CN115622808B - 安全隔离的方法、电子设备、计算机可读介质 - Google Patents

安全隔离的方法、电子设备、计算机可读介质 Download PDF

Info

Publication number
CN115622808B
CN115622808B CN202211593731.2A CN202211593731A CN115622808B CN 115622808 B CN115622808 B CN 115622808B CN 202211593731 A CN202211593731 A CN 202211593731A CN 115622808 B CN115622808 B CN 115622808B
Authority
CN
China
Prior art keywords
access
access relation
virtual machines
relation
isolation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211593731.2A
Other languages
English (en)
Other versions
CN115622808A (zh
Inventor
张廷彪
宁振宇
倪梦迪
赵莹
高磊
崔鑫铭
石志国
赵章界
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Big Data Center
Original Assignee
Beijing Big Data Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Big Data Center filed Critical Beijing Big Data Center
Priority to CN202211593731.2A priority Critical patent/CN115622808B/zh
Publication of CN115622808A publication Critical patent/CN115622808A/zh
Application granted granted Critical
Publication of CN115622808B publication Critical patent/CN115622808B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开涉及网络安全技术领域,提供一种安全隔离的方法,包括:接收虚拟机发送的访问关系信息,其中,所述访问关系信息表征多个所述虚拟机之间的业务访问关系;根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析;根据分析结果向各个所述虚拟机下发隔离指令,所述隔离指令携带访问关系策略。本公开还提供一种应用于虚拟机中的安全隔离的方法、一种电子设备、一种计算机可读介质。本公开能够有效防止数据中心内网中的横向攻击。

Description

安全隔离的方法、电子设备、计算机可读介质
技术领域
本公开实施例涉及网络安全技术领域,特别涉及一种安全隔离的方法、一种电子设备、一种计算机可读介质。
背景技术
为了应对新型网络攻击技术的攻击,满足高安全性网络的独特安全需求,基于安全防护防范理念的网络安全技术——网络隔离技术——应运而生。网络隔离技术的主要目标是将有害的网络安全威胁进行隔离,保障数据信息在可信网络内进行安全交互。网络隔离技术通常是以访问控制为策略、以物理隔离为基础,并通过定义相关约束和规则来保障网络的安全强度。传统的网络隔离技术主要应用于内网和外网之间的安全隔离,能够提供强大的外围保护以防止来自外网的威胁。但是,传统的网络隔离技术对于内网中主机之间的安全隔离要求则无法满足,一旦攻击者进入内网,由于内网中几乎没有防御措施,容易造成重大损失。
一般来说,数据中心大约20%的流量是内网与外网之间的数据交换产生的流量,80%的流量是内网中主机之间的流量。因此,内网中主机之间的安全隔离是值得关注的问题。
发明内容
本公开实施例提供一种安全隔离的方法、一种电子设备、一种计算机可读介质。
第一方面,本公开实施例提供一种安全隔离的方法,包括:
接收虚拟机发送的访问关系信息,其中,所述访问关系信息表征多个所述虚拟机之间的业务访问关系;
根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析;
根据分析结果向各个所述虚拟机下发隔离指令,所述隔离指令携带访问关系策略。
在一些实施例中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,包括:
对预设时间段内的所述访问关系信息进行分析,确定所述虚拟机之间的正常访问关系;
根据所述虚拟机之间的正常访问关系,确定所述访问关系信息表征的所述业务访问关系是否异常。
在一些实施例中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,还包括:
根据所述访问关系信息生成可视化界面,对不同所述虚拟机之间、不同虚拟机分组之间的业务访问关系进行可视化展示。
在一些实施例中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,还包括:
在所述可视化界面中对存在异常的业务访问关系进行告警提示。
在一些实施例中,根据分析结果向各个所述虚拟机下发隔离指令,包括:
根据所述分析结果生成各个所述虚拟机的访问关系策略;
分别向各个所述虚拟机发送所述隔离指令,以向各个所述虚拟机下发对应的访问关系策略。
第二方面,本公开实施例提供一种安全隔离的方法,包括:
通过Audit插件采集虚拟机的所有网络连接,向服务端发送访问关系信息,其中,所述访问关系信息表征多个所述虚拟机之间的业务访问关系;
接收所述服务端下发的隔离指令,其中,所述隔离指令携带访问关系策略;
根据所述隔离指令将所述访问关系策略配置到防火墙中;
根据所述访问关系策略对虚拟机之间的业务访问关系进行控制。
在一些实施例中,根据所述隔离指令配置防火墙的访问关系策略,包括:
根据所述隔离指令,将正常的业务访问关系的信息配置到所述防火墙的白名单中;
根据所述隔离指令,将异常的业务访问关系的信息配置到所述防火墙的黑名单中。
在一些实施例中,根据所述访问关系策略对虚拟机之间的业务访问关系进行控制,包括:
根据所述白名单和所述黑名单对所述虚拟机之间的正常业务流量和异常业务流量进行识别;
对所述异常业务流量进行隔离;
对所述正常业务流量进行放行。
第三方面,本公开实施例提供一种电子设备,其包括:
一个或多个处理器;
存储器,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本公开实施例第一方面所述的安全隔离的方法、和/或本公开实施例第二方面所述的安全隔离的方法;
一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
第四方面,本公开实施例提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本公开实施例第一方面所述的安全隔离的方法、和/或本公开实施例第二方面所述的安全隔离的方法。
本公开实施例中,由服务端对网络隔离的统一管理,服务端能够根据虚拟机之间的业务访问关系自适应配置访问关系策略,虚拟机能够根据访问关系策略对正常的业务流量和异常的攻击流量进行区分,并对异常的攻击流量进行隔离阻断,实现了数据中心内网中主机之间的安全隔离,能够有效防止数据中心内网中的横向攻击。
附图说明
附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,并不构成对本公开的限制。在附图中:
图1为本公开实施例中一种安全隔离的方法的流程图;
图2为本公开实施例中一种安全隔离的系统架构的示意图;
图3为本公开实施例中一种安全隔离的方法的流程图;
图4为本公开实施例中一种电子设备的组成框图;
图5为本公开实施例中一种计算机可读介质的组成框图。
具体实施方式
为使本领域的技术人员更好地理解本公开的技术方案,下面结合附图对本公开提供的安全隔离的方法、电子设备、计算机可读介质进行详细描述。
在下文中将参考附图更充分地描述示例实施例,但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之,提供这些实施例的目的在于使本公开透彻和完整,并将使本领域技术人员充分理解本公开的范围。
在不冲突的情况下,本公开各实施例及实施例中的各特征可相互组合。
如本文所使用的,术语“和/或”包括一个或多个相关列举条目的任何和所有组合。
本文所使用的术语仅用于描述特定实施例,且不意欲限制本公开。如本文所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。还将理解的是,当本说明书中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
除非另外限定,否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本文明确如此限定。
在一些相关技术中,数据中心基于下一代防火墙、反恶意软件、入侵防御系统(IPS,Intrusion Prevention System)、分布式拒绝服务(DDoS,Distributed Denial ofservice)预防、垃圾邮件过滤等安全防御技术,在系统外围部署防御。但是,上述安全防御技术通常只针对特定的威胁,数据中心的基本安全问题仍然存在;当攻击者由外网进入数据中心的内网后,就能不受控制地横向随意移动。
在另一些相关技术中,数据中心内网中的虚拟机之间存在网络隔离。但是,内网中的网络分段较大而使网络隔离无法发挥作用;而且这些网络隔离通常是为了限制互联网与数据中心之间、或客户端工作站与数据中心之间的南北向流量。为了使网络隔离发挥更加全面的效果,防火墙等网络隔离技术需要能够降低到单个工作负载的级别,但一个典型的数据中心可能有成千上万个工作负载,每个工作负载都有独特的安全条件,导致在数据中心内网中实现有效的网络隔离存在较大的难度:(1)控制策略运维的难度较大,主要体现在,无法感知业务流量、明确管控对象,控制策略配置工作繁琐;策略数量庞大,分散在每台主机上配置,管理效率极低;云环境、虚拟环境中上下线、扩容、漂移频繁发生,人工维护静态策略成本高。(2)发现横向攻击的难度较大,主要体现在,业务流量、攻击流量难以分辨;缺乏对攻击流量的应急阻断措施。
有鉴于此,第一方面,参照图1,本公开实施例提供一种安全隔离的方法,包括:
S11、接收虚拟机发送的访问关系信息,其中,所述访问关系信息表征多个所述虚拟机之间的业务访问关系;
S12、根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析;
S13、根据分析结果向各个所述虚拟机下发隔离指令,所述隔离指令携带访问关系策略。
在本公开实施例中,实现数据中心内网中主机安全隔离的系统架构如图2所示。整个系统部署在数据中心架构中,由服务端通过与各个虚拟机进行交互,对数据中中心内网中主机安全隔离进行统一管理。需要说明的是,在本公开实施例中,主机与虚拟机等价。
在本公开实施例中,数据中心的各个虚拟机都向服务端发送访问关系信息。本公开实施例对访问关系信息不做特殊限定。例如,访问关系信息包括源IP地址、目的IP地址、目标端口等信息中的至少一者。服务端能够根据各个虚拟机发送的访问关系信息,确定数据中心所述虚拟机之间的业务访问关系。
需要说明的是,在本公开实施例中,服务端通过对虚拟机之间的业务访问关系进行分析,能够分辨出正常访问关系和异常访问关系。在此基础上生成各个虚拟机的访问关系策略,并通过隔离指令下发给各个虚拟机;使得虚拟机能够根据访问关系策略对正常的业务流量和异常的攻击流量进行识别,并对异常的攻击流量进行隔离阻断。
本公开实施例提供的安全隔离的方法中,由服务端对网络隔离的统一管理,服务端能够根据虚拟机之间的业务访问关系自适应配置访问关系策略,从而使虚拟机能够根据访问关系策略对正常的业务流量和异常的攻击流量进行区分,并对异常的攻击流量进行隔离阻断,实现了数据中心内网中主机之间的安全隔离,能够有效防止数据中心内网中的横向攻击。
本公开实施例对于如何根据访问关系信息对虚拟机之间的业务访问关系进行分析不做特殊限定。
在一些实施例中,服务端基于自学习对虚拟机中间的业务访问关系进行分析。
相应地,在一些实施例中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,包括:
对预设时间段内的所述访问关系信息进行分析,确定所述虚拟机之间的正常访问关系;
根据所述虚拟机之间的正常访问关系,确定所述访问关系信息表征的所述业务访问关系是否异常。
本公开实施例对预设时间段不做特殊限定。例如,预设时间段可以是几天,也可以是几个月。
需要说明的是,在本公开实施例中,对预设时间段内的访问关系信息进行分析,是对预设时间段内的访问关系策略的自学习过程。通过对预设时间段(例如近几个月)的访问关系策略的自学习过程,服务端能够梳理出虚拟机之间正常访问关系。在此基础上,即可确定当前虚拟机之间的业务访问关系是否异常。
在一些实施例中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,还包括:
根据所述访问关系信息生成可视化界面,对不同所述虚拟机之间、不同虚拟机分组之间的业务访问关系进行可视化展示。
在本公开实施例中,通过可视化界面,用户能够在服务端查看不同虚拟机之间、不同虚拟机分组之间的业务访问关系。本公开实施例对业务访问关系不做特殊限定。例如,业务访问关系包括连接状态、被访问者、进程、端口、协议、访问者、连接次数、首次连接时间、最近连接时间等字段。
在本公开实施例中,在可视化界面展示不同所述虚拟机之间、不同虚拟机分组之间的业务访问关系,有利于以清晰直观的形式辅助用户梳理业务,为配置访问关系策略做准备。
在一些实施例中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,还包括:
在所述可视化界面中对存在异常的业务访问关系进行告警提示。
在一些实施例中,根据分析结果向各个所述虚拟机下发隔离指令,包括:
根据所述分析结果生成各个所述虚拟机的访问关系策略;
分别向各个所述虚拟机发送所述隔离指令,以向各个所述虚拟机下发对应的访问关系策略。
第二方面,参照图3,本公开实施例提供一种安全隔离的方法,包括:
S21、通过Audit插件采集虚拟机的所有网络连接,向服务端发送访问关系信息,其中,所述访问关系信息表征多个所述虚拟机之间的业务访问关系;
S22、接收所述服务端下发的隔离指令,其中,所述隔离指令携带访问关系策略;
S23、根据所述隔离指令将所述访问关系策略配置到防火墙中;
S24、根据所述访问关系策略对虚拟机之间的业务访问关系进行控制。
在本公开实施例中,Audit插件可用作独立审计,可传送数据给外部监测工具;Audit插件还能够将收集的数据发送给服务端。
在一些实施例中,防火墙为iptables防火墙。
在本公开实施例中,虚拟机接收到服务端下发的隔离指令后,会自动执行并将访问关系策略配置到防火墙中。
在本公开实施例中,虚拟机根据访问关系策略对虚拟机之间的业务访问关系进行控制,能够实现分辨正常业务流量与异常业务流量、并对异常业务流量进行阻断隔离。
在一些实施例中,根据所述隔离指令配置防火墙的访问关系策略,包括:
根据所述隔离指令,将正常的业务访问关系的信息配置到所述防火墙的白名单中;
根据所述隔离指令,将异常的业务访问关系的信息配置到所述防火墙的黑名单中。
在一些实施例中,根据所述访问关系策略对虚拟机之间的业务访问关系进行控制,包括:
根据所述白名单和所述黑名单对所述虚拟机之间的正常业务流量和异常业务流量进行识别;
对所述异常业务流量进行隔离;
对所述正常业务流量进行放行。
第三方面,参照图4,本公开实施例提供一种电子设备,其包括:
一个或多个处理器101;
存储器102,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现本公开实施例第一方面所述的安全隔离的方法、和/或本公开实施例第二方面所述的安全隔离的方法;
一个或多个I/O接口103,连接在处理器与存储器之间,配置为实现处理器与存储器的信息交互。
其中,处理器101为具有数据处理能力的器件,其包括但不限于中央处理器(CPU)等;存储器102为具有数据存储能力的器件,其包括但不限于随机存取存储器(RAM,更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)、闪存(FLASH);I/O接口(读写接口)103连接在处理器101与存储器102间,能实现处理器101与存储器102的信息交互,其包括但不限于数据总线(Bus)等。
在一些实施例中,处理器101、存储器102和I/O接口103通过总线104相互连接,进而与计算设备的其它组件连接。
第四方面,参照图5,本公开实施例提供一种计算机可读介质,其上存储有计算机程序,程序被处理器执行时实现本公开实施例第一方面所述的安全隔离的方法、和/或本公开实施例第二方面所述的安全隔离的方法。
实施例一
本实施例旨在实现微隔离的单元级零信任模型:首先,了解数据中心内的流量;其次,分析工作负载之间的访问关系;最后,创建一个与每个工作负载的安全需求相一致的策略模型。
(1)确定网络流量
了解网络流量如何流入、流出, 基于此可以发现流量效率低下或可能被利用的安全漏洞,这些漏洞可能已经休眠较长时间。通过查看周边防火墙上的现有规则,并将南北和东西流量分离、分析。各种流量监控工具,如IPFIX(NetFlow)或 syslog,可以用来收集和分析这些流量,并可以与现有防火墙进行关联。回传式的流量模式通常表示东西向流量。分析现有防火墙规则有助于理解如何使用逻辑交换机和虚拟化网络覆盖的路由来替换回传流量。
(2)识别模式和关系
将现有外围防火墙的规则与从流量监控工具收集的流量模式相关联,为隔离模型提供了一组初始安全策略。流量模式可以帮助管理端了解数据中心内部存在的关系。例如,每个工作负载如何与共享 IT 服务、其他应用程序或用户,以及如何跨不同的环境交互,比如生产与开发或测试。了解这些关系将有助于定义适当的隔离区域,并管理它们之间互动的规则。例如,可以为每个应用程序创建一个微隔离区域,然后控制与其他区域的通信,如活动目录(AD)、域名称服务(DNS)、网络时间协议(NTP)等共享IT 服务。
(3)创建并应用策略
要启用隔离的单元级模块,要从“默认块”策略模型开始,这个模型不允许数据中心的各个工作负载之间进行通信。根据对流量模式和关系的分析,定义安全策略,再根据需要逐步打开工作负载之间的特定通信通道。关闭识别到的不适当的通信通道,以阻断这些主机之间的通信。根据工作负载和应用程序/用户/数据上下文随时间产生的变化,调整安全策略模型以适应工作负载不断变化的安全需求,提供不间断的相关安全控制。
本实施例具有如下技术优点:
(1)让网络策略执行单元可调用主机自身的防火墙或内核自定义防火墙实现主机间的隔离;
(2)采用系统自带的IP协议栈;
(3)无需对网络进行改造
(4)支持混合云的场景,不受环境限制。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储器、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据,并且可包括任何信息递送介质。
本文已经公开了示例实施例,并且虽然采用了具体术语,但它们仅用于并仅应当被解释为一般说明性含义,并且不用于限制的目的。在一些实例中,对本领域技术人员显而易见的是,除非另外明确指出,否则可单独使用与特定实施例相结合描述的特征、特性和/或元素,或可与其它实施例相结合描述的特征、特性和/或元件组合使用。因此,本领域技术人员将理解,在不脱离由所附的权利要求阐明的本公开的范围的情况下,可进行各种形式和细节上的改变。

Claims (9)

1.一种安全隔离的方法,包括:
接收虚拟机发送的访问关系信息,其中,所述访问关系信息表征多个所述虚拟机之间的业务访问关系;所述业务访问关系包括连接状态、被访问者、进程、端口、协议、访问者、连接次数、首次连接时间、最近连接时间中的至少一个字段;
根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,分辨出所述虚拟机之间的正常访问关系和异常访问关系;
根据分析结果向各个所述虚拟机下发隔离指令,所述隔离指令携带访问关系策略;
其中,根据分析结果向各个所述虚拟机下发隔离指令,包括:
根据所述分析结果生成各个所述虚拟机的访问关系策略,所述访问关系策略用于使虚拟机对正常的业务流量和异常的攻击流量进行识别,并对异常的攻击流量进行隔离阻断;
分别向各个所述虚拟机发送所述隔离指令,以向各个所述虚拟机下发对应的访问关系策略;
其中,根据所述分析结果生成各个所述虚拟机的访问关系策略,包括:
查看周边防火墙上的现有规则,并将南北和东西流量分离、分析;
将现有规则与从流量监控工具收集的流量模式相关联,为隔离模型提供初始访问关系策略;
对流量模式和现有规则与流量模式的关联关系进行分析,定义访问关系策略;
根据工作负载和应用程序/用户/数据上下文随时间产生的变化,调整访问关系策略。
2.根据权利要求1所述的方法,其中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,包括:
对预设时间段内的所述访问关系信息进行分析,确定所述虚拟机之间的正常访问关系;
根据所述虚拟机之间的正常访问关系,确定所述访问关系信息表征的所述业务访问关系是否异常。
3.根据权利要求2所述的方法,其中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,还包括:
根据所述访问关系信息生成可视化界面,对不同所述虚拟机之间、不同虚拟机分组之间的业务访问关系进行可视化展示。
4.根据权利要求3所述的方法,其中,根据所述访问关系信息对所述虚拟机之间的业务访问关系进行分析,还包括:
在所述可视化界面中对存在异常的业务访问关系进行告警提示。
5.一种安全隔离的方法,包括:
通过Audit插件采集虚拟机的所有网络连接,向服务端发送访问关系信息,其中,所述访问关系信息表征多个所述虚拟机之间的业务访问关系;所述业务访问关系包括连接状态、被访问者、进程、端口、协议、访问者、连接次数、首次连接时间、最近连接时间中的至少一个字段;
接收所述服务端下发的隔离指令,其中,所述隔离指令携带访问关系策略,所述访问关系策略用于使虚拟机对正常的业务流量和异常的攻击流量进行识别,并对异常的攻击流量进行隔离阻断;
根据所述隔离指令将所述访问关系策略配置到防火墙中;
根据所述访问关系策略对虚拟机之间的业务访问关系进行控制;
其中,生成访问关系策略,包括:
查看周边防火墙上的现有规则,并将南北和东西流量分离、分析;
将现有规则与从流量监控工具收集的流量模式相关联,为隔离模型提供初始访问关系策略;
对流量模式和现有规则与流量模式的关联关系进行分析,定义访问关系策略;
根据工作负载和应用程序/用户/数据上下文随时间产生的变化,调整访问关系策略。
6.根据权利要求5所述的方法,其中,根据所述隔离指令配置防火墙的访问关系策略,包括:
根据所述隔离指令,将正常的业务访问关系的信息配置到所述防火墙的白名单中;
根据所述隔离指令,将异常的业务访问关系的信息配置到所述防火墙的黑名单中。
7.根据权利要求6所述的方法,其中,根据所述访问关系策略对虚拟机之间的业务访问关系进行控制,包括:
根据所述白名单和所述黑名单对所述虚拟机之间的正常业务流量和异常业务流量进行识别;
对所述异常业务流量进行隔离;
对所述正常业务流量进行放行。
8.一种电子设备,其包括:
一个或多个处理器;
存储器,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现根据权利要求1至7中任意一项所述的方法;
一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
9.一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1至7中任意一项所述的方法。
CN202211593731.2A 2022-12-13 2022-12-13 安全隔离的方法、电子设备、计算机可读介质 Active CN115622808B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211593731.2A CN115622808B (zh) 2022-12-13 2022-12-13 安全隔离的方法、电子设备、计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211593731.2A CN115622808B (zh) 2022-12-13 2022-12-13 安全隔离的方法、电子设备、计算机可读介质

Publications (2)

Publication Number Publication Date
CN115622808A CN115622808A (zh) 2023-01-17
CN115622808B true CN115622808B (zh) 2023-05-23

Family

ID=84880464

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211593731.2A Active CN115622808B (zh) 2022-12-13 2022-12-13 安全隔离的方法、电子设备、计算机可读介质

Country Status (1)

Country Link
CN (1) CN115622808B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8363658B1 (en) * 2008-11-13 2013-01-29 Sprint Communications Company L.P. Dynamic firewall and dynamic host configuration protocol configuration
CN107959654A (zh) * 2016-10-14 2018-04-24 北京金山云网络技术有限公司 一种数据传输方法、装置及混合云系统
CN108471397A (zh) * 2018-01-31 2018-08-31 华为技术有限公司 防火墙配置、报文发送方法和装置
CN110378103A (zh) * 2019-07-22 2019-10-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统
CN111262841A (zh) * 2020-01-09 2020-06-09 武汉思普崚技术有限公司 一种虚拟微隔离网络的资源调度方法及系统
CN113162943A (zh) * 2021-04-28 2021-07-23 中国工商银行股份有限公司 一种防火墙策略动态管理的方法、装置、设备和存储介质
CN113703915A (zh) * 2021-08-17 2021-11-26 深信服科技股份有限公司 访问关系可视化方法、装置、电子设备和存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8363658B1 (en) * 2008-11-13 2013-01-29 Sprint Communications Company L.P. Dynamic firewall and dynamic host configuration protocol configuration
CN107959654A (zh) * 2016-10-14 2018-04-24 北京金山云网络技术有限公司 一种数据传输方法、装置及混合云系统
CN108471397A (zh) * 2018-01-31 2018-08-31 华为技术有限公司 防火墙配置、报文发送方法和装置
CN110378103A (zh) * 2019-07-22 2019-10-25 电子科技大学 一种基于OpenFlow协议的微隔离防护方法及系统
CN111262841A (zh) * 2020-01-09 2020-06-09 武汉思普崚技术有限公司 一种虚拟微隔离网络的资源调度方法及系统
CN113162943A (zh) * 2021-04-28 2021-07-23 中国工商银行股份有限公司 一种防火墙策略动态管理的方法、装置、设备和存储介质
CN113703915A (zh) * 2021-08-17 2021-11-26 深信服科技股份有限公司 访问关系可视化方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN115622808A (zh) 2023-01-17

Similar Documents

Publication Publication Date Title
US9729567B2 (en) Network infrastructure obfuscation
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
WO2012172509A2 (en) Systems and methods that perform application request throttling in a distributed computing environment
Khalaf et al. A simulation study of syn flood attack in cloud computing environment
CN112398844A (zh) 基于内外网实时引流数据的流量分析实现方法
Gautam et al. Experimental security analysis of SDN network by using packet sniffing and spoofing technique on POX and Ryu controller
Maesaroh et al. Wireless network security design and analysis using wireless intrusion detection system
Lai et al. Design and implementation of cloud security defense system with software defined networking technologies
Toosarvandani et al. The risk assessment and treatment approach in order to provide LAN security based on ISMS standard
Babatope et al. Strategic sensor placement for intrusion detection in network-based IDS
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
US20050076236A1 (en) Method and system for responding to network intrusions
Alshamrani Reconnaissance attack in sdn based environments
CN115622808B (zh) 安全隔离的方法、电子设备、计算机可读介质
Mutaher et al. OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES.
Ali et al. Network architecture and security issues in campus networks
Brooks et al. Security challenges and countermeasures for trusted virtualized computing environments
Kumar et al. IPv6 network security using Snort
Coughlin et al. EDSGuard: Enforcing network security requirements for energy delivery systems
Kodzai Impact of network security on SDN controller performance
Rodrigues et al. Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach
Chakraborti et al. Software-defined network vulnerabilities
CN118353722B (zh) 网络攻击拦截方法、计算机装置、计算机可读存储介质
Tupakula et al. Software Enabled Security Architecture for Counteracting Attacks in Control Systems
WO2024185163A1 (ja) 情報処理システム、情報処理方法および情報処理プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant