虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)�,包括:虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值;當所述健康閾值小于虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時���,虛擬化健康服務(wù)管理中心向虛擬化管理中心發(fā)出遷移虛擬交換機的命令�,并將虛擬交換機遷移到隔離防護中心����;隔離防護中心收到通知后�,向虛擬交換機發(fā)出配置命令修改所述虛擬交換機的流表規(guī)則�����,并當所述虛擬交換機的健康閾值高于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時���,所述虛擬化健康服務(wù)管理中心將所述虛擬交換機遷移回所述虛擬化管理中心����。實現(xiàn)了在不影響整個系統(tǒng)穩(wěn)定性的情況下����,對存在安全問題的虛擬交換機進行處理。
【專利說明】虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】�,具體涉及一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)。
【背景技術(shù)】
[0002]云計算是計算機和互聯(lián)網(wǎng)的又一次新的革命����,它將計算和存儲轉(zhuǎn)移到了云端,用戶可以通過使用輕量級的便攜式終端來進行復(fù)雜的計算和大容量的存儲�。從技術(shù)的角度來看,云計算不僅僅是一種新的概念����,并行計算和虛擬化是實現(xiàn)云計算應(yīng)用的主要技術(shù)手段。由于硬件技術(shù)的快速發(fā)展�����,使得一臺普通的物理服務(wù)器的所具有性能遠遠超過普通的單一用戶對硬件性能的需求����。因此,通過虛擬化的手段���,將一臺物理服務(wù)器虛擬為多臺虛擬交換機�,提供虛擬化服務(wù)成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎(chǔ)��。
[0003]虛擬化在帶來技術(shù)變革的同時���,也提出了新的虛擬化網(wǎng)絡(luò)中的信息安全監(jiān)控問題����。與傳統(tǒng)物理網(wǎng)絡(luò)環(huán)境不同����,在基于虛擬化技術(shù)構(gòu)建的數(shù)據(jù)中心中�����,存在更大數(shù)量更高密度部署的虛擬交換機�,并且由于虛擬化技術(shù)的彈性可擴展�����、動態(tài)迀移等特性��,也使得這些虛擬交換機的數(shù)量���、位置等都較物理環(huán)境更易發(fā)生變化����。
[0004]在虛擬化網(wǎng)絡(luò)中�,由于網(wǎng)絡(luò)虛擬化技術(shù)的存在,使得同一個安全域中的虛擬交換機可能分布于不同的物理主機上�,并連接在不同的物理交換機上。在云計算的多租戶環(huán)境下���,同一個物理主機上還可能存在有多個屬于不同安全域的虛擬交換機�����。因此虛擬化環(huán)境中基于物理網(wǎng)絡(luò)邊界進行信息安全監(jiān)控的方案不再有效�����,因為在虛擬化環(huán)境中物理網(wǎng)絡(luò)邊界已經(jīng)消失��。
[0005]目前���,各家虛擬化和安全廠商已經(jīng)提出和應(yīng)用的虛擬虛擬化環(huán)境的信息安全監(jiān)控方案通常分為三種:
[0006]第一種,通過事先規(guī)劃網(wǎng)絡(luò)拓撲和部署��,使得虛擬化網(wǎng)絡(luò)邊界和傳統(tǒng)物理邊界重合����,即從網(wǎng)絡(luò)規(guī)劃的層面避免出現(xiàn)不同安全域的虛擬交換機存在不同的物理網(wǎng)絡(luò)環(huán)境中的問題。該方案的優(yōu)勢是可以繼續(xù)使用物理安全設(shè)備按照傳統(tǒng)的方式進行信息安全監(jiān)控����。最大問題是損失了云計算環(huán)境的資源整合能力和靈活配置管理能力,機械的人為把本應(yīng)屬于一個大資源池的資源物理的分割為一個個的小資源池�����,限制了虛擬化技術(shù)所帶來的提高資源利用率�、節(jié)能��、彈性擴展等功能�,并且不適用于提供公有云服務(wù)的大型云數(shù)據(jù)中心����。
[0007]第二種,利用虛擬化平臺提供的底層API�����,把傳統(tǒng)安全監(jiān)控產(chǎn)品灌裝到虛擬交換機中����,通過向虛擬化環(huán)境部署安全虛擬交換機來實現(xiàn)對虛擬化環(huán)境的各種安全監(jiān)控功能。該方案的優(yōu)勢是充分利用了虛擬化技術(shù)所提供的軟件定義和配置能力����,把安全資源也虛擬化了,可以深入部署到所監(jiān)控虛擬交換機的最鄰近位置���,細粒度的實現(xiàn)各種安全功能��。最大的問題是���,該方案往往需要安全解決方案和虛擬化解決方案深度的耦合�����,因為安全虛擬交換機需要使用大量虛擬化平臺中的API�,并且在大多數(shù)情況下會改變整個虛擬化網(wǎng)絡(luò)的拓撲部署����,特別在虛擬交換機位置和拓撲發(fā)生動態(tài)變化時,事先部署的安全環(huán)境也需要動態(tài)發(fā)生改變以適應(yīng)業(yè)務(wù)環(huán)境的變化����;另外一個問題是該方案極大的占用了虛擬化平臺的計算資源����,甚至?xí)霈F(xiàn)與用戶業(yè)務(wù)環(huán)境爭用資源的情況,這不僅僅會對用戶業(yè)務(wù)系統(tǒng)的正常運行帶來風(fēng)險����,也極大提高了用戶的部署成本?���?捎眯允窃朴嬎悱h(huán)境提供應(yīng)用服務(wù)所要保證的第一要素,而長時間持續(xù)的對網(wǎng)絡(luò)數(shù)據(jù)包、用戶虛擬交換機進程信息等的監(jiān)控有可能導(dǎo)致整個云計算環(huán)境的性能下降�,甚至不可用。
[0008]第三種����,采用流量導(dǎo)出方案,利用輕量級安全虛擬交換機實現(xiàn)流量探針或通過配置虛擬交換機的端口鏡像等功能��,把本不會出到物理網(wǎng)絡(luò)上的流量全部導(dǎo)出到物理網(wǎng)絡(luò)上�����,并將這些流量牽引到部署在物理網(wǎng)絡(luò)上的外部物理安全設(shè)備上��。該方案的優(yōu)勢是較平衡的使用了虛擬化的資源�����,利用較小的代價導(dǎo)出了虛擬網(wǎng)絡(luò)中的需要監(jiān)控和用戶關(guān)心的流量���,并利用物理設(shè)備在不占用虛擬化平臺資源的情況下進行分析和處理���,能夠達到較高的性價比。存在的最大問題是該方案僅適合旁路式的網(wǎng)絡(luò)安全監(jiān)控需求�����,如入侵檢測、網(wǎng)絡(luò)數(shù)據(jù)審計等���,對于需要攔截虛擬交換機系統(tǒng)內(nèi)的系統(tǒng)調(diào)用和虛擬交換機虛擬網(wǎng)卡上數(shù)據(jù)包的安全應(yīng)用���,如虛擬交換機病毒查殺、Web應(yīng)用安全防護等需求則無法實現(xiàn)����。
[0009]在虛擬化網(wǎng)絡(luò)中,通過虛擬化技術(shù)把計算��、存儲和網(wǎng)絡(luò)等資源以資源池的方式進行了整合�,并按需動態(tài)的根據(jù)租戶的需求�����,向租戶提供服務(wù)����。虛擬化技術(shù)為用戶帶來了計算、存儲和網(wǎng)絡(luò)等資源的彈性擴展能力��,可以快速分配組建由大量虛擬交換機組成的業(yè)務(wù)網(wǎng)絡(luò)。虛擬交換機的動態(tài)迀移功能為租戶提供了不停機維護的能力���,同時云計算數(shù)據(jù)中心也能夠基于該功能實現(xiàn)節(jié)能的目的��。目前提出使得基于虛擬化技術(shù)對虛擬交換機的管理和配置達到了軟件定義的高度���。但是,目前各種安全解決方案都不能很好的適應(yīng)虛擬化技術(shù)的特性���,這些方案或者需要犧牲一部分虛擬化的特性(如劃分物理安全域的方案)來實現(xiàn)安全���,或者需要消耗大量虛擬化環(huán)境中本該提供給業(yè)務(wù)系統(tǒng)使用的資源(如基于安全虛擬交換機的方案),并易造成安全系統(tǒng)自身成為影響業(yè)務(wù)系統(tǒng)穩(wěn)定運行的隱患���,或者無法提供完整的安全解決方案(如采用流量導(dǎo)出加物理安全產(chǎn)品的方案)��。
【發(fā)明內(nèi)容】
[0010]針對現(xiàn)有技術(shù)中的缺陷���,本發(fā)明提供了一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng),實現(xiàn)了在不影響整個系統(tǒng)穩(wěn)定性的情況下�,對存在安全問題的虛擬交換機進行處理。
[0011]第一方面�,本發(fā)明提供一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法����,包括:
[0012]虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值�����;
[0013]當所述虛擬交換機的健康閾值小于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時���,所述虛擬化健康服務(wù)管理中心向所述虛擬化管理中心發(fā)出迀移所述虛擬交換機的命令�����,并將所述虛擬交換機迀移到隔離防護中心���;
[0014]所述隔離防護中心收到虛擬化健康服務(wù)管理中心的通知后,向虛擬交換機發(fā)出配置命令修改所述虛擬交換機的流表規(guī)則�����,并當所述虛擬交換機的健康閾值高于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時����,所述虛擬化健康服務(wù)管理中心將所述虛擬交換機迀移回所述虛擬化管理中心��。
[0015]可選的,所述虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值��,包括:
[0016]所述虛擬化健康管理服務(wù)中心通過虛擬化管理中心獲得虛擬交換機的物理拓撲信息�;
[0017]所述虛擬化健康服務(wù)管理中心根據(jù)所述虛擬交換機的物理拓撲信息創(chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊;
[0018]所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監(jiān)測策略���,通過對所述虛擬交換機的流量進行健康監(jiān)測����,獲取所述虛擬交換機的健康閾值���。
[0019]可選的�,所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機的流量���,包括:
[0020]所述虛擬化管理中心接收所述虛擬化健康服務(wù)管理中心配置并下發(fā)的捕獲所述虛擬交換機的流量���;
[0021]所述虛擬化管理中心通過流量捕獲探針將虛擬交換機的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊。
[0022]可選的�,所述虛擬化健康服務(wù)管理中心配置并下發(fā)所述虛擬交換機的流量的健康監(jiān)測策略,包括:
[0023]所述虛擬化健康服務(wù)管理中心向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略���;
[0024]所述虛擬化健康服務(wù)管理中心通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機的流量進行健康監(jiān)測�����,獲取所述虛擬交換機的健康閾值���。
[0025]可選的����,所述健康監(jiān)測策略包括:非法連入連接數(shù)����、非法連出連接數(shù)、流量異常偏離度�����、敏感IP連接數(shù)��、虛擬交換機檢測掃描間隔時間��、虛擬交換機流量入侵檢測威脅報警指數(shù)�、虛擬交換機漏洞掃描報警數(shù)和虛擬交換機的補丁缺失數(shù)。
[0026]第二方面���,本發(fā)明還提供了一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控系統(tǒng)�����,包括:虛擬化健康服務(wù)管理模塊�����、虛擬化管理模塊和隔離防護模塊�����;
[0027]所述虛擬化健康服務(wù)管理模塊��,用于獲取虛擬化管理模塊中虛擬交換機的健康閾值����;
[0028]所述虛擬化健康服務(wù)管理模塊���,還用于在所述虛擬交換機的健康閾值小于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時�,向所述虛擬化管理模塊發(fā)出迀移所述虛擬交換機的命令�,并將所述虛擬交換機迀移到隔離防護模塊;
[0029]隔離防護模塊�,用于收到所述虛擬化健康服務(wù)管理模塊的通知后,向虛擬交換機發(fā)出配置命令修改所述虛擬交換機的流表規(guī)則���;
[0030]所述虛擬化健康服務(wù)管理模塊�,還用于在所述虛擬交換機的健康閾值高于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時,將所述虛擬交換機迀移回所述虛擬化管理模塊����。
[0031]可選的,所述虛擬化健康服務(wù)管理模塊�,還用于:
[0032]通過虛擬化管理模塊獲得虛擬交換機的物理拓撲信息;
[0033]根據(jù)所述虛擬交換機的物理拓撲信息創(chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊�����;
[0034]配置并下發(fā)捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監(jiān)測策略�����,通過對所述虛擬交換機的流量進行健康監(jiān)測��,獲取所述虛擬交換機的健康閾值�����。
[0035]可選的����,所述虛擬化管理模塊�����,用于:
[0036]接收所述虛擬化健康服務(wù)管理模塊配置并下發(fā)的捕獲所述虛擬交換機的流量;
[0037]通過流量捕獲探針將虛擬交換機的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊����。
[0038]可選的,所述虛擬化健康服務(wù)管理模塊�����,還用于:
[0039]向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略��;
[0040]通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機的流量進行健康監(jiān)測����,獲取所述虛擬交換機的健康閾值。
[0041]可選的��,所述健康監(jiān)測策略包括:非法連入連接數(shù)�、非法連出連接數(shù)、流量異常偏離度�����、敏感IP連接數(shù)、虛擬交換機檢測掃描間隔時間�����、虛擬交換機流量入侵檢測威脅報警指數(shù)���、虛擬交換機漏洞掃描報警數(shù)和虛擬交換機的補丁缺失數(shù)�����。
[0042]由上述技術(shù)方案可知��,本發(fā)明提供的一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法及系統(tǒng)����,在多租戶環(huán)境下��,保證完整的虛擬化技術(shù)特性(資源池化�����、彈性可擴展����、動態(tài)迀移等)����,在不改變用戶原有網(wǎng)絡(luò)配置的前提下��,采用較小的資源代價�����,提供一種完整的�����、高效可用的虛擬化環(huán)境信息安全監(jiān)控系統(tǒng)框架�,該框架可以集成包括虛擬交換機安全和虛擬網(wǎng)絡(luò)安全在內(nèi)的各類虛擬化或物理形態(tài)的安全產(chǎn)品���,實現(xiàn)了在不影響整個系統(tǒng)穩(wěn)定性的情況下��,對存在安全問題的虛擬交換機進行處理����。
【專利附圖】
【附圖說明】
[0043]圖1為本發(fā)明一實施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的流程示意圖�;
[0044]圖2為本發(fā)明另一實施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的流程示意圖����;
[0045]圖3為本發(fā)明一實施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的原理框圖�����;
[0046]圖4為本發(fā)明一實施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控系統(tǒng)的結(jié)構(gòu)示意圖�。
【具體實施方式】
[0047]下面結(jié)合附圖,對發(fā)明的【具體實施方式】作進一步描述����。以下實施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案,而不能以此來限制本發(fā)明的保護范圍���。
[0048]圖1示出了本發(fā)明實施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的流程示意圖�,如圖1所示���,上述方法包括如下步驟:
[0049]101����、虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值��;
[0050]102�、當所述虛擬交換機的健康閾值小于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時�,所述虛擬化健康服務(wù)管理中心向所述虛擬化管理中心發(fā)出迀移所述虛擬交換機的命令��,并將所述虛擬交換機迀移到隔離防護中心���;
[0051]103�、所述隔離防護中心收到虛擬化健康服務(wù)管理中心的通知后�����,向虛擬交換機發(fā)出配置命令修改所述虛擬交換機的流表規(guī)則�����,并當所述虛擬交換機的健康閾值高于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時��,所述虛擬化健康服務(wù)管理中心將所述虛擬交換機迀移回所述虛擬化管理中心�。
[0052]上述方法通過切換虛擬交換機運行的環(huán)境來避免了部署侵入式安全產(chǎn)品到虛擬化環(huán)境中�,從而影響虛擬化環(huán)境性能和穩(wěn)定性的問題。
[0053]具體的�����,上述步驟101包括:
[0054]1011���、所述虛擬化健康管理服務(wù)中心通過虛擬化管理中心獲得虛擬交換機的物理拓撲信息�;
[0055]1012、所述虛擬化健康服務(wù)管理中心根據(jù)所述虛擬交換機的物理拓撲信息創(chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊���;
[0056]1013�����、所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監(jiān)測策略�����,通過對所述虛擬交換機的流量進行健康監(jiān)測��,獲取所述虛擬交換機的健康閾值��。
[0057]在具體應(yīng)用中���,上述步驟1013中所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機的流量,包括:
[0058]所述虛擬化管理中心接收所述虛擬化健康服務(wù)管理中心配置并下發(fā)的捕獲所述虛擬交換機的流量���;
[0059]所述虛擬化管理中心通過流量捕獲探針將虛擬交換機的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊�����。
[0060]上述步驟1013中所述虛擬化健康服務(wù)管理中心配置并下發(fā)所述虛擬交換機的流量的健康監(jiān)測策略����,包括:
[0061]所述虛擬化健康服務(wù)管理中心向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略;
[0062]舉例來說���,所述健康監(jiān)測策略包括:非法連入連接數(shù)���、非法連出連接數(shù)、流量異常偏離度�����、敏感IP連接數(shù)���、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測威脅報警指數(shù)�����、虛擬交換機漏洞掃描報警數(shù)和虛擬交換機的補丁缺失數(shù)�����。
[0063]所述虛擬化健康服務(wù)管理中心通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機的流量進行健康監(jiān)測,獲取所述虛擬交換機的健康閾值�。
[0064]為了更清楚的說明上述方法,圖2示出了本發(fā)明實施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的流程示意圖�����,如圖2所示��,該方法主要通過8個處理過程構(gòu)成了一個完整的健康安全服務(wù)框架��,基礎(chǔ)拓撲信息獲取�����、虛擬交換機業(yè)務(wù)信息關(guān)聯(lián)���、非侵入式的健康檢查和安全評估��、指標閾值配置和監(jiān)測�、運行環(huán)境切換����、侵入式健康檢查安全修復(fù)和威脅隔離、運行環(huán)境恢復(fù)。其中基礎(chǔ)拓撲信息獲取指系統(tǒng)從虛擬化平臺獲得虛擬交換機��、虛擬網(wǎng)絡(luò)的物理拓撲信息����;虛擬交換機業(yè)務(wù)信息關(guān)聯(lián)是在獲得虛擬化環(huán)境的物理拓撲基礎(chǔ)上按照用戶的業(yè)務(wù)劃分邏輯的安全域;非侵入式的健康檢查和安全評估指針對邏輯安全域中包括的虛擬交換機進行包括漏洞掃描����、基線掃描、入侵檢測�、網(wǎng)絡(luò)審計、設(shè)備互聯(lián)關(guān)系審計等非侵入式的安全檢查���;指標閾值配置和監(jiān)測指對非侵入安全檢查返回的實時結(jié)果參數(shù)進行指標化處理和計算���,配置不同參數(shù)的關(guān)注度,以獲得每個虛擬交換機的健康閾值��;運行環(huán)境切換指對健康值低于設(shè)定閾值的虛擬交換機進行在線迀移�����,把其運行環(huán)境切換到部署了侵入式安全服務(wù)和產(chǎn)品的環(huán)境中����;侵入式健康檢查安全修復(fù)和威脅隔離指對切換到該環(huán)境中的虛擬交換機進行侵入式的細粒度檢測和修復(fù),對無法修復(fù)的進行暫時的隔離���;運行環(huán)境恢復(fù)指對修復(fù)(如殺毒����、打補丁)后且健康檢查值達到預(yù)定預(yù)定閾值的虛擬交換機迀移回沒有部署侵入式安全服務(wù)和產(chǎn)品的虛擬網(wǎng)絡(luò)業(yè)務(wù)環(huán)境����。通過整個8個處理過程,該方法實現(xiàn)了按需的對存在安全問題的虛擬交換機進行處理�����,以迀移虛擬交換機的方式來減小在虛擬化環(huán)境中啟動安全軟件帶來的資源消耗和對整個系統(tǒng)環(huán)境穩(wěn)定性的影響�,并且該方法具有很高的環(huán)境和平臺適應(yīng)性,既可用于云環(huán)境建設(shè)的規(guī)劃階段��,也可用于已經(jīng)商用的云環(huán)境���,既適應(yīng)私有云環(huán)境��,也適用于公有云環(huán)境���,并能夠以服務(wù)的方式提供安全服務(wù)�����。
[0065]本申請技術(shù)方案通過所提出的虛擬化健康安全服務(wù)框架結(jié)合了目前三種不同虛擬化安全解決方案的優(yōu)勢�,在充分考慮虛擬化平臺自身可用性的前提下��,本技術(shù)方案采用帶外實時檢測分析加迀移式按需隔離防護的技術(shù)路線�,有效避免了采用軟件方式或虛擬交換機方式的安全應(yīng)用網(wǎng)關(guān)、病毒防護等產(chǎn)品在虛擬化環(huán)境中對大量高密度部署虛擬交換機不間斷實時檢測掃描所帶來的極大的資源消耗����,也降低了由于串聯(lián)在網(wǎng)絡(luò)中的阻斷式安全產(chǎn)品自身性能和穩(wěn)定性對用戶業(yè)務(wù)系統(tǒng)所帶來的系統(tǒng)健壯性影響,并且能夠更好的適應(yīng)虛擬化環(huán)境中虛擬交換機的動態(tài)變化的特性��。相對于流量導(dǎo)出式的安全解決方案���,本申請技術(shù)方案能夠提供包括虛擬交換機安全和虛擬網(wǎng)絡(luò)旁路式檢測和阻斷隔離功能的完整解決方案���,具有更高的應(yīng)用價值。本申請技術(shù)方案還保留了采用物理安全產(chǎn)品提供安全服務(wù)能力的優(yōu)勢�����,使得用戶能夠有效利用已經(jīng)采購的物理安全設(shè)備��,并且具有更好的擴展能力�����。
[0066]圖2給出了虛擬化網(wǎng)絡(luò)動態(tài)信息安全監(jiān)控方法的流程框圖���,整個框圖通過四個主要的系統(tǒng)進行協(xié)助工作的��,分別是:虛擬化健康服務(wù)管理中心�、流量捕獲探針��、安全域的威脅預(yù)警�����、隔離防護中心����。整個系統(tǒng)的模塊間按照以下工作流程進行協(xié)作:
[0067]1、獲取虛擬化物理拓撲信息:虛擬化健康服務(wù)管理中心通過用戶業(yè)務(wù)系統(tǒng)中的虛擬化管理中心獲得整個虛擬化平臺中的虛擬交換機和虛擬網(wǎng)絡(luò)的物理拓撲信息�����。
[0068]2、注冊基于安全域的健康監(jiān)測模塊:通過獲取的物理拓撲信息��,在虛擬化健康服務(wù)管理中心中創(chuàng)建安全域�,并綁定該安全域所對應(yīng)的安全威脅預(yù)警模塊,選擇并配置隔離防護中心中的相關(guān)安全服務(wù)�����。如首先創(chuàng)建一個包含VM3的安全域��,指定該安全域?qū)?yīng)的威脅預(yù)警模塊為威脅預(yù)警模塊X��,為該安全域選擇Web安全防護�����、統(tǒng)一安全網(wǎng)關(guān)�、入侵防御系統(tǒng)、DDOS防御等安全檢測和隔離服務(wù)�����,并通過這些第三方安全產(chǎn)品的控制臺配置這些服務(wù)�。
[0069]3.1、配置并下發(fā)流量捕獲和導(dǎo)流策略:通過流量捕獲探針(虛擬交換機)的管理口向其下發(fā)流量捕獲和導(dǎo)流策略��,指定其具體捕獲的流量和導(dǎo)出到安全域威脅預(yù)警模塊的目的。
[0070]3.2�、配置并下發(fā)健康監(jiān)測策略:向安全域威脅預(yù)警模塊下發(fā)健康監(jiān)測策略,指定需要關(guān)注的健康監(jiān)測指標(非法連入連接數(shù)���、非法連出連接數(shù)、流量異常偏離度�����、敏感IP連接數(shù)��、虛擬交換機檢測掃描間隔時間����、虛擬交換機流量入侵檢測高級威脅報警指數(shù)、虛擬交換機漏洞掃描報警數(shù)��、虛擬交換機軟件關(guān)鍵補丁缺失數(shù)等)�。
[0071]4、流量捕獲探針捕獲流量:流量捕獲探針從虛擬交換機上按照安全域配置抓取需要捕獲的流量�����,本實施例中抓取了 VM3的流量���。
[0072]5��、流量捕獲探針導(dǎo)出流量:流量捕獲探針按照安全域所綁定的安全域威脅預(yù)警模塊的地址����,把屬于該安全域的數(shù)據(jù)包的目的MAC地址修改成所綁定的安全域威脅預(yù)警模塊的MAC地址,并轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上�。本實施例中即把VM3相關(guān)的數(shù)據(jù)包的目的MAC都改成安全域威脅預(yù)警模塊X的目的MAC。
[0073]6.1����、安全域威脅預(yù)警模塊實時監(jiān)測:安全域威脅預(yù)警模塊根據(jù)所配置的安全健康監(jiān)測策略實時計算所指定關(guān)注的指標
[0074]6.2、安全域威脅預(yù)警模塊實時同步監(jiān)測指標:安全域威脅預(yù)警模塊把所關(guān)注的指標值實時同步到虛擬化健康服務(wù)管理中心���。
[0075]6.3��、計算健康閾值:根據(jù)用預(yù)先設(shè)定的指標系數(shù)���,按照給定公式虛擬交換機的健康閾值(該公式和指標系數(shù)作用于整個安全域)。
[0076]6.4���、控制迀移健康度低于閾值的虛擬交換機:當虛擬化健康服務(wù)管理中心發(fā)現(xiàn)有虛擬交換機低于其所設(shè)定的健康閾值時�����,向虛擬化管理中心發(fā)出迀移命令���,將該虛擬交換機迀移到隔離防護中心���,本實施例中假設(shè)發(fā)現(xiàn)VM3的健康度低于其閾值,則將VM3迀移到隔離防護中心�。
[0077]6.5、通知修改網(wǎng)絡(luò)流管理規(guī)則:在虛擬化健康服務(wù)管理中心發(fā)起迀移命令前�,需要先通知隔離防護中心修改其所控制的基于SDN的交換機的流表規(guī)則�����,以保證虛擬交換機在迀移過去后能夠正常工作���,且流量被完整監(jiān)控和防護�。
[0078]7�����、虛擬交換機迀移:VM3在虛擬化管理中心的控制下在線迀移到隔離防護中心����,由于該模塊也屬于整個虛擬化資源池的一部分����,因此在線迀移的整個過程不會引起運行在VM3上的業(yè)務(wù)系統(tǒng)的中斷�����。
[0079]8.1����、修改虛擬交換機流表規(guī)則:隔離防護中心在收到虛擬化健康服務(wù)管理中心的通知后,將向虛擬交換機發(fā)出配置命令���,修改其流表規(guī)則����,將相關(guān)流量直接送到外部的SDN交換機中�����。本實施例中即建立虛擬交換機和SDN物理交換機間的GRE隧道����,并把VM3的流量封裝到該GRE隧道中。
[0080]8.2、修改SDN物理交換機的流表規(guī)則:隔離防護中心在收到虛擬化健康服務(wù)管理中心的通知后�,將向SDN物理交換機發(fā)出配置命令,修改其流表規(guī)則���,以保證迀移來的虛擬交換機的出入流量將被先引導(dǎo)至第三方安全產(chǎn)品中�,再轉(zhuǎn)發(fā)到其真正的目的�����。
[0081]在隔離防護中心里的虛擬交換機是否迀移回正常的業(yè)務(wù)環(huán)境將由用戶在虛擬化健康服務(wù)管理中心中進行配置����,可以在被健康修復(fù)的虛擬交換機的健康度高于閾值后自動觸發(fā)迀移回業(yè)務(wù)環(huán)境的命令,或設(shè)置為只手動迀移���。
[0082]圖3為本發(fā)明實施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法的原理框圖,如圖3所示���,初始情況下虛擬交換機運行在業(yè)務(wù)環(huán)境中�����,帶外監(jiān)測模塊運行在帶外監(jiān)測環(huán)境中��,不使用虛擬化資源池的資源��,而由帶外監(jiān)控模塊對虛擬交換機提供實時的健康監(jiān)測�,通過這個監(jiān)測過程實時的計算迀移條件對應(yīng)的健康度值。健康檢查和隔離防護環(huán)境也屬于虛擬化資源池的一部分��,但是由于不和業(yè)務(wù)環(huán)境相耦合�,因此該部分的資源是固定大小分配的,不會因為用戶業(yè)務(wù)虛擬交換機的數(shù)量增加而過度消耗虛擬化資源池的資源��。
[0083]在兩種情況下���,將觸發(fā)虛擬交換機向健康檢查和隔離防護環(huán)境迀移����,分別是定期檢查時間觸發(fā)和健康度觸發(fā)����。定期檢查時間是用戶設(shè)定的一個具體的時間,系統(tǒng)在到該時刻時�,不考慮虛擬交換機的健康度情況,會直接把相關(guān)虛擬交換機迀移到健康檢查和隔離防護環(huán)境中進行檢查和必要的修復(fù)��。健康度觸發(fā)的情況是當健康度低于用戶事先設(shè)定閾值時��,系統(tǒng)根據(jù)虛擬交換機是攻擊的受體還是攻擊發(fā)起人對虛擬交換機采取不同的策略,對于虛擬交換機是被攻擊對象的�����,把虛擬交換機迀移到健康檢查和隔離防護環(huán)境中后����,采用防火墻等策略,來阻斷攻擊���,并對虛擬交換機的系統(tǒng)進行殺毒����、打補丁等修復(fù)�,但仍然保證虛擬交換機的網(wǎng)絡(luò)連通和正常業(yè)務(wù)流量的收發(fā);而對于虛擬交換機自身是攻擊者的情況�,將在迀移后先對其采取網(wǎng)絡(luò)隔離,再對其進行殺毒���、打補丁等修復(fù)工作。
[0084]虛擬交換機在兩種情況下可以被迀移回業(yè)務(wù)環(huán)境��,一種采用系統(tǒng)自動判斷�����,即當系統(tǒng)監(jiān)測虛擬交換機的健康度達到其閾值時,把虛擬交換機自動迀移回去�����,另外一種情況是讓用戶手動操作����,下指令來把虛擬交換機迀移回業(yè)務(wù)環(huán)境中。
[0085]圖4為本發(fā)明一實施例提供的虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控系統(tǒng)的結(jié)構(gòu)示意圖��,如圖4所示��,該系統(tǒng)包括:虛擬化管理模塊41�、虛擬化健康服務(wù)管理模塊42和隔離防護模塊43 ;
[0086]所述虛擬化健康服務(wù)管理模塊42����,用于獲取虛擬化管理模塊41中虛擬交換機的健康閾值;
[0087]所述虛擬化健康服務(wù)管理模塊42���,還用于在所述虛擬交換機的健康閾值小于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時��,向所述虛擬化管理模塊發(fā)出迀移所述虛擬交換機的命令��,并將所述虛擬交換機迀移到隔離防護模塊�;
[0088]隔離防護模塊43,用于收到所述虛擬化健康服務(wù)管理模塊的通知后����,向虛擬交換機發(fā)出配置命令修改所述虛擬交換機的流表規(guī)則;
[0089]所述虛擬化健康服務(wù)管理模塊42����,還用于在所述虛擬交換機的健康閾值高于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時,將所述虛擬交換機迀移回所述虛擬化管理模塊�。
[0090]所述虛擬化健康服務(wù)管理模塊42,還用于:
[0091]通過虛擬化管理模塊獲得虛擬交換機的物理拓撲信息�;
[0092]根據(jù)所述虛擬交換機的物理拓撲信息創(chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊;
[0093]配置并下發(fā)捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監(jiān)測策略�,通過對所述虛擬交換機的流量進行健康監(jiān)測,獲取所述虛擬交換機的健康閾值���。
[0094]所述虛擬化管理模塊�����,用于:
[0095]接收所述虛擬化健康服務(wù)管理模塊配置并下發(fā)的捕獲所述虛擬交換機的流量;
[0096]通過流量捕獲探針將虛擬交換機的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊���。
[0097]所述虛擬化健康服務(wù)管理模塊�����,還用于:
[0098]向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略�;
[0099]通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機的流量進行健康監(jiān)測,獲取所述虛擬交換機的健康閾值�����。
[0100]舉例來說��,所述健康監(jiān)測策略包括:非法連入連接數(shù)����、非法連出連接數(shù)、流量異常偏離度�����、敏感IP連接數(shù)�����、虛擬交換機檢測掃描間隔時間�����、虛擬交換機流量入侵檢測威脅報警指數(shù)、虛擬交換機漏洞掃描報警數(shù)和虛擬交換機的補丁缺失數(shù)等���。
[0101]上述系統(tǒng)通過一種新的系統(tǒng)架構(gòu)方式和虛擬交換機管控技術(shù)相結(jié)合�����,實現(xiàn)在多租戶環(huán)境下��,對虛擬網(wǎng)絡(luò)流量進行實時的捕獲���、分析,根據(jù)安全策略����,按需的把發(fā)現(xiàn)問題的虛擬交換機從一般業(yè)務(wù)環(huán)境迀移到虛擬化安全服務(wù)域,并對其進行安全威脅處理�,在處理完成后,再根據(jù)用戶定義的安全策略自動或手動將其移回一般業(yè)務(wù)域����。該服務(wù)框架可以提供包括實時檢測監(jiān)視、健康狀態(tài)檢查和評估����、威脅診斷和處理、安全隔離等服務(wù)項目和功能���。本發(fā)明所公開的系統(tǒng)至少包括安全虛擬交換機形態(tài)的流量捕獲探針模塊44��、虛擬化健康服務(wù)管理模塊42���、安全域威脅預(yù)警模塊45、隔離防護模塊43和虛擬化管理模塊41����。
[0102]所述安全虛擬交換機形態(tài)的流量捕獲探針模塊44,用于按用戶配置捕獲用戶所關(guān)注的虛擬交換機的網(wǎng)絡(luò)流量��,并根據(jù)其所屬安全域?qū)С龅綄?yīng)的安全域威脅預(yù)警模塊�����。該安全虛擬交換機需要在每臺物理虛擬化服務(wù)器上部署一臺���,并根據(jù)該物理主機上的虛擬交換機數(shù)量部署相同數(shù)量的虛擬網(wǎng)卡�����,用于監(jiān)聽對應(yīng)虛擬交換機上的網(wǎng)絡(luò)流���。每個虛擬交換機流量捕獲探針都配置有一個專用于流量導(dǎo)出的網(wǎng)卡��,當該模塊從虛擬交換機上利用混雜端口組或者端口鏡像方式捕獲到數(shù)據(jù)包后����,根據(jù)該數(shù)據(jù)包的IP和MAC地址判斷其所屬虛擬交換機����,并找到該虛擬交換機對應(yīng)的安全域威脅預(yù)警模塊地址,將數(shù)據(jù)包的目的MAC改成該安全域威脅預(yù)警模塊地址�,再轉(zhuǎn)發(fā)出去。
[0103]所述虛擬化健康服務(wù)管理模塊42����,用于向用戶提供可視化的虛擬化網(wǎng)絡(luò)健康狀態(tài)監(jiān)控服務(wù)。該模塊部署在物理機或虛擬交換機上�,通過Web界面提供人機交互。該模塊通過調(diào)用虛擬化管理模塊(如vCenter�����、CloudStack)的虛擬化管理接口獲得虛擬化環(huán)境中的物理拓撲信息,并實時監(jiān)控該物理拓撲的變化�。該模塊還向用戶提供可視化的安全域管理配置界面,在該界面上����,用戶可以創(chuàng)建基于其業(yè)務(wù)邏輯的安全域,選擇屬于該安全域的虛擬交換機�,并為每個安全域指定一個對應(yīng)的安全域威脅預(yù)警模塊����。在創(chuàng)建好安全域后,用戶還需要為每個安全域配置健康威脅預(yù)警指標����,該指標所包含參數(shù)從該安全域?qū)?yīng)的安全域威脅預(yù)警模塊實時獲得,主要包括非法連入連接數(shù)�����、非法連出連接數(shù)�����、流量異常偏離度�、敏感IP連接數(shù)、虛擬交換機檢測掃描間隔時間、虛擬交換機流量入侵檢測高級威脅報警指數(shù)���、虛擬交換機漏洞掃描報警數(shù)�����、虛擬交換機軟件關(guān)鍵補丁缺失數(shù)等���,若指標值超出預(yù)警值,則引起該指標變化的相關(guān)虛擬交換機將被在線迀移到部署了隔離防護模塊的環(huán)境中進行細粒度的檢查和處理��,該迀移可設(shè)置為自動或手動���,迀移指令通過虛擬化健康服務(wù)管理模塊42調(diào)用虛擬化管理模塊41的虛擬化管理接口實現(xiàn)���。
[0104]所述安全域威脅預(yù)警模塊45,用于對以安全域為單位的虛擬交換機集合進行非侵入式的健康狀態(tài)檢查和威脅掃描分析�����,并將結(jié)果實時的同步到虛擬化健康服務(wù)管理模塊�。每個安全域內(nèi)的所有虛擬交換機都配置有相同的安全服務(wù)項目或安全策略,當安全域創(chuàng)建后�����,該安全域?qū)?yīng)的虛擬交換機的標識信息(IP地址和MAC地址)就將被同步到對應(yīng)的安全域威脅預(yù)警模塊中。安全域威脅預(yù)警模塊中整合了入侵檢測���、網(wǎng)絡(luò)審計��、設(shè)備互聯(lián)關(guān)系審計����、漏洞掃描����、基線掃描等無需侵入用戶虛擬交換機操作系統(tǒng)和虛擬網(wǎng)絡(luò)環(huán)境就能夠?qū)崿F(xiàn)的安全檢測和分析功能����,根據(jù)用戶的配置(所訂購的服務(wù)項目)啟動相應(yīng)的服務(wù),計算實時的指標值��,并同步到虛擬化健康服務(wù)管理模塊中��。
[0105]隔離防護模塊43�����,用于采用侵入式的檢測和控制手段,細粒度檢測虛擬交換機可能存在的健康問題���,清除和修復(fù)發(fā)現(xiàn)的安全威脅�,阻止非法系統(tǒng)調(diào)用�、網(wǎng)絡(luò)連接等執(zhí)行。該模塊所進行的工作將在虛擬化健康服務(wù)管理模塊的指導(dǎo)下進行�����,根據(jù)迀入虛擬交換機的狀態(tài)����,分別執(zhí)行健康狀態(tài)檢查和評估服務(wù)或威脅診斷和處理服務(wù)或安全隔離的服務(wù),其中健康狀態(tài)檢查和評估服務(wù)是根據(jù)用戶配置對虛擬交換機進行定期健康狀態(tài)打分����;威脅診斷和處理服務(wù)是對由于指標值超過預(yù)警值而迀移過來的虛擬交換機進行侵入式的細粒度檢查和安全問題修復(fù);安全隔離服務(wù)是對在問題修復(fù)后仍然無法達到預(yù)定健康值的虛擬交換機進行網(wǎng)絡(luò)隔離�����,以避免其對網(wǎng)絡(luò)中的其他虛擬交換機產(chǎn)生安全威脅���。隔離防護模塊處理后的虛擬交換機的健康值將得到修正�,并同步給虛擬化健康服務(wù)管理模塊,在處理后達到一定健康度的虛擬交換機根據(jù)用戶的配置自動迀移回原業(yè)務(wù)環(huán)境或等待用戶手動處理�。隔離防護模塊主要通過整合第三方病毒查殺、Web安全防護��、統(tǒng)一安全網(wǎng)關(guān)����、入侵檢測和審計等安全產(chǎn)品來實現(xiàn)對虛擬交換機的健康檢測、安全問題修復(fù)和安全隔離��,其中作用于虛擬交換機操作系統(tǒng)的病毒查殺工具采用與虛擬化平臺深度耦合的無代理架構(gòu)實現(xiàn)���,網(wǎng)絡(luò)安全類產(chǎn)品則借助SDN交換機實現(xiàn)多個串并聯(lián)安全產(chǎn)品的按需協(xié)同工作����。
[0106]本發(fā)明的說明書中�,說明了大量具體細節(jié)�����。然而����,能夠理解�,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐�����。在一些實例中���,并未詳細示出公知的方法�����、結(jié)構(gòu)和技術(shù)�����,以便不模糊對本說明書的理解��。
[0107]本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成��,所述程序可以存儲于計算機可讀存儲介質(zhì)中����,如只讀存儲器�、磁盤或光盤等??蛇x地���,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)。相應(yīng)地���,上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn)���,也可以采用軟件功能模塊的形式實現(xiàn)。本申請不限制于任何特定形式的硬件和軟件的結(jié)合���。
[0108]最后應(yīng)說明的是:以上各實施例僅用以說明本發(fā)明的技術(shù)方案�,而非對其限制���;盡管參照前述各實施例對本發(fā)明進行了詳細的說明�����,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解:其依然可以對前述各實施例所記載的技術(shù)方案進行修改�����,或者對其中部分或者全部技術(shù)特征進行等同替換;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求和說明書的范圍當中�����。
【權(quán)利要求】
1.一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控方法�,其特征在于,包括: 虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值����; 當所述虛擬交換機的健康閾值小于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時,所述虛擬化健康服務(wù)管理中心向所述虛擬化管理中心發(fā)出迀移所述虛擬交換機的命令��,并將所述虛擬交換機迀移到隔離防護中心�����; 所述隔離防護中心收到虛擬化健康服務(wù)管理中心的通知后���,向虛擬交換機發(fā)出配置命令修改所述虛擬交換機的流表規(guī)則�,并當所述虛擬交換機的健康閾值高于所述虛擬化健康服務(wù)管理中心預(yù)設(shè)的健康閾值時��,所述虛擬化健康服務(wù)管理中心將所述虛擬交換機迀移回所述虛擬化管理中心。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述虛擬化健康服務(wù)管理中心獲取虛擬化管理中心中虛擬交換機的健康閾值���,包括: 所述虛擬化健康管理服務(wù)中心通過虛擬化管理中心獲得虛擬交換機的物理拓撲信息; 所述虛擬化健康服務(wù)管理中心根據(jù)所述虛擬交換機的物理拓撲信息創(chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊�; 所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監(jiān)測策略��,通過對所述虛擬交換機的流量進行健康監(jiān)測���,獲取所述虛擬交換機的健康閾值�����。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于�,所述虛擬化健康服務(wù)管理中心配置并下發(fā)捕獲所述虛擬交換機的流量�,包括: 所述虛擬化管理中心接收所述虛擬化健康服務(wù)管理中心配置并下發(fā)的捕獲所述虛擬交換機的流量; 所述虛擬化管理中心通過流量捕獲探針將虛擬交換機的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊�����。
4.根據(jù)權(quán)利要求2所述的方法���,其特征在于�,所述虛擬化健康服務(wù)管理中心配置并下發(fā)所述虛擬交換機的流量的健康監(jiān)測策略�����,包括: 所述虛擬化健康服務(wù)管理中心向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略�����; 所述虛擬化健康服務(wù)管理中心通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機的流量進行健康監(jiān)測��,獲取所述虛擬交換機的健康閾值���。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于�����,所述健康監(jiān)測策略包括:非法連入連接數(shù)�����、非法連出連接數(shù)��、流量異常偏離度���、敏感IP連接數(shù)�、虛擬交換機檢測掃描間隔時間����、虛擬交換機流量入侵檢測威脅報警指數(shù)、虛擬交換機漏洞掃描報警數(shù)和虛擬交換機的補丁缺失數(shù)�����。
6.一種虛擬化網(wǎng)絡(luò)動態(tài)信息安全的監(jiān)控系統(tǒng)��,其特征在于����,包括:虛擬化健康服務(wù)管理模塊、虛擬化管理模塊和隔離防護模塊�;所述虛擬化健康服務(wù)管理模塊,用于獲取虛擬化管理模塊中虛擬交換機的健康閾值�����;所述虛擬化健康服務(wù)管理模塊,還用于在所述虛擬交換機的健康閾值小于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時�����,向所述虛擬化管理模塊發(fā)出迀移所述虛擬交換機的命令��,并將所述虛擬交換機迀移到隔離防護模塊�����; 隔離防護模塊�,用于收到所述虛擬化健康服務(wù)管理模塊的通知后����,向虛擬交換機發(fā)出配置命令修改所述虛擬交換機的流表規(guī)則; 所述虛擬化健康服務(wù)管理模塊����,還用于在所述虛擬交換機的健康閾值高于所述虛擬化健康服務(wù)管理模塊預(yù)設(shè)的健康閾值時,將所述虛擬交換機迀移回所述虛擬化管理模塊�����。
7.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其特征在于,所述虛擬化健康服務(wù)管理模塊�����,還用于: 通過虛擬化管理模塊獲得虛擬交換機的物理拓撲信息���; 根據(jù)所述虛擬交換機的物理拓撲信息創(chuàng)建安全域和與所述安全域?qū)?yīng)的威脅預(yù)警模塊�; 配置并下發(fā)捕獲所述虛擬交換機的流量以及所述虛擬交換機的流量的健康監(jiān)測策略�����,通過對所述虛擬交換機的流量進行健康監(jiān)測�����,獲取所述虛擬交換機的健康閾值��。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述虛擬化管理模塊���,用于: 接收所述虛擬化健康服務(wù)管理模塊配置并下發(fā)的捕獲所述虛擬交換機的流量�����; 通過流量捕獲探針將虛擬交換機的流量導(dǎo)出到所述安全域?qū)?yīng)的威脅預(yù)警模塊�。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于��,所述虛擬化健康服務(wù)管理模塊���,還用于: 向所述安全域?qū)?yīng)的威脅預(yù)警模塊下發(fā)健康監(jiān)測策略; 通過對所述安全域?qū)?yīng)的威脅預(yù)警模塊中的虛擬交換機的流量進行健康監(jiān)測��,獲取所述虛擬交換機的健康閾值��。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其特征在于���,所述健康監(jiān)測策略包括:非法連入連接數(shù)�����、非法連出連接數(shù)�����、流量異常偏離度����、敏感IP連接數(shù)、虛擬交換機檢測掃描間隔時間��、虛擬交換機流量入侵檢測威脅報警指數(shù)�����、虛擬交換機漏洞掃描報警數(shù)和虛擬交換機的補丁缺失數(shù)��。
【文檔編號】H04L29/06GK104468504SQ201410568944
【公開日】2015年3月25日 申請日期:2014年10月22日 優(yōu)先權(quán)日:2014年10月22日
【發(fā)明者】何利文 申請人:南京綠云信息技術(shù)有限公司