常基线做对比,差异超过允许范围时则流经物理交换机的物理机流量异常,否则,当前时刻该两个物理机间流经物理交换机的物理机流量正常;其中的基线数据需要事先根据实际的具体环境来调整(也可以通过机器学习的手段来自适应的调整),以达到较好的准确性。流量指标包括:一段时间内的总流量、平均每秒流量、数据包个数、平均每秒包数、平均包长、TCP/UDP会话个数、IP地址个数等指标。
配置下发模块:根据DFI检测结果决策出要阻断的物理机连接或要列入黑名单的物理机,并更新物理交换机流表。
利用上述的流量检测系统进行虚拟化环境中虚拟机与虚拟机间流量检测的方法,如图4所示,包括以下步骤:
步骤401、采用sFlow协议实时采集流经虚拟交换机的虚拟机流量形成采集流量的日志流数据,发送至虚拟交换机流表;
步骤402、若采集到的同一hypervisor层流经虚拟交换机的两个虚拟机流量匹配到虚拟交换机流表,则转去步骤403,否则,转去步骤404;
步骤403、当前时刻流经虚拟交换机的该两个虚拟机流量正常,直接让虚拟机流量通过虚拟交换机转发;
步骤404、该两个虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的该两个虚拟机流量需要进行异常流量检测:当检测结果为正常,转去步骤405,当前检测结果为异常,转去步骤406;
步骤405、对于检测结果为正常的虚拟机流量在流表处新增流表项以允许该种虚拟机流量通过;
步骤406、对检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机。
本实施例的虚拟机与虚拟机间流量检测过程如图5所示,图中的箭头方向表示流量检测方向。
设置访问控制的方式包括:开启/关闭流量异常的虚拟机,或者通过虚拟交换机划分VLAN。
虚拟交换机划分VLAN的方式是:通过为每个虚拟交换机端口设置其所属于的VLAN、并在异常流量的数据包中添加VLAN标识:当虚拟交换机发送虚拟机流量数据包时,在以太网数据帧中添加一个VLAN字段用以标识该虚拟机流量数据包所属VLAN;在接收虚拟机流量数据包时,如果收到的虚拟机流量数据包携带的VLAN 标号与该端口所属的VLAN 相匹配,则虚拟交换机会去掉该数据包的VLAN字段,并把该数据包提交给相应的虚拟机,否则直接丢弃这个数据包。
实施例2
本实施例提供一种利用实施例1所述的流量检测系统进行虚拟化环境中虚拟机与虚拟机间流量检测的方法,如图6所示,包括以下步骤:
步骤601、采用sFlow协议实时采集流经某一hypervisor层虚拟交换机的虚拟机流量形成采集虚拟机流量的日志流数据,发送至虚拟交换机流表;
步骤602、若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,则转去步骤606,否则,转去步骤603;
步骤603、流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测,当检测结果为正常,转去步骤604,当前检测结果为异常,转去步骤605;
步骤604、对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量通过虚拟交换机,转去步骤606;
步骤605、对于检测结果为异常的虚拟机流量,在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测;
步骤606、当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发至物理交换机;
步骤607、流量采集PC集群采用NetFlow协议实时采集流经物理交换机的物理机流量;
步骤608、Spark计算集群实时处理流经物理交换机物理机流量的流量指标;
步骤609、根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,则转去步骤610,否则,转去步骤611;
步骤610、流经物理交换机的物理机流量异常,阻断的当前物理机的网络连接,并更新物理交换机流表,结束流量检测;
步骤611、当前时刻流经物理交换机的物理机流量正常,物理交换机将虚拟机流量转发至其他hypervisor层;
步骤612、采用sFlow协议实时采集流经另一hypervisor层虚拟交换机的虚拟机流量形成采集流量的日志流数据,发送至虚拟交换机流表;
步骤613、若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,则转去步骤617,否则,转去步骤614;
步骤614、流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测,当检测结果为正常,转去步骤615,当前检测结果为异常,转去步骤616;
步骤615、对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量在通过虚拟交换机,转去步骤617;
步骤616、对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测;
步骤617、当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发。
本实施例的虚拟机与虚拟机间流量检测过程如图7所示,其中箭头方向表示流量检测方向。
实施例3
本实施例提供一种利用实施例1所述的流量检测系统进行虚拟化环境中虚拟机与物理机间流量检测的方法,如图8所示,包括以下步骤:
步骤801、采用sFlow协议实时采集流经某一hypervisor层虚拟交换机的虚拟机流量形成采集虚拟机流量的日志流数据,发送至虚拟交换机流表;
步骤802、若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,则转去步骤806,否则,转去步骤803;
步骤803、流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测,当检测结果为正常,转去步骤804,当前检测结果为异常,转去步骤805;
步骤804、对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量在通过虚拟交换机,转去步骤806;
步骤805、对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测;
步骤806、当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发至物理交换机;
步骤807、经过流量采集PC集群采用NetFlow协议实时采集流经物理交换机的物理机流量;
步骤808、Spark计算集群实时处理流经物理交换机物理机流量的流量指标;
步骤809、根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,转去步骤810,否则,转去步骤811;
步骤810、流经物理交换机的物理机流量异常,阻断当前物理机的网络连接,并更新物理交换机流表,结束流量检测;
步骤811、当前时刻流经物理交换机的物理机流量正常,将虚拟机流量转发至当前物理机。
本实施例的虚拟化环境中虚拟机与物理机间流量检测过程如图9所示,其中箭头方向表示流量检测方向。
实施例4
本实施例提供一种利用实施例1所述的流量检测系统进行虚拟化环境中物理机与物理机间流量检测的方法,如图10所示,包括以下步骤:
步骤1001、流量采集PC集群实时采集流经物理交换机的物理机流量;
步骤1002、Spark计算集群实时处理流经物理交换机的物理机流量的流量指标;
步骤1003、根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,转去步骤1004,否则,转去步骤1005;
步骤1004、流经物理交换机的物理机流量异常,阻断的两个物理机连接或将两个物理机列入黑名单,并更新物理交换机流表,结束流量检测;
步骤1005、当前时刻流经物理交换机的该两个物理机流量正常。
本实施例的虚拟化环境中物理机与物理机间流量检测过程如图11所示,其中箭头方向表示流量检测方向。
Claims (7)
1.一种针对虚拟化环境的流量检测系统,包括:
agent模块:在虚拟化物理机hypervisor层中实现,对流经虚拟交换机的虚拟机流量实时采集,并与虚拟交换机上的流表做匹配:对于流表中匹配到的虚拟机流量,直接让虚拟机流量通过虚拟交换机转发,对于流表中未匹配到的虚拟机流量,则发送至异常流量检测模块并更新虚拟交换机流表;
异常流量检测模块:在虚拟化物理机hypervisor层安装的虚拟交换机的Controller中实现,对未匹配到流表的虚拟机流量做流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项以允许该种虚拟机流量通过;对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机;
控制模块:在与物理交换机连接的物理机中实现,根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标进行DFI检测,决策出要阻断的流量异常的物理机连接或要列入黑名单的物理机,并更新物理交换机流表;
其特征在于,所述控制模块包括:
DFI检测模块:根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标与对应的正常基线做对比,差异超过允许范围时则流经物理交换机的物理机流量异常,否则,流经物理交换机的物理机流量正常;
配置下发模块:根据DFI检测结果决策出要阻断的物理机连接或要列入黑名单的物理机,并更新物理交换机流表。
2.一种利用权利要求1所述的流量检测系统进行虚拟化环境中虚拟机与虚拟机间流量检测的方法,其特征在于,包括以下步骤:
采用sFlow协议实时采集流经hypervisor层虚拟交换机的虚拟机流量形成采集虚拟机流量的日志流数据,发送至虚拟交换机流表;
若采集到的同一hypervisor层流经虚拟交换机的两个虚拟机流量匹配到虚拟交换机流表,则当前时刻流经虚拟交换机的该两个虚拟机流量正常,直接让虚拟机流量通过虚拟交换机转发,否则,该两个虚拟机流量未匹配到虚拟交换机流表,对当前时刻流经虚拟交换机的该两个虚拟机流量进行异常流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项以允许该种虚拟机流量通过;对检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机。
3.一种利用权利要求1所述的流量检测系统进行虚拟化环境中虚拟机与虚拟机间流量检测的方法,其特征在于,包括以下步骤:
采用sFlow协议实时采集流经某一hypervisor层虚拟交换机的虚拟机流量形成采集虚拟机流量的日志流数据,发送至虚拟交换机流表;
若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,则当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发至物理交换机,否则,流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量通过虚拟交换机,对于检测结果为异常的虚拟机流量,在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测;
流量采集PC集群采用NetFlow协议实时采集流经物理交换机的物理机流量;
Spark计算集群实时处理流经物理交换机物理机流量的流量指标;
根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,则流经物理交换机的物理机流量异常,阻断的当前物理机的网络连接,并更新物理交换机流表,结束流量检测,否则,当前时刻流经物理交换机的物理机流量正常,物理交换机将虚拟机流量转发至其他hypervisor层;
采用sFlow协议实时采集流经另一hypervisor层虚拟交换机的虚拟机流量形成采集流量的日志流数据,发送至虚拟交换机流表;
若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发;否则,流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量在通过虚拟交换机;对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测。
4.一种利用权利要求1所述的流量检测系统进行虚拟化环境中虚拟机与物理机间流量检测的方法,其特征在于,包括以下步骤:
采用sFlow协议实时采集流经某一hypervisor层虚拟交换机的虚拟机流量形成采集虚拟机流量的日志流数据,发送至虚拟交换机流表;
若采集到的当前hypervisor层流经虚拟交换机的虚拟机流量匹配到虚拟交换机流表,则当前时刻流经虚拟交换机的流量正常,直接让虚拟机流量通过虚拟交换机转发至物理交换机;否则,流经虚拟交换机的虚拟机流量未匹配到虚拟交换机流表,当前时刻流经虚拟交换机的流量需要进行异常流量检测:对于检测结果为正常的虚拟机流量在流表处新增流表项,以允许该种虚拟机流量在通过虚拟交换机;对于检测结果为异常的虚拟机流量在流表处修改流表项,设置访问控制以阻断流量异常的虚拟机,结束流量检测;
经过流量采集PC集群采用NetFlow协议实时采集流经物理交换机的物理机流量;
Spark计算集群实时处理流经物理交换机物理机流量的流量指标;
根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,流经物理交换机的物理机流量异常,阻断当前物理机的网络连接,并更新物理交换机流表,结束流量检测;否则,当前时刻流经物理交换机的物理机流量正常,将虚拟机流量转发至当前物理机。
5.一种利用权利要求1所述的流量检测系统进行虚拟化环境中物理机与物理机间流量检测的方法,其特征在于,包括以下步骤:
流量采集PC集群实时采集流经物理交换机的物理机流量;
Spark计算集群实时处理流经物理交换机的物理机流量的流量指标;
根据Spark计算集群实时处理的流经物理交换机的物理机流量的流量指标,与对应的正常基线做对比,若差异超过允许范围,流经物理交换机的物理机流量异常,阻断的两个物理机连接或将两个物理机列入黑名单,并更新物理交换机流表,结束流量检测;否则,当前时刻流经物理交换机的该两个物理机流量正常。
6.根据权利要求2~4中任一项所述的方法,其特征在于,所述设置访问控制的方式包括:开启/关闭流量异常的虚拟机,或者通过虚拟交换机划分VLAN。
7.根据权利要求6所述的方法,其特征在于,所述虚拟交换机划分VLAN的方式是:通过为每个虚拟交换机端口设置其所属于的VLAN、并在异常流量的数据包中添加VLAN标识:当虚拟交换机发送虚拟机流量数据包时,在以太网数据帧中添加一个VLAN字段用以标识该虚拟机流量数据包所属VLAN;在接收虚拟机流量数据包时,如果收到的虚拟机流量数据包携带的VLAN标号与该端口所属的VLAN相匹配,则虚拟交换机会去掉该数据包的VLAN字段,并把该数据包提交给相应的虚拟机,否则直接丢弃这个数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610064084.4A CN105681313B (zh) | 2016-01-29 | 2016-01-29 | 一种针对虚拟化环境的流量检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610064084.4A CN105681313B (zh) | 2016-01-29 | 2016-01-29 | 一种针对虚拟化环境的流量检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105681313A CN105681313A (zh) | 2016-06-15 |
| CN105681313B true CN105681313B (zh) | 2018-11-09 |
Family
ID=56302925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610064084.4A Active CN105681313B (zh) | 2016-01-29 | 2016-01-29 | 一种针对虚拟化环境的流量检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681313B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106101163A (zh) * | 2016-08-29 | 2016-11-09 | 北京工业大学 | 基于OpenFlow的网络架构安全监控系统 |
| CN107395621A (zh) * | 2017-08-18 | 2017-11-24 | 国云科技股份有限公司 | 一种虚拟机网卡流量分类监控方法 |
| CN107623611B (zh) * | 2017-09-22 | 2021-03-02 | 国云科技股份有限公司 | 一种云平台虚拟机的流量监控系统 |
| JP6740989B2 (ja) * | 2017-10-10 | 2020-08-19 | 横河電機株式会社 | 流量演算装置 |
| CN108156079B (zh) * | 2017-12-29 | 2021-08-13 | 深信服科技股份有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
| CN108768954B (zh) * | 2018-05-04 | 2020-07-10 | 中国科学院信息工程研究所 | 一种dga恶意软件识别方法 |
| CN108924085B (zh) * | 2018-05-24 | 2021-09-10 | 中国科学院计算机网络信息中心 | 网络调度方法、装置及存储介质 |
| CN109660443B (zh) * | 2018-12-26 | 2021-12-31 | 江苏省未来网络创新研究院 | 基于sdn的物理设备与虚拟网络通信方法和系统 |
| CN111371640B (zh) * | 2020-02-24 | 2023-03-03 | 深圳供电局有限公司 | 一种基于sdn控制器的流量采集分析方法及系统 |
| CN112118248B (zh) * | 2020-09-11 | 2022-06-14 | 苏州浪潮智能科技有限公司 | 云平台虚拟机异常流量检测方法、装置、虚拟机及系统 |
| CN113347036B (zh) * | 2021-06-04 | 2022-10-11 | 上海天旦网络科技发展有限公司 | 利用公有云存储实现云环境旁路监控方法及系统 |
| CN113630342B (zh) * | 2021-06-25 | 2023-08-15 | 济南浪潮数据技术有限公司 | 一种虚拟交换机的转发表管理方法、系统及装置 |
| CN114567481B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 一种数据传输方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
| CN104735071A (zh) * | 2015-03-27 | 2015-06-24 | 浪潮集团有限公司 | 一种虚拟机之间的网络访问控制实现方法 |
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5717164B2 (ja) * | 2009-10-07 | 2015-05-13 | 日本電気株式会社 | コンピュータシステム、及びコンピュータシステムのメンテナンス方法 |
-
2016
- 2016-01-29 CN CN201610064084.4A patent/CN105681313B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
| CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
| CN104735071A (zh) * | 2015-03-27 | 2015-06-24 | 浪潮集团有限公司 | 一种虚拟机之间的网络访问控制实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于 OpenFlow 的虚拟机流量检测系统的设计与实现;邵国林等;《计算机应用》;20140410;1034-1040 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105681313A (zh) | 2016-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105681313B (zh) | 一种针对虚拟化环境的流量检测系统及方法 | |
| Wang et al. | An entropy-based distributed DDoS detection mechanism in software-defined networking | |
| CN106921666A (zh) | 一种基于协同理论的DDoS攻击防御系统及方法 | |
| US8458319B2 (en) | System and method for tracking network resources | |
| CN104253770B (zh) | 实现分布式虚拟交换机系统的方法及设备 | |
| CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
| CN102821081B (zh) | 监测小流量ddos攻击的方法和系统 | |
| US20170075710A1 (en) | Automatically determining sensor location in a virtualized computing environment | |
| CN108289104A (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
| CN106961387A (zh) | 一种基于转发路径自迁移的链路型DDoS防御方法及系统 | |
| CN107231384A (zh) | 一种面向5g网络切片的DDoS攻击检测防御方法及系统 | |
| CN107077340A (zh) | 负载均衡 | |
| CN107959690A (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
| CN108183917A (zh) | 基于软件定义网络的DDoS攻击跨层协同检测方法 | |
| CN107770174A (zh) | 一种面向sdn网络的入侵防御系统和方法 | |
| CN108076019A (zh) | 基于流量镜像的异常流量检测方法及装置 | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| CN107566192B (zh) | 一种异常流量处理方法及网管设备 | |
| CN108028828A (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| CN105051696A (zh) | 用于处理网络元数据的改进的流式处理方法及系统 | |
| Cui et al. | TDDAD: Time-based detection and defense scheme against DDoS attack on SDN controller | |
| CN106817275A (zh) | 一种自动化预防和编排处理策略冲突的系统和方法 | |
| CN114513340B (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
| CN103067218A (zh) | 一种高速网络数据包内容分析装置 | |
| CN106789351A (zh) | 一种基于sdn的在线入侵防御方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |