[发明专利]一种虚拟机流量监控方法

说明书

技术领域

该发明涉及服务器虚拟机化虚拟机流量监控，尤其涉及物理服务器上的虚拟机流量监控方法和系统。

背景技术

服务器虚拟化可以提高计算资源的利用率，增强IT资源的管理灵活性，因此，该技术成为当前数据 中心重要技术。然而，服务器虚拟化后，同一台物理服务器上存在多个虚拟机，这些虚拟机之间的通信 无法被部署在物理服务器外的监控系统所感知。

现有方法是通过流量重定向策略来实现，包括两大类，一类是将虚拟机流量重定向到服务器外的网络设 备上进行监控处理。另一类是将虚拟机流量通过虚拟机交换机进行重定向到虚拟机监控器(VirtualMachine Monitor，VMM)上的虚拟机中进行监控。第一类方法的优势是可以利用现有的监控资源，但需要修改网 络协议驱动或增加新的网络硬件设备。第二类方法比较常见，但依赖虚拟交换机的可配置能力，缺乏性 能方面的优化能力，同时，对于虚拟机与外部的通信流量监控只能交给外部监控设备来处理，缺乏统一监 控的管理能力。

发明内容

本发明的目的在于：利用虚拟机监控器的钩子机制来获取虚拟机的通信数据流，并引入缓存机制和 过滤策略，提高监控的效率；同时本发明公开了一套监控系统，可以实现对虚拟机间通信和虚拟机与服 务器外部通信的统一监控。

本发明是这样实现的：

一种虚拟机流量监控方法包括以下步骤：

步骤一：在虚拟机监控器(VirtualMachineMonitor，VMM)上启动包含监控模块的虚拟机，通过内 核模块加载接口，将数据包捕获模块和数据缓存模块加载到内核中；将监控模块和数据缓存模块建立通 信连接；监控模块下发过滤地址列表到内核；监控模块发送启动命令到内核。具体流程如下：

①、启动包含监控模块的虚拟机后，监控模块也启动运行；

②、监控模块调用内核模块加载接口，加载数据包捕获模块和数据缓存模块到内核；

③、数据缓存模块与安全监控模块建立连接；

④、安全监控模块向所述数据缓存模块发送地址过滤表；

⑤、安全监控模块向所述数据缓存模块发送启动指令；

⑥、数据缓存模块设置内核全局变量值为启动。

步骤二：数据包捕获模块监听通过虚拟机监控器VMM内核TCP/IP协议栈中数据；根据数据地 址过滤表复制数据包，并存储到数据缓存模块的缓存中；数据模块模块将数据发送给监控模块。具体流 程如下：

①、数据缓存模块判断所述内核全局变量值，如果为启动，则分配一定大小的缓存，并启动数据缓存处 理进程；否则不作任何处理；

②、数据包捕获模块判断所述内核全局变量值，如果为启动，则启动所述数据包捕获模，否则，不作任 何处理；

③、数据包捕获模块判断当前TCP/IP协议栈数据包地址是否匹配所述地址过滤表；匹配则复制数据 包并存储到所述数据缓存模块的缓存中；否则，不作任何处理；

④、数据缓存进程判断所述缓存内是否为空，不空则读取缓存数据并通过所述数据缓存模块与所述安全 监控模块建立的连接发送数据；空则不做任何处理。

步骤三：监控模块提取数据包的基本信息，统计分析数据流量，展示统计分析结果及告警。具体流程 如下：

①、监控模块调用预处理模块提取数据包头信息，包括源目的MAC、源目的IP、数据包大小；

②、监控模块统计数据包所在的会话流量，会话内容，并根据入侵检测规则分析入侵行为；据恶意代码 规则检测恶意代码；

③、统计分析模块根据输出配置要求，输出统计分析结果，并在页面展示；

④、统计分析模块根据告警配置要求，输出告警结果，并在页面展示。一种虚拟机流量监控系统，其特征 在于，所述系统包括如下模块：

①、监控模块：用于部署数据包捕获模块、数据缓存模块；调用预处理模块和统计分析模块；与 数据缓存模块建立通信连接；接受数据缓存模块发送来的数据包，下发过滤地址表、命令给数据缓存模 块；管理监控配置；预处理模块：获取所述数据包头信息，包括源目的MAC、源目的IP、数据包大 小；