CN103973676B - 一种基于sdn的云计算安全保护系统及方法 - Google Patents
一种基于sdn的云计算安全保护系统及方法 Download PDFInfo
- Publication number
- CN103973676B CN103973676B CN201410160049.3A CN201410160049A CN103973676B CN 103973676 B CN103973676 B CN 103973676B CN 201410160049 A CN201410160049 A CN 201410160049A CN 103973676 B CN103973676 B CN 103973676B
- Authority
- CN
- China
- Prior art keywords
- module
- virtual
- virtual machine
- security
- change
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 238000012544 monitoring process Methods 0.000 claims abstract description 91
- 238000013508 migration Methods 0.000 claims abstract description 44
- 230000005012 migration Effects 0.000 claims abstract description 44
- 238000012217 deletion Methods 0.000 claims abstract description 41
- 230000037430 deletion Effects 0.000 claims abstract description 41
- 238000007792 addition Methods 0.000 claims abstract description 22
- 230000007613 environmental effect Effects 0.000 claims description 28
- 238000007726 management method Methods 0.000 claims description 27
- 238000004458 analytical method Methods 0.000 claims description 19
- 238000012550 audit Methods 0.000 claims description 17
- 238000004891 communication Methods 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000001360 synchronised effect Effects 0.000 claims description 8
- 239000011800 void material Substances 0.000 claims description 8
- 238000002360 preparation method Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000011084 recovery Methods 0.000 claims description 5
- 239000002699 waste material Substances 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 230000003362 replicative effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000010276 construction Methods 0.000 description 2
- 230000001755 vocal effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Abstract
本发明公开了一种基于SDN的云计算安全保护系统,该系统由控制器集群控制模块、环境监控模块和集群基础功能保障模块组成。控制器集群控制模块是整个系统的核心,它根据环境监控模块反馈的信息来获取当前网络如交换机增删、终端增删等变化情况以及云计算环境中虚拟机增删、迁移等变化情况。环境监控模块使用支持SDN的虚拟交换机和虚拟平台管理接口,在不影响正常业务工作的情况下自动识别如虚拟机迁移、虚拟机增删、其他业务流变化等而引起的安全需求的变化。集群基础功能保障模块对云环境中的多控制器进行协调管理。此外,本发明还公开了一种基于SDN的云计算安全保护方法。通过本发明能够实现在云环境中按需灵活快速的提供可定制的安全保护服务。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于SDN的云计算安全保护系统及方法。
背景技术
目前我国众多行业都已在云计算上进行了大规模的投入,但云计算建设大多仍处于初级阶段。一些运营商、有实力的企业单位以及大型政府信息中心,经过几年的建设已经初步建成了基础设施即服务(IaaS)云,很多单位已经逐步将非核心的业务移植到云平台上,而核心业务的转移因担心数据中心和云平台遭到数据泄漏或导致业务中断而开展缓慢。这其中由于虚拟化技术的引入,打破了传统的网络边界的划分方式,另外虚拟机数量变化快也相应的要求安全防护能迅速与之相适应,这些使得传统的安全技术手段无法做到有效的安全防护。因此对于采用基于虚拟化的云平台架构搭建IT环境的政府及企业用户来说,安全性及合规性依然是他们需要考虑的首要因素,用户需要一套完整的安全方案可以为虚拟和物理环境都提供持续的保护,并满足其合规性检查的需要。
申请号为CN201310539052.1的发明专利申请涉及一种软件自定义网络安全实施方法、系统及控制器,属于网络技术安全领域。其公开的一种软件定义网络安全实施方法,包括:部署在控制器网络操作系统(NOS)中的安全核心模块实时检测网络状态信息;安全应用根据网络状态信息,分析网络安全状态,检测到网络安全威胁时,生成相应的安全策略;所述安全核心模块将所述安全应用生成的安全策略转换成流表项规则,安装或更新至数据层交换机。本发明还公开了另两种软件定义网络安全实施方法,一种软件定义网络安全实施系统及控制器。该技术方案有效地解决软件定义网络面临的安全问题。
该技术参考利用了SDN的三层模型,重点建立一个基于控制器的网络操作系统,在自动识别网络安全状态,自动生成策略并转化成流表下发至支持SDN的物理交换机或虚拟交换机,以实时智能的保护当前网络。
但该技术面临保护对象快速变化,如虚拟机突然增加或虚拟机大批量迁往异地的数据中心等情况,则防护压力变大,不足以应对安全保护需求,可能出现控制器网络操作系统无法追踪保护虚拟机或无法为激增的虚拟机提供安全防护的情况。
目前众多厂商都推出了自己的SVM(安全虚拟器件产品)。SVM具有快速部署,扩展性好,按需灵活提供服务的能力。
例如趋势科技Deep Security虚拟设备:以透明方式在VMware vSphere虚拟机上强行实施安全策略以进行无代理恶意软件防护、IDS/IPS、完整性监控、Web应用程序防护、应用程序控制和防火墙保护,如果需要,可以与DeepSecurity客户端配合使用进行日志检查和深度防御。
例如Vyatta可提供一个商业安全设备,为每一个网络类的包括云架构提供设备。Vyatta的产品线包括Vyatta虚拟网络设备。Vyatta在虚拟设备VMware,XEN,XenServer的虚拟机环境中工作。虚拟安全设备包括防火墙,IPSec和基于SSL的VPN,入侵检测,过滤,动态路由和基于路由器的NAT,DHCP等服务,这都是为IPv6的准备。
这些安全虚拟器件有些以虚拟机的方式向客户提供服务,有些与虚拟化平台结合向客户提供服务。它们能快速的安装部署在适用的虚拟化平台上,并且根据总控制中心的要求,在主机上部署或关闭。但是这些虚拟器件在精确追踪虚拟机之间的流量、流经指定用户(如IP或MAC地址等的用户)流量、虚拟机迁移时的流量等这些流量时,并不能高效完整的完成任务。
其中以虚拟机的方式向客户提供服务的虚拟器件的增删大多由人工完成,如果云环境中的虚拟机数量发生急剧的变化,很可能来不及应付云计算中变化的安全需求。
发明内容
本发明为了解决现有技术中云计算中安全保护的缺点或不足,采用了一种基于SDN的云计算安全保护方法的方案,从而实现了在云环境中按需灵活快速的提供可定制的安全保护服务的目的。
本发明提供的一种基于SDN的云计算安全保护系统,其基于支持SDN的虚拟交换机和虚拟平台管理接口,在不影响正常业务工作的情况下自动识别如虚拟机迁移、虚拟机增删、其他业务流变化等而引起的安全需求的变化,制定新的安全策略,并且根据需要在云计算中心的各地各主机上快速的部署或关闭所需的安全虚拟器件,例如IDS、审计类产品、漏洞扫描、安全管理平台,并且向支持SDN的虚拟交换机更新安全策略,能实时有效的保护云计算中心的安全并且节省系统资源,该系统具体包括以下模块:
该系统由控制器集群控制模块、环境监控模块和集群基础功能保障模块组成。
控制器集群控制模块是整个系统的关键核心,它根据环境监控模块反馈的信息来获取当前网络如交换机增删、终端增删等变化情况以及云计算环境中虚拟机增删、迁移等变化情况;其包括安全决策模块、SDN控制器集群控制模块和SVM控制器集群控制模块。
安全决策模块根据获取的环境信息进行安全策略的创新、更改和删除,具体包括安全策略获取模块、安全策略分析模块、安全策略执行模块,安全策略获取模块分析从环境监控模块获取的环境信息,并根据算法得出相应的参数并传递给安全策略分析模块;接着安全策略分析模块根据上述参数获取虚拟机、网络和业务的变动情况,并将结果输出至安全策略执行模块;最后安全策略执行模块制定新的流量安全策略和虚拟安全器件所需的变动要求,通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行。
SDN控制器集群控制模块负责对网络流量规则的执行,包括流表生成模块、流表下发模块、交换机共享控制模块、交换机接口通信模块、虚拟交换机变动模块;流表生成模块根据安全决策模块发送的流量安全策略和虚拟安全器件变动要求生成需要变更的流表,接着虚拟交换机变动模块根据需要通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口,最后流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则。
SVM控制器集群控制模块负责完成主机上虚拟安全器件的变动工作,包括虚拟机创建部署模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块;SVM控制器集群控制模块接受到安全决策模块发送的虚拟安全器件变动要求,选择上述四个模块中相应的模块与SDN控制器集群控制模块协调以完成在指定主机上增加、中止、复制安全虚拟器件的要求。
环境监控模块使用支持SDN的虚拟交换机和和虚拟平台管理接口,在不影响正常业务工作的情况下自动识别如虚拟机迁移、虚拟机增删、其他业务流变化等而引起的安全需求的变化;环境监控模块基于集群基础功能保障模块提供的基本功能,获取网络状态变化和虚拟机情况变化的信息,并向控制器集群控制模块反映;环境监控模块包括网络状态监控模块、虚拟机迁移监控模块、虚拟机状态监控模块、虚拟机资源变动监控模块,其中,网络状态监控模块对云环境中的网络环境进行观察,在网络流量异常时推送信息通知控制器集群控制模块;虚拟机迁移监控模块、虚拟机状态监控模块、虚拟机资源变动监控模块都是对云环境中虚拟机的状态进行监控并将获取的状态变化的信息加工后发送至控制器集群控制模块。
集群基础功能保障模块对云环境中的多控制器进行协调管理,包括状态分发/同步模块,网络通信模块,分布式存储管理模块,故障恢复模块,冗余备份模块;是整个系统工作的基础,确保整个控制集群能够在云环境中将所有的安全策略同步、获取所有实时的安全状态,以安全可靠的方式执行操作。
此外,本发明还提供一种基于SDN的云计算安全保护方法,该方法通过其云计算中主机上的虚拟交换机根据总控制平台下发的流表工作以保证安全,并且将所需监控的端口流量转发到指定的虚拟安全器件SVM上,并且将可疑的流量转发至总控制平台,而总控制平台根据支持SDN的虚拟交换机和虚拟化平台接口反馈的安全环境变化情况制定安全防护需求,下发流表至各主机上的相关虚拟交换机,并且通过接口调整各主机的安全虚拟器件,例如IDS入侵检测、安全审计、SOC安全管理平台、漏洞扫描等的增加和删除;其中云计算中的各主机的虚拟网桥已替换成支持SDN的虚拟交换机以符合SDN网络的要求;该方法的具体流程为:
s1、系统初始化,总控制平台通过云计算中的各主机的接口获取当前主机上的虚拟机情况和主机的资源使用情况,并且制定流量安全策略和虚拟安全器件生成要求,通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行。
s2、网络状态监控模块通过云计算的各个主机上的支持SDN的虚拟交换机进行信息收集工作,当支持SDN的虚拟交换机接收到的流无法满足流表规则时,虚拟交换机提取数据包的关键信息,并且将信息整理成固定的格式后向控制器集群控制模块的安全决策模块和SDN控制器发送,以反映当前变化的网络流量情况。
s3、虚拟机迁移监控模块通过与主机上的虚拟化平台的接口来监控虚拟机迁移的活动,具体为,虚拟机迁移监控模块通过此接口在虚拟机预备迁移时获取通知,并且获取相应的信息,如迁入的网络主机位置,原迁出的IP地址、相应的安全策略等,最后虚拟机迁移监控模块将信息整理成固定的格式反馈给控制器集群控制模块的安全决策模块。
s4、虚拟机状态监控模块、虚拟机资源变动监控模块都是对云环境中虚拟机的状态进行监控并将获取的状态变化的信息加工后发送至控制器集群控制模块;虚拟机状态监控模块对正在运行的虚拟机的状态进行监控,监控虚拟机所占网络资源、计算资源和存储的变化;虚拟机资源变动监控模块对虚拟机关闭和中断的情况进行监控;当虚拟机状态监控模块和虚拟机资源变动监控模块获取信息后整理成固定的格式反馈给控制器集群控制模块的安全决策模块。
s5、控制器集群控制模块的安全决策模块的安全策略获取模块分析从步骤s2至s4获取的当前环境的变化的环境信息,并根据算法得出当前环境的安全威胁级别和安全保护范围,并转化成相应的参数并传递给安全策略分析模块;安全策略分析模块根据参数依照系统默认的安全策略处理法规生成需要执行的安全策略;安全策略包括网络中各个节点需要遵守的流量发送规则和在哪台主机上需要建立多少数量什么类型的安全虚拟器件,以及主机上需要变动的虚拟交换机项目;然后,安全策略分析模块将结果输出至安全策略执行模块,最后安全策略执行模块通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行这些安全决策。
s6、SDN控制器集群控制模块的虚拟交换机变动模块根据步骤s5安全决策模块发送的流量安全策略和虚拟安全器件变动要求判断需要增加/更改/删除的主机上的虚拟交换机,然后通知相应主机上生成/更改/删除虚拟交换机或相应主机上的虚拟交换机生成/更改/删除端口或生成/删除接口。
s7、SDN控制器集群控制模块根据步骤s5安全策略执行模块的通知调用流表生成模块生成需要新增/更新/删除的流表,然后流表下发模块将流表发送到指定的虚拟交换机处以更新其上的流表规则。
s8、SVM控制器集群控制模块根据步骤s5安全策略执行模块通知的信息,完成主机上虚拟安全器件的变动工作,包括虚拟机创建部署模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块,SVM控制器集群控制模块接受到安全决策模块发送的虚拟安全器件变动要求,选择这四个模块中相应的模块与SDN控制器集群控制模块协调以完成在指定主机上增加、中止、复制安全虚拟器件的要求,这样当主机上的虚拟机增加或删除时,主机可以提供与之相匹配的安全保障能力,并且防止资源的浪费;另外虚拟机在不同主机之间迁移时,也能保证原有的安全策略能不间断的随虚拟机迁移。
s9、最后SDN控制器集群控制模块的虚拟交换机变动模块再次检查网络中变更的虚拟安全器件和网络部分,对流表进行修正。
本发明技术方案带来的有益效果:本发明能有效应对云计算环境中保护的虚拟机突然增加或虚拟机大批量迁往异地的数据中心等安全保护需求迅速变化的情况。总控制平台通过支持SDN的虚拟交换机和虚拟化平台的接口,在不影响正常业务工作的情况下自动识别安全需求的变化,在云计算中心的各地各主机上快速的部署或关闭虚拟器件,能有效的保护云计算中心中网络环境和其中的虚拟机的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明系统的功能模块图;
图2是本发明系统的网络拓扑图;
图3是本发明系统的物理架构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于SDN的云计算安全保护系统及方法针对云计算环境中动态变化的虚拟机数量和虚拟机迁移导致的虚拟机位置变换等与传统环境中不同的特征,对虚拟机进行保护。这种方法及系统基于支持SDN的虚拟交换机和虚拟平台管理接口,在不影响正常业务工作的情况下自动识别如虚拟机迁移、虚拟机增删、其他业务流变化等而引起的安全需求的变化,制定新的安全策略,并且根据需要在云计算中心的各地各主机上快速的部署或关闭所需的安全虚拟器件,例如IDS、审计类产品、漏洞扫描、安全管理平台等,并且向支持SDN的虚拟交换机更新安全策略,能实时有效的保护云计算中心的安全并且节省系统资源。
一种基于SDN的云计算安全保护方法的系统功能模块图如图1所示:
该系统由控制器集群控制模块、环境监控模块和集群基础功能保障模块组成。
控制器集群控制模块是整个系统的关键核心,它根据环境监控模块反馈的信息来获取当前网络如交换机增删、终端增删等变化情况以及云计算环境中虚拟机增删、迁移等变化情况。推荐控制器使用带外管理的方式,这样可以在不影响正常业务工作的情况下获得环境变化的信息。之后控制器根据设定的安全保护级别,识别安全需求的变化并自动调整安全策略,并且下发执行这些安全策略。安全策略的执行包括两种,一种是网络流量规则的执行,即SDN控制器下发流表至虚拟交换机;另一种是SVM的调整,即SVM控制器通知主机增加或关闭安全虚拟器件。
控制器集群控制模块包括安全决策模块、SDN控制器集群控制模块和SVM控制器集群控制模块。安全决策模块根据获取的环境信息进行安全策略的创新、更改和删除,具体包括安全策略获取模块、安全策略分析模块、安全策略执行模块。安全策略获取模块分析从环境监控模块获取的环境信息,并根据算法得出相应的参数并传递给安全策略分析模块。接着安全策略分析模块根据上述参数获取虚拟机、网络和业务的变动情况,并将结果输出至安全策略执行模块。最后安全策略执行模块制定新的流量安全策略和虚拟安全器件所需的变动要求,通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行。
SDN控制器集群控制模块负责对网络流量规则的执行,包括流表生成模块、流表下发模块、交换机共享控制模块、交换机接口通信模块、虚拟交换机变动模块。流表生成模块根据安全决策模块发送的流量安全策略和虚拟安全器件变动要求生成需要变更的流表,接着虚拟交换机变动模块根据需要通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口,最后流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则。其中交换机共享控制模块和交换机接口通信模块是上述业务安全、高效的完成的保证。
SVM控制器集群控制模块负责完成主机上虚拟安全器件的变动工作,包括虚拟机创建部署模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块。SVM控制器集群控制模块接受到安全决策模块发送的虚拟安全器件变动要求,选择上述四个模块中相应的模块与SDN控制器集群控制模块协调以完成在指定主机上增加、中止、复制安全虚拟器件的要求。这样当主机上的虚拟机增加或删除时,主机可以提供与之相匹配的安全保障能力,并且防止资源的浪费;另外虚拟机在不同主机之间迁移时,也能保证原有的安全策略能不间断的随虚拟机迁移。
环境监控模块使用支持SDN的虚拟交换机和和虚拟平台管理接口,在不影响正常业务工作的情况下自动识别如虚拟机迁移、虚拟机增删、其他业务流变化等而引起的安全需求的变化。环境监控模块基于集群基础功能保障模块提供的基本功能,获取网络状态变化和虚拟机情况变化的信息,并向控制器集群控制模块反映。环境监控模块包括网络状态监控模块、虚拟机迁移监控模块、虚拟机状态监控模块、虚拟机资源变动监控模块。
网络状态监控模块对云环境中的网络环境进行观察,在网络流量异常时推送信息通知控制器集群控制模块。具体为,网络状态监控模块基于支持SDN的虚拟交换机,当支持SDN的虚拟交换机接收到的流无法满足安全流表规则时向控制器集群控制模块的安全决策模块和SDN控制器发送提取的信息,以反映当前变化的网络流量情况。
虚拟机迁移监控模块、虚拟机状态监控模块、虚拟机资源变动监控模块都是对云环境中虚拟机的状态进行监控并将获取的状态变化的信息加工后发送至控制器集群控制模块。其中虚拟机迁移监控模块通过主机虚拟机平台的接口在虚拟机预备迁移时获取相应的信息,如迁入的网络主机位置,原迁出的IP地址、相应的安全策略等,并反馈到控制器集群控制模块。虚拟机状态监控模块对正在运行的虚拟机的状态进行监控,监控虚拟机所占网络资源、计算资源和存储的变化。虚拟机资源变动监控模块对虚拟机关闭和中断的情况进行监控。
集群基础功能保障模块对云环境中的多控制器进行协调管理,包括状态分发/同步模块,网络通信模块,分布式存储管理模块,故障恢复模块,冗余备份模块;是整个系统工作的基础,确保整个控制集群能够在云环境中将所有的安全策略同步、获取所有实时的安全状态,以安全可靠的方式执行操作。
其中特别的指出,集群基础功能保障模块通过网络通信模块使用南向接口协议与支持SDN的虚拟交换机进行安全通信,使用其他模块实现多控制器之间的流表的同步;同时也使用网络通信模块与主机的虚拟机监控器进行通信,以安全加密的方式将增删安全虚拟器件的指令传递执行下去。状态分发/同步模块是确保总控制中心的指令能及时可靠的到达虚拟交换机或主机的虚拟机监控器,并且实现策略指令的同步。冗余备份模块对各区域内的控制器进行冗余备份,以防止机器突然中断发生的信息丢失情况的出现。故障恢复模块在控制器、虚拟交换机、云主机发生故障后,快速的恢复相关安全保护的措施。
一种基于SDN的云计算安全保护方法,其云计算中主机上的虚拟交换机根据总控制平台下发的流表工作以保证安全,并且将所需监控的端口流量转发到指定的虚拟安全器件SVM上,并且将可疑的流量转发至总控制平台。而总控制平台根据支持SDN的虚拟交换机和虚拟化平台接口反馈的安全环境变化情况制定安全防护需求,下发流表至各主机上的相关虚拟交换机,并且通过接口调整各主机的安全虚拟器件,例如IDS入侵检测、安全审计、SOC安全管理平台、漏洞扫描等的增加和删除。其中云计算中的各主机的虚拟网桥已替换成支持SDN的虚拟交换机以符合SDN网络的要求。
具体的流程如下所示:
1、系统初始化,总控制平台通过云计算中的各主机的接口获取当前主机上的虚拟机情况和主机的资源使用情况,并且制定流量安全策略和虚拟安全器件生成要求,通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行。总控制平台向云计算中的各主机的支持SDN的虚拟交换机下发基本的由安全规则制定出的流表,通过接口在相应主机上部署所需的安全虚拟器件。
2、网络状态监控模块通过云计算的各个主机上的支持SDN的虚拟交换机进行信息收集工作。当支持SDN的虚拟交换机接收到的流无法满足流表规则时,虚拟交换机提取数据包的关键信息,并且将信息整理成固定的格式后向控制器集群控制模块的安全决策模块和SDN控制器发送,以反映当前变化的网络流量情况。
3、虚拟机迁移监控模块通过与主机上的虚拟化平台的接口来监控虚拟机迁移的活动。具体为,虚拟机迁移监控模块通过此接口在虚拟机预备迁移时获取通知,并且获取相应的信息,如迁入的网络主机位置,原迁出的IP地址、相应的安全策略等。最后虚拟机迁移监控模块将信息整理成固定的格式反馈给控制器集群控制模块的安全决策模块。
4、虚拟机状态监控模块、虚拟机资源变动监控模块都是对云环境中虚拟机的状态进行监控并将获取的状态变化的信息加工后发送至控制器集群控制模块。虚拟机状态监控模块对正在运行的虚拟机的状态进行监控,监控虚拟机所占网络资源、计算资源和存储的变化。虚拟机资源变动监控模块对虚拟机关闭和中断的情况进行监控。当虚拟机状态监控模块和虚拟机资源变动监控模块获取信息后整理成固定的格式反馈给控制器集群控制模块的安全决策模块。
5、控制器集群控制模块的安全决策模块的安全策略获取模块分析从以上2至4步获取的当前环境的变化的环境信息,并根据算法得出当前环境的安全威胁级别和安全保护范围,并转化成相应的参数并传递给安全策略分析模块。安全策略分析模块根据参数依照系统默认的安全策略处理法规生成需要执行的安全策略。安全策略包括网络中各个节点需要遵守的流量发送规则和在哪台主机上需要建立多少数量什么类型的安全虚拟器件,以及主机上需要变动的虚拟交换机项目。然后,安全策略分析模块将结果输出至安全策略执行模块。最后安全策略执行模块通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行这些安全决策。
6、SDN控制器集群控制模块的虚拟交换机变动模块根据第5步安全决策模块发送的流量安全策略和虚拟安全器件变动要求判断需要增加/更改/删除的主机上的虚拟交换机,然后通知相应主机上生成/更改/删除虚拟交换机或相应主机上的虚拟交换机生成/更改/删除端口或生成/删除接口。
7、SDN控制器集群控制模块根据第5步安全策略执行模块的通知调用流表生成模块生成需要新增/更新/删除的流表,然后流表下发模块将流表发送到指定的虚拟交换机处以更新其上的流表规则。这些虚拟交换机根据总控制平台下发的流表工作以保证安全,并且将所需监控的端口流量转发到指定的虚拟安全器件SVM上,并且将可疑的流量转发至总控制平台。
8、SVM控制器集群控制模块根据第5步安全策略执行模块通知的信息,完成主机上虚拟安全器件的变动工作,包括虚拟机创建部署模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块。SVM控制器集群控制模块接受到安全决策模块发送的虚拟安全器件变动要求,选择这四个模块中相应的模块与SDN控制器集群控制模块协调以完成在指定主机上增加、中止、复制安全虚拟器件的要求。这样当主机上的虚拟机增加或删除时,主机可以提供与之相匹配的安全保障能力,并且防止资源的浪费;另外虚拟机在不同主机之间迁移时,也能保证原有的安全策略能不间断的随虚拟机迁移。
9、最后SDN控制器集群控制模块的虚拟交换机变动模块再次检查网络中变更的虚拟安全器件和网络部分,对流表进行修正。
本发明的一种基于SDN的云计算安全保护系统可以部署在物理服务器或者虚拟服务器上,也可以部署在物理个人计算机或虚拟机上。一个云计算环境按照规模分为多个云计算管理工作组,一个云计算管理工作组包含500台以内的物理主机。每个云计算管理工作组由一个控制器对其中的网络和安全虚拟器件SVM进行管理。其中,安全虚拟器件SVM可独立或与其他虚拟机一起部署在云计算平台中,利用云计算平台强大的计算能力为云平台中基于虚拟机运行的系统提供全面的、高性能的网络安全保护。系统的网络拓扑图如图2所示。其中实线表示控制网络,虚线表示业务网络。
系统的物理架构示意图如图3所示,其中实线表示控制网络,虚线表示业务网络。
总控制平台是带外传输的,不占用云计算原环境中的网络资源,而且具有较好的安全性。总控制平台与各主机直接通信,其中SDN控制模块与主机上支持SDN的交换机直接通信,调整网络流向及根据安全策略增删流表;SVM控制模块与主机的虚拟机监控器直接通信,根据安全需要增删安全虚拟器件SVM。
本系统的总控制平台识别安全需求的变化并自动调整安全策略,并且下发执行网络流量规则和SVM的调整,在SDN控制器下发流表至虚拟交换机,通过虚拟化平台接口调整SVM。安全虚拟器件SVM代替了原有硬件设备的产品交付方式,更加快捷、高效,且节约成本;目前涵盖了市场上大部分的安全产品,包括IDS入侵检测、安全审计、SOC安全管理平台、漏洞扫描等。本系统提供接口,允许使用第三方的安全器件。
1、高效集成的入侵检测系统
入侵检测虚拟化器件与防火墙全面联动,实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在虚拟机受到危害之前发出警告,实时对攻击做出反应,并提供补救措施,最大程度地为网络系统提供安全保障。
2、合规性审计
IT管理者、合规性审计人员可以利用审计虚拟化器件,定义和报告在其环境中开展合规性运营应满足的具体要求(包括企业、集团法规或政府相关政策)。云平台管理员可以快速查看环境内部的总体合规性状态,并确定每台虚拟机触发违规警报的具体情况。虚拟化器件基于“数据捕获→应用层数据分析→监控、审计和响应”的模式提供各项安全功能,使得它的审计功能大大优于基于日志收集的审计系统,通过收集一系列极其丰富的审计数据,结合细粒度的审计规则、以满足对敏感信息的特殊保护需求。这种连续的监控能够确保当虚拟机监控器的配置和接入权限出现变化时将被详细审查,从而减少了虚拟平台管理员做出错误或不适当的操作。
3、强大的安全综合管理
SOC虚拟化器件以业务和服务为核心,把多种的安全器件、安全策略、安全事件进行统一集中式的实时动态管理,提高运营效率,提升智能化风险管理水平。透过收集各种网络信息,包括SNMP、NetFlow,得到最完整的网络信息,关联分析异常流量,快速定位异常并进行排除。系统通过长时间的基于流量的基准分析,一旦出现异常,及时触发预警,在问题出现初期就进行排查,帮助管理员发现网络中的异常流量并作合理控制,构建了一个智能化的、一体化的、立体联动的防护体系。
4、按需扫描漏洞
与入侵检测系统等被动防御手段相比,漏洞扫描是一种主动的防范措施,可以有效避免黑客对于虚拟机的攻击行为,防患于未然。漏洞扫描虚拟器件可以对主机内部外部的客户虚拟机漏洞扫描、Web漏洞扫描、弱密码扫描等脆弱性检测,支持IP地址段批量反查域名、内网穿透扫描、可利用漏洞显示等。可以按需提供扫描,定制单次、周期执行的扫描计划,定时对虚拟机进行漏洞扫描。
5、细粒度的数据库审计
数据库审计虚拟化器件可保护业界主流的数据库系统,防止受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时,数据库审计虚拟化器件会自动根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测及审计规则检测,任何尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警。
针对本发明还可以考虑利用与虚拟化平台结合的虚拟安全器件SVM。如果是商业软件,则大多需要与虚拟平台厂商进行沟通,获取极高的操作权限。但实际上实施的难度较大。或者开源软件中寻找适合的接口完成,但需要考虑这个高权限接口带来的安全问题。
以上对本发明实施例所提供的一种基于SDN的云计算安全保护系统及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于SDN的云计算安全保护系统,其特征在于,该系统基于支持SDN的虚拟交换机和虚拟平台管理接口,在不影响正常业务工作的情况下自动识别虚拟机迁移、虚拟机增删、其他业务流变化而引起的安全需求的变化,制定新的安全策略,并且根据需要在云计算中心的各地各主机上快速的部署或关闭所需的安全虚拟器件,并且向支持SDN的虚拟交换机更新安全策略,能实时有效的保护云计算中心的安全并且节省系统资源,该系统具体包括以下模块:
该系统由控制器集群控制模块、环境监控模块和集群基础功能保障模块组成;
控制器集群控制模块是整个系统的关键核心,它根据环境监控模块反馈的信息来获取当前网络中交换机增删、终端增删变化情况以及云计算环境中虚拟机增删、迁移这些变化情况;其包括安全决策模块、SDN控制器集群控制模块和SVM控制器集群控制模块;
安全决策模块根据获取的环境信息进行安全策略的创新、更改和删除,具体包括安全策略获取模块、安全策略分析模块、安全策略执行模块,安全策略获取模块分析从环境监控模块获取的环境信息,并根据算法得出相应的参数并传递给安全策略分析模块;接着安全策略分析模块根据上述参数获取虚拟机、网络和业务的变动情况,并将结果输出至安全策略执行模块;最后安全策略执行模块制定新的流量安全策略和虚拟安全器件所需的变动要求,通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行;
SDN控制器集群控制模块负责对网络流量规则的执行,包括流表生成模块、流表下发模块、交换机共享控制模块、交换机接口通信模块、虚拟交换机变动模块;流表生成模块根据安全决策模块发送的流量安全策略和虚拟安全器件变动要求生成需要变更的流表,接着虚拟交换机变动模块根据需要通知相应主机上生成/删除新的虚拟交换机或相应主机上的虚拟交换机生成/删除端口或生成/删除接口,最后流表下发模块将流表发送到指定的虚拟交换机处以更新流表规则;
SVM控制器集群控制模块负责完成主机上虚拟安全器件的变动工作,包括虚拟机创建部署模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块;SVM控制器集群控制模块接受到安全决策模块发送的虚拟安全器件变动要求,选择虚拟机创建部署模块、虚拟机中断模块、虚拟机关闭模块、虚拟机同步迁移模块这四个模块中相应的子功能模块,与SDN控制器集群控制模块协调以完成在指定主机上增加、中止、复制安全虚拟器件的要求;
环境监控模块使用支持SDN的虚拟交换机和和虚拟平台管理接口,在不影响正常业务工作的情况下自动识别虚拟机迁移、虚拟机增删、其他业务流变化而引起的安全需求的变化;环境监控模块基于集群基础功能保障模块提供的基本功能,获取网络状态变化和虚拟机情况变化的信息,并向控制器集群控制模块反映;环境监控模块包括网络状态监控模块、虚拟机迁移监控模块、虚拟机状态监控模块、虚拟机资源变动监控模块,其中,网络状态监控模块对云环境中的网络环境进行观察,在网络流量异常时推送信息通知控制器集群控制模块;虚拟机迁移监控模块、虚拟机状态监控模块、虚拟机资源变动监控模块都是对云环境中虚拟机的状态进行监控并将获取的状态变化的信息加工后发送至控制器集群控制模块;
集群基础功能保障模块对云环境中的多控制器进行协调管理,包括状态分发/同步模块,网络通信模块,分布式存储管理模块,故障恢复模块,冗余备份模块,集群基础功能保障模块是整个系统工作的基础,确保整个控制集群能够在云环境中将所有的安全策略同步、获取所有实时的安全状态,以安全可靠的方式执行操作。
2.根据权利要求1所述的系统,其特征在于,安全虚拟器件包括但不限于IDS、审计类产品、漏洞扫描、安全管理平台。
3.根据权利要求1所述的系统,其特征在于,控制器推荐使用带外管理的方式,这样能够在不影响正常业务工作的情况下获得环境变化的信息,之后控制器根据设定的安全保护级别,识别安全需求的变化并自动调整安全策略,并且下发执行这些安全策略。
4.根据权利要求1或3所述的系统,其特征在于,安全策略的执行包括两种,一种是网络流量规则的执行,即SDN控制器下发流表至虚拟交换机;另一种是SVM的调整,即SVM控制器通知主机增加或关闭安全虚拟器件。
5.根据权利要求1所述的系统,其特征在于,网络状态监控模块基于支持SDN的虚拟交换机,当支持SDN的虚拟交换机接收到的流无法满足安全流表规则时向控制器集群控制模块的安全决策模块和SDN控制器发送提取的信息,以反映当前变化的网络流量情况。
6.根据权利要求1所述的系统,其特征在于,虚拟机迁移监控模块通过主机虚拟机平台的接口在虚拟机预备迁移时获取相应的信息,主要包括迁入的网络主机位置、原迁出的IP地址、相应的安全策略、相连转发设备上的相关状态,并反馈到控制器集群控制模块;虚拟机状态监控模块对正在运行的虚拟机的状态进行监控,监控虚拟机所占网络资源、计算资源和存储的变化;虚拟机资源变动监控模块对虚拟机关闭和中断的情况进行监控。
7.根据权利要求1所述的系统,其特征在于,集群基础功能保障模块通过网络通信模块使用南向接口协议与支持SDN的虚拟交换机进行安全通信,使用其他模块实现多控制器之间的流表的同步;同时也使用网络通信模块与主机的虚拟机监控器进行通信,以安全加密的方式将增删安全虚拟器件的指令传递执行下去;状态分发/同步模块是确保总控制中心的指令能及时可靠的到达虚拟交换机或主机的虚拟机监控器,并且实现策略指令的同步;冗余备份模块对各区域内的控制器进行冗余备份,以防止机器突然中断发生的信息丢失情况的出现;故障恢复模块在控制器、虚拟交换机、云主机发生故障后,快速的恢复相关安全保护的措施。
8.一种基于SDN的云计算安全保护方法,其特征在于,该方法通过其云计算中主机上的虚拟交换机根据总控制平台下发的流表工作以保证安全,并且将所需监控的端口流量转发到指定的虚拟安全器件SVM上,并且将可疑的流量转发至总控制平台,而总控制平台根据支持SDN的虚拟交换机和虚拟化平台接口反馈的安全环境变化情况制定安全防护需求,下发流表至各主机上的相关虚拟交换机,并且通过接口调整各主机的安全虚拟器件,包括IDS入侵检测、安全审计、SOC安全管理平台、漏洞扫描的增加和删除;其中云计算中的各主机的虚拟网桥已替换成支持SDN的虚拟交换机以符合SDN网络的要求;该方法的具体流程为:
s1、系统初始化,总控制平台通过云计算中的各主机的接口获取当前主机上的虚拟机情况和主机的资源使用情况,并且制定流量安全策略和虚拟安全器件生成要求,通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行;
s2、网络状态监控模块通过云计算的各个主机上的支持SDN的虚拟交换机进行信息收集工作,当支持SDN的虚拟交换机接收到的流无法满足流表规则时,虚拟交换机提取数据包的关键信息,并且将信息整理成固定的格式后向控制器集群控制模块的安全决策模块和SDN控制器发送,以反映当前变化的网络流量情况;
s3、虚拟机迁移监控模块通过与主机上的虚拟化平台的接口来监控虚拟机迁移的活动,具体为,虚拟机迁移监控模块通过此接口在虚拟机预备迁移时获取通知,并且获取相应的信息,主要包括迁入的网络主机位置、原迁出的IP地址、相应的安全策略、相连转发设备上的相关状态,最后虚拟机迁移监控模块将信息整理成固定的格式反馈给控制器集群控制模块的安全决策模块;
s4、虚拟机状态监控模块、虚拟机资源变动监控模块都是对云环境中虚拟机的状态进行监控并将获取的状态变化的信息加工后发送至控制器集群控制模块;虚拟机状态监控模块对正在运行的虚拟机的状态进行监控,监控虚拟机所占网络资源、计算资源和存储的变化;虚拟机资源变动监控模块对虚拟机关闭和中断的情况进行监控;当虚拟机状态监控模块和虚拟 机资源变动监控模块获取信息后整理成固定的格式反馈给控制器集群控制模块的安全决策模块;
s5、控制器集群控制模块的安全决策模块的安全策略获取模块分析从步骤s2至s4获取的当前环境的变化的环境信息,并根据算法得出当前环境的安全威胁级别和安全保护范围,并转化成相应的参数并传递给安全策略分析模块;安全策略分析模块根据参数依照系统默认的安全策略处理法规生成需要执行的安全策略;安全策略包括网络中各个节点需要遵守的流量发送规则和在哪台主机上需要建立多少数量什么类型的安全虚拟器件,以及主机上需要变动的虚拟交换机项目;然后,安全策略分析模块将结果输出至安全策略执行模块,最后安全策略执行模块通知SDN控制器集群控制模块和SVM控制器集群控制模块具体执行这些安全决策;
s6、SDN控制器集群控制模块的虚拟交换机变动模块根据步骤s5安全决策模块发送的流量安全策略和虚拟安全器件变动要求判断需要增加/更改/删除的主机上的虚拟交换机,然后通知相应主机上生成/更改/删除虚拟交换机或相应主机上的虚拟交换机生成/更改/删除端口或生成/删除接口;
s7、SDN控制器集群控制模块根据步骤s5安全策略执行模块的通知调用流表生成模块生成需要新增/更新/删除的流表,然后流表下发模块将流表发送到指定的虚拟交换机处以更新其上的流表规则;
s8、SVM控制器集群控制模块根据步骤s5安全策略执行模块通知的信息,完成主机上虚拟安全器件的变动工作,包括虚拟机创建部署模块、虚拟机中断模块、虚拟机关闭模块和虚拟机同步迁移模块,SVM控制器集群控制模块接受到安全决策模块发送的虚拟安全器件变动要求,选择这四个模块中相应的模块与SDN控制器集群控制模块协调以完成在指定主机上增加、中止、复制安全虚拟器件的要求,这样当主机上的虚拟机增加或删除时,主机可以提供与之相匹配的安全保障能力,并且防止资源的浪费;另外虚拟机在不同主机之间迁移时,也能保证原有的安全策略能不间断的随虚拟机迁移;
s9、最后SDN控制器集群控制模块的虚拟交换机变动模块再次检查网络中变更的虚拟安全器件和网络部分,对流表进行修正。
9.根据权利要求8所述的方法,其特征在于,步骤s1中,总控制平台向云计算中的各主机的支持SDN的虚拟交换机下发基本的由安全规则制定出的流表,通过接口在相应主机上部署所需的安全虚拟器件。
10.根据权利要求8所述的方法,其特征在于,步骤s7中,虚拟交换机根据总控制平台下发的流表工作以保证安全,并且将所需监控的端口流量转发到指定的虚拟安全器件SVM上,并且将可疑的流量转发至总控制平台。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410160049.3A CN103973676B (zh) | 2014-04-21 | 2014-04-21 | 一种基于sdn的云计算安全保护系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410160049.3A CN103973676B (zh) | 2014-04-21 | 2014-04-21 | 一种基于sdn的云计算安全保护系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103973676A CN103973676A (zh) | 2014-08-06 |
CN103973676B true CN103973676B (zh) | 2017-05-24 |
Family
ID=51242722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410160049.3A Expired - Fee Related CN103973676B (zh) | 2014-04-21 | 2014-04-21 | 一种基于sdn的云计算安全保护系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103973676B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108234223A (zh) * | 2018-04-19 | 2018-06-29 | 郑州云海信息技术有限公司 | 一种数据中心综合管理系统的安全服务设计方法 |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105337945A (zh) * | 2014-08-12 | 2016-02-17 | 中兴通讯股份有限公司 | 云安全的维护处理方法及装置 |
CN105337952B (zh) * | 2014-08-14 | 2018-07-20 | 新华三技术有限公司 | 用于抑制主机频繁迁移的方法和装置 |
CN104158910B (zh) * | 2014-08-29 | 2017-12-15 | 金石易诚(北京)科技有限公司 | 一种云端Web应用自动化部署系统 |
CN104243205B (zh) * | 2014-09-03 | 2019-01-25 | 新华三技术有限公司 | 一种虚拟交换机故障时的报文处理方法和设备 |
CN104270260B (zh) * | 2014-09-19 | 2017-12-08 | 新华三技术有限公司 | 一种sdn控制器集群规模的弹性扩展的方法及装置 |
CN105592016B (zh) * | 2014-10-29 | 2019-04-30 | 国家电网公司 | 一种电力信息系统的云环境下虚拟机的保护装置 |
CN104407911B (zh) * | 2014-10-31 | 2018-03-20 | 新华三技术有限公司 | 虚拟机迁移方法及装置 |
CN105681371A (zh) * | 2014-11-18 | 2016-06-15 | 中兴通讯股份有限公司 | 一种网络设备虚拟机的同步方法及装置 |
CN105991315A (zh) | 2015-02-03 | 2016-10-05 | 华为技术有限公司 | 一种sdn中的链路保护方法、交换设备及网络控制器 |
CN104618379B (zh) * | 2015-02-04 | 2019-06-04 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
CN104753951A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种基于软件定义的网络安全流安全平台 |
CN106161548B (zh) * | 2015-04-15 | 2019-01-04 | 先智云端数据股份有限公司 | 用于软件定义网络中数据库、应用程序与储存安全的系统 |
CN104852840B (zh) * | 2015-05-28 | 2018-08-24 | 新华三技术有限公司 | 一种控制虚拟机之间互访的方法及装置 |
CN105072162A (zh) * | 2015-07-21 | 2015-11-18 | 哈尔滨理工大学 | 一种基于sdn和云平台的大型网络游戏架构系统及方法 |
CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
CN105262611B (zh) * | 2015-09-07 | 2018-12-21 | 中国电子科技网络信息安全有限公司 | 基于open-stack的虚拟机策略管理装置及管理方法 |
CN105429974B (zh) * | 2015-11-10 | 2018-09-11 | 南京邮电大学 | 一种面向sdn的入侵防御系统和方法 |
CN105376246B (zh) * | 2015-11-30 | 2018-08-03 | 中国电子科技网络信息安全有限公司 | 一种基于sdn的安全策略自适应生成管理系统及方法 |
CN106936609B (zh) * | 2015-12-29 | 2020-10-16 | 南京中兴新软件有限责任公司 | 一种软件定义网络中控制转发设备集群的方法及控制器 |
EP3229405B1 (en) * | 2015-12-31 | 2020-07-15 | Huawei Technologies Co., Ltd. | Software defined data center and scheduling and traffic-monitoring method for service cluster therein |
JP6556875B2 (ja) | 2015-12-31 | 2019-08-07 | 華為技術有限公司Huawei Technologies Co.,Ltd. | ソフトウェアディファインドデータセンタ及びそこにおけるサービスクラスタの配置方法 |
EP3430562B1 (en) * | 2016-03-18 | 2020-04-01 | Telefonaktiebolaget LM Ericsson (PUBL) | Using nano-services to secure multi-tenant networking in datacenters |
CN105959275A (zh) * | 2016-04-26 | 2016-09-21 | 北京启明星辰信息安全技术有限公司 | 安全一体机系统 |
US10153941B2 (en) * | 2016-05-17 | 2018-12-11 | Microsoft Technology Licensing, Llc | Distributed operational control in computing systems |
CN107515559A (zh) * | 2016-06-17 | 2017-12-26 | 苗玉水 | 自适应全自动外语文本云计算集群遥控的执行系统 |
CN106330537B (zh) * | 2016-08-22 | 2020-04-17 | 刘昱 | Sdn网络设备控制面管理装置及方法 |
CN107786495A (zh) * | 2016-08-24 | 2018-03-09 | 北京计算机技术及应用研究所 | 云环境网络安全防护系统 |
CN107888438B (zh) * | 2016-09-29 | 2021-06-08 | 上海天旦网络科技发展有限公司 | 一种基于流表技术的自动感知并适应云环境变化的系统 |
CN108259545B (zh) * | 2017-01-13 | 2021-04-27 | 新华三技术有限公司 | 端口安全策略扩散方法及装置 |
CN106911723B (zh) * | 2017-04-26 | 2020-03-03 | 北京启明星辰信息安全技术有限公司 | 流量安全处理方法及安全虚拟化系统 |
CN107346262B (zh) * | 2017-06-06 | 2020-12-15 | 华为技术有限公司 | 一种任务迁移的方法及控制器 |
CN107506640A (zh) * | 2017-06-28 | 2017-12-22 | 青岛以太科技股份有限公司 | 虚拟机防护系统 |
CN107171979A (zh) * | 2017-06-30 | 2017-09-15 | 广州市品高软件股份有限公司 | 基于云计算和sdn的漏洞扫描方法及系统 |
CN107769961A (zh) * | 2017-09-14 | 2018-03-06 | 广州西麦科技股份有限公司 | 一种sdn控制器集群及网络系统 |
CN108200073B (zh) * | 2018-01-12 | 2021-04-09 | 阳光保险集团股份有限公司 | 一种敏感数据安全保护系统 |
CN108718296A (zh) * | 2018-04-27 | 2018-10-30 | 广州西麦科技股份有限公司 | 基于sdn网络的网络管控方法、装置与计算机可读存储介质 |
CN109150648A (zh) * | 2018-05-30 | 2019-01-04 | 太仓鸿策拓达科技咨询有限公司 | 自检测网络安全系统 |
CN109246100A (zh) * | 2018-09-07 | 2019-01-18 | 刘洋 | 一种软件定义网络安全的实施方法 |
CN109246152A (zh) * | 2018-11-06 | 2019-01-18 | 北京华顺信安科技有限公司 | 一种大范围通用漏洞扫描方法和系统 |
CN109981493B (zh) * | 2019-04-09 | 2020-05-01 | 苏州浪潮智能科技有限公司 | 一种用于配置虚拟机网络的方法和装置 |
US11153194B2 (en) * | 2019-04-26 | 2021-10-19 | Juniper Networks, Inc. | Control plane isolation for software defined network routing services |
CN111026525B (zh) * | 2019-10-30 | 2024-02-13 | 安天科技集团股份有限公司 | 云平台虚拟导流技术的调度方法及装置 |
CN111031091B (zh) * | 2019-10-30 | 2022-10-21 | 安天科技集团股份有限公司 | 云平台虚拟导流技术的自动化适配方法及装置 |
CN111224821B (zh) * | 2019-12-31 | 2022-12-09 | 北京山石网科信息技术有限公司 | 安全服务部署系统、方法及装置 |
CN113204774B (zh) * | 2021-04-29 | 2021-11-26 | 北京连山科技股份有限公司 | 基于多云环境下的一种快速数据安全保护方法 |
CN116192755B (zh) * | 2023-04-28 | 2023-08-11 | 惠州迈腾伟业科技发展有限公司 | 基于建立虚拟交换机的拥塞处理方法及其系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101765225A (zh) * | 2008-12-24 | 2010-06-30 | 华为技术有限公司 | 一种虚拟化的集群管理方法和集群节点 |
CN102724313A (zh) * | 2012-06-19 | 2012-10-10 | 招商局重庆交通科研设计院有限公司 | 基于云计算的集群式桥梁运营安全监控系统 |
CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9094459B2 (en) * | 2012-07-16 | 2015-07-28 | International Business Machines Corporation | Flow based overlay network |
-
2014
- 2014-04-21 CN CN201410160049.3A patent/CN103973676B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101765225A (zh) * | 2008-12-24 | 2010-06-30 | 华为技术有限公司 | 一种虚拟化的集群管理方法和集群节点 |
CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
CN102724313A (zh) * | 2012-06-19 | 2012-10-10 | 招商局重庆交通科研设计院有限公司 | 基于云计算的集群式桥梁运营安全监控系统 |
CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108234223A (zh) * | 2018-04-19 | 2018-06-29 | 郑州云海信息技术有限公司 | 一种数据中心综合管理系统的安全服务设计方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103973676A (zh) | 2014-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103973676B (zh) | 一种基于sdn的云计算安全保护系统及方法 | |
Zarca et al. | Security management architecture for NFV/SDN-aware IoT systems | |
CN102244622B (zh) | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 | |
CN103973481A (zh) | 一种基于sdn的云计算数据中心的审计系统及方法 | |
CN107370756B (zh) | 一种蜜网防护方法及系统 | |
US9912679B1 (en) | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network | |
CN104506507A (zh) | 一种sdn网络的蜜网安全防护系统及方法 | |
CN112769825B (zh) | 一种网络安全保障方法、系统以及计算机存储介质 | |
CN107637018A (zh) | 用于安全监视虚拟网络功能的安全个性化的技术 | |
JP2011100443A (ja) | プロセス制御システムのための一体型統合脅威管理 | |
CN103491108A (zh) | 一种工业控制网络安全防护方法和系统 | |
Naseer | Implementation of Hybrid Mesh firewall and its future impacts on Enhancement of cyber security | |
CN103178988B (zh) | 一种性能优化的虚拟化资源的监控方法和系统 | |
CN106385339A (zh) | 企业网络的访问性能的监控方法和监控系统 | |
CN104468504B (zh) | 虚拟化网络动态信息安全的监控方法及系统 | |
CN108123919A (zh) | 网络的监控防护系统和方法 | |
Wang et al. | IndustEdge: A time-sensitive networking enabled edge-cloud collaborative intelligent platform for smart industry | |
CN107645472A (zh) | 一种基于OpenFlow的虚拟机流量检测系统 | |
CN105592016A (zh) | 一种电力信息系统的云环境下虚拟机的保护装置 | |
CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
CN106790270A (zh) | 一种云操作系统的安全保护系统 | |
Huang et al. | A multi-agent-based distributed intrusion detection system | |
CN110381082A (zh) | 基于Mininet的电力通信网络的攻击检测方法和装置 | |
Wang et al. | Research on Secure Cloud Networking Plan Based on Industry-Specific Cloud Platform | |
Lina et al. | A new network security architecture based on SDN/NFV technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210322 Address after: No.16, Tianhui Road, Tianhe District, Guangzhou, Guangdong 510000 Patentee after: BLUEDON INFORMATION SECURITY TECHNOLOGY Corp.,Ltd. Address before: 510665 20-21 / F, building a, information port, No.16 Keyun Road, Tianhe District, Guangzhou City, Guangdong Province Patentee before: BLUEDON INFORMATION SECURITY TECHNOLOGY Co.,Ltd. |
|
TR01 | Transfer of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170524 |