本发明专利技术提供一种虚拟网络的攻击面转移方法及系统,通过使用OpenFlow协议收集、分析提取流量数据中的特征向量和流表项,获取分布式虚拟环境中虚拟机之间的通信关系,使用聚类处理对虚拟机进行微隔离分组,验证所述通信关系中的虚拟机之间是否存在网络攻击行为,根据验证结果对虚拟机的微隔离分组动态部署安全防护策略,当发现单个虚拟机被攻击后,随机修改该虚拟机的地址和端口,避免其被持续攻击,以及保护该虚拟机相近的其他虚拟机也不被攻击,从而实现帮助管理员将攻击转移。
Attack surface transfer method and system of virtual network
【技术实现步骤摘要】
一种虚拟网络的攻击面转移方法及系统
本申请涉及网络安全
,尤其涉及一种虚拟网络的攻击面转移方法及系统。
技术介绍
现在利用虚拟化技术构建数据中心越来越普遍了,带来了新的安全问题,在虚拟化网络环境中,大量流量数据通过虚拟交换机转发,不会经过防火墙,使得传统的安全防护措施失效。虚拟机之间的通信流量变得不可控,内部虚拟机的威胁无法被检测,也无法被控制。分布式虚拟环境存在海量的虚拟机,如何动态部署安全防护策略,也是急需要解决的技术问题。同时,单个节点发现被攻击后,如何避免该节点被持续攻击,以及如何保护该节点相近的其他节点也不被攻击。这也成为急需解决的技术问题。因此,急需一种针对性分布式虚拟环境的安全防护方法和系统。
技术实现思路
本专利技术的目的在于提供一种虚拟网络的攻击面转移方法及系统,解决现有技术中针对海量虚拟机之间流量数据缺乏控制方法,缺乏动态部署安全防护策略,如何避免被攻击的虚拟机被持续攻击的技术问题。第一方面,本申请提供一种虚拟网络的攻击面转移方法,所述方法包括:获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。结合第一方面,在第一方面第一种可能的实现方式中,所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。结合第一方面,在第一方面第二种可能的实现方式中,所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。结合第一方面,在第一方面第三种可能的实现方式中,所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。第二方面,本申请提供一种虚拟网络的攻击面转移系统,所述系统包括:获取单元、分组单元、策略部署单元和服务器;所述获取单元,用于获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;所述分组单元,用于根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;所述策略部署单元,用于验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;所述服务器,用于向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收本文档来自技高网...
【技术保护点】
1.一种虚拟网络的攻击面转移方法,其特征在于,所述方法包括:/n获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;/n所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;/n根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;/n所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;/n验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;/n当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;/n所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;/n定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;/n服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;/n所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;/n所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;/n针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;/n以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;/n所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。/n...
【技术特征摘要】
1.一种虚拟网络的攻击面转移方法,其特征在于,所述方法包括:
获取分布式虚拟网络中的流量数据,使用OpenFlow协议收集流量统计信息,分析提取流量数据中的特征向量和流表项,根据流表项的关联关系,得到所述分布式虚拟网络中各个虚拟机的通信关系;
所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括获取所述分布式虚拟网络的所有节点标识,将所述节点标识与虚拟机标识组成新的唯一标识字符串,根据该唯一标识字符串和流表项的前后关联关系,生成所述分布式虚拟网络中各个虚拟机的通信关系;
根据生成的所述各个虚拟机的通信关系、业务数据的关联程度、各个虚拟机的相邻程度进行聚类处理,将所述分布式虚拟网络中所有虚拟机分成若干个微隔离分组;
所述聚类处理还可以包括根据各个虚拟机资源的利用情况、或者业务链中是否存在不常用使用到的通信链路;
验证所述通信关系中的虚拟机之间是否存在网络攻击行为,若存在则认定被攻击的虚拟机为不安全虚拟机,升级其所在微隔离分组的安全防护策略,并标记所述不安全虚拟机,暂停所述不安全虚拟机与其他虚拟机的通信;若不存在则认定被验证的虚拟机为安全虚拟机;
当一个微隔离分组的所有虚拟机都为安全虚拟机时,则为该微隔离分组下发普通安全防护策略,允许流量数据在分组内虚拟机之间正常传输,允许分组内虚拟机与其他分组的虚拟机交换流量数据;
所述升级其所在微隔离分组的安全防护策略,包括暂停分组内不安全虚拟机的通信、禁止分组内所有虚拟机的流量数据传输、禁止分组内虚拟机与其他分组的虚拟机交换流量数据;
定期反复验证所述不安全虚拟机的通信关系是否仍然存在网络攻击行为,若该网络攻击行为消除,则将所述不安全虚拟机标记为安全虚拟机,调整其所在微隔离分组的安全防护策略;
服务器向各个虚拟机发送指令,所述指令用于命令各个虚拟机将本地数据片段上传,所述各个虚拟机接收到指令后,在微隔离分组内选举出一个临时主控点,将虚拟机本地数据片段传送给所述临时主控点;
所述临时主控点调用本地策略扫描所述数据片段,检查是否包含可被利用的攻击向量,再将所述可被利用的攻击向量以及数据片段副本打包,在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识;
所述服务器将接收到的数据片段与服务器本地的历史数据片段合并,使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的虚拟机标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;
针对被标注为异常点并且持续被评估为不可信的虚拟机,所述服务器实时重点分析该虚拟机的数据流,解析该数据流,如果发现该虚拟机被攻击者攻击,则随机修改该虚拟机的地址和端口,将随机修改的指令下发到该虚拟机;如果解析该虚拟机未发现攻击,则将该虚拟机列入重点关注列表;
以及,分析与所述被标注为异常点并且持续被评估为不可信的虚拟机类似的其他虚拟机,判断该其他虚拟机是否也会遭遇攻击;所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务;如果该其他虚拟机也被攻击者攻击,则也随机修改该其他虚拟机的地址和端口;
所述服务器根据所述若干个异常数据片段之间存在的逻辑关联,建立异常点的前后关联关系,找到相关联的微隔离分组,升级所述相关联的微隔离分组的安全防护策略。
2.根据权利要求1所述的方法,其特征在于:所述得到所述分布式虚拟网络中各个虚拟机的通信关系之前,还包括对流表项的预处理,删除虚拟机与外部服务器或网关之间的通信链路,删除不相关的字段,将源IP地址和目的IP地址作为匹配条件。
3.根据权利要求1-2任一项所述的方法,其特征在于:所述各个虚拟机的相邻程度包括判断虚拟机是否属于同一个集群或同一个节点。
4.根据权利要求1-3任一项所述的方法,其特征在于:所述聚类处理使用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
5.一种虚拟网络的攻击面转移系统,其特征在...
【专利技术属性】
技术研发人员:段彬,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。