CN111262840A - 一种虚拟网络的攻击面转移方法及系统 - Google Patents

一种虚拟网络的攻击面转移方法及系统 Download PDF

Info

Publication number
CN111262840A
CN111262840A CN202010023857.0A CN202010023857A CN111262840A CN 111262840 A CN111262840 A CN 111262840A CN 202010023857 A CN202010023857 A CN 202010023857A CN 111262840 A CN111262840 A CN 111262840A
Authority
CN
China
Prior art keywords
virtual machine
virtual
virtual machines
data
micro
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010023857.0A
Other languages
English (en)
Inventor
娈靛浆
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN202010023857.0A priority Critical patent/CN111262840A/zh
Publication of CN111262840A publication Critical patent/CN111262840A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种虚拟网络的攻击面转移方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,当发现单个虚拟机被攻击后,随机修改该虚拟机的地址和端口,避免其被持续攻击,以及保护该虚拟机相近的其他虚拟机也不被攻击,从而实现帮助管理员将攻击转移。

Description

一种虚拟网络的攻击面转移方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种虚拟网络的攻击面转移方法及系统。
背景技术
现在利用虚拟化技术构建数据中心越来越普遍了,带来了新的安全问题,在虚拟化网络环境中,大量流量数据通过虚拟交换机转发,不会经过防火墙,使得传统的安全防护措施失效。虚拟机之间的通信流量变得不可控,内部虚拟机的威胁无法被检测,也无法被控制。分布式虚拟环境存在海量的虚拟机,如何动态部署安全防护策略,也是急需要解决的技术问题。
同时,单个节点发现被攻击后,如何避免该节点被持续攻击,以及如何保护该节点相近的其他节点也不被攻击。这也成为急需解决的技术问题。
因此,急需一种针对性分布式虚拟环境的安全防护方法和系统。
发明内容
本发明的目的在于提供一种虚拟网络的攻击面转移方法及系统,解决现有技术中针对海量虚拟机之间流量数据缺乏控制方法,缺乏动态部署安全防护策略,如何避免被攻击的虚拟机被持续攻击的技术问题。
第一方面,本申请提供一种虚拟网络的攻击面转移方法,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;
以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
结合第一方面,在第一方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第一方面,在第一方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第一方面,在第一方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
第二方面,本申请提供一种虚拟网络的攻击面转移系统,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;
以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
结合第二方面,在第二方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第二方面,在第二方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第二方面,在第二方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
本发明提供一种虚拟网络的攻击面转移方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,当发现单个虚拟机被攻击后,随机修改该虚拟机的地址和端口,避免其被持续攻击,以及保护该虚拟机相近的其他虚拟机也不被攻击,从而实现帮助管理员将攻击转移。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明虚拟网络的攻击面转移方法的流程图;
图2为本发明虚拟网络的攻击面转移系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的虚拟网络的攻击面转移方法的流程图,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;
以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
图2为本申请提供的虚拟网络的攻击面转移系统的架构图,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;
以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种虚拟网络的攻击面转移方法,其特征在于,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;
以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
2.根据权利要求1所述的方法,其特征在于:所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
3.根据权利要求1-2任一项所述的方法,其特征在于:所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
4.根据权利要求1-3任一项所述的方法,其特征在于:所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
5.一种虚拟网络的攻击面转移系统,其特征在于,所述系统包括:获取单元、分组单元、策略部署单元和服务器;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
所述服务器,用于向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;
以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
6.根据权利要求5所述的系统,其特征在于,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
CN202010023857.0A 2020-01-09 2020-01-09 一种虚拟网络的攻击面转移方法及系统 Pending CN111262840A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010023857.0A CN111262840A (zh) 2020-01-09 2020-01-09 一种虚拟网络的攻击面转移方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010023857.0A CN111262840A (zh) 2020-01-09 2020-01-09 一种虚拟网络的攻击面转移方法及系统

Publications (1)

Publication Number Publication Date
CN111262840A true CN111262840A (zh) 2020-06-09

Family

ID=70953957

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010023857.0A Pending CN111262840A (zh) 2020-01-09 2020-01-09 一种虚拟网络的攻击面转移方法及系统

Country Status (1)

Country Link
CN (1) CN111262840A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111786981A (zh) * 2020-06-24 2020-10-16 北京赋云安运营科技有限公司 一种公共云网络业务管理方法及系统
CN116614418A (zh) * 2023-07-19 2023-08-18 中国电信股份有限公司江西分公司 一种基于云计算平台的服务器保护方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577702A (zh) * 2016-03-15 2016-05-11 耿童童 一种虚拟机级安全防护系统及方法
CN107179957A (zh) * 2016-03-10 2017-09-19 阿里巴巴集团控股有限公司 物理机故障分类处理方法、装置和虚拟机恢复方法、系统
CN109167795A (zh) * 2018-09-27 2019-01-08 深信服科技股份有限公司 一种安全防御系统及方法
US20190273718A1 (en) * 2018-03-01 2019-09-05 ShieldX Networks, Inc. Intercepting network traffic routed by virtual switches for selective security processing
CN110213301A (zh) * 2019-07-11 2019-09-06 武汉思普崚技术有限公司 一种转移网络攻击面的方法、服务器和系统
CN110378103A (zh) * 2019-07-22 2019-10-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107179957A (zh) * 2016-03-10 2017-09-19 阿里巴巴集团控股有限公司 物理机故障分类处理方法、装置和虚拟机恢复方法、系统
CN105577702A (zh) * 2016-03-15 2016-05-11 耿童童 一种虚拟机级安全防护系统及方法
US20190273718A1 (en) * 2018-03-01 2019-09-05 ShieldX Networks, Inc. Intercepting network traffic routed by virtual switches for selective security processing
CN109167795A (zh) * 2018-09-27 2019-01-08 深信服科技股份有限公司 一种安全防御系统及方法
CN110213301A (zh) * 2019-07-11 2019-09-06 武汉思普崚技术有限公司 一种转移网络攻击面的方法、服务器和系统
CN110378103A (zh) * 2019-07-22 2019-10-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
游益峰: "面向虚拟化环境的微隔离技术的研究", 《中国优秀硕士学位论文全文数据库》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111786981A (zh) * 2020-06-24 2020-10-16 北京赋云安运营科技有限公司 一种公共云网络业务管理方法及系统
CN111786981B (zh) * 2020-06-24 2022-03-25 安全能力生态聚合(北京)运营科技有限公司 一种公共云网络业务管理方法及系统
CN116614418A (zh) * 2023-07-19 2023-08-18 中国电信股份有限公司江西分公司 一种基于云计算平台的服务器保护方法

Similar Documents

Publication Publication Date Title
Wang et al. SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking
CN111262841B (zh) 一种虚拟微隔离网络的资源调度方法及系统
CN111224990B (zh) 一种分布式微隔离网络的流量牵引方法及系统
CN103733590B (zh) 用于正则表达式的编译器
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
CN111273995A (zh) 一种虚拟微隔离网络的安全调度方法及系统
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
CN111431881B (zh) 一种基于windows操作系统的诱捕节点实现方法及装置
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
CN111262840A (zh) 一种虚拟网络的攻击面转移方法及系统
Sun et al. Detecting and mitigating ARP attacks in SDN-based cloud environment
Ubaid et al. Mitigating address spoofing attacks in hybrid SDN
CN111176795B (zh) 一种分布式虚拟网络的动态迁移方法及系统
CN111224989A (zh) 一种虚拟微隔离网络的攻击面防护方法及系统
Huang et al. An authentication scheme to defend against UDP DrDoS attacks in 5G networks
CN110912887B (zh) 一种基于Bro的APT监测系统和方法
CN111212079B (zh) 一种基于业务的微隔离流量牵引方法及系统
KR20100072975A (ko) 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법
CN111277568A (zh) 一种分布式虚拟网络的隔离攻击方法及系统
CN110213301B (zh) 一种转移网络攻击面的方法、服务器和系统
CN111258711B (zh) 一种多协议的网络微隔离方法及系统
Sanjeetha et al. Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks
CN111443986A (zh) 一种分布式虚拟环境的微隔离防护方法及系统
Zhiyong et al. Research on Backup Bethod of Service Function Chain Based on Security Classification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200609

RJ01 Rejection of invention patent application after publication