CN105376246B - 一种基于sdn的安全策略自适应生成管理系统及方法 - Google Patents
一种基于sdn的安全策略自适应生成管理系统及方法 Download PDFInfo
- Publication number
- CN105376246B CN105376246B CN201510855860.8A CN201510855860A CN105376246B CN 105376246 B CN105376246 B CN 105376246B CN 201510855860 A CN201510855860 A CN 201510855860A CN 105376246 B CN105376246 B CN 105376246B
- Authority
- CN
- China
- Prior art keywords
- module
- security strategy
- sdn
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于SDN的安全策略自适应生成管理系统,与NFV资源池和虚拟机资源池相连,为云环境提供安全策略自适应生成管理;包括安全检测模块、数据分析决策模块、安全策略统一管理模块、交换机模块;所述安全检测模块包括检测规则制定模块、流量感知模块、包检测模块、安全事件数据收集模块、其他检测模块;所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块;所述数据分析决策模块包括安全策略模板库、数据挖掘分析模块、安全策略定制模块、安全策略存储模块、策略安全传输模块、安全策略接口模块。
Description
技术领域
本发明涉及虚拟化技术领域,尤其涉及一种基于SDN的安全策略自适应生成管理系统及方法。
背景技术
SDN(软件定义网络)的出现,实现了对网络的灵活管理和控制,通过对网络转发和控制的分离达到网络控制的灵活可编程,满足了根据应用变化对网络灵活变动的需求。基于SDN的网络策略管理可以通过SDN应用层中的应用软件,转化为具体的控制命令,下发到网络基础设施的实际设备中,实现对实际设备的管理控制。
基于SDN控制模块的灵活性,可以实现多种对网络的控制:比如,通过检测接受和发送缓冲区溢出的流量后,SDN交换机提取溢出流量的特征码并上报到SDN控制模块,SDN控制模块根据流量特征中的转发路径下停止或者暂停流量发送的控制命令,实现对缓冲区溢出情况下,流量的控制。或者针对初始的新业务流量进入SDN网络时,转发设备表中无匹配该新业务的流量表项,则该新业务流量被转发到控制器,流检测模块进行流检测,包检测模块进行包检测,识别出该新业务流量的业务类型和业务特征,控制器根据业务流的特征、流标记、流统计、包统计出发特定业务感知。
综合来说,已有的策略管理方法主要存在以下问题:
1)、现有的策略管理方法繁多,主要针对最基本的流量控制、包检测控制、链路信息检测进行;
2)、现有的策略管理方法缺乏对网络安全相关的策略管理;
3)、现有的策略管理方法大多是一种方法针对一种控制方式,缺少同时针对多种策略的统一管理;
4)、现有的策略控制方法不能结合云环境中的安全态势信息进行自适应调整,缺少与安全设备实现联动,进行按需防护的功能。
因此,云环境下需要一种全新的机制,能够感知虚拟流量、虚拟网络边界,来实现控制、转发;还能够根据网络安全事件来按需自适应生成对应的安全策略,对安全威胁进行抵御和防护;并且,对不同作用的安全策略能够通过统一管机制实现统一生成、管理,才能从全局的安全需求出发,灵活调整策略,应对业务变动和资源变动以及网络安全威胁带来的安全策略变动,使得安全策略恰当、有效的实施。
发明内容
为了实现上述目标,解决现有技术存在的问题,本发明提供一种基于SDN的安全策略自适应生成管理系统及方法。
本发明的一种基于SDN的安全策略自适应生成管理系统,所述基于SDN的安全策略自适应生成管理系统与NFV资源池和虚拟机资源池相连,为云环境提供安全策略自适应生成管理;所述NFV资源池包括IDS服务器、IPS服务器、流量清洗服务器、负载均衡服务器及安全防护设备;所述基于SDN的安全策略自适应生成管理系统包括制定不同检测规则来实现不同信息采集的安全检测模块、对所述安全检测模块采集到的数据进行数据分析和挖掘以定制出适应实际情况和具体需求的安全策略的数据分析决策模块、与所述数据分析决策模块相连并对所述数据分析决策模块制定的安全策略进行统一管理和控制并转化为可执行命令的包含SDN控制模块及NFV控制模块的安全策略统一管理模块、与所述安全策略统一管理模块相连并包含能够为流表实现按需转发的SDN交换机的交换机模块;所述安全检测模块包括为新的策略需求定制相应检测规则的检测规则制定模块、根据所述检测规则制定模块制定的相应流量检测规则通过测量SDN交换机处流表信息来感知流量数据的流量感知模块、根据所述检测规则制定模块制定的相应包检测规则在SDN交换机出获取包检测信息的包检测模块、根据所述检测规则制定模块制定的相应安全事件检测规则收集来自NFV资源池中安全防护设备提供的安全事件数据信息的安全事件数据收集模块、根据所述检测规则制定模块制定的其他信息检测规则检测除了流量和包以及安全事件信息以外的信息的其他检测模块;所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块;所述数据分析决策模块包括存储安全策略需求模板的安全策略模板库、对所述安全检测模块检测到的数据进行分类处理再对数据进行挖掘处理得到关键信息的数据挖掘分析模块、根据所述数据挖掘分析模块得到的关键信息从所述安全策略模板库中匹配相应的安全策略需求模板并定制实际情况和具体需求的安全策略的安全策略定制模块、将所述安全策略定制模块定制的安全策略存储以备发送的安全策略存储模块、保证所述安全策略定制模块定制的安全策略传输过程中的安全的策略安全传输模块、将所述安全策略定制模块定制的安全策略提供给所述安全策略统一管理模块的安全策略接口模块。
本发明的一种基于SDN的安全策略自适应生成管理方法,所述基于SDN的安全策略自适应生成管理方法通过基于SDN的安全策略自适应生成管理系统来实现,所述基于SDN的安全策略自适应生成管理方法包括如下四个主步骤:
s1、预制定检测规则,进入步骤s2;
s2、根据检测规则检测网络信息和安全信息,进入步骤s3;
s3、根据检测到的信息进行数据分析制定相应的安全策略,进入步骤s4;
s4、将制定好的安全策略下发到相应设备进行执行;
所述步骤s1包括如下步骤:
s11、根据新出现的情况增加新的策略需求,进入步骤s12;
s12、根据新的策略需求生成相应的策略需求模板,进入步骤s13;
s13、通过所述基于SDN的安全策略自适应生成管理系统中的安全检测模块为所述步骤s12中新增的策略需求模板制定相应的检测规则,进入步骤s14;
s14、检测规则制定完毕;
所述步骤s2包括如下步骤:
s21、启动数据信息检测,进入步骤s22;
s22、解析检测规则,进入步骤s23;
s23、根据所述步骤s22中解析的检测规则,执行相应的信息检测,进入步骤s24;
s24、根据所述步骤s23执行的信息检测,采集相应的数据信息,进入步骤s25;
s25、整合所述步骤s24中采集到的信息发送到所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块进行处理,进入步骤s26;
s26、信息检测结束;
所述步骤s3包括如下步骤:
s31、通过所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块接收所述步骤s2中经过信息检测检测到的数据信息,进入步骤s32;
s32、通过所述数据分析决策模块中的数据挖掘分析模块对接收到的数据信息根据类型进行分类处理,进入步骤s33;
s33、通过所述数据挖掘分析模块对分类后的信息分别进行信息挖掘、统计、聚类、归并处理以提取到用以匹配安全策略模板的关键信息,进入步骤s34;
s34、根据所述步骤s33中提取到的关键信息通过所述数据分析决策模块中的安全策略定制模块从所述数据分析决策模块中的安全策略模板库中选择匹配的策略需求模板,再根据实际数据信息调节策略需求模板参数,定制得到适应实际情况和具体需求的安全策略,进入步骤s35;
s35、通过所述数据分析决策模块中的安全策略存储模块对所述步骤s34中定制好的安全策略进行存储,进入步骤s36;
s36、通过所述数据分析决策模块中的策略安全传输模块保证传输安全的情况下,通过所述数据分析决策模块中的安全策略接口模块将所述步骤s35中存储的安全策略发送给所述基于SDN的安全策略自适应生成管理系统中的安全策略统一管理模块,进入步骤s37;
s37、安全策略定制完毕;
所述步骤s4包括如下步骤:
s41、由所述安全策略统一管理模块接收安全策略,进入步骤s42;
s42、由所述安全策略统一管理模块中的策略分流模块分析策略类型进行不同策略分发,若策略类型为流量控制,进入步骤s43;若策略类型为负载调整策略,进入步骤s48;若策略类型为安全防护策略,进入步骤s53;
s43、执行流量控制策略,将流量控制策略由所述策略分流模块分发给所述安全策略统一管理模块中的SDN控制模块,进入步骤s44;
s44、由SDN控制模块将流量控制策略转化为可执行命令,进入步骤s45;
s45、由所述SDN控制模块将命令发送到所述基于SDN的安全策略自适应生成管理系统中的交换机中的SDN交换机,进入步骤s46;
s46、由SDN交换机将流表流量信息提供给NFV资源池,进入步骤s47;
s47、开启NFV资源池中的流量清洗服务器根据所述SDN交换机提供的流量信息执行经过所述SDN控制模块转化后的流程控制策略的可执行命令,进行流量控制,进入步骤s57;
s48、执行负载调整策略,将负载调整策略由所述策略分流模块分发所述SDN控制模块,进入步骤s49;
s49、由所述SDN控制模块将负载调整策略转化为可执行命令,进入步骤s50;
s50、由所述SDN控制模块将命令发送到所述SDN交换机,进入步骤s51;
s51、由SDN交换机将负载信息提供给NFV资源池,进入步骤s52;
s52、开启NFV资源池中的负载均衡服务器根据所述SDN交换机提供的负载信息执行经过所述SDN控制模块转化后的负载调整策略的可执行命令,进行负载调整,进入步骤s57;
s53、由所述策略分流模块将安全防护策略分发给所述安全策略统一管理模块中的NFV控制模块,进入步骤s54;
s54、由NFV控制模块将安全防护策略转化成可执行命令,进入步骤s55;
s55、由所述NFV控制模块将命令发送到NFV资源池,进入步骤s56;
s56、开启NFV资源池中的安全防护设备执行经过所述NFV控制模块转化后的安全防护策略的可执行命令,进行安全防护,进入步骤s57;
s57、策略执行完毕。
本发明的有益效果在于,本发明实现了一种基于SDN自适应安全策略的统一生成和管理,能够对多种场景包括:流量控制、包转发、链路信息调整(负载均衡)、安全事件处理等实现策略的生成和管理;本发明通过添加策略需求模板和定义检测规则,来扩展对新的策略的生成和管理;本发明引入数据分析技术,对云环境中大量的网络数据和安全数据进行分析,寻找网络数据中的规律和安全事件信息中的威胁,并依据数据分析结果,来有针对性的定制安全策略;本发明的安全策略,能够通过SDN交换机发送到安全防护设备,实现与安全防护设备的联动,更好的按需提供安全策略,实现对安全威胁的按需防护。
附图说明
图1是本发明的基于SDN的安全策略自适应生成管理系统组成架构示意图;
图2是本发明的基于SDN的安全策略自适应生成管理方法主体流程示意图;
图3是本发明的基于SDN的安全策略自适应生成管理方法中预制定检测规则的具体流程示意图;
图4是本发明的基于SDN的安全策略自适应生成管理方法中根据检测规则检测网络细心和安全信息的具体流程示意图;
图5是本发明的基于SDN的安全策略自适应生成管理方法中根据检测到的信息进行技术分析制定相应的安全策略的具体流程示意图;
图6是本发明的基于SDN的安全策略自适应生成管理方法中将制定好的安全策略下发到相应设备进行执行的具体流程示意图。
具体实施方式
为了更好的理解本发明,下面结合附图详细说明本发明。
如图1所示,本发明的一种基于SDN的安全策略自适应生成管理系统,所述基于SDN的安全策略自适应生成管理系统与NFV资源池和虚拟机资源池相连,为云环境提供安全策略自适应生成管理;所述NFV资源池包括IDS服务器、IPS服务器、流量清洗服务器、负载均衡服务器及安全防护设备;所述基于SDN的安全策略自适应生成管理系统包括制定不同检测规则来实现不同信息采集的安全检测模块、对所述安全检测模块采集到的数据进行数据分析和挖掘以定制出适应实际情况和具体需求的安全策略的数据分析决策模块、与所述数据分析决策模块相连并对所述数据分析决策模块制定的安全策略进行统一管理和控制并转化为可执行命令的包含SDN控制模块及NFV控制模块的安全策略统一管理模块、与所述安全策略统一管理模块相连并包含能够为流表实现按需转发的SDN交换机的交换机模块;所述安全检测模块包括为新的策略需求定制相应检测规则的检测规则制定模块、根据所述检测规则制定模块制定的相应流量检测规则通过测量SDN交换机处流表信息来感知流量数据的流量感知模块、根据所述检测规则制定模块制定的相应包检测规则在SDN交换机出获取包检测信息的包检测模块、根据所述检测规则制定模块制定的相应安全事件检测规则收集来自NFV资源池中安全防护设备提供的安全事件数据信息的安全事件数据收集模块、根据所述检测规则制定模块制定的其他信息检测规则检测除了流量和包以及安全事件信息以外的信息的其他检测模块;所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块;所述数据分析决策模块包括存储安全策略需求模板的安全策略模板库、对所述安全检测模块检测到的数据进行分类处理再对数据进行挖掘处理得到关键信息的数据挖掘分析模块、根据所述数据挖掘分析模块得到的关键信息从所述安全策略模板库中匹配相应的安全策略需求模板并定制实际情况和具体需求的安全策略的安全策略定制模块、将所述安全策略定制模块定制的安全策略存储以备发送的安全策略存储模块、保证所述安全策略定制模块定制的安全策略传输过程中的安全的策略安全传输模块、将所述安全策略定制模块定制的安全策略提供给所述安全策略统一管理模块的安全策略接口模块。
优选地,所述其他检测模块检测SDN交换机处链路负载信息。
优选地,所述安全策略统一管理模块包括对所述数据分析决策模块发送过来的安全策略根据类型分发给所述SDN控制模块和NFV控制模块的策略分流模块。
优选地,所述策略分流模块将要求进行流量信息检测、包信息检测、链路负载信息检测的安全策略分发给所述SDN控制模块,由所述SDN控制模块将接收到的安全策略转化为可执行命令发送到SDN交换机。
优选地,所述策略分流模块将要求进行安全事件信息检测的安全策略分发给所述NFV控制模块,由所述NFV控制模块将接收到的安全策略转化为可执行命令通过交换机模块发送到NFV资源池中的安全防护设备。
优选地,所述策略安全传输模块使安全策略通过SSL传输保证安全策略在传输过程中的安全。
优选地,所述检测规则制定模块制定包含数据类型、数据来源的检测规则。
如图2所示,本发明的一种基于SDN的安全策略自适应生成管理方法,所述基于SDN的安全策略自适应生成管理方法通过基于SDN的安全策略自适应生成管理系统来实现,所述基于SDN的安全策略自适应生成管理方法包括如下四个主步骤:
s1、预制定检测规则,进入步骤s2;
s2、根据检测规则检测网络信息和安全信息,进入步骤s3;
s3、根据检测到的信息进行数据分析制定相应的安全策略,进入步骤s4;
s4、将制定好的安全策略下发到相应设备进行执行;
如图3所示,所述步骤s1包括如下步骤:
s11、根据新出现的情况增加新的策略需求,进入步骤s12;
s12、根据新的策略需求生成相应的策略需求模板,进入步骤s13;
s13、通过所述基于SDN的安全策略自适应生成管理系统中的安全检测模块为所述步骤s12中新增的策略需求模板制定相应的检测规则,进入步骤s14;
s14、检测规则制定完毕;
如图4所示,所述步骤s2包括如下步骤:
s21、启动数据信息检测,进入步骤s22;
s22、解析检测规则,进入步骤s23;
s23、根据所述步骤s22中解析的检测规则,执行相应的信息检测,进入步骤s24;
s24、根据所述步骤s23执行的信息检测,采集相应的数据信息,进入步骤s25;
s25、整合所述步骤s24中采集到的信息发送到所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块进行处理,进入步骤s26;
s26、信息检测结束;
如图5所示,所述步骤s3包括如下步骤:
s31、通过所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块接收所述步骤s2中经过信息检测检测到的数据信息,进入步骤s32;
s32、通过所述数据分析决策模块中的数据挖掘分析模块对接收到的数据信息根据类型进行分类处理,进入步骤s33;
s33、通过所述数据挖掘分析模块对分类后的信息分别进行信息挖掘、统计、聚类、归并处理以提取到用以匹配安全策略模板的关键信息,进入步骤s34;
s34、根据所述步骤s33中提取到的关键信息通过所述数据分析决策模块中的安全策略定制模块从所述数据分析决策模块中的安全策略模板库中选择匹配的策略需求模板,再根据实际数据信息调节策略需求模板参数,定制得到适应实际情况和具体需求的安全策略,进入步骤s35;
s35、通过所述数据分析决策模块中的安全策略存储模块对所述步骤s34中定制好的安全策略进行存储,进入步骤s36;
s36、通过所述数据分析决策模块中的策略安全传输模块保证传输安全的情况下,通过所述数据分析决策模块中的安全策略接口模块将所述步骤s35中存储的安全策略发送给所述基于SDN的安全策略自适应生成管理系统中的安全策略统一管理模块,进入步骤s37;
s37、安全策略定制完毕;
如图6所示,所述步骤s4包括如下步骤:
s41、由所述安全策略统一管理模块接收安全策略,进入步骤s42;
s42、由所述安全策略统一管理模块中的策略分流模块分析策略类型进行不同策略分发,若策略类型为流量控制,进入步骤s43;若策略类型为负载调整策略,进入步骤s48;若策略类型为安全防护策略,进入步骤s53;
s43、执行流量控制策略,将流量控制策略由所述策略分流模块分发给所述安全策略统一管理模块中的SDN控制模块,进入步骤s44;
s44、由SDN控制模块将流量控制策略转化为可执行命令,进入步骤s45;
s45、由所述SDN控制模块将命令发送到所述基于SDN的安全策略自适应生成管理系统中的交换机中的SDN交换机,进入步骤s46;
s46、由SDN交换机将流表流量信息提供给NFV资源池,进入步骤s47;
s47、开启NFV资源池中的流量清洗服务器根据所述SDN交换机提供的流量信息执行经过所述SDN控制模块转化后的流程控制策略的可执行命令,进行流量控制,进入步骤s57;
s48、执行负载调整策略,将负载调整策略由所述策略分流模块分发所述SDN控制模块,进入步骤s49;
s49、由所述SDN控制模块将负载调整策略转化为可执行命令,进入步骤s50;
s50、由所述SDN控制模块将命令发送到所述SDN交换机,进入步骤s51;
s51、由SDN交换机将负载信息提供给NFV资源池,进入步骤s52;
s52、开启NFV资源池中的负载均衡服务器根据所述SDN交换机提供的负载信息执行经过所述SDN控制模块转化后的负载调整策略的可执行命令,进行负载调整,进入步骤s57;
s53、由所述策略分流模块将安全防护策略分发给所述安全策略统一管理模块中的NFV控制模块,进入步骤s54;
s54、由NFV控制模块将安全防护策略转化成可执行命令,进入步骤s55;
s55、由所述NFV控制模块将命令发送到NFV资源池,进入步骤s56;
s56、开启NFV资源池中的安全防护设备执行经过所述NFV控制模块转化后的安全防护策略的可执行命令,进行安全防护,进入步骤s57;
s57、策略执行完毕。
优选地,所述步骤s24根据所述步骤s23执行的信息检测包括流量信息检测、包信息检测、链路负载信息检测以及安全事件信息检测。
优选地,所述对信息的检测是在支持SDN的交换机出进行自适应信息收集,其中,所述对流量信息的检测、包信息的检测、链路负载信息的检测是直接在SDN交换机处进行信息采集;所述对安全事件信息的检测是通过交换机模块对NFV资源池中的安全防护设备信息进行信息采集。
NFV资源池是一种将传统的安全设备以安全服务节点的方式呈现,NFV资源池提供安全设备的弹性扩展,以及快速交互的能力,针对不同用户、不同时段,随时随地的展开安全防护。SDN交换机支持OpenFlow协议,实现数据转发,SDN控制模块将安全策略内容转化成可执行的命令再转发到流量清洗器、安全防护设备等地方。
本发明实现了一种基于SDN自适应安全策略的统一生成和管理,能够对多种场景包括:流量控制、包转发、链路信息调整(负载均衡)、安全事件处理等实现策略的生成和管理;本发明通过添加策略需求模板和定义检测规则,来扩展对新的策略的生成和管理;本发明引入数据分析技术,对云环境中大量的网络数据和安全数据进行分析,寻找网络数据中的规律和安全事件信息中的威胁,并依据数据分析结果,来有针对性的定制安全策略;本发明的安全策略,能够通过SDN交换机发送到安全防护设备,实现与安全防护设备的联动,更好的按需提供安全策略,实现对安全威胁的按需防护。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种基于SDN的安全策略自适应生成管理系统,所述基于SDN的安全策略自适应生成管理系统与NFV资源池和虚拟机资源池相连,为云环境提供安全策略自适应生成管理;所述NFV资源池包括IDS服务器、IPS服务器、流量清洗服务器、负载均衡服务器及安全防护设备;其特征在于,
所述基于SDN的安全策略自适应生成管理系统包括制定不同检测规则来实现不同信息采集的安全检测模块、对所述安全检测模块采集到的数据进行数据分析和挖掘以定制出适应实际情况和具体需求的安全策略的数据分析决策模块、与所述数据分析决策模块相连并对所述数据分析决策模块制定的安全策略进行统一管理和控制并转化为可执行命令的包含SDN控制模块及NFV控制模块的安全策略统一管理模块、与所述安全策略统一管理模块相连并包含能够为流表实现按需转发的SDN交换机的交换机模块;
所述安全检测模块包括为新的策略需求定制相应检测规则的检测规则制定模块、根据所述检测规则制定模块制定的相应流量检测规则通过测量SDN交换机处流表信息来感知流量数据的流量感知模块、根据所述检测规则制定模块制定的相应包检测规则在SDN交换机出获取包检测信息的包检测模块、根据所述检测规则制定模块制定的相应安全事件检测规则收集来自NFV资源池中安全防护设备提供的安全事件数据信息的安全事件数据收集模块、根据所述检测规则制定模块制定的其他信息检测规则检测除了流量和包以及安全事件信息以外的信息的其他检测模块;所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块;
所述数据分析决策模块包括存储安全策略需求模板的安全策略模板库、对所述安全检测模块检测到的数据进行分类处理再对数据进行挖掘处理得到关键信息的数据挖掘分析模块、根据所述数据挖掘分析模块得到的关键信息从所述安全策略模板库中匹配相应的安全策略需求模板并定制实际情况和具体需求的安全策略的安全策略定制模块、将所述安全策略定制模块定制的安全策略存储以备发送的安全策略存储模块、保证所述安全策略定制模块定制的安全策略传输过程中的安全的策略安全传输模块、将所述安全策略定制模块定制的安全策略提供给所述安全策略统一管理模块的安全策略接口模块。
2.根据权利要求1所述的基于SDN的安全策略自适应生成管理系统,其特征在于,所述其他检测模块检测SDN交换机处链路负载信息。
3.根据权利要求1所述的基于SDN的安全策略自适应生成管理系统,其特征在于,所述安全策略统一管理模块包括对所述数据分析决策模块发送过来的安全策略根据类型分流给所述SDN控制模块和NFV控制模块的策略分流模块。
4.根据权利要求3所述的基于SDN的安全策略自适应生成管理系统,其特征在于,所述策略分流模块将要求进行流量信息检测、包信息检测、链路负载信息检测的安全策略分发给所述SDN控制模块,由所述SDN控制模块将接收到的安全策略转化为可执行命令发送到SDN交换机。
5.根据权利要求3所述的基于SDN的安全策略自适应生成管理系统,其特征在于,所述策略分流模块将要求进行安全事件信息检测的安全策略分发给所述NFV控制模块,由所述NFV控制模块将接收到的安全策略转化为可执行命令通过交换机模块发送到NFV资源池中的安全防护设备。
6.根据权利要求1所述的基于SDN的安全策略自适应生成管理系统,其特征在于,所述策略安全传输模块使安全策略通过SSL传输保证安全策略在传输过程中的安全。
7.根据权利要求1所述的基于SDN的安全策略自适应生成管理系统,其特征在于,所述检测规则制定模块制定包含数据类型、数据来源的检测规则。
8.一种基于SDN的安全策略自适应生成管理方法,所述基于SDN的安全策略自适应生成管理方法通过基于SDN的安全策略自适应生成管理系统来实现,其特征在于,所述基于SDN的安全策略自适应生成管理方法包括如下四个主步骤:
s1、预制定检测规则,进入步骤s2;
s2、根据检测规则检测网络信息和安全信息,进入步骤s3;
s3、根据检测到的信息进行数据分析制定相应的安全策略,进入步骤s4;
s4、将制定好的安全策略下发到相应设备进行执行;
所述步骤s1包括如下步骤:
s11、根据新出现的情况增加新的策略需求,进入步骤s12;
s12、根据新的策略需求生成相应的策略需求模板,进入步骤s13;
s13、通过所述基于SDN的安全策略自适应生成管理系统中的安全检测模块为所述步骤s12中新增的策略需求模板制定相应的检测规则,进入步骤s14;
s14、检测规则制定完毕;
所述步骤s2包括如下步骤:
s21、启动数据信息检测,进入步骤s22;
s22、解析检测规则,进入步骤s23;
s23、根据所述步骤s22中解析的检测规则,执行相应的信息检测,进入步骤s24;
s24、根据所述步骤s23执行的信息检测,采集相应的数据信息,进入步骤s25;
s25、整合所述步骤s24中采集到的信息发送到所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块进行处理,进入步骤s26;
s26、信息检测结束;
所述步骤s3包括如下步骤:
s31、通过所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块接收所述步骤s2中经过信息检测检测到的数据信息,进入步骤s32;
s32、通过所述数据分析决策模块中的数据挖掘分析模块对接收到的数据信息根据类型进行分类处理,进入步骤s33;
s33、通过所述数据挖掘分析模块对分类后的信息分别进行信息挖掘、统计、聚类、归并处理以提取到用以匹配安全策略模板的关键信息,进入步骤s34;
s34、根据所述步骤s33中提取到的关键信息通过所述数据分析决策模块中的安全策略定制模块从所述数据分析决策模块中的安全策略模板库中选择匹配的策略需求模板,再根据实际数据信息调节策略需求模板参数,定制得到适应实际情况和具体需求的安全策略,进入步骤s35;
s35、通过所述数据分析决策模块中的安全策略存储模块对所述步骤s34中定制好的安全策略进行存储,进入步骤s36;
s36、通过所述数据分析决策模块中的策略安全传输模块保证传输安全的情况下,通过所述数据分析决策模块中的安全策略接口模块将所述步骤s35中存储的安全策略发送给所述基于SDN的安全策略自适应生成管理系统中的安全策略统一管理模块,进入步骤s37;
s37、安全策略定制完毕;
所述步骤s4包括如下步骤:
s41、由所述安全策略统一管理模块接收安全策略,进入步骤s42;
s42、由所述安全策略统一管理模块中的策略分流模块分析策略类型进行不同策略分发,若策略类型为流量控制,进入步骤s43;若策略类型为负载调整策略,进入步骤s48;若策略类型为安全防护策略,进入步骤s53;
s43、执行流量控制策略,将流量控制策略由所述策略分流模块分发给所述安全策略统一管理模块中的SDN控制模块,进入步骤s44;
s44、由SDN控制模块将流量控制策略转化为可执行命令,进入步骤s45;
s45、由所述SDN控制模块将命令发送到所述基于SDN的安全策略自适应生成管理系统中的交换机中的SDN交换机,进入步骤s46;
s46、由SDN交换机将流表流量信息提供给NFV资源池,进入步骤s47;
s47、开启NFV资源池中的流量清洗服务器根据所述SDN交换机提供的流量信息执行经过所述SDN控制模块转化后的流程控制策略的可执行命令,进行流量控制,进入步骤s57;
s48、执行负载调整策略,将负载调整策略由所述策略分流模块分发所述SDN控制模块,进入步骤s49;
s49、由所述SDN控制模块将负载调整策略转化为可执行命令,进入步骤s50;
s50、由所述SDN控制模块将命令发送到所述SDN交换机,进入步骤s51;
s51、由SDN交换机将负载信息提供给NFV资源池,进入步骤s52;
s52、开启NFV资源池中的负载均衡服务器根据所述SDN交换机提供的负载信息执行经过所述SDN控制模块转化后的负载调整策略的可执行命令,进行负载调整,进入步骤s57;
s53、由所述策略分流模块将安全防护策略分发给所述安全策略统一管理模块中的NFV控制模块,进入步骤s54;
s54、由NFV控制模块将安全防护策略转化成可执行命令,进入步骤s55;
s55、由所述NFV控制模块将命令发送到NFV资源池,进入步骤s56;
s56、开启NFV资源池中的安全防护设备执行经过所述NFV控制模块转化后的安全防护策略的可执行命令,进行安全防护,进入步骤s57;
s57、策略执行完毕。
9.根据权利要求8所述的基于SDN的安全策略自适应生成管理方法,其特征在于,所述步骤s24根据所述步骤s23执行的信息检测包括流量信息检测、包信息检测、链路负载信息检测以及安全事件信息检测。
10.根据权利要求9所述的基于SDN的安全策略自适应生成管理方法,其特征在于,所述信息检测是在支持SDN的交换机处 进行自适应信息收集,所述流量信息检测、包信息检测、链路负载信息检测是直接在SDN交换机处进行信息采集;所述安全事件信息检测是通过交换机模块对NFV资源池中的安全防护设备信息进行信息采集。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510855860.8A CN105376246B (zh) | 2015-11-30 | 2015-11-30 | 一种基于sdn的安全策略自适应生成管理系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510855860.8A CN105376246B (zh) | 2015-11-30 | 2015-11-30 | 一种基于sdn的安全策略自适应生成管理系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105376246A CN105376246A (zh) | 2016-03-02 |
| CN105376246B true CN105376246B (zh) | 2018-08-03 |
Family
ID=55378051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510855860.8A Active CN105376246B (zh) | 2015-11-30 | 2015-11-30 | 一种基于sdn的安全策略自适应生成管理系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105376246B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105847237B (zh) * | 2016-03-15 | 2019-01-15 | 中国联合网络通信集团有限公司 | 一种基于nfv的安全管理方法和装置 |
| CN105933301A (zh) * | 2016-04-13 | 2016-09-07 | 重庆邮电大学 | 一种基于sdn实现网络蠕虫集中防控的方法和装置 |
| CN106452842B (zh) * | 2016-09-14 | 2019-09-24 | 上海海事大学 | 基于网络功能虚拟化中介系统架构的网络系统 |
| CN108370368B (zh) * | 2016-09-20 | 2020-04-21 | 华为技术有限公司 | 安全策略部署方法与装置 |
| CN106790091B (zh) * | 2016-12-23 | 2020-10-27 | 深信服科技股份有限公司 | 一种云安全防护系统以及流量清洗方法 |
| CN106911723B (zh) * | 2017-04-26 | 2020-03-03 | 北京启明星辰信息安全技术有限公司 | 流量安全处理方法及安全虚拟化系统 |
| CN109246100A (zh) * | 2018-09-07 | 2019-01-18 | 刘洋 | 一种软件定义网络安全的实施方法 |
| US11418399B2 (en) * | 2019-04-30 | 2022-08-16 | Cisco Technology, Inc. | Multi-fabric deployment and management platform |
| CN110381088B (zh) * | 2019-08-21 | 2021-11-12 | 牡丹江师范学院 | 一种基于物联网的数据安全保障方法 |
| CN113748658B (zh) * | 2020-04-30 | 2024-01-23 | 新华三技术有限公司 | 设备保护方法及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095521A (zh) * | 2012-12-18 | 2013-05-08 | 华为技术有限公司 | 流量检测的控制方法、系统、装置、控制器及检测设备 |
| CN103609070A (zh) * | 2012-10-29 | 2014-02-26 | 华为技术有限公司 | 网络流量检测方法、系统、设备及控制器 |
| CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
| CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
| WO2014125486A1 (en) * | 2013-02-12 | 2014-08-21 | Contextream Ltd. | Network control using software defined flow mapping and virtualized network functions |
-
2015
- 2015-11-30 CN CN201510855860.8A patent/CN105376246B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103609070A (zh) * | 2012-10-29 | 2014-02-26 | 华为技术有限公司 | 网络流量检测方法、系统、设备及控制器 |
| CN103095521A (zh) * | 2012-12-18 | 2013-05-08 | 华为技术有限公司 | 流量检测的控制方法、系统、装置、控制器及检测设备 |
| WO2014125486A1 (en) * | 2013-02-12 | 2014-08-21 | Contextream Ltd. | Network control using software defined flow mapping and virtualized network functions |
| CN103685250A (zh) * | 2013-12-04 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
| CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105376246A (zh) | 2016-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105376246B (zh) | 一种基于sdn的安全策略自适应生成管理系统及方法 | |
| CN104468688B (zh) | 用于网络虚拟化的方法和设备 | |
| CN107666412B (zh) | 服务功能链的虚拟网络功能部署方法 | |
| CN105917690B (zh) | 基于网络功能虚拟化(nfv)在网络中模块间通信的系统、方法和计算机程序 | |
| CN104363159B (zh) | 一种基于软件定义网络的开放虚拟网络构建系统和方法 | |
| CN106161399B (zh) | 一种安全服务交付方法及系统 | |
| CN103560943B (zh) | 支持海量数据实时处理的网络分析系统和方法 | |
| CN106100999A (zh) | 一种虚拟化网络环境中镜像网络流量控制协议 | |
| CN105282043A (zh) | 全局网络负载均衡系统、设备和方法 | |
| CN108540538A (zh) | 一种基于sdn的云雾结合物联网应用构建系统 | |
| CN108809857A (zh) | 一种基于sdn的流量监控与业务服务质量保障策略的方法 | |
| CN104168144A (zh) | 一种对sdn网络进行审计的方法 | |
| CN107948027A (zh) | 一种带有智能家居数据安全备份系统及工作方法 | |
| CN105791151B (zh) | 一种动态流量控制方法,及装置 | |
| CN104935604B (zh) | 一种基于OpenFlow协议的SDN防火墙系统和方法 | |
| CN105683918A (zh) | 分布式系统中的集中式联网配置 | |
| CN109639840A (zh) | 一种基于边缘计算的数据处理方法和边缘计算系统 | |
| CN103283191A (zh) | 信息系统、控制装置、通信方法及程序 | |
| CN114531273B (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| CN108880888A (zh) | 一种基于深度学习的sdn网络流量预测方法 | |
| CN108540559A (zh) | 一种支持IPSec VPN负载均衡的SDN控制器 | |
| CN105024934B (zh) | 一种实时流量调度方法和系统 | |
| CN104641606B (zh) | 网络资源均衡处理的方法和虚拟网络管理实体 | |
| CN106789322B (zh) | 空间信息网络中关键节点的确定方法和装置 | |
| CN104270326B (zh) | 一种光联网定制业务接入的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |