[发明专利]一种分布式虚拟网络的动态迁移方法及系统

权利要求书

1.一种分布式虚拟网络的动态迁移方法，其特征在于，所述方法包括：

获取分布式虚拟网络中的流量数据，使用OpenFlow协议收集流量统计信息，分析提取流量数据中的特征向量和流表项，根据流表项的关联关系，得到所述分布式虚拟网络中各个虚拟机的通信关系；

所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前，还包括获取所述分布式虚拟网络的所有节点标识，将所述节点标识与虚拟机标识组成新的唯一标识字符串，根据该唯一标识字符串和流表项的前后关联关系，生成所述分布式虚拟网络中各个虚拟机的通信关系；

根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理，将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组；

所述聚类处理还包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路；

验证所述通信关系中的虚拟机之间是否存在网络攻击行为，若存在则认定被攻击的虚拟机为不安全虚拟机，升级其所在微隔离分组的安全防护策略，并标记所述不安全虚拟机，暂停所述不安全虚拟机与其他虚拟机的通信；若不存在则认定被验证的虚拟机为安全虚拟机；

当一个微隔离分组的所有虚拟机都为安全虚拟机时，则为该微隔离分组下发普通安全防护策略，允许流量数据在分组内虚拟机之间正常传输，允许分组内虚拟机与其他分组的虚拟机交换流量数据；

所述升级其所在微隔离分组的安全防护策略，包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据；

定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为，若该网络攻击行为消除，则将所述不安全虚拟机标记为安全虚拟机，调整其所在微隔离分组的安全防护策略；

当其中一个故障虚拟机需要数据迁移时，该故障虚拟机所在的微隔离分组选举一个临时主控点，由所述临时主控点向分组内其他虚拟机广播迁移消息，并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机，将所述故障虚拟机的数据迁移到所述第二虚拟机；

其中，所述广播迁移消息包括将所述故障虚拟机剔除出微隔离分组的指示，分组内其他虚拟机接收到所述广播迁移消息后，能够根据所述指示，修改流表项内容；

所述临时主控点向所述故障虚拟机发送响应消息，指示所述故障虚拟机完成数据迁移，并删除所述故障虚拟机上的安全防护策略，数据迁移完成后，所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息；

所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前，还包括对流表项的预处理，删除虚拟机与外部服务器或网关之间的通信链路，删除不相关的字段，将源IP地址和目的IP地址作为匹配条件。

2.根据权利要求1所述的方法，其特征在于：所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。

3.根据权利要求1所述的方法，其特征在于：所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。