CN109981613A - 一种用于云环境的流量检测方法与资源池系统 - Google Patents
一种用于云环境的流量检测方法与资源池系统 Download PDFInfo
- Publication number
- CN109981613A CN109981613A CN201910181717.3A CN201910181717A CN109981613A CN 109981613 A CN109981613 A CN 109981613A CN 201910181717 A CN201910181717 A CN 201910181717A CN 109981613 A CN109981613 A CN 109981613A
- Authority
- CN
- China
- Prior art keywords
- user
- isolated area
- service traffics
- virtual
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明实施例公开了一种用于云环境的流量检测方法与资源池系统,所述方法包括:以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区,每个隔离区中包含一个或多个检测单元,每个隔离区通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元,每个检测单元对接收到的业务流量进行检测。本发明实施例能够实现多用户的安全资源隔离和高效的转发性能,从而实现灵活性和性能的兼备。
Description
技术领域
本发明涉及计算机信息安全领域,尤指一种用于云环境的流量检测方法与资源池系统。
背景技术
随着计算机通信和信息技术的高速发展,云计算逐渐成为各类行业和业务的主流部署方式,然而业务上云以后不但会将传统安全问题放大,还会带来新的安全风险。
面对这些问题,主流厂商的做法是以旁挂的方式将虚拟安全网元部署在外部安全资源池中,并在云内引流至外部资源池,实现虚拟化功能。例如有的现有技术方案是将物理资源虚拟化为应用层和业务层提供系统环境服务;还有的现有技术方案是提供基于软件定义网络(Software Defined Network,SDN)的安全资源池保证云环境中的安全性。这类方法和技术均是通过物理资源的虚拟化,构建资源池,然后将流量引入资源池内实现相关的功能,如监控、安全检测等,并没有考虑对于流量实现安全检测时系统的消耗、引流表项规模、资源动态灵活性等问题。
当流量引入资源池中后,为了对流量进行检测,需要对流量进行分流处理。对于检测类产品主要使用两种方式进行分流处理,其一是通过硬件SDN交换机配合网卡直通技术实现流量编排,以此提高硬件处理性能,然而这种方式对于云平台有多个用户网络时难以处理,需要编写复杂的流表,资源消耗大,同时这种绑定网卡的技术难以进行资源池内部的网元分配,无法保证动态灵活性。另一种方式则是在资源池内部设计虚拟分流器,分流器通过流量复制实现检测类产品流量的复用,然而当云平台有多个用户网络时,流量较大,虚拟分流器需要复制多份,无法保证性能。
综上,现有的针对云平台的流量检测类方法主要存在以下弊端:无法兼备灵活性和性能,同时基于资源池的安全系统结构复杂,资源消耗大,并且难以维护。
发明内容
本发明实施例提供了一种用于云环境的流量检测方法与资源池系统,兼顾灵活性与性能。
一方面,本发明实施例提供了一种用于云环境的流量检测方法,所述方法包括:
以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区,每个隔离区中包含一个或多个检测单元,每个隔离区通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元,每个检测单元对接收到的业务流量进行检测。
可选地,所述以云平台中用户为单位接收任一用户的业务流量,包括:
由用户对应的虚拟数据交换单元接收云平台中所述用户对应的引流器发送的所述用户的业务流量,每个用户对应一个虚拟数据交换单元。
可选地,所述将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区,包括:
预先为所述用户设置一个或多个隔离区,每个隔离区包含的检测单元,以及每个隔离区的标识,同一隔离区中的所有检测单元的检测对象相同;
由所述用户对应的虚拟数据交换单元通过虚拟交换机将用户的业务流量发送至为所述用户预设的隔离区,所述虚拟数据交换单元根据隔离区中的检测单元的检测对象决定将所述用户的哪些业务流量发送给所述隔离区。
可选地,所述每个隔离区通过泛洪将所述用户的业务流量发送至本隔离区中的每个检测单元,包括:
所述虚拟数据交换单元向为用户预设的隔离区发送所述用户的业务流量时,将业务流量的目的地址修改为虚假地址,并添加目的隔离区的隔离区标识;
接收到业务流量的隔离区在本隔离区区域内泛洪接收到的业务流量,以将所述用户的业务流量复制分发至本隔离区中的每个检测单元。
可选地,所述隔离区采用虚拟局域网VLAN或可扩展虚拟局域网VxLAN或虚拟专用网VPN实现。
另一方面,本发明实施例提供了一种用于云环境流量检测的资源池系统,所述系统包括虚拟数据交换单元和与所述虚拟交换单元对应的一个或多个隔离区,每个隔离区中包含一个或多个检测单元,其中:
所述虚拟数据交换单元,用于以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区;
所述隔离区,用于通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元,每个检测单元对接收到的业务流量进行检测。
可选地,每个用户对应一个虚拟数据交换单元;
所述虚拟数据交换单元以云平台中用户为单位接收任一用户的业务流量,包括:所述虚拟数据交换单元接收云平台中用户对应的引流器发送的所述用户的业务流量。
可选地,同一隔离区中的所有检测单元的检测对象相同;所述虚拟数据交换单元将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区,包括:所述虚拟数据交换单元通过虚拟交换机将用户的业务流量发送至为所述用户预设的隔离区,所述虚拟数据交换单元根据隔离区中的检测单元的检测对象决定将所述用户的哪些业务流量发送给所述隔离区。
可选地,所述虚拟数据交换单元,还用于在向为用户预设的隔离区发送所述用户的业务流量时,将业务流量的目的地址修改为虚假地址,并添加目的隔离区的隔离区标识;
所述隔离区,用于接收业务流量,并在本隔离区区域内泛洪接收到的业务流量,以将所述用户的业务流量复制分发至本隔离区中的每个检测单元。
可选地,所述隔离区采用虚拟局域网VLAN或可扩展虚拟局域网VxLAN或虚拟专用网VPN实现。
本发明实施例通过将云平台中的数据分用户引入外部安全资源池中的虚拟数据交换单元,由虚拟数据交换单元先发送至隔离区,隔离区内通过泛洪机制复制分发至隔离区内的所有检测单元,通过此双层流量分发的方式进行检测类流量分发,检测单元收到业务流量后进行相应的安全检测,可以实现多用户的安全资源隔离以及高效的转发性能,从而实现灵活性和性能的兼备。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例用于云环境的流量检测方法流程图;
图2为本发明实施例资源池系统结构示意图;
图3为本发明应用实施例一的云环境安全流量检测方法流程图;
图4为本发明应用实施例一基于资源池的云环境安全流量检测系统示意图;
图5为本发明应用实施例二云环境下的安全流量检测方法流程图;
图6为本发明应用实施例三云环境下的安全流量检测系统示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提供一种用于云环境的流量检测方法,如图1所示,所述方法包括:
步骤1,以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区;
本实施例方法由资源池系统(以下简称为资源池)执行。所述资源池设置在云平台的外部,可以通过在云平台设置的引流器实现将业务流量引流至资源池。可以在云平台中为每个用户设置一个引流器,专门用于将该用户的业务流量封装后发送至资源池。流量封装发送方式包括但不限于以下之一:策略路由、GRE(通用路由协议封装)隧道、VPN(虚拟专用网络)隧道、Telnet(远程终端协议)和SSH(安全外壳协议)。可选地,可采用虚拟机形式创建引流器,通过专用的引流器可以分用户的发送用户的业务流量,发送方式包括但不限于端口镜像、端口组混杂模式等。例如可以将用户的虚拟机端口配置为端口镜像模式,将用户的业务流量镜像至该用户的引流器。云平台中的用户包括使用云平台服务的用户。用户的引流器上可配置:用于发送数据包到资源池中的第一网卡,用于接收用户流量的第二网卡。可选的,该引流器还可配置一用于管理引流器的第三网卡。
可选地,可以通过在资源池中为每个用户以虚拟机形式创建的数据交换单元(以下称为虚拟数据交换单元)接收云平台中用户对应的引流器发送的业务流量,再由该虚拟数据交换单元将该用户的业务流量发送至该用户对应的隔离区。所述虚拟数据交换单元为通过虚拟化技术实现的用于进行数据交换的节点单元,以虚拟机形式存在。为使虚拟数据交换单元能够收到引流器发送的业务流量,配置虚拟数据交换单元的地址为引流器可达的IP地址。每个用户对应一个虚拟数据交换单元,即每个用户有一个用于转发该用户业务流量的虚拟数据交换网元。
可见,用户与引流器一一对应,每个引流器对应一个虚拟数据交换单元。
所述隔离区是按照流量需求划分的相互隔离的网络区域,将检测单元按照全流量和流量过滤类划分至不同的隔离区,可以采用虚拟局域网(VLAN)或可扩展虚拟局域网(VxLAN)或虚拟专用网(VPN)等实现网络隔离,即每个隔离区是一个VLAN或者一个VxLAN或者一个VPN。每个隔离区中包含一个或多个检测单元,检测对象相同的检测单元被划分到同一个隔离区,检测对象相同是指各检测单元检测的业务流量相同,不同隔离区接收到的业务流量不同。由虚拟数据交换单元根据各隔离区的流量需求进行流量过滤和复制,并将复制的流量分别发送至相应的隔离区,实现虚拟数据交换单元的第一层分流。
在资源池中每一用户对应一个或多个隔离区(本文所述多个是指两个以上),即该一个或多个隔离区专用于检测该用户的流量。例如用户A有两个隔离区,其中第一隔离区中的所有检测单元的检测对象均为用户A的所有业务流量,第二隔离区中的所有检测单元的检测对象均为用户A的特定部分业务流量。则虚拟数据交换单元接收到引流器发送的用户A的所有业务流量后,复制所有业务流量发送至第一隔离区,复制所有业务流量中的特定部分业务流量发送至第二隔离区。
不排除检测内容相同的用户在允许的情况下共用同一隔离区。例如两用户检测内容相同,但检测时间不冲突,则可以共用一组隔离区(包括一个或多个隔离区)。即一组隔离区可以对应多个用户,但一个用户只对应一组隔离区。共用一组隔离区的用户也可以共用一个虚拟数据交换单元。此时,一个引流器对应一个虚拟数据交换单元,但一个虚拟交换单元可能对应多个引流器。
一隔离区中包含有一个或两个以上的检测单元,每个检测单元用于至少一个项目的检测。检测单元的种类以及个数根据用户的安全需求创建。
步骤2,每个隔离区通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元,每个检测单元对接收到的业务流量进行检测。
每个隔离区,如VLAN收到虚拟数据交换单元发送的业务流量后,通过泛洪(或者广播)将接收到的业务流量复制分发给本区域内的所有检测单元,以使各检测单元对接收到的业务流量进行检测。实现虚拟机宿主机上的第二层分流。
以VLAN为隔离区为例,例如,可以由虚拟数据交换网元在向VLAN发送业务流量时,将目的地址修改为虚假地址,并添加目的VLAN的VLAN标识。由于目的地址为虚假地址,因此VLAN在收到业务流量后,通过数据交换泛洪机制(或广播机制),用户的业务流量在宿主机虚拟交换机上被自动复制分发至该隔离区内的所有检测网元。所述虚假地址即资源池中不存在的MAC地址,为方便使用,例如可以使用00:00:00:00:00:00。除上述修改MAC地址的方式外,还可以通过虚拟交换机流表进行流量复制和转发。以VxLAN或VPN为隔离区时,可以参考上述方法实现流量的复制分发。在本申请中,通过修改目的地址为虚假地址的方式触发泛洪机制,将原本用于寻找正确流量路径的泛洪机制用于实现隔离区内流量的复制分发,进而实现云环境下流量的高效转发。
本发明实施例将云平台中的数据分用户引入外部安全资源池中的虚拟数据交换单元,由虚拟数据交换单元先发送至隔离区,隔离区内通过泛洪机制复制分发至隔离区内的所有检测单元,通过此双层流量分发的方式进行检测类流量分发,检测单元收到业务流量后进行相应的安全检测,可以实现多用户的安全资源隔离以及高效的转发性能,从而兼备灵活性和性能。另外,当CPU或内存等不够时,还可以动态添加硬件资源,具有动态扩展性。
此外,本实施例方案还具有良好的灵活性和扩展性,当用户需要增加检测项目或者减少检测项目时,只需在资源池隔离区中添加或减少相应的检测单元即可。
在一个可选实施例中,由虚拟数据交换单元通过虚拟交换机(OpenvSwitch,OVS)将业务流量发送至用户对应的隔离区。具体地,通过虚拟交换机流表构造流量转发规则与通路,将所述用户的业务流量发送至所述用户对应的隔离区。
在一个可选实施例中,所述将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区,可以采用以下方式:
预先为所述用户设置一个或多个隔离区,每个隔离区包含的检测单元,以及每个隔离区的标识,同一隔离区中的所有检测单元的检测对象相同;
由所述用户对应的虚拟数据交换单元通过虚拟交换机将用户的业务流量发送至为所述用户预设的隔离区,所述虚拟数据交换单元根据隔离区中的检测单元的检测对象决定将所述用户的哪些业务流量发送给所述隔离区。
在一个可选实施例中,所述虚拟数据交换单元向为用户预设的隔离区发送所述用户的业务流量时(即上一可选实施例中“虚拟数据交换单元通过虚拟交换机将用户的业务流量发送至为所述用户预设的隔离区”的步骤中),将业务流量的目的地址修改为虚假地址,并添加目的隔离区的隔离区标识;
接收到业务流量的隔离区在本隔离区区域内泛洪接收到的业务流量,以将所述用户的业务流量复制分发至本隔离区中的每个检测单元,使本隔离区区域内的所有检测单元接收到所述业务流量。在本例中,通过泛洪机制实现流量的复制分发,提高转发效率。
可选地,所述隔离区中包括但不限于以下检测单元的一种或多种:入侵检测类检测单元、数据库审计类检测单元、业务审计类检测单元、流量审查类检测单元、web应用防火墙(WAF)类检测单元。
隔离区可以动态增加、删除、修改检测单元,而不产生业务影响,每个检测单元可以进行不同需求的流量过滤,满足不同的检测需求。另外还可以动态扩展资源池硬件资源等,提高系统的灵活性。
本实施例提供一种实现上述实施例方法的用于云环境流量检测的资源池系统,如图2所示,所述系统包括虚拟数据交换单元和与所述虚拟数据交换单元对应的一个或多个隔离区,每个隔离区中包含一个或多个检测单元,其中:
所述虚拟数据交换单元,用于以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至为所述用户预设的一个或个多个隔离区;
所述隔离区,用于通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元,每个检测单元对接收到的业务流量进行检测。
可选地,每个用户对应一个虚拟数据交换单元;所述虚拟数据交换单元接收云平台中用户对应的引流器发送的所述用户的业务流量。
虚拟数据交换单元至少包括2个网口:流量接收网口(或称引流入口)和检测发送网口。其中,流量接收网口用于接收引流器发送的业务流量,检测发送网口用于连接用户对应的隔离区,以将业务流量发送至用户对应的隔离区。每个检测发送网口连接一个隔离区,如果有两个隔离区,则虚拟数据交换单元共有3个网口(1个流量接收网口和2个检测发送网口)。可选地,虚拟数据交换单元还可包括第一管理网口,用于与资源池系统内的其他单元进行通信交互、命令解析以及实现日志记录和查看等。虚拟数据交换单元可通过配置流表项以将流量接收网口收到的数据包形式的业务流量转发至检测发送网口,除流表外,还可以用IP信息包过滤系统(如IPTABLES)配置转发策略实现将流量接收网口收到的业务流量转发至检测发送网口。
可选地,每个检测单元至少包括业务入口,其用于接收业务流量。可选地,所述检测单元还可以包括第二管理口,用于进行检测策略的配置等。
可选地,所述虚拟数据交换单元通过虚拟交换机将所述用户的业务流量发送至所述用户对应的一个或多个隔离区。例如,可以将各检测单元的业务入口连接至资源池宿主机的虚拟交换机中。
在一个可选实施例中,隔离区采用VLAN或VxLAN或VPN实现,同一隔离区中的所有检测单元的检测对象相同。例如,根据用户的安全检测需求确定用户的待检测内容即需要哪些检测单元后,即可根据确定的检测单元的检测对象是否相同划分隔离区,将检测对象相同的检测单元划分到同一个隔离区中。所述虚拟数据交换单元通过虚拟交换机将用户的业务流量发送至为所述用户预设的隔离区,所述虚拟数据交换单元根据隔离区中的检测单元的检测对象决定将所述用户的哪些业务流量发送给所述隔离区。
所述检测单元可以包括以下一种或多种:入侵检测类检测单元、数据库审计类检测单元、业务审计类检测单元、流量审查类检测单元、WAF类检测单元。
一个可选实施例中,所述虚拟数据交换单元,还用于在向为用户预设的隔离区发送所述用户的业务流量时,将业务流量的目的地址修改为虚假地址,并添加目的隔离区的隔离区标识;
所述隔离区,用于接收业务流量,并在本隔离区区域内泛洪接收到的业务流量,以将所述用户的业务流量复制分发至本隔离区中的每个检测单元,使本隔离区区域内的所有检测单元接收到所述业务流量。
一个可选实施例中,所述资源池中还可以包括管理单元,用于管理资源池内部各单元,包括但不限于通信交互、命令解析、日志记录等。
一个可选实施例中,所述资源池中还可以包括网络单元,用于组织和构建资源池内部网络互通,包括但不限于多机交互、网络隔离。所述网络单元还可用于将各检测单元的业务口连接至资源池宿主机虚拟交换机中。
由上述实施例描述可以看出,本发明实施例所述资源池系统可以包括管理单元、虚拟数据交换单元、检测单元和网络单元。所述资源池系统用于根据用户安全需求管理检测单元、虚拟数据交换单元以及进行宿主机虚拟交换机管理,所述宿主机虚拟交换机管理包括但不限于检测单元组网、隔离区管理、对外IP地址管理以及网络行为管理等。
将云平台中的数据分用户引入外部安全资源池中虚拟数据交换单元,虚拟数据交换单元通过双层流量分发方式进行检测类流量分发,检测单元收到数据后处理并实现安全检测能力,通过这样的方式实现多用户的安全资源隔离以及兼具安全资源的动态扩展性和高效的转发性能。
具体地,双层流量分发方式首先在安全资源池按安全需求区分流量分类从而进行不同的过滤规则,在虚拟交换单元中实现1层转发,将不同类型的流量过滤数据分发至互相隔离的用户隔离区,在隔离区中,通过宿主机上的虚拟交换机上网络泛洪机制,实现2层数据分流,将各个检测单元所需流量复制分发至检测单元,从而以虚拟数据交换单元的引流和1层分发的方式实现用户数据的隔离和引流能力的可漂移及动态性,以宿主机虚拟交换机隔离网络的区域泛洪实现安全检测单元的最终流量复制及分发,降低了单个虚拟交换机的流表规模,并且将虚拟化资源中的流量分发转嫁至物理主机实现,提高流量处理性能,总体实现兼备灵活性和性能的针对云环境的流量检测类方法和系统。
应用实施例一
本发明实施例提供了一种云环境下的安全流量检测方法,该方法应用于云环境下的安全流量检测系统中,方法流程图如图3所示,包括如下步骤:
S101,在云平台中分用户部署引流器,为每个业务虚拟端口配置镜像,并将用户业务流量引至云中用户对应的引流器;
在执行步骤101的过程中,以OpenStack平台为例,OpenStack平台中每个用户的业务虚拟机在底层通过虚拟交换机(OpenvSwitch,以下简称OVS)将虚拟端口与物理网卡桥接,本例中桥接网桥名为br-tun,预先为每个用户以虚拟机形式创建引流器,引流器需要配置云平台发包和管理的虚拟网卡和能够实现对外访问、收包的网卡与用户交换机处于同一区域,接着通过系统指令查询用户所有虚拟机的虚拟网卡名以及引流器收包虚拟网卡名,然后在br-tun网桥上配置端口镜像,将用户所有业务虚拟机对应的虚拟网卡流量复制至用户引流虚拟机。
S102,引流器以用户为单位发送待检测业务流量至资源池中用户虚拟数据交换单元;
在执行步骤S102的过程中,引流器保持与资源池中用户虚拟交换单元通信可达,使用流量封装发送方式将用户流量发送至检测资源池中该用户对应的虚拟数据交换单元,其中所述流量封装方式包括但不限于策略路由、GRE隧道、VPN隧道、Telnet、SSH。
S103,虚拟数据交换单元通过双层分流方式将流量分发至不同的检测单元;
本实施例中用VLAN实现网络隔离,用VxLAN和VPN实现可参照执行。在执行步骤103的过程前,预先按用户需求在资源池中创建各个安全检测单元,包括但不限于入侵检测类单元、数据库审计类单元、业务审计类单元、流量审查类单元、WAF类单元,本实施例中为用户创建入侵检测单元、业务审计单元和数据库审计单元,其中入侵检测单元和业务审计单元连入VLAN id为10的网络区域,即第一隔离区,数据库审计单元连入VLAN id为20的网络区域,即第二隔离区,整体的网络结构如图4所示。本例中仅以用户A在资源池中的流量检测为例进行说明,故图4资源池中仅示出用户A对应的虚拟数据交换单元和隔离区,其他用户的虚拟数据交换单元和隔离区未示出。其他用户的虚拟数据交换单元和隔离区也可通过OVS实现流量传输。
预先创建虚拟数据交换单元,在本实施例中,虚拟数据交换网元分配4个虚拟网卡,分别用于管理网元、接收流量、全流量检测、数据库流量检测,对应4个端口,包括管理口M、流量接收网口R以及全流量检测发送网口S1和数据库流量检测发送网口S2。其中全流量检测网口接连VLAN id为10的第一隔离区,而数据库流量检测网口连接VLAN id为20的第二隔离区。虚拟数据交换单元可部署流表将流量接收网口收到的包转发至两个检测发送网口。
虚拟数据交换单元将从用户引流器收到的用户业务流量分发至检测发送网口,将其中一份流量数据修改MAC地址为资源池中不存在的MAC地址,本例中使用00:00:00:00:00:00,然后复制至全流量检测网口,另一份过滤出数据库流量并修改MAC地址为00:00:00:00:00:00后复制至数据库流量检测网口,从而实现1层虚拟交换网元中的流量分发。
将从全流量网口发出的流量打上VLAN标签10,将从数据库流量检测网口发出的流量打上VLAN标签20,并将其发送至宿主机OVS本地端口,OVS根据区域泛洪机制,将流量广播至本网络区域内的所有单元,在本实施例中,全流量在VLAN标签为10的区域中广播至入侵检测单元和业务审计单元,而数据库过滤流量在VLAN标签为20的区域中广播至数据库审计单元,从而实现2层宿主机中的流量复制分发。
S104,检测单元对用户业务流量进行安全流量检测,实现安全检测能力;
本发明实施例公开的云环境下的安全流量检测方法,在云平台中分用户部署引流器,将用户的每个业务虚拟机业务端口均配置端口镜像将业务流量发送至用户引流器,引流器再将流量封装发送至资源池中的虚拟数据交换单元,以这样的方式实现多用户的区分与隔离。在资源池中分用户分检测单元类型部署隔离的网络区域,将每个用户的不同类型的检测单元业务虚拟网卡部署在相应的互相隔离的网络区域中,之后在虚拟交换单元中将收到的流量按需求进行过滤分发,并修改目的MAC地址为不存在的地址,从而实现1层流量分发,以这样的方式保证了资源池资源的动态性和可迁移性。分发至宿主机不同网络区域的流量,由于不存在交换表,利用泛洪机制分发至相应区域的检测单元,从而实现双层流量分发,以这样的方式将原本在虚拟交换网元复制多份流量的功能迁移至性能更高的宿主机虚拟交换机中,保障了转发的性能,并降低了各级的流表复杂度,总体实现一种兼顾性能和灵活性的云环境下安全流量检测方法。
应用实施例二
基于上述应用实例一公开的云环境下的安全流量检测方法,本实施例二还公开了一种云环境下的安全流量检测方法与系统,方法流程如图5所示,包括如下步骤:
S201,云平台中分用户配置用户虚拟机虚拟端口为同一端口组,并将每个端口组配置混杂模式;
S202,创建引流器,将引流器收包口连接入用户业务虚拟机端口组区域;
本例中在步骤S202中创建引流器,在其他实例中,也可以预先创建引流器。
S102,引流器以用户为单位发送待检测业务流量至资源池中用户虚拟数据交换单元;
S103,虚拟数据交换单元通过双层分流方式将流量分发至不同的检测单元;
S104,检测单元对用户业务流量进行安全流量检测,实现安全检测能力。
本实施例方法中,步骤S102~S104的执行过程与上述实施例一公开的步骤S102~S104—致,在此不再赘述。
本发明实施例公开的云环境下的安全流量检测方法,在云平台中分用户创建用户虚拟机业务端口组,端口组打开混杂模式,将引流器中的业务流量接收口接入用户虚拟机端口组中,以此实现再不能配置端口镜像的云平台中的引流方式,从而实现云环境下的安全流量检测方法,通过双层流量分发模式,保障了转发的性能,并降低了各级的流表复杂度,总体实现一种兼顾性能和灵活性的云环境下安全流量检测方法。
应用实施例三
结合上述各实施例公开的云环境下的安全流量检测方法,本实施例则对应公开执行上述云环境下的安全流量检测方法的云环境下的安全流量检测系统,其结构示意图如图6所示,云环境下的安全流量检测系统300包括:引流模块301和资源池模块302(即上述资源池系统);
引流模块301,用于将收集到的用户业务流量以用户为单位封装发送至资源池模块中,引流模块以虚拟机的形式部署在云平台内部,要求与资源池逻辑可达;
资源池模块302,用于根据用户安全需求管理检测单元、虚拟数据交换单元以及宿主机虚拟交换机,所述宿主机虚拟交换机管理包括检测单元组网、VLAN隔离、对外IP地址管理、用户网络隔离以及网络行为管理。资源池模块302包括管理单元303(可选)、虚拟数据交换单元304、检测单元305和网络单元306(可选);
管理单元303,用于管理资源池内部各其它单元,包括但不限于通信交互、命令下发与解析、日志记录等;
虚拟数据交换单元304,用于根据用户安全检测需求,将流量按需过滤和复制,并修改流量数据包目的MAC地址为虚假地址,添加不同区域的VLAN标记,分发至连接至不同的具有不同流量需求的隔离区,实现虚拟数据交换网元中1层分流,1层分流后的流量转发至资源池宿主机的隔离区时,由于目的MAC地址为虚假地址,通过数据交换泛洪机制,用户业务流量在宿主机虚拟交换机上被自动复制分发至连接在该隔离区的所有检测单元,实现宿主机虚拟交换机上的2层分流;
检测单元305,用于接收分流后的用户业务数据并实现安全检测能力,所述检测单元类型包括但不限于入侵检测类单元、数据库审计类单元、业务审计类单元、流量审查类单元、WAF类单元;
网络单元306,用于组织和构建资源池内部网络互通,包括但不限于多机交互、网络隔离等。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (10)
1.一种用于云环境的流量检测方法,其特征在于,所述方法包括:
以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区,每个隔离区中包含一个或多个检测单元,每个隔离区通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元,每个检测单元对接收到的业务流量进行检测。
2.根据权利要求1所述的方法,其特征在于,
所述以云平台中用户为单位接收任一用户的业务流量,包括:
由用户对应的虚拟数据交换单元接收云平台中所述用户对应的引流器发送的所述用户的业务流量,每个用户对应一个虚拟数据交换单元。
3.根据权利要求1所述的方法,其特征在于,
所述将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区,包括:
预先为所述用户设置一个或多个隔离区,每个隔离区包含的检测单元,以及每个隔离区的标识,同一隔离区中的所有检测单元的检测对象相同;
由所述用户对应的虚拟数据交换单元通过虚拟交换机将用户的业务流量发送至为所述用户预设的隔离区,所述虚拟数据交换单元根据隔离区中的检测单元的检测对象决定将所述用户的哪些业务流量发送给所述隔离区。
4.根据权利要求3所述的方法,其特征在于,
所述每个隔离区通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元,包括:
所述虚拟数据交换单元向为用户预设的隔离区发送所述用户的业务流量时,将业务流量的目的地址修改为虚假地址,并添加目的隔离区的隔离区标识;
接收到业务流量的隔离区在本隔离区区域内泛洪接收到的业务流量,以将所述用户的业务流量复制分发至本隔离区中的每个检测单元。
5.根据权利要求1-4中任一项所述的方法,其特征在于,
所述隔离区采用虚拟局域网VLAN或可扩展虚拟局域网VxLAN或虚拟专用网VPN实现。
6.一种用于云环境流量检测的资源池系统,其特征在于,所述系统包括虚拟数据交换单元和与所述虚拟交换单元对应的一个或多个隔离区,每个隔离区中包含一个或多个检测单元,其中:
所述虚拟数据交换单元,用于以云平台中用户为单位接收任一用户的业务流量,将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区;
所述隔离区,用于通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元,每个检测单元对接收到的业务流量进行检测。
7.根据权利要求6所述的资源池系统,其特征在于,
每个用户对应一个虚拟数据交换单元;
所述虚拟数据交换单元以云平台中用户为单位接收任一用户的业务流量,包括:所述虚拟数据交换单元接收云平台中用户对应的引流器发送的所述用户的业务流量。
8.根据权利要求6所述的资源池系统,其特征在于,
同一隔离区中的所有检测单元的检测对象相同;
所述虚拟数据交换单元将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区,包括:所述虚拟数据交换单元通过虚拟交换机将用户的业务流量发送至为所述用户预设的隔离区,所述虚拟数据交换单元根据隔离区中的检测单元的检测对象决定将所述用户的哪些业务流量发送给所述隔离区。
9.根据权利要求8所述的资源池系统,其特征在于,
所述虚拟数据交换单元,还用于在向为用户预设的隔离区发送所述用户的业务流量时,将业务流量的目的地址修改为虚假地址,并添加目的隔离区的隔离区标识;
所述隔离区,用于接收业务流量,并在本隔离区区域内泛洪接收到的业务流量,以将所述用户的业务流量复制分发至本隔离区中的每个检测单元。
10.根据权利要求6-9中任一项所述的资源池系统,其特征在于,
所述隔离区采用虚拟局域网VLAN或可扩展虚拟局域网VxLAN或虚拟专用网VPN实现。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910181717.3A CN109981613B (zh) | 2019-03-11 | 2019-03-11 | 一种用于云环境的流量检测方法与资源池系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910181717.3A CN109981613B (zh) | 2019-03-11 | 2019-03-11 | 一种用于云环境的流量检测方法与资源池系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109981613A true CN109981613A (zh) | 2019-07-05 |
CN109981613B CN109981613B (zh) | 2021-10-22 |
Family
ID=67078555
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910181717.3A Active CN109981613B (zh) | 2019-03-11 | 2019-03-11 | 一种用于云环境的流量检测方法与资源池系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109981613B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112311737A (zh) * | 2019-07-31 | 2021-02-02 | 中兴通讯股份有限公司 | 一种流量隔离方法、装置及设备、存储介质 |
CN113542051A (zh) * | 2021-05-27 | 2021-10-22 | 贵州电网有限责任公司 | 一种基于软件定义网络的监控流量负载均衡方法 |
CN113660248A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 业务流量隔离方法、系统、可读存储介质及装置 |
CN114124836A (zh) * | 2022-01-25 | 2022-03-01 | 北京天维信通科技有限公司 | 基于uCPE内置清洗软件的流量清洗系统和清洗方法 |
CN114157458A (zh) * | 2021-11-18 | 2022-03-08 | 深圳依时货拉拉科技有限公司 | 用于混合云环境中的流量检测方法、装置、设备和介质 |
WO2023004992A1 (zh) * | 2021-07-27 | 2023-02-02 | 苏州浪潮智能科技有限公司 | Open Stack租户网络的流量监控方法、装置 |
CN117499318A (zh) * | 2024-01-02 | 2024-02-02 | 中移(苏州)软件技术有限公司 | 云计算虚拟网络系统、及其使用方法、装置、设备及介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
US20160337226A1 (en) * | 2015-05-13 | 2016-11-17 | Vmware, Inc. | Method and system that analyzes operational characteristics of multi-tier applications |
CN107018058A (zh) * | 2017-03-30 | 2017-08-04 | 国家计算机网络与信息安全管理中心 | 一种云环境下共用vlan和vxlan通信的方法及系统 |
CN107070862A (zh) * | 2016-12-28 | 2017-08-18 | 上海优刻得信息科技有限公司 | 网关的数据分流方法、数据分流装置以及网关系统 |
CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
CN108173694A (zh) * | 2017-12-29 | 2018-06-15 | 深信服科技股份有限公司 | 一种数据中心的安全资源池接入方法及系统 |
-
2019
- 2019-03-11 CN CN201910181717.3A patent/CN109981613B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
US20160337226A1 (en) * | 2015-05-13 | 2016-11-17 | Vmware, Inc. | Method and system that analyzes operational characteristics of multi-tier applications |
CN107070862A (zh) * | 2016-12-28 | 2017-08-18 | 上海优刻得信息科技有限公司 | 网关的数据分流方法、数据分流装置以及网关系统 |
CN107018058A (zh) * | 2017-03-30 | 2017-08-04 | 国家计算机网络与信息安全管理中心 | 一种云环境下共用vlan和vxlan通信的方法及系统 |
CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
CN108173694A (zh) * | 2017-12-29 | 2018-06-15 | 深信服科技股份有限公司 | 一种数据中心的安全资源池接入方法及系统 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112311737A (zh) * | 2019-07-31 | 2021-02-02 | 中兴通讯股份有限公司 | 一种流量隔离方法、装置及设备、存储介质 |
CN113542051A (zh) * | 2021-05-27 | 2021-10-22 | 贵州电网有限责任公司 | 一种基于软件定义网络的监控流量负载均衡方法 |
CN113542051B (zh) * | 2021-05-27 | 2022-08-30 | 贵州电网有限责任公司 | 一种基于软件定义网络的监控流量负载均衡方法 |
WO2023004992A1 (zh) * | 2021-07-27 | 2023-02-02 | 苏州浪潮智能科技有限公司 | Open Stack租户网络的流量监控方法、装置 |
CN113660248A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 业务流量隔离方法、系统、可读存储介质及装置 |
CN114157458A (zh) * | 2021-11-18 | 2022-03-08 | 深圳依时货拉拉科技有限公司 | 用于混合云环境中的流量检测方法、装置、设备和介质 |
CN114124836A (zh) * | 2022-01-25 | 2022-03-01 | 北京天维信通科技有限公司 | 基于uCPE内置清洗软件的流量清洗系统和清洗方法 |
CN114124836B (zh) * | 2022-01-25 | 2022-11-25 | 北京天维信通科技有限公司 | 基于uCPE内置清洗软件的流量清洗系统和清洗方法 |
CN117499318A (zh) * | 2024-01-02 | 2024-02-02 | 中移(苏州)软件技术有限公司 | 云计算虚拟网络系统、及其使用方法、装置、设备及介质 |
CN117499318B (zh) * | 2024-01-02 | 2024-04-09 | 中移(苏州)软件技术有限公司 | 云计算虚拟网络系统、及其使用方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109981613B (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109981613A (zh) | 一种用于云环境的流量检测方法与资源池系统 | |
US11683386B2 (en) | Systems and methods for protecting an identity in network communications | |
US11533340B2 (en) | On-demand security policy provisioning | |
KR101718374B1 (ko) | 네트워크 장치에 대한 네트워크 기능 가상화 | |
CN103548327B (zh) | 用于在分布式虚拟交换机上提供位置无关的动态端口镜像的方法 | |
US8989188B2 (en) | Preventing leaks among private virtual local area network ports due to configuration changes in a headless mode | |
CN100583811C (zh) | 虚拟网络设备 | |
CN103621046B (zh) | 网络通信方法和装置 | |
CN103930882B (zh) | 具有中间盒的网络架构 | |
US7039720B2 (en) | Dense virtual router packet switching | |
CN111800326B (zh) | 报文传输方法及装置、处理节点及存储介质 | |
WO2021047668A1 (zh) | 路径探测方法、装置及计算机存储介质 | |
CN107113233A (zh) | 用于支持多租户集群环境中的分区感知路由的系统和方法 | |
US7720001B2 (en) | Dynamic connectivity determination | |
CN112956158B (zh) | 结构数据平面监视 | |
CN110311860A (zh) | Vxlan下多链路负载均衡方法及装置 | |
CN108390809A (zh) | 一种基于vf混杂模式的桥接方法及其系统 | |
CN111711536A (zh) | 一种云架构下防火墙测试环境构建方法 | |
CN109787938A (zh) | 实现访问虚拟私有云的方法、装置及计算机可读存储介质 | |
CN109756419A (zh) | 路由信息分发方法、装置以及rr | |
CN109951353A (zh) | 一种云平台流量检测方法与资源池系统 | |
CN105847255A (zh) | 一种基于虚拟交换网络的虚拟安全域的划分方法及装置 | |
CN105264837A (zh) | 一种数据报文的传输系统、传输方法和设备 | |
CN109889533B (zh) | 云环境下的安全防御方法及系统、计算机可读存储介质 | |
CN107231321A (zh) | 探测转发路径的方法、设备及网络系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |