虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)����,包括:虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機(jī)的健康閾值;當(dāng)所述健康閾值小于虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時(shí)���,虛擬化健康服務(wù)管理中心向虛擬化管理中心發(fā)出遷移虛擬交換機(jī)的命令���,并將虛擬交換機(jī)遷移到隔離防護(hù)中心;隔離防護(hù)中心收到通知后��,向虛擬交換機(jī)發(fā)出配置命令修改所述虛擬交換機(jī)的流表規(guī)則��,并當(dāng)所述虛擬交換機(jī)的健康閾值高于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時(shí)�,所述虛擬化健康服務(wù)管理中心將所述虛擬交換機(jī)遷移回所述虛擬化管理中心。實(shí)現(xiàn)了在不影響整個(gè)系統(tǒng)穩(wěn)定性的情況下�,對存在安全問題的虛擬交換機(jī)進(jìn)行處理。
【專利說明】虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】�����,具體涉及一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)。
【背景技術(shù)】
[0002]云計(jì)算是計(jì)算機(jī)和互聯(lián)網(wǎng)的又一次新的革命��,它將計(jì)算和存儲轉(zhuǎn)移到了云端����,用戶可以通過使用輕量級的便攜式終端來進(jìn)行復(fù)雜的計(jì)算和大容量的存儲。從技術(shù)的角度來看�,云計(jì)算不僅僅是一種新的概念,并行計(jì)算和虛擬化是實(shí)現(xiàn)云計(jì)算應(yīng)用的主要技術(shù)手段���。由于硬件技術(shù)的快速發(fā)展��,使得一臺普通的物理服務(wù)器的所具有性能遠(yuǎn)遠(yuǎn)超過普通的單一用戶對硬件性能的需求�����。因此���,通過虛擬化的手段,將一臺物理服務(wù)器虛擬為多臺虛擬交換機(jī)���,提供虛擬化服務(wù)成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎(chǔ)。
[0003]虛擬化在帶來技術(shù)變革的同時(shí)���,也提出了新的虛擬化網(wǎng)絡(luò)中的信息安全監(jiān)控問題����。與傳統(tǒng)物理網(wǎng)絡(luò)環(huán)境不同,在基于虛擬化技術(shù)構(gòu)建的數(shù)據(jù)中心中���,存在更大數(shù)量更高密度部署的虛擬交換機(jī)��,并且由于虛擬化技術(shù)的彈性可擴(kuò)展���、動態(tài)迀移等特性,也使得這些虛擬交換機(jī)的數(shù)量���、位置等都較物理環(huán)境更易發(fā)生變化���。
[0004]在虛擬化網(wǎng)絡(luò)中,由于網(wǎng)絡(luò)虛擬化技術(shù)的存在��,使得同一個(gè)安全域中的虛擬交換機(jī)可能分布于不同的物理主機(jī)上�,并連接在不同的物理交換機(jī)上。在云計(jì)算的多租戶環(huán)境下�����,同一個(gè)物理主機(jī)上還可能存在有多個(gè)屬于不同安全域的虛擬交換機(jī)。因此虛擬化環(huán)境中基于物理網(wǎng)絡(luò)邊界進(jìn)行信息安全監(jiān)控的方案不再有效�����,因?yàn)樵谔摂M化環(huán)境中物理網(wǎng)絡(luò)邊界已經(jīng)消失�����。
[0005]目前�����,各家虛擬化和安全廠商已經(jīng)提出和應(yīng)用的虛擬虛擬化環(huán)境的信息安全監(jiān)控方案通常分為三種:
[0006]第一種���,通過事先規(guī)劃網(wǎng)絡(luò)拓?fù)浜筒渴?��,使得虛擬化網(wǎng)絡(luò)邊界和傳統(tǒng)物理邊界重合,即從網(wǎng)絡(luò)規(guī)劃的層面避免出現(xiàn)不同安全域的虛擬交換機(jī)存在不同的物理網(wǎng)絡(luò)環(huán)境中的問題��。該方案的優(yōu)勢是可以繼續(xù)使用物理安全設(shè)備按照傳統(tǒng)的方式進(jìn)行信息安全監(jiān)控���。最大問題是損失了云計(jì)算環(huán)境的資源整合能力和靈活配置管理能力�����,機(jī)械的人為把本應(yīng)屬于一個(gè)大資源池的資源物理的分割為一個(gè)個(gè)的小資源池�����,限制了虛擬化技術(shù)所帶來的提高資源利用率���、節(jié)能、彈性擴(kuò)展等功能�����,并且不適用于提供公有云服務(wù)的大型云數(shù)據(jù)中心��。
[0007]第二種���,利用虛擬化平臺提供的底層API�����,把傳統(tǒng)安全監(jiān)控產(chǎn)品灌裝到虛擬交換機(jī)中���,通過向虛擬化環(huán)境部署安全虛擬交換機(jī)來實(shí)現(xiàn)對虛擬化環(huán)境的各種安全監(jiān)控功能。該方案的優(yōu)勢是充分利用了虛擬化技術(shù)所提供的軟件定義和配置能力,把安全資源也虛擬化了���,可以深入部署到所監(jiān)控虛擬交換機(jī)的最鄰近位置����,細(xì)粒度的實(shí)現(xiàn)各種安全功能���。最大的問題是��,該方案往往需要安全解決方案和虛擬化解決方案深度的耦合�,因?yàn)榘踩摂M交換機(jī)需要使用大量虛擬化平臺中的API�,并且在大多數(shù)情況下會改變整個(gè)虛擬化網(wǎng)絡(luò)的拓?fù)洳渴穑貏e在虛擬交換機(jī)位置和拓?fù)浒l(fā)生動態(tài)變化時(shí)��,事先部署的安全環(huán)境也需要?jiǎng)討B(tài)發(fā)生改變以適應(yīng)業(yè)務(wù)環(huán)境的變化�;另外一個(gè)問題是該方案極大的占用了虛擬化平臺的計(jì)算資源,甚至?xí)霈F(xiàn)與用戶業(yè)務(wù)環(huán)境爭用資源的情況���,這不僅僅會對用戶業(yè)務(wù)系統(tǒng)的正常運(yùn)行帶來風(fēng)險(xiǎn)�����,也極大提高了用戶的部署成本�。可用性是云計(jì)算環(huán)境提供應(yīng)用服務(wù)所要保證的第一要素�����,而長時(shí)間持續(xù)的對網(wǎng)絡(luò)數(shù)據(jù)包�����、用戶虛擬交換機(jī)進(jìn)程信息等的監(jiān)控有可能導(dǎo)致整個(gè)云計(jì)算環(huán)境的性能下降�,甚至不可用��。
[0008]第三種��,采用流量導(dǎo)出方案��,利用輕量級安全虛擬交換機(jī)實(shí)現(xiàn)流量探針或通過配置虛擬交換機(jī)的端口鏡像等功能�,把本不會出到物理網(wǎng)絡(luò)上的流量全部導(dǎo)出到物理網(wǎng)絡(luò)上,并將這些流量牽引到部署在物理網(wǎng)絡(luò)上的外部物理安全設(shè)備上�。該方案的優(yōu)勢是較平衡的使用了虛擬化的資源,利用較小的代價(jià)導(dǎo)出了虛擬網(wǎng)絡(luò)中的需要監(jiān)控和用戶關(guān)心的流量�,并利用物理設(shè)備在不占用虛擬化平臺資源的情況下進(jìn)行分析和處理,能夠達(dá)到較高的性價(jià)比��。存在的最大問題是該方案僅適合旁路式的網(wǎng)絡(luò)安全監(jiān)控需求�����,如入侵檢測、網(wǎng)絡(luò)數(shù)據(jù)審計(jì)等���,對于需要攔截虛擬交換機(jī)系統(tǒng)內(nèi)的系統(tǒng)調(diào)用和虛擬交換機(jī)虛擬網(wǎng)卡上數(shù)據(jù)包的安全應(yīng)用��,如虛擬交換機(jī)病毒查殺���、Web應(yīng)用安全防護(hù)等需求則無法實(shí)現(xiàn)。
[0009]在虛擬化網(wǎng)絡(luò)中��,通過虛擬化技術(shù)把計(jì)算�、存儲和網(wǎng)絡(luò)等資源以資源池的方式進(jìn)行了整合,并按需動態(tài)的根據(jù)租戶的需求�����,向租戶提供服務(wù)��。虛擬化技術(shù)為用戶帶來了計(jì)算��、存儲和網(wǎng)絡(luò)等資源的彈性擴(kuò)展能力��,可以快速分配組建由大量虛擬交換機(jī)組成的業(yè)務(wù)網(wǎng)絡(luò)����。虛擬交換機(jī)的動態(tài)迀移功能為租戶提供了不停機(jī)維護(hù)的能力�,同時(shí)云計(jì)算數(shù)據(jù)中心也能夠基于該功能實(shí)現(xiàn)節(jié)能的目的��。目前提出使得基于虛擬化技術(shù)對虛擬交換機(jī)的管理和配置達(dá)到了軟件定義的高度��。但是�����,目前各種安全解決方案都不能很好的適應(yīng)虛擬化技術(shù)的特性��,這些方案或者需要犧牲一部分虛擬化的特性(如劃分物理安全域的方案)來實(shí)現(xiàn)安全���,或者需要消耗大量虛擬化環(huán)境中本該提供給業(yè)務(wù)系統(tǒng)使用的資源(如基于安全虛擬交換機(jī)的方案),并易造成安全系統(tǒng)自身成為影響業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的隱患�����,或者無法提供完整的安全解決方案(如采用流量導(dǎo)出加物理安全產(chǎn)品的方案)�����。
【發(fā)明內(nèi)容】
[0010]針對現(xiàn)有技術(shù)中的缺陷���,本發(fā)明提供了一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)�����,實(shí)現(xiàn)了在不影響整個(gè)系統(tǒng)穩(wěn)定性的情況下��,對存在安全問題的虛擬交換機(jī)進(jìn)行處理�����。
[0011]第一方面�,本發(fā)明提供一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法,包括:
[0012]虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機(jī)的健康閾值��;
[0013]當(dāng)所述虛擬交換機(jī)的健康閾值小于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時(shí)�����,所述虛擬化健康服務(wù)管理中心向所述虛擬化管理中心發(fā)出迀移所述虛擬交換機(jī)的命令���,并將所述虛擬交換機(jī)迀移到隔離防護(hù)中心���;
[0014]所述隔離防護(hù)中心收到虛擬化健康服務(wù)管理中心的通知后,向虛擬交換機(jī)發(fā)出配置命令修改所述虛擬交換機(jī)的流表規(guī)則����,并當(dāng)所述虛擬交換機(jī)的健康閾值高于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時(shí)�,所述虛擬化健康服務(wù)管理中心將所述虛擬交換機(jī)迀移回所述虛擬化管理中心�����。
[0015]可選的���,所述虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機(jī)的健康閾值��,包括:
[0016]所述虛擬化健康管理服務(wù)中心通過虛擬化管理中心獲得虛擬交換機(jī)的物理拓?fù)湫畔ⅲ?br>
[0017]所述虛擬化健康服務(wù)管理中心根據(jù)所述虛擬交換機(jī)的物理拓?fù)湫畔?chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊����;
[0018]所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機(jī)的流量以及所述虛擬交換機(jī)的流量的健康監(jiān)測策略�,通過對所述虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測�,獲取所述虛擬交換機(jī)的健康閾值。
[0019]可選的�����,所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機(jī)的流量�,包括:
[0020]所述虛擬化管理中心接收所述虛擬化健康服務(wù)管理中心配置并下發(fā)的捕獲所述虛擬交換機(jī)的流量;
[0021]所述虛擬化管理中心通過流量捕獲探針將虛擬交換機(jī)的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊��。
[0022]可選的,所述虛擬化健康服務(wù)管理中心配置并下發(fā)所述虛擬交換機(jī)的流量的健康監(jiān)測策略����,包括:
[0023]所述虛擬化健康服務(wù)管理中心向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略;
[0024]所述虛擬化健康服務(wù)管理中心通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測���,獲取所述虛擬交換機(jī)的健康閾值����。
[0025]可選的�,所述健康監(jiān)測策略包括:非法連入連接數(shù)、非法連出連接數(shù)�����、流量異常偏離度��、敏感IP連接數(shù)��、虛擬交換機(jī)檢測掃描間隔時(shí)間�、虛擬交換機(jī)流量入侵檢測威脅報(bào)警指數(shù)、虛擬交換機(jī)漏洞掃描報(bào)警數(shù)和虛擬交換機(jī)的補(bǔ)丁缺失數(shù)���。
[0026]第二方面�����,本發(fā)明還提供了一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控系統(tǒng)��,包括:虛擬化健康服務(wù)管理模塊�����、虛擬化管理模塊和隔離防護(hù)模塊��;
[0027]所述虛擬化健康服務(wù)管理模塊���,用于獲取虛擬化管理模塊中虛擬交換機(jī)的健康閾值�;
[0028]所述虛擬化健康服務(wù)管理模塊���,還用于在所述虛擬交換機(jī)的健康閾值小于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時(shí),向所述虛擬化管理模塊發(fā)出迀移所述虛擬交換機(jī)的命令�����,并將所述虛擬交換機(jī)迀移到隔離防護(hù)模塊����;
[0029]隔離防護(hù)模塊�����,用于收到所述虛擬化健康服務(wù)管理模塊的通知后����,向虛擬交換機(jī)發(fā)出配置命令修改所述虛擬交換機(jī)的流表規(guī)則����;
[0030]所述虛擬化健康服務(wù)管理模塊,還用于在所述虛擬交換機(jī)的健康閾值高于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時(shí)�����,將所述虛擬交換機(jī)迀移回所述虛擬化管理模塊��。
[0031]可選的���,所述虛擬化健康服務(wù)管理模塊�����,還用于:
[0032]通過虛擬化管理模塊獲得虛擬交換機(jī)的物理拓?fù)湫畔ⅲ?br>
[0033]根據(jù)所述虛擬交換機(jī)的物理拓?fù)湫畔?chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊�����;
[0034]配置并下發(fā)捕獲所述虛擬交換機(jī)的流量以及所述虛擬交換機(jī)的流量的健康監(jiān)測策略��,通過對所述虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測�����,獲取所述虛擬交換機(jī)的健康閾值���。
[0035]可選的��,所述虛擬化管理模塊�����,用于:
[0036]接收所述虛擬化健康服務(wù)管理模塊配置并下發(fā)的捕獲所述虛擬交換機(jī)的流量��;
[0037]通過流量捕獲探針將虛擬交換機(jī)的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊����。
[0038]可選的��,所述虛擬化健康服務(wù)管理模塊�����,還用于:
[0039]向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略����;
[0040]通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測,獲取所述虛擬交換機(jī)的健康閾值�。
[0041]可選的,所述健康監(jiān)測策略包括:非法連入連接數(shù)���、非法連出連接數(shù)���、流量異常偏離度、敏感IP連接數(shù)�、虛擬交換機(jī)檢測掃描間隔時(shí)間、虛擬交換機(jī)流量入侵檢測威脅報(bào)警指數(shù)���、虛擬交換機(jī)漏洞掃描報(bào)警數(shù)和虛擬交換機(jī)的補(bǔ)丁缺失數(shù)���。
[0042]由上述技術(shù)方案可知,本發(fā)明提供的一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)�,在多租戶環(huán)境下,保證完整的虛擬化技術(shù)特性(資源池化����、彈性可擴(kuò)展����、動態(tài)迀移等)�����,在不改變用戶原有網(wǎng)絡(luò)配置的前提下�,采用較小的資源代價(jià),提供一種完整的���、高效可用的虛擬化環(huán)境信息安全監(jiān)控系統(tǒng)框架����,該框架可以集成包括虛擬交換機(jī)安全和虛擬網(wǎng)絡(luò)安全在內(nèi)的各類虛擬化或物理形態(tài)的安全產(chǎn)品�,實(shí)現(xiàn)了在不影響整個(gè)系統(tǒng)穩(wěn)定性的情況下,對存在安全問題的虛擬交換機(jī)進(jìn)行處理�����。
【專利附圖】
【附圖說明】
[0043]圖1為本發(fā)明一實(shí)施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的流程示意圖���;
[0044]圖2為本發(fā)明另一實(shí)施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的流程示意圖�;
[0045]圖3為本發(fā)明一實(shí)施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的原理框圖;
[0046]圖4為本發(fā)明一實(shí)施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控系統(tǒng)的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0047]下面結(jié)合附圖���,對發(fā)明的【具體實(shí)施方式】作進(jìn)一步描述。以下實(shí)施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案���,而不能以此來限制本發(fā)明的保護(hù)范圍�。
[0048]圖1示出了本發(fā)明實(shí)施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的流程示意圖����,如圖1所示,上述方法包括如下步驟:
[0049]101��、虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機(jī)的健康閾值����;
[0050]102、當(dāng)所述虛擬交換機(jī)的健康閾值小于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時(shí)�����,所述虛擬化健康服務(wù)管理中心向所述虛擬化管理中心發(fā)出迀移所述虛擬交換機(jī)的命令,并將所述虛擬交換機(jī)迀移到隔離防護(hù)中心��;
[0051]103���、所述隔離防護(hù)中心收到虛擬化健康服務(wù)管理中心的通知后��,向虛擬交換機(jī)發(fā)出配置命令修改所述虛擬交換機(jī)的流表規(guī)則�,并當(dāng)所述虛擬交換機(jī)的健康閾值高于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時(shí)��,所述虛擬化健康服務(wù)管理中心將所述虛擬交換機(jī)迀移回所述虛擬化管理中心���。
[0052]上述方法通過切換虛擬交換機(jī)運(yùn)行的環(huán)境來避免了部署侵入式安全產(chǎn)品到虛擬化環(huán)境中��,從而影響虛擬化環(huán)境性能和穩(wěn)定性的問題��。
[0053]具體的���,上述步驟101包括:
[0054]1011、所述虛擬化健康管理服務(wù)中心通過虛擬化管理中心獲得虛擬交換機(jī)的物理拓?fù)湫畔ⅲ?br>
[0055]1012����、所述虛擬化健康服務(wù)管理中心根據(jù)所述虛擬交換機(jī)的物理拓?fù)湫畔?chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊;
[0056]1013�����、所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機(jī)的流量以及所述虛擬交換機(jī)的流量的健康監(jiān)測策略,通過對所述虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測���,獲取所述虛擬交換機(jī)的健康閾值。
[0057]在具體應(yīng)用中��,上述步驟1013中所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機(jī)的流量��,包括:
[0058]所述虛擬化管理中心接收所述虛擬化健康服務(wù)管理中心配置并下發(fā)的捕獲所述虛擬交換機(jī)的流量���;
[0059]所述虛擬化管理中心通過流量捕獲探針將虛擬交換機(jī)的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊�。
[0060]上述步驟1013中所述虛擬化健康服務(wù)管理中心配置并下發(fā)所述虛擬交換機(jī)的流量的健康監(jiān)測策略����,包括:
[0061]所述虛擬化健康服務(wù)管理中心向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略;
[0062]舉例來說�,所述健康監(jiān)測策略包括:非法連入連接數(shù)、非法連出連接數(shù)��、流量異常偏離度����、敏感IP連接數(shù)��、虛擬交換機(jī)檢測掃描間隔時(shí)間����、虛擬交換機(jī)流量入侵檢測威脅報(bào)警指數(shù)���、虛擬交換機(jī)漏洞掃描報(bào)警數(shù)和虛擬交換機(jī)的補(bǔ)丁缺失數(shù)����。
[0063]所述虛擬化健康服務(wù)管理中心通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測���,獲取所述虛擬交換機(jī)的健康閾值�。
[0064]為了更清楚的說明上述方法���,圖2示出了本發(fā)明實(shí)施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的流程示意圖���,如圖2所示,該方法主要通過8個(gè)處理過程構(gòu)成了一個(gè)完整的健康安全服務(wù)框架�����,基礎(chǔ)拓?fù)湫畔@取、虛擬交換機(jī)業(yè)務(wù)信息關(guān)聯(lián)�、非侵入式的健康檢查和安全評估、指標(biāo)閾值配置和監(jiān)測����、運(yùn)行環(huán)境切換、侵入式健康檢查安全修復(fù)和威脅隔離���、運(yùn)行環(huán)境恢復(fù)��。其中基礎(chǔ)拓?fù)湫畔@取指系統(tǒng)從虛擬化平臺獲得虛擬交換機(jī)、虛擬網(wǎng)絡(luò)的物理拓?fù)湫畔?�;虛擬交換機(jī)業(yè)務(wù)信息關(guān)聯(lián)是在獲得虛擬化環(huán)境的物理拓?fù)浠A(chǔ)上按照用戶的業(yè)務(wù)劃分邏輯的安全域����;非侵入式的健康檢查和安全評估指針對邏輯安全域中包括的虛擬交換機(jī)進(jìn)行包括漏洞掃描、基線掃描����、入侵檢測、網(wǎng)絡(luò)審計(jì)�����、設(shè)備互聯(lián)關(guān)系審計(jì)等非侵入式的安全檢查;指標(biāo)閾值配置和監(jiān)測指對非侵入安全檢查返回的實(shí)時(shí)結(jié)果參數(shù)進(jìn)行指標(biāo)化處理和計(jì)算��,配置不同參數(shù)的關(guān)注度����,以獲得每個(gè)虛擬交換機(jī)的健康閾值;運(yùn)行環(huán)境切換指對健康值低于設(shè)定閾值的虛擬交換機(jī)進(jìn)行在線迀移����,把其運(yùn)行環(huán)境切換到部署了侵入式安全服務(wù)和產(chǎn)品的環(huán)境中;侵入式健康檢查安全修復(fù)和威脅隔離指對切換到該環(huán)境中的虛擬交換機(jī)進(jìn)行侵入式的細(xì)粒度檢測和修復(fù)���,對無法修復(fù)的進(jìn)行暫時(shí)的隔離���;運(yùn)行環(huán)境恢復(fù)指對修復(fù)(如殺毒、打補(bǔ)丁)后且健康檢查值達(dá)到預(yù)定預(yù)定閾值的虛擬交換機(jī)迀移回沒有部署侵入式安全服務(wù)和產(chǎn)品的虛擬網(wǎng)絡(luò)業(yè)務(wù)環(huán)境���。通過整個(gè)8個(gè)處理過程���,該方法實(shí)現(xiàn)了按需的對存在安全問題的虛擬交換機(jī)進(jìn)行處理,以迀移虛擬交換機(jī)的方式來減小在虛擬化環(huán)境中啟動安全軟件帶來的資源消耗和對整個(gè)系統(tǒng)環(huán)境穩(wěn)定性的影響���,并且該方法具有很高的環(huán)境和平臺適應(yīng)性���,既可用于云環(huán)境建設(shè)的規(guī)劃階段����,也可用于已經(jīng)商用的云環(huán)境�,既適應(yīng)私有云環(huán)境,也適用于公有云環(huán)境���,并能夠以服務(wù)的方式提供安全服務(wù)�。
[0065]本申請技術(shù)方案通過所提出的虛擬化健康安全服務(wù)框架結(jié)合了目前三種不同虛擬化安全解決方案的優(yōu)勢�,在充分考慮虛擬化平臺自身可用性的前提下,本技術(shù)方案采用帶外實(shí)時(shí)檢測分析加迀移式按需隔離防護(hù)的技術(shù)路線�����,有效避免了采用軟件方式或虛擬交換機(jī)方式的安全應(yīng)用網(wǎng)關(guān)����、病毒防護(hù)等產(chǎn)品在虛擬化環(huán)境中對大量高密度部署虛擬交換機(jī)不間斷實(shí)時(shí)檢測掃描所帶來的極大的資源消耗�,也降低了由于串聯(lián)在網(wǎng)絡(luò)中的阻斷式安全產(chǎn)品自身性能和穩(wěn)定性對用戶業(yè)務(wù)系統(tǒng)所帶來的系統(tǒng)健壯性影響,并且能夠更好的適應(yīng)虛擬化環(huán)境中虛擬交換機(jī)的動態(tài)變化的特性�。相對于流量導(dǎo)出式的安全解決方案,本申請技術(shù)方案能夠提供包括虛擬交換機(jī)安全和虛擬網(wǎng)絡(luò)旁路式檢測和阻斷隔離功能的完整解決方案�����,具有更高的應(yīng)用價(jià)值。本申請技術(shù)方案還保留了采用物理安全產(chǎn)品提供安全服務(wù)能力的優(yōu)勢����,使得用戶能夠有效利用已經(jīng)采購的物理安全設(shè)備,并且具有更好的擴(kuò)展能力����。
[0066]圖2給出了虛擬化網(wǎng)絡(luò)動態(tài)信息安全監(jiān)控方法的流程框圖,整個(gè)框圖通過四個(gè)主要的系統(tǒng)進(jìn)行協(xié)助工作的���,分別是:虛擬化健康服務(wù)管理中心�����、流量捕獲探針���、安全域的威脅預(yù)警、隔離防護(hù)中心��。整個(gè)系統(tǒng)的模塊間按照以下工作流程進(jìn)行協(xié)作:
[0067]1�、獲取虛擬化物理拓?fù)湫畔?虛擬化健康服務(wù)管理中心通過用戶業(yè)務(wù)系統(tǒng)中的虛擬化管理中心獲得整個(gè)虛擬化平臺中的虛擬交換機(jī)和虛擬網(wǎng)絡(luò)的物理拓?fù)湫畔ⅰ?br>
[0068]2、注冊基于安全域的健康監(jiān)測模塊:通過獲取的物理拓?fù)湫畔?��,在虛擬化健康服務(wù)管理中心中創(chuàng)建安全域�,并綁定該安全域所對應(yīng)的安全威脅預(yù)警模塊,選擇并配置隔離防護(hù)中心中的相關(guān)安全服務(wù)����。如首先創(chuàng)建一個(gè)包含VM3的安全域,指定該安全域?qū)?yīng)的威脅預(yù)警模塊為威脅預(yù)警模塊X����,為該安全域選擇Web安全防護(hù)、統(tǒng)一安全網(wǎng)關(guān)����、入侵防御系統(tǒng)、DDOS防御等安全檢測和隔離服務(wù)�,并通過這些第三方安全產(chǎn)品的控制臺配置這些服務(wù)。
[0069]3.1�、配置并下發(fā)流量捕獲和導(dǎo)流策略:通過流量捕獲探針(虛擬交換機(jī))的管理口向其下發(fā)流量捕獲和導(dǎo)流策略,指定其具體捕獲的流量和導(dǎo)出到安全域威脅預(yù)警模塊的目的���。
[0070]3.2、配置并下發(fā)健康監(jiān)測策略:向安全域威脅預(yù)警模塊下發(fā)健康監(jiān)測策略���,指定需要關(guān)注的健康監(jiān)測指標(biāo)(非法連入連接數(shù)��、非法連出連接數(shù)��、流量異常偏離度��、敏感IP連接數(shù)��、虛擬交換機(jī)檢測掃描間隔時(shí)間����、虛擬交換機(jī)流量入侵檢測高級威脅報(bào)警指數(shù)、虛擬交換機(jī)漏洞掃描報(bào)警數(shù)�����、虛擬交換機(jī)軟件關(guān)鍵補(bǔ)丁缺失數(shù)等)�。
[0071]4、流量捕獲探針捕獲流量:流量捕獲探針從虛擬交換機(jī)上按照安全域配置抓取需要捕獲的流量��,本實(shí)施例中抓取了 VM3的流量��。
[0072]5���、流量捕獲探針導(dǎo)出流量:流量捕獲探針按照安全域所綁定的安全域威脅預(yù)警模塊的地址���,把屬于該安全域的數(shù)據(jù)包的目的MAC地址修改成所綁定的安全域威脅預(yù)警模塊的MAC地址��,并轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上����。本實(shí)施例中即把VM3相關(guān)的數(shù)據(jù)包的目的MAC都改成安全域威脅預(yù)警模塊X的目的MAC��。
[0073]6.1�����、安全域威脅預(yù)警模塊實(shí)時(shí)監(jiān)測:安全域威脅預(yù)警模塊根據(jù)所配置的安全健康監(jiān)測策略實(shí)時(shí)計(jì)算所指定關(guān)注的指標(biāo)
[0074]6.2����、安全域威脅預(yù)警模塊實(shí)時(shí)同步監(jiān)測指標(biāo):安全域威脅預(yù)警模塊把所關(guān)注的指標(biāo)值實(shí)時(shí)同步到虛擬化健康服務(wù)管理中心。
[0075]6.3��、計(jì)算健康閾值:根據(jù)用預(yù)先設(shè)定的指標(biāo)系數(shù)��,按照給定公式虛擬交換機(jī)的健康閾值(該公式和指標(biāo)系數(shù)作用于整個(gè)安全域)����。
[0076]6.4、控制迀移健康度低于閾值的虛擬交換機(jī):當(dāng)虛擬化健康服務(wù)管理中心發(fā)現(xiàn)有虛擬交換機(jī)低于其所設(shè)定的健康閾值時(shí)��,向虛擬化管理中心發(fā)出迀移命令�����,將該虛擬交換機(jī)迀移到隔離防護(hù)中心����,本實(shí)施例中假設(shè)發(fā)現(xiàn)VM3的健康度低于其閾值,則將VM3迀移到隔離防護(hù)中心�。
[0077]6.5、通知修改網(wǎng)絡(luò)流管理規(guī)則:在虛擬化健康服務(wù)管理中心發(fā)起迀移命令前���,需要先通知隔離防護(hù)中心修改其所控制的基于SDN的交換機(jī)的流表規(guī)則����,以保證虛擬交換機(jī)在迀移過去后能夠正常工作�,且流量被完整監(jiān)控和防護(hù)。
[0078]7��、虛擬交換機(jī)迀移:VM3在虛擬化管理中心的控制下在線迀移到隔離防護(hù)中心�����,由于該模塊也屬于整個(gè)虛擬化資源池的一部分���,因此在線迀移的整個(gè)過程不會引起運(yùn)行在VM3上的業(yè)務(wù)系統(tǒng)的中斷�����。
[0079]8.1��、修改虛擬交換機(jī)流表規(guī)則:隔離防護(hù)中心在收到虛擬化健康服務(wù)管理中心的通知后����,將向虛擬交換機(jī)發(fā)出配置命令,修改其流表規(guī)則����,將相關(guān)流量直接送到外部的SDN交換機(jī)中。本實(shí)施例中即建立虛擬交換機(jī)和SDN物理交換機(jī)間的GRE隧道�,并把VM3的流量封裝到該GRE隧道中。
[0080]8.2�����、修改SDN物理交換機(jī)的流表規(guī)則:隔離防護(hù)中心在收到虛擬化健康服務(wù)管理中心的通知后�����,將向SDN物理交換機(jī)發(fā)出配置命令���,修改其流表規(guī)則���,以保證迀移來的虛擬交換機(jī)的出入流量將被先引導(dǎo)至第三方安全產(chǎn)品中,再轉(zhuǎn)發(fā)到其真正的目的���。
[0081]在隔離防護(hù)中心里的虛擬交換機(jī)是否迀移回正常的業(yè)務(wù)環(huán)境將由用戶在虛擬化健康服務(wù)管理中心中進(jìn)行配置��,可以在被健康修復(fù)的虛擬交換機(jī)的健康度高于閾值后自動觸發(fā)迀移回業(yè)務(wù)環(huán)境的命令����,或設(shè)置為只手動迀移���。
[0082]圖3為本發(fā)明實(shí)施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的原理框圖�,如圖3所示����,初始情況下虛擬交換機(jī)運(yùn)行在業(yè)務(wù)環(huán)境中,帶外監(jiān)測模塊運(yùn)行在帶外監(jiān)測環(huán)境中�����,不使用虛擬化資源池的資源�,而由帶外監(jiān)控模塊對虛擬交換機(jī)提供實(shí)時(shí)的健康監(jiān)測,通過這個(gè)監(jiān)測過程實(shí)時(shí)的計(jì)算迀移條件對應(yīng)的健康度值。健康檢查和隔離防護(hù)環(huán)境也屬于虛擬化資源池的一部分��,但是由于不和業(yè)務(wù)環(huán)境相耦合�����,因此該部分的資源是固定大小分配的��,不會因?yàn)橛脩魳I(yè)務(wù)虛擬交換機(jī)的數(shù)量增加而過度消耗虛擬化資源池的資源�����。
[0083]在兩種情況下�,將觸發(fā)虛擬交換機(jī)向健康檢查和隔離防護(hù)環(huán)境迀移,分別是定期檢查時(shí)間觸發(fā)和健康度觸發(fā)�����。定期檢查時(shí)間是用戶設(shè)定的一個(gè)具體的時(shí)間����,系統(tǒng)在到該時(shí)刻時(shí),不考慮虛擬交換機(jī)的健康度情況��,會直接把相關(guān)虛擬交換機(jī)迀移到健康檢查和隔離防護(hù)環(huán)境中進(jìn)行檢查和必要的修復(fù)�。健康度觸發(fā)的情況是當(dāng)健康度低于用戶事先設(shè)定閾值時(shí)�,系統(tǒng)根據(jù)虛擬交換機(jī)是攻擊的受體還是攻擊發(fā)起人對虛擬交換機(jī)采取不同的策略���,對于虛擬交換機(jī)是被攻擊對象的�����,把虛擬交換機(jī)迀移到健康檢查和隔離防護(hù)環(huán)境中后,采用防火墻等策略����,來阻斷攻擊,并對虛擬交換機(jī)的系統(tǒng)進(jìn)行殺毒�����、打補(bǔ)丁等修復(fù)�,但仍然保證虛擬交換機(jī)的網(wǎng)絡(luò)連通和正常業(yè)務(wù)流量的收發(fā);而對于虛擬交換機(jī)自身是攻擊者的情況����,將在迀移后先對其采取網(wǎng)絡(luò)隔離,再對其進(jìn)行殺毒��、打補(bǔ)丁等修復(fù)工作����。
[0084]虛擬交換機(jī)在兩種情況下可以被迀移回業(yè)務(wù)環(huán)境���,一種采用系統(tǒng)自動判斷,即當(dāng)系統(tǒng)監(jiān)測虛擬交換機(jī)的健康度達(dá)到其閾值時(shí)���,把虛擬交換機(jī)自動迀移回去����,另外一種情況是讓用戶手動操作�����,下指令來把虛擬交換機(jī)迀移回業(yè)務(wù)環(huán)境中���。
[0085]圖4為本發(fā)明一實(shí)施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控系統(tǒng)的結(jié)構(gòu)示意圖����,如圖4所示��,該系統(tǒng)包括:虛擬化管理模塊41��、虛擬化健康服務(wù)管理模塊42和隔離防護(hù)模塊43 �����;
[0086]所述虛擬化健康服務(wù)管理模塊42,用于獲取虛擬化管理模塊41中虛擬交換機(jī)的健康閾值�����;
[0087]所述虛擬化健康服務(wù)管理模塊42���,還用于在所述虛擬交換機(jī)的健康閾值小于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時(shí)�,向所述虛擬化管理模塊發(fā)出迀移所述虛擬交換機(jī)的命令�,并將所述虛擬交換機(jī)迀移到隔離防護(hù)模塊����;
[0088]隔離防護(hù)模塊43,用于收到所述虛擬化健康服務(wù)管理模塊的通知后�,向虛擬交換機(jī)發(fā)出配置命令修改所述虛擬交換機(jī)的流表規(guī)則;
[0089]所述虛擬化健康服務(wù)管理模塊42����,還用于在所述虛擬交換機(jī)的健康閾值高于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時(shí),將所述虛擬交換機(jī)迀移回所述虛擬化管理模塊�。
[0090]所述虛擬化健康服務(wù)管理模塊42,還用于:
[0091]通過虛擬化管理模塊獲得虛擬交換機(jī)的物理拓?fù)湫畔ⅲ?br>
[0092]根據(jù)所述虛擬交換機(jī)的物理拓?fù)湫畔?chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊���;
[0093]配置并下發(fā)捕獲所述虛擬交換機(jī)的流量以及所述虛擬交換機(jī)的流量的健康監(jiān)測策略�,通過對所述虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測,獲取所述虛擬交換機(jī)的健康閾值�����。
[0094]所述虛擬化管理模塊���,用于:
[0095]接收所述虛擬化健康服務(wù)管理模塊配置并下發(fā)的捕獲所述虛擬交換機(jī)的流量�;
[0096]通過流量捕獲探針將虛擬交換機(jī)的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊����。
[0097]所述虛擬化健康服務(wù)管理模塊,還用于:
[0098]向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略����;
[0099]通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測,獲取所述虛擬交換機(jī)的健康閾值���。
[0100]舉例來說�,所述健康監(jiān)測策略包括:非法連入連接數(shù)���、非法連出連接數(shù)����、流量異常偏離度、敏感IP連接數(shù)��、虛擬交換機(jī)檢測掃描間隔時(shí)間�、虛擬交換機(jī)流量入侵檢測威脅報(bào)警指數(shù)、虛擬交換機(jī)漏洞掃描報(bào)警數(shù)和虛擬交換機(jī)的補(bǔ)丁缺失數(shù)等����。
[0101]上述系統(tǒng)通過一種新的系統(tǒng)架構(gòu)方式和虛擬交換機(jī)管控技術(shù)相結(jié)合,實(shí)現(xiàn)在多租戶環(huán)境下����,對虛擬網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)的捕獲、分析��,根據(jù)安全策略���,按需的把發(fā)現(xiàn)問題的虛擬交換機(jī)從一般業(yè)務(wù)環(huán)境迀移到虛擬化安全服務(wù)域,并對其進(jìn)行安全威脅處理����,在處理完成后,再根據(jù)用戶定義的安全策略自動或手動將其移回一般業(yè)務(wù)域����。該服務(wù)框架可以提供包括實(shí)時(shí)檢測監(jiān)視��、健康狀態(tài)檢查和評估�����、威脅診斷和處理����、安全隔離等服務(wù)項(xiàng)目和功能�。本發(fā)明所公開的系統(tǒng)至少包括安全虛擬交換機(jī)形態(tài)的流量捕獲探針模塊44、虛擬化健康服務(wù)管理模塊42�、安全域威脅預(yù)警模塊45、隔離防護(hù)模塊43和虛擬化管理模塊41�����。
[0102]所述安全虛擬交換機(jī)形態(tài)的流量捕獲探針模塊44�,用于按用戶配置捕獲用戶所關(guān)注的虛擬交換機(jī)的網(wǎng)絡(luò)流量,并根據(jù)其所屬安全域?qū)С龅綄?yīng)的安全域威脅預(yù)警模塊��。該安全虛擬交換機(jī)需要在每臺物理虛擬化服務(wù)器上部署一臺�����,并根據(jù)該物理主機(jī)上的虛擬交換機(jī)數(shù)量部署相同數(shù)量的虛擬網(wǎng)卡,用于監(jiān)聽對應(yīng)虛擬交換機(jī)上的網(wǎng)絡(luò)流���。每個(gè)虛擬交換機(jī)流量捕獲探針都配置有一個(gè)專用于流量導(dǎo)出的網(wǎng)卡���,當(dāng)該模塊從虛擬交換機(jī)上利用混雜端口組或者端口鏡像方式捕獲到數(shù)據(jù)包后,根據(jù)該數(shù)據(jù)包的IP和MAC地址判斷其所屬虛擬交換機(jī)�,并找到該虛擬交換機(jī)對應(yīng)的安全域威脅預(yù)警模塊地址,將數(shù)據(jù)包的目的MAC改成該安全域威脅預(yù)警模塊地址���,再轉(zhuǎn)發(fā)出去���。
[0103]所述虛擬化健康服務(wù)管理模塊42,用于向用戶提供可視化的虛擬化網(wǎng)絡(luò)健康狀態(tài)監(jiān)控服務(wù)�����。該模塊部署在物理機(jī)或虛擬交換機(jī)上��,通過Web界面提供人機(jī)交互����。該模塊通過調(diào)用虛擬化管理模塊(如vCenter����、CloudStack)的虛擬化管理接口獲得虛擬化環(huán)境中的物理拓?fù)湫畔?,并?shí)時(shí)監(jiān)控該物理拓?fù)涞淖兓?。該模塊還向用戶提供可視化的安全域管理配置界面,在該界面上�,用戶可以創(chuàng)建基于其業(yè)務(wù)邏輯的安全域,選擇屬于該安全域的虛擬交換機(jī)���,并為每個(gè)安全域指定一個(gè)對應(yīng)的安全域威脅預(yù)警模塊��。在創(chuàng)建好安全域后���,用戶還需要為每個(gè)安全域配置健康威脅預(yù)警指標(biāo),該指標(biāo)所包含參數(shù)從該安全域?qū)?yīng)的安全域威脅預(yù)警模塊實(shí)時(shí)獲得�����,主要包括非法連入連接數(shù)�����、非法連出連接數(shù)�、流量異常偏離度、敏感IP連接數(shù)、虛擬交換機(jī)檢測掃描間隔時(shí)間���、虛擬交換機(jī)流量入侵檢測高級威脅報(bào)警指數(shù)�����、虛擬交換機(jī)漏洞掃描報(bào)警數(shù)����、虛擬交換機(jī)軟件關(guān)鍵補(bǔ)丁缺失數(shù)等��,若指標(biāo)值超出預(yù)警值���,則引起該指標(biāo)變化的相關(guān)虛擬交換機(jī)將被在線迀移到部署了隔離防護(hù)模塊的環(huán)境中進(jìn)行細(xì)粒度的檢查和處理����,該迀移可設(shè)置為自動或手動����,迀移指令通過虛擬化健康服務(wù)管理模塊42調(diào)用虛擬化管理模塊41的虛擬化管理接口實(shí)現(xiàn)。
[0104]所述安全域威脅預(yù)警模塊45�����,用于對以安全域?yàn)閱挝坏奶摂M交換機(jī)集合進(jìn)行非侵入式的健康狀態(tài)檢查和威脅掃描分析�����,并將結(jié)果實(shí)時(shí)的同步到虛擬化健康服務(wù)管理模塊�。每個(gè)安全域內(nèi)的所有虛擬交換機(jī)都配置有相同的安全服務(wù)項(xiàng)目或安全策略,當(dāng)安全域創(chuàng)建后�����,該安全域?qū)?yīng)的虛擬交換機(jī)的標(biāo)識信息(IP地址和MAC地址)就將被同步到對應(yīng)的安全域威脅預(yù)警模塊中����。安全域威脅預(yù)警模塊中整合了入侵檢測、網(wǎng)絡(luò)審計(jì)��、設(shè)備互聯(lián)關(guān)系審計(jì)����、漏洞掃描、基線掃描等無需侵入用戶虛擬交換機(jī)操作系統(tǒng)和虛擬網(wǎng)絡(luò)環(huán)境就能夠?qū)崿F(xiàn)的安全檢測和分析功能�,根據(jù)用戶的配置(所訂購的服務(wù)項(xiàng)目)啟動相應(yīng)的服務(wù),計(jì)算實(shí)時(shí)的指標(biāo)值��,并同步到虛擬化健康服務(wù)管理模塊中�。
[0105]隔離防護(hù)模塊43�����,用于采用侵入式的檢測和控制手段�,細(xì)粒度檢測虛擬交換機(jī)可能存在的健康問題��,清除和修復(fù)發(fā)現(xiàn)的安全威脅���,阻止非法系統(tǒng)調(diào)用�、網(wǎng)絡(luò)連接等執(zhí)行���。該模塊所進(jìn)行的工作將在虛擬化健康服務(wù)管理模塊的指導(dǎo)下進(jìn)行��,根據(jù)迀入虛擬交換機(jī)的狀態(tài)�����,分別執(zhí)行健康狀態(tài)檢查和評估服務(wù)或威脅診斷和處理服務(wù)或安全隔離的服務(wù)��,其中健康狀態(tài)檢查和評估服務(wù)是根據(jù)用戶配置對虛擬交換機(jī)進(jìn)行定期健康狀態(tài)打分�����;威脅診斷和處理服務(wù)是對由于指標(biāo)值超過預(yù)警值而迀移過來的虛擬交換機(jī)進(jìn)行侵入式的細(xì)粒度檢查和安全問題修復(fù)���;安全隔離服務(wù)是對在問題修復(fù)后仍然無法達(dá)到預(yù)定健康值的虛擬交換機(jī)進(jìn)行網(wǎng)絡(luò)隔離��,以避免其對網(wǎng)絡(luò)中的其他虛擬交換機(jī)產(chǎn)生安全威脅�����。隔離防護(hù)模塊處理后的虛擬交換機(jī)的健康值將得到修正,并同步給虛擬化健康服務(wù)管理模塊�,在處理后達(dá)到一定健康度的虛擬交換機(jī)根據(jù)用戶的配置自動迀移回原業(yè)務(wù)環(huán)境或等待用戶手動處理。隔離防護(hù)模塊主要通過整合第三方病毒查殺��、Web安全防護(hù)�����、統(tǒng)一安全網(wǎng)關(guān)�����、入侵檢測和審計(jì)等安全產(chǎn)品來實(shí)現(xiàn)對虛擬交換機(jī)的健康檢測�����、安全問題修復(fù)和安全隔離��,其中作用于虛擬交換機(jī)操作系統(tǒng)的病毒查殺工具采用與虛擬化平臺深度耦合的無代理架構(gòu)實(shí)現(xiàn),網(wǎng)絡(luò)安全類產(chǎn)品則借助SDN交換機(jī)實(shí)現(xiàn)多個(gè)串并聯(lián)安全產(chǎn)品的按需協(xié)同工作�����。
[0106]本發(fā)明的說明書中����,說明了大量具體細(xì)節(jié)。然而��,能夠理解�����,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐���。在一些實(shí)例中���,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)�����,以便不模糊對本說明書的理解�。
[0107]本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成�,所述程序可以存儲于計(jì)算機(jī)可讀存儲介質(zhì)中����,如只讀存儲器、磁盤或光盤等�。可選地�,上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)�����。相應(yīng)地���,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn)�����,也可以采用軟件功能模塊的形式實(shí)現(xiàn)��。本申請不限制于任何特定形式的硬件和軟件的結(jié)合��。
[0108]最后應(yīng)說明的是:以上各實(shí)施例僅用以說明本發(fā)明的技術(shù)方案���,而非對其限制�����;盡管參照前述各實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明�����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改��,或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換�����;而這些修改或者替換����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍���,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求和說明書的范圍當(dāng)中����。
【權(quán)利要求】
1.一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法��,其特征在于,包括: 虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機(jī)的健康閾值��; 當(dāng)所述虛擬交換機(jī)的健康閾值小于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時(shí)��,所述虛擬化健康服務(wù)管理中心向所述虛擬化管理中心發(fā)出迀移所述虛擬交換機(jī)的命令��,并將所述虛擬交換機(jī)迀移到隔離防護(hù)中心���; 所述隔離防護(hù)中心收到虛擬化健康服務(wù)管理中心的通知后�����,向虛擬交換機(jī)發(fā)出配置命令修改所述虛擬交換機(jī)的流表規(guī)則�����,并當(dāng)所述虛擬交換機(jī)的健康閾值高于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時(shí),所述虛擬化健康服務(wù)管理中心將所述虛擬交換機(jī)迀移回所述虛擬化管理中心����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機(jī)的健康閾值�,包括: 所述虛擬化健康管理服務(wù)中心通過虛擬化管理中心獲得虛擬交換機(jī)的物理拓?fù)湫畔? 所述虛擬化健康服務(wù)管理中心根據(jù)所述虛擬交換機(jī)的物理拓?fù)湫畔?chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊; 所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機(jī)的流量以及所述虛擬交換機(jī)的流量的健康監(jiān)測策略,通過對所述虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測�,獲取所述虛擬交換機(jī)的健康閾值。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于��,所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機(jī)的流量����,包括: 所述虛擬化管理中心接收所述虛擬化健康服務(wù)管理中心配置并下發(fā)的捕獲所述虛擬交換機(jī)的流量; 所述虛擬化管理中心通過流量捕獲探針將虛擬交換機(jī)的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊��。
4.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述虛擬化健康服務(wù)管理中心配置并下發(fā)所述虛擬交換機(jī)的流量的健康監(jiān)測策略��,包括: 所述虛擬化健康服務(wù)管理中心向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略����; 所述虛擬化健康服務(wù)管理中心通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測,獲取所述虛擬交換機(jī)的健康閾值����。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述健康監(jiān)測策略包括:非法連入連接數(shù)���、非法連出連接數(shù)����、流量異常偏離度���、敏感IP連接數(shù)�、虛擬交換機(jī)檢測掃描間隔時(shí)間�、虛擬交換機(jī)流量入侵檢測威脅報(bào)警指數(shù)、虛擬交換機(jī)漏洞掃描報(bào)警數(shù)和虛擬交換機(jī)的補(bǔ)丁缺失數(shù)��。
6.一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控系統(tǒng)�,其特征在于,包括:虛擬化健康服務(wù)管理模塊�、虛擬化管理模塊和隔離防護(hù)模塊;所述虛擬化健康服務(wù)管理模塊���,用于獲取虛擬化管理模塊中虛擬交換機(jī)的健康閾值;所述虛擬化健康服務(wù)管理模塊�,還用于在所述虛擬交換機(jī)的健康閾值小于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時(shí),向所述虛擬化管理模塊發(fā)出迀移所述虛擬交換機(jī)的命令�,并將所述虛擬交換機(jī)迀移到隔離防護(hù)模塊; 隔離防護(hù)模塊,用于收到所述虛擬化健康服務(wù)管理模塊的通知后����,向虛擬交換機(jī)發(fā)出配置命令修改所述虛擬交換機(jī)的流表規(guī)則; 所述虛擬化健康服務(wù)管理模塊���,還用于在所述虛擬交換機(jī)的健康閾值高于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時(shí)��,將所述虛擬交換機(jī)迀移回所述虛擬化管理模塊�����。
7.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其特征在于����,所述虛擬化健康服務(wù)管理模塊�,還用于: 通過虛擬化管理模塊獲得虛擬交換機(jī)的物理拓?fù)湫畔ⅲ?根據(jù)所述虛擬交換機(jī)的物理拓?fù)湫畔?chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊; 配置并下發(fā)捕獲所述虛擬交換機(jī)的流量以及所述虛擬交換機(jī)的流量的健康監(jiān)測策略�,通過對所述虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測,獲取所述虛擬交換機(jī)的健康閾值����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于�����,所述虛擬化管理模塊��,用于: 接收所述虛擬化健康服務(wù)管理模塊配置并下發(fā)的捕獲所述虛擬交換機(jī)的流量�; 通過流量捕獲探針將虛擬交換機(jī)的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊。
9.根據(jù)權(quán)利要求7所述的系統(tǒng)�����,其特征在于��,所述虛擬化健康服務(wù)管理模塊����,還用于: 向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略; 通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機(jī)的流量進(jìn)行健康監(jiān)測���,獲取所述虛擬交換機(jī)的健康閾值����。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)���,其特征在于�����,所述健康監(jiān)測策略包括:非法連入連接數(shù)����、非法連出連接數(shù)��、流量異常偏離度�、敏感IP連接數(shù)、虛擬交換機(jī)檢測掃描間隔時(shí)間���、虛擬交換機(jī)流量入侵檢測威脅報(bào)警指數(shù)��、虛擬交換機(jī)漏洞掃描報(bào)警數(shù)和虛擬交換機(jī)的補(bǔ)丁缺失數(shù)��。
【文檔編號】H04L29/06GK104468504SQ201410568944
【公開日】2015年3月25日 申請日期:2014年10月22日 優(yōu)先權(quán)日:2014年10月22日
【發(fā)明者】何利文 申請人:南京綠云信息技術(shù)有限公司