一種Xen虛擬化環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計(jì)算技術(shù)領(lǐng)域�,尤其是涉及一種Xen虛擬化環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測(cè)方法。
【背景技術(shù)】
[0002]Xen是一個(gè)開放源代碼虛擬機(jī)設(shè)備監(jiān)視器�,由劍橋大學(xué)開發(fā)。它打算在單個(gè)計(jì)算機(jī)上運(yùn)行多達(dá)100個(gè)滿特征的操作系統(tǒng)��。操作系統(tǒng)必須進(jìn)行顯式地修改(“移植”)以在Xen上運(yùn)行(但是提供對(duì)用戶應(yīng)用的兼容性)�。這使得Xen無(wú)需特殊硬件支持,就能達(dá)到高性能的虛擬化�����。
[0003]目前,由于虛擬化網(wǎng)絡(luò)的復(fù)雜性與多樣性�,在Host宿主機(jī)內(nèi)部是無(wú)法獲取到虛擬機(jī)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)的,更無(wú)法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵防御�����;而且�����,在目前的傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中����,入侵防御的主體仍然是IP,而虛擬機(jī)設(shè)備的IP是可以動(dòng)態(tài)變化的���,如何在虛擬網(wǎng)絡(luò)環(huán)境中���,應(yīng)對(duì)虛擬化網(wǎng)絡(luò)的多變性,進(jìn)行入侵防御�;至今還沒(méi)有有效的解決方法。
【發(fā)明內(nèi)容】
[0004]本發(fā)明所解決的技術(shù)問(wèn)題是提供一種Xen虛擬化環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測(cè)方法�,為了在虛擬網(wǎng)絡(luò)環(huán)境中應(yīng)對(duì)虛擬化網(wǎng)絡(luò)的多變性��,本發(fā)明將入侵防御的主體設(shè)為虛擬機(jī)設(shè)備��,避免了由于IP地址變化而導(dǎo)致入侵��、防御的失?�?;能夠有效監(jiān)控虛擬機(jī)設(shè)備網(wǎng)絡(luò)數(shù)據(jù)的入侵并對(duì)其進(jìn)行檢測(cè)和防御�����。
[0005]為了解決上述技術(shù)問(wèn)題����,本發(fā)明提供了一種Xen虛擬化環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測(cè)方法,包括:
[0006]S1:在宿主機(jī)上,用Open vSwitch搭建網(wǎng)絡(luò)架構(gòu),倉(cāng)ij建網(wǎng)橋��;
[0007]S2:建立虛擬機(jī)設(shè)備����,并將所述虛擬機(jī)設(shè)備加入網(wǎng)橋��;
[0008]S3:將真實(shí)的網(wǎng)絡(luò)接口對(duì)應(yīng)虛擬機(jī)設(shè)備的虛擬接口��,保持真實(shí)的網(wǎng)絡(luò)接口與虛擬機(jī)設(shè)備的虛擬接口對(duì)應(yīng)一致;
[0009]S4:將所述虛擬機(jī)設(shè)備的虛擬接口與所述網(wǎng)橋橋接�,同時(shí)為各個(gè)虛擬機(jī)設(shè)備創(chuàng)建虛擬端口 ;使網(wǎng)絡(luò)數(shù)據(jù)都經(jīng)過(guò)相應(yīng)的所述虛擬機(jī)設(shè)備的虛擬端口進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的通信��;
[0010]S5:0pen vSwtich在接收到了各個(gè)數(shù)據(jù)端口發(fā)送過(guò)來(lái)的數(shù)據(jù)包����,將所述數(shù)據(jù)包的頭信息轉(zhuǎn)發(fā)到控制器中,由所述控制器進(jìn)行過(guò)濾和處理���,并決定所述數(shù)據(jù)包的后續(xù)處理或轉(zhuǎn)發(fā)的端口�。
[0011]優(yōu)選的����,所述步驟3中,保持真實(shí)的網(wǎng)絡(luò)接口與虛擬機(jī)設(shè)備的虛擬接口對(duì)應(yīng)一致的方法是:在所述宿主機(jī)內(nèi)��,截取每個(gè)到達(dá)虛擬機(jī)設(shè)備虛擬端口的數(shù)據(jù)包頭部的前128KB個(gè)字節(jié)����,分析所述數(shù)據(jù)包頭部,解析所述數(shù)據(jù)包頭部的協(xié)議����,根據(jù)解析后所述數(shù)據(jù)包�,確定虛擬機(jī)設(shè)備對(duì)應(yīng)的網(wǎng)橋端口�����。
[0012]更加優(yōu)選的���,所述步驟3中���,保持真實(shí)的網(wǎng)絡(luò)接口與虛擬機(jī)設(shè)備的虛擬接口對(duì)應(yīng)一致的方法是:在虛擬機(jī)設(shè)備的虛擬端口被創(chuàng)建后,發(fā)送數(shù)據(jù)包時(shí)���,數(shù)據(jù)包從虛擬機(jī)設(shè)備內(nèi)部到達(dá)虛擬端口����,判斷數(shù)據(jù)包是否是第一個(gè)數(shù)據(jù)包���;若數(shù)據(jù)包是第一個(gè)數(shù)據(jù)包����,正常發(fā)送所述數(shù)據(jù)包�;若數(shù)據(jù)包不是第一個(gè)數(shù)據(jù)包,構(gòu)建新數(shù)據(jù)包��,新數(shù)據(jù)包的目的地址為所述宿主機(jī)�,所述宿主機(jī)接受新數(shù)據(jù)包,保持真實(shí)的網(wǎng)絡(luò)接口與虛擬機(jī)設(shè)備的虛擬接口對(duì)應(yīng)一致���。
[0013]更加優(yōu)選的�����,所述新數(shù)據(jù)包包含虛擬機(jī)設(shè)備的唯一標(biāo)識(shí)�、以及所述虛擬端口的標(biāo)識(shí)���。
[0014]更加優(yōu)選的��,所述步驟5中��,所述控制器進(jìn)行過(guò)濾為獲取所述數(shù)據(jù)包的所述頭信肩����、O
[0015]更加優(yōu)選的���,所述步驟5中��,所述控制器進(jìn)行處理即進(jìn)行入侵檢測(cè)規(guī)則的匹配�����。
[0016]更加優(yōu)選的����,所述步驟5中,所述控制器進(jìn)行處理即進(jìn)行入侵檢測(cè)規(guī)則的匹配時(shí)��,所述控制器通過(guò)所述數(shù)據(jù)包的頭信息進(jìn)行判斷�,判斷所述數(shù)據(jù)包是否是APP / RARP數(shù)據(jù)包;
[0017]若所述數(shù)據(jù)包是APP / RARP數(shù)據(jù)包�,則進(jìn)行下述步驟Na ;
[0018]若所述數(shù)據(jù)包是APP / RARP數(shù)據(jù)包���,則進(jìn)行下述步驟Nb ���;
[0019]Na:獲取源IP、進(jìn)入端口和虛擬機(jī)設(shè)備的標(biāo)識(shí)���,建立虛擬機(jī)設(shè)備與虛擬機(jī)設(shè)備之間的IP關(guān)聯(lián)�����,作為后續(xù)入侵檢測(cè)防御的主體�,進(jìn)行下述步驟Nb ;
[0020]Nb:所述Controller按照入侵檢測(cè)規(guī)則將所述數(shù)據(jù)有選擇的轉(zhuǎn)發(fā)到所述數(shù)據(jù)的對(duì)應(yīng)的數(shù)據(jù)處理端口上����。
[0021]更加優(yōu)選的�,入侵檢測(cè)規(guī)則是指:所述控制器按照入侵檢測(cè)規(guī)則的主體的內(nèi)容將從所述步驟Na中接收到的所述數(shù)據(jù)包中的數(shù)據(jù),進(jìn)行入侵檢測(cè)規(guī)則的攻擊特征匹配�,匹配過(guò)程包括正則表達(dá)式匹配、二進(jìn)制數(shù)據(jù)匹配和攻擊特征匹配��。
[0022]更加優(yōu)選的��,所述控制器將所述數(shù)據(jù)有選擇的轉(zhuǎn)發(fā)時(shí)�,所述控制器的判定所述數(shù)據(jù)不匹配攻擊數(shù)據(jù)的數(shù)據(jù)包時(shí),則將所述數(shù)據(jù)進(jìn)行放行��,并將所述數(shù)據(jù)轉(zhuǎn)發(fā)到對(duì)應(yīng)的數(shù)據(jù)處理端口上�����,進(jìn)行正式的業(yè)務(wù)邏輯處理�。
[0023]更加優(yōu)選的,所述控制器將所述數(shù)據(jù)有選擇的轉(zhuǎn)發(fā)時(shí)��,所述控制器的判定所述數(shù)據(jù)匹配有攻擊數(shù)據(jù)的數(shù)據(jù)包時(shí),則對(duì)所述數(shù)據(jù)進(jìn)行丟棄處理��,不將所述數(shù)據(jù)轉(zhuǎn)發(fā)到對(duì)應(yīng)的數(shù)據(jù)處理端口上�����。
[0024]其中���,所述云計(jì)算(cloud computing)是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加��、使用和交付模式��,通常涉及通過(guò)互聯(lián)網(wǎng)來(lái)提供動(dòng)態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源�。
[0025]其中���,所述Open vSwitch即開放虛擬交換標(biāo)準(zhǔn)��!Open vSwitch是在開源的Apache2.0許可下的產(chǎn)品級(jí)質(zhì)量的多層虛擬交換標(biāo)準(zhǔn)�。它旨在通過(guò)編程擴(kuò)展��,使龐大的網(wǎng)絡(luò)自動(dòng)化(配置���、管理�、維護(hù)),同時(shí)還支持標(biāo)準(zhǔn)的管理接口和協(xié)議(如NetFlow����,sFlow,SPAN, RSPAN, CLI, LACP,802.lag)�����?���?偟膩?lái)說(shuō)�����,它被設(shè)計(jì)為支持分布在多個(gè)物理服務(wù)器����,例如 VMware 的 vNetwork 分布式 vSwitch 或思科的 NexuslOOOV。
[0026]本發(fā)明與現(xiàn)有技術(shù)相比�����,具有如下有益效果:
[0027]本發(fā)明在Xen虛擬化環(huán)境下利用Open vSwitch實(shí)現(xiàn)虛擬機(jī)設(shè)備網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)控�;能夠監(jiān)控虛擬機(jī)設(shè)備網(wǎng)絡(luò)的數(shù)據(jù)���,利于后續(xù)對(duì)對(duì)數(shù)據(jù)的過(guò)濾、檢測(cè)等處理�����。
【附圖說(shuō)明】
[0028]圖1示例性的示出了本發(fā)明監(jiān)控流程示意圖��;
[0029]圖2示例性的示出了本發(fā)明保持真實(shí)的網(wǎng)絡(luò)接口與虛擬機(jī)設(shè)備的虛擬接口對(duì)應(yīng)一致的方法流程示意圖�;
[0030]圖3示例性的示出了本發(fā)明用Open vSwitch搭建后的網(wǎng)絡(luò)示意圖;
[0031]圖4示例性的示出了本發(fā)明的部署架構(gòu)圖�����;
[0032]圖5示例性的示出了控制器過(guò)濾處理過(guò)程流程示意圖����。
【具體實(shí)施方式】
[0033]為了更好的理解本發(fā)明所解決的技術(shù)問(wèn)題、所提供的技術(shù)方案��,以下結(jié)合附圖及實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。此處所描述的具體實(shí)施例僅用以解釋本發(fā)明的實(shí)施��,但并不用于限定本發(fā)明�。
[0034]在優(yōu)選的實(shí)施例中����,圖1示例性的示出了一種Xen虛擬化環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測(cè)方法流程示意圖�;包括:。
[0035]步驟一:在宿主機(jī)上,用Open vSwitch搭建網(wǎng)絡(luò)架構(gòu),倉(cāng)ij建網(wǎng)橋�;
[0036]步驟二:建立虛擬機(jī)設(shè)備,并將所述虛擬機(jī)設(shè)備加入網(wǎng)橋�����;
[0037]步驟三:將真實(shí)的網(wǎng)絡(luò)接口對(duì)應(yīng)虛擬機(jī)設(shè)備的虛擬接口�����,保持真實(shí)的網(wǎng)絡(luò)接口與虛擬機(jī)設(shè)備的虛擬接口對(duì)應(yīng)一致�����;
[0038]步驟四:將所述虛擬機(jī)設(shè)備的虛擬接口與所述網(wǎng)橋橋接�����,同時(shí)為各個(gè)虛擬機(jī)設(shè)備創(chuàng)建虛擬端口 ����;使網(wǎng)絡(luò)數(shù)據(jù)都經(jīng)過(guò)相應(yīng)的所述虛擬機(jī)設(shè)備的虛擬端口進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的通?目;
[0039]步驟五:0pen vSwtich在接收到了各個(gè)數(shù)據(jù)端口發(fā)送過(guò)來(lái)的數(shù)據(jù)包,將所述數(shù)據(jù)包的頭信息轉(zhuǎn)發(fā)到控制器中����;由所述控制器進(jìn)行過(guò)濾和處理,如圖5所示�;并決定所述數(shù)據(jù)包的后續(xù)處理或轉(zhuǎn)發(fā)的端口。
[0040]在更加優(yōu)選的實(shí)施例中����,所述步驟三中,保持真實(shí)的網(wǎng)絡(luò)接口與虛擬機(jī)設(shè)備的虛擬接口對(duì)應(yīng)一致的方法是:在所述宿主機(jī)內(nèi)�,截取每個(gè)到達(dá)虛擬機(jī)設(shè)備虛擬端口的數(shù)據(jù)包頭部的前128KB個(gè)字節(jié),分析所述數(shù)據(jù)包頭部��,解析所述數(shù)據(jù)包頭部的協(xié)議�����,根據(jù)解析后所述數(shù)據(jù)包����,確定虛擬機(jī)設(shè)備對(duì)應(yīng)的網(wǎng)橋端口。
[0041]在更加優(yōu)選的實(shí)施例中��,在所述步驟三中,圖2示例性的示出了本發(fā)明保持真實(shí)的網(wǎng)絡(luò)接口與虛擬機(jī)設(shè)備的虛擬接口對(duì)應(yīng)一致的方法流程示意圖��;在虛擬機(jī)設(shè)備的虛擬端口被創(chuàng)建后�����,發(fā)送數(shù)據(jù)包