CN107864126A - 一种云平台虚拟网络行为检测方法 - Google Patents
一种云平台虚拟网络行为检测方法 Download PDFInfo
- Publication number
- CN107864126A CN107864126A CN201711034866.4A CN201711034866A CN107864126A CN 107864126 A CN107864126 A CN 107864126A CN 201711034866 A CN201711034866 A CN 201711034866A CN 107864126 A CN107864126 A CN 107864126A
- Authority
- CN
- China
- Prior art keywords
- safety regulation
- port
- feature
- virtual network
- collection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云平台安全技术领域,特别是一种云平台虚拟网络行为检测方法。所述的方法是采集虚拟网络端口的数据流特征;并与设定的安全规则集进行对比;如果符合安全规则,则确认其安全;否则,认定为不安全行为。本发明提出了云平台虚拟网络安全行为检测方法,在一定程度上提高虚拟网络通信的安全性。
Description
技术领域
本发明涉及云平台安全技术领域,特别是一种云平台虚拟网络行为检测方法。
背景技术
随着云平台的市场发展,越来越多企业、政务等相关单位将信息系统迁移到云平台上了;云平台信息安全的地位也显得也越来越突出。目前病毒入侵、漏洞入侵等各种网络攻击手段比较多,怎么能够建立一个云平台的信息可信计算;满足云业务以及云平台的安全需要,怎么让用户觉得把数据放到云平台上的应用是安全、可信的呢?
发明内容
本发明解决的技术问题在于提出了一种云平台虚拟网络行为检测方法,在一定程度上提高虚拟网络通信的安全性。
本发明解决上述技术问题的技术方案是:
所述的方法是采集虚拟网络端口的数据流特征;并与设定的安全规则集进行对比;如果符合安全规则,则确认其安全;否则,认定为不安全行为。
所述方法具体包括如下步骤:
(1)在虚拟网络端口采集数据流特征并存储到数据流特征库中;
(2)网络组件服务中获取当前虚拟网络上端口的安全规则集;
(3)在数据流特征库中获取该端口最近一段时间内的特征记录集;
(4)依次遍历特征记录集并检查每条记录是否符合安全规则集,如果不符合,则该端口通信的数据流有可疑的不安全行为。
所述方法,
(1)所述的虚拟网络端口是虚拟交换机上的一个端口,其端口支持云平台上容器、虚拟机等网卡通信;
(2)所述的虚拟网络端口采集的数据流特征包含源IP、目的地址IP、源端口、目的IP端口、协议类型、出(入)方向;
(3)数据流特征采用时间序列的形式存储到数据库中,存储到数据库中的记录项包含了时间特征,可以精确到毫秒级别。
所述方法,
(1)安全规则集中包含了安全规则,其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项;
(2)网络组件上存储了应用于某个虚拟端口的安全规则集,其对外提供API获取。
所述数据流特征库中获取特征记录集是:
(1)在获取的数据流特征数据库中查询指定端口和指定时间段的记录集;
(2)满足特定端口的指定,和获取安全规则集的端口一致;
(3)查询的时间段和当前获取安全规则集的时间段一致。
所述方法,
(1)特征记录包含的特征项,源IP、源端口、目的IP地址、目的端口、出或入方向以及协议;跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口,协议、出货方向等相应数据项进行匹配;
(2)如果安全规则记录中没有某数据项要求,则表示该数据项不进行匹配,表示该数据项满足;如果某数据项匹配失败,则表示该条特征记录和该条安全规则记录项匹配不成功;
(3)如果有特征集不匹配安全规则集中的任何一项,则表示该虚拟端口通信有可疑的不安全行为。
本发明提出一种云平台虚拟网络安全行为检测方法,通过满足用户自定义的安全可信的通信规则匹配来提高用户对云平台虚拟网络的可信度。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明方法的流程图。
具体实施方式
本发明提出一种云平台虚拟网络行为检测方法,通过满足用户自定义的安全可信的通信规则匹配来提高用户对云平台虚拟网络的可信度。
具体实施流程以图1为例。
1、在虚拟网络端口采集数据流特征并存储到数据流特征库中
以sflow采集协议,mongodb为存储为例,
ovs-vsctl----id=@sflow create sflow agent=br-inttarget=\"192.168.17.12:6343\"header=128sampling=5polling=1--setbridge br-int sflow=@sflow,其中br-int为云平台虚拟网络交换机网桥,192.168.17.12为sflow采集代理器
在192.168.17.12上启动sflow采集代理器sflow-rt并将数据流规则过滤,对外提供流特征获取API
采集流定义如下:
flow={
'keys':'ipsource,ipdestination,***,***',
'value':'bytes'}
如下所示:
通过
http://192.168.17.12:8008/activeflows/ALL/json接口获取到数据流特征数据
将其存入到mongodb中,如下所示:
将dataSource,ipsource,ipdest,……,band,云平台虚拟网络“出去”方向插入到my_set集合中,其中dataSource代表虚拟网络端口信息
2、网络组件服务中获取当前虚拟网络上端口的安全规则集
以Neutron网络组件为例,调用API查询当前端口的安全规则集
GET/v2.0/ports获取该端口上的安全规则集id,
GET/v2.0/security-groups/{security_group_id}根据安全规则集id获取安全规则
获取该dataSource所在的虚拟端口安全规则集为
{“虚拟网络方向”:“出去”,“源地址”:“20.251.32.16”,“目的地址”:“20.251.38.12”}
3、数据流特征库中获取该端口最近一段时间内的特征记录集
如步骤2中查询安全规则集的时间点为nowtime,则在mongodb中查询flow数据集中该dataSource端口nowtime时间前后的流特征记录集,
查询到两条记录:
{“虚拟网络方向”:“出去”,“源地址”:“20.251.32.16”,“目的地址”:“20.251.38.12”,……}
{“虚拟网络方向”:“出去”,“源地址”:“20.251.32.16”,“目的地址”:“20.251.38.19”,……}
4、遍历特征记录集并检查每条记录是否符合安全规则集
经过检测第3步中获取到的{“虚拟网络方向”:“出去”,“源地址”:“20.251.32.16”,“目的地址”:“20.251.38.19”}数据流特征中目的地址20.251.38.19不符合安全规则集要求,则说明该端口上存在可疑的不安全行为。
以上描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出实质性创造所获得的方案,都属于本发明保护的范围。
Claims (8)
1.一种云平台虚拟网络行为检测方法,其特征在于:所述的方法是采集虚拟网络端口的数据流特征;并与设定的安全规则集进行对比;如果符合安全规则,则确认其安全;否则,认定为不安全行为。
2.根据权利要求1所述的方法,其特征在于:所述方法具体包括如下步骤:
(1)在虚拟网络端口采集数据流特征并存储到数据流特征库中;
(2)网络组件服务中获取当前虚拟网络上端口的安全规则集;
(3)在数据流特征库中获取该端口最近一段时间内的特征记录集;
(4)依次遍历特征记录集并检查每条记录是否符合安全规则集,如果不符合,则该端口通信的数据流有可疑的不安全行为。
3.根据权利要求2所述的方法,其特征在于,所述
(1)所述的虚拟网络端口是虚拟交换机上的一个端口,其端口支持云平台上容器、虚拟机等网卡通信;
(2)所述的虚拟网络端口采集的数据流特征包含源IP、目的地址IP、源端口、目的IP端口、协议类型、出(入)方向;
(3)数据流特征采用时间序列的形式存储到数据库中,存储到数据库中的记录项包含了时间特征,可以精确到毫秒级别。
4.根据权利要求2所述的方法,其特征在于,所述
(1)安全规则集中包含了安全规则,其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项;
(2)网络组件上存储了应用于某个虚拟端口的安全规则集,其对外提供API获取。
5.根据权利要求3所述的方法,其特征在于,所述
(1)安全规则集中包含了安全规则,其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项;
(2)网络组件上存储了应用于某个虚拟端口的安全规则集,其对外提供API获取。
6.根据权利要求2至5任一项所述的方法,其特征在于,所述数据流特征库中获取特征记录集是:
(1)在获取的数据流特征数据库中查询指定端口和指定时间段的记录集;
(2)满足特定端口的指定,和获取安全规则集的端口一致;
(3)查询的时间段和当前获取安全规则集的时间段一致。
7.根据权利要求2至5任一项所述的方法,其特征在于,
(1)特征记录包含的特征项,源IP、源端口、目的IP地址、目的端口、出或入方向以及协议;跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口,协议、出货方向等相应数据项进行匹配;
(2)如果安全规则记录中没有某数据项要求,则表示该数据项不进行匹配,表示该数据项满足;如果某数据项匹配失败,则表示该条特征记录和该条安全规则记录项匹配不成功;
(3)如果有特征集不匹配安全规则集中的任何一项,则表示该虚拟端口通信有可疑的不安全行为。
8.根据权利要求6所述的方法,其特征在于,
(1)特征记录包含的特征项,源IP、源端口、目的IP地址、目的端口、出或入方向以及协议;跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口,协议、出货方向等相应数据项进行匹配;
(2)如果安全规则记录中没有某数据项要求,则表示该数据项不进行匹配,表示该数据项满足;如果某数据项匹配失败,则表示该条特征记录和该条安全规则记录项匹配不成功;
(3)如果有特征集不匹配安全规则集中的任何一项,则表示该虚拟端口通信有可疑的不安全行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711034866.4A CN107864126A (zh) | 2017-10-30 | 2017-10-30 | 一种云平台虚拟网络行为检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711034866.4A CN107864126A (zh) | 2017-10-30 | 2017-10-30 | 一种云平台虚拟网络行为检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107864126A true CN107864126A (zh) | 2018-03-30 |
Family
ID=61697850
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711034866.4A Withdrawn CN107864126A (zh) | 2017-10-30 | 2017-10-30 | 一种云平台虚拟网络行为检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107864126A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989086A (zh) * | 2018-06-20 | 2018-12-11 | 复旦大学 | OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统 |
CN111193643A (zh) * | 2019-12-31 | 2020-05-22 | 苏州浪潮智能科技有限公司 | 一种云服务器状态监控系统及方法 |
CN116582362A (zh) * | 2023-07-11 | 2023-08-11 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152361A (zh) * | 2013-03-26 | 2013-06-12 | 华为技术有限公司 | 访问控制方法及设备、系统 |
US20150135177A1 (en) * | 2007-09-24 | 2015-05-14 | Intel Corporation | Method and system for virtual port communications |
CN106549792A (zh) * | 2015-09-22 | 2017-03-29 | 中国移动通信集团公司 | 一种vnf的安全监管的方法、装置及系统 |
CN106612218A (zh) * | 2017-01-01 | 2017-05-03 | 国云科技股份有限公司 | 一种虚拟访问入口数据包的地区区域特征提取方法 |
-
2017
- 2017-10-30 CN CN201711034866.4A patent/CN107864126A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150135177A1 (en) * | 2007-09-24 | 2015-05-14 | Intel Corporation | Method and system for virtual port communications |
CN103152361A (zh) * | 2013-03-26 | 2013-06-12 | 华为技术有限公司 | 访问控制方法及设备、系统 |
CN106549792A (zh) * | 2015-09-22 | 2017-03-29 | 中国移动通信集团公司 | 一种vnf的安全监管的方法、装置及系统 |
CN106612218A (zh) * | 2017-01-01 | 2017-05-03 | 国云科技股份有限公司 | 一种虚拟访问入口数据包的地区区域特征提取方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989086A (zh) * | 2018-06-20 | 2018-12-11 | 复旦大学 | OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统 |
CN108989086B (zh) * | 2018-06-20 | 2021-03-30 | 复旦大学 | OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统 |
CN111193643A (zh) * | 2019-12-31 | 2020-05-22 | 苏州浪潮智能科技有限公司 | 一种云服务器状态监控系统及方法 |
CN116582362A (zh) * | 2023-07-11 | 2023-08-11 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
CN116582362B (zh) * | 2023-07-11 | 2023-09-26 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104794170B (zh) | 基于指纹多重哈希布隆过滤器的网络取证内容溯源方法和系统 | |
EP3697042A1 (en) | Traffic analysis method, public service traffic attribution method and corresponding computer system | |
CN106209775B (zh) | 一种ssl加密网络流的应用类型识别方法与装置 | |
CN107169025B (zh) | 一种分享的智能跟踪方法、装置和系统 | |
CN110519298A (zh) | 一种基于机器学习的Tor流量识别方法及装置 | |
US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
CN107864126A (zh) | 一种云平台虚拟网络行为检测方法 | |
CN105553999B (zh) | 应用程序用户行为分析和安全控制方法及其相应的装置 | |
Park et al. | Fine‐grained traffic classification based on functional separation | |
CN104394180B (zh) | 一种无线终端认证方法、无线路由器及系统 | |
CN103944788B (zh) | 基于网络通信行为的未知木马检测方法 | |
US9177127B1 (en) | Confounder generation in knowledge-based authentication for an enterprise | |
Mazhar Rathore et al. | Exploiting encrypted and tunneled multimedia calls in high-speed big data environment | |
CN106992975A (zh) | 恶意网址识别方法及装置 | |
CN110445750A (zh) | 一种车联网协议流量识别方法及装置 | |
CN109495583A (zh) | 一种基于主机特征混淆的数据安全交互方法 | |
Kebande et al. | Functional requirements for adding digital forensic readiness as a security component in IoT environments | |
CN106657074A (zh) | 一种url伪装及参数隐藏传递的方法及系统 | |
CN110222187B (zh) | 保护用户隐私的共同活动检测与数据共享方法 | |
CN107222330A (zh) | 一种智能识别系统请求和应答敏感内容的方法 | |
CN107342888A (zh) | 日志报文的存储方法及装置 | |
CN110365668A (zh) | 网络信息处理方法、装置、设备、介质及系统 | |
CN114124512B (zh) | 基于流量行为分析的微信小程序监管方法、系统和设备 | |
CN113949653B (zh) | 一种基于深度学习的加密协议识别方法及系统 | |
CN111835720B (zh) | 基于特征增强的vpn流量web指纹识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180330 |
|
WW01 | Invention patent application withdrawn after publication |