本發(fā)明涉及云計算安全技術(shù)領(lǐng)域，特別是一種基于流規(guī)則實現(xiàn)云平臺防御網(wǎng)絡(luò)攻擊的方法。

背景技術(shù)：

目前越來越多的企事業(yè)單位構(gòu)建了自己的云平臺服務(wù)，客戶對云平臺的安全系數(shù)要求越來越高；通常都需要云平臺提供拒絕網(wǎng)絡(luò)攻擊服務(wù)。目前比較流行的云平臺防御網(wǎng)絡(luò)攻擊的方法是基于流量監(jiān)測和IPTABLE防火墻，另外也存在一些基于Openflow流規(guī)則實現(xiàn)安全防御的方法，總結(jié)這種方法或多或少都存在如下不足：

1)只能監(jiān)控外面對云平臺的網(wǎng)絡(luò)攻擊與防護，不能做到禁止有云平臺內(nèi)部發(fā)起的針對外面或者內(nèi)部的網(wǎng)絡(luò)攻擊；

2)防御粒度不足，只能做到物理服務(wù)節(jié)點的網(wǎng)絡(luò)攻擊防御，無法細粒度的區(qū)分外面對虛擬機，內(nèi)部對虛擬機，內(nèi)部對物理機的有效防御。

OVS流規(guī)則基于Openflow協(xié)議，其可以靈活的控制OVS虛擬網(wǎng)橋上的流表規(guī)則，當(dāng)將虛擬機的虛擬網(wǎng)絡(luò)接口和物理節(jié)點的網(wǎng)絡(luò)接口都接入到OVS虛擬網(wǎng)橋上時，可以實現(xiàn)對虛擬機和物理節(jié)點的統(tǒng)一管理。

技術(shù)實現(xiàn)要素：

本發(fā)明解決的技術(shù)問題在于提出了一種基于流規(guī)則實現(xiàn)云平臺防御網(wǎng)絡(luò)攻擊的方法，可以從多個維度為云平臺提供安全防護，包括防御外面攻擊云平臺內(nèi)部，防御云平臺里面攻擊外部以及防御云平臺內(nèi)部攻擊內(nèi)部等。

本發(fā)明解決上述技術(shù)問題的技術(shù)方案是：

包括如下步驟：

所述的方法包括：

針對OVS虛擬網(wǎng)橋啟動監(jiān)控告警服務(wù)；

設(shè)置數(shù)據(jù)包監(jiān)控規(guī)則、閾值與告警信息；

啟動OVS流管控服務(wù)，定時獲取告警信息、分析并生成流規(guī)則；

最后將生成的流規(guī)則注入到OVS流表。

所述的防御包括：

云平臺外面對云平臺內(nèi)物理節(jié)點或云服務(wù)器的網(wǎng)絡(luò)攻擊防御；

云平臺里面物理節(jié)點或云服務(wù)器對云平臺外面的網(wǎng)絡(luò)攻擊防御；

云平臺里面物理節(jié)點對云平臺里面物理節(jié)點或云服務(wù)器的攻擊防御；

云平臺里面云服務(wù)器對云平臺里面物理節(jié)點或云服務(wù)器的攻擊防御。

所述的針對OVS虛擬網(wǎng)橋啟動監(jiān)控告警服務(wù)，進一步包括：

針對云平臺啟動監(jiān)控告警服務(wù)；

針對云平臺上所管理的物理節(jié)點，為每一個OVS虛擬網(wǎng)橋按需啟動監(jiān)控告警AGENT；

所述監(jiān)控告警AGENT負責(zé)將OVS虛擬網(wǎng)橋上的網(wǎng)絡(luò)接口信息傳遞到監(jiān)控告警服務(wù)。

所述的數(shù)據(jù)包監(jiān)控規(guī)則包括TCP數(shù)據(jù)包監(jiān)控規(guī)則、UDP數(shù)據(jù)包監(jiān)控規(guī)則、ICMP數(shù)據(jù)包監(jiān)控規(guī)則和HTTP應(yīng)用數(shù)據(jù)包監(jiān)控規(guī)則；

所述的數(shù)據(jù)包監(jiān)控閾值是指設(shè)置一個網(wǎng)絡(luò)數(shù)據(jù)包的最大值，當(dāng)被監(jiān)控OVS橋上的網(wǎng)絡(luò)接口數(shù)據(jù)包達到或超過該值時進行告警；

所述的數(shù)據(jù)包監(jiān)控告警信息包括OVS網(wǎng)絡(luò)接口索引、數(shù)據(jù)包源IP地址和源端口、數(shù)據(jù)包目的IP地址和目的端口。

所述的數(shù)據(jù)包監(jiān)控規(guī)則進一步區(qū)分包括根據(jù)網(wǎng)絡(luò)流量帶寬監(jiān)控和根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)包個數(shù)監(jiān)控。

所述的OVS流管控服務(wù)負責(zé)與監(jiān)控告警服務(wù)通信、定時獲取告警信息并進行分析生成流規(guī)則；

所述的流規(guī)則是OVS虛擬網(wǎng)橋上的一條轉(zhuǎn)發(fā)規(guī)則，該轉(zhuǎn)發(fā)規(guī)則包括數(shù)據(jù)包比對規(guī)則和執(zhí)行動作；

所述的比對規(guī)則包括比對數(shù)據(jù)包的源IP地址、目的IP地址、源端口、目的端口、數(shù)據(jù)包協(xié)議類型；

所述的執(zhí)行動作包括丟棄、接受、轉(zhuǎn)發(fā)到下一跳。

所述的將生成的流規(guī)則注入到OVS流表是指向OVS流表添加流規(guī)則以防御網(wǎng)絡(luò)攻擊。

本發(fā)明方案的有益效果如下：

1、提供一種基于流規(guī)則實現(xiàn)云平臺防御網(wǎng)絡(luò)攻擊的方法，實現(xiàn)對云平臺物理節(jié)點和虛擬機安全防御的統(tǒng)一管理。

2、本發(fā)明方法不僅可以防御外面對云平臺里面的網(wǎng)絡(luò)攻擊，同時能保證云平臺內(nèi)部不會被當(dāng)作肉雞而發(fā)起對外和對內(nèi)的網(wǎng)絡(luò)攻擊。

附圖說明

下面結(jié)合附圖對本發(fā)明進一步說明：

圖1為本發(fā)明的流程圖；

圖2為本發(fā)明的模塊圖。

具體實施方式

如圖1、2所示，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整的描述。本發(fā)明以集成第三方監(jiān)控告警工具sflow-rt為例進行描述。

首先配置啟動監(jiān)控告警服務(wù)，主要配置服務(wù)啟動后監(jiān)聽端口8008及與監(jiān)控AGENT通信端口6344，如下所示：

[root@gcloud02116 sflow-rt]#cat start.sh

RT_OPTS＝″-Dsflow.port＝6344-Dhttp.port＝8008″

[root@gcloud02116 sflow-rt]#./start.sh&

針對節(jié)點OVS虛擬網(wǎng)橋br-int和br-vlan分別啟動監(jiān)控AGENT，指定其通信服務(wù)端端口為6344，具體執(zhí)行如下命令：

#ovs-vsctl-- --id＝@sflow create sflow agent＝eucabr target＝\″20.251.2.116：6344\″header＝128 sampling＝5 polling＝1--set bridge br-vlan sflow＝@sflow

#ovs-vsctl-- --id＝@sflow create sflow agent＝eucabr target＝\″20.251.2.116：6344\″header＝128 sampling＝5 polling＝1--set bridge br-int sflow＝@sflow

其中物理節(jié)點的物理網(wǎng)卡接口接入到br-vlan與外面進行通信，虛擬機的虛擬網(wǎng)絡(luò)接口統(tǒng)一接入到br-int，br-vlan與br-int之間通過veth peer進行關(guān)聯(lián)。

調(diào)用sflow-rt接口針對網(wǎng)絡(luò)攻擊特性對網(wǎng)絡(luò)接口的網(wǎng)絡(luò)數(shù)據(jù)包帶寬設(shè)置閾值，這里設(shè)置方法集成進流管控服務(wù)，這里僅以python編寫的一段關(guān)于TCP網(wǎng)絡(luò)攻擊的管控代碼：

如上代碼展示得是TCP相關(guān)的監(jiān)控規(guī)則、閾值設(shè)置和調(diào)用監(jiān)控告警服務(wù)獲取并分析告警信息，根據(jù)分析后的結(jié)果進一步調(diào)用程序去生成流規(guī)則并注入OVS虛擬網(wǎng)橋。

進一步的生成流規(guī)則并注入規(guī)則代碼如下：

以上所揭露的僅僅是針對外面對物理節(jié)點TCP類型的網(wǎng)絡(luò)攻擊防護，其僅為本發(fā)明其中一個實施例而已，其他實施例類似。當(dāng)然不能以此實施例來限定本發(fā)明之權(quán)利范圍，因此依本發(fā)明權(quán)利要求所作的等同變化，仍屬本發(fā)明所涵蓋的范圍。