本发明专利技术公开了一种监控虚拟网络流量的方法和装置,应用于KVM虚拟化环境中基于Linux Bridge实现的虚拟网络,预先在虚拟网络的宿主系统上设置监控代理,并将宿主系统中的Linux Bridge的工作模式设置为混杂模式;其中,监控代理用于捕获连接多台虚拟机的Linux Bridge的二层数据包;该方法包括:监控代理捕获所有通过Linux Bridge的二层数据包;监控代理判断出需要对捕获的数据包进行安全监控,将捕获的数据包发送给安全虚拟机。本发明专利技术通过监控代理在捕获到通过Linux Bridge的二层数据包后,将需要进行安全监控的数据包发送给安全虚拟机进行安全检测,从而实现对虚拟网络流量进行监控。
【技术实现步骤摘要】
本专利技术涉及虚拟化技术和信息安全
,尤指一种监控内核虚拟机(KVM, Kernel-basedVirtualMachine)虚拟化环境中基于LinuxRridgelXinux系统的网桥)实 现的虚拟网络流量的方法和装置。
技术介绍
云计算是计算机和互联网的又一次新的革命,它将计算和存储转移到了云端,用 户可W通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来 看,云计算不仅仅是一种新的概念,并行计算和虚拟化是实现云计算应用的主要技术手段。 由于硬件技术的快速发展,使得一台普通的物理服务器的所具有性能远远超过普通的单一 用户对硬件性能的需求。因此,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机, 提供虚拟化服务成为了构建公有云和企业私有云的技术基础。 虚拟化在带来技术变革的同时,也提出了新的虚拟网络安全监控问题。传统的网 络安全监控通常采用在安全域的网络边界、W及需要监听的安全域内的网络链路上旁路式 部署网络安全监控产品,如入侵检测系统(IDS,IntrusionDetectionSystems)、安全审 计系统等。虚拟化技术对网络工程的最大影响是使得传统的物理网络边界不再清晰的存 在,从而无法找到网络安全域的网络流的物理汇聚点,也就使得传统网络安全监控产品无 法找到合适的部署位置来保护虚拟网络安全域的边界安全。由于虚拟交换机的存在,使得 连接在同一台虚拟交换机上的两台虚拟机之间的流量在未划分虚拟局域网(vlan,Virtual LocalArea化twork)或者存在软路由的情况下,不会被转发到物理网络上,送样即使镜像 虚拟化服务器的全部物理端口网络流量,也无法监听送部分仅存在于虚拟网络上的流量。 使用安全虚拟机监听或者导出被监听流量是一种可行的监控虚拟网络中全流量 (包括不被转发到物理网络上的流量)的方法,如趋势科技、启明星辰等安全公司都发布有 利用安全虚拟机实现入侵检测的产品和方案。在VMware平台上,虚拟交换机可W配置混杂 端口组,把安全虚拟机接入到该混杂端口组,从而实现监听到在虚拟交换机上交换的所有 网络数据包。在Xen或KVM平台上,若使用化envswitch组件作为虚拟交换机,则也可W 通过端口镜像的方式,实现类似混杂端口组的功能。但是,目前市场上存在大量直接使用 Linux化idge作为虚拟交换机模块的KVM虚拟化环境,Linux化idge并不支持镜像其上的 数据包到特定虚拟端口上,因此安全虚拟机将无法直接部署在送样的环境上,而现有技术 并没有提供监控基于Linux化idge实现的虚拟网络流量的方法。
技术实现思路
为了解决上述问题,本专利技术提出了一种监控虚拟网络流量的方法和装置,能够在 KVM平台上,虚拟网络层使用Linux化idge作为虚拟交换机模块时,在不修改LinuxBridg 和安全虚拟机的内核代码的前提下对虚拟网络流量进行监控。 为了达到上述目的,本专利技术提出了一种监控虚拟网络流量的方法,应用于内核虚 拟机KVM虚拟化环境中基于Linux化idge实现的虚拟网络,预先在虚拟网络的宿主系统上 设置监控代理,并将宿主系统中的Linux化idge的工作模式设置为混杂模式;其中,监控 代理用于捕获连接多台虚拟机的Linux化idge的二层数据包; 该方法包括: 监控代理捕获所有通过Linux化idge的二层数据包; 监控代理判断出需要对捕获的数据包进行安全监控,将捕获的数据包发送给安全 虚拟机。 优选地,所述监控代理判断出需要对捕获的数据包进行安全监控包括: 所述监控代理获取所述捕获的数据包的源媒体访问控制MC地址和目的MC地 址,根据获得的源MC地址和目的MC地址确定发送和接收捕获的数据包的虚拟机所在的 业务域,根据所述业务域对应的安全策略判断出需要对所述获得的设备发送的数据包进行 安全监控。 优选地,该方法还包括: 所述监控代理判断出不需要对所述捕获的数据包进行安全监控,丢弃所述捕获的 数据包。 本专利技术还提出了一种监控虚拟网络流量的装置,至少包括: 混杂监听模块,用于捕获所有通过Linux化idge的二层数据包; 监听策略模块,用于判断出需要对捕获的数据包进行安全监控,将捕获的数据包 发送给安全虚拟机。 优选地,所述监听策略模块还用于: 判断出不需要对所述捕获的数据包进行安全监控,丢弃所述捕获的数据包。 与现有技术相比,本专利技术包括:监控代理捕获所有通过Linux化idge的二层数据 包;监控代理判断出需要对捕获的数据包进行安全监控,将捕获的数据包发送给安全虚拟 机。通过本专利技术的方案,监控代理在捕获到通过Linux化idge的二层数据包后,将需要进行 安全监控的数据包发送给安全虚拟机进行安全检测,从而实现对虚拟网络流量进行监控。【附图说明】 下面对本专利技术实施例中的附图进行说明,实施例中的附图是用于对本专利技术的进一 步理解,与说明书一起用于解释本专利技术,并不构成对本专利技术保护范围的限制。 图1为本专利技术的监控虚拟网络流量的方法流程图; 图2为本专利技术的监控虚拟网络流量的装置的结构组成示意图; 图3为本专利技术实施例中KVM宿主机上所有相关组件和模块的部署方式的示意图。【具体实施方式】 为了便于本领域技术人员的理解,下面结合附图对本专利技术作进一步的描述,并不 能用来限制本专利技术的保护范围。 参见图1,本专利技术提出了一种监控虚拟网络流量的方法,应用于KVM虚拟化环境中 基于Linux化idge实现的虚拟网络,预先在虚拟网络的宿主系统上设置监控代理,并将宿 主系统中的Linux化idge的工作模式设置为混杂模式。 其中,监控代理用于捕获连接多台虚拟机的Linux化idge的二层数据包。 其中,可W采用现有的方法将Linux化idge的工作模式设置为混杂模式。 将Linux化idge的工作模式设置为混杂模式后,当数据包到达宿主系统的内 核时,将数据包转发给LinuxBridge,由于Linux化idge的工作模式为混杂模式,Linux 化idge在处理数据包时,会对数据包进行一次克隆,并把克隆的数据包中的设备改为Linux Bridge,然后将数据包发送给内核;内核接收到数据包后,将数据包发送到宿主机的协议找 中。 该方法包括: 步骤100、监控代理捕获所有通过Linux化idge的二层数据包。 本步骤中,监控代理可W采用系统函数ioctl获得Linux化idge的接口索引,根 据获得的接口索引采用bind机制判断数据包是否来自于LinuxBridge;如果是,则W原始 套接字的方式实现对所有通过Linux化idge的二层数据包的捕获。 步骤101、监控代理判断出需要对捕获的数据包进行安全监控,将捕获的数据包发 送给安全虚拟机。 本步骤中,监控代理判断出需要对捕获的数据包进行安全监控包括: 监控代理获取捕获的数据包的源媒体访问控制(MAC,MediaAccessControl)地 址和目的MAC地址,根据获得的源MAC地址和目的MAC地址确定发送和接收当前第1页1 2 本文档来自技高网...
【技术保护点】
一种监控虚拟网络流量的方法,其特征在于,应用于内核虚拟机KVM虚拟化环境中基于Linux Bridge实现的虚拟网络,预先在虚拟网络的宿主系统上设置监控代理,并将宿主系统中的Linux Bridge的工作模式设置为混杂模式;其中,监控代理用于捕获连接多台虚拟机的Linux Bridge的二层数据包;该方法包括:监控代理捕获所有通过Linux Bridge的二层数据包;监控代理判断出需要对捕获的数据包进行安全监控,将捕获的数据包发送给安全虚拟机。
【技术特征摘要】
【专利技术属性】
技术研发人员:李陟,曲武,
申请(专利权)人:北京启明星辰信息安全技术有限公司,北京启明星辰信息技术股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。