[发明专利]一种虚拟微隔离网络的资源调度方法及系统

说明书

本发明提供一种虚拟微隔离网络的资源调度方法及系统，通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项，获取分布式虚拟环境中虚拟机之间的通信关系，使用聚类处理对虚拟机进行微隔离分组，验证所述通信关系中的虚拟机之间是否存在网络攻击行为，根据验证结果对虚拟机的微隔离分组动态部署安全防护策略，根据业务进度、剩余资源判断是否需要资源调度，若业务需要加快进度且微隔离分组内剩余资源不足时，调度相邻且安全防护策略等级相同的其他微隔离分组资源来处理业务。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种虚拟微隔离网络的资源调度方法及系统。

背景技术

现在利用虚拟化技术构建数据中心越来越普遍了，带来了新的安全问题，在虚拟化网络环境中，大量流量数据通过虚拟交换机转发，不会经过防火墙，使得传统的安全防护措施失效。虚拟机之间的通信流量变得不可控，内部虚拟机的威胁无法被检测，也无法被控制。分布式虚拟环境存在海量的虚拟机，如何动态部署安全防护策略，也是急需要解决的技术问题。

同时，在虚拟网络中存在大量共享的网络资源，如何在虚拟机相互微隔离的情况下继续共享使用网络资源，也是需要解决的技术问题。

因此，急需一种针对性分布式虚拟环境的安全防护方法和系统。

发明内容

本发明的目的在于提供一种虚拟微隔离网络的资源调度方法及系统，解决现有技术中针对海量虚拟机之间流量数据缺乏控制方法，缺乏动态部署安全防护策略，如何在微隔离的情况下调度共享资源的技术问题。

第一方面，本申请提供一种虚拟微隔离网络的资源调度方法，所述方法包括：

获取分布式虚拟网络中的流量数据，使用OpenFlow协议收集流量统计信息，分析提取流量数据中的特征向量和流表项，根据流表项的关联关系，得到所述分布式虚拟网络中各个虚拟机的通信关系；

所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前，还包括获取所述分布式虚拟网络的所有节点标识，将所述节点标识与虚拟机标识组成新的唯一标识字符串，根据该唯一标识字符串和流表项的前后关联关系，生成所述分布式虚拟网络中各个虚拟机的通信关系；

根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理，将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组；

所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路；

验证所述通信关系中的虚拟机之间是否存在网络攻击行为，若存在则认定被攻击的虚拟机为不安全虚拟机，升级其所在微隔离分组的安全防护策略，并标记所述不安全虚拟机，暂停所述不安全虚拟机与其他虚拟机的通信；若不存在则认定被验证的虚拟机为安全虚拟机；

当一个微隔离分组的所有虚拟机都为安全虚拟机时，则为该微隔离分组下发普通安全防护策略，允许流量数据在分组内虚拟机之间正常传输，允许分组内虚拟机与其他分组的虚拟机交换流量数据；

所述升级其所在微隔离分组的安全防护策略，包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据；

定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为，若该网络攻击行为消除，则将所述不安全虚拟机标记为安全虚拟机，调整其所在微隔离分组的安全防护策略；

统计各个微隔离分组的资源利用情况、业务进度，根据业务进度、剩余资源判断是否需要资源调度，若业务需要加快进度且微隔离分组内剩余资源不足时，调度相邻且安全防护策略等级相同的其他微隔离分组资源来处理业务；若业务需要加快进度且微隔离分组内剩余资源富裕时，调度分组内负载较轻的虚拟机处理业务，处理业务的数据量根据该虚拟机的负载情况确定；