CN112583841B - 虚拟机安全防护方法及系统、电子设备和存储介质 - Google Patents
虚拟机安全防护方法及系统、电子设备和存储介质 Download PDFInfo
- Publication number
- CN112583841B CN112583841B CN202011539893.9A CN202011539893A CN112583841B CN 112583841 B CN112583841 B CN 112583841B CN 202011539893 A CN202011539893 A CN 202011539893A CN 112583841 B CN112583841 B CN 112583841B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- firewall
- service
- strategy
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
Abstract
本发明提供一种虚拟机安全防护方法及系统、电子设备和存储介质,其中,虚拟机安全防护方法包括:基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;若确定所述宿主机操作系统防火墙软件策略更新成功,则更新防火墙设备策略和平台FWaaS防火墙服务策略;若确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功,则验证网络请求确定网络请求是否满足预设条件;若确定所述网络请求满足预设条件,则触发防火墙转发网络包。能够有效的识别外部攻击和内部攻击,抵御恶意网络攻击,保证虚拟环境数据交换的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种虚拟机安全防护方法及系统、电子设备和存储介质。
背景技术
虚拟化作为当今热点技术之一,已经广泛应用于云计算平台、虚拟存储、虚拟操作系统、虚拟桌面、虚拟终端等领域。虚拟化的安全也越来越显得重要。虚拟化技术允许在一台物理计算机上设置多台具有物理计算机功能的虚拟机,每台虚拟机上具有操作系统,同一物理计算机上的多台虚拟机可以相互独立的并行工作。虚拟化环境的复杂性导致安全问题变得复杂,安全问题难以处理和解决。
虚拟化改变了数据的流向,增大了物理设备不可见的区域,导致部分数据处于系统监控盲区;虚拟机监视器需要应对各种动态的网络拓扑、解析各种类型的数据包、接收上层应用的信息,并控制底层网络设备的行为,所以功能实现将会非常复杂,也就可能存在不少漏洞,并且虚拟机进行物理服务器之间的迁移时,容易导致物理主机出现漏洞,存在安全隐患。
因此,如何提供一种虚拟机安全防护方法及系统、电子设备和存储介质,提高安全防护能力,能够有效的识别外部攻击和内部攻击,抵御恶意网络攻击,保证虚拟环境数据交换的安全性,成为亟待解决的问题。
发明内容
针对现有技术中的缺陷,本发明提供一种虚拟机安全防护方法及系统、电子设备和存储介质。
本发明提供一种虚拟机安全防护方法,包括:基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;
若确定所述宿主机操作系统防火墙软件策略更新成功,则更新防火墙设备策略和平台FWaaS防火墙服务策略;
若确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功,则验证网络请求确定网络请求是否满足预设条件;
若确定所述网络请求满足预设条件,则触发防火墙转发网络包。
根据本发明提供的虚拟机安全防护方法,所述基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略之前,还包括:
将所述更新的虚拟机服务配置信息写入所述服务注册和发现中心,以覆盖所述服务注册和发现中心中存储的历史虚拟机服务配置信息。
根据本发明提供的虚拟机安全防护方法,所述预设条件,包括:
同一来源客户端IP请求同一目标用户登录失败的次数小于预设次数;
并且,
同一来源客户端IP的目标端口的网速小于预设阈值。
根据本发明提供的虚拟机安全防护方法,还包括:
若确定所述网络请求不满足预设条件,则将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息。
根据本发明提供的虚拟机安全防护方法,所述将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息之后,还包括:
根据网络请求事件特征判断是否存在潜在病毒。
若确定存在潜在病毒,则触发杀毒功能。
根据本发明提供的虚拟机安全防护方法,所述将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息之后,还包括:
根据网络请求事件特征判断是否存在潜在漏洞;
若确定存在潜在漏洞,则触发漏洞修补功能。
根据本发明提供的虚拟机安全防护方法,所述虚拟机服务配置信息包括:宿主机名称、宿主机MAC、宿主机IP、虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名和服务端口。
本发明还提供一种虚拟机安全防护系统,包括:
第一防火墙更新单元,用于基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;
第二防火墙更新单元,用于在确定所述宿主机操作系统防火墙软件策略更新成功之后,更新防火墙设备策略和平台FWaaS防火墙服务策略;
网络请求验证单元,用于在确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功之后,验证网络请求确定网络请求是否满足预设条件;
网络包转发单元,用于在确定所述网络请求满足预设条件之后,触发防火墙转发网络包。
本发明还提供一种电子设备,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如上述虚拟机安全防护方法的各个步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述虚拟机安全防护方法的各个步骤。
本发明提供的虚拟机安全防护方法及系统、电子设备和存储介质,通过虚拟机服务配置信息实时对动态对接操作系统防火墙、FWaaS防火墙服务、防火墙设备进行更新,能够根据业务(应用服务)变化,自动联动更新信息安全策略,能够自动检测识别外部攻击和内部攻击,有效的对通信进行检测、筛选和过滤,阻止非法网络通信,抵御恶意网络攻击,保证虚拟环境数据交换的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的虚拟机安全防护方法流程图;
图2为本发明提供的虚拟机安全防护方法控制流程示意图;
图3为本发明提供的虚拟机安全防护系统结构示意图;
图4为本发明提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供的虚拟机安全防护方法流程图,图2为本发明提供的虚拟机安全防护方法控制流程示意图,如图1和图2所示,本发明提供一种虚拟机安全防护方法,包括:
步骤S1,基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;
步骤S2,若确定所述宿主机操作系统防火墙软件策略更新成功,则更新防火墙设备策略和平台FWaaS防火墙服务策略;
步骤S3,若确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功,则验证网络请求确定网络请求是否满足预设条件;
步骤S4,若确定所述网络请求满足预设条件,则触发防火墙转发网络包。
可选的,“服务注册和发现中心”主要提供服务提供者信息的存储,例如服务名、IP、端口、服务名,并且与服务提供者保持心跳以监控服务提供者的存活,如果心跳不能保持则注销服务实例。服务消费者定期向注册中心发送查询请求,以获取服务提供者的信息,获取信息之后就可以向服务提供者发起服务调用。
在步骤S1中,服务注册和发现中心中的虚拟机服务配置信息根据应用服务实时更新,守护进程自动获取服务注册和发现中心中更新的虚拟机服务配置信息,并根据该服务配置信息更新宿主机操作系统防火墙软件策略。并检查校验更新宿主机操作系统防火墙软件策略的操作是否成功,若不成功重复更新过程。若确定更新成功进入步骤S2。
在步骤S2中,在已经确定宿主机操作系统防火墙软件策略更新成功的基础上,更新防火墙设备(物理设备防火墙)策略和平台FWaaS防火墙(虚拟机管理平台防火墙)服务策略。其中,FWaaS即“FireWall as a Service”的简称,把防火墙硬件软件资源或防火墙软件作为服务共享给整个平台使用,通过动态安全策略、弹性伸缩资源、灵活调度资源等最大化地使用防火墙资源。
因区域边界一般有边界防火墙设备做边界隔离,通过调用防火墙设备的API接口动态更新防火墙设备策略配置,允许指定来源的所有IP、指定端口的网络协议通信到达目的的IP、端口。同时通过虚拟资源池中FWaaS防火墙服务API更新平台FWaaS防火墙服务策略,允许指定来源的所有IP、指定端口的网络协议通信到达目的的IP、端口。更新后检查校验息更新防火墙设备策略和平台FWaaS防火墙服务策略的操作是否成功,若不成功重复更新过程。若确定两项均更新成功进入步骤S3。
在步骤S3中,在已经确定防火墙设备策略和平台FWaaS防火墙服务策略均更新成功的基础上,验证网络请求确定网络请求是否满足预设条件。若确定网络请求满足预设条件进入步骤S4,若确定不满足预设条件,则通过防火墙对网络包进行隔离。通过预设条件的判断规则,能够有效的对通信进行检测、筛选和过滤,阻止非法网络通信。
需要说明的是,该预设条件可以根据实际需求,基于网络通信的数据流量大小、访问次数和访问时间等条件进行设置,本实施例对此不作限定。
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,根据预先定义规则过滤网络流量,帮助计算机网络在不同区域之间、内外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
在步骤S4中,在确定网络请求满足预设条件之后,触发防火墙转发网络包,使得网络包能够正常转发,保障合法网络通信。
本发明提供的虚拟机安全防护方法,通过虚拟机服务配置信息实时对动态对接操作系统防火墙、FWaaS防火墙服务、防火墙设备进行更新,能够根据业务(应用服务)变化,自动联动更新信息安全策略,能够自动检测识别外部攻击和内部攻击,有效的对通信进行检测、筛选和过滤,阻止非法网络通信,抵御恶意网络攻击,保证虚拟环境数据交换的安全性。
在一个实施例中,根据本发明提供的虚拟机安全防护方法,所述基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略之前,还包括:
将所述更新的虚拟机服务配置信息写入所述服务注册和发现中心,以覆盖所述服务注册和发现中心中存储的历史虚拟机服务配置信息。
可选的,虚拟机平台包括虚拟机监视器(Hypervisor),是一种在虚拟环境中的“元”操作系统,既协调着CPU、内存、磁盘、网络等这些硬件资源的访问,又在各个虚拟机之间施加安全防护。
使用虚拟化技术后,虚拟机实例的动态弹性伸缩,实例在不同的物理机之间动态迁移,引起虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、端口等的动态改变。
因此为了解决传统的静态安全策略滞后,且不能满足动态变化的业务和动态信息安全的需求的问题,需要在虚拟机动态资源调度后实时对安全策略进行更新,避免产生潜在漏洞。
在虚拟机实例根据策略资源调度后时,虚拟机监视器分配虚拟机实例名(实例配置)、虚拟机主机名、虚拟机MAC、虚拟机IP等。
应用服务启动后自动把宿主机名称、宿主机MAC、宿主机IP、所在虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、应用服务的名称、协议、应用服务的端口等写入“服务注册和发现中心”。
守护进程动态获取宿主机名称、宿主机MAC、宿主机IP、虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名、服务端口等,并将上述信息更新到“服务注册和发现中心”覆盖历史信息。
需要说明的是,在本发明中进行服务注册和发现中心中数据的更新时,所使用的虚拟机服务配置信息包括:宿主机名称、宿主机MAC、宿主机IP、虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名、服务端口和TCP协议等。除此之外,以保证能够动态对防火墙进行更新,网络请求进行过滤,保证合法通信的基础上,虚拟机服务配置信息中具体的数据类型还可以根据实际需求调整,本实施例对此不做限定。
本发明提供的虚拟机安全防护方法,通过对虚拟机服务配置信息的采集,和对服务注册和发现中心中存储数据的实时更新,能够实现对虚拟机服务配置信息的统一化管理,保证能够快速的进行数据调用和更新。根据虚拟机服务配置信息实时对动态对接操作系统防火墙、FWaaS防火墙服务、防火墙设备进行更新,能够根据业务(应用服务)变化,自动联动更新信息安全策略,能够自动检测识别外部攻击和内部攻击,有效的对通信进行检测、筛选和过滤,阻止非法网络通信,抵御恶意网络攻击,保证虚拟环境数据交换的安全性。
在一个实施例中,根据本发明提供的虚拟机安全防护方法,所述预设条件,包括:
同一来源客户端IP请求同一目标用户登录失败的次数小于预设次数;
并且,
同一来源客户端IP的目标端口的网速小于预设阈值。
可选的,在已经确定防火墙设备策略和平台FWaaS防火墙服务策略均更新成功的基础上,采集来源地址和端口、目标地址和端口、通信协议等信息,验证网络请求确定网络请求是否满足预设条件。
根据网络请求判断满足同一来源客户端IP请求同一目标用户登录失败的次数小于预设次数(例如3次)的条件;并且,满足同一来源客户端IP的目标端口的网速小于预设阈值(例如12.5Mb/s)的条件时,确定网络请求满足预设条件。若不能同时满足上述两条件,则表示网络请求不满足预设条件,此时认为该网络请求可能是非法网络请求,需要进一步进行检测。
本发明提供的虚拟机安全防护方法,通过设置预设条件并根据预设条件对网络请求进行检测和过滤,能够有效的对网络请求进行筛选,过滤非法网络通信,进一步提高虚拟机实例和实例之间通信的安全性。
在一个实施例中,根据本发明提供的虚拟机安全防护方法,还包括:
若确定所述网络请求不满足预设条件,则将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息。
可选的,若确定所述网络请求不满足预设条件,则表明该网络请求可能为非法网络请求。需要进一步对该网络请求进行验证,动态持续地进行安全防护。采集来源地址和端口、目标地址和端口、通信协议等信息,将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息。对该网络请求的来源客户端以及目标端口进行隔离,阻止其继续通信,提示可能存在非法网络请求。
本发明提供的虚拟机安全防护方法,通过将不满足预设条件网络请求相关的来源客户端以及目标端口移入黑名单,能够有效将可能存在问题的对象进行隔离,阻止其继续进行通信,并发送预警信息提示存在疑似非法网络通信,需要相关人员或者相关平台进行处理。能够有效减少非法通信造成的计算机威胁,抵御恶意网络攻击,进一步提高虚拟机实例和实例之间通信的安全性。
在一个实施例中,根据本发明提供的虚拟机安全防护方法,所述将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息之后,还包括:
根据网络请求事件特征判断是否存在潜在病毒。
若确定存在潜在病毒,则触发杀毒功能。
可选的,在将来源客户端IP和所述目标端口移入黑名单并发送预警信息之后。需要进一步对该网络请求进行验证,采集网络请求事件特征,并将信息存入安全监控检测平台,确定来源地址和端口、目标地址和端口、通信协议等信息,通过匹配攻击特征库,自动检测识别攻击。将攻击特征与病毒的攻击特征进行对比,确定是否存在潜在病毒,并确定病毒种类。若确定存在潜在病毒,则触发杀毒功能。
查杀病毒指使用杀毒工具的特征库、监控识别、病毒扫描和清除、自动升级、主动防御等功能,用于消除病毒、木马和恶意软件等计算机威胁。本发明可通过AntiVirus aaS联合服务API接口方式进行查杀病毒。需要说明的是,查杀病毒的具体实现方法可根据实际情况进行选择,本实施例对此不作限定。
本发明提供的虚拟机安全防护方法,通过将不满足预设条件网络请求相关的来源客户端以及目标端口移入黑名单,并根据网络请求事件特征确定是否存在潜在病毒,对潜在病毒进行查杀。能够有效的检测外部攻击和内部攻击,在线更新病毒库和查杀病毒,抵御恶意网络攻击,加强虚拟机的安全防护能力。
在一个实施例中,根据本发明提供的虚拟机安全防护方法,所述将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息之后,还包括:
根据网络请求事件特征判断是否存在潜在漏洞;
若确定存在潜在漏洞,则触发漏洞修补功能。
可选的,在将来源客户端IP和所述目标端口移入黑名单并发送预警信息之后。需要进一步对该网络请求进行验证,采集网络请求事件特征,并将信息存入安全监控检测平台,确定来源地址和端口、目标地址和端口、通信协议等信息,将事件特征与漏洞的特征进行对比,确定是否存在潜在漏洞。若确定存在潜在病毒,漏洞,则触发自动在线扫描漏洞和修复漏洞补丁。
漏洞扫描和修复漏洞指使用工具,指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞并及时修复漏洞的一种安全检测行为。Scan&Repair aaS通过服务API方式扫描漏洞和修复漏洞。需要说明的是,漏洞扫描和修复漏洞的具体实现方法可根据实际情况进行选择,本实施例对此不作限定。
进一步,可以理解的是,在确定不存在病毒和漏洞的情况下,将来源客户端IP和所述目标端口移出黑名单,并发出解除预警信息。正常转发网络包。
本发明提供的虚拟机安全防护方法,通过将不满足预设条件网络请求相关的来源客户端以及目标端口移入黑名单,并根据网络请求事件特征确定是否存在潜在漏洞,对潜在漏洞进行扫描和修复。能够有效的检测出漏洞,实时进行漏洞的修复,解决由于进程的切换导致虚拟化系统容易出现漏洞的问题,及时对漏洞进行修复,避免黑客利用漏洞进行攻击,剔除安全隐患,抵御恶意网络攻击,使得在虚拟化系统静态不变或不断随机变化下,仍能保证虚拟机实例的安全和示例之间安全通信。
在一个实施例中,根据本发明提供的虚拟机安全防护方法,所述虚拟机服务配置信息包括:宿主机名称、宿主机MAC、宿主机IP、虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名和服务端口。
可选的,在虚拟机实例动态资源调度的过程中,实例的虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、端口等静态不变或不断随机变化,通过获取的虚拟机服务配置信息并根据其更新服务注册和发现中心,能够动态更新安全策略,实现数据的快速调度和统一管理。
虚拟机服务配置信息包括:宿主机名称、宿主机MAC、宿主机IP、虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名和服务端口。
本发明提供的虚拟机安全防护方法,通过对虚拟机服务配置信息的采集,和对服务注册和发现中心中存储数据的实时更新,能够实现对虚拟机服务配置信息的统一化管理,保证能够快速的进行数据调用和更新。根据虚拟机服务配置信息实时对动态对接操作系统防火墙、FWaaS防火墙服务、防火墙设备进行更新,能够根据业务(应用服务)变化,自动联动更新信息安全策略,能够自动检测识别外部攻击和内部攻击,有效的对通信进行检测、筛选和过滤,阻止非法网络通信,抵御恶意网络攻击,保证虚拟环境数据交换的安全性。
以下结合具体实例对本发明进行说明:
STEP 1:虚拟机实例资源调度。
虚拟机实例根据策略资源调度后时,虚拟机监视器分配实例名、虚拟机主机名、虚拟机MAC和虚拟机IP等。
STEP 2:虚拟机中启动应用服务。
应用启动后自动把宿主机名称、宿主机MAC、宿主机IP、所在虚拟机的实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、应用服务的名称、协议和应用服务的端口等写入“服务注册和发现中心”。
STEP 3:动态获取和更新虚拟机的实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名和服务端口等。
守护进程动态获取宿主机名称、宿主机MAC、宿主机IP、虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名、服务端口等,并更新到“服务注册和发现中心”。
STEP 4:自动动态更新宿主机操作系统防火墙软件策略。
根据上一步获取的宿主机MAC、宿主机IP、虚拟机MAC、虚拟机IP、TCP协议、服务端口49001等,动态更新宿主机操作系统防火墙软件策略,并检查校验此操作是否成功,如果成功则继续下一步骤,如果失败则继续尝试此步骤。
#iptables-A INPUT-m state--state NEW-m tcp-p tcp--dport49001-j ACCEPT
STEP 5:自动动态更新防火墙设备策略、自动动态更新平台FWaaS防火墙服务策略
因区域边界一般有边界防火墙设备做边界隔离,则通过调用防火墙设备的API接口动态更新防火墙设备策略配置,允许指定来源的所有IP(用*.*.*.*表示)、指定端口(用unlimit表示)的网络协议通信到达目的的IP(为192.168.10.100)、端口(为49001),并检查校验此操作是否成功;同时通过虚拟资源池中FWaaS防火墙服务API更新平台FWaaS防火墙服务策略,允许指定来源的所有IP(用*.*.*.*表示)、指定端口(用unlimit表示)的网络协议通信到达目的的IP(为192.168.10.100)、端口(为49001),并检查更新是否成功。
调用防火墙设备API接口的示例内容,如下:
以上步骤通过自动动态更新防火墙策略,保障合法网络通信,过滤阻止非法网络通信。为后面的网络请求打下坚实基础。
STEP 6:验证网络请求
当出现网络请求流量时,进行持续动态地信息安全策略验证,并动态更新安全策略,动态持续地进行安全防护。
(1)处理黑名单白名单策略:
首先,判断是否同一来源客户端IP请求同一目标用户登录失败连续3次及以上,如果是,则把来源客户端IP和目标端口移入黑名单,如果否,则正常转发网络包;
然后,判断是否同一来源客户端IP的目标端口的网速超出阈值,如果是,则把来源客户端IP和目标端口移入黑名单,如果否,则正常转发网络包。
(2)事件在线预警
(3)采集事件特征,信息存入安全监控检测平台并判断是否攻击或漏洞
判断是否潜在病毒木马攻击,如果是攻击,则触发自动在线查杀病毒;
判断是否潜在漏洞,如果是漏洞,则触发自动在线扫描漏洞和修复漏洞补丁,如果否,则正常转发网络包。
需要说明的是,上述实例仅作为一个具体的例子对本发明方案进行解释说明,具体的实现方法以及应用程序均可根据实际需求进行调整,本实施例对此不作限定。
本发明提供的虚拟机安全防护方法,适用于虚拟机实例的动态弹性伸缩时的动态安全防护服务应用,通过跟虚拟机实例动态调度联动进行动态地信息安全策略验证,采用检测识别攻击、防火墙、FWaaS、查杀病毒、AntiVirus aaS、漏洞扫描和修复漏洞、Scan&Repair aaS等手段,自动加强虚拟机的安全防护,能够保证虚拟机之间安全通信,虚拟机和应用的动态安全可靠。
图3为本发明提供的虚拟机安全防护系统结构示意图,如图3所示,本发明还提供一种虚拟机安全防护系统,包括:
第一防火墙更新单元,用于基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;
第二防火墙更新单元,用于在确定所述宿主机操作系统防火墙软件策略更新成功之后,更新防火墙设备策略和平台FWaaS防火墙服务策略;
网络请求验证单元,用于在确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功之后,验证网络请求确定网络请求是否满足预设条件;
网络包转发单元,用于在确定所述网络请求满足预设条件之后,触发防火墙转发网络包。
可选的,“服务注册和发现中心”主要提供服务提供者信息的存储,例如比如服务名、IP、端口、服务名,并且与服务提供者保持心跳以监控服务提供者的存活,如果心跳不能保持则注销服务实例。服务消费者定期向注册中心发送查询请求,以获取服务提供者的信息,获取信息之后就可以向服务提供者发起服务调用。
服务注册和发现中心中的虚拟机服务配置信息根据应用服务实时更新,守护进程自动获取服务注册和发现中心中更新的虚拟机服务配置信息,第一防火墙更新单元,用于根据该服务配置信息更新宿主机操作系统防火墙软件策略。并检查校验息更新宿主机操作系统防火墙软件策略的操作是否成功,若不成功重复更新过程。
第二防火墙更新单元,用于在已经确定所述宿主机操作系统防火墙软件策略更新成功的基础上,更新防火墙设备(物理设备防火墙)策略和平台FWaaS防火墙(虚拟机管理平台防火墙)服务策略。其中,FWaaS即“FireWall as a Service”的简称,把防火墙硬件软件资源或防火墙软件作为服务共享给整个平台使用,通过动态安全策略、弹性伸缩资源、灵活调度资源等最大化地使用防火墙资源。
因区域边界一般有边界防火墙设备做边界隔离,通过调用防火墙设备的API接口动态更新防火墙设备策略配置,允许指定来源的所有IP、指定端口的网络协议通信到达目的的IP、端口。同时通过虚拟资源池中FWaaS防火墙服务API更新平台FWaaS防火墙服务策略,允许指定来源的所有IP、指定端口的网络协议通信到达目的的IP、端口。更新后检查校验息更新防火墙设备策略和平台FWaaS防火墙服务策略的操作是否成功,若不成功重复更新过程。
网络请求验证单元,用于在已经确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功的基础上,验证网络请求确定网络请求是否满足预设条件。若确定不满足预设条件,则通过防火墙对网络包进行隔离。通过预设条件的判断规则,能够有效的对通信进行检测、筛选和过滤,阻止非法网络通信。
需要说明的是,该预设条件可以根据实际需求,基于网络通信的数据流量大小、访问次数和访问时间等条件进行设置,本实施例对此不作限定。
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,根据预先定义规则过滤网络流量,帮助计算机网络在不同区域之间、内外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
网络包转发单元,用于在确定网络请求满足预设条件之后,触发防火墙转发网络包,使得网络包能够正常转发,保障合法网络通信。
本发明提供的虚拟机安全防护系统,通过虚拟机服务配置信息实时对动态对接操作系统防火墙、FWaaS防火墙服务、防火墙设备进行更新,能够根据业务(应用服务)变化,自动联动更新信息安全策略,能够自动检测识别外部攻击和内部攻击,有效的对通信进行检测、筛选和过滤,阻止非法网络通信,抵御恶意网络攻击,保证虚拟环境数据交换的安全性。
需要说明的是,本发明实施例提供的虚拟机安全防护系统用于执行上述虚拟机安全防护方法,其具体的实施方式与方法实施方式一致,在此不再赘述。
图4为本发明提供的电子设备的实体结构示意图,如图4所示,所述电子设备可以包括:处理器(processor)410、通信接口(communication interface)420、存储器(memory)430和通信总线(bus)440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行上述虚拟机安全防护方法,包括:基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;若确定所述宿主机操作系统防火墙软件策略更新成功,则更新防火墙设备策略和平台FWaaS防火墙服务策略;若确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功,则验证网络请求确定网络请求是否满足预设条件;若确定所述网络请求满足预设条件,则触发防火墙转发网络包。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的虚拟机安全防护方法,该方法包括:基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;若确定所述宿主机操作系统防火墙软件策略更新成功,则更新防火墙设备策略和平台FWaaS防火墙服务策略;若确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功,则验证网络请求确定网络请求是否满足预设条件;若确定所述网络请求满足预设条件,则触发防火墙转发网络包。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的以执行虚拟机安全防护方法,该方法包括:基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;若确定所述宿主机操作系统防火墙软件策略更新成功,则更新防火墙设备策略和平台FWaaS防火墙服务策略;若确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功,则验证网络请求确定网络请求是否满足预设条件;若确定所述网络请求满足预设条件,则触发防火墙转发网络包。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种虚拟机安全防护方法,其特征在于,包括:
基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;
若确定所述宿主机操作系统防火墙软件策略更新成功,则更新防火墙设备策略和平台FWaaS防火墙服务策略;
若确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功,则验证网络请求确定网络请求是否满足预设条件;
若确定所述网络请求满足预设条件,则触发防火墙转发网络包;
所述基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略之前,还包括:
将所述更新的虚拟机服务配置信息写入所述服务注册和发现中心,以覆盖所述服务注册和发现中心中存储的历史虚拟机服务配置信息;
所述虚拟机服务配置信息包括:宿主机名称、宿主机MAC、宿主机IP、虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名和服务端口;
所述预设条件,包括:
同一来源客户端IP请求同一目标用户登录失败的次数小于预设次数;
并且,
同一来源客户端IP的目标端口的网速小于预设阈值。
2.根据权利要求1所述的虚拟机安全防护方法,其特征在于,还包括:
若确定所述网络请求不满足预设条件,则将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息。
3.根据权利要求2所述的虚拟机安全防护方法,其特征在于,所述将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息之后,还包括:
根据网络请求事件特征判断是否存在潜在病毒;
若确定存在潜在病毒,则触发杀毒功能。
4.根据权利要求2所述的虚拟机安全防护方法,其特征在于,所述将所述来源客户端IP和所述目标端口移入黑名单并发送预警信息之后,还包括:
根据网络请求事件特征判断是否存在潜在漏洞;
若确定存在潜在漏洞,则触发漏洞修补功能。
5.一种虚拟机安全防护系统,其特征在于,包括:
第一防火墙更新单元,用于基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略;
第二防火墙更新单元,用于在确定所述宿主机操作系统防火墙软件策略更新成功之后,更新防火墙设备策略和平台FWaaS防火墙服务策略;
网络请求验证单元,用于在确定所述防火墙设备策略和平台FWaaS防火墙服务策略均更新成功之后,验证网络请求确定网络请求是否满足预设条件;
网络包转发单元,用于在确定所述网络请求满足预设条件之后,触发防火墙转发网络包;
所述基于服务注册和发现中心中更新的虚拟机服务配置信息,更新宿主机操作系统防火墙软件策略之前,还包括:
将所述更新的虚拟机服务配置信息写入所述服务注册和发现中心,以覆盖所述服务注册和发现中心中存储的历史虚拟机服务配置信息;
所述虚拟机服务配置信息包括:宿主机名称、宿主机MAC、宿主机IP、虚拟机实例名、虚拟机主机名、虚拟机MAC、虚拟机IP、服务名和服务端口;
所述预设条件,包括:
同一来源客户端IP请求同一目标用户登录失败的次数小于预设次数;
并且,
同一来源客户端IP的目标端口的网速小于预设阈值。
6.一种电子设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至4任一所述的虚拟机安全防护方法。
7.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一所述的虚拟机安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011539893.9A CN112583841B (zh) | 2020-12-23 | 2020-12-23 | 虚拟机安全防护方法及系统、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011539893.9A CN112583841B (zh) | 2020-12-23 | 2020-12-23 | 虚拟机安全防护方法及系统、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112583841A CN112583841A (zh) | 2021-03-30 |
| CN112583841B true CN112583841B (zh) | 2023-03-24 |
Family
ID=75139488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011539893.9A Active CN112583841B (zh) | 2020-12-23 | 2020-12-23 | 虚拟机安全防护方法及系统、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583841B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114697230B (zh) * | 2022-03-18 | 2023-12-15 | 国网浙江省电力有限公司绍兴市上虞区供电公司 | 一种基于零信任的能源站安全监控系统及方法 |
| CN116938590B (zh) * | 2023-08-28 | 2024-02-13 | 广东中山网传媒信息科技有限公司 | 一种基于虚拟化技术的云安全管理方法与系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110086824A (zh) * | 2019-05-08 | 2019-08-02 | 苏州浪潮智能科技有限公司 | 一种虚拟机防火墙策略的自适应配置方法、装置及设备 |
| CN110290148A (zh) * | 2019-07-16 | 2019-09-27 | 深圳乐信软件技术有限公司 | 一种web防火墙的防御方法、装置、服务器及存储介质 |
| CN111614605A (zh) * | 2019-02-26 | 2020-09-01 | 瞻博网络公司 | 基于sdn虚拟防火墙的安全组信息的边界防火墙的自动配置 |
-
2020
- 2020-12-23 CN CN202011539893.9A patent/CN112583841B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111614605A (zh) * | 2019-02-26 | 2020-09-01 | 瞻博网络公司 | 基于sdn虚拟防火墙的安全组信息的边界防火墙的自动配置 |
| CN110086824A (zh) * | 2019-05-08 | 2019-08-02 | 苏州浪潮智能科技有限公司 | 一种虚拟机防火墙策略的自适应配置方法、装置及设备 |
| CN110290148A (zh) * | 2019-07-16 | 2019-09-27 | 深圳乐信软件技术有限公司 | 一种web防火墙的防御方法、装置、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112583841A (zh) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11489855B2 (en) | System and method of adding tags for use in detecting computer attacks | |
| JP6522707B2 (ja) | マルウェアに対処するための方法及び装置 | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US10033745B2 (en) | Method and system for virtual security isolation | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| EP2754081B1 (en) | Dynamic cleaning for malware using cloud technology | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| US20100071065A1 (en) | Infiltration of malware communications | |
| US9450974B2 (en) | Intrusion management | |
| US9710646B1 (en) | Malware detection using clustering with malware source information | |
| CN110119619B (zh) | 创建防病毒记录的系统和方法 | |
| US8458789B1 (en) | System, method and computer program product for identifying unwanted code associated with network communications | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| KR20170024428A (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
| US20220417255A1 (en) | Managed detection and response system and method based on endpoints | |
| US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
| CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 | |
| CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 | |
| JP2015082191A (ja) | 情報処理装置、情報処理方法 | |
| Moore et al. | Network Defence on the Cheap: Honeypots as Network Security Monitors |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |