技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于SDN的云計(jì)算數(shù)據(jù)中心的審計(jì)系統(tǒng)及方法。

背景技術(shù)

目前我國云計(jì)算正處于發(fā)展階段，數(shù)據(jù)的安全性是阻礙其發(fā)展的重要因素。當(dāng)把數(shù)據(jù)交付給云計(jì)算時(shí)面臨著風(fēng)險(xiǎn)，為了保障虛擬基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用程序的安全需要采用有效的措施，如審計(jì)（CSA云安全指南中提到）。但是由于虛擬化技術(shù)的引入，打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式；并且虛擬機(jī)數(shù)量變化快的特性也要求有與之相適應(yīng)的迅速的安全防護(hù)。而這些都是傳統(tǒng)的審計(jì)手段無法做到的。

因此對(duì)于采用基于虛擬化的云平臺(tái)架構(gòu)搭建IT環(huán)境的政府及企業(yè)用戶來說，安全性及合規(guī)性依然是他們需要考慮的首要因素，用戶需要一套完整的應(yīng)用于云計(jì)算環(huán)境下的審計(jì)方案可以為虛擬和物理環(huán)境都提供持續(xù)的保護(hù)，并滿足其合規(guī)性檢查的需要，做到全面的審計(jì)覆蓋。

申請(qǐng)?zhí)枮镃N201010270810.0的發(fā)明專利公開了一種云數(shù)據(jù)審計(jì)的方法和系統(tǒng)。云數(shù)據(jù)審計(jì)的系統(tǒng)包括文件監(jiān)控模塊和審計(jì)模塊，系統(tǒng)首先通過文件監(jiān)控模塊調(diào)用獲得用戶使用的文件和數(shù)據(jù)，然后再通過審計(jì)模塊對(duì)用戶使用的數(shù)據(jù)的備份數(shù)據(jù)進(jìn)行審計(jì)。采用本發(fā)明可使得云計(jì)算系統(tǒng)能進(jìn)行數(shù)據(jù)內(nèi)容和使用權(quán)限的審核，而且對(duì)用戶的使用不產(chǎn)生影響，又能及時(shí)遏制用戶對(duì)不良數(shù)據(jù)的使用或?qū)?shù)據(jù)的越權(quán)使用，并能對(duì)不良數(shù)據(jù)和不良用戶作相應(yīng)處理。

此發(fā)明的目的在于提供一種云數(shù)據(jù)的審計(jì)方法和系統(tǒng)，使得云計(jì)算系統(tǒng)能監(jiān)測不良數(shù)據(jù)、不良用戶以及用戶對(duì)數(shù)據(jù)的越權(quán)使用，本發(fā)明要解決的技術(shù)問題在于使得云計(jì)算系統(tǒng)自動(dòng)地審計(jì)用戶使用的數(shù)據(jù)，確保杜絕不良數(shù)據(jù)、有害數(shù)據(jù)的使用，但不影響用戶使用的速度和質(zhì)量。此技術(shù)需要對(duì)對(duì)審計(jì)模塊審計(jì)通過的數(shù)據(jù)進(jìn)行標(biāo)識(shí)，另外在數(shù)據(jù)被重新修改后需要?jiǎng)h除對(duì)數(shù)據(jù)的標(biāo)識(shí)；這些都需要耗費(fèi)較大的系統(tǒng)資源，也容易弄臟原始數(shù)據(jù)本身。另外，此發(fā)明只能在限定范圍內(nèi)進(jìn)行審計(jì)以避免資源耗用過大，不能對(duì)云計(jì)算數(shù)據(jù)中心進(jìn)行整體普適性的審計(jì)。

此外，申請(qǐng)?zhí)枮镃N201210588862.1的發(fā)明專利公開了基于多Agent的動(dòng)態(tài)可擴(kuò)展云審計(jì)方法，每臺(tái)主機(jī)上都加載運(yùn)行Agent事件收集子系統(tǒng)和Agent事件分析子系統(tǒng)，在受監(jiān)視云審計(jì)系統(tǒng)中作為后臺(tái)進(jìn)程運(yùn)行審計(jì)信息的收集和分析，并將數(shù)據(jù)傳遞給中央管理者服務(wù)器；GUI客戶端用于查看各個(gè)主機(jī)的狀態(tài)；中央管理服務(wù)器和數(shù)據(jù)庫用于接收來自主機(jī)的數(shù)據(jù)和報(bào)告，控制整個(gè)云審計(jì)系統(tǒng)的通信信息，對(duì)接收到的安全審計(jì)事件進(jìn)行分析、存儲(chǔ)；WindowsAgent子系統(tǒng)底層調(diào)用系統(tǒng)的應(yīng)用程序編程接口api直接獲取windows的事件內(nèi)容標(biāo)準(zhǔn)化為系統(tǒng)日志syslog事件發(fā)送給agent事件分析子系統(tǒng)；Linux Agent系統(tǒng)最底層采用事件收集模塊收集數(shù)據(jù)。

此發(fā)明要求在每臺(tái)主機(jī)上安裝一個(gè)代理以進(jìn)行審計(jì)工作，這將耗用該主機(jī)自身的資源。另外在該主機(jī)崩潰（如中毒，死機(jī)等情況）時(shí)，代理停止工作，這將影響審計(jì)的連續(xù)性和完備性。另外當(dāng)該主機(jī)上的虛擬機(jī)發(fā)生遷移時(shí)，此發(fā)明很難追蹤該遷移的虛擬機(jī)，從而實(shí)現(xiàn)對(duì)該虛擬機(jī)的持續(xù)審計(jì)。

發(fā)明內(nèi)容

本發(fā)明為了解決現(xiàn)有技術(shù)中云計(jì)算數(shù)據(jù)中心審計(jì)的缺點(diǎn)或不足，采用了一種基于SDN的云計(jì)算數(shù)據(jù)中心審計(jì)的方案，從而實(shí)現(xiàn)了在云計(jì)算數(shù)據(jù)中心中不影響業(yè)務(wù)正常運(yùn)行的條件下提供可定制、擴(kuò)展的虛擬審計(jì)服務(wù)的目的。

本發(fā)明提供了一種基于SDN的云計(jì)算數(shù)據(jù)中心的審計(jì)系統(tǒng)，該系統(tǒng)包括核心管理模塊、系統(tǒng)基礎(chǔ)功能模塊以及與其他安全設(shè)備/虛擬機(jī)的聯(lián)動(dòng)接口。

核心管理模塊是是整個(gè)系統(tǒng)的關(guān)鍵核心，包括SDN控制器管理平臺(tái)模塊、審計(jì)虛擬機(jī)管理平臺(tái)模塊和審計(jì)虛擬機(jī)安全保障模塊。

SDN控制器管理平臺(tái)模塊負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量規(guī)則的執(zhí)行，包括流表生成模塊、流表下發(fā)模塊、虛擬交換機(jī)變動(dòng)模塊和流量異常檢測模塊。

流表生成模塊根據(jù)云計(jì)算中心審計(jì)的流量審計(jì)需求和審計(jì)虛擬器件變動(dòng)的需求生成需要變更的流表，接著虛擬交換機(jī)變動(dòng)模塊根據(jù)需要通知相應(yīng)主機(jī)上生成/刪除新的虛擬交換機(jī)或相應(yīng)主機(jī)上的虛擬交換機(jī)生成/刪除端口或生成/刪除接口，最后流表下發(fā)模塊將流表發(fā)送到指定的虛擬交換機(jī)處以更新流表規(guī)則。

流量異常檢測模塊是配合審計(jì)虛擬機(jī)安全保障模塊工作，通過對(duì)審計(jì)虛擬機(jī)服務(wù)器上的流量進(jìn)行檢測，當(dāng)發(fā)現(xiàn)異常時(shí)及時(shí)響應(yīng)，以確保審計(jì)虛擬機(jī)服務(wù)器自身的安全。