基于OpenFlow的IaaS云安全狀態(tài)轉(zhuǎn)移分析系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種基于OpenFlow的IaaS云安全狀態(tài)轉(zhuǎn)移分析系統(tǒng)，屬于云計(jì)算安全領(lǐng)域，本系統(tǒng)包括事件監(jiān)控模塊，數(shù)據(jù)采集模塊，數(shù)據(jù)庫，安全性評(píng)估模塊，總控模塊。在一個(gè)像云計(jì)算IaaS這樣的動(dòng)態(tài)環(huán)境下也能在面臨安全問題時(shí)自動(dòng)執(zhí)行減災(zāi)和恢復(fù)的策略。
【專利說明】
基于OpenF I ow的I aaS云安全狀態(tài)轉(zhuǎn)移分析系統(tǒng)
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及云計(jì)算安全技術(shù)，尤其涉及一種基于OpenFlow的IaaS云安全狀態(tài)轉(zhuǎn)移分析系統(tǒng)。
【背景技術(shù)】
[0002](I)云安全背景
基于學(xué)術(shù)研究分析，云計(jì)算的安全問題涉及很多不同的領(lǐng)域。認(rèn)證、授權(quán)和計(jì)費(fèi)的處理方式也將受到很大的影響:安全威脅往往起源于內(nèi)部用戶，所以往往按照明確的全局策略，只允許有認(rèn)證的用戶才能訪問指定資源。與平臺(tái)資源相關(guān)的用戶行為應(yīng)該被監(jiān)管以便進(jìn)一步分析處理違反策略的行為。另一個(gè)重要的工作就是管理安全策略，來保證整個(gè)云數(shù)據(jù)存儲(chǔ)的可用性、完整性和保密性。在這種情況下，先進(jìn)的加密方案可以用來保證只有指定的認(rèn)證用戶才能在云數(shù)據(jù)存儲(chǔ)中訪問、修改和刪除信息。
[0003]虛擬技術(shù)是IaaS模型的核心，它正迅速的改變網(wǎng)絡(luò)安全的需求。但是同時(shí)虛擬層也帶來了新的安全挑戰(zhàn)，因?yàn)樘摂M客戶端很容易被入侵并且損壞其他虛擬機(jī)。所以其中一個(gè)可能的補(bǔ)救措施就是檢查虛擬機(jī)行為，同時(shí)，檢查虛擬機(jī)的鏡像來核實(shí)他們的完整性。
[0004](2)0penFlow 和 SDN 模式
基于軟件定義網(wǎng)絡(luò)(SDN)實(shí)現(xiàn)虛擬化實(shí)驗(yàn)平臺(tái)網(wǎng)絡(luò)處理和配置的方式，是一種對(duì)網(wǎng)絡(luò)新的認(rèn)知方式。OpenFlow是這種途徑的一個(gè)實(shí)現(xiàn)方式，包括了控制層和數(shù)據(jù)層之間的接口，定義了所有通過建立在網(wǎng)絡(luò)交換機(jī)和外部控制器之間的安全通道信息，從而按照信息流來決定邏輯順序。如今SDN對(duì)云計(jì)算網(wǎng)絡(luò)服務(wù)十分有吸引力，因?yàn)樗砹艘环N靈活的動(dòng)態(tài)創(chuàng)建虛擬網(wǎng)絡(luò)的方法，并保證多租戶的二層隔離。

【發(fā)明內(nèi)容】

[0005]針對(duì)當(dāng)前云環(huán)境中存在的安全威脅，本發(fā)明提出了一種基于OpenFlow的IaaS云安全狀態(tài)轉(zhuǎn)移分析系統(tǒng)，這樣可以使網(wǎng)絡(luò)得到極大地靈活性，確保動(dòng)態(tài)安全策略的實(shí)施，而不需要改變網(wǎng)絡(luò)組件的內(nèi)部結(jié)構(gòu)。從而可以在IaaS這樣的云計(jì)算動(dòng)態(tài)環(huán)境下也能在面臨安全問題時(shí)自動(dòng)執(zhí)行減災(zāi)和恢復(fù)的策略。
[0006]首先建立關(guān)于系統(tǒng)屬性的各因素多級(jí)遞階結(jié)構(gòu)，再按照規(guī)定準(zhǔn)則對(duì)每一層次上的因素進(jìn)行逐對(duì)比較，得到其關(guān)于上一層次因素重要性比較的標(biāo)度，建立判斷矩陣進(jìn)而通過計(jì)算判斷矩陣的特征值和特征向量，得到各層次因素關(guān)于上一層次各因素的相對(duì)權(quán)重，層次單排序權(quán)值，并可自上而下地用上一層次各因素的相對(duì)權(quán)重加權(quán)求和，求出各層次因素關(guān)于系統(tǒng)整體屬性的綜合重要度，層次總排序權(quán)值，最后通過排序結(jié)果分析。
[0007]本發(fā)明包括如下模塊:
(1)事件監(jiān)控模塊，負(fù)責(zé)通知數(shù)據(jù)采集模塊系統(tǒng)遭到攻擊，實(shí)現(xiàn)實(shí)時(shí)采集；
(2)數(shù)據(jù)采集模塊，負(fù)責(zé)完成各種評(píng)估數(shù)據(jù)的在線采集;數(shù)據(jù)采集代理要有較高的執(zhí)行效率，盡可能少地消耗系統(tǒng)和網(wǎng)絡(luò)資源，它包括完榷性、可知判斷矩陣具有數(shù)據(jù)采集模塊防御性破壞數(shù)據(jù)采集模塊。網(wǎng)絡(luò)性能采集模塊和網(wǎng)絡(luò)端系統(tǒng)數(shù)據(jù)采集模塊；
(3)數(shù)據(jù)庫，用來存儲(chǔ)采集到的網(wǎng)絡(luò)信息及主機(jī)信息，為安全狀態(tài)評(píng)估模塊提供數(shù)據(jù)；
(4)安全性評(píng)估模塊，主要是根據(jù)所采集的數(shù)據(jù)，使用評(píng)估算法計(jì)算實(shí)際的安全性能；由原始數(shù)據(jù)處理、評(píng)估算法和結(jié)果顯示組成；
(5)總控模塊，負(fù)責(zé)整個(gè)系統(tǒng)的運(yùn)行調(diào)度，是本系統(tǒng)和用戶的交互界面。
[0008]本發(fā)明的有益效果是
(1)可以在控制層之上創(chuàng)建自己的應(yīng)用，與網(wǎng)絡(luò)設(shè)備完全隔離開來。因此可以寫入新的協(xié)議或應(yīng)用程序，而不會(huì)影響設(shè)備的內(nèi)部結(jié)構(gòu)；
(2)SDN涉及網(wǎng)絡(luò)本身的全局視圖可用性，所以很容易對(duì)事件做出反應(yīng)，并且改變拓?fù)洹?br>[0009]OpenFlow可以使網(wǎng)絡(luò)得到極大地靈活性，確保動(dòng)態(tài)安全策略的實(shí)施，而不需要改變網(wǎng)絡(luò)組件的內(nèi)部結(jié)構(gòu)的，這也是OpenFlow被認(rèn)為是一種面對(duì)漏洞的有效手段，即使是在一個(gè)像云計(jì)算IaaS這樣的動(dòng)態(tài)環(huán)境下也能在面臨安全問題時(shí)自動(dòng)執(zhí)行減災(zāi)和恢復(fù)的策略。
【附圖說明】
[0010]圖1是本發(fā)明的整體框架示意圖。
【具體實(shí)施方式】
[0011]面對(duì)本發(fā)明的內(nèi)容進(jìn)行更加詳細(xì)的闡述:
架構(gòu)主要從三個(gè)不同的層來分析，云層展示了兩個(gè)數(shù)據(jù)中心，位置上通過一個(gè)私有企業(yè)的骨干網(wǎng)連接，每個(gè)數(shù)據(jù)中心都有自己的IaaS集群，并有一個(gè)主節(jié)點(diǎn)用于負(fù)責(zé)管理所有的基礎(chǔ)設(shè)施。在虛擬層，視圖是獨(dú)立于一個(gè)部署在數(shù)據(jù)中心的特定平臺(tái)，關(guān)于組織架構(gòu)，每一個(gè)物理機(jī)，即“計(jì)算”節(jié)點(diǎn)，倉Il建一個(gè)虛擬交換掛載所有的客戶機(jī)網(wǎng)絡(luò)接口。在虛擬交換層，使用OpenvSwi tch技術(shù)，提供一個(gè)套功能，其中的OpenFlow協(xié)議可以實(shí)現(xiàn)，交換機(jī)的流表通過OpenFl ow的控制器編程。
[0012]安全狀態(tài)評(píng)估是通過對(duì)遭受到攻擊或發(fā)生故障的網(wǎng)絡(luò)系統(tǒng)的安全屬性值(即真實(shí)性、機(jī)密性、完整性、抗否認(rèn)性、可控性和可用性)進(jìn)行估算，并得出量化結(jié)果，從而對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行評(píng)估。當(dāng)安全故障發(fā)生時(shí)，通過對(duì)信息系統(tǒng)的安全狀態(tài)評(píng)估，可更加合理、科學(xué)地制定安全策略，并及時(shí)地做出響應(yīng)，從而有效地提高網(wǎng)絡(luò)系統(tǒng)的安全性和可生存性。采用層次分析的方法評(píng)估系統(tǒng)安全狀態(tài)。最上層是目標(biāo)層，然后是準(zhǔn)則層和子準(zhǔn)則，子準(zhǔn)則是對(duì)準(zhǔn)則的再分解。
[0013]根據(jù)系統(tǒng)的具體性和目標(biāo)要求，首先建立關(guān)于系統(tǒng)屬性的各因素多級(jí)遞階結(jié)構(gòu)，再按照某一規(guī)定準(zhǔn)則對(duì)每一層次上的因素進(jìn)行逐對(duì)比較，得到其關(guān)于上一層次因素重要性比較的標(biāo)度，建立判斷矩陣進(jìn)而通過計(jì)算判斷矩陣的特征值和特征向量，得到各層次因素關(guān)于上一層次各因素的相對(duì)權(quán)重，層次單排序權(quán)值，并可自上而下地用上一層次各因素的相對(duì)權(quán)重加權(quán)求和，求出各層次因素關(guān)于系統(tǒng)整體屬性的綜合重要度，層次總排序權(quán)值，最后通過排序結(jié)果分析。
[0014]各模塊功能如下:
(I)事件監(jiān)控模塊負(fù)責(zé)通知數(shù)據(jù)采集模塊系統(tǒng)遭到攻擊，實(shí)現(xiàn)實(shí)時(shí)采集。
[0015](2)數(shù)據(jù)采集模塊負(fù)責(zé)完成各種評(píng)估數(shù)據(jù)的在線采集。數(shù)據(jù)采集代理要有較高的執(zhí)行效率，盡可能少地消耗系統(tǒng)和網(wǎng)絡(luò)資源，它包括完榷性、可知判斷矩陣具有數(shù)據(jù)采集模塊防御性破壞數(shù)據(jù)采集模塊。網(wǎng)絡(luò)性能采集模塊和網(wǎng)絡(luò)端系統(tǒng)數(shù)據(jù)采集模塊。
[0016](3)數(shù)據(jù)庫用來存儲(chǔ)采集到的網(wǎng)絡(luò)信息及主機(jī)信息，為安全狀態(tài)評(píng)估模塊提供數(shù)據(jù)。
[0017](4)安全性評(píng)估模塊主要是根據(jù)所采集的數(shù)據(jù)，使用評(píng)估算法計(jì)算實(shí)際的安全性能。由原始數(shù)據(jù)處理、評(píng)估算法和結(jié)果顯示組成。
[0018](5)總控模塊負(fù)責(zé)整個(gè)系統(tǒng)的運(yùn)行調(diào)度，是本系統(tǒng)和用戶的交互界面。
[0019]策略將由與IaaS的管理器和OpenFlow控制器交互觸發(fā)，當(dāng)一個(gè)虛擬試驗(yàn)平臺(tái)遭到攻擊被檢測出來后，我們打算實(shí)施的策略主要是把被攻擊的VM迀移到相同基礎(chǔ)設(shè)施但不同的數(shù)據(jù)中心里，迀移完成后，關(guān)聯(lián)器可以指示控制器改變客戶之前托管的物理節(jié)點(diǎn)中虛擬交換機(jī)的信息流，以保證位置的透明度。
【主權(quán)項(xiàng)】
1.基于OpenFlow的IaaS云安全狀態(tài)轉(zhuǎn)移分析系統(tǒng)，其特征在于 包括如下模塊: (1)事件監(jiān)控模塊，負(fù)責(zé)通知數(shù)據(jù)采集模塊系統(tǒng)遭到攻擊，實(shí)現(xiàn)實(shí)時(shí)采集； (2)數(shù)據(jù)采集模塊，負(fù)責(zé)完成各種評(píng)估數(shù)據(jù)的在線采集； (3)數(shù)據(jù)庫，用來存儲(chǔ)采集到的網(wǎng)絡(luò)信息及主機(jī)信息，為安全狀態(tài)評(píng)估模塊提供數(shù)據(jù)； (4)安全性評(píng)估模塊，主要是根據(jù)所采集的數(shù)據(jù)，使用評(píng)估算法計(jì)算實(shí)際的安全性能； (5)總控模塊，負(fù)責(zé)整個(gè)系統(tǒng)的運(yùn)行調(diào)度，是本系統(tǒng)和用戶的交互界面。2.根據(jù)權(quán)利要求1所述的分析系統(tǒng)，其特征在于，數(shù)據(jù)采集代理要有較高的執(zhí)行效率，盡可能少地消耗系統(tǒng)和網(wǎng)絡(luò)資源，它包括完榷性、可知判斷矩陣具有數(shù)據(jù)采集模塊防御性破壞數(shù)據(jù)采集模塊;網(wǎng)絡(luò)性能采集模塊和網(wǎng)絡(luò)端系統(tǒng)數(shù)據(jù)采集模塊。3.根據(jù)權(quán)利要求1所述的分析系統(tǒng)，其特征在于，安全性評(píng)估模塊由原始數(shù)據(jù)處理、評(píng)估算法和結(jié)果顯示組成。
【文檔編號(hào)】H04L29/08GK105871865SQ201610263310
【公開日】2016年8月17日
【申請(qǐng)日】2016年4月26日
【發(fā)明人】戴鴻君, 于治樓, 郝虹
【申請(qǐng)人】浪潮集團(tuán)有限公司