CN106549792A - 一种vnf的安全监管的方法、装置及系统 - Google Patents
一种vnf的安全监管的方法、装置及系统 Download PDFInfo
- Publication number
- CN106549792A CN106549792A CN201510608530.9A CN201510608530A CN106549792A CN 106549792 A CN106549792 A CN 106549792A CN 201510608530 A CN201510608530 A CN 201510608530A CN 106549792 A CN106549792 A CN 106549792A
- Authority
- CN
- China
- Prior art keywords
- security
- vnf
- strategy
- flow
- traffic statistics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种VNF的安全监管的方法、装置及系统,涉及虚拟化技术领域,其中,所述方法包括:接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;根据所述流量统计信息进行安全分析,得到安全分析结果;以及根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。本发明提供的VNF的安全监管的方法,不需要每个VNF都安装安全业务代理或创建安全管理者,不需要对VIM和VNFM进行改动,而是尽量利用现有网络流量信息和网络现有接口实现对VNF的安全监控和安全管理。
Description
技术领域
本发明涉及虚拟化技术领域,尤其涉及一种VNF的安全监管的方法、装置及系统。
背景技术
现有技术中NFV(Network Function Virtualization,网络功能虚拟化)安全监控系统针对VNF(Virtualized Network Function,虚拟网络功能)的监控需要每个VNF都安装一个安全业务代理,需要有单独的VNF来安装安全业务代理来监控整个VNF级的状态,同时VIM(Virtualized Infrastructure Manager,虚拟化基础设施管理器)和VNFM(Virtualized Network Function Manager,虚拟化网络功能管理器)也要有相应的改动,需要增加或扩展多个接口,而且当前的安全监控只涉及流量的监控,不涉及安全管理(如防火墙的安全策略下发等)。此外,OPNFV(Open NFV,开放NFV)组织提出了Moon OPNFV项目,目的是构建针对OPNFV平台的安全管理系统,通过对每个VNF创建一个安全管理者来实现针对基于openstack的VNF的监控、控制和管理,但该方法只针对基于openstack平台的VNF进行安全监控和安全管理,具有一定局限性。
发明内容
本发明实施例所要解决的技术问题在于,提供一种VNF的安全监管的方法、装置及系统,能够在不需要VNF安装安全业务代理或创建安全管理者,而是尽量利用现有网络流量信息和网络现有接口的情况下实现对VNF的安全监控和安全管理,且具有一定的通用性。
为了解决上述技术问题,本发明采用如下技术方案:
依据本发明实施例的一个方面提供了一种VNF的安全监管的方法,所述方法包括:
接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;
根据所述流量统计信息进行安全分析,得到安全分析结果;以及
根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。
进一步的,所述接收由交换机采集的流向VNF或者流出VNF的流量统计信息,具体包括:
获取所述流量统计信息的收集策略;
将所述收集策略发送至所述交换机;
接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。
进一步的,所述根据所述流量统计信息进行安全分析,得到安全分析结果,具体包括:
根据预设的订购策略,获取所需的流量统计信息;
根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。
进一步的,所述根据所述安全策略,对VNF进行安全监管,具体为:
将生成的安全策略发送给安全编排器,以使所述安全编排器在收到安全策略后进行安全策略的编排和下发。
进一步的,所述根据所述安全策略,对VNF进行安全监管,具体包括:
对生成的所述安全策略进行分类;
根据分类结果,将所述安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使所述交换机根据所述流表项执行对流量的管理;
根据分类结果,将所述安全策略的另一部分发送给安全编排器,以使所述安全编排器在收到所述安全策略后进行安全策略的编排和下发。
进一步的,所述根据所述安全分析结果,生成安全策略,具体为:
若所述安全分析结果中存在安全威胁信息,则根据所述安全分析结果,生成相应的安全策略。
进一步的,所述流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源的介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。
进一步的,所述安全策略至少包括:在安全设备或虚拟化的安全功能上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能上撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。
依据本发明实施例的另一个方面提供了一种VNF的安全监管的装置,所述装置包括:
信息收集模块,用于接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;
安全分析模块,用于根据所述流量统计信息进行安全分析,得到安全分析结果;以及
安全策略模块,用于根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。
进一步的,所述信息收集模块包括:
第一获取单元,用于获取所述流量统计信息的收集策略;
第一发送单元,用于将所述收集策略发送至所述交换机;
接收单元,用于接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。
进一步的,所述安全分析模块包括:
第二获取单元,用于根据预设的订购策略,获取所需的流量统计信息;
安全分析单元,用于根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。
进一步的,所述安全策略模块包括:
第二发送单元,用于将生成的安全策略发送给安全编排器,以使所述安全编排器在收到安全策略后进行安全策略的编排和下发。
进一步的,所述安全策略模块包括:
分类单元,用于对生成的所述安全策略进行分类;
第三发送单元,用于根据分类结果,将所述安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使所述交换机根据所述流表项执行对流量的管理;
第四发送单元,用于根据分类结果,将所述安全策略的另一部分发送给安全编排器,以使所述安全编排器在收到所述安全策略后进行安全策略的编排和下发。
进一步的,所述安全策略模块包括:
策略生成单元,用于当所述安全分析结果中存在安全威胁信息时,根据所述安全分析结果,生成相应的安全策略。
进一步的,所述流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源的介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。
进一步的,所述安全策略至少包括:在安全设备或虚拟化的安全功能上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能上撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。
依据本发明实施例的另一个方面提供了一种VNF的安全监管的系统,所述系统包括:用于对VNF进行安全控制的安全控制中心、用于采集流量统计信息的交换机以及用于对VNF进行安全编排和安全管理的安全编排器,其中所述安全控制中心包括如上所述的VNF的安全监管的装置。
本发明的有益效果是:
通过上述方案,不需要每个VNF都安装安全业务代理或创建安全管理者,也不需要对VIM和VNFM进行改动,只需要根据从交换机收集的流向或流出VNF的流量统计信息来分析判断VNF的安全状态,并根据安全策略对VNF进行监管。上述方案最大程度的利用了现有的网络架构和流程,对现有的NFV架构影响小,易实施。此外该方案不只是针对基于openstack平台的VNF进行安全监控和安全管理,具有一定的通用性。
附图说明
图1表示本发明实施例一提供的VNF的安全监管的方法流程图;
图2表示本发明实施例一提供的S101的具体实现方式流程图;
图3表示本发明实施例一提供的S201的具体实现方式流程图;
图4表示本发明实施例二提供的VNF的安全监管的装置框图;
图5表示本发明实施例四提供的NFV安全监管系统构架图之一;
图6表示本发明实施例四提供的NFV安全监管系统工作流程图之一;
图7表示本发明实施例四提供的NFV安全监管系统构架图之二;
图8表示本发明实施例四提供的NFV安全监管系统工作流程图之二。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
实施例一
依据本发明实施例的一个方面提供了一种VNF的安全监管的方法,如图1所示,所述方法包括:
S101、接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息。
VNF之间或者VNF与物理主机之间通信时候的流量都需要经过交换机。攻击者如果想要攻击某个VNF,需要通过向该VNF发送数据来达到攻击的目的,而这些数据在到达VNF之前都会先经过交换机,因此,本发明实施例提供的VNF的安全监管的方法就是基于交换机上获取的流向VNF或者流出VNF的流量统计信息,进行安全分析。其中,交换机包括虚拟交换机和/或物理交换机。
其中,交换机收集的流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源的介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。
S102、根据所述流量统计信息进行安全分析,得到安全分析结果。
该步骤为对获取的流量统计信息进行安全分析,分析是否存在安全威胁,如是否存在DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、异常流量(例如,某个时间段内相比于以往突然有巨大流量涌入)等,在完成分析后生成包含是否存在安全威胁以及何种安全威胁等信息的安全分析结果,以便后续步骤根据安全分析结果生成对VNF监管的安全策略。
S103、根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。
若所述安全分析结果中存在安全威胁信息,则根据所述安全分析结果,生成相应的安全策略,并将安全策略下发到相应的执行体去执行安全策略以解除安全威。
其中,安全策略至少包括:在安全设备(如物理防火墙)或虚拟化的安全功能(如虚拟防火墙功能)上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能上撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。例如:发现来自IP地址是192.168.112.10的TCP(Transmission Control Protocol,传输控制协议)报文异常,则可以在防火墙上增加一条过滤192.168.112.10地址的TCP报文规则;在上述规则执行一段时间后,若通过对流量统计信息分析发现来自IP地址是192.168.112.10的TCP报文不存在异常了,那么就在虚拟防火墙上撤销这过滤规则;当发现有攻击的时候,就可以启动一个新的虚拟机并在此虚拟机上实例化一个虚拟防火墙,以实现对某段流量的过滤。安全策略需要根据具体的攻击和场景生成。
综上S101~S103所述的方法,本发明实施例提供的VNF的安全监管的方法不需要每个VNF都安装安全业务代理或创建安全管理者,也不需要对VIM和VNFM进行改动,只需要根据从交换机收集的流向或流出VNF的流量统计信息来分析判断VNF的安全状态,并根据安全策略对VNF进行监管。
具体的,为了明确所需的流量统计信息,也为了避免收集不必要的流量统计信息增加存储空间的占用,如图2所示,S101的具体实现方式包括:
S1011、获取所述流量统计信息的收集策略。
S1012、将所述收集策略发送至所述交换机。
S1013、接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。
其中,上述收集策略明确了需要交换机收集的流量统计信息,交换机可根据该收集策略收采集VNF的流量统计信息。
具体的,为了有效的实现流量统计信息的分析,避免因一些不必要的流量统计信息增加分析的复杂度,可根据实际需要设定一些订购策略,根据这些订购策略获取所需的流量统计信息进行安全分析,因此,如图3所示,S201的具体实现方式包括:
S2011、根据预设的订购策略,获取所需的流量统计信息。
S2012、根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。
进一步的,在生成安全策略后,需要将安全策略下发至执行体去执行,其中,执行体至少包括:安全编排器和交换机中的一个或多个,安全编排器可接收安全策略,并根据安全策略编排VNF的安全监控和安全管理,交换机可接收由安全策略转化的流表项,根据流表项实现对流量的安全管理。基于安全编排器和交换机对安全策略的接收,安全策略的下发具有两种实现方式:
第一种实现方式为:将生成的所有安全策略均发送给安全编排器,以使安全编排器在收到安全策略后进行安全策略的编排和下发。
第二种实现方式包括:
步骤1、对生成的所述安全策略进行分类。
步骤2、根据分类结果,将安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使交换机根据所述流表项执行对流量的管理。
步骤3、根据分类结果,将安全策略的另一部分发送给安全编排器,以使安全编排器在收到安全策略后进行安全策略的编排和下发。
需要说明的是,对于上述两种安全策略下发的实现方法,可根据实际的系统模块配置选择相应的下发实现方法。
实施例二
依据本发明实施例的另一个方面提供了一种VNF的安全监管的装置,如图4所示,所述装置包括:
信息收集模块401,用于接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息。其中,所述交换机包括:虚拟交换机和/或物理交换机。
安全分析模块402,用于根据所述流量统计信息进行安全分析,得到安全分析结果。
安全策略模块403,用于根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。
综上所述可知,信息收集模块获取交换机采集的流量统计信息,安全分析模块从信息收集模块中获取流量统计信息进行安全分析,并将安全分析结果发送至安全策略模块,由安全策略模块根据安全分析结果生成安全策略,根据安全策略实施对VNF的安全监管。因此,该实施例提供的VNF的安全监管的装置不需要每个VNF都安装安全业务代理或创建安全管理者,也不需要对VIM和VNFM进行改动,只需要根据从交换机收集的流向或流出VNF的流量统计信息来分析判断VNF的安全状态,并根据安全策略对VNF进行监管。最大程度的利用了现有的网络架构和流程,对现有的NFV架构影响小,易实施。此外该方案不只是针对基于openstack平台的VNF进行安全监控和安全管理,具有一定的通用性。
进一步的,为了明确所需的流量统计信息,也为了避免收集不必要的流量统计信息增加存储空间的占用,所述信息收集模块401包括:
第一获取单元,用于获取所述流量统计信息的收集策略。
第一发送单元,用于将所述收集策略发送至所述交换机。
接收单元,用于接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。
其中,上述收集策略明确了需要交换机收集的流量统计信息,交换机可根据该收集策略收采集VNF的流量统计信息,即安全策略模块可事先将需要交换机采集哪些流量统计信息的收集策略发送给信息收集模块,信息收集模块通过第一获取单元接收收集策略,并通过第一发送单元将收集策略发送至交换机,以使交换机采集相应的流量统计信息,其中,信息收集模块收到安全策略模块发送的收集策略后,会响应安全策略模块,以告知已收到收集策略。
进一步的,为了有效的实现流量统计信息的分析,避免因一些不必要的流量统计信息增加分析的复杂度,可根据实际需要设定一些订购策略,根据这些订购策略获取所需的流量统计信息进行安全分析,因此,所述安全分析模块402包括:
第二获取单元,用于根据预设的订购策略,获取所需的流量统计信息;
安全分析单元,用于根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。
进一步的,在安全策略模块生成安全策略后,需要将安全策略下发至执行体去执行,其中,执行体至少包括:安全编排器和交换机中的一个或多个,安全编排器可接收安全策略,并根据安全策略编排VNF的安全监控和安全管理,交换机可接收由安全策略转化的流表项,根据流表项实现对流量的安全管理。因此,安全策略的下发具有两种实现方式,第一种实现方式为:将生成的所有的安全策略全部发送给安全编排器,由安全编排器进行安全策略的编排和下发,第二种分类方式为:对安全策略进行分类,将能够在交换机上直接实施的安全策略转化为流表项,由交换机实现对流量的管理控制,而将另一部分安全策略下发至安全编排器进行安全监控和管理。
对应第一种实现方式,所述安全策略模块403包括:
第二发送单元,用于将生成的安全策略发送给安全编排器,以使所述安全编排器在收到安全策略后进行安全策略的编排和下发,其中,安全策略模块还能够接收来自安全编排器的安全策略查询。
对应第二种实现方式,所述安全策略模块403包括:
分类单元,用于对生成的所述安全策略进行分类;
第三发送单元,用于根据分类结果,将所述安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使所述交换机根据所述流表项执行对流量的管理;
第四发送单元,用于根据分类结果,将所述安全策略的另一部分发送给安全编排器,以使所述安全编排器在收到所述安全策略后进行安全策略的编排和下发。
进一步的,所述安全策略模块403还包括:
策略生成单元,用于当所述安全分析结果中存在安全威胁信息时,根据所述安全分析结果,生成相应的安全策略。
进一步的,所述流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源的介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。
进一步的,所述安全策略至少包括:在安全设备(如物理防火墙)或虚拟化的安全功能(如虚拟防火墙功能)上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能上撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。
需要说明的是,该装置是与上述实施例一中的VNF的安全监管的方法对应的装置,上述方法实施例中所有实现方式均适用于该装置的实施例中,也能达到相同的技术效果。
实施例三
依据本发明实施例的另一个方面提供了一种VNF的安全监管的系统,所述系统包括:用于对VNF进行安全控制的安全控制中心、用于采集流量统计信息的交换机以及用于对VNF进行安全编排和安全管理的安全编排器,其中所述安全控制中心包括如实施例二所述的VNF的安全监管的装置。
需要说明的是,该系统是与上述实施例一和实施例二中的方法和装置相对应的系统,上述方法、装置实施例中所有实现方式均适用于该系统的实施例中,也能达到相同的技术效果。
实施例四
为了进一步理解本发明实施例一、实施例二和实施例三提供的技术方案,下面以一具体示例加以说明。
如图5所示,为NFV安全监管系统构架示意图,主要包括:NFV安全控制中心(对应实施例三中的安全控制中心)和安全编排器(对应实施例一、二、三中的安全编排器)两个重要模块。NFV安全控制中心主要包括:信息收集模块(对应实施例二、三中的信息收集模块)、安全分析模块(对应实施例二、三中的安全分析模块)和安全策略库(对应实施例二、三中的安全策略模块)。各模块的具体功能如下:
信息收集模块:负责从虚拟交换机(vSwitch)或者物理交换机收集VNF的流量统计信息。具体收集哪些流量统计信息可以由安全策略库的策略来指示信息收集模块,从而信息收集模块指示交换机来收集相关的流量统计信息;信息收集模块也可以将当前收集哪些流量统计信息的策略告知给安全策略库。另外,信息收集模块还需要将收集的流量统计信息反馈给安全分析模块。
安全分析模块:负责根据信息收集模块提供的流量统计信息分析是否存在安全威胁(如是否存在DDoS攻击、异常流量等),它可以是多种安全攻击检测和分析模块的集合,比如由DDoS分析模块、IDS/IPS分析模块组成等。安全分析模块将分析的结果反馈给安全策略库。另外,安全分析模块需要向信息收集模块来订购流量统计信息,即需要告知信息收集模块其有权获取的是哪些流量统计信息,安全分析模块可以从安全策略库查询信息收集模块收集流量统计信息的策略,从而获知信息收集模块有哪些流量统计信息。进一步地,安全分析模块也可以将想要获取哪些流量统计信息告知给安全策略库,安全策略库生成流量信息收集策略下发给信息收集模块,例如安全分析模块可能还需要交换机其他端口的流量统计信息,则可将该需求告知安全策略库,由安全策略库将该需求信息发送至信息收集模块,再由信息收集模块收集相应的流量统计信息。
安全策略库(对应上文中的安全策略模块):负责安全策略的生成、分发、更新和撤销。这个安全策略包括发送给交换机(vSwitch和/或物理交换机)收集哪些流量统计信息的策略以及发送给安全编排器执行安全编排的安全策略等。另外,安全策略库能够从安全分析模块接收安全分析结果,能够接收来自安全编排器的安全策略查询以及接收来自信息收集模块的策略接收的响应。
安全编排器:负责接收安全策略库下发的安全策略并且根据安全策略编排VNF的安全监控和安全管理,并且安全编排器需要将安全编排成功消息反馈给安全策略库,以通知下发的安全策略已经被执行。
该NFV安全监管的工作流程如下图6所示,包括:
步骤1、安全策略库需要事先将需要交换机收集哪些流量信息的策略发给信息收集模块,并且信息收集模块会将响应安全策略库已经接收到安全策略库的策略。
步骤2、信息收集模块向交换机(vSwitch或者物理交换机)下发需要收集的流量统计信息。
步骤3、交换机收集流经的流量统计信息后发送给信息收集模块。
步骤4、信息收集模块收到流量统计信息后,将安全分析模块订购的流量统计信息发送给安全分析模块。
步骤5、安全分析模块根据收到的流量统计信息进行分析,如果分析出安全威胁(比如检测到DDoS攻击、异常流量等),就将分析结果反馈给安全策略库。
步骤6、安全策略库根据分析结果生成相应的策略,这个策略可以是需要在某个实例化的虚拟防火墙上新增加一条过滤规则,也可以是撤销防火墙上的某个过滤规则,也可以是启动一个新的虚拟机并在此虚拟机上实例化一个防火墙,以实现对某段流量的过滤等。安全策略库将生成的安全策略发送给NFVO(Network Function Virtualization Orchestration,网络功能虚拟化编排)中的安全编排器,其中,安全编排器并非必须布署在NFVO中,也可独立部署。
步骤7、安全编排器收到安全策略后,实现安全策略的编排和下发。比如,当安全策略是在某个已经实例化的虚拟防火墙上新增加一条过滤规则时,安全编排器可以将这条过滤规则发送给VNFM,然后VNFM发送给虚拟防火墙的网管(图6中的EMS,Entity Manage System,实体管理系统),由虚拟防火墙的网管将该过滤规则配置到虚拟防火墙上;当安全策略是启动一个新的虚拟机并在此虚拟机上实例化一个防火墙时,安全编排器需要根据安全策略来计算所需要的虚拟资源(即需要虚拟机的数量,每个虚拟机需要哪种操作系统、需要多少CPU核、主频多少、内核大小等),并向VIM申请所需要的虚拟资源。完成虚拟资源的申请后,安全编排器将虚拟防护墙软件包的部署要求下发给VNFM,由VNFM和VIM一起完成虚拟防火墙的实例化过程。
步骤8、安全编排器在完成安全策略的编排和下发后,将安全编排成功的消息反馈至安全策略库,以通知下发的安全策略已经被执行。
通过以上流程,即完成了对VNF的安全监管。需要说明的是NFV安全控制中心也可以作为NFV管理和编排系统的一部分存在,即NFV安全控制中心也可部署在NFV管理和编排系统中。
其中,对于部署了SDN(Software Defined Network,软件定义网络)的场景,由于SDN控制器具备从交换机获取流量统计信息的能力,而且也具备将安全策略转化成流表项下发给交换机的能力,因此图5和图6中的NFV安全控制中心的信息收集模块的功能可以通过SDN控制器来实现,部分安全策略也可以通过SDN控制器下发到交换机上来实现对流量的安全管理。针对部署了SDN的NFV安全监管系统架构如图7所示。
当SDN控制器除了承担信息收集模块的功能(此时和图5所示的流程类似,这里不再进行赘述)之外,还承担部分安全策略下发的功能时,该NFV安全监管的工作流程如图8所示:
步骤1、安全策略库事先将需要交换机收集哪些流量信息的策略发给SDN控制器,并且SDN控制器将响应安全策略库已经接收到安全策略库的策略。
步骤2、SDN控制器向交换机(vSwitch或者物理交换机)下发需要收集的流量统计信息。
步骤3、交换机收集流经的流量统计信息后发送给SDN控制器。
步骤4、SDN控制器收到流量统计信息后,将安全分析模块订购的流量统计信息发送给安全分析模块。
步骤5、安全分析模块根据收到的流量统计信息进行分析,如果分析出安全威胁(比如检测到DDoS攻击、异常流量等),就将分析结果反馈给安全策略库。
步骤6、安全策略库根据分析结果生成相应的策略,并将安全策略进行分类后再下发,即将能够在交换机上直接实现的对流量的安全控制的安全策略(比如将来自IP源地址是192.168.121.10的所有包丢弃)下发给SDN控制器;而将另一部分策略(如生成一个虚拟防火墙等)则下发给安全编排器进行安全监控和安全管理的编排。
步骤7、SDN控制器将接收到的安全策略翻译成一个或多个流表项并下发给交换机执行;安全编排器收到安全策略后,实现安全策略的编排和下发。
步骤8、安全编排器在完成安全策略的编排和下发后,将安全编排成功的消息反馈至安全策略库,以通知下发的安全策略已经被执行。
综上所述,本发明实施例提供的技术方案不需要针对每个VNF安装安全业务代理和创建安全管理者,不需要对VIM和VNFM改动,即可实现VNF的安全监管,而且该技术方案是通用的方案,不只是针对基于openstack平的VNF进行安全监控和安全管理。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述的原理前提下还可以作出若干改进和润饰,这些改进和润饰也在本发明的保护范围内。
Claims (17)
1.一种VNF的安全监管的方法,其特征在于,所述方法包括:
接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;
根据所述流量统计信息进行安全分析,得到安全分析结果;以及
根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。
2.根据权利要求1所述的方法,其特征在于,所述接收由交换机采集的流向VNF或者流出VNF的流量统计信息,具体包括:
获取所述流量统计信息的收集策略;
将所述收集策略发送至所述交换机;
接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。
3.根据权利要求1所述的方法,其特征在于,所述根据所述流量统计信息进行安全分析,得到安全分析结果,具体包括:
根据预设的订购策略,获取所需的流量统计信息;
根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。
4.根据权利要求1所述的方法,其特征在于,所述根据所述安全策略,对VNF进行安全监管,具体为:
将生成的安全策略发送给安全编排器,以使所述安全编排器在收到安全策略后进行安全策略的编排和下发。
5.根据权利要求1所述的方法,其特征在于,所述根据所述安全策略,对VNF进行安全监管,具体包括:
对生成的所述安全策略进行分类;
根据分类结果,将所述安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使所述交换机根据所述流表项执行对流量的管理;
根据分类结果,将所述安全策略的另一部分发送给安全编排器,以使所述安全编排器在收到所述安全策略后进行安全策略的编排和下发。
6.根据权利要求1所述的方法,其特征在于,所述根据所述安全分析结果,生成安全策略,具体为:
若所述安全分析结果中存在安全威胁信息,则根据所述安全分析结果,生成相应的安全策略。
7.根据权利要求1~6任一项所述的方法,其特征在于,所述流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。
8.根据权利要求1~6任一项所述的方法,其特征在于,所述安全策略至少包括:在安全设备或虚拟化的安全功能上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能上撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。
9.一种VNF的安全监管的装置,其特征在于,所述装置包括:
信息收集模块,用于接收由交换机采集的流向虚拟化网络功能VNF或者流出VNF的流量统计信息;
安全分析模块,用于根据所述流量统计信息进行安全分析,得到安全分析结果;以及
安全策略模块,用于根据所述安全分析结果,生成安全策略,并根据所述安全策略,对VNF进行安全监管。
10.根据权利要求9所述的装置,其特征在于,所述信息收集模块包括:
第一获取单元,用于获取所述流量统计信息的收集策略;第一发送单元,用于将所述收集策略发送至所述交换机;
接收单元,用于接收由所述交换机根据所述收集策略采集的流向VNF或者流出VNF的流量统计信息。
11.根据权利要求9所述的装置,其特征在于,所述安全分析模块包括:
第二获取单元,用于根据预设的订购策略,获取所需的流量统计信息;
安全分析单元,用于根据获取的所需的流量统计信息进行安全分析,得到安全分析结果。
12.根据权利要求9所述的装置,其特征在于,所述安全策略模块包括:
第二发送单元,用于将生成的安全策略发送给安全编排器,以使所述安全编排器在收到安全策略后进行安全策略的编排和下发。
13.根据权利要求9所述的装置,其特征在于,所述安全策略模块包括:
分类单元,用于对生成的所述安全策略进行分类;
第三发送单元,用于根据分类结果,将所述安全策略的一部分转化为一个或多个流表项,并发送至交换机,以使所述交换机根据所述流表项执行对流量的管理;
第四发送单元,用于根据分类结果,将所述安全策略的另一部分发送给安全编排器,以使所述安全编排器在收到所述安全策略后进行安全策略的编排和下发。
14.根据权利要求9所述的装置,其特征在于,所述安全策略模块包括:
策略生成单元,用于当所述安全分析结果中存在安全威胁时,根据所述安全分析结果,生成相应的安全策略。
15.根据权利要求9~14任一项所述的装置,其特征在于,所述流量统计信息至少包括:预定时间段内流向每个VNF的流量值或流出每个VNF的流量值、流量的源IP地址或流量的目的IP地址、流量的源的介质访问控制MAC地址或目的介质访问控制MAC地址、传输协议中的一种或多种信息。
16.根据权利要求9~14任一项所述的装置,其特征在于,所述安全策略至少包括:在安全设备或虚拟化的安全功能上新增加一条或多条过滤规则的策略、在安全设备或虚拟化的安全功能撤销一条或多条过滤规则的策略以及启动一个或多个新的虚拟机并分别在每个新的虚拟机上实例化一个用于过滤某段流量的虚拟化的安全功能的策略中的一种或多种策略。
17.一种VNF的安全监管的系统,其特征在于,包括:用于对VNF进行安全控制的安全控制中心、用于采集流量统计信息的交换机以及用于对VNF进行安全编排和安全管理的安全编排器,其中所述安全控制中心包括如权利要求9~16任一项所述的VNF的安全监管的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510608530.9A CN106549792B (zh) | 2015-09-22 | 2015-09-22 | 一种vnf的安全监管的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510608530.9A CN106549792B (zh) | 2015-09-22 | 2015-09-22 | 一种vnf的安全监管的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106549792A true CN106549792A (zh) | 2017-03-29 |
| CN106549792B CN106549792B (zh) | 2019-10-15 |
Family
ID=58364859
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510608530.9A Active CN106549792B (zh) | 2015-09-22 | 2015-09-22 | 一种vnf的安全监管的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106549792B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864126A (zh) * | 2017-10-30 | 2018-03-30 | 国云科技股份有限公司 | 一种云平台虚拟网络行为检测方法 |
| CN109981573A (zh) * | 2019-02-20 | 2019-07-05 | 新华三信息安全技术有限公司 | 安全事件响应方法及装置 |
| CN111221619A (zh) * | 2018-11-27 | 2020-06-02 | 中国移动通信集团江西有限公司 | 一种业务开通和编排的方法、装置及设备 |
| CN111786843A (zh) * | 2019-04-04 | 2020-10-16 | 中兴通讯股份有限公司 | 一种流量采集方法、装置、网络设备及存储介质 |
| WO2020220217A1 (en) | 2019-04-29 | 2020-11-05 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for security assurance automation |
| CN113411351A (zh) * | 2021-06-07 | 2021-09-17 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
| CN114071488A (zh) * | 2020-07-28 | 2022-02-18 | 中国移动通信有限公司研究院 | 策略配置方法、装置、设备及存储介质 |
| CN114095370A (zh) * | 2020-08-04 | 2022-02-25 | 中国移动通信有限公司研究院 | 策略配置方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101690104A (zh) * | 2007-06-30 | 2010-03-31 | 极进网络有限公司 | 基于交换的网络安全 |
| US20110072489A1 (en) * | 2009-09-23 | 2011-03-24 | Gilad Parann-Nissany | Methods, devices, and media for securely utilizing a non-secured, distributed, virtualized network resource with applications to cloud-computing security and management |
| CN103457933A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种虚拟机迁移安全策略动态配置系统和方法 |
| CN104378387A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种虚拟化平台下保护信息安全的方法 |
-
2015
- 2015-09-22 CN CN201510608530.9A patent/CN106549792B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101690104A (zh) * | 2007-06-30 | 2010-03-31 | 极进网络有限公司 | 基于交换的网络安全 |
| US20110072489A1 (en) * | 2009-09-23 | 2011-03-24 | Gilad Parann-Nissany | Methods, devices, and media for securely utilizing a non-secured, distributed, virtualized network resource with applications to cloud-computing security and management |
| CN103457933A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种虚拟机迁移安全策略动态配置系统和方法 |
| CN104378387A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种虚拟化平台下保护信息安全的方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864126A (zh) * | 2017-10-30 | 2018-03-30 | 国云科技股份有限公司 | 一种云平台虚拟网络行为检测方法 |
| CN111221619A (zh) * | 2018-11-27 | 2020-06-02 | 中国移动通信集团江西有限公司 | 一种业务开通和编排的方法、装置及设备 |
| CN111221619B (zh) * | 2018-11-27 | 2023-09-08 | 中国移动通信集团江西有限公司 | 一种业务开通和编排的方法、装置及设备 |
| CN109981573A (zh) * | 2019-02-20 | 2019-07-05 | 新华三信息安全技术有限公司 | 安全事件响应方法及装置 |
| CN109981573B (zh) * | 2019-02-20 | 2021-09-10 | 新华三信息安全技术有限公司 | 安全事件响应方法及装置 |
| CN111786843A (zh) * | 2019-04-04 | 2020-10-16 | 中兴通讯股份有限公司 | 一种流量采集方法、装置、网络设备及存储介质 |
| EP3963854A4 (en) * | 2019-04-29 | 2022-10-26 | Nokia Technologies OY | METHOD AND APPARATUS FOR AUTOMATING A SECURITY GUARANTEE |
| WO2020220217A1 (en) | 2019-04-29 | 2020-11-05 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for security assurance automation |
| CN114073039A (zh) * | 2019-04-29 | 2022-02-18 | 上海诺基亚贝尔股份有限公司 | 用于安全保障自动化的方法和装置 |
| CN114071488A (zh) * | 2020-07-28 | 2022-02-18 | 中国移动通信有限公司研究院 | 策略配置方法、装置、设备及存储介质 |
| CN114095370A (zh) * | 2020-08-04 | 2022-02-25 | 中国移动通信有限公司研究院 | 策略配置方法、装置、设备及存储介质 |
| CN113411351B (zh) * | 2021-06-07 | 2023-06-27 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
| CN113411351A (zh) * | 2021-06-07 | 2021-09-17 | 中国人民解放军空军工程大学 | 基于NFV和深度学习的DDoS攻击弹性防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106549792B (zh) | 2019-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106549792A (zh) | 一种vnf的安全监管的方法、装置及系统 | |
| US20200358675A1 (en) | In-fabric traffic analysis | |
| CN105765906B (zh) | 用于网络功能虚拟化信息集中器的方法、系统和计算机可读介质 | |
| CN105763606B (zh) | 一种服务链代理聚合的方法及系统 | |
| CN102801738B (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
| CN104253820B (zh) | 软件定义网安全控制系统和控制方法 | |
| CN106130796B (zh) | Sdn网络拓扑流量可视化监控方法及控制终端 | |
| CN108040055A (zh) | 一种防火墙组合策略及云服务安全防护 | |
| KR102048743B1 (ko) | Sdn 기반의 네트워크 모니터링 가상화 시스템 및 그 방법 | |
| CN101958903A (zh) | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 | |
| CN105760459B (zh) | 一种分布式数据处理系统及方法 | |
| CN103475722A (zh) | 一种业务协同平台实现系统 | |
| CN104168144A (zh) | 一种对sdn网络进行审计的方法 | |
| CN108259554A (zh) | 网络实体在监视代理之中的动态分配 | |
| KR102160187B1 (ko) | 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크 | |
| US20190317818A1 (en) | System and method for efficiently and securely managing a network using fog computing | |
| KR101438212B1 (ko) | 소프트웨어 정의 네트워크 심층패킷분석 방법 및 이를 이용하는 소프트웨어 정의 네트워크 시스템 | |
| Dillon et al. | Cyber-physical systems: Providing Quality of Service (QoS) in a heterogeneous systems-of-systems environment | |
| CN110120884A (zh) | 自驱动和自适应性多vbng管理编排 | |
| CN109462621A (zh) | 网络安全保护方法、装置及电子设备 | |
| CN105893211A (zh) | 一种监控的方法及系统 | |
| CN111404774B (zh) | 数据监控方法、装置、设备及存储介质 | |
| CN109271217A (zh) | 云环境下的网络流量检测方法及系统 | |
| Shin et al. | SmartX Multi-Sec: a visibility-centric multi-tiered security framework for multi-site cloud-native edge clusters | |
| CN105162639B (zh) | 一种kvm下的虚拟网络故障定位装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |