基于OpenFlow的IaaS云安全状态转移分析系统的制作方法
【专利摘要】本发明提供一种基于OpenFlow的IaaS云安全状态转移分析系统,属于云计算安全领域,本系统包括事件监控模块,数据采集模块,数据库,安全性评估模块,总控模块。在一个像云计算IaaS这样的动态环境下也能在面临安全问题时自动执行减灾和恢复的策略。
【专利说明】
基于OpenF I ow的I aaS云安全状态转移分析系统
技术领域
[0001 ]本发明涉及云计算安全技术,尤其涉及一种基于OpenFlow的IaaS云安全状态转移分析系统。
【背景技术】
[0002](I)云安全背景
基于学术研究分析,云计算的安全问题涉及很多不同的领域。认证、授权和计费的处理方式也将受到很大的影响:安全威胁往往起源于内部用户,所以往往按照明确的全局策略,只允许有认证的用户才能访问指定资源。与平台资源相关的用户行为应该被监管以便进一步分析处理违反策略的行为。另一个重要的工作就是管理安全策略,来保证整个云数据存储的可用性、完整性和保密性。在这种情况下,先进的加密方案可以用来保证只有指定的认证用户才能在云数据存储中访问、修改和删除信息。
[0003]虚拟技术是IaaS模型的核心,它正迅速的改变网络安全的需求。但是同时虚拟层也带来了新的安全挑战,因为虚拟客户端很容易被入侵并且损坏其他虚拟机。所以其中一个可能的补救措施就是检查虚拟机行为,同时,检查虚拟机的镜像来核实他们的完整性。
[0004](2)0penFlow 和 SDN 模式
基于软件定义网络(SDN)实现虚拟化实验平台网络处理和配置的方式,是一种对网络新的认知方式。OpenFlow是这种途径的一个实现方式,包括了控制层和数据层之间的接口,定义了所有通过建立在网络交换机和外部控制器之间的安全通道信息,从而按照信息流来决定逻辑顺序。如今SDN对云计算网络服务十分有吸引力,因为它代表了一种灵活的动态创建虚拟网络的方法,并保证多租户的二层隔离。
【发明内容】
[0005]针对当前云环境中存在的安全威胁,本发明提出了一种基于OpenFlow的IaaS云安全状态转移分析系统,这样可以使网络得到极大地灵活性,确保动态安全策略的实施,而不需要改变网络组件的内部结构。从而可以在IaaS这样的云计算动态环境下也能在面临安全问题时自动执行减灾和恢复的策略。
[0006]首先建立关于系统属性的各因素多级递阶结构,再按照规定准则对每一层次上的因素进行逐对比较,得到其关于上一层次因素重要性比较的标度,建立判断矩阵进而通过计算判断矩阵的特征值和特征向量,得到各层次因素关于上一层次各因素的相对权重,层次单排序权值,并可自上而下地用上一层次各因素的相对权重加权求和,求出各层次因素关于系统整体属性的综合重要度,层次总排序权值,最后通过排序结果分析。
[0007]本发明包括如下模块:
(1)事件监控模块,负责通知数据采集模块系统遭到攻击,实现实时采集;
(2)数据采集模块,负责完成各种评估数据的在线采集;数据采集代理要有较高的执行效率,尽可能少地消耗系统和网络资源,它包括完榷性、可知判断矩阵具有数据采集模块防御性破坏数据采集模块。网络性能采集模块和网络端系统数据采集模块;
(3)数据库,用来存储采集到的网络信息及主机信息,为安全状态评估模块提供数据;
(4)安全性评估模块,主要是根据所采集的数据,使用评估算法计算实际的安全性能;由原始数据处理、评估算法和结果显示组成;
(5)总控模块,负责整个系统的运行调度,是本系统和用户的交互界面。
[0008]本发明的有益效果是
(1)可以在控制层之上创建自己的应用,与网络设备完全隔离开来。因此可以写入新的协议或应用程序,而不会影响设备的内部结构;
(2)SDN涉及网络本身的全局视图可用性,所以很容易对事件做出反应,并且改变拓扑。
[0009]OpenFlow可以使网络得到极大地灵活性,确保动态安全策略的实施,而不需要改变网络组件的内部结构的,这也是OpenFlow被认为是一种面对漏洞的有效手段,即使是在一个像云计算IaaS这样的动态环境下也能在面临安全问题时自动执行减灾和恢复的策略。
【附图说明】
[0010]图1是本发明的整体框架示意图。
【具体实施方式】
[0011]面对本发明的内容进行更加详细的阐述:
架构主要从三个不同的层来分析,云层展示了两个数据中心,位置上通过一个私有企业的骨干网连接,每个数据中心都有自己的IaaS集群,并有一个主节点用于负责管理所有的基础设施。在虚拟层,视图是独立于一个部署在数据中心的特定平台,关于组织架构,每一个物理机,即“计算”节点,仓Il建一个虚拟交换挂载所有的客户机网络接口。在虚拟交换层,使用OpenvSwi tch技术,提供一个套功能,其中的OpenFlow协议可以实现,交换机的流表通过OpenFl ow的控制器编程。
[0012]安全状态评估是通过对遭受到攻击或发生故障的网络系统的安全属性值(即真实性、机密性、完整性、抗否认性、可控性和可用性)进行估算,并得出量化结果,从而对系统的安全状态进行评估。当安全故障发生时,通过对信息系统的安全状态评估,可更加合理、科学地制定安全策略,并及时地做出响应,从而有效地提高网络系统的安全性和可生存性。采用层次分析的方法评估系统安全状态。最上层是目标层,然后是准则层和子准则,子准则是对准则的再分解。
[0013]根据系统的具体性和目标要求,首先建立关于系统属性的各因素多级递阶结构,再按照某一规定准则对每一层次上的因素进行逐对比较,得到其关于上一层次因素重要性比较的标度,建立判断矩阵进而通过计算判断矩阵的特征值和特征向量,得到各层次因素关于上一层次各因素的相对权重,层次单排序权值,并可自上而下地用上一层次各因素的相对权重加权求和,求出各层次因素关于系统整体属性的综合重要度,层次总排序权值,最后通过排序结果分析。
[0014]各模块功能如下:
(I)事件监控模块负责通知数据采集模块系统遭到攻击,实现实时采集。
[0015](2)数据采集模块负责完成各种评估数据的在线采集。数据采集代理要有较高的执行效率,尽可能少地消耗系统和网络资源,它包括完榷性、可知判断矩阵具有数据采集模块防御性破坏数据采集模块。网络性能采集模块和网络端系统数据采集模块。
[0016](3)数据库用来存储采集到的网络信息及主机信息,为安全状态评估模块提供数据。
[0017](4)安全性评估模块主要是根据所采集的数据,使用评估算法计算实际的安全性能。由原始数据处理、评估算法和结果显示组成。
[0018](5)总控模块负责整个系统的运行调度,是本系统和用户的交互界面。
[0019]策略将由与IaaS的管理器和OpenFlow控制器交互触发,当一个虚拟试验平台遭到攻击被检测出来后,我们打算实施的策略主要是把被攻击的VM迀移到相同基础设施但不同的数据中心里,迀移完成后,关联器可以指示控制器改变客户之前托管的物理节点中虚拟交换机的信息流,以保证位置的透明度。
【主权项】
1.基于OpenFlow的IaaS云安全状态转移分析系统,其特征在于 包括如下模块: (1)事件监控模块,负责通知数据采集模块系统遭到攻击,实现实时采集; (2)数据采集模块,负责完成各种评估数据的在线采集; (3)数据库,用来存储采集到的网络信息及主机信息,为安全状态评估模块提供数据; (4)安全性评估模块,主要是根据所采集的数据,使用评估算法计算实际的安全性能; (5)总控模块,负责整个系统的运行调度,是本系统和用户的交互界面。2.根据权利要求1所述的分析系统,其特征在于,数据采集代理要有较高的执行效率,尽可能少地消耗系统和网络资源,它包括完榷性、可知判断矩阵具有数据采集模块防御性破坏数据采集模块;网络性能采集模块和网络端系统数据采集模块。3.根据权利要求1所述的分析系统,其特征在于,安全性评估模块由原始数据处理、评估算法和结果显示组成。
【文档编号】H04L29/08GK105871865SQ201610263310
【公开日】2016年8月17日
【申请日】2016年4月26日
【发明人】戴鸿君, 于治楼, 郝虹
【申请人】浪潮集团有限公司