福州墨爾本理工職業(yè)學(xué)院 劉 勍

IaaS云計算環(huán)境下的虛擬網(wǎng)絡(luò)安全防護是亟待解決的云計算安全問題?？紤]到用戶對網(wǎng)絡(luò)和數(shù)據(jù)管控的能力弱化，為此要在防范虛擬網(wǎng)絡(luò)外部安全風(fēng)險的同時，重點關(guān)注虛擬網(wǎng)絡(luò)的內(nèi)部安全風(fēng)險，采用集成化、模塊化的理念和方法，構(gòu)建云計算環(huán)境下虛擬網(wǎng)絡(luò)的安全防護體系，引入SDN的理念和方法，提出一種基于虛擬網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)控制策略，利用SDN控制器進行云計算環(huán)境下虛擬網(wǎng)絡(luò)的實時在線監(jiān)控，避免惡意人員直接對虛擬網(wǎng)絡(luò)設(shè)備進行非授權(quán)操作。基于可信調(diào)用層次關(guān)聯(lián)的思想，采用基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法，描述和分析租戶的正常行為。并通過基于行為追溯的虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險監(jiān)測策略，利用完整準(zhǔn)確的各個節(jié)點接口，對不同節(jié)點、不同層次采集的行為信息進行比對分析，監(jiān)測發(fā)現(xiàn)虛擬網(wǎng)絡(luò)的安全風(fēng)險，從而較好地提高云計算環(huán)境下虛擬網(wǎng)絡(luò)的安全性能。

1 基于虛擬網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)控制技術(shù)

1.1 應(yīng)用原理

基于SDN的虛擬網(wǎng)絡(luò)設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)控制采用集中控制的理念和方法，實現(xiàn)對虛擬網(wǎng)絡(luò)設(shè)備數(shù)據(jù)流表的監(jiān)控，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)資源的靈活調(diào)配和使用，體現(xiàn)出流量集中化管理、配置簡便等優(yōu)勢特點，較好地適用于虛擬網(wǎng)絡(luò)故障的快速修復(fù)，實現(xiàn)虛擬網(wǎng)絡(luò)的平滑升級。其功能實現(xiàn)主要依賴于兩大構(gòu)件，即：交換機和控制器，其中：交換機主要是通過安全通道與socket相連接，并利用流表控制數(shù)據(jù)包的轉(zhuǎn)發(fā)操作，基于openflow協(xié)議進行流表內(nèi)匹配字段、計數(shù)器和動作字段的有序執(zhí)行。而控制器主要是在各種應(yīng)用軟件及開放API的交互條件下，進行流表監(jiān)控管理，阻斷惡意運維管理人員的違法行為。

1.2 流表監(jiān)控

主要由SDN控制器監(jiān)控虛擬網(wǎng)絡(luò)設(shè)備的流表，以O(shè)penFlow交換機設(shè)備為例，通過SDN控制器檢查其流表流量及變化情況，生成正常流表并進行下發(fā)操作，并在數(shù)據(jù)傳送過程中進行流表信息的比對，分析流表的變化狀態(tài)。其具體流程如圖1所示。

圖1 SDN控制器的流表控制流程圖

1.3 轉(zhuǎn)發(fā)控制

在上述SDN控制器的流表監(jiān)控中判定出惡意流表的存在，對此要針對流表的轉(zhuǎn)發(fā)行為進行阻斷控制。其流程為：由SDN控制器監(jiān)控惡意流表的存在，再將其發(fā)送至轉(zhuǎn)發(fā)控制單元，依循一定的策略將信息發(fā)送至虛擬交換機，對原有流表修改的情況進行修正，對之前不存在的流表注入則直接刪除惡意流表。另外，要對控制器端的流表進行備份，確保租戶對流表信息的安全訪問。

2 基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法

對于惡意調(diào)用虛擬網(wǎng)絡(luò)服務(wù)接口的操作，要采用基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法，對云計算環(huán)境下虛擬網(wǎng)絡(luò)的調(diào)用流程進行關(guān)聯(lián)分析，提出相應(yīng)的租戶正常行為模型，及時發(fā)現(xiàn)虛擬網(wǎng)絡(luò)的內(nèi)部安全風(fēng)險，規(guī)避惡意操控租戶整個虛擬網(wǎng)絡(luò)配置的行為。

2.1 云計算環(huán)境下的可信調(diào)用分析

租戶通過認(rèn)證授權(quán)獲取云平臺的唯一token，進入到云平臺管理界面之中，調(diào)用云平臺的各種接口，在相應(yīng)的控制節(jié)點、計算節(jié)點之中進行虛擬機的創(chuàng)建和私有網(wǎng)絡(luò)的創(chuàng)建，并進行相關(guān)更改、刪除、解除映射等操作。

在租戶進行上下層接口或進程的行為過程中，即視為一次層次間的可信調(diào)用，對應(yīng)接口和插件要根據(jù)需求調(diào)用虛擬化進程，完成對虛擬化設(shè)備的更新操作。而惡意網(wǎng)絡(luò)運維管理人員能夠非法利用自身權(quán)限進行虛擬網(wǎng)絡(luò)設(shè)備的間接操控，惡意調(diào)用接口創(chuàng)建額外的網(wǎng)絡(luò)地址，或更改虛擬網(wǎng)絡(luò)綁定的IP地址。然而，可信調(diào)用分析必須與層次關(guān)聯(lián)分析相結(jié)合，才能對多個接口調(diào)用進行準(zhǔn)確判定，采用關(guān)聯(lián)的方式獲悉當(dāng)前行為的發(fā)起點，從而判定某接口或進程調(diào)用行為的合法性。

2.2 基于源碼分析的層次關(guān)聯(lián)

在對云計算環(huán)境下虛擬網(wǎng)絡(luò)租戶行為的分析過程中，要結(jié)合運用基于源碼的分析策略，構(gòu)建虛擬網(wǎng)絡(luò)租戶正常行為模型，設(shè)置租戶正常的行為流程——有限狀態(tài)機流程，在該流程中的各個狀態(tài)點與租戶當(dāng)前層次行為相對應(yīng)，再通過各節(jié)點狀態(tài)信息的采集和分析，最終獲悉云計算環(huán)境中虛擬網(wǎng)絡(luò)租戶的正常行為狀態(tài)。

以O(shè)penstack云平臺為例，不同層次的租戶對應(yīng)相應(yīng)層次的網(wǎng)絡(luò)服務(wù)操作，形成租戶正常狀態(tài)下的數(shù)據(jù)結(jié)構(gòu)。為了準(zhǔn)確地分析網(wǎng)絡(luò)租戶的正常行為，需要定義各層次源代碼的行為關(guān)鍵詞，通過行為關(guān)鍵詞搜索網(wǎng)絡(luò)租戶正常行為的特點和規(guī)律性，并形成對應(yīng)層次的租戶關(guān)鍵詞數(shù)據(jù)庫。在對各層次的租戶關(guān)鍵詞數(shù)據(jù)庫進行算法分析時，要在遍歷各個層次的前提下，將租戶當(dāng)前行為與關(guān)鍵詞庫中的正常行為相比對，假若兩者相一致，則進入到下一層次。

2.3 租戶行為狀態(tài)機的生成

云計算環(huán)境下虛擬網(wǎng)絡(luò)的租戶行為構(gòu)建主要采用有限狀態(tài)機的方式進行描述，因而可以將其轉(zhuǎn)化為租戶行為狀態(tài)機的生成問題，反映云環(huán)境中各層次調(diào)用后所處的狀態(tài)。其生成流程主要包括有：（1）定義各個層次的相關(guān)源代碼關(guān)鍵詞；（2）將當(dāng)前租戶行為與各層次關(guān)鍵詞庫相比對，獲悉與當(dāng)前行為相對應(yīng)的函數(shù)或關(guān)鍵詞；（3）結(jié)合層次關(guān)聯(lián)分析得出狀態(tài)機中生成的對應(yīng)行為狀態(tài)，依據(jù)相關(guān)行為邏輯創(chuàng)建新的狀態(tài)節(jié)點；（4）最終完成云環(huán)境下整個租戶正常行為狀態(tài)機的構(gòu)建。

3 基于行為追溯的虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險監(jiān)測策略

云計算環(huán)境下虛擬網(wǎng)絡(luò)的惡意威脅監(jiān)測尤其重要。為此，本文提出一種基于行為追溯的虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險監(jiān)測策略。

3.1 內(nèi)部威脅行為采集

在設(shè)立虛擬網(wǎng)絡(luò)租戶行為采集點的前提下，對身份驗證的租戶進行網(wǎng)絡(luò)管理，其信息采集點的位置覆蓋虛擬網(wǎng)絡(luò)各個單元，包括網(wǎng)絡(luò)服務(wù)控制模塊、服務(wù)插件、遠(yuǎn)程過程調(diào)用、服務(wù)代理、管理接口、虛擬化進程等，并通過調(diào)用時間和行為關(guān)鍵詞生成租戶當(dāng)前調(diào)用流程，從而及時發(fā)現(xiàn)惡意運維管理人員的違法行為。以虛擬網(wǎng)絡(luò)服務(wù)模塊的內(nèi)部威脅行為采集為例，通過遠(yuǎn)程調(diào)用接口處添加日志信息的方式，生成虛擬網(wǎng)絡(luò)租戶行為的相關(guān)記錄，最后將這些日志記錄信息進行打印和輸出，通常將這些日志信息輸出到云計算平臺下各個節(jié)點之中，如控制節(jié)點、網(wǎng)絡(luò)節(jié)點、計算節(jié)點，并通過行為追溯的方式生成與各調(diào)用接口日志信息相對應(yīng)的多層次行為。

3.2 內(nèi)部威脅行為匹配

由上述內(nèi)部威脅行為采集可知，可以利用行為追溯算法對采集的調(diào)用行為進行分析，并將其與正?？尚判袨橄啾葘推ヅ?，判定該調(diào)用行為的合法性?？紤]到惡意內(nèi)部威脅行為可能存在于云計算環(huán)境中虛擬網(wǎng)絡(luò)的任一節(jié)點，最終歸于網(wǎng)絡(luò)虛擬設(shè)備之中。為此，要在對惡意內(nèi)部威脅行為進行判定時，采用由上而下的匹配算法，將實際調(diào)用行為最底層的當(dāng)前行為與正常行為對應(yīng)節(jié)點相匹配，如若實際調(diào)用行為與租戶正常行為不相匹配，則表明當(dāng)前的配置管理命令并非由租戶正常發(fā)出，而是由惡意內(nèi)部運維管理人員的非法操作而發(fā)起的，應(yīng)當(dāng)將其判定為惡意行為。反之，則將其判定為非授權(quán)的惡意行為。

小結(jié)：綜上所述，云計算環(huán)境中虛擬網(wǎng)絡(luò)的安全防護不僅要注重外部威脅，還要加強內(nèi)部威脅的防護。本文重點從內(nèi)部威脅安全防護的角度出發(fā)，采用數(shù)據(jù)轉(zhuǎn)發(fā)控制方法、基于可信調(diào)用層次關(guān)聯(lián)的租戶行為構(gòu)建方法和基于行為追溯的虛擬網(wǎng)絡(luò)內(nèi)部威脅監(jiān)測方法，提高云環(huán)境虛擬網(wǎng)絡(luò)的安全性。后續(xù)還要進一步引入機器學(xué)習(xí)算法構(gòu)建高效的租戶行為模型，并結(jié)合區(qū)塊鏈分布式數(shù)據(jù)庫技術(shù)，提高虛擬網(wǎng)絡(luò)流表信息的安全與完整。