一种虚拟网络环境中镜像网络流量的管理系统和控制方法技术方案

一种虚拟化网络环境中对镜像网络流量的管理系统和基于软件定义的镜像流量管理和控制方法，本发明专利技术的镜像网络流量管理和监控系统包括镜像网络流量中心控制节点，虚拟化镜像流量管理节点，虚拟化镜像流量分发节点。利用镜像网络流量中心控制节点进行全局管控、利用靠近业务虚拟机部署的虚拟化镜像流量管理节点实现数据包捕获和按流表动作转发、利用靠近安全设备部署的虚拟化镜像流量分发节点实现数据包的按安全业务复制和分发。本发明专利技术具有全局视角的最优化镜像流量导出策略，镜像流量调度敏捷、完整，且镜像流量管理节点只占用很少的计算资源。

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及虚拟化网络环境中对镜像网络流量的管理和基于镜像网络流量的网络安全监控方案。
技术介绍
在虚拟化网络环境中，用户的业务系统被部署在虚拟机上，为了保障这些系统的安全以及符合相关的安全合规性，仍然需要像在传统物理网络环境中一样对这些虚拟机进行网络安全监控。但是传统的硬件物理安全产品无法准确捕获所需要监控的业务虚拟机的网络流量。软件定义网络(SoftwareDefinedNetworks，SDN)是近年来提出的一种利用解耦网络硬件的控制层、转发层和数据层来实现对网络流量高灵活性转发控制的新的网络控制架构。Openflow是最具有代表性的SDN的具体实现技术之一。而整个SDN的方案也由支持Openflow的虚拟或物理交换机和Openflow的控制器组成。在执行转发时，控制器通过策略下发，将流表下发到相应支持Openflow协议的虚拟或物理交换机中，OpenFlow交换机将依照这个流表对所有进入其中的流量进行处理。如果流表中没有关于某特定流的条目与之对应，数据包信息则会被发往控制器，由控制器做出处理。控制器决定如何处理之后，就在OpenFlow交换机中通过相应的操作措施来对流进行处理。任何进入交换机的数据包都需要与数据头12个元组中的某一特定值进行匹配。根据对Openflow规范标准版本支持的不同，以及各个SDN交换机厂商实现的不同，流表所支持的配置项会有细节上的差别。虚拟导流技术是一种通过特殊的安全虚拟机捕获同一台物理机中其他业务虚拟机流量，并将其导出给带外的硬件安全设备的虚拟化环境中的镜像流量捕获的解决方案。安全虚拟机通过镜像连接在同一台虚拟交换机上的业务虚拟机的流量，捕获到所需要监控的网络流量，并根据预先设置物理安全设备的目的地址，将其所捕获的网络流量直接转发到安全设备上。在此方案中，导流用的安全虚拟机通常只能无条件的或者基于简单IP规则进行过滤需要导出给物理安全设备的流量，因为安全虚拟机并不具备全局的拓扑视野，也不能进行复杂的判断，那样会导致其消耗过多的物理硬件资源，而影响其他业务虚拟机的正常工作。在云计算和虚拟化环境中旁路监控业务虚拟机间的流量的方案目前主要有两种主要的技术路线：第一种方案是像传统网络环境一样，直接在物理交换机上配置镜像端口抓包。这个方案存在的问题在于虚拟化环境中业务虚拟机没有固定的物理拓扑，因此通过物理口镜像捕获到的网络流量是混杂了多个不同安全域(或虚拟局域网)的网络流量，但是有可能每个安全域的流量都不完整，这会很大的影响旁路安全检测的性能。第二种方案是通过在每台物理服务器上部署安全虚拟机进行流量捕获，再导流到目的安全设备。这种方案存在的问题是每台物理机上部署的安全虚拟机无法实时感知整个物理拓扑的变化情况，受性能所限，也无法对所捕获数据包的转发进行复杂的策略判断，如进行按协议过滤按、按安全域边界策略过滤等。另外安全虚拟机抓包导流的方案还存在有流量重复的问题，包括一种情况是两台部署在不同物理主机上的安全虚拟机都会抓到各自所在物理机上的业务虚拟机通信的同一个数据包，而无法准确判断其是否重复；另一种情况是安全虚拟机需要同时向如入侵检测系统、网络审计系统和应用性能监控系统等旁路安全设备导出其所捕获的流量时，若在安全虚拟机内将数据包复制多份后分别转发出去，会造成对其所在的物理主机的计算和网络资源极大的占用，从而严重影响与其共享资源的业务虚拟机的正常工作。
技术实现思路
本专利技术的目的是为了实现一种利用软件定义的概念实现镜像网络流量转发管理和控制的新的技术架构和系统，用于解决：1)安全监控过程中，安全设备对网络流量的捕获问题；2)由于性能限制导致的网络流量捕获终端无法实现细粒度的旁路网络流量转发策略的问题；3)由于不具备全局视野导致的网络流量捕获终端捕获流量重复的问题；4)向多个安全设备同时转发流量的多目的流量转发导致的业务主机带宽占用过大的问题。一种基于软件定义的镜像网络流量管理和监控系统，提供了一种基于SDN设计思想的控制和转发解耦的新型技术架构，利用镜像网络流量中心控制节点进行全局管控、利用靠近业务虚拟机部署的虚拟化镜像流量管理节点实现数据包捕获和按流表动作转发、利用靠近安全设备部署的虚拟化镜像流量分发节点实现数据包的按安全业务复制和分发。如图1所示，本专利技术所实现的镜像网络流量管理和监控系统由三个主要部件组成，其中镜像网络流量中心控制节点可以是物理机或虚拟机的形态，部署在网络中可达的任何位置；虚拟化镜像流量管理节点是虚拟机的形态，部署在每台物理机中；虚拟化镜像流量分发节点是虚拟机的形态，部署在三层物理交换机中的旁路安全资源池中；虚拟机形态的旁路安全设备，如虚拟化入侵检测系统、虚拟化网络安全审计系统等部署在旁路安全资源池中，而物理形态的旁路安全设备连接在三层物理交换机上。镜像网络流量管理和监控系统从业务逻辑上可以按照如图2所示的模块结构进行划分。整个系统分成三个逻辑层，分别是流量策略管理控制层、流量策略执行层和流量数据转发层。其中分别是流量策略管理控制层负责从全局上控制镜像流量的捕获、统计和转发的策略，该部分功能位于镜像网络流量中心控制节点中；流量策略执行层负责执行由流量策略管理控制层所下发的流量策略，包括对流量的复制、统计、过滤和封装，该部分功能分别位于镜像流量管理节点和镜像流量分发节点上。流量数据转发层负责对捕获到的实际业务系统的流量数据进行接收和发生，由于旁路安全资源池和业务资源池结构在实际应用环境中往往是异构的结构，安全产品往往不能对业务资源池进行过多兼容性的要求，因此该部分的功能中，“虚拟机系统内零拷贝数据包收发模块”位于流量管理节点和流量分发节点内、“虚拟化系统流量镜像模块”位于旁路网络流量中心控制节点内、“虚拟化系统零拷贝数据包发送模块”位于旁路安全资源池和镜像流量分发节点内。本专利技术解决其技术问题所采用的技术方案是：一种镜像网络流量的管理系统，其特征在于，包括镜像流量中心控制节点，其用于进行全局管控；镜像流量管理节点，其用于实现数据包捕获和按流表动作转发；镜像流量分发节点，其用于实现数据包的按安全业务复制和分发；在所述镜像流量中心控制节点中包括镜像流量策略可视化配置模块、镜像流量管理节点管理模块、流量策略管理模块、流量负载统计监控模块、网络拓扑监控模块、流量策略决策模块、流量策略通信模块；在所述镜像流量管理节点和所述镜像流量分发节点中包括镜像流量策略控制代理模块、本地流表管理模块、流表执行模块、流量复制模块、流量统计模块、流量过滤模块、流量封装模块、虚拟机系统内零拷贝数据包收发模块、虚拟化系统流量镜像模块。所述镜像流量管理节点管理模块，用于管理整个系统中所有的镜像流量管理节点和镜像流量分发节点，提供包括节点的注册、监控、部署、销毁操作，所述镜像流量策略管理模块，用于提供对用户所设定流量策略的查看、检索、新增、修改、复制和删除的功能，主要对接数据库的操作，所述流量负载统计监控模块，用于监控每个镜像流量管理节点所转发出去的流量，若发现某节点所在环境流量达到阈值，则下发流量策略停止流量的转发，以保证业务系统的资源使用，所述网络拓扑监控模块，用于监控业务网络中业务虚拟机和旁路安全设备的拓扑变化情况，当发现业务虚拟机的拓扑发生变化时，通知下发流本文档来自技高网...

【技术保护点】
一种镜像网络流量的管理系统，其特征在于，包括镜像流量中心控制节点，其用于进行全局管控；镜像流量管理节点，其用于实现数据包捕获和按流表动作转发；镜像流量分发节点，其用于实现数据包的按安全业务复制和分发；在所述镜像流量中心控制节点中包括镜像流量策略可视化配置模块、镜像流量管理节点管理模块、流量策略管理模块、流量负载统计监控模块、网络拓扑监控模块、流量策略决策模块、流量策略通信模块；在所述镜像流量管理节点和所述镜像流量分发节点中包括镜像流量策略控制代理模块、本地流表管理模块、流表执行模块、流量复制模块、流量统计模块、流量过滤模块、流量封装模块、虚拟机系统内零拷贝数据包收发模块、虚拟化系统流量镜像模块。

【技术特征摘要】
1.一种镜像网络流量的管理系统，其特征在于，包括镜像流量中心控制节点，其用于进行全局管控；镜像流量管理节点，其用于实现数据包捕获和按流表动作转发；镜像流量分发节点，其用于实现数据包的按安全业务复制和分发；在所述镜像流量中心控制节点中包括镜像流量策略可视化配置模块、镜像流量管理节点管理模块、流量策略管理模块、流量负载统计监控模块、网络拓扑监控模块、流量策略决策模块、流量策略通信模块；在所述镜像流量管理节点和所述镜像流量分发节点中包括镜像流量策略控制代理模块、本地流表管理模块、流表执行模块、流量复制模块、流量统计模块、流量过滤模块、流量封装模块、虚拟机系统内零拷贝数据包收发模块、虚拟化系统流量镜像模块。2.根据权利要求1所述的镜像网络流量的管理系统，其中，所述镜像流量管理节点管理模块，用于管理整个系统中所有的镜像流量管理节点和镜像流量分发节点，提供包括节点的注册、监控、部署、销毁操作，所述镜像流量策略管理模块，用于提供对用户所设定流量策略的查看、检索、新增、修改、复制和删除的功能，主要对接数据库的操作，所述流量负载统计监控模块，用于监控每个镜像流量管理节点所转发出去的流量，若发现某节点所在环境流量达到阈值，则下发流量策略停止流量的转发，以保证业务系统的资源使用，所述网络拓扑监控模块，用于监控业务网络中业务虚拟机和旁路安全设备的拓扑变化情况，当发现业务虚拟机的拓扑发生变化时，通知下发流量策略，更新相关的镜像流量管理节点中的流表项，当发现旁路安全设备的拓扑发生变化时，下发流量策略，更新相关的镜像流量管理节点和镜像流分发节点中的流表项，所述流量策略决策模块，用于在收到镜像流量管理节点或镜像流量分发节点所发出的流量策略请求后，根据已经配置的流量策略信息生成流量转发策略；在生成流量策略时会综合考虑流量统计的负载情况、源端和目的端的去重、需要过滤的IP或协议的白名单、是否需要进行流量分发多重因素，所述流量策略通信模块，用于接收镜像流量管理节点的流量策略请求，并将生成的流量策略下发到镜像流量管理节点，所述镜像流量策略控制代理模块，用于向流量中心控制节点发送流量策略请求，并接受流量中心控制节点下发的流量策略，所述本地流表管理模块，用于将接收流量策略存储到流转发表中，并执行流表项老化更新，所述流表执行模块，用于根据所接收到的数据包查找到相应的流表项，并根据流表项指定的行为调用具体的执行模块，或在无法找到相应的流表项时向流量策略控制代理模块提交流量策略请求，所述流量复制模块，用于执行对数据包的复制，提供对流表执行模块的调用接口，所述流量统计模块，用于执行对所捕获和所转发的数据包的流量统计，并定期向镜像网络流量中心控制节点进行上报，所述流量过滤模块，用于...

【专利技术属性】
技术研发人员：不公告发明人，
申请(专利权)人：北京瑞和云图科技有限公司，
类型：发明
国别省市：北京;11