CN106534111A - 一种基于流规则实现云平台防御网络攻击的方法 - Google Patents
一种基于流规则实现云平台防御网络攻击的方法 Download PDFInfo
- Publication number
- CN106534111A CN106534111A CN201610981991.5A CN201610981991A CN106534111A CN 106534111 A CN106534111 A CN 106534111A CN 201610981991 A CN201610981991 A CN 201610981991A CN 106534111 A CN106534111 A CN 106534111A
- Authority
- CN
- China
- Prior art keywords
- ovs
- cloud platform
- network
- packet
- monitoring alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及云计算安全技术领域,特别是一种基于流规则实现云平台防御网络攻击的方法。本发明的方法是针对OVS虚拟网桥启动监控告警服务;设置数据包监控规则、阈值与告警信息;启动OVS流管控服务,定时获取告警信息、分析并生成流规则;最后将生成的流规则注入到OVS流表。采用本发明提供的方法可以实现对云平台的网络入侵防御,避免外面对云平台以及云平台对外面的网络攻击。
Description
技术领域
本发明涉及云计算安全技术领域,特别是一种基于流规则实现云平台防御网络攻击的方法。
背景技术
目前越来越多的企事业单位构建了自己的云平台服务,客户对云平台的安全系数要求越来越高;通常都需要云平台提供拒绝网络攻击服务。目前比较流行的云平台防御网络攻击的方法是基于流量监测和IPTABLE防火墙,另外也存在一些基于Openflow流规则实现安全防御的方法,总结这种方法或多或少都存在如下不足:
1)只能监控外面对云平台的网络攻击与防护,不能做到禁止有云平台内部发起的针对外面或者内部的网络攻击;
2)防御粒度不足,只能做到物理服务节点的网络攻击防御,无法细粒度的区分外面对虚拟机,内部对虚拟机,内部对物理机的有效防御。
OVS流规则基于Openflow协议,其可以灵活的控制OVS虚拟网桥上的流表规则,当将虚拟机的虚拟网络接口和物理节点的网络接口都接入到OVS虚拟网桥上时,可以实现对虚拟机和物理节点的统一管理。
发明内容
本发明解决的技术问题在于提出了一种基于流规则实现云平台防御网络攻击的方法,可以从多个维度为云平台提供安全防护,包括防御外面攻击云平台内部,防御云平台里面攻击外部以及防御云平台内部攻击内部等。
本发明解决上述技术问题的技术方案是:
包括如下步骤:
所述的方法包括:
针对OVS虚拟网桥启动监控告警服务;
设置数据包监控规则、阈值与告警信息;
启动OVS流管控服务,定时获取告警信息、分析并生成流规则;
最后将生成的流规则注入到OVS流表。
所述的防御包括:
云平台外面对云平台内物理节点或云服务器的网络攻击防御;
云平台里面物理节点或云服务器对云平台外面的网络攻击防御;
云平台里面物理节点对云平台里面物理节点或云服务器的攻击防御;
云平台里面云服务器对云平台里面物理节点或云服务器的攻击防御。
所述的针对OVS虚拟网桥启动监控告警服务,进一步包括:
针对云平台启动监控告警服务;
针对云平台上所管理的物理节点,为每一个OVS虚拟网桥按需启动监控告警AGENT;
所述监控告警AGENT负责将OVS虚拟网桥上的网络接口信息传递到监控告警服务。
所述的数据包监控规则包括TCP数据包监控规则、UDP数据包监控规则、ICMP数据包监控规则和HTTP应用数据包监控规则;
所述的数据包监控阈值是指设置一个网络数据包的最大值,当被监控OVS桥上的网络接口数据包达到或超过该值时进行告警;
所述的数据包监控告警信息包括OVS网络接口索引、数据包源IP地址和源端口、数据包目的IP地址和目的端口。
所述的数据包监控规则进一步区分包括根据网络流量带宽监控和根据网络流量数据包个数监控。
所述的OVS流管控服务负责与监控告警服务通信、定时获取告警信息并进行分析生成流规则;
所述的流规则是OVS虚拟网桥上的一条转发规则,该转发规则包括数据包比对规则和执行动作;
所述的比对规则包括比对数据包的源IP地址、目的IP地址、源端口、目的端口、数据包协议类型;
所述的执行动作包括丢弃、接受、转发到下一跳。
所述的将生成的流规则注入到OVS流表是指向OVS流表添加流规则以防御网络攻击。
本发明方案的有益效果如下:
1、提供一种基于流规则实现云平台防御网络攻击的方法,实现对云平台物理节点和虚拟机安全防御的统一管理。
2、本发明方法不仅可以防御外面对云平台里面的网络攻击,同时能保证云平台内部不会被当作肉鸡而发起对外和对内的网络攻击。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图;
图2为本发明的模块图。
具体实施方式
如图1、2所示,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。本发明以集成第三方监控告警工具sflow-rt为例进行描述。
首先配置启动监控告警服务,主要配置服务启动后监听端口8008及与监控AGENT通信端口6344,如下所示:
[root@gcloud02116 sflow-rt]#cat start.sh
RT_OPTS=″-Dsflow.port=6344-Dhttp.port=8008″
[root@gcloud02116 sflow-rt]#./start.sh&
针对节点OVS虚拟网桥br-int和br-vlan分别启动监控AGENT,指定其通信服务端端口为6344,具体执行如下命令:
#ovs-vsctl-- --id=@sflow create sflow agent=eucabr target=\″20.251.2.116:6344\″header=128 sampling=5 polling=1--set bridge br-vlansflow=@sflow
#ovs-vsctl-- --id=@sflow create sflow agent=eucabr target=\″20.251.2.116:6344\″header=128 sampling=5 polling=1--set bridge br-intsflow=@sflow
其中物理节点的物理网卡接口接入到br-vlan与外面进行通信,虚拟机的虚拟网络接口统一接入到br-int,br-vlan与br-int之间通过veth peer进行关联。
调用sflow-rt接口针对网络攻击特性对网络接口的网络数据包带宽设置阈值,这里设置方法集成进流管控服务,这里仅以python编写的一段关于TCP网络攻击的管控代码:
如上代码展示得是TCP相关的监控规则、阈值设置和调用监控告警服务获取并分析告警信息,根据分析后的结果进一步调用程序去生成流规则并注入OVS虚拟网桥。
进一步的生成流规则并注入规则代码如下:
以上所揭露的仅仅是针对外面对物理节点TCP类型的网络攻击防护,其仅为本发明其中一个实施例而已,其他实施例类似。当然不能以此实施例来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种基于流规则实现云平台防御网络攻击的方法,其特征在于,所述的方法包括:
针对OVS虚拟网桥启动监控告警服务;
设置数据包监控规则、阈值与告警信息;
启动OVS流管控服务,定时获取告警信息、分析并生成流规则;
最后将生成的流规则注入到OVS流表。
2.根据权利要求1所述的方法,其特征在于,所述的防御包括:
云平台外面对云平台内物理节点或云服务器的网络攻击防御;
云平台里面物理节点或云服务器对云平台外面的网络攻击防御;
云平台里面物理节点对云平台里面物理节点或云服务器的攻击防御;
云平台里面云服务器对云平台里面物理节点或云服务器的攻击防御。
3.根据权利要求1所述的方法,其特征在于,所述的针对OVS虚拟网桥启动监控告警服务,进一步包括:
针对云平台启动监控告警服务;
针对云平台上所管理的物理节点,为每一个OVS虚拟网桥按需启动监控告警AGENT;
所述监控告警AGENT负责将OVS虚拟网桥上的网络接口信息传递到监控告警服务。
4.根据权利要求2所述的方法,其特征在于,所述的针对OVS虚拟网桥启动监控告警服务,进一步包括:
针对云平台启动监控告警服务;
针对云平台上所管理的物理节点,为每一个OVS虚拟网桥按需启动监控告警AGENT;
所述监控告警AGENT负责将OVS虚拟网桥上的网络接口信息传递到监控告警服务。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述的数据包监控规则包括TCP数据包监控规则、UDP数据包监控规则、ICMP数据包监控规则和HTTP应用数据包监控规则;
所述的数据包监控阈值是指设置一个网络数据包的最大值,当被监控OVS桥上的网络接口数据包达到或超过该值时进行告警;
所述的数据包监控告警信息包括OVS网络接口索引、数据包源IP地址和源端口、数据包目的IP地址和目的端口。
6.根据权利要求5所述的方法,其特征在于,所述的数据包监控规则进一步区分包括根据网络流量带宽监控和根据网络流量数据包个数监控。
7.根据权利要求1至4任一项所述的方法,其特征在于,所述的OVS流管控服务负责与监控告警服务通信、定时获取告警信息并进行分析生成流规则;
所述的流规则是OVS虚拟网桥上的一条转发规则,该转发规则包括数据包比对规则和执行动作;
所述的比对规则包括比对数据包的源IP地址、目的IP地址、源端口、目的端口、数据包协议类型;
所述的执行动作包括丢弃、接受、转发到下一跳。
8.根据权利要求5所述的方法,其特征在于,所述的OVS流管控服务负责与监控告警服务通信、定时获取告警信息并进行分析生成流规则;
所述的流规则是OVS虚拟网桥上的一条转发规则,该转发规则包括数据包比对规则和执行动作;
所述的比对规则包括比对数据包的源IP地址、目的IP地址、源端口、目的端口、数据包协议类型;
所述的执行动作包括丢弃、接受、转发到下一跳。
9.根据权利要求1至4任一项所述的方法,其特征在于,所述的将生成的流规则注入到OVS流表是指向OVS流表添加流规则以防御网络攻击。
10.根据权利要求8所述的方法,其特征在于,所述的将生成的流规则注入到OVS流表是指向OVS流表添加流规则以防御网络攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610981991.5A CN106534111A (zh) | 2016-11-09 | 2016-11-09 | 一种基于流规则实现云平台防御网络攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610981991.5A CN106534111A (zh) | 2016-11-09 | 2016-11-09 | 一种基于流规则实现云平台防御网络攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106534111A true CN106534111A (zh) | 2017-03-22 |
Family
ID=58351307
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610981991.5A Withdrawn CN106534111A (zh) | 2016-11-09 | 2016-11-09 | 一种基于流规则实现云平台防御网络攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106534111A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107612843A (zh) * | 2017-09-27 | 2018-01-19 | 国云科技股份有限公司 | 一种防止云平台ip和mac伪造的方法 |
| CN108881246A (zh) * | 2018-06-27 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种容器安全防护的方法及装置 |
| CN109271217A (zh) * | 2018-10-23 | 2019-01-25 | 上海携程商务有限公司 | 云环境下的网络流量检测方法及系统 |
| CN111683097A (zh) * | 2020-06-10 | 2020-09-18 | 广州市品高软件股份有限公司 | 一种基于两级架构的云网络流量监控系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685180A (zh) * | 2011-10-18 | 2012-09-19 | 国网电力科学研究院 | 一种面向云计算的网络安全预警方法 |
| CN103763309A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的安全域控制方法和系统 |
| CN103763367A (zh) * | 2014-01-17 | 2014-04-30 | 浪潮(北京)电子信息产业有限公司 | 一种云计算数据中心分布式虚拟网络设计方法及系统 |
| CN104657250A (zh) * | 2014-12-16 | 2015-05-27 | 无锡华云数据技术服务有限公司 | 一种对云主机进行性能监控的监控方法 |
| CN104702571A (zh) * | 2013-12-06 | 2015-06-10 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
| CN104735071A (zh) * | 2015-03-27 | 2015-06-24 | 浪潮集团有限公司 | 一种虚拟机之间的网络访问控制实现方法 |
| US20160036811A1 (en) * | 2014-07-31 | 2016-02-04 | Samsung Electronics Co., Ltd. | Device and method of setting or removing security on content |
| CN105376256A (zh) * | 2015-12-08 | 2016-03-02 | 国云科技股份有限公司 | 一种基于Openflow对用户访问虚拟机进行控制的方法 |
| CN105871787A (zh) * | 2015-01-22 | 2016-08-17 | 中国移动通信集团公司 | 云虚拟网络中的入侵防御方法、装置、网络设备和系统 |
-
2016
- 2016-11-09 CN CN201610981991.5A patent/CN106534111A/zh not_active Withdrawn
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685180A (zh) * | 2011-10-18 | 2012-09-19 | 国网电力科学研究院 | 一种面向云计算的网络安全预警方法 |
| CN104702571A (zh) * | 2013-12-06 | 2015-06-10 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
| CN103763309A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的安全域控制方法和系统 |
| CN103763367A (zh) * | 2014-01-17 | 2014-04-30 | 浪潮(北京)电子信息产业有限公司 | 一种云计算数据中心分布式虚拟网络设计方法及系统 |
| US20160036811A1 (en) * | 2014-07-31 | 2016-02-04 | Samsung Electronics Co., Ltd. | Device and method of setting or removing security on content |
| CN104657250A (zh) * | 2014-12-16 | 2015-05-27 | 无锡华云数据技术服务有限公司 | 一种对云主机进行性能监控的监控方法 |
| CN105871787A (zh) * | 2015-01-22 | 2016-08-17 | 中国移动通信集团公司 | 云虚拟网络中的入侵防御方法、装置、网络设备和系统 |
| CN104735071A (zh) * | 2015-03-27 | 2015-06-24 | 浪潮集团有限公司 | 一种虚拟机之间的网络访问控制实现方法 |
| CN105376256A (zh) * | 2015-12-08 | 2016-03-02 | 国云科技股份有限公司 | 一种基于Openflow对用户访问虚拟机进行控制的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107612843A (zh) * | 2017-09-27 | 2018-01-19 | 国云科技股份有限公司 | 一种防止云平台ip和mac伪造的方法 |
| CN108881246A (zh) * | 2018-06-27 | 2018-11-23 | 中国联合网络通信集团有限公司 | 一种容器安全防护的方法及装置 |
| CN109271217A (zh) * | 2018-10-23 | 2019-01-25 | 上海携程商务有限公司 | 云环境下的网络流量检测方法及系统 |
| CN109271217B (zh) * | 2018-10-23 | 2022-02-11 | 上海携程商务有限公司 | 云环境下的网络流量检测方法及系统 |
| CN111683097A (zh) * | 2020-06-10 | 2020-09-18 | 广州市品高软件股份有限公司 | 一种基于两级架构的云网络流量监控系统 |
| CN111683097B (zh) * | 2020-06-10 | 2022-04-29 | 广州市品高软件股份有限公司 | 一种基于两级架构的云网络流量监控系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
| Li et al. | A survey of network flow applications | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN106790193B (zh) | 基于主机网络行为的异常检测方法和装置 | |
| CN105991637B (zh) | 网络攻击的防护方法和装置 | |
| WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
| CN106534111A (zh) | 一种基于流规则实现云平台防御网络攻击的方法 | |
| CN107124402A (zh) | 一种报文过滤的方法和装置 | |
| Liu et al. | Defending systems against tilt DDoS attacks | |
| KR101219796B1 (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
| CN107592303A (zh) | 一种高速镜像网络流量中外发文件的提取方法及装置 | |
| Febro et al. | Distributed SIP DDoS defense with P4 | |
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| CN108737447A (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
| Nicholson et al. | A taxonomy of technical attribution techniques for cyber attacks | |
| CN110113333A (zh) | 一种tcp/ip协议指纹动态化处理方法及装置 | |
| CN108737344A (zh) | 一种网络攻击防护方法和装置 | |
| Rowe et al. | Thwarting cyber-attack reconnaissance with inconsistency and deception | |
| Tanachaiwiwat et al. | Differential packet filtering against DDoS flood attacks | |
| Guan | Network forensics | |
| Patel et al. | Throughput analysis of AQM schemes under low-rate Denial of Service attacks | |
| Duraipandian et al. | An intelligent agent based defense architecture for ddos attacks | |
| Chen et al. | Neuronet: An adaptive infrastructure for network security | |
| Thang et al. | Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter | |
| Kuppusamy et al. | An effective prevention of attacks using gI time frequency algorithm under dDoS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170322 |