CN107800696B - 一种云平台虚拟交换机上通信伪造源识别方法 - Google Patents
一种云平台虚拟交换机上通信伪造源识别方法 Download PDFInfo
- Publication number
- CN107800696B CN107800696B CN201710994937.9A CN201710994937A CN107800696B CN 107800696 B CN107800696 B CN 107800696B CN 201710994937 A CN201710994937 A CN 201710994937A CN 107800696 B CN107800696 B CN 107800696B
- Authority
- CN
- China
- Prior art keywords
- information
- virtual switch
- port
- source
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及云计算网络安全技术领域,特别是一种云平台虚拟交换机上通信伪造源识别方法。本发明的方法包括如下步骤:(1)在虚拟交换机的端口上获取通信数据包的源mac地址、源IP地址等特征信息;(2)将特征信息按照时序关系依次存储在数据库中;(3)根据网络控制器的数据和检测方法,分析一段时间内特征信息记录集;如获得mac地址或IP地址伪造的记录;则将其识别为该虚拟交换机上对应端口存在伪造源的通信行为。通过本发明可以在一定程度上识别云平台虚拟交换机上伪造源的通信行为,提高云平台的网络安全监测能力。
Description
技术领域
本发明涉及云计算网络安全技术领域,特别一种云平台虚拟交换机上通信伪造源识别方法。
背景技术
随着云计算的发展,很多业务***迁移到虚拟化平台上,显得虚拟化平台的网络安全性尤为重要了。传统的方法是在虚拟化网络边界处检查网络是否收到攻击、病毒入侵的行为。但是对于虚拟化平台,在一个虚拟化平台内部的网络安全检查行为目前很少有好的方法;而且内部的网络通信占据了很重要的比重,是否可以着手于云平台上的虚拟交换机来检查通信的安全性呢?是值得研究的问题。
发明内容
本发明解决的技术问题是提供一种云平台虚拟交换机上通信伪造源识别方法,实现从云平台虚拟交换机角度来检查通信的安全性。
本发明解决上述技术问题的技术方案是:
所述的方法包括如下步骤:
(1)在虚拟交换机的端口上获取通信数据包的源mac地址、源IP地址、VLAN标识、端口号、虚拟交换机所在主机号、交换机标识特征信息;
(2)将特征信息按照时序关系依次存储在数据库中;
(3)根据网络控制器的数据和检测方法,分析一段时间内特征信息记录集;如获得mac地址或IP地址伪造的记录;则将其识别为该虚拟交换机上对应端口存在伪造源的通信行为;
所述的检测方法是,
(1)根据端口判断是内部端口或外部端口,
内部端口为:云平台虚拟机、容器、物理机的虚拟接口和虚拟交换机的对接端口;
外部端口为虚拟交换机与物理网卡接入、作为对外接入通信的接口,实现跨节点间的虚拟交换机之间或者云平台外部与内部通信的端口;
(2)对内部端口,则根据端口号所绑定的虚拟机、容器、物理机的虚拟接口信息,调用查询网络信息的API获取控制器中记录的网络IP、MAC地址信息,如果该IP、MAC和特征记录上的不一致,则判断该通信的IP和MAC记录属于伪造源通信;
(3)对外部端口,则根据特征记录上MAC和IP地址调用查询网络信息的API查询控制器上该IP和MAC是否存在;如果控制器上存在该信息,则在特征记录数据库中查询该时间附近的其他虚拟交换机上是否存在该MAC和IP特征记录,如果没有找到并且该MAC地址不是网关MAC地址,则判断该IP和MAC数据通信属于伪造的;如果该MAC地址为网关MAC地址,则转到(4)进行处理;
(4)该通信属于云平台外部和云平台内部的通信,借助第三方的检测工具来实现检测;包括朴素可信度模型的检测方法。
所述的虚拟交换机为OpenvSwitch;虚拟机、容器或物理机的网络数据交换经过虚拟交换机;虚拟机、容器或物理机的网络直接或间接建立在虚拟交换机的端口上。
所述的特征信息包含通信源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号、流量信息、交换机标识;其中,源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号信息由sflow协议采集获取。
所述的数据库以influxdb作为数据存储,定期清除超过阈值时间的特征信息记录,保证记录的时效性。
所述的网络控制器对外提供查询网络的信息API接口,存储了云平台上网络信息,其包含了mac、IP地址、VLAN信息、网络子网信息、绑定的虚拟机的虚拟接口信息。
所述的网络控制器对外提供查询网络的信息API接口,存储了云平台上网络信息,其包含了mac、IP地址、VLAN信息、网络子网信息、绑定的虚拟机的虚拟接口信息。
本发明方案的有益效果如下:
本发明的方法可以对云平台的虚拟交换机上的数据交换进行伪造源mac和ip地址通信的识别,特别是云平台内部伪造源通信的识别,提高了云平台上虚拟交换机通信的安全监测能力。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图。
具体实施方式
本文以OpenvSwitch为虚拟交换机,Neutron组件作为网络控制器为例,
1、获取OpenvSwitch端口的网络特征信息,以sflow协议作为数据包采集协议
sflow的采集和OpenvSwitch对接
vs-vsctl----id=@sflow create sflow agent=${AGENT_IP}\
target="${COLLECTOR_IP}:${COLLECTOR_PORT}"header=${HEADER_BYTES}\
sampling=${SAMPLING_N}polling=${POLLING_SECS}\
--set bridge br0 sflow=@sflow
其中Agent_IP为虚拟交换机上宿主机的IP,COLLECTOR_IP为收集器的IP
2、采集的特征信息存取到数据库中,本文以influxdb作为存储数据库为
例如***switch_records表记录
insert switch_records,host=node3216,port=12,mac=fa:16:3e:29:64:e7,ip=11.11.11.5,vlan=10,bridge=br-int bytes=1024
insert switch_records,host=node3216,port=1,mac=fa:16:3e:c3:04:97,ip=10.0.0.224,vlan=40,bridge=br-vlan bytes=2048
3、检查识别伪造源
(1)区分内、外部端口
以云平台管理虚拟机的网络为例进行说明,在宿主机上执行ovs-vsctl show命令,获取到如下输出
可以查看相关端口上,该aftBD913EAA端口与虚拟机连接,则为内部端口;
该eth0端口为外部端口。
(2)该aftBD913EAA为内部接口,则获取绑定的虚拟机的根据端口号所绑定的虚拟机uuidf04fc4ec-f1de-4210-a606-2977a48ac725的虚拟网络接口,其在控制器端上记录的IP和MAC地址为fa:16:3e:29:64:e7,ip地址为11.11.11.5,则该记录为合法通信;
(3)该eth0为外部端口,在控制器的数据中查询其MAC和IP fa:16:3e:c3:04:97,ip=10.0.0.224是否存在,存在该条记录,则在特征记录中其他主机上没有查询到该记录信息,则经过该eth0端口该条数据包属于伪造的。
Claims (7)
1.一种云平台虚拟交换机上通信伪造源识别方法,其特征在于,所述的方法包括如下步骤:
(1)在虚拟交换机的端口上获取通信数据包的源mac地址、源IP地址、VLAN标识、端口号、虚拟交换机所在主机号、交换机标识特征信息;
(2)将特征信息按照时序关系依次存储在数据库中;
(3)根据网络控制器的数据和检测方法,分析一段时间内特征信息记录集;如获得mac地址或IP地址伪造的记录;则将其识别为该虚拟交换机上对应端口存在伪造源的通信行为;
所述的检测方法是,
(1)根据端口判断是内部端口或外部端口,
内部端口为:云平台虚拟机、容器、物理机的虚拟接口和虚拟交换机的对接端口;
外部端口为虚拟交换机与物理网卡接入、作为对外接入通信的接口,实现跨节点间的虚拟交换机之间或者云平台外部与内部通信的端口;
(2)对内部端口,则根据端口号所绑定的虚拟机、容器、物理机的虚拟接口信息,调用查询网络信息的API获取控制器中记录的网络IP、MAC地址信息,如果该IP、MAC和特征记录上的不一致,则判断该通信的IP和MAC记录属于伪造源通信;
(3)对外部端口,则根据特征记录上MAC和IP地址调用查询网络信息的API查询控制器上该IP和MAC是否存在;如果控制器上存在该信息,则在特征记录数据库中查询该时间附近的其他虚拟交换机上是否存在该MAC和IP特征记录,如果没有找到并且该MAC地址不是网关MAC地址,则判断该IP和MAC数据通信属于伪造的;如果该MAC地址为网关MAC地址,则转到(4)进行处理;
(4)该通信属于云平台外部和云平台内部的通信,借助第三方的检测工具来实现检测;包括朴素可信度模型的检测方法。
2.根据权利要求1所述的方法,其特征在于,所述的虚拟交换机为OpenvSwitch;虚拟机、容器或物理机的网络数据交换经过虚拟交换机;虚拟机、容器或物理机的网络直接或间接建立在虚拟交换机的端口上。
3.根据权利要求1所述的方法,其特征在于,所述的特征信息包含通信源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号、流量信息、交换机标识;其中,源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号信息由sflow协议采集获取。
4.根据权利要求2所述的方法,其特征在于,所述的特征信息包含通信源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号、流量信息、交换机标识;其中,源mac地址、源IP地址、VLAN标识、虚拟交换机端口号、虚拟交换机主机号信息由sflow协议采集获取。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述的数据库以influxdb作为数据存储,定期清除超过阈值时间的特征信息记录,保证记录的时效性。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述的网络控制器对外提供查询网络的信息API接口,存储了云平台上网络信息,其包含了mac、IP地址、VLAN信息、网络子网信息、绑定的虚拟机的虚拟接口信息。
7.根据权利要求5所述的方法,其特征在于,所述的网络控制器对外提供查询网络的信息API接口,存储了云平台上网络信息,其包含了mac、IP地址、VLAN信息、网络子网信息、绑定的虚拟机的虚拟接口信息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710994937.9A CN107800696B (zh) | 2017-10-23 | 2017-10-23 | 一种云平台虚拟交换机上通信伪造源识别方法 |
PCT/CN2017/109595 WO2019080163A1 (zh) | 2017-10-23 | 2017-11-06 | 一种对云平台虚拟交换机伪造源通信的识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710994937.9A CN107800696B (zh) | 2017-10-23 | 2017-10-23 | 一种云平台虚拟交换机上通信伪造源识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107800696A CN107800696A (zh) | 2018-03-13 |
CN107800696B true CN107800696B (zh) | 2020-07-03 |
Family
ID=61533510
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710994937.9A Active CN107800696B (zh) | 2017-10-23 | 2017-10-23 | 一种云平台虚拟交换机上通信伪造源识别方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107800696B (zh) |
WO (1) | WO2019080163A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989086B (zh) * | 2018-06-20 | 2021-03-30 | 复旦大学 | OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104994094A (zh) * | 2015-07-01 | 2015-10-21 | 北京奇虎科技有限公司 | 基于虚拟交换机的虚拟化平台安全防护方法、装置和*** |
CN105429946A (zh) * | 2015-10-28 | 2016-03-23 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的防伪造ip的***及方法 |
CN105577548A (zh) * | 2014-10-10 | 2016-05-11 | 杭州华三通信技术有限公司 | 一种软件定义网络中报文处理方法和装置 |
CN105871787A (zh) * | 2015-01-22 | 2016-08-17 | ***通信集团公司 | 云虚拟网络中的入侵防御方法、装置、网络设备和*** |
CN106464596A (zh) * | 2014-06-03 | 2017-02-22 | 华为技术有限公司 | 开放流通信方法、***、控制器和业务网关 |
CN107104852A (zh) * | 2017-03-28 | 2017-08-29 | 深圳市神云科技有限公司 | 监控云平台虚拟网络环境的方法及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7870246B1 (en) * | 2005-08-30 | 2011-01-11 | Mcafee, Inc. | System, method, and computer program product for platform-independent port discovery |
US9306916B2 (en) * | 2013-12-25 | 2016-04-05 | Cavium, Inc. | System and a method for a remote direct memory access over converged ethernet |
US9497165B2 (en) * | 2015-03-26 | 2016-11-15 | International Business Machines Corporation | Virtual firewall load balancer |
CN105657081B (zh) * | 2016-04-07 | 2019-01-18 | 华为技术有限公司 | 提供dhcp服务的方法、装置及*** |
CN106878320A (zh) * | 2017-03-09 | 2017-06-20 | 郑州云海信息技术有限公司 | 一种防止ip地址欺骗的方法和装置 |
CN106961394A (zh) * | 2017-03-31 | 2017-07-18 | 联想(北京)有限公司 | 抑制交换机泛洪风暴的方法和装置 |
-
2017
- 2017-10-23 CN CN201710994937.9A patent/CN107800696B/zh active Active
- 2017-11-06 WO PCT/CN2017/109595 patent/WO2019080163A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106464596A (zh) * | 2014-06-03 | 2017-02-22 | 华为技术有限公司 | 开放流通信方法、***、控制器和业务网关 |
CN105577548A (zh) * | 2014-10-10 | 2016-05-11 | 杭州华三通信技术有限公司 | 一种软件定义网络中报文处理方法和装置 |
CN105871787A (zh) * | 2015-01-22 | 2016-08-17 | ***通信集团公司 | 云虚拟网络中的入侵防御方法、装置、网络设备和*** |
CN104994094A (zh) * | 2015-07-01 | 2015-10-21 | 北京奇虎科技有限公司 | 基于虚拟交换机的虚拟化平台安全防护方法、装置和*** |
CN105429946A (zh) * | 2015-10-28 | 2016-03-23 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的防伪造ip的***及方法 |
CN107104852A (zh) * | 2017-03-28 | 2017-08-29 | 深圳市神云科技有限公司 | 监控云平台虚拟网络环境的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107800696A (zh) | 2018-03-13 |
WO2019080163A1 (zh) | 2019-05-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101924757B (zh) | 追溯僵尸网络的方法和*** | |
US8904524B1 (en) | Detection of fast flux networks | |
CN111683097B (zh) | 一种基于两级架构的云网络流量监控*** | |
CN102594825A (zh) | 一种内网木马的检测方法和装置 | |
CN101399710A (zh) | 一种协议格式异常检测方法及*** | |
CN107888605A (zh) | 一种物联网云平台流量安全分析方法和*** | |
CN108737385A (zh) | 一种基于dns映射ip的恶意域名匹配方法 | |
CN109271793A (zh) | 物联网云平台设备类别识别方法及*** | |
CN107733867B (zh) | 一种发现僵尸网络及防护的方法、***和存储介质 | |
CN109587156A (zh) | 异常网络访问连接识别与阻断方法、***、介质和设备 | |
CN106899612A (zh) | 一种自动检测假冒主机arp欺骗的方法 | |
CN107040405A (zh) | 网络环境下被动式多维度主机指纹模型构建方法及其装置 | |
CN113542311A (zh) | 一种实时检测失陷主机并回溯的方法 | |
CN107800696B (zh) | 一种云平台虚拟交换机上通信伪造源识别方法 | |
CN104113880B (zh) | 数据流控制方法和*** | |
CN105763574A (zh) | 一种基于大数据分析的防火墙*** | |
CN111698168B (zh) | 消息处理方法、装置、存储介质及处理器 | |
CN109803030A (zh) | 一种匿名中间代理服务器及其通信方法 | |
CN113766046B (zh) | 迭代流量跟踪方法、dns服务器及计算机可读存储介质 | |
CN102724068A (zh) | 一种在IPv6混合网络中进行审计日志资产识别的方法 | |
CN110839045B (zh) | 一种电力监控***异常流量检测方法 | |
CN110661799B (zh) | 一种arp欺骗行为的检测方法及*** | |
KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
CN114153807A (zh) | 报文处理方法、装置、电子设备和计算机可读存储介质 | |
CN102957581A (zh) | 网络接入检测***和网络接入检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 523808 19th Floor, Cloud Computing Center, Chinese Academy of Sciences, No. 1 Kehui Road, Songshan Lake Hi-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee after: G-CLOUD TECHNOLOGY Co.,Ltd. Address before: 523808 Guangdong province Dongguan City Songshan Lake Science and Technology Industrial Park Building No. 14 Keyuan pine Patentee before: G-CLOUD TECHNOLOGY Co.,Ltd. |