本发明专利技术提出了一种面向虚拟机集群的分布式网络安全方法,解决了在虚拟机集群中各个虚拟机之间随意访问,造成安全风险的技术问题;本发明专利技术搭建分布式安全策略平台DSPP,所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息,智能计算出每台虚拟机的安全访问的策略,并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行。本发明专利技术在虚拟机上安装微安全访问引擎MSAE和布式安全策略平台DSPP,可以清晰了解虚拟机集群的每台虚拟机的操作系统、安装软件组件、业务系统的详情,为每台虚拟机建立了安全策略,使各虚拟机之间的能安全的访问,实现面向虚拟机集群的安全。安全。安全。
【技术实现步骤摘要】
一种面向虚拟机集群的分布式网络安全方法
[0001]本专利技术涉及网络安全
,特别是指一种面向虚拟机集群的分布式网络安全方法。
技术介绍
[0002]随着云计算、虚拟化技术的快速发展,虚拟机使用越来越多。大多数业务系统迁移到了虚拟机里,运行在虚拟机集群环境中。云环境下的网络虚拟化技术,使虚拟机集群的网络边界变得模糊,虚拟机运行的业务系统和敏感数据面临严重的网络安全威胁。
[0003]虚拟机集群里的业务应用系统,由大单体的巨石型架构转变为三层业务架构或云原生业务架构,承载业务系统的虚拟机集群的流量模型是以各虚拟机之间的东西向流量为主,各个虚拟机之间可随意访问,缺少有效安全访问机制和安全策略防护手段。传统的边界安全设备仅能控制南北向流量,这种虚拟机集群的虚拟之间的东西流量则会绕过传统边界安全设备,虚拟机之间可以随意的访问,存在风险。
[0004]因为集群内的各个虚拟机之间是可以随意互相访问,所以集群内的虚拟机之间没有纵深防御体系,攻击者更容易开展东西向横向攻击。如有一台虚拟机被攻击者攻陷,那么攻击者就可以利用这台虚拟机作跳板,随意攻击虚拟机集群内的任意的其他虚拟机,带来严重的安全风险。当攻击者从炫耀技术,转变偷取并转卖客户重要数据、勒索赎金的利益追求,所以虚拟机群集内的各虚拟机之间要优先做安全访问控制,建立精细的安全策略体系,防止各个虚拟之间的随意访问。
[0005]虚拟机集群内的多种业务系统、生产与测试环境混合在一起没有合理的隔离,没有安全策略,带来严重的安全风险。
技术实现思路
<br/>[0006]针对上述
技术介绍
中存在的不足,本专利技术提出了一种面向虚拟机集群的分布式网络安全方法,解决了在虚拟机集群中各个虚拟机之间随意访问,造成安全风险的技术问题,为每台虚拟机建立了安全策略,使各虚拟机之间的能安全的访问,实现面向虚拟机集群的安全。
[0007]本专利技术的技术方案是这样实现的:一种面向虚拟机集群的分布式网络安全方法,搭建分布式安全策略平台DSPP,所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息,智能计算出每台虚拟机的安全访问的策略,并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行;安全策略的加载与执行的实现方法为:分布式安全策略平台DSPP为虚拟机集群内的所有虚拟机下发与各虚拟机的操作系统相对应的微安全访问引擎MSAE;在虚拟机上运行微安全访问引擎MSAE,得到虚拟机信息,微安全访问引擎MSAE对
虚拟机信息进行分类、归并、整合后,通过加密通信发送给分布式安全策略平台DSPP;分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据;以业务系统名称为初始标签建立虚拟机数据表,并录入虚拟机的结构化范式数据;制定包括源、目的、服务、时间段四个关键要素的安全策略模型,并使用贴近业务系统的自然语言的标签对新型的安全策略模型进行配置;其中,安全策略的动作为允许或阻断;根据制定好的安全策略模型,分析出每台虚拟机的安全策略明细,利用安全策略引擎模块对标签化安全策略模型进行矩阵转换和规则变形,转成为最终每台虚拟机可使用安全策略;安全策略平台DSPP对覆盖范围内的所有虚拟机建立连接,分别把每台虚拟机的安全策略进行数据封装,以消息形式发送每台虚拟机;每台虚拟机的微安全访问引擎MSAE收到安全策略后,进行消息校验,把安全策略进行预检查,加载执行安全策略;当虚拟机集群内的虚拟机之间发生网络访问时,虚拟机使用安全策略检测流量,根据安全策略的动作配置,允许或阻断流量。
[0008]所述分布式安全策略平台DSPP是控制管理组件,分布式安全策略平台DSPP内安装有微安全访问引擎MSAE的客户端;所述微安全访问引擎MSAE针对所有虚拟机的操作系统有不同的软件版本,全部微安全访问引擎MSAE的软件版本都被装载入分布式安全策略平台DSPP。
[0009]所述虚拟机信息包括虚拟机的基础信息、虚拟机的业务信息、业务系统开放服务的信息、虚拟机的流量;其中,虚拟机的基础信息包括主机名称、IP地址、操作系统版本及补丁、CPU使用情况、内存占用情况、磁盘信息;虚拟机的业务信息包括操作系统组件信息、WEB软件名称及版本信息、数据库软件名称及版本信息、中间件名称及版本信息;业务系统开放服务的信息包括业务的配置参数、服务端口、文件名称、进程信息;虚拟机的流量包括虚拟机的入方向的网络流量、出方向的网络流量。
[0010]所述分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据的方法为:分布式安全策略平台DSPP收到每台虚拟机的信息,对虚拟机集群里的所有虚拟机进行信息完整度、质量情况进行检验,把信息数据初加工,然后把集群内的所有虚拟机信息转化成结构化范式数据。
[0011]所述建立虚拟机数据表的方法为:根据每台虚拟机的软件组件、参数、开放的服务端口、进程、文件;以业务系统名称为初始标签,使用标签传播算法给业务系统的其它虚拟机,承载的业务系统的相同属性和不同属性的虚拟机,使用分层聚类算法划分出WEB、数据库、中间件不同的角色,绘制出完整的业务系统的图结构;每台虚拟机都有业务系统标签、角色标签、开放服务标签;以业务系统标签建立虚拟机数据表,并录入虚拟机相关信息数据,构建出虚拟机集群的基础数据。
[0012]所述安全策略模型是以每台虚拟机为安全策略基础,以每个服务为最小单元进行访问控制。
[0013]制定安全策略模型的目的标签、目的服务:每台虚拟机上的业务系统标签建立安
全策略目的标签的数据表,以服务标签建立安全作为安全策略的目的,开放服务标签作为安全策略的目的服务。
[0014]制定安全策略模型的源:对集群内所有虚拟机的网络流量的字段进行格式转换,源IP、源端口、目的IP、目的端口、协议、时间戳元数据以列数据形式保存,虚拟机集群内巨大流量数据进行快速写入库表;以“目的标签+目的服务”为节点,以源IP作为边,计算出访问的源IP集合,进行聚类分析,使用Community Detection算法,计算出源IP集合;根据源IP集合,关联分析出析对应的虚拟机的标签,作为安全策略的源。
[0015]制定安全策略模型的有效时间段:使用网络流量数据表,根据“业务标签+源标签”、“业务标签+目的标签\服务标签”,分析连接的时间序列分布;以端到端的连接为节点,使用Interval
‑
based和Frequency
‑
based结合的时间算法进行聚类分析,计算出安全策略的有效时间段,作为安全策略的时间项。
[0016]所述每台虚拟机可使用的安全策略的获得方法为:根据制定好的安全策略,安全策略引擎模块计算出安全策略的覆盖范围内的虚拟机,对安全策略的配置项源、目的、服务、时间段四个关键要素进行策略计算、策略关联分析,安全策略引擎模块依据每台虚拟机的属性,分析出每台虚拟机的每个服务的安全策略明细,引擎模块对标签化安全策略模型进行矩阵转换和规则变形,转成为最终每台虚拟机可使用的安全策略。
[0017]与现有技术相比本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种面向虚拟机集群的分布式网络安全方法,其特征在于,搭建分布式安全策略平台DSPP,所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息,智能计算出每台虚拟机的安全访问的策略,并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行;安全策略的加载与执行的实现方法为:分布式安全策略平台DSPP为虚拟机集群内的所有虚拟机下发与各虚拟机的操作系统相对应的微安全访问引擎MSAE;在虚拟机上运行微安全访问引擎MSAE,得到虚拟机信息,微安全访问引擎MSAE对虚拟机信息进行分类、归并、整合后,通过加密通信发送给分布式安全策略平台DSPP;分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据;以业务系统名称为初始标签建立虚拟机数据表,并录入虚拟机的结构化范式数据;制定包括源、目的、服务、时间段四个关键要素的安全策略模型,并使用贴近业务系统的自然语言的标签对新型的安全策略模型进行配置;其中,安全策略的动作为允许或阻断;根据制定好的安全策略模型,分析出每台虚拟机的安全策略明细,利用安全策略引擎模块对标签化安全策略模型进行矩阵转换和规则变形,转成为最终每台虚拟机可使用安全策略;安全策略平台DSPP对覆盖范围内的所有虚拟机建立连接,分别把每台虚拟机的安全策略进行数据封装,以消息形式发送每台虚拟机;每台虚拟机的微安全访问引擎MSAE收到安全策略后,进行消息校验,把安全策略进行预检查,加载执行安全策略;当虚拟机集群内的虚拟机之间发生网络访问时,虚拟机使用安全策略检测流量,根据安全策略的动作配置,允许或阻断流量。2.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法,其特征在于,所述分布式安全策略平台DSPP是控制管理组件,分布式安全策略平台DSPP内安装有微安全访问引擎MSAE的客户端;所述微安全访问引擎MSAE针对所有虚拟机的操作系统有不同的软件版本,全部微安全访问引擎MSAE的软件版本都被装载入分布式安全策略平台DSPP。3.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法,其特征在于,所述虚拟机信息包括虚拟机的基础信息、虚拟机的业务信息、业务系统开放服务的信息、虚拟机的流量;其中,虚拟机的基础信息包括主机名称、IP地址、操作系统版本及补丁、CPU使用情况、内存占用情况、磁盘信息;虚拟机的业务信息包括操作系统组件信息、WEB软件名称及版本信息、数据库软件名称及版本信息、中间件名称及版本信息;业务系统开放服务的信息包括业务的配置参数、服务端口、文件名称、进程信息;虚拟机的流量包括虚拟机的入方向的网络流量、出方向的网络流量。4.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法,其特征在于,所述分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据的方法为:分布式安全策略平台DSPP收到每台虚拟机的信息...
【专利技术属性】
技术研发人员:王子轩,王震,
申请(专利权)人:河南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。