CN111555919A - 基于虚拟化云平台的转发流量的方法、装置与存储介质 - Google Patents
基于虚拟化云平台的转发流量的方法、装置与存储介质 Download PDFInfo
- Publication number
- CN111555919A CN111555919A CN202010351094.2A CN202010351094A CN111555919A CN 111555919 A CN111555919 A CN 111555919A CN 202010351094 A CN202010351094 A CN 202010351094A CN 111555919 A CN111555919 A CN 111555919A
- Authority
- CN
- China
- Prior art keywords
- flow
- physical host
- threat
- traffic
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种基于虚拟化云平台的转发流量的方法、装置、存储介质与处理器。该方法包括:检测物理主机的虚拟网络流量中是否存在威胁;在虚拟网络流量中存在威胁的情况下,控制物理主机由流量镜像模式切换为流量串行模式;在威胁解除后,控制物理主机由流量串行模式切换为流量镜像模式,该方案实现了虚拟化云平台中转发流量的方法在流量镜像模式和流量串行模式之间的切换,由于基于流量镜像模式可以检测到威胁且不会导致流量产生丢包和延时,而基于流量串行模式可以实现对流量的转发和消除威胁,所以本方案具有了流量镜像模式和流量串行模式的双重优势,进而改善了基于虚拟化云平台的转发流量的效果。
Description
技术领域
本申请涉及云安全技术领域,具体而言,涉及一种基于虚拟化云平台的转发流量的方法、装置、存储介质与处理器。
背景技术
现有的在虚拟化云平台中虚拟机通过虚拟网络转发流量,一般有两种方式,单纯流量镜像技术和单纯流量串联技术。
单纯流量镜像技术本身是复制虚拟化云平台的流量,实际的流量并不经过镜像设备处理,所以并不能对流量的转发路径产生影响。如果在流量中发现威胁,并不能对流量做对应的策略阻断威胁。
单纯流量串联技术是将特定的虚拟安全设备接入虚拟机和虚拟网络之间,流量先进入虚拟安全设备,经过虚拟安全设备查询安全规则以后,决定继续转发到目标虚拟网络,该技术虽然能够完整控制虚拟化云平台流量,但是受制于虚拟化安全设备的对流量处理转发性能,一旦虚拟化安全设备性能不高或者不稳定就会影响流量,导致流量产生丢包和延时。
在背景技术部分中公开的以上信息只是用来加强对本文所描述技术的背景技术的理解,因此,背景技术中可能包含某些信息,这些信息对于本领域技术人员来说并未形成在本国已知的现有技术。
发明内容
本申请的主要目的在于提供一种基于虚拟化云平台的转发流量的方法、装置、存储介质与处理器,以解决现有技术中虚拟化云平台中虚拟机通过虚拟网络转发流量的处理效果较差的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种基于虚拟化云平台的转发流量的方法,包括:检测物理主机的虚拟网络流量中是否存在威胁;在所述虚拟网络流量中存在威胁的情况下,控制所述物理主机由流量镜像模式切换为流量串行模式;在所述威胁解除后,控制所述物理主机由所述流量串行模式切换为所述流量镜像模式。
进一步地,在检测物理主机的虚拟网络流量中是否存在威胁之前,所述方法还包括:配置所述物理主机的流量,所述流量为任意两个虚拟机之间通信所需的流量的总和,所述物理主机包括所述虚拟机;配置所述物理主机的安全等级要求和安全规范要求。
进一步地,检测物理主机的虚拟网络流量中是否存在威胁,包括:根据所述物理主机的流量进行镜像配置,得到镜像配置结果;根据所述镜像配置结果,检测所述物理主机的虚拟网络流量中是否存在威胁。
进一步地,在所述虚拟网络流量中存在威胁的情况下,控制所述物理主机由流量镜像模式切换为流量串行模式,包括:在所述虚拟网络流量中存在威胁的情况下,确定所述物理主机是否满足所述安全等级要求和/或所述安全规范要求;在所述物理主机不满足所述安全等级要求和/或所述安全规范要求的情况下,控制所述物理主机由流量镜像模式切换为流量串行模式。
进一步地,在控制所述物理主机由所述流量镜像模式切换为所述流量串行模式之后,且在控制所述物理主机由所述流量串行模式切换为所述流量镜像模式之前,所述方法还包括:在触发威胁的目标网络和目标虚拟机之间串联一个或多个虚拟化安全设备,所述虚拟化安全设备进行流量接管和威胁解除。
进一步地,所述虚拟化安全设备支持镜像接入方式和/或串联接入方式。
进一步地,在检测物理主机的虚拟网络流量中是否存在威胁之前,所述方法还包括:配置所述物理主机的目标功能,所述目标功能为所述物理主机上的虚拟机实现的功能。
根据本申请的另一方面,提供了一种基于虚拟化云平台的转发流量的装置,包括:检测单元,用于检测物理主机的虚拟网络流量中是否存在威胁;第一控制单元,用于在所述虚拟网络流量中存在威胁的情况下,控制所述物理主机由流量镜像模式切换为流量串行模式;第二控制单元,用于在所述威胁解除后,控制所述物理主机由所述流量串行模式切换为所述流量镜像模式。
根据本申请的又一方面,提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序执行任意一种所述的基于虚拟化云平台的转发流量的方法。
根据本申请的再一方面,提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行任意一种所述的基于虚拟化云平台的转发流量的方法。
应用本申请的技术方案,检测物理主机的虚拟网络流量中是否存在威胁,在虚拟网络流量中存在威胁的情况下,控制物理主机由流量镜像模式切换为流量串行模式,在威胁解除后,控制物理主机由流量串行模式切换为流量镜像模式,实现了虚拟化云平台中转发流量的方法在流量镜像模式和流量串行模式之间的切换,由于基于流量镜像模式可以检测到威胁且不会导致流量产生丢包和延时,而基于流量串行模式可以实现对流量的转发和消除威胁,所以本方案具有了流量镜像模式和流量串行模式的双重优势,进而改善了基于虚拟化云平台的转发流量的效果。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了根据本申请实施例的基于虚拟化云平台的转发流量的方法流程图;以及
图2示出了根据本申请实施例的基于虚拟化云平台的转发流量的装置示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应该理解的是,当元件(诸如层、膜、区域、或衬底)描述为在另一元件“上”时,该元件可直接在该另一元件上,或者也可存在中间元件。而且,在说明书以及权利要求书中,当描述有元件“连接”至另一元件时,该元件可“直接连接”至该另一元件,或者通过第三元件“连接”至该另一元件。
根据本申请的实施例,提供了一种基于虚拟化云平台的转发流量的方法。
图1是根据本申请实施例的基于虚拟化云平台的转发流量的方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,检测物理主机的虚拟网络流量中是否存在威胁;
步骤S102,在上述虚拟网络流量中存在威胁的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式;
步骤S103,在上述威胁解除后,控制上述物理主机由上述流量串行模式切换为上述流量镜像模式。
上述方案中,检测物理主机的虚拟网络流量中是否存在威胁,在虚拟网络流量中存在威胁的情况下,控制物理主机由流量镜像模式切换为流量串行模式,在威胁解除后,控制物理主机由流量串行模式切换为流量镜像模式,实现了虚拟化云平台中转发流量的方法在流量镜像模式和流量串行模式之间的切换,由于基于流量镜像模式可以检测到威胁且不会导致流量产生丢包和延时,而基于流量串行模式可以实现对流量的转发和消除威胁,所以本方案具有了流量镜像模式和流量串行模式的双重优势,进而改善了基于虚拟化云平台的转发流量的效果。
需要说明的是,上述威胁包括但不限于信息泄露、信息窃听、恶意篡改数据以及伪造数据流。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请的一种实施例,在检测物理主机的虚拟网络流量中是否存在威胁之前,上述方法还包括:配置上述物理主机的流量,上述流量为任意两个虚拟机之间通信所需的流量的总和,上述物理主机包括上述虚拟机;配置上述物理主机的安全等级要求和安全规范要求,每个物理主机可以包括一个或者多个虚拟机,虚拟机和虚拟机之间的通信需要借助流量数据,满足物理主机的安全等级要求和安全规范要求是物理主机实现正常通信的必要条件,通过配置上述物理主机的流量以及物理主机的安全等级要求和安全规范要求,为后续检测虚拟网络流量中是否存在威胁做准备,以保证后续检测的威胁的准确性,进一步地改善了基于虚拟化云平台的转发流量的效果。
本申请的另一种实施例,检测物理主机的虚拟网络流量中是否存在威胁,包括:根据上述物理主机的流量进行镜像配置,得到镜像配置结果;根据上述镜像配置结果,检测上述物理主机的虚拟网络流量中是否存在威胁,即通过镜像配置将物理主机的流量完全复制,进而在复制的流量中检测是否存在威胁,可以实现对威胁的准确检测。
本申请的再一种实施例,在上述虚拟网络流量中存在威胁的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式,包括:在上述虚拟网络流量中存在威胁的情况下,确定上述物理主机是否满足上述安全等级要求和/或上述安全规范要求;在上述物理主机不满足上述安全等级要求和/或上述安全规范要求的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式,即在上述虚拟网络流量中存在威胁的情况下,且物理主机不满足安全等级要求和/或安全规范要求,也就是说威胁的存在已经影响到了基于虚拟化云平台的正常功能的实现,此时必须将威胁解决以保证虚拟化云平台的正常运行,而将物理主机由流量镜像模式切换为流量串行模式可解除威胁,进一步地改善了基于虚拟化云平台的转发流量的效果。
本申请的再一种实施例,在上述虚拟网络流量中存在威胁的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式,包括:在上述虚拟网络流量中存在威胁的情况下,确定上述物理主机是否满足上述安全等级要求和/或上述安全规范要求;在上述物理主机满足上述安全等级要求和上述安全规范要求的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式,或者,在上述物理主机满足上述安全等级要求和上述安全规范要求的情况下,控制上述物理主机继续保持流量镜像模式,即在上述虚拟网络流量中存在威胁的情况下,且物理主机满足安全等级要求和安全规范要求,也就是说存在的威胁并不会影响基于虚拟化云平台的正常功能的实现,此时,将物理主机由流量镜像模式切换为流量串行模式是可行的,可以将存在的威胁尽早地消除,以防止威胁沿流量传播的路径传播,在上述物理主机满足上述安全等级要求和上述安全规范要求的情况下,也可以控制物理主机继续保持流量镜像模式,等到新的威胁出现的时候,再采取相应的措施。
本申请的又一种实施例,在控制上述物理主机由上述流量镜像模式切换为上述流量串行模式之后,且在控制上述物理主机由上述流量串行模式切换为上述流量镜像模式之前,上述方法还包括:在触发威胁的目标网络和目标虚拟机之间串联一个或多个虚拟化安全设备,上述虚拟化安全设备进行流量接管和威胁解除,即通过在触发威胁的目标网络和目标虚拟机之间串联一个或多个虚拟化安全设备,虚拟化安全设备可以实现流量接管和威胁解除,具体地,从目标虚拟机流出的流量先转发至虚拟化安全设备,经虚拟化安全设备解除威胁后,再将不存在威胁的流量转发至目标网络,进而实现威胁的解除,进一步地改善了基于虚拟化云平台的转发流量的效果。
本申请的一种实施例,上述虚拟化安全设备支持镜像接入方式和/或串联接入方式,即虚拟化安全设备可根据需要实现的功能选择镜像接入方式或者串联接入方式,若仅仅实现对流量的复制,则虚拟化安全设备选择镜像接入方式,若需要解除威胁,则虚拟化安全设备选择串联接入方式,在解除威胁后将串联的虚拟化安全设备删除,以实现基于虚拟化云平台的流量的正确而高效地转发。
本申请的再一种实施例,在检测物理主机的虚拟网络流量中是否存在威胁之前,上述方法还包括:配置上述物理主机的目标功能,上述目标功能为上述物理主机上的虚拟机实现的功能,即根据一个或者多个虚拟机实现的功能,配置物理主机的目标功能,进而根据配置物理主机的目标功能分配虚拟机与虚拟机之间需要传递的流量,为后续威胁的检测做准备,进而改善了基于虚拟化云平台的转发流量的效果。
本申请的再一种实施例,上述物理主机为一个或者多个,上述威胁有一种或者多种,即在一个虚拟化云平台中可以包括一个或者多个主机,每一个主机中包括一个或者多个虚拟机,物理主机的虚拟网络流量中存在一种或者多种威胁,虚拟化安全设备根据威胁的种类采取相应的解除威胁的方法,以保证威胁的及时且准确地解除,进而改善了基于虚拟化云平台的转发流量的效果。
本申请实施例还提供了一种基于虚拟化云平台的转发流量的装置,需要说明的是,本申请实施例的基于虚拟化云平台的转发流量的装置可以用于执行本申请实施例所提供的用于基于虚拟化云平台的转发流量的方法。以下对本申请实施例提供的基于虚拟化云平台的转发流量的装置进行介绍。
图2是根据本申请实施例的基于虚拟化云平台的转发流量的装置的示意图。如图2所示,该装置包括:
检测单元10,用于检测物理主机的虚拟网络流量中是否存在威胁;
第一控制单元20,用于在上述虚拟网络流量中存在威胁的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式;
第二控制单元30,用于在上述威胁解除后,控制上述物理主机由上述流量串行模式切换为上述流量镜像模式。
上述方案中,检测单元检测物理主机的虚拟网络流量中是否存在威胁,第一控制单元在虚拟网络流量中存在威胁的情况下,控制物理主机由流量镜像模式切换为流量串行模式,第二控制单元在威胁解除后,控制物理主机由流量串行模式切换为流量镜像模式,实现了虚拟化云平台中转发流量的装置在流量镜像模式和流量串行模式之间的切换,由于基于流量镜像模式可以检测到威胁且不会导致流量产生丢包和延时,而基于流量串行模式可以实现对流量的转发和消除威胁,所以本方案具有了流量镜像模式和流量串行模式的双重优势,进而改善了基于虚拟化云平台的转发流量的效果。
需要说明的是,上述威胁包括但不限于信息泄露、信息窃听、恶意篡改数据以及伪造数据流。
本申请的一种实施例,上述装置还包括第一配置单元,第一配置单元用于在检测物理主机的虚拟网络流量中是否存在威胁之前,配置上述物理主机的流量,上述流量为任意两个虚拟机之间通信所需的流量的总和,上述物理主机包括上述虚拟机;配置上述物理主机的安全等级要求和安全规范要求,每个物理主机可以包括一个或者多个虚拟机,虚拟机和虚拟机之间的通信需要借助流量数据,满足物理主机的安全等级要求和安全规范要求是物理主机实现正常通信的必要条件,通过配置上述物理主机的流量以及物理主机的安全等级要求和安全规范要求,为后续检测虚拟网络流量中是否存在威胁做准备,以保证后续检测的威胁的准确性,进一步地改善了基于虚拟化云平台的转发流量的效果。
本申请的另一种实施例,检测单元包括配置模块和检测模块,配置模块用于根据上述物理主机的流量进行镜像配置,得到镜像配置结果;检测模块用于根据上述镜像配置结果,检测上述物理主机的虚拟网络流量中是否存在威胁,即通过镜像配置将物理主机的流量完全复制,进而在复制的流量中检测是否存在威胁,可以实现对威胁的准确检测。
本申请的再一种实施例,第一控制单元包括第一确定模块和第一控制模块,第一确定模块用于在上述虚拟网络流量中存在威胁的情况下,确定上述物理主机是否满足上述安全等级要求和/或上述安全规范要求;第一控制模块用于在上述物理主机不满足上述安全等级要求和/或上述安全规范要求的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式,即在上述虚拟网络流量中存在威胁的情况下,且物理主机不满足安全等级要求和/或安全规范要求,也就是说威胁的存在已经影响到了基于虚拟化云平台的正常功能的实现,此时必须将威胁解决以保证虚拟化云平台的正常运行,而将物理主机由流量镜像模式切换为流量串行模式可解除威胁,进一步地改善了基于虚拟化云平台的转发流量的效果。
本申请的再一种实施例,第一控制单元还包括第二确定模块和第二控制模块,第二确定模块用于在上述虚拟网络流量中存在威胁的情况下,确定上述物理主机是否满足上述安全等级要求和/或上述安全规范要求;第二控制模块用于在上述物理主机满足上述安全等级要求和上述安全规范要求的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式,或者,在上述物理主机满足上述安全等级要求和上述安全规范要求的情况下,控制上述物理主机继续保持流量镜像模式,即在上述虚拟网络流量中存在威胁的情况下,且物理主机满足安全等级要求和安全规范要求,也就是说存在的威胁并不会影响基于虚拟化云平台的正常功能的实现,此时,将物理主机由流量镜像模式切换为流量串行模式是可行的,可以将存在的威胁尽早地消除,以防止威胁沿流量传播的路径传播,在上述物理主机满足上述安全等级要求和上述安全规范要求的情况下,也可以控制物理主机继续保持流量镜像模式,等到新的威胁出现的时候,再采取相应的措施。
本申请的又一种实施例,上述装置还包括串联单元,串联单元用于在控制上述物理主机由上述流量镜像模式切换为上述流量串行模式之后,且在控制上述物理主机由上述流量串行模式切换为上述流量镜像模式之前,在触发威胁的目标网络和目标虚拟机之间串联一个或多个虚拟化安全设备,上述虚拟化安全设备进行流量接管和威胁解除,即通过在触发威胁的目标网络和目标虚拟机之间串联一个或多个虚拟化安全设备,虚拟化安全设备可以实现流量接管和威胁解除,具体地,从目标虚拟机流出的流量先转发至虚拟化安全设备,经虚拟化安全设备解除威胁后,再将不存在威胁的流量转发至目标网络,进而实现威胁的解除,进一步地改善了基于虚拟化云平台的转发流量的效果。
本申请的一种实施例,上述虚拟化安全设备支持镜像接入方式和/或串联接入方式,即虚拟化安全设备可根据需要实现的功能选择镜像接入方式或者串联接入方式,若仅仅实现对流量的复制,则虚拟化安全设备选择镜像接入方式,若需要解除威胁,则虚拟化安全设备选择串联接入方式,在解除威胁后将串联的虚拟化安全设备删除,以实现基于虚拟化云平台的流量的正确而高效地转发。
本申请的再一种实施例,上述装置还包括第二配置单元,第二配置单元用于在检测物理主机的虚拟网络流量中是否存在威胁之前,配置上述物理主机的目标功能,上述目标功能为上述物理主机上的虚拟机实现的功能,即根据一个或者多个虚拟机实现的功能,配置物理主机的目标功能,进而根据配置物理主机的目标功能分配虚拟机与虚拟机之间需要传递的流量,为后续威胁的检测做准备,进而改善了基于虚拟化云平台的转发流量的效果。
本申请的再一种实施例,上述物理主机为一个或者多个,上述威胁有一种或者多种,即在一个虚拟化云平台中可以包括一个或者多个主机,每一个主机中包括一个或者多个虚拟机,物理主机的虚拟网络流量中存在一种或者多种威胁,虚拟化安全设备根据威胁的种类采取相应的解除威胁的装置,以保证威胁的及时且准确地解除,进而改善了基于虚拟化云平台的转发流量的效果。
上述基于虚拟化云平台的转发流量的装置包括处理器和存储器,上述检测单元、第一控制单元和第二控制单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来改善基于虚拟化云平台的转发流量的效果。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现上述基于虚拟化云平台的转发流量的方法。
本发明实施例提供了一种处理器,上述处理器用于运行程序,其中,上述程序运行时执行上述基于虚拟化云平台的转发流量的方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现至少以下步骤:
步骤S101,检测物理主机的虚拟网络流量中是否存在威胁;
步骤S102,在上述虚拟网络流量中存在威胁的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式;
步骤S103,在上述威胁解除后,控制上述物理主机由上述流量串行模式切换为上述流量镜像模式。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有至少如下方法步骤的程序:
步骤S101,检测物理主机的虚拟网络流量中是否存在威胁;
步骤S102,在上述虚拟网络流量中存在威胁的情况下,控制上述物理主机由流量镜像模式切换为流量串行模式;
步骤S103,在上述威胁解除后,控制上述物理主机由上述流量串行模式切换为上述流量镜像模式。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
实施例
本实施例涉及一种具体的基于虚拟化云平台的转发流量的系统,该系统在虚拟化云平台上有两台物理主机HostA和HostB,在HostA上存在虚拟机vm-1和vm-2,存在虚拟网络sw-1。在其中一个物理主机上部署虚拟控制设备,虚拟控制设备需要能连通虚拟化云平台,并具有控制权限。
在虚拟控制设备上进行配置,根据需要在两个物理主机上分别添加一个或多个虚拟化安全设备,继续配置需要镜像的云平台中目标功能和流量,将vm-1、vm-2流量分别镜像到对应物理主机的虚拟化安全设备进行分析和检测。
当虚拟化安全设备检测到vm-1流量存在威胁时,上报给虚拟控制设备。虚拟控制设备对比当前配置的安全等级要求和安全规范要求,对比此时触发威胁的等级和信息,决策是否将vm-1切换为流量串行模式。
当准备切换为流量串行模式时,虚拟控制设备控制云平台创建新的虚拟化安全设备,并配置相关的转发表项将新的虚拟化安全设备串联接入vm-1与虚拟网络sw-1之间,接管vm-1的上下行流量,对vm-1触发威胁做进一步处理。
此时vm-2和HostB上虚拟机仍然处于镜像模式下不受新的虚拟化安全设备的影响,当新的虚拟化安全设备确认威胁清除后,发送消息至虚拟控制设备。虚拟控制设备将vm-1切换为镜像模式,删除串联的新的虚拟化安全设备。
从以上的描述中,可以看出,本申请上述的实施例实现了如下技术效果:
1)、本申请的基于虚拟化云平台的转发流量的方法,检测物理主机的虚拟网络流量中是否存在威胁,在虚拟网络流量中存在威胁的情况下,控制物理主机由流量镜像模式切换为流量串行模式,在威胁解除后,控制物理主机由流量串行模式切换为流量镜像模式,实现了虚拟化云平台中转发流量的方法在流量镜像模式和流量串行模式之间的切换,由于基于流量镜像模式可以检测到威胁且不会导致流量产生丢包和延时,而基于流量串行模式可以实现对流量的转发和消除威胁,所以本方案具有了流量镜像模式和流量串行模式的双重优势,进而改善了基于虚拟化云平台的转发流量的效果。
2)、本申请的基于虚拟化云平台的转发流量的装置,检测单元检测物理主机的虚拟网络流量中是否存在威胁,第一控制单元在虚拟网络流量中存在威胁的情况下,控制物理主机由流量镜像模式切换为流量串行模式,第二控制单元在威胁解除后,控制物理主机由流量串行模式切换为流量镜像模式,实现了虚拟化云平台中转发流量的装置在流量镜像模式和流量串行模式之间的切换,由于基于流量镜像模式可以检测到威胁且不会导致流量产生丢包和延时,而基于流量串行模式可以实现对流量的转发和消除威胁,所以本方案具有了流量镜像模式和流量串行模式的双重优势,进而改善了基于虚拟化云平台的转发流量的效果。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种基于虚拟化云平台的转发流量的方法,其特征在于,包括:
检测物理主机的虚拟网络流量中是否存在威胁;
在所述虚拟网络流量中存在威胁的情况下,控制所述物理主机由流量镜像模式切换为流量串行模式;
在所述威胁解除后,控制所述物理主机由所述流量串行模式切换为所述流量镜像模式。
2.根据权利要求1所述的方法,其特征在于,在检测物理主机的虚拟网络流量中是否存在威胁之前,所述方法还包括:
配置所述物理主机的流量,所述流量为任意两个虚拟机之间通信所需的流量的总和,所述物理主机包括所述虚拟机;
配置所述物理主机的安全等级要求和安全规范要求。
3.根据权利要求2所述的方法,其特征在于,检测物理主机的虚拟网络流量中是否存在威胁,包括:
根据所述物理主机的流量进行镜像配置,得到镜像配置结果;
根据所述镜像配置结果,检测所述物理主机的虚拟网络流量中是否存在威胁。
4.根据权利要求2所述的方法,其特征在于,在所述虚拟网络流量中存在威胁的情况下,控制所述物理主机由流量镜像模式切换为流量串行模式,包括:
在所述虚拟网络流量中存在威胁的情况下,确定所述物理主机是否满足所述安全等级要求和/或所述安全规范要求;
在所述物理主机不满足所述安全等级要求和/或所述安全规范要求的情况下,控制所述物理主机由流量镜像模式切换为流量串行模式。
5.根据权利要求1所述的方法,其特征在于,在控制所述物理主机由所述流量镜像模式切换为所述流量串行模式之后,且在控制所述物理主机由所述流量串行模式切换为所述流量镜像模式之前,所述方法还包括:
在触发威胁的目标网络和目标虚拟机之间串联一个或多个虚拟化安全设备,所述虚拟化安全设备进行流量接管和威胁解除。
6.根据权利要求5所述的方法,其特征在于,所述虚拟化安全设备支持镜像接入方式和/或串联接入方式。
7.根据权利要求1所述的方法,其特征在于,在检测物理主机的虚拟网络流量中是否存在威胁之前,所述方法还包括:
配置所述物理主机的目标功能,所述目标功能为所述物理主机上的虚拟机实现的功能。
8.一种基于虚拟化云平台的转发流量的装置,其特征在于,包括:
检测单元,用于检测物理主机的虚拟网络流量中是否存在威胁;
第一控制单元,用于在所述虚拟网络流量中存在威胁的情况下,控制所述物理主机由流量镜像模式切换为流量串行模式;
第二控制单元,用于在所述威胁解除后,控制所述物理主机由所述流量串行模式切换为所述流量镜像模式。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至7中任意一项所述的基于虚拟化云平台的转发流量的方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至7中任意一项所述的基于虚拟化云平台的转发流量的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010351094.2A CN111555919B (zh) | 2020-04-28 | 2020-04-28 | 基于虚拟化云平台的转发流量的方法、装置与存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010351094.2A CN111555919B (zh) | 2020-04-28 | 2020-04-28 | 基于虚拟化云平台的转发流量的方法、装置与存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111555919A true CN111555919A (zh) | 2020-08-18 |
| CN111555919B CN111555919B (zh) | 2022-12-09 |
Family
ID=72008252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010351094.2A Active CN111555919B (zh) | 2020-04-28 | 2020-04-28 | 基于虚拟化云平台的转发流量的方法、装置与存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111555919B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872958A (zh) * | 2021-09-24 | 2021-12-31 | 中能融合智慧科技有限公司 | 一种基于工控安全态势感知的智能网络识别工具 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107404421A (zh) * | 2017-09-18 | 2017-11-28 | 赛尔网络有限公司 | 流量监测、监管方法及系统 |
| CN108076019A (zh) * | 2016-11-17 | 2018-05-25 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
| CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
| US10395029B1 (en) * | 2015-06-30 | 2019-08-27 | Fireeye, Inc. | Virtual system and method with threat protection |
-
2020
- 2020-04-28 CN CN202010351094.2A patent/CN111555919B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10395029B1 (en) * | 2015-06-30 | 2019-08-27 | Fireeye, Inc. | Virtual system and method with threat protection |
| CN108076019A (zh) * | 2016-11-17 | 2018-05-25 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
| CN107404421A (zh) * | 2017-09-18 | 2017-11-28 | 赛尔网络有限公司 | 流量监测、监管方法及系统 |
| CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872958A (zh) * | 2021-09-24 | 2021-12-31 | 中能融合智慧科技有限公司 | 一种基于工控安全态势感知的智能网络识别工具 |
| CN113872958B (zh) * | 2021-09-24 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种基于工控安全态势感知的智能网络识别工具 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111555919B (zh) | 2022-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11855904B2 (en) | Automated migration of compute instances to isolated virtual networks | |
| US11036531B2 (en) | Techniques to migrate a virtual machine using disaggregated computing resources | |
| EP3017392B1 (en) | Process evaluation for malware detection in virtual machines | |
| US11595408B2 (en) | Denial of service mitigation | |
| CN107608757B (zh) | 一种基于容器的隔离处理方法及相关设备 | |
| EP4083786A1 (en) | Cloud operating system management method and apparatus, server, management system, and medium | |
| US20180060103A1 (en) | Guest code emulation by virtual machine function | |
| CN109379347B (zh) | 一种安全防护方法及设备 | |
| CN108959916B (zh) | 用于访问安全世界的方法、装置和系统 | |
| US20150269031A1 (en) | Instant virtual machines | |
| CN102932409B (zh) | 一种虚拟机在线迁移的方法和系统 | |
| EP3103215B1 (en) | Managing service availability in a mega virtual machine | |
| CN108319492B (zh) | 复位物理机的方法、装置与系统 | |
| CN104036185A (zh) | 基于虚拟化的宏内核操作系统载入模块权能隔离方法 | |
| CN111555919B (zh) | 基于虚拟化云平台的转发流量的方法、装置与存储介质 | |
| CN113791865A (zh) | 容器安全的处理方法及装置、存储介质和处理器 | |
| KR101729680B1 (ko) | 경량 하이퍼바이저에 기반하는 운영체제의 제공 방법 및 장치 | |
| CN112698979A (zh) | zookeeper双节点的处理方法、装置、存储介质及处理器 | |
| CN106502759A (zh) | 一种数据访问方法、代码调用方法及虚拟机监视器 | |
| CN110968444A (zh) | 云计算平台的数据处理方法和装置 | |
| CN113938527A (zh) | Api网关的扩展处理方法、计算设备及存储介质 | |
| CN108459899B (zh) | 信息保护方法及装置 | |
| CN112527323A (zh) | 一种安装Ambari的方法、装置和Ambari架构 | |
| GB2563266A (en) | Denial of service mitigation | |
| US11960919B2 (en) | Virtual accelerators in a virtualized computing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |