微隔离方法、装置及相关设备与流程

1.本技术涉及网络安全领域，尤其涉及一种微隔离方法、装置及相关设备。

背景技术：

2.为了解决数据中心东西向隔离，业界提出了微隔离方案。微隔离顾名思义是细粒度更小的网络隔离技术，能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入数据中心网络内部后的东西向移动。
3.目前，实现微隔离可采用主机代理的方式。在每个虚拟机上安装主机代理软件，主机代理需获取最高权限后从虚拟机中获取网元的拓扑信息，这存在虚拟网络的正常进程被主机代理篡改的风险。即微隔离过程中存在虚拟网络的正常进程被篡改的问题。

技术实现要素：

4.本技术实施例提供一种微隔离方法、装置及相关设备，解决了微隔离过程中虚拟网络的正常进程被篡改的问题。
5.为达到上述目的，第一方面，本技术实施例提供一种微隔离方法，应用于第一设备，包括：
6.接收第一信息，所述第一信息包括以下至少一项：网元的第一拓扑信息、第二设备的第二拓扑信息、所述网元的日志信息，所述第二设备与所述网元对应；
7.将所述第一信息与参考信息进行比较，得到比较结果；
8.根据所述比较结果，确定是否对目标流向的流量执行隔离操作。
9.第二方面，本技术实施例提供一种微隔离方法，应用于第一网元，所述第一网元包括oss、omc和nfvo，包括：
10.向第一设备发送第二信息，所述第二信息包括以下至少一项：所述第一网元的第一拓扑信息、与所述第一网元对应的第二设备的第二拓扑信息、所述第一网元的日志信息。
11.第三方面，本技术实施例提供一种微隔离方法，应用于第三设备，包括：
12.接收第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取日志信息；
13.向所述第一设备发送日志信息。
14.第四方面，本技术实施例提供一种微隔离装置，包括：
15.第一收发器，用于：接收第一信息，所述第一信息包括以下至少一项：网元的第一拓扑信息、第二设备的第二拓扑信息、所述网元的日志信息，所述第二设备与所述网元对应；
16.第一处理器，用于：将所述第一信息与参考信息进行比较，得到比较结果；
17.根据所述比较结果，确定是否对目标流向的流量执行隔离操作。
18.第五方面，本技术实施例提供一种微隔离装置，包括：
19.第二收发器，用于：向第一设备发送第二信息，所述第二信息包括以下至少一项：
第一网元的第一拓扑信息、与所述第一网元对应的第二设备的第二拓扑信息、所述第一网元的日志信息。
20.第六方面，本技术实施例提供一种微隔离装置，包括：
21.第三收发器，用于：接收第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取日志信息；
22.向所述第一设备发送日志信息。
23.第七方面，本技术实施例提供一种通信设备，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；所述处理器，用于读取存储器中的程序实现如第一方面所述的微隔离方法中的步骤；或，如第二方面所述的微隔离方法中的步骤；或，如第三方面所述的微隔离方法中的步骤。
24.第八方面，本技术实施例提供一种可读存储介质，用于存储程序，所述程序被处理器执行时实现如第一方面所述的微隔离方法中的步骤；或，如第二方面所述的微隔离方法中的步骤；或，如第三方面所述的微隔离方法中的步骤。
25.本技术实施例中，通过第一设备接收第一信息，然后将接收到的第一信息与参考信息进行比较，得到比较结果，最后根据比较结果，确定是否对目标流向的流量执行隔离操作，这样，不需要在虚拟机上安装主机代理即可实现对目标流向流量的微隔离。从而避免了主机代理需获取最高权限后从虚拟机中获取网元的拓扑信息，导致虚拟网络的正常进程被主机代理篡改的情况发生，解决了微隔离过程中虚拟网络的正常进程被篡改的问题。
附图说明
26.为了更清楚的说明本技术实施例中的技术方案，现对说明书附图作如下说明，显而易见地，下述附图仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据所列附图获得其他附图。
27.图1是本技术实施例可应用的网络系统的结构示意图；
28.图2是本技术实施例提供的微隔离方法的流程示意图之一；
29.图3是本技术实施例提供的微隔离方法的流程示意图之二；
30.图4是本技术实施例提供的微隔离方法的流程示意图之三；
31.图5是本技术实施例提供的微隔离方法的流程示意图之四；
32.图6是本技术实施例提供的微隔离方法的流程示意图之五；
33.图7是本技术实施例提供的微隔离方法的流程示意图之六；
34.图8是本技术实施例提供的微隔离管理平台的结构示意图；
35.图9是本发明实施提供的微隔离装置的结构示意图之一；
36.图10是本发明实施提供的微隔离装置的结构示意图之二；
37.图11是本发明实施提供的微隔离装置的结构示意图之三；
38.图12是本发明实施提供的通信设备的结构示意图。
具体实施方式
39.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。在本申
请中的实施例的基础上，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
40.本发明实施例中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。此外，本技术中使用“和/或”表示所连接对象的至少其中之一，例如a和/或b和/或c，表示包含单独a，单独b，单独c，以及a和b都存在，b和c都存在，a和c都存在，以及a、b和c都存在的7种情况。
41.参见图1，图1是本技术实施例可应用的网络系统的结构图，本技术实施例可应用的网络系统包括：第一设备11、第一网元12和第三设备13。
42.第一设备11可以为微隔离安全管理平台，第三设备12可以为日志服务器，第一网元12包括操作维护中心(operation and maintenance center，简称omc)、网络功能虚拟化编排器(network functions virtualization orchestrator，简称nfvo)和接收运营支撑系统(operation support systems，简称oss)。
43.第一设备11可以和omc、nfvo、oss以及第三设备13进行通信。具体的，通过增加第一设备11与omc、nfvo、oss和第三设备13之间的接口可以实现第一设备11与omc、nfvo和oss之间的通信，第一设备11可以从oss、nfvo和omc上获取网元的拓扑信息和网元的日志信息。第三设备13可以与网络功能虚拟化nfv基础设施进行通信，以获取网元的日志信息。
44.本技术结合云化电信网的特点，提出一种微隔离方法，能够利用现有oss、nfvo和omc上的拓扑信息和日志信息，实现对云化电信网数据中心内部目标流量的监控和隔离。不需要主机代理或安全虚拟机，也不需要对组网进行改动，且不会对主机和虚拟机性能和资源造成影响。以下详述。
45.参见图2，图2是本技术实施例提供的微隔离方法的流程示意图之一。图2所示的微隔离方法可以由微隔离安全管理平台11执行。微隔离安全管理平台11可以为第一设备。
46.如图2所示，微隔离方法可以包括以下步骤：
47.步骤201，接收第一信息，所述第一信息包括以下至少一项：网元的第一拓扑信息、第二设备的第二拓扑信息、所述网元的日志信息，所述第二设备与所述网元对应；
48.在步骤201中，网元可以包括被监控的虚拟网络中的所有网元，第一拓扑信息可以包括以下至少一项：源网际互联协议ip地址、目的ip地址、源端口、目的端口、通信协议以及各网元对应的虚拟机的名称。第一设备根据网元的源ip地址、目的ip地址、源端口和目的端口，可以确定网元中每一个网元的端口开放情况，以及可与各网元通信的其他网元。
49.上述第二设备可以包括虚拟机和主机中的至少一项，每个网元可以有与之对应的一个或多个虚拟机，每个虚拟机可实现网元的一个具体功能，如：接收的功能、数据存储的功能、转发的功能等。第二拓扑信息可以包括以下至少一项：网元与虚拟机的对应关系，虚拟机与主机的对应关系、虚拟机的名称和主机的名称。
50.日志信息可以包括以下至少一项：网元之间的通信时刻、与通信时刻对应的源端口、目的端口、源ip地址、目的ip地址和通信协议。日志信息记录了网元之间发生通信的源端口、目的端口、通信协议、通信对端地址即源ip地址和目的ip地址，以及通信时间，通信时
间与上述源端口、目的端口、通信协议、通信对端地址对应。
51.第一设备11可以接收网元向其发送的第一信息，第一信息中的第一拓扑信息、第二拓扑信息和日志信息可以由网元中的omc、nfvo和oss向第一设备11发送。第一信息中的日志信息还可以由第三设备13向第一设备11发送，第三设备13可从网元中的omc中获取到该日志信息。
52.步骤202，将所述第一信息与参考信息进行比较，得到比较结果；
53.第一设备将接收到的第一信息与参考信息进行比较，可以直接将第一信息和参考信息一一比对，如比较第一信息中的网络连接关系与参考信息中的网络连接关系是否相同；比较第一信息中的网元的端口开放情况与参考信息中的网元的端口开放情况是否相同等。若第一信息与参考信息的内容均相同，可以将比较结果确定为第一信息相对参考信息无改变；若第一信息与参考信息的内容不完全相同，可以进一步确定第一信息相较于参考信息的变化情况，从而确定比较结果。
54.第一设备将接收到的第一信息与参考信息进行比较，也可以根据第一信息确定与该第一信息对应的网络连接基线和端口开放基线，将根据第一信息确定的网络连接基线和端口开放基线，与作为参考信息的网络连接基线和端口开放基线进行比较。
55.步骤203，根据所述比较结果，确定是否对目标流向的流量执行隔离操作。
56.具体实现时，在比较结果为第一信息相对参考信息无改变的情况下，无需对目标流向的流量进行隔离操作；在比较结果为第一信息相对参考信息有改变，且为异常变化的情况下，需要对目标流向的流量进行隔离操作。目标流向可以为东西向，但不仅限于此。
57.隔离操作具体可以通过如下方式实现。方式一：微隔离安全管理平台通过调用oss接口，调用nfvo接口，再调用vim北向接口，通过vim北向接口调用sdn控制器的北向接口，将安全策略发送给sdn控制器；微隔离安全平台也可以直接通过nfvo调用vim北向接口，vim通过调用sdn控制器北向接口，下发安全策略。sdn控制器将安全策略转化成流表并下发给虚拟交换机，将虚拟机上的异常流量在虚拟交换机上进行阻断。方式二：隔离操作也可以通过人工来执行，即管理员查到微隔离安全管理平台的异常告警后，查看告警，并登录vim，调用sdn控制器北向接口实现安全策略的下发，由虚拟交换机进行异常流量的阻断。
58.本技术实施例中，通过第一设备接收第一信息，然后将接收到的第一信息与参考信息进行比较，得到比较结果，最后根据比较结果，确定是否对目标流向的流量执行隔离操作，这样，不需要在虚拟机上安装主机代理即可实现对目标流向流量的微隔离。从而避免了主机代理需获取最高权限后从虚拟机中获取网元的拓扑信息，导致虚拟网络的正常进程被主机代理篡改的情况发生，解决了微隔离过程中虚拟网络的正常进程被篡改的问题。
59.可选地，所述根据所述比较结果，确定是否对目标流向的流量执行隔离操作，包括；
60.在所述比较结果为所述第一信息相对所述参考信息存在新增的目标对象的情况下，确定所述目标对象是否满足第一条件，所述目标对象包括以下至少一项：网元、端口和网络连接；
61.在所述目标对象不满足所述第一条件的情况下，确定对目标流向的流量执行隔离操作；
62.其中，所述第一条件包括以下至少一项：
63.新增的网元为已注册的网元；
64.新增的端口为已注册的端口；
65.新增的网络连接为已注册的网络连接。
66.具体实现时，每当网络中有新的网元，或者有新的网元的端口开放，或者有新的网络连接时，这些新的网元、新的网元的端口或新的网络连接首先需要在微隔离安全管理平台上注册，注册成功即代表新增的网元、新增的端口和新增的网络连接为合法的。微隔离管理平台接收到第一信息之后，将第一信息与参考信息进行比较，在比较结果为第一信息相对所述参考信息存在新增的网元，和/或端口，和/或网络连接的情况下，需进一步确定新增的网元，和/或端口，和/或网络连接是否为已注册的网元，和/或端口，和/或网络连接。若新增的目标对象为已注册的，那么可以更新参考信息，在参考信息中增加新增的目标对象信息。当发现有未注册的网元，和/或未注册的端口，和/或未注册的网络连接等，微隔离安全管理平台产生告警，可进一步确定对目标流向流量的隔离操作。
67.需要说明的是，当微隔离安全管理平台发现异常的网络连接(如amf连接某个新建的虚拟机，该虚拟机并不属于amf)或者异常端口(如amf开放了端口基线之外的端口)，发出告警信息，告警信息至少包括异常网元标识、异常网元所对应的虚拟机标识、位置，以及异常端口所在的虚拟机、异常端口所对应的网元等。对目标流向流量的隔离操作可以为：微隔离安全管理平台的安全策略功能生成安全策略，如阻断某个主机上的某个虚拟机的所有流量或者阻断某个主机上某个虚拟机的某个端口的流量等，然后sdn控制前将安全策略转化为流表，下发给异常虚拟机所在的主机上的虚拟交换机，最后虚拟交换机根据流表进行流量的处置。
68.关于第一设备11接收第一信息，在具体实现时，omc可以搜集网元的第一拓扑信息和网元的日志信息，nfvo可以搜集第二拓扑信息，omc和nfvo均可将其搜集到的信息上报给oss。第一设备可以从oss、omc和nfvo中获取第一拓扑信息和第二拓扑信息，第一设备可以从omc或者日志服务器获取日志信息。
69.作为一个示例，所述接收第一信息，包括：
70.接收运营支撑系统oss发送的所述第一拓扑信息和所述第二拓扑信息，所述第一拓扑信息由所述oss从omc获取，所述第二拓扑信息由所述oss从nfvo获取；
71.接收第三设备发送的所述日志信息，所述第三设备为日志服务器或所述网元的omc。
72.作为另一个示例，所述接收第一信息，包括：
73.接收所述网元的操作维护中心omc发送的所述第一拓扑信息；
74.接收所述网元的网络功能虚拟化编排器nfvo发送的所述第二拓扑信息；
75.接收第三设备发送的所述日志信息，所述第三设备为日志服务器或所述网元的omc。
76.可选地，所述接收第一信息之前，所述方法还包括：
77.发送订阅请求，所述订阅请求用于请求获取所述第一拓扑信息、所述第二拓扑信息和所述日志信息。
78.具体实现时，第一设备可以向日志服务器发送订阅请求，以获取网元的日志信息。第一设备还可以向omc发送订阅请求，以获取网元的第一拓扑信息；向nfvo发送订阅请求，
以获取网元的第二拓扑信息。第一设备还可以向oss发送订阅请求，以获取网元的第一拓扑信息和第二拓扑信息。第一设备还可以向omc发送订阅请求，以获取网元的日志信息。需要说明的是，日志服务器中的网元的日志信息为omc转发给日志服务器的。第一设备发送订阅请求后，接收到订阅请求的设备可每隔一定时间就向第一设备上报被订阅的信息，被订阅的信息指上述第一拓扑信息、第二拓扑信息和日志信息。
79.作为一个示例，所述接收第一信息之前，所述方法还包括：
80.向oss发送第四子订阅请求，所述第四子订阅请求用于请求获取所述第一拓扑信息和所述第二拓扑信息；
81.向第三设备发送第五子订阅请求，所述第五子订阅请求用于请求获取所述日志信息。
82.第三设备可以为上述日志服务器。
83.作为另一个示例，所述接收第一信息之前，所述方法还包括：
84.向omc发送第一子订阅请求，所述第一子订阅请求用于请求获取所述第一拓扑信息；
85.向nfvo发送第二子订阅请求，所述第二子订阅请求用于请求获取所述第二拓扑信息；
86.向第三设备发送第三子订阅请求，所述第三子订阅请求用于请求获取所述日志信息。
87.第三设备可以为上述日志服务器。
88.上述参考信息可以为第一设备根据历史时间段内接收的第一信息，所确定的网元中各网元的开放端口情况、网元中各网元之间的连接关系、网元与虚拟机的对应关系、以及虚拟网络之间的连接关系等。进一步的，第一设备可以根据历史时间段内接收的第一信息生成网络连接基线、端口开放基线作为参考信息的内容。在参考信息包括根据历史时间段内接收的第一信息生成网络连接基线、端口开放基线的情况下，将第一信息与参考信息进行比较时，需先根据第一设备实时接收到的第一信息，确定与该第一信息对应的网络连接基线和端口开放基线，再将与该第一信息对应的网络连接基线和端口开放基线与参考信息中的网络连接基线和端口开放基线进行比较。
89.具体实现时，在设备厂商提供网络连接清单、端口清单的场景下，微隔离安全管理平台也可以根据接收的第一信息，梳理出网络连接清单即包括各网元之间连接关系的清单，和端口清单即包括各网元的端口开放情况的清单，并将根据第一信息梳理出的网络连接清单和端口清单，与设备厂商预设的网络连接清单和端口清单进行比较，当二者一致时，可将当前网络连接关系、端口开放状态生成网络连接基线、端口开放基线作为参考信息的内容。
90.除上述确定参考信息的方式，参考信息还可以通过以下方式确定，可选地，所述将接收到的所述第一信息与参考信息进行比较，得到比较结果之前，所述方法还包括：
91.获取在第一历史时间段接收到的p个第一信息，p为正整数；
92.在所述p个第一信息均相同的情况下，将与所述p个第一信息对应的基线信息确定为所述参考信息，所述基线信息包括根据所述p个第一信息确定的网络连接基线和端口开放基线。
93.具体实现时，在业务稳定运行的场景下，微隔离安全管理平台根据接收的第一信息，所确定的网元之间的连接关系、各网元端口的开放情况、各网元和虚拟机的对应关系、虚拟网络的连接关系等在第一历史时段如一周内均相同，即可将当前网络连接关系、端口开放状态生成网络连接基线、端口开放基线作为参考信息的内容。上述第一历史时段的具体时长与具体场景有关，可以根据具体场景进行确定。
94.下面以两个完整示例，对本技术提供的微隔离方法进行说明。
95.作为一个示例，参见图3，在该场景中，第一设备可以为微隔离安全管理平台。omc可以先向oss上报第一拓扑信息，nfvo可以先向oss上报第二拓扑信息。然后微隔离安全管理平台向oss订阅第一拓扑信息和第二拓扑信息，接着，omc和nfvo可以分别向oss实时上报第一拓扑信息和第二拓扑信息，oss接收到更新的拓扑信息后，可以实时上报给微隔离安全管理平台。需要说明的是，在oss接收到订阅请求后，可以每隔一定时段，向微隔离管理平台上报当前时刻的第一拓扑信息和第二拓扑信息。
96.微隔离安全管理平台可以向日志服务器订阅日志信息，日志服务器可每隔一定时段，向微隔离管理平台上报日志信息。
97.微隔离安全管理平台可以根据历史时间段内接收的第一信息，确定参考信息，参考信息可以包括网元中各网元的开放端口情况、网元中各网元之间的连接关系、网元与虚拟机的对应关系、以及虚拟网络之间的连接关系等。进一步的，第一设备可以根据历史时间段内接收的第一信息生成网络连接基线、端口开放基线作为参考信息的内容。
98.微隔离安全管理平台将实时接收到的第一信息与参考信息进行比较，在第一信息中新增的目标对象满足第一条件的情况下，更新参考信息即可以网络连接基线、端口开放基线，在第一信息中新增的目标对象不满足第一条件的情况下，微隔离安全管理平台告警，并生成安全策略。
99.微隔离安全管理平台通过调用oss接口，调用nfvo接口，再调用vim北向接口，通过vim北向接口调用sdn控制器的北向接口，将安全策略发送给sdn控制器；微隔离安全平台也可以直接通过nfvo调用vim北向接口，vim通过调用sdn控制器北向接口，下发安全策略。sdn控制器将安全策略转化成流表并下发给虚拟交换机，由虚拟交换机执行流表的动作，从而将虚拟机上的异常流量在虚拟交换机上进行阻断。
100.作为另一个示例，参见图4，在该场景中，第一设备可以为微隔离安全管理平台。微隔离安全管理平台可以分别向omc和nfvo订阅第一拓扑信息和第二拓扑信息，omc和nfvo接收到订阅请求后，可以分别向微隔离安全管理平台上报第一拓扑信息和第二拓扑信息。需要说明的是，在omc和nfvo接收到订阅请求后，可以每隔一定时段，分别向微隔离管理平台上报当前时刻的第一拓扑信息和第二拓扑信息。
101.微隔离安全管理平台可以向日志服务器订阅日志信息，日志服务器可每隔一定时段，向微隔离管理平台上报日志信息。
102.微隔离安全管理平台可以根据历史时间段内接收的第一信息，确定参考信息，参考信息可以包括网元中各网元的开放端口情况、网元中各网元之间的连接关系、网元与虚拟机的对应关系、以及虚拟网络之间的连接关系等。进一步的，第一设备可以根据历史时间段内接收的第一信息生成网络连接基线、端口开放基线作为参考信息的内容。
103.微隔离安全管理平台将实时接收到的第一信息与参考信息进行比较，在第一信息
中新增的目标对象满足第一条件的情况下，更新参考信息即可以网络连接基线、端口开放基线，在第一信息中新增的目标对象不满足第一条件的情况下，微隔离安全管理平台告警，并生成安全策略。
104.微隔离安全管理平台通过调用oss接口，调用nfvo接口，再调用vim北向接口，通过vim北向接口调用sdn控制器的北向接口，将安全策略发送给sdn控制器；微隔离安全平台也可以直接通过nfvo调用vim北向接口，vim通过调用sdn控制器北向接口，下发安全策略。sdn控制器将安全策略转化成流表并下发给虚拟交换机，由虚拟交换机执行流表的动作，从而将虚拟机上的异常流量在虚拟交换机上进行阻断。
105.参见图5，图5是本发明实施例提供的微隔离方法的流程示意图之二。图5所示的微隔离方法可以由第一网元执行。
106.如图5所示，微隔离方法可以包括以下步骤：
107.步骤401，向第一设备发送第二信息，所述第二信息包括以下至少一项：所述第一网元的第一拓扑信息、与所述第一网元对应的第二设备的第二拓扑信息、所述第一网元的日志信息。
108.需要说明的是，第一网元代表上述网元中的每一个网元。网元中每一个第一网元向第一设备发送的第二信息的集合为第一信息。
109.可选地，所述向第一设备发送第二信息，包括：
110.通过所述omc向所述第一设备发送所述第一拓扑信息；
111.通过所述nfvo向所述第一设备发送所述第二拓扑信息。
112.可选地，所述向第一设备发送第二信息，包括：
113.通过所述oss向所述第一设备发送所述第一拓扑信息和所述第二拓扑信息，所述第一拓扑信息由所述oss从所述omc获取，所述第二拓扑信息由所述oss从所述nfvo获取。
114.可选地，所述向第一设备发送第二信息，包括：
115.通过所述omc向所述第一设备发送日志信息。
116.可选地，所述向第一设备发送第二信息之前，所述方法还包括：
117.接收所述第一设备发送的订阅请求，所述订阅请求用于请求获取所述第一拓扑信息、所述第二拓扑信息和所述日志信息。
118.可选地，所述接收所述第一设备发送的订阅请求，包括：
119.通过所述omc接收所述第一设备发送的第一子订阅请求，所述第一子订阅请求用于请求获取所述第一拓扑信息；
120.通过所述nfvo接收所述第一设备发送的第二子订阅请求，所述第二子订阅请求用于请求获取所述第二拓扑信息。
121.可选地，所述接收所述第一设备发送的订阅请求，包括：
122.通过所述oss接收所述第一设备发送的第四子订阅请求，所述第四子订阅请求用于请求获取所述第一拓扑信息和所述第二拓扑信息。
123.可选地，所述接收所述第一设备发送的订阅请求，包括：
124.通过所述omc接收所述第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取所述日志信息。
125.需要说明的是，本实施例作为与图2方法实施例对应的第一网元的实施方式，因
此，可以参见图2方法实施例中的相关说明，且可以达到相同的有益效果。为了避免重复说明，在此不再赘述。
126.参见图6，图6是本发明实施例提供的微隔离方法的流程示意图之三。图6所示的微隔离方法可以由第三设备执行。
127.如图6所示，微隔离方法可以包括以下步骤：
128.步骤501，接收第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取日志信息；
129.步骤502，向所述第一设备发送日志信息。
130.需要说明的是，本实施例作为与图2方法实施例对应的第三设备的实施方式，因此，可以参见图2方法实施例中的相关说明，且可以达到相同的有益效果。为了避免重复说明，在此不再赘述。
131.本发明实施例中介绍的多种可选的实施方式，在彼此不冲突的情况下可以相互结合实现，也可以单独实现，对此本发明实施例不作限定。
132.为方便理解，示例说明如下：
133.微隔离安全防护框架是在现有的云化电信网架构的基础上增加了微隔离安全管理平台，以及微隔离安全管理平台与oss、omc、nfvo、日志服务器的接口。具体地：
134.网络拓扑上报：omc将搜集的网元的第一拓扑信息(至少包括虚拟化网元的ip地址、开放的端口、开放端口使用的协议、开放端口通信的对端ip地址、虚拟化网元所包含的虚拟机名称等)上报给oss,nfvo将从vim搜集的虚拟机名称以及该虚拟机所在的主机名称信息等；
135.网络拓扑订阅：微隔离安全管理平台向oss或者直接向omc和nfvo订阅第一拓扑信息和第二拓扑信息。
136.日志获取：微隔离安全管理平台向日志服务器获取网元的日志信息。该日志信息可以是网元直接发送给日志服务器的，也可以是网元将日志通过omc转发给日志服务器的。日志的内容至少包括发生通信的端口、协议、通信对端地址、通信时间等。
137.东西向流量监控：初始学习阶段，微隔离安全管理平台根据获取的第一拓扑信息、第二拓扑信息和日志信息，梳理网元的连接关系、各网元端口的开放情况、网元和虚拟机的对应关系、网络的连接关系等，并根据实时获取的第一拓扑信息、第二拓扑信息和日志信息形成网络连接基线、端口开放基线，作为安全监控的基础。例如，当在业务稳定运行的情况下，微隔离安全管理平台上显示的网元的连接关系、端口开放情况、网元和虚拟机的对应关系、虚拟网络的连接关系等在一段周期(如一周)未变动，即可认为学习已经达到稳定，可将当前网络连接、端口开放状态作为基线；在设备厂商提供网络连接清单、端口清单的场景，也可以通过将与设备厂商提供的规划的网络连接清单、端口清单进行比较，当学习的网络连接、端口开放状态与厂商提供的一致时，可生成网络连接基线、端口开放基线；监控阶段，根据从日志服务器、oss或者omc和nfvo获得的信息，检查是否有异常连接和异常端口。例如，当有新的vnf实例化，新的端口开放，新的网络连接时，需要在微隔离安全管理平台上注册，注册成功后，认为新的虚拟化网元、新的开放的端口、新的网络连接均为合法网元、端口和网络连接，更新安全基线；当发现有未注册的虚拟机或未注册的虚拟化网元或某个虚拟化网元有未注册的端口或者某个虚拟化网元进行基线之外的连接等，均为被定义为异常，
微隔离安全管理平台产生告警。
138.东西向流量安全处置：微隔离安全管理平台可以根据检测到的网络连接或者端口异常，定位到具体的vnf、对应的虚拟机和主机、异常流量的五元组信息等。微隔离安全平台可以通过nfvo调用vim北向接口，vim通过调用sdn控制器北向接口，下发安全策略。sdn控制器将安全策略转化成流表并下发给虚拟交换机，将虚拟机上的异常流量在虚拟交换机上进行阻断。安全处置也可以通过人工来执行，即管理员查到微隔离安全管理平台的异常告警后，查看告警，并登录vim，调用sdn控制器北向接口实现安全策略的下发，由虚拟交换机进行异常流量的阻断。
139.(2)微隔离安全防护流程
140.参见图7，微隔离安全防护的流程如下：
141.0.omc和nfvo分别向oss上报网元拓扑信息即第一拓扑信息和it基础设施拓扑信息即第二拓扑信息。其中，网元拓扑信息中至少包含虚拟化网元的ip地址、开放的端口、所对应的虚拟机及虚拟机名称、虚拟机所在的主机名称、与该虚拟化网元相连的其它虚拟化网元等；it基础设施拓扑信息中至少包含虚拟机名称、虚拟机对应的主机名称等。
142.1.微隔离安全管理平台向oss订阅网元拓扑和it基础设施拓扑信息。微隔离安全管理平台也可以直接分别向omc和nfvo订阅网元拓扑和it基础设施拓扑信息(如步骤1’所示)。
143.2.微隔离安全管理平台向日志服务器订阅网元的日志信息。
144.3.omc和nfvo分别向oss上报网元拓扑信息和it基础设施拓扑信息。
145.4.oss接收到更新的拓扑信息后，实时上报给微隔离安全管理平台。当微隔离安全管理平台直接分别向omc和nfvo订阅拓扑信息时，omc和nfvo会分别实时向微隔离安全管理平台上报网元拓扑以及it基础设施拓扑信息(如步骤4’所示)
146.5.日至平台收到网元日志后，上报给微隔离安全管理平台
147.6.微隔离安全管理平台根据获取的拓扑信息和日志信息学习网络连接基线和端口开放基线，包括根据获取的拓扑和日志信息梳理虚拟化网元的连接关系、端口开放情况、虚拟化网元和虚拟机、主机的对应关系、虚拟网络的连接关系等，并持续根据实时获取的拓扑信息和日志信息修正网络连接和端口开放信息，直到达到稳定，形成网络连接基线、端口开放基线(例如，当在业务稳定运行的情况下，微隔离安全管理平台上显示的虚拟化网元的连接关系、端口开放情况、虚拟化网元和虚拟机的对应关系、虚拟网络的连接关系等在一段周期(如一周)未变动，即可认为学习已经达到稳定，可将当前网络连接、端口开放状态作为基线；在网络云厂商提供网络连接清单、端口清单的场景，也可以通过将与网络云厂商提供的规划的网络连接清单、端口清单进行比较，当学习的网络连接、端口开放状态与厂商提供的一致时，可生成网络连接基线、端口开放基线)。此后，云化电信网将进入微隔离安全监控阶段，重复步骤4(或4’)和5。
148.7.微隔离平台收到拓扑信息和日志后，会与网络连接基线和端口基线进行比对，检查是否有异常连接和异常端口。当微隔离安全管理平台发现有新的vnf增加或减少，并有对应的虚拟机和服务端口增加或者减少时，将判定为合法vnf增加或减少，并给出更新基线的提示，可经人工确认后自动更新安全基线；也可以不经过人工确认，直接自动进行更新。基线更新需记录到日志中。
149.注：在云化电信网中，所有资产均为运营商资产，并且网络的可靠性至少为5个9，所以讲义采用人工确认后自动更新安全基线，以免因为误操作自动更新基线影响业务。
150.8.当微隔离安全管理平台发现异常的网络连接(如amf连接某个新建的虚拟机，该虚拟机并不属于amf)或者异常端口(如amf开放了端口基线之外的端口)，产生告警，告警至少包括异常vnf标识、对应的虚拟机标识、位置以及异常端口所在的虚拟机、对应的vnf等。微隔离安全管理平台的安全策略功能生成安全策略，如阻断某个主机上的某个虚拟机的所有流量或者阻断某个主机上某个虚拟机的某个端口的流量等。
151.9.微隔离安全管理平台通过调用oss接口，调用nfvo接口，再调用vim北向接口，通过vim北向接口调用sdn控制器的北向接口，将安全策略发送给sdn控制器。微隔离安全管理平台也可以直接调用nfvo北向接口，通过nfvo调用vim北向接口，再调用sdn控制器的北向接口发送安全策略(如步骤9’所示)
152.10.sdn控制前将安全策略转化为流表，下发给异常虚拟机所在的主机上的虚拟交换机。
153.11.虚拟交换机根据流表进行流量的处置。
154.(3)微隔离安全管理平台装置
155.参见图8，微隔离安全管理平台包含订阅模块、拓扑和日志获取模块、学习和监控模块、基线管理模块、告警模块和安全策略管理模块，以下对上述各模块进行详细说明。
156.订阅模块：负责向oss订阅网元拓扑和it基础设施拓扑信息或者直接分别向omc和nfvo订阅网元拓扑和it基础设施拓扑信息；负责向日志服务器订阅网元的日志信息。
157.拓扑和日志获取模块：负责向oss获取网元拓扑和it基础设施拓扑信息或者直接分别向omc和nfvo获取网元拓扑和it基础设施拓扑信息；负责向日志服务器获取网元的日志信息。
158.学习和监控模块：负责根据获取的网元、基础设施拓扑以及网元日志信息，学习虚拟化网元的连接关系、端口开放情况、虚拟化网元和虚拟机、主机的对应关系、虚拟网络的连接关系等，最终形成网络连接基线和端口开放基线；负责根据获取的网元、基础设施拓扑以及网元日志信息，监控网络连接和端口开放是否有异常。
159.基线管理模块：负责存储基线，并提供学习和监控模块进行基线查询、更新。
160.告警模块：负责对异常网络连接和/或异常端口进行告警。
161.安全策略管理模块：负责生成安全策略，并下发给sdn控制器。
162.参见图9，图9是本发明实施例提供的微隔离装置的结构图之一。如图9所示，微隔离装置700包括：
163.第一收发器701，用于：接收第一信息，所述第一信息包括以下至少一项：网元的第一拓扑信息、第二设备的第二拓扑信息、所述网元的日志信息，所述第二设备与所述网元对应；
164.第一处理器702，用于：将所述第一信息与参考信息进行比较，得到比较结果；
165.根据所述比较结果，确定是否对目标流向的流量执行隔离操作。
166.可选地，所述第一处理器702包括；
167.在所述比较结果为所述第一信息相对所述参考信息存在新增的目标对象的情况下，确定所述目标对象是否满足第一条件，所述目标对象包括以下至少一项：网元、端口和
网络连接；
168.在所述目标对象不满足所述第一条件的情况下，确定对目标流向的流量执行隔离操作；
169.其中，所述第一条件包括以下至少一项：
170.新增的网元为已注册的网元；
171.新增的端口为已注册的端口；
172.新增的网络连接为已注册的网络连接。
173.可选地，所述第一收发器701，包括：
174.接收所述网元的操作维护中心omc发送的所述第一拓扑信息；
175.接收所述网元的网络功能虚拟化编排器nfvo发送的所述第二拓扑信息；
176.接收第三设备发送的所述日志信息，所述第三设备为日志服务器或所述网元的omc。
177.可选地，所述第一收发器701，包括：
178.接收运营支撑系统oss发送的所述第一拓扑信息和所述第二拓扑信息，所述第一拓扑信息由所述oss从omc获取，所述第二拓扑信息由所述oss从nfvo获取；
179.接收第三设备发送的所述日志信息，所述第三设备为日志服务器或所述网元的omc。
180.可选地，所述第一收发器701之前，所述装置700还包括：
181.发送订阅请求，所述订阅请求用于请求获取所述第一拓扑信息、所述第二拓扑信息和所述日志信息。
182.可选地，所述发送订阅请求，包括：
183.向omc发送第一子订阅请求，所述第一子订阅请求用于请求获取所述第一拓扑信息；
184.向nfvo发送第二子订阅请求，所述第二子订阅请求用于请求获取所述第二拓扑信息；
185.向第三设备发送第三子订阅请求，所述第三子订阅请求用于请求获取所述日志信息。
186.可选地，所述发送订阅请求，包括：
187.向oss发送第四子订阅请求，所述第四子订阅请求用于请求获取所述第一拓扑信息和所述第二拓扑信息；
188.向第三设备发送第五子订阅请求，所述第五子订阅请求用于请求获取所述日志信息。
189.可选地，所述第一处理器702之前，所述装置700还包括：
190.获取在第一历史时间段接收到的p个第一信息，p为正整数；
191.在所述p个第一信息均相同的情况下，将与所述p个第一信息对应的基线信息确定为所述参考信息，所述基线信息包括根据所述p个第一信息确定的网络连接基线和端口开放基线。
192.微隔离装置700能够实现本发明实施例中图2方法实施例的各个过程，以及达到相同的有益效果，为避免重复，这里不再赘述。
193.参见图10，图10是本发明实施例提供的微隔离装置的结构图之一。如图10所示，微隔离装置800包括：
194.第二收发器801，用于：向第一设备发送第二信息，所述第二信息包括以下至少一项：所述第一网元的第一拓扑信息、与所述第一网元对应的第二设备的第二拓扑信息、所述第一网元的日志信息。
195.可选地，所述第二收发器801包括：
196.通过所述omc向所述第一设备发送所述第一拓扑信息；
197.通过所述nfvo向所述第一设备发送所述第二拓扑信息。
198.可选地，所述第二收发器801包括：
199.通过所述oss向所述第一设备发送所述第一拓扑信息和所述第二拓扑信息，所述第一拓扑信息由所述oss从所述omc获取，所述第二拓扑信息由所述oss从所述nfvo获取。
200.可选地，所述第二收发器801包括：
201.通过所述omc向所述第一设备发送日志信息。
202.可选地，所述第二收发器801之前，所述装置800还包括：
203.接收所述第一设备发送的订阅请求，所述订阅请求用于请求获取所述第一拓扑信息、所述第二拓扑信息和所述日志信息。
204.可选地，所述接收所述第一设备发送的订阅请求，包括：
205.通过所述omc接收所述第一设备发送的第一子订阅请求，所述第一子订阅请求用于请求获取所述第一拓扑信息；
206.通过所述nfvo接收所述第一设备发送的第二子订阅请求，所述第二子订阅请求用于请求获取所述第二拓扑信息。
207.可选地，所述接收所述第一设备发送的订阅请求，包括：
208.通过所述oss接收所述第一设备发送的第四子订阅请求，所述第四子订阅请求用于请求获取所述第一拓扑信息和所述第二拓扑信息。
209.可选地，所述接收所述第一设备发送的订阅请求，包括：
210.通过所述omc接收所述第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取所述日志信息。
211.微隔离装置800能够实现本发明实施例中图5方法实施例的各个过程，以及达到相同的有益效果，为避免重复，这里不再赘述。
212.参见图11，图11是本发明实施例提供的微隔离装置的结构图之一。如图11所示，微隔离装置900包括：
213.第三收发器901，用于：接收第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取日志信息；
214.向所述第一设备发送日志信息。
215.微隔离装置900能够实现本发明实施例中图6方法实施例的各个过程，以及达到相同的有益效果，为避免重复，这里不再赘述。
216.本发明实施例还提供一种通信设备。请参见图12，通信设备可以包括处理器1001、存储器1002及存储在存储器1002上并可在处理器1001上运行的程序10021。
217.在通信设备为第一设备的情况下，程序10021被处理器1001执行时可实现图2对应
的方法实施例中的任意步骤及达到相同的有益效果，此处不再赘述。
218.在通信设备为第四设备的情况下，程序10021被处理器1001执行时可实现图5对应的方法实施例中的任意步骤及达到相同的有益效果，此处不再赘述。
219.在通信设备为第三设备的情况下，程序10021被处理器1001执行时可实现图6对应的方法实施例中的任意步骤及达到相同的有益效果，此处不再赘述。
220.本领域普通技术人员可以理解实现上述实施例方法的全部或者部分步骤是可以通过程序指令相关的硬件来完成，所述的程序可以存储于一可读取介质中。本发明实施例还提供一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时可实现上述图2、图5或图6对应的方法实施例中的任意步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。
221.所述的存储介质，如只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等。
222.上面结合附图对本技术的实施例进行了描述，但是本技术并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本技术的启示下，在不脱离本技术宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本技术的保护之内。

技术特征：

1.一种微隔离方法，应用于第一设备，其特征在于，包括：接收第一信息，所述第一信息包括以下至少一项：网元的第一拓扑信息、第二设备的第二拓扑信息、所述网元的日志信息，所述第二设备与所述网元对应；将所述第一信息与参考信息进行比较，得到比较结果；根据所述比较结果，确定是否对目标流向的流量执行隔离操作。2.根据权利要求1所述的方法，其特征在于，所述根据所述比较结果，确定是否对目标流向的流量执行隔离操作，包括；在所述比较结果为所述第一信息相对所述参考信息存在新增的目标对象的情况下，确定所述目标对象是否满足第一条件，所述目标对象包括以下至少一项：网元、端口和网络连接；在所述目标对象不满足所述第一条件的情况下，确定对目标流向的流量执行隔离操作；其中，所述第一条件包括以下至少一项：新增的网元为已注册的网元；新增的端口为已注册的端口；新增的网络连接为已注册的网络连接。3.根据权利要求1所述的方法，其特征在于，所述接收第一信息，包括：接收所述网元的操作维护中心omc发送的所述第一拓扑信息；接收所述网元的网络功能虚拟化编排器nfvo发送的所述第二拓扑信息；接收第三设备发送的所述日志信息，所述第三设备为日志服务器或所述网元的omc。4.根据权利要求1所述的方法，其特征在于，所述接收第一信息，包括：接收运营支撑系统oss发送的所述第一拓扑信息和所述第二拓扑信息，所述第一拓扑信息由所述oss从omc获取，所述第二拓扑信息由所述oss从nfvo获取；接收第三设备发送的所述日志信息，所述第三设备为日志服务器或所述网元的omc。5.根据权利要求1所述的方法，其特征在于，所述接收第一信息之前，所述方法还包括：发送订阅请求，所述订阅请求用于请求获取所述第一拓扑信息、所述第二拓扑信息和所述日志信息。6.根据权利要求5所述的方法，其特征在于，所述发送订阅请求，包括：向omc发送第一子订阅请求，所述第一子订阅请求用于请求获取所述第一拓扑信息；向nfvo发送第二子订阅请求，所述第二子订阅请求用于请求获取所述第二拓扑信息；向第三设备发送第三子订阅请求，所述第三子订阅请求用于请求获取所述日志信息。7.根据权利要求5所述的方法，其特征在于，所述发送订阅请求，包括：向oss发送第四子订阅请求，所述第四子订阅请求用于请求获取所述第一拓扑信息和所述第二拓扑信息；向第三设备发送第五子订阅请求，所述第五子订阅请求用于请求获取所述日志信息。8.根据权利要求1所述的方法，其特征在于，所述将所述第一信息与参考信息进行比较，得到比较结果之前，所述方法还包括：获取在第一历史时间段接收到的p个第一信息，p为正整数；在所述p个第一信息均相同的情况下，将与所述p个第一信息对应的基线信息确定为所
述参考信息，所述基线信息包括根据所述p个第一信息确定的网络连接基线和端口开放基线。9.一种微隔离方法，应用于第一网元，所述第一网元包括oss、omc和nfvo，其特征在于，所述方法包括：向第一设备发送第二信息，所述第二信息包括以下至少一项：所述第一网元的第一拓扑信息、与所述第一网元对应的第二设备的第二拓扑信息、所述第一网元的日志信息。10.根据权利要求9所述的方法，其特征在于，所述向第一设备发送第二信息，包括：通过所述omc向所述第一设备发送所述第一拓扑信息；通过所述nfvo向所述第一设备发送所述第二拓扑信息。11.根据权利要求9所述的方法，其特征在于，所述向第一设备发送第二信息，包括：通过所述oss向所述第一设备发送所述第一拓扑信息和所述第二拓扑信息，所述第一拓扑信息由所述oss从所述omc获取，所述第二拓扑信息由所述oss从所述nfvo获取。12.根据权利要求9所述的方法，其特征在于，所述向第一设备发送第二信息，包括：通过所述omc向所述第一设备发送日志信息。13.根据权利要求9所述的方法，其特征在于，所述向第一设备发送第二信息之前，所述方法还包括：接收所述第一设备发送的订阅请求，所述订阅请求用于请求获取所述第一拓扑信息、所述第二拓扑信息和所述日志信息。14.根据权利要求13所述的方法，其特征在于，所述接收所述第一设备发送的订阅请求，包括：通过所述omc接收所述第一设备发送的第一子订阅请求，所述第一子订阅请求用于请求获取所述第一拓扑信息；通过所述nfvo接收所述第一设备发送的第二子订阅请求，所述第二子订阅请求用于请求获取所述第二拓扑信息。15.根据权利要求13所述的方法，其特征在于，所述接收所述第一设备发送的订阅请求，包括：通过所述oss接收所述第一设备发送的第四子订阅请求，所述第四子订阅请求用于请求获取所述第一拓扑信息和所述第二拓扑信息。16.根据权利要求13所述的方法，其特征在于，所述接收所述第一设备发送的订阅请求，包括：通过所述omc接收所述第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取所述日志信息。17.一种微隔离方法，应用于第三设备，其特征在于，包括：接收第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取日志信息；向所述第一设备发送日志信息。18.一种微隔离装置，其特征在于，包括：第一收发器，用于：接收第一信息，所述第一信息包括以下至少一项：网元的第一拓扑信息、第二设备的第二拓扑信息、所述网元的日志信息，所述第二设备与所述网元对应；第一处理器，用于：将所述第一信息与参考信息进行比较，得到比较结果；
根据所述比较结果，确定是否对目标流向的流量执行隔离操作。19.一种微隔离装置，其特征在于，包括：第二收发器，用于：向第一设备发送第二信息，所述第二信息包括以下至少一项：第一网元的第一拓扑信息、与所述第一网元对应的第二设备的第二拓扑信息、所述第一网元的日志信息。20.一种微隔离装置，其特征在于，包括：第三收发器，用于：接收第一设备发送的第三子订阅请求，所述第三子订阅请求用于请求获取日志信息；向所述第一设备发送日志信息。21.一种通信设备，包括：收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序；其特征在于，所述处理器，用于读取存储器中的程序实现如权利要求1至8中任一项所述的微隔离方法中的步骤；或，如权利要求9至16中任一项所述的微隔离方法中的步骤；或，如权利要求17所述的微隔离方法中的步骤。22.一种可读存储介质，用于存储程序，其特征在于，所述程序被处理器执行时实现如权利要求1至8中任一项所述的微隔离方法中的步骤；或，如权利要求9至16中任一项所述的微隔离方法中的步骤；或，如权利要求17所述的微隔离方法中的步骤。

技术总结

本申请提供一种微隔离方法、装置及相关设备，其中，方法包括接收第一信息，将接收到的第一信息与参考信息进行比较，得到比较结果，根据比较结果，确定是否对目标流向的流量执行隔离操作。本申请实施例中，通过第一设备接收第一信息，然后将接收到的第一信息与参考信息进行比较，得到比较结果，最后根据比较结果，确定是否对目标流向的流量执行隔离操作，这样，不需要在虚拟机上安装主机代理即可实现对目标流向流量的微隔离。从而避免了主机代理需获取最高权限后从虚拟机中获取网元的拓扑信息，导致虚拟网络的正常进程被主机代理篡改的情况发生，解决了微隔离过程中虚拟网络的正常进程被篡改的问题。被篡改的问题。被篡改的问题。