[发明专利]一种云平台虚拟网络行为检测方法

说明书

技术领域

本发明涉及云平台安全技术领域，特别是一种云平台虚拟网络行为检测方法。

背景技术

随着云平台的市场发展，越来越多企业、政务等相关单位将信息系统迁移到云平台上了；云平台信息安全的地位也显得也越来越突出。目前病毒入侵、漏洞入侵等各种网络攻击手段比较多，怎么能够建立一个云平台的信息可信计算；满足云业务以及云平台的安全需要，怎么让用户觉得把数据放到云平台上的应用是安全、可信的呢？

发明内容

本发明解决的技术问题在于提出了一种云平台虚拟网络行为检测方法，在一定程度上提高虚拟网络通信的安全性。

本发明解决上述技术问题的技术方案是：

所述的方法是采集虚拟网络端口的数据流特征；并与设定的安全规则集进行对比；如果符合安全规则，则确认其安全；否则，认定为不安全行为。

所述方法具体包括如下步骤：

(1)在虚拟网络端口采集数据流特征并存储到数据流特征库中；

(2)网络组件服务中获取当前虚拟网络上端口的安全规则集；

(3)在数据流特征库中获取该端口最近一段时间内的特征记录集；

(4)依次遍历特征记录集并检查每条记录是否符合安全规则集，如果不符合，则该端口通信的数据流有可疑的不安全行为。

所述方法，

(1)所述的虚拟网络端口是虚拟交换机上的一个端口，其端口支持云平台上容器、虚拟机等网卡通信；

(2)所述的虚拟网络端口采集的数据流特征包含源IP、目的地址IP、源端口、目的IP端口、协议类型、出(入)方向；

(3)数据流特征采用时间序列的形式存储到数据库中，存储到数据库中的记录项包含了时间特征，可以精确到毫秒级别。

所述方法，

(1)安全规则集中包含了安全规则，其安全规则定义了允许访问源的IP、目的IP、目的端口、出或入方向等数据项；

(2)网络组件上存储了应用于某个虚拟端口的安全规则集，其对外提供API获取。

所述数据流特征库中获取特征记录集是：

(1)在获取的数据流特征数据库中查询指定端口和指定时间段的记录集；

(2)满足特定端口的指定，和获取安全规则集的端口一致；

(3)查询的时间段和当前获取安全规则集的时间段一致。

所述方法，

(1)特征记录包含的特征项，源IP、源端口、目的IP地址、目的端口、出或入方向以及协议；跟安全规则集中各个规则中源IP、源端口、目的IP地址、目的端口，协议、出货方向等相应数据项进行匹配；

(2)如果安全规则记录中没有某数据项要求，则表示该数据项不进行匹配，表示该数据项满足；如果某数据项匹配失败，则表示该条特征记录和该条安全规则记录项匹配不成功；

(3)如果有特征集不匹配安全规则集中的任何一项，则表示该虚拟端口通信有可疑的不安全行为。

本发明提出一种云平台虚拟网络安全行为检测方法，通过满足用户自定义的安全可信的通信规则匹配来提高用户对云平台虚拟网络的可信度。

附图说明

下面结合附图对本发明进一步说明：

图1为本发明方法的流程图。

具体实施方式

本发明提出一种云平台虚拟网络行为检测方法，通过满足用户自定义的安全可信的通信规则匹配来提高用户对云平台虚拟网络的可信度。

具体实施流程以图1为例。

1、在虚拟网络端口采集数据流特征并存储到数据流特征库中

以sflow采集协议,mongodb为存储为例，

ovs-vsctl----id＝@sflow create sflow agent＝br-inttarget＝/"192.168.17.12:6343/"header＝128sampling＝5polling＝1--setbridge br-int sflow＝@sflow，其中br-int为云平台虚拟网络交换机网桥，192.168.17.12为sflow采集代理器

在192.168.17.12上启动sflow采集代理器sflow-rt并将数据流规则过滤，对外提供流特征获取API

采集流定义如下：

flow＝{

'keys':'ipsource,ipdestination,***,***',

'value':'bytes'}

如下所示：

通过