CN109413001A - 对云计算系统内的交互数据进行安全保护的方法及装置 - Google Patents
对云计算系统内的交互数据进行安全保护的方法及装置 Download PDFInfo
- Publication number
- CN109413001A CN109413001A CN201710698772.0A CN201710698772A CN109413001A CN 109413001 A CN109413001 A CN 109413001A CN 201710698772 A CN201710698772 A CN 201710698772A CN 109413001 A CN109413001 A CN 109413001A
- Authority
- CN
- China
- Prior art keywords
- data packet
- data
- dummy node
- processing
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于对云计算系统内的交互数据进行安全保护的方法及装置,其中方法包括:获取去往或来自虚拟节点的数据包并获取数据包的网络地址;对数据包进行识别处理以获得安全特征,利用安全特征查询安全会话表,根据查询结果确定数据包的安全状态并且确定数据包需要进行安全检测时,暂停对数据包进行转发处理;基于访问控制策略确定是否允许数据包在虚拟节点间进行传递,在确定允许数据包在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使安全会话表增加与数据包相关联的会话项;以及根据会话项对数据包进行转发处理。本发明将会话表结合在虚拟机管理系统中,既对云租户屏蔽了网络拓扑的细节,又提升了安全检测的性能。
Description
技术领域
本发明涉及计算机安全领域,并且更具体地涉及一种用于对云计算系统内的交互数据进行安全保护的方法及装置。
背景技术
通常,云环境中的交互数据分为两类,其中一类是穿越云计算系统边界,与云外部主机通信的交互数据,被称为南北向交互数据。另一类是云计算系统中虚拟机到虚拟机的交互数据,被称为东西向交互数据。云环境中约70%交互数据属于东西向交互数据。因此,传统的南北向交互数据防护方案无法保证东西向交互数据的安全。由于虚拟机之间缺乏威胁隔离机制,因此网络威胁一旦侵入云计算系统内部,通常能够在云计算系统内肆意蔓延。
目前,针对东西向交互数据的防护问题,许多安全厂商提出两种解决方案:第一种方案是把东西向交互数据引流到云计算系统外部的安全设备中。在这种情况下,即使同一台服务器内虚拟机间的交互数据,也发往外部物理防火墙以对交互数据进行防护处理。这种方式需要把虚拟机的内部交互数据表示转换为传统的基于数据包的交互数据表示。这种交互数据转换的开销较大,并且需要额外的交换机等设备。第二种方案是在云计算系统中创建特定虚拟机,在特定虚拟机中部署虚拟安全网关。这种方式需要云租户配置虚拟网络拓扑,并通过配置默认网关等方式把内部交互数据引到虚拟安全网关中。此外,在第二种方案中,云租户需要了解云平台的网络拓扑并且进行复杂的配置。此外,虚拟安全网关运行在虚拟机中,因此性能较差。
为此,现有技术中存在对能够对云计算系统内的交互数据进行高效安全保护的技术方案的需求。
发明内容
针对现有技术中云计算系统内的交互数据防护方案的弊端,本发明提供了一种能够解决上述问题的新的防护方案。本发明的方案把安全防护装置直接嵌入在云平台中,在不改变网络拓扑的前提下,将交互数据检测引入安全检测单元。本发明将传统安全设备中的会话表直接实现在虚拟机管理系统中,既对云租户屏蔽了网络拓扑的细节,又提升了安全检测的性能。
根据本发明的一个方面,提供一种用于对云计算系统内的交互数据进行安全保护的方法,所述方法包括:
获取去往/来自虚拟节点的数据包并获取所述数据包的网络地址;
对所述数据包进行识别处理以获得安全特征,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理;
基于预先设置的访问控制策略确定是否允许所述数据包在虚拟节点间进行传递,在确定允许所述数据包在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项;以及
根据所述会话项对所述数据包进行转发处理。
其中,在获取去往/来自虚拟节点的数据包之前还包括:对通过所述云计算系统内的虚拟交换机进行传输的数据进行监听。
其中,在获取所述数据包的网络地址之后并且在对所述数据包进行识别处理以获得安全特征之前还包括:当所述网络地址不是数据通道的MAC地址时,确定需要对所述数据包进行识别处理。
其中,在获取所述数据包的网络地址之后还包括:当所述网络地址是数据通道的MAC地址时,确定不需要对所述数据包进行识别处理,并且根据安全会话表中的相应会话项对数据包进行转发处理。
其中,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态包括:在安全会话表中查询与所述安全特征相对应的会话项,如果存在与所述安全特征相对应的会话项,则确定所述数据包的安全状态为安全。
其中,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态包括:在安全会话表中查询与所述安全特征相对应的会话项,如果不存在与所述安全特征相对应的会话项,则确定所述数据包的安全状态为不安全。
其中,所述基于预先设置的访问控制策略确定是否允许所述数据包在虚拟节点间进行传递包括:对所述数据包进行分析以确定所述数据包的识别特征,将所述识别特征与访问控制策略进行匹配,并且基于匹配结果确定是否允许所述数据包在虚拟节点间进行传递。
其中,所述数据通道用于对所述数据包进行串行化并且将经过串行化的数据包作为载荷进行封装,以及所述数据通道将检测结果转换为与会话项匹配的数据结构,将所述数据结构作为荷载进行封装。
根据本发明的另一方面,提供一种用于对云计算系统内的交互数据进行安全保护的装置,所述装置包括:
获取单元,获取去往/来自虚拟节点的数据包并获取所述数据包的网络地址;
数据转发单元,对所述数据包进行识别处理以获得安全特征,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理;以及根据所述会话项对所述数据包进行转发处理;以及
安全检测单元,基于预先设置的访问控制策略确定是否允许所述数据包在虚拟节点间进行传递,在确定允许所述数据包在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项。
还包括监听单元,用于对通过所述云计算系统内的虚拟交换机进行传输的数据进行监听。
其中,当所述网络地址不是数据通道的MAC地址时,所述数据转发单元确定需要对所述数据包进行识别处理。
其中,当所述网络地址是数据通道的MAC地址时,所述数据转发单元确定不需要对所述数据包进行识别处理,并且根据安全会话表中的相应会话项对数据包进行转发处理。
其中,所述数据转发单元在安全会话表中查询与所述安全特征相对应的会话项,如果存在与所述安全特征相对应的会话项,则确定所述数据包的安全状态为安全。
其中,所述数据转发单元在安全会话表中查询与所述安全特征相对应的会话项,如果不存在与所述安全特征相对应的会话项,则确定所述数据包的安全状态为不安全。
其中,所述安全检测单元对所述数据包进行分析以确定所述数据包的识别特征,将所述识别特征与访问控制策略进行匹配,并且基于匹配结果确定是否允许所述数据包在虚拟节点间进行传递。
其中,所述数据通道用于对所述数据包进行串行化并且将经过串行化的数据包作为载荷进行封装,以及所述数据通道将检测结果转换为与会话项匹配的数据结构,将所述数据结构作为荷载进行封装。
其中所述数据转发单元运行于虚拟机监视器中。
其中所述安全检测单元位于多个虚拟节点的任意一个虚拟节点中。
根据本发明的再一方面,提供一种用于对云计算系统内的交互数据进行安全保护的系统,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:执行如上所述的方法。
根据本发明的再一方面,提供一种计算机程序产品,其包括处理器可执行的程序,其特征在于,该程序被处理器执行时实现以下步骤:
获取去往/来自虚拟节点的数据包并获取所述数据包的网络地址;
对所述数据包进行识别处理以获得安全特征,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理;
基于预先设置的访问控制策略确定是否允许所述数据包在虚拟节点间进行传递,在确定允许所述数据包在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项;以及
根据所述会话项对所述数据包进行转发处理。
由此可知,本发明提供了一种新的防护方案,把安全防护装置的直接嵌入在云平台中,通过交互数据获取并且在不改变网络拓扑的前提下,将交互数据引入安全检测模块,并把传统安全设备中的会话表直接实现在虚拟机管理系统中,既对云租户屏蔽了网络拓扑的细节,又提升了安全检测的性能。通过将交互数据获取和数据转发模块直接嵌入虚拟机管理系统中,本发明对用户屏蔽网络细节。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为现有技术中的交互数据保护系统的结构示意图;
图2为根据本发明实施方式的交互数据安全保护方法的流程图;
图3为根据本发明实施方式的对云计算系统内的交互数据进行安全保护的方法的流程图;
图4为根据本发明实施方式的交互数据安全保护系统所适用的运行场景的示意图;以及
图5为根据本发明实施方式的对云计算系统内的交互数据进行安全保护的系统的结构示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为现有技术中的交互数据保护系统100的结构示意图。如图1所示,交互数据保护系统100中包括:云计算系统101、云计算系统111以及安全检测设备121。云计算系统101和云计算系统111中均运行多个虚拟机,或被称为虚拟节点。例如,云计算系统101中包括4个虚拟节点,并且云计算系统111中包括6个虚拟节点。图1中示出了云计算系统101和云计算系统111中虚拟节点的内部连接关系。通常,当云计算系统101内的虚拟节点需要与云计算系统111中的虚拟节点进行通信时,需要通过安全检测设备121对通信数据进行安全检测,从而保证云计算系统101和云计算系统111的安全。
通常,由于虚拟节点之间缺乏威胁隔离机制,因此网络威胁一旦侵入云计算系统101或云计算系统111,通常会导致网络威胁在云计算系统内肆意蔓延。如上所述,针对云计算系统的内部防护问题,目前存在两种解决方案。第一种方案是把云计算系统内的交互数据引流到云计算系统外部的安全设备中。这种方式需要把虚拟节点的内部交互数据表示转换为传统的基于数据包的交互数据表示。这种交互数据转换的开销较大,并且需要额外的交换机等设备。第二种方案是在云计算系统中创建特定虚拟节点,在特定虚拟节点中部署虚拟安全网关。这种方式需要云租户配置虚拟网络拓扑,并通过配置默认网关等方式把内部交互数据引到虚拟安全网关中。此外,在第二种方案中,云租户需要了解云计算系统内的网络拓扑并且进行复杂的配置。
图2为根据本发明实施方式的交互数据安全保护方法200的流程图。如图2所示,交互数据安全保护方法200从步骤201处开始。在步骤201,用户通过策略下发器配置访问控制策略。在步骤202,虚拟机发出一个数据包pkt。在步骤203,获取模块获取数据包pkt,解析mac地址,并且在步骤204,判断其是否是数据通道发出或接收的数据包。若是,则进行步骤206,对数据包直接放行。否则,将数据包提交给数据转发模块。在步骤205,数据转发模块解析数据包,并根据数据包的特征查安全会话表。如果安全会话表中存在相应的会话项,则进行步骤211。否则,进行步骤208。在步骤208,将把数据包复制一份以得到数据包的副本,把副本通过数据通道提交给安全检测模块。在步骤209,安全检测模块解析数据包,并进行策略匹配。将策略匹配的检测结果通过网卡发送给数据通道。在步骤210,数据通道把检测结果进行格式转换后,发给数据转发模块,由数据转发模块在安全会话表中建立会话项。在步骤211,数据转发模块根据会话项决定数据包的处理结果:丢弃数据包,或者将数据包提交给获取模块以进行继续转发。在步骤212,获取模块发出该数据包。
图3为根据本发明实施方式的对云计算系统内的交互数据进行安全保护的方法300的流程图。方法300从步骤301处开始。在步骤301,对通过所述云计算系统内的虚拟交换机进行传输数据进行监听。通常,云计算系统中运行多个虚拟节点。云计算系统内的虚拟节点可以通过特定的方式或预先配置的方式进行连接。通常,多个虚拟节点可以通过虚拟交换机进行数据转发,并且因此由虚拟机交换机和虚拟节点构成内部网络拓扑。多个虚拟节点中的任意虚拟节点能够通过虚拟交换机与其它虚拟节点进行通信。为了能够对云计算系统内部的数据流量进行监控,需要对经过虚拟交换机进行转发的数据包进行监听。通常,这种监听机制是基于针对数据包的相应字段与识别信息进行对比来实现的。例如,当对比结果为符合时,监听机制确定监听到特定数据包。
在步骤302,在监听到去往/来自多个虚拟节点中任意虚拟节点的数据包时,获取所述数据包并获取所述数据包的网络地址。步骤302采用钩子技术将所有通过虚拟交换机的数据包劫持、记录该数据包的源主机地址和目的主机地址并且把该数据包发送给数据转发模块。其中,源主机地址和目的主机地址能够唯一标识该数据包发出自哪台虚拟机和要发往哪台虚拟机。通常,源主机地址和目的主机地址的格式取决于虚拟化平台,并且一种可能的例子是虚拟机的通用唯一识别码UUID。此外,步骤302接收经数据转发单元确认的安全数据包,并把该安全数据包发给目的地虚拟机。
通常,去往/来自多个虚拟节点中任意虚拟节点的数据包可以是去往/来自其它虚拟节点或数据通道的数据包。为此,本申请需要对去往/来自其它虚拟节点的数据包进行附加处理,而无需对去往/来自其它虚拟节点的数据通道进行附加处理。网络地址可以是各种类型的地址,例如IP地址、MAC地址等。本发明以MAC地址为例进行说明,但是所属领域技术人员应当了解的是,还可以使用诸如IP地址等的其它网络地址。当网络地址不是数据通道的MAC地址时,本申请确定需要对数据包进行识别处理,处理数据包以获得安全特征。当基于所述网络地址确定不需要对所述数据包进行识别处理时,则促使根据安全会话表中的相应会话项对数据包进行转发处理。通常,当网络地址是数据通道的MAC地址时,本申请确定不需要对数据包进行识别处理。
在步骤303,当基于所述网络地址确定需要对所述数据包进行识别处理时,处理所述数据包以获得安全特征。本申请利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态。当所述安全状态表明所述数据包需要进行安全检测时,暂停对数据包进行转发处理并且为数据包生成用于进行安全检测的副本。副本是与数据包完全相同的另一数据包。此外,本申请根据会话项对所述数据包进行转发处理。可替换地,本申请可以不生成副本,而直接用数据包进行检测。安全会话表包括多个会话项,其中每个会话项用于代表多个虚拟节点中两个虚拟节点之间的数据流。会话项可以包括源虚拟节点地址、目的地虚拟节点地址、源端口号、目的端口号、协议类型、源主机标识以及目的主机标识。通常,本申请基于协议类型确定会话项的时间阈值。当与特定会话项相关联的后续数据包的缺失时间达到时间阈值时,删除所述特定会话项。通过这种方式,本申请可以将过期的会话项进行删除,从而保证安全会华表的实施更新以及数据安全。本申请在安全会话表中查询与所述安全特征相对应的会话项,如果存在与所述安全特征相对应的会话项,则确定所述数据包的安全状态为安全。安全特征包括:源虚拟节点地址、目的地虚拟节点地址、源端口号、目的端口号、协议类型、源主机标识以及目的主机标识。当安全状态为安全时,本申请根据所述会话项对所述数据包进行转发处理。
在步骤304,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理并且为所述数据包生成用于进行安全检测的副本。可替换地,本申请可以不生成副本,而直接用数据包进行检测。本申请在安全会话表中查询与所述安全特征相对应的会话项,如果不存在与所述安全特征相对应的会话项,则确定所述数据包的安全状态为不安全。当安全状态为不安全时,表明所述数据包需要进行安全检测。会话项例如可以是7元组<源虚拟节点地址、目的地虚拟节点地址、源端口号、目的端口号、协议类型、源主机标识、目的主机标识>。
本申请基于预先设置的访问控制策略确定是否允许所述数据包或副本(即,数据包)在虚拟节点间进行传递,在确定允许所述数据包或副本在虚拟节点间进行传递的情况下,通过数据通道向所述数据转发单元发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项。本申请包括:策略下发器、策略匹配器、数据包解析器以及存储器。其中,策略下发器用于接收由云管理员用户预先设置访问控制策略,并将该策略转换为内部存储结构。所述访问控制策略用于对数据包进行安全性检测。当本申请接收到数据包后,数据包解析器对该数据包进行拆包和分析。数据包解析器按照开放式系统互联OSI网络协议栈模型解析出数据包的网络特征(包括但不限于,源IP地址,目的地IP地址,源端口号,目的端口号,协议类型)。此外,数据包解析器解析由Hypervisior通过参数随数据包所传递的标识特征(包括但不限于,源主机标识以及目的主机标识)。可替换地,网络特征和标识特征可以构成安全特征。随后,策略匹配器将该数据包的上述特征与云管理员下发的访问控制策略进行匹配。当策略匹配器通过匹配确定数据包为安全数据包时,则确定通过安全检测,而当策略匹配器通过匹配确定数据包为不安全数据包时,则确定未通过安全检测。本申请将检测结果通过数据通道发送给数据转发模块。存储器用于将所述预先存储的访问控制策略进行存储。
在步骤305,基于预先设置的访问控制策略确定是否允许所述数据包或副本在虚拟节点间进行传递,在确定允许所述数据包或副本在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项。本申请基于预先设置的访问控制策略确定是否允许所述数据包或副本在虚拟节点间进行传递,在确定允许所述数据包或副本在虚拟节点间进行传递的情况下,通过数据通道向所述数据转发单元发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项。本申请利用策略下发器接收由云管理员用户预先设置访问控制策略,并将该策略转换为内部存储结构。本申请利用访问控制策略对数据包进行安全性检测。当接收到数据包后,本申请利用数据包解析器对该数据包进行拆包和分析。数据包解析器按照开放式系统互联OSI网络协议栈模型解析出数据包的网络特征(包括但不限于,源IP地址,目的地IP地址,源端口号,目的端口号,协议类型)。此外,数据包解析器解析由Hypervisior通过参数随数据包所传递的标识特征(包括但不限于,源主机标识以及目的主机标识)。可替换地,网络特征和标识特征可以构成安全特征。随后,策略匹配器将该数据包的上述特征与云管理员下发的访问控制策略进行匹配。当策略匹配器通过匹配确定数据包为安全数据包时,则确定通过安全检测,而当策略匹配器通过匹配确定数据包为不安全数据包时,则确定未通过安全检测。本申请将检测结果通过数据通道发送给数据转发模块。此外,本申请将所述预先存储的访问控制策略进行存储。
本申请对所述数据包或副本进行分析以确定所述数据包或副本的识别特征,将所述识别特征与访问控制策略进行匹配,并且基于匹配结果确定是否允许所述数据包或副本在虚拟节点间进行传递。
在步骤306,根据所述会话项对所述数据包进行转发处理:丢弃数据包,或者将数据包提交给获取模块以进行继续转发。
由此可知,方法300能够对通过云计算系统内的虚拟交换机进行传输数据进行监听,并且在监听到去往/来自多个虚拟节点中任意虚拟节点的数据包时,获取所述数据包并获取所述数据包的网络地址。由此可知,本申请把安全防护装置的直接嵌入在云平台中,在不改变网络拓扑的前提下,将交互数据引入安全检测模块。接着,方法300在基于所述网络地址确定需要对所述数据包进行识别处理时,处理所述数据包以获得安全特征,并且利用安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理并且为所述数据包生成用于进行安全检测的副本。由此可知,本申请把传统安全设备中的会话表直接实现在虚拟机管理系统中,既对云租户屏蔽了网络拓扑的细节,又提升了安全检测的性能。接着,方法300基于预先设置的访问控制策略确定是否允许所述数据包或副本在虚拟节点间进行传递,在确定允许所述数据包或副本在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项。最后,方法300根据会话项对所述数据包进行转发处理。因此,本申请通过将交互数据获取和数据转发模块直接嵌入虚拟机管理系统中,对用户屏蔽网络细节并且提升了安全检测的性能。
图4为根据本发明实施方式的交互数据安全保护系统所适用的运行场景的示意图。从逻辑上来看,运行场景400包括三个层次:物理机层401、虚拟机监视器(Hypervisor)层411以及虚拟机层421、422、423和426。如图2所示,物理机层201包括计算机硬件202和计算机硬件203。通常,计算机硬件202和计算机硬件203用于支撑和运行云计算系统的各种应用。
为了实现本发明的交互数据安全保护,虚拟机监视器层包括获取模块412、数据转发模块414、数据通道430和安全检测模块424。获取模块412、数据转发模块414和数据通道接口413运行在虚拟机监视器(Hypervisor)层411,例如运行在Hypervisor中。此外,安全检测模块224和数据通道接口425运行在虚拟机423中。如图4所示,虚拟机监视器层可以负责监视多个虚拟机421、422、423和426。其中,虚拟机423运行安全检测模块424和数据通道接口425。
获取模块412和数据转发模块414直接运行在虚拟机监视器层411中,是为了避免转换用于表示数据包的数据结构。这种方式有效地避免数据包格式转换的开销。获取模块412和数据转发模块414是和虚拟化平台紧密相关的,因此需要针对每种虚拟化平台定制开发。
安全检测模块424运行在云计算系统的虚拟机中,是为了以下目的:(1)确保在安全保护规则升级时,只需重启虚拟机,而不必重启整个Hypervisor。这种方式不影响交互数据转发;以及(2)虚拟机可以和Hypervisor解耦,从而实现在不修改代码的情况下跨平台使用,从而减少安全保护系统针对各种虚拟化平台进行定制的代价。
数据转发模块414和安全检测模块424经由各自的数据通道接口并且通过虚拟网络进行通信。数据通道430作为数据转发模块414和安全检测模块424之间通信的中间件,从而屏蔽了数据结构转换的细节。
获取模块412运行在虚拟机监视器层411中,并且这种方式具有两个功能:
(1)采用钩子技术将所有通过虚拟交换机(Virtual Switch)的数据包劫持、记录该数据包的源主机地址和目的主机地址并且把该数据包发送给数据转发模块。其中,源主机地址和目的主机地址能够唯一标识该数据包发出自哪台虚拟机和要发往哪台虚拟机。通常,源主机地址和目的主机地址的格式取决于虚拟化平台,并且一种可能的例子是虚拟机的通用唯一识别码(UUID,Universally Unique Identifier)。
(2)接收经数据转发模块414确认的安全数据包,并把该安全数据包发给目的地虚拟机。
数据转发模块414提供最基础的网络支持功能,但其本身不具备任何的安全检测功能。数据转发模块414仅负责保存基于会话的流安全状态,并基于会话表决定数据流的通断。
为提升转发效率,数据转发模块414内部维护安全会话表,通过安全会话表对与有效连接相关联的数据包进行直接转发。安全会话表是一个哈希hash表并且包括多个会话项。其中,每个会话项代表一个数据流,并且每个会话项中包含能够唯一标识一条数据流的各类信息,例如源IP地址,目的地IP地址,源端口号,目的端口号,协议类型,源主机标识以及目的主机标识等,以及包含该数据流的通断控制信息。数据转发模块414根据安全检测模块424的检测结果来增加、删除和修改安全会话表中的会话项。
根据协议类型不同,会话项有特定的超时时间。即如果连续一段时间T内,特定会话项都没有新的数据包,则删除该会话项。由此可知,借助安全会话表中的信息,数据转发模块414可以将转发通道区分为快速转发通道和慢速转发通道。
数据转发模块414收到获取模块412发送的数据包后,处理该数据包以获得包括源IP地址,目的地IP地址,源端口号,目的端口号,协议类型,源主机标识以及目的主机标识的七元组。数据转发模块414根据该七元组查询安全会话表。如果安全会话表中存在与该七元组的相关信息,则进入快速转发通道:根据安全会话表中的通断标识,决定转发数据包还是丢弃数据包。如果安全会话表中不存在与该七元组的相关信息,则进入慢速转发通道:将该会话的第一个数据包提交给(或被认为需要进行安全检测的所有数据包)虚拟机423,由安全检测模块424进行全面细致的处理。数据转发模块414按照异步方式等待安全检测模块424的返回结果。通常,在等待返回结果时,需要缓存该数据包。
数据通道430用于在数据转发模块414和安全检测模块424之间建立通信通道。通常,数据转发模块414工作在Hypervisor中,而安全检测模块424工作在虚拟机423中。数据转发模块414和安全检测模块424无法直接通信。在本发明中,数据转发模块414和安全检测模块424通过虚拟网络通信。数据通道430作为中间层,实现数据结构和网络交互数据的相互转换。
当数据转发模块414要给安全检测模块424发送待检测的数据包时,数据通道将该待检测的数据包串行化后,作为荷载封装在IP数据包中,并通过安全检测模块424所在虚拟机423的虚拟网卡提交给安全检测模块424。
当安全检测模块424反馈检测结果时,将该检测结果作为荷载,封装在IP数据包中。通常,数据通道430解析该数据包,并把解析后的检测结果转换为数据转发模块414可识别的数据结构。最后,数据通道430将这种数据结构发送给数据转发模块。这里需要特别说明的是,与数据通道交互的网络数据包具有特殊的MAC地址,此类数据包不会被获取模块412劫持。例如,此类数据包的源/目的地地址为数据通道的MAC地址。
安全检测模块424包括策略下发器、策略匹配器和数据包解析器。其中,策略下发器用于接收云管理员下发的访问控制策略,并将该策略转换为内部存储结构。所述访问控制策略用于对数据包进行安全性检测。当安全检测模块424接收到数据包后,数据包解析器对该数据包进行拆包和分析。数据包解析器按照开放式系统互联OSI网络协议栈模型解析出数据包的网络特征(包括但不限于,源IP地址,目的地IP地址,源端口号,目的端口号,协议类型)。此外,数据包解析器解析由Hypervisior通过参数随数据包所传递的标识特征(包括但不限于,源主机标识以及目的主机标识)。可替换地,网络特征和标识特征可以构成安全特征。随后,策略匹配器将该数据包的上述特征与云管理员下发的访问控制策略进行匹配。当策略匹配器通过匹配确定数据包为安全数据包时,则确定通过安全检测,而当策略匹配器通过匹配确定数据包为不安全数据包时,则确定未通过安全检测。安全检测模块424将检测结果通过数据通道发送给数据转发模块。
图5为根据本发明实施方式的对云计算系统内的交互数据进行安全保护的系统500的结构示意图。如图5所示,系统500包括:监听单元501、获取单元502、数据转发单元503以及安全检测单元504。根据本发明的实施方式,监听单元501、获取单元502以及数据转发单元503可以位于虚拟机监视器层中。这样能够避免转换用于表示数据包的数据结构。这种方式有效地避免数据包格式转换的开销。此外,安全检测单元504可以位于多个虚拟节点中的任意一个或多个虚拟节点中。数据转发单元503和安全检测单元504通过数据通道进行数据传输。
监听单元501用于对通过所述云计算系统内的虚拟交换机进行传输数据进行监听。云计算系统中运行多个虚拟节点。云计算系统内的虚拟节点可以通过特定的方式或预先配置的方式进行连接。通常,多个虚拟节点可以通过虚拟交换机进行数据转发,并且因此由虚拟机交换机和虚拟节点构成内部网络拓扑。多个虚拟节点中的任意虚拟节点能够通过虚拟交换机与其它虚拟节点进行通信。为了能够对云计算系统内部的数据交互数据进行监控,需要对经过虚拟交换机进行转发的数据报进行监听。在监听单元501监听到去往/来自多个虚拟节点中任意虚拟节点的数据包时,将所述数据包的出现通知给获取单元502。
在监听到去往/来自多个虚拟节点中任意虚拟节点的数据包时,获取单元502获取所述数据包并获取所述数据包的网络地址。获取单元502采用钩子技术将所有通过虚拟交换机的数据包劫持、记录该数据包的源主机地址和目的主机地址并且把该数据包发送给数据转发模块。其中,源主机地址和目的主机地址能够唯一标识该数据包发出自哪台虚拟机和要发往哪台虚拟机。通常,源主机地址和目的主机地址的格式取决于虚拟化平台,并且一种可能的例子是虚拟机的通用唯一识别码UUID。此外,获取单元502接收经数据转发单元503确认的安全数据包,并把该安全数据包发给目的地虚拟机。
通常,去往/来自多个虚拟节点中任意虚拟节点的数据包可以是去往/来自其它虚拟节点或数据通道的数据包。系统500需要对去往/来自其它虚拟节点的数据包进行附加处理,而无需对去往/来自其它虚拟节点的数据通道进行附加处理。网络地址可以是各种类型的地址,例如IP地址、MAC地址等。本发明以MAC地址为例进行说明,但是所属领域技术人员应当了解的是,还可以使用诸如IP地址等的其它网络地址。当网络地址不是数据通道的MAC地址时,数据转发单元503确定需要对数据包进行识别处理,处理数据包以获得安全特征。当数据转发单元503基于所述网络地址确定不需要对所述数据包进行识别处理时,则根据安全会话表中的相应会话项对数据包进行转发处理。通常,当网络地址是数据通道的MAC地址时,数据转发单元503确定不需要对数据包进行识别处理。
当基于网络地址确定需要对所述数据包进行识别处理时,数据转发单元503处理所述数据包以获得安全特征。数据转发单元503利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态。当所述安全状态表明所述数据包需要进行安全检测时,数据转发单元503暂停对数据包进行转发处理并且为数据包生成用于进行安全检测的副本。副本是与数据包完全相同的另一数据包。数据转发单元503根据会话项对所述数据包进行转发处理。替换地,本申请可以不生成副本,而直接用数据包进行检测。
安全会话表包括多个会话项,其中每个会话项用于代表多个虚拟节点中两个虚拟节点之间的数据流。会话项可以包括源虚拟节点地址、目的地虚拟节点地址、源端口号、目的端口号、协议类型、源主机标识以及目的主机标识。通常,数据转发单元503基于协议类型确定会话项的时间阈值。当与特定会话项相关联的后续数据包的缺失时间达到时间阈值时,删除所述特定会话项。通过这种方式,数据转发单元503可以将过期的会话项进行删除,从而保证安全会华表的实施更新以及数据安全。数据转发单元503在安全会话表中查询与所述安全特征相对应的会话项,如果存在与所述安全特征相对应的会话项,则确定所述数据包的安全状态为安全。安全特征包括:源虚拟节点地址、目的地虚拟节点地址、源端口号、目的端口号、协议类型、源主机标识以及目的主机标识。当安全状态为安全时,数据转发单元503根据所述会话项对所述数据包进行转发处理。
数据转发单元503在安全会话表中查询与所述安全特征相对应的会话项,如果不存在与所述安全特征相对应的会话项,则确定所述数据包的安全状态为不安全。当安全状态为不安全时,表明所述数据包需要进行安全检测。会话项例如可以是7元组<源虚拟节点地址、目的地虚拟节点地址、源端口号、目的端口号、协议类型、源主机标识、目的主机标识>。
安全检测单元504基于预先设置的访问控制策略确定是否允许所述数据包或副本在虚拟节点间进行传递,在确定允许所述数据包或副本在虚拟节点间进行传递的情况下,通过数据通道向所述数据转发单元发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项。安全检测单元504包括:策略下发器、策略匹配器、数据包解析器以及存储器。其中,策略下发器用于接收由云管理员用户预先设置访问控制策略,并将该策略转换为内部存储结构。所述访问控制策略用于对数据包进行安全性检测。当安全检测单元504接收到数据包后,数据包解析器对该数据包进行拆包和分析。数据包解析器按照开放式系统互联OSI网络协议栈模型解析出数据包的网络特征(包括但不限于,源IP地址,目的地IP地址,源端口号,目的端口号,协议类型)。此外,数据包解析器解析由Hypervisior通过参数随数据包所传递的标识特征(包括但不限于,源主机标识以及目的主机标识)。可替换地,网络特征和标识特征可以构成安全特征。随后,策略匹配器将该数据包的上述特征与云管理员下发的访问控制策略进行匹配。当策略匹配器通过匹配确定数据包为安全数据包时,则确定通过安全检测,而当策略匹配器通过匹配确定数据包为不安全数据包时,则确定未通过安全检测。安全检测单元504将检测结果通过数据通道发送给数据转发模块。存储器用于将所述预先存储的访问控制策略进行存储。
安全检测单元504对所述数据包或副本进行分析以确定所述数据包或副本的识别特征,将所述识别特征与访问控制策略进行匹配,并且基于匹配结果确定是否允许所述数据包或副本在虚拟节点间进行传递。
数据通道用于对所述数据包或副本进行串行化并且将经过串行化的数据包或副本作为载荷进行封装,以及所述数据通道将检测结果转换为数据转发单元能够识别的数据结构,将所述数据结构作为荷载进行封装。数据通道用于在数据转发单元503和安全检测单元504之间建立通信通道。通常,数据转发单元503工作在Hypervisor中,而安全检测单元504工作在虚拟节点中。通常,数据转发单元503和安全检测单元504无法直接通信。在本发明中,数据转发单元503和安全检测单元504通过虚拟网络通信。数据通道作为中间层,实现数据结构和网络交互数据的相互转换。
数据转发单元503运行于虚拟机监视器中并且安全检测单元504位于多个虚拟节点的任意一个虚拟节点中。这种配置是本发明与现有技术的实质性区别之一,并且是体现本发明与现有技术区别的重要改进。
由此可知,系统500能够对通过云计算系统内的虚拟交换机进行传输数据进行监听,并且在监听到去往/来自多个虚拟节点中任意虚拟节点的数据包时,获取所述数据包并获取所述数据包的网络地址。由此可知,本申请把安全防护装置的直接嵌入在云平台中,在不改变网络拓扑的前提下,将交互数据引入安全检测模块。此外,系统500在基于所述网络地址确定需要对所述数据包进行识别处理时,处理所述数据包以获得安全特征,并且利用安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理并且为所述数据包生成用于进行安全检测的副本。由此可知,本申请把传统安全设备中的会话表直接实现在虚拟机管理系统中,既对云租户屏蔽了网络拓扑的细节,又提升了安全检测的性能。系统500基于预先设置的访问控制策略确定是否允许所述数据包或副本在虚拟节点间进行传递,在确定允许所述数据包或副本在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项。系统500根据会话项对所述数据包进行转发处理。因此,本申请通过将交互数据获取和数据转发模块直接嵌入虚拟机管理系统中,对用户屏蔽网络细节并且提升了安全检测的性能。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (10)
1.一种用于对云计算系统内的交互数据进行安全保护的方法,所述方法包括:
获取去往/来自虚拟节点的数据包并获取所述数据包的网络地址;
对所述数据包进行识别处理以获得安全特征,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理;
基于预先设置的访问控制策略确定是否允许所述数据包在虚拟节点间进行传递,在确定允许所述数据包在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项;以及
根据所述会话项对所述数据包进行转发处理。
2.根据权利要求1所述的方法,在获取去往/来自虚拟节点的数据包之前还包括:对通过所述云计算系统内的虚拟交换机进行传输的数据进行监听。
3.根据权利要求1所述的方法,其中在获取所述数据包的网络地址之后并且在对所述数据包进行识别处理以获得安全特征之前还包括:当所述网络地址不是数据通道的MAC地址时,确定需要对所述数据包进行识别处理。
4.根据权利要求1所述的方法,其中在获取所述数据包的网络地址之后还包括:当所述网络地址是数据通道的MAC地址时,确定不需要对所述数据包进行识别处理,并且根据安全会话表中的相应会话项对数据包进行转发处理。
5.一种用于对云计算系统内的交互数据进行安全保护的装置,所述装置包括:
获取单元,获取去往/来自虚拟节点的数据包并获取所述数据包的网络地址;
数据转发单元,对所述数据包进行识别处理以获得安全特征,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理;以及根据所述会话项对所述数据包进行转发处理;以及
安全检测单元,基于预先设置的访问控制策略确定是否允许所述数据包在虚拟节点间进行传递,在确定允许所述数据包在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项。
6.根据权利要求5所述的装置,还包括监听单元,用于对通过所述云计算系统内的虚拟交换机进行传输的数据进行监听。
7.根据权利要求5所述的装置,当所述网络地址不是数据通道的MAC地址时,所述数据转发单元确定需要对所述数据包进行识别处理。
8.根据权利要求5所述的装置,当所述网络地址是数据通道的MAC地址时,所述数据转发单元确定不需要对所述数据包进行识别处理,并且根据安全会话表中的相应会话项对数据包进行转发处理。
9.一种用于对云计算系统内的交互数据进行安全保护的系统,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:执行权利要求1至4任意一项所述的用于对云计算系统内的交互数据进行安全保护的方法。
10.一种计算机程序产品,其包括处理器可执行的程序,其特征在于,该程序被处理器执行时实现以下步骤:
获取去往/来自虚拟节点的数据包并获取所述数据包的网络地址;
对所述数据包进行识别处理以获得安全特征,利用所述安全特征查询安全会话表,根据查询结果确定所述数据包的安全状态,当所述安全状态表明所述数据包需要进行安全检测时,暂停对所述数据包进行转发处理;
基于预先设置的访问控制策略确定是否允许所述数据包在虚拟节点间进行传递,在确定允许所述数据包在虚拟节点间进行传递的情况下,通过数据通道发送检测结果以促使所述安全会话表增加与所述数据包相关联的会话项;以及
根据所述会话项对所述数据包进行转发处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710698772.0A CN109413001B (zh) | 2017-08-15 | 2017-08-15 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710698772.0A CN109413001B (zh) | 2017-08-15 | 2017-08-15 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109413001A true CN109413001A (zh) | 2019-03-01 |
| CN109413001B CN109413001B (zh) | 2021-06-22 |
Family
ID=65454283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710698772.0A Active CN109413001B (zh) | 2017-08-15 | 2017-08-15 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413001B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935108A (zh) * | 2020-07-24 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 云数据安全访问控制方法、装置、电子装置及存储介质 |
| CN113922984A (zh) * | 2021-09-02 | 2022-01-11 | 成都安恒信息技术有限公司 | 一种客户端应用的网络访问识别和管控方法 |
| CN114938303A (zh) * | 2022-05-20 | 2022-08-23 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
| US11438374B2 (en) * | 2015-08-18 | 2022-09-06 | Acronis International Gmbh | Agentless security of virtual machines for outbound transmissions using a network interface controller |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103458003A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
| CN103995732A (zh) * | 2014-05-26 | 2014-08-20 | 华为技术有限公司 | 一种虚拟可信平台模块功能实现方法和管理设备 |
| US8893274B2 (en) * | 2011-08-03 | 2014-11-18 | Trend Micro, Inc. | Cross-VM network filtering |
| CN104219260A (zh) * | 2013-05-30 | 2014-12-17 | 中国电信股份有限公司 | 同一物理机内虚拟机间数据交换的方法、系统与物理主机 |
| CN104219241A (zh) * | 2014-09-04 | 2014-12-17 | 国云科技股份有限公司 | 一种适用于虚拟机的arp攻击双向防护方法 |
| CN104506548A (zh) * | 2014-12-31 | 2015-04-08 | 北京天融信科技有限公司 | 一种数据包重定向装置、虚拟机安全保护方法及系统 |
| CN104735071A (zh) * | 2015-03-27 | 2015-06-24 | 浪潮集团有限公司 | 一种虚拟机之间的网络访问控制实现方法 |
| CN105337789A (zh) * | 2014-08-12 | 2016-02-17 | 北京启明星辰信息安全技术有限公司 | 一种监控虚拟网络流量的方法和装置 |
| CN106161522A (zh) * | 2015-04-02 | 2016-11-23 | 华为技术有限公司 | 一种网络设备间的通信方法、网络设备及分布式网络 |
-
2017
- 2017-08-15 CN CN201710698772.0A patent/CN109413001B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8893274B2 (en) * | 2011-08-03 | 2014-11-18 | Trend Micro, Inc. | Cross-VM network filtering |
| CN104219260A (zh) * | 2013-05-30 | 2014-12-17 | 中国电信股份有限公司 | 同一物理机内虚拟机间数据交换的方法、系统与物理主机 |
| CN103458003A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
| CN103995732A (zh) * | 2014-05-26 | 2014-08-20 | 华为技术有限公司 | 一种虚拟可信平台模块功能实现方法和管理设备 |
| CN105337789A (zh) * | 2014-08-12 | 2016-02-17 | 北京启明星辰信息安全技术有限公司 | 一种监控虚拟网络流量的方法和装置 |
| CN104219241A (zh) * | 2014-09-04 | 2014-12-17 | 国云科技股份有限公司 | 一种适用于虚拟机的arp攻击双向防护方法 |
| CN104506548A (zh) * | 2014-12-31 | 2015-04-08 | 北京天融信科技有限公司 | 一种数据包重定向装置、虚拟机安全保护方法及系统 |
| CN104735071A (zh) * | 2015-03-27 | 2015-06-24 | 浪潮集团有限公司 | 一种虚拟机之间的网络访问控制实现方法 |
| CN106161522A (zh) * | 2015-04-02 | 2016-11-23 | 华为技术有限公司 | 一种网络设备间的通信方法、网络设备及分布式网络 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11438374B2 (en) * | 2015-08-18 | 2022-09-06 | Acronis International Gmbh | Agentless security of virtual machines for outbound transmissions using a network interface controller |
| CN111935108A (zh) * | 2020-07-24 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 云数据安全访问控制方法、装置、电子装置及存储介质 |
| CN113922984A (zh) * | 2021-09-02 | 2022-01-11 | 成都安恒信息技术有限公司 | 一种客户端应用的网络访问识别和管控方法 |
| CN113922984B (zh) * | 2021-09-02 | 2024-02-02 | 成都安恒信息技术有限公司 | 一种客户端应用的网络访问识别和管控方法 |
| CN114938303A (zh) * | 2022-05-20 | 2022-08-23 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
| CN114938303B (zh) * | 2022-05-20 | 2023-10-20 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109413001B (zh) | 2021-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20150156183A1 (en) | System and method for filtering network communications | |
| EP3111433B1 (en) | Wireless sensor network | |
| CN109413001A (zh) | 对云计算系统内的交互数据进行安全保护的方法及装置 | |
| CN104778042B (zh) | 一种基于事件流处理和插件式开发框架的流数据处理方法 | |
| CN103023906B (zh) | 针对远程过程调用协议进行状态跟踪的方法及系统 | |
| CN104038466B (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
| US20100132024A1 (en) | Identifying attribute propagation for multi-tier processing | |
| CN111385147B (zh) | 故障模拟方法、装置和计算机可读存储介质 | |
| CN106778260A (zh) | 攻击检测方法和装置 | |
| CN110719215B (zh) | 虚拟网络的流信息采集方法及装置 | |
| US11294740B2 (en) | Event to serverless function workflow instance mapping mechanism | |
| CN106878343B (zh) | 一种云计算环境下提供网络安全即服务的系统 | |
| US10397353B2 (en) | Context enriched distributed logging services for workloads in a datacenter | |
| US12003517B2 (en) | Enhanced cloud infrastructure security through runtime visibility into deployed software | |
| CN113709810B (zh) | 一种网络服务质量的配置方法、设备和介质 | |
| CN110233831A (zh) | 恶意注册的检测方法及装置 | |
| CN112506683A (zh) | 一种数据处理的方法、相关装置、设备以及存储介质 | |
| CN108337266A (zh) | 一种高效的协议客户端漏洞发掘方法与系统 | |
| CN105809031B (zh) | 数据库审计的方法、装置及系统 | |
| CN110311927A (zh) | 数据处理方法及其装置、电子设备和介质 | |
| CN103959715A (zh) | 用于测试diameter路由节点的方法、系统和计算机可读介质 | |
| CN109729059A (zh) | 数据处理方法、装置及计算机 | |
| CN106572103A (zh) | 一种基于sdn网络架构的隐藏端口检测方法 | |
| CN103036895B (zh) | 一种状态跟踪方法及系统 | |
| CN103067360B (zh) | 程序网络行为识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |