虚拟化网络动态信息安全的监控方法及系统转让专利
申请号 : CN201410568944.9
文献号 : CN104468504B
文献日 : 2017-08-15
发明人 : 何利文
申请人 : 南京绿云信息技术有限公司
摘要 :
本发明公开了一种虚拟化网络动态信息安全的监控方法及系统,包括:虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值;当所述健康阈值小于虚拟化健康服务管理中心预设的健康阈值时,虚拟化健康服务管理中心向虚拟化管理中心发出迁移虚拟交换机的命令,并将虚拟交换机迁移到隔离防护中心;隔离防护中心收到通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则,并当所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心将所述虚拟交换机迁移回所述虚拟化管理中心。实现了在不影响整个系统稳定性的情况下,对存在安全问题的虚拟交换机进行处理。
权利要求 :
1.一种虚拟化网络动态信息安全的监控方法,其特征在于,包括:虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值;
当所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心向所述虚拟化管理中心发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护中心;
所述隔离防护中心收到虚拟化健康服务管理中心的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则,并当所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心将所述虚拟交换机迁移回所述虚拟化管理中心。
2.根据权利要求1所述的方法,其特征在于,所述虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值,包括:所述虚拟化健康管理服务中心通过虚拟化管理中心获得虚拟交换机的物理拓扑信息;
所述虚拟化健康服务管理中心根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
3.根据权利要求2所述的方法,其特征在于,所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量,包括:所述虚拟化管理中心接收所述虚拟化健康服务管理中心配置并下发的捕获所述虚拟交换机的流量;
所述虚拟化管理中心通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
4.根据权利要求2所述的方法,其特征在于,所述虚拟化健康服务管理中心配置并下发所述虚拟交换机的流量的健康监测策略,包括:所述虚拟化健康服务管理中心向所述安全域对应的威胁预警模块下发健康监测策略;
所述虚拟化健康服务管理中心通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
5.根据权利要求4所述的方法,其特征在于,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数。
6.一种虚拟化网络动态信息安全的监控系统,其特征在于,包括:虚拟化健康服务管理模块、虚拟化管理模块和隔离防护模块;
所述虚拟化健康服务管理模块,用于获取虚拟化管理模块中虚拟交换机的健康阈值;
所述虚拟化健康服务管理模块,还用于在所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理模块预设的健康阈值时,向所述虚拟化管理模块发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护模块;
隔离防护模块,用于收到所述虚拟化健康服务管理模块的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则;
所述虚拟化健康服务管理模块,还用于在所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理模块预设的健康阈值时,将所述虚拟交换机迁移回所述虚拟化管理模块。
7.根据权利要求6所述的系统,其特征在于,所述虚拟化健康服务管理模块,还用于:通过虚拟化管理模块获得虚拟交换机的物理拓扑信息;
根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
8.根据权利要求7所述的系统,其特征在于,所述虚拟化管理模块,用于:接收所述虚拟化健康服务管理模块配置并下发的捕获所述虚拟交换机的流量;
通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
9.根据权利要求7所述的系统,其特征在于,所述虚拟化健康服务管理模块,还用于:向所述安全域对应的威胁预警模块下发健康监测策略;
通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
10.根据权利要求9所述的系统,其特征在于,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数。
说明书 :
虚拟化网络动态信息安全的监控方法及系统
技术领域
[0001] 本发明涉及信息安全技术领域,具体涉及一种虚拟化网络动态信息安全的监控方法及系统。
背景技术
[0002] 云计算是计算机和互联网的又一次新的革命,它将计算和存储转移到了云端,用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看,云计算不仅仅是一种新的概念,并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展,使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟交换机,提供虚拟化服务成为了构建公有云和企业私有云的技术基础。
[0003] 虚拟化在带来技术变革的同时,也提出了新的虚拟化网络中的信息安全监控问题。与传统物理网络环境不同,在基于虚拟化技术构建的数据中心中,存在更大数量更高密度部署的虚拟交换机,并且由于虚拟化技术的弹性可扩展、动态迁移等特性,也使得这些虚拟交换机的数量、位置等都较物理环境更易发生变化。
[0004] 在虚拟化网络中,由于网络虚拟化技术的存在,使得同一个安全域中的虚拟交换机可能分布于不同的物理主机上,并连接在不同的物理交换机上。在云计算的多租户环境下,同一个物理主机上还可能存在有多个属于不同安全域的虚拟交换机。因此虚拟化环境中基于物理网络边界进行信息安全监控的方案不再有效,因为在虚拟化环境中物理网络边界已经消失。
[0005] 目前,各家虚拟化和安全厂商已经提出和应用的虚拟虚拟化环境的信息安全监控方案通常分为三种:
[0006] 第一种,通过事先规划网络拓扑和部署,使得虚拟化网络边界和传统物理边界重合,即从网络规划的层面避免出现不同安全域的虚拟交换机存在不同的物理网络环境中的问题。该方案的优势是可以继续使用物理安全设备按照传统的方式进行信息安全监控。最大问题是损失了云计算环境的资源整合能力和灵活配置管理能力,机械的人为把本应属于一个大资源池的资源物理的分割为一个个的小资源池,限制了虚拟化技术所带来的提高资源利用率、节能、弹性扩展等功能,并且不适用于提供公有云服务的大型云数据中心。
[0007] 第二种,利用虚拟化平台提供的底层API,把传统安全监控产品灌装到虚拟交换机中,通过向虚拟化环境部署安全虚拟交换机来实现对虚拟化环境的各种安全监控功能。该方案的优势是充分利用了虚拟化技术所提供的软件定义和配置能力,把安全资源也虚拟化了,可以深入部署到所监控虚拟交换机的最邻近位置,细粒度的实现各种安全功能。最大的问题是,该方案往往需要安全解决方案和虚拟化解决方案深度的耦合,因为安全虚拟交换机需要使用大量虚拟化平台中的API,并且在大多数情况下会改变整个虚拟化网络的拓扑部署,特别在虚拟交换机位置和拓扑发生动态变化时,事先部署的安全环境也需要动态发生改变以适应业务环境的变化;另外一个问题是该方案极大的占用了虚拟化平台的计算资源,甚至会出现与用户业务环境争用资源的情况,这不仅仅会对用户业务系统的正常运行带来风险,也极大提高了用户的部署成本。可用性是云计算环境提供应用服务所要保证的第一要素,而长时间持续的对网络数据包、用户虚拟交换机进程信息等的监控有可能导致整个云计算环境的性能下降,甚至不可用。
[0008] 第三种,采用流量导出方案,利用轻量级安全虚拟交换机实现流量探针或通过配置虚拟交换机的端口镜像等功能,把本不会出到物理网络上的流量全部导出到物理网络上,并将这些流量牵引到部署在物理网络上的外部物理安全设备上。该方案的优势是较平衡的使用了虚拟化的资源,利用较小的代价导出了虚拟网络中的需要监控和用户关心的流量,并利用物理设备在不占用虚拟化平台资源的情况下进行分析和处理,能够达到较高的性价比。存在的最大问题是该方案仅适合旁路式的网络安全监控需求,如入侵检测、网络数据审计等,对于需要拦截虚拟交换机系统内的系统调用和虚拟交换机虚拟网卡上数据包的安全应用,如虚拟交换机病毒查杀、Web应用安全防护等需求则无法实现。
[0009] 在虚拟化网络中,通过虚拟化技术把计算、存储和网络等资源以资源池的方式进行了整合,并按需动态的根据租户的需求,向租户提供服务。虚拟化技术为用户带来了计算、存储和网络等资源的弹性扩展能力,可以快速分配组建由大量虚拟交换机组成的业务网络。虚拟交换机的动态迁移功能为租户提供了不停机维护的能力,同时云计算数据中心也能够基于该功能实现节能的目的。目前提出使得基于虚拟化技术对虚拟交换机的管理和配置达到了软件定义的高度。但是,目前各种安全解决方案都不能很好的适应虚拟化技术的特性,这些方案或者需要牺牲一部分虚拟化的特性(如划分物理安全域的方案)来实现安全,或者需要消耗大量虚拟化环境中本该提供给业务系统使用的资源(如基于安全虚拟交换机的方案),并易造成安全系统自身成为影响业务系统稳定运行的隐患,或者无法提供完整的安全解决方案(如采用流量导出加物理安全产品的方案)。
发明内容
[0010] 针对现有技术中的缺陷,本发明提供了一种虚拟化网络动态信息安全的监控方法及系统,实现了在不影响整个系统稳定性的情况下,对存在安全问题的虚拟交换机进行处理。
[0011] 第一方面,本发明提供一种虚拟化网络动态信息安全的监控方法,包括:
[0012] 虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值;
[0013] 当所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心向所述虚拟化管理中心发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护中心;
[0014] 所述隔离防护中心收到虚拟化健康服务管理中心的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则,并当所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心将所述虚拟交换机迁移回所述虚拟化管理中心。
[0015] 可选的,所述虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值,包括:
[0016] 所述虚拟化健康管理服务中心通过虚拟化管理中心获得虚拟交换机的物理拓扑信息;
[0017] 所述虚拟化健康服务管理中心根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
[0018] 所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
[0019] 可选的,所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量,包括:
[0020] 所述虚拟化管理中心接收所述虚拟化健康服务管理中心配置并下发的捕获所述虚拟交换机的流量;
[0021] 所述虚拟化管理中心通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
[0022] 可选的,所述虚拟化健康服务管理中心配置并下发所述虚拟交换机的流量的健康监测策略,包括:
[0023] 所述虚拟化健康服务管理中心向所述安全域对应的威胁预警模块下发健康监测策略;
[0024] 所述虚拟化健康服务管理中心通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
[0025] 可选的,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数。
[0026] 第二方面,本发明还提供了一种虚拟化网络动态信息安全的监控系统,包括:虚拟化健康服务管理模块、虚拟化管理模块和隔离防护模块;
[0027] 所述虚拟化健康服务管理模块,用于获取虚拟化管理模块中虚拟交换机的健康阈值;
[0028] 所述虚拟化健康服务管理模块,还用于在所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理模块预设的健康阈值时,向所述虚拟化管理模块发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护模块;
[0029] 隔离防护模块,用于收到所述虚拟化健康服务管理模块的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则;
[0030] 所述虚拟化健康服务管理模块,还用于在所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理模块预设的健康阈值时,将所述虚拟交换机迁移回所述虚拟化管理模块。
[0031] 可选的,所述虚拟化健康服务管理模块,还用于:
[0032] 通过虚拟化管理模块获得虚拟交换机的物理拓扑信息;
[0033] 根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
[0034] 配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
[0035] 可选的,所述虚拟化管理模块,用于:
[0036] 接收所述虚拟化健康服务管理模块配置并下发的捕获所述虚拟交换机的流量;
[0037] 通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
[0038] 可选的,所述虚拟化健康服务管理模块,还用于:
[0039] 向所述安全域对应的威胁预警模块下发健康监测策略;
[0040] 通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
[0041] 可选的,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数。
[0042] 由上述技术方案可知,本发明提供的一种虚拟化网络动态信息安全的监控方法及系统,在多租户环境下,保证完整的虚拟化技术特性(资源池化、弹性可扩展、动态迁移等),在不改变用户原有网络配置的前提下,采用较小的资源代价,提供一种完整的、高效可用的虚拟化环境信息安全监控系统框架,该框架可以集成包括虚拟交换机安全和虚拟网络安全在内的各类虚拟化或物理形态的安全产品,实现了在不影响整个系统稳定性的情况下,对存在安全问题的虚拟交换机进行处理。
附图说明
[0043] 图1为本发明一实施例提供的虚拟化网络动态信息安全的监控方法的流程示意图;
[0044] 图2为本发明另一实施例提供的虚拟化网络动态信息安全的监控方法的流程示意图;
[0045] 图3为本发明一实施例提供的虚拟化网络动态信息安全的监控方法的原理框图;
[0046] 图4为本发明一实施例提供的虚拟化网络动态信息安全的监控系统的结构示意图。
具体实施方式
[0047] 下面结合附图,对发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
[0048] 图1示出了本发明实施例提供的虚拟化网络动态信息安全的监控方法的流程示意图,如图1所示,上述方法包括如下步骤:
[0049] 101、虚拟化健康服务管理中心获取虚拟化管理中心中虚拟交换机的健康阈值;
[0050] 102、当所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心向所述虚拟化管理中心发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护中心;
[0051] 103、所述隔离防护中心收到虚拟化健康服务管理中心的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则,并当所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理中心预设的健康阈值时,所述虚拟化健康服务管理中心将所述虚拟交换机迁移回所述虚拟化管理中心。
[0052] 上述方法通过切换虚拟交换机运行的环境来避免了部署侵入式安全产品到虚拟化环境中,从而影响虚拟化环境性能和稳定性的问题。
[0053] 具体的,上述步骤101包括:
[0054] 1011、所述虚拟化健康管理服务中心通过虚拟化管理中心获得虚拟交换机的物理拓扑信息;
[0055] 1012、所述虚拟化健康服务管理中心根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
[0056] 1013、所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
[0057] 在具体应用中,上述步骤1013中所述虚拟化健康服务管理中心配置并下发捕获所述虚拟交换机的流量,包括:
[0058] 所述虚拟化管理中心接收所述虚拟化健康服务管理中心配置并下发的捕获所述虚拟交换机的流量;
[0059] 所述虚拟化管理中心通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
[0060] 上述步骤1013中所述虚拟化健康服务管理中心配置并下发所述虚拟交换机的流量的健康监测策略,包括:
[0061] 所述虚拟化健康服务管理中心向所述安全域对应的威胁预警模块下发健康监测策略;
[0062] 举例来说,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数。
[0063] 所述虚拟化健康服务管理中心通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
[0064] 为了更清楚的说明上述方法,图2示出了本发明实施例提供的虚拟化网络动态信息安全的监控方法的流程示意图,如图2所示,该方法主要通过8个处理过程构成了一个完整的健康安全服务框架,基础拓扑信息获取、虚拟交换机业务信息关联、非侵入式的健康检查和安全评估、指标阈值配置和监测、运行环境切换、侵入式健康检查安全修复和威胁隔离、运行环境恢复。其中基础拓扑信息获取指系统从虚拟化平台获得虚拟交换机、虚拟网络的物理拓扑信息;虚拟交换机业务信息关联是在获得虚拟化环境的物理拓扑基础上按照用户的业务划分逻辑的安全域;非侵入式的健康检查和安全评估指针对逻辑安全域中包括的虚拟交换机进行包括漏洞扫描、基线扫描、入侵检测、网络审计、设备互联关系审计等非侵入式的安全检查;指标阈值配置和监测指对非侵入安全检查返回的实时结果参数进行指标化处理和计算,配置不同参数的关注度,以获得每个虚拟交换机的健康阈值;运行环境切换指对健康值低于设定阈值的虚拟交换机进行在线迁移,把其运行环境切换到部署了侵入式安全服务和产品的环境中;侵入式健康检查安全修复和威胁隔离指对切换到该环境中的虚拟交换机进行侵入式的细粒度检测和修复,对无法修复的进行暂时的隔离;运行环境恢复指对修复(如杀毒、打补丁)后且健康检查值达到预定预定阈值的虚拟交换机迁移回没有部署侵入式安全服务和产品的虚拟网络业务环境。通过整个8个处理过程,该方法实现了按需的对存在安全问题的虚拟交换机进行处理,以迁移虚拟交换机的方式来减小在虚拟化环境中启动安全软件带来的资源消耗和对整个系统环境稳定性的影响,并且该方法具有很高的环境和平台适应性,既可用于云环境建设的规划阶段,也可用于已经商用的云环境,既适应私有云环境,也适用于公有云环境,并能够以服务的方式提供安全服务。
[0065] 本申请技术方案通过所提出的虚拟化健康安全服务框架结合了目前三种不同虚拟化安全解决方案的优势,在充分考虑虚拟化平台自身可用性的前提下,本技术方案采用带外实时检测分析加迁移式按需隔离防护的技术路线,有效避免了采用软件方式或虚拟交换机方式的安全应用网关、病毒防护等产品在虚拟化环境中对大量高密度部署虚拟交换机不间断实时检测扫描所带来的极大的资源消耗,也降低了由于串联在网络中的阻断式安全产品自身性能和稳定性对用户业务系统所带来的系统健壮性影响,并且能够更好的适应虚拟化环境中虚拟交换机的动态变化的特性。相对于流量导出式的安全解决方案,本申请技术方案能够提供包括虚拟交换机安全和虚拟网络旁路式检测和阻断隔离功能的完整解决方案,具有更高的应用价值。本申请技术方案还保留了采用物理安全产品提供安全服务能力的优势,使得用户能够有效利用已经采购的物理安全设备,并且具有更好的扩展能力。
[0066] 图2给出了虚拟化网络动态信息安全监控方法的流程框图,整个框图通过四个主要的系统进行协助工作的,分别是:虚拟化健康服务管理中心、流量捕获探针、安全域的威胁预警、隔离防护中心。整个系统的模块间按照以下工作流程进行协作:
[0067] 1、获取虚拟化物理拓扑信息:虚拟化健康服务管理中心通过用户业务系统中的虚拟化管理中心获得整个虚拟化平台中的虚拟交换机和虚拟网络的物理拓扑信息。
[0068] 2、注册基于安全域的健康监测模块:通过获取的物理拓扑信息,在虚拟化健康服务管理中心中创建安全域,并绑定该安全域所对应的安全威胁预警模块,选择并配置隔离防护中心中的相关安全服务。如首先创建一个包含VM3的安全域,指定该安全域对应的威胁预警模块为威胁预警模块x,为该安全域选择Web安全防护、统一安全网关、入侵防御系统、DDOS防御等安全检测和隔离服务,并通过这些第三方安全产品的控制台配置这些服务。
[0069] 3.1、配置并下发流量捕获和导流策略:通过流量捕获探针(虚拟交换机)的管理口向其下发流量捕获和导流策略,指定其具体捕获的流量和导出到安全域威胁预警模块的目的。
[0070] 3.2、配置并下发健康监测策略:向安全域威胁预警模块下发健康监测策略,指定需要关注的健康监测指标(非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测高级威胁报警指数、虚拟交换机漏洞扫描报警数、虚拟交换机软件关键补丁缺失数等)。
[0071] 4、流量捕获探针捕获流量:流量捕获探针从虚拟交换机上按照安全域配置抓取需要捕获的流量,本实施例中抓取了VM3的流量。
[0072] 5、流量捕获探针导出流量:流量捕获探针按照安全域所绑定的安全域威胁预警模块的地址,把属于该安全域的数据包的目的MAC地址修改成所绑定的安全域威胁预警模块的MAC地址,并转发到网络上。本实施例中即把VM3相关的数据包的目的MAC都改成安全域威胁预警模块x的目的MAC。
[0073] 6.1、安全域威胁预警模块实时监测:安全域威胁预警模块根据所配置的安全健康监测策略实时计算所指定关注的指标
[0074] 6.2、安全域威胁预警模块实时同步监测指标:安全域威胁预警模块把所关注的指标值实时同步到虚拟化健康服务管理中心。
[0075] 6.3、计算健康阈值:根据用预先设定的指标系数,按照给定公式虚拟交换机的健康阈值(该公式和指标系数作用于整个安全域)。
[0076] 6.4、控制迁移健康度低于阈值的虚拟交换机:当虚拟化健康服务管理中心发现有虚拟交换机低于其所设定的健康阈值时,向虚拟化管理中心发出迁移命令,将该虚拟交换机迁移到隔离防护中心,本实施例中假设发现VM3的健康度低于其阈值,则将VM3迁移到隔离防护中心。
[0077] 6.5、通知修改网络流管理规则:在虚拟化健康服务管理中心发起迁移命令前,需要先通知隔离防护中心修改其所控制的基于SDN的交换机的流表规则,以保证虚拟交换机在迁移过去后能够正常工作,且流量被完整监控和防护。
[0078] 7、虚拟交换机迁移:VM3在虚拟化管理中心的控制下在线迁移到隔离防护中心,由于该模块也属于整个虚拟化资源池的一部分,因此在线迁移的整个过程不会引起运行在VM3上的业务系统的中断。
[0079] 8.1、修改虚拟交换机流表规则:隔离防护中心在收到虚拟化健康服务管理中心的通知后,将向虚拟交换机发出配置命令,修改其流表规则,将相关流量直接送到外部的SDN交换机中。本实施例中即建立虚拟交换机和SDN物理交换机间的GRE隧道,并把VM3的流量封装到该GRE隧道中。
[0080] 8.2、修改SDN物理交换机的流表规则:隔离防护中心在收到虚拟化健康服务管理中心的通知后,将向SDN物理交换机发出配置命令,修改其流表规则,以保证迁移来的虚拟交换机的出入流量将被先引导至第三方安全产品中,再转发到其真正的目的。
[0081] 在隔离防护中心里的虚拟交换机是否迁移回正常的业务环境将由用户在虚拟化健康服务管理中心中进行配置,可以在被健康修复的虚拟交换机的健康度高于阈值后自动触发迁移回业务环境的命令,或设置为只手动迁移。
[0082] 图3为本发明实施例提供的虚拟化网络动态信息安全的监控方法的原理框图,如图3所示,初始情况下虚拟交换机运行在业务环境中,带外监测模块运行在带外监测环境中,不使用虚拟化资源池的资源,而由带外监控模块对虚拟交换机提供实时的健康监测,通过这个监测过程实时的计算迁移条件对应的健康度值。健康检查和隔离防护环境也属于虚拟化资源池的一部分,但是由于不和业务环境相耦合,因此该部分的资源是固定大小分配的,不会因为用户业务虚拟交换机的数量增加而过度消耗虚拟化资源池的资源。
[0083] 在两种情况下,将触发虚拟交换机向健康检查和隔离防护环境迁移,分别是定期检查时间触发和健康度触发。定期检查时间是用户设定的一个具体的时间,系统在到该时刻时,不考虑虚拟交换机的健康度情况,会直接把相关虚拟交换机迁移到健康检查和隔离防护环境中进行检查和必要的修复。健康度触发的情况是当健康度低于用户事先设定阈值时,系统根据虚拟交换机是攻击的受体还是攻击发起人对虚拟交换机采取不同的策略,对于虚拟交换机是被攻击对象的,把虚拟交换机迁移到健康检查和隔离防护环境中后,采用防火墙等策略,来阻断攻击,并对虚拟交换机的系统进行杀毒、打补丁等修复,但仍然保证虚拟交换机的网络连通和正常业务流量的收发;而对于虚拟交换机自身是攻击者的情况,将在迁移后先对其采取网络隔离,再对其进行杀毒、打补丁等修复工作。
[0084] 虚拟交换机在两种情况下可以被迁移回业务环境,一种采用系统自动判断,即当系统监测虚拟交换机的健康度达到其阈值时,把虚拟交换机自动迁移回去,另外一种情况是让用户手动操作,下指令来把虚拟交换机迁移回业务环境中。
[0085] 图4为本发明一实施例提供的虚拟化网络动态信息安全的监控系统的结构示意图,如图4所示,该系统包括:虚拟化管理模块41、虚拟化健康服务管理模块42和隔离防护模块43;
[0086] 所述虚拟化健康服务管理模块42,用于获取虚拟化管理模块41中虚拟交换机的健康阈值;
[0087] 所述虚拟化健康服务管理模块42,还用于在所述虚拟交换机的健康阈值小于所述虚拟化健康服务管理模块预设的健康阈值时,向所述虚拟化管理模块发出迁移所述虚拟交换机的命令,并将所述虚拟交换机迁移到隔离防护模块;
[0088] 隔离防护模块43,用于收到所述虚拟化健康服务管理模块的通知后,向虚拟交换机发出配置命令修改所述虚拟交换机的流表规则;
[0089] 所述虚拟化健康服务管理模块42,还用于在所述虚拟交换机的健康阈值高于所述虚拟化健康服务管理模块预设的健康阈值时,将所述虚拟交换机迁移回所述虚拟化管理模块。
[0090] 所述虚拟化健康服务管理模块42,还用于:
[0091] 通过虚拟化管理模块获得虚拟交换机的物理拓扑信息;
[0092] 根据所述虚拟交换机的物理拓扑信息创建安全域和与所述安全域对应的威胁预警模块;
[0093] 配置并下发捕获所述虚拟交换机的流量以及所述虚拟交换机的流量的健康监测策略,通过对所述虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
[0094] 所述虚拟化管理模块,用于:
[0095] 接收所述虚拟化健康服务管理模块配置并下发的捕获所述虚拟交换机的流量;
[0096] 通过流量捕获探针将虚拟交换机的流量导出到所述安全域对应的威胁预警模块。
[0097] 所述虚拟化健康服务管理模块,还用于:
[0098] 向所述安全域对应的威胁预警模块下发健康监测策略;
[0099] 通过对所述安全域对应的威胁预警模块中的虚拟交换机的流量进行健康监测,获取所述虚拟交换机的健康阈值。
[0100] 举例来说,所述健康监测策略包括:非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测威胁报警指数、虚拟交换机漏洞扫描报警数和虚拟交换机的补丁缺失数等。
[0101] 上述系统通过一种新的系统架构方式和虚拟交换机管控技术相结合,实现在多租户环境下,对虚拟网络流量进行实时的捕获、分析,根据安全策略,按需的把发现问题的虚拟交换机从一般业务环境迁移到虚拟化安全服务域,并对其进行安全威胁处理,在处理完成后,再根据用户定义的安全策略自动或手动将其移回一般业务域。该服务框架可以提供包括实时检测监视、健康状态检查和评估、威胁诊断和处理、安全隔离等服务项目和功能。本发明所公开的系统至少包括安全虚拟交换机形态的流量捕获探针模块44、虚拟化健康服务管理模块42、安全域威胁预警模块45、隔离防护模块43和虚拟化管理模块41。
[0102] 所述安全虚拟交换机形态的流量捕获探针模块44,用于按用户配置捕获用户所关注的虚拟交换机的网络流量,并根据其所属安全域导出到对应的安全域威胁预警模块。该安全虚拟交换机需要在每台物理虚拟化服务器上部署一台,并根据该物理主机上的虚拟交换机数量部署相同数量的虚拟网卡,用于监听对应虚拟交换机上的网络流。每个虚拟交换机流量捕获探针都配置有一个专用于流量导出的网卡,当该模块从虚拟交换机上利用混杂端口组或者端口镜像方式捕获到数据包后,根据该数据包的IP和MAC地址判断其所属虚拟交换机,并找到该虚拟交换机对应的安全域威胁预警模块地址,将数据包的目的MAC改成该安全域威胁预警模块地址,再转发出去。
[0103] 所述虚拟化健康服务管理模块42,用于向用户提供可视化的虚拟化网络健康状态监控服务。该模块部署在物理机或虚拟交换机上,通过Web界面提供人机交互。该模块通过调用虚拟化管理模块(如vCenter、CloudStack)的虚拟化管理接口获得虚拟化环境中的物理拓扑信息,并实时监控该物理拓扑的变化。该模块还向用户提供可视化的安全域管理配置界面,在该界面上,用户可以创建基于其业务逻辑的安全域,选择属于该安全域的虚拟交换机,并为每个安全域指定一个对应的安全域威胁预警模块。在创建好安全域后,用户还需要为每个安全域配置健康威胁预警指标,该指标所包含参数从该安全域对应的安全域威胁预警模块实时获得,主要包括非法连入连接数、非法连出连接数、流量异常偏离度、敏感IP连接数、虚拟交换机检测扫描间隔时间、虚拟交换机流量入侵检测高级威胁报警指数、虚拟交换机漏洞扫描报警数、虚拟交换机软件关键补丁缺失数等,若指标值超出预警值,则引起该指标变化的相关虚拟交换机将被在线迁移到部署了隔离防护模块的环境中进行细粒度的检查和处理,该迁移可设置为自动或手动,迁移指令通过虚拟化健康服务管理模块42调用虚拟化管理模块41的虚拟化管理接口实现。
[0104] 所述安全域威胁预警模块45,用于对以安全域为单位的虚拟交换机集合进行非侵入式的健康状态检查和威胁扫描分析,并将结果实时的同步到虚拟化健康服务管理模块。每个安全域内的所有虚拟交换机都配置有相同的安全服务项目或安全策略,当安全域创建后,该安全域对应的虚拟交换机的标识信息(IP地址和MAC地址)就将被同步到对应的安全域威胁预警模块中。安全域威胁预警模块中整合了入侵检测、网络审计、设备互联关系审计、漏洞扫描、基线扫描等无需侵入用户虚拟交换机操作系统和虚拟网络环境就能够实现的安全检测和分析功能,根据用户的配置(所订购的服务项目)启动相应的服务,计算实时的指标值,并同步到虚拟化健康服务管理模块中。
[0105] 隔离防护模块43,用于采用侵入式的检测和控制手段,细粒度检测虚拟交换机可能存在的健康问题,清除和修复发现的安全威胁,阻止非法系统调用、网络连接等执行。该模块所进行的工作将在虚拟化健康服务管理模块的指导下进行,根据迁入虚拟交换机的状态,分别执行健康状态检查和评估服务或威胁诊断和处理服务或安全隔离的服务,其中健康状态检查和评估服务是根据用户配置对虚拟交换机进行定期健康状态打分;威胁诊断和处理服务是对由于指标值超过预警值而迁移过来的虚拟交换机进行侵入式的细粒度检查和安全问题修复;安全隔离服务是对在问题修复后仍然无法达到预定健康值的虚拟交换机进行网络隔离,以避免其对网络中的其他虚拟交换机产生安全威胁。隔离防护模块处理后的虚拟交换机的健康值将得到修正,并同步给虚拟化健康服务管理模块,在处理后达到一定健康度的虚拟交换机根据用户的配置自动迁移回原业务环境或等待用户手动处理。隔离防护模块主要通过整合第三方病毒查杀、Web安全防护、统一安全网关、入侵检测和审计等安全产品来实现对虚拟交换机的健康检测、安全问题修复和安全隔离,其中作用于虚拟交换机操作系统的病毒查杀工具采用与虚拟化平台深度耦合的无代理架构实现,网络安全类产品则借助SDN交换机实现多个串并联安全产品的按需协同工作。
[0106] 本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
[0107] 本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
[0108] 最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。