亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

一種虛擬機(jī)流量監(jiān)控方法及系統(tǒng)的制作方法

文檔序號:6619802閱讀:263來源:國知局
一種虛擬機(jī)流量監(jiān)控方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種虛擬機(jī)流量監(jiān)控方法及系統(tǒng),首先啟動包含監(jiān)控模塊的虛擬機(jī);部署數(shù)據(jù)包捕獲模塊和數(shù)據(jù)緩存模塊到虛擬機(jī)監(jiān)控器內(nèi)核中;數(shù)據(jù)包捕獲模塊根據(jù)過濾機(jī)制復(fù)制流經(jīng)TCP/IP協(xié)議棧的數(shù)據(jù)包,并存儲到數(shù)據(jù)緩存模塊的緩存中;數(shù)據(jù)緩存模塊將緩存中的數(shù)據(jù)包轉(zhuǎn)發(fā)給監(jiān)控模塊;監(jiān)控模塊對數(shù)據(jù)包進(jìn)行統(tǒng)計分析,實現(xiàn)對虛擬機(jī)的流量監(jiān)控。解決服務(wù)器虛擬化帶來的虛擬機(jī)間通信失去監(jiān)控的問題,并且實現(xiàn)了同一物理服務(wù)器上虛擬機(jī)間的通信以及虛擬機(jī)與服務(wù)器外部網(wǎng)絡(luò)的通信的統(tǒng)一監(jiān)控。
【專利說明】一種虛擬機(jī)流量監(jiān)控方法及系統(tǒng)

【技術(shù)領(lǐng)域】
[0001] 該發(fā)明涉及服務(wù)器虛擬機(jī)化虛擬機(jī)流量監(jiān)控,尤其涉及物理服務(wù)器上的虛擬機(jī)流 量監(jiān)控方法和系統(tǒng)。

【背景技術(shù)】
[0002] 服務(wù)器虛擬化可以提高計算資源的利用率,增強(qiáng)IT資源的管理靈活性,因此,該 技術(shù)成為當(dāng)前數(shù)據(jù)中心重要技術(shù)。然而,服務(wù)器虛擬化后,同一臺物理服務(wù)器上存在多個虛 擬機(jī),這些虛擬機(jī)之間的通信無法被部署在物理服務(wù)器外的監(jiān)控系統(tǒng)所感知。
[0003] 現(xiàn)有方法是通過流量重定向策略來實現(xiàn),包括兩大類,一類是將虛擬機(jī)流量重定 向到服務(wù)器外的網(wǎng)絡(luò)設(shè)備上進(jìn)行監(jiān)控處理。另一類是將虛擬機(jī)流量通過虛擬機(jī)交換機(jī)進(jìn)行 重定向到虛擬機(jī)監(jiān)控器(Virtual Machine Monitor, VMM)上的虛擬機(jī)中進(jìn)行監(jiān)控。第一類 方法的優(yōu)勢是可以利用現(xiàn)有的監(jiān)控資源,但需要修改網(wǎng)絡(luò)協(xié)議驅(qū)動或增加新的網(wǎng)絡(luò)硬件設(shè) 備。第二類方法比較常見,但依賴虛擬交換機(jī)的可配置能力,缺乏性能方面的優(yōu)化能力,同 時,對于虛擬機(jī)與外部的通信流量監(jiān)控只能交給外部監(jiān)控設(shè)備來處理,缺乏統(tǒng)一監(jiān)控的管 理能力。


【發(fā)明內(nèi)容】

[0004] 本發(fā)明的目的在于:利用虛擬機(jī)監(jiān)控器的鉤子機(jī)制來獲取虛擬機(jī)的通信數(shù)據(jù)流, 并引入緩存機(jī)制和過濾策略,提高監(jiān)控的效率;同時本發(fā)明公開了一套監(jiān)控系統(tǒng),可以實現(xiàn) 對虛擬機(jī)間通信和虛擬機(jī)與服務(wù)器外部通信的統(tǒng)一監(jiān)控。
[0005] 本發(fā)明是這樣實現(xiàn)的:
[0006] 一種虛擬機(jī)流量監(jiān)控方法包括以下步驟:
[0007] 步驟一:在虛擬機(jī)監(jiān)控器(Virtual Machine Monitor, VMM)上啟動包含監(jiān)控模塊 的虛擬機(jī),通過內(nèi)核模塊加載接口,將數(shù)據(jù)包捕獲模塊和數(shù)據(jù)緩存模塊加載到內(nèi)核中;將監(jiān) 控模塊和數(shù)據(jù)緩存模塊建立通信連接;監(jiān)控模塊下發(fā)過濾地址列表到內(nèi)核;監(jiān)控模塊發(fā)送 啟動命令到內(nèi)核。具體流程如下:
[0008] ①、啟動包含監(jiān)控模塊的虛擬機(jī)后,監(jiān)控模塊也啟動運(yùn)行;
[0009] ②、監(jiān)控模塊調(diào)用內(nèi)核模塊加載接口,加載數(shù)據(jù)包捕獲模塊和數(shù)據(jù)緩存模塊到內(nèi) 核;
[0010] ③、數(shù)據(jù)緩存模塊與安全監(jiān)控模塊建立連接;
[0011] ④、安全監(jiān)控模塊向所述數(shù)據(jù)緩存模塊發(fā)送地址過濾表;
[0012] ⑤、安全監(jiān)控模塊向所述數(shù)據(jù)緩存模塊發(fā)送啟動指令;
[0013] ⑥、數(shù)據(jù)緩存模塊設(shè)置內(nèi)核全局變量值為啟動。
[0014] 步驟二:數(shù)據(jù)包捕獲模塊監(jiān)聽通過虛擬機(jī)監(jiān)控器VMM內(nèi)核TCP/IP協(xié)議棧中數(shù)據(jù); 根據(jù)數(shù)據(jù)地址過濾表復(fù)制數(shù)據(jù)包,并存儲到數(shù)據(jù)緩存模塊的緩存中;數(shù)據(jù)模塊模塊將數(shù)據(jù) 發(fā)送給監(jiān)控模塊。具體流程如下:
[0015] ①、數(shù)據(jù)緩存模塊判斷所述內(nèi)核全局變量值,如果為啟動,則分配一定大小的緩 存7并啟
[0016] 動數(shù)據(jù)緩存處理進(jìn)程;否則不作任何處理;
[0017] ②、數(shù)據(jù)包捕獲模塊判斷所述內(nèi)核全局變量值,如果為啟動,則啟動所述數(shù)據(jù)包捕 獲模,
[0018] 否則,不作任何處理;
[0019] ③、數(shù)據(jù)包捕獲模塊判斷當(dāng)前TCP/IP協(xié)議棧數(shù)據(jù)包地址是否匹配所述地址過濾 表;匹配則復(fù)制數(shù)據(jù)包并存儲到所述數(shù)據(jù)緩存模塊的緩存中;否則,不作任何處理;
[0020] ④、數(shù)據(jù)緩存進(jìn)程判斷所述緩存內(nèi)是否為空,不空則讀取緩存數(shù)據(jù)并通過所述數(shù) 據(jù)緩存模塊與所述安全監(jiān)控模塊建立的連接發(fā)送數(shù)據(jù);空則不做任何處理。
[0021] 步驟三:監(jiān)控模塊提取數(shù)據(jù)包的基本信息,統(tǒng)計分析數(shù)據(jù)流量,展示統(tǒng)計分析結(jié)果 及告警。具體流程如下:
[0022] ①、監(jiān)控模塊調(diào)用預(yù)處理模塊提取數(shù)據(jù)包頭信息,包括源目的MAC、源目的IP、數(shù) 據(jù)包
[0023] 大?。?br> [0024] ②、監(jiān)控模塊統(tǒng)計數(shù)據(jù)包所在的會話流量,會話內(nèi)容,并根據(jù)入侵檢測規(guī)則分析入 侵行為;據(jù)惡意代碼規(guī)則檢測惡意代碼;
[0025] ③、統(tǒng)計分析模塊根據(jù)輸出配置要求,輸出統(tǒng)計分析結(jié)果,并在頁面展示;
[0026] ④、統(tǒng)計分析模塊根據(jù)告警配置要求,輸出告警結(jié)果,并在頁面展示。
[0027] -種虛擬機(jī)流量監(jiān)控系統(tǒng),其特征在于,所述系統(tǒng)包括如下模塊:
[0028] ①、監(jiān)控模塊:用于部署數(shù)據(jù)包捕獲模塊、數(shù)據(jù)緩存模塊;調(diào)用預(yù)處理模塊和統(tǒng)計 分析模塊;與數(shù)據(jù)緩存模塊建立通信連接;接受數(shù)據(jù)緩存模塊發(fā)送來的數(shù)據(jù)包,下發(fā)過濾 地址表、命令給數(shù)據(jù)緩存模塊;管理監(jiān)控配置;預(yù)處理模塊:獲取所述數(shù)據(jù)包頭信息,包括 源目的MAC、源目的IP、數(shù)據(jù)包大??;
[0029] ②、統(tǒng)計分析模塊:用于對所述的預(yù)處理模塊的處理結(jié)果進(jìn)行統(tǒng)計分析,包括會話 流量統(tǒng)計,會話內(nèi)容還原;根據(jù)入侵檢測規(guī)則分析入侵行為;根據(jù)惡意代碼規(guī)則檢測惡意 代碼;根據(jù)輸出配置和告警配置,輸出統(tǒng)計分析結(jié)果和告警結(jié)果,并在頁面展示;
[0030] ③、數(shù)據(jù)包捕獲模塊:用于在虛擬機(jī)監(jiān)控器(VMM)內(nèi)核監(jiān)控TCP/IP協(xié)議棧的數(shù)據(jù) 包,并根據(jù)所述地址過濾表復(fù)制所述數(shù)據(jù)包;并存儲到數(shù)據(jù)緩存模塊的緩存中;
[0031] ④、數(shù)據(jù)緩存模塊:用于建立與所述監(jiān)控模塊的連接;發(fā)送所緩存中的數(shù)據(jù)給所 述監(jiān)控模塊;接受所述監(jiān)控模塊發(fā)送的指令和數(shù)據(jù);
[0032] 本發(fā)明相較于現(xiàn)有技術(shù)具有的積極效果在于:本發(fā)明專利可以解決服務(wù)器虛擬化 帶來的虛擬機(jī)間通信失去監(jiān)控的問題,并且實現(xiàn)了同一物理服務(wù)器上虛擬機(jī)間的通信以及 虛擬機(jī)與服務(wù)器外部網(wǎng)絡(luò)的通信的統(tǒng)一監(jiān)控。另外,本發(fā)明專利通過引入緩存機(jī)制,包過濾 機(jī)制,離線存儲機(jī)制,解決了監(jiān)控功能對虛擬機(jī)監(jiān)控器的性能影響問題。

【專利附圖】

【附圖說明】
[0033] 圖1是本發(fā)明公開的一種虛擬機(jī)流量的監(jiān)控處理流程。
[0034] 圖2是本發(fā)明公開的一種虛擬機(jī)流量的監(jiān)控系統(tǒng)組成。
[0035] 圖3是本發(fā)明公開的一種虛擬機(jī)監(jiān)控系統(tǒng)的各模塊連接示意圖。

【具體實施方式】
[0036] 本發(fā)明為虛擬機(jī)之間的流量監(jiān)控以及虛擬機(jī)和服務(wù)器外部網(wǎng)絡(luò)之間的流量監(jiān)控 提供了一種統(tǒng)一的監(jiān)控系統(tǒng)。為了更好的說明本發(fā)明中的系統(tǒng)及方法,本發(fā)明給出了一些 具體圖例,這里對這些附圖進(jìn)行說明。需要說明的是,這里給出的圖例只是本發(fā)明的一種實 例,對于本領(lǐng)域技術(shù)人員,可以在根據(jù)這些實例獲得其他附圖。下面結(jié)合本發(fā)明中的附圖, 對本發(fā)明中的技術(shù)方案進(jìn)行清楚,完整地描述。
[0037] 本發(fā)明公開的一種虛擬機(jī)的流量監(jiān)控方法的處理流程如圖1所示:
[0038] 初始化階段:在虛擬機(jī)監(jiān)控器上啟動包含監(jiān)控模塊201的虛擬機(jī),數(shù)據(jù)包捕獲模 塊205和數(shù)據(jù)緩存模塊204部署到內(nèi)核,監(jiān)控模塊201和數(shù)據(jù)緩存模塊204建立連接,監(jiān)控 模塊201下發(fā)過濾地址列表到內(nèi)核,監(jiān)控模塊201發(fā)送啟動命令到內(nèi)核,監(jiān)控系統(tǒng)部署完 畢。
[0039] 本發(fā)明中,數(shù)據(jù)包捕獲模塊205和數(shù)據(jù)緩存模塊204都運(yùn)行在內(nèi)核,在運(yùn)行前先通 過內(nèi)核編程接口加載到內(nèi)核中。由于監(jiān)控模塊部署在虛擬機(jī)中,而虛擬機(jī)運(yùn)行在用戶態(tài),因 此,需要構(gòu)建內(nèi)核和用戶空間的通信連接。建立連接后,監(jiān)控模塊201發(fā)送地址過濾列表給 內(nèi)核,提供數(shù)據(jù)包捕獲模塊205使用。然后,監(jiān)控模塊201內(nèi)核發(fā)送啟動命令至內(nèi)核,數(shù)據(jù) 捕獲模塊205及數(shù)據(jù)緩存模塊204開始工作。
[0040] 數(shù)據(jù)捕獲階段:數(shù)據(jù)包捕獲模塊205監(jiān)聽TCP/IP協(xié)議棧206數(shù)據(jù),根據(jù)地址過濾 表復(fù)制數(shù)據(jù)包,并存儲到數(shù)據(jù)緩存模塊204的緩存中,數(shù)據(jù)緩存模204塊將數(shù)據(jù)發(fā)送給監(jiān)控 模塊201。
[0041] 本發(fā)明中,數(shù)據(jù)包捕獲模塊205檢查每一個流經(jīng)TCP/IP協(xié)議棧206的數(shù)據(jù)包,根 據(jù)每個數(shù)據(jù)包的MAC值或IP信息,與地址過濾列表中的地址信息進(jìn)行比對,如果匹配,則相 應(yīng)的數(shù)據(jù)包被復(fù)制一份,并存儲到數(shù)據(jù)緩存模塊204的緩存中。數(shù)據(jù)緩存模塊204中的緩 存是數(shù)據(jù)緩存模塊204預(yù)先分配的,并且可以根據(jù)實際用量動態(tài)進(jìn)行擴(kuò)展;數(shù)據(jù)緩存模塊 204發(fā)現(xiàn)緩存不空時,通過內(nèi)核和用戶空間建立的連接將數(shù)據(jù)包發(fā)送給虛擬機(jī)中的監(jiān)控模 塊 201 ;
[0042] 數(shù)據(jù)統(tǒng)計分析階段:監(jiān)控模塊201提取數(shù)據(jù)包頭基本信息,統(tǒng)計分析數(shù)據(jù)流量,展 示統(tǒng)計分析結(jié)果及告警。
[0043] 如圖2所示的本發(fā)明公開了一種虛擬機(jī)流量的監(jiān)控系統(tǒng)組織結(jié)構(gòu),該虛擬機(jī)流量 監(jiān)控系統(tǒng)包括以下幾個部分:
[0044] 1、監(jiān)控模塊201:
[0045] 該模塊是實現(xiàn)虛擬機(jī)流量監(jiān)控分析的核心模塊,包含預(yù)處理模塊202和統(tǒng)計分析 模塊203。該監(jiān)控模塊201實現(xiàn)數(shù)據(jù)緩存模塊204和數(shù)據(jù)捕獲模塊205的加載和卸載;與 內(nèi)核的數(shù)據(jù)緩存模塊204建立連接,并通過該連接獲取虛擬機(jī)的通信流量以及發(fā)送控制命 令。該監(jiān)控模塊201還提供了配置管理功能,包括結(jié)果輸出配置,告警配置,離線統(tǒng)計分析 配置。結(jié)果輸出配置及告警配置用于頁面展示效果控制。離線統(tǒng)計分析配置用于在空閑時 刻處理離線數(shù)據(jù)包,降低監(jiān)控模塊對虛擬化服務(wù)器的性能影響。
[0046] 2、預(yù)處理模塊2〇2:
[0047] 該模塊主要功能是對收到的數(shù)據(jù)包進(jìn)行基本信息提取,為統(tǒng)計分析模塊203提供 幫助。同時,預(yù)處理模塊202還可以根據(jù)離線配置,直接將收到的數(shù)據(jù)包按一定格式存儲到 外部存儲器中,實現(xiàn)監(jiān)控模塊201離線處理模式,該配置可以在實時監(jiān)控影響到服務(wù)器性 能時使用。
[0048] 3、統(tǒng)計分析模塊203 :
[0049] 該模塊主要功能是根據(jù)所述預(yù)處理模塊202的處理結(jié)果,對數(shù)據(jù)包進(jìn)一步的分 析。包括流量統(tǒng)計,內(nèi)容還原。結(jié)合入侵檢測引擎進(jìn)行檢測分析;結(jié)合惡意代碼特征進(jìn)行惡 意代碼檢測分析;根據(jù)顯示配置要求,該統(tǒng)計分析模塊203對統(tǒng)計分析結(jié)果進(jìn)行頁面展示; 根據(jù)告警配置要求,該統(tǒng)計分析模塊203以頁面告警形式進(jìn)行告警。
[0050] 4、數(shù)據(jù)緩存模塊204 :
[0051] 該模塊主要功能是存儲來自數(shù)據(jù)包捕獲模塊205的數(shù)據(jù),并轉(zhuǎn)發(fā)給安全虛擬機(jī)中 監(jiān)控模塊201。同時,該模塊接受來自所述安全監(jiān)控模塊201的命令;本發(fā)明中,數(shù)據(jù)緩存 是數(shù)據(jù)緩存模塊204預(yù)先分配,但可以根據(jù)要求動態(tài)進(jìn)行調(diào)整,從而避免數(shù)據(jù)丟包。
[0052] 5、數(shù)據(jù)包捕獲模塊205 :
[0053] 該模塊主要功能是監(jiān)聽通過TCP/IP協(xié)議棧的數(shù)據(jù)包;并根據(jù)地址過濾表復(fù)制滿 足過濾條件的數(shù)據(jù)包,然后存儲到數(shù)據(jù)緩存模塊204的緩存中。本發(fā)明中,基于現(xiàn)有的協(xié)議 棧鉤子(hook)機(jī)制來實現(xiàn)。當(dāng)前,主流基于linux的開源虛擬化軟件,如內(nèi)核虛擬機(jī)(KVM Kernel Virtual Machine),Xen 等,都支持鉤子機(jī)制。
[0054] 本發(fā)明中,數(shù)據(jù)監(jiān)控模塊201中的預(yù)處理模塊202首先對數(shù)據(jù)緩存模塊204發(fā)送 的數(shù)據(jù)包進(jìn)行預(yù)處理,提取出數(shù)據(jù)包基本信息,包括源目的MAC,IP,數(shù)據(jù)大小。數(shù)據(jù)統(tǒng)計分 析模塊203則根據(jù)預(yù)處理模塊202的處理結(jié)果,結(jié)合入侵檢測規(guī)則和惡意代碼規(guī)則進(jìn)行入 侵檢測、惡意代碼分析處理。然后,統(tǒng)計分析模塊203將處理后的結(jié)果按一定的配置要求以 頁面顯示,根據(jù)告警配置要求,對滿足告警的統(tǒng)計分析結(jié)果顯示告警頁面。
[0055] 與本發(fā)明公開的虛擬機(jī)流量監(jiān)控系統(tǒng)相對應(yīng),本發(fā)明公開了如圖3所示的一種虛 擬機(jī)流量監(jiān)控系統(tǒng)的各個模塊連接示意圖可知:虛擬機(jī)監(jiān)控器104上運(yùn)行著虛擬機(jī)A101, 虛擬機(jī)B102,虛擬機(jī)C103。其中,虛擬機(jī)A101、虛擬機(jī)C103通過虛擬機(jī)監(jiān)控器VMM104的 TCP/IP協(xié)議棧206相互通信,同時,虛擬機(jī)A101和虛擬機(jī)C103還通過TCP/IP協(xié)議棧206 與外部網(wǎng)絡(luò)設(shè)備105通信。虛擬機(jī)B102中部署有監(jiān)控模塊201。監(jiān)控模塊201包含有預(yù)處 理模塊202和統(tǒng)計分析模塊203。數(shù)據(jù)緩存模塊204位于虛擬機(jī)機(jī)監(jiān)控器VMM104中,數(shù)據(jù) 包捕獲模塊205位于虛擬機(jī)監(jiān)控器VMM104的TCP/IP協(xié)議棧206中。該部署結(jié)構(gòu)下,虛擬 機(jī)A101和虛擬機(jī)C103間的通信流量可以被虛擬機(jī)B102中的監(jiān)控模塊201所監(jiān)控,同時, 虛擬機(jī)A101、虛擬機(jī)C103與外部網(wǎng)絡(luò)設(shè)備105間的通信流量也可以被虛擬機(jī)B102中的監(jiān) 控模塊201所監(jiān)控。
【權(quán)利要求】
1. 一種虛擬機(jī)流量監(jiān)控方法,其特征在于包括以下步驟: 步驟一:在虛擬機(jī)監(jiān)控器(Virtual Machine Monitor, VMM)上啟動包含監(jiān)控模塊的虛 擬機(jī),通過內(nèi)核模塊加載接口,將數(shù)據(jù)包捕獲模塊和數(shù)據(jù)緩存模塊加載到內(nèi)核中;將虛擬機(jī) 監(jiān)控模塊和數(shù)據(jù)緩存模塊建立通信連接;監(jiān)控模塊下發(fā)過濾地址列表到內(nèi)核,監(jiān)控模塊發(fā) 送啟動命令到內(nèi)核; 步驟二:數(shù)據(jù)包捕獲模塊監(jiān)聽TCP/IP協(xié)議棧中數(shù)據(jù);根據(jù)地址過濾表復(fù)制數(shù)據(jù)包,并 存儲到數(shù)據(jù)緩存模塊的緩存中;數(shù)據(jù)緩存模塊將數(shù)據(jù)發(fā)送到監(jiān)控模塊; 步驟三:監(jiān)控模塊提取數(shù)據(jù)包的基本信息,統(tǒng)計分析數(shù)據(jù)流量,展示統(tǒng)計分析結(jié)果及告 警。
2. 根據(jù)權(quán)利要求1所述的監(jiān)控方法,其特征在于:所述的步驟一中的具體流程如下: ① 、啟動包含監(jiān)控模塊的虛擬機(jī)后,監(jiān)控模塊也啟動運(yùn)行; ② 、監(jiān)控模塊調(diào)用內(nèi)核模塊加載接口,加載數(shù)據(jù)包捕獲模塊和數(shù)據(jù)緩存模塊到內(nèi)核; ③ 、數(shù)據(jù)緩存模塊與監(jiān)控模塊建立連接; ④ 、監(jiān)控模塊向所述數(shù)據(jù)緩存模塊發(fā)送地址過濾表; ⑤ 、監(jiān)控模塊向所述數(shù)據(jù)緩存模塊發(fā)送啟動指令; ⑥ 、數(shù)據(jù)緩存模塊設(shè)置內(nèi)核全局變量值為啟動。
3. 根據(jù)權(quán)利要求1所述的監(jiān)控方法,其特征在于:所述的步驟二的具體流程如下: ① 、數(shù)據(jù)緩存模塊判斷所述內(nèi)核全局變量值,如果為啟動,則分配一定大小的緩存,并 啟動數(shù)據(jù)緩存處理進(jìn)程;否則不作任何處理; ② 、數(shù)據(jù)包捕獲模塊判斷所述內(nèi)核全局變量值,如果為啟動,則啟動所述數(shù)據(jù)包捕獲 模,否則,不作任何處理; ③ 、數(shù)據(jù)包捕獲模塊判斷當(dāng)前TCP/IP協(xié)議棧數(shù)據(jù)包地址是否匹配所述地址過濾表;匹 配則復(fù)制數(shù)據(jù)包并存儲到所述數(shù)據(jù)緩存模塊的緩存中;否則,不作任何處理; ④ 、數(shù)據(jù)緩存進(jìn)程判斷所述緩存內(nèi)是否為空,不空則讀取緩存數(shù)據(jù)并通過所述數(shù)據(jù)緩 存模塊與所述監(jiān)控模塊建立的連接發(fā)送數(shù)據(jù);空則不做任何處理。
4. 根據(jù)權(quán)利要求1所述的監(jiān)控方法,其特征在于:所述的步驟三的具體流程如下: ① 、監(jiān)控模塊接受所述數(shù)據(jù)緩存模塊發(fā)送來的數(shù)據(jù);并調(diào)用數(shù)據(jù)預(yù)處理模塊提取數(shù)據(jù) 包頭信息,包括源目的MAC、源目的IP、數(shù)據(jù)包大?。? ② 、監(jiān)控模塊調(diào)用統(tǒng)計分析模塊統(tǒng)計數(shù)據(jù)包所在的會話流量、會話內(nèi)容,并根據(jù)入侵檢 測規(guī)則分析入侵行為;根據(jù)惡意代碼規(guī)則檢測惡意代碼; ③ 、統(tǒng)計分析模塊根據(jù)輸出配置要求,輸出統(tǒng)計分析結(jié)果,并在頁面展示; ④ 、統(tǒng)計分析模塊根據(jù)告警配置要求,輸出告警結(jié)果,并在頁面展示。
5. -種虛擬機(jī)流量監(jiān)控系統(tǒng),其特征在于,所述系統(tǒng)包括如下模塊: ① 、監(jiān)控模塊:用于部署數(shù)據(jù)包捕獲模塊、數(shù)據(jù)緩存模塊;調(diào)用預(yù)處理模塊和統(tǒng)計分析 模塊;與數(shù)據(jù)緩存模塊建立通信連接;接受數(shù)據(jù)緩存模塊發(fā)送來的數(shù)據(jù)包,下發(fā)過濾地址 表、命令給數(shù)據(jù)緩存模塊;管理監(jiān)控配置; ② 、預(yù)處理模塊:獲取所述數(shù)據(jù)包頭信息,包括源目的MAC、源目的IP、數(shù)據(jù)包大?。? ③ 、統(tǒng)計分析模塊:用于對所述的預(yù)處理模塊的處理結(jié)果進(jìn)行統(tǒng)計分析,包括會話流量 統(tǒng)計,會話內(nèi)容還原;根據(jù)入侵檢測規(guī)則分析入侵行為;根據(jù)惡意代碼規(guī)則檢測惡意代碼; 根據(jù)輸出配置要求和告警配置要求,輸出統(tǒng)計分析結(jié)果和告警結(jié)果,并在頁面展示; ④ 、數(shù)據(jù)包捕獲模塊:用于在虛擬機(jī)監(jiān)控器(VMM)內(nèi)核監(jiān)控TCP/IP協(xié)議棧的數(shù)據(jù)包,并 根據(jù)所述地址過濾表復(fù)制所述數(shù)據(jù)包;并存儲到數(shù)據(jù)緩存模塊的緩存中; ⑤ 、數(shù)據(jù)緩存模塊:用于建立與所述監(jiān)控模塊的連接;發(fā)送所緩存中的數(shù)據(jù)給所述監(jiān) 控模塊;接受所述監(jiān)控模塊發(fā)送的指令和數(shù)據(jù)。
【文檔編號】G06F9/455GK104063267SQ201410328690
【公開日】2014年9月24日 申請日期:2014年7月11日 優(yōu)先權(quán)日:2014年7月11日
【發(fā)明者】孫強(qiáng)強(qiáng), 馮斌, 趙銘, 丘惠軍, 陳昊, 何子龍, 劉忠魁 申請人:孫強(qiáng)強(qiáng), 馮斌, 趙銘
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1