CN105553948A - 一种基于虚拟机的弹性防攻击方法 - Google Patents

一种基于虚拟机的弹性防攻击方法 Download PDF

Info

Publication number
CN105553948A
CN105553948A CN201510900707.2A CN201510900707A CN105553948A CN 105553948 A CN105553948 A CN 105553948A CN 201510900707 A CN201510900707 A CN 201510900707A CN 105553948 A CN105553948 A CN 105553948A
Authority
CN
China
Prior art keywords
virtual machine
stream
packet
controller
ovs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510900707.2A
Other languages
English (en)
Inventor
莫展鹏
杨松
季统凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
G Cloud Technology Co Ltd
Original Assignee
G Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by G Cloud Technology Co Ltd filed Critical G Cloud Technology Co Ltd
Priority to CN201510900707.2A priority Critical patent/CN105553948A/zh
Publication of CN105553948A publication Critical patent/CN105553948A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及云计算安全技术领域,特别是一种基于虚拟机的弹性防攻击方法。本发明首先部署虚拟交换机OVS;然后当攻击者的数据包经过OVS交换机时;向控制器发出PAKCET_IN事件请求;控制器查询访问控制白名单,确认是否符合预设的规则;控制器上的代理程序对数据包进行分析以判断其是否为攻击流量;如果确实是攻击流量,则删除访问控制白名单中对应的规则,克隆一台预先配置好蜜网(honeynet)的虚拟机作为安全虚拟机;最后通知控制器生成一条将攻击流量导向新生成的虚拟机的流,并下发至相应的OVS交换机上。本发明结合Openflow和虚拟机克隆技术,实现了动态响应的弹性安全基础设施来应对内部攻击;可以用于虚拟机的安全控制上。

Description

一种基于虚拟机的弹性防攻击方法
技术领域
本发明涉及云计算安全技术领域,特别是一种基于虚拟机的弹性防攻击方法。
背景技术
随着云计算模式的流行,许多机构希望建设私有云,私有云的建设无疑为IT部门带来了诸多好处,如可以实现信息资源的集中管理、IT基础设施能够得到更高效的利用等。但是在带来这些优点的同时,由于私有云的建设者和使用者都是机构本身,机构需要自己负责对来自私有云外部的攻击进行防护。传统的网络攻击防护多采用昂贵的防护设备,IDS、IPS等专门负责网络的防护,这些硬件设备的效果较好,可是对于私有云的建设者而言,也存在以下的不足:
1)专用防护设备的价格一般较高,而且对于小规模的私有云而言,有针对性的网络攻击频率不高,设备闲置的时间较长,不符合建设经济性的原则;
2)对于攻击者而言,专用防护设备的运作比较容易被察觉而停止攻击行为,不利于对攻击行为的分析。
Openflow是一种将网络设备的数据平面(Data-Panel)和控制平面(ControlPanel)相分离的技术,使用逻辑上的控制器(Controller)对整个网络进行管理,提高了网络管理的灵活性,降低了网络维护的复杂度。Openflow是SDN(SoftwareDefinedNetwork,软件定义网络)的代表技术之一,甚至在一定程度上被认为与SDN技术等价,Openflow和SDN技术被建议在未来的企业私有云和云平台的建设中采用,来优化云内部的虚拟网络。
发明内容
本发明解决的技术问题在于提供一种基于虚拟机的弹性防攻击方法,解决了传统防护方法建设成本高、资源浪费以及容易被察觉而绕开的问题。
本发明解决上述技术问题的技术方案是:
所述的方法包括以下步骤:
步骤1:在每一台运行虚拟机的物理服务器上部署虚拟交换机Openvswitch(OVS);
步骤2:当攻击者向应用前端服务器发起攻击时,数据包经过运行应用前端服务器的物理服务器上的OVS交换机;
步骤3:OVS交换机向控制器发出PAKCET-IN事件请求;
步骤4:控制器查询访问控制白名单,确认数据包是否符合预设的规则;如果符合,执行步骤5;否则,直接丢弃数据包;
步骤5:控制器上的代理程序对数据包进行分析以判断其是否为攻击流量;如果是,执行步骤6;否则,结束检测流程;
步骤6:删除访问控制白名单中对应的规则;
步骤7:通知物理服务器上的代理程序使用虚拟机克隆技术克隆一台预先配置好蜜网(honeynet)的虚拟机作为安全虚拟机;
步骤8:通知控制器生成一条将攻击流量导向新生成的虚拟机的流,并下发至相应的OVS交换机上,从而可以在安全虚拟机内进一步分析攻击流量。
所述控制器用于对各虚拟交换机进行管理,可以在控制器上为其管理的OVS交换机远程添加/删除/修改流。
所述流是OVS交换机上FlowTable流表中的一条转发规则;进入OVS交换机的数据包通过查询流表来获得转发的目的端口;流由头域、计数器和操作组成;其中头域是个十元组,是流的标识;计数器用来计算流的统计数据;操作标明了与该流匹配的数据包应该执行的操作。
所述白名单是一个包含被允许转发的源地址/目的地址对的列表;源地址是访问终端的网卡的MAC地址,目的地址是被访问虚拟机的网卡的MAC地址。
所述控制器上的代理程序的作用是数据包抓包分析并与物理服务器上的代理程序进行通信;所述物理服务器上的代理程序的作用是克隆安全虚拟机。
所述蜜网(honeynet)是一个网路系统,所有进出的资料都受到监控、捕获及控制。这些被捕获的资料可以对我们研究分析入侵者们使用的工具、方法及动机。honeynet并不会对任何授权用户进行服务,任何试图联系主机的行为都被视为非法,而任何从主机对外开放的通讯都被视为合法。
本发明的方法能产生如下的有益效果:
1、本发明的方法采用纯软件的方式实现,是一种经济的防护方法。
2、本发明的方法利用空闲资源,在需要时动态部署,完成后自动释放,在完成基本安全功能的同时,节省了系统的资源。
3、本发明的方法对攻击者来说完全透明,确保了攻击者无法绕开这一机制,并且有效利用物理服务器的空闲资源进行拦截和分析,提高了整个系统的可靠性和可用性。
本发明针对私有云的网络特点,结合Openflow技术可以对虚拟机网络进行灵活调整的特点以及虚拟机克隆技术快速响应的特点,提出一种基于虚拟机的弹性防攻击方法,解决了传统防护方法建设成本高、资源浪费以及容易被察觉而绕开的问题。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的网络部署结构图;
图2为本发明的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先按照图1、2所示进行物理服务器、虚拟机和OVS交换机的部署。
当控制器上的代理程序侦测到攻击流量时,首先会发出如下告警信息:
INFO:flow_status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55________
INFO:flow_status:Webtrafficfromd4-be-d9-b6-a8-18;16139164bytes(11340packets)over1flows
INFO:flow_status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55________
INFO:flow_status:Webtrafficfromd4-be-d9-b6-a8-18;68251596bytes(48056packets)over1flows
INFO:flow_status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55________
INFO:flow_status:Webtrafficfromd4-be-d9-b6-a8-18;103859026bytes(73136packets)over1flows
INFO:flow_status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55________
INFO:flow_status:Webtrafficfromd4-be-d9-b6-a8-18;16139164bytes(11340packets)over1flows
INFO:of_sw_tutorial_oo:________NO00:11:22:33:44:66------>00:11:22:33:44:55matched.________
INFO:flow_status:Webtrafficfromd4-be-d9-b6-a8-18:0bytes(0packets)over0flows
然后从白名单文件中将相应的表项删除
$ovs-ofctldel-flowsovs-switch"table=0,dl_src=00:11:22:33:44:66,dl_dst=00:11:22:33:44:55"
然后启动安全虚拟机,并生成将流量从攻击者导向安全虚拟机的流
$ovs-ofctladd-flowovs-switch"table=0,dl_src=00:11:22:33:44:66,dl_dst=00:11:22:33:44:77,actions=accept"。

Claims (7)

1.一种基于虚拟机的弹性防攻击方法,其特征在于,所述的方法包括以下步骤:
步骤1:在每一台运行虚拟机的物理服务器上部署虚拟交换机Openvswitch(OVS);
步骤2:当攻击者向应用前端服务器发起攻击时,数据包经过运行应用前端服务器的物理服务器上的OVS交换机;
步骤3:OVS交换机向控制器发出PAKCET-IN事件请求;
步骤4:控制器查询访问控制白名单,确认数据包是否符合预设的规则;如果符合,执行步骤5;否则,直接丢弃数据包;
步骤5:控制器上的代理程序对数据包进行分析以判断其是否为攻击流量;如果是,执行步骤6;否则,结束检测流程;
步骤6:删除访问控制白名单中对应的规则;
步骤7:通知物理服务器上的代理程序使用虚拟机克隆技术克隆一台预先配置好蜜网(honeynet)的虚拟机作为安全虚拟机;
步骤8:通知控制器生成一条将攻击流量导向新生成的虚拟机的流,并下发至相应的OVS交换机上,从而可以在安全虚拟机内进一步分析攻击流量。
2.根据权利要求1所述的方法,其特征在于:所述控制器用于对各虚拟交换机进行管理,可以在控制器上为其管理的OVS交换机远程添加/删除/修改流。
3.根据权利要求1所述的方法,其特征在于,所述流是OVS交换机上FlowTable流表中的一条转发规则;进入OVS交换机的数据包通过查询流表来获得转发的目的端口;流由头域、计数器和操作组成;其中头域是个十元组,是流的标识;计数器用来计算流的统计数据;操作标明了与该流匹配的数据包应该执行的操作。
4.根据权利要求2所述的方法,其特征在于,所述流是OVS交换机上FlowTable流表中的一条转发规则;进入OVS交换机的数据包通过查询流表来获得转发的目的端口;流由头域、计数器和操作组成;其中头域是个十元组,是流的标识;计数器用来计算流的统计数据;操作标明了与该流匹配的数据包应该执行的操作。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述白名单是一个包含被允许转发的源地址/目的地址对的列表;源地址是访问终端的网卡的MAC地址,目的地址是被访问虚拟机的网卡的MAC地址。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述控制器上的代理程序的作用是数据包抓包分析并与物理服务器上的代理程序进行通信;所述物理服务器上的代理程序的作用是克隆安全虚拟机。
7.根据权利要求5所述的方法,其特征在于,所述控制器上的代理程序的作用是数据包抓包分析并与物理服务器上的代理程序进行通信;所述物理服务器上的代理程序的作用是克隆安全虚拟机。
CN201510900707.2A 2015-12-08 2015-12-08 一种基于虚拟机的弹性防攻击方法 Pending CN105553948A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510900707.2A CN105553948A (zh) 2015-12-08 2015-12-08 一种基于虚拟机的弹性防攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510900707.2A CN105553948A (zh) 2015-12-08 2015-12-08 一种基于虚拟机的弹性防攻击方法

Publications (1)

Publication Number Publication Date
CN105553948A true CN105553948A (zh) 2016-05-04

Family

ID=55832884

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510900707.2A Pending CN105553948A (zh) 2015-12-08 2015-12-08 一种基于虚拟机的弹性防攻击方法

Country Status (1)

Country Link
CN (1) CN105553948A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106254312A (zh) * 2016-07-15 2016-12-21 浙江宇视科技有限公司 一种通过虚拟机异构实现服务器防攻击的方法及装置
CN107800673A (zh) * 2016-09-07 2018-03-13 武汉安天信息技术有限责任公司 一种白名单的维护方法及装置
CN108809950A (zh) * 2018-05-21 2018-11-13 中国科学院信息工程研究所 一种基于云端影子系统的无线路由器保护方法和系统
CN110505195A (zh) * 2019-06-26 2019-11-26 中电万维信息技术有限责任公司 虚拟主机的部署方法以及系统
CN111183612A (zh) * 2017-12-27 2020-05-19 西门子股份公司 一种网络流量的发送方法、装置及混合蜜罐系统
CN112714137A (zh) * 2021-03-25 2021-04-27 江苏天翼安全技术有限公司 一种基于虚拟交换跨vlan大规模部署蜜网的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
马威等: "基于Openflow的私有云虚拟网络结构设计", 《北京交通大学学报》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106254312A (zh) * 2016-07-15 2016-12-21 浙江宇视科技有限公司 一种通过虚拟机异构实现服务器防攻击的方法及装置
CN106254312B (zh) * 2016-07-15 2019-12-13 浙江宇视科技有限公司 一种通过虚拟机异构实现服务器防攻击的方法及装置
CN107800673A (zh) * 2016-09-07 2018-03-13 武汉安天信息技术有限责任公司 一种白名单的维护方法及装置
CN111183612A (zh) * 2017-12-27 2020-05-19 西门子股份公司 一种网络流量的发送方法、装置及混合蜜罐系统
US11736524B2 (en) 2017-12-27 2023-08-22 Siemens Aktiengesellschaft Network traffic sending method and apparatus, and hybrid honeypot system
CN111183612B (zh) * 2017-12-27 2023-08-29 西门子股份公司 一种网络流量的发送方法、装置及混合蜜罐系统
CN108809950A (zh) * 2018-05-21 2018-11-13 中国科学院信息工程研究所 一种基于云端影子系统的无线路由器保护方法和系统
CN108809950B (zh) * 2018-05-21 2020-10-16 中国科学院信息工程研究所 一种基于云端影子系统的无线路由器保护方法和系统
CN110505195A (zh) * 2019-06-26 2019-11-26 中电万维信息技术有限责任公司 虚拟主机的部署方法以及系统
CN112714137A (zh) * 2021-03-25 2021-04-27 江苏天翼安全技术有限公司 一种基于虚拟交换跨vlan大规模部署蜜网的方法

Similar Documents

Publication Publication Date Title
CN105553948A (zh) 一种基于虚拟机的弹性防攻击方法
US20220038353A1 (en) Technologies for annotating process and user information for network flows
US10355949B2 (en) Behavioral network intelligence system and method thereof
Rawat et al. Software defined networking architecture, security and energy efficiency: A survey
US9654395B2 (en) SDN-based service chaining system
US9596159B2 (en) Finding latency through a physical network in a virtualized network
EP2909780B1 (en) Providing a virtual security appliance architecture to a virtual cloud infrastructure
US9047143B2 (en) Automation and programmability for software defined networking systems
CN103763310B (zh) 基于虚拟网络的防火墙服务系统及方法
US10805390B2 (en) Automated mirroring and remote switch port analyzer (RSPAN) functions using fabric attach (FA) signaling
WO2015062291A1 (zh) 一种冲突检测及解决的方法、装置
CN108234223B (zh) 一种数据中心综合管理系统的安全服务设计方法
CN108353068A (zh) Sdn控制器辅助的入侵防御系统
CN104702571A (zh) 一种Xen虚拟化环境下网络数据的入侵检测方法
WO2015081551A1 (zh) 一种网络中实现报文路由的方法、设备和系统
CN103701822A (zh) 访问控制方法
CN105827629A (zh) 云计算环境下软件定义安全导流装置及其实现方法
CN101834785A (zh) 一种实现流过滤的方法和装置
Shin et al. SmartX Multi-Sec: a visibility-centric multi-tiered security framework for multi-site cloud-native edge clusters
Chaudhary et al. A comprehensive survey on software‐defined networking for smart communities
Wang et al. Novel architectures and security solutions of programmable software-defined networking: a comprehensive survey
Park et al. Dynamic virtual network honeypot
Al-Zewairi et al. An experimental software defined security controller for software defined network
CN103905184A (zh) 经典网络融入量子保密通信网络流量控制方法
WO2017070965A1 (zh) 一种基于软件定义网络的数据处理方法及相关设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160504

RJ01 Rejection of invention patent application after publication