本發明提供一種針對虛擬化環境的流量檢測系統及方法，系統包括：agent模塊，流表中匹配到的虛擬機流量直接通過虛擬交換機轉發，流表中未匹配到的虛擬機流量發送至異常流量檢測模塊并更新虛擬交換機流表；異常流量檢測模塊，對于檢測結果為正常的虛擬機流量在流表處新增流表項以允許該種虛擬機流量通過；對于檢測結果為異常的虛擬機流量在流表處修改流表項，設置訪問控制以阻斷流量異常的虛擬機；控制模塊：決策出要阻斷的流量異常的物理機連接或要列入黑名單的物理機并更新物理交換機流表。本發明可以檢測虛擬機之間、物理機之間、虛擬機和物理機之間的異常流量，更加適應流量海量性、實時性檢測等要求，可以對虛擬化流量進行更加全面的檢測。

技術領域

本發明涉及虛擬化網絡技術領域，具體涉及一種針對虛擬化環境的流量檢測系統及方法。

背景技術

隨著服務器虛擬化、存儲虛擬化、網絡虛擬化等技術的提出，為了減少內部網絡的維護成本、計算資源的采購維護成本等，越來越多的企業將部分或全部企業網托管到公有云上，各大數據中心的設備越來越多、物理機流量越來越海量。

傳統網絡已經不能滿足這些新業務、新技術需要，網絡設備的異構，網絡協議的異構等因素導致傳統網絡管理的復雜程度增大，此時SDN應運而生，為網絡的統一化管理提供了有效的手段。

現階段，常見的異常流量檢測技術，更多是針對常見異常流量檢測方法提出的改進，而非是針對虛擬化環境，而且異常流量檢測除了需要滿足精確性外，還需要適應海量性、實時性等要求。

發明內容

針對現有技術存在的問題，本發明提供一種針對虛擬化環境的流量檢測系統及方法。

本發明的技術方案是這樣實現的：

本發明提供一種針對虛擬化環境的流量檢測系統，包括：

agent模塊：在虛擬化物理機hypervisor層中實現，對流經虛擬交換機的虛擬機流量實時采集，并與虛擬交換機上的流表做匹配：對于流表中匹配到的虛擬機流量，直接讓虛擬機流量通過虛擬交換機轉發，對于流表中未匹配到的虛擬機流量，則發送至異常流量檢測模塊并更新虛擬交換機流表；

異常流量檢測模塊：在虛擬化物理機hypervisor層安裝的虛擬交換機的Controller中實現，對未匹配到流表的虛擬機流量做流量檢測：對于檢測結果為正常的虛擬機流量在流表處新增流表項以允許該種虛擬機流量通過；對于檢測結果為異常的虛擬機流量在流表處修改流表項，設置訪問控制以阻斷流量異常的虛擬機；

控制模塊：在與物理交換機連接的物理機中實現，根據Spark計算集群實時處理的流經物理交換機的物理機流量的流量指標進行DFI檢測，決策出要阻斷的流量異常的物理機連接或要列入黑名單的物理機，并更新物理交換機流表。

所述控制模塊包括：

DFI檢測模塊：根據Spark計算集群實時處理的流經物理交換機的物理機流量的流量指標與對應的正常基線做對比，差異超過允許范圍時則流經物理交換機的物理機流量異常，否則，當前時刻該兩個物理機間流經物理交換機的物理機流量正常；

配置下發模塊：根據DFI檢測結果決策出要阻斷的物理機連接或要列入黑名單的物理機，并更新物理交換機流表。

本發明還提供一種利用所述的流量檢測系統進行虛擬化環境中虛擬機與虛擬機間流量檢測的方法，包括以下步驟：

采用sFlow協議實時采集流經hypervisor層虛擬交換機的虛擬機流量形成采集虛擬機流量的日志流數據，發送至虛擬交換機流表；