1.一种分布式微隔离网络的流量牵引方法,其特征在于,所述方法包括:
获取分布式虚拟网络中的流量数据,使用openflow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
将所述不安全虚拟机的数据进行迁移,该不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,该控制平面的虚拟机暂时不处理业务;
由所述临时主控点向临近微隔离分组的其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述不安全虚拟机的数据迁移到所述第二虚拟机;
其中包括所述临时主控点向核心虚拟交换设备发送迁移请求消息,所述迁移请求消息中携带有控制平面指示命令,所述核心虚拟交换设备根据所述控制平面指示命令,直接将所述迁移请求消息中包含的迁移消息透传到所述核心虚拟交换设备下的其他微隔离分组的控制平面,由其他微隔离分组的控制平面选择出一个所述第二虚拟机;
所述不安全虚拟机通过所述核心虚拟交换设备的业务平面,将迁移数据传输到所述第二虚拟机;
所述临时主控点向所在分组广播迁移消息,包括将所述不安全虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述不安全虚拟机发送响应消息,指示所述不安全虚拟机完成数据迁移,并删除所述不安全虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
2.根据权利要求1所述的方法,其特征在于:所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源ip地址和目的ip地址作为匹配条件。
3.根据权利要求1-2任一项所述的方法,其特征在于:所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
4.根据权利要求1-3任一项所述的方法,其特征在于:所述聚类处理使用的聚类算法包括k-means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
5.一种分布式微隔离网络的流量牵引系统,其特征在于,所述系统包括:获取单元、分组单元和策略部署单元;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用openflow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
将所述不安全虚拟机的数据进行迁移,该不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,该控制平面的虚拟机暂时不处理业务;
由所述临时主控点向临近微隔离分组的其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述不安全虚拟机的数据迁移到所述第二虚拟机;
其中包括所述临时主控点向核心虚拟交换设备发送迁移请求消息,所述迁移请求消息中携带有控制平面指示命令,所述核心虚拟交换设备根据所述控制平面指示命令,直接将所述迁移请求消息中包含的迁移消息透传到所述核心虚拟交换设备下的其他微隔离分组的控制平面,由其他微隔离分组的控制平面选择出一个所述第二虚拟机;
所述不安全虚拟机通过所述核心虚拟交换设备的业务平面,将迁移数据传输到所述第二虚拟机;
所述临时主控点向所在分组广播迁移消息,包括将所述不安全虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述不安全虚拟机发送响应消息,指示所述不安全虚拟机完成数据迁移,并删除所述不安全虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
6.根据权利要求5所述的系统,其特征在于,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源ip地址和目的ip地址作为匹配条件。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述聚类处理使用的聚类算法包括k-means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。