福州墨爾本理工職業(yè)學(xué)院 劉 勍

IaaS云計(jì)算環(huán)境下的虛擬網(wǎng)絡(luò)安全防護(hù)是亟待解決的云計(jì)算安全問題。考慮到用戶對(duì)網(wǎng)絡(luò)和數(shù)據(jù)管控的能力弱化，為此要在防范虛擬網(wǎng)絡(luò)外部安全風(fēng)險(xiǎn)的同時(shí)，重點(diǎn)關(guān)注虛擬網(wǎng)絡(luò)的內(nèi)部安全風(fēng)險(xiǎn)，采用集成化、模塊化的理念和方法，構(gòu)建云計(jì)算環(huán)境下虛擬網(wǎng)絡(luò)的安全防護(hù)體系，引入SDN的理念和方法，提出一種基于虛擬網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)控制策略，利用SDN控制器進(jìn)行云計(jì)算環(huán)境下虛擬網(wǎng)絡(luò)的實(shí)時(shí)在線監(jiān)控，避免惡意人員直接對(duì)虛擬網(wǎng)絡(luò)設(shè)備進(jìn)行非授權(quán)操作?；诳尚耪{(diào)用層次關(guān)聯(lián)的思想，采用基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法，描述和分析租戶的正常行為。并通過基于行為追溯的虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險(xiǎn)監(jiān)測(cè)策略，利用完整準(zhǔn)確的各個(gè)節(jié)點(diǎn)接口，對(duì)不同節(jié)點(diǎn)、不同層次采集的行為信息進(jìn)行比對(duì)分析，監(jiān)測(cè)發(fā)現(xiàn)虛擬網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，從而較好地提高云計(jì)算環(huán)境下虛擬網(wǎng)絡(luò)的安全性能。

1 基于虛擬網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)控制技術(shù)

1.1 應(yīng)用原理

基于SDN的虛擬網(wǎng)絡(luò)設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)控制采用集中控制的理念和方法，實(shí)現(xiàn)對(duì)虛擬網(wǎng)絡(luò)設(shè)備數(shù)據(jù)流表的監(jiān)控，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)資源的靈活調(diào)配和使用，體現(xiàn)出流量集中化管理、配置簡(jiǎn)便等優(yōu)勢(shì)特點(diǎn)，較好地適用于虛擬網(wǎng)絡(luò)故障的快速修復(fù)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)的平滑升級(jí)。其功能實(shí)現(xiàn)主要依賴于兩大構(gòu)件，即：交換機(jī)和控制器，其中：交換機(jī)主要是通過安全通道與socket相連接，并利用流表控制數(shù)據(jù)包的轉(zhuǎn)發(fā)操作，基于openflow協(xié)議進(jìn)行流表內(nèi)匹配字段、計(jì)數(shù)器和動(dòng)作字段的有序執(zhí)行。而控制器主要是在各種應(yīng)用軟件及開放API的交互條件下，進(jìn)行流表監(jiān)控管理，阻斷惡意運(yùn)維管理人員的違法行為。

1.2 流表監(jiān)控

主要由SDN控制器監(jiān)控虛擬網(wǎng)絡(luò)設(shè)備的流表，以O(shè)penFlow交換機(jī)設(shè)備為例，通過SDN控制器檢查其流表流量及變化情況，生成正常流表并進(jìn)行下發(fā)操作，并在數(shù)據(jù)傳送過程中進(jìn)行流表信息的比對(duì)，分析流表的變化狀態(tài)。其具體流程如圖1所示。

圖1 SDN控制器的流表控制流程圖

1.3 轉(zhuǎn)發(fā)控制

在上述SDN控制器的流表監(jiān)控中判定出惡意流表的存在，對(duì)此要針對(duì)流表的轉(zhuǎn)發(fā)行為進(jìn)行阻斷控制。其流程為：由SDN控制器監(jiān)控惡意流表的存在，再將其發(fā)送至轉(zhuǎn)發(fā)控制單元，依循一定的策略將信息發(fā)送至虛擬交換機(jī)，對(duì)原有流表修改的情況進(jìn)行修正，對(duì)之前不存在的流表注入則直接刪除惡意流表。另外，要對(duì)控制器端的流表進(jìn)行備份，確保租戶對(duì)流表信息的安全訪問。

2 基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法

對(duì)于惡意調(diào)用虛擬網(wǎng)絡(luò)服務(wù)接口的操作，要采用基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法，對(duì)云計(jì)算環(huán)境下虛擬網(wǎng)絡(luò)的調(diào)用流程進(jìn)行關(guān)聯(lián)分析，提出相應(yīng)的租戶正常行為模型，及時(shí)發(fā)現(xiàn)虛擬網(wǎng)絡(luò)的內(nèi)部安全風(fēng)險(xiǎn)，規(guī)避惡意操控租戶整個(gè)虛擬網(wǎng)絡(luò)配置的行為。

2.1 云計(jì)算環(huán)境下的可信調(diào)用分析

租戶通過認(rèn)證授權(quán)獲取云平臺(tái)的唯一token，進(jìn)入到云平臺(tái)管理界面之中，調(diào)用云平臺(tái)的各種接口，在相應(yīng)的控制節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)之中進(jìn)行虛擬機(jī)的創(chuàng)建和私有網(wǎng)絡(luò)的創(chuàng)建，并進(jìn)行相關(guān)更改、刪除、解除映射等操作。

在租戶進(jìn)行上下層接口或進(jìn)程的行為過程中，即視為一次層次間的可信調(diào)用，對(duì)應(yīng)接口和插件要根據(jù)需求調(diào)用虛擬化進(jìn)程，完成對(duì)虛擬化設(shè)備的更新操作。而惡意網(wǎng)絡(luò)運(yùn)維管理人員能夠非法利用自身權(quán)限進(jìn)行虛擬網(wǎng)絡(luò)設(shè)備的間接操控，惡意調(diào)用接口創(chuàng)建額外的網(wǎng)絡(luò)地址，或更改虛擬網(wǎng)絡(luò)綁定的IP地址。然而，可信調(diào)用分析必須與層次關(guān)聯(lián)分析相結(jié)合，才能對(duì)多個(gè)接口調(diào)用進(jìn)行準(zhǔn)確判定，采用關(guān)聯(lián)的方式獲悉當(dāng)前行為的發(fā)起點(diǎn)，從而判定某接口或進(jìn)程調(diào)用行為的合法性。

2.2 基于源碼分析的層次關(guān)聯(lián)

在對(duì)云計(jì)算環(huán)境下虛擬網(wǎng)絡(luò)租戶行為的分析過程中，要結(jié)合運(yùn)用基于源碼的分析策略，構(gòu)建虛擬網(wǎng)絡(luò)租戶正常行為模型，設(shè)置租戶正常的行為流程——有限狀態(tài)機(jī)流程，在該流程中的各個(gè)狀態(tài)點(diǎn)與租戶當(dāng)前層次行為相對(duì)應(yīng)，再通過各節(jié)點(diǎn)狀態(tài)信息的采集和分析，最終獲悉云計(jì)算環(huán)境中虛擬網(wǎng)絡(luò)租戶的正常行為狀態(tài)。

以O(shè)penstack云平臺(tái)為例，不同層次的租戶對(duì)應(yīng)相應(yīng)層次的網(wǎng)絡(luò)服務(wù)操作，形成租戶正常狀態(tài)下的數(shù)據(jù)結(jié)構(gòu)。為了準(zhǔn)確地分析網(wǎng)絡(luò)租戶的正常行為，需要定義各層次源代碼的行為關(guān)鍵詞，通過行為關(guān)鍵詞搜索網(wǎng)絡(luò)租戶正常行為的特點(diǎn)和規(guī)律性，并形成對(duì)應(yīng)層次的租戶關(guān)鍵詞數(shù)據(jù)庫。在對(duì)各層次的租戶關(guān)鍵詞數(shù)據(jù)庫進(jìn)行算法分析時(shí)，要在遍歷各個(gè)層次的前提下，將租戶當(dāng)前行為與關(guān)鍵詞庫中的正常行為相比對(duì)，假若兩者相一致，則進(jìn)入到下一層次。

2.3 租戶行為狀態(tài)機(jī)的生成

云計(jì)算環(huán)境下虛擬網(wǎng)絡(luò)的租戶行為構(gòu)建主要采用有限狀態(tài)機(jī)的方式進(jìn)行描述，因而可以將其轉(zhuǎn)化為租戶行為狀態(tài)機(jī)的生成問題，反映云環(huán)境中各層次調(diào)用后所處的狀態(tài)。其生成流程主要包括有：（1）定義各個(gè)層次的相關(guān)源代碼關(guān)鍵詞；（2）將當(dāng)前租戶行為與各層次關(guān)鍵詞庫相比對(duì)，獲悉與當(dāng)前行為相對(duì)應(yīng)的函數(shù)或關(guān)鍵詞；（3）結(jié)合層次關(guān)聯(lián)分析得出狀態(tài)機(jī)中生成的對(duì)應(yīng)行為狀態(tài)，依據(jù)相關(guān)行為邏輯創(chuàng)建新的狀態(tài)節(jié)點(diǎn)；（4）最終完成云環(huán)境下整個(gè)租戶正常行為狀態(tài)機(jī)的構(gòu)建。

3 基于行為追溯的虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險(xiǎn)監(jiān)測(cè)策略

云計(jì)算環(huán)境下虛擬網(wǎng)絡(luò)的惡意威脅監(jiān)測(cè)尤其重要。為此，本文提出一種基于行為追溯的虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險(xiǎn)監(jiān)測(cè)策略。

3.1 內(nèi)部威脅行為采集

在設(shè)立虛擬網(wǎng)絡(luò)租戶行為采集點(diǎn)的前提下，對(duì)身份驗(yàn)證的租戶進(jìn)行網(wǎng)絡(luò)管理，其信息采集點(diǎn)的位置覆蓋虛擬網(wǎng)絡(luò)各個(gè)單元，包括網(wǎng)絡(luò)服務(wù)控制模塊、服務(wù)插件、遠(yuǎn)程過程調(diào)用、服務(wù)代理、管理接口、虛擬化進(jìn)程等，并通過調(diào)用時(shí)間和行為關(guān)鍵詞生成租戶當(dāng)前調(diào)用流程，從而及時(shí)發(fā)現(xiàn)惡意運(yùn)維管理人員的違法行為。以虛擬網(wǎng)絡(luò)服務(wù)模塊的內(nèi)部威脅行為采集為例，通過遠(yuǎn)程調(diào)用接口處添加日志信息的方式，生成虛擬網(wǎng)絡(luò)租戶行為的相關(guān)記錄，最后將這些日志記錄信息進(jìn)行打印和輸出，通常將這些日志信息輸出到云計(jì)算平臺(tái)下各個(gè)節(jié)點(diǎn)之中，如控制節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)，并通過行為追溯的方式生成與各調(diào)用接口日志信息相對(duì)應(yīng)的多層次行為。

3.2 內(nèi)部威脅行為匹配

由上述內(nèi)部威脅行為采集可知，可以利用行為追溯算法對(duì)采集的調(diào)用行為進(jìn)行分析，并將其與正常可信行為相比對(duì)和匹配，判定該調(diào)用行為的合法性?？紤]到惡意內(nèi)部威脅行為可能存在于云計(jì)算環(huán)境中虛擬網(wǎng)絡(luò)的任一節(jié)點(diǎn)，最終歸于網(wǎng)絡(luò)虛擬設(shè)備之中。為此，要在對(duì)惡意內(nèi)部威脅行為進(jìn)行判定時(shí)，采用由上而下的匹配算法，將實(shí)際調(diào)用行為最底層的當(dāng)前行為與正常行為對(duì)應(yīng)節(jié)點(diǎn)相匹配，如若實(shí)際調(diào)用行為與租戶正常行為不相匹配，則表明當(dāng)前的配置管理命令并非由租戶正常發(fā)出，而是由惡意內(nèi)部運(yùn)維管理人員的非法操作而發(fā)起的，應(yīng)當(dāng)將其判定為惡意行為。反之，則將其判定為非授權(quán)的惡意行為。

小結(jié)：綜上所述，云計(jì)算環(huán)境中虛擬網(wǎng)絡(luò)的安全防護(hù)不僅要注重外部威脅，還要加強(qiáng)內(nèi)部威脅的防護(hù)。本文重點(diǎn)從內(nèi)部威脅安全防護(hù)的角度出發(fā)，采用數(shù)據(jù)轉(zhuǎn)發(fā)控制方法、基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法和基于行為追溯的虛擬網(wǎng)絡(luò)內(nèi)部威脅監(jiān)測(cè)方法，提高云環(huán)境虛擬網(wǎng)絡(luò)的安全性。后續(xù)還要進(jìn)一步引入機(jī)器學(xué)習(xí)算法構(gòu)建高效的租戶行為模型，并結(jié)合區(qū)塊鏈分布式數(shù)據(jù)庫技術(shù)，提高虛擬網(wǎng)絡(luò)流表信息的安全與完整。