【技术实现步骤摘要】
本专利技术涉及云计算网络安全。具体来说,涉及到云计算虚拟租户网络的监控方法及系统。
技术介绍
云计算逐渐成为计算机行业的发展趋势,但由于技术本身不成熟云计算正面临一系列安全挑战,虚拟网络安全问题在云计算环境普遍存在。为了解决这个问题,云计算提出多租户概念和虚拟网络隔离技术,提高虚拟网络环境的安全性。然而,云计算网络安全问题却转移到租户网络安全问题。在云计算系统中,虚拟化将传统的物理机虚拟化成若干个虚拟机形成一个大的虚拟机资源池,每个租户拥有资源池中的一组虚拟机,这些虚拟机通过租户网络相互连通,这种连通性为内部攻击的发生提供可能。当攻击者成功入侵了某个租户的一台虚拟机,他可以通过该虚拟机对该租户的其他虚拟机发动各种网络攻击。如果租户网络缺乏网络攻击防护能力,实施攻击非常方便且效果较为明显。为了保证租户网络安全性,必须感知租户网络安全状态,及时发现网络攻击,有效检测租户网络入侵。目前,云计算网络监控方法主要是采集云计算系统内网和网络出入口的流量,并对采集到的流量进行分析处理,实现对网络流量的监控和网络态势的感知。如申请号为:201510574191.7的专利技术专利申请,一种云计算网络中南北向流量安全防护系统,采用虚拟防火墙判断报文来源,来源为虚拟机和Network网络的报文经由不同的处理,包括虚拟防火墙、第一网络转发层和第二网络转发层,实现南北向流量的安全防护。云计算作为新兴技术,技术发展不成熟,虚拟租户网络监控方面的研究比较有限。对比传统网络监控方法,云计算虚拟租户网络的监控方法存在以下几方面问题:其一,大规模数据中心拥有成大量租户网络,一个普通的网络设 ...
【技术保护点】
一种云计算虚拟租户网络监控方法,其步骤为:1)在基础云计算系统的控制节点建立一监控服务器,在基础云计算系统的计算节点建立一监控代理;2)所述监控服务器向监控代理发送时间消息和流量采集配置参数;3)各所述监控代理根据接收的时间消息完成时间同步启动定时机制,根据收到的采集配置参数开始采集所在计算节点交换机上的流量数据;4)各所述监控代理根据采集的流量数据中的网络设备信息,得到流量数据的租户标识;并根据定时机制定期将采集的流量数据生成单节点流量监控数据发送给所述监控服务器;所述单节点流量监控数据包括流量数据的租户标识和流量数据中的特征统计数据;5)所述监控服务器根据各所述监控代理发送的单节点监控数据生成租户网络监控数据。
【技术特征摘要】
1.一种云计算虚拟租户网络监控方法,其步骤为:1)在基础云计算系统的控制节点建立一监控服务器,在基础云计算系统的计算节点建立一监控代理;2)所述监控服务器向监控代理发送时间消息和流量采集配置参数;3)各所述监控代理根据接收的时间消息完成时间同步启动定时机制,根据收到的采集配置参数开始采集所在计算节点交换机上的流量数据;4)各所述监控代理根据采集的流量数据中的网络设备信息,得到流量数据的租户标识;并根据定时机制定期将采集的流量数据生成单节点流量监控数据发送给所述监控服务器;所述单节点流量监控数据包括流量数据的租户标识和流量数据中的特征统计数据;5)所述监控服务器根据各所述监控代理发送的单节点监控数据生成租户网络监控数据。2.如权利要求1所述的方法,其特征在于,步骤5)中,所述监控服务器根据单节点流量监控数据中的租户标识对各监控代理发过来的单节点监控数据进行区分,为每个租户形成租户监控数据;然后根据各租户监控数据生成租户网络监控数据。3.如权利要求1所述的方法,其特征在于,步骤1)中,所述监控服务器完成一用于存储单节点监控数据的本地监控数据缓存队列初始化后,启动定时机制,进入等待阶段;各所述监控代理完成一用于存储单节点流量监控数据的本地监控数据队列初始化后,向所述监控服务器发送一确认信息;然后进行步骤2)。4.如权利要求3所述的方法,其特征在于,步骤5)中,所述监控服务器维护该本地监控数据缓存队列的方法为:a)所述监控服务器查询本地监控数据缓存队列中第n个时间间隔Tn内是否包含所有所述监控代理发送的单节点监控数据;b)如果时间间隔Tn内所有所述监控代理发送的单节点监控数据全部存储在本地监控数据缓存队列中,所述监控服务器将时间间隔Tn内的单节点监控数据生成租户网络数据,然后删除本地监控数据缓存队列中时间间隔Tn内的所有单节点监控数据;然后所述监控服务器查询本地监控数据缓存队列是否存在前一个时间间隔Tn-1内发送的单节点监控数据,根据如下规则综合监控数据:b-1)如果本地监控数据缓存队列存在时间间隔Tn-1的单节点监控数据,所述监控服务器将时间间隔Tn-1的单节点监控数据生成租户网络数据,删除本地监控数据缓存队列中时间间隔Tn-1的所有单节点监控数据,依次类推,重复所述步骤b-1)直到第1个时间间隔T0。5.如权利要求1所述的方法,其特征在于,步骤5)中,所述监控服务器从收到的单节点监控数据中提取同一租户的相同间间隔的虚拟机监控数据,区分虚拟机相互通信...
【专利技术属性】
技术研发人员:王利明,王淼,徐震,马多贺,陈凯,董文婷,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。