一種基于虛擬機的彈性防攻擊方法【
技術領域:
】[0001]本發明涉及云計算安全
技術領域:
,特別是一種基于虛擬機的彈性防攻擊方法。【
背景技術:
】[0002]隨著云計算模式的流行,許多機構希望建設私有云,私有云的建設無疑為IT部門帶來了諸多好處,如可以實現信息資源的集中管理、IT基礎設施能夠得到更高效的利用等。但是在帶來這些優點的同時,由于私有云的建設者和使用者都是機構本身,機構需要自己負責對來自私有云外部的攻擊進行防護。傳統的網絡攻擊防護多采用昂貴的防護設備,IDS、IPS等專門負責網絡的防護,這些硬件設備的效果較好,可是對于私有云的建設者而s,也存在以下的不足:[0003]I)專用防護設備的價格一般較高,而且對于小規模的私有云而言,有針對性的網絡攻擊頻率不高,設備閑置的時間較長,不符合建設經濟性的原則;[0004]2)對于攻擊者而言,專用防護設備的運作比較容易被察覺而停止攻擊行為,不利于對攻擊行為的分析。[0005]Openflow是一種將網絡設備的數據平面(Data-Panel)和控制平面(ControlPanel)相分離的技術,使用邏輯上的控制器(Controller)對整個網絡進行管理,提高了網絡管理的靈活性,降低了網絡維護的復雜度。Openflow是SDN(SoftwareDefinedNetwork,軟件定義網絡)的代表技術之一,甚至在一定程度上被認為與SDN技術等價,Openflow和SDN技術被建議在未來的企業私有云和云平臺的建設中采用,來優化云內部的虛擬網絡。【
發明內容】[0006]本發明解決的技術問題在于提供一種基于虛擬機的彈性防攻擊方法,解決了傳統防護方法建設成本高、資源浪費以及容易被察覺而繞開的問題。[0007]本發明解決上述技術問題的技術方案是:[0008]所述的方法包括以下步驟:[0009]步驟1:在每一臺運行虛擬機的物理服務器上部署虛擬交換機Openvswitch(OVS);[0010]步驟2:當攻擊者向應用前端服務器發起攻擊時,數據包經過運行應用前端服務器的物理服務器上的OVS交換機;[0011]步驟3:OVS交換機向控制器發出PAKCET-1N事件請求;[0012]步驟4:控制器查詢訪問控制白名單,確認數據包是否符合預設的規則;如果符合,執行步驟5;否則,直接丟棄數據包;[0013]步驟5:控制器上的代理程序對數據包進行分析以判斷其是否為攻擊流量;如果是,執行步驟6;否則,結束檢測流程;[0014]步驟6:刪除訪問控制白名單中對應的規則;[0015]步驟7:通知物理服務器上的代理程序使用虛擬機克隆技術克隆一臺預先配置好蜜網(honeynet)的虛擬機作為安全虛擬機;[0016]步驟8:通知控制器生成一條將攻擊流量導向新生成的虛擬機的流,并下發至相應的OVS交換機上,從而可以在安全虛擬機內進一步分析攻擊流量。[0017]所述控制器用于對各虛擬交換機進行管理,可以在控制器上為其管理的OVS交換機遠程添加/刪除/修改流。[0018]所述流是OVS交換機上FlowTable流表中的一條轉發規則;進入OVS交換機的數據包通過查詢流表來獲得轉發的目的端口;流由頭域、計數器和操作組成;其中頭域是個十元組,是流的標識;計數器用來計算流的統計數據;操作標明了與該流匹配的數據包應該執行的操作。[0019]所述白名單是一個包含被允許轉發的源地址/目的地址對的列表;源地址是訪問終端的網卡的MAC地址,目的地址是被訪問虛擬機的網卡的MAC地址。[0020]所述控制器上的代理程序的作用是數據包抓包分析并與物理服務器上的代理程序進行通信;所述物理服務器上的代理程序的作用是克隆安全虛擬機。[0021]所述蜜網(honeynet)是一個網路系統,所有進出的資料都受到監控、捕獲及控制。這些被捕獲的資料可以對我們研究分析入侵者們使用的工具、方法及動機。honeynet并不會對任何授權用戶進行服務,任何試圖聯系主機的行為都被視為非法,而任何從主機對外開放的通訊都被視為合法。[0022]本發明的方法能產生如下的有益效果:[0023]1、本發明的方法采用純軟件的方式實現,是一種經濟的防護方法。[0024]2、本發明的方法利用空閑資源,在需要時動態部署,完成后自動釋放,在完成基本安全功能的同時,節省了系統的資源。[0025]3、本發明的方法對攻擊者來說完全透明,確保了攻擊者無法繞開這一機制,并且有效利用物理服務器的空閑資源進行攔截和分析,提高了整個系統的可靠性和可用性。[0026]本發明針對私有云的網絡特點,結合Openflow技術可以對虛擬機網絡進行靈活調整的特點以及虛擬機克隆技術快速響應的特點,提出一種基于虛擬機的彈性防攻擊方法,解決了傳統防護方法建設成本高、資源浪費以及容易被察覺而繞開的問題。【附圖說明】[0027]下面結合附圖對本發明進一步說明:[0028]圖1為本發明的網絡部署結構圖;[0029]圖2為本發明的流程圖。【具體實施方式】[0030]下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整的描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。[0031]首先按照圖1、2所示進行物理服務器、虛擬機和OVS交換機的部署。[0032]當控制器上的代理程序偵測到攻擊流量時,首先會發出如下告警信息:[0033]INFO:flow_status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55_[0034]INFO:flow—status:Webtrafficfromd4-be-d9-b6-a8_18;16139164bytes(11340packets)overlflows[0035]INFO:flow—status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55_[0036]INFO:flow_status:ffebtrafficfromd4-be-d9-b6-a8_18;68251596bytes(48056packets)overlflows[0037]INFO:flow—status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55_[0038]INFO:flow—status:Webtrafficfromd4-be-d9-b6-a8_18;103859026bytes(73136packets)overlflows[0039]INFO:flow—status:________Floodingdetectedfrom00:11:22:33:44:66----->00:11:22:33:44:55_[0040]INFO:flow—status:Webtrafficfromd4-be-d9-b6-a8_18;16139164bytes(11340packets)overIflows[0041]INFO:of—sw—tutorial—oo:________NO00:11:22:33:44:66------>00:11:22:33:44;55matched._[0042]INFO:flow—status:Webtrafficfromd4-be-d9-b6-a8_18:0bytes(0packets)overOflows[0043]然后從白名單文件中將相應的表項刪除[0044]$ovs-ofctldel-flowsovs_switch"table=0,dl—src=00:11:22:33:44:66,dl_dst=00:11:22:33:44:55"[0045]然后啟動安全虛擬機,并生成將流量從攻擊者導向安全虛擬機的流[0046]$ovs-ofctladd-flowovs_switch"table=0,dl—src=00:11:22:33:44:66,dl_dst=00:11:22:33:44:77,act1ns=accept"o【主權項】1.一種基于虛擬機的彈性防攻擊方法,其特征在于,所述的方法包括以下步驟:步驟1:在每一臺運行虛擬機的物理服務器上部署虛擬交換機Openvswitch(OVS);步驟2:當攻擊者向應用前端服務器發起攻擊時,數據包經過運行應用前端服務器的物理服務器上的OVS交換機;步驟3:OVS交換機向控制器發出PAKCET-1N事件請求;步驟4:控制器查詢訪問控制白名單,確認數據包是否符合預設的規則;如果符合,執行步驟5;否則,直接丟棄數據包;步驟5:控制器上的代理程序對數據包進行分析以判斷其是否為攻擊流量;如果是,執行步驟6;否則,結束檢測流程;步驟6:刪除訪問控制白名單中對應的規則;步驟7:通知物理服務器上的代理程序使用虛擬機克隆技術克隆一臺預先配置好蜜網(honeynet)的虛擬機作為安全虛擬機;步驟8:通知控制器生成一條將攻擊流量導向新生成的虛擬機的流,并下發至相應的OVS交換機上,從而可以在安全虛擬機內進一步分析攻擊流量。2.根據權利要求1所述的方法,其特征在于:所述控制器用于對各虛擬交換機進行管理,可以在控制器上為其管理的OVS交換機遠程添加/刪除/修改流。3.根據權利要求1所述的方法,其特征在于,所述流是OVS交換機上FIowTabIe流表中的一條轉發規則;進入OVS交換機的數據包通過查詢流表來獲得轉發的目的端口;流由頭域、計數器和操作組成;其中頭域是個十元組,是流的標識;計數器用來計算流的統計數據;操作標明了與該流匹配的數據包應該執行的操作。4.根據權利要求2所述的方法,其特征在于,所述流是OVS交換機上FlowTable流表中的一條轉發規則;進入OVS交換機的數據包通過查詢流表來獲得轉發的目的端口;流由頭域、計數器和操作組成;其中頭域是個十元組,是流的標識;計數器用來計算流的統計數據;操作標明了與該流匹配的數據包應該執行的操作。5.根據權利要求1至4任一項所述的方法,其特征在于,所述白名單是一個包含被允許轉發的源地址/目的地址對的列表;源地址是訪問終端的網卡的MAC地址,目的地址是被訪問虛擬機的網卡的MAC地址。6.根據權利要求1至4任一項所述的方法,其特征在于,所述控制器上的代理程序的作用是數據包抓包分析并與物理服務器上的代理程序進行通信;所述物理服務器上的代理程序的作用是克隆安全虛擬機。7.根據權利要求5所述的方法,其特征在于,所述控制器上的代理程序的作用是數據包抓包分析并與物理服務器上的代理程序進行通信;所述物理服務器上的代理程序的作用是克隆安全虛擬機。【專利摘要】本發明涉及云計算安全
技術領域:
,特別是一種基于虛擬機的彈性防攻擊方法。本發明首先部署虛擬交換機OVS;然后當攻擊者的數據包經過OVS交換機時;向控制器發出PAKCET_IN事件請求;控制器查詢訪問控制白名單,確認是否符合預設的規則;控制器上的代理程序對數據包進行分析以判斷其是否為攻擊流量;如果確實是攻擊流量,則刪除訪問控制白名單中對應的規則,克隆一臺預先配置好蜜網(honeynet)的虛擬機作為安全虛擬機;最后通知控制器生成一條將攻擊流量導向新生成的虛擬機的流,并下發至相應的OVS交換機上。本發明結合Openflow和虛擬機克隆技術,實現了動態響應的彈性安全基礎設施來應對內部攻擊;可以用于虛擬機的安全控制上。【IPC分類】G06F9/455,H04L29/06【公開號】CN105553948【申請號】CN201510900707【發明人】莫展鵬,楊松,季統凱【申請人】國云科技股份有限公司【公開日】2016年5月4日【申請日】2015年12月8日