一种保护网络安全的方法及系统与流程
本发明涉及计算机技术领域,具体的说是一种保护网络安全的方法及系统。
背景技术:
随着云计算虚拟化技术的快速发展,服务器虚拟化技术的应用也越来越广泛。服务器虚拟化技术是通过把物理服务器隔离成若干个虚拟机,使服务器不在受物理上的限制,提高物理资源的利用率。这些虚拟机通过虚拟交换机组成一个完整的网络,可以极大地满足对于计算的需求。
对于任何一个网络来说,难免会遭到攻击,如果遭受外部的恶意攻击,现有的防火墙等防御机制,以及安装的防恶意软件均可以有效的实现对于外部攻击的防御,但是,一些恶意软件通过隐身技术逃避主机本身的监测,并部署在主机内部,从内部破坏网络的运行,对于这种攻击,现有的防御机制不能进行很好的处理。
技术实现要素:
为了解决上述问题,提供了一种保护网络安全的方法及系统,通过接监控网络内的虚拟机,实现对于异常虚拟机的隔离。
本发明实施例提供了一种保护网络安全的方法,所述的方法包括:
s1:建立网络内每一台虚拟机的地址关联表;
s2:监控网络内的异常流量,并定位该异常流量的地址;
s3:隔离产生异常流量的虚拟机。
进一步的,所述的方法还包括:
s4:对隔离后的异常虚拟机进行检测,判断该虚拟机是否为异常流量来源,若是,继续隔离,若否,解除隔离。
进一步的,步骤s1的具体实现过程为:将网络内虚拟机的mac地址与其对应虚拟交换机所分配的id地址进行绑定,生成一个mac与vlan的对应关系列表,该列表即为地址关联表。
进一步的,步骤s2的具体实现过程为:
s21:选择一个活动作为评判标准,并统计该活动发生的相对频度;
s22:检测网络中所选活动的频度是否高于相对频度,若是,进入下一步,若否,继续检测;
s23:提取步骤s22所选活动中的数据包,并解析出其中的mac地址。
进一步的,步骤s3的具体实现过程为:根据地址关联表查找该mac地址对应的id地址,并将该id地址设置为错误id,然后将id对应的虚拟机挂载到预先设置的异常vlan下。
进一步的,步骤s4的具体实现过程为:
s41:设置一个时间阈值;
s42:检测异常虚拟机发生活动的频度,并统计高于相对频度的时间;
s43:判断步骤s42中统计的时间是否大于步骤s41中的时间阈值,若是,则继续隔离,若否,则解除隔离。
本发明实施例还提供了一种保护网络安全的系统,所述的系统包括:
虚拟交换机,用来连接外部网络,并为内部网络内的虚拟机分配id地址;
若干虚拟机,用来运行各种应用并提供计算资源;
隔离虚拟交换机,用来挂载异常虚拟机;
网络异常检测器1,用来监测网络内的异常流量并对异常流量的来源进行解析和隔离。
进一步的,所述的网络异常检测器1通过统计网络中某种特殊活动发生的相对频度作为异常流量的判断标准,当网络异常监测器在网络中发现某种活动高于此相对频度后,判断该活动为异常流量。
进一步的,所述的系统还包括:
网络异常检测器2,用来检测异常虚拟机是否为异常流量来源,若是,继续隔离,若否,解除隔离。
进一步的,所述的网络异常检测器2通过预设时间阈值,检测阈值时间内异常虚拟机特殊活动发生的相对频度是否明显下降,若是,解除隔离该异常虚拟机,若否,继续隔离该异常虚拟机。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
1、通过云计算中不同vlanid的网络相互独立,相互隔离的特性,实现网络安全策略,保证虚拟网络的安全性和数据的保密性。根据网络异常监测器的监测动态的隔离异常虚拟机的网络,实时对网络中的异常虚拟机进行隔离,保证数据的完整性。
2、利用特殊活动的相对频度这一标准,对隔离后的异常虚拟机进行二次检测,可以有效预防误操作的情况,确保隔离的准确性,同时保证数据的完整性。
附图说明
图1是本发明实施例1的方法流程图;
图2是本发明实施例1的系统原理图;
图3是本发明实施例2的方法流程图;
图4是本发明实施例2的系统原理图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
本申请应用的基本原理为:vlan隔离是通过对连接到第二层交换机的端口进行逻辑划分,不受物理设备的限制而是根据用户需求进行网络划分。同一个vlan中的广播只有vlan中的成员才能听到,而不会传输到其他的vlan中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同vlan之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置vlan之间的路由来全面管理企业内部不同管理单元之间的信息互访。
实施例1
如图1所示,本方法实施例1提供了一种保护网络安全的方法,所述的方法包括:
s1:建立网络内每一台虚拟机的地址关联表。具体实现过程为:将网络内虚拟机的mac地址与其对应虚拟交换机所分配的id地址进行绑定,生成一个mac与vlan的对应关系列表,该列表即为地址关联表。
s2:监控网络内的异常流量,并定位该异常流量的地址,具体实现过程为:
s21:根据需求或经验,选择一个活动作为评判标准,并统计该活动发生的相对频度,该相对频度作为评判的标准。
s22:检测网络中所选活动的频度是否高于相对频度,若是,则表明该频度所述活动为异常流量,进入下一步,若否,表明该频度为正常流量,继续检测其它虚拟机产生的活动。
s23:提取步骤s22所选活动中的数据包,并解析出其中的mac地址。
s3:隔离产生异常流量的虚拟机。具体实现过程为:根据地址关联表查找该mac地址对应的id地址,并将该id地址设置为错误id,然后将id对应的虚拟机挂载到预先设置的异常vlan下。
如图2所示,基于实施例1的方法,本发明实施例还提供了一种保护网络安全的系统,所述的系统包括:虚拟交换机,用来连接外部网络,并为内部网络内的虚拟机分配id地址;若干虚拟机,用来运行各种应用并提供计算资源;隔离虚拟交换机,用来挂载异常虚拟机;网络异常检测器,用来监测网络内的异常流量并对异常流量的来源进行解析和隔离。
所述的网络异常检测器通过统计网络中某种特殊活动发生的相对频度作为异常流量的判断标准,当网络异常监测器在网络中发现某种活动高于此相对频度后,判断该活动为异常流量。
实施例2
如图3所示,本方法实施例1提供了一种保护网络安全的方法,所述的方法包括:
s1:建立网络内每一台虚拟机的地址关联表。具体实现过程为:将网络内虚拟机的mac地址与其对应虚拟交换机所分配的id地址进行绑定,生成一个mac与vlan的对应关系列表,该列表即为地址关联表。
s2:监控网络内的异常流量,并定位该异常流量的地址,具体实现过程为:
s21:根据需求或经验,选择一个活动作为评判标准,并统计该活动发生的相对频度,该相对频度作为评判的标准。
s22:检测网络中所选活动的频度是否高于相对频度,若是,则表明该频度所述活动为异常流量,进入下一步,若否,表明该频度为正常流量,继续检测其它虚拟机产生的活动。
s23:提取步骤s22所选活动中的数据包,并解析出其中的mac地址。
s3:隔离产生异常流量的虚拟机。具体实现过程为:根据地址关联表查找该mac地址对应的id地址,并将该id地址设置为错误id,然后将id对应的虚拟机挂载到预先设置的异常vlan下。
s4:对隔离后的异常虚拟机进行检测,判断该虚拟机是否为异常流量来源,若是,继续隔离,若否,vlanid修改回原来的值,让虚拟机回归到原来的网络中,解除隔离。
所述的步骤s4的具体实现过程为:
s41:设置一个时间阈值,该时间阈值根据经验或统计结果进行设置。
s42:检测异常虚拟机发生活动的频度,并统计高于相对频度的时间。
s43:判断步骤s42中统计的时间是否大于步骤s41中的时间阈值,若是,则继续隔离,若否,则解除隔离。
如图4所示,基于实施例1的方法,本发明实施例还提供了一种保护网络安全的系统,所述的系统包括:若干虚拟交换机,用来连接外部网络,并为内部网络内的虚拟机分配id地址;若干虚拟机,用来运行各种应用并提供计算资源;隔离虚拟交换机,用来挂载异常虚拟机;网络异常检测器,用来监测网络内的异常流量并对异常流量的来源进行解析和隔离。
所述的网络异常检测器有两个,网络异常检测器1需要对正常网络下的虚拟机进行监测,网络异常检测器2需要对隔离网络内的异常虚拟机进行监测。
网络异常检测器1通过统计网络中某种特殊活动发生的相对频度作为异常流量的判断标准,当网络异常监测器在网络中发现某种活动高于此相对频度后,判断该活动为异常流量。然后就会分析这个活动中的可疑的数据包,解析出其中的mac地址,然后进行隔离操作。
网络异常检测器2引入了一个可疑时间的阈值,这个阈值可以设置。当某种特殊活动发生高于相对频度的时间超过阈值时,对该虚拟机进行隔离。在隔离网络中也有相同规则的监测器和阈值,在隔离网络中再阈值时间内发现特殊活动发生的相对频度明显下降,则可以判断该次隔离是误判操作,这样需要把vlanid修改回原来的值,让虚拟机回归到原来的网络中。如果相对频度没有下降则不变。
尽管说明书及附图和实施例对本发明创造已进行了详细的说明,但是,本领域技术人员应当理解,仍然可以对本发明创造进行修改或者等同替换;而一切不脱离本发明创造的精神和范围的技术方案及其改进,其均涵盖在本发明创造专利的保护范围当中。
- 还没有人留言评论。精彩留言会获得点赞!