[发明专利]一种基于软件定义网络的安全防御系统及防御方法

说明书

技术领域

本发明涉及的是一种计算机安全领域的防御系统，具体是一种基于软件定义网络的安全防御系统及防御方法。

背景技术

现有很多着重于检测被感染虚拟机并保护云中其他虚拟机不受其攻击的技术，如防火墙和入侵检测系统(Intrusion Detection System,IDS)。在网络层，传统的网络防火墙和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)建立在“被监控网络内——防火墙外”模式下。此种模式不适用于被感染虚拟机和攻击目标处于同一云主机内部的情况，因为网络防火墙和NIDS搜集的必须是进出被监控网络的信息。在主机层，个人防火墙，HIDS，防病毒和防间谍软件系统等，运行在它们所保护的虚拟机内，使得这些工具很容易被窃取到系统特权的攻击者破坏。故这些传统网络安全技术并不能很好的解决本文所着重解决的问题：及时检测有害虚拟机，并在其试图与其他虚拟机进行连接时予以阻止，防止攻击的发生。

目前，部分研究在虚拟化技术的基础上，发展入侵检测技术来检测网络通讯过程中的恶意行为，保障虚拟机的安全。

Tal Garfinkel等人提出的Livewire系统是一个虚拟化环境下的入侵检测系统，它将系统放置在被监控虚拟机外。它构建出的入侵检测系统不仅保留了主机层技术具备的良好系统状态视图，也为IDS提供了强大的隔离性。然而，Livewire仅提供了对虚拟机硬件的访问控制，仍无法阻挡通过网络流量进行的攻击。

W.Yassin等人提出的一种基于云计算的框架，称作“基于云的入侵检测服务”(Cloud-based Intrusion Detection Service,CBIDS)。CBIDS能够克服传统入侵检测技术的不足，例如传统IDS一般部署在虚拟机内部，易受攻击；或是部署在被监控虚拟机的同一网络内，对其他虚拟机可见，也会增加风险。同时，该框架可以嗅探到网络内任意地方的网络流量，感兴趣的数据包会传递到CBIDS中进行深度检测，然后检测是否存在恶意行为并产生相应的警告。然而，CBIDS仅能检测网络流量并提出警告，却无法对攻击行为作出干预，本身不能阻止攻击发生。

Marcos Laureano等人提出的一种入侵检测方案，从被监控虚拟机外部监控，检测并阻塞来自虚拟机内运行服务的攻击。方案包括了入侵检测机制和响应机制，保证既能检测出攻击行为，也能阻止其发生。此方案中，检测的是主机内虚拟机与外界(主机以外)进行网络通讯过程中的流量，这些网络通讯行为由安装在主机内的防火墙软件进行管理。因此，响应机制中是通过该防火墙软件阻塞虚拟机的端口并断开其与外界的通讯，而不能对同主机内虚拟机与虚拟机间的通讯进行控制。

而Flavio Lombardi等人提出了另一个安全框架——KvmSec，它是内核为Linux的虚拟机的拓展，旨在增加被监控虚拟机的安全性。KvmSec具有以下几个特征：1.对虚拟机透明，从虚拟机很难访问KvmSec；2.能收集虚拟机信息并分析，然后做出相应反应；3.能提供虚拟机与主机之间的安全通信。该框架是部署在Linux的主机上的，而且目前仅支持Linux虚拟机。同时，它所能提供的安全通信是Qemu与虚拟机间，即主机与虚拟机间的安全通信，而不提供主机与主机之间、主机内虚拟机与虚拟机之间的安全通信。