一种基于虚拟机的弹性防攻击方法技术

技术编号:13229987 阅读:100 留言:0更新日期:2016-05-13 12:27
本发明专利技术涉及云计算安全技术领域,特别是一种基于虚拟机的弹性防攻击方法。本发明专利技术首先部署虚拟交换机OVS;然后当攻击者的数据包经过OVS交换机时;向控制器发出PAKCET_IN事件请求;控制器查询访问控制白名单,确认是否符合预设的规则;控制器上的代理程序对数据包进行分析以判断其是否为攻击流量;如果确实是攻击流量,则删除访问控制白名单中对应的规则,克隆一台预先配置好蜜网(honeynet)的虚拟机作为安全虚拟机;最后通知控制器生成一条将攻击流量导向新生成的虚拟机的流,并下发至相应的OVS交换机上。本发明专利技术结合Openflow和虚拟机克隆技术,实现了动态响应的弹性安全基础设施来应对内部攻击;可以用于虚拟机的安全控制上。

【技术实现步骤摘要】

本专利技术涉及云计算安全
,特别是。
技术介绍
随着云计算模式的流行,许多机构希望建设私有云,私有云的建设无疑为IT部门带来了诸多好处,如可以实现信息资源的集中管理、IT基础设施能够得到更高效的利用等。但是在带来这些优点的同时,由于私有云的建设者和使用者都是机构本身,机构需要自己负责对来自私有云外部的攻击进行防护。传统的网络攻击防护多采用昂贵的防护设备,IDS、IPS等专门负责网络的防护,这些硬件设备的效果较好,可是对于私有云的建设者而s,也存在以下的不足:I)专用防护设备的价格一般较高,而且对于小规模的私有云而言,有针对性的网络攻击频率不高,设备闲置的时间较长,不符合建设经济性的原则;2)对于攻击者而言,专用防护设备的运作比较容易被察觉而停止攻击行为,不利于对攻击行为的分析。Openf low是一种将网络设备的数据平面(Data-Panel)和控制平面(ControlPanel)相分离的技术,使用逻辑上的控制器(Controller)对整个网络进行管理,提高了网络管理的灵活性,降低了网络维护的复杂度。Openflow是SDN(Software Defined Network,软件定义网络)的代表技术之一,甚至在一定程度上被认为与SDN技术等价,Openflow和SDN技术被建议在未来的企业私有云和云平台的建设中采用,来优化云内部的虚拟网络。
技术实现思路
本专利技术解决的技术问题在于提供,解决了传统防护方法建设成本高、资源浪费以及容易被察觉而绕开的问题。本专利技术解决上述技术问题的技术方案是:所述的方法包括以下步骤:步骤1:在每一台运行虚拟机的物理服务器上部署虚拟交换机Openvswitch(OVS);步骤2:当攻击者向应用前端服务器发起攻击时,数据包经过运行应用前端服务器的物理服务器上的OVS交换机; 步骤3: OVS交换机向控制器发出PAKCET-1N事件请求;步骤4:控制器查询访问控制白名单,确认数据包是否符合预设的规则;如果符合,执行步骤5;否则,直接丢弃数据包;步骤5:控制器上的代理程序对数据包进行分析以判断其是否为攻击流量;如果是,执行步骤6;否则,结束检测流程;步骤6:删除访问控制白名单中对应的规则;步骤7:通知物理服务器上的代理程序使用虚拟机克隆技术克隆一台预先配置好蜜网(honeynet)的虚拟机作为安全虚拟机;步骤8:通知控制器生成一条将攻击流量导向新生成的虚拟机的流,并下发至相应的OVS交换机上,从而可以在安全虚拟机内进一步分析攻击流量。所述控制器用于对各虚拟交换机进行管理,可以在控制器上为其管理的OVS交换机远程添加/删除/修改流。所述流是OVS交换机上FlowTable流表中的一条转发规则;进入OVS交换机的数据包通过查询流表来获得转发的目的端口;流由头域、计数器和操作组成;其中头域是个十元组,是流的标识;计数器用来计算流的统计数据;操作标明了与该流匹配的数据包应该执行的操作。所述白名单是一个包含被允许转发的源地址/目的地址对的列表;源地址是访问终端的网卡的MAC地址,目的地址是被访问虚拟机的网卡的MAC地址。所述控制器上的代理程序的作用是数据包抓包分析并与物理服务器上的代理程序进行通信;所述物理服务器上的代理程序的作用是克隆安全虚拟机。所述蜜网(honeynet)是一个网路系统,所有进出的资料都受到监控、捕获及控制。这些被捕获的资料可以对我们研究分析入侵者们使用的工具、方法及动机。honeynet并不会对任何授权用户进行服务,任何试图联系主机的行为都被视为非法,而任何从主机对外开放的通讯都被视为合法。本专利技术的方法能产生如下的有益效果: 1、本专利技术的方法采用纯软件的方式实现,是一种经济的防护方法。2、本专利技术的方法利用空闲资源,在需要时动态部署,完成后自动释放,在完成基本安全功能的同时,节省了系统的资源。3、本专利技术的方法对攻击者来说完全透明,确保了攻击者无法绕开这一机制,并且有效利用物理服务器的空闲资源进行拦截和分析,提高了整个系统的可靠性和可用性。本专利技术针对私有云的网络特点,结合Openflow技术可以对虚拟机网络进行灵活调整的特点以及虚拟机克隆技术快速响应的特点,提出,解决了传统防护方法建设成本高、资源浪费以及容易被察觉而绕开的问题。【附图说明】下面结合附图对本专利技术进一步说明:图1为本专利技术的网络部署结构图;图2为本专利技术的流程图。【具体实施方式】下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。首先按照图1、2所示进行物理服务器、虚拟机和OVS交换机的部署。当控制器上的代理程序侦测到攻击流量时,首先会发出如下告警信息:INFO:flow_status:________Flooding detected from 00:11:22:33:44:66----->00:11:22:33:44:55_INFO:flow—status:Web traffic from d4-be-d9-b6-a8_18;16139164 bytes(11340packets)over lflowsINFO: flow—status:________Flooding detected from 00:11:22:33:44:66----->00:11:22:33:44:55_INFO:flow_status:ffeb traffic from d4-be-d9-b6-a8_18;68251596bytes(48056packets)over lflowsINFO: flow—status:________Flooding detected from 00:11:22:33:44:66----->00:11:22:33:44:55_INFO:flow—status:Web traffic from d4-be-d9-b6-a8_18;103859026 bytes(73136packets)over lflowsINFO: flow—status:________Flooding detected from 00:11:22:33:44:66----->00:11:22:33:44:55_INFO:flow—status:Web traffic from d4-be-d9-b6-a8_18;16139164 bytes(11340packets)over I flows INFO: of—sw—tutorial—oo:________NO 00:11:22:33:44:66------>00:11:22:33:44;55matched._INFO: flow—status:Web traffic from d4-be-d9-b6-a8_18:0 bytes(0packets)over Oflows然后从白名单文件中将相应的表项删除$ovs-of ctl del-flows ovs_switch"table = 0,dl—src = 00:11:22:本文档来自技高网...

【技术保护点】
一种基于虚拟机的弹性防攻击方法,其特征在于,所述的方法包括以下步骤:步骤1:在每一台运行虚拟机的物理服务器上部署虚拟交换机Openvswitch(OVS);步骤2:当攻击者向应用前端服务器发起攻击时,数据包经过运行应用前端服务器的物理服务器上的OVS交换机;步骤3:OVS交换机向控制器发出PAKCET‑IN事件请求;步骤4:控制器查询访问控制白名单,确认数据包是否符合预设的规则;如果符合,执行步骤5;否则,直接丢弃数据包;步骤5:控制器上的代理程序对数据包进行分析以判断其是否为攻击流量;如果是,执行步骤6;否则,结束检测流程;步骤6:删除访问控制白名单中对应的规则;步骤7:通知物理服务器上的代理程序使用虚拟机克隆技术克隆一台预先配置好蜜网(honeynet)的虚拟机作为安全虚拟机;步骤8:通知控制器生成一条将攻击流量导向新生成的虚拟机的流,并下发至相应的OVS交换机上,从而可以在安全虚拟机内进一步分析攻击流量。

【技术特征摘要】

【专利技术属性】
技术研发人员:莫展鹏杨松季统凯
申请(专利权)人:国云科技股份有限公司
类型:发明
国别省市:广东;44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1