CN103973481A - 一种基于sdn的云计算数据中心的审计系统及方法 - Google Patents
一种基于sdn的云计算数据中心的审计系统及方法 Download PDFInfo
- Publication number
- CN103973481A CN103973481A CN201410160047.4A CN201410160047A CN103973481A CN 103973481 A CN103973481 A CN 103973481A CN 201410160047 A CN201410160047 A CN 201410160047A CN 103973481 A CN103973481 A CN 103973481A
- Authority
- CN
- China
- Prior art keywords
- audit
- module
- virtual
- virtual machine
- sdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种基于SDN的云计算数据中心的审计系统,该系统包括核心管理模块、系统基础功能模块以及与其他安全设备/虚拟机的联动接口。核心管理模块是是整个系统的关键核心,包括SDN控制器管理平台模块、审计虚拟机管理平台模块和审计虚拟机安全保障模块。系统基础功能模块对云数据中心环境中的多控制器进行协调管理,包括交换机接口通信模块,控制器同步模块,分布式管理模块,故障恢复模块,冗余备份模块。与其他安全设备/虚拟机的联动接口提供基于SDN的云计算数据中心的审计系统与其他审计虚拟安全管理平台或者其他网络安全产品的接口。通过本发明实现了在云计算数据中心中不影响业务正常运行的条件下提供可定制、扩展的虚拟审计服务的目的。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于SDN的云计算数据中心的审计系统及方法。
背景技术
目前我国云计算正处于发展阶段,数据的安全性是阻碍其发展的重要因素。当把数据交付给云计算时面临着风险,为了保障虚拟基础设施和网络应用程序的安全需要采用有效的措施,如审计(CSA云安全指南中提到)。但是由于虚拟化技术的引入,打破了传统的网络边界的划分方式;并且虚拟机数量变化快的特性也要求有与之相适应的迅速的安全防护。而这些都是传统的审计手段无法做到的。
因此对于采用基于虚拟化的云平台架构搭建IT环境的政府及企业用户来说,安全性及合规性依然是他们需要考虑的首要因素,用户需要一套完整的应用于云计算环境下的审计方案可以为虚拟和物理环境都提供持续的保护,并满足其合规性检查的需要,做到全面的审计覆盖。
申请号为CN201010270810.0的发明专利公开了一种云数据审计的方法和系统。云数据审计的系统包括文件监控模块和审计模块,系统首先通过文件监控模块调用获得用户使用的文件和数据,然后再通过审计模块对用户使用的数据的备份数据进行审计。采用本发明可使得云计算系统能进行数据内容和使用权限的审核,而且对用户的使用不产生影响,又能及时遏制用户对不良数据的使用或对数据的越权使用,并能对不良数据和不良用户作相应处理。
此发明的目的在于提供一种云数据的审计方法和系统,使得云计算系统能监测不良数据、不良用户以及用户对数据的越权使用,本发明要解决的技术问题在于使得云计算系统自动地审计用户使用的数据,确保杜绝不良数据、有害数据的使用,但不影响用户使用的速度和质量。此技术需要对对审计模块审计通过的数据进行标识,另外在数据被重新修改后需要删除对数据的标识;这些都需要耗费较大的系统资源,也容易弄脏原始数据本身。另外,此发明只能在限定范围内进行审计以避免资源耗用过大,不能对云计算数据中心进行整体普适性的审计。
此外,申请号为CN201210588862.1的发明专利公开了基于多Agent的动态可扩展云审计方法,每台主机上都加载运行Agent事件收集子系统和Agent事件分析子系统,在受监视云审计系统中作为后台进程运行审计信息的收集和分析,并将数据传递给中央管理者服务器;GUI客户端用于查看各个主机的状态;中央管理服务器和数据库用于接收来自主机的数据和报告,控制整个云审计系统的通信信息,对接收到的安全审计事件进行分析、存储;WindowsAgent子系统底层调用系统的应用程序编程接口api直接获取windows的事件内容标准化为系统日志syslog事件发送给agent事件分析子系统;Linux Agent系统最底层采用事件收集模块收集数据。
此发明要求在每台主机上安装一个代理以进行审计工作,这将耗用该主机自身的资源。另外在该主机崩溃(如中毒,死机等情况)时,代理停止工作,这将影响审计的连续性和完备性。另外当该主机上的虚拟机发生迁移时,此发明很难追踪该迁移的虚拟机,从而实现对该虚拟机的持续审计。
发明内容
本发明为了解决现有技术中云计算数据中心审计的缺点或不足,采用了一种基于SDN的云计算数据中心审计的方案,从而实现了在云计算数据中心中不影响业务正常运行的条件下提供可定制、扩展的虚拟审计服务的目的。
本发明提供了一种基于SDN的云计算数据中心的审计系统,该系统包括核心管理模块、系统基础功能模块以及与其他安全设备/虚拟机的联动接口。
核心管理模块是是整个系统的关键核心,包括SDN控制器管理平台模块、审计虚拟机管理平台模块和审计虚拟机安全保障模块。
SDN控制器管理平台模块负责对网络流量规则的执行,包括流表生成模块、流表下发模块、虚拟交换机变动模块和流量异常检测模块。
流表生成模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求生成需要变更的流表,接着虚拟交换机变动模块根据需要通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口,最后流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则。
流量异常检测模块是配合审计虚拟机安全保障模块工作,通过对审计虚拟机服务器上的流量进行检测,当发现异常时及时响应,以确保审计虚拟机服务器自身的安全。
审计虚拟机管理平台模块负责完成主机上审计虚拟安全器件的变动工作,包括四个模块,分别是虚拟机创建模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块,审计虚拟机管理平台模块接受到审计虚拟安全器件变动要求,选择上述四个模块中相应的模块与SDN控制器管理平台模块协调以完成在指定主机上增加、中止、复制审计虚拟器件的要求。
审计虚拟机安全保障模块负责对整个系统的安全保障工作,通过SDN控制器管理平台的流量异常检测模块监控审计虚拟机服务器上流量的实时情况,一旦发现异常,审计虚拟机服务器上的OVS交换机立即提取相应信息并且发送给审计流量异常检测,审计虚拟机安全保障模块根据信息做出安全决策。
系统基础功能模块对云数据中心环境中的多控制器进行协调管理,是整个系统工作的基础,确保整个控制集群能够在云环境中将所有的安全策略同步、获取所有实时的安全状态、以安全可靠的方式执行操作,包括交换机接口通信模块,控制器同步模块,分布式管理模块,故障恢复模块和冗余备份模块;控制器同步模块和分布式管理模块是确保总控制中心的指令能及时可靠的到达虚拟交换机或主机的VMM/Hypervisor,并且实现策略指令的同步;冗余备份模块对各区域内的控制器进行冗余备份,以防止机器突然中断发生的信息丢失情况的出现;故障恢复模块在控制器、虚拟交换机、云主机发生故障后,快速的恢复相关安全保护的措施。
与其他安全设备/虚拟机的联动接口提供基于SDN的云计算数据中心的审计系统与其他审计虚拟安全管理平台或者其他网络安全产品的接口。
此外,本发明还提供一种基于SDN的云计算数据中心的审计方法,该方法基于SDN技术,云计算数据中心的审计控制台根据支持SDN的虚拟交换机反馈的审计防护需求,调动SDN控制器管理平台和审计虚拟机管理平台根据各地区各主机审计需求的最新情况增加/删除审计虚拟器件,其中主机的网桥由支持SDN的虚拟交换机替换,使用流表转发的方式完成多对多的端口镜像,将所需监控的端口流量转发到指定的审计虚拟安全器件上;其具体流程如下:
s1、云计算数据中心的物理主机和虚拟主机的流量通过流量复制器发送至各审计服务器的网卡上;
s2、SDN控制器管理平台模块通过审计主机上的支持SDN的交换机感知到需要审计的流量规模,即分析出云计算中心审计的流量审计需求和审计虚拟器件变动的需求;
s3、SDN控制器管理平台模块的流表生成模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求生成需要变更的流表;
s4、审计虚拟机管理平台模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口;
s5、SDN控制器管理平台模块的流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则;
s6、SDN控制器管理平台模块的流量异常检测模块实时运行配合审计虚拟机安全保障模块工作,通过对审计虚拟机服务器上的流量进行检测,当发现异常时及时响应,以确保审计虚拟机服务器自身的安全。
本发明技术方案带来的有益效果:通过本发明能有效应对云计算环境中审计的虚拟机突然增加或虚拟机整体大批量迁往异地的数据中心等审计需求迅速变化的情况。通过支持SDN的虚拟交换机在不影响正常业务工作的情况下自动识别安全需求的变化,在云计算中心的各地各审计主机上快速的部署或关闭虚拟器件,能有效的保证云计算数据中心审计的有效性,提供可定制、扩展的虚拟审计服务。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明系统的功能模块图;
图2是本发明系统的物理架构图;
图3是本发明方法的网络拓扑图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于SDN的云计算数据中心的审计系统独立部署在云计算平台中,利用云计算平台强大的计算能力为云数据中心中基于虚拟机运行的系统提供全面的、高性能的网络安全保护。一种基于SDN的云计算数据中心的审计系统功能图如图1所示。
一种基于SDN的云计算数据中心的审计系统包括核心管理模块、系统基础功能模块以及与其他安全设备/虚拟机的联动接口。
核心管理模块是是整个系统的关键核心,包括SDN控制器管理平台模块、审计虚拟机管理平台模块和审计虚拟机安全保障模块。一种基于SDN的云计算数据中心执行审计行为包括二种,一种是网络流量规则的执行,即SDN控制器下发流表至虚拟交换机;另一种是SVM的调整,即SVM控制器通知主机增加或关闭安全虚拟器件。
SDN控制器管理平台模块负责对网络流量规则的执行,包括流表生成模块、流表下发模块、虚拟交换机变动模块和流量异常检测模块。流表生成模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求生成需要变更的流表,接着虚拟交换机变动模块根据需要通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口,最后流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则。另外流量异常检测模块是配合审计虚拟机安全保障模块工作,通过对审计机虚拟服务器上的流量进行检测,当发现异常时及时响应,以确保审计虚拟机服务器自身的安全。
审计虚拟机管理平台模块负责完成主机上审计虚拟安全器件的变动工作,包括四个模块,分别是虚拟机创建模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块。审计虚拟机管理平台模块接受到审计虚拟安全器件变动要求,选择上述四个模块中相应的模块与SDN控制器管理平台模块协调以完成在指定主机上增加、中止、复制审计虚拟器件的要求。这样当主机上的虚拟机增加或删除时,主机可以提供与之相匹配的安全保障能力,并且防止资源的浪费;另外虚拟机在不同主机之间迁移时,也能保证原有的安全策略能不间断的随虚拟机迁移。
审计虚拟机安全保障模块负责对整个系统的安全保障工作。通过SDN控制器管理平台的流量异常检测模块监控审计虚拟机服务器上流量的实时情况。一旦发现异常,审计虚拟机服务器上的OVS交换机立即提取相应信息并且发送给审计流量异常检测,审计虚拟机安全保障模块根据信息做出安全决策。
系统基础功能模块对云数据中心环境中的多控制器进行协调管理,主要包括交换机接口通信模块,控制器同步模块,分布式管理模块,故障恢复模块,冗余备份模块;是整个系统工作的基础,确保整个控制集群能够在云环境中将所有的安全策略同步、获取所有实时的安全状态、以安全可靠的方式执行操作。
其中特别的指出,核心管理模块通过系统基础功能模块中的交换机接口通信模块使用南向接口协议与支持SDN的虚拟交换机进行安全通信,使用其他模块实现多控制器之间的流表的同步;同时也使用交换机接口通信模块与主机的VMM/Hypervisor进行通信,以安全加密的方式将增删安全虚拟器件的指令传递执行下去。控制器同步模块和分布式管理模块是确保总控制中心的指令能及时可靠的到达虚拟交换机或主机的VMM/Hypervisor,并且实现策略指令的同步。冗余备份模块对各区域内的控制器进行冗余备份,以防止机器突然中断发生的信息丢失情况的出现。故障恢复模块在控制器、虚拟交换机、云主机发生故障后,快速的恢复相关安全保护的措施。
与其他安全设备/虚拟机的联动接口提供基于SDN的云计算数据中心的审计系统与其他审计虚拟安全管理平台或者其他网络安全产品的接口。与其他安全设备/虚拟机的联动接口能实现不同审计虚拟机服务器之间的联动,也能实现与其他网络安全产品如IDS、防火墙、漏洞扫描之间的联动,能为安全管理平台所统一管理。
本发明方法基于SDN技术,提出一个云计算数据中心的审计方法。云计算数据中心的审计控制台根据支持SDN的虚拟交换机反馈的审计防护需求,调动SDN控制器管理平台和审计虚拟机管理平台根据各地区各主机审计需求的最新情况增加/删除审计虚拟器件。其中主机的网桥由支持SDN的虚拟交换机替换,使用流表转发的方式完成多对多的端口镜像,将所需监控的端口流量转发到指定的审计虚拟安全器件上。其具体流程如下:
1、云计算数据中心的物理主机和虚拟主机的流量通过流量复制器发送至各审计服务器的网卡上。
2、SDN控制器管理平台模块通过审计主机上的支持SDN的交换机感知到需要审计的流量规模,即分析出云计算中心审计的流量审计需求和审计虚拟器件变动的需求。
3、SDN控制器管理平台模块的流表生成模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求生成需要变更的流表。
4、审计虚拟机管理平台模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口。
5、SDN控制器管理平台模块的流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则。
6、SDN控制器管理平台模块的流量异常检测模块实时运行配合审计虚拟机安全保障模块工作,通过对审计虚拟机服务器上的流量进行检测,当发现异常时及时响应,以确保审计虚拟机服务器自身的安全。
一种基于SDN的云计算数据中心的审计方法的网络连接建立在分布式虚拟交换机技术上,支持开源技术Openvswitch。在Xen虚拟化平台中,传统上其内部网络主要由虚拟网卡与虚拟桥接器组成,提供虚拟机桥接实体网络及虚拟机之间彼此通信的机制,而虚拟交换机技术的引入可以带给Hypervisor/VMM更多弹性化的功能来管控整体的虚拟网络结构。
一种基于SDN的云计算数据中心的审计方法的物理架构图如图2所示。
由图2可见,业务主机外的物理防火墙可以为主机内的网络提供包过滤、访问控制、身份认证、流量控制等边界安全防护功能。
审计虚拟机服务器的接入需要交换机端口镜像,将流量经由流量复制器复制多份之后,导入审计主机中的OVS桥,OVS桥将用户网络环境流量直接导入对应安全虚拟器件中进行处理。另外OVS桥为审计虚拟机服务器内部的安全虚拟机群提供管理网络,为用户提供远程配置、管理的接入便利。由于监听类的安全产品需要处理大量的网络流量,因此在审计主机中为每一个监听类的安全虚拟器件配备至少一块物理网卡以满足对于网络性能的要求。
在审计虚拟机服务器上提供各种版本的审计虚拟机,也可根据需要增加其他监听类安全产品和非监听类安全产品。监听类的安全产品包括IDS,审计类产品等,非监听类产品有漏洞扫描、安全管理平台等。
一种基于SDN的云计算数据中心的审计方法的网络拓扑图如图3所示。
本发明以安全虚拟器件代替了原有硬件设备的产品交付方式,更加快捷、高效,且节约成本。审计的安全虚拟机器件主要包括细粒度的数据库审计虚拟器件和合规性审计虚拟器件。
细粒度的数据库审计虚拟器件
此审计虚拟器件可保护业界主流的数据库系统,防止受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时,细粒度的数据库审计虚拟器件会自动根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测及审计规则检测,任何尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警。
合规性审计虚拟器件
IT管理者、合规性审计人员可以利用合规性审计虚拟器件,定义和报告在其环境中开展合规性运营应满足的具体要求(包括企业、集团法规或政府相关政策)。云平台管理员可以快速查看环境内部的总体合规性状态,并确定每台虚拟机触发违规警报的具体情况。合规性审计虚拟器件基于“数据捕获→应用层数据分析→监控、审计和响应”的模式提供各项安全功能,使得它的审计功能大大优于基于日志收集的审计系统,通过收集一系列极其丰富的审计数据,结合细粒度的审计规则、以满足对敏感信息的特殊保护需求。这种连续的监控能够确保当VMM/Hypervisor的配置和接入权限出现变化时将被详细审查,从而减少了虚拟平台管理员做出错误或不适当的操作。
其他可替换的安全虚拟器件
安全虚拟器件库还可以包含其他安全产品,包括IDS入侵检测、安全审计、SOC安全管理平台、漏洞扫描等。这样安全虚拟器件同审计虚拟器件一样可以在专用的服务器上安装
本发明还能够使用传统的审计方法,将需要审计的主机的流量导出后交由审计服务器完成。但是面对突然增加或迁移的审计目标需要人工或专用平台追踪和评估审计服务器资源,并且重新部署审计主机。这样需要更多的时间,而且会造成资源的浪费。
以上对本发明实施例所提供的一种基于SDN的云计算数据中心的审计系统及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种基于SDN的云计算数据中心的审计系统,其特征在于,该系统包括核心管理模块、系统基础功能模块以及与其他安全设备/虚拟机的联动接口;
核心管理模块是是整个系统的关键核心,包括SDN控制器管理平台模块、审计虚拟机管理平台模块和审计虚拟机安全保障模块;
SDN控制器管理平台模块负责对网络流量规则的执行,包括流表生成模块、流表下发模块、虚拟交换机变动模块和流量异常检测模块;
流表生成模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求生成需要变更的流表,接着虚拟交换机变动模块根据需要通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口,最后流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则;
流量异常检测模块是配合审计虚拟机安全保障模块工作,通过对审计虚拟机服务器上的流量进行检测,当发现异常时及时响应,以确保审计虚拟机服务器自身的安全;
审计虚拟机管理平台模块负责完成主机上审计虚拟安全器件的变动工作,包括四个模块,分别是虚拟机创建模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块,审计虚拟机管理平台模块接受到审计虚拟安全器件变动要求,选择上述四个模块中相应的模块与SDN控制器管理平台模块协调以完成在指定主机上增加、中止、复制审计虚拟器件的要求;
审计虚拟机安全保障模块负责对整个系统的安全保障工作,通过SDN控制器管理平台的流量异常检测模块监控审计虚拟机服务器上流量的实时情况,一旦发现异常,审计虚拟机服务器上的OVS交换机立即提取相应信息并且发送给审计流量异常检测,审计虚拟机安全保障模块根据信息做出安全决策;
系统基础功能模块对云数据中心环境中的多控制器进行协调管理,是整个系统工作的基础,确保整个控制集群能够在云环境中将所有的安全策略同步、获取所有实时的安全状态、以安全可靠的方式执行操作,包括交换机接口通信模块,控制器同步模块,分布式管理模块,故障恢复模块和冗余备份模块;控制器同步模块和分布式管理模块是确保总控制中心的指令能及时可靠的到达虚拟交换机或主机的VMM/Hypervisor,并且实现策略指令的同步;冗余备份模块对各区域内的控制器进行冗余备份,以防止机器突然中断发生的信息丢失情况的出现;故障恢复模块在控制器、虚拟交换机、云主机发生故障后,快速的恢复相关安全保护的措施;
与其他安全设备/虚拟机的联动接口提供基于SDN的云计算数据中心的审计系统与其他审计虚拟安全管理平台或者其他网络安全产品的接口。
2.根据权利要求1所述的系统,其特征在于,核心管理模块通过系统基础功能模块中的交换机接口通信模块,使用南向接口协议与支持SDN的虚拟交换机进行安全通信,使用其他模块实现多控制器之间的流表的同步;同时也使用交换机接口通信模块与主机的VMM/Hypervisor进行通信,以安全加密的方式将增删安全虚拟器件的指令传递执行下去。
3.根据权利要求1所述的系统,其特征在于,与其他安全设备/虚拟机的联动接口能实现不同审计虚拟机服务器之间的联动,也能实现与其他网络安全产品,例如IDS、防火墙、漏洞扫描之间的联动,能被安全管理平台统一管理。
4.一种基于SDN的云计算数据中心的审计方法,其特征在于,该方法基于SDN技术,云计算数据中心的审计控制台根据支持SDN的虚拟交换机反馈的审计防护需求,调动SDN控制器管理平台和审计虚拟机管理平台根据各地区各主机审计需求的最新情况增加/删除审计虚拟器件,其中主机的网桥由支持SDN的虚拟交换机替换,使用流表转发的方式完成多对多的端口镜像,将所需监控的端口流量转发到指定的审计虚拟安全器件上;其具体流程如下:
s1、云计算数据中心的物理主机和虚拟主机的流量通过流量复制器发送至各审计服务器的网卡上;
s2、SDN控制器管理平台模块通过审计主机上的支持SDN的交换机感知到需要审计的流量规模,即分析出云计算中心审计的流量审计需求和审计虚拟器件变动的需求;
s3、SDN控制器管理平台模块的流表生成模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求生成需要变更的流表;
s4、审计虚拟机管理平台模块根据云计算中心审计的流量审计需求和审计虚拟器件变动的需求通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口;
s5、SDN控制器管理平台模块的流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则;
s6、SDN控制器管理平台模块的流量异常检测模块实时运行配合审计虚拟机安全保障模块工作,通过对审计虚拟机服务器上的流量进行检测,当发现异常时及时响应,以确保审计虚拟机服务器自身的安全。
5.根据权利要求4所述的方法,其特征在于,审计虚拟机服务器的接入需要交换机端口镜像,将流量经由流量复制器复制多份之后,导入审计主机中的OVS桥,OVS桥将用户网络环境流量直接导入对应安全虚拟器件中进行处理。
6.根据权利要求4所述的方法,其特征在于,审计主机中为每一个监听类的安全虚拟器件配备至少一块物理网卡以满足对于网络性能的要求。
7.根据权利要求4所述的方法,其特征在于,在审计虚拟机服务器上提供各种版本的审计虚拟机,也可根据需要增加其他监听类安全产品和非监听类安全产品,监听类的安全产品包括但不限于IDS,审计类产品,非监听类产品包括但不限于漏洞扫描、安全管理平台。
8.根据权利要求4所述的方法,其特征在于,本发明还能够使用传统的审计方法,将需要审计的主机的流量导出后交由审计服务器完成,但是面对突然增加或迁移的审计目标需要人工或专用平台追踪和评估审计服务器资源,并且重新部署审计主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410160047.4A CN103973481A (zh) | 2014-04-21 | 2014-04-21 | 一种基于sdn的云计算数据中心的审计系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410160047.4A CN103973481A (zh) | 2014-04-21 | 2014-04-21 | 一种基于sdn的云计算数据中心的审计系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103973481A true CN103973481A (zh) | 2014-08-06 |
Family
ID=51242548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410160047.4A Pending CN103973481A (zh) | 2014-04-21 | 2014-04-21 | 一种基于sdn的云计算数据中心的审计系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103973481A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168144A (zh) * | 2014-08-22 | 2014-11-26 | 国都兴业信息审计系统技术(北京)有限公司 | 一种对sdn网络进行审计的方法 |
| CN104407911A (zh) * | 2014-10-31 | 2015-03-11 | 杭州华三通信技术有限公司 | 虚拟机迁移方法及装置 |
| CN104796305A (zh) * | 2015-05-07 | 2015-07-22 | 浪潮电子信息产业股份有限公司 | 一种安全审计的方法及装置 |
| CN105681314A (zh) * | 2016-01-29 | 2016-06-15 | 博雅网信(北京)科技有限公司 | 一种云环境安全扫描器及方法 |
| CN105743734A (zh) * | 2016-01-22 | 2016-07-06 | 北京航空航天大学 | 虚拟机镜像流量传输的控制方法和装置 |
| CN105978904A (zh) * | 2016-06-30 | 2016-09-28 | 联想(北京)有限公司 | 一种入侵检测方法及电子设备 |
| CN106254176A (zh) * | 2016-07-29 | 2016-12-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于openvswitch的流量镜像方法 |
| CN106936857A (zh) * | 2015-12-29 | 2017-07-07 | 中国电信股份有限公司 | 一种混合云的连接管理方法、sdn控制器及混合云系统 |
| CN106982149A (zh) * | 2016-12-29 | 2017-07-25 | 中国银联股份有限公司 | 基于sdn的报文镜像方法及网络流量监控管理系统 |
| CN107222411A (zh) * | 2017-07-28 | 2017-09-29 | 郑州云海信息技术有限公司 | 一种数据中心的网络互联方法及装置 |
| CN107659618A (zh) * | 2017-09-03 | 2018-02-02 | 中国南方电网有限责任公司 | 一种云审计系统 |
| CN107809381A (zh) * | 2017-10-19 | 2018-03-16 | 北京邮电大学 | 一种实现基于sdn中路由环路主动审计算法及实现方法 |
| CN108076019A (zh) * | 2016-11-17 | 2018-05-25 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
| CN108270795A (zh) * | 2018-02-23 | 2018-07-10 | 上海市信息网络有限公司 | 数据安全防泄露自救系统、方法、可读存储介质及设备 |
| CN108494657A (zh) * | 2018-04-08 | 2018-09-04 | 苏州云杉世纪网络科技有限公司 | 基于Open vSwitch的OpenStack云平台虚拟探针镜像方法 |
| CN108965037A (zh) * | 2018-09-29 | 2018-12-07 | 北京中金安服科技有限公司 | 安全测试数据的获取和审计分析方法及装置 |
| CN109213569A (zh) * | 2018-08-27 | 2019-01-15 | 郑州云海信息技术有限公司 | 一种基于虚拟机的审计方法、装置、服务器及存储介质 |
| CN109981493A (zh) * | 2019-04-09 | 2019-07-05 | 苏州浪潮智能科技有限公司 | 一种用于配置虚拟机网络的方法和装置 |
| CN110149307A (zh) * | 2019-04-03 | 2019-08-20 | 广东申立信息工程股份有限公司 | 一种idc安全管理系统 |
| CN110247862A (zh) * | 2019-06-14 | 2019-09-17 | 西安电子科技大学 | Sdn集群故障时业务快速连续切换系统及方法 |
| CN110830310A (zh) * | 2019-11-28 | 2020-02-21 | 新华三大数据技术有限公司 | 一种跨数据中心的灾难备份方法及bras系统 |
| CN111416769A (zh) * | 2020-03-03 | 2020-07-14 | 徐州市东方人民医院 | 一种新型网络边界路由设备及其策略路由方法 |
| CN112769717A (zh) * | 2021-01-18 | 2021-05-07 | 北京安数云信息技术有限公司 | 一种单服务器网口支持多个审计类安全服务的实现方法 |
| CN113411224A (zh) * | 2021-08-19 | 2021-09-17 | 飞狐信息技术(天津)有限公司 | 数据处理方法、装置、电子设备及存储介质 |
| CN115065622A (zh) * | 2022-08-09 | 2022-09-16 | 北京安华金和科技有限公司 | 一种基于多探针的审计设备测试方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826992A (zh) * | 2010-02-04 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 一种联动审计的方法及系统 |
| CN101950296A (zh) * | 2010-08-24 | 2011-01-19 | 中国科学院深圳先进技术研究院 | 云数据审计的方法及系统 |
| US20120096525A1 (en) * | 2010-10-15 | 2012-04-19 | Anne Louise Bolgert | Supporting Compliance in a Cloud Environment |
-
2014
- 2014-04-21 CN CN201410160047.4A patent/CN103973481A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101826992A (zh) * | 2010-02-04 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 一种联动审计的方法及系统 |
| CN101950296A (zh) * | 2010-08-24 | 2011-01-19 | 中国科学院深圳先进技术研究院 | 云数据审计的方法及系统 |
| US20120096525A1 (en) * | 2010-10-15 | 2012-04-19 | Anne Louise Bolgert | Supporting Compliance in a Cloud Environment |
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168144A (zh) * | 2014-08-22 | 2014-11-26 | 国都兴业信息审计系统技术(北京)有限公司 | 一种对sdn网络进行审计的方法 |
| CN104407911A (zh) * | 2014-10-31 | 2015-03-11 | 杭州华三通信技术有限公司 | 虚拟机迁移方法及装置 |
| CN104407911B (zh) * | 2014-10-31 | 2018-03-20 | 新华三技术有限公司 | 虚拟机迁移方法及装置 |
| CN104796305A (zh) * | 2015-05-07 | 2015-07-22 | 浪潮电子信息产业股份有限公司 | 一种安全审计的方法及装置 |
| CN106936857B (zh) * | 2015-12-29 | 2020-05-19 | 中国电信股份有限公司 | 一种混合云的连接管理方法、sdn控制器及混合云系统 |
| CN106936857A (zh) * | 2015-12-29 | 2017-07-07 | 中国电信股份有限公司 | 一种混合云的连接管理方法、sdn控制器及混合云系统 |
| CN105743734A (zh) * | 2016-01-22 | 2016-07-06 | 北京航空航天大学 | 虚拟机镜像流量传输的控制方法和装置 |
| CN105743734B (zh) * | 2016-01-22 | 2019-02-01 | 北京航空航天大学 | 虚拟机镜像流量传输的控制方法和装置 |
| CN105681314A (zh) * | 2016-01-29 | 2016-06-15 | 博雅网信(北京)科技有限公司 | 一种云环境安全扫描器及方法 |
| CN105978904A (zh) * | 2016-06-30 | 2016-09-28 | 联想(北京)有限公司 | 一种入侵检测方法及电子设备 |
| CN105978904B (zh) * | 2016-06-30 | 2019-07-05 | 联想(北京)有限公司 | 一种入侵检测方法及电子设备 |
| CN106254176A (zh) * | 2016-07-29 | 2016-12-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于openvswitch的流量镜像方法 |
| CN106254176B (zh) * | 2016-07-29 | 2019-09-24 | 浪潮(北京)电子信息产业有限公司 | 一种基于openvswitch的流量镜像方法 |
| CN108076019A (zh) * | 2016-11-17 | 2018-05-25 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
| CN108076019B (zh) * | 2016-11-17 | 2021-04-09 | 北京金山云网络技术有限公司 | 基于流量镜像的异常流量检测方法及装置 |
| US11088965B2 (en) | 2016-12-29 | 2021-08-10 | China Unionpay Co., Ltd. | SDN-based packet mirroring method, and network traffic monitoring and management system |
| CN106982149A (zh) * | 2016-12-29 | 2017-07-25 | 中国银联股份有限公司 | 基于sdn的报文镜像方法及网络流量监控管理系统 |
| WO2018121406A1 (zh) * | 2016-12-29 | 2018-07-05 | 中国银联股份有限公司 | 基于sdn的报文镜像方法及网络流量监控管理系统 |
| CN106982149B (zh) * | 2016-12-29 | 2019-10-01 | 中国银联股份有限公司 | 基于sdn的报文镜像方法及网络流量监控管理系统 |
| CN107222411A (zh) * | 2017-07-28 | 2017-09-29 | 郑州云海信息技术有限公司 | 一种数据中心的网络互联方法及装置 |
| CN107222411B (zh) * | 2017-07-28 | 2020-08-25 | 苏州浪潮智能科技有限公司 | 一种数据中心的网络互联方法及装置 |
| CN107659618A (zh) * | 2017-09-03 | 2018-02-02 | 中国南方电网有限责任公司 | 一种云审计系统 |
| CN107809381A (zh) * | 2017-10-19 | 2018-03-16 | 北京邮电大学 | 一种实现基于sdn中路由环路主动审计算法及实现方法 |
| CN107809381B (zh) * | 2017-10-19 | 2021-08-10 | 北京邮电大学 | 一种实现基于sdn中路由环路主动审计方法 |
| CN108270795A (zh) * | 2018-02-23 | 2018-07-10 | 上海市信息网络有限公司 | 数据安全防泄露自救系统、方法、可读存储介质及设备 |
| CN108494657B (zh) * | 2018-04-08 | 2020-08-28 | 苏州云杉世纪网络科技有限公司 | 基于Open vSwitch的OpenStack云平台虚拟探针镜像方法 |
| CN108494657A (zh) * | 2018-04-08 | 2018-09-04 | 苏州云杉世纪网络科技有限公司 | 基于Open vSwitch的OpenStack云平台虚拟探针镜像方法 |
| CN109213569A (zh) * | 2018-08-27 | 2019-01-15 | 郑州云海信息技术有限公司 | 一种基于虚拟机的审计方法、装置、服务器及存储介质 |
| CN108965037A (zh) * | 2018-09-29 | 2018-12-07 | 北京中金安服科技有限公司 | 安全测试数据的获取和审计分析方法及装置 |
| CN110149307A (zh) * | 2019-04-03 | 2019-08-20 | 广东申立信息工程股份有限公司 | 一种idc安全管理系统 |
| CN109981493A (zh) * | 2019-04-09 | 2019-07-05 | 苏州浪潮智能科技有限公司 | 一种用于配置虚拟机网络的方法和装置 |
| CN110247862A (zh) * | 2019-06-14 | 2019-09-17 | 西安电子科技大学 | Sdn集群故障时业务快速连续切换系统及方法 |
| CN110830310B (zh) * | 2019-11-28 | 2022-04-26 | 新华三大数据技术有限公司 | 一种跨数据中心的灾难备份方法及bras系统 |
| CN110830310A (zh) * | 2019-11-28 | 2020-02-21 | 新华三大数据技术有限公司 | 一种跨数据中心的灾难备份方法及bras系统 |
| CN111416769A (zh) * | 2020-03-03 | 2020-07-14 | 徐州市东方人民医院 | 一种新型网络边界路由设备及其策略路由方法 |
| CN112769717A (zh) * | 2021-01-18 | 2021-05-07 | 北京安数云信息技术有限公司 | 一种单服务器网口支持多个审计类安全服务的实现方法 |
| CN113411224B (zh) * | 2021-08-19 | 2021-11-23 | 飞狐信息技术(天津)有限公司 | 数据处理方法、装置、电子设备及存储介质 |
| CN113411224A (zh) * | 2021-08-19 | 2021-09-17 | 飞狐信息技术(天津)有限公司 | 数据处理方法、装置、电子设备及存储介质 |
| CN115065622A (zh) * | 2022-08-09 | 2022-09-16 | 北京安华金和科技有限公司 | 一种基于多探针的审计设备测试方法和系统 |
| CN115065622B (zh) * | 2022-08-09 | 2022-11-01 | 北京安华金和科技有限公司 | 一种基于多探针的审计设备测试方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103973481A (zh) | 一种基于sdn的云计算数据中心的审计系统及方法 | |
| CN103973676B (zh) | 一种基于sdn的云计算安全保护系统及方法 | |
| CN104243569B (zh) | 一种城市操作系统 | |
| CN112436957B (zh) | 基于云计算的pdrr网络安全保障模型并行实现系统 | |
| CN109362235B (zh) | 对网络可访问存储装置处的事务进行分类的方法 | |
| CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
| CN103812699A (zh) | 基于云计算的监控管理系统 | |
| CN104392175A (zh) | 一种云计算系统中云应用攻击行为处理方法、装置及系统 | |
| WO2023216641A1 (zh) | 一种电力终端安全防护方法及系统 | |
| CN106775929A (zh) | 一种虚拟化平台安全监控方法及系统 | |
| CN104038466A (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
| CN105224867A (zh) | 一种基于虚拟化环境下的主机安全加固方法 | |
| CN110033174A (zh) | 一种工业信息安全保障体系建设方法 | |
| CN103929502A (zh) | 基于虚拟机自省技术的云平台安全监控系统及方法 | |
| CN104468504A (zh) | 虚拟化网络动态信息安全的监控方法及系统 | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| Cinque et al. | Cloud reliability: Possible sources of security and legal issues? | |
| CN106790270A (zh) | 一种云操作系统的安全保护系统 | |
| KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
| CN114625074A (zh) | 一种用于火电机组dcs系统的安全防护系统及方法 | |
| CN109165506A (zh) | 一种工控容错服务器在线病毒查杀和病毒防护的方法 | |
| CN107682166B (zh) | 基于大数据的安全运维服务平台远程数据采集的实现方法 | |
| CN111885094A (zh) | 一种工控系统网络安全防护能力检查评估系统 | |
| CN116662112A (zh) | 一种使用全自动扫描和系统状态评估的数字监控平台 | |
| CN111078474A (zh) | 一种数据安全备份系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140806 |
|
| WD01 | Invention patent application deemed withdrawn after publication |