虛擬化網絡動態信息安全的監控方法及系統的制作方法
【專利摘要】本發明公開了一種虛擬化網絡動態信息安全的監控方法及系統,包括:虛擬化健康服務管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值;當所述健康閾值小于虛擬化健康服務管理中心預設的健康閾值時,虛擬化健康服務管理中心向虛擬化管理中心發出遷移虛擬交換機的命令,并將虛擬交換機遷移到隔離防護中心;隔離防護中心收到通知后,向虛擬交換機發出配置命令修改所述虛擬交換機的流表規則,并當所述虛擬交換機的健康閾值高于所述虛擬化健康服務管理中心預設的健康閾值時,所述虛擬化健康服務管理中心將所述虛擬交換機遷移回所述虛擬化管理中心。實現了在不影響整個系統穩定性的情況下,對存在安全問題的虛擬交換機進行處理。
【專利說明】虛擬化網絡動態信息安全的監控方法及系統
【技術領域】
[0001]本發明涉及信息安全【技術領域】,具體涉及一種虛擬化網絡動態信息安全的監控方法及系統。
【背景技術】
[0002]云計算是計算機和互聯網的又一次新的革命,它將計算和存儲轉移到了云端,用戶可以通過使用輕量級的便攜式終端來進行復雜的計算和大容量的存儲。從技術的角度來看,云計算不僅僅是一種新的概念,并行計算和虛擬化是實現云計算應用的主要技術手段。由于硬件技術的快速發展,使得一臺普通的物理服務器的所具有性能遠遠超過普通的單一用戶對硬件性能的需求。因此,通過虛擬化的手段,將一臺物理服務器虛擬為多臺虛擬交換機,提供虛擬化服務成為了構建公有云和企業私有云的技術基礎。
[0003]虛擬化在帶來技術變革的同時,也提出了新的虛擬化網絡中的信息安全監控問題。與傳統物理網絡環境不同,在基于虛擬化技術構建的數據中心中,存在更大數量更高密度部署的虛擬交換機,并且由于虛擬化技術的彈性可擴展、動態迀移等特性,也使得這些虛擬交換機的數量、位置等都較物理環境更易發生變化。
[0004]在虛擬化網絡中,由于網絡虛擬化技術的存在,使得同一個安全域中的虛擬交換機可能分布于不同的物理主機上,并連接在不同的物理交換機上。在云計算的多租戶環境下,同一個物理主機上還可能存在有多個屬于不同安全域的虛擬交換機。因此虛擬化環境中基于物理網絡邊界進行信息安全監控的方案不再有效,因為在虛擬化環境中物理網絡邊界已經消失。
[0005]目前,各家虛擬化和安全廠商已經提出和應用的虛擬虛擬化環境的信息安全監控方案通常分為三種:
[0006]第一種,通過事先規劃網絡拓撲和部署,使得虛擬化網絡邊界和傳統物理邊界重合,即從網絡規劃的層面避免出現不同安全域的虛擬交換機存在不同的物理網絡環境中的問題。該方案的優勢是可以繼續使用物理安全設備按照傳統的方式進行信息安全監控。最大問題是損失了云計算環境的資源整合能力和靈活配置管理能力,機械的人為把本應屬于一個大資源池的資源物理的分割為一個個的小資源池,限制了虛擬化技術所帶來的提高資源利用率、節能、彈性擴展等功能,并且不適用于提供公有云服務的大型云數據中心。
[0007]第二種,利用虛擬化平臺提供的底層API,把傳統安全監控產品灌裝到虛擬交換機中,通過向虛擬化環境部署安全虛擬交換機來實現對虛擬化環境的各種安全監控功能。該方案的優勢是充分利用了虛擬化技術所提供的軟件定義和配置能力,把安全資源也虛擬化了,可以深入部署到所監控虛擬交換機的最鄰近位置,細粒度的實現各種安全功能。最大的問題是,該方案往往需要安全解決方案和虛擬化解決方案深度的耦合,因為安全虛擬交換機需要使用大量虛擬化平臺中的API,并且在大多數情況下會改變整個虛擬化網絡的拓撲部署,特別在虛擬交換機位置和拓撲發生動態變化時,事先部署的安全環境也需要動態發生改變以適應業務環境的變化;另外一個問題是該方案極大的占用了虛擬化平臺的計算資源,甚至會出現與用戶業務環境爭用資源的情況,這不僅僅會對用戶業務系統的正常運行帶來風險,也極大提高了用戶的部署成本。可用性是云計算環境提供應用服務所要保證的第一要素,而長時間持續的對網絡數據包、用戶虛擬交換機進程信息等的監控有可能導致整個云計算環境的性能下降,甚至不可用。
[0008]第三種,采用流量導出方案,利用輕量級安全虛擬交換機實現流量探針或通過配置虛擬交換機的端口鏡像等功能,把本不會出到物理網絡上的流量全部導出到物理網絡上,并將這些流量牽引到部署在物理網絡上的外部物理安全設備上。該方案的優勢是較平衡的使用了虛擬化的資源,利用較小的代價導出了虛擬網絡中的需要監控和用戶關心的流量,并利用物理設備在不占用虛擬化平臺資源的情況下進行分析和處理,能夠達到較高的性價比。存在的最大問題是該方案僅適合旁路式的網絡安全監控需求,如入侵檢測、網絡數據審計等,對于需要攔截虛擬交換機系統內的系統調用和虛擬交換機虛擬網卡上數據包的安全應用,如虛擬交換機病毒查殺、Web應用安全防護等需求則無法實現。
[0009]在虛擬化網絡中,通過虛擬化技術把計算、存儲和網絡等資源以資源池的方式進行了整合,并按需動態的根據租戶的需求,向租戶提供服務。虛擬化技術為用戶帶來了計算、存儲和網絡等資源的彈性擴展能力,可以快速分配組建由大量虛擬交換機組成的業務網絡。虛擬交換機的動態迀移功能為租戶提供了不停機維護的能力,同時云計算數據中心也能夠基于該功能實現節能的目的。目前提出使得基于虛擬化技術對虛擬交換機的管理和配置達到了軟件定義的高度。但是,目前各種安全解決方案都不能很好的適應虛擬化技術的特性,這些方案或者需要犧牲一部分虛擬化的特性(如劃分物理安全域的方案)來實現安全,或者需要消耗大量虛擬化環境中本該提供給業務系統使用的資源(如基于安全虛擬交換機的方案),并易造成安全系統自身成為影響業務系統穩定運行的隱患,或者無法提供完整的安全解決方案(如采用流量導出加物理安全產品的方案)。
【發明內容】
[0010]針對現有技術中的缺陷,本發明提供了一種虛擬化網絡動態信息安全的監控方法及系統,實現了在不影響整個系統穩定性的情況下,對存在安全問題的虛擬交換機進行處理。
[0011]第一方面,本發明提供一種虛擬化網絡動態信息安全的監控方法,包括:
[0012]虛擬化健康服務管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值;
[0013]當所述虛擬交換機的健康閾值小于所述虛擬化健康服務管理中心預設的健康閾值時,所述虛擬化健康服務管理中心向所述虛擬化管理中心發出迀移所述虛擬交換機的命令,并將所述虛擬交換機迀移到隔離防護中心;
[0014]所述隔離防護中心收到虛擬化健康服務管理中心的通知后,向虛擬交換機發出配置命令修改所述虛擬交換機的流表規則,并當所述虛擬交換機的健康閾值高于所述虛擬化健康服務管理中心預設的健康閾值時,所述虛擬化健康服務管理中心將所述虛擬交換機迀移回所述虛擬化管理中心。
[0015]可選的,所述虛擬化健康服務管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值,包括:
[0016]所述虛擬化健康管理服務中心通過虛擬化管理中心獲得虛擬交換機的物理拓撲信息;
[0017]所述虛擬化健康服務管理中心根據所述虛擬交換機的物理拓撲信息創建安全域和與所述安全域對應的威脅預警模塊;
[0018]所述虛擬化健康服務管理中心配置并下發捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監測策略,通過對所述虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
[0019]可選的,所述虛擬化健康服務管理中心配置并下發捕獲所述虛擬交換機的流量,包括:
[0020]所述虛擬化管理中心接收所述虛擬化健康服務管理中心配置并下發的捕獲所述虛擬交換機的流量;
[0021]所述虛擬化管理中心通過流量捕獲探針將虛擬交換機的流量導出到所述安全域對應的威脅預警模塊。
[0022]可選的,所述虛擬化健康服務管理中心配置并下發所述虛擬交換機的流量的健康監測策略,包括:
[0023]所述虛擬化健康服務管理中心向所述安全域對應的威脅預警模塊下發健康監測策略;
[0024]所述虛擬化健康服務管理中心通過對所述安全域對應的威脅預警模塊中的虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
[0025]可選的,所述健康監測策略包括:非法連入連接數、非法連出連接數、流量異常偏離度、敏感IP連接數、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測威脅報警指數、虛擬交換機漏洞掃描報警數和虛擬交換機的補丁缺失數。
[0026]第二方面,本發明還提供了一種虛擬化網絡動態信息安全的監控系統,包括:虛擬化健康服務管理模塊、虛擬化管理模塊和隔離防護模塊;
[0027]所述虛擬化健康服務管理模塊,用于獲取虛擬化管理模塊中虛擬交換機的健康閾值;
[0028]所述虛擬化健康服務管理模塊,還用于在所述虛擬交換機的健康閾值小于所述虛擬化健康服務管理模塊預設的健康閾值時,向所述虛擬化管理模塊發出迀移所述虛擬交換機的命令,并將所述虛擬交換機迀移到隔離防護模塊;
[0029]隔離防護模塊,用于收到所述虛擬化健康服務管理模塊的通知后,向虛擬交換機發出配置命令修改所述虛擬交換機的流表規則;
[0030]所述虛擬化健康服務管理模塊,還用于在所述虛擬交換機的健康閾值高于所述虛擬化健康服務管理模塊預設的健康閾值時,將所述虛擬交換機迀移回所述虛擬化管理模塊。
[0031]可選的,所述虛擬化健康服務管理模塊,還用于:
[0032]通過虛擬化管理模塊獲得虛擬交換機的物理拓撲信息;
[0033]根據所述虛擬交換機的物理拓撲信息創建安全域和與所述安全域對應的威脅預警模塊;
[0034]配置并下發捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監測策略,通過對所述虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
[0035]可選的,所述虛擬化管理模塊,用于:
[0036]接收所述虛擬化健康服務管理模塊配置并下發的捕獲所述虛擬交換機的流量;
[0037]通過流量捕獲探針將虛擬交換機的流量導出到所述安全域對應的威脅預警模塊。
[0038]可選的,所述虛擬化健康服務管理模塊,還用于:
[0039]向所述安全域對應的威脅預警模塊下發健康監測策略;
[0040]通過對所述安全域對應的威脅預警模塊中的虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
[0041]可選的,所述健康監測策略包括:非法連入連接數、非法連出連接數、流量異常偏離度、敏感IP連接數、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測威脅報警指數、虛擬交換機漏洞掃描報警數和虛擬交換機的補丁缺失數。
[0042]由上述技術方案可知,本發明提供的一種虛擬化網絡動態信息安全的監控方法及系統,在多租戶環境下,保證完整的虛擬化技術特性(資源池化、彈性可擴展、動態迀移等),在不改變用戶原有網絡配置的前提下,采用較小的資源代價,提供一種完整的、高效可用的虛擬化環境信息安全監控系統框架,該框架可以集成包括虛擬交換機安全和虛擬網絡安全在內的各類虛擬化或物理形態的安全產品,實現了在不影響整個系統穩定性的情況下,對存在安全問題的虛擬交換機進行處理。
【專利附圖】
【附圖說明】
[0043]圖1為本發明一實施例提供的虛擬化網絡動態信息安全的監控方法的流程示意圖;
[0044]圖2為本發明另一實施例提供的虛擬化網絡動態信息安全的監控方法的流程示意圖;
[0045]圖3為本發明一實施例提供的虛擬化網絡動態信息安全的監控方法的原理框圖;
[0046]圖4為本發明一實施例提供的虛擬化網絡動態信息安全的監控系統的結構示意圖。
【具體實施方式】
[0047]下面結合附圖,對發明的【具體實施方式】作進一步描述。以下實施例僅用于更加清楚地說明本發明的技術方案,而不能以此來限制本發明的保護范圍。
[0048]圖1示出了本發明實施例提供的虛擬化網絡動態信息安全的監控方法的流程示意圖,如圖1所示,上述方法包括如下步驟:
[0049]101、虛擬化健康服務管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值;
[0050]102、當所述虛擬交換機的健康閾值小于所述虛擬化健康服務管理中心預設的健康閾值時,所述虛擬化健康服務管理中心向所述虛擬化管理中心發出迀移所述虛擬交換機的命令,并將所述虛擬交換機迀移到隔離防護中心;
[0051]103、所述隔離防護中心收到虛擬化健康服務管理中心的通知后,向虛擬交換機發出配置命令修改所述虛擬交換機的流表規則,并當所述虛擬交換機的健康閾值高于所述虛擬化健康服務管理中心預設的健康閾值時,所述虛擬化健康服務管理中心將所述虛擬交換機迀移回所述虛擬化管理中心。
[0052]上述方法通過切換虛擬交換機運行的環境來避免了部署侵入式安全產品到虛擬化環境中,從而影響虛擬化環境性能和穩定性的問題。
[0053]具體的,上述步驟101包括:
[0054]1011、所述虛擬化健康管理服務中心通過虛擬化管理中心獲得虛擬交換機的物理拓撲信息;
[0055]1012、所述虛擬化健康服務管理中心根據所述虛擬交換機的物理拓撲信息創建安全域和與所述安全域對應的威脅預警模塊;
[0056]1013、所述虛擬化健康服務管理中心配置并下發捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監測策略,通過對所述虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
[0057]在具體應用中,上述步驟1013中所述虛擬化健康服務管理中心配置并下發捕獲所述虛擬交換機的流量,包括:
[0058]所述虛擬化管理中心接收所述虛擬化健康服務管理中心配置并下發的捕獲所述虛擬交換機的流量;
[0059]所述虛擬化管理中心通過流量捕獲探針將虛擬交換機的流量導出到所述安全域對應的威脅預警模塊。
[0060]上述步驟1013中所述虛擬化健康服務管理中心配置并下發所述虛擬交換機的流量的健康監測策略,包括:
[0061]所述虛擬化健康服務管理中心向所述安全域對應的威脅預警模塊下發健康監測策略;
[0062]舉例來說,所述健康監測策略包括:非法連入連接數、非法連出連接數、流量異常偏離度、敏感IP連接數、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測威脅報警指數、虛擬交換機漏洞掃描報警數和虛擬交換機的補丁缺失數。
[0063]所述虛擬化健康服務管理中心通過對所述安全域對應的威脅預警模塊中的虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
[0064]為了更清楚的說明上述方法,圖2示出了本發明實施例提供的虛擬化網絡動態信息安全的監控方法的流程示意圖,如圖2所示,該方法主要通過8個處理過程構成了一個完整的健康安全服務框架,基礎拓撲信息獲取、虛擬交換機業務信息關聯、非侵入式的健康檢查和安全評估、指標閾值配置和監測、運行環境切換、侵入式健康檢查安全修復和威脅隔離、運行環境恢復。其中基礎拓撲信息獲取指系統從虛擬化平臺獲得虛擬交換機、虛擬網絡的物理拓撲信息;虛擬交換機業務信息關聯是在獲得虛擬化環境的物理拓撲基礎上按照用戶的業務劃分邏輯的安全域;非侵入式的健康檢查和安全評估指針對邏輯安全域中包括的虛擬交換機進行包括漏洞掃描、基線掃描、入侵檢測、網絡審計、設備互聯關系審計等非侵入式的安全檢查;指標閾值配置和監測指對非侵入安全檢查返回的實時結果參數進行指標化處理和計算,配置不同參數的關注度,以獲得每個虛擬交換機的健康閾值;運行環境切換指對健康值低于設定閾值的虛擬交換機進行在線迀移,把其運行環境切換到部署了侵入式安全服務和產品的環境中;侵入式健康檢查安全修復和威脅隔離指對切換到該環境中的虛擬交換機進行侵入式的細粒度檢測和修復,對無法修復的進行暫時的隔離;運行環境恢復指對修復(如殺毒、打補丁)后且健康檢查值達到預定預定閾值的虛擬交換機迀移回沒有部署侵入式安全服務和產品的虛擬網絡業務環境。通過整個8個處理過程,該方法實現了按需的對存在安全問題的虛擬交換機進行處理,以迀移虛擬交換機的方式來減小在虛擬化環境中啟動安全軟件帶來的資源消耗和對整個系統環境穩定性的影響,并且該方法具有很高的環境和平臺適應性,既可用于云環境建設的規劃階段,也可用于已經商用的云環境,既適應私有云環境,也適用于公有云環境,并能夠以服務的方式提供安全服務。
[0065]本申請技術方案通過所提出的虛擬化健康安全服務框架結合了目前三種不同虛擬化安全解決方案的優勢,在充分考慮虛擬化平臺自身可用性的前提下,本技術方案采用帶外實時檢測分析加迀移式按需隔離防護的技術路線,有效避免了采用軟件方式或虛擬交換機方式的安全應用網關、病毒防護等產品在虛擬化環境中對大量高密度部署虛擬交換機不間斷實時檢測掃描所帶來的極大的資源消耗,也降低了由于串聯在網絡中的阻斷式安全產品自身性能和穩定性對用戶業務系統所帶來的系統健壯性影響,并且能夠更好的適應虛擬化環境中虛擬交換機的動態變化的特性。相對于流量導出式的安全解決方案,本申請技術方案能夠提供包括虛擬交換機安全和虛擬網絡旁路式檢測和阻斷隔離功能的完整解決方案,具有更高的應用價值。本申請技術方案還保留了采用物理安全產品提供安全服務能力的優勢,使得用戶能夠有效利用已經采購的物理安全設備,并且具有更好的擴展能力。
[0066]圖2給出了虛擬化網絡動態信息安全監控方法的流程框圖,整個框圖通過四個主要的系統進行協助工作的,分別是:虛擬化健康服務管理中心、流量捕獲探針、安全域的威脅預警、隔離防護中心。整個系統的模塊間按照以下工作流程進行協作:
[0067]1、獲取虛擬化物理拓撲信息:虛擬化健康服務管理中心通過用戶業務系統中的虛擬化管理中心獲得整個虛擬化平臺中的虛擬交換機和虛擬網絡的物理拓撲信息。
[0068]2、注冊基于安全域的健康監測模塊:通過獲取的物理拓撲信息,在虛擬化健康服務管理中心中創建安全域,并綁定該安全域所對應的安全威脅預警模塊,選擇并配置隔離防護中心中的相關安全服務。如首先創建一個包含VM3的安全域,指定該安全域對應的威脅預警模塊為威脅預警模塊X,為該安全域選擇Web安全防護、統一安全網關、入侵防御系統、DDOS防御等安全檢測和隔離服務,并通過這些第三方安全產品的控制臺配置這些服務。
[0069]3.1、配置并下發流量捕獲和導流策略:通過流量捕獲探針(虛擬交換機)的管理口向其下發流量捕獲和導流策略,指定其具體捕獲的流量和導出到安全域威脅預警模塊的目的。
[0070]3.2、配置并下發健康監測策略:向安全域威脅預警模塊下發健康監測策略,指定需要關注的健康監測指標(非法連入連接數、非法連出連接數、流量異常偏離度、敏感IP連接數、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測高級威脅報警指數、虛擬交換機漏洞掃描報警數、虛擬交換機軟件關鍵補丁缺失數等)。
[0071]4、流量捕獲探針捕獲流量:流量捕獲探針從虛擬交換機上按照安全域配置抓取需要捕獲的流量,本實施例中抓取了 VM3的流量。
[0072]5、流量捕獲探針導出流量:流量捕獲探針按照安全域所綁定的安全域威脅預警模塊的地址,把屬于該安全域的數據包的目的MAC地址修改成所綁定的安全域威脅預警模塊的MAC地址,并轉發到網絡上。本實施例中即把VM3相關的數據包的目的MAC都改成安全域威脅預警模塊X的目的MAC。
[0073]6.1、安全域威脅預警模塊實時監測:安全域威脅預警模塊根據所配置的安全健康監測策略實時計算所指定關注的指標
[0074]6.2、安全域威脅預警模塊實時同步監測指標:安全域威脅預警模塊把所關注的指標值實時同步到虛擬化健康服務管理中心。
[0075]6.3、計算健康閾值:根據用預先設定的指標系數,按照給定公式虛擬交換機的健康閾值(該公式和指標系數作用于整個安全域)。
[0076]6.4、控制迀移健康度低于閾值的虛擬交換機:當虛擬化健康服務管理中心發現有虛擬交換機低于其所設定的健康閾值時,向虛擬化管理中心發出迀移命令,將該虛擬交換機迀移到隔離防護中心,本實施例中假設發現VM3的健康度低于其閾值,則將VM3迀移到隔離防護中心。
[0077]6.5、通知修改網絡流管理規則:在虛擬化健康服務管理中心發起迀移命令前,需要先通知隔離防護中心修改其所控制的基于SDN的交換機的流表規則,以保證虛擬交換機在迀移過去后能夠正常工作,且流量被完整監控和防護。
[0078]7、虛擬交換機迀移:VM3在虛擬化管理中心的控制下在線迀移到隔離防護中心,由于該模塊也屬于整個虛擬化資源池的一部分,因此在線迀移的整個過程不會引起運行在VM3上的業務系統的中斷。
[0079]8.1、修改虛擬交換機流表規則:隔離防護中心在收到虛擬化健康服務管理中心的通知后,將向虛擬交換機發出配置命令,修改其流表規則,將相關流量直接送到外部的SDN交換機中。本實施例中即建立虛擬交換機和SDN物理交換機間的GRE隧道,并把VM3的流量封裝到該GRE隧道中。
[0080]8.2、修改SDN物理交換機的流表規則:隔離防護中心在收到虛擬化健康服務管理中心的通知后,將向SDN物理交換機發出配置命令,修改其流表規則,以保證迀移來的虛擬交換機的出入流量將被先引導至第三方安全產品中,再轉發到其真正的目的。
[0081]在隔離防護中心里的虛擬交換機是否迀移回正常的業務環境將由用戶在虛擬化健康服務管理中心中進行配置,可以在被健康修復的虛擬交換機的健康度高于閾值后自動觸發迀移回業務環境的命令,或設置為只手動迀移。
[0082]圖3為本發明實施例提供的虛擬化網絡動態信息安全的監控方法的原理框圖,如圖3所示,初始情況下虛擬交換機運行在業務環境中,帶外監測模塊運行在帶外監測環境中,不使用虛擬化資源池的資源,而由帶外監控模塊對虛擬交換機提供實時的健康監測,通過這個監測過程實時的計算迀移條件對應的健康度值。健康檢查和隔離防護環境也屬于虛擬化資源池的一部分,但是由于不和業務環境相耦合,因此該部分的資源是固定大小分配的,不會因為用戶業務虛擬交換機的數量增加而過度消耗虛擬化資源池的資源。
[0083]在兩種情況下,將觸發虛擬交換機向健康檢查和隔離防護環境迀移,分別是定期檢查時間觸發和健康度觸發。定期檢查時間是用戶設定的一個具體的時間,系統在到該時刻時,不考慮虛擬交換機的健康度情況,會直接把相關虛擬交換機迀移到健康檢查和隔離防護環境中進行檢查和必要的修復。健康度觸發的情況是當健康度低于用戶事先設定閾值時,系統根據虛擬交換機是攻擊的受體還是攻擊發起人對虛擬交換機采取不同的策略,對于虛擬交換機是被攻擊對象的,把虛擬交換機迀移到健康檢查和隔離防護環境中后,采用防火墻等策略,來阻斷攻擊,并對虛擬交換機的系統進行殺毒、打補丁等修復,但仍然保證虛擬交換機的網絡連通和正常業務流量的收發;而對于虛擬交換機自身是攻擊者的情況,將在迀移后先對其采取網絡隔離,再對其進行殺毒、打補丁等修復工作。
[0084]虛擬交換機在兩種情況下可以被迀移回業務環境,一種采用系統自動判斷,即當系統監測虛擬交換機的健康度達到其閾值時,把虛擬交換機自動迀移回去,另外一種情況是讓用戶手動操作,下指令來把虛擬交換機迀移回業務環境中。
[0085]圖4為本發明一實施例提供的虛擬化網絡動態信息安全的監控系統的結構示意圖,如圖4所示,該系統包括:虛擬化管理模塊41、虛擬化健康服務管理模塊42和隔離防護模塊43 ;
[0086]所述虛擬化健康服務管理模塊42,用于獲取虛擬化管理模塊41中虛擬交換機的健康閾值;
[0087]所述虛擬化健康服務管理模塊42,還用于在所述虛擬交換機的健康閾值小于所述虛擬化健康服務管理模塊預設的健康閾值時,向所述虛擬化管理模塊發出迀移所述虛擬交換機的命令,并將所述虛擬交換機迀移到隔離防護模塊;
[0088]隔離防護模塊43,用于收到所述虛擬化健康服務管理模塊的通知后,向虛擬交換機發出配置命令修改所述虛擬交換機的流表規則;
[0089]所述虛擬化健康服務管理模塊42,還用于在所述虛擬交換機的健康閾值高于所述虛擬化健康服務管理模塊預設的健康閾值時,將所述虛擬交換機迀移回所述虛擬化管理模塊。
[0090]所述虛擬化健康服務管理模塊42,還用于:
[0091]通過虛擬化管理模塊獲得虛擬交換機的物理拓撲信息;
[0092]根據所述虛擬交換機的物理拓撲信息創建安全域和與所述安全域對應的威脅預警模塊;
[0093]配置并下發捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監測策略,通過對所述虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
[0094]所述虛擬化管理模塊,用于:
[0095]接收所述虛擬化健康服務管理模塊配置并下發的捕獲所述虛擬交換機的流量;
[0096]通過流量捕獲探針將虛擬交換機的流量導出到所述安全域對應的威脅預警模塊。
[0097]所述虛擬化健康服務管理模塊,還用于:
[0098]向所述安全域對應的威脅預警模塊下發健康監測策略;
[0099]通過對所述安全域對應的威脅預警模塊中的虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
[0100]舉例來說,所述健康監測策略包括:非法連入連接數、非法連出連接數、流量異常偏離度、敏感IP連接數、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測威脅報警指數、虛擬交換機漏洞掃描報警數和虛擬交換機的補丁缺失數等。
[0101]上述系統通過一種新的系統架構方式和虛擬交換機管控技術相結合,實現在多租戶環境下,對虛擬網絡流量進行實時的捕獲、分析,根據安全策略,按需的把發現問題的虛擬交換機從一般業務環境迀移到虛擬化安全服務域,并對其進行安全威脅處理,在處理完成后,再根據用戶定義的安全策略自動或手動將其移回一般業務域。該服務框架可以提供包括實時檢測監視、健康狀態檢查和評估、威脅診斷和處理、安全隔離等服務項目和功能。本發明所公開的系統至少包括安全虛擬交換機形態的流量捕獲探針模塊44、虛擬化健康服務管理模塊42、安全域威脅預警模塊45、隔離防護模塊43和虛擬化管理模塊41。
[0102]所述安全虛擬交換機形態的流量捕獲探針模塊44,用于按用戶配置捕獲用戶所關注的虛擬交換機的網絡流量,并根據其所屬安全域導出到對應的安全域威脅預警模塊。該安全虛擬交換機需要在每臺物理虛擬化服務器上部署一臺,并根據該物理主機上的虛擬交換機數量部署相同數量的虛擬網卡,用于監聽對應虛擬交換機上的網絡流。每個虛擬交換機流量捕獲探針都配置有一個專用于流量導出的網卡,當該模塊從虛擬交換機上利用混雜端口組或者端口鏡像方式捕獲到數據包后,根據該數據包的IP和MAC地址判斷其所屬虛擬交換機,并找到該虛擬交換機對應的安全域威脅預警模塊地址,將數據包的目的MAC改成該安全域威脅預警模塊地址,再轉發出去。
[0103]所述虛擬化健康服務管理模塊42,用于向用戶提供可視化的虛擬化網絡健康狀態監控服務。該模塊部署在物理機或虛擬交換機上,通過Web界面提供人機交互。該模塊通過調用虛擬化管理模塊(如vCenter、CloudStack)的虛擬化管理接口獲得虛擬化環境中的物理拓撲信息,并實時監控該物理拓撲的變化。該模塊還向用戶提供可視化的安全域管理配置界面,在該界面上,用戶可以創建基于其業務邏輯的安全域,選擇屬于該安全域的虛擬交換機,并為每個安全域指定一個對應的安全域威脅預警模塊。在創建好安全域后,用戶還需要為每個安全域配置健康威脅預警指標,該指標所包含參數從該安全域對應的安全域威脅預警模塊實時獲得,主要包括非法連入連接數、非法連出連接數、流量異常偏離度、敏感IP連接數、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測高級威脅報警指數、虛擬交換機漏洞掃描報警數、虛擬交換機軟件關鍵補丁缺失數等,若指標值超出預警值,則引起該指標變化的相關虛擬交換機將被在線迀移到部署了隔離防護模塊的環境中進行細粒度的檢查和處理,該迀移可設置為自動或手動,迀移指令通過虛擬化健康服務管理模塊42調用虛擬化管理模塊41的虛擬化管理接口實現。
[0104]所述安全域威脅預警模塊45,用于對以安全域為單位的虛擬交換機集合進行非侵入式的健康狀態檢查和威脅掃描分析,并將結果實時的同步到虛擬化健康服務管理模塊。每個安全域內的所有虛擬交換機都配置有相同的安全服務項目或安全策略,當安全域創建后,該安全域對應的虛擬交換機的標識信息(IP地址和MAC地址)就將被同步到對應的安全域威脅預警模塊中。安全域威脅預警模塊中整合了入侵檢測、網絡審計、設備互聯關系審計、漏洞掃描、基線掃描等無需侵入用戶虛擬交換機操作系統和虛擬網絡環境就能夠實現的安全檢測和分析功能,根據用戶的配置(所訂購的服務項目)啟動相應的服務,計算實時的指標值,并同步到虛擬化健康服務管理模塊中。
[0105]隔離防護模塊43,用于采用侵入式的檢測和控制手段,細粒度檢測虛擬交換機可能存在的健康問題,清除和修復發現的安全威脅,阻止非法系統調用、網絡連接等執行。該模塊所進行的工作將在虛擬化健康服務管理模塊的指導下進行,根據迀入虛擬交換機的狀態,分別執行健康狀態檢查和評估服務或威脅診斷和處理服務或安全隔離的服務,其中健康狀態檢查和評估服務是根據用戶配置對虛擬交換機進行定期健康狀態打分;威脅診斷和處理服務是對由于指標值超過預警值而迀移過來的虛擬交換機進行侵入式的細粒度檢查和安全問題修復;安全隔離服務是對在問題修復后仍然無法達到預定健康值的虛擬交換機進行網絡隔離,以避免其對網絡中的其他虛擬交換機產生安全威脅。隔離防護模塊處理后的虛擬交換機的健康值將得到修正,并同步給虛擬化健康服務管理模塊,在處理后達到一定健康度的虛擬交換機根據用戶的配置自動迀移回原業務環境或等待用戶手動處理。隔離防護模塊主要通過整合第三方病毒查殺、Web安全防護、統一安全網關、入侵檢測和審計等安全產品來實現對虛擬交換機的健康檢測、安全問題修復和安全隔離,其中作用于虛擬交換機操作系統的病毒查殺工具采用與虛擬化平臺深度耦合的無代理架構實現,網絡安全類產品則借助SDN交換機實現多個串并聯安全產品的按需協同工作。
[0106]本發明的說明書中,說明了大量具體細節。然而,能夠理解,本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中,并未詳細示出公知的方法、結構和技術,以便不模糊對本說明書的理解。
[0107]本領域普通技術人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關硬件完成,所述程序可以存儲于計算機可讀存儲介質中,如只讀存儲器、磁盤或光盤等。可選地,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現。相應地,上述實施例中的各模塊/單元可以采用硬件的形式實現,也可以采用軟件功能模塊的形式實現。本申請不限制于任何特定形式的硬件和軟件的結合。
[0108]最后應說明的是:以上各實施例僅用以說明本發明的技術方案,而非對其限制;盡管參照前述各實施例對本發明進行了詳細的說明,本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分或者全部技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質脫離本發明各實施例技術方案的范圍,其均應涵蓋在本發明的權利要求和說明書的范圍當中。
【權利要求】
1.一種虛擬化網絡動態信息安全的監控方法,其特征在于,包括: 虛擬化健康服務管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值; 當所述虛擬交換機的健康閾值小于所述虛擬化健康服務管理中心預設的健康閾值時,所述虛擬化健康服務管理中心向所述虛擬化管理中心發出迀移所述虛擬交換機的命令,并將所述虛擬交換機迀移到隔離防護中心; 所述隔離防護中心收到虛擬化健康服務管理中心的通知后,向虛擬交換機發出配置命令修改所述虛擬交換機的流表規則,并當所述虛擬交換機的健康閾值高于所述虛擬化健康服務管理中心預設的健康閾值時,所述虛擬化健康服務管理中心將所述虛擬交換機迀移回所述虛擬化管理中心。
2.根據權利要求1所述的方法,其特征在于,所述虛擬化健康服務管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值,包括: 所述虛擬化健康管理服務中心通過虛擬化管理中心獲得虛擬交換機的物理拓撲信息; 所述虛擬化健康服務管理中心根據所述虛擬交換機的物理拓撲信息創建安全域和與所述安全域對應的威脅預警模塊; 所述虛擬化健康服務管理中心配置并下發捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監測策略,通過對所述虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
3.根據權利要求2所述的方法,其特征在于,所述虛擬化健康服務管理中心配置并下發捕獲所述虛擬交換機的流量,包括: 所述虛擬化管理中心接收所述虛擬化健康服務管理中心配置并下發的捕獲所述虛擬交換機的流量; 所述虛擬化管理中心通過流量捕獲探針將虛擬交換機的流量導出到所述安全域對應的威脅預警模塊。
4.根據權利要求2所述的方法,其特征在于,所述虛擬化健康服務管理中心配置并下發所述虛擬交換機的流量的健康監測策略,包括: 所述虛擬化健康服務管理中心向所述安全域對應的威脅預警模塊下發健康監測策略; 所述虛擬化健康服務管理中心通過對所述安全域對應的威脅預警模塊中的虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
5.根據權利要求4所述的方法,其特征在于,所述健康監測策略包括:非法連入連接數、非法連出連接數、流量異常偏離度、敏感IP連接數、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測威脅報警指數、虛擬交換機漏洞掃描報警數和虛擬交換機的補丁缺失數。
6.一種虛擬化網絡動態信息安全的監控系統,其特征在于,包括:虛擬化健康服務管理模塊、虛擬化管理模塊和隔離防護模塊;所述虛擬化健康服務管理模塊,用于獲取虛擬化管理模塊中虛擬交換機的健康閾值;所述虛擬化健康服務管理模塊,還用于在所述虛擬交換機的健康閾值小于所述虛擬化健康服務管理模塊預設的健康閾值時,向所述虛擬化管理模塊發出迀移所述虛擬交換機的命令,并將所述虛擬交換機迀移到隔離防護模塊; 隔離防護模塊,用于收到所述虛擬化健康服務管理模塊的通知后,向虛擬交換機發出配置命令修改所述虛擬交換機的流表規則; 所述虛擬化健康服務管理模塊,還用于在所述虛擬交換機的健康閾值高于所述虛擬化健康服務管理模塊預設的健康閾值時,將所述虛擬交換機迀移回所述虛擬化管理模塊。
7.根據權利要求1所述的系統,其特征在于,所述虛擬化健康服務管理模塊,還用于: 通過虛擬化管理模塊獲得虛擬交換機的物理拓撲信息; 根據所述虛擬交換機的物理拓撲信息創建安全域和與所述安全域對應的威脅預警模塊; 配置并下發捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監測策略,通過對所述虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
8.根據權利要求7所述的系統,其特征在于,所述虛擬化管理模塊,用于: 接收所述虛擬化健康服務管理模塊配置并下發的捕獲所述虛擬交換機的流量; 通過流量捕獲探針將虛擬交換機的流量導出到所述安全域對應的威脅預警模塊。
9.根據權利要求7所述的系統,其特征在于,所述虛擬化健康服務管理模塊,還用于: 向所述安全域對應的威脅預警模塊下發健康監測策略; 通過對所述安全域對應的威脅預警模塊中的虛擬交換機的流量進行健康監測,獲取所述虛擬交換機的健康閾值。
10.根據權利要求9所述的系統,其特征在于,所述健康監測策略包括:非法連入連接數、非法連出連接數、流量異常偏離度、敏感IP連接數、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測威脅報警指數、虛擬交換機漏洞掃描報警數和虛擬交換機的補丁缺失數。
【文檔編號】H04L29/06GK104468504SQ201410568944
【公開日】2015年3月25日 申請日期:2014年10月22日 優先權日:2014年10月22日
【發明者】何利文 申請人:南京綠云信息技術有限公司