一种云计算虚拟租户网络监控方法及系统技术方案

本发明专利技术公开了一种云计算虚拟租户网络监控方法及系统。本方法为：1)在基础云计算系统的控制节点建立一监控服务器，在计算节点建立一监控代理；2)监控服务器向监控代理发送时间消息和流量采集配置参数；3)各监控代理根据接收的时间消息完成时间同步启动定时机制，根据收到的采集配置参数开始采集所在计算节点交换机上的流量数据；4)各监控代理根据采集的流量数据中的网络设备信息，得到流量数据的租户标识；并根据定时机制定期将采集的流量数据生成单节点流量监控数据发送给所述监控服务器；5)监控服务器根据各监控代理发送的单节点监控数据生成租户网络监控数据。本发明专利技术最大限度减少对网络环境造成的负担，易于系统维护和扩展。

【技术实现步骤摘要】

本专利技术涉及云计算网络安全。具体来说，涉及到云计算虚拟租户网络的监控方法及系统。
技术介绍
云计算逐渐成为计算机行业的发展趋势，但由于技术本身不成熟云计算正面临一系列安全挑战，虚拟网络安全问题在云计算环境普遍存在。为了解决这个问题，云计算提出多租户概念和虚拟网络隔离技术，提高虚拟网络环境的安全性。然而，云计算网络安全问题却转移到租户网络安全问题。在云计算系统中，虚拟化将传统的物理机虚拟化成若干个虚拟机形成一个大的虚拟机资源池，每个租户拥有资源池中的一组虚拟机，这些虚拟机通过租户网络相互连通，这种连通性为内部攻击的发生提供可能。当攻击者成功入侵了某个租户的一台虚拟机，他可以通过该虚拟机对该租户的其他虚拟机发动各种网络攻击。如果租户网络缺乏网络攻击防护能力，实施攻击非常方便且效果较为明显。为了保证租户网络安全性，必须感知租户网络安全状态，及时发现网络攻击，有效检测租户网络入侵。目前，云计算网络监控方法主要是采集云计算系统内网和网络出入口的流量，并对采集到的流量进行分析处理，实现对网络流量的监控和网络态势的感知。如申请号为：201510574191.7的专利技术专利申请，一种云计算网络中南北向流量安全防护系统，采用虚拟防火墙判断报文来源，来源为虚拟机和Network网络的报文经由不同的处理，包括虚拟防火墙、第一网络转发层和第二网络转发层，实现南北向流量的安全防护。云计算作为新兴技术，技术发展不成熟，虚拟租户网络监控方面的研究比较有限。对比传统网络监控方法，云计算虚拟租户网络的监控方法存在以下几方面问题：其一，大规模数据中心拥有成大量租户网络，一个普通的网络设备承载着庞大的租户流量，传统的流量采集方式如何应用到云计算环境应该被慎重考虑，集中式的收集分析处理模式已经不再适用；其二，网络虚拟化的引入使网络资源可以重复使用，不同租户创建的网络有所重叠，虚拟机ip地址被复用，简单根据IP地址区分租户的虚拟机流量不再可行，必须附加其他的识别信息；其三，租户资源部署分散，一个租户的虚拟机部署在不同节点，造成租户网络监控数据的共享和租户网络的全局监控成为一个难点。综上分析可知，有必要对传统网络监控方法进行改进，解决以上问题造成的监控难点。
技术实现思路
有鉴于此，本专利技术提出了一种云计算虚拟租户网络监控方法及系统，并将该方法在云计算系统中实现。该方法采用分布式的架构实现轻量级的虚拟机流量监控，使用一个服务器综合租户网络监控数据，最大限度减少对网络环境造成的负担，易于系统维护和扩展。本专利技术的目的是提出一种云计算虚拟租户网络监控方法，其步骤包括：1)在基础云计算系统的控制节点建立一个监控服务器，所述监控服务器完成本地监控数据缓存队列初始化后，启动定时机制，进入等待阶段；2)在基础云计算系统的所有计算节点分别建立一个监控代理，所述监控代理完成本地监控数据队列初始化后，向所述监控服务器发送一确认信息，即Hello消息；3)所述监控服务器在接收到所述监控代理发送的Hello消息后，进入监听阶段，向监控代理发送时间消息和流量采集配置参数；4)所述监控代理接收时间消息和流量采集配置参数，完成时间同步启动定时机制，根据采集配置参数开始采集所在计算节点交换机上的流量；5)所述监控代理分析处理采集的流量数据形成单节点流量监控数据，分配新的队列空间存储监控数据，追加在本地监控数据队列的队尾；6)所述监控代理根据定时机制定期将单节点流量监控数据发送给所述监控服务器；7)所述监控服务器接收所述监控代理发送的单节点监控数据，分配新的队列空间存储单节点监控数据，追加在本地监控数据缓存队列的队尾；8)所述监控服务器综合同时间段内接收的所有单节点监控数据形成租户网络监控数据，将租户网络监控数据存储到数据库，将缓存队列相应的数据删除；所述监控代理采集所在计算节点的虚拟交换机的流量数据，使用sflow数据流采样技术采样流量。所述监控代理提取采集的流量数据中的网络设备信息，用该信息作为虚拟机流量区分标识，确定流量数据的租户归属，即通过网络设备信息得到租户标识。所述监控代理监控其所驻的计算节点的每个虚拟机的流量，并将流量监控数据维护在本地队列，添加租户标识属性，租户标识属性将用于监控服务器识别监控数据属于哪个租户。所述监控代理提取流量数据的租户标识、源地址、目的地址、协议类型、端口号、TCP标识位、TTL属性信息，并对属性信息进行统计形成包括租户标识和特征统计数据的单节点监控数据。所述监控代理实现的定时机制周期性地将指定时间段内的单节点监控数据发送给所述监控服务器。所述监控代理使用UDP报文封装单节点监控数据并附加时间间隔信息发送给所述监控服务器，所述监控服务器读取UDP报文数据负载获取单节点监控数据和时间间隔信息，分配新的队列空间存储监控数据和时间间隔信息，追加在缓存队列队尾。所述监控服务器综合缓存队列的单节点监控数据方法如下：a)所述监控服务器查询缓存队列中同一时间间隔是否包含所有所述监控代理发送的单节点监控数据；b)如果时间间隔T2中所有所述监控代理发送的单节点监控数据全部存储在缓存队列中，所述监控服务器将时间间隔T2的监控数据综合形成租户网络数据，删除缓存队列中时间间隔T2的所有监控数据，释放缓存队列空间，所述监控服务器查询缓存队列是否存在前一个时间间隔T1的所述监控代理发送的单节点监控数据，根据如下规则综合监控数据；b-1)如果缓存队列存在时间间隔T1的监控数据，所述监控服务器将时间间隔T1的监控数据综合形成租户网络数据，删除缓存队列中时间间隔T1的所有监控数据，释放缓存队列空间，所述监控服务器查询缓存队列是否存在前一个时间间隔T0的所述监控代理发送的单节点监控数据，重复所述步骤b-1)。所述监控服务器提取同一租户的相同间间隔的虚拟机监控数据，区分虚拟机相互通信流量和虚拟机对外通信流量。如果数据包的源地址和目的地址都为租户虚拟机地址，则属于虚拟机相互通信流量；否则数据虚拟机对外通信流量。监控服务器为每个租户形成租户网络数据，虚拟机流量的源地址、目的地址、协议类型、端口号、TCP标识位作为流特征，租户网络数据包括租户每个虚拟机的流统计数据，代表租户内虚拟机的网络行为。租户网络数据将被存储在数据库中。所述监控代理实现心跳机制，定期向所述监控服务器发送心跳数据包，所述监控服务器在一个时间段内没有收到心跳数据包则认为所述监控代理发生异常错误，产生告警信息。本专利技术还提出一种云计算虚拟租户网络监控系统，包括：监控代理和监控服务器。监控代理包括：虚拟机流量采集模块、流量特征提取模块、单节点监控数据生成模块、单节点监控数据存储模块、单节点监控数据上报模块和心跳通报模块。监控服务器包括：监控数据缓存模块、租户监控数据综合模块和心跳检测模块，监控服务器向监控代理发送时间消息和流量采集配置参数。所述虚拟机流量采集模块，用于采集流经计算节点的虚拟交换机上的虚拟机流量数据，根据网络设备信息为流量数据附加虚拟机标识和租户标识；所述流量特征提取模块，用于提取流量数据的源地址、目的地址、协议类型、端口号、TCP标识位、TTL属性信息；所述单节点监控数据生成模块，用于对所述流量特征提取模块提取的流量特征进行统计，形成单节点监控数据；所述单节点监控数据存储模块，用于维护本地数据监控队列本文档来自技高网...

【技术保护点】
一种云计算虚拟租户网络监控方法，其步骤为：1)在基础云计算系统的控制节点建立一监控服务器，在基础云计算系统的计算节点建立一监控代理；2)所述监控服务器向监控代理发送时间消息和流量采集配置参数；3)各所述监控代理根据接收的时间消息完成时间同步启动定时机制，根据收到的采集配置参数开始采集所在计算节点交换机上的流量数据；4)各所述监控代理根据采集的流量数据中的网络设备信息，得到流量数据的租户标识；并根据定时机制定期将采集的流量数据生成单节点流量监控数据发送给所述监控服务器；所述单节点流量监控数据包括流量数据的租户标识和流量数据中的特征统计数据；5)所述监控服务器根据各所述监控代理发送的单节点监控数据生成租户网络监控数据。

【技术特征摘要】
1.一种云计算虚拟租户网络监控方法，其步骤为：1)在基础云计算系统的控制节点建立一监控服务器，在基础云计算系统的计算节点建立一监控代理；2)所述监控服务器向监控代理发送时间消息和流量采集配置参数；3)各所述监控代理根据接收的时间消息完成时间同步启动定时机制，根据收到的采集配置参数开始采集所在计算节点交换机上的流量数据；4)各所述监控代理根据采集的流量数据中的网络设备信息，得到流量数据的租户标识；并根据定时机制定期将采集的流量数据生成单节点流量监控数据发送给所述监控服务器；所述单节点流量监控数据包括流量数据的租户标识和流量数据中的特征统计数据；5)所述监控服务器根据各所述监控代理发送的单节点监控数据生成租户网络监控数据。2.如权利要求1所述的方法，其特征在于，步骤5)中，所述监控服务器根据单节点流量监控数据中的租户标识对各监控代理发过来的单节点监控数据进行区分，为每个租户形成租户监控数据；然后根据各租户监控数据生成租户网络监控数据。3.如权利要求1所述的方法，其特征在于，步骤1)中，所述监控服务器完成一用于存储单节点监控数据的本地监控数据缓存队列初始化后，启动定时机制，进入等待阶段；各所述监控代理完成一用于存储单节点流量监控数据的本地监控数据队列初始化后，向所述监控服务器发送一确认信息；然后进行步骤2)。4.如权利要求3所述的方法，其特征在于，步骤5)中，所述监控服务器维护该本地监控数据缓存队列的方法为：a)所述监控服务器查询本地监控数据缓存队列中第n个时间间隔Tn内是否包含所有所述监控代理发送的单节点监控数据；b)如果时间间隔Tn内所有所述监控代理发送的单节点监控数据全部存储在本地监控数据缓存队列中，所述监控服务器将时间间隔Tn内的单节点监控数据生成租户网络数据，然后删除本地监控数据缓存队列中时间间隔Tn内的所有单节点监控数据；然后所述监控服务器查询本地监控数据缓存队列是否存在前一个时间间隔Tn-1内发送的单节点监控数据，根据如下规则综合监控数据：b-1)如果本地监控数据缓存队列存在时间间隔Tn-1的单节点监控数据，所述监控服务器将时间间隔Tn-1的单节点监控数据生成租户网络数据，删除本地监控数据缓存队列中时间间隔Tn-1的所有单节点监控数据，依次类推，重复所述步骤b-1)直到第1个时间间隔T0。5.如权利要求1所述的方法，其特征在于，步骤5)中，所述监控服务器从收到的单节点监控数据中提取同一租户的相同间间隔的虚拟机监控数据，区分虚拟机相互通信...

【专利技术属性】
技术研发人员：王利明，王淼，徐震，马多贺，陈凯，董文婷，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11