云计算环境下软件定义安全导流装置及其实现方法

云计算环境下软件定义安全导流装置及其实现方法
【专利摘要】本发明涉及云计算环境下软件安全定义导流装置，包括：管理平台，其提供安全导流策略配置接口，允许管理员配置安全导流策略；管理模块，其接收安全导流策略文件并根据安全导流策略文件的内容形成导流策略表；流量识别模块，其接收和识别镜像过来的业务流量，并对已识别的业务流量进行预处理；流量处理模块，其对预处理后的业务流量进行二次处理；流量发送模块，其将二次处理后的业务流量发送到指定端口，由外部设备对业务流量进行接收；数据统计模块，其对所有业务流量进行统计，并向管理模块进行发送，再由管理模块将统计信息发送给管理平台。本发明能按需灵活镜像业务流量，可靠性更强，并可实现软件定义安全导流。
【专利说明】
云计算环境下软件定义安全导流装置及其实现方法
技术领域
[0001] 本发明属于信息安全技术领域，设及云计算环境下业务流量的镜像、监控、统计与 分析，具体设及云计算环境下软件定义安全导流装置及其实现方法。
【背景技术】
[0002] 随着数据中屯、的大规模建设，虚拟化技术的大规模应用，为了最大化发挥虚拟化 的优势，保证数据中屯、的稳定、持续、高效运行，云计算成为当前IT支撑系统的首选。
[0003] 云计算技术的核屯、在于虚拟化技术，虚拟化技术包括了计算资源虚拟化、存储资 源虚拟化、安全资源虚拟化和网络资源虚拟化等。在虚拟化技术中，网络资源虚拟化技术显 得格外重要，因为它是连接计算资源虚拟化、存储资源虚拟化和安全资源虚拟化的纽带。
[0004] 网络资源虚拟化的两个重要概念为OVS和化enFlow。
[0005] OVS是openvswitch的简称，指开源虚拟交换机，它是部署在服务器上的软件，实现 云计算环境下的数据交换功能。OVS具备流量镜像功能，可W通过mirror命令，将业务系统 所连接端口的业务流量镜像一份到一个特定的端口，连接在该端口的业务系统可W收取所 有的镜像流量。
[0006] 化enf low是开源协议，同时也是OVS的重要组成部分，通过化enf low协议，可W实 现数据转发的控制功能，为特定的访问关系指定一条需要经过的路径，简称引流。
[0007] 云计算技术为业务系统资源的灵活分配、按需调整、快速恢复提供了有力支持，大 大提升了运维效率，节省了系统部署时间，降低了工作量。
[000引但云计算技术同时也存在一些问题。例如，在传统业务系统中运行正常的安全设 备，当网络虚拟化采用VXlan技术实现虚拟业务系统的跨地域迁移时，存在着无法识别 VXlan数据包头、无法部署的情况;云计算环境下的业务系统边界消失，无法在边界实现安 全控制;业务系统的流量在OVS内部转发，安全检测设备无法发现OVS内部的安全问题。
[0009] 此外，通过OVS的mirror命令所获取的数据存在数据重复，导致网络流量翻倍，影 响网络性能;OVS的mirror命令镜像到的数据与网络接口关联度高，从同一个接口获取的数 据可能包含多个业务系统的信息，而某些业务系统的信息在进行安全分析时并不需要，镜 像的灵活性差。

【发明内容】

[0010] 本发明的目的是提供一种云计算环境下软件定义安全导流装置及其实现方法，通 过其解决W下问题：1)云计算环境中，物理拓扑与业务逻辑拓扑边界不一致，导致基于安全 监控需求的业务流量无法获取的问题;2)传统安全监控在云计算环境中无法提供对东西向 业务流量的监控问题，W及在特定业务环境下，对大业务流量中无需通过安全设备的流量 的细粒度流量选择优化问题;3)传统使用物理交换机镜像功能所无法实现的按安全监控需 求和安全设备配置拓扑，从多个源镜像到多个不同目的的按需复杂流量镜像处理的问题； 4)传统安全监控方案中，没有基于安全监控需求的统一安全监控流量管控框架，实现对整 个网络中所有流量和所有安全监控设备的镜像流量规则的按需软件定义和管控的问题。
[0011] 为了实现上述目的，本发明提供如下技术方案:一种云计算环境下软件安全定义 导流装置，其包括：
[0012] 管理平台，该管理平台用于提供安全导流策略配置接口，允许管理员通过该配置 接口配置安全导流策略；
[0013] 管理模块，该管理模块用于接收所述管理平台通过CWCP协议下发的安全导流策略 文件并根据安全导流策略文件的内容形成导流策略表；
[0014] 流量识别模块，该流量识别模块用于接收和识别镜像过来的业务流量，并W所述 导流策略表的导流策略对已识别的业务流量进行预处理；
[0015] 流量处理模块，该流量处理模块用于根据所述导流策略表对所述流量识别模块预 处理后的业务流量进行二次处理；
[0016] 流量发送模块，该流量发送模块用于将所述流量处理模块二次处理后的业务流量 发送到指定端口，由连接在该端口的外部设备对业务流量进行接收；
[0017] 数据统计模块，该数据统计模块用于对镜像过来的所有业务流量进行统计，并W 主动或被动的方式向所述管理模块进行发送，再由所述管理模块将统计信息发送给所述管 理平台。
[0018] 此外，本发明提供一种基于上述云计算环境下软件定义安全导流装置的安全导流 实现方法，其包括W下步骤：
[0019] (1)管理员在所述管理平台中通过安全导流策略配置接口配置业务流量的安全导 流策略；
[0020] (2)所述管理平台通过CWCP协议向所述管理模块下发安全导流策略文件；
[0021] (3)所述管理模块根据获得的安全导流策略文件建立导流策略表；
[0022] (4)在刀片服务器或PC服务器上，调用OVS的mirror命令，实现将所有业务流量镜 像给所述流量识别模块；
[0023] (5)所述流量识别模块接收镜像过来的所有业务流量，并对镜像过来的所有业务 流量进行识别，然后W所述导流策略表的导流策略对已识别的业务流量进行预处理，并将 预处理后的业务流量发送到所述流量处理模块；
[0024] (6)所述流量处理模块根据所述导流策略表对发送过来的业务流量进行二次处 理，二次处理完毕后将业务流量发送到所述流量发送模块；
[0025] (7)所述流量发送模块将接收到的业务流量发送到指定的外部设备，并与所述数 据统计模块共享业务流量发送队列；
[0026] (8)所述数据统计模块对所述业务流量发送队列里的数据进行统计、归并和保存；
[0027] (9)所述数据统计模块W主动或被动的方式向所述管理模块推送统计信息，并由 所述管理模块将统计信息上报给所述管理平台；
[0028] (10)所述管理平台基于所述统计信息全局监控云环境的网络拓扑、业务拓扑、业 务域之间的访问关系、访问流量和安全措施部署状态。
[0029] 进一步地，其中，业务流量的识别通过读取业务流量数据包的源MAC、目的MAC、 VLAN_ID信息、源IP、源端口、目的IP、目的端口和协议来实现。
[0030] 更进一步地，其中，所述流量处理模块根据所述导流策略表中Actions字段所定义 的内容，对业务流量进行二次处理。
[0031] 再进一步地，其中，对业务流量进行二次处理包括对业务流量进行修改数据包字 段、设置数据包发送队列、设置数据包发送速度、设置数据包发送的多个地址。
[0032] 本发明的云计算环境下软件定义安全导流装置及其实现方法具有如下有益技术 效果：
[0033] 1)、将镜像的业务流量数据与网络平台解禪，能按需灵活镜像业务域的业务流量。
[0034] 2)、将业务流量的镜像过程、识别过程、镜像策略配置过程W及镜像的业务流量的 操作、转发、统计过程解禪，增加更多细粒度控制手段，从而使可操控性更强。
[0035] 3)、具有更多的镜像选择，可按照IP、端口和协议对复杂的业务流量进行筛选，并 根据业务目标设置多种预期动作，实现软件定义安全导流。
[0036] 4)、能实时统计业务流量信息，从而能够辅助运维人员快速发现业务问题、安全问 题，辅助运维人员快速定位业务故障点。
【附图说明】
[0037] 图1是本发明的云计算环境下软件定义安全导流装置的部署图。
[0038] 图2是本发明的云计算环境下软件定义安全导流装置的整体架构图。
[0039] 图3是业务流量的处理流程图。
[0040] 图4是本发明的云计算环境下软件定义安全导流装置的整体处理流程图。
【具体实施方式】
[0041] 下面结合附图和实施例对本发明进一步说明，实施例的内容不作为对本发明的保 护范围的限制。
[0042] 在云计算环境下，为了满足对业务流量的安全监控及安全检测，需要对业务流量 进行镜像，并将镜像的业务流量发送到外部安全设备进行安全检测与安全审计。
[0043] 在复杂的业务应用中，有些协议虽然占用大量业务带宽，但本身不存在安全隐患， 存在安全隐患的是承载该类业务流量的外在框架。例如视频播放，视频流中不存在安全隐 患，但视频流播放组件中存在安全隐患。视频流播放组件一般W框架的形式嵌入在页面中， 随http协议进行传输，但播放的内容W流媒体协议单独进行内容传输。在应对安全风险时， 可W考虑过滤掉承载视频播放的流媒体协议。同样类似的场景还有很多。因此，为了降低处 理负载，提供工作效率，需要对镜像的业务流量进行软件定义的安全导流。
[0044] 如图1所示，本发明的云计算环境下软件定义安全导流装置部署在云计算环境下 的刀片服务器或PC服务器上并连接服务器的0VS。刀片服务器上部署的其它业务系统，例如 业务系统1、业务系统2和业务系统3也同时连接在OVS上，OVS完成不同业务系统间的信息交 互。
[0045] 通过调用OVS的流量镜像功能，利用mirror命令，在OVS内核中将业务系统1、业务 系统2和业务系统3的业务流量镜像到本发明的软件定义安全导流装置中，由所述软件定义 安全导流装置对镜像的业务流量进行安全导流。
[0046] 如图2所示，本发明的云计算环境下软件安全定义导流装置包括管理平台、管理模 块、流量识别模块、流量处理模块、流量发送模块和数据统计模块。其中，
[0047] 所述管理平台用于提供安全导流策略配置接口，允许管理员通过该配置接口配置 安全导流策略，并将安全导流策略文件通过CWCP协议下发给所述管理模块，并由所述管理 模块根据所述安全导流策略文件的内容形成导流策略表。
[0048] 协议是解禪合物理网络、业务网络、业务流量的关键，通过协议设计，实现安全监 控按需过滤、按需操作、实时统计的目的，解决当前云计算环境下业务流量镜像的诸多问 题。
[0049] CWCP协议的数据包格式如下：
[(K)加 ]
[0化1」。其中，
[0052] VLANJD字段用来匹配数据包的二层包头中的Vlan信息；
[0053] SRC_MAC字段用来匹配数据包的二层包头中的源MAC地址信息；
[0054] DST_MAC字段用来匹配数据包的二层包头中的目的MAC地址信息；
[0055] SRC_IP字段用来匹配数据包的S层包头中的源IP地址信息；
[0056] SRC_P0RT字段用来匹配数据包的四层包头中的源端口信息；
[0057] DST_IP字段用来匹配数据包的S层包头中的目的IP地址信息；
[005引 DST_P0RT字段用来匹配数据包的四层包头中的目的端口信息；
[0化9] Protocol字段用来匹配数据包的S层包头中的protocol信息；
[0060] Priority字段用来设置当前策略的优先级别；
[0061 ] Actions字段用来设置匹配规则数据包的相应动作；
[0062] Conters字段用来对匹配规则的数据包进行数量统计；
[0063] Actions字段是对数据包的操作字段，目前所支持的操作行为有：去除/修改数据 包的Vlan信息，修改数据包的MAC信息，修改数据包的IP地址信息，丢弃数据包，复制数据 包，发送数据包到特定地址，发送数据包到多个特定地址，设置数据包发送的速度，设置数 据包QOS。
[0064] 管理员在所述管理平台上通过所述配置接口配置安全导流策略时，将需要进行导 流的业务流量的特征填入CWCP数据包中，并将内容发送给所述管理模块。所述管理模块根 据接收到的导流策略信息，在本地生成导流策略表，W备所述流量识别模块所调用。
[0065] 所述流量识别模块，用于接收和识别镜像过来的业务流量，并W所述导流策略表 的导流策略对已识别的业务流量进行预处理。具体地，利用OVS的mirror命令将各业务系统 的业务流量镜像到所述流量识别模块，通过所述流量识别模块为业务流量的匹配和转发做 前期处理工作。
[0066] 在本发明中，业务流量的识别通过读取数据包的源MAC、目的MC、VLAN_ID信息、源 IP、源端口、目的IP、目的端口和协议来实现。当镜像的业务流量数据进入到软件定义安全 导流装置中后，所述流量识别模块会读取镜像的业务流量的数据包的包头，对业务流量进 行识别。
[0067] 所述流量识别模块将获取到的镜像的业务流量的数据包，从上到下，逐条匹配所 述导流策略表中的规则项，并针对满足匹配规则项的数据包进行Actions相应设置的动作 处理，如果没有匹配规则项，则根据默认处理策略，对数据包进行处理。
[0068] 所述流量处理模块用于根据所述导流策略表对所述流量识别模块预处理后的业 务流量进行二次处理。具体地，所述流量处理模块根据导流决策表中Actions字段所定义的 内容，对匹配的业务流量进行二次处理。所述流量处理模块可W包括执行模块。所述执行模 块用于根据动作信息修改业务流量的相关信息。所述执行模块能修改的内容包扩修改业务 流量的目的IP地址、目的MAC地址、设置业务流量的发送速度、修改Vlan标识，去除已有Vlan 标识。
[0069] 所述流量发送模块用于将所述流量处理模块二次处理后的业务流量发送到指定 端口，由连接在该端口的外部设备对业务流量进行接收。
[0070] 所述数据统计模块用于对镜像过来的所有业务流量进行统计，并W主动或被动的 方式向所述管理模块进行发送，再由所述管理模块将统计信息发送给所述管理平台。
[0071] 所述数据统计模块可W包括采集模块。所述采集模块负责将业务流量进行数据获 取、归并与格式化，并将所有数据W规范的统一格式存放在数据库中。数据包含了业务流量 的IP、端口、协议、事件、数据包数、流量大小等信息。运类统计信息对于辅助运维人员发现 安全问题、业务问题，降低信息噪声有很大帮助作用。统计信息能够W主动或被动的方式， 向管理模块进行发送，管理模块将统计信息发送给所述管理平台。运样，所述管理平台就可 W基于所述统计信息全局监控云环境的网络拓扑、业务拓扑、业务域之间的访问关系、访问 流量和安全措施部署状态。
[0072] 具体地，如图3所示，当匹配的业务流量进入到所述流量处理模块时，首先匹配导 流策略表，根据导流策略表的内容对匹配的业务流量进行处理。当导流策略表中没有匹配 项W及匹配的业务流量不进行动作设置时，直接把匹配的业务流量通过所述流量发送模块 发送到外部设备，并将发送的业务流量数据传送到所述数据统计模块进行信息统计。
[0073] 当预处理后的业务流量匹配了导流策略表并设置了动作信息时，先判断是否为丢 弃信息，如果是丢弃信息则将业务流量数据包丢弃，如果不是，则将业务流量发送到执行模 块，由所述执行模块根据动作信息修改业务流量的相关信息。
[0074] 同时，所述采集模块负责将业务流量进行数据获取、归并与格式化，并将所有数据 W规范的统一格式存放在数据库中。数据包含了业务流量的IP、端口、协议、事件、数据包 数、流量大小等信息。运类统计信息对于辅助运维人员发现安全问题、业务问题，降低信息 噪声有很大帮助作用。统计信息能够W主动或被动的方式，向管理模块进行发送，管理模块 将统计信息发送给所述管理平台。运样，所述管理平台就可W基于所述统计信息全局监控 云环境的网络拓扑、业务拓扑、业务域之间的访问关系、访问流量和安全措施部署状态。
[0075] 在本发明中，所述管理模块通过CWMP协议将统计信息发送到所述管理平台。
[0076] CWMP协议的数据包格式如下：
[00771
[0078」。其中，
[0079] VLAN_ID字段用来记录数据包二层包头中的Vlan信息；
[0080] SRC_MAC字段用来记录数据包二层包头中的源MAC地址信息；
[0081 ] DST_MAC字段用来记录数据包二层包头中的目的MAC地址信息；
[0082] SRC_IP字段用来记录数据包S层包头中的源IP地址信息；
[0083] SRC_P0RT字段用来记录数据包四层包头中的源端口信息；
[0084] DST_IP字段用来记录数据包S层包头中的目的IP地址信息；
[0085] DST_P0RT字段用来记录数据包四层包头中的目的端口信息；
[00化]Protocol字段用来记录数据包S层包头中的protocol信息；
[0087] Packets字段用来记录数据包发送的包数；
[0088] Sizes字段用来技术数据包的大小；
[0089] Con_time字段用来记录数据包的连接时长。
[0090] 管理平台根据统计信息，可W很好地全局展示当前业务域的连接状态、访问态势， 对运维人员的故障排除，全局监控具有积极意义。
[0091] 如图4所示，本发明的云计算环境下软件定义安全导流装置的整体处理流程如下：
[0092] 1、管理员在软件定义安全导流装置的管理平台中，通过交互界面中的安全导流策 略配置接口配置业务流量的导流策略。其中，可W配置默认导流规则为丢弃，配置丢弃视频 协议、f化协议等文件传输协议，配置复制关键服务器1. 1.1.1的流量并分别发送到检测设 备与审计设备(一份流量发送到两个目的设备）。
[0093] 2、管理平台通过CWCP协议向软件定义安全导流装置的管理模块下发导流策略，管 理模块根据获得的导流策略建立导流策略表。
[0094] 3、在刀片服务器或PC服务器上，调用OVS的mirror命令，实现将所有业务流量镜像 给软件定义安全导流装置的流量识别模块。
[0095] 4、软件定义安全导流装置的各个模块协同工作。其中，流量识别模块接收所有镜 像的业务流量，并根据业务流量的五元组信息、vlan_id信息、摘要信息对镜像的业务流量 中的不同业务流量进行识别，已识别的业务流量的信息匹配导流策略表的规则，并将业务 流量发送到流量处理模块。
[0096] 5、流量处理模块根据导流策略表中设置的Actions字段内容，对业务流量进行二 次处理，处理完毕后将业务流量发送到流量发送模块，如果未能匹配任何一条规则，则根据 默认策略，丢弃未匹配的镜像流量。
[0097] 6、流量发送模块将匹配成功的业务流量发送到特定的外部设备或同时发送到两 个外部设备(一份业务数据发送到两个外部设备），并与数据统计模块共享流量发送队列。
[0098] 7、数据统计模块对流量发送队列里的数据进行统计、归并、保存。其中，统计内容 为针对单一 IP的数据发送量、数据包速率、流量大小和IP网段的素具发送量、数据包大小、 流量大小。
[0099] 8、数据统计模块W主动或被动的方式向管理模块推送统计信息，管理模块将统计 信息上报给管理平台。
[0100] 9、管理平台根据统计信息全局监控云环境的网络拓扑，业务拓扑，业务域之间的 访问关系、访问流量、安全措施部署状态。
[0101] 在云计算环境下，虚拟化技术大规模部署，网络虚拟化所采用的0VS，实现了服务 器内部所有虚拟业务系统的流量交互。OVS所具有的mirror命令，虽然能够对虚拟业务系统 进行流量镜像，但存在流量翻倍，影响网络性能，所有业务流量混合在一起，镜像数据存在 不关屯、的业务流量，浪费存储空间的问题。
[0102] 本发明的软件定义安全导流装置能够对镜像的业务流量进行二次处理，通过业务 流量去重算法，降低OVS的mirror命令对网络性能的影响；同时通过管理员对导流策略的配 置，能够细粒度灵活镜像所需业务流量，处理业务流量后续动作，实现软件定义安全导流。
[0103] 本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明 的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可W做出 其它不同形式的变化或变动。运里无法对所有的实施方式予W穷举。凡是属于本发明的技 术方案所引伸出的显而易见的变化或变动仍处于本发明的保护范围之列。
【主权项】
1. 一种云计算环境下软件安全定义导流装置，其包括： 管理平台，该管理平台用于提供安全导流策略配置接口，允许管理员通过该配置接口 配置安全导流策略； 管理模块，该管理模块用于接收所述管理平台通过CWCP协议下发的安全导流策略文件 并根据安全导流策略文件的内容形成导流策略表； 流量识别模块，该流量识别模块用于接收和识别镜像过来的业务流量，并以所述导流 策略表的导流策略对已识别的业务流量进行预处理； 流量处理模块，该流量处理模块用于根据所述导流策略表对所述流量识别模块预处理 后的业务流量进行二次处理； 流量发送模块，该流量发送模块用于将所述流量处理模块二次处理后的业务流量发送 到指定端口，由连接在该端口的外部设备对业务流量进行接收； 数据统计模块，该数据统计模块用于对镜像过来的所有业务流量进行统计，并以主动 或被动的方式向所述管理模块进行发送，再由所述管理模块将统计信息发送给所述管理平 台。2. -种基于权利要求1的云计算环境下软件定义安全导流装置的安全导流实现方法， 其包括以下步骤： (1) 管理员在所述管理平台中通过安全导流策略配置接口配置业务流量的安全导流策 略； (2) 所述管理平台通过CWCP协议向所述管理模块下发安全导流策略文件； (3) 所述管理模块根据获得的安全导流策略文件建立导流策略表； (4) 在刀片服务器或PC服务器上，调用OVS的mirror命令，实现将所有业务流量镜像给 所述流量识别模块； (5) 所述流量识别模块接收镜像过来的所有业务流量，并对镜像过来的所有业务流量 进行识别，然后以所述导流策略表的导流策略对已识别的业务流量进行预处理，并将预处 理后的业务流量发送到所述流量处理模块； (6) 所述流量处理模块根据所述导流策略表对发送过来的业务流量进行二次处理，二 次处理完毕后将业务流量发送到所述流量发送模块； (7) 所述流量发送模块将接收到的业务流量发送到指定的外部设备，并与所述数据统 计模块共享业务流量发送队列； (8) 所述数据统计模块对所述业务流量发送队列里的数据进行统计、归并和保存； (9) 所述数据统计模块以主动或被动的方式向所述管理模块推送统计信息，并由所述 管理模块将统计信息上报给所述管理平台； (10) 所述管理平台基于所述统计信息全局监控云计算环境的网络拓扑、业务拓扑、业 务域之间的访问关系、访问流量和安全措施部署状态。3. 根据权利要求2所述的安全导流实现方法，其特征是，业务流量的识别通过读取业务 流量数据包的源MAC、目的MAC、VLAN_ID信息、源IP、源端口、目的IP、目的端口和协议来实 现。4. 根据权利要求3所述的安全导流实现方法，其特征是，所述流量处理模块根据所述导 流策略表中Actions字段所定义的内容，对业务流量进行二次处理。5.根据权利要求3和4所述的安全导流实现方法，其特征是，对业务流量进行二次处理 包括对业务流量进行修改数据包字段、设置数据包发送队列、设置数据包发送速度、设置数 据包发送的多个地址。
【文档编号】H04L29/06GK105827629SQ201610285832
【公开日】2016年8月3日
【申请日】2016年5月4日
【发明人】毕江, 周旭辉, 王燕清, 李程, 李伏琼, 翟林
【申请人】王燕清, 李伏琼, 毕江, 周旭辉, 李程, 翟林