[发明专利]一种监控虚拟网络流量的方法和装置

说明书

技术领域

本发明涉及虚拟化技术和信息安全技术领域，尤指一种监控内核虚拟机(KVM，Kernel-basedVirtualMachine)虚拟化环境中基于LinuxBridge(Linux系统的网桥)实现的虚拟网络流量的方法和装置。

背景技术

云计算是计算机和互联网的又一次新的革命，它将计算和存储转移到了云端，用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成为了构建公有云和企业私有云的技术基础。

虚拟化在带来技术变革的同时，也提出了新的虚拟网络安全监控问题。传统的网络安全监控通常采用在安全域的网络边界、以及需要监听的安全域内的网络链路上旁路式部署网络安全监控产品，如入侵检测系统(IDS，IntrusionDetectionSystems)、安全审计系统等。虚拟化技术对网络工程的最大影响是使得传统的物理网络边界不再清晰的存在，从而无法找到网络安全域的网络流的物理汇聚点，也就使得传统网络安全监控产品无法找到合适的部署位置来保护虚拟网络安全域的边界安全。由于虚拟交换机的存在，使得连接在同一台虚拟交换机上的两台虚拟机之间的流量在未划分虚拟局域网(vlan，VirtualLocalAreaNetwork)或者存在软路由的情况下，不会被转发到物理网络上，这样即使镜像虚拟化服务器的全部物理端口网络流量，也无法监听这部分仅存在于虚拟网络上的流量。

使用安全虚拟机监听或者导出被监听流量是一种可行的监控虚拟网络中全流量(包括不被转发到物理网络上的流量)的方法，如趋势科技、启明星辰等安全公司都发布有利用安全虚拟机实现入侵检测的产品和方案。在VMware平台上，虚拟交换机可以配置混杂端口组，把安全虚拟机接入到该混杂端口组，从而实现监听到在虚拟交换机上交换的所有网络数据包。在Xen或KVM平台上，若使用Openvswitch组件作为虚拟交换机，则也可以通过端口镜像的方式，实现类似混杂端口组的功能。但是，目前市场上存在大量直接使用LinuxBridge作为虚拟交换机模块的KVM虚拟化环境，LinuxBridge并不支持镜像其上的数据包到特定虚拟端口上，因此安全虚拟机将无法直接部署在这样的环境上，而现有技术并没有提供监控基于LinuxBridge实现的虚拟网络流量的方法。

发明内容

为了解决上述问题，本发明提出了一种监控虚拟网络流量的方法和装置，能够在KVM平台上，虚拟网络层使用LinuxBridge作为虚拟交换机模块时，在不修改LinuxBridg和安全虚拟机的内核代码的前提下对虚拟网络流量进行监控。

为了达到上述目的，本发明提出了一种监控虚拟网络流量的方法，应用于内核虚拟机KVM虚拟化环境中基于LinuxBridge实现的虚拟网络，预先在虚拟网络的宿主系统上设置监控代理，并将宿主系统中的LinuxBridge的工作模式设置为混杂模式；其中，监控代理用于捕获连接多台虚拟机的LinuxBridge的二层数据包；

该方法包括：

监控代理捕获所有通过LinuxBridge的二层数据包；

监控代理判断出需要对捕获的数据包进行安全监控，将捕获的数据包发送给安全虚拟机。

优选地，所述监控代理判断出需要对捕获的数据包进行安全监控包括：

所述监控代理获取所述捕获的数据包的源媒体访问控制MAC地址和目的MAC地址，根据获得的源MAC地址和目的MAC地址确定发送和接收捕获的数据包的虚拟机所在的业务域，根据所述业务域对应的安全策略判断出需要对所述获得的设备发送的数据包进行安全监控。

优选地，该方法还包括：

所述监控代理判断出不需要对所述捕获的数据包进行安全监控，丢弃所述捕获的数据包。

本发明还提出了一种监控虚拟网络流量的装置，至少包括：

混杂监听模块，用于捕获所有通过LinuxBridge的二层数据包；

监听策略模块，用于判断出需要对捕获的数据包进行安全监控，将捕获的数据包发送给安全虚拟机。

优选地，所述监听策略模块还用于：

判断出不需要对所述捕获的数据包进行安全监控，丢弃所述捕获的数据包。