[发明专利]一种面向虚拟机集群的分布式网络安全方法

权利要求书

1.一种面向虚拟机集群的分布式网络安全方法，其特征在于，搭建分布式安全策略平台DSPP，所述分布式安全策略平台DSPP负责管理所有虚拟机及服务信息，智能计算出每台虚拟机的安全访问的策略，并下发给安装在每台虚拟机上的微安全访问引擎MSAE进行安全策略的加载与执行；

安全策略的加载与执行的实现方法为：

分布式安全策略平台DSPP为虚拟机集群内的所有虚拟机下发与各虚拟机的操作系统相对应的微安全访问引擎MSAE；

在虚拟机上运行微安全访问引擎MSAE，得到虚拟机信息，微安全访问引擎MSAE对虚拟机信息进行分类、归并、整合后，通过加密通信发送给分布式安全策略平台DSPP；

分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据；

以业务系统名称为初始标签建立虚拟机数据表，并录入虚拟机的结构化范式数据；

制定包括源、目的、服务、时间段四个关键要素的安全策略模型，并使用贴近业务系统的自然语言的标签对新型的安全策略模型进行配置；其中，安全策略的动作为允许或阻断；

根据制定好的安全策略模型，分析出每台虚拟机的安全策略明细，利用安全策略引擎模块对标签化安全策略模型进行矩阵转换和规则变形，转成为最终每台虚拟机可使用安全策略；

安全策略平台DSPP对覆盖范围内的所有虚拟机建立连接，分别把每台虚拟机的安全策略进行数据封装，以消息形式发送每台虚拟机；

每台虚拟机的微安全访问引擎MSAE收到安全策略后，进行消息校验，把安全策略进行预检查，加载执行安全策略；

当虚拟机集群内的虚拟机之间发生网络访问时，虚拟机使用安全策略检测流量，根据安全策略的动作配置，允许或阻断流量。

2.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法，其特征在于，所述分布式安全策略平台DSPP是控制管理组件，分布式安全策略平台DSPP内安装有微安全访问引擎MSAE的客户端；所述微安全访问引擎MSAE针对所有虚拟机的操作系统有不同的软件版本，全部微安全访问引擎MSAE的软件版本都被装载入分布式安全策略平台DSPP。

3.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法，其特征在于，所述虚拟机信息包括虚拟机的基础信息、虚拟机的业务信息、业务系统开放服务的信息、虚拟机的流量；其中，虚拟机的基础信息包括主机名称、IP地址、操作系统版本及补丁、CPU使用情况、内存占用情况、磁盘信息；虚拟机的业务信息包括操作系统组件信息、WEB软件名称及版本信息、数据库软件名称及版本信息、中间件名称及版本信息；业务系统开放服务的信息包括业务的配置参数、服务端口、文件名称、进程信息；虚拟机的流量包括虚拟机的入方向的网络流量、出方向的网络流量。

4.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法，其特征在于，所述分布式安全策略平台DSPP将接收到的虚拟机信息转化成结构化范式数据的方法为：分布式安全策略平台DSPP收到每台虚拟机的信息，对虚拟机集群里的所有虚拟机进行信息完整度、质量情况进行检验，把信息数据初加工，然后把集群内的所有虚拟机信息转化成结构化范式数据。

5.根据权利要求3所述的面向虚拟机集群的分布式网络安全方法，其特征在于，所述建立虚拟机数据表的方法为：根据每台虚拟机的软件组件、参数、开放的服务端口、进程、文件；以业务系统名称为初始标签，使用标签传播算法给业务系统的其它虚拟机，承载的业务系统的相同属性和不同属性的虚拟机，使用分层聚类算法划分出WEB、数据库、中间件不同的角色，绘制出完整的业务系统的图结构；每台虚拟机都有业务系统标签、角色标签、开放服务标签；以业务系统标签建立虚拟机数据表，并录入虚拟机相关信息数据，构建出虚拟机集群的基础数据。

6.根据权利要求1所述的面向虚拟机集群的分布式网络安全方法，其特征在于，所述安全策略模型是以每台虚拟机为安全策略基础，以每个服务为最小单元进行访问控制。