CN111277568A - 一种分布式虚拟网络的隔离攻击方法及系统 - Google Patents
一种分布式虚拟网络的隔离攻击方法及系统 Download PDFInfo
- Publication number
- CN111277568A CN111277568A CN202010023869.3A CN202010023869A CN111277568A CN 111277568 A CN111277568 A CN 111277568A CN 202010023869 A CN202010023869 A CN 202010023869A CN 111277568 A CN111277568 A CN 111277568A
- Authority
- CN
- China
- Prior art keywords
- virtual
- virtual machine
- network
- virtual machines
- micro
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/231—Hierarchical techniques, i.e. dividing or merging pattern sets so as to obtain a dendrogram
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种分布式虚拟网络的隔离攻击方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,评估单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个系统的态势值,将不同层次的态势值导入神经网络模型进行攻击预测,最后根据预测结果动态调整相关微隔离分组的安全防护策略。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种分布式虚拟网络的隔离攻击方法及系统。
背景技术
现在利用虚拟化技术构建数据中心越来越普遍了,带来了新的安全问题,在虚拟化网络环境中,大量流量数据通过虚拟交换机转发,不会经过防火墙,使得传统的安全防护措施失效。虚拟机之间的通信流量变得不可控,内部虚拟机的威胁无法被检测,也无法被控制。分布式虚拟环境存在海量的虚拟机,如何动态部署安全防护策略,也是急需要解决的技术问题。
同时,海量的虚拟机构成了庞大的网络结构,潜在的攻击者很容易藏匿其中,现有的攻击检测方法只能被动防御,防御效果比较差。
因此,急需一种针对性分布式虚拟环境的安全防护方法和系统。
发明内容
本发明的目的在于提供一种分布式虚拟网络的隔离攻击方法及系统,解决现有技术中针对海量虚拟机之间流量数据缺乏控制方法,缺乏动态部署安全防护策略,以及针对海量网络结构预测攻击的技术问题。
第一方面,本申请提供一种分布式虚拟网络的隔离攻击方法,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
采集虚拟机之间的流量数据,清除数据中的冗余信息,根据来源的类型,分入对应的字段,合并成数据流;从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,根据上述信息生成对应的关联规则,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的虚拟机态势信息,判断单个虚拟交换设备是否存在与地址相邻相近虚拟机相同的安全漏洞,判断单个虚拟交换设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层虚拟机相同的报警,判断单个虚拟交换设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似虚拟机相同的变化,计算单个虚拟交换设备的安全态势值;
将邻近的若干个单个虚拟交换设备,或者依据有业务交互的若干个单个虚拟交换设备,组成局部网络,由局部网络内的每个虚拟交换设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值,分别将单个虚拟交换设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,根据所述预测的结果动态调整相关微隔离分组的安全防护策略;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
结合第一方面,在第一方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第一方面,在第一方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第一方面,在第一方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
第二方面,本申请提供一种分布式虚拟网络的隔离攻击系统,所述系统包括:获取单元、分组单元和策略部署单元;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
采集虚拟机之间的流量数据,清除数据中的冗余信息,根据来源的类型,分入对应的字段,合并成数据流;从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,根据上述信息生成对应的关联规则,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的虚拟机态势信息,判断单个虚拟交换设备是否存在与地址相邻相近虚拟机相同的安全漏洞,判断单个虚拟交换设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层虚拟机相同的报警,判断单个虚拟交换设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似虚拟机相同的变化,计算单个虚拟交换设备的安全态势值;
将邻近的若干个单个虚拟交换设备,或者依据有业务交互的若干个单个虚拟交换设备,组成局部网络,由局部网络内的每个虚拟交换设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值,分别将单个虚拟交换设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,根据所述预测的结果动态调整相关微隔离分组的安全防护策略;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
结合第二方面,在第二方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
结合第二方面,在第二方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
结合第二方面,在第二方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
本发明提供一种分布式虚拟网络的隔离攻击方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,评估单个设备、局部网络的态势值,结合整个网络的架构组成,得到整个系统的态势值,将不同层次的态势值导入神经网络模型进行攻击预测,最后根据预测结果动态调整相关微隔离分组的安全防护策略。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明分布式虚拟网络的隔离攻击方法的流程图;
图2为本发明分布式虚拟网络的隔离攻击系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的分布式虚拟网络的隔离攻击方法的流程图,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
采集虚拟机之间的流量数据,清除数据中的冗余信息,根据来源的类型,分入对应的字段,合并成数据流;从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,根据上述信息生成对应的关联规则,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的虚拟机态势信息,判断单个虚拟交换设备是否存在与地址相邻相近虚拟机相同的安全漏洞,判断单个虚拟交换设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层虚拟机相同的报警,判断单个虚拟交换设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似虚拟机相同的变化,计算单个虚拟交换设备的安全态势值;
将邻近的若干个单个虚拟交换设备,或者依据有业务交互的若干个单个虚拟交换设备,组成局部网络,由局部网络内的每个虚拟交换设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值,分别将单个虚拟交换设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,根据所述预测的结果动态调整相关微隔离分组的安全防护策略;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
图2为本申请提供的分布式虚拟网络的隔离攻击系统的架构图,所述系统包括:获取单元、分组单元和策略部署单元;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
采集虚拟机之间的流量数据,清除数据中的冗余信息,根据来源的类型,分入对应的字段,合并成数据流;从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,根据上述信息生成对应的关联规则,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的虚拟机态势信息,判断单个虚拟交换设备是否存在与地址相邻相近虚拟机相同的安全漏洞,判断单个虚拟交换设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层虚拟机相同的报警,判断单个虚拟交换设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似虚拟机相同的变化,计算单个虚拟交换设备的安全态势值;
将邻近的若干个单个虚拟交换设备,或者依据有业务交互的若干个单个虚拟交换设备,组成局部网络,由局部网络内的每个虚拟交换设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值,分别将单个虚拟交换设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,根据所述预测的结果动态调整相关微隔离分组的安全防护策略;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
在一些优选实施例中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
在一些优选实施例中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
在一些优选实施例中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (8)
1.一种分布式虚拟网络的隔离攻击方法,其特征在于,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
采集虚拟机之间的流量数据,清除数据中的冗余信息,根据来源的类型,分入对应的字段,合并成数据流;从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,根据上述信息生成对应的关联规则,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的虚拟机态势信息,判断单个虚拟交换设备是否存在与地址相邻相近虚拟机相同的安全漏洞,判断单个虚拟交换设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层虚拟机相同的报警,判断单个虚拟交换设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似虚拟机相同的变化,计算单个虚拟交换设备的安全态势值;
将邻近的若干个单个虚拟交换设备,或者依据有业务交互的若干个单个虚拟交换设备,组成局部网络,由局部网络内的每个虚拟交换设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值,分别将单个虚拟交换设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,根据所述预测的结果动态调整相关微隔离分组的安全防护策略;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
2.根据权利要求1所述的方法,其特征在于:所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
3.根据权利要求1-2任一项所述的方法,其特征在于:所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
4.根据权利要求1-3任一项所述的方法,其特征在于:所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
5.一种分布式虚拟网络的隔离攻击系统,其特征在于,所述系统包括:获取单元、分组单元和策略部署单元;
所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
采集虚拟机之间的流量数据,清除数据中的冗余信息,根据来源的类型,分入对应的字段,合并成数据流;从合并后的数据流提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小的信息,根据上述信息生成对应的关联规则,组成频繁模式树状结构;
根据所述频繁模式树状结构,查询地址相邻相近的虚拟机态势信息,判断单个虚拟交换设备是否存在与地址相邻相近虚拟机相同的安全漏洞,判断单个虚拟交换设备的并发线程、带宽、网络拓扑、访问频率是否存在与所属同层虚拟机相同的报警,判断单个虚拟交换设备的流入量增长率、不同协议数据包分布比例、不同大小数据包分布比例是否存在与流量速度、流量总量相似虚拟机相同的变化,计算单个虚拟交换设备的安全态势值;
将邻近的若干个单个虚拟交换设备,或者依据有业务交互的若干个单个虚拟交换设备,组成局部网络,由局部网络内的每个虚拟交换设备对应的安全漏洞、并发线程、带宽、网络拓扑、访问频率、流入量增长率、不同协议数据包分布比例和不同大小数据包分布比例,根据业务优先级引入模糊处理计算局部网络的安全态势值;
根据多个局部网络的拓扑关系,模糊处理计算整个网络的安全态势值,分别将单个虚拟交换设备、局部网络和整个网络的安全态势值导入神经网络模型,通过神经网络模型推演,得出未来一段时间关于攻击者来源和攻击范围的预测,根据所述预测的结果动态调整相关微隔离分组的安全防护策略;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略。
6.根据权利要求5所述的系统,其特征在于,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010023869.3A CN111277568A (zh) | 2020-01-09 | 2020-01-09 | 一种分布式虚拟网络的隔离攻击方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010023869.3A CN111277568A (zh) | 2020-01-09 | 2020-01-09 | 一种分布式虚拟网络的隔离攻击方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111277568A true CN111277568A (zh) | 2020-06-12 |
Family
ID=71000095
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010023869.3A Pending CN111277568A (zh) | 2020-01-09 | 2020-01-09 | 一种分布式虚拟网络的隔离攻击方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111277568A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113660281A (zh) * | 2021-08-20 | 2021-11-16 | 烽火通信科技股份有限公司 | 一种基于历史场景自适应配置防火墙规则的方法和装置 |
CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105577702A (zh) * | 2016-03-15 | 2016-05-11 | 耿童童 | 一种虚拟机级安全防护系统及方法 |
CN107179957A (zh) * | 2016-03-10 | 2017-09-19 | 阿里巴巴集团控股有限公司 | 物理机故障分类处理方法、装置和虚拟机恢复方法、系统 |
CN109167795A (zh) * | 2018-09-27 | 2019-01-08 | 深信服科技股份有限公司 | 一种安全防御系统及方法 |
US20190273718A1 (en) * | 2018-03-01 | 2019-09-05 | ShieldX Networks, Inc. | Intercepting network traffic routed by virtual switches for selective security processing |
CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
CN110460608A (zh) * | 2019-08-16 | 2019-11-15 | 武汉思普崚技术有限公司 | 一种包含关联分析的态势感知方法和系统 |
-
2020
- 2020-01-09 CN CN202010023869.3A patent/CN111277568A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107179957A (zh) * | 2016-03-10 | 2017-09-19 | 阿里巴巴集团控股有限公司 | 物理机故障分类处理方法、装置和虚拟机恢复方法、系统 |
CN105577702A (zh) * | 2016-03-15 | 2016-05-11 | 耿童童 | 一种虚拟机级安全防护系统及方法 |
US20190273718A1 (en) * | 2018-03-01 | 2019-09-05 | ShieldX Networks, Inc. | Intercepting network traffic routed by virtual switches for selective security processing |
CN109167795A (zh) * | 2018-09-27 | 2019-01-08 | 深信服科技股份有限公司 | 一种安全防御系统及方法 |
CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
CN110460608A (zh) * | 2019-08-16 | 2019-11-15 | 武汉思普崚技术有限公司 | 一种包含关联分析的态势感知方法和系统 |
Non-Patent Citations (1)
Title |
---|
游益峰: "面向虚拟化环境的微隔离技术的研究", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113660281A (zh) * | 2021-08-20 | 2021-11-16 | 烽火通信科技股份有限公司 | 一种基于历史场景自适应配置防火墙规则的方法和装置 |
CN113660281B (zh) * | 2021-08-20 | 2023-01-20 | 烽火通信科技股份有限公司 | 一种基于历史场景自适应配置防火墙规则的方法和装置 |
CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
CN114374535B (zh) * | 2021-12-09 | 2024-01-23 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yu et al. | An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks | |
Imran et al. | Toward an optimal solution against denial of service attacks in software defined networks | |
CN110113328A (zh) | 一种基于区块链的软件定义机会网络DDoS防御方法 | |
CN111262841B (zh) | 一种虚拟微隔离网络的资源调度方法及系统 | |
Yu et al. | A cooperative DDoS attack detection scheme based on entropy and ensemble learning in SDN | |
CN111224990B (zh) | 一种分布式微隔离网络的流量牵引方法及系统 | |
CN111273995A (zh) | 一种虚拟微隔离网络的安全调度方法及系统 | |
Tayfour et al. | Collaborative detection and mitigation of DDoS in software-defined networks | |
CN111277568A (zh) | 一种分布式虚拟网络的隔离攻击方法及系统 | |
Jiang et al. | Bsd-guard: a collaborative blockchain-based approach for detection and mitigation of sdn-targeted ddos attacks | |
CN111176795B (zh) | 一种分布式虚拟网络的动态迁移方法及系统 | |
KR20100072975A (ko) | 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법 | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
CN111212079B (zh) | 一种基于业务的微隔离流量牵引方法及系统 | |
CN111262840A (zh) | 一种虚拟网络的攻击面转移方法及系统 | |
CN111224989A (zh) | 一种虚拟微隔离网络的攻击面防护方法及系统 | |
Karthika et al. | Simulation of SDN in mininet and detection of DDoS attack using machine learning | |
Singh | Machine learning in openflow network: comparative analysis of DDoS detection techniques. | |
Dozier et al. | Vulnerability analysis of immunity-based intrusion detection systems using genetic and evolutionary hackers | |
CN111258711B (zh) | 一种多协议的网络微隔离方法及系统 | |
CN111443986A (zh) | 一种分布式虚拟环境的微隔离防护方法及系统 | |
Fadel et al. | HDLIDP: A Hybrid Deep Learning Intrusion Detection and Prevention Framework. | |
VishnuPriya | Reinforcement learning-based DoS mitigation in software defined networks | |
Manaa et al. | Securing of software-defined networking (SDN) from DDoS attack using a blockchain | |
Truong et al. | Detection of DoS, DDoS attacks in software-defined networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200612 |