CN113612785A - 基于sdn的防护系统及其控制方法 - Google Patents
基于sdn的防护系统及其控制方法 Download PDFInfo
- Publication number
- CN113612785A CN113612785A CN202110908636.6A CN202110908636A CN113612785A CN 113612785 A CN113612785 A CN 113612785A CN 202110908636 A CN202110908636 A CN 202110908636A CN 113612785 A CN113612785 A CN 113612785A
- Authority
- CN
- China
- Prior art keywords
- mirrored
- virtual
- information
- traffic
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004458 analytical method Methods 0.000 claims abstract description 89
- 230000004044 response Effects 0.000 claims abstract description 9
- 238000003860 storage Methods 0.000 description 17
- 238000004590 computer program Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000000644 propagated effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010035148 Plague Diseases 0.000 description 1
- 241000607479 Yersinia pestis Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000009828 non-uniform distribution Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Abstract
本发明提供了基于SDN的防护系统的控制方法,基于SDN的防护系统包括多个租户组成的集群,控制方法包括:通过SDN控制器将待镜像的流量配置到虚拟路由器上,待镜像的流量携带有虚拟网络的信息;将待镜像的流量分配至与所述集群连接的虚机,其中,每个所述虚机对应至少一个租户,虚机所在的物理节点根据待镜像的流量所包含的IP信息和/或MPLS信息确定;利用虚机对待镜像的流量携带的虚拟网络的信息进行安全性分析,且响应于安全分析结果为存在威胁信息,生成安全策略。本发明能够实现东西向流量多租户安全分析和防护。
Description
技术领域
本发明涉及计算机技术领域,尤其是涉及一种基于SDN的防护系统及其控制方法。
背景技术
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。那么,为了防止和避免遭受攻击和入侵,以确保网上信息的安全,网络安全系统起到了很大的作用。众所周知,云已经是当今IT建设部署的重要方式,不过云上的安全也令很多企业对其表示迟疑。当然,我们听到过很多云上的防火墙方案、分布式拒绝服务(Distributed Denial of Service,DDoS)等防护方案等等,这些都是边界的安全,它们主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量,不得不说这一层面的安全防护是十分必要的。然而,云内部的安全也是困扰很多企业的问题。例如,云平台内部不可视,用户无法管控虚机上的流量和应用;虚机之间缺乏威胁隔离机制,网络威胁一旦进入云平台内部,可以肆意蔓延等。
在东西向防护上,现在通常是通过虚机的安全组来进行防护,有厂商也把安全组叫做防火墙。安全组通常作用在虚机的虚拟网卡上,或者路由器的端口上,作用域都是网卡级别,而且只能做到四层,对于一个传输控制协议(Transmissi on Control Protocol,TCP)或者用户数据报协议(User Datagram Protocol,UD P)的服务的内部威胁是无法感知,因此对于应用的威胁是无法感知和防护。另外在虚拟化领域中存在多租户以及网段重叠的虚拟网络,无法识别出重叠网络的威胁源虚机。
基于此,有必要对现有防护系统进行改进。
发明内容
本发明的目的在于提供改进的防护系统及其控制方法,解决东西向流量多租户安全防护的问题。
本发明的目的采用以下技术方案实现:
第一方面,本发明提供了基于SDN的防护系统的控制方法,所述基于SDN的防护系统包括多个租户组成的集群,所述控制方法包括:通过SDN控制器将待镜像的流量配置到虚拟路由器上,所述待镜像的流量携带有虚拟网络的信息;将所述待镜像的流量分配至与所述集群连接的一个或多个虚机,其中,每个所述虚机对应至少一个租户,一个或多个虚机所在的物理节点根据所述待镜像的流量所包含的IP信息和/或MPLS信息确定;以及,利用所述虚机对所述待镜像的流量携带的虚拟网络的信息进行安全性分析,且响应于安全分析结果为存在威胁信息,生成安全策略。该技术方案的有益效果在于,考虑到在虚拟化中集群面临多租户的挑战,不同的租户可能具有相同的网段,相同的租户的不同虚拟网络也可能具有相同的网段,即不同虚拟网络中会存在相同IP地址的虚机,本发明通过将待镜像的流量配置有虚拟网络的信息,待镜像的流量能够携带虚拟网络的信息,利用所述虚机对多个租户进行安全性分析,在安全性分析后根据虚拟网络的信息即可确定存在安全风险的待镜像的流量,能够在检测出威胁流量后分辨出存在威胁虚拟网络的虚机及其对应的租户,同时也解决了虚拟网络识别重叠网络威胁源的问题。
在一些可选的实施例中,所述通过SDN控制器将待镜像的流量配置到虚拟路由器上包括:建立ArSDN旁路流量镜像;通过SDN控制器将待镜像的流量配置到对应的ArSDN虚拟路由器上;以及,在待镜像流量的IP Option字段中配置自定义的虚拟网络信息。该技术方案的有益效果在于,能够同时对多租户进行监控,提高监控效率。
在一些可选的实施例中,所述响应于安全分析结果为存在威胁信息,生成安全策略包括:响应于安全分析结果为存在威胁信息,根据待镜像流量的虚拟网络信息以及虚机的IP信息,上报对应威胁信息的租户至云平台;生成并下发安全策略阻断所述待镜像的流量或者关闭对应IP信息的虚机。该技术方案的有益效果在于,根据威胁信息等级或类别,生成更有针对性的安全策略,以在不影响正常业务的前提下实现安全防护。
在一些可选的实施例中,响应于安全分析结果为未检测到存在威胁信息,建立云平台和所述租户之间的连接。
在一些可选的实施例中,利用所述虚机对所述待镜像的流量携带的虚拟网络的信息进行安全性分析包括:提供虚拟检测设备形成的所述虚机,所述虚拟检测设备与所述集群并列运行;利用所述并列运行的虚拟检测设备对所述待镜像的流量携带的虚拟网络的信息进行安全性分析,并生成所述安全分析结果,所述安全分析结果为多租户下的安全分析结果。该技术方案的有益效果在于,安全分析的设备可以为第三方分析公司的虚拟检测设备,由于是旁路检测,不用担心分析报文带来的延时对业务产生影响。通过对报文内容的分析可以检测出访问的URL,以及内容中是否带有威胁信息,当检测出威胁后根据虚拟网络和虚机IP上报对应租户的威胁情报,在监控通道异常时也不影响正常流量的通信。
在一些可选的实施例中,所述安全分析结果包括威胁信息等级或类别。该技术方案的有益效果在于,威胁信息划分不同的等级或类别,能够根据根据威胁信息等级或类别,生成不同的策略,例如:进行告警;下发安全策略阻断流量;或者关闭威胁虚机,以实现阻断威胁源的目的。
第二方面,本发明提供了基于SDN的防护系统,所述基于SDN的防护系统包括云平台、SDN控制器、多个租户组成的集群以及安全管理平台;所述SDN控制器用于将待镜像的流量配置到虚拟路由器上,所述待镜像的流量携带有虚拟网络的信息;所述安全管理平台包括与所述集群连接的一个或多个虚机,所述安全管理平台用于将所述待镜像的流量分配至所述集群的一个或多个虚机,其中,一个或多个虚机所在的物理节点根据所述待镜像的流量所包含的IP信息和/或MPLS信息确定;所述虚机对所述待镜像的流量携带的虚拟网络的信息进行安全性分析;所述云平台用于响应于安全分析结果,以及生成安全策略。该技术方案的有益效果在于,考虑到在虚拟化中集群面临多租户的挑战,不同的租户可能具有相同的网段,相同的租户的不同虚拟网络也可能具有相同的网段,即不同虚拟网络中会存在相同IP地址的虚机,本发明通过将待镜像的流量配置有虚拟网络的信息,待镜像的流量能够携带虚拟网络的信息,对与所述虚机连接的租户进行安全性分析,在安全性分析后根据虚拟网络的信息即可确定存在安全风险的虚机,能够在检测出威胁流量后分辨出存在威胁虚拟网络的虚机,同时也解决了虚拟网络识别重叠网络威胁源的问题。本发明的防护系统既解决了东西向流量多租户安全防护的问题,也可作为多芯多栈下通用的安全解决方案。
在一些可选的实施例中,所述分析结果为存在威胁信息时,所述安全管理平台上报对应威胁信息的租户至所述云平台,所述云平台生成并下发所述安全策略,所述安全策略包括所述云平台阻断所述待镜像的流量或者所述SDN控制器关闭所述虚机。该技术方案的有益效果在于,够保证正常业务的正常运行,而进处理存在风险的虚机,避免延时问题。
在一些可选的实施例中,所述虚机包括虚拟检测设备,所述虚拟检测设备与所述集群并列运行。该技术方案的有益效果在于,所述虚拟检测设备形成旁路检测,避免了对正常业务流量的影响,不增加时延,在监控通道异常时也不影响正常流量的通信。
在一些可选的实施例中,所述云平台还用于在根据所述安全分析结果确定所述集群安全后,继续建立与所述集群的连接。
在一些可选的实施例中,所述安全分析结果包括威胁信息等级,所述威胁信息等级至少包括两级。该技术方案的有益效果在于,威胁信息划分不同的等级或类别,能够根据根据威胁信息等级或类别,生成不同的策略,例如:进行告警;下发安全策略阻断流量;或者关闭威胁虚机,以实现阻断威胁源的目的。
在一些可选的实施例中,所述SDN控制器为采用Overlay的架构的多集群SDN控制器。该技术方案的有益效果在于,SDN控制器将网络设备上的控制权分离出来,由集中的控制器管理,无须依赖底层网络设备,屏蔽了来自底层网络设备的差异,而控制权是完全开放的,用户可以自定义任何想实现的网络路由和传输规则策略,从而更加灵活和智能。
在一些可选的实施例中,所述SDN控制器还用于在建立ArSDN旁路流量镜像后,将需要镜像的流量配置到对应的ArSDN虚拟路由器上。
第三方面,本发明提供了一种电子设备,所述电子设备包括存储器、处理器以及用于执行任务的硬件模组,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项方法的步骤。
第四方面,本发明提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项方法的步骤。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1为本发明实施例提供的基于SDN的防护系统的控制方法;
图2为本发明实施例提供的待镜像的流量在SDN控制器至虚拟路由器传播示意图;
图3为本发明实施例提供的待镜像的流量生产的报文示意图;
图4为本发明实施例提供的基于SDN的防护系统结构示意图;
图5为本发明实施例提供的基于ArSDN的防护系统结构示意图;
图6是本发明实施例提供的一种电子设备的结构示意图;
图7是本发明实施例提供的一种用于实现选型方法的程序产品的结构示意图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述,需要说明的是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
参见图1,本发明实施例提供了基于SDN的防护系统的控制方法,该法适用于防火墙、IDS(网络入侵检测系统)、IPS(入侵防御系统)等具体场景,以能够实现业务持续性,业务数据的私密性。控制方法包括步骤S101~S103,在此实施例中,基于SDN的防护系统包括云平台、SDN控制器、多个租户组成的集群以及安全管理平台。集群连接有一个或多个虚机。SDN控制器连接集群的一个或多个租户。安全管理平台连接集群,安全管理平台包含有多个虚机,每个租户都对应一个虚机,当然,一个虚机可同时对应多个租户。云平台能够同时与SDN控制器、安全管理平台连接。需要说明的是,本申请实施例中的不同组件、器件之间的“连接”可以通过有线连接实现,也可通过无线连接实现,只要两者建立通信连接即可。
步骤S101,通过SDN控制器将待镜像的流量配置到虚拟路由器上,待镜像的流量携带有虚拟网络的信息。
步骤S102,将待镜像的流量分配至与集群连接的一个或多个虚机,其中一个或多个虚机所在的物理节点根据待镜像的流量包含的IP信息和/或MPLS信息确定。在此实施例中,每个虚机(安全分析虚机)可对应一个租户或者同时对应多个租户。待镜像的流量通过虚拟路由器至虚机,其分配依据为前述的IP信息和/或MPLS(Multiprotocol LabelSwitching,多协议标签交换)信息。
步骤S103,利用虚机对待镜像的流量携带的虚拟网络的信息进行安全性分析,且响应于安全分析结果为存在威胁信息时,生成安全策略。本申请实施例中的安全分析结果为虚机所对应虚拟网络的安全分析结果,或者为虚拟网络所连接的租户的安全分析结果,又或者两者均有。本实施方式中生成安全策略包括,响应于安全分析结果为存在威胁信息时,根据待镜像流量的虚拟网络信息以及虚机的IP信息(虚机对应的IP信息),上报对应威胁信息的租户至云平台,生成并下发安全策略阻断待镜像的流量或者关闭对应IP信息的虚机。需要指出的是,在安全分析结果为未检测到存在威胁信息时,建立云平台和所述租户之间的连接,通过上述方案能够保证正常业务的正常运行,处理存在风险的虚机,避免延时问题。
可选的,利用虚机对待镜像的流量携带的虚拟网络的信息进行安全性分析包括:提供与集群/租户并列运行的作为虚机的虚拟检测设备;利用所述并列运行的虚拟检测设备对所述待镜像的流量携带的虚拟网络的信息进行安全性分析,生成多租户的安全分析结果,从而得到整个集群的分析结果。在一个实施例中,SDN控制器选择多集群SDN(ArSDN),通过SDN控制器将待镜像的流量配置到虚拟路由器上包括:建立ArSDN旁路流量镜像,再通过SDN控制器把需要镜像的流量配置到对应的ArSDN虚拟路由器上,在待镜像流量的IPOption(IP选项)字段中配置自定义的虚拟网络信息。当建立起虚机与集群的通信连接时,流量会被镜像到对应的安全资源池中的虚机。
如图2所示,为本发明一实施例的待镜像的流量在SDN控制器至虚拟路由器传播示意图。在此实施例中,SDN控制器201选择ArSDN。待镜像的流量可从租户处发出,待镜像的流量经由SDN控制器201被配置到对应的虚拟路由器202上。当虚机进行通信时,待镜像的流量会被镜像到对应的安全资源池中的安全分析设备上,该安全分析设备即为对应的虚机,即实现待镜像的流量由虚拟路由器202至虚机。
在一个实施例中,将待镜像的流量分配至与集群连接的一个或多个虚机包括:在服务器虚拟化内部,针对特定的流量进行流量镜像,通过SDN的隧道,将待镜像的流量送到安全分析资源池,安全分析资源池中的安全网元可以对流量进行IDP(IntrusionDetection Systems)、IPS(Intrusion Prevention System)等威胁分析。流量封装模式为外层IP头,目的IP为安全分析资源池中的虚机所在host(宿主机)的IP,下一层为MPLS头,MPLS中的标签为安全资源池中对应安全虚机的MPLS标签。待镜像的流量通过外层IP地址送到安全虚机所在的物理节点。待镜像的流量到达对应的物理节点后,根据虚机和MPLS标签的对应关系表,就可以直接将待镜像的流量送给对应的安全分析设备(虚机)。
在一实施例中,待镜像的流量生产的报文如图3所示,其包括L4-L7数据流,IP开始段、MPLS多协议标签交换协议、UDP用户数据包协议、IP截止段以及EtherNet/IP形成的“以太网工业协议”(Ethernet Industrial Protocol)等。
进一步的,考虑到在虚拟化中还面临一个多租户的挑战,不同的租户可能具有相同的网段,相同的租户的不同虚拟网络也可能具有相同的网段,这给检测威胁虚机带来了挑战,即不同虚拟网络中会存在相同IP地址的虚机。因此,虚机检测出威胁流量后无法分辨是哪个虚拟网络的虚机存在威胁。本发明实施例进一步的,利用虚机对待镜像的流量携带的虚拟网络的信息进行安全性分析,且响应于安全分析结果为存在威胁信息时,生成安全策略。
可选的,安全分析结果可以为存在威胁信息、未存在威胁信息等。威胁信息可划分等级或类别,安全策略包括阻断所述待镜像的流量或者关闭虚机。由于安全分析信息中已经包含租户、虚拟网络以及对应威胁虚机的信息。云平台可以根据威胁信息等级类别,进行告警、下发安全策略阻断流量,或者关闭威胁虚机从而达到阻断威胁源的目的。
本发明同时也解决了虚拟网络如何解决识别重叠网络威胁源的问题。在镜像的流量中,将虚拟网络的信息写入到IP option(可选)字段中,这样镜像的流量就带着虚拟网络的信息送给具有安全分析功能的虚机。包含安全分析设备的虚机收到流量后根据IPoption中的虚拟网络信息进行虚拟网络的安全分析。由于IP option字段中的存储内容可以自定义,因此,在本发明中可以通过自定义该字段中的存储信息,来区别每一个待镜像的流量,即给每一个待镜像的流量打上独有的识别标签。在接下来的安全性分析过程中,即使前端存在IP重合的待镜像的流量,也可以通过第二层IP option字段中的自定义信息来区别不同的待镜像流量的身份。如此就可以有效的解决识别重叠网络威胁源的问题了。
应当注意以上关于监测方法流程的描述仅仅是出于说明的目的而提供的,并不旨在限制本发明的范围。对于本领域的普通技术人员来说,根据本发明的教导可以做出多种变化和修改。然而,这些变化和修改不会背离本发明的范围。在一些实施例中,安全通道异常监测方法流程可以利用未描述的一个或以上附加操作和/或没有所讨论的一个或以上个操作来完成。
如图4所示,为本发明一实施例的基于SDN的防护系统结构示意图,基于SDN的防护系统包括云平台401、SDN控制器402、多个租户组成的集群403以及安全管理平台404。
其中,SDN控制器402,连接集群的每个租户,用于将待镜像的流量配置到虚拟路由器上,待镜像的流量携带有虚拟网络的信息。具体的,先建立ArSDN旁路流量镜像,ArSDN通过SDN控制器402把需要镜像的流量配置到对应的ArSDN虚拟路由器上,以及在待镜像流量的IP Option字段中配置自定义其虚拟网络信息。
多个租户组成的集群403可包括相互独立工作的多个租户。
安全管理平台404,与集群403连接,安全管理平台404包括与集群403连接的一个或多个虚机。安全管理平台404用于将待镜像的流量分配至集群的一个或多个虚机,其中,每个所述虚机对应一个或多个租户,一个或多个虚机所在的物理节点根据待镜像的流量所包含的IP信息和/或MPLS信息确定;以及,虚机能够对待镜像的流量携带的虚拟网络的信息进行安全性分析。安全性分析的结果可以包括与虚机连接的虚拟网络的安全分析结果、发送待镜像的流量的租户的安全分析结果或者两者的组合。
云平台401用于响应于安全分析结果为存在威胁信息,生成安全策略。在此实施例中,安全管理平台404能够实现按租户上报危险分析结果至云平台401,利于实现对每个租户的分别监控。
本发明实施例中,考虑到在虚拟化中集群面临多租户的挑战,不同的租户可能具有相同的网段,相同的租户的不同虚拟网络也可能具有相同的网段,即不同虚拟网络中会存在相同IP地址的虚机,本发明通过将待镜像的流量配置有虚拟网络的信息,待镜像的流量能够携带虚拟网络的信息。在镜像的流量中,将虚拟网络的信息写入到IP option(可选)字段中,这样镜像的流量就带着虚拟网络的信息送给具有安全分析功能的虚机。包含安全分析设备的虚机收到流量后根据IP option中的虚拟网络信息进行虚拟网络的安全分析。由于IP option字段中的存储内容可以自定义,因此,在本发明中可以通过自定义该字段中的存储信息,来区别每一个待镜像的流量,即给每一个待镜像的流量打上独有的识别标签。在接下来的安全性分析过程中,即使前端存在IP信息重合的待镜像的流量,也可以通过第二层IP option字段中的自定义信息来区别不同的待镜像流量的身份。虚机对待镜像的流量进行安全性分析,在安全性分析后根据虚拟网络的信息即可确定存在安全风险的虚机,能够在检测出威胁流量后分辨出存在威胁虚拟网络的虚机或者对应的租户,同时也解决了虚拟网络识别重叠网络威胁源的问题。本发明的防护系统既解决了东西向流量多租户安全防护的问题,也可作为多芯多栈下通用的安全解决方案。
如图5所示,为本发明一实施例的基于ArSDN的防护系统结构示意图。基于ArSDN的防护系统包括云平台(图中云管平台)、SDN控制器(图中ArSD N)、安全管理平台以及由租户A-C组成的集群。租户A-C对应多个虚机(VM),且虚机可具设置Bridged(桥接模式)、NAT(网络地址转换模式)、Host-Only(仅主机模式)等多种工作模式。
其中,租户A-C可相互独立工作。示例性的,租户A-C可包括不同的处理器架构,例如租户A设置为arm架构,租户C设置为x86架构。其中,arm架构由32位算术逻辑单元(arithmetic and logic unit,ALU)、若干个32位通用寄存器以及状态寄存器、32&TImes、8位乘法器、32位桶形移位寄存器、指令译码以及控制逻辑、指令流水线和数据/地址寄存器组成。x86架构可由CPU、北桥(North Bridge Chipset)、南桥芯片(South Bridge)、南桥芯片(South Bridge)、显卡、内存、显示j接口、网卡、声卡以及总线等组成。
其中,集群的每个租户与安全管理平台连接,即集群与安全管理平台连接。SDN控制器为采用Overlay的架构的多集群SDN控制器,集群与安全管理平台建立ArSDN旁路流量镜像。示例性的,ArSDN控制器可将待镜像的流量配置到虚拟路由器上,待镜像的流量携可带有虚拟网络的信息。
安全管理平台可对待镜像的流量进行安全性分析。待镜像的流量在安全管理平台内依次经过vWAF(虚拟网站应用级入侵防御系统)和vFW(虚拟防火墙)等安全网元进行安全性分析。可选的,安全管理平台将待镜像的流量分配至集群的一个或多个虚机,其中,每个所述虚机对应一个租户,一个或多个虚机所在的物理节点根据待镜像的流量所包含的IP信息和/或MPLS信息确定;以及,安全管理平台的虚机对待镜像的流量携带的虚拟网络的信息进行安全性分析。可选的,安全管理平台包括作为虚机的虚拟检测设备,该虚拟检测设备与集群并列运行。
安全管理平台与云平台连接。安全分析结果包括威胁信息等级或类别,威胁信息等级至少包括两级。云平台用于根据安全分析结果,生成安全策略。可选的,云平台能够根据威胁信息等级类别,进行告警、下发安全策略阻断流量,或者关闭威胁虚机从而达到阻断威胁源的目的。在此实施例中,通过虚拟网络信息和虚机的IP信息确定对应存在威胁隐患的租户信息生成用户威胁分析结果,安全管理平台将用户威胁分析结果发送至云平台,云平台在接收到分析结果后向ArSD N下发安全策略,阻断流量,关闭存在危险的虚拟网络。
本发明实施例中既解决了东西向流量多租户安全防护的问题,也解决了多芯多栈下通用的安全解决方案。同时旁路检测,避免了对正常业务流量的影响,不增加时延,在监控通道异常时也不影响正常流量的通信。
参见图6,本发明实施例还提供了一种电子设备200,电子设备200包括至少一个存储器210、至少一个处理器220以及连接不同平台系统的总线230。
存储器210可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)211和/或高速缓存存储器212,还可以进一步包括只读存储器(ROM)213。
其中,存储器210还存储有计算机程序,计算机程序可以被处理器220执行,使得处理器220执行基于SDN的防护系统的控制方法:通过SDN控制器将待镜像的流量配置到虚拟路由器上,待镜像的流量携带有虚拟网络的信息;将待镜像的流量分配至集群的一个或多个虚机,其中,每个虚机对应连接一个或多个租户,一个或多个虚机所在的物理节点根据待镜像的流量所包含的IP信息和/或MPLS信息确定;以及,利用虚机对待镜像的流量携带的虚拟网络的信息进行安全性分析,且相应于安全分析结果为存在威胁信息,生成安全策略。或者,安全分析结果为未检测到存在威胁信息时,建立云平台和租户之间的连接。其具体实现方式与上述方法的实施例中记载的实施方式、所达到的技术效果一致,部分内容不再赘述。存储器210还可以包括具有一组(至少一个)程序模块215的程序/实用工具214,这样的程序模块215包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
相应的,处理器220可以执行上述计算机程序,以及可以执行程序/实用工具214。
总线230可以为表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备200也可以与一个或多个外部设备240例如键盘、指向设备、蓝牙设备等通信,还可与一个或者多个能够与该电子设备200交互的设备通信,和/或与使得该电子设备200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口250进行。并且,电子设备200还可以通过网络适配器260与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器260可以通过总线230与电子设备200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质用于存储计算机程序,所述计算机程序被执行时实现:将待镜像的流量配置到虚拟路由器上,待镜像的流量携带有虚拟网络的信息;将待镜像的流量分配至集群的一个或多个虚机,其中,每个虚机对应连接一个或多个租户,一个或多个虚机所在的物理节点根据待镜像的流量所包含的IP信息和/或MPLS信息确定;以及,根据待镜像的流量携带的虚拟网络的信息,对虚机对应的虚拟网络或租户进行安全性分析,且响应于安全分析结果存在威胁信息时,生成安全策略。其具体实现方式与上述方法的实施例中记载的实施方式、所达到的技术效果一致,部分内容不再赘述。
图7示出了本实施例提供的用于实现上述方法的程序产品300,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品300不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。程序产品300可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言诸如Java、C++等,还包括常规的过程式程序设计语言诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明从使用目的上,效能上,进步及新颖性等观点进行阐述,其设置有的实用进步性,已符合专利法所强调的功能增进及使用要件,本发明以上的说明及附图,仅为本发明的较佳实施例而已,并非以此局限本发明,因此,凡一切与本发明构造,装置,特征等近似、雷同的,即凡依本发明专利申请范围所作的等同替换或修饰等,皆应属本发明的专利申请保护的范围之内。
Claims (11)
1.一种基于SDN的防护系统的控制方法,所述基于SDN的防护系统包括多个租户组成的集群,其特征在于,所述控制方法包括:
通过SDN控制器将待镜像的流量配置到虚拟路由器上,所述待镜像的流量携带有虚拟网络的信息;
将所述待镜像的流量分配至与所述集群连接的一个或多个虚机,其中,每个所述虚机对应至少一个租户,一个或多个虚机所在的物理节点根据所述待镜像的流量所包含的IP信息和/或MPLS信息确定;以及,
利用所述虚机对所述待镜像的流量携带的虚拟网络的信息进行安全性分析,且响应于安全分析结果为存在威胁信息,生成安全策略。
2.根据权利要求1所述的基于SDN的防护系统的控制方法,其特征在于:所述通过SDN控制器将待镜像的流量配置到虚拟路由器上包括:
建立ArSDN旁路流量镜像;
通过SDN控制器将待镜像的流量配置到对应的ArSDN虚拟路由器上;以及,
在待镜像流量的IPOption字段中配置自定义的虚拟网络信息。
3.根据权利要求1所述的基于SDN的防护系统的控制方法,其特征在于,所述响应于安全分析结果为存在威胁信息,生成安全策略包括:
响应于安全分析结果为存在威胁信息,根据待镜像流量的虚拟网络信息以及虚机的IP信息,上报对应威胁信息的租户至云平台;
生成并下发安全策略阻断所述待镜像的流量或者关闭对应IP信息的虚机。
4.根据权利要求1所述的基于SDN的防护系统的控制方法,其特征在于,响应于安全分析结果为未检测到存在威胁信息,建立云平台和所述租户之间的连接。
5.根据权利要求1所述的基于SDN的防护系统的控制方法,其特征在于,利用所述虚机对所述待镜像的流量携带的虚拟网络的信息进行安全性分析包括:
提供虚拟检测设备形成的所述虚机,所述虚拟检测设备与所述集群并列运行;
利用所述并列运行的虚拟检测设备对所述待镜像的流量携带的虚拟网络的信息进行安全性分析,并生成所述安全分析结果,所述安全分析结果为多租户下的安全分析结果。
6.根据权利要求5所述的基于SDN的防护系统的控制方法,其特征在于,所述安全分析结果包括威胁信息等级或类别。
7.一种基于SDN的防护系统,其特征在于,所述基于SDN的防护系统包括云平台、SDN控制器、多个租户组成的集群以及安全管理平台;
所述SDN控制器用于将待镜像的流量配置到虚拟路由器上,所述待镜像的流量携带有虚拟网络的信息;
所述安全管理平台包括与所述集群连接的一个或多个虚机,所述安全管理平台用于将所述待镜像的流量分配至所述集群的一个或多个虚机,其中,一个或多个虚机所在的物理节点根据所述待镜像的流量所包含的IP信息和/或MPLS信息确定;所述虚机对所述待镜像的流量携带的虚拟网络的信息进行安全性分析;
所述云平台用于响应于安全分析结果,以及生成安全策略。
8.根据权利要求7所述的基于SDN的防护系统,其特征在于,所述分析结果为存在威胁信息时,所述安全管理平台上报对应威胁信息的租户至所述云平台,所述云平台生成并下发所述安全策略,所述安全策略包括所述云平台阻断所述待镜像的流量或者所述SDN控制器关闭所述虚机。
9.根据权利要求7所述的所述的基于SDN的防护系统,其特征在于,所述虚机包括虚拟检测设备,所述虚拟检测设备与所述集群并列运行;所述云平台还用于在根据所述安全分析结果确定所述集群安全后,继续建立与所述集群的连接。
10.根据权利要求9所述的所述的基于SDN的防护系统,其特征在于,所述安全分析结果包括威胁信息等级,所述威胁信息等级至少包括两级。
11.根据权利要求7至10任一项所述的基于SDN的防护系统,其特征在于,所述SDN控制器还用于在建立ArSDN旁路流量镜像后,将需要镜像的流量配置到对应的ArSDN虚拟路由器上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110908636.6A CN113612785A (zh) | 2021-08-09 | 2021-08-09 | 基于sdn的防护系统及其控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110908636.6A CN113612785A (zh) | 2021-08-09 | 2021-08-09 | 基于sdn的防护系统及其控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113612785A true CN113612785A (zh) | 2021-11-05 |
Family
ID=78307681
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110908636.6A Pending CN113612785A (zh) | 2021-08-09 | 2021-08-09 | 基于sdn的防护系统及其控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113612785A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086213A (zh) * | 2022-06-09 | 2022-09-20 | 江苏安超云软件有限公司 | 在软件定义网络环境下的流量镜像方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713365A (zh) * | 2017-02-28 | 2017-05-24 | 郑州云海信息技术有限公司 | 一种基于云环境的网络安全系统 |
| CN106961400A (zh) * | 2017-03-30 | 2017-07-18 | 深圳市神云科技有限公司 | 一种实现云平台虚拟端口镜像的方法和系统 |
| CN107346259A (zh) * | 2017-05-10 | 2017-11-14 | 国家计算机网络与信息安全管理中心 | 一种动态部署安全能力的实现方法 |
| CN108092845A (zh) * | 2017-11-06 | 2018-05-29 | 中国银联股份有限公司 | 镜像流量的区分和定位 |
| CN109391517A (zh) * | 2017-08-02 | 2019-02-26 | 联想企业解决方案(新加坡)有限公司 | 用于监控覆盖网络中的数据流量的方法 |
| CN112839052A (zh) * | 2021-01-25 | 2021-05-25 | 北京六方云信息技术有限公司 | 虚拟网络的安全防护系统、方法、服务器及可读存储介质 |
-
2021
- 2021-08-09 CN CN202110908636.6A patent/CN113612785A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713365A (zh) * | 2017-02-28 | 2017-05-24 | 郑州云海信息技术有限公司 | 一种基于云环境的网络安全系统 |
| CN106961400A (zh) * | 2017-03-30 | 2017-07-18 | 深圳市神云科技有限公司 | 一种实现云平台虚拟端口镜像的方法和系统 |
| CN107346259A (zh) * | 2017-05-10 | 2017-11-14 | 国家计算机网络与信息安全管理中心 | 一种动态部署安全能力的实现方法 |
| CN109391517A (zh) * | 2017-08-02 | 2019-02-26 | 联想企业解决方案(新加坡)有限公司 | 用于监控覆盖网络中的数据流量的方法 |
| CN108092845A (zh) * | 2017-11-06 | 2018-05-29 | 中国银联股份有限公司 | 镜像流量的区分和定位 |
| CN112839052A (zh) * | 2021-01-25 | 2021-05-25 | 北京六方云信息技术有限公司 | 虚拟网络的安全防护系统、方法、服务器及可读存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086213A (zh) * | 2022-06-09 | 2022-09-20 | 江苏安超云软件有限公司 | 在软件定义网络环境下的流量镜像方法及装置 |
| CN115086213B (zh) * | 2022-06-09 | 2023-08-29 | 江苏安超云软件有限公司 | 在软件定义网络环境下的流量镜像方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10834108B2 (en) | Data protection in a networked computing environment | |
| Ibrahim et al. | Emerging security challenges of cloud virtual infrastructure | |
| RU2738021C2 (ru) | Система и способы для дешифрования сетевого трафика в виртуализированной среде | |
| JP6772270B2 (ja) | 複数のネットワークエンドポイントをセキュアにするためのデュアルメモリイントロスペクション | |
| Dawoud et al. | Infrastructure as a service security: Challenges and solutions | |
| US9954872B2 (en) | System and method for identifying unauthorized activities on a computer system using a data structure model | |
| US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
| US10979452B2 (en) | Blockchain-based malware containment in a network resource | |
| US9594881B2 (en) | System and method for passive threat detection using virtual memory inspection | |
| Tupakula et al. | Intrusion detection techniques for infrastructure as a service cloud | |
| US20200162469A1 (en) | Detection and prevention of attempts to access sensitive information in real-time | |
| US11171985B1 (en) | System and method to detect lateral movement of ransomware by deploying a security appliance over a shared network to implement a default gateway with point-to-point links between endpoints | |
| TW201703486A (zh) | 於分佈式網路實現安全功能 | |
| US10484418B2 (en) | Systems and methods for updating security policies for network traffic | |
| Brooks et al. | Security vulnerability analysis in virtualized computing environments | |
| US20210105300A1 (en) | Methods and systems that detect and deflect denial-of-service attacks | |
| Narayana et al. | Survey on cross virtual machine side channel attack detection and properties of cloud computing as sustainable material | |
| Laniepce et al. | Engineering intrusion prevention services for iaas clouds: The way of the hypervisor | |
| Yadav et al. | Entropy based mitigation of distributed-denial-of-service (ddos) attack on control plane in software-defined-network (sdn) | |
| CN113612785A (zh) | 基于sdn的防护系统及其控制方法 | |
| Brooks et al. | Security challenges and countermeasures for trusted virtualized computing environments | |
| AlMutair et al. | A new virtualization-based security architecture in a cloud computing environment | |
| Jin et al. | Vmfence: a customized intrusion prevention system in distributed virtual computing environment | |
| Khan et al. | A Deep Study on security vulnerabilities in virtualization at cloud computing | |
| Chung | Sdn-based proactive defense mechanism in a cloud system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211105 |
|
| RJ01 | Rejection of invention patent application after publication |