[发明专利]一种虚拟机流量监控方法

权利要求书

1.一种虚拟机流量监控方法，其特征在于包括以下步骤：

步骤一：在虚拟机监控器(Virtual Machine Monitor，VMM)上启动包含监控模块的虚拟机，通过内核模块加载接口，将数据包捕获模块和数据缓存模块加载到内核中；将虚拟机监控模块和数据缓存模块建立通信连接；监控模块下发过滤地址列表到内核，监控模块发送启动命令到内核；

步骤二：数据包捕获模块监听TCP/IP协议栈中数据；根据地址过滤表复制数据包，并存储到数据缓存模块的缓存中；数据缓存模块将数据发送到监控模块；

步骤三：监控模块提取数据包的基本信息，统计分析数据流量，展示统计分析结果及告警。

2.根据权利要求1所述的监控方法，其特征在于：所述的步骤一中的具体流程如下：

①、启动包含监控模块的虚拟机后，监控模块也启动运行；

②、监控模块调用内核模块加载接口，加载数据包捕获模块和数据缓存模块到内核；

③、数据缓存模块与监控模块建立连接；

④、监控模块向所述数据缓存模块发送地址过滤表；

⑤、监控模块向所述数据缓存模块发送启动指令；

⑥、数据缓存模块设置内核全局变量值为启动。

3.根据权利要求1所述的监控方法，其特征在于：所述的步骤二的具体流程如下：

①、数据缓存模块判断所述内核全局变量值，如果为启动，则分配一定大小的缓存，并启动数据缓存处理进程；否则不作任何处理；

②、数据包捕获模块判断所述内核全局变量值，如果为启动，则启动所述数据包捕获模，否则，不作任何处理；

③、数据包捕获模块判断当前TCP/IP协议栈数据包地址是否匹配所述地址过滤表；匹配则复制数据包并存储到所述数据缓存模块的缓存中；否则，不作任何处理；

④、数据缓存进程判断所述缓存内是否为空，不空则读取缓存数据并通过所述数据缓存模块与所述监控模块建立的连接发送数据；空则不做任何处理。

4.根据权利要求1所述的监控方法，其特征在于：所述的步骤三的具体流程如下：

①、监控模块接受所述数据缓存模块发送来的数据；并调用数据预处理模块提取数据包头信息，包括源目的MAC、源目的IP、数据包大小；

②、监控模块调用统计分析模块统计数据包所在的会话流量、会话内容，并根据入侵检测规则分析入侵行为；根据恶意代码规则检测恶意代码；

③、统计分析模块根据输出配置要求，输出统计分析结果，并在页面展示；

④、统计分析模块根据告警配置要求，输出告警结果，并在页面展示。

5.一种虚拟机流量监控系统，其特征在于，所述系统包括如下模块：

①、监控模块：用于部署数据包捕获模块、数据缓存模块；调用预处理模块和统计分析模块；与数据缓存模块建立通信连接；接受数据缓存模块发送来的数据包，下发过滤地址表、命令给数据缓存模块；管理监控配置；

②、预处理模块：获取所述数据包头信息，包括源目的MAC、源目的IP、数据包大小；

③、统计分析模块：用于对所述的预处理模块的处理结果进行统计分析，包括会话流量统计，会话内容还原；根据入侵检测规则分析入侵行为；根据恶意代码规则检测恶意代码；

根据输出配置要求和告警配置要求，输出统计分析结果和告警结果，并在页面展示；

④、数据包捕获模块：用于在虚拟机监控器(VMM)内核监控TCP/IP协议栈的数据包，并根据所述地址过滤表复制所述数据包；并存储到数据缓存模块的缓存中；

⑤、数据缓存模块：用于建立与所述监控模块的连接；发送所缓存中的数据给所述监控模块；接受所述监控模块发送的指令和数据。