CN110602119A - 病毒防护方法、装置及系统 - Google Patents
病毒防护方法、装置及系统 Download PDFInfo
- Publication number
- CN110602119A CN110602119A CN201910890601.7A CN201910890601A CN110602119A CN 110602119 A CN110602119 A CN 110602119A CN 201910890601 A CN201910890601 A CN 201910890601A CN 110602119 A CN110602119 A CN 110602119A
- Authority
- CN
- China
- Prior art keywords
- virus
- flow
- switch
- wall
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种病毒防护方法、装置及系统,涉及网络安全技术领域。所述病毒防护方法包括:基于病毒特征库获得病毒特征流表;将所述病毒特征流表发送至交换机,以使所述交换机基于所述病毒特征流表确定经过所述交换机的流量的特征是否命中病毒特征流表,以识别所述流量是否安全。该病毒防护方法通过SDN控制器将病毒特征库转换为病毒特征表,以使每个交换机基于病毒特征表进行流量安全性判定,从而实现全网病毒防护,提高安全性。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种病毒防护方法、装置及系统。
背景技术
伴随着云计算及其相关业务的发展,服务器的应用需求产生了爆炸性的增长。受制于空间、能源等相关因素的影响,单纯使用物理服务器已经无法满足使用需求的增长。同时,单一物理服务器所具有的高运算能力也使得它可以承担更多的负载,于是以服务器虚拟化为代表的虚拟化技术日益成为主流。利用虚拟化软件创建的虚拟机,用户所需的资源可以被动态地分配,实现建立、删除、移动、变更等灵活的操作。横向数据流量的增加和变化,与之相应的网络资源也需要能根据流量模式的变化做及时调整。但是传统的网络架构模型已经无法完成这种灵活多变的应用,使用和修改配置维护量都大量增加,SDN的分离网络的控制平面和转发平面,实现网络状态的集中控制,支持灵活的软件编程的理念刚好能切合云计算的这一潮流,解决配合云计算的网络问题,会逐渐取代传统网络部署,成为主流。
但是在SDN网络环境下,现有的病毒防护技术还是依赖传统方式解决,传统的防毒墙部署方式主要将防毒墙部署在网络边界或终端主机上,未部署防毒墙的网络部分或终端主机则不在防毒墙的保护范围中,存在病毒防护不全面,安全性较低的问题。
发明内容
有鉴于此,本申请实施例的目的在于提供一种病毒防护方法、装置及系统,以改善现有技术中存在的病毒防护不全面,安全性较低问题。
本申请实施例提供了一种病毒防护方法,应用于SDN控制器,所述方法包括:基于病毒特征库获得病毒特征流表;将所述病毒特征流表发送至交换机,以使所述交换机基于所述病毒特征流表确定经过所述交换机的流量是否命中病毒特征流表,以识别所述流量是否安全。
在上述实现方式中,通过SDN控制器将病毒特征库转换为病毒特征流表,以使全网络中的交换机基于该病毒特征流表判定流量的安全性,从而保障了与SDN控制器通信连接的所有交换机的流量安全,不需要在全网所有边缘节点、边界节点或所有终端主机上进行病毒防护部署也能保证病毒防护的全面性,从而提高了网络安全性。
可选地,所述基于病毒特征库获得病毒特征流表,包括:基于所述病毒特征库中的病毒特征信息,反向解析出病毒特征IP报文信息;基于所述病毒特征IP报文信息生成所述病毒特征流表。
在上述实现方式中,采用反向解析方式获得病毒特征IP报文信息,再生成病毒特征流表,以进行更加全面、准确的病毒检测。
可选地,所述方法还包括:接收所述交换机发送的病毒流表命中信息,所述病毒流表命中信息用于表示经过所述交换机的流量命中的病毒特征;接收所述防毒墙发送来的病毒查杀结果,所述病毒查杀结果用于表示所述流量是否安全,并包含病毒样本信息;在所述病毒查杀结果表示所述流量安全时,更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率;在所述病毒查杀结果表示所述流量不安全时,确定所述病毒样本信息是否与所述流量命中的病毒特征一致;若所述病毒样本信息与所述流量命中的病毒特征一致,更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率;若所述病毒样本信息与所述流量命中的病毒特征不一致,基于所述病毒样本信息更新所述病毒特征库,并更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率。
在上述实现方式中,基于病毒特征的命中情况对病毒特征的误报率进行实时更新,同时基于病毒样本信息对病毒特征库进行实时更新,保证了病毒防护的全面性和时效性,进一步提高了病毒防护安全性,也方便用户可以获取病毒防护的最新情况。
本申请实施例还提供了一种病毒防护方法,应用于交换机,所述方法包括:确定经过所述交换机的流量是否命中病毒特征流表;在所述流量命中所述病毒特征流表时,将所述流量导流至防毒墙,以使所述防毒墙对所述流量进行病毒查杀;接收并转发所述防毒墙发送的经过病毒查杀后的所述流量;在所述流量未命中所述病毒特征流表时,对所述流量进行转发。
在上述实现方式中,通过交换机将命中病毒特征流表的流量发送至防毒墙查杀病毒后转发或将未命中病毒特征流表的流量直接转发,保证了经过每个交换机的所有流量的安全性,提高了病毒防护的全面性和安全性。
可选地,所述对所述流量进行转发,包括:与所述防毒墙建立导流通道;通过所述导流通道将所述流量导流至所述防毒墙;在接收所述防毒墙传输来的经过病毒查杀后的所述流量后,所述方法还包括:撤销所述导流通道。
在上述实现方式中,通过防毒墙与交换机之间的导流通道进行流量传输,并在完成流量传输后撤销该流量通道,有效防止了包含病毒的流量的误传,从而提高了安全性。
本申请实施例还提供了一种病毒防护方法,安装有防毒墙的电子设备,所述方法包括:通过所述防毒墙接收交换机发送的流量;通过所述防毒墙对所述流量进行病毒查杀;通过所述防毒墙将经过病毒查杀后的流量发送至所述交换机。
在上述实现方式中,通过防毒墙对所有交换机发送来的流量进行病毒查杀,不需要在网络的各个边缘节点或边界节点都部署防毒软件就能对网络中的病毒进行全面查杀,从而实现了更加全面、准确的病毒防护。
可选地,所述方法还包括:通过所述防毒墙向SDN控制器发送所述流量的病毒查杀结果,所述病毒查杀结果用于表示所述流量是否安全,并在所述病毒查杀结果为不安全时包含病毒样本信息。
在上述实现方式中,防毒墙在完成病毒查杀后向SDN控制器反馈病毒查杀结果,以使SDN控制器基于该病毒查杀结果实时更新病毒防护策略,保证病毒防护的时效性。
本申请实施例提供了一种病毒防护装置,所述装置包括:流表获取模块,用于基于病毒特征库获得病毒特征流表;流表发送模块,用于将所述病毒特征流表发送至交换机,以使所述交换机基于所述病毒特征流表确定经过所述交换机的流量是否命中病毒特征流表,以识别所述流量是否安全。
在上述实现方式中,通过SDN控制器将病毒特征库转换为病毒特征流表,以使全网络中的交换机基于该病毒特征流表判定流量的安全性,从而保障了与SDN控制器通信连接的所有交换机的流量安全,不需要在全网所有边缘节点、边界节点或所有终端主机上进行病毒防护部署也能保证病毒防护的全面性,从而提高了网络安全性。
可选地,所述流表获取模块具体用于:基于所述病毒特征库中的病毒特征信息,反向解析出病毒特征IP报文信息;基于所述病毒特征IP报文信息生成所述病毒特征流表。
在上述实现方式中,采用反向解析方式获得病毒特征IP报文信息,再生成病毒特征流表,以进行更加全面、准确的病毒检测。
可选地,所述装置还包括特征反馈模块,用于:接收所述交换机发送的病毒流表命中信息,所述病毒流表命中信息用于表示经过所述交换机的流量命中的病毒特征;接收所述防毒墙发送来的病毒查杀结果,所述病毒查杀结果用于表示所述流量是否安全,并包含病毒样本信息;在所述病毒查杀结果表示所述流量安全时,更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率;在所述病毒查杀结果表示所述流量不安全时,确定所述病毒样本信息是否与所述流量命中的病毒特征一致;若所述病毒样本信息与所述流量命中的病毒特征一致,更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率;若所述病毒样本信息与所述流量命中的病毒特征不一致,基于所述病毒样本信息更新所述病毒特征库,并更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率。
在上述实现方式中,基于病毒特征的命中情况对病毒特征的误报率进行实时更新,同时基于病毒样本信息对病毒特征库进行实时更新,保证了病毒防护的全面性和时效性,进一步提高了病毒防护安全性。
本申请实施例还提供了一种病毒防护装置,所述装置包括:命中判定模块,用于确定经过所述交换机的流量是否命中病毒特征流表;导流模块,用于在所述流量命中所述病毒特征流表时,将所述流量导流至防毒墙,以使所述防毒墙对所述流量进行病毒查杀;查杀流量转发模块,用于接收并转发所述防毒墙发送的经过病毒查杀后的所述流量;安全流量转发模块,用于在所述流量未命中所述病毒特征流表时,对所述流量进行转发。
在上述实现方式中,通过交换机将命中病毒特征流表的流量发送至防毒墙查杀病毒后转发或将未命中病毒特征流表的流量直接转发,保证了经过每个交换机的所有流量的安全性,提高了病毒防护的全面性和安全性。
可选地,所述安全流量转发模块具体用于:与所述防毒墙建立导流通道;通过所述导流通道将所述流量导流至所述防毒墙;在接收所述防毒墙传输来的经过病毒查杀后的所述流量后,撤销所述导流通道。
在上述实现方式中,通过防毒墙与交换机之间的导流通道进行流量传输,并在完成流量传输后撤销该流量通道,有效防止了包含病毒的流量的误传,从而提高了安全性。
本申请实施例还提供了一种病毒防护装置,所述装置包括:流量接收模块,用于通过所述防毒墙接收交换机发送的流量;病毒查杀模块,用于通过所述防毒墙对所述流量进行病毒查杀;流量发送模块,用于通过所述防毒墙将经过病毒查杀后的流量发送至所述交换机。
在上述实现方式中,通过防毒墙对所有交换机发送来的流量进行病毒查杀,不需要在网络的各个边缘节点或边界节点都部署防毒软件就能对网络中的病毒进行全面查杀,从而实现了更加全面、准确的病毒防护。
可选地,所述装置还包括病毒样本反馈模块,用于通过所述防毒墙向SDN控制器发送所述流量的病毒查杀结果,所述病毒查杀结果用于表示所述流量是否安全,并在所述病毒查杀结果为不安全时包含病毒样本信息。
在上述实现方式中,防毒墙在完成病毒查杀后向SDN控制器反馈病毒查杀结果,以使SDN控制器基于该病毒查杀结果实时更新病毒防护策略,保证病毒防护的时效性。
本申请实施例还提供了一种病毒防护方法,应用于病毒防护系统,所述系统包括SDN控制器、交换机和防毒墙:所述SDN控制器基于病毒特征库获得病毒特征流表,将所述病毒特征流表发送至交换机;所述交换机确定经过所述交换机的流量是否命中所述病毒特征流表;所述交换机在所述流量命中所述病毒特征流表时,将所述流量导流至防毒墙;所述防毒墙对所述流量进行病毒查杀,并将经过病毒查杀后的流量发送至所述交换机;所述交换机接收并转发所述防毒墙发送的经过病毒查杀后的所述流量;所述交换机在所述流量未命中所述病毒特征流表时,对所述流量进行转发。
本申请实施例还提供了一种病毒防护系统,所述系统包括SDN控制器、交换机和防毒墙:所述SDN控制器包括上述的病毒防护装置;所述交换机包括上述的的病毒防护装置;所述防毒墙包括上述的病毒防护装置。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种应用于SDN控制器的病毒防护方法的流程示意图。
图2为本申请实施例提供的一种病毒特征流表转换步骤的流程示意图。
图3为本申请实施例提供的一种病毒特征命中情况及误报率反馈步骤的流程示意图。
图4为本申请实施例提供的一种应用于交换机的病毒防护方法的流程示意图。
图5为本申请实施例提供的一种应用于防毒设备的病毒防护方法的流程示意图。
图6为本申请实施例提供的一种应用于SDN控制器的病毒防护装置的模块示意图。
图7为本申请实施例提供的一种应用于交换机的病毒防护装置的模块示意图。
图8为本申请实施例提供的一种应用于防毒设备的病毒防护装置的模块示意图。
图标:40-病毒防护装置;41-流表获取模块;42-流表发送模块;50-病毒防护装置;51-命中判定模块;52-导流模块;53-查杀流量转发模块;54-安全流量转发模块;60-病毒防护装置;61-命中判定模块;62-导流模块;63-查杀流量转发模块;64-安全流量转发模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
经本申请人研究发现,在SDN网络环境下,如果还是依赖现有技术中的传统方式通过边缘节点或者边界节点形成病毒防护体系,如果应为某些终端主机或者某些边界节点未进行病毒防护部署,将导致病毒在全网中传播,必然会严重影响网络病毒防护安全性。
为了解决上述问题,本申请实施例提供了一种病毒防护方法,其应用于SDN控制器。本实施例中的SDN控制器可以是指设置有SDN控制器的软件的电子设备,作为软件的SDN控制器是软件定义网络中的应用程序,负责流量控制以确保智能网络。请参考图1,图1为本申请实施例提供的一种应用于SDN控制器的病毒防护方法的流程示意图,所述病毒防护方法的具体步骤可以如下:
步骤S12:基于病毒特征库获得病毒特征流表。
病毒特征库就是一个数据库,任何一种杀毒软件都是根据病毒的特征来判断文件是否为病毒和是否已经感染病毒的,而这些病毒的特征会被记录在一个文件中,这个文件就是病毒特征库。可选地,本实施例中的病毒特征库可以通过网络从其他网络设备或数据库获取并实时更新,也可以是从本地获取。
应当理解的是,SDN控制器将病毒特征库转换为病毒特征流表可以是通过安装在SDN控制器中的防病毒应用进行。
具体地,请参考图2,图2为本申请实施例提供的一种病毒特征流表转换步骤的流程示意图,上述病毒特征流表转换步骤具体可以如下:
步骤S12.1:基于病毒特征库中的病毒特征信息,反向解析出病毒特征IP报文信息。
病毒特征库中的病毒特征信息可以是IP报文任意字段的特定信息,基于一种或多种病毒特征信息生成一个IP报文。病毒特征库中除了病毒特征信息,还包括与病毒特征对应的属性信息,属性信息包括误报率,还可以包括风险级别、危险级别和病毒类型中的一种或多种。
步骤S12.2:基于病毒特征IP报文信息生成病毒特征流表。
可选地,本实施例中的病毒特征流表可以为OpenFlow流表,流表可被视作是OpenFlow对网络设备的数据转发功能的一种抽象。在传统网络设备中,交换机和路由器的数据转发需要依赖设备中保存的二层MAC(Media Access Control,媒体访问控制)地址转发表或者三层IP(Internet Protocol,互联网协议)地址路由表,而OpenFlow交换机中使用的流表在流表项中整合了网络中各个层次的网络配置信息,从而在进行数据转发时可以使用更丰富的规则,其中,每个流表项就是一个转发或处理规则,进入交换机的数据包通过查询流表来获转发的目的端口及转发或处理规则。
进一步地,流表项由头域、计数器和操作组成,头域是个十元组,是流表项的标识,计数器用于计数流表项的统计数据,操作标明了与该流表项匹配的数据包应当执行的操作。头域中用于和交换机接收到的数据包进行匹配的元组涵盖了OSI网络模型中第二至第四层的网络配置信息,其中每一个元组中的数值可以是一个确定的值或者是“ANY”以支持对任意值的匹配。因此,本实施例基于病毒特征IP报文信息生成的病毒特征流表的头域中的网络配置信息与该病毒特征相对应。
步骤S14:将病毒特征流表发送至交换机,以使交换机基于病毒特征流表确定经过交换机的流量是否命中病毒特征流表,以识别流量是否安全。
应当理解的是,本实施例中的交换机可以为OpenFlow交换机,OpenFlow交换机即为支持OpenFlow协议的交换机设备。其中,OpenFlow是一种网络通信协议,属于数据链路层,其能够控制网上交换机或路由器的转发平面,借此改变网络数据包所走的网络路径。
本实施例通过步骤S12-S14,采用SDN控制器将病毒特征库转换为病毒特征流表发送至全网的交换机,从而使每个交换机均能基于包含完整病毒特征信息的病毒特征流表判定流量的安全性,保证了病毒防护的全面性,从而提高了SDN网络安全性。
作为一种可选的实施方式,上述病毒防护方法还可以对病毒特征的命中情况进行反馈,以确保病毒防护的实时更新速度。请参考图3,图3为本申请实施例提供的一种病毒特征命中情况及误报率反馈步骤的流程示意图,其具体步骤可以如下:
步骤S16.1:接收交换机发送的病毒流表命中信息。
病毒流表命中信息用于表示经过交换机的流量命中的病毒特征。
步骤S16.2:接收防毒墙发送来的病毒查杀结果。
病毒查杀结果用于表征流量是否安全,并包含病毒样本信息。该病毒样本信息在流量安全时可以为空,在流量不安全时,病毒样本信息可以包含有防毒墙从该流量中查杀出的病毒的特征。
步骤S16.3:在病毒查杀结果表示流量安全时,更新所述病毒特征库中的流量命中的病毒特征对应的误报率。
在该流量命中病毒特征流表中的某一流表项对应的病毒特征,但防毒墙对该流量的病毒查杀结果显示该流量安全时,说明该病毒特征出现了误报,则更新该病毒特征对应的误报率。
步骤S16.4:在病毒查杀结果表示流量不安全时,确定病毒样本信息是否与流量命中的病毒特征一致。
步骤S16.5:若病毒样本信息与流量命中的病毒特征一致,更新所述病毒特征库中的流量命中的病毒特征对应的误报率。
应当理解的是,防毒墙对该流量进行病毒查杀后确定的该流量中的病毒特征不一定与命中的病毒特征流表中的病毒特征为同一个,因此本实施例需要通过上述步骤S16.4确定其误报率。
步骤S16.6:若病毒样本信息与流量命中的病毒特征不一致,基于病毒样本信息更新病毒特征库,并更新所述病毒特征库中的流量命中的病毒特征对应的误报率。
由于防毒墙检测出的病毒特征有可能是病毒特征库中不存在的、新的病毒的特征,因此本实施例通过上述步骤S16.6可以保持对病毒特征库的持续更新,以保证病毒防护的时效性。
为了配设上述病毒防护方法,本实施例还提供了一种应用于交换机的病毒防护方法,请参考图4,图4为本申请实施例提供的一种应用于交换机的病毒防护方法的流程示意图,该方法的具体步骤可以如下:
步骤S22:确定经过交换机的流量是否命中病毒特征流表。
应当理解的是,本实施例中的交换机可以为OpenFlow交换机,且其与终端设备连接,从终端设备处获取该流量。
步骤S24:在流量命中病毒特征流表时,将流量导流至防毒墙,以使防毒墙对流量进行病毒查杀。
应当理解的是,一台交换机可以存储有一个或多个病毒特征流表,一个病毒特征流表中可以包含一条或多条流表项,不同的流表项具有不同的优先级,网络数据会基于优先级依次与流表项进行匹配。具体地,通常根据网络数据的类型、分组头的字段例如源MAC地址、目的MAC地址、源IP地址、目的IP地址等进行匹配,也可以通过网络数据的入端口或元数据信息来进行数据分组的匹配,一个流表项中可以同时存在多个匹配项,一个数据分组需要同时匹配流表项中所有匹配项才能匹配该流表项。
可选地,为了防止病毒扩散,本实施例在进行流量转发时,可以在交换机和安装有防毒墙的防毒设备间建立导流通道,通过该导流通道发送命中病毒特征的流量。
步骤S26:接收并转发防毒墙发送的经过病毒查杀后的流量。
可选地,在接收到防毒墙返回的流量后,应当撤销导流通道,以释放资源。
步骤S28:在流量未命中病毒特征流表时,对流量进行转发。
本实施例通过上述步骤S22-S28,采用交换机将命中病毒特征流表的流量发送至防毒墙查杀病毒后转发或将未命中病毒特征流表的流量直接转发,保证了经过每个交换机的所有流量的安全性,提高了病毒防护的全面性和安全性。
进一步地,本实施例还提供了一种应用于安装有防毒墙的防毒设备的病毒防护方法,请参考图5,图5为本申请实施例提供的一种应用于防毒设备的病毒防护方法的流程示意图。该方法的具体步骤可以如下:
步骤S32:通过防毒墙接收交换机发送的流量。
其中,防毒墙即通常所说的防病毒网关,其对本机内部文件进行病毒查杀,检测文件本身是否携带病毒,检查的是文件,防毒墙的作用在于对所监控的协议通讯中所带文件中是否含有特定的病毒特征。
步骤S34:通过防毒墙对流量进行病毒查杀。
步骤S36:通过防毒墙将经过病毒查杀后的流量发送至交换机。
可选地,为了通过SDN控制器对病毒查杀结果进行验证,并基于病毒特征更新病毒特征库,防毒设备还可以通过防毒墙向SDN控制器发送流量的病毒查杀结果。病毒查杀结果用于表示流量是否安全,并在病毒查杀结果为不安全时包含病毒样本信息。
本实施例通过上述步骤S32-S36,采用防毒墙对所有交换机发送来的流量进行病毒查杀,不需要在网络的各个边缘节点或边界节点都部署防毒软件就能对网络中的病毒进行全面查杀,从而实现了更加全面、准确的病毒防护。
为了更好地执行应用于SDN控制器的病毒防护方法,本申请实施例还提供了一种病毒防护装置40。请参考图6,图6为本申请实施例提供的一种应用于SDN控制器的病毒防护装置的模块示意图。
病毒防护装置40包括:
流表获取模块41,用于基于病毒特征库获得病毒特征流表;
流表发送模块42,用于将病毒特征流表发送至交换机,以使交换机基于病毒特征流表确定经过交换机的流量是否命中病毒特征流表,以识别流量是否安全。
可选地,流表获取模块41具体用于:基于病毒特征库中的病毒特征信息,反向解析出病毒特征IP报文信息;基于病毒特征IP报文信息生成病毒特征流表。
可选地,病毒防护装置40还可以包括特征反馈模块,该模块用于:接收交换机发送的病毒流表命中信息,病毒流表命中信息用于表示经过交换机的流量命中的病毒特征;接收防毒墙发送来的病毒查杀结果,病毒查杀结果用于表示流量是否安全,并包含病毒样本信息;在病毒查杀结果表示流量安全时,更新所述病毒特征库中的流量命中的病毒特征对应的误报率;在病毒查杀结果表示流量不安全时,确定病毒样本信息是否与流量命中的病毒特征一致;若病毒样本信息与流量命中的病毒特征一致,更新所述病毒特征库中的流量命中的病毒特征对应的误报率;若病毒样本信息与流量命中的病毒特征不一致,基于病毒样本信息更新病毒特征库,并更新所述病毒特征库中的流量命中的病毒特征对应的误报率。
为了更好地执行应用于交换机的病毒防护方法,本申请实施例还提供了一种病毒防护装置50。请参考图7,图7为本申请实施例提供的一种应用于交换机的病毒防护装置的模块示意图。
病毒防护装置50包括:
命中判定模块51,用于确定经过交换机的流量是否命中病毒特征流表;
导流模块52,用于在流量命中病毒特征流表时,将流量导流至防毒墙,以使防毒墙对流量进行病毒查杀;
查杀流量转发模块53,用于接收并转发防毒墙发送的经过病毒查杀后的流量;
安全流量转发模块54,用于在流量未命中病毒特征流表时,对流量进行转发。
可选地,安全流量转发模块54具体用于:与防毒墙建立导流通道;通过导流通道将流量导流至防毒墙;在接收防毒墙传输来的经过病毒查杀后的流量后,撤销导流通道。
为了更好地执行应用于防毒设备的病毒防护方法,本申请实施例还提供了一种病毒防护装置60。请参考图8,图8为本申请实施例提供的一种应用于防毒设备的病毒防护装置的模块示意图。
病毒防护装置60包括:
流量接收模块61,用于通过防毒墙接收交换机发送的流量;
病毒查杀模块62,用于通过防毒墙对流量进行病毒查杀;
流量发送模块63,用于通过防毒墙将经过病毒查杀后的流量发送至交换机。
本申请实施例还提供了一种病毒防护方法,应用于病毒防护系统,所述病毒防护系统包括SDN控制器、交换机和防毒墙,其中,防毒墙可以是安装有防毒墙软件的电子设备。该病毒防护方法可以包括如下步骤:
SDN控制器基于病毒特征库获得病毒特征流表,将病毒特征流表发送至交换机;
交换机确定经过交换机的流量是否命中病毒特征流表;
交换机在流量命中所述病毒特征流表时,将流量导流至防毒墙;
防毒墙对流量进行病毒查杀,并将经过病毒查杀后的流量发送至交换机;
交换机接收并转发防毒墙发送的经过病毒查杀后的流量;
交换机在流量未命中所述病毒特征流表时,对流量进行转发。
本实施例还提供了一种病毒防护系统,其包括:SDN控制器、交换机和防毒墙;
SDN控制器包括上述的病毒防护装置;
交换机包括上述的病毒防护装置;
防毒墙包括上述的病毒防护装置。
本申请实施例还提供了一种存储介质,所述存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本实施例提供的病毒防护方法中的任一步骤。
综上所述,本申请实施例提供了一种病毒防护方法、装置及系统,其中应用于SDN控制器的病毒防护方法包括:基于病毒特征库获得病毒特征流表;将病毒特征流表发送至交换机,以使交换机基于病毒特征流表确定经过交换机的流量的特征是否命中病毒特征流表,以识别流量是否安全。
在上述实现方式中,通过SDN控制器将病毒特征库转换为病毒特征流表,以使全网络中的交换机基于该病毒特征流表判定流量的安全性,从而保障了与SDN控制器通信连接的所有交换机的流量安全,不需要在全网所有边缘节点、边界节点或所有终端主机上进行病毒防护部署也能保证病毒防护的全面性,从而提高了网络安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。因此本实施例还提供了一种存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RanDOm AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (12)
1.一种病毒防护方法,其特征在于,应用于SDN控制器,所述方法包括:
基于病毒特征库获得病毒特征流表;
将所述病毒特征流表发送至交换机,以使所述交换机基于所述病毒特征流表确定经过所述交换机的流量是否命中病毒特征流表,以识别所述流量是否安全。
2.根据权利要求1所述的方法,其特征在于,所述基于病毒特征库获得病毒特征流表,包括:
基于所述病毒特征库中的病毒特征信息,反向解析出病毒特征IP报文信息;
基于所述病毒特征IP报文信息生成所述病毒特征流表。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述交换机发送的病毒流表命中信息,所述病毒流表命中信息用于表示经过所述交换机的流量命中的病毒特征;
接收所述防毒墙发送来的病毒查杀结果,所述病毒查杀结果用于表示所述流量是否安全,并包含病毒样本信息;
在所述病毒查杀结果表示所述流量安全时,更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率;
在所述病毒查杀结果表示所述流量不安全时,确定所述病毒样本信息是否与所述流量命中的病毒特征一致;
若所述病毒样本信息与所述流量命中的病毒特征一致,更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率;
若所述病毒样本信息与所述流量命中的病毒特征不一致,基于所述病毒样本信息更新所述病毒特征库,并更新所述病毒特征库中的所述流量命中的病毒特征对应的误报率。
4.一种病毒防护方法,其特征在于,应用于交换机,所述方法包括:
确定经过所述交换机的流量是否命中病毒特征流表;
在所述流量命中所述病毒特征流表时,将所述流量导流至防毒墙,以使所述防毒墙对所述流量进行病毒查杀;
接收并转发所述防毒墙发送的经过病毒查杀后的所述流量;
在所述流量未命中所述病毒特征流表时,对所述流量进行转发。
5.根据权利要求4所述的方法,其特征在于,所述对所述流量进行转发,包括:
与所述防毒墙建立导流通道;
通过所述导流通道将所述流量导流至所述防毒墙;
在接收所述防毒墙传输来的经过病毒查杀后的所述流量后,所述方法还包括:
撤销所述导流通道。
6.一种病毒防护方法,其特征在于,应用于安装有防毒墙的电子设备,所述方法包括:
通过所述防毒墙接收交换机发送的流量;
通过所述防毒墙对所述流量进行病毒查杀;
通过所述防毒墙将经过病毒查杀后的流量发送至所述交换机。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
通过所述防毒墙向SDN控制器发送所述流量的病毒查杀结果,所述病毒查杀结果用于表示所述流量是否安全,并在所述病毒查杀结果为不安全时包含病毒样本信息。
8.一种病毒防护装置,其特征在于,所述装置包括:
流表获取模块,用于基于病毒特征库获得病毒特征流表;
流表发送模块,用于将所述病毒特征流表发送至交换机,以使所述交换机基于所述病毒特征流表确定经过所述交换机的流量是否命中病毒特征流表,以识别所述流量是否安全。
9.一种病毒防护装置,其特征在于,所述装置包括:
命中判定模块,用于确定经过所述交换机的流量是否命中病毒特征流表;
导流模块,用于在所述流量命中所述病毒特征流表时,将所述流量导流至防毒墙,以使所述防毒墙对所述流量进行病毒查杀;
查杀流量转发模块,用于接收并转发所述防毒墙发送的经过病毒查杀后的所述流量;
安全流量转发模块,用于在所述流量未命中所述病毒特征流表时,对所述流量进行转发。
10.一种病毒防护装置,其特征在于,所述装置包括:
流量接收模块,用于通过所述防毒墙接收交换机发送的流量;
病毒查杀模块,用于通过所述防毒墙对所述流量进行病毒查杀;
流量发送模块,用于通过所述防毒墙将经过病毒查杀后的流量发送至所述交换机。
11.一种病毒防护方法,其特征在于,应用于病毒防护系统,所述系统包括SDN控制器、交换机和防毒墙;
所述SDN控制器基于病毒特征库获得病毒特征流表,将所述病毒特征流表发送至交换机;
所述交换机确定经过所述交换机的流量是否命中所述病毒特征流表;
所述交换机在所述流量命中所述病毒特征流表时,将所述流量导流至防毒墙;
所述防毒墙对所述流量进行病毒查杀,并将经过病毒查杀后的流量发送至所述交换机;
所述交换机接收并转发所述防毒墙发送的经过病毒查杀后的所述流量;
所述交换机在所述流量未命中所述病毒特征流表时,对所述流量进行转发。
12.一种病毒防护系统,其特征在于,包括:所述系统包括SDN控制器、交换机和防毒墙;
所述SDN控制器包括权利要求8所述的病毒防护装置;
所述交换机包括权利要求9所述的病毒防护装置;
所述防毒墙包括权利要求10所述的病毒防护装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910890601.7A CN110602119A (zh) | 2019-09-19 | 2019-09-19 | 病毒防护方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910890601.7A CN110602119A (zh) | 2019-09-19 | 2019-09-19 | 病毒防护方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110602119A true CN110602119A (zh) | 2019-12-20 |
Family
ID=68861537
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910890601.7A Pending CN110602119A (zh) | 2019-09-19 | 2019-09-19 | 病毒防护方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110602119A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1859268A (zh) * | 2006-02-20 | 2006-11-08 | 华为技术有限公司 | 一种后台进行正反向解析报文的方法和系统 |
CN103067364A (zh) * | 2012-12-21 | 2013-04-24 | 华为技术有限公司 | 病毒检测方法及设备 |
CN103065088A (zh) * | 2011-09-20 | 2013-04-24 | 卡巴斯基实验室封闭式股份公司 | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 |
CN103684922A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 |
US20140215074A1 (en) * | 2013-01-28 | 2014-07-31 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for placing services in a network |
CN104468633A (zh) * | 2014-12-31 | 2015-03-25 | 蓝盾信息安全技术股份有限公司 | 一种sdn南向安全代理产品 |
CN106254338A (zh) * | 2016-07-29 | 2016-12-21 | 杭州华三通信技术有限公司 | 报文检测方法以及装置 |
-
2019
- 2019-09-19 CN CN201910890601.7A patent/CN110602119A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1859268A (zh) * | 2006-02-20 | 2006-11-08 | 华为技术有限公司 | 一种后台进行正反向解析报文的方法和系统 |
CN103065088A (zh) * | 2011-09-20 | 2013-04-24 | 卡巴斯基实验室封闭式股份公司 | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 |
CN103067364A (zh) * | 2012-12-21 | 2013-04-24 | 华为技术有限公司 | 病毒检测方法及设备 |
US20140215074A1 (en) * | 2013-01-28 | 2014-07-31 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for placing services in a network |
CN103684922A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 |
CN104468633A (zh) * | 2014-12-31 | 2015-03-25 | 蓝盾信息安全技术股份有限公司 | 一种sdn南向安全代理产品 |
CN106254338A (zh) * | 2016-07-29 | 2016-12-21 | 杭州华三通信技术有限公司 | 报文检测方法以及装置 |
Non-Patent Citations (1)
Title |
---|
韩斌 等: "《网络服务器配置与管理》", 31 March 2017 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
CN111294365B (zh) | 攻击流量防护系统、方法、装置、电子设备和存储介质 | |
US11558418B2 (en) | System for query injection detection using abstract syntax trees | |
Kholidy et al. | A risk mitigation approach for autonomous cloud intrusion response system | |
US8959643B1 (en) | Detecting malware infestations in large-scale networks | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
Schueller et al. | A hierarchical intrusion detection system using support vector machine for SDN network in cloud data center | |
CN108092979A (zh) | 一种防火墙策略处理方法及装置 | |
JP6408395B2 (ja) | ブラックリストの管理方法 | |
US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
Aldabbas et al. | A novel mechanism to handle address spoofing attacks in SDN based IoT | |
KR20090009622A (ko) | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 | |
EP3242240A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
CN111800419B (zh) | 一种SDN环境下DDoS攻击检测系统及方法 | |
Qiu et al. | Global Flow Table: A convincing mechanism for security operations in SDN | |
Joëlle et al. | Strategies for detecting and mitigating DDoS attacks in SDN: A survey | |
Aslam et al. | ONOS flood defender: An intelligent approach to mitigate DDoS attack in SDN | |
US11457021B2 (en) | Selective rate limiting via a hybrid local and remote architecture | |
CN117375942A (zh) | 基于节点清洗防范DDoS攻击的方法及装置 | |
WO2017176676A1 (en) | Graph-based fusing of heterogeneous alerts | |
CN110602119A (zh) | 病毒防护方法、装置及系统 | |
US20200021647A1 (en) | Method of P2P Botnet Detection Based on Netflow Sessions | |
Nesary et al. | vDNS: Securing DNS from amplification attacks | |
CN107888624B (zh) | 一种防护网络安全的方法和装置 | |
Li et al. | Development of WEB-based Automatic Detection Tool for Web Attack Traceability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |
|
RJ01 | Rejection of invention patent application after publication |