一種監(jiān)控虛擬網(wǎng)絡(luò)流量的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及虛擬化技術(shù)和信息安全技術(shù)領(lǐng)域�,尤指一種監(jiān)控內(nèi)核虛擬機(jī)(KVM��, Kernel-basedVirtualMachine)虛擬化環(huán)境中基于LinuxRridgelXinux系統(tǒng)的網(wǎng)橋)實(shí) 現(xiàn)的虛擬網(wǎng)絡(luò)流量的方法和裝置��。
【背景技術(shù)】
[0002] 云計(jì)算是計(jì)算機(jī)和互聯(lián)網(wǎng)的又一次新的革命����,它將計(jì)算和存儲(chǔ)轉(zhuǎn)移到了云端���,用 戶(hù)可W通過(guò)使用輕量級(jí)的便攜式終端來(lái)進(jìn)行復(fù)雜的計(jì)算和大容量的存儲(chǔ)。從技術(shù)的角度來(lái) 看�,云計(jì)算不僅僅是一種新的概念,并行計(jì)算和虛擬化是實(shí)現(xiàn)云計(jì)算應(yīng)用的主要技術(shù)手段�。 由于硬件技術(shù)的快速發(fā)展,使得一臺(tái)普通的物理服務(wù)器的所具有性能遠(yuǎn)遠(yuǎn)超過(guò)普通的單一 用戶(hù)對(duì)硬件性能的需求�����。因此�����,通過(guò)虛擬化的手段�����,將一臺(tái)物理服務(wù)器虛擬為多臺(tái)虛擬機(jī)���, 提供虛擬化服務(wù)成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎(chǔ)。
[0003] 虛擬化在帶來(lái)技術(shù)變革的同時(shí)���,也提出了新的虛擬網(wǎng)絡(luò)安全監(jiān)控問(wèn)題�。傳統(tǒng)的網(wǎng) 絡(luò)安全監(jiān)控通常采用在安全域的網(wǎng)絡(luò)邊界、W及需要監(jiān)聽(tīng)的安全域內(nèi)的網(wǎng)絡(luò)鏈路上旁路式 部署網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品�����,如入侵檢測(cè)系統(tǒng)(IDS,IntrusionDetectionSystems)�����、安全審 計(jì)系統(tǒng)等����。虛擬化技術(shù)對(duì)網(wǎng)絡(luò)工程的最大影響是使得傳統(tǒng)的物理網(wǎng)絡(luò)邊界不再清晰的存 在,從而無(wú)法找到網(wǎng)絡(luò)安全域的網(wǎng)絡(luò)流的物理匯聚點(diǎn)��,也就使得傳統(tǒng)網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品無(wú) 法找到合適的部署位置來(lái)保護(hù)虛擬網(wǎng)絡(luò)安全域的邊界安全��。由于虛擬交換機(jī)的存在���,使得 連接在同一臺(tái)虛擬交換機(jī)上的兩臺(tái)虛擬機(jī)之間的流量在未劃分虛擬局域網(wǎng)(vlan���,Virtual LocalArea化twork)或者存在軟路由的情況下,不會(huì)被轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)上���,送樣即使鏡像 虛擬化服務(wù)器的全部物理端口網(wǎng)絡(luò)流量�,也無(wú)法監(jiān)聽(tīng)送部分僅存在于虛擬網(wǎng)絡(luò)上的流量。
[0004] 使用安全虛擬機(jī)監(jiān)聽(tīng)或者導(dǎo)出被監(jiān)聽(tīng)流量是一種可行的監(jiān)控虛擬網(wǎng)絡(luò)中全流量 (包括不被轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)上的流量)的方法��,如趨勢(shì)科技�、啟明星辰等安全公司都發(fā)布有 利用安全虛擬機(jī)實(shí)現(xiàn)入侵檢測(cè)的產(chǎn)品和方案。在VMware平臺(tái)上����,虛擬交換機(jī)可W配置混雜 端口組,把安全虛擬機(jī)接入到該混雜端口組����,從而實(shí)現(xiàn)監(jiān)聽(tīng)到在虛擬交換機(jī)上交換的所有 網(wǎng)絡(luò)數(shù)據(jù)包。在Xen或KVM平臺(tái)上�����,若使用化envswitch組件作為虛擬交換機(jī)����,則也可W 通過(guò)端口鏡像的方式���,實(shí)現(xiàn)類(lèi)似混雜端口組的功能��。但是�,目前市場(chǎng)上存在大量直接使用 Linux化idge作為虛擬交換機(jī)模塊的KVM虛擬化環(huán)境,Linux化idge并不支持鏡像其上的 數(shù)據(jù)包到特定虛擬端口上�,因此安全虛擬機(jī)將無(wú)法直接部署在送樣的環(huán)境上,而現(xiàn)有技術(shù) 并沒(méi)有提供監(jiān)控基于Linux化idge實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)流量的方法�。
【發(fā)明內(nèi)容】
[0005] 為了解決上述問(wèn)題,本發(fā)明提出了一種監(jiān)控虛擬網(wǎng)絡(luò)流量的方法和裝置��,能夠在 KVM平臺(tái)上����,虛擬網(wǎng)絡(luò)層使用Linux化idge作為虛擬交換機(jī)模塊時(shí),在不修改LinuxBridg 和安全虛擬機(jī)的內(nèi)核代碼的前提下對(duì)虛擬網(wǎng)絡(luò)流量進(jìn)行監(jiān)控���。
[0006] 為了達(dá)到上述目的���,本發(fā)明提出了一種監(jiān)控虛擬網(wǎng)絡(luò)流量的方法,應(yīng)用于內(nèi)核虛 擬機(jī)KVM虛擬化環(huán)境中基于Linux化idge實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)�����,預(yù)先在虛擬網(wǎng)絡(luò)的宿主系統(tǒng)上 設(shè)置監(jiān)控代理�����,并將宿主系統(tǒng)中的Linux化idge的工作模式設(shè)置為混雜模式;其中�,監(jiān)控 代理用于捕獲連接多臺(tái)虛擬機(jī)的Linux化idge的二層數(shù)據(jù)包;
[0007] 該方法包括:
[0008] 監(jiān)控代理捕獲所有通過(guò)Linux化idge的二層數(shù)據(jù)包���;
[0009] 監(jiān)控代理判斷出需要對(duì)捕獲的數(shù)據(jù)包進(jìn)行安全監(jiān)控�,將捕獲的數(shù)據(jù)包發(fā)送給安全 虛擬機(jī)�。
[0010] 優(yōu)選地,所述監(jiān)控代理判斷出需要對(duì)捕獲的數(shù)據(jù)包進(jìn)行安全監(jiān)控包括:
[0011] 所述監(jiān)控代理獲取所述捕獲的數(shù)據(jù)包的源媒體訪問(wèn)控制MC地址和目的MC地 址��,根據(jù)獲得的源MC地址和目的MC地址確定發(fā)送和接收捕獲的數(shù)據(jù)包的虛擬機(jī)所在的 業(yè)務(wù)域���,根據(jù)所述業(yè)務(wù)域?qū)?yīng)的安全策略判斷出需要對(duì)所述獲得的設(shè)備發(fā)送的數(shù)據(jù)包進(jìn)行 安全監(jiān)控����。
[0012] 優(yōu)選地���,該方法還包括:
[0013] 所述監(jiān)控代理判斷出不需要對(duì)所述捕獲的數(shù)據(jù)包進(jìn)行安全監(jiān)控�����,丟棄所述捕獲的 數(shù)據(jù)包。
[0014] 本發(fā)明還提出了一種監(jiān)控虛擬網(wǎng)絡(luò)流量的裝置��,至少包括:
[0015] 混雜監(jiān)聽(tīng)模塊,用于捕獲所有通過(guò)Linux化idge的二層數(shù)據(jù)包�����;
[0016] 監(jiān)聽(tīng)策略模塊�,用于判斷出需要對(duì)捕獲的數(shù)據(jù)包進(jìn)行安全監(jiān)控,將捕獲的數(shù)據(jù)包 發(fā)送給安全虛擬機(jī)�。
[0017] 優(yōu)選地,所述監(jiān)聽(tīng)策略模塊還用于:
[0018] 判斷出不需要對(duì)所述捕獲的數(shù)據(jù)包進(jìn)行安全監(jiān)控����,丟棄所述捕獲的數(shù)據(jù)包。
[0019] 與現(xiàn)有技術(shù)相比���,本發(fā)明包括:監(jiān)控代理捕獲所有通過(guò)Linux化idge的二層數(shù)據(jù) 包�;監(jiān)控代理判斷出需要對(duì)捕獲的數(shù)據(jù)包進(jìn)行安全監(jiān)控���,將捕獲的數(shù)據(jù)包發(fā)送給安全虛擬 機(jī)����。通過(guò)本發(fā)明的方案���,監(jiān)控代理在捕獲到通過(guò)Linux化idge的二層數(shù)據(jù)包后���,將需要進(jìn)行 安全監(jiān)控的數(shù)據(jù)包發(fā)送給安全虛擬機(jī)進(jìn)行安全檢測(cè)�,從而實(shí)現(xiàn)對(duì)虛擬網(wǎng)絡(luò)流量進(jìn)行監(jiān)控��。
【附圖說(shuō)明】
[0020] 下面對(duì)本發(fā)明實(shí)施例中的附圖進(jìn)行說(shuō)明���,實(shí)施例中的附圖是用于對(duì)本發(fā)明的進(jìn)一 步理解�,與說(shuō)明書(shū)一起用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限制。
[0021] 圖1為本發(fā)明的監(jiān)控虛擬網(wǎng)絡(luò)流量的方法流程圖���;
[0022] 圖2為本發(fā)明的監(jiān)控虛擬網(wǎng)絡(luò)流量的裝置的結(jié)構(gòu)組成示意圖�����;
[0023] 圖3為本發(fā)明實(shí)施例中KVM宿主機(jī)上所有相關(guān)組件和模塊的部署方式的示意圖��。
【具體實(shí)施方式】
[0024] 為了便于本領(lǐng)域技術(shù)人員的理解�,下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的描述���,并不 能用來(lái)限制本發(fā)明的保護(hù)范圍��。
[0025] 參見(jiàn)圖1����,本發(fā)明提出了一種監(jiān)控虛擬網(wǎng)絡(luò)流量的方法��,應(yīng)用于KVM虛擬化環(huán)境中 基于Linux化idge實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)���,預(yù)先在虛擬網(wǎng)絡(luò)的宿主系統(tǒng)上設(shè)置監(jiān)控代理����,并將宿 主系統(tǒng)中的Linux化idge的工作模式設(shè)置為混雜模式���。
[0026] 其中���,監(jiān)控代理用于捕獲連接多臺(tái)虛擬機(jī)的Linux化idge的二層數(shù)據(jù)包。
[0027] 其中����,可W采用現(xiàn)有的方法將Linux化idge的工作模式設(shè)置為混雜模式。
[0028] 將Linux化idge的工作模式設(shè)置為混雜模式后�,當(dāng)數(shù)據(jù)包到達(dá)宿主系統(tǒng)的內(nèi) 核時(shí),將數(shù)據(jù)包轉(zhuǎn)發(fā)給LinuxBridge,由于Linux化idge的工作模式為混雜模式,Linux 化idge在處理數(shù)據(jù)包時(shí)���,會(huì)對(duì)數(shù)據(jù)包進(jìn)行一次克隆��,并把克隆的數(shù)據(jù)包中的設(shè)備改為L(zhǎng)inux Bridge,然后將數(shù)據(jù)包發(fā)送給內(nèi)核��;內(nèi)核接收到數(shù)據(jù)包后�����,將數(shù)據(jù)包發(fā)送到宿主機(jī)的協(xié)議找 中�����。
[0029] 該方法包括:
[0030] 步驟100��、監(jiān)控代理捕獲所有通過(guò)Linux化idge的二層數(shù)據(jù)包����。
[0031] 本步驟中��,監(jiān)控代理可W采用系統(tǒng)函數(shù)ioctl獲得Linux化idge的接口索引�����,根 據(jù)獲得的接口索引采用bind機(jī)制判斷數(shù)據(jù)包是否來(lái)自于LinuxBridge;如果是,則W原始 套接字的方式實(shí)現(xiàn)對(duì)所有通過(guò)Linux化idge的二層數(shù)據(jù)包的捕獲����。
[0032] 步驟101、監(jiān)控代理判斷出需要對(duì)捕獲的數(shù)據(jù)包進(jìn)行安全監(jiān)控��,將捕獲的數(shù)據(jù)包發(fā) 送給安全虛擬機(jī)����。
[0033] 本步驟中�,監(jiān)控代理判斷出需要對(duì)捕獲的數(shù)據(jù)包進(jìn)行安全監(jiān)控包括:
[0034] 監(jiān)控代理獲取捕獲的數(shù)據(jù)包的源媒體訪問(wèn)控制(MAC,MediaAccessControl)地 址和目的MAC地址,根據(jù)獲得的源MAC地址和目的MAC地址確定發(fā)送和接收