一种基于流规则实现云平台防御网络攻击的方法与流程

本发明涉及云计算安全技术领域，特别是一种基于流规则实现云平台防御网络攻击的方法。

背景技术：

目前越来越多的企事业单位构建了自己的云平台服务，客户对云平台的安全系数要求越来越高；通常都需要云平台提供拒绝网络攻击服务。目前比较流行的云平台防御网络攻击的方法是基于流量监测和IPTABLE防火墙，另外也存在一些基于Openflow流规则实现安全防御的方法，总结这种方法或多或少都存在如下不足：

1)只能监控外面对云平台的网络攻击与防护，不能做到禁止有云平台内部发起的针对外面或者内部的网络攻击；

2)防御粒度不足，只能做到物理服务节点的网络攻击防御，无法细粒度的区分外面对虚拟机，内部对虚拟机，内部对物理机的有效防御。

OVS流规则基于Openflow协议，其可以灵活的控制OVS虚拟网桥上的流表规则，当将虚拟机的虚拟网络接口和物理节点的网络接口都接入到OVS虚拟网桥上时，可以实现对虚拟机和物理节点的统一管理。

技术实现要素：

本发明解决的技术问题在于提出了一种基于流规则实现云平台防御网络攻击的方法，可以从多个维度为云平台提供安全防护，包括防御外面攻击云平台内部，防御云平台里面攻击外部以及防御云平台内部攻击内部等。

本发明解决上述技术问题的技术方案是：

包括如下步骤：

所述的方法包括：

针对OVS虚拟网桥启动监控告警服务；

设置数据包监控规则、阈值与告警信息；

启动OVS流管控服务，定时获取告警信息、分析并生成流规则；

最后将生成的流规则注入到OVS流表。

所述的防御包括：

云平台外面对云平台内物理节点或云服务器的网络攻击防御；

云平台里面物理节点或云服务器对云平台外面的网络攻击防御；

云平台里面物理节点对云平台里面物理节点或云服务器的攻击防御；

云平台里面云服务器对云平台里面物理节点或云服务器的攻击防御。

所述的针对OVS虚拟网桥启动监控告警服务，进一步包括：

针对云平台启动监控告警服务；

针对云平台上所管理的物理节点，为每一个OVS虚拟网桥按需启动监控告警AGENT；

所述监控告警AGENT负责将OVS虚拟网桥上的网络接口信息传递到监控告警服务。

所述的数据包监控规则包括TCP数据包监控规则、UDP数据包监控规则、ICMP数据包监控规则和HTTP应用数据包监控规则；

所述的数据包监控阈值是指设置一个网络数据包的最大值，当被监控OVS桥上的网络接口数据包达到或超过该值时进行告警；

所述的数据包监控告警信息包括OVS网络接口索引、数据包源IP地址和源端口、数据包目的IP地址和目的端口。

所述的数据包监控规则进一步区分包括根据网络流量带宽监控和根据网络流量数据包个数监控。

所述的OVS流管控服务负责与监控告警服务通信、定时获取告警信息并进行分析生成流规则；

所述的流规则是OVS虚拟网桥上的一条转发规则，该转发规则包括数据包比对规则和执行动作；

所述的比对规则包括比对数据包的源IP地址、目的IP地址、源端口、目的端口、数据包协议类型；

所述的执行动作包括丢弃、接受、转发到下一跳。

所述的将生成的流规则注入到OVS流表是指向OVS流表添加流规则以防御网络攻击。

本发明方案的有益效果如下：

1、提供一种基于流规则实现云平台防御网络攻击的方法，实现对云平台物理节点和虚拟机安全防御的统一管理。

2、本发明方法不仅可以防御外面对云平台里面的网络攻击，同时能保证云平台内部不会被当作肉鸡而发起对外和对内的网络攻击。

附图说明

下面结合附图对本发明进一步说明：

图1为本发明的流程图；

图2为本发明的模块图。

具体实施方式

如图1、2所示，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述。本发明以集成第三方监控告警工具sflow-rt为例进行描述。

首先配置启动监控告警服务，主要配置服务启动后监听端口8008及与监控AGENT通信端口6344，如下所示：

[root@gcloud02116 sflow-rt]#cat start.sh

RT_OPTS＝″-Dsflow.port＝6344-Dhttp.port＝8008″

[root@gcloud02116 sflow-rt]#./start.sh&

针对节点OVS虚拟网桥br-int和br-vlan分别启动监控AGENT，指定其通信服务端端口为6344，具体执行如下命令：

#ovs-vsctl-- --id＝@sflow create sflow agent＝eucabr target＝\″20.251.2.116：6344\″header＝128 sampling＝5 polling＝1--set bridge br-vlan sflow＝@sflow

#ovs-vsctl-- --id＝@sflow create sflow agent＝eucabr target＝\″20.251.2.116：6344\″header＝128 sampling＝5 polling＝1--set bridge br-int sflow＝@sflow

其中物理节点的物理网卡接口接入到br-vlan与外面进行通信，虚拟机的虚拟网络接口统一接入到br-int，br-vlan与br-int之间通过veth peer进行关联。

调用sflow-rt接口针对网络攻击特性对网络接口的网络数据包带宽设置阈值，这里设置方法集成进流管控服务，这里仅以python编写的一段关于TCP网络攻击的管控代码：

如上代码展示得是TCP相关的监控规则、阈值设置和调用监控告警服务获取并分析告警信息，根据分析后的结果进一步调用程序去生成流规则并注入OVS虚拟网桥。

进一步的生成流规则并注入规则代码如下：

以上所揭露的仅仅是针对外面对物理节点TCP类型的网络攻击防护，其仅为本发明其中一个实施例而已，其他实施例类似。当然不能以此实施例来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。