CN111176795B - 一种分布式虚拟网络的动态迁移方法及系统 - Google Patents
一种分布式虚拟网络的动态迁移方法及系统 Download PDFInfo
- Publication number
- CN111176795B CN111176795B CN202010023299.8A CN202010023299A CN111176795B CN 111176795 B CN111176795 B CN 111176795B CN 202010023299 A CN202010023299 A CN 202010023299A CN 111176795 B CN111176795 B CN 111176795B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- virtual
- virtual machines
- micro
- machines
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种分布式虚拟网络的动态迁移方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,当有数据迁移发生时微隔离分组选举一个临时主控点指示分组内其他虚拟机调整安全防护策略。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种分布式虚拟网络的动态迁移方法及系统。
背景技术
现在利用虚拟化技术构建数据中心越来越普遍了,带来了新的安全问题,在虚拟化网络环境中,大量流量数据通过虚拟交换机转发,不会经过防火墙,使得传统的安全防护措施失效。虚拟机之间的通信流量变得不可控,内部虚拟机的威胁无法被检测,也无法被控制。分布式虚拟环境存在海量的虚拟机,如何动态部署安全防护策略,也是急需要解决的技术问题。
同时,当虚拟机发送数据迁移时,其原本的安全防护策略如何处理,与其有业务关联的其他虚拟机如何动态调整安全防护策略,都是需要解决的技术问题。
因此,急需一种针对性分布式虚拟环境的安全防护方法和系统。
发明内容
本发明的目的在于提供一种分布式虚拟网络的动态迁移方法及系统,解决现有技术中针对海量虚拟机之间流量数据缺乏控制方法,缺乏动态部署安全防护策略,数据迁移发生时调整安全防护策略的技术问题。
第一方面,本申请提供一种分布式虚拟网络的动态迁移方法,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
当其中一个故障虚拟机需要数据迁移时,该故障虚拟机所在的微隔离分组选举一个临时主控点,由所述临时主控点向分组内其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述故障虚拟机的数据迁移到所述第二虚拟机;
其中,所述广播迁移消息包括将所述故障虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述故障虚拟机发送响应消息,指示所述故障虚拟机完成数据迁移,并删除所述故障虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息。
结合第一方面,在第一方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第一方面,在第一方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第一方面,在第一方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
第二方面,本申请提供一种分布式虚拟网络的动态迁移系统,所述系统包括:获取单元、分组单元和策略部署单元;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
当其中一个故障虚拟机需要数据迁移时,该故障虚拟机所在的微隔离分组选举一个临时主控点,由所述临时主控点向分组内其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述故障虚拟机的数据迁移到所述第二虚拟机;
其中,所述广播迁移消息包括将所述故障虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述故障虚拟机发送响应消息,指示所述故障虚拟机完成数据迁移,并删除所述故障虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息。
结合第二方面,在第二方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第二方面,在第二方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第二方面,在第二方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
本发明提供一种分布式虚拟网络的动态迁移方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,当有数据迁移发生时微隔离分组选举一个临时主控点指示分组内其他虚拟机调整安全防护策略。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明分布式虚拟网络的动态迁移方法的流程图;
图2为本发明分布式虚拟网络的动态迁移系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的分布式虚拟网络的动态迁移方法的流程图,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
当其中一个故障虚拟机需要数据迁移时,该故障虚拟机所在的微隔离分组选举一个临时主控点,由所述临时主控点向分组内其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述故障虚拟机的数据迁移到所述第二虚拟机;
其中,所述广播迁移消息包括将所述故障虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述故障虚拟机发送响应消息,指示所述故障虚拟机完成数据迁移,并删除所述故障虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
图2为本申请提供的分布式虚拟网络的动态迁移系统的架构图,所述系统包括:获取单元、分组单元和策略部署单元;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
当其中一个故障虚拟机需要数据迁移时,该故障虚拟机所在的微隔离分组选举一个临时主控点,由所述临时主控点向分组内其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述故障虚拟机的数据迁移到所述第二虚拟机;
其中,所述广播迁移消息包括将所述故障虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述故障虚拟机发送响应消息,指示所述故障虚拟机完成数据迁移,并删除所述故障虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (6)
1.一种分布式虚拟网络的动态迁移方法,其特征在于,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
当其中一个故障虚拟机需要数据迁移时,该故障虚拟机所在的微隔离分组选举一个临时主控点,由所述临时主控点向分组内其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述故障虚拟机的数据迁移到所述第二虚拟机;
其中,所述广播迁移消息包括将所述故障虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述故障虚拟机发送响应消息,指示所述故障虚拟机完成数据迁移,并删除所述故障虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
2.根据权利要求1所述的方法,其特征在于:所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
3.根据权利要求1所述的方法,其特征在于:所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
4.一种分布式虚拟网络的动态迁移系统,其特征在于,所述系统包括:获取单元、分组单元和策略部署单元;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
当其中一个故障虚拟机需要数据迁移时,该故障虚拟机所在的微隔离分组选举一个临时主控点,由所述临时主控点向分组内其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述故障虚拟机的数据迁移到所述第二虚拟机;
其中,所述广播迁移消息包括将所述故障虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述故障虚拟机发送响应消息,指示所述故障虚拟机完成数据迁移,并删除所述故障虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
5.根据权利要求4所述的系统,其特征在于,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
6.根据权利要求4所述的系统,其特征在于,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010023299.8A CN111176795B (zh) | 2020-01-09 | 2020-01-09 | 一种分布式虚拟网络的动态迁移方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010023299.8A CN111176795B (zh) | 2020-01-09 | 2020-01-09 | 一种分布式虚拟网络的动态迁移方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111176795A CN111176795A (zh) | 2020-05-19 |
| CN111176795B true CN111176795B (zh) | 2022-05-03 |
Family
ID=70652575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010023299.8A Active CN111176795B (zh) | 2020-01-09 | 2020-01-09 | 一种分布式虚拟网络的动态迁移方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111176795B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111786981B (zh) * | 2020-06-24 | 2022-03-25 | 安全能力生态聚合(北京)运营科技有限公司 | 一种公共云网络业务管理方法及系统 |
| CN115118466B (zh) * | 2022-06-14 | 2024-04-12 | 深信服科技股份有限公司 | 一种策略生成方法、装置、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577702A (zh) * | 2016-03-15 | 2016-05-11 | 耿童童 | 一种虚拟机级安全防护系统及方法 |
| CN106874070A (zh) * | 2017-02-24 | 2017-06-20 | 郑州云海信息技术有限公司 | 一种虚拟机的迁移方法及装置 |
| CN107179957A (zh) * | 2016-03-10 | 2017-09-19 | 阿里巴巴集团控股有限公司 | 物理机故障分类处理方法、装置和虚拟机恢复方法、系统 |
| CN109167795A (zh) * | 2018-09-27 | 2019-01-08 | 深信服科技股份有限公司 | 一种安全防御系统及方法 |
| CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082692B (zh) * | 2011-01-24 | 2012-10-17 | 华为技术有限公司 | 基于网络数据流向的虚拟机迁移方法、设备和集群系统 |
| CN103902885B (zh) * | 2014-03-04 | 2017-11-17 | 重庆邮电大学 | 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法 |
| US20190273718A1 (en) * | 2018-03-01 | 2019-09-05 | ShieldX Networks, Inc. | Intercepting network traffic routed by virtual switches for selective security processing |
-
2020
- 2020-01-09 CN CN202010023299.8A patent/CN111176795B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107179957A (zh) * | 2016-03-10 | 2017-09-19 | 阿里巴巴集团控股有限公司 | 物理机故障分类处理方法、装置和虚拟机恢复方法、系统 |
| CN105577702A (zh) * | 2016-03-15 | 2016-05-11 | 耿童童 | 一种虚拟机级安全防护系统及方法 |
| CN106874070A (zh) * | 2017-02-24 | 2017-06-20 | 郑州云海信息技术有限公司 | 一种虚拟机的迁移方法及装置 |
| CN109167795A (zh) * | 2018-09-27 | 2019-01-08 | 深信服科技股份有限公司 | 一种安全防御系统及方法 |
| CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 面向虚拟化环境的微隔离技术的研究;游益锋;《中国优秀硕士学位论文全文数据库》;20191215;论文正文第46-56和91页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111176795A (zh) | 2020-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111224990B (zh) | 一种分布式微隔离网络的流量牵引方法及系统 | |
| CN111262841B (zh) | 一种虚拟微隔离网络的资源调度方法及系统 | |
| CN111273995A (zh) | 一种虚拟微隔离网络的安全调度方法及系统 | |
| CN111176795B (zh) | 一种分布式虚拟网络的动态迁移方法及系统 | |
| US8797876B2 (en) | Identification of underutilized network devices | |
| CN111212079B (zh) | 一种基于业务的微隔离流量牵引方法及系统 | |
| CN111431881B (zh) | 一种基于windows操作系统的诱捕节点实现方法及装置 | |
| CN102402466B (zh) | 一种解决虚拟化平台多边冲突的方法及系统 | |
| CN109660545B (zh) | 一种联盟链共识方法及计算机存储介质 | |
| CN105224385A (zh) | 一种基于云计算的虚拟化系统及方法 | |
| Ahuja et al. | Ascertain the efficient machine learning approach to detect different ARP attacks | |
| CN105429946A (zh) | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 | |
| CN111224989A (zh) | 一种虚拟微隔离网络的攻击面防护方法及系统 | |
| CN111258711B (zh) | 一种多协议的网络微隔离方法及系统 | |
| CN111262840A (zh) | 一种虚拟网络的攻击面转移方法及系统 | |
| CN113691504A (zh) | 一种基于软件定义网络的网络诱捕方法及系统 | |
| CN111277568A (zh) | 一种分布式虚拟网络的隔离攻击方法及系统 | |
| CN111901317A (zh) | 一种访问控制策略处理方法、装置和设备 | |
| CN111586045A (zh) | 一种属性加密和动态安全层的防护方法及对应的防火墙 | |
| CN111443986A (zh) | 一种分布式虚拟环境的微隔离防护方法及系统 | |
| CN113891309A (zh) | 无线传感器网络中恶意节点的检测方法、系统和汇聚节点 | |
| CN106254375B (zh) | 一种无线热点设备的识别方法及装置 | |
| CN114124568A (zh) | 一种连接控制方法及系统 | |
| CN111953671A (zh) | 一种基于区块链的动态蜜网数据处理方法及系统 | |
| CN114465986B (zh) | Ip地址冲突处理方法及电子设备、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |