[go: up one dir, main page]

CN107864126A - 一种云平台虚拟网络行为检测方法 - Google Patents

一种云平台虚拟网络行为检测方法 Download PDF

Info

Publication number
CN107864126A
CN107864126A CN201711034866.4A CN201711034866A CN107864126A CN 107864126 A CN107864126 A CN 107864126A CN 201711034866 A CN201711034866 A CN 201711034866A CN 107864126 A CN107864126 A CN 107864126A
Authority
CN
China
Prior art keywords
port
safety regulation
feature
virtual network
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201711034866.4A
Other languages
English (en)
Inventor
罗义兵
季统凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
G Cloud Technology Co Ltd
Original Assignee
G Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by G Cloud Technology Co Ltd filed Critical G Cloud Technology Co Ltd
Priority to CN201711034866.4A priority Critical patent/CN107864126A/zh
Publication of CN107864126A publication Critical patent/CN107864126A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及云平台安全技术领域,特别是一种云平台虚拟网络行为检测方法。所述的方法是采集虚拟网络端口的数据流特征;并与设定的安全规则集进行对比;如果符合安全规则,则确认其安全;否则,认定为不安全行为。本发明提出了云平台虚拟网络安全行为检测方法,在一定程度上提高虚拟网络通信的安全性。

Description

一种云平台虚拟网络行为检测方法
技术领域
本发明涉及云平台安全技术领域,特别是一种云平台虚拟网络行为检测方法。
背景技术
随着云平台的市场发展,越来越多企业、政务等相关单位将信息系统迁移到云平台上了;云平台信息安全的地位也显得也越来越突出。目前病毒入侵、漏洞入侵等各种网络攻击手段比较多,怎么能够建立一个云平台的信息可信计算;满足云业务以及云平台的安全需要,怎么让用户觉得把数据放到云平台上的应用是安全、可信的呢?
发明内容
本发明解决的技术问题在于提出了一种云平台虚拟网络行为检测方法,在一定程度上提高虚拟网络通信的安全性。
本发明解决上述技术问题的技术方案是:
所述的方法是采集虚拟网络端口的数据流特征;并与设定的安全规则集进行对比;如果符合安全规则,则确认其安全;否则,认定为不安全行为。
所述方法具体包括如下步骤:
(1)在虚拟网络端口采集数据流特征并存储到数据流特征库中;
(2)网络组件服务中获取当前虚拟网络上端口的安全规则集;
(3)在数据流特征库中获取该端口最近一段时间内的特征记录集;
(4)依次遍历特征记录集并检查每条记录是否符合安全规则集,如果不符合,则该端口通信的数据流有可疑的不安全行为。
所述方法,
(1)所述的虚拟网络端口是虚拟交换机上的一个端口,其端口支持云平台上容器、虚拟机等网卡通信;
(2)所述的虚拟网络端口采集的数据流特征包含源IP、目的地址IP、源端口、目的IP端口、协议类型、出(入)方向;
(3)数据流特征采用时间序列的形式存储到数据库中,存储到数据库中的记录项包含了时间特征,可以精确到毫秒级别。
所述方法,
(1)安全规则集中包含了安全规则,其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项;
(2)网络组件上存储了应用于某个虚拟端口的安全规则集,其对外提供API获取。
所述数据流特征库中获取特征记录集是:
(1)在获取的数据流特征数据库中查询指定端口和指定时间段的记录集;
(2)满足特定端口的指定,和获取安全规则集的端口一致;
(3)查询的时间段和当前获取安全规则集的时间段一致。
所述方法,
(1)特征记录包含的特征项,源IP、源端口、目的IP地址、目的端口、出或入方向以及协议;跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口,协议、出货方向等相应数据项进行匹配;
(2)如果安全规则记录中没有某数据项要求,则表示该数据项不进行匹配,表示该数据项满足;如果某数据项匹配失败,则表示该条特征记录和该条安全规则记录项匹配不成功;
(3)如果有特征集不匹配安全规则集中的任何一项,则表示该虚拟端口通信有可疑的不安全行为。
本发明提出一种云平台虚拟网络安全行为检测方法,通过满足用户自定义的安全可信的通信规则匹配来提高用户对云平台虚拟网络的可信度。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明方法的流程图。
具体实施方式
本发明提出一种云平台虚拟网络行为检测方法,通过满足用户自定义的安全可信的通信规则匹配来提高用户对云平台虚拟网络的可信度。
具体实施流程以图1为例。
1、在虚拟网络端口采集数据流特征并存储到数据流特征库中
以sflow采集协议,mongodb为存储为例,
ovs-vsctl----id=@sflow create sflow agent=br-inttarget=\"192.168.17.12:6343\"header=128sampling=5polling=1--setbridge br-int sflow=@sflow,其中br-int为云平台虚拟网络交换机网桥,192.168.17.12为sflow采集代理器
在192.168.17.12上启动sflow采集代理器sflow-rt并将数据流规则过滤,对外提供流特征获取API
采集流定义如下:
flow={
'keys':'ipsource,ipdestination,***,***',
'value':'bytes'}
如下所示:
通过
http://192.168.17.12:8008/activeflows/ALL/json接口获取到数据流特征数据
将其存入到mongodb中,如下所示:
将dataSource,ipsource,ipdest,……,band,云平台虚拟网络“出去”方向插入到my_set集合中,其中dataSource代表虚拟网络端口信息
2、网络组件服务中获取当前虚拟网络上端口的安全规则集
以Neutron网络组件为例,调用API查询当前端口的安全规则集
GET/v2.0/ports获取该端口上的安全规则集id,
GET/v2.0/security-groups/{security_group_id}根据安全规则集id获取安全规则
获取该dataSource所在的虚拟端口安全规则集为
{“虚拟网络方向”:“出去”,“源地址”:“20.251.32.16”,“目的地址”:“20.251.38.12”}
3、数据流特征库中获取该端口最近一段时间内的特征记录集
如步骤2中查询安全规则集的时间点为nowtime,则在mongodb中查询flow数据集中该dataSource端口nowtime时间前后的流特征记录集,
查询到两条记录:
{“虚拟网络方向”:“出去”,“源地址”:“20.251.32.16”,“目的地址”:“20.251.38.12”,……}
{“虚拟网络方向”:“出去”,“源地址”:“20.251.32.16”,“目的地址”:“20.251.38.19”,……}
4、遍历特征记录集并检查每条记录是否符合安全规则集
经过检测第3步中获取到的{“虚拟网络方向”:“出去”,“源地址”:“20.251.32.16”,“目的地址”:“20.251.38.19”}数据流特征中目的地址20.251.38.19不符合安全规则集要求,则说明该端口上存在可疑的不安全行为。
以上描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出实质性创造所获得的方案,都属于本发明保护的范围。

Claims (8)

1.一种云平台虚拟网络行为检测方法,其特征在于:所述的方法是采集虚拟网络端口的数据流特征;并与设定的安全规则集进行对比;如果符合安全规则,则确认其安全;否则,认定为不安全行为。
2.根据权利要求1所述的方法,其特征在于:所述方法具体包括如下步骤:
(1)在虚拟网络端口采集数据流特征并存储到数据流特征库中;
(2)网络组件服务中获取当前虚拟网络上端口的安全规则集;
(3)在数据流特征库中获取该端口最近一段时间内的特征记录集;
(4)依次遍历特征记录集并检查每条记录是否符合安全规则集,如果不符合,则该端口通信的数据流有可疑的不安全行为。
3.根据权利要求2所述的方法,其特征在于,所述
(1)所述的虚拟网络端口是虚拟交换机上的一个端口,其端口支持云平台上容器、虚拟机等网卡通信;
(2)所述的虚拟网络端口采集的数据流特征包含源IP、目的地址IP、源端口、目的IP端口、协议类型、出(入)方向;
(3)数据流特征采用时间序列的形式存储到数据库中,存储到数据库中的记录项包含了时间特征,可以精确到毫秒级别。
4.根据权利要求2所述的方法,其特征在于,所述
(1)安全规则集中包含了安全规则,其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项;
(2)网络组件上存储了应用于某个虚拟端口的安全规则集,其对外提供API获取。
5.根据权利要求3所述的方法,其特征在于,所述
(1)安全规则集中包含了安全规则,其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项;
(2)网络组件上存储了应用于某个虚拟端口的安全规则集,其对外提供API获取。
6.根据权利要求2至5任一项所述的方法,其特征在于,所述数据流特征库中获取特征记录集是:
(1)在获取的数据流特征数据库中查询指定端口和指定时间段的记录集;
(2)满足特定端口的指定,和获取安全规则集的端口一致;
(3)查询的时间段和当前获取安全规则集的时间段一致。
7.根据权利要求2至5任一项所述的方法,其特征在于,
(1)特征记录包含的特征项,源IP、源端口、目的IP地址、目的端口、出或入方向以及协议;跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口,协议、出货方向等相应数据项进行匹配;
(2)如果安全规则记录中没有某数据项要求,则表示该数据项不进行匹配,表示该数据项满足;如果某数据项匹配失败,则表示该条特征记录和该条安全规则记录项匹配不成功;
(3)如果有特征集不匹配安全规则集中的任何一项,则表示该虚拟端口通信有可疑的不安全行为。
8.根据权利要求6所述的方法,其特征在于,
(1)特征记录包含的特征项,源IP、源端口、目的IP地址、目的端口、出或入方向以及协议;跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口,协议、出货方向等相应数据项进行匹配;
(2)如果安全规则记录中没有某数据项要求,则表示该数据项不进行匹配,表示该数据项满足;如果某数据项匹配失败,则表示该条特征记录和该条安全规则记录项匹配不成功;
(3)如果有特征集不匹配安全规则集中的任何一项,则表示该虚拟端口通信有可疑的不安全行为。
CN201711034866.4A 2017-10-30 2017-10-30 一种云平台虚拟网络行为检测方法 Withdrawn CN107864126A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711034866.4A CN107864126A (zh) 2017-10-30 2017-10-30 一种云平台虚拟网络行为检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711034866.4A CN107864126A (zh) 2017-10-30 2017-10-30 一种云平台虚拟网络行为检测方法

Publications (1)

Publication Number Publication Date
CN107864126A true CN107864126A (zh) 2018-03-30

Family

ID=61697850

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711034866.4A Withdrawn CN107864126A (zh) 2017-10-30 2017-10-30 一种云平台虚拟网络行为检测方法

Country Status (1)

Country Link
CN (1) CN107864126A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108989086A (zh) * 2018-06-20 2018-12-11 复旦大学 OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统
CN111193643A (zh) * 2019-12-31 2020-05-22 苏州浪潮智能科技有限公司 一种云服务器状态监控系统及方法
CN116582362A (zh) * 2023-07-11 2023-08-11 建信金融科技有限责任公司 网络访问的控制方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152361A (zh) * 2013-03-26 2013-06-12 华为技术有限公司 访问控制方法及设备、系统
US20150135177A1 (en) * 2007-09-24 2015-05-14 Intel Corporation Method and system for virtual port communications
CN106549792A (zh) * 2015-09-22 2017-03-29 中国移动通信集团公司 一种vnf的安全监管的方法、装置及系统
CN106612218A (zh) * 2017-01-01 2017-05-03 国云科技股份有限公司 一种虚拟访问入口数据包的地区区域特征提取方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150135177A1 (en) * 2007-09-24 2015-05-14 Intel Corporation Method and system for virtual port communications
CN103152361A (zh) * 2013-03-26 2013-06-12 华为技术有限公司 访问控制方法及设备、系统
CN106549792A (zh) * 2015-09-22 2017-03-29 中国移动通信集团公司 一种vnf的安全监管的方法、装置及系统
CN106612218A (zh) * 2017-01-01 2017-05-03 国云科技股份有限公司 一种虚拟访问入口数据包的地区区域特征提取方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108989086A (zh) * 2018-06-20 2018-12-11 复旦大学 OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统
CN108989086B (zh) * 2018-06-20 2021-03-30 复旦大学 OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统
CN111193643A (zh) * 2019-12-31 2020-05-22 苏州浪潮智能科技有限公司 一种云服务器状态监控系统及方法
CN116582362A (zh) * 2023-07-11 2023-08-11 建信金融科技有限责任公司 网络访问的控制方法、装置、电子设备及存储介质
CN116582362B (zh) * 2023-07-11 2023-09-26 建信金融科技有限责任公司 网络访问的控制方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US11677780B2 (en) Identifying automated response actions based on asset classification
US10452843B2 (en) Self-adaptive application programming interface level security monitoring
US20170118236A1 (en) Security feature extraction for a network
CN106878262B (zh) 报文检测方法及装置、建立本地威胁情报库的方法及装置
CN106209775B (zh) 一种ssl加密网络流的应用类型识别方法与装置
CN110708215B (zh) 深度包检测规则库生成方法、装置、网络设备及存储介质
US10498618B2 (en) Attributing network address translation device processed traffic to individual hosts
CN105591973B (zh) 应用识别方法及装置
CN102724317A (zh) 一种网络数据流量分类方法和装置
CN108092979A (zh) 一种防火墙策略处理方法及装置
US12506777B2 (en) Anti-phishing security
US20260032135A1 (en) Dns recursive ptr signals analysis
CN105959290A (zh) 攻击报文的检测方法及装置
US20150254783A1 (en) Systems and methods for estate account discovery
WO2015024476A1 (en) A method, server, and computer program product for managing ip address attributions
CN106453229A (zh) 使用公共过滤器对域名系统记录系统的更新的并行检测
Mazhar Rathore et al. Exploiting encrypted and tunneled multimedia calls in high-speed big data environment
CN104394180B (zh) 一种无线终端认证方法、无线路由器及系统
CN107864126A (zh) 一种云平台虚拟网络行为检测方法
CN108900566B (zh) 一种网络中ip设备的位置确定方法及装置
CN117176492A (zh) 一种IoT网关安全防护智能家居的方法
CN107707516B (zh) 一种ip地址分析方法及系统
Wang et al. Smart devices information extraction in home wi‐fi networks
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置
WO2022183794A1 (zh) 一种流量处理方法、及防护系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20180330

WW01 Invention patent application withdrawn after publication