云虛擬網絡中的入侵防御方法、裝置、網絡設備和系統的制作方法
【專利摘要】本發明公開了一種云虛擬網絡中的入侵防御方法，該方法包括：對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中；確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息；解析所述報警信息，并依據解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS；所述OpenFlow規則項用于OVS進行流量表的更新。本發明還同時公開了一種實現所述方法的網絡設備和系統。
【專利說明】
云虛擬網絡中的入侵防御方法、裝置、網絡設備和系統
技術領域
[0001]本發明涉及云虛擬網絡環境中的網絡安全技術，尤其涉及一種云虛擬網絡中的入侵防御方法、裝置、網絡設備和系統。
【背景技術】
[0002]傳統的入侵防御系統(IPS)適用于普通的網絡環境，但不適用于云虛擬網絡環境。為了解決該問題，現有提出了多種實現方案，其中包括:基于網絡交換模型OpenFlow和Snort的入侵防御系統，該系統由所述Snort執行相應的入侵檢測功能；所述OpenFlow用于動態地改變流量表，并轉發特定數據包到專用的Snort入侵檢測系統(IDS)以進行流量監控。
[0003]但是，上述現有提出的方案存在一些問題，例如:僅僅注重流量的管理，且所述Snort只可進行入侵檢測，并不能減輕入侵情況的發生，即:不能提供相應全面的入侵解決方案等等。總的來說，對于75Γ虛擬網絡環境，現有技術不能提供一個完整的、靈活的和尚效的入侵防御系統。

【發明內容】

[0004]為解決現有存在的技術問題，本發明實施例提供一種云虛擬網絡中的入侵防御方法、裝置、網絡設備和系統。
[0005]本發明實施例提供了一種云虛擬網絡中的入侵防御方法，該方法包括:
[0006]對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中；確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息；解析所述報警信息，并依據解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS ;所述OpenFlow規則項用于OVS進行流量表的更新。
[0007]在一個實施例中，所述更新流量表之后，該方法還包括:
[0008]監測到與所述更新的流量表中的表項相匹配的網絡流量時，在所述OVS的數據平面上以線速處理該網絡流量。
[0009]在一個實施例中，所述監測網絡流量之前，該方法還包括:
[0010]將所述云資源產生的網絡流量傳輸至所述0VS。
[0011]其中，所述生成報警信息的方法，包括:
[0012]確定所述日志文件中有網絡流量數據與Snort規則相匹配時，生成與該網絡流量數據對應的JSON格式的報警信息。
[0013]其中，所述解析報警信息后得到的數據至少包括:
[0014]攻擊類型、源IP地址，目的IP地址，TCP端口。
[0015]本發明實施例還提供了一種云虛擬網絡中的入侵防御裝置，所述裝置包括:流量監測模塊、告警模塊、解析模塊和規則生成模塊；其中，
[0016]所述流量監測模塊，用于對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中；
[0017]所述告警模塊，用于確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息；
[0018]所述解析模塊，用于解析所述報警信息；
[0019]所述規則生成模塊，用于依據所述解析模塊解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS ;所述OpenFlow規則項用于OVS進行流量表的更新。
[0020]在一個實施例中，所述裝置還包括:流量處理模塊；
[0021]所述流量監測模塊，還用于監測到與所述更新的流量表中的表項相匹配的網絡流量時，通知所述流量處理模塊；相應的，
[0022]所述流量處理模塊，用于收到所述流量監測模塊的通知后，在所述OVS的數據平面上以線速處理該網絡流量。
[0023]在一個實施例中，該裝置還包括:流量傳輸模塊，用于將所述云資源產生的網絡流量傳輸至所述OVS。
[0024]本發明實施例還提供了一種網絡設備，所述網絡設備包括:上文所述的云虛擬網絡中的入侵防御裝置。
[0025]本發明實施例還提供了一種云虛擬網絡中的入侵防御系統，該系統包括:上文所述的網絡設備以及若干虛擬機。
[0026]本發明實施例提供的云虛擬網絡中的入侵防御方法、裝置、網絡設備和系統，對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中；確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息；解析所述報警信息，并依據解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS ;所述OpenFlow規則項用于OVS進行流量表的更新。本發明實施例使用軟件定義網絡(SoftwareDefined Network, SDN)和入侵檢測系統的結合實現入侵防御系統，可依據網絡需要靈活設置OpenFlow規則項，從而依據生成的流量表對網絡中的可以流量進行有效隔離，實現了靈活、高效、動態地進行網絡攻擊的防御。
【附圖說明】
[0027]在附圖(其不一定是按比例繪制的)中，相似的附圖標記可在不同的視圖中描述相似的部件。具有不同字母后綴的相似附圖標記可表示相似部件的不同示例。附圖以示例而非限制的方式大體示出了本文中所討論的各個實施例。
[0028]圖1為本發明實施例所述云虛擬網絡中的入侵防御方法實現流程圖；
[0029]圖2為本發明實施例所述云虛擬網絡中的入侵防御裝置的結構示意圖；
[0030]圖3為本發明所述云虛擬網絡中的入侵防御方法實現的另一實施例的架構圖；
[0031]圖4為本發明另一實施例所述云虛擬網絡中的入侵防御方法實現流程圖。
【具體實施方式】
[0032]本發明的實施例中，對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中；確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息；解析所述報警信息，并依據解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS ;所述OpenFlow規則項用于OVS進行流量表的更新。
[0033]下面結合附圖及具體實施例對本發明作進一步詳細說明。
[0034]圖1為本發明實施例所述云虛擬網絡中的入侵防御方法實現流程圖，如圖1所示，該方法包括:
[0035]步驟101:對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中；
[0036]本發明實施例中，所述云資源可為:虛擬機等等。
[0037]步驟102:確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息；
[0038]步驟103:解析所述報警信息，并依據解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS ;所述OpenFlow規則項用于OVS進行流量表的更新。
[0039]本發明實施例使用軟件定義網絡(Software Defined Network, SDN)和入侵檢測系統的結合實現入侵防御系統，可依據網絡需要靈活設置OpenFlow規則項，從而依據生成的流量表對網絡中的可以流量進行有效隔離，實現了靈活、高效、動態地進行網絡攻擊的防御。
[0040]在本發明一個實施例中，所述更新流量表之后，該方法還包括:
[0041]監測到與所述更新的流量表中的表項相匹配的網絡流量時，在所述OVS的數據平面上以線速處理該網絡流量。
[0042]在本發明一個實施例中，所述監測網絡流量之前，該方法還包括:
[0043]將所述云資源產生的網絡流量傳輸至所述OVS ;例如:可經由與所述OVS的虛擬橋相連的虛擬接口(VIF)進行網絡流量的傳輸。
[0044]在本發明實施例中，所述生成報警信息的方法，包括:
[0045]確定所述日志文件中有網絡流量數據與Snort規則相匹配時，生成與該網絡流量數據對應的JSON格式的報警信息。
[0046]在本發明實施例中，所述解析報警信息后得到的數據至少包括:
[0047]攻擊類型、源IP地址，目的IP地址，TCP端口。
[0048]本發明實施例還提供了一種云虛擬網絡中的入侵防御裝置，如圖2所示，該裝置包括:流量監測模塊201、告警模塊202、解析模塊203和規則生成模塊204 ;其中，
[0049]所述流量監測模塊201，用于對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中；
[0050]本發明實施例中，所述云資源可為:虛擬機等等。
[0051]所述告警模塊202，用于確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息；
[0052]所述解析模塊203，用于解析所述報警信息；
[0053]所述規則生成模塊204，用于依據所述解析模塊203解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS ;所述OpenFlow規則項用于OVS進行流量表的更新。
[0054]本發明實施例使用軟件定義網絡(Software Defined Network, SDN)和入侵檢測系統的結合實現入侵防御系統，可依據網絡需要靈活設置OpenFlow規則項，從而依據生成的流量表對網絡中的可以流量進行有效隔離，實現了靈活、高效、動態地進行網絡攻擊的防御。
[0055]在本發明實施例中，所述告警模塊202生成報警信息的方法，包括:
[0056]確定所述日志文件中有網絡流量數據與Snort規則相匹配時，生成與該網絡流量數據對應的JSON格式的報警信息。
[0057]在本發明實施例中，所述解析報警信息后得到的數據至少包括:
[0058]攻擊類型、源IP地址，目的IP地址，TCP端口。
[0059]在本發明一個實施例中，所述裝置還包括:流量處理模塊205 ;
[0060]所述流量監測模塊201，還用于監測到與所述更新的流量表中的表項相匹配的網絡流量時，通知所述流量處理模塊205 ;相應的，
[0061]所述流量處理模塊205，用于收到所述流量監測模塊201的通知后，在所述OVS的數據平面上以線速處理該網絡流量。
[0062]在本發明一個實施例中，該裝置還包括:流量傳輸模塊206，用于將所述云資源產生的網絡流量傳輸至所述0VS。
[0063]在本發明實施例中，所述流量傳輸模塊206可為所述OVS的虛擬橋，以及與所述虛擬橋相連的虛擬接口(VIF)。
[0064]本發明實施例還提供了一種網絡設備，所述網絡設備包括上文所述的云虛擬網絡中的入侵防御裝置。
[0065]本發明實施例還提供了一種云虛擬網絡中的入侵防御系統，該系統包括上文所述的網絡設備以及若干虛擬機。
[0066]圖3為本發明所述云虛擬網絡中的入侵防御方法實現的另一實施例的架構圖，如圖3所示，本發明實施例可基于虛擬化服務器XenServer實現。在所述XenServer的云操作系統中有兩種類型的域，分別為:DOM O和DOM U0其中，所述DOM O是管理域，所述DOMU是用戶域。可設置其中一個DOM U專門用于存儲控制器以及日志，其他的DOM U則用于托管用戶的虛擬機(VM)。所有的DOM U資源由所述DOM O進行管理，且必須經由所述DOM O訪問硬件。
[0067]圖3中，所示OVS為純軟件實現OpenFlow的交換機。OVS通常是在云計算系統的管理域或特權域中實現。在本發明實施例中，OVS是在XenServer云計算系統的DOM O本地實現的。在同一物理服務器中的不同虛擬機(VM)之間的通信只需通過OVS進行管理和轉發。XenServer中的每個DOM O運行一個用戶空間進程(流量路徑)和一個內核空間模塊(快速路徑)。
[0068]在用戶空間中，有兩個模塊，分別為ovsdb服務器和0VS_SwitchD。所述ovsdb服務器是保持開關級配置的基于日志的數據庫；所述OVS-SwitchD模塊是OVS的核心，它支持多個獨立的數據通道。如圖3中所示，所述OVS-SwitchD能夠通過管理協議與ovsdb服務器進行通信，通過OpenFlow協議與控制器通信，并通過網絡鏈路與內核模塊通信。
[0069]在內核空間中，所述內核進行分組交換，查找和轉發，隧道封裝和解封裝等操作。每個虛擬機上的每個虛擬接口(VIF)與OVS的虛擬接口或端口相對應，與同一個數據通道相連的不同的虛擬接口被認為位于同一個交換機上。
[0070]Snort代理可通過基于XenServer的虛擬化架構的DOM O (特權域)或DOM U (非特權域)來實現。本發明實施例中，可將Snort代理設置在DOM O中，使得Snort代理可檢測到OVS中的數據通道。所有Snort代理產生的日志信息輸出到CSV文件中，使得所述控制器可以進行實時訪問。
[0071]所述控制器提供一個集中的視圖和控制云虛擬網絡。該控制器包含三個主要部分:SDNIPS守護進程，警報解釋器和規則發生器，圖3中未示出。其中，所述SDNIPS守護進程的功能與圖2中所述告警模塊202相似，主要是用于收集DOM O中的Snort代理，如:受控SDN設備0VS，生成的警報數據。該SDNIPS守護進程通過JSON消息的格式來實現，警報數據存儲在JSON消息中，JSON服務器在控制器側運行。所述警報解釋器的功能與圖2中所述解析模塊203相似，用于解析警報，并捕獲可疑流量。被解析出的原始警報數據可為:攻擊類型、源IP地址、目的IP地址和TCP端口等。已被解析和過濾的信息被傳遞給所述規則生成器，由規則生成器生成OpenFlow規則項，并注入到OpenFlow設備(OVS)以重新進行網絡配置。
[0072]圖4為本發明另一實施例所述云虛擬網絡中的入侵防御方法實現流程圖，如圖4所示，包括:
[0073]步驟401:云資源，如:虛擬機生成網絡流量；
[0074]步驟402:網絡流量由與OVS的虛擬橋連接的VIF傳輸至OVS ;
[0075]所述虛擬橋可看作虛擬交換機，那么，與相同的虛擬橋連接的所有的VIF則屬于同一網絡。
[0076]步驟403:Snort代理通過所述虛擬橋檢測網絡流量；
[0077]這比通過利用SPAN端口鏡像技術進行網絡流量的探測更有效。所述SPAN端口鏡像技術是在指定的端口復制所有的流量，并將所述流量轉發到一個流量探測工具用于監聽的專用端口上。
[0078]步驟404:確定與Snort規則相匹配的流量出現在日志文件中時，生成JSON格式的報警信息；
[0079]步驟405:解析所述報警信息；
[0080]解析后可得到如下必要的信息，例如:攻擊類型，源IP地址，目的IP，TCP端口等。
[0081]步驟406:生成OpenFlow規則項，并將它們推到OVS進行流量表的更新。
[0082]這樣，后續與所述更新的流量表中的表項相匹配的可疑流量將在OVS的數據平面以線速進行有效處理。
[0083]本領域內的技術人員應明白，本發明的實施例可提供為方法、系統、或計算機程序產品。因此，本發明可采用硬件實施例、軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本發明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器和光學存儲器等)上實施的計算機程序產品的形式。
[0084]本發明是參照根據本發明實施例的方法、設備(系統)、和計算機程序產品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0085]這些計算機程序指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品，該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
[0086]這些計算機程序指令也可裝載到計算機或其他可編程數據處理設備上，使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理，從而在計算機或其他可編程設備上執行的指令提供用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
[0087]以上所述，僅為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。
【主權項】
1.一種云虛擬網絡中的入侵防御方法，其特征在于，該方法包括: 對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中； 確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息； 解析所述報警信息，并依據解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS ;所述OpenFlow規則項用于OVS進行流量表的更新。2.根據權利要求1所述的方法，其特征在于，所述更新流量表之后，該方法還包括: 監測到與所述更新的流量表中的表項相匹配的網絡流量時，在所述OVS的數據平面上以線速處理該網絡流量。3.根據權利要求1所述的方法，其特征在于，所述監測網絡流量之前，該方法還包括: 將所述云資源產生的網絡流量傳輸至所述0VS。4.根據權利要求1所述的方法，其特征在于，所述生成報警信息的方法，包括: 確定所述日志文件中有網絡流量數據與Snort規則相匹配時，生成與該網絡流量數據對應的JSON格式的報警信息。5.根據權利要求1所述的方法，其特征在于，所述解析報警信息后得到的數據至少包括: 攻擊類型、源IP地址，目的IP地址，TCP端口。6.一種云虛擬網絡中的入侵防御裝置，其特征在于，所述裝置包括:流量監測模塊、告警模塊、解析模塊和規則生成模塊；其中， 所述流量監測模塊，用于對云資源產生的網絡流量進行監測，并將監測所得的網絡流量數據存儲于日志文件中； 所述告警模塊，用于確定所述日志文件中的網絡流量數據與Snort規則相匹配時，生成報警信息； 所述解析模塊，用于解析所述報警信息； 所述規則生成模塊，用于依據所述解析模塊解析所得的數據生成OpenFlow規則項，并將所述OpenFlow規則項發送到OVS ;所述OpenFlow規則項用于OVS進行流量表的更新。7.根據權利要求6所述的裝置，其特征在于，所述裝置還包括:流量處理模塊； 所述流量監測模塊，還用于監測到與所述更新的流量表中的表項相匹配的網絡流量時，通知所述流量處理模塊；相應的， 所述流量處理模塊，用于收到所述流量監測模塊的通知后，在所述OVS的數據平面上以線速處理該網絡流量。8.根據權利要求6所述的裝置，其特征在于，該裝置還包括:流量傳輸模塊，用于將所述云資源產生的網絡流量傳輸至所述0VS。9.一種網絡設備，其特征在于，所述網絡設備包括:權利要求6至8中任一項所述的云虛擬網絡中的入侵防御裝置。10.一種云虛擬網絡中的入侵防御系統，其特征在于，該系統包括:權利要求9中所述的網絡設備以及若干虛擬機。
【文檔編號】H04L29/08GK105871787SQ201510033289
【公開日】2016年8月17日
【申請日】2015年1月22日
【發明人】陳學波, 錢海洋
【申請人】中國移動通信集團公司