首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

一种面向虚拟机集群的分布式网络安全方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:河南大学

摘要:本发明提出了一种面向虚拟机集群的分布式网络安全方法,解决了在虚拟机集群中各个虚拟机之间随意访问,造成安全风险的技术问题;本发明搭建分布式安全策略平台DSPP,所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息,智能计算出每台虚拟机的安全访问的策略,并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行。本发明在虚拟机上安装微安全访问引擎MSAE和布式安全策略平台DSPP,可以清晰了解虚拟机集群的每台虚拟机的操作系统、安装软件组件、业务系统的详情,为每台虚拟机建立了安全策略,使各虚拟机之间的能安全的访问,实现面向虚拟机集群的安全。

主权项:1.一种面向虚拟机集群的分布式网络安全方法,其特征在于,搭建分布式安全策略平台DSPP,所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息,智能计算出每台虚拟机的安全访问的策略,并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行;安全策略的加载与执行的实现方法为:分布式安全策略平台DSPP为虚拟机集群内的所有虚拟机下发与各虚拟机的操作系统相对应的微安全访问引擎MSAE;在虚拟机上运行微安全访问引擎MSAE,得到虚拟机信息,微安全访问引擎MSAE对虚拟机信息进行分类、归并、整合后,通过加密通信发送给分布式安全策略平台DSPP;所述虚拟机信息包括虚拟机的基础信息、虚拟机的业务信息、业务系统开放服务的信息、虚拟机的流量;其中,虚拟机的基础信息包括主机名称、IP地址、操作系统版本及补丁、CPU使用情况、内存占用情况、磁盘信息;虚拟机的业务信息包括操作系统组件信息、WEB软件名称及版本信息、数据库软件名称及版本信息、中间件名称及版本信息;业务系统开放服务的信息包括业务的配置参数、服务端口、文件名称、进程信息;虚拟机的流量包括虚拟机的入方向的网络流量、出方向的网络流量;分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据;以业务系统名称为初始标签建立虚拟机数据表,并录入虚拟机的结构化范式数据;制定包括源、目的、服务、时间段四个关键要素的安全策略模型,并使用贴近业务系统的自然语言的标签对新型的安全策略模型进行配置;其中,安全策略的动作为允许或阻断;制定安全策略模型的目的标签、目的服务:每台虚拟机上的业务系统标签建立安全策略目的标签的数据表,以服务标签建立安全作为安全策略的目的,开放服务标签作为安全策略的目的服务;制定安全策略模型的源:对集群内所有虚拟机的网络流量的字段进行格式转换,源IP、源端口、目的IP、目的端口、协议、时间戳元数据以列数据形式保存,虚拟机集群内巨大流量数据进行快速写入库表;以“目的标签+目的服务”为节点,以源IP作为边,计算出访问的源IP集合,进行聚类分析,使用CommunityDetection算法,计算出源IP集合;根据源IP集合,关联分析出析对应的虚拟机的标签,作为安全策略的源;制定安全策略模型的有效时间段:使用网络流量数据表,根据“业务标签+源标签”、“业务标签+目的标签\服务标签”,分析连接的时间序列分布;以端到端的连接为节点,使用Interval-based和Frequency-based结合的时间算法进行聚类分析,计算出安全策略的有效时间段,作为安全策略的时间项;根据制定好的安全策略模型,分析出每台虚拟机的安全策略明细,利用安全策略引擎模块对标签化安全策略模型进行矩阵转换和规则变形,转成为最终每台虚拟机可使用安全策略;安全策略平台DSPP对覆盖范围内的所有虚拟机建立连接,分别把每台虚拟机的安全策略进行数据封装,以消息形式发送每台虚拟机;每台虚拟机的微安全访问引擎MSAE收到安全策略后,进行消息校验,把安全策略进行预检查,加载执行安全策略;当虚拟机集群内的虚拟机之间发生网络访问时,虚拟机使用安全策略检测流量,根据安全策略的动作配置,允许或阻断流量。

全文数据:

权利要求:

百度查询: 河南大学 一种面向虚拟机集群的分布式网络安全方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。