基于云的虛擬環(huán)境下流量監(jiān)控的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別是涉及一種基于云的虛擬環(huán)境下流量監(jiān)控的方法和裝置。
【背景技術(shù)】
[0002]虛擬機(jī)技術(shù)是指在一個(gè)物理機(jī)上通過虛擬機(jī)軟件模擬出一個(gè)或多個(gè)虛擬機(jī)。其中，每臺(tái)虛擬機(jī)均使用物理機(jī)的一部分處理資源(CPU、內(nèi)存等)，并且各臺(tái)虛擬機(jī)的配置通常相同。因此，虛擬機(jī)技術(shù)是目前普遍使用的一種技術(shù)。
[0003]現(xiàn)有技術(shù)中，當(dāng)一個(gè)虛擬機(jī)(以下稱為源虛擬機(jī))向另一個(gè)虛擬機(jī)(以下稱為目標(biāo)虛擬機(jī))發(fā)送數(shù)據(jù)時(shí)，需要經(jīng)過交換機(jī)或者路由器的選擇，通過一定路徑才能達(dá)到目標(biāo)虛擬機(jī)。但是，虛擬機(jī)之間的數(shù)據(jù)交互也存在一定的安全隱患(如漏洞攻擊)，所以在源虛擬機(jī)發(fā)送的數(shù)據(jù)經(jīng)過交換機(jī)或者路由器之后，需要經(jīng)過安全設(shè)備對數(shù)據(jù)進(jìn)行清洗，在確定數(shù)據(jù)安全后才發(fā)送到目標(biāo)虛擬機(jī)，以保證目標(biāo)虛擬機(jī)的安全。然而，現(xiàn)有技術(shù)并不對流量進(jìn)行區(qū)分，所有的流量都由SDN(Software Defined Network，軟件定義網(wǎng)絡(luò))等安全設(shè)備來進(jìn)行防護(hù)。由此往往造成安全設(shè)備負(fù)荷過大，而導(dǎo)致安全檢測效率較低等問題。

【發(fā)明內(nèi)容】

[0004]有鑒于此，本發(fā)明提供一種基于云的虛擬環(huán)境下流量監(jiān)控的方法和裝置，能夠解決現(xiàn)有技術(shù)中安全檢測效率低的問題。
[0005]依據(jù)本發(fā)明一個(gè)方面，提供了一種基于云的虛擬環(huán)境下流量監(jiān)控的方法，所述方法包括:
[0006]接收源虛擬機(jī)發(fā)送的數(shù)據(jù)流量；
[0007]確定所述數(shù)據(jù)流量的協(xié)議類型；
[0008]基于云平臺(tái)將所述數(shù)據(jù)流量發(fā)送給對應(yīng)所述協(xié)議類型的安全設(shè)備進(jìn)行處理；
[0009]將所述數(shù)據(jù)流量發(fā)送給目標(biāo)虛擬機(jī)。
[0010]依據(jù)本發(fā)明另一個(gè)方面，提供了一種基于云的虛擬環(huán)境下流量監(jiān)控的裝置，所述裝置包括:
[0011]接收單元，用于接收源虛擬機(jī)發(fā)送的數(shù)據(jù)流量；
[0012]確定單元，用于確定所述接收單元接收的所述數(shù)據(jù)流量的協(xié)議類型；
[0013]發(fā)送單元，用于基于云平臺(tái)將所述數(shù)據(jù)流量發(fā)送給對應(yīng)所述確定單元確定的所述協(xié)議類型的安全設(shè)備進(jìn)行處理；
[0014]所述發(fā)送單元，還用于將所述數(shù)據(jù)流量發(fā)送給目標(biāo)虛擬機(jī)。
[0015]借由上述技術(shù)方案，本發(fā)明提供的基于云的虛擬環(huán)境下流量監(jiān)控的方法和裝置，能夠在接收到源虛擬機(jī)發(fā)送的數(shù)據(jù)流量之后，先確定該數(shù)據(jù)流量的協(xié)議類型，再基于云平臺(tái)將該數(shù)據(jù)流量發(fā)送給對應(yīng)該協(xié)議類型的安全設(shè)備進(jìn)行處理，最后才將數(shù)據(jù)流量發(fā)送給目標(biāo)虛擬機(jī)。與現(xiàn)有技術(shù)中所有數(shù)據(jù)流量都由SDN來進(jìn)行安全防護(hù)相比，本發(fā)明通過先確定數(shù)據(jù)流量的協(xié)議類型，再將數(shù)據(jù)流量發(fā)送給與該協(xié)議類型對應(yīng)的安全設(shè)備進(jìn)行處理，從而使得不同協(xié)議類型的數(shù)據(jù)流量可以由不同的安全設(shè)備來進(jìn)行安全防護(hù)，進(jìn)而避免安全設(shè)備負(fù)荷過大，從而使得安全檢測效率得到提高。
[0016]上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的【具體實(shí)施方式】。
【附圖說明】
[0017]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中:
[0018]圖1示出了本發(fā)明實(shí)施例提供的一種基于云的虛擬環(huán)境下流量監(jiān)控的方法的流程圖；
[0019]圖2示出了本發(fā)明實(shí)施例提供的一種虛擬機(jī)之間數(shù)據(jù)傳輸?shù)氖疽鈭D；
[0020]圖3示出了本發(fā)明實(shí)施例提供的另一種虛擬機(jī)之間數(shù)據(jù)傳輸?shù)氖疽鈭D；
[0021]圖4示出了本發(fā)明實(shí)施例提供的一種基于云的虛擬環(huán)境下流量監(jiān)控的裝置的組成框圖；
[0022]圖5示出了本發(fā)明實(shí)施例提供的另一種基于云的虛擬環(huán)境下流量監(jiān)控的裝置的組成框圖。
【具體實(shí)施方式】
[0023]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0024]本發(fā)明實(shí)施例提供了一種基于云的虛擬環(huán)境下流量監(jiān)控的方法，如圖1所示，該方法包括:
[0025]101、接收源虛擬機(jī)發(fā)送的數(shù)據(jù)流量。
[0026]當(dāng)源虛擬機(jī)向目標(biāo)虛擬機(jī)發(fā)送數(shù)據(jù)流量時(shí)，需要先經(jīng)過虛擬交換設(shè)備(包括虛擬交換機(jī)和虛擬路由器等)的路由選擇，確定路徑，然后通過該路徑才能到達(dá)目標(biāo)虛擬機(jī)。因此，虛擬交換設(shè)備會(huì)先接收源虛擬機(jī)發(fā)送的數(shù)據(jù)流量，以便后續(xù)進(jìn)行路由選擇等操作。
[0027]102、確定數(shù)據(jù)流量的協(xié)議類型。
[0028]其中，虛擬交換設(shè)備接收的數(shù)據(jù)流量的數(shù)據(jù)包中包含源虛擬機(jī)的IP(InternetProtocol，網(wǎng)間協(xié)議)地址、目標(biāo)虛擬機(jī)的IP地址、虛擬交換設(shè)備的IP地址、數(shù)據(jù)流量的協(xié)議類型以及數(shù)據(jù)請求的具體請求內(nèi)容(或者數(shù)據(jù)響應(yīng)的具體響應(yīng)內(nèi)容)等，所以虛擬交換設(shè)備可以根據(jù)數(shù)據(jù)流量的數(shù)據(jù)包確定數(shù)據(jù)流量的協(xié)議類型。
[0029]需要說明的是，由于數(shù)量流量是源虛擬機(jī)發(fā)送的，所以源虛擬機(jī)所使用的協(xié)議類型就是數(shù)據(jù)流量的協(xié)議類型。
[0030]103、基于云平臺(tái)將數(shù)據(jù)流量發(fā)送給對應(yīng)協(xié)議類型的安全設(shè)備進(jìn)行處理。
[0031]由于虛擬機(jī)之間的數(shù)據(jù)交互也存在攻擊或者漏洞，所以虛擬交換設(shè)備可以先將數(shù)據(jù)流量發(fā)送給安全設(shè)備進(jìn)行安全性檢測，例如病毒查殺、漏洞修復(fù)和審計(jì)等，然后將處理后的數(shù)據(jù)流量發(fā)送給目標(biāo)虛擬機(jī)，使得目標(biāo)虛擬機(jī)所接收的數(shù)據(jù)流量是安全的。
[0032]需要說明的是，安全設(shè)備在對數(shù)據(jù)流量進(jìn)行處理時(shí)，也可能會(huì)確定所有的數(shù)據(jù)都是不安全的，即將所有數(shù)據(jù)都進(jìn)行安全刪除，從而不向目標(biāo)虛擬機(jī)發(fā)送任何數(shù)據(jù)。
[0033]在實(shí)際應(yīng)用中，不同的安全設(shè)備所能處理的流量數(shù)據(jù)的協(xié)議類型往往存在差異，例如DDOS (Distributed Denial of service，分布式拒絕服務(wù))攻擊檢測設(shè)備能夠處理應(yīng)用層協(xié)議或者傳輸層協(xié)議的數(shù)據(jù)流量，而數(shù)據(jù)庫審計(jì)設(shè)備能夠處理網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)流量。因此，將不同協(xié)議類型的數(shù)據(jù)流量發(fā)送給對應(yīng)的安全設(shè)備進(jìn)行安全性檢測，可以避免安全設(shè)備發(fā)生負(fù)荷過大現(xiàn)象，同時(shí)也可以對數(shù)據(jù)流量進(jìn)行針對性的安全檢測。
[0034]需要說明的是，當(dāng)當(dāng)前協(xié)議類型對應(yīng)一種安全設(shè)備時(shí)，虛擬交換設(shè)備會(huì)將該數(shù)據(jù)流量發(fā)送給一種安全設(shè)備進(jìn)行處理；當(dāng)當(dāng)前協(xié)議類型對應(yīng)至少兩種安全設(shè)備時(shí)，虛擬交換設(shè)備會(huì)將該數(shù)據(jù)流量發(fā)送該至少兩種安全設(shè)備分別進(jìn)行處理。
[0035]本步驟中的基于云平臺(tái)是指虛擬交換設(shè)備側(cè)所需的協(xié)議策略、虛擬機(jī)協(xié)議庫等可以從云平臺(tái)側(cè)獲取。
[0036]此外，虛擬交換設(shè)備可以對數(shù)據(jù)流量進(jìn)行備份，從而僅對備份的數(shù)據(jù)流量進(jìn)行安全性檢測，進(jìn)而對虛擬機(jī)之間存在的攻擊、漏洞以及攻擊源進(jìn)行統(tǒng)計(jì)與分析，以便通知目標(biāo)虛擬機(jī)，供目標(biāo)虛擬機(jī)用戶對攻擊采取防御操作，而不直接對源虛擬機(jī)發(fā)送的數(shù)據(jù)流量進(jìn)行處理。
[0037]104、將數(shù)據(jù)流量發(fā)送給目標(biāo)虛擬機(jī)。
[0038]在步驟103中提及虛擬交換設(shè)備可以直接將數(shù)據(jù)流量發(fā)送給安全設(shè)備進(jìn)行處理，也可以將備份的數(shù)據(jù)流量發(fā)送給安全設(shè)備進(jìn)行處理。因此，當(dāng)采用前者操作方法時(shí)，安全設(shè)備需要將處理后的數(shù)據(jù)流量先發(fā)送給虛擬交換設(shè)備，再由虛擬交換設(shè)備發(fā)送給目標(biāo)虛擬機(jī)；當(dāng)采用后者操作方法時(shí)，虛擬交換設(shè)備則直接將源虛擬機(jī)發(fā)送的數(shù)據(jù)流量發(fā)送給目標(biāo)虛擬機(jī)。
[0039]在實(shí)際應(yīng)用中，源虛擬機(jī)和目標(biāo)虛擬機(jī)可以位于同一個(gè)宿主機(jī)中，也可以位于不同的宿主機(jī)中。例如，如圖2所示，源虛擬機(jī)與目標(biāo)虛擬機(jī)位于同一個(gè)宿主機(jī)中，其中虛擬機(jī)I為源虛擬機(jī)，虛擬機(jī)3為目標(biāo)虛擬機(jī)，則上述步驟101至104的具體過程(以不進(jìn)行備份而直接由安全設(shè)備進(jìn)行處理為例)為:虛擬機(jī)I向虛擬交換設(shè)備發(fā)送數(shù)據(jù)流量，虛擬交換設(shè)備接收到該數(shù)據(jù)流量并確定其協(xié)議類型后，向?qū)?yīng)該協(xié)議類型的安全設(shè)備(例如為安全設(shè)備2)發(fā)送該數(shù)據(jù)流量，在安全設(shè)備2對該數(shù)據(jù)流量處理完成后