CN109951353A - 一种云平台流量检测方法与资源池系统 - Google Patents
一种云平台流量检测方法与资源池系统 Download PDFInfo
- Publication number
- CN109951353A CN109951353A CN201910181718.8A CN201910181718A CN109951353A CN 109951353 A CN109951353 A CN 109951353A CN 201910181718 A CN201910181718 A CN 201910181718A CN 109951353 A CN109951353 A CN 109951353A
- Authority
- CN
- China
- Prior art keywords
- user
- detection
- service traffics
- detection unit
- sensor elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种云平台流量检测方法与资源池系统,所述方法包括:以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至所述用户对应的检测单元组,所述检测单元组中的检测单元沿预先设置的检测链路串行复制传输并检测所述用户的业务流量,每个用户对应一个检测单元组,所述检测单元组中包含一个或多个检测单元,所述检测单元组中的检测单元构成所述检测链路。本发明实施例能够实现多用户的安全资源隔离和高效的转发性能,从而实现灵活性和性能的兼备。
Description
技术领域
本发明涉及计算机信息安全领域,尤指一种云平台流量检测方法与资源池系统。
背景技术
随着计算机通信和信息技术的高速发展,云计算逐渐成为各类行业和业务的主流部署方式,然而业务上云以后不但会将传统安全问题放大,还会带来新的安全风险。
面对这些问题,主流厂商的做法是以旁挂的方式将虚拟安全网元部署在外部安全资源池中,并在云内引流至外部资源池,实现虚拟化功能。例如有的现有技术方案是将物理资源虚拟化为应用层和业务层提供系统环境服务;还有的现有技术方案是提供基于软件定义网络(Software Defined Network,SDN)的安全资源池保证云环境中的安全性。这类方法和技术均是通过物理资源的虚拟化,构建资源池,然后将流量引入资源池内实现相关的功能,如监控、安全检测等,并没有考虑对于流量实现安全检测时系统的消耗、引流表项规模、资源动态灵活性等问题。
当流量引入资源池中后,为了对流量进行检测,需要对流量进行分流处理。对于检测类产品主要使用两种方式进行分流处理,其一是通过硬件SDN交换机配合网卡直通技术实现流量编排,以此提高硬件处理性能,然而这种方式对于云平台有多个用户网络时难以处理,需要编写复杂的流表,资源消耗大,同时这种绑定网卡的技术难以进行资源池内部的网元分配,无法保证动态灵活性。另一种方式则是在资源池内部设计虚拟分流器,分流器通过流量复制实现检测类产品流量的复用,然而当云平台有多个用户网络时,流量较大,虚拟分流器需要复制多份,无法保证性能。
综上,现有的针对云平台的流量检测类方法主要存在以下弊端:无法兼备灵活性和性能,同时基于资源池的安全系统结构复杂,资源消耗大,并且难以维护。
发明内容
本发明实施例提供了一种云平台流量检测方法与资源池系统,兼顾灵活性与性能。
一方面,本发明实施例提供了一种云平台流量检测方法,所述方法包括:
以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至所述用户对应的检测单元组,所述检测单元组中的检测单元沿预先设置的检测链路串行复制传输并检测所述用户的业务流量,每个用户对应一个检测单元组,所述检测单元组中包含一个或多个检测单元,所述检测单元组中的检测单元构成所述检测链路。
可选地,所述以云平台中用户为单位接收任一用户的业务流量,包括:
由用户对应的虚拟数据交换单元接收云平台中所述用户对应的引流器发送的所述用户的业务流量,每个用户对应一个虚拟数据交换单元。
可选地,所述将所述用户的业务流量发送至所述用户对应的检测单元组,包括:
由所述用户对应的虚拟数据交换单元通过虚拟交换机将所述用户的业务流量发送至所述用户对应的检测单元组。
可选地,所述检测单元组中的检测单元沿预先设置的检测链路串行复制传输并检测所述用户的业务流量,包括:
所述检测链路上的首个检测单元接收到所述用户的业务流量后,将所述用户的业务流量复制后传输至所述检测链路上的下一个检测单元,同时复制所述业务流量用于本检测单元的检测,所述检测链路上的其他检测单元按照接收到所述业务流量的顺序依次进行复制传输及检测,直至所述检测链路上的最后一个检测单元;所述检测链路中的所有检测单元串行排布。
可选地,所述复制所述业务流量用于本检测单元的检测,包括:
将所述业务流量复制后进行过滤,仅保留本检测单元的检测对象。
另一方面,本发明实施例提供了一种云平台流量检测的资源池系统,所述系统包括一一对应的虚拟数据交换单元和检测单元组,其中:
所述虚拟数据交换单元,用于以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至所述用户对应的检测单元组;
所述检测单元组中的检测单元用于沿预先设置的检测链路串行复制传输并检测所述用户的业务流量;
其中,每个用户对应一个检测单元组,所述检测单元组中包含一个或多个检测单元,所述检测单元组中的检测单元构成所述检测链路。
可选地,每个用户对应一个虚拟数据交换单元;
所述虚拟数据交换单元以云平台中用户为单位接收任一用户的业务流量,包括:所述虚拟数据交换单元接收云平台中用户对应的引流器发送的所述用户的业务流量。
可选地,所述虚拟数据交换单元将所述用户的业务流量发送至所述用户对应的检测单元组,包括:所述虚拟数据交换单元通过第一虚拟交换机将所述用户的业务流量发送至所述用户对应的检测单元组。
可选地,每个检测单元包括:
用于接收所述用户的业务流量复制后传输至所述检测链路上的下一个检测单元的第二虚拟交换机;以及
用于检测业务流量的检测子单元。
可选地,所述第二虚拟交换机还用于将所述业务流量复制后进行过滤,仅保留本检测单元的检测对象。
本发明实施例通过将云平台中的数据分用户引入外部安全资源池中创建的该用户对应的检测单元,并使当前用户流量串行通过该用户对应的各个检测单元,由各检测单元进行相应的安全检测,能够实现多用户的安全资源隔离和高效的转发性能,从而实现灵活性和性能的兼备。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例云平台流量检测方法流程图;
图2为本发明实施例资源池系统结构示意图;
图3为本发明实施例检测单元结构示意图;
图4为本发明应用实施例一的云环境安全流量检测方法流程图;
图5为本发明应用实施例一基于资源池的云环境安全流量检测系统示意图;
图6为本发明应用实施例二云环境下的安全流量检测方法流程图;
图7为本发明应用实施例三云环境下的安全流量检测系统示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提供一种云平台流量检测方法,如图1所示,所述方法包括:
步骤1,以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至所述用户对应的检测单元组;
本实施例方法由资源池系统(以下简称为资源池)执行。所述资源池设置在云平台的外部,可以通过在云平台设置的引流器实现将业务流量引流至资源池。可以在云平台中为每个用户设置一个引流器,专门用于将该用户的业务流量封装后发送至资源池。流量封装发送方式包括但不限于以下之一:策略路由、GRE(通用路由协议封装)隧道、VPN(虚拟专用网络)隧道、Telnet(远程终端协议)和SSH(安全外壳协议)。可选地,可采用虚拟机形式创建引流器,通过专用的引流器可以分用户的发送用户的业务流量,发送方式包括但不限于端口镜像、端口组混杂模式等。例如可以将用户的虚拟机端口配置为端口镜像模式,将用户的业务流量镜像至该用户的引流器。云平台中的用户包括使用云平台服务的用户。用户的引流器上可配置:用于发送数据包到资源池中的第一网卡,用于接收用户流量的第二网卡。可选的,该引流器还可配置一用于管理引流器的第三网卡。
可选地,可以通过在资源池中为每个用户以虚拟机形式创建的数据交换单元(以下称为虚拟数据交换单元)接收云平台中用户对应的引流器发送的业务流量,再由该虚拟数据交换单元将该用户的业务流量发送至该用户对应的检测单元组。所述虚拟数据交换单元为通过虚拟化技术实现的用于进行数据交换的节点单元,以虚拟机形式存在。为使虚拟数据交换单元能够收到引流器发送的业务流量,配置虚拟数据交换单元的地址为引流器可达的IP地址。每个用户对应一个虚拟数据交换单元,即每个用户有一个用于转发该用户业务流量的虚拟数据交换网元。
可见,用户与引流器一一对应,每个引流器对应一个虚拟数据交换单元。
步骤2,所述检测单元组中的检测单元沿预先设置的检测链路串行复制传输并检测所述用户的业务流量。
可选地,在资源池中每一用户对应一个检测单元组,即该检测单元组为某用户专用。但不排除检测内容相同的用户在允许的情况下共用一组检测单元。例如两用户检测内容相同,但检测时间不冲突,则可以共用一组检测单元。即一个检测单元组可以对应多个用户,但一个用户只对应一个检测单元组。共用一组检测单元的用户也可以共用一个虚拟数据交换单元。此时,一个引流器对应一个虚拟数据交换单元,但一个虚拟交换单元可能对应多个引流器。
一检测单元组中包含有一个或两个以上的检测单元,每个检测单元用于至少一个项目的检测。
检测单元的种类以及个数根据用户的安全需求创建。为了减少复制量,设计所述用户的业务流量在该用户对应的检测单元组中串行传输,可以通过预先设置的串行的检测链路(或称检测业务链)来实现,所述检测单元组中的检测单元构成所述检测链路,且该些检测单元在检测链路中串行排布。通过检测链路将用户所需检测功能的检测单元串联,从而将从虚拟数据交换单元发出的数据依次传送至各检测单元。例如某用户对应的检测单元组中包含检测单元a、检测单元b、检测单元c和检测单元d,可以预设检测链路为检测单元a→检测单元b→检测单元c→检测单元d,则检测单元a收到用户的业务流量后,复制用户的业务流量至检测单元b,同时需要完成本检测单元的检测任务;同理,检测单元b收到用户的业务流量后,复制业务流量至检测单元c,同时完成本检测单元的检测任务;同理,检测单元c收到用户的业务流量后,复制业务流量至检测单元d,同时完成本检测单元的检测任务;检测单元d收到用户的业务流量后,由于检测链路上后续无检测单元,因此无需复制,只需完成本检测单元的检测任务即可。每个检测单元接收到的用户业务流量均是相同的,均为用户原始的业务流量。
可选地,为了配置灵活,检测链路也可以只包含检测单元组中的部分检测单元。例如为用户设置了多个检测单元,但在某一时间阶段用户只需要其中的部分检测单元,即只需要为其设置的所有检测项目中的部分项目的检测,则可以通过设置检测链路来实现检测项目的灵活配置。
本发明实施例将云平台中的数据分用户引入外部安全资源池中创建的该用户对应的检测单元,并使当前用户流量串行通过该用户对应的各个检测单元,由各检测单元进行相应的安全检测。通过这样的方式能够实现多用户的安全资源隔离和高效的转发性能,从而兼备灵活性和性能。另外,当CPU或内存等不够时,还可以动态添加硬件资源,具有动态扩展性。
此外,本实施例方案还具有良好的灵活性和扩展性,当用户需要增加检测项目或者减少检测项目时,只需在资源池中添加或减少相应的检测单元,同时在检测链路上添加或删除该检测单元。检测链路的长度随检测单元个数的增加而增加。
在一个可选实施例中,由虚拟数据交换单元通过第一虚拟交换机(OpenvSwitch,OVS)将业务流量发送至用户对应的检测单元组。具体地,通过虚拟交换机流表构造流量转发规则与通路,将所述用户的业务流量发送至所述用户对应的检测单元组。
在一个可选实施例中,检测单元组中的检测单元沿预先设置的检测链路串行复制传输并检测所述用户的业务流量,可以采用以下方式:
检测链路上的首个检测单元接收到所述用户的业务流量后,将所述用户的业务流量复制后传输至所述检测链路上的下一个检测单元,同时复制所述业务流量用于本检测单元的检测。所述检测链路上的其他检测单元按照接收到所述业务流量的顺序依次进行复制传输及检测,直至所述检测链路上的最后一个检测单元;所述检测链路中的所有检测单元串行排布。例如可以通过在检测单元中设置第二虚拟交换机来实现流量的复制。
在一个可选实施例中,检测单元复制用于本检测单元检测的用户业务流量后,对所述业务流量进行过滤,仅保留本检测单元的检测对象。
可选地,所述检测单元组中包括但不限于以下检测单元的一种或多种:入侵检测类检测单元、数据库审计类检测单元、业务审计类检测单元、流量审查类检测单元、web应用防火墙(WAF)类检测单元。
检测链路可以动态增加、删除、修改检测单元,而不产生业务影响,每个检测单元可以进行不同需求的流量过滤,满足不同的检测需求。另外还可以动态扩展资源池硬件资源等,提高系统的灵活性。
本实施例提供一种实现上述实施例方法的云平台流量检测的资源池系统,如图2所示,所述系统包括一一对应的虚拟数据交换单元和检测单元组,所述检测单元组中包含一个或多个检测单元,其中:
所述虚拟数据交换单元,用于以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至所述用户对应的检测单元组;
所述检测单元组中的检测单元用于沿预先设置的检测链路串行复制传输并检测所述用户的业务流量;
其中,每个用户对应一个检测单元组,所述检测单元组中包含一个或多个检测单元,所述检测单元组中的检测单元构成所述检测链路。
可选地,每个用户对应一个虚拟数据交换单元;所述虚拟数据交换单元接收云平台中用户对应的引流器发送的所述用户的业务流量。
虚拟数据交换单元可以包括2个网口:流量接收网口(或称引流入口)和检测发送网口(或称检测链业务口)。其中,流量接收网口用于接收引流器发送的业务流量,检测发送网口用于将业务流量发送至用户对应的检测单元组。可选地,虚拟数据交换单元还可包括第一管理网口,用于与资源池系统内的其他单元进行通信交互、命令解析以及实现日志记录和查看等。虚拟数据交换单元可通过配置流表项以将流量接收网口收到的数据包形式的业务流量转发至检测发送网口,除流表外,还可以用IP信息包过滤系统(如IPTABLES)配置转发策略实现将流量接收网口收到的业务流量转发至检测发送网口。
可选地,每个检测单元包括业务入口和业务出口。其中,业务入口用于接收业务流量(检测链路上的首个检测单元接收的是虚拟数据交换单元通过检测发送网口发送的用户业务流量,检测链路上的其他检测单元接收的是检测链路上前一个检测单元发送的业务流量),业务出口用于向检测链路上的下一个检测单元(例如通过构造的流表项)发送用户原始业务流量。可选地,所述检测单元还可以包括第二管理口,用于进行检测策略的配置等。
可选地,所述虚拟数据交换单元通过第一虚拟交换机将所述用户的业务流量发送至所述用户对应的检测单元组。例如,可以将各检测单元的业务口(包括业务入口和业务出口)连接至资源池宿主机的第一虚拟交换机中,通过第一虚拟交换机实现检测链路上的流量复制传输。
在一个可选实施例中,每个检测单元包括:
用于接收所述用户的业务流量复制后传输至所述检测链路上的下一个检测单元的第二虚拟交换机;以及
用于检测业务流量的检测子单元。
在本实施例中,通过在检测单元中以嵌套虚拟化的形式部署检测子单元来完成检测任务。通过嵌套虚拟化可以兼容第三方安全网元,更为灵活。所述检测子单元可以部署两个虚拟端口:检测子单元业务口和管理口(即检测单元的第二管理口)。其中,检测子单元业务口用于接收过滤后的业务流量以进行检测;管理口,用于完成管理功能,如检测策略的配置等。所述检测子单元可以包括以下一种或多种:入侵检测类检测子单元、数据库审计类检测子单元、业务审计类检测子单元、流量审查类检测子单元、WAF类检测子单元。
例如,在一检测单元中设置第二虚拟交换机来实现流量的复制,复制一份业务流量用于向下一个检测单元传输,再复制一份用于本检测单元中的检测。可选地,还可以设置一第三虚拟交换机用于实现管理。该第二虚拟交换机连接检测单元的业务入口、业务出口以及检测功能接口(即检测子单元业务口),该第三虚拟交换机实现检测单元的第二管理口(与虚拟交换单元第一管理口相连)与检测子单元的第三管理口的逻辑连接,如图3所示。除了使用虚拟交换机实现连接外,还可以配置网桥实现互连。
可选地,在第二虚拟交换机可以配置流表完成如下功能:检测单元的业务入口流量复制至业务出口,以及业务入口流量根据检测单元类型完成相应的流量过滤并复制至检测子单元业务口。
一个可选实施例中,所述检测单元组中的检测单元复制所述业务流量用于本检测单元的检测,包括:所述检测单元组中的第二虚拟交换机将所述业务流量复制后进行过滤,仅保留本检测单元的检测对象。
一个可选实施例中,所述资源池中还可以包括管理单元,用于管理资源池内部各单元,包括但不限于通信交互、命令解析、日志记录等。
一个可选实施例中,所述资源池中还可以包括网络单元,用于组织和构建资源池内部网络互通,包括但不限于多机交互、网络隔离。所述网络单元还可用于将各检测单元的业务口连接至资源池宿主机虚拟交换机(第一虚拟交换机)中,通过检测链路将各检测单元与虚拟数据交换单元连接,构造无终点的串行流量检测链路。
由上述实施例描述可以看出,本发明实施例所述资源池系统可以包括管理单元、虚拟数据交换单元、检测单元和网络单元。所述资源池系统用于根据用户安全需求管理检测单元、虚拟数据交换单元以及进行宿主机虚拟交换机管理,所述宿主机虚拟交换机管理包括检测单元组网、检测链路管理、对外IP地址管理以及网络行为管理。资源池将各检测单元的业务入口连接至资源池宿主机虚拟交换机中,虚拟数据交换单元配置流表项将数据接收口收到的数据包转发至检测发送网口,部署检测链路,将各检测单元与虚拟数据交换单元连接,构造无终点的串行流量检测链路。
将云平台中的数据分用户引入外部安全资源池中虚拟数据交换单元,虚拟数据交换单元通过检测业务链将云平台用户流量发送至检测单元,然后检测单元内部将流量复制1份至检测子单元于检测,复制另一份至业务出口,从而转发至下一个检测单元,将本来需要在特定位置复制多份用于多个检测功能单元的方式转变为串行分发实现流量复制的方式,将原本单点复制的单点性能瓶颈转嫁至多个节点,降低系统崩溃风险,并且逐个复制的方式可以降低单点复制多份的性能损耗,提高系统整体性能。同时,将流量复制功能分散至各个检测单元,可以对流量进行细粒度的控制,每个检测单元根据所需流量特性的不同,进行流量过滤而不影响其他检测单元流量内容,检测检测能力单元收到数据后处理并实现安全检测能力,通过这样的方式实现多用户的安全资源隔离以及兼具安全资源的动态扩展性和高效的转发性能,从而总体实现兼备灵活性和性能。
应用实施例一
本实施例提供了一种云环境下的安全流量检测方法,该方法应用于云环境下的安全流量检测系统中,方法流程如图4所示,包括如下步骤:
S101,在云平台中分用户部署引流器,为每个业务虚拟端口配置镜像,并将用户业务流量引至云中用户对应的引流器;
在执行步骤101的过程中,以OpenStack平台为例,OpenStack平台中每个用户的业务虚拟机在底层通过虚拟交换机将虚拟端口与物理网卡桥接,本例中桥接网桥名为br-tun,预先为每个用户以虚拟机形式创建引流器,引流器需要配置云平台发包和管理的虚拟网卡和能够实现对外访问、收包的网卡与用户交换机处于同一区域,接着通过系统指令查询用户所有虚拟机的虚拟网卡名以及引流器收包虚拟网卡名,然后在br-tun网桥上配置端口镜像,将用户所有业务虚拟机对应的虚拟网卡流量复制至用户引流器。
S102,引流器以用户为单位发送待检测业务流量至资源池中用户虚拟数据交换单元;
在执行步骤S102的过程中,引流器保持与资源池中用户虚拟数据交换单元通信可达,使用流量封装发送方式将用户流量发送至检测资源池中虚拟数据交换单元,其中所述流量封装方式包括但不限于策略路由、GRE隧道、VPN隧道、Telnet、SSH。
S103,虚拟数据交换单元通过检测链路将业务流量逐个分发至不同的检测单元;
在执行步骤103的过程前,预先按用户需求在资源池中创建各个安全检测单元,在本例中,每个检测单元具有3个虚拟网口,包括业务入口、业务出口以及管理口,并以嵌套虚拟化形式部署检测子单元,检测子单元包括但不限于入侵检测类子单元、数据库审计类子单元、业务审计类子单元、流量审查类子单元、WAF类子单元。
虚拟数据交换单元分配3个端口,包括第一管理口M、流量接收网口R以及检测发送网口S,虚拟数据交换单元部署流表将流量接收网口收到的包转发至检测发送网口。
接着根据用户需求,预先创建用于流量检测的检测业务链,以图5为例,资源池中部署用户A的虚拟数据交换单元A、入侵检测单元A、业务审计单元A以及数据库审计单元A,虚拟数据交换单元A的业务链业务口、各检测单元的业务入口和业务出口均连接至资源池虚拟交换机中,其中入侵检测单元A、业务审计单元A和数据库审计单元的业务入口分别为1、3、5,业务出口分别为2、4、6。在本实施例中,创建检测链路构造虚拟交换机流表项如下:
in_port=Ra,action=output:1
in_port=2,action=output:3
in_port=4,action=output:5
在上述流表作用下,虚拟数据交换单元的检测发送网口发出的数据包直接转发至检测链路中第一个检测单元的业务入口,余下每一级检测单元的业务出口数据直接转发至下一级检测单元的业务入口,从而实现虚拟数据交换单元A从检测发送网口发出的数据包能够顺序经过入侵检测单元A、业务审计单元A和数据库审计单元A,实现流量的分发。
在本例中,仅以用户A及对应的虚拟数据交换网元和检测网元为例进行说明,云平台中的其他用户对应的其他虚拟数据交换网元和检测网元并未详细示出,
S104,检测单元对用户业务流量进行过滤、分发及检测;
本例中检测单元具有3个网口分别为业务入口、业务出口以及第二管理口,其中检测功能子单元(即检测子单元)以嵌套虚拟化的形式部署在检测单元中以实现检测能力,检测功能子单元具有2个网口分别为业务口和第三管理口,如图3所示。检测单元业务入口、检测单元业务出口与检测功能子单元业务口连接至第一虚拟交换机,而检测单元第二管理口与检测功能子单元第三管理口连接至第二虚拟交换机。
本实施例公开的基于资源池的云环境安全流量检测方法,在云平台中按用户部署引流器,将用户的每个业务虚拟机业务流量端口配置端口镜像至引流器业务中,用户引流器将用户所有业务流量封装发送至资源池中的虚拟数据交换单元,从而实现用户的区分与隔离。在资源池中根据用户需求部署检测单元,检测单元中部署检测功能单元,以实现检测单元收到的数据包流量能够通过过滤或非过滤机制发送至检测功能单元并同时复制至检测单元业务流量出口。接着,通过对虚拟交换机精心构造流表,自动部署检测链路,使虚拟数据交换单元获得的用户业务流量能够顺序通过检测链路中的各个检测单元,实现流量分发,并完成检测功能。通过这样的方式,将原本需要在数据交换单元单点进行的大量流量复制工作分散至各个检测单元内,以此降低虚拟数据交换单元单点的流表量以及流量复制与过滤工作,降低单点故障的风险,同时分散复制的方式能够提高整体流量复制、分发与过滤性能,降低完成检测时的网络延迟,并且能够对各个检测单元进行灵活管理与控制,提高整体的动态部署与迁移能力,实现一种兼顾性能和灵活性的云环境下安全流量检测方法。
应用实施例二
本实施例提供了一种基于资源池的云环境安全流量检测方法,方法流程如图6所示,包括如下步骤:
S201,云平台中分用户配置用户虚拟机虚拟端口为同一端口组,并将每个端口组配置混杂模式;
S202,创建引流器,将引流器收包口连接入该引流器对应的用户业务虚拟机端口组;
S102,引流器以用户为单位发送待检测业务流量至资源池中用户虚拟数据交换单元;
S103,虚拟数据交换单元将待检测业务流量通过检测链路串行分发至不同的检测单元;
S104,检测单元对用户业务流量进行过滤、分发及检测;
本实施例中,步骤S102~S104的执行过程与上述应用实施例的步骤S102~S104一致,在此不再赘述。
本发明实施例公开的一种基于资源池的云环境安全流量检测方法,在云平台中按用户的不同创建不同的虚拟机业务端口组并打开混杂模式,将引流器接入用户端口组中,以实现在以非端口镜像方式配置引流能力,从而完成云环境下的安全流量检测功能,通过检测业务链与嵌入虚拟化形式的检测单元,降低了虚拟交换单元单点故障的风险与流量复杂度和整体流量检测的网络时延,提高了检测单元的灵活性,细化了检测单元的管理粒度,总体实现了一种兼顾性能和灵活性的云环境下安全流量检测方法。
应用实施例三
结合上述各实施例公开的云环境下的安全流量检测方法,本实施例提供了一种执行上述云环境下的安全流量检测方法的云环境下的安全流量检测系统,其结构如图7所示,云环境下的安全流量检测系统300包括:引流模块301和资源池模块302(即上述资源池系统);
引流模块301,用于将收集到的用户业务流量以用户为单位封装发送至资源池模块中,引流模块以虚拟机的形式部署在云平台内部,要求与资源池逻辑可达;
资源池模块302,用于根据用户安全需求管理检测单元、虚拟数据交换单元以及宿主机虚拟交换机管理,所述宿主机虚拟交换机管理包括检测单元组网、VLAN隔离、对外IP地址管理、用户网络隔离以及网络行为管理。资源池模块302包括管理单元303、虚拟交换单元304、检测单元305和网络单元307,检测单元305还包括检测子单元306,其中:
管理单元303,用于管理资源池内部各其他单元,包括但不限于通信交互、命令下发与解析、日志记录等;
虚拟数据交换单元304,用于分用户将从引流模块301接收的流量转发至检测业务链,实现检测;
检测单元305,用于构造检测业务链,成为其中的链节点,实现检测功能,其中部署检测子单元306,具有3个网口分别为业务入口、业务出口以及第二管理口,其中检测子单元306以嵌套虚拟化的形式部署在检测单元中以实现检测能力,检测子单元具有2个网口分别为业务口和第三管理口。检测单元业务入口、检测单元业务出口与检测子单元业务口连接至同一个虚拟交换机,而检测单元管理口与检测子单元连接至另一个虚拟交换机。检测子单元包括但不限于入侵检测类子单元、数据库审计类子单元、业务审计类子单元、流量审查类子单元、WAF类子单元;
网络单元307,用于组织和构建资源池内部网络互通,包括但不限于多机交互、网络隔离等,并且用于管理检测业务链。虚拟数据交换单元的业务链业务口发出的数据包直接转发至检测业务链中第一个检测单元的业务入口,余下每一级检测单元的业务出口数据直接转发至下一级检测单元的业务入口,从而实现虚拟数据交换单元从业务链业务口发出的数据包能够顺序经过各检测单元,实现流量的分发。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (10)
1.一种云平台流量检测方法,其特征在于,所述方法包括:
以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至所述用户对应的检测单元组,所述检测单元组中的检测单元沿预先设置的检测链路串行复制传输并检测所述用户的业务流量,每个用户对应一个检测单元组,所述检测单元组中包含一个或多个检测单元,所述检测单元组中的检测单元构成所述检测链路。
2.根据权利要求1所述的方法,其特征在于,
所述以云平台中用户为单位接收任一用户的业务流量,包括:
由用户对应的虚拟数据交换单元接收云平台中所述用户对应的引流器发送的所述用户的业务流量,每个用户对应一个虚拟数据交换单元。
3.根据权利要求1或2所述的方法,其特征在于,
所述将所述用户的业务流量发送至所述用户对应的检测单元组,包括:
由所述用户对应的虚拟数据交换单元通过虚拟交换机将所述用户的业务流量发送至所述用户对应的检测单元组。
4.根据权利要求3所述的方法,其特征在于,
所述检测单元组中的检测单元沿预先设置的检测链路串行复制传输并检测所述用户的业务流量,包括:
所述检测链路上的首个检测单元接收到所述用户的业务流量后,将所述用户的业务流量复制后传输至所述检测链路上的下一个检测单元,同时复制所述业务流量用于本检测单元的检测,所述检测链路上的其他检测单元按照接收到所述业务流量的顺序依次进行复制传输及检测,直至所述检测链路上的最后一个检测单元;所述检测链路中的所有检测单元串行排布。
5.根据权利要求4所述的方法,其特征在于,
所述复制所述业务流量用于本检测单元的检测,包括:
将所述业务流量复制后进行过滤,仅保留本检测单元的检测对象。
6.一种云平台流量检测的资源池系统,其特征在于,所述系统包括一一对应的虚拟数据交换单元和检测单元组,其中:
所述虚拟数据交换单元,用于以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至所述用户对应的检测单元组;
所述检测单元组中的检测单元用于沿预先设置的检测链路串行复制传输并检测所述用户的业务流量;
其中,每个用户对应一个检测单元组,所述检测单元组中包含一个或多个检测单元,所述检测单元组中的检测单元构成所述检测链路。
7.根据权利要求6所述的资源池系统,其特征在于,
每个用户对应一个虚拟数据交换单元;
所述虚拟数据交换单元以云平台中用户为单位接收任一用户的业务流量,包括:所述虚拟数据交换单元接收云平台中用户对应的引流器发送的所述用户的业务流量。
8.根据权利要求6或7所述的资源池系统,其特征在于,
所述虚拟数据交换单元将所述用户的业务流量发送至所述用户对应的检测单元组,包括:所述虚拟数据交换单元通过第一虚拟交换机将所述用户的业务流量发送至所述用户对应的检测单元组。
9.根据权利要求8所述的资源池系统,其特征在于,其中,每个检测单元包括:
用于接收所述用户的业务流量复制后传输至所述检测链路上的下一个检测单元的第二虚拟交换机;以及
用于检测业务流量的检测子单元。
10.根据权利要求9所述的资源池系统,其特征在于,
所述第二虚拟交换机还用于将所述业务流量复制后进行过滤,仅保留本检测单元的检测对象。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910181718.8A CN109951353B (zh) | 2019-03-11 | 2019-03-11 | 一种云平台流量检测方法与资源池系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910181718.8A CN109951353B (zh) | 2019-03-11 | 2019-03-11 | 一种云平台流量检测方法与资源池系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109951353A true CN109951353A (zh) | 2019-06-28 |
CN109951353B CN109951353B (zh) | 2021-01-26 |
Family
ID=67009561
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910181718.8A Active CN109951353B (zh) | 2019-03-11 | 2019-03-11 | 一种云平台流量检测方法与资源池系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109951353B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112242925A (zh) * | 2020-09-30 | 2021-01-19 | 新华三信息安全技术有限公司 | 一种安全管理方法及设备 |
CN113765826A (zh) * | 2020-06-01 | 2021-12-07 | 中移(苏州)软件技术有限公司 | 一种网络监控方法、平台、装置和计算机可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
WO2015189519A1 (fr) * | 2014-06-11 | 2015-12-17 | Orange | Procédé de supervision de la sécurité d'une machine virtuelle dans une architecture d'informatique dans le nuage |
CN106101301A (zh) * | 2016-08-05 | 2016-11-09 | 汉柏科技有限公司 | 分布式虚拟dhcp服务提供系统和方法 |
CN106330602A (zh) * | 2016-08-22 | 2017-01-11 | 中国科学院信息工程研究所 | 一种云计算虚拟租户网络监控方法及系统 |
CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
-
2019
- 2019-03-11 CN CN201910181718.8A patent/CN109951353B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015189519A1 (fr) * | 2014-06-11 | 2015-12-17 | Orange | Procédé de supervision de la sécurité d'une machine virtuelle dans une architecture d'informatique dans le nuage |
CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
CN106101301A (zh) * | 2016-08-05 | 2016-11-09 | 汉柏科技有限公司 | 分布式虚拟dhcp服务提供系统和方法 |
CN106330602A (zh) * | 2016-08-22 | 2017-01-11 | 中国科学院信息工程研究所 | 一种云计算虚拟租户网络监控方法及系统 |
CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113765826A (zh) * | 2020-06-01 | 2021-12-07 | 中移(苏州)软件技术有限公司 | 一种网络监控方法、平台、装置和计算机可读存储介质 |
CN113765826B (zh) * | 2020-06-01 | 2024-05-28 | 中移(苏州)软件技术有限公司 | 一种网络监控方法、平台、装置和计算机可读存储介质 |
CN112242925A (zh) * | 2020-09-30 | 2021-01-19 | 新华三信息安全技术有限公司 | 一种安全管理方法及设备 |
CN112242925B (zh) * | 2020-09-30 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种安全管理方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN109951353B (zh) | 2021-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11683386B2 (en) | Systems and methods for protecting an identity in network communications | |
Wang et al. | A survey on data center networking for cloud computing | |
CN100583811C (zh) | 虚拟网络设备 | |
CN109981613A (zh) | 一种用于云环境的流量检测方法与资源池系统 | |
CN108471397B (zh) | 防火墙配置、报文发送方法和装置 | |
US11470001B2 (en) | Multi-account gateway | |
CN103548327B (zh) | 用于在分布式虚拟交换机上提供位置无关的动态端口镜像的方法 | |
CN102055667B (zh) | 用于实现网络规则的方法和设备 | |
US8416709B1 (en) | Network data transmission analysis management | |
CN102571554B (zh) | 在分布式控制平面上传送转发状态的方法和装置 | |
CN114077478A (zh) | 管理虚拟化环境中的网络端口 | |
US10445124B2 (en) | Managing virtual computing nodes using isolation and migration techniques | |
EP3677009A1 (en) | Unified security policies across virtual private clouds with overlapping ip address blocks | |
US11979384B2 (en) | Dynamic proxy response from application container | |
CN107948086A (zh) | 一种数据包发送方法、装置及混合云网络系统 | |
EP1309130A1 (fr) | Reseau de communication de type ethernet full duplex commute et procede de mise en oeuvre de celui-ci | |
US8295202B2 (en) | Dynamic connectivity determination | |
ES2846757T3 (es) | Método y sistema para la interconexión de sitios a través de una red de transporte | |
CN1988528A (zh) | 动态服务刀片和方法 | |
CN105812222A (zh) | 基于虚拟机和容器的多租户虚拟网络及实现方法 | |
CN109951353A (zh) | 一种云平台流量检测方法与资源池系统 | |
CN108521397B (zh) | 一种访问资源服务的方法及系统 | |
CN111711536A (zh) | 一种云架构下防火墙测试环境构建方法 | |
CN117997734A (zh) | 一种针对多资源池网络的管理方法及系统 | |
CN109787938A (zh) | 实现访问虚拟私有云的方法、装置及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |