[发明专利]OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统

说明书

本发明属于网络技术领域，具体为一种OpenStack平台中的Open vSwitch违规端口操作自动发现与追溯系统。本发明系统由Open vSwitch信息采集装置、OpenStack信息采集装置、违规行为发现装置、违规行为追溯装置组成；其中，Open vSwitch信息采集装置定时自启动收集物理服务器上当前Open vSwitch的端口信息；OpenStack信息采集装置定时采集OpenStack中Neutron数据库中虚拟网络、虚拟机信息；违规行为发现装置根据所获取的上述信息通过比对分析发现违规操作；违规行为追溯装置根据所产生的报警信息，收集和搜索相关联的日志信息，向管理员提供与违规行为相关的报警追溯报告。本发明能够及时发现绕过Neutron直接违规操作Open vSwitch虚拟端口的违规行为；为违规行为的调查提供追溯信息。

技术领域

本发明属于网络技术领域，具体涉及一种云平台的安全运维系统，特别是一种在OpenStack平台中，对绕过Neutron违规操作Open vSwitch虚拟网络端口的行为进行自动发现和追溯的系统。

背景技术

近年来，随着云计算技术的快速发展，虚拟网络技术也得到了极大的发展。虚拟网络具有高弹性、高扩展性、易管理和开放性等特点，可以将一个物理网络划分为多个完整而又彼此隔离的逻辑网络提供给不同的租户，从而使得网络开销大幅减小，网络运维和管理大大简化，网络业务的可靠性得以提升，满足了新型数据中心的要求。当前以OpenStack为代表的主流开源云平台，以及以Open vSwitch为代表的虚拟网络技术得到普遍应用。

在传统网络环境中，物理交换机通常由专门的网络管理人员负责管理和配置，普通用户没有权限和途径改动物理交换机的配置。而在虚拟网络环境中，由于虚拟交换机部署于物理服务器上，内部人员或攻击者可以从远程登录服务器直接操作虚拟交换机来改变虚拟网络的配置，从而按照自己的意愿改造或是破坏该服务器上所涉及的虚拟网络相关部分。此外，为了使虚拟交换机支持SDN的访问控制方式，虚拟交换机本身也会提供远程访问方式，这也增加了直接操控虚拟交换机的途径。在OpenStack和Open vSwich结合的环境下，对虚拟网络的配置和管理是通过业务定义层、业务调度层、再到资源层这样自上而下的操作方式来实现的，如附图1所示。资源层的虚拟交换机Open vSwitch，在正常情况下只能通过业务调度层的Neutron组件来进行配置和管理。

然而实际上，作为第三方软件的Open vSwitch在向自己的用户提供了丰富的管理工具和远程访问方式，在实际运行过程中，无法也不可能保证自己只能由某一特定的组件来调用，这一矛盾使得内部人员违规绕过Neutron服务，直接通过OpenSwtch的管理工具对虚拟网络进行非法操作成为了可能。也就是说，违规的内部人员或者攻击者只要能够绕过上面两层的云平台直接登录到某一台计算节点服务器上，那么他就能够对部署在这台服务器上的Open vSwitch进行一些非法操作。这些非法操作可以概括为“增、删、改”三种类型：

（1）非法增加端口。由于增加的端口以及连接在端口上的虚拟机不受OpenStack管理，这样的虚拟机无法被OpenStack的管理员发现，但通过适当的配置可以和OpenStack上的虚拟机进行通信；

（2）非法删除端口。被非法删除的端口和连接在端口上的虚拟机依然受OpenStack的控制和管理，只是由于网络中断而无法远程连接和通信，因此OpenStack管理员无法从虚拟机列表和网络拓扑中发现虚拟机的异常；

（3）非法改变端口配置。与（2）大致相同，不同点在于被改变了端口配置的虚拟机是有可能“正常”通信的，条件是改变前后的网络拥有相同的地址池。此处引号的含义是仅从网络连通性的角度来看虚拟机是正常的，但这种网络连通本身却是非法的。