CN107800696A - 一种云平台虚拟交换机上通信伪造源识别方法 - Google Patents

Abstract

本发明涉及云计算网络安全技术领域，特别是一种云平台虚拟交换机上通信伪造源识别方法。本发明的方法包括如下步骤：(1)在虚拟交换机的端口上获取通信数据包的源mac地址、源IP地址等特征信息；(2)将特征信息按照时序关系依次存储在数据库中；(3)根据网络控制器的数据和检测方法，分析一段时间内特征信息记录集；如获得mac地址或IP地址伪造的记录；则将其识别为该虚拟交换机上对应端口存在伪造源的通信行为。通过本发明可以在一定程度上识别云平台虚拟交换机上伪造源的通信行为，提高云平台的网络安全监测能力。

Description

一种云平台虚拟交换机上通信伪造源识别方法

技术领域

本发明涉及云计算网络安全技术领域，特别一种云平台虚拟交换机上通信伪造源识别方法。

背景技术

随着云计算的发展，很多业务系统迁移到虚拟化平台上，显得虚拟化平台的网络安全性尤为重要了。传统的方法是在虚拟化网络边界处检查网络是否收到攻击、病毒入侵的行为。但是对于虚拟化平台，在一个虚拟化平台内部的网络安全检查行为目前很少有好的方法；而且内部的网络通信占据了很重要的比重，是否可以着手于云平台上的虚拟交换机来检查通信的安全性呢？是值得研究的问题。

发明内容

本发明解决的技术问题是提供一种云平台虚拟交换机上通信伪造源识别方法，实现从云平台虚拟交换机角度来检查通信的安全性。

本发明解决上述技术问题的技术方案是：

所述的方法包括如下步骤：

(1)在虚拟交换机的端口上获取通信数据包的源mac地址、源IP地址、VLAN标识、端口号、虚拟交换机所在主机号、交换机标识特征信息；

(2)将特征信息按照时序关系依次存储在数据库中；

(3)根据网络控制器的数据和检测方法，分析一段时间内特征信息记录集；如获得mac地址或IP地址伪造的记录；则将其识别为该虚拟交换机上对应端口存在伪造源的通信行为。

所述的虚拟交换机为OpenvSwitch；虚拟机、容器或物理机的网络数据交换经过虚拟交换机；虚拟机、容器或物理机的网络直接或间接建立在虚拟交换机的端口上。

所述的特征信息包含通信源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号、流量信息、交换机标识；其中，源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号信息由sflow协议采集获取。

所述的数据库以influxdb作为数据存储，定期清除超过阈值时间的特征信息记录，保证记录的时效性。

6所述的网络控制器对外提供查询网络的信息API接口，存储了云平台上网络信息，其包含了mac、IP地址、VLAN信息、网络子网信息、绑定的虚拟机的虚拟接口信息。

所述的网络控制器对外提供查询网络的信息API接口，存储了云平台上网络信息，其包含了mac、IP地址、VLAN信息、网络子网信息、绑定的虚拟机的虚拟接口信息。

8、根据权利要求1至4任一项所述的方法，其特征在于，所述的检测方法，

(1)根据端口判断是内部端口或外部端口，

内部端口为：云平台虚拟机、容器、物理机的虚拟接口和虚拟交换机的对接端口；

外部端口为虚拟交换机与物理网卡接入、作为对外接入通信的接口，实现跨节点间的虚拟交换机之间或者云平台外部与内部通信的端口；

(2)对内部端口，则根据端口号所绑定的虚拟机、容器、物理机的虚拟接口信息，调用查询网络信息的API获取控制器中记录的网络IP、MAC地址信息，如果该IP、MAC和特征记录上的不一致，则判断该通信的IP和MAC记录属于伪造源通信；

(3)对外部端口，则根据特征记录上MAC和IP地址调用查询网络信息的API查询控制器上该IP和MAC是否存在；如果控制器上存在该信息，则在特征记录数据库中查询该时间附近的其他虚拟交换机上是否存在该MAC和IP特征记录，如果没有找到并且该MAC地址不是网关MAC地址，则判断该IP和MAC数据通信属于伪造的；如果该MAC地址为网关MAC地址，则转到(4)进行处理；

(4)该通信属于云平台外部和云平台内部的通信，借助第三方的检测工具来实现检测；包括朴素可信度模型的检测方法。

本发明方案的有益效果如下：

本发明的方法可以对云平台的虚拟交换机上的数据交换进行伪造源mac和ip地址通信的识别，特别是云平台内部伪造源通信的识别，提高了云平台上虚拟交换机通信的安全监测能力。

附图说明

下面结合附图对本发明进一步说明：

图1为本发明的流程图。

具体实施方式

本文以OpenvSwitch为虚拟交换机，Neutron组件作为网络控制器为例，

1、获取OpenvSwitch端口的网络特征信息，以sflow协议作为数据包采集协议

sflow的采集和OpenvSwitch对接

vs-vsctl----id＝@sflow create sflow agent＝${AGENT_IP}\

target＝″${COLLECTOR_IP}：${COLLECTOR_PORT}″header＝${HEADER_BYTES}\

sampling＝${SAMPLING_N}polling＝${POLLING_SECS}\

--set bridge brO sflow＝@sflow

其中Agent_IP为虚拟交换机上宿主机的IP，COLLECTOR_IP为收集器的IP

2、采集的特征信息存取到数据库中，本文以influxdb作为存储数据库为例如插入switch_records表记录

inseft

switch_records，host＝node3216，port＝12，mac＝fa：16：3e：29：64：e7，ip＝11.11.11.5，vlan＝10，bridge＝br-int bytes＝1024

insert switch_records，host＝node3216，port＝1，mac＝fa：16：3e：c3：04：97，ip＝10.0.0.224，vlan＝40，bridge＝br-vlan bytes＝2048

3、检查识别伪造源

(1)区分内、外部端口

以云平台管理虚拟机的网络为例进行说明，在宿主机上执行ovs-vsctl show命令，获取到如下输出

可以查看相关端口上，该aftBD913EAA端口与虚拟机连接，则为内部端口；

该eth0端口为外部端口。

(2)该aftBD913EAA为内部接口，则获取绑定的虚拟机的根据端口号所绑定的虚拟机uuidf04fc4ec-flde-4210-a606-2977a48ac725的虚拟网络接口，其在控制器端上记录的IP和MAC地址为fa：16：3e：29：64：e7，ip地址为11.11.11.5，则该记录为合法通信；

(3)该eth0为外部端口，在控制器的数据中查询其MAC和IPfa：16：3e：c3：04：97，ip＝10.0.0.224是否存在，存在该条记录，则在特征记录中其他主机上没有查询到该记录信息，则经过该eth0端口该条数据包属于伪造的。

Claims (10)

1.一种云平台虚拟交换机上通信伪造源识别方法，其特征在于，所述的方法包括如下步骤：

(1)在虚拟交换机的端口上获取通信数据包的源mac地址、源IP地址、VLAN标识、端口号、虚拟交换机所在主机号、交换机标识特征信息；

(2)将特征信息按照时序关系依次存储在数据库中；

(3)根据网络控制器的数据和检测方法，分析一段时间内特征信息记录集；如获得mac地址或IP地址伪造的记录；则将其识别为该虚拟交换机上对应端口存在伪造源的通信行为。

2.根据权利要求1所述的方法，其特征在于，所述的虚拟交换机为OpenvSwitch；虚拟机、容器或物理机的网络数据交换经过虚拟交换机；虚拟机、容器或物理机的网络直接或间接建立在虚拟交换机的端口上。

3.根据权利要求1所述的方法其特征在于，所述的特征信息包含通信源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号、流量信息、交换机标识；其中，源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号信息由sflow协议采集获取。

4.根据权利要求2所述的方法其特征在于，所述的特征信息包含通信源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号、流量信息、交换机标识；其中，源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号信息由sflow协议采集获取。

5.根据权利要求1至4任一项所述的方法，其特征在于，所述的数据库以influxdb作为数据存储，定期清除超过阈值时间的特征信息记录，保证记录的时效性。

6.根据权利要求1至4任一项所述的方法，其特征在于，所述的网络控制器对外提供查询网络的信息API接口，存储了云平台上网络信息，其包含了mac、IP地址、VLAN信息、网络子网信息、绑定的虚拟机的虚拟接口信息。

7.根据权利要求5所述的方法，其特征在于，所述的网络控制器对外提供查询网络的信息API接口，存储了云平台上网络信息，其包含了mac、IP地址、VLAN信息、网络子网信息、绑定的虚拟机的虚拟接口信息。

8.根据权利要求1至4任一项所述的方法，其特征在于，所述的检测方法，

(1)根据端口判断是内部端口或外部端口，

内部端口为：云平台虚拟机、容器、物理机的虚拟接口和虚拟交换机的对接端口；

外部端口为虚拟交换机与物理网卡接入、作为对外接入通信的接口，实现跨节点间的虚拟交换机之间或者云平台外部与内部通信的端口；

(2)对内部端口，则根据端口号所绑定的虚拟机、容器、物理机的虚拟接口信息，调用查询网络信息的API获取控制器中记录的网络IP、MAC地址信息，如果该IP、MAC和特征记录上的不一致，则判断该通信的IP和MAC记录属于伪造源通信；

(3)对外部端口，则根据特征记录上MAC和IP地址调用查询网络信息的API查询控制器上该IP和MAC是否存在；如果控制器上存在该信息，则在特征记录数据库中查询该时间附近的其他虚拟交换机上是否存在该MAC和IP特征记录，如果没有找到并且该MAC地址不是网关MAC地址，则判断该IP和MAC数据通信属于伪造的；如果该MAC地址为网关MAC地址，则转到(4)进行处理；

(4)该通信属于云平台外部和云平台内部的通信，借助第三方的检测工具来实现检测；包括朴素可信度模型的检测方法。

9.根据权利要5所述的方法，其特征在于，所述的检测方法，

(1)根据端口判断是内部端口或外部端口，

内部端口为：云平台虚拟机、容器、物理机的虚拟接口和虚拟交换机的对接端口；

外部端口为虚拟交换机与物理网卡接入、作为对外接入通信的接口，实现跨节点间的虚拟交换机之间或者云平台外部与内部通信的端口；

(2)对内部端口，则根据端口号所绑定的虚拟机、容器、物理机的虚拟接口信息，调用查询网络信息的API获取控制器中记录的网络IP、MAC地址信息，如果该IP、MAC和特征记录上的不一致，则判断该通信的IP和MAC记录属于伪造源通信；

(3)对外部端口，则根据特征记录上MAC和IP地址调用查询网络信息的API查询控制器上该IP和MAC是否存在；如果控制器上存在该信息，则在特征记录数据库中查询该时间附近的其他虚拟交换机上是否存在该MAC和IP特征记录，如果没有找到并且该MAC地址不是网关MAC地址，则判断该IP和MAC数据通信属于伪造的；如果该MAC地址为网关MAC地址，则转到(4)进行处理；

(4)该通信属于云平台外部和云平台内部的通信，借助第三方的检测工具来实现检测；包括朴素可信度模型的检测方法。

10.根据权利要求7所述的方法，其特征在于，所述的检测方法，

(1)根据端口判断是内部端口或外部端口，

内部端口为：云平台虚拟机、容器、物理机的虚拟接口和虚拟交换机的对接端口；

外部端口为虚拟交换机与物理网卡接入、作为对外接入通信的接口，实现跨节点间的虚拟交换机之间或者云平台外部与内部通信的端口；

(2)对内部端口，则根据端口号所绑定的虚拟机、容器、物理机的虚拟接口信息，调用查询网络信息的API获取控制器中记录的网络IP、MAC地址信息，如果该IP、MAC和特征记录上的不一致，则判断该通信的IP和MAC记录属于伪造源通信；

(3)对外部端口，则根据特征记录上MAC和IP地址调用查询网络信息的API查询控制器上该IP和MAC是否存在；如果控制器上存在该信息，则在特征记录数据库中查询该时间附近的其他虚拟交换机上是否存在该MAC和IP特征记录，如果没有找到并且该MAC地址不是网关MAC地址，则判断该IP和MAC数据通信属于伪造的；如果该MAC地址为网关MAC地址，则转到(4)进行处理；

(4)该通信属于云平台外部和云平台内部的通信，借助第三方的检测工具来实现检测；包括朴素可信度模型的检测方法。