CN110311838A - 一种安全服务流量统计的方法及装置 - Google Patents

一种安全服务流量统计的方法及装置 Download PDF

Info

Publication number
CN110311838A
CN110311838A CN201910672602.4A CN201910672602A CN110311838A CN 110311838 A CN110311838 A CN 110311838A CN 201910672602 A CN201910672602 A CN 201910672602A CN 110311838 A CN110311838 A CN 110311838A
Authority
CN
China
Prior art keywords
service
flow
security
tenant
present
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910672602.4A
Other languages
English (en)
Other versions
CN110311838B (zh
Inventor
张晓峰
何恐
张龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201910672602.4A priority Critical patent/CN110311838B/zh
Publication of CN110311838A publication Critical patent/CN110311838A/zh
Application granted granted Critical
Publication of CN110311838B publication Critical patent/CN110311838B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/067Generation of reports using time frame reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种安全服务流量统计的方法及装置,该方法包括:实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略;确定当前流量面向的对象所对应的服务链,所述服务链预先由为该对象配置的全部安全策略包含的服务节点编排形成;将当前流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项中,其中预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表。本发明可以通过对每条安全策略流量的统计筛选汇总,实施基于安全服务的可视化和流控技术。

Description

一种安全服务流量统计的方法及装置
技术领域
本发明涉及虚拟云安全技术领域。具体涉及一种安全服务流量统计的方法及装置。
背景技术
随着虚拟化、云计算的兴起,把计算资源、网络资源、存储资源等虚拟化之后以服务的形式提供给租户,做到了资源的按需分配、快速部署,这种方法已经成为普遍的技术实现方式。传统盒式部署的安全产品已经跟不上云计算的步伐,固定的部署方式,无法对不断变化的网络和计算资源进行及时、按需的防护,无法满足云计算中心的实际安全需求。针对这些问题推出能够适应云计算特点的安全能力池化产品,即安全资源池。
安全资源池是基于x86传统服务器和虚拟化技术,通过集成多种虚拟化安全组件(vWAF、vNF、vRSAS、vSAS等)形成的一个统一的资源池设备。该资源池支持安全资源的弹性扩展,可以实现业务资源的动态调整,以及灵活和可靠的云安全防护。防护体系采用软件定义安全(SDS)的架构,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,实现灵活的安全防护。
通过外挂在云出口的安全资源池,只需要一次引流,就可对特定的流量进行多种安全过滤防护。流量牵引到安全资源池后,在安全资源池中进行服务链编排,目的是让安全策略流量五元组相关的流量流经安全策略所在的安全设备。在安全运维场景中,需要对安全服务流量可视化,并且需要把租户使用的安全能力控制在租户所购买的配额内。
综上,实现这些需求就需要实施基于安全服务的可视化和流控技术。可视化和流控是以流量统计为基础,通过对每条安全策略流量的统计筛选汇总,得到租户流量、租户站点流量、租户安全服务流量等数据就成了亟待解决的技术难题,目前没有特别成熟的方法。
发明内容
本发明提供一种安全服务流量统计的方法及装置,用以解决对安全服务流量可视化,并且需要把租户使用的安全能力控制在租户所购买的配额内的问题。
第一方面,本申请提供一种安全服务流量统计的方法,该方法包括:
实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略;
确定当前流量面向的对象所对应的服务链,所述服务链预先由为该对象配置的全部安全策略包含的服务节点编排形成;
将当前流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项中,其中预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表。
可选的,所述流量面向的对象包括如下任一或任多组合:
流量对应的租户、租户下的站点、流量对应的安全服务种类。
可选的,所述流量对应的租户通过流量的五元组信息确定。
可选的,将当前流量牵引到服务链上的各个服务节点,并将当前流量统计到各服务节点上服务流表中所述预设统计项内容对应的表项,包括:
将当前流量服务链上的各个服务节点顺序依次进行牵引;
在牵引到其中一个服务节点时,从该服务节点的服务流表中查找是否存在当前流量对应的预设统计项的内容对应的表项;
若存在,将当前流量统计到查找到的表项中,并将当前流量牵引到下一个服务节点,若不存在,将当前流量牵引到下一个服务节点。
可选的,预先将不同对象对应的服务链的信息,通过基础流表存储在各服务节点上,若不存在,将当前流量牵引到下一个服务节点,包括:
根据当前服务节点上的基础流表,将当前流量牵引到下一个服务节点。
可选的,预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表,包括:
预先在各服务节点上,针对每个安全策略对应对应的一个服务流表,该服务流表包括该安全策略及不同流量对象所映射的表项。
可选的,还包括:
根据各服务节点上表项所统计的流量,统计同一对象在服务链上的流量/同一对象在服务链上不同安全策略对应的流量,并对统计的流量进行可视化图处理。
可选的,所述流量面向的对象包括:流量对应的租户、租户下的站点、流量对应的安全服务种类,统计同一对象在服务链上不同安全策略对应的流量,包括:
统计同一租户在同一站点下不同安全策略对应的流量;
还包括:统计同一租户在不同站点下的流量;
可选的,还包括:
根据统计的同一租户/同一租户的同一站点在不同安全服务种类下的流量,与该租户在不同安全服务种类配置的门限的比较,对该租户在该安全服务种类对应的服务节点进行安全流控。
第二方面,本申请提供一种安全服务流量统计的装置,该装置包括:存储器、处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,包括如下步骤:
实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略;
确定当前流量面向的对象所对应的服务链,所述服务链预先由为该对象配置的全部安全策略包含的服务节点编排形成;
将当前流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项中,其中预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表。
第三方面,本申请还提供一种计算机存储介质,其上存储有计算机程序,该程序被处理单元执行时实现第一方面所述方法的步骤。
另外,第二方面至第三方面中任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果,此处不再赘述。
利用本发明提供的一种安全服务流量统计的方法及装置,具有以下有益效果:
本发明提供的一种安全服务流量统计的方法及装置,可以针对安全运维场景中,需要对安全服务流量可视化,并且需要把租户使用的安全能力控制在租户所购买的配额内的问题,实施基于安全服务的可视化和流控技术。通过对每条安全策略流量的统计筛选汇总,得到租户流量、租户站点流量、租户安全服务流量等数据。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的云安全管理系统示意图;
图2为本发明实施例提供的一种安全服务流量统计的方法示意图;
图3为本发明实施例提供的一种服务链编排方式示意图;
图4为本发明实施例提供的一种安全服务流量统计的方法示意图;
图5为本发明实施例提供的租户安全流量示意图;
图6为本发明实施例提供的租户站点安全流量示意图;
图7为本发明实施例提供的租户站点安全策略流量示意图;
图8为本发明实施例提供的一种安全服务流量统计的装置示意图;
图9为本发明实施例提供的一种安全服务流量统计的装置示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
为了方便理解,下面对本发明实施例中涉及的名词进行解释:
1、安全策略:是指针对租户的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等。
2、五元组:通常指一个由源IP地址、源端口、目的IP地址、目的端口、应用协议组成的五元组。
本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。其中,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为云安全管理系统,云平台的安全保障可以分为管理和技术两个层面。首先,在技术方面,需要按照分层、纵深防御的思想,基于安全域的划分,从物理基础设施、虚拟化、网络、系统、应用、数据等层面进行综合防护;其次,在管理方面,应对云平台、云服务、云数据的整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。
云边界通过传统物理手段进行防御,通过部署NTA对异常流量进行检测,ADS与NTA的联动对异常流量进行清洗;IPS部署在互联网区出口与云平台之间,对各种网络攻击进行检测并阻断。
云内安全防护通过云安全资源池实现,防护体系采用软件定义安全(SDS)的架构,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,将流量分别牵引到不同的虚拟化安全设备中,以完成相应的安全功能,从而实现灵活的安全防护。
在安全运维场景中,需要对安全服务流量可视化,并且需要把租户使用的安全能力控制在租户所购买的配额内。综上,实现这些需求就需要实施基于安全服务的可视化和流控技术。可视化和流控是以流量统计为基础,通过对每条安全策略流量的统计筛选汇总,得到租户流量、租户站点流量、租户安全服务流量等数据就成了亟待解决的技术难题,目前没有特别成熟的方法。
鉴于目前需要实施基于安全服务的可视化和流控技术,但是目前对通过对每条安全策略流量的统计筛选汇总并没有成熟的方法,本发明实施例提供一种安全服务流量统计的方法,如图2所示,包括:
S201,实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略;
在数据中心通常把网络流量分为两种类型,一种是数据中心外部用户和内部服务器之间交互的流量,称作南北向流量或者纵向流量;另外一种是数据中心内部服务器之间交互的流量,称作东西向流量或者横向流量。随着虚拟化、云计算的兴起,逐渐把计算资源、网络资源、存储资源等虚拟化之后以服务的形式提供给租户。
根据实时采集资源池内安全防护的流量值可以对应到预设统计项的内容,预设统计项包括流量面向的对象及采用的安全策略;
实施中,可以根据统计粒度需求定义流量对象,流量面向的对象包括如下任一或任多组合:流量对应的租户、租户下的站点、流量对应的安全服务种类;定义的流量对象的粒度决定了统计的粒度,如定义流量面向的对象包括流量对应的租户及租户下的站点,则在流量统计过程中,针对每个组合,统计该租户下每个站点的每个安全策略的流量,基于统计的租户下每个站点的每个安全策略的流量,还可以进一步得到如下统计:
租户的每个站点下的流量;
租户下对应每个安全策略的流量;
租户的总流量。
当然,还可以更进一步地细化统计粒度,例如定义流量的对象包括流量对应的租户及租户下的站点及安全服务种类,则在流量统计过程中,针对每个组合,统计该租户下每个站点的每个安全服务种类对应每个安全策略的流量,基于统计的租户下每个站点的每个安全服务种类下对应的每个安全策略的流量,还可以进一步得到如下统计:
租户下对应每个安全策略的流量;
租户在每个安全服务种类下的流量;
租户的每个站点下的流量;
租户的每个站点的每个服务策略的流量;
租户下每个站点的每个安全服务种类的流量;
租户的总流量。
租户流量数据只中会携带流量的五元组信息,通过流量的五元组信息可以确定对应的租户,针对每个租户,预先配置了该租户的安全策略,安全服务种类及站点等信息,因此,可以根据响应流量请求的流量对应的租户、安全服务种类及站点等,进行相应粒度的统计。
S202,确定当前流量面向的对象所对应的服务链,所述服务链预先由为该对象配置的全部安全策略包含的服务节点编排形成;
如前所述,针对每个租户,预先配置了该租户对应的所有安全服务策略,针对每个安全服务策略,由相应的服务节点提供安全服务,因此可以预先确定每个租户所有安全服务策略所包含的服务节点,将所有的服务节点按照进行编排得到该租户对应的服务链。
实施中,当当前流量面对的对象确定后,所对应的服务链也确定,由多个服务节点编排而成,当前流量流经服务链的各个服务节点进行安全防护;
服务链上的每个服务节点对应一个安全虚机,服务链的每个服务节点的线索为报文包目的MAC地址,每一个服务节点处理报文时修改报文的目的MAC地址为当前服务节点对应安全虚机的MAC地址。报文的目的MAC记录着报文在服务链中的处理阶段。
在确定租户对应的服务链后,可以在预先在每个服务节点上存储基础流量表,基础流量用于存储每个租户对应的服务链上服务节点信息。
如图3所示为服务链编排方式,针对每一流量有确定对应的服务链编排,多个服务节点编排成一个当前流量面向的对象所对应的服务链。图3具体可以表示为一个租户有四种安全策略,安全策略1包含两个服务节点,分别为NF和IPS,安全策略2包含三个服务节点,分别为NF、IPS和WAF,安全策略3包含两个服务节点,分别为NF和WAF,安全策略4包含两个服务节点,分别为NF和ADS,基础流表包括四个节点,分别为NF、IPS、WAF和ADS。
S203,将当前流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项中,其中预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表。
每个服务节点根据不同流量对象及不同安全策略所映射的表项设置服务流表,并设置基础流表,每个服务节点的服务流表相互独立、互不影响,每个服务节点的基础流表相互独立、互不影响。
预先在各服务节点上,针对每个安全策略对应对应的一个服务流表,该服务流表包括该安全策略及不同流量对象所映射的表项。
将当前流量服务链上的各个服务节点顺序依次进行牵引;
在牵引到其中一个服务节点时,从该服务节点的服务流表中查找是否存在当前流量对应的预设统计项的内容对应的表项;
若存在,将当前流量统计到查找到的表项中,并将当前流量牵引到下一个服务节点,若不存在,根据预先将不同对象对应的服务链的信息,通过基础流表存储在各服务节点上,根据当前服务节点上的基础流表,将当前流量牵引到下一个服务节点,并将租户配置安全策略的防护站点的IP地址作为基础流表的Match条件。
实施例中可以统计每个安全策略下每个流量对象对应的流量,具体地,流量对象至少包括租户,还可以进一包括站点,安全服务种类,具体的,在建立上述服务流表时,可以针对每个租户,建立对应多个服务安全策略的多个服务流表,则再将流量牵引到其中一个服务节点上作安全防护时,在租户配置安全策略中提取五元组作为服务流表Match条件,查找到该租户下的多个服务流表,并进行相应表项的匹配。
从该服务节点的服务流表中查找存在当前流量对应的预设统计项的内容对应的表项后,将当前流量上传至安全虚机处理。
在从前一节点牵引到后一服务节点时,从该服务节点的服务流表中查找存在当前流量对应的预设统计项的内容对应的表项,当前节点的服务流表的DMAC设定第一个服务节点的MAC地址,捕获上一节点的MAC地址后,从租户的安全策略中提取五元组作为流表Match条件,若存在,将ModDMAC设置为上一节点的MAC地址,并将流量上传到安全虚机,将当前流量牵引到下一个服务节点。
若不存在,根据预先将不同对象对应的服务链的信息,通过基础流表存储在各服务节点上,根据当前服务节点上的基础流表,将ModDMAC设置为上一节点的MAC地址,并将当前流量牵引到下一个服务节点。
在基于上述流量统计的基础上,本实施例可以根据各服务节点上表项所统计的流量,统计同一对象在服务链上的流量/同一对象在服务链上不同安全策略对应的流量,并对统计的流量进行可视化图处理。例如可以统计某一个租户的服务链上的总流量,可以针对某一租户统计在服务链各个安全策略对应的流量,具体的流量的对象的粒度不同。
流量面向的对象包括:流量对应的租户、租户下的站点、流量对应的安全服务种类,统计同一对象在服务链上不同安全策略对应的流量,统计同一租户在同一站点下不同安全策略对应的流量;还包括:统计同一租户在不同站点下的流量;
由于安全策略与服务流表是一对一的映射关系,每个服务节点的不同安全策略对应的服务流表为累加下发,不会覆盖和互相影响,存在稳定与安全策略的生命周期相同。所以服务流表为承担流量监控的载体。
上述流量统计方法可以统计同一租户在不同站点下的全部流量,也可以统计同一租户某一站点下的全部流量。
下面结合具体实施例对上述流量统计过程进行介绍:
若设定流量面向的对象包括流量对应的租户A、租户下的站点Sx、流量对应的安全服务种类Ty
定义以下公式得到:
1、租户A的站点集合为:{S1,S2,…,Sn};
2、租户站点的安全服务种类为:{T1,T2,…,Tn};
3、站点Sx安全服务Ty下的安全策略表示为:{SxTyP1,SxTyP2,…,SxTyPn};
4、安全策略SxTyPz对应的服务流表流量统计值可表示为:SxTyPz_F;
实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略,本实施例中流量面对的对象为租户A、租户A的每个站点Sx以及租户A的一个站点Sx对应的安全服务Ty,安全策略为租户A下对应一个站点对应的安全服务Ty下的安全策略{SxTyP1,SxTyP2,…,SxTyPn};
上述流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项的过程如图4所示:
S401,将当前流量服务链上的各个服务节点顺序依次进行牵引;
根据租户A、租户A的每个站点Sx以及租户A的一个站点Sx对应的安全服务Ty以及租户A下对应一个站点对应的安全服务Ty下的安全策略{SxTyP1,SxTyP2,…,SxTyPn}所映射的表项确定服务节点以及服务流表以及基础流表;
预先在各服务节点上,针对每个安全策略对应对应的一个服务流表,该服务流表包括该安全策略及不同流量对象所映射的表项。
S402,在牵引到其中一个服务节点时,从该服务节点的服务流表中查找是否存在当前预设统计项的内容对应的表项,若存在,执行步骤403,若不存在,执行步骤S404;
S403,将当前流量统计到查找到的表项中,并将当前流量牵引到下一个服务节点,从该服务节点的服务流表中查找存在当前流量对应的预设统计项的内容对应的表项后,将当前流量上传至安全虚机处理;
S404,根据预先将不同对象对应的服务链的信息,通过基础流表存储在各服务节点上,根据当前服务节点上的基础流表,将当前流量牵引到下一个服务节点,并将租户配置安全策略的防护站点的IP地址作为基础流表的Match条件。
通过以上公式及流量统计过程可以得到:
5、站点Sx在安全服务Ty下的全部流量为:
6、租户A在安全服务Ty下的全部流量为:
上述流量统计过程可以统计不同租户的全部流量,对统计的流量进行可视化图处理后如图5所示为租户A、租户B以及租户C在不同时间的安全流量图,图6为同一租户的站点不同站点在不同时间的安全流量图,站点分别为站点S1、站点S2、站点S3,图7为同一站点的不同安全策略在不同时间的流量图,分别为安全策略P1、安全策略P2、安全策略P3。
根据统计的同一租户/同一租户的同一站点在不同安全服务种类下的流量,与该租户在不同安全服务种类配置的门限的比较,对该租户在该安全服务种类对应的服务节点进行安全流控。
租户实际的防护流量超过租户订单中购买的安全服务规格,即客户超量使用购买的安全服务时,应该进行流控处理。
流控处理即根据租户购买的安全服务规格对Ty_F、SxTy_F设置流控门限。当Ty_F、SxTy_F超过门限时触发流控流程。系统自动把安全策略相关的服务流表优先级降低(低于服务节点基础流表优先级),使安全策略的流量通过基础流表引导到下一个服务节点,而不再经过安全设备进行安全防护,在安全服务限流的同时不影响租户站点正常业务。
当流量低于门限时,重新提升相关服务流表优先级使其高于服务节点基础流表,使安全流量重新上送至服务节点安全设备进行安全防护。
以上对本发明中一种安全服务流量统计的方法进行说明,以下对执行上述安全服务流量统计方法的装置进行说明。
请参阅图8,本申请实施例中一种安全服务流量统计的装置,包括:
流量确定模块801,用于实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略;
服务链确定模块802,用于确定当前流量面向的对象所对应的服务链,所述服务链预先由为该对象配置的全部安全策略包含的服务节点编排形成;
统计模块803,用于将当前流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项中,其中预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表。
可选的,流量确定模块用于所述流量面向的对象包括如下任一或任多组合:
流量对应的租户、租户下的站点、流量对应的安全服务种类。
可选的,流量确定模块所述流量对应的租户通过流量的五元组信息确定。
可选的,统计模块用于将当前流量牵引到服务链上的各个服务节点,并将当前流量统计到各服务节点上服务流表中所述预设统计项内容对应的表项,包括:
将当前流量服务链上的各个服务节点顺序依次进行牵引;
在牵引到其中一个服务节点时,从该服务节点的服务流表中查找是否存在当前流量对应的预设统计项的内容对应的表项;
若存在,将当前流量统计到查找到的表项中,并将当前流量牵引到下一个服务节点,若不存在,将当前流量牵引到下一个服务节点。
可选的,统计模块用于预先将不同对象对应的服务链的信息,通过基础流表存储在各服务节点上,若不存在,将当前流量牵引到下一个服务节点,包括:
根据当前服务节点上的基础流表,将当前流量牵引到下一个服务节点。
可选的,统计模块用于预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表,包括:
预先在各服务节点上,针对每个安全策略对应对应的一个服务流表,该服务流表包括该安全策略及不同流量对象所映射的表项。
可选的,统计模块用于:
根据各服务节点上表项所统计的流量,统计同一对象在服务链上的流量/同一对象在服务链上不同安全策略对应的流量,并对统计的流量进行可视化图处理。
可选的,流量确定模块用于所述流量面向的对象包括:流量对应的租户、租户下的站点、流量对应的安全服务种类,统计同一对象在服务链上不同安全策略对应的流量,包括:
统计同一租户在同一站点下不同安全策略对应的流量;
还包括:统计同一租户在不同站点下的流量。
可选的,统计模块用于:
根据统计的同一租户/同一租户的同一站点在不同安全服务种类下的流量,与该租户在不同安全服务种类配置的门限的比较,对该租户在该安全服务种类对应的服务节点进行安全流控。
以下对执行上述安全服务流量统计方法的装置进行说明。
请参阅图9,本申请实施例中一种安全服务流量统计的装置,包括:
存储器901、处理器902;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,包括如下步骤:
实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略;
确定当前流量面向的对象所对应的服务链,所述服务链预先由为该对象配置的全部安全策略包含的服务节点编排形成;
将当前流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项中,其中预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表。
可选的,处理器用于所述流量面向的对象包括如下任一或任多组合:
流量对应的租户、租户下的站点、流量对应的安全服务种类。
可选的,处理器用于所述流量对应的租户通过流量的五元组信息确定。
可选的,处理器用于将当前流量牵引到服务链上的各个服务节点,并将当前流量统计到各服务节点上服务流表中所述预设统计项内容对应的表项,包括:
将当前流量服务链上的各个服务节点顺序依次进行牵引;
在牵引到其中一个服务节点时,从该服务节点的服务流表中查找是否存在当前流量对应的预设统计项的内容对应的表项;
若存在,将当前流量统计到查找到的表项中,并将当前流量牵引到下一个服务节点,若不存在,将当前流量牵引到下一个服务节点。
可选的,处理器用于预先将不同对象对应的服务链的信息,通过基础流表存储在各服务节点上,若不存在,将当前流量牵引到下一个服务节点,包括:
根据当前服务节点上的基础流表,将当前流量牵引到下一个服务节点。
可选的,处理器用于预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表,包括:
预先在各服务节点上,针对每个安全策略对应对应的一个服务流表,该服务流表包括该安全策略及不同流量对象所映射的表项。
可选的,处理器还用于:
根据各服务节点上表项所统计的流量,统计同一对象在服务链上的流量/同一对象在服务链上不同安全策略对应的流量,并对统计的流量进行可视化图处理。
可选的,处理器用于所述流量面向的对象包括:流量对应的租户、租户下的站点、流量对应的安全服务种类,统计同一对象在服务链上不同安全策略对应的流量,包括:
统计同一租户在同一站点下不同安全策略对应的流量;
还包括:统计同一租户在不同站点下的流量;
可选的,处理器用于还包括:
根据统计的同一租户/同一租户的同一站点在不同安全服务种类下的流量,与该租户在不同安全服务种类配置的门限的比较,对该租户在该安全服务种类对应的服务节点进行安全流控。
本发明实施例还提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行上述实施例提供的安全服务流量统计的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。

Claims (11)

1.一种安全服务流量统计的方法,其特征在于,该方法包括:
实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略;
确定当前流量面向的对象所对应的服务链,所述服务链预先由为该对象配置的全部安全策略包含的服务节点编排形成;
将当前流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项中,其中预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表。
2.根据权利要求1所述的方法,其特征在于,所述流量面向的对象包括如下任一或任多组合:
流量对应的租户、租户下的站点、流量对应的安全服务种类。
3.根据权利要求1所述的方法,其特征在于,所述流量对应的租户通过流量的五元组信息确定。
4.根据权利要求1所述的方法,其特征在于,将当前流量牵引到服务链上的各个服务节点,并将当前流量统计到各服务节点上服务流表中所述预设统计项内容对应的表项,包括:
将当前流量服务链上的各个服务节点顺序依次进行牵引;
在牵引到其中一个服务节点时,从该服务节点的服务流表中查找是否存在当前流量对应的预设统计项的内容对应的表项;
若存在,将当前流量统计到查找到的表项中,并将当前流量牵引到下一个服务节点,若不存在,将当前流量牵引到下一个服务节点。
5.根据权利要求4所述的方法,其特征在于,预先将不同对象对应的服务链的信息,通过基础流表存储在各服务节点上,若不存在,将当前流量牵引到下一个服务节点,包括:
根据当前服务节点上的基础流表,将当前流量牵引到下一个服务节点。
6.根据权利要求1所述的方法,其特征在于,预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表,包括:
预先在各服务节点上,针对每个安全策略对应对应的一个服务流表,该服务流表包括该安全策略及不同流量对象所映射的表项。
7.根据权利要求1或2所述的方法,其特征在于,还包括:
根据各服务节点上表项所统计的流量,统计同一对象在服务链上的流量/同一对象在服务链上不同安全策略对应的流量,并对统计的流量进行可视化图处理。
8.根据权利要求7所述的方法,其特征在于,所述流量面向的对象包括:流量对应的租户、租户下的站点、流量对应的安全服务种类,统计同一对象在服务链上不同安全策略对应的流量,包括:
统计同一租户在同一站点下不同安全策略对应的流量;
还包括:统计同一租户在不同站点下的流量。
9.根据权利要求2所述的方法,其特征在于,还包括:
根据统计的同一租户/同一租户的同一站点在不同安全服务种类下的流量,与该租户在不同安全服务种类配置的门限的比较,对该租户在该安全服务种类对应的服务节点进行安全流控。
10.一种安全服务流量统计的装置,其特征在于,包括:存储器、处理器;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,包括如下步骤:
实时采集资源池内安全防护的流量值,确定当前流量对应的预设统计项的内容,所述预设统计项包括流量面向的对象及采用的安全策略;
确定当前流量面向的对象所对应的服务链,所述服务链预先由为该对象配置的全部安全策略包含的服务节点编排形成;
将当前流量牵引到服务链上的各个服务节点进行安全防护,并将当前流量统计到各服务节点上服务流表中所述预设统计项的内容对应的表项中,其中预先在各服务节点上,根据不同流量对象及不同安全策略所映射的表项建立服务流表。
11.一种计算机可读存储介质,其特征在于,包括计算机程序指令,当其在计算机上运行时,使得计算机执行如权利要求1至9中任一项所述的方法。
CN201910672602.4A 2019-07-24 2019-07-24 一种安全服务流量统计的方法及装置 Active CN110311838B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910672602.4A CN110311838B (zh) 2019-07-24 2019-07-24 一种安全服务流量统计的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910672602.4A CN110311838B (zh) 2019-07-24 2019-07-24 一种安全服务流量统计的方法及装置

Publications (2)

Publication Number Publication Date
CN110311838A true CN110311838A (zh) 2019-10-08
CN110311838B CN110311838B (zh) 2021-05-04

Family

ID=68080942

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910672602.4A Active CN110311838B (zh) 2019-07-24 2019-07-24 一种安全服务流量统计的方法及装置

Country Status (1)

Country Link
CN (1) CN110311838B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910705A (zh) * 2021-02-02 2021-06-04 杭州安恒信息技术股份有限公司 网络流量编排的方法、设备和存储介质
CN114244576A (zh) * 2021-11-24 2022-03-25 中盈优创资讯科技有限公司 一种云环境下的流量防护方法及装置
CN114257463A (zh) * 2020-09-11 2022-03-29 北京金山云网络技术有限公司 一种计费方法、装置、电子设备和计算机可读存储介质

Citations (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104142660A (zh) * 2013-05-09 2014-11-12 洛克威尔自动控制技术股份有限公司 用于工业自动化的经由云平台的远程协助
CN104320271A (zh) * 2014-10-20 2015-01-28 北京神州绿盟信息安全科技股份有限公司 一种网络设备安全评估方法及装置
US20160241467A1 (en) * 2015-02-17 2016-08-18 Telefonaktiebolaget L M Ericsson (Publ) Method and system to optimize packet exchange between the control and data plane in a software defined network
CN106027626A (zh) * 2016-05-12 2016-10-12 赛特斯信息科技股份有限公司 基于sdn实现虚拟化数据中心的系统
US9479522B1 (en) * 2011-05-06 2016-10-25 Tellabs, Inc. Method and apparatus for managing content distribution using content signatures
CN106230823A (zh) * 2016-08-01 2016-12-14 北京神州绿盟信息安全科技股份有限公司 一种流量统计方法及装置
CN106572120A (zh) * 2016-11-11 2017-04-19 中国南方电网有限责任公司 一种基于混合云的访问控制方法及系统
CN106789542A (zh) * 2017-03-03 2017-05-31 清华大学 一种云数据中心安全服务链的实现方法
CN106850382A (zh) * 2016-12-05 2017-06-13 北京神州绿盟信息安全科技股份有限公司 一种流量牵引方法及装置
CN106878138A (zh) * 2017-01-18 2017-06-20 新华三技术有限公司 一种报文传输方法和装置
US20170180237A1 (en) * 2015-12-22 2017-06-22 Mcafee, Inc. Intelligent devices in a software-defined network
CN107204866A (zh) * 2016-03-18 2017-09-26 上海有云信息技术有限公司 基于vxlan技术解决多租户服务链传输的实现方法
CN107204942A (zh) * 2016-03-18 2017-09-26 上海有云信息技术有限公司 一种基于五元组实现服务链透明传输的实现方法
US10007513B2 (en) * 2015-08-27 2018-06-26 FogHorn Systems, Inc. Edge intelligence platform, and internet of things sensor streams system
CN108322433A (zh) * 2017-12-18 2018-07-24 中国软件与技术服务股份有限公司 一种基于流检测的网络安全检测方法
CN108881207A (zh) * 2018-06-11 2018-11-23 中国人民解放军战略支援部队信息工程大学 基于安全服务链的网络安全服务架构及其实现方法
CN108900541A (zh) * 2018-08-10 2018-11-27 哈尔滨工业大学(威海) 一种针对云数据中心sdn安全态势感知系统及方法
US20180351819A1 (en) * 2017-05-31 2018-12-06 Cisco Technology, Inc. Semantic analysis to detect shadowing of rules in a model of network intents
CN109218324A (zh) * 2018-09-28 2019-01-15 山东超越数控电子股份有限公司 一种基于流量统计的扩展访问控制方法
CN109379390A (zh) * 2018-12-25 2019-02-22 中国电子科技网络信息安全有限公司 一种基于全流量的网络安全基线生成方法
US20190146778A1 (en) * 2016-09-28 2019-05-16 Mcafee, Llc Device-driven auto-recovery using multiple recovery sources
CN109981355A (zh) * 2019-03-11 2019-07-05 北京网御星云信息技术有限公司 用于云环境的安全防御方法及系统、计算机可读存储介质

Patent Citations (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9479522B1 (en) * 2011-05-06 2016-10-25 Tellabs, Inc. Method and apparatus for managing content distribution using content signatures
CN104142660A (zh) * 2013-05-09 2014-11-12 洛克威尔自动控制技术股份有限公司 用于工业自动化的经由云平台的远程协助
CN104320271A (zh) * 2014-10-20 2015-01-28 北京神州绿盟信息安全科技股份有限公司 一种网络设备安全评估方法及装置
US20160241467A1 (en) * 2015-02-17 2016-08-18 Telefonaktiebolaget L M Ericsson (Publ) Method and system to optimize packet exchange between the control and data plane in a software defined network
US10007513B2 (en) * 2015-08-27 2018-06-26 FogHorn Systems, Inc. Edge intelligence platform, and internet of things sensor streams system
US20170180237A1 (en) * 2015-12-22 2017-06-22 Mcafee, Inc. Intelligent devices in a software-defined network
CN107204942A (zh) * 2016-03-18 2017-09-26 上海有云信息技术有限公司 一种基于五元组实现服务链透明传输的实现方法
CN107204866A (zh) * 2016-03-18 2017-09-26 上海有云信息技术有限公司 基于vxlan技术解决多租户服务链传输的实现方法
CN106027626A (zh) * 2016-05-12 2016-10-12 赛特斯信息科技股份有限公司 基于sdn实现虚拟化数据中心的系统
CN106230823A (zh) * 2016-08-01 2016-12-14 北京神州绿盟信息安全科技股份有限公司 一种流量统计方法及装置
US20190146778A1 (en) * 2016-09-28 2019-05-16 Mcafee, Llc Device-driven auto-recovery using multiple recovery sources
CN106572120A (zh) * 2016-11-11 2017-04-19 中国南方电网有限责任公司 一种基于混合云的访问控制方法及系统
CN106850382A (zh) * 2016-12-05 2017-06-13 北京神州绿盟信息安全科技股份有限公司 一种流量牵引方法及装置
CN106878138A (zh) * 2017-01-18 2017-06-20 新华三技术有限公司 一种报文传输方法和装置
CN106789542A (zh) * 2017-03-03 2017-05-31 清华大学 一种云数据中心安全服务链的实现方法
US20180351819A1 (en) * 2017-05-31 2018-12-06 Cisco Technology, Inc. Semantic analysis to detect shadowing of rules in a model of network intents
CN108322433A (zh) * 2017-12-18 2018-07-24 中国软件与技术服务股份有限公司 一种基于流检测的网络安全检测方法
CN108881207A (zh) * 2018-06-11 2018-11-23 中国人民解放军战略支援部队信息工程大学 基于安全服务链的网络安全服务架构及其实现方法
CN108900541A (zh) * 2018-08-10 2018-11-27 哈尔滨工业大学(威海) 一种针对云数据中心sdn安全态势感知系统及方法
CN109218324A (zh) * 2018-09-28 2019-01-15 山东超越数控电子股份有限公司 一种基于流量统计的扩展访问控制方法
CN109379390A (zh) * 2018-12-25 2019-02-22 中国电子科技网络信息安全有限公司 一种基于全流量的网络安全基线生成方法
CN109981355A (zh) * 2019-03-11 2019-07-05 北京网御星云信息技术有限公司 用于云环境的安全防御方法及系统、计算机可读存储介质

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
MUHAMMAD ASRAR ASHRAF: "A Heterogeneous Service-Oriented Deep Packet Inspection and Analysis Framework for Traffic-Aware Network Management and Security Systems", 《IEEE ACCESS》 *
张奇: "基于SDN/NFV的安全服务链自动编排部署框架", 《计算机系统应用》 *
沈卫超: "网络流量统计与安全审计系统的设计与实现", 《中国工程物理研究院科技年报(2001)》 *
魏志军: "网络动态安全组件构建研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257463A (zh) * 2020-09-11 2022-03-29 北京金山云网络技术有限公司 一种计费方法、装置、电子设备和计算机可读存储介质
CN112910705A (zh) * 2021-02-02 2021-06-04 杭州安恒信息技术股份有限公司 网络流量编排的方法、设备和存储介质
CN112910705B (zh) * 2021-02-02 2023-04-07 杭州安恒信息技术股份有限公司 网络流量编排的方法、设备和存储介质
CN114244576A (zh) * 2021-11-24 2022-03-25 中盈优创资讯科技有限公司 一种云环境下的流量防护方法及装置

Also Published As

Publication number Publication date
CN110311838B (zh) 2021-05-04

Similar Documents

Publication Publication Date Title
US11765057B2 (en) Systems and methods for performing end-to-end link-layer and IP-layer health checks between a host machine and a network virtualization device
CN106375384B (zh) 一种虚拟网络环境中镜像网络流量的管理系统和控制方法
EP2989749B1 (en) Network resource monitoring
CN104350467B (zh) 用于使用sdn的云安全性的弹性实行层
CN105591978B (zh) 基于网络的服务功能链接
CN110311838A (zh) 一种安全服务流量统计的方法及装置
US9647904B2 (en) Customer-directed networking limits in distributed systems
US20170272331A1 (en) Centralized resource usage visualization service for large-scale network topologies
US20170006082A1 (en) Software Defined Networking (SDN) Orchestration by Abstraction
CN108259216A (zh) 网络服务应用和客户意识的虚拟化网络功能放置
EP2774048B1 (en) Affinity modeling in a data center network
CN108696458A (zh) 包括逻辑交换机的网络交换机系统
CN107896195A (zh) 服务链编排方法、装置及服务链拓扑结构
US20130108259A1 (en) Affinity modeling in a data center network
CN108093014A (zh) 一种资源监控方法及装置
CN109462534A (zh) 区域互联控制器、区域互联控制方法以及计算机存储介质
US20160315809A1 (en) METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR MULTI-LAYER ORCHESTRATION IN SOFTWARE DEFINED NETWORKS (SDNs)
EP2989545A1 (en) Defining interdependent virtualized network functions for service level orchestration
CN103475722A (zh) 一种业务协同平台实现系统
CN105391635A (zh) 一种基于sdn的网络虚拟化方法
CN109413069A (zh) 基于区块链的虚拟网站防火墙的应用方法及装置
KR101841026B1 (ko) 최적 경로 설정을 위한 서비스 기능 체이닝 네트워크 시스템
CN105429820B (zh) 基于软件定义网络的深度包检测系统及方法
CN107919975A (zh) 一种业务资源分配方法和装置
CN107210969A (zh) 一种基于软件定义网络的数据处理方法及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Applicant after: NSFOCUS Technologies Group Co.,Ltd.

Applicant after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Applicant before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Applicant before: NSFOCUS TECHNOLOGIES Inc.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant