一种Xen虚拟化环境下网络数据的入侵检测方法
【技术领域】
[0001]本发明涉及云计算技术领域,尤其是涉及一种Xen虚拟化环境下网络数据的入侵检测方法。
【背景技术】
[0002]Xen是一个开放源代码虚拟机设备监视器,由剑桥大学开发。它打算在单个计算机上运行多达100个满特征的操作系统。操作系统必须进行显式地修改(“移植”)以在Xen上运行(但是提供对用户应用的兼容性)。这使得Xen无需特殊硬件支持,就能达到高性能的虚拟化。
[0003]目前,由于虚拟化网络的复杂性与多样性,在Host宿主机内部是无法获取到虚拟机设备的网络数据的,更无法对网络数据进行入侵防御;而且,在目前的传统的网络环境中,入侵防御的主体仍然是IP,而虚拟机设备的IP是可以动态变化的,如何在虚拟网络环境中,应对虚拟化网络的多变性,进行入侵防御;至今还没有有效的解决方法。
【发明内容】
[0004]本发明所解决的技术问题是提供一种Xen虚拟化环境下网络数据的入侵检测方法,为了在虚拟网络环境中应对虚拟化网络的多变性,本发明将入侵防御的主体设为虚拟机设备,避免了由于IP地址变化而导致入侵、防御的失败;能够有效监控虚拟机设备网络数据的入侵并对其进行检测和防御。
[0005]为了解决上述技术问题,本发明提供了一种Xen虚拟化环境下网络数据的入侵检测方法,包括:
[0006]S1:在宿主机上,用Open vSwitch搭建网络架构,仓ij建网桥;
[0007]S2:建立虚拟机设备,并将所述虚拟机设备加入网桥;
[0008]S3:将真实的网络接口对应虚拟机设备的虚拟接口,保持真实的网络接口与虚拟机设备的虚拟接口对应一致;
[0009]S4:将所述虚拟机设备的虚拟接口与所述网桥桥接,同时为各个虚拟机设备创建虚拟端口 ;使网络数据都经过相应的所述虚拟机设备的虚拟端口进行网络数据的通信;
[0010]S5:0pen vSwtich在接收到了各个数据端口发送过来的数据包,将所述数据包的头信息转发到控制器中,由所述控制器进行过滤和处理,并决定所述数据包的后续处理或转发的端口。
[0011]优选的,所述步骤3中,保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法是:在所述宿主机内,截取每个到达虚拟机设备虚拟端口的数据包头部的前128KB个字节,分析所述数据包头部,解析所述数据包头部的协议,根据解析后所述数据包,确定虚拟机设备对应的网桥端口。
[0012]更加优选的,所述步骤3中,保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法是:在虚拟机设备的虚拟端口被创建后,发送数据包时,数据包从虚拟机设备内部到达虚拟端口,判断数据包是否是第一个数据包;若数据包是第一个数据包,正常发送所述数据包;若数据包不是第一个数据包,构建新数据包,新数据包的目的地址为所述宿主机,所述宿主机接受新数据包,保持真实的网络接口与虚拟机设备的虚拟接口对应一致。
[0013]更加优选的,所述新数据包包含虚拟机设备的唯一标识、以及所述虚拟端口的标识。
[0014]更加优选的,所述步骤5中,所述控制器进行过滤为获取所述数据包的所述头信肩、O
[0015]更加优选的,所述步骤5中,所述控制器进行处理即进行入侵检测规则的匹配。
[0016]更加优选的,所述步骤5中,所述控制器进行处理即进行入侵检测规则的匹配时,所述控制器通过所述数据包的头信息进行判断,判断所述数据包是否是APP / RARP数据包;
[0017]若所述数据包是APP / RARP数据包,则进行下述步骤Na ;
[0018]若所述数据包是APP / RARP数据包,则进行下述步骤Nb ;
[0019]Na:获取源IP、进入端口和虚拟机设备的标识,建立虚拟机设备与虚拟机设备之间的IP关联,作为后续入侵检测防御的主体,进行下述步骤Nb ;
[0020]Nb:所述Controller按照入侵检测规则将所述数据有选择的转发到所述数据的对应的数据处理端口上。
[0021]更加优选的,入侵检测规则是指:所述控制器按照入侵检测规则的主体的内容将从所述步骤Na中接收到的所述数据包中的数据,进行入侵检测规则的攻击特征匹配,匹配过程包括正则表达式匹配、二进制数据匹配和攻击特征匹配。
[0022]更加优选的,所述控制器将所述数据有选择的转发时,所述控制器的判定所述数据不匹配攻击数据的数据包时,则将所述数据进行放行,并将所述数据转发到对应的数据处理端口上,进行正式的业务逻辑处理。
[0023]更加优选的,所述控制器将所述数据有选择的转发时,所述控制器的判定所述数据匹配有攻击数据的数据包时,则对所述数据进行丢弃处理,不将所述数据转发到对应的数据处理端口上。
[0024]其中,所述云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。
[0025]其中,所述Open vSwitch即开放虚拟交换标准!Open vSwitch是在开源的Apache2.0许可下的产品级质量的多层虚拟交换标准。它旨在通过编程扩展,使庞大的网络自动化(配置、管理、维护),同时还支持标准的管理接口和协议(如NetFlow,sFlow,SPAN, RSPAN, CLI, LACP,802.lag)。总的来说,它被设计为支持分布在多个物理服务器,例如 VMware 的 vNetwork 分布式 vSwitch 或思科的 NexuslOOOV。
[0026]本发明与现有技术相比,具有如下有益效果:
[0027]本发明在Xen虚拟化环境下利用Open vSwitch实现虚拟机设备网络数据的监控;能够监控虚拟机设备网络的数据,利于后续对对数据的过滤、检测等处理。
【附图说明】
[0028]图1示例性的示出了本发明监控流程示意图;
[0029]图2示例性的示出了本发明保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法流程示意图;
[0030]图3示例性的示出了本发明用Open vSwitch搭建后的网络示意图;
[0031]图4示例性的示出了本发明的部署架构图;
[0032]图5示例性的示出了控制器过滤处理过程流程示意图。
【具体实施方式】
[0033]为了更好的理解本发明所解决的技术问题、所提供的技术方案,以下结合附图及实施例,对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明的实施,但并不用于限定本发明。
[0034]在优选的实施例中,图1示例性的示出了一种Xen虚拟化环境下网络数据的入侵检测方法流程示意图;包括:。
[0035]步骤一:在宿主机上,用Open vSwitch搭建网络架构,仓ij建网桥;
[0036]步骤二:建立虚拟机设备,并将所述虚拟机设备加入网桥;
[0037]步骤三:将真实的网络接口对应虚拟机设备的虚拟接口,保持真实的网络接口与虚拟机设备的虚拟接口对应一致;
[0038]步骤四:将所述虚拟机设备的虚拟接口与所述网桥桥接,同时为各个虚拟机设备创建虚拟端口 ;使网络数据都经过相应的所述虚拟机设备的虚拟端口进行网络数据的通?目;
[0039]步骤五:0pen vSwtich在接收到了各个数据端口发送过来的数据包,将所述数据包的头信息转发到控制器中;由所述控制器进行过滤和处理,如图5所示;并决定所述数据包的后续处理或转发的端口。
[0040]在更加优选的实施例中,所述步骤三中,保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法是:在所述宿主机内,截取每个到达虚拟机设备虚拟端口的数据包头部的前128KB个字节,分析所述数据包头部,解析所述数据包头部的协议,根据解析后所述数据包,确定虚拟机设备对应的网桥端口。
[0041]在更加优选的实施例中,在所述步骤三中,图2示例性的示出了本发明保持真实的网络接口与虚拟机设备的虚拟接口对应一致的方法流程示意图;在虚拟机设备的虚拟端口被创建后,发送数据包