CN116016213A - 一种基于网络靶场的流量编排方法、装置、系统及设备 - Google Patents
一种基于网络靶场的流量编排方法、装置、系统及设备 Download PDFInfo
- Publication number
- CN116016213A CN116016213A CN202211687220.7A CN202211687220A CN116016213A CN 116016213 A CN116016213 A CN 116016213A CN 202211687220 A CN202211687220 A CN 202211687220A CN 116016213 A CN116016213 A CN 116016213A
- Authority
- CN
- China
- Prior art keywords
- target
- security
- safety
- resource pool
- security device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000001514 detection method Methods 0.000 claims abstract description 42
- 230000004044 response Effects 0.000 claims description 49
- 238000004590 computer program Methods 0.000 claims description 20
- 238000013519 translation Methods 0.000 claims description 12
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 19
- 102100036881 Inositol-3-phosphate synthase 1 Human genes 0.000 description 18
- 101710090028 Inositol-3-phosphate synthase 1 Proteins 0.000 description 17
- 230000006870 function Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 6
- 230000005012 migration Effects 0.000 description 5
- 238000013508 migration Methods 0.000 description 5
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 description 4
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- AFWRJOYNLMVZQO-GMFATLNBSA-N (1r,2r,4as,8as)-1-[(1e,3e)-5-hydroxy-3-methylpenta-1,3-dienyl]-2,5,5,8a-tetramethyl-3,4,4a,6,7,8-hexahydro-1h-naphthalen-2-ol Chemical compound CC1(C)CCC[C@]2(C)[C@@H](/C=C/C(=C/CO)/C)[C@](C)(O)CC[C@H]21 AFWRJOYNLMVZQO-GMFATLNBSA-N 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- KFZMGEQAYNKOFK-UHFFFAOYSA-N Isopropanol Chemical compound CC(C)O KFZMGEQAYNKOFK-UHFFFAOYSA-N 0.000 description 1
- 101710142315 Mitochondrial antiviral-signaling protein Proteins 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络技术领域,尤其涉及一种基于网络靶场的流量编排方法、装置、系统及设备。方法包括:基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,目标服务链信息包括目标业务流量需依次经过的至少一个安全设备的设备类型;针对至少一个设备类型中的每个设备类型,从该设备类型对应的安全设备资源池中选择目标安全设备,该安全设备资源池中包括多个属于该设备类型的安全设备;控制目标业务流量依次经过选择的至少一个目标安全设备,以使至少一个目标安全设备分别对目标业务流量进行安全检测。本申请可以实现安全设备的复用,充分利用安全设备实现不同业务流量的编排。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种基于网络靶场的流量编排方法、装置、系统及设备。
背景技术
网络靶场(Cyber Range)是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品,以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为,从而提高人员及机构的网络安全对抗水平。
网络靶场的主要基础设施包括:虚拟主机设备、虚拟安全设备、虚拟交换设备。网络靶场用于仿真模拟现实的网络环境,其中,虚拟安全设备用于系统防护和安全事件的检测。
在现有的网络靶场中,可以部署多个网络拓扑,每个网络拓扑中部署有一个或多个安全设备(即虚拟安全设备),以实现相应业务流量的编排,即引导业务流量经过各个安全设备进行安全检测。但是,由于安全设备与对应的网络拓扑紧密耦合,导致在进行不同业务流量的编排过程中,无法实现安全设备的复用,可能造成安全设备的资源浪费。
发明内容
本申请提供了一种基于网络靶场的流量编排法方法、装置、设备及介质,用以实现安全设备的复用,充分利用安全设备实现不同业务流量的编排。
第一方面,本申请实施例提供一种基于网络靶场的流量编排方法,包括:
基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,所述目标服务链信息包括所述目标业务流量需依次经过的至少一个安全设备的设备类型;
针对至少一个设备类型中的每个设备类型,从所述设备类型对应的安全设备资源池中选择目标安全设备,所述安全设备资源池中包括多个属于所述设备类型的安全设备;
控制所述目标业务流量依次经过选择的至少一个目标安全设备,以使所述至少一个目标安全设备分别对所述目标业务流量进行安全检测。
在一些可能的实施例中,所述从所述设备类型对应的安全设备资源池中选择目标安全设备,包括:
获取所述安全设备资源池中的每个安全设备对应的编排信息;其中,所述编排信息包括以下至少一种参数:待检测的业务流量数量、权重参数,所述权重参数表示安全设备的网络状况;
从所述安全设备资源池中选择编排信息满足设定条件的安全设备,作为所述目标安全设备。
在一些可能的实施例中,当所述编排信息包括所述权重参数时,所述方法还包括:
每隔设定时长,基于所述安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新;
其中,所述当前网络状况基于以下至少一种参数确定:当前网络带宽数据、当前响应时长、历史平均响应时长。
在一些可能的实施例中,所述基于所述安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新,包括:
针对所述安全设备资源池中的每个安全设备,执行以下操作:
若所述安全设备的当前网络带宽数据满足预设条件,且所述安全设备的当前响应时长不大于预设值,则基于所述当前网络带宽数据、所述当前响应时长、所述历史平均响应时长对所述安全设备的权重参数进行更新;
若所述安全设备的当前网络带宽数据不满足所述预设条件,和/或,所述安全设备的当前响应时长高于所述预设值,则将所述安全设备的权重参数设置为固定值。
在一些可能的实施例中,所述识别目标业务流量对应的目标服务链信息之后,还包括:
将目标服务链标识插入所述目标业务流量的数据包中;
若所述目标安全设备为多个,则所述控制所述目标业务流量依次经过选择的至少一个目标安全设备,包括迭代执行以下操作,直至获得最后一个目标安全设备的检测结果:
将插入目标服务链标识后的数据包,通过一个逻辑交换机发送至一个目标安全设备,并获得所述一个目标安全设备对所述数据包的检测结果后,将所述数据包通过另一逻辑交换机发送至下一个目标安全设备。
在一些可能的实施例中,所述针对至少一个设备类型中的每个设备类型,从所述设备类型对应的安全设备资源池中选择目标安全设备之后,还包括:
若确定一个设备类型的目标安全设备出现异常状况,则从所述一个设备类型对应的安全设备资源池中重新选择另一安全设备作为目标安全设备。
在一些可能的实施例中,每个设备类型对应的安全设备资源池中包括虚拟安全设备和/或物理安全设备;其中,所述物理安全设备通过网络地址转换接入所述虚拟安全设备所在的虚拟网络。
第二方面,本申请实施例提供一种基于网络靶场的流量编排装置,包括:
识别模块,用于基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,所述目标服务链信息包括所述目标业务流量需依次经过的至少一个安全设备的设备类型;
选择模块,用于针对至少一个设备类型中的每个设备类型,从所述设备类型对应的安全设备资源池中选择目标安全设备,所述安全设备资源池中包括多个属于所述设备类型的安全设备;
控制模块,用于控制所述目标业务流量依次经过选择的至少一个目标安全设备,以使所述至少一个目标安全设备分别对所述目标业务流量进行检测。
在一些可能的实施例中,所述选择模块具体用于:
获取所述安全设备资源池中的每个安全设备对应的编排信息;其中,所述编排信息包括以下至少一种参数:待检测的业务流量数量、权重参数,所述权重参数表示安全设备的网络状况;
从所述安全设备资源池中选择编排信息满足设定条件的安全设备,作为所述目标安全设备。
在一些可能的实施例中,当所述编排信息包括所述权重参数时,所述装置还包括更新模块,用于:
每隔设定时长,基于所述安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新;
其中,所述当前网络状况基于以下至少一种参数确定:当前网络带宽数据、当前响应时长、历史平均响应时长。
在一些可能的实施例中,所述更新模块具体用于:
针对所述安全设备资源池中的每个安全设备,执行以下操作:
若所述安全设备的当前网络带宽数据满足预设条件,且所述安全设备的当前响应时长不大于预设值,则基于所述当前网络带宽数据、所述当前响应时长、所述历史平均响应时长对所述安全设备的权重参数进行更新;
若所述安全设备的当前网络带宽数据不满足所述预设条件,和/或,所述安全设备的当前响应时长高于所述预设值,则将所述安全设备的权重参数设置为固定值。
在一些可能的实施例中,所述装置还包括插入模块,用于:
将目标服务链标识插入所述目标业务流量的数据包中;
若所述目标安全设备为多个,则所述控制模块具体用于:
将插入目标服务链标识后的数据包,通过一个逻辑交换机发送至一个目标安全设备,并获得所述一个目标安全设备对所述数据包的检测结果后,将所述数据包通过另一逻辑交换机发送至下一个目标安全设备。
在一些可能的实施例中,所述选择模块还用于:
若确定一个设备类型的目标安全设备出现异常状况,则从所述一个设备类型对应的安全设备资源池中重新选择另一安全设备作为目标安全设备。
在一些可能的实施例中,每个设备类型对应的安全设备资源池中包括虚拟安全设备和/或物理安全设备;其中,所述物理安全设备通过网络地址转换接入所述虚拟安全设备所在的虚拟网络。
第三方面,本申请实施例提供一种基于网络靶场的流量编排系统,包括:控制节点和至少一个检测节点,所述控制节点包括控制组件和至少一个逻辑交换机,每个检测节点包括与一个逻辑交换机连接的安全设备资源池,所述安全设备资源池包括属于相应设备类型的多个安全设备;
所述控制组件,用于基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,所述目标服务链信息包括所述目标业务流量需依次经过的至少一个安全设备的设备类型;并针对至少一个设备类型中的每个设备类型,从所述设备类型对应的安全设备资源池中选择目标安全设备;通过所述至少一个逻辑交换机控制所述目标业务流量依次经过选择的至少一个目标安全设备;
所述目标安全设备,用于对所述目标业务流量进行安全检测。
第四方面,本申请实施例提供一种电子设备,其包括处理器和存储器,其中,所述存储器存储有计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器执行第一方面任一所述方法的步骤。
第五方面,本申请实施例提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,当所述计算机程序在计算机上运行时,使得计算机执行第一方面任一所述方法的步骤。
第六方面,本申请实施例提供一种计算机程序产品,其包括计算机程序,所述计算机程序存储在计算机可读存储介质中;当电子设备的处理器从所述计算机可读存储介质读取所述计算机程序时,所述处理器执行该计算机程序,使得所述电子设备执行第一方面任一所述方法的步骤。
本申请实施例的方案至少具有以下有益效果:
本申请的方案中,将网络靶场中的各个安全设备集中进行管理,每个设备类型对应一个安全设备资源池,针对不同的业务流量,分别设定它们对应的服务链信息,该服务链信息包含业务流量需经过的安全设备的设备类型。在获取到目标业务流量后,确定该目标业务流量对应的目标服务链信息,然后,从相应的安全设备资源池中选择相应的目标安全设备。在确定目标业务流量需要经过的至少一个目标安全设备后,控制目标业务流量依次经过选择的至少一个目标安全设备,以使至少一个目标安全设备分别对目标业务流量进行安全检测。因此,本申请将安全设备与网络拓扑进行解耦,针对不同网络拓扑中的业务流量,可以实现安全设备的复用,充分利用安全设备实现不同业务流量的编排。
本申请其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于网络靶场的流量编排系统的示意图;
图2为本申请实施例提供的一种物理安全设备虚实互联的示意图;
图3为本申请实施例提供的一种包含物理安全设备的IPS资源池的示意图;
图4为本申请实施例提供的一种添加物理安全设备的流程图;
图5为本申请实施例提供的一种IPS资源池的调度流程图;
图6为本申请实施例提供的一种权重参数更新的流程图;
图7为本申请实施例提供的另一种基于网络靶场的流量编排系统的示意图;
图8为本申请实施例提供的一种多宿主机安全设备资源池示意图;
图9为本申请实施例提供的一种流量牵引示意图;
图10为本申请实施例提供的一种IPS资源池的监控示意图;
图11为本申请实施例提供的一种业务流量的动态迁移示意图;
图12为本申请实施例提供的一种流量编排基本配置示意图;
图13为本申请实施例提供的一种基于网络靶场的流量编排方法的流程图;
图14为本申请实施例提供的一种基于网络靶场的流量编排装置的示意图;
图15为本申请实施例提供的电子设备的示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
SDN:SDN(Software Defined-Networking)即软件定义网络,是一种网络设计理念。网络设备可以集中式进行管理,将控制层和转发层进行分离,实现网络可编程化。
OVS:OVS(Open VSwitch)即开源虚拟交换机,是一个支持多层数据转发的高质量虚拟交换机,主要部署在服务器上,相比传统交换机具有很好的编程扩展性,同时具备传统交换机实现的网络隔离和数据转发功能。
OVN:OVN(Open Virtual Network)即开放虚拟网络,是一款支持虚拟网络抽象的软件系统。OVN在OVS现有功能进行了一定程度的扩展,例如基础虚拟L2,L3网络交换以及高阶的NAT、DHCP、ACL、Qos等功能。
SFC:SFC(Service Function Chain,服务功能链),说把服务功能联接起来提供的一个有序的服务组合叫做服务功能链,简称服务链。
SWRR:SWRR(Smooth Weight Round Robin,平滑加权轮询法)给配置高、负载低的机器配置更高的权重,让其处理更多的请;而配置低、负载高的机器,给其分配较低的权重,降低其系统负载。
下文中所用的词语“示例性”的意思为“用作例子、实施例或说明性”。作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
文中的术语“第一”、“第二”仅用于描述目的,而不能理解为明示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征,在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
考虑到在目前的网络靶场中,安全设备与对应的网络拓扑紧密耦合,导致在进行不同业务的流量编排过程中,无法实现安全设备的复用,可能造成安全设备的资源浪费,因此,本申请为了提高对安全设备的效率,对各个安全设备进行统一管理和配置,具体提供一种基于网络靶场的流量编排方法、装置、系统及设备,将安全设备与网络拓扑进行解耦,针对不同网络拓扑中的业务流量,可以实现安全设备的复用,充分利用安全设备实现不同业务流量的编排。
下面结合附图和具体实施方式对本申请的基于网络靶场的流量编排方法进行介绍。
首先,介绍一下本申请实施例提供的一种基于网络靶场的流量编排系统,参阅图1所示,该系统包括:控制节点11和至少一个检测节点12,控制节点包括控制组件和至少一个逻辑交换机,每个检测节点12包括与一个逻辑交换机连接的安全设备资源池,安全设备资源池包括属于相应设备类型的多个安全设备,即每个安全设备资源池对应一个设备类型,如图1中的第一类安全设备资源池、第二类安全设备资源池......第N类安全设备资源池,N为设备类型的类别数。
其中,控制节点11和检测节点12可以均部署在服务器上,每个检测节点12可以与控制节点11部署在同一服务器上,也可以部署在不同的服务器上;并且,同一检测节点12中的不同安全设备可以部署在同一服务器上,也可以部署在不同的服务器上,例如,一个检测节点12中的安全设备a1、安全设备a2可以部署在不同的服务器上。不同检测节点12中的安全设备可以部署在不同的服务器上,也可以部署在同一服务器上,例如,一个检测节点12中的安全设备a3、另一个检测节点12中的安全设备b2部署在同一服务器上。
逻辑交换机可以是通过虚拟平台生成的虚拟逻辑交换机,每个检测节点的安全设备资源池中,不仅可以包括多个虚拟安全设备,还可以包括物理安全设备,虚拟安全设备也可以由虚拟平台生成。
安全设备的设备类型可以包括多种,例如:入侵防御系统(Intrusion PreventionSystem,IPS)、防火墙、Web应用防护系统(Web Application Firewall,WAF)、入侵检测系统(intrusion detection system,IDS)等,对此不作限定。
控制组件,用于基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,目标服务链信息包括目标业务流量需依次经过的至少一个安全设备的设备类型;并针对至少一个设备类型中的每个设备类型,从设备类型对应的安全设备资源池中选择目标安全设备;通过至少一个逻辑交换机控制目标业务流量依次经过选择的至少一个目标安全设备。
目标安全设备,用于对目标业务流量进行安全检测。
其中,控制组件可以保存预先设定的业务流量与服务链信息的对应关系,服务链信息包括相应的业务流量需要依次经过的各个安全设备的设备类型,可以理解为指定安全设备检测顺序的集合。每个业务流量可以来自一个业务,业务流量通常为数据包的格式,其内容可以包括:源地址、源端口、目标地址、目标端口、网络协议(如传输控制协议)等。
因此,在获取到目标业务流量时,控制组件可以确定其对应的目标服务链信息,进而基于目标服务链信息中的各个设备类型,从每个设备类型对应的安全设备资源池中选择目标安全设备,从而确定目标业务流量需要依次经过的各个目标安全设备。进一步地,控制组件通过每个目标安全设备对应的逻辑交换机,将该目标业务流量发送至相应的目标安全设备进行安全检测。最后,控制组件可以在获得各个目标安全设备的检测结果。
可选的,控制组件在识别目标业务流量对应的目标服务链信息之后,还可以将目标服务链标识插入目标业务流量的数据包中;这样,在控制目标业务流量依次经过选择的至少一个目标安全设备时,可以将插入目标服务链标识后的数据包通过一个逻辑交换机发送至第一个目标安全设备,并获得第一个目标安全设备对数据包的检测结果后,再将数据包通过另一逻辑交换机发送至下一个目标安全设备,以此类推,直至获得最后一个目标安全设备的检测结果。
在一些实施例中,上述每个设备类型对应的安全设备资源池中除了包括虚拟安全设备,还可以包括物理安全设备;其中,物理安全设备通过网络地址转换接入虚拟安全设备所在的虚拟网络。
具体的,本申请实施例可以基于开放虚拟网络OVN和软件定义网络SDN,通过网络地址转换(Network Address Translation,NAT)中的源网络地址转换(Source NetworkAddress Translation,SNAT)和目的网络地址转换(Destination Network AddressTranslation,DNAT)相关的配置,实现虚拟网络与物理网络的互联互通,来接入物理安全设备。通过网络地址转换NAT,可以实现私有IP到公有IP的转换,其中,SNAT允许将私有IP地址段转换为公有IP地址,允许私有IP地址段的虚拟设备访问实际公有网络,DNAT允许将虚拟设备暴露给公有网络,允许公有网络访问虚拟机,通过SNAT和DNAT相关的配置,实现虚拟网络与实际物理网络的互联互通。
如图2所示,物理安全设备需要与实际物理网络通信的节点网络连通,其中图示部分物理交换机的配置由手动完成,保障图中安全设备与物理网络设备之间正常通信即可,OVN控制器构建图2中的逻辑路由器LR、逻辑交换机LSW所在的虚拟网络,并且LR作为虚拟网络的网关路由器配置SNAT和DNAT,实现网络地址转换,由物理网卡em2承载虚拟网络与物理网络之间的流量,从而达到虚实互联的目的。
物理安全设备通过虚实互联接入靶场网络后和虚拟安全设备一起,组成靶场的安全设备资源池,进行统一资源调度和编排,如图3所示,IPS资源池由三个ISP安全设备节点组成,其中一个是物理设备,另外两个是虚拟设备。
其中,将物理安全设备添加到服务器中的虚拟交换机时,需要指定连接端口,虚拟路由器基于连接端口的连通性和网关地址,生成外部网络,如图4所示,将物理安全设备连接至服务器时,需要判断连接端口是否连通,如果连通,虚拟路由器基于连接端口网关创建外部网络。
在一些实施例中,控制组件确定目标业务流量对应的目标服务链信息后,基于目标服务链信息中的各个设备类型,从每个设备类型对应的安全设备资源池中选择目标安全设备时,可以通过以下方式选择:
获取安全设备资源池中的每个安全设备对应的编排信息;其中,编排信息包括以下至少一种参数:待检测的业务流量数量、权重参数,权重参数表示安全设备的网络状况;从安全设备资源池中选择编排信息满足设定条件的安全设备,作为目标安全设备。
其中,考虑到同一设备类型的安全设备,可能型号和配置不同,存在性能差异,因此,可以对安全设备资源池中的不同安全设备设置不同的权值(即上述权重参数);然后,可以通过负载均衡算法,根据安全设备的权值和待检测的业务流量数量中的一个或两个,分发不同比率的业务流量给不同性能的安全设备,以实现安全资源的有效利用。
可选的,当编排信息同时包括待检测的业务流量数量和权重参数时,从安全设备资源池中选择编排信息满足设定条件的安全设备,具体可以是:计算安全设备资源池中的每个安全设备的待检测的业务流量数量和权重参数的比值,选择比值最小的安全设备,作为目标安全设备,对目标业务流量进行检测。
通过上述方式调度安全设备资源池中的安全设备,可以实现弹性和高可用,避免单个安全设备故障导致整个流量编排受损或中断。下面以编排信息同时包括待检测的业务流量数量和权重参数为例,对安全涉笔资源池中的安全设备的调度过程进行示例性介绍。
例如,对于同一类型的安全设备,如IPS,有S={S0,S1,…,Sn},表示有n个IPS安全设备,每个IPS安全设备对应一个节点,W(Si)表示节点Si的权值,T(Si)表示节点Si的待检测的业务流量数量(下面简称流量编排数),如图5所示,IPS资源池的调度流程如下:
当节点Sm的权重参数小于等于0,即W(Sm)<=0时,表示该节点处于不可用状态;当W(Sm)>0时,判断Ctime-Utime是否小于thr_time,Ctime表示当前时间,Utime表示上一次更新时间,thr_time表示更新频率的阈值,当间隔时间大于阈值就会更新调整一次各节点的权重参数,如果Ctime-Utime大于等于thr_time,则需要更新W(Sm)的权重参数。
从S={S0,S1,…,Sn}n个节点中,选择出最合适的一个节点进行流量编排调度,选择出的节点Sm应该满足以下条件,T(Sm)/W(Sm)=min{T(Si)/W(Si)},i=0,1,2,…,n,当W(Si)小于等于0时,节点不可用,不参与调度。在调度流程中对上述条件进行了等价变形:T(Sm)*W(Si)>T(Si)*W(Sm),i=0,1,2,…,n。
上述调度流程以流量编排数和权重参数为判断条件,进行编排调度,对于整个流量编排系统而言,能够较好地达到均衡状态,增强了安全设备资源池的资源利用效率。
此外,针对编排信息中的权重参数,控制组件可以每隔设定时长,基于安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新;其中,当前网络状况基于以下至少一种参数确定:当前网络带宽数据、当前响应时长、历史平均响应时长。例如,当前网络带宽数据为当前网络带宽效率等,当前响应时长即业务流量的数据包从逻辑交换机发出,到安全设备处理完后回到逻辑交换机之间的时间间隔。
其中,权重参数是在安全设备的使用过程中动态更新的,更新的频率由thr_time阈值参数控制,该阈值参数可以根据需要设定,如每10分钟更新一次权重参数。权重参数更新的参考因素包含上述当前网络带宽数据、当前响应时长、历史平均响应时长中的一个或多个。
具体的,上述当前网络状况基于当前网络带宽数据、当前响应时长、历史平均响应时长确定时,控制组件在对每个安全设备的权重参数进行更新时,可以执行以下步骤A1-A2:
A1、若安全设备的当前网络带宽数据满足预设条件,且安全设备的当前响应时长不大于预设值,则基于当前网络带宽数据、当前响应时长、历史平均响应时长对安全设备的权重参数进行更新。
例如,当前网络带宽数据可以是当前网络带宽效率,预设条件可以为:当前网络带宽效率不大于阈值,如阈值为0.9,对此不作限定。当前响应时长对应的预设值也可以根据需要设置,如为10s,对此不作限定。
具体的,可以采用预设规则,基于当前网络带宽效率、当前响应时长、历史平均响应时长对安全设备的权重参数进行更新。
A2、若安全设备的当前网络带宽数据不满足预设条件,和/或,安全设备的当前响应时长大于预设值,则将安全设备的权重参数设置为固定值。
其中,固定值可以根据需要设置,例如为0.5,对此不作限定。
具体的,在添加安全设备到安全设备资源池中时,可以基于安全设备的硬件配置,设置一个初始的权重参数,在调度过程中,会基于实际使用情况,动态调整权重参数,示例性,如图6所示,权重参数的更新流程如下:
对于节点Si,读取当前网络带宽效率K_net以及当前响应时长K_res,如果网络带宽效率K_net大于90%,或者当前响应时长大于10秒钟,则赋予该节点Si一个很小的权重参数,例如0.5。
如果网络带宽效率K_net不大于90%,且当前响应时长不大于10秒钟,则计算节点Si的历史平均响应时长E_res,例如记录最近响应的100次记录,计算平均值,用于权重更新。如:W(Si)_new=W(Si)+0.4*(E_res-K_res)+0.6*(0.8-K_net)。
需要说明的是,上述权重参数更新过程只是示例性的,实际可以根据需要选择更新方式,对此不作限定。
在一些实施例中,从每个设备类型对应的安全设备资源池中选择目标安全设备之后,若确定该设备类型的目标安全设备出现异常状况,则从一个设备类型对应的安全设备资源池中重新选择另一安全设备作为目标安全设备。
具体的,从安全设备资源池中重新选择另一安全设备时,同样可以基于上述实施例的调度流程进行选择。
下面对本申请实施例的基于网络靶场的流量编排系统进行详细介绍。
如图7所示,本申请实施例提出了一种基于网络靶场的流量编排系统的实现方案,通过SDN控制器下发安全服务链构建策略,包括分流策略和流量牵引策略,通过负载均衡实现安全设备资源池的高效利用,并能够借助流量牵引模块按需编排安全服务。SDN控制器可以理解为本申请上述实施例中的控制组件。
基于网络靶场的流量编排系统包括以下几部分:
应用程序编程接口(Application Program Interface,API):为上层业务提供服务,包括服务链的创建、管理;安全事件信息的获取;安全设备信息的注册等服务。其中,安全事件信息为安全设备检测业务流量获得的信息。
服务编排:包括服务链创建,服务链调整以及服务链列表,用于定义和管理安全服务链。
其中,每个服务链包含相应的业务流量需要经过的一个或多个安全设备的类型。针对需要检测的各个业务流量,可以分别创建相应的服务链。
调度器:基于数据库信息、和流量监控信息,对安全设备资源池进行负载均衡调度,并将调度结果,反馈给控制器生成编排策略,流量监控会监控,流量牵引情况,来实时反馈,触发调度器,重新调度,更新编排策略。
编排策略:包括分流策略和流量牵引策略,主要是下发对应的策略配置,引导业务流量按照服务链正确流动。
其中,分流策略是指哪些业务流量执行哪个服务链。比如:基于五元组(源地址、源端口、目标地址、目标端口、网络协议TCP)自定义流量识别器,假设服务链A:IPS-WAF(目的IP 192.168.1.1),服务链B:NF-WAF-IPS(目的IP192.168.2.2),即目的IP为192.168.1.1的业务流量执行服务链A,目的IP为192.168.2.2的业务流量执行服务链B。
流量迁移策略是指针对业务流量选定具体的安全设备之后,需要将对应的策略迁移到对应的安全设备上,比如:服务链是IPS-WAF,IPS资源池有三个设备IPS-1、IPS-2、IPS-3,WAF资源池有2个设备WAF-1、WAF-2,假设选定的安全设备包含IPS-3和WAF-1,那么,将对应的业务流量依次发送到IPS-3和WAF-1上。
流量识别:基于分流策略,识别业务流量;关联对应服务链,并将对应服务ID(Identity document,身份标识)作为服务链标签插入到业务流量的数据包中,为后续的流量牵引做准备。
流量牵引:基于业务流量的数据包中的服务链标签和对应的流量牵引策略,将业务流量按照服务链中的编排顺序,逐个牵引到1个或多个安全设备中。
其中,每个安全设备资源池连接一个逻辑交换机,业务流量经过入口的交换机并经过流量识别后,确定该业务流量需要执行的服务链,并选择具体的安全设备后,将业务流量牵引至所选择的1个或多个安全设备中。
安全分析:包括安全流量分析、安全事件分析、异常警告等功能,基于对来自安全设备的信息反馈,来进行安全信息的分析和展示。
虚拟化平台:提供API调用,用于实例化虚拟安全设备,虚拟化平台可以是openstack,Kubernetes等。
同一安全设备资源池中的不同安全设备可以部署在不同的宿主机(例如服务器)上,且与同一个逻辑交换机连接。如图8所示,IPS资源池由2个IPS(vIPS表示虚拟IPS)安全设备组成,其中一个IPS在宿主机1上,另一个IPS在宿主机2上。
网络靶场通过线路引流方式,识别需要进行流量编排的业务流量,将业务流量引入到安全设备资源池,来进行灵活的流量编排,实现差异化的安全策略。流量编排系统对于编排的安全设备资源池基本没有限制,安全设备资源池可以灵活扩容或者缩容,安全设备均可进行集中统一编排和调度。
如表1所示,有三种类型的安全设备(IPS、NF、WAF),针对不同业务场景定义了三种不同的服务链,服务链定义了业务流量流经不同安全设备资源池的顺序。
表1
服务链名称 | 服务链节点 | 说明 |
NF-WAF | NF-WAF | 流量先流过NF设备,然后再流过WAF设备 |
WAF | WAF | 流量流经WAF |
default | IPS->NF->WAF | 流量依次流过IPS、NF、WAF三个设备 |
表1中,一个服务链对应着一条业务需求,服务链中的每个节点包含一个安全设备的设备类型,用于服务链中安全设备的动态迁移。
当业务流量到达流量编排系统时,会基于业务流量的信息,如源地址、源端口、目标地址、目标端口、网络协议TCP(Transmission Control Protocol,传输控制协议)五元组进行分类,然后根据不同的业务流量关联不同的服务链。
针对到达的业务流量,流量编排系统基于关联的服务链中定义的安全设备类型以及检测顺序,将业务流量依次引导至相应类型的安全设备,并按照定义的顺序依次进行检测,图9是服务链NF->WAF的流量牵引示意图,将业务流量通过逻辑交换机传入安全设备NF,经过安全检测后,再将业务流量经过另一逻辑交换机传入安全设备WAF,继续进行安全检测。
其中,服务链可以自行定制,通过对不同业务需求,个性化、灵活的定制服务链,来实现业务流量按需编排调度。
当安全设备资源池中的安全设备不能够满足业务需求,需要进行扩容时,只需将新的安全设备在流量编排系统中进行注册,即可加入到安全设备资源池中,为全局提供安全服务,这种插入式的服务对现有业务无影响。
本申请实施例中,流量编排系统实现了敏捷自愈机制,实现业务异常或告警,自动切换,对各个安全设备资源池的安全设备进行心跳监控,如图10所示,流量编排系统(即安全服务编排系统)对IPS资源池中的三个安全设备Node1、Node2、Node3进行流量监控。
当安全设备资源池中的某个安全设备出现异常,或者负载过高时,会自动进行节点迁移,例如图11所示,IPS资源池中,Node1节点异常,会重新通过负载均衡选择新的节点,例如Node2,在Node2上下发对应的安全策略,并将业务流量牵引到Node2节点,完成业务流量迁移。
图12示出了本申请实施例提供的流量编排的基本配置过程示意图。
如图12所示,流量编排的基本配置过程包括:
步骤S1201,基于业务需求和各个安全设备资源池,配置业务流量对应的服务链,生成分流策略。
步骤S1202,针对到达的业务流量,基于配置的服务链,采用负载均衡算法在各个安全设备资源池中选择安全设备,确定一个或多个安全设备。
步骤S1203,基于确定的各个安全设备,生成流量牵引策略。
步骤S1204,基于确定的各个安全设备,在开放虚拟网络OVN上生成对应的路由策略。
步骤S1205,基于流量牵引策略和路由策略,配置引导业务流量进入各个安全设备的逻辑交换机对应端口。
本申请实施例至少具有以下优点:
1、基于虚实互联,将物理安全设备纳入安全设备资源池,充分利用现有的安全设备资源,实现了物理安全设备、虚拟安全设备混合编排调度。
2、定义逻辑上的服务链,用户不需要关心具体用到哪个安全设备,只要基于安全设备类型定义业务流量流经线路即可,可以基于业务需求灵活配置。
3、基于配置的服务链,采用负载均衡算法均衡选择各个安全设备资源池中的安全设备,确定业务流量流经的各个安全设备,避免业务流量集中于某个安全设备。
4、基于确定的服务链对应的各个安全设备,配置开放虚拟网络OVN的路由策略,来重定向业务流量,使其流向指定的安全设备。
5、监控安全设备,实现实时业务流量动态调整,敏捷自愈。
综上,本申请实施例将安全设备资源与靶场网络拓扑进行解耦,能够帮助网络靶场灵活、高效利用安全设备资源;实现了安全设备在多个网络拓扑中共享使用;解决了靶场网络拓扑安全设备扩展问题,实现了安全设备动态扩展功能;实现了物理安全设备与虚拟安全设备的混合使用;实现了靶场业务对安全设备的需求,进行个性化、灵活的、按需流量编排;实现了安全设备资源的动态增删类型,动态调整资源池、动态业务调整;实现了业务流量动态调整,敏捷自愈。
参阅图13所示,本申请实施例提供的一种基于网络靶场的流量编排方法,可以由服务器执行,包括以下步骤S1301-S1303:
步骤S1301,基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,目标服务链信息包括目标业务流量需依次经过的至少一个安全设备的设备类型。
步骤S1302,针对至少一个设备类型中的每个设备类型,从该设备类型对应的安全设备资源池中选择目标安全设备,该安全设备资源池中包括多个属于该设备类型的安全设备。
步骤S1303,控制目标业务流量依次经过选择的至少一个目标安全设备,以使至少一个目标安全设备分别对目标业务流量进行安全检测。
在一些可能的实施例中,步骤S1302中从设备类型对应的安全设备资源池中选择目标安全设备,具体包括:
获取安全设备资源池中的每个安全设备对应的编排信息;其中,编排信息包括以下至少一种参数:待检测的业务流量数量、权重参数,权重参数表示安全设备的网络状况;
从安全设备资源池中选择编排信息满足设定条件的安全设备,作为目标安全设备。
在一些可能的实施例中,当编排信息包括权重参数时,方法还包括以下步骤:
每隔设定时长,基于安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新;其中,当前网络状况基于以下至少一种参数确定:当前网络带宽数据、当前响应时长、历史平均响应时长。
可选的,基于安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新时,可以针对安全设备资源池中的每个安全设备,执行以下操作:
若安全设备的当前网络带宽数据满足预设条件,且安全设备的当前响应时长不大于预设值,则基于当前网络带宽数据、当前响应时长、历史平均响应时长对安全设备的权重参数进行更新;
若安全设备的当前网络带宽数据不满足预设条件,和/或,安全设备的当前响应时长大于预设值,则将安全设备的权重参数设置为固定值。
在一些可能的实施例中,识别目标业务流量对应的目标服务链信息之后,还可以将目标服务链标识插入目标业务流量的数据包中。
进一步地,若目标安全设备为多个,则控制目标业务流量依次经过选择的至少一个目标安全设备,包括迭代执行以下操作,直至获得最后一个目标安全设备的检测结果:
将插入目标服务链标识后的数据包发送至一个目标安全设备,并获得一个目标安全设备对数据包的检测结果后,将数据包发送至下一个目标安全设备。
在一些可能的实施例中,针对至少一个设备类型中的每个设备类型,从设备类型对应的安全设备资源池中选择目标安全设备之后,还可以执行以下步骤:
若确定一个设备类型的目标安全设备出现异常状况,则从一个设备类型对应的安全设备资源池中重新选择另一安全设备作为目标安全设备。
在一些可能的实施例中,每个设备类型对应的安全设备资源池中包括虚拟安全设备和/或物理安全设备;其中,物理安全设备通过网络地址转换接入虚拟安全设备所在的虚拟网络。
与本申请上述方法实施例基于同一发明构思,本申请实施例中还提供了一种基于网络靶场的流量编排装置,该装置解决问题的原理与上述实施例的方法相似,因此该装置的实施可以参见上述方法的实施,重复之处不再赘述。
参阅图14所示,本申请实施例提供一种基于网络靶场的流量编排装置,包括:
识别模块141,用于基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,目标服务链信息包括目标业务流量需依次经过的至少一个安全设备的设备类型;
选择模块142,用于针对至少一个设备类型中的每个设备类型,从设备类型对应的安全设备资源池中选择目标安全设备,安全设备资源池中包括多个属于设备类型的安全设备;
控制模块143,用于控制目标业务流量依次经过选择的至少一个目标安全设备,以使至少一个目标安全设备分别对目标业务流量进行检测。
在一些可能的实施例中,选择模块142具体用于:
获取安全设备资源池中的每个安全设备对应的编排信息;其中,编排信息包括以下至少一种参数:待检测的业务流量数量、权重参数,权重参数表示安全设备的网络状况;
从安全设备资源池中选择编排信息满足设定条件的安全设备,作为目标安全设备。
在一些可能的实施例中,当编排信息包括权重参数时,装置还包括更新模块,用于:
每隔设定时长,基于安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新;
其中,当前网络状况基于以下至少一种参数确定:当前网络带宽数据、当前响应时长、历史平均响应时长。
在一些可能的实施例中,更新模块具体用于:
针对安全设备资源池中的每个安全设备,执行以下操作:
若安全设备的当前网络带宽数据满足预设条件,且安全设备的当前响应时长不大于预设值,则基于当前网络带宽数据、当前响应时长、历史平均响应时长对安全设备的权重参数进行更新;
若安全设备的当前网络带宽数据不满足预设条件,和/或,安全设备的当前响应时长大于预设值,则将安全设备的权重参数设置为固定值。
在一些可能的实施例中,装置还包括插入模块,用于:
将目标服务链标识插入目标业务流量的数据包中;
若目标安全设备为多个,则控制模块143具体用于:
将插入目标服务链标识后的数据包发送至一个目标安全设备,并获得一个目标安全设备对数据包的检测结果后,将数据包发送至下一个目标安全设备。
在一些可能的实施例中,选择模块142还用于:
若确定一个设备类型的目标安全设备出现异常状况,则从一个设备类型对应的安全设备资源池中重新选择另一安全设备作为目标安全设备。
在一些可能的实施例中,每个设备类型对应的安全设备资源池中包括虚拟安全设备和/或物理安全设备;其中,物理安全设备通过网络地址转换接入虚拟安全设备所在的虚拟网络。
与本申请上述方法实施例基于同一发明构思,本申请实施例中还提供了一种电子设备,该电子设备解决问题的原理与上述实施例的方法相似,因此该电子设备的实施可以参见上述方法的实施,重复之处不再赘述。
参阅图15所示,电子设备可以包括处理器152和存储器151。存储器151向处理器152提供存储器151中存储的程序指令和数据。在本公开实施例中,存储器151可以用于存储本公开实施例中基于网络靶场的流量编排的程序。
处理器152通过调用存储器151存储的程序指令,处理器152用于执行上述任一方法实施例中的基于网络靶场的流量编排方法,例如图13所示的基于网络靶场的流量编排方法。
本公开实施例中不限定上述存储器151和处理器152之间的具体连接介质。本公开实施例在图15中以存储器151和处理器152之间通过总线153连接,总线153在图15中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线153可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器可以包括只读存储器(Read-Only Memory,ROM)和随机存取存储器(RandomAccess Memory,RAM),还可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字指令处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
本公开实施例还提供了一种计算机存储介质,该计算机可读存储介质内存储有计算机程序,电子设备的处理器从计算机可读存储介质读取该计算机程序,处理器执行该计算机程序,使得该电子设备执行上述任一方法实施例中的基于网络靶场的流量编排方法。
在具体的实施过程中,计算机存储介质可以包括:通用串行总线闪存盘(USB,Universal Serial Bus Flash Drive)、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的存储介质。
与上述方法实施例基于同一发明构思,本申请实施例提供了一种计算机程序产品,该计算机程序产品包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行上述任意一种基于网络靶场的流量编排方法的步骤。
计算机程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种基于网络靶场的流量编排方法,其特征在于,包括:
基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,所述目标服务链信息包括所述目标业务流量需依次经过的至少一个安全设备的设备类型;
针对至少一个设备类型中的每个设备类型,从所述设备类型对应的安全设备资源池中选择目标安全设备,所述安全设备资源池中包括多个属于所述设备类型的安全设备;
控制所述目标业务流量依次经过选择的至少一个目标安全设备,以使所述至少一个目标安全设备分别对所述目标业务流量进行安全检测。
2.根据权利要求1所述的方法,其特征在于,所述从所述设备类型对应的安全设备资源池中选择目标安全设备,包括:
获取所述安全设备资源池中的每个安全设备对应的编排信息;其中,所述编排信息包括以下至少一种参数:待检测的业务流量数量、权重参数,所述权重参数表示安全设备的网络状况;
从所述安全设备资源池中选择编排信息满足设定条件的安全设备,作为所述目标安全设备。
3.根据权利要求2所述的方法,其特征在于,当所述编排信息包括所述权重参数时,所述方法还包括:
每隔设定时长,基于所述安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新;
其中,所述当前网络状况基于以下至少一种参数确定:当前网络带宽数据、当前响应时长、历史平均响应时长。
4.根据权利要求3所述的方法,其特征在于,所述基于所述安全设备资源池中的每个安全设备的当前网络状况,对每个安全设备的权重参数进行更新,包括:
针对所述安全设备资源池中的每个安全设备,执行以下操作:
若所述安全设备的当前网络带宽数据满足预设条件,且所述安全设备的当前响应时长不大于预设值,则基于所述当前网络带宽数据、所述当前响应时长、所述历史平均响应时长对所述安全设备的权重参数进行更新;
若所述安全设备的当前网络带宽数据不满足所述预设条件,和/或,所述安全设备的当前响应时长高于所述预设值,则将所述安全设备的权重参数设置为固定值。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述识别目标业务流量对应的目标服务链信息之后,还包括:
将目标服务链标识插入所述目标业务流量的数据包中;
若所述目标安全设备为多个,则所述控制所述目标业务流量依次经过选择的至少一个目标安全设备,包括迭代执行以下操作,直至获得最后一个目标安全设备的检测结果:
将插入目标服务链标识后的数据包,通过一个逻辑交换机发送至一个目标安全设备,并获得所述一个目标安全设备对所述数据包的检测结果后,将所述数据包通过另一逻辑交换机发送至下一个目标安全设备。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述针对至少一个设备类型中的每个设备类型,从所述设备类型对应的安全设备资源池中选择目标安全设备之后,还包括:
若确定一个设备类型的目标安全设备出现异常状况,则从所述一个设备类型对应的安全设备资源池中重新选择另一安全设备作为目标安全设备。
7.根据权利要求1至4任一项所述的方法,其特征在于,每个设备类型对应的安全设备资源池中包括虚拟安全设备和/或物理安全设备;其中,所述物理安全设备通过网络地址转换接入所述虚拟安全设备所在的虚拟网络。
8.一种基于网络靶场的流量编排装置,其特征在于,包括:
识别模块,用于基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,所述目标服务链信息包括所述目标业务流量需依次经过的至少一个安全设备的设备类型;
选择模块,用于针对至少一个设备类型中的每个设备类型,从所述设备类型对应的安全设备资源池中选择目标安全设备,所述安全设备资源池中包括多个属于所述设备类型的安全设备;
控制模块,用于控制所述目标业务流量依次经过选择的至少一个目标安全设备,以使所述至少一个目标安全设备分别对所述目标业务流量进行检测。
9.一种基于网络靶场的流量编排系统,其特征在于,包括:控制节点和至少一个检测节点,所述控制节点包括控制组件和至少一个逻辑交换机,每个检测节点包括与一个逻辑交换机连接的安全设备资源池,所述安全设备资源池包括属于相应设备类型的多个安全设备;
所述控制组件,用于基于业务流量与服务链信息的对应关系,识别目标业务流量对应的目标服务链信息,所述目标服务链信息包括所述目标业务流量需依次经过的至少一个安全设备的设备类型;并针对至少一个设备类型中的每个设备类型,从所述设备类型对应的安全设备资源池中选择目标安全设备;通过所述至少一个逻辑交换机控制所述目标业务流量依次经过选择的至少一个目标安全设备;
所述目标安全设备,用于对所述目标业务流量进行安全检测。
10.一种电子设备,其特征在于,包括处理器和存储器,其中,所述存储器存储有计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1~7任一项所述方法的步骤。
11.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,当所述计算机程序在计算机上运行时,使得计算机执行权利要求1~7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211687220.7A CN116016213A (zh) | 2022-12-27 | 2022-12-27 | 一种基于网络靶场的流量编排方法、装置、系统及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211687220.7A CN116016213A (zh) | 2022-12-27 | 2022-12-27 | 一种基于网络靶场的流量编排方法、装置、系统及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116016213A true CN116016213A (zh) | 2023-04-25 |
Family
ID=86020514
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211687220.7A Pending CN116016213A (zh) | 2022-12-27 | 2022-12-27 | 一种基于网络靶场的流量编排方法、装置、系统及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116016213A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116708043A (zh) * | 2023-08-08 | 2023-09-05 | 南京赛宁信息技术有限公司 | 一种网络靶场中用户流量追踪方法与系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
CN112822037A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
US11252192B1 (en) * | 2018-09-28 | 2022-02-15 | Palo Alto Networks, Inc. | Dynamic security scaling |
CN115113982A (zh) * | 2022-07-14 | 2022-09-27 | 中国联合网络通信集团有限公司 | 一种安全资源池安全服务匹配方法、装置及存储介质 |
-
2022
- 2022-12-27 CN CN202211687220.7A patent/CN116016213A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11252192B1 (en) * | 2018-09-28 | 2022-02-15 | Palo Alto Networks, Inc. | Dynamic security scaling |
CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
CN112822037A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
CN115113982A (zh) * | 2022-07-14 | 2022-09-27 | 中国联合网络通信集团有限公司 | 一种安全资源池安全服务匹配方法、装置及存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116708043A (zh) * | 2023-08-08 | 2023-09-05 | 南京赛宁信息技术有限公司 | 一种网络靶场中用户流量追踪方法与系统 |
CN116708043B (zh) * | 2023-08-08 | 2023-11-10 | 南京赛宁信息技术有限公司 | 一种网络靶场中用户流量追踪方法与系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11722559B2 (en) | Distributed service chain across multiple clouds | |
CN108293001B (zh) | 一种软件定义数据中心及其中的服务集群的部署方法 | |
US11283717B2 (en) | Distributed fault tolerant service chain | |
CN107342895B (zh) | 一种多租户的网络优化方法、系统、计算设备及存储介质 | |
CN104363159B (zh) | 一种基于软件定义网络的开放虚拟网络构建系统和方法 | |
CN108293009B (zh) | 一种软件定义数据中心及其中的服务集群的调度方法 | |
EP2989545B1 (en) | Defining interdependent virtualized network functions for service level orchestration | |
CA2562010C (en) | Intelligent adjunct network device | |
CN110601983A (zh) | 一种协议无感知源路由转发方法及系统 | |
WO2021086462A1 (en) | Distributed service chain across multiple clouds | |
EP3269088B1 (en) | Method, computer program, network function control system, service data and record carrier, for controlling provisioning of a service in a network | |
CN104584484A (zh) | 提供基于策略的数据中心网络自动化的系统和方法 | |
CN108777640B (zh) | 一种服务器探测方法、装置、系统及存储介质 | |
US10630508B2 (en) | Dynamic customer VLAN identifiers in a telecommunications network | |
US20180077048A1 (en) | Controller, control method and program | |
CN106953945A (zh) | 基于sdn实现的域名智能解析方法及装置、服务器 | |
CN110417870A (zh) | 配置文件管理方法、装置、设备和存储介质 | |
CN106664248A (zh) | 在软件定义网络中路由数据包的方法和控制器 | |
CN116016213A (zh) | 一种基于网络靶场的流量编排方法、装置、系统及设备 | |
EP3399424B1 (en) | Using unified api to program both servers and fabric for forwarding for fine-grained network optimizations | |
CN105556907B (zh) | 用于改善云路由服务性能的方法和装置 | |
CN114024747A (zh) | 基于软件定义nfv的安全服务链编排部署方法及系统 | |
CN114039764A (zh) | 基于软件定义安全的安全服务功能链设计方法及系统 | |
Li et al. | CoMan: Managing bandwidth across computing frameworks in multiplexed datacenters | |
Clayman et al. | Experimenting with control operations in software-defined infrastructures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |