CN111212079B - 一种基于业务的微隔离流量牵引方法及系统 - Google Patents

一种基于业务的微隔离流量牵引方法及系统 Download PDF

Info

Publication number
CN111212079B
CN111212079B CN202010023861.7A CN202010023861A CN111212079B CN 111212079 B CN111212079 B CN 111212079B CN 202010023861 A CN202010023861 A CN 202010023861A CN 111212079 B CN111212079 B CN 111212079B
Authority
CN
China
Prior art keywords
virtual machine
virtual
micro
isolation
virtual machines
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010023861.7A
Other languages
English (en)
Other versions
CN111212079A (zh
Inventor
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN202010023861.7A priority Critical patent/CN111212079B/zh
Publication of CN111212079A publication Critical patent/CN111212079A/zh
Application granted granted Critical
Publication of CN111212079B publication Critical patent/CN111212079B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

本发明提供一种基于业务的微隔离流量牵引方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,直接将迁移消息透传到其他微隔离分组的控制平面,并且考虑业务的等级重要性,有差别地迁移数据,从而实现更便捷、更节约地迁移虚拟机数据。

Description

一种基于业务的微隔离流量牵引方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于业务的微隔离流量牵引方法及系统。
背景技术
现在利用虚拟化技术构建数据中心越来越普遍了,带来了新的安全问题,在虚拟化网络环境中,大量流量数据通过虚拟交换机转发,不会经过防火墙,使得传统的安全防护措施失效。虚拟机之间的通信流量变得不可控,内部虚拟机的威胁无法被检测,也无法被控制。分布式虚拟环境存在海量的虚拟机,如何动态部署安全防护策略,也是急需要解决的技术问题。
同时,如何在虚拟机与虚拟机之间更方便地迁移数据,并且考虑业务的性质,有分别地迁移,更好地节约资源,也是需要解决的技术问题。
因此,急需一种针对性分布式虚拟环境的安全防护方法和系统。
发明内容
本发明的目的在于提供一种基于业务的微隔离流量牵引方法及系统,解决现有技术中针对海量虚拟机之间流量数据缺乏控制方法,缺乏动态部署安全防护策略,以及更便捷地迁移虚拟机数据的技术问题。
第一方面,本申请提供一种基于业务的微隔离流量牵引方法,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,并从服务器下载业务等级判断结果,若存在攻击行为并且业务等级高于预先设定的阈值,则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若存在攻击行为但是业务等级低于所述阈值,则认定被攻击的虚拟机为灰度虚拟机;若不存在攻击行为则认定被验证的虚拟机为安全虚拟机;
将所述不安全虚拟机的数据进行迁移,该不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,该控制平面的虚拟机暂时不处理业务;
由所述临时主控点向临近微隔离分组的其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述不安全虚拟机的数据迁移到所述第二虚拟机;
其中包括所述临时主控点向核心虚拟交换设备发送迁移请求消息,所述迁移请求消息中携带有控制平面指示命令,所述核心虚拟交换设备根据所述控制平面指示命令,直接将所述迁移请求消息中包含的迁移消息透传到所述核心虚拟交换设备下的其他微隔离分组的控制平面,由其他微隔离分组的控制平面选择出一个所述第二虚拟机;
所述不安全虚拟机通过所述核心虚拟交换设备的业务平面,将迁移数据传输到所述第二虚拟机;
所述临时主控点向所在分组广播迁移消息,包括将所述不安全虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述不安全虚拟机发送响应消息,指示所述不安全虚拟机完成数据迁移,并删除所述不安全虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
对所述灰度虚拟机暂停其与微隔离分组内或分组外其他虚拟机的通信,但不需要迁移所述灰度虚拟机的数据;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述灰度虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述灰度虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
结合第一方面,在第一方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第一方面,在第一方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第一方面,在第一方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
第二方面,本申请提供一种基于业务的微隔离流量牵引系统,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,并从服务器下载业务等级判断结果,若存在攻击行为并且业务等级高于预先设定的阈值,则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若存在攻击行为但是业务等级低于所述阈值,则认定被攻击的虚拟机为灰度虚拟机;若不存在攻击行为则认定被验证的虚拟机为安全虚拟机;
将所述不安全虚拟机的数据进行迁移,该不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,该控制平面的虚拟机暂时不处理业务;
由所述临时主控点向临近微隔离分组的其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述不安全虚拟机的数据迁移到所述第二虚拟机;
其中包括所述临时主控点向核心虚拟交换设备发送迁移请求消息,所述迁移请求消息中携带有控制平面指示命令,所述核心虚拟交换设备根据所述控制平面指示命令,直接将所述迁移请求消息中包含的迁移消息透传到所述核心虚拟交换设备下的其他微隔离分组的控制平面,由其他微隔离分组的控制平面选择出一个所述第二虚拟机;
所述不安全虚拟机通过所述核心虚拟交换设备的业务平面,将迁移数据传输到所述第二虚拟机;
所述临时主控点向所在分组广播迁移消息,包括将所述不安全虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述不安全虚拟机发送响应消息,指示所述不安全虚拟机完成数据迁移,并删除所述不安全虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
对所述灰度虚拟机暂停其与微隔离分组内或分组外其他虚拟机的通信,但不需要迁移所述灰度虚拟机的数据;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述灰度虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述灰度虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于下发业务等级判断结果。
结合第二方面,在第二方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第二方面,在第二方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第二方面,在第二方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
本发明提供一种基于业务的微隔离流量牵引方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,直接将迁移消息透传到其他微隔离分组的控制平面,并且考虑业务的等级重要性,有差别地迁移数据,从而实现更便捷、更节约地迁移虚拟机数据。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于业务的微隔离流量牵引方法的流程图;
图2为本发明基于业务的微隔离流量牵引系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的基于业务的微隔离流量牵引方法的流程图,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,并从服务器下载业务等级判断结果,若存在攻击行为并且业务等级高于预先设定的阈值,则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若存在攻击行为但是业务等级低于所述阈值,则认定被攻击的虚拟机为灰度虚拟机;若不存在攻击行为则认定被验证的虚拟机为安全虚拟机;
将所述不安全虚拟机的数据进行迁移,该不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,该控制平面的虚拟机暂时不处理业务;
由所述临时主控点向临近微隔离分组的其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述不安全虚拟机的数据迁移到所述第二虚拟机;
其中包括所述临时主控点向核心虚拟交换设备发送迁移请求消息,所述迁移请求消息中携带有控制平面指示命令,所述核心虚拟交换设备根据所述控制平面指示命令,直接将所述迁移请求消息中包含的迁移消息透传到所述核心虚拟交换设备下的其他微隔离分组的控制平面,由其他微隔离分组的控制平面选择出一个所述第二虚拟机;
所述不安全虚拟机通过所述核心虚拟交换设备的业务平面,将迁移数据传输到所述第二虚拟机;
所述临时主控点向所在分组广播迁移消息,包括将所述不安全虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述不安全虚拟机发送响应消息,指示所述不安全虚拟机完成数据迁移,并删除所述不安全虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
对所述灰度虚拟机暂停其与微隔离分组内或分组外其他虚拟机的通信,但不需要迁移所述灰度虚拟机的数据;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述灰度虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述灰度虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
图2为本申请提供的基于业务的微隔离流量牵引系统的架构图,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,并从服务器下载业务等级判断结果,若存在攻击行为并且业务等级高于预先设定的阈值,则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若存在攻击行为但是业务等级低于所述阈值,则认定被攻击的虚拟机为灰度虚拟机;若不存在攻击行为则认定被验证的虚拟机为安全虚拟机;
将所述不安全虚拟机的数据进行迁移,该不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,该控制平面的虚拟机暂时不处理业务;
由所述临时主控点向临近微隔离分组的其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述不安全虚拟机的数据迁移到所述第二虚拟机;
其中包括所述临时主控点向核心虚拟交换设备发送迁移请求消息,所述迁移请求消息中携带有控制平面指示命令,所述核心虚拟交换设备根据所述控制平面指示命令,直接将所述迁移请求消息中包含的迁移消息透传到所述核心虚拟交换设备下的其他微隔离分组的控制平面,由其他微隔离分组的控制平面选择出一个所述第二虚拟机;
所述不安全虚拟机通过所述核心虚拟交换设备的业务平面,将迁移数据传输到所述第二虚拟机;
所述临时主控点向所在分组广播迁移消息,包括将所述不安全虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述不安全虚拟机发送响应消息,指示所述不安全虚拟机完成数据迁移,并删除所述不安全虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
对所述灰度虚拟机暂停其与微隔离分组内或分组外其他虚拟机的通信,但不需要迁移所述灰度虚拟机的数据;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述灰度虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述灰度虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于下发业务等级判断结果。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (6)

1.一种基于业务的微隔离流量牵引方法,其特征在于,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,并从服务器下载业务等级判断结果,若存在攻击行为并且业务等级高于预先设定的阈值,则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若存在攻击行为但是业务等级低于所述阈值,则认定被攻击的虚拟机为灰度虚拟机;若不存在攻击行为则认定被验证的虚拟机为安全虚拟机;
将所述不安全虚拟机的数据进行迁移,该不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,该控制平面的虚拟机暂时不处理业务;
由所述临时主控点向临近微隔离分组的其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述不安全虚拟机的数据迁移到所述第二虚拟机;
其中包括所述临时主控点向核心虚拟交换设备发送迁移请求消息,所述迁移请求消息中携带有控制平面指示命令,所述核心虚拟交换设备根据所述控制平面指示命令,直接将所述迁移请求消息中包含的迁移消息透传到所述核心虚拟交换设备下的其他微隔离分组的控制平面,由其他微隔离分组的控制平面选择出一个所述第二虚拟机;
所述不安全虚拟机通过所述核心虚拟交换设备的业务平面,将迁移数据传输到所述第二虚拟机;
所述临时主控点向所在分组广播迁移消息,包括将所述不安全虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述不安全虚拟机发送响应消息,指示所述不安全虚拟机完成数据迁移,并删除所述不安全虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
对所述灰度虚拟机暂停其与微隔离分组内或分组外其他虚拟机的通信,但不需要迁移所述灰度虚拟机的数据;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述灰度虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述灰度虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
2.根据权利要求1所述的方法,其特征在于:所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
3.根据权利要求1所述的方法,其特征在于:所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
4.一种基于业务的微隔离流量牵引系统,其特征在于,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,并从服务器下载业务等级判断结果,若存在攻击行为并且业务等级高于预先设定的阈值,则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若存在攻击行为但是业务等级低于所述阈值,则认定被攻击的虚拟机为灰度虚拟机;若不存在攻击行为则认定被验证的虚拟机为安全虚拟机;
将所述不安全虚拟机的数据进行迁移,该不安全虚拟机所在的微隔离分组选举一个临时主控点,所述临时主控点为作为一个控制平面的虚拟机,该控制平面的虚拟机暂时不处理业务;
由所述临时主控点向临近微隔离分组的其他虚拟机广播迁移消息,并根据其他虚拟机的业务关联程度、负载情况选择出一个第二虚拟机,将所述不安全虚拟机的数据迁移到所述第二虚拟机;
其中包括所述临时主控点向核心虚拟交换设备发送迁移请求消息,所述迁移请求消息中携带有控制平面指示命令,所述核心虚拟交换设备根据所述控制平面指示命令,直接将所述迁移请求消息中包含的迁移消息透传到所述核心虚拟交换设备下的其他微隔离分组的控制平面,由其他微隔离分组的控制平面选择出一个所述第二虚拟机;
所述不安全虚拟机通过所述核心虚拟交换设备的业务平面,将迁移数据传输到所述第二虚拟机;
所述临时主控点向所在分组广播迁移消息,包括将所述不安全虚拟机剔除出微隔离分组的指示,分组内其他虚拟机接收到所述广播迁移消息后,能够根据所述指示,修改流表项内容;
所述临时主控点向所述不安全虚拟机发送响应消息,指示所述不安全虚拟机完成数据迁移,并删除所述不安全虚拟机上的安全防护策略,数据迁移完成后,所述临时主控点向微隔离分组内所有虚拟机广播临时主控点身份结束消息;
对所述灰度虚拟机暂停其与微隔离分组内或分组外其他虚拟机的通信,但不需要迁移所述灰度虚拟机的数据;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述灰度虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述灰度虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于下发业务等级判断结果;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
5.根据权利要求4所述的系统,其特征在于,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
6.根据权利要求4所述的系统,其特征在于,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
CN202010023861.7A 2020-01-09 2020-01-09 一种基于业务的微隔离流量牵引方法及系统 Active CN111212079B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010023861.7A CN111212079B (zh) 2020-01-09 2020-01-09 一种基于业务的微隔离流量牵引方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010023861.7A CN111212079B (zh) 2020-01-09 2020-01-09 一种基于业务的微隔离流量牵引方法及系统

Publications (2)

Publication Number Publication Date
CN111212079A CN111212079A (zh) 2020-05-29
CN111212079B true CN111212079B (zh) 2022-05-03

Family

ID=70788834

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010023861.7A Active CN111212079B (zh) 2020-01-09 2020-01-09 一种基于业务的微隔离流量牵引方法及系统

Country Status (1)

Country Link
CN (1) CN111212079B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111786981B (zh) * 2020-06-24 2022-03-25 安全能力生态聚合(北京)运营科技有限公司 一种公共云网络业务管理方法及系统
CN112583850B (zh) * 2020-12-27 2023-02-24 杭州迪普科技股份有限公司 网络攻击防护方法、装置及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102082692A (zh) * 2011-01-24 2011-06-01 华为技术有限公司 基于网络数据流向的虚拟机迁移方法、设备和集群系统
CN103902885A (zh) * 2014-03-04 2014-07-02 重庆邮电大学 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107179957B (zh) * 2016-03-10 2020-08-25 阿里巴巴集团控股有限公司 物理机故障分类处理方法、装置和虚拟机恢复方法、系统
CN105577702A (zh) * 2016-03-15 2016-05-11 耿童童 一种虚拟机级安全防护系统及方法
CN106874070A (zh) * 2017-02-24 2017-06-20 郑州云海信息技术有限公司 一种虚拟机的迁移方法及装置
US20190273718A1 (en) * 2018-03-01 2019-09-05 ShieldX Networks, Inc. Intercepting network traffic routed by virtual switches for selective security processing
CN109167795B (zh) * 2018-09-27 2022-03-22 深信服科技股份有限公司 一种安全防御系统及方法
CN110378103B (zh) * 2019-07-22 2022-11-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102082692A (zh) * 2011-01-24 2011-06-01 华为技术有限公司 基于网络数据流向的虚拟机迁移方法、设备和集群系统
CN103902885A (zh) * 2014-03-04 2014-07-02 重庆邮电大学 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法

Also Published As

Publication number Publication date
CN111212079A (zh) 2020-05-29

Similar Documents

Publication Publication Date Title
CN111224990B (zh) 一种分布式微隔离网络的流量牵引方法及系统
CN111262841B (zh) 一种虚拟微隔离网络的资源调度方法及系统
US9166988B1 (en) System and method for controlling virtual network including security function
CN111273995A (zh) 一种虚拟微隔离网络的安全调度方法及系统
CN111212079B (zh) 一种基于业务的微隔离流量牵引方法及系统
CN110378103A (zh) 一种基于OpenFlow协议的微隔离防护方法及系统
CN111431881B (zh) 一种基于windows操作系统的诱捕节点实现方法及装置
CN111614657B (zh) 基于模式选择的移动边缘安全服务方法及系统
CN111176795B (zh) 一种分布式虚拟网络的动态迁移方法及系统
US8797876B2 (en) Identification of underutilized network devices
CN104009885B (zh) 一种云环境下基于隐蔽通道的虚拟机同驻检测方法
CN102402466B (zh) 一种解决虚拟化平台多边冲突的方法及系统
CN107329820A (zh) 一种用于集群系统的任务处理方法及装置
CN106911572A (zh) 一种基于sdn架构实现的虚拟机的报文处理方法及装置
CN111258711B (zh) 一种多协议的网络微隔离方法及系统
CN111224989A (zh) 一种虚拟微隔离网络的攻击面防护方法及系统
CN109067645B (zh) 一种与nfv虚拟安全网关相连的网元设备
CN111262840A (zh) 一种虚拟网络的攻击面转移方法及系统
CN105429946A (zh) 一种基于sdn虚拟交换机的防伪造ip的系统及方法
CN111277568A (zh) 一种分布式虚拟网络的隔离攻击方法及系统
CN109195160B (zh) 网络设备资源探查信息的防篡改存储系统及其控制方法
CN106850732B (zh) 一种面向PaaS云环境的高同驻概率实例部署方法
CN112948054B (zh) 一种基于虚拟化技术的公交混合云平台系统
CN113891309A (zh) 无线传感器网络中恶意节点的检测方法、系统和汇聚节点
CN106254375B (zh) 一种无线热点设备的识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant