一种针对云数据中心SDN安全态势感知系统及方法
技术领域
本发明涉及云数据处理领域,尤其涉及一种针对云数据中心SDN安全态势感知系统及方法。
背景技术
云计算作为一种基于网络的计算方式,可以将共享的软硬件资源按需提供给计算机和其他设备,实现按需分配、按量付费的使用模式。计算资源、存储资源、网络资源作为云计算的三大资源要素,直接影响云数据中心的性能。随着主机虚拟化技术和分布式存储技术的不断发展,目前,传统的电信系统网络架构成为了阻碍云数据中心发展的巨大桎梏。
2015年的ONS大会上,谷歌的网络技术领导人Amin发布了谷歌的数字中心技术,正式宣告了SDN(Software-Defined Network软件定义网络)技术应用于数据中心的可行性。SDN也成为了建设云数据中心网络的重要技术方案。SDN技术的核心思想是将控制平面与转发平面解耦以实现集中控制,在目前广泛应用虚拟化技术的云平台建设中具有良好的适用性。在云数据中心中,利用SDN技术实现了网络资源池化,按需进行流量规划,并通过NFV(Network Function Virtualization网络功能虚拟化)技术提供高质量的多种网络服务。
SDN技术在云数据中心内的应用也带来了新的安全问题。首先,传统入侵检测,防火墙等安全系统难以对动态调整的网络提供安全功能。因此在基于SDN技术的云数据中心内部,一般采用基于NFV的虚拟防护系统结合SDN提供防护功能。其次,SDN作为一种新型网络架构,本身也会受到攻击,其自身的安全性也成为了云数据中心安全的重要因素。最后,云数据中心内部的网络结构复杂,规模庞大,传统的防护手段仅能提供被动的检测和响应,也没有与SDN的结构特点进行结合。
网络安全态势感知技术近年来成为网络空间安全研究领域的聚焦热点。网络态势感知系统通过主动对网络内部安全要素的采集、分析进而对网络空间安全提供持续的、多角度的监控能力。并可以对安全事件进行快速定位,分析,可视化等,目的在于完善对网络整体的风险控制、应急响应和整体安全防护水平。目前已经有一些态势感知方法。
如“一种网络安全态势感知方法及系统”通过提取描述网络安全的四个维度的信息包括流量稳定性、威胁性、脆弱性、用户行为,对提取的要素进行二级指标分值和一级指标分值计算,最后通过加权求和计算整个网络安全态势值。这种通过指标计算的方法考虑了多个维度的网络态势,但是在采用SDN技术的动态网络环境下,可操作性受限。
如“一种基于SDN的多域安全态势感知模型及方法”通过对SDN网络内流数据的提取和分析得到威胁和防御两方面的态势要素,进一步的将态势要素转换为态势知识。该方法利用了SDN网络中OpenFlow协议的流表特性,但是从流表信息分析出的网络态势知识是片面的,对于系统漏洞,入侵行为等其他类型的威胁无法实现有效的检测,无法提供对于攻击和威胁等角度的态势感知。
如“一种云平台安全态势感知方法”通过选取基础评估点、浮动评估点并进行量化赋值的方式层次化的对各评估点的态势数值进行融合,最终汇聚、量化形成全网的评估结果。其中赋值操作通过查询安全事件对应漏洞的CVSS评分值或计算威胁程度、易用程度和评估点影响程度的积。这种方法实现了多层次态势评估,但方法仅体现了网络内的漏洞态势,对于入侵行为等其他方面的态势则缺少分析。
通过背景分析,可以发现现有方法在评估云数据中心的SDN网络安全态势时有两个明显的不足:
1.现有方法通常只针对单一维度的态势要素进行了获取、评估,如漏洞类或流量类的安全事件作为态势要素,不同类型要素间缺少关联。
2.评估过程中,没有体现出对环境的认知,缺少理解环境的过程,尤其在云数据中心的SDN网络中,灵活的环境特点直接影响态势要素和融合策略的选取。
目前缺少一种将SDN结构元素与网络空间内的态势要素进行融合的方案。
发明内容
为了克服上述现有技术中的不足,本发明提供一种针对云数据中心SDN安全态势感知系统,包括:视图及资产库,态势要素库,网络视图分析模块,态势要素获取模块和态势分析模块;
网络视图分析模块用于将全局网络视作集合N,将N按照一定规则进行划分,分成多个独立网络n,满足:
∪n=N并且
则将n作为一个网络视图,每个视图的信息应包括:数据中心的各类资源,各个资源间的拓扑关系,与其他视图的关系;根据具体评估需求,对网络进行基于相应规则的划分;
态势要素获取模块用于收集全网各安全数据源产生的各类安全数据,包括SDN交换机和控制器的状态信息,并存入态势要素库中;
态势分析模块用于针对一特定的网络视图,根据其拥有的网络资源和资源间关系构建态查找条件,构建评估模型;提取出态势要素,通过确定的评估模型对网络态势进行评估并输出。
在本发明中,网络视图分析模块还用于网络资产信息获取,全局视图分解,安全数据源标记,视图关系构建;通过以上功能对全局网络按照一定的规则进行划分,并将结果输出到视图及资产库;
云数据中心通过云管理平台对云上所有的各类物理、虚拟资源进行统一的分配和管理;将网络内部各类资源按照预设的规则进行划分和匹配,构建出局部的网络视图;
网络资产信息获取是将云数据中心内部所有的资源进行标识,记录,并构建全局拓扑关系;
全局视图分解是根据预设的视角,对网络的全局拓扑关系进行分解;
安全数据源标记是在划分视图的过程中,对某一视图所拥有的安全数据源进行标记;所述标记作为接口提供给态势分析模块和态势要素获取模块;
视图关系构建是在视图完成划分后,明确各视图间关系;视图间关系被用于在对各视图的态势信息进行评估后,对全局态势进行汇总。
在本发明中,态势要素获取模块还用于日志信息提取,SDN控制器负载计算,SDN交换机流表信息获取,SDN交换机端口统计计算;
提取态势要素的过程是针对全局所有活动的安全数据源所产生的态势数据进行提取并形成各类态势要素,存入态势要素库。完成将全网数据到安全态势要素的转化;
日志信息提取是针对整个云数据中心网络内所有安全数据源产生的各类安全日志分别进行捕获,预处理,提取出特征向量,并进行存储;
SDN控制器负载计算是针对采用Openflow协议的SDN控制器。SDN控制器通过分析Packet_In报文为SDN交换机无法处理的数据包制定处理规则,并以PACKET_OUT的方式下发规则。还可以通过FLOW_MOD与FLOW_REMOVED报文对SDN交换机内部的流表项进行调整;通过计算上述四类报文在所有交换机——控制器报文中的占比,可以得出SDN控制器负载;将上述报文统计信息作为一类安全态势要素进行存储;
SDN交换机流表信息分析网络内部所有SDN交换机,对所有SDN交换机内部的流表状态及流表项进行读取,并计算出流表的状态信息;
SDN交换机端口流量统计通过监控SDN交换机各个端口的运行状态;对于每个端口对经过其的流量进行分类、计数并计算各类流量的速率。
在本发明中,态势分析模块还用于视图信息获取,态势要素选取,评估模型生成和态势要素融合;
视图信息获取通过查找视图及资产库,获取当前所处理的视图中所包含的安全数据源信息和各资源间关系;
态势要素提取从态势要素库中提取态势要素并用于后续的态势要素融合;由于在态势要素库中保存的是全网的各类态势要素,在选择态势要素过程中,根据本视图包含的安全数据源确定其对应的态势要素,并在态势要素库中进行查找、收集,用于后续的态势要素融合;
评估模型生成根据视图内安全数据源的类型和数量以及资产间关系作为依据调整态势评估模型的参数;
态势要素融合根据当前视图内所拥有的安全数据源所生成的态势要素,利用生成的评估模型,在视图内部进行态势要素的融合,输出当前视图的网络运行态势、入侵态势、脆弱性态势和威胁态势。
在本发明中,数据中心内的资源包括:计算资源、网络资源、虚拟安全资源。
基于规则的划分包括:根据不同租户、不同资源类型或不同部署区域划分网络视图。
在本发明中,各类安全数据包括:边界防火墙日志、边界入侵检测系统报警、虚拟防火墙日志、漏洞扫描告警、虚拟VPN日志。
态势要素获取模块还用于对获取的日志类消息进行初步的清洗剔除无效数据,对于每条日志信息利用正则表达式提取出关键字段,构建出特征向量并分别存储;
在本发明中,SDN交换机包括采用OpenFlow协议的各品牌物理交换机和OpenvSwitch;
态势要素获取模块还用于通过计算当前使用的流表数和最大流表数的比例得出流表使用率;通过计算每个流表内流表项数量和每个流表最大的流表项数之比、并对所有流表进行加权求和得整个交换机的流表项利用率;设定一个时间阈值t,计算将所有空闲时间大于t的流表项数目其与现存流表项之比作为流表项冗余度等;将流表利用率,流表项使用率,流表冗余度等信息作为安全态势要素进行存储。
在本发明中,态势要素获取模块还用于计算各类流量的速率包括计:输入/输出字节数,输入/输出广播包数,输入/输出组播包数,输入/输出单播包数,输入/输出丢包数,输入/输出错误数;根据得到交换机端口的流量统计要素,将流量速率作为一类安全态势要素进行存储。
一种针对云数据中心SDN安全态势感知方法,方法包括:
步骤一,查找云管中心的配置信息,收集所有的网络资产以及全网的拓扑关系;
步骤二,选定对网络划分的视角,对网络资产以及网络进行视图划分,并构建视图内部的拓扑;
步骤三,提取云数据中心内部所有安全数据源所产生的数据信息,进行清洗、去重,经初步计算得出多种类型的网络安全态势要素,并进行存储;
步骤四,根据网络视图内部的安全数据源类型和数量,确定态势评估模型的具体参数;
步骤五,通过步骤四确定的评估模型,对提取的态势要素进行融合,输出当前视图网络运行态势,入侵态势,脆弱性态势和威胁态势;
迭代计算所有视图的四个维度的态势;
步骤六,将各个视图的各维度的态势参照视图间关系分别进行汇总形成全局的网络安全态势。
从以上技术方案可以看出,本发明具有以下优点:
本发明网络空间内的安全态势感知基于环境的认知。在针对云数据中心SDN网络的安全态势感知中首先需要洞悉自身的网络环境特征,即云管平台内配置信息构成的静态环境信息,然后通过对于网络内部的安全要素进行提取、融合、分析得出态势信息。态势信息的维度要能够全方位多角度的展现出网络空间的运行态势,以支撑安全决策的制定和调整。
利用云数据中心SDN网络的结构特点,通过对网络空间内安全数据进行捕获形成态势要素库,特别的对SDN控制通道和交换机的信息进行了采集,按照网络视图的划分对局部的态势要素进行融合分析,从网络运行态势(Operation Situation),入侵态势(Intrusion Situation),脆弱性态势(Vulnerability Situation)和威胁态势(ThreatSituation)四个角度进行综合评估,最后汇总形成全网的态势。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为针对云数据中心SDN安全态势感知系统示意图;
图2为针对云数据中心SDN安全态势感知系统实施例示意图;
图3为针对云数据中心SDN安全态势感知方法流程图。
具体实施方式
本发明提供一种针对云数据中心SDN安全态势感知系统,如图1和2所示,包括:视图及资产库4,态势要素库5,网络视图分析模块1,态势要素获取模块2和态势分析模块3;网络视图分析模块1用于将全局网络视作集合N,将N按照一定规则进行划分,分成多个独立网络n,满足:
∪n=N并且
则将n作为一个网络视图,每个视图的信息应包括:数据中心的各类资源,各个资源间的拓扑关系,与其他视图的关系;根据评估需求,对网络进行基于规则的划分;态势要素获取模块2用于收集全网产生的各类安全数据、SDN交换机和控制器的状态信息,并存入态势要素库中;态势分析模块3用于针对某特定的网络视图,根据其拥有的网络资源和资源间关系构建态查找条件和评估模型;提取出态势要素,通过评估模型对网络态势进行评估并输出。
本发明中,每个视图应包含数据中心的各类资源,包括计算资源、存储资源、网络资源、虚拟安全资源等;各个资源间的拓扑关系,还需要体现与其他视图的关系。对于云数据中心网络可以按照需求依照不同规则对网络进行不同的划分,比如可以根据不同租户、不同资源类型或不同部署区域划分网络视图。
态势要素获取模块收集全网安全数据源产生的各类安全数据,SDN交换机和控制器的状态信息,经预处理存入态势要素库中。其中,安全数据包括但不局限于边界防火墙日志、边界入侵检测系统报警、虚拟防火墙日志、虚拟VPN日志等。SDN控制平面和转发平面的状态信息包括但不局限于:控制器当前负载,交换机端口统计特性等。态势分析模块针对某特定的网络视图,根据其拥有的网络资源和资源间关系构建态查找条件和评估模型。提取出态势要素,通过确定的评估模型对网络态势进行评估并输出。
本发明中,网络视图分析模块为网络资产信息获取,全局视图分解,安全资源标记,视图关系构建。通过以上功能对全局网络按照一定的规则进行划分,并将结果输出到网络视图及资产库。
云数据中心通常采用集中控制,通过云管理平台对云上所有的各类物理、虚拟资源进行统一的分配和管理。网络视图的构建主要是将网络内部各类资源按照一定的规则进行划分和匹配,构建出局部的网络视图。
网络资产信息获取指的是将云数据中心内部所有的资源进行标识,记录,构建全局拓扑关系。由于当前数据中心内部大量采用虚拟化技术,所构建的全局拓扑需要覆盖实体资源与虚拟资源。资源包括但不局限于服务器,虚拟主机,物理SDN交换机,OpenvSwitch(OVS)虚拟交换机,边界防火墙,漏洞扫描,虚拟防火墙vFW等。
全局视图分解指的是根据一选定的视角,对网络的全局拓扑关系进行分解。视角可以有多种类型,如租户视角与资源类型视角,每一种视角对应着一个划分规则,但最终输出结果只能是根据某特定视角对应的规则分解出的视图。例如,按照租户关系进行分解:对于某一租户,从云管中心获取该租户拥有的存储,计算资源,涉及的虚拟安全网元和服务链,网络关系等,根据各资源的标识信息从全局拓扑中提取该租户的拓扑关系,这样就构建了一个租户的视图。
安全数据源标识指的是在划分视图的过程中,需要对某一视图所拥有的安全数据源进行特殊标记。这些标记提供给后续的态势分析模块和态势要素获取模块用于数据的交流。视图关系构建指的是在视图完成划分后,需要明确各视图间关系。视图间关系会被用于在对各视图的态势信息进行评估后,对全局态势进行汇总。
态势要素获取模块分为日志信息提取,SDN控制器负载计算,SDN交换机流表信息获取,SDN交换机端口统计计算。提取态势要素的过程是针对全局所有活动的安全数据源所产生的态势数据进行初步的提取形成各类态势要素,存入态势要素库。完成将全网数据到安全态势要素的转化。
日志信息提取模块针对整个云数据中心网络内所有安全数据源产生的各类安全日志分别进行捕获,经预处理后提取出特征向量,并进行存储。日志种类包括但不局限于防火墙事件,漏洞扫描告警,入侵检测事件告警等。例如针对某虚拟入侵检测系统vIDS生成的日志消息,本模块首先对获取的日志消息进行初步的清洗剔除无效数据,接着对于每条日志信息提取出关键字段,构建出特征向量(type,srcIP,dstIP,srcPort,dstPort,detail)。该向量各个字段内容分别是入侵警报类型,源IP,目的IP,源端口,目的端口和警报细节。针对不同类型的数据源,提取出的特征向量会有些许的不同,最终根据其数据源作为不同类别的态势要素进行存储。
SDN控制器负载计算,基于采用Openflow协议的SDN控制器,通过分析Packet_In报文对SDN交换机无法处理的数据包进行分析通过Packet_Out报文进行规则下发,还可以通过FLOW_MOD与FLOW_REMOVED报文对SDN交换机的流表项进行调整。这几类数据包可以直接反映出当前控制器的负载情况。通过计算上述报文在所有报文中的占比,作为SDN控制器负载。将其作为安全态势要素进行存储。
SDN交换机流表信息提取针对网络内部所有SDN交换机,包括物理交换机和OpenvSwitch,对其内部的流表及流表项进行读取,并计算流表的状态信息。例如通过计算当前活动的流表数和可容纳最大流表数的比例得出流表使用率;通过计算每个流表内流表项数量和每个流表最大的流表项数之比、并对所有流表进行加权求和可得整个交换机的流表项利用率;设定一个时间阈值t,计算将所有空闲时间大于t的流表项数目其与现存流表项之比作为流表项冗余度等。将流表利用率,流表项使用率,流表冗余度等信息作为安全态势要素进行存储。
SDN交换机端口流量统计通过对SDN交换机各个端口实行监控。对于每个端口对经过其的流量进行分类、计数并计算各类流量的速率。需要计算的速率如下:输入/输出字节数,输入/输出广播包数,输入/输出组播包数,输入/输出单播包数,输入/输出丢包数,输入/输出错误数。可以据此得到交换机端口的流量统计要素。将其作为一类安全态势要素进行存储。
态势分析模块包括视图信息获取,态势要素选取,评估模型生成和态势要素融合。在本方法中,在视图划分的过程中,同时提取了视图内各资源的关系,因此态势分析着眼于对划分后的视图。在云数据中心网络中,网络运行态势(Operation Situation),入侵态势(Intrusion Situation),脆弱性态势(Vulnerability Situation)和威胁态势(ThreatSituation)作为考察其安全态势的四个主要维度。本方法,在进行态势分析的过程中针对上述四个维度进行处理。
视图信息获取通过查找视图与资产库,获取当前处理的视图中所包含的安全数据源信息。如,视图内所有的vFW、视图内所有的vWAF、视图内的物理/虚拟交换机、涉及到的交换机端口等。明确以上信息后,将其用于指导下一步态势要素的选取。
态势要素选取是从态势要素库中提取态势要素并用于后续的态势要素融合。由于在态势要素库中保存的是全网的态势要素,因此在选择态势要素过程中,需根据本视图包含的安全数据源确定其涉及的态势要素,并在态势要素库中进行查找、提取,用于后续的态势要素库融合。
评估模型生成根据视图内安全数据源的类型、数量和相互关系调整评估模型。在每个视图中,所拥有的安全数据源的类型和数量有所差异,其产生的安全态势要素也有所不同,在进行评估的过程中,难以通过一种模型完全覆盖多种类型态势要素组合的情况,本方法兼容可变参数的评估模型。
态势要素融合根据当前视图内所拥有的安全数据源所生成的态势要素,结合参数确定后的评估模型,对整个网络从四个维度进行态势要素的评估。最终输出该视图的网络运行态势、入侵态势、脆弱性态势和威胁态势。
本发明还提供一种针对云数据中心SDN安全态势感知方法,方法包括:如图3所示,
步骤一,查找云管中心的配置信息,收集所有的网络资产以及全网的拓扑关系;
步骤二,选定对网络划分的视角,将网络内的各类资产进行划分,对视图内部的拓扑进行构建;
步骤三,提取云数据中心内部所有安全数据源所产生的数据信息,进行清洗、去重,通过初步计算得出多种类型的网络安全态势要素,并进行存储;
步骤四,根据网络视图内部的安全数据源类型和数量,确定态势评估模型的具体参数;
步骤五,通过步骤四确定的评估模型,对提取的态势要素进行融合,输出当前视图网络运行态势,入侵态势,脆弱性态势和威胁态势;迭代计算所有视图的四个维度的态势;
步骤六,将各个视图的各维度的态势参照视图间关系分别进行汇总形成全局的网络安全态势。
本方法针对性的利用云管中心的配置信息划分网络视图,通过计算SDN控制器负载,SDN交换机统计特性,结合全网各安全数据源的日志信息,实现对网络的安全态势感知。相较于面向传统网络的安全态势感知方法本方法创新性的提出了网络视图划分的方法,可以根据不同的需求和应用场景进行划分而不局限于具体的网络结构,因此在SDN网络环境下有着更好的适用性和可行性。
本方法实用范围包括各种规模的基于虚拟化和SDN技术的云数据中心网络,对其提供网络运行态势、入侵态势、脆弱性态势和威胁态势四个维度的态势感知,便于安全管理者和运维工作者及时调整安全策略,具有广泛的应用前景。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。