一種基于虛擬機的彈性防攻擊方法【
技術領域:
】[0001]本發(fā)明涉及云計算安全
技術領域:
,特別是一種基于虛擬機的彈性防攻擊方法���。【
背景技術:
】[0002]隨著云計算模式的流行����,許多機構希望建設私有云,私有云的建設無疑為IT部門帶來了諸多好處��,如可以實現(xiàn)信息資源的集中管理�、IT基礎設施能夠得到更高效的利用等����。但是在帶來這些優(yōu)點的同時,由于私有云的建設者和使用者都是機構本身���,機構需要自己負責對來自私有云外部的攻擊進行防護��。傳統(tǒng)的網絡攻擊防護多采用昂貴的防護設備����,IDS、IPS等專門負責網絡的防護���,這些硬件設備的效果較好����,可是對于私有云的建設者而s��,也存在以下的不足:[0003]I)專用防護設備的價格一般較高����,而且對于小規(guī)模的私有云而言���,有針對性的網絡攻擊頻率不高,設備閑置的時間較長�,不符合建設經濟性的原則�����;[0004]2)對于攻擊者而言,專用防護設備的運作比較容易被察覺而停止攻擊行為����,不利于對攻擊行為的分析�。[0005]Openflow是一種將網絡設備的數(shù)據平面(Data-Panel)和控制平面(ControlPanel)相分離的技術��,使用邏輯上的控制器(Controller)對整個網絡進行管理����,提高了網絡管理的靈活性�����,降低了網絡維護的復雜度。Openflow是SDN(SoftwareDefinedNetwork,軟件定義網絡)的代表技術之一�,甚至在一定程度上被認為與SDN技術等價�����,Openflow和SDN技術被建議在未來的企業(yè)私有云和云平臺的建設中采用���,來優(yōu)化云內部的虛擬網絡�����?����!?br/>發(fā)明內容】[0006]本發(fā)明解決的技術問題在于提供一種基于虛擬機的彈性防攻擊方法�,解決了傳統(tǒng)防護方法建設成本高�、資源浪費以及容易被察覺而繞開的問題。[0007]本發(fā)明解決上述技術問題的技術方案是:[0008]所述的方法包括以下步驟:[0009]步驟1:在每一臺運行虛擬機的物理服務器上部署虛擬交換機Openvswitch(OVS)��;[0010]步驟2:當攻擊者向應用前端服務器發(fā)起攻擊時,數(shù)據包經過運行應用前端服務器的物理服務器上的OVS交換機����;[0011]步驟3:OVS交換機向控制器發(fā)出PAKCET-1N事件請求;[0012]步驟4:控制器查詢訪問控制白名單���,確認數(shù)據包是否符合預設的規(guī)則;如果符合����,執(zhí)行步驟5;否則�����,直接丟棄數(shù)據包��;[0013]步驟5:控制器上的代理程序對數(shù)據包進行分析以判斷其是否為攻擊流量�����;如果是,執(zhí)行步驟6;否則��,結束檢測流程�����;[0014]步驟6:刪除訪問控制白名單中對應的規(guī)則;[0015]步驟7:通知物理服務器上的代理程序使用虛擬機克隆技術克隆一臺預先配置好蜜網(honeynet)的虛擬機作為安全虛擬機;[0016]步驟8:通知控制器生成一條將攻擊流量導向新生成的虛擬機的流�,并下發(fā)至相應的OVS交換機上���,從而可以在安全虛擬機內進一步分析攻擊流量����。[0017]所述控制器用于對各虛擬交換機進行管理,可以在控制器上為其管理的OVS交換機遠程添加/刪除/修改流�����。[0018]所述流是OVS交換機上FlowTable流表中的一條轉發(fā)規(guī)則;進入OVS交換機的數(shù)據包通過查詢流表來獲得轉發(fā)的目的端口�;流由頭域、計數(shù)器和操作組成;其中頭域是個十元組����,是流的標識;計數(shù)器用來計算流的統(tǒng)計數(shù)據;操作標明了與該流匹配的數(shù)據包應該執(zhí)行的操作����。[0019]所述白名單是一個包含被允許轉發(fā)的源地址/目的地址對的列表;源地址是訪問終端的網卡的MAC地址�����,目的地址是被訪問虛擬機的網卡的MAC地址���。[0020]所述控制器上的代理程序的作用是數(shù)據包抓包分析并與物理服務器上的代理程序進行通信;所述物理服務器上的代理程序的作用是克隆安全虛擬機。[0021]所述蜜網(honeynet)是一個網路系統(tǒng)�����,所有進出的資料都受到監(jiān)控、捕獲及控制�����。這些被捕獲的資料可以對我們研究分析入侵者們使用的工具、方法及動機。honeynet并不會對任何授權用戶進行服務��,任何試圖聯(lián)系主機的行為都被視為非法,而任何從主機對外開放的通訊都被視為合法����。[0022]本發(fā)明的方法能產生如下的有益效果:[0023]1、本發(fā)明的方法采用純軟件的方式實現(xiàn)��,是一種經濟的防護方法。[0024]2�����、本發(fā)明的方法利用空閑資源�,在需要時動態(tài)部署����,完成后自動釋放,在完成基本安全功能的同時��,節(jié)省了系統(tǒng)的資源。[0025]3�����、本發(fā)明的方法對攻擊者來說完全透明���,確保了攻擊者無法繞開這一機制�����,并且有效利用物理服務器的空閑資源進行攔截和分析,提高了整個系統(tǒng)的可靠性和可用性����。[0026]本發(fā)明針對私有云的網絡特點���,結合Openflow技術可以對虛擬機網絡進行靈活調整的特點以及虛擬機克隆技術快速響應的特點�����,提出一種基于虛擬機的彈性防攻擊方法��,解決了傳統(tǒng)防護方法建設成本高���、資源浪費以及容易被察覺而繞開的問題?���!靖綀D說明】[0027]下面結合附圖對本發(fā)明進一步說明:[0028]圖1為本發(fā)明的網絡部署結構圖;[0029]圖2為本發(fā)明的流程圖?����!揪唧w實施方式】[0030]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚����、完整的描述,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例���,而不是全部的實施例����?����;诒景l(fā)明中的實施例�,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍��。[0031]首先按照圖1���、2所示進行物理服務器、虛擬機和OVS交換機的部署�����。[0032]當控制器上的代理程序偵測到攻擊流量時,首先會發(fā)出如下告警信息:[0033]INFO:flow_status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55_[0034]INFO:flow—status:Webtrafficfromd4-be-d9-b6-a8_18;16139164bytes(11340packets)overlflows[0035]INFO:flow—status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55_[0036]INFO:flow_status:ffebtrafficfromd4-be-d9-b6-a8_18;68251596bytes(48056packets)overlflows[0037]INFO:flow—status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55_[0038]INFO:flow—status:Webtrafficfromd4-be-d9-b6-a8_18;103859026bytes(73136packets)overlflows[0039]INFO:flow—status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55_[0040]INFO:flow—status:Webtrafficfromd4-be-d9-b6-a8_18;16139164bytes(11340packets)overIflows[0041]INFO:of—sw—tutorial—oo:________NO00:11:22:33:44:66------>00:11:22:33:44��;55matched._[0042]INFO:flow—status:Webtrafficfromd4-be-d9-b6-a8_18:0bytes(0packets)overOflows[0043]然后從白名單文件中將相應的表項刪除[0044]$ovs-ofctldel-flowsovs_switch"table=0����,dl—src=00:11:22:33:44:66�,dl_dst=00:11:22:33:44:55"[0045]然后啟動安全虛擬機�����,并生成將流量從攻擊者導向安全虛擬機的流[0046]$ovs-ofctladd-flowovs_switch"table=0����,dl—src=00:11:22:33:44:66�,dl_dst=00:11:22:33:44:77�,act1ns=accept"o【主權項】1.一種基于虛擬機的彈性防攻擊方法����,其特征在于����,所述的方法包括以下步驟:步驟1:在每一臺運行虛擬機的物理服務器上部署虛擬交換機Openvswitch(OVS)�;步驟2:當攻擊者向應用前端服務器發(fā)起攻擊時�����,數(shù)據包經過運行應用前端服務器的物理服務器上的OVS交換機;步驟3:OVS交換機向控制器發(fā)出PAKCET-1N事件請求���;步驟4:控制器查詢訪問控制白名單���,確認數(shù)據包是否符合預設的規(guī)則;如果符合���,執(zhí)行步驟5��;否則���,直接丟棄數(shù)據包����;步驟5:控制器上的代理程序對數(shù)據包進行分析以判斷其是否為攻擊流量;如果是��,執(zhí)行步驟6;否則����,結束檢測流程�����;步驟6:刪除訪問控制白名單中對應的規(guī)則�;步驟7:通知物理服務器上的代理程序使用虛擬機克隆技術克隆一臺預先配置好蜜網(honeynet)的虛擬機作為安全虛擬機���;步驟8:通知控制器生成一條將攻擊流量導向新生成的虛擬機的流����,并下發(fā)至相應的OVS交換機上�����,從而可以在安全虛擬機內進一步分析攻擊流量�����。2.根據權利要求1所述的方法,其特征在于:所述控制器用于對各虛擬交換機進行管理��,可以在控制器上為其管理的OVS交換機遠程添加/刪除/修改流��。3.根據權利要求1所述的方法����,其特征在于��,所述流是OVS交換機上FIowTabIe流表中的一條轉發(fā)規(guī)則;進入OVS交換機的數(shù)據包通過查詢流表來獲得轉發(fā)的目的端口��;流由頭域、計數(shù)器和操作組成;其中頭域是個十元組����,是流的標識;計數(shù)器用來計算流的統(tǒng)計數(shù)據;操作標明了與該流匹配的數(shù)據包應該執(zhí)行的操作。4.根據權利要求2所述的方法����,其特征在于����,所述流是OVS交換機上FlowTable流表中的一條轉發(fā)規(guī)則;進入OVS交換機的數(shù)據包通過查詢流表來獲得轉發(fā)的目的端口�����;流由頭域����、計數(shù)器和操作組成;其中頭域是個十元組���,是流的標識;計數(shù)器用來計算流的統(tǒng)計數(shù)據;操作標明了與該流匹配的數(shù)據包應該執(zhí)行的操作���。5.根據權利要求1至4任一項所述的方法,其特征在于,所述白名單是一個包含被允許轉發(fā)的源地址/目的地址對的列表;源地址是訪問終端的網卡的MAC地址�����,目的地址是被訪問虛擬機的網卡的MAC地址��。6.根據權利要求1至4任一項所述的方法,其特征在于�����,所述控制器上的代理程序的作用是數(shù)據包抓包分析并與物理服務器上的代理程序進行通信;所述物理服務器上的代理程序的作用是克隆安全虛擬機��。7.根據權利要求5所述的方法�����,其特征在于�,所述控制器上的代理程序的作用是數(shù)據包抓包分析并與物理服務器上的代理程序進行通信;所述物理服務器上的代理程序的作用是克隆安全虛擬機�。【專利摘要】本發(fā)明涉及云計算安全
技術領域:
���,特別是一種基于虛擬機的彈性防攻擊方法����。本發(fā)明首先部署虛擬交換機OVS;然后當攻擊者的數(shù)據包經過OVS交換機時��;向控制器發(fā)出PAKCET_IN事件請求��;控制器查詢訪問控制白名單����,確認是否符合預設的規(guī)則�;控制器上的代理程序對數(shù)據包進行分析以判斷其是否為攻擊流量;如果確實是攻擊流量�,則刪除訪問控制白名單中對應的規(guī)則,克隆一臺預先配置好蜜網(honeynet)的虛擬機作為安全虛擬機��;最后通知控制器生成一條將攻擊流量導向新生成的虛擬機的流���,并下發(fā)至相應的OVS交換機上�����。本發(fā)明結合Openflow和虛擬機克隆技術�����,實現(xiàn)了動態(tài)響應的彈性安全基礎設施來應對內部攻擊���;可以用于虛擬機的安全控制上����?�!綢PC分類】G06F9/455,H04L29/06【公開號】CN105553948【申請?zhí)枴緾N201510900707【發(fā)明人】莫展鵬,楊松,季統(tǒng)凱【申請人】國云科技股份有限公司【公開日】2016年5月4日【申請日】2015年12月8日