CN110740049A

CN110740049A - 一种sdn环境下安全防护部署的方法及装置

Info

Publication number: CN110740049A
Application number: CN201810796641.0A
Authority: CN
Inventors: 徐洁; 郝铮; 林昭文; 孙溢; 黄勇辉; 张林杰
Original assignee: Beijing University of Posts and Telecommunications; CETC 54 Research Institute
Current assignee: Beijing University of Posts and Telecommunications; CETC 54 Research Institute
Priority date: 2018-07-19
Filing date: 2018-07-19
Publication date: 2020-01-31
Anticipated expiration: 2038-07-19
Also published as: CN110740049B

Abstract

本申请实施例提供了一种SDN环境下安全防护部署的方法及装置，属于网络安全技术领域。所述方法包括：获取预设的各个目标安全功能，根据各个目标安全功能和每一安全应用程序包含的安全功能，从至少一个安全应用程序中确定安全应用程序的目标组合，目标组合满足每一目标安全功能，将目标组合中的安全应用程序发送至多个主机中的至少一个主机上，以使安全应用程序在其被发送至的主机上运行。采用本发明，可以提高安全防护部署的灵活性，降低安全防护部署成本。

Description

一种SDN环境下安全防护部署的方法及装置

技术领域

本申请涉及网络安全技术领域，特别是涉及一种SDN环境下安全防护部署的方法及装置。

背景技术

随着网络技术在社会各个领域的渗透，社会各种活动对计算机网络的依赖程度也越来越深，因此如何对网络进行安全防护，避免当前复杂多变且高持续性的网络攻击，一直是业界研究的重点。

现有的网络安全防护技术是基于传统的网络结构，安全防护部署是指技术人员将安全设备部署到网络中需要保护的环节处，例如，在内网与外网边界处部署防火墙，在核心交换机上部署入侵检测系统。当用户的安全防护需求发生改变时，需要技术人员将安全设备重新部署到网络中新环节处，例如用户需要防护的核心交换机发生改变，技术人员需要在新的核心交换机上部署入侵检测系统。

因此，现有的网络安全防护技术，需要技术人员进行安全防护部署，部署成本较高，而且当用户的安全防护需求发生改变时，需要技术人员将安全设备重新部署到网络中新的环节处，安全防护部署的灵活性较低。

发明内容

本申请实施例的目的在于提供一种SDN环境下安全防护部署的方法及装置，以实现提高安全防护部署的灵活性，降低安全防护部署成本。具体技术方案如下：

第一方面，提供了一种SDN环境下安全防护部署的方法，应用于软件定义网络SDN中的安全控制器，所述安全控制器存储有至少一个安全应用程序，所述SDN还包括多个主机，所述方法包括：

获取预设的各个目标安全功能；

根据所述各个目标安全功能和每一安全应用程序包含的安全功能，从所述至少一个安全应用程序中确定安全应用程序的目标组合，所述目标组合满足每一目标安全功能；

将所述目标组合中的安全应用程序发送至所述多个主机中的至少一个主机上，以使所述安全应用程序在其被发送至的主机上运行。

可选的，所述根据所述各个目标安全功能和每一安全应用程序包含的安全功能，从所述至少一个安全应用程序中确定安全应用程序的目标组合，包括：

根据所述各个目标安全功能、每一安全应用程序包含的安全功能和预设的程序选择规则，将从所述至少一个安全应用程序中选出的安全应用程序按照前缀树结构排列，得到各个节点表示安全应用程序的目标前缀树，并遍历所述目标前缀树每一路径，得到安全应用程序的各个组合，每一组合满足每一目标安全功能；

根据预设的各个资源参数、每一组合运行所需的各个资源参数和预设的组合选择规则，从所述各个组合中确定目标组合。

可选的，所述根据预设的各个资源参数、每一组合运行所需的各个资源参数和预设的组合选择规则，从所述各个组合中确定目标组合，包括：

从所述各个组合中确定各个资源参数与所述预设的各个资源参数相互匹配的组合；

针对每一确定的组合，根据所述预设的各个资源参数、该组合运行所需的各个资源参数和预设的各个资源参数的评分计算公式，计算该组合运行所需的各个资源参数的评分；

根据预设的各个资源参数评分的权重值、该组合运行所需的各个资源参数的评分和预设的加权计算公式，加权计算该组合的评分；

将确定的组合中评分最高的组合作为目标组合。

可选的，所述遍历所述目标前缀树每一路径，得到安全应用程序的各个组合，包括：

从根节点开始遍历所述目标前缀树每一路径，将每一路径上的安全应用程序按照遍历顺序排列，得到安全应用程序的各个组合，每一组合中的安全应用程序按照优先级从高到低排列；

或

从叶节点开始遍历所述目标前缀树每一路径，将每一路径上的安全应用程序按照遍历顺序排列，得到安全应用程序的各个组合，每一组合中的安全应用程序按照优先级从低到高排列；

所述将所述目标组合中的安全应用程序发送至所述多个主机中的至少一个主机上，包括：

将所述目标组合中优先级最高的安全应用程序作为目标应用程序；

获取每一主机当前的各个资源参数；

确定各个资源参数与所述目标应用程序运行所需的各个资源参数相互匹配的主机；

针对每一确定的主机，根据所述目标应用程序运行所需的各个资源参数、该主机当前的各个资源参数和预设的各个资源参数的评分计算公式，计算该主机各个资源参数的评分；

根据预设的各个资源参数评分的权重值、该主机各个资源参数评分和预设的加权计算公式，加权计算该主机的评分；

将确定的主机中评分最高的主机作为所述目标应用程序对应的主机；

将所述目标应用程序发送至所述目标应用程序对应的主机上，以使所述目标应用程序在所述目标应用程序对应的主机上运行；

将所述目标应用程序从所述目标组合中移除，并返回所述将所述目标组合中优先级最高的安全应用程序作为目标应用程序的步骤。

可选的，所述资源参数包括中央处理器CPU的个数、内存参数、网络时延、带宽中的一种或多种组合。

第二方面，提供了一种SDN环境下安全防护部署的装置，应用于软件定义网络SDN中的安全控制器，所述安全控制器存储有至少一个安全应用程序，所述SDN还包括多个主机，所述装置包括：

获取模块，用于获取预设的各个目标安全功能；

确定模块，用于根据所述各个目标安全功能和每一安全应用程序包含的安全功能，从所述至少一个安全应用程序中确定安全应用程序的目标组合，所述目标组合满足每一目标安全功能；

发送模块，用于将所述目标组合中的安全应用程序发送至所述多个主机中的至少一个主机上，以使所述安全应用程序在其被发送至的主机上运行。

可选的，所述确定模块，包括：

第一确定单元，用于根据所述各个目标安全功能、每一安全应用程序包含的安全功能和预设的程序选择规则，将从所述至少一个安全应用程序中选出的安全应用程序按照前缀树结构排列，得到各个节点表示安全应用程序的目标前缀树，并遍历所述目标前缀树每一路径，得到安全应用程序的各个组合，每一组合满足每一目标安全功能；

第二确定单元，用于根据预设的各个资源参数、每一组合运行所需的各个资源参数和预设的组合选择规则，从所述各个组合中确定目标组合。

可选的，所述第二确定单元，包括：

第一确定子单元，用于从所述各个组合中确定各个资源参数与所述预设的各个资源参数相互匹配的组合；

第一计算子单元，用于针对每一确定的组合，根据所述预设的各个资源参数、该组合运行所需的各个资源参数和预设的各个资源参数的评分计算公式，计算该组合运行所需的各个资源参数的评分；

第二计算子单元，用于根据预设的各个资源参数评分的权重值、该组合运行所需的各个资源参数的评分和预设的加权计算公式，加权计算该组合的评分；

第二确定子单元，用于将确定的组合中评分最高的组合作为目标组合。

可选的，所述第一确定单元，具体用于：

或

所述发送模块，包括：

第三确定单元，用于将所述目标组合中优先级最高的安全应用程序作为目标应用程序；

获取单元，用于获取每一主机当前的各个资源参数；

第四确定单元，用于确定各个资源参数与所述目标应用程序运行所需的各个资源参数相互匹配的主机；

第一计算单元，用于针对每一确定的主机，根据所述目标应用程序运行所需的各个资源参数、该主机当前的各个资源参数和预设的各个资源参数的评分计算公式，计算该主机各个资源参数的评分；

第二计算单元，用于根据预设的各个资源参数评分的权重值、该主机各个资源参数评分和预设的加权计算公式，加权计算该主机的评分；

第五确定单元，用于将确定的主机中评分最高的主机作为所述目标应用程序对应的主机；

发送单元，用于将所述目标应用程序发送至所述目标应用程序对应的主机上，以使所述目标应用程序在所述目标应用程序对应的主机上运行；

第六确定单元，用于将所述目标应用程序从所述目标组合中移除，并返回所述将所述目标组合中优先级最高的安全应用程序作为目标应用程序的步骤。

本发明实施例提供的SDN环境下安全防护部署的方法，用户向应用层的终端输入用户所需的目标安全功能，安全控制器即可根据目标安全功能自动完成安全应用程序的部署工作，不需要技术人员进行人工部署，，降低了安全防护部署的人力成本，当用户的防护需求发生改变时，只需用户向应用层的终端输入用户所需的目标安全功能，安全控制器根据目标安全功能和预先存储的安全应用程序可以自动完成安全应用程序的重新部署工作，提高了安全防护部署的灵活性。

当然，实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种SDN网络架构图；

图2为本发明实施例提供的一种SDN环境下安全防护部署的方法流程图；

图3为本发明实施例提供的一种确定目标组合的方法流程图；

图4为本发明实施例提供的一种目标前缀树；

图5为本发明实施例提供的一种确定目标组合的方法流程图；

图6为本发明实施例提供的一种发送目标组合中的安全应用程序的方法流程图；

图7为本发明实施例提供的一种SDN环境下安全防护部署的装置结构示意图；

图8为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本发明实施例还提供了一种SDN环境下安全防护部署的方法，该方法应用于软件定义网络SDN中的安全控制器。其中，安全控制器存储有至少一个安全应用程序，SDN还包括多个主机。

需要说明的是，安全应用程序指的是利用NFSV(Network Security FunctionsVirtualization，安全功能虚拟化技术)技术对安全设备虚拟化形成的应用程序，这样安全应用程序可以运行在通用的计算机设备上。

SDN网络架构可以如图1所示，包括应用层、控制层和基础设施层，应用层包括多个终端，供用户控制SDN网络，控制层包括SDN控制器和安全控制器，安全控制器为SDN控制器中的安全部分完全独立出来形成的控制装置，基础设施层包括OVS(open virtual switch，虚拟交换机)和主机host。

如图2所示，该方法可以包括以下步骤：

步骤201，获取预设的各个目标安全功能。

其中，目标安全功能表示用户所需的安全功能，安全功能表示安全应用程序包含的最小粒度的、不可再细分的功能，例如，岸墙Shorewall安全应用程序包括网络型防火墙功能，ACL(Access Control List，访问控制列表)功能等，其中网络型防火墙功能和ACL功能就是安全功能。

在实施中，用户向应用层的终端输入用户所需的各个目标安全功能，然后终端将接收的各个目标安全功能发送至安全控制器，安全控制器接收终端发送的目标安全功能，获取各个目标安全功能。

步骤202，根据各个目标安全功能和每一安全应用程序包含的安全功能，从至少一个安全应用程序中确定安全应用程序的目标组合。

其中，每一目标组合满足每一目标安全功能。

在实施中，安全控制器根据各个目标安全功能和每一安全应用程序包含的安全功能，从至少一个安全应用程序中确定满足每一目标安全功能的安全应用程序的各个组合，然后从各个组合中任意选出一个组合作为目标组合，或者按照一定的选择规则从各个组合中选出目标组合。

可选的，在步骤202之前还包括：如果安全控制器存储的所有的安全应用程序组成的组合不满足每一目标安全功能，则向应用层反馈错误信息；如果安全控制器存储的所有的安全应用程序组成的组合满足每一目标安全功能，则执行步骤202。

步骤203，将目标组合中的安全应用程序发送至多个主机中的至少一个主机上，以使安全应用程序在其被发送至的主机上运行。

在实施中，安全控制器将目标组合中的每一安全应用程序发送至多个主机中的任意一个主机上，或者安全控制器按照一定的规则确定目标组合中的每一安全应用程序对应的主机，然后将目标组合中的每一安全应用程序发送至其对应的主机上，以使安全应用程序在其被发送至的主机上运行。

这样，SDN控制器可以调度相应的网络流量流过各个运行安全应用程序的主机，通过各个安全应用程序完成网络安全防护。

用户向应用层的终端输入用户所需的目标安全功能，安全控制器即可根据目标安全功能自动完成安全应用程序的部署工作，不需要技术人员进行人工部署，，降低了安全防护部署的人力成本，当用户的防护需求发生改变时，只需用户向应用层的终端输入用户所需的目标安全功能，安全控制器根据目标安全功能和预先存储的安全应用程序可以自动完成安全应用程序的重新部署工作，提高了安全防护部署的灵活性。

可选的，参见图3，根据各个目标安全功能和每一安全应用程序包含的安全功能，从至少一个安全应用程序中确定安全应用程序的目标组合，具体处理步骤如下：

步骤301，根据各个目标安全功能、每一安全应用程序包含的安全功能和预设的程序选择规则，将从至少一个安全应用程序中选出的安全应用程序按照前缀树结构排列，得到各个节点表示安全应用程序的目标前缀树，并遍历目标前缀树每一路径，得到安全应用程序的各个组合，每一组合满足每一目标安全功能。

在实施中，安全控制器将所有目标安全功能组成的集合作为目标前缀树的根节点对应的安全功能集合，将安全控制器存储的安全应用程序组成的集合作为根节点对应的程序集合，然后安全控制器根据基于程序选择规则的节点确定方式，确定根节点，及根节点的子节点对应的安全功能集合和程序集合，同理，安全控制器依次确定根节点以下的各个节点，及各个节点对应的安全功能集合和程序集合，直至目标前缀树每个分支的最后一个节点对应的安全功能集合为空为止，至此，可以得到目标前缀树，然后安全控制器遍历目标前缀树每一路径，得到安全应用程序的各个组合，每一组合满足每一目标安全功能。

其中，基于程序选择规则的节点确定方式如下：

假设已知节点A对应的安全功能集合和程序集合；

针对节点A对应的安全功能集合中的每一安全功能，安全控制器确定节点A对应的程序集合中满足该安全功能的安全应用程序个数；

安全控制器从节点A对应的安全功能集合中，确定对应安全应用程序个数最少的安全功能；

如果确定的安全功能为多个且节点A对应的安全功能集合中的目标安全功能有多个，则安全控制器从确定的多个安全功能中选择一个安全功能作为第一安全功能，安全控制器将节点A对应的程序集合中满足第一安全功能的安全应用程序作为节点A的子节点，将节点A对应的安全功能集合剔除节点A所满足的目标安全功能，得到节点A的子节点对应的安全功能集合，将节点A对应的程序集合剔除节点A所表示的安全应用程序，得到节点A的子节点对应的程序集合。

如果确定的安全功能为多个且节点A对应的安全功能集合中的目标安全功能只有一个，则安全控制器将确定的多个安全功能都作为第一安全功能，将节点A对应的程序集合中满足任一第一安全功能的安全应用程序作为节点A的子节点，针对每一节点A的子节点，将节点A对应的安全功能集合剔除节点A所满足的目标安全功能，得到该子节点对应的安全功能集合，将节点A对应的程序集合剔除节点A所表示的安全应用程序，得到该子节点对应的程序集合。

在本发明的一个具体实施例中，步骤301的具体实施方式如下：

安全控制器利用独热编码one-hot的形式将各个目标安全功能映射成一个1*n的目标功能序列，各个目标安全功能在目标序列中映射为1，安全控制器中预设的安全功能集合中不属于各个目标安全功能的安全功能在目标功能序列中映射为0，同理将各个安全应用程序包含的安全功能映射成各个安全应用程序相应的1*n的程序功能序列。

假设安全控制器中预设的安全功能集合中有十种安全功能、目标功能序列是[1,1,1,0,1,1,0,1,1,1]、安全控制器预先存储有5个安全应用程序A、B、C、D和E，每个安全应用程序对应的程序功能序列如下：

A:[1,0,0,0,1,0,1,1,0,1]；B:[0,1,1,0,0,1,1,0,0,0]；C:[1,0,0,0,1,0,0,0,1,0]；D:[0,0,0,0,1,1,0,0,1,1]；E:[0,0,0,0,0,1,0,0,1,1]。

安全控制器将这五个程序功能序列进行叠加得到程序功能组序列，叠加的结果是[2,1,1,0,3,4,2,1,3,3]，而目标功能序列是[1,1,1,0,1,1,0,1,1,1]，目标安全功能序列中为1的安全功能为目标安全功能，查看其相应程序功能组序列中的数值，数值越小，表示满足该目标安全功能的安全应用程序的个数越少，目标功能序列中第一个安全功能为1，其相应程序功能组序列中的数值为2；目标功能序列中第二个安全功能为1，其相应程序功能组序列中的数值为1；目标功能序列中三个安全功能为1，其相应程序功能组序列中的数值为1；目标功能序列中第五个安全功能为1，其相应程序功能组序列中的数值为3；目标功能序列中第六个安全功能为1，其相应程序功能组序列中的数值为4；目标功能序列中第八个安全功能为1，其相应程序功能组序列中的数值为1；目标功能序列中第九个安全功能为1，其相应程序功能组序列中的数值为3；目标功能序列中第十个安全功能为1，其相应程序功能组序列中的数值为3；其中，目标安全功能序列中为1的安全功能中，相应于程序功能组序列中的数值最小的为第二个安全功能、第三个安全功能和第八个安全功能，其相应于程序功能组序列中的数值均为1，确定满足目标安全功能序列中第二个安全功能的安全应用程序B、满足目标安全功能序列中第三个安全功能的安全应用程序B、满足目标安全功能序列中第八个安全功能的安全应用程序A，将第二个安全功能、第三个安全功能和第八个安全功能中排序最靠前的第二个安全功能对应的安全应用程序B作为目标前缀树的根节点，即根节点为B节点。

针对B节点，安全控制器确定B节点的子节点，去除安全应用程序B之后的程序功能序列为[2,0,0,0,3,3,1,1,3,3]，去除B满足的目标安全功能的目标功能序列为[1,0,0,0,1,0,0,1,1,1]，目标功能序列中第一个安全功能为1，其相应程序功能组序列中的数值为2；目标功能序列中第五个安全功能为1，其相应程序功能组序列中的数值为3；目标功能序列中第八个安全功能为1，其相应程序功能组序列中的数值为1；目标功能序列中第九个安全功能为1，其相应程序功能组序列中的数值为3；目标功能序列中第十个安全功能为1，其相应程序功能组序列中的数值为3；其中，目标安全功能序列中为1的安全功能中，相应于程序功能组序列中的数值最小的为第八个安全功能，其相应于程序功能组序列中的数值均为1，确定满足目标安全功能序列中第八个安全功能的安全应用程序为A，将安全应用程序A作为B节点的子节点进行存储。

针对A节点，安全控制器确定A节点的子节点，去除安全应用程序A之后的程序功能序列为[1,0,0,0,2,3,0,0,3,2]，去除A满足的目标安全功能的目标功能序列为[0,0,0,0,0,0,0,0,1,0]，目标安全功能序列中为1的安全功能中，相应于程序功能组序列中的数值最小的为第九个安全功能，确定满足目标安全功能序列中第八个安全功能的安全应用程序为C、D和E，则将安全应用程序C、D、E作为A节点的子节点，得到节点表示安全应用程序的目标前缀树，如图4所示。

步骤302，根据预设的各个资源参数、每一组合运行所需的各个资源参数和预设的组合选择规则，从各个组合中确定目标组合。

其中，资源参数可以为中央处理器CPU的个数、内存参数、网络时延、带宽中的一种或多种组合，每一组合运行所需的资源参数为每一组合中各个安全应用程序运行所需的资源参数的累加结果。例如，假设某一组合由安全应用程序A和安全应用程序B组成，安全应用程序A运行所需的内存参数为200M、网络时延为1S，安全应用程序B运行所需的内存参数为300M、网络时延为0.5S，则该组合运行所需的内存参数为200M+300M、网络时延为1S+0.5S。

在实施中，用户向应用层的终端输入用户限定的各个资源参数，终端接收并向安全控制器发送用户限定的各个资源参数，控制器接收用户限定的各个资源参数，限定的各个资源参数即为预设的各个资源参数，然后从各个组合中确定和用户限定的资源参数相匹配的组合，例如，假设用户限定的各个资源参数为：内存300M、两个CPU，表示用户可以提供的内存为300M，需要至少两个CPU同时工作，和用户限定的各个资源参数相匹配的组合为：运行所需的内存小于300M的组合，且可以满足两个以上CPU同时工作的组合。

然后根据每一用户限定的资源参数和预设的每一资源参数的评分规则，确定每一组合中的每一资源参数的评分，进而根据每一资源参数评分的权重和每一组合中的每一资源参数的评分，加权计算每一组合的评分，将评分最高的组合作为目标组合。

可选的，在步骤302之前还包括：如果每一组合运行所需的各个资源参数均与预设的各个资源参数不匹配，则向应用层反馈错误信息；如果各个组合中存在运行所需的各个资源参数与预设的各个资源参数匹配的组合，则执行步骤202。

可选的，参考图5，根据预设的各个资源参数、每一组合运行所需的各个资源参数和预设的组合选择规则，从各个组合中确定目标组合，具体处理步骤如下：

步骤501，从各个组合中确定各个资源参数与预设的各个资源参数相互匹配的组合。

在实施中，针对每一组合，安全控制器判断该组合运行所需的每一资源参数是否满足相应的预设的资源参数，然后确定各个组合中运行所需的每一资源参数均满足相应的预设的资源参数的组合，其中，该组合运行所需的每一资源参数是该组合中的安全应用程序运行所需的每一资源参数进行累加得到的。

例如，假设预设的各个资源参数为：内存300M、两个CPU，表示用户可以提供的内存为300M，需要至少两个CPU同时工作，和用户限定的各个资源参数相匹配的组合为：运行所需的内存小于300M的组合，且可以满足两个以上CPU同时工作的组合。

步骤502，针对每一确定的组合，根据预设的各个资源参数、该组合运行所需的各个资源参数和预设的各个资源参数的评分计算公式，计算该组合运行所需的各个资源参数的评分。

在实施中，针对每一确定的组合，安全控制器根据预设的各个资源参数、该组合运行所需的各个资源参数和预设的各个资源参数的评分计算公式，计算该组合运行所需的各个资源参数的评分。

例如，假设预设的各个资源参数为：内存300M、2个CPU，某一组合运行所需各个资源参数为：内存200M、4个CPU，则该组合内存参数的评分为(300-200)/300＝0.33，CPU参数的评分为(4-2)/4＝0.5。

步骤503，根据预设的各个资源参数评分的权重值、该组合运行所需的各个资源参数的评分和预设的加权计算公式，加权计算该组合的评分。

在实施中，用户向应用层的终端输入每一资源参数的权重值，终端接收并向安全控制器发送每一资源参数的权重值，安全控制器根据预设的各个资源参数评分的权重值、该组合运行所需的各个资源参数的评分和预设的加权计算公式，加权计算该组合的评分。例如，假设则某一组合内存参数的评分为(300-200)/300＝0.33，CPU参数的评分为(4-2)/4＝0.5，内存参数评分权重值为0.6，CPU参数评分权重值为0.4，则该组合的评分为0.33*0.6+0.5*0.4＝0.398分。

步骤504，将评分最高的组合作为目标组合。

这样，用户可以向应用层的终端输入用户限定的资源参数，安全控制器根据用户限定的资源参数，确定和用户限定的资源参数相匹配的最优组合，节约网络中的资源。

可选的，遍历目标前缀树每一路径，得到安全应用程序的每一组合，具体的处理过程如下：

从根节点遍历目标前缀树每一路径，将每一路径上的安全应用程序按照遍历顺序排列，得到安全应用程序的每一组合，每一组合中的安全应用程序按照优先级从高到低排列；

或

从叶节点开始遍历目标前缀树每一路径，将每一路径上的安全应用程序按照遍历顺序排列，得到安全应用程序的各个组合，每一组合中的安全应用程序按照优先级从低到高排列；

相应的，参考图6，将目标组合中的安全应用程序分别发送至多个主机中的一个主机上，具体处理步骤如下：

步骤601，将所述目标组合中优先级最高的安全应用程序作为目标安全应用程序。

步骤602，获取每一主机当前的资源参数。

其中，资源参数包括中央处理器CPU的个数、内存参数、网络时延、带宽中的一种或多种组合。

在实施中，安全控制器获取每一主机当前剩余的资源参数。

步骤603，确定各个资源参数与目标安全应用程序运行所需的各个资源参数相互匹配的主机。

在实施中，针对每一主机，安全控制器判断目标安全应用程序运行所需的各个资源参数是否与该主机当前的各个资源参数相互匹配，进而确定各个资源参数与目标安全应用程序运行所需的各个资源参数相互匹配的主机。例如，假设目标安全应用程序运行所需的各个资源参数为：内存200M、2个CPU，和目标安全应用程序运行所需的各个资源参数相互匹配的主机为：当前的内存大于200M的主机，且可以提供两个以上CPU同时工作的主机。

步骤604，针对每一确定的主机，根据目标安全应用程序运行所需的各个资源参数、该主机当前的各个资源参数和预设的各个资源参数的评分计算公式，计算该主机每一资源参数的评分。

在实施中，安全控制器存储有各个资源参数对应的评分计算公式，需要说明的是，针对不同的资源参数，其对应的资源参数评分计算公式可能不同。针对每一主机，安全控制器将目标安全应用程序运行所需的资源参数和该主机当前的每一资源参数代入预设的每一资源参数的评分计算公式，计算该主机每一资源参数的评分。例如，假设目标安全应用程序运行所需的各个资源参数为：内存200M、2个CPU，某一主机当前的各个资源参数为：内存300M、4个CPU，则该主机内存参数的评分为(300-200)/300＝0.33，CPU参数的评分为(4-2)/4＝0.5。

步骤605，根据预设的各个资源参数评分的权重值、该主机各个资源参数的评分和预设的加权计算公式，加权计算该主机的评分。

在实施中，用户向应用层的终端输入每一资源参数的权重值，终端接收并向安全控制器发送每一资源参数的权重值，控制器接收每一资源参数的权重值，然后根据每一资源参数的权重值、该主机每一资源参数的评分和预设的加权计算公式，加权计算该主机的评分。例如，假设则某一主机内存参数的评分为(300-200)/300＝0.33，CPU参数的评分为(4-2)/4＝0.5，内存参数评分权重值为0.6，CPU参数评分权重值为0.4，则该主机的评分为0.33*0.6+0.5*0.4＝0.398分。

步骤606，将确定的主机中评分最高的主机作为目标安全应用程序对应的主机。

在实施中，安全控制器将确定的主机中评分最高的主机作为目标安全应用程序对应的主机。

步骤607，将目标安全应用程序发送至目标安全应用程序对应的主机上。

在实施中，安全控制器将目标安全应用程序发送至目标安全应用程序对应的主机上。

步骤608，将目标安全应用程序从目标组合中移除，并返回将目标组合中优先级最高的安全应用程序作为目标安全应用程序的步骤。

在实施中，安全控制器将目标安全应用程序从目标组合中移除，并返回将目标组合中优先级最高的安全应用程序作为目标安全应用程序的步骤。

这样，根据各个主机当前的各个资源参数和目标组合中每一安全应用程序运行所需的各个资源参数，为目标组合中每一安全应用程序选择合适的主机，让各个主机中运行适合该主机的安全应用程序，避免了一台主机运行过多的安全应用程序，而另外的主机运行了很少的安全应用程序甚至没有运行安全应用程序，使得各个主机负载均衡。

基于相同的技术构思，如图7所示，本发明实施例还提供了一种SDN环境下安全防护部署的装置，其特征在于，应用于软件定义网络SDN中的安全控制器，所述安全控制器存储有至少一个安全应用程序，所述SDN还包括多个主机，装置包括：

获取模块，用于获取预设的各个目标安全功能；

可选的，所述确定模块，包括：

可选的，所述第二确定单元，包括：

可选的，所述第一确定单元，具体用于：

或

所述发送模块，包括：

获取单元，用于获取每一主机当前的各个资源参数；

本发明实施例还提供了一种电子设备，如图8所示，包括处理器801、通信接口802、存储器803和通信总线804，其中，处理器801，通信接口802，存储器803通过通信总线804完成相互间的通信，

存储器803，用于存放计算机程序；

处理器801，用于执行存储器803上所存放的程序时，以使该节点设备执行上述一种SDN环境下安全防护部署的方法步骤。

机器可读存储介质可以包括RAM(Random Access Memory，随机存取存储器)，也可以包括NVM(Non-Volatile Memory，非易失性存储器)，例如至少一个磁盘存储器。另外，机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器，包括CPU(Central Processing Unit，中央处理器)、NP(Network Processor，网络处理器)等；还可以是DSP(Digital Signal Processing，数字信号处理器)、ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(Field-Programmable Gate Array，现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。

Claims

1.一种SDN环境下安全防护部署的方法，其特征在于，应用于软件定义网络SDN中的安全控制器，所述安全控制器存储有至少一个安全应用程序，所述SDN还包括多个主机，所述方法包括：

获取预设的各个目标安全功能；

2.根据权利要求1所述的方法，其特征在于，所述根据所述各个目标安全功能和每一安全应用程序包含的安全功能，从所述至少一个安全应用程序中确定安全应用程序的目标组合，包括：

3.根据权利要求2所述的方法，其特征在于，所述根据预设的各个资源参数、每一组合运行所需的各个资源参数和预设的组合选择规则，从所述各个组合中确定目标组合，包括：

将确定的组合中评分最高的组合作为目标组合。

4.根据权利要求2所述的方法，其特征在于，所述遍历所述目标前缀树每一路径，得到安全应用程序的各个组合，包括：

或

获取每一主机当前的各个资源参数；

5.根据权利要求2或4所述的方法，其特征在于，所述资源参数包括中央处理器CPU的个数、内存参数、网络时延、带宽中的一种或多种组合。

6.一种SDN环境下安全防护部署的装置，其特征在于，应用于软件定义网络SDN中的安全控制器，所述安全控制器存储有至少一个安全应用程序，所述SDN还包括多个主机，所述装置包括：

获取模块，用于获取预设的各个目标安全功能；

7.根据权利要求6所述的装置，其特征在于，所述确定模块，包括：

8.根据权利要求7所述的装置，其特征在于，所述第二确定单元，包括：

9.根据权利要求8所述的装置，其特征在于，所述第一确定单元，具体用于：

或

所述发送模块，包括：

获取单元，用于获取每一主机当前的各个资源参数；

10.根据权利要求7或9所述的装置，其特征在于，所述资源参数包括中央处理器CPU的个数、内存参数、网络时延、带宽中的一种或多种组合。