CN111224989A - 一种虚拟微隔离网络的攻击面防护方法及系统 - Google Patents

一种虚拟微隔离网络的攻击面防护方法及系统 Download PDF

Info

Publication number
CN111224989A
CN111224989A CN202010023290.7A CN202010023290A CN111224989A CN 111224989 A CN111224989 A CN 111224989A CN 202010023290 A CN202010023290 A CN 202010023290A CN 111224989 A CN111224989 A CN 111224989A
Authority
CN
China
Prior art keywords
virtual machine
virtual
micro
virtual machines
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010023290.7A
Other languages
English (en)
Inventor
娈靛浆
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN202010023290.7A priority Critical patent/CN111224989A/zh
Publication of CN111224989A publication Critical patent/CN111224989A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种虚拟微隔离网络的攻击面防护方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,通过各个虚拟机检查数据片段,提取可被利用的攻击向量,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点,调整相关微隔离分组的安全防护策略。

Description

一种虚拟微隔离网络的攻击面防护方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种虚拟微隔离网络的攻击面防护方法及系统。
背景技术
现在利用虚拟化技术构建数据中心越来越普遍了,带来了新的安全问题,在虚拟化网络环境中,大量流量数据通过虚拟交换机转发,不会经过防火墙,使得传统的安全防护措施失效。虚拟机之间的通信流量变得不可控,内部虚拟机的威胁无法被检测,也无法被控制。分布式虚拟环境存在海量的虚拟机,如何动态部署安全防护策略,也是急需要解决的技术问题。
同时,当前网络通信面临越来越隐蔽的安全问题,很多攻击来自于隐蔽的、碎片化的形式,单个节点的漏洞点和攻击链路会构成多个攻击面,现有的防范网络攻击的方法会失效。
因此,急需一种针对性分布式虚拟环境的安全防护方法和系统。
发明内容
本发明的目的在于提供一种虚拟微隔离网络的攻击面防护方法及系统,解决现有技术中针对海量虚拟机之间流量数据缺乏控制方法,缺乏动态部署安全防护策略,如何在海量虚拟机网络中检测攻击面的技术问题。
第一方面,本申请提供一种虚拟微隔离网络的攻击面防护方法,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
结合第一方面,在第一方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第一方面,在第一方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第一方面,在第一方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
第二方面,本申请提供一种虚拟微隔离网络的攻击面防护系统,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
结合第二方面,在第二方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第二方面,在第二方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第二方面,在第二方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
本发明提供一种虚拟微隔离网络的攻击面防护方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,通过各个虚拟机检查数据片段,提取可被利用的攻击向量,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点,调整相关微隔离分组的安全防护策略。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明虚拟微隔离网络的攻击面防护方法的流程图;
图2为本发明虚拟微隔离网络的攻击面防护系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的虚拟微隔离网络的攻击面防护方法的流程图,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
图2为本申请提供的虚拟微隔离网络的攻击面防护系统的架构图,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种虚拟微隔离网络的攻击面防护方法,其特征在于,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
2.根据权利要求1所述的方法,其特征在于:所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
3.根据权利要求1-2任一项所述的方法,其特征在于:所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
4.根据权利要求1-3任一项所述的方法,其特征在于:所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
5.一种虚拟微隔离网络的攻击面防护系统,其特征在于,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
6.根据权利要求5所述的系统,其特征在于,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
CN202010023290.7A 2020-01-09 2020-01-09 一种虚拟微隔离网络的攻击面防护方法及系统 Pending CN111224989A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010023290.7A CN111224989A (zh) 2020-01-09 2020-01-09 一种虚拟微隔离网络的攻击面防护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010023290.7A CN111224989A (zh) 2020-01-09 2020-01-09 一种虚拟微隔离网络的攻击面防护方法及系统

Publications (1)

Publication Number Publication Date
CN111224989A true CN111224989A (zh) 2020-06-02

Family

ID=70828218

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010023290.7A Pending CN111224989A (zh) 2020-01-09 2020-01-09 一种虚拟微隔离网络的攻击面防护方法及系统

Country Status (1)

Country Link
CN (1) CN111224989A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111786981A (zh) * 2020-06-24 2020-10-16 北京赋云安运营科技有限公司 一种公共云网络业务管理方法及系统
CN111935145A (zh) * 2020-08-10 2020-11-13 武汉思普崚技术有限公司 一种实现网络流量安全分析的硬件无关化方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577702A (zh) * 2016-03-15 2016-05-11 耿童童 一种虚拟机级安全防护系统及方法
CN107179957A (zh) * 2016-03-10 2017-09-19 阿里巴巴集团控股有限公司 物理机故障分类处理方法、装置和虚拟机恢复方法、系统
CN109167795A (zh) * 2018-09-27 2019-01-08 深信服科技股份有限公司 一种安全防御系统及方法
US20190273718A1 (en) * 2018-03-01 2019-09-05 ShieldX Networks, Inc. Intercepting network traffic routed by virtual switches for selective security processing
CN110365673A (zh) * 2019-07-11 2019-10-22 武汉思普崚技术有限公司 一种隔离网络攻击面的方法、服务器和系统
CN110378103A (zh) * 2019-07-22 2019-10-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107179957A (zh) * 2016-03-10 2017-09-19 阿里巴巴集团控股有限公司 物理机故障分类处理方法、装置和虚拟机恢复方法、系统
CN105577702A (zh) * 2016-03-15 2016-05-11 耿童童 一种虚拟机级安全防护系统及方法
US20190273718A1 (en) * 2018-03-01 2019-09-05 ShieldX Networks, Inc. Intercepting network traffic routed by virtual switches for selective security processing
CN109167795A (zh) * 2018-09-27 2019-01-08 深信服科技股份有限公司 一种安全防御系统及方法
CN110365673A (zh) * 2019-07-11 2019-10-22 武汉思普崚技术有限公司 一种隔离网络攻击面的方法、服务器和系统
CN110378103A (zh) * 2019-07-22 2019-10-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
游益峰: "面向虚拟化环境的微隔离技术的研究", 《中国优秀硕士学位论文全文数据库》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111786981A (zh) * 2020-06-24 2020-10-16 北京赋云安运营科技有限公司 一种公共云网络业务管理方法及系统
CN111786981B (zh) * 2020-06-24 2022-03-25 安全能力生态聚合(北京)运营科技有限公司 一种公共云网络业务管理方法及系统
CN111935145A (zh) * 2020-08-10 2020-11-13 武汉思普崚技术有限公司 一种实现网络流量安全分析的硬件无关化方法及系统
CN111935145B (zh) * 2020-08-10 2021-05-25 武汉思普崚技术有限公司 一种实现网络流量安全分析的硬件无关化方法及系统

Similar Documents

Publication Publication Date Title
CN111262841B (zh) 一种虚拟微隔离网络的资源调度方法及系统
CN103733590B (zh) 用于正则表达式的编译器
CN111224990B (zh) 一种分布式微隔离网络的流量牵引方法及系统
CN111273995A (zh) 一种虚拟微隔离网络的安全调度方法及系统
CN111431881B (zh) 一种基于windows操作系统的诱捕节点实现方法及装置
Ahuja et al. Ascertain the efficient machine learning approach to detect different ARP attacks
CN111224989A (zh) 一种虚拟微隔离网络的攻击面防护方法及系统
JP7531816B2 (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
CN112929200B (zh) 一种面向sdn多控制器的异常检测方法
Ubaid et al. Mitigating address spoofing attacks in hybrid SDN
CN111176795B (zh) 一种分布式虚拟网络的动态迁移方法及系统
Fei et al. The abnormal detection for network traffic of power iot based on device portrait
CN111262840A (zh) 一种虚拟网络的攻击面转移方法及系统
CN113497797A (zh) 一种icmp隧道传输数据的异常检测方法及装置
Sun et al. Detecting and mitigating ARP attacks in SDN-based cloud environment
CN111212079B (zh) 一种基于业务的微隔离流量牵引方法及系统
CN111277568A (zh) 一种分布式虚拟网络的隔离攻击方法及系统
CN110912887A (zh) 一种基于Bro的APT监测系统和方法
Horak et al. The vulnerability of securing IoT production lines and their network components in the Industry 4.0 concept
CN111258711B (zh) 一种多协议的网络微隔离方法及系统
CN110213301B (zh) 一种转移网络攻击面的方法、服务器和系统
Singh Machine learning in openflow network: comparative analysis of DDoS detection techniques.
CN116319114A (zh) 一种网络入侵检测的方法和系统
CN111443986A (zh) 一种分布式虚拟环境的微隔离防护方法及系统
Sanjeetha et al. Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200602