一种安全策略下发方法及装置制造方法及图纸

本发明专利技术公开了一种安全策略下发方法及装置。该方法包括：将安全策略下发到至少一个安全设备中的第一安全设备；在第一预设周期内，确定所述至少一个安全设备中剩余流量值大于第一流量阈值的安全设备中每个安全设备的流量使用率，并根据每个安全设备的流量使用率和第一指标值，确定每个安全设备的第二指标值；若所述第一安全设备不为所述剩余流量值大于第一流量阈值的安全设备中第二指标值最小的安全设备，则将所述第二指标值最小的安全设备作为第二安全设备，并将所述安全策略下发至所述第二安全设备。

A Method and Device for Security Policy Delivery

The invention discloses a security strategy delivery method and device. The method includes: sending the security policy to the first security device in at least one security device; determining the flow utilization rate of each security device in the security device whose residual flow value is greater than the first flow threshold in the at least one security device in the first preset cycle, and determining each security device according to the flow utilization rate of each security device and the first index value. The second index value; if the first security device is not the security device with the smallest second index value in the security device whose residual flow value is greater than the first flow threshold, the security device with the smallest second index value is regarded as the second security device, and the security policy is sent to the second security device.

【技术实现步骤摘要】
一种安全策略下发方法及装置
本专利技术涉及网络安全领域，尤其涉及一种安全策略下发方法及装置。
技术介绍
云计算资源池中的安全设备用于根据下发的安全策略，进行安全防护。资源控制器在接收到租户下发的一个安全策略后，需要选取一个安全设备应用该安全策略。然而，现有技术中，安全策略在指定了安全设备后，一直是这个安全设备在应用该安全策略，无法根据流量使用情况自动调整该安全策略的安全设备。因此，急需一种能根据流量使用情况自动调整安全策略对应安全设备的方法。
技术实现思路
本申请实施例提供了一种安全策略下发方法及装置，解决了现有技术中无法根据流量分布情况自动调整安全策略的安全设备的问题。本专利技术实施例提供一种安全策略下发方法，该方法包括：将安全策略下发到至少一个安全设备中的第一安全设备；在第一预设周期内，确定所述至少一个安全设备中剩余流量值大于第一流量阈值的安全设备中每个安全设备的流量使用率，并根据每个安全设备的流量使用率和第一指标值，确定每个安全设备的第二指标值；所述每个安全设备的第一指标值指示出了该安全设备的资源占用率；若所述第一安全设备不为所述剩余流量值大于第一流量阈值的安全设备中第二指标值最小的安全设备，则将所述第二指标值最小的安全设备作为第二安全设备，并将所述安全策略下发至所述第二安全设备。可选的，所述将安全策略下发到至少一个安全设备中的第一安全设备之前，还包括：根据所述至少一个安全设备中每个安全设备的资源占用率中每一项的值，确定每个安全设备的第一指标值；每个安全设备的资源占用率包括以下至少一项：该安全设备的中央处理器CPU占用率、内存占用率、策略占用率、时延占用率；将所述至少一个安全设备中第一指标值最小的安全设备，作为所述第一安全设备。可选的，所述确定每个安全设备的第一指标值，包括：根据所述每个安全设备的资源占用率中每一项的值与该项权重值，确定出该安全设备的加权平均值；将该安全设备的加权平均值，作为该安全设备的第一指标值。可选的，所述确定每个安全设备的第二指标值，包括：将每个安全设备的第一指标值与流量使用率的平均值，作为该安全设备的第二指标值。可选的，所述方法包括：若在连续K个第二预设周期内，所述第二安全设备的流量使用率小于所述第一流量使用率阈值，则将所述安全策略重新下发至第三安全设备，并将所述第二安全设备从所述至少一个安全设备中删除；N为大于1的整数；所述第三安全设备为所述至少一个安全设备中任一设备。本专利技术实施例提供一种安全策略下发装置，该装置包括：下发模块，用于将安全策略下发到至少一个安全设备中的第一安全设备；处理模块，用于在第一预设周期内，确定所述至少一个安全设备中剩余流量值大于第一流量阈值的安全设备中每个安全设备的流量使用率，并根据每个安全设备的流量使用率和第一指标值，确定每个安全设备的第二指标值；所述每个安全设备的第一指标值指示出了该安全设备的资源占用率；所述下发模块还用于，若所述第一安全设备不为所述剩余流量值大于第一流量阈值的安全设备中第二指标值最小的安全设备，则将所述第二指标值最小的安全设备作为第二安全设备，并将所述安全策略下发至所述第二安全设备。可选的，所述处理模块，还用于根据所述至少一个安全设备中每个安全设备的资源占用率中每一项的值，确定每个安全设备的第一指标值；每个安全设备的资源占用率包括以下至少一项：该安全设备的中央处理器CPU占用率、内存占用率、策略占用率、时延占用率；将所述至少一个安全设备中第一指标值最小的安全设备，作为所述第一安全设备。可选的，所述处理模块，具体用于根据所述每个安全设备的资源占用率中每一项的值与该项权重值，确定出该安全设备的加权平均值；将该安全设备的加权平均值，作为该安全设备的第一指标值。可选的，所述处理模块，还用于将每个安全设备的第一指标值与流量使用率的平均值，作为该安全设备的第二指标值。可选的，所述下发模块，还用于若在连续K个第二预设周期内，所述第二安全设备的流量使用率小于所述第一流量使用率阈值，则将所述安全策略重新下发至第三安全设备，并将所述第二安全设备从所述至少一个安全设备中删除；N为大于1的整数；所述第三安全设备为所述至少一个安全设备中任一设备。本专利技术实施例先将安全策略暂时下发至第一安全设备，每隔一个第一预设周期，根据各安全设备的第一指标值和流量使用率，确定一次各安全设备的第二指标值，若所述第一安全设备不为所述第二指标值最小的安全设备，则将安全策略下发至第二指标值最小的安全设备，从而每隔一个第一预设周期，都确定一次把所述安全策略下发至第二指标值最小的安全设备，实现了自动调整，因此，安全策略不会一直运行在一个安全设备，提升了安全策略管理的灵活性。附图说明图1为本专利技术实施例提出的一种安全策略下发方法对应的应用场景架构图；图2为本专利技术实施例提出的一种安全策略下发方法对应的步骤流程图；图3为本专利技术实施例提出的一种安全策略下发装置对应的结构示意图。具体实施方式为了更好的理解上述技术方案，下面将结合说明书附图及具体的实施方式对上述技术方案进行详细的说明，应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲突的情况下，本申请实施例以及实施例中的技术特征可以相互结合。云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池(资源包括网络，服务器，存储，应用软件，服务)，这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。在网络安全领域，云计算使用虚拟化技术，以虚拟机的形式提供所有的安全服务。如图1所示，为本专利技术实施例提出的一种安全策略下发方法对应的应用场景的架构图。云平台中维护了租户的服务器，这些服务器通常存储着大量重要的租户数据，需要较完善的防护措施。云平台中各租户的流量会通过云平台通道发送至安全系统。安全系统为云平台中的服务器提供了防护措施，各租户的数据流量都会经过安全系统进行防护后，再流向云平台。安全系统包括三层：业务层、引擎层和设备层。业务层维护着一个门户服务，该门户服务负责生成每个服务器对应的安全防护方案，即安全策略。引擎层包括日志服务器、安全分流器和资源控制器。其中，日志服务器用于收集安全设备的处理日志信息，并进行分析，生成日志告警信息；安全分流器用于提取设备层中的流量信息，将租户的流量信息分发给设备层，以及对设备层的流量进行控制；资源控制器掌握所有资源的情况，用于对设备层管理。设备层为一个通过云计算虚拟化的一个安全资源池，这个安全资源池又虚拟化为多个虚拟安全资源池服务器，每个虚拟安全资源池服务器都包括多个安全设备；其中，安全设备根据下发至该安全设备的安全策略，对相应租户的服务器进行安全防护。设备层对外整体表现为一个安全资源池，所有安全服务由这个安全资源池提供，设备层屏蔽了安全资源池中各个安全设备之间交互的内部细节。安全系统中业务层、引擎层和设备层之间会进行数据交互。门户服务实体与日志服务器、资源控制器之间都有一条控制通道，用于传输控制信令。门户服务实体与日志服务器之间还有一条日志告警通道，用于传输日志告警信息。门户服务实体与资源服务器之间还有一条安全服务通道，用于门户服务实体将生成的安全策略转发至资源控制器。引擎层中，安全本文档来自技高网...

【技术保护点】
1.一种安全策略下发方法，其特征在于，包括：将安全策略下发到至少一个安全设备中的第一安全设备；在第一预设周期内，确定所述至少一个安全设备中剩余流量值大于第一流量阈值的安全设备中每个安全设备的流量使用率，并根据每个安全设备的流量使用率和第一指标值，确定每个安全设备的第二指标值；所述每个安全设备的第一指标值指示出了该安全设备的资源占用率；若所述第一安全设备不为所述剩余流量值大于第一流量阈值的安全设备中第二指标值最小的安全设备，则将所述第二指标值最小的安全设备作为第二安全设备，并将所述安全策略下发至所述第二安全设备。

【技术特征摘要】
1.一种安全策略下发方法，其特征在于，包括：将安全策略下发到至少一个安全设备中的第一安全设备；在第一预设周期内，确定所述至少一个安全设备中剩余流量值大于第一流量阈值的安全设备中每个安全设备的流量使用率，并根据每个安全设备的流量使用率和第一指标值，确定每个安全设备的第二指标值；所述每个安全设备的第一指标值指示出了该安全设备的资源占用率；若所述第一安全设备不为所述剩余流量值大于第一流量阈值的安全设备中第二指标值最小的安全设备，则将所述第二指标值最小的安全设备作为第二安全设备，并将所述安全策略下发至所述第二安全设备。2.如权利要求1所述的方法，其特征在于，所述将安全策略下发到至少一个安全设备中的第一安全设备之前，还包括：根据所述至少一个安全设备中每个安全设备的资源占用率中每一项的值，确定每个安全设备的第一指标值；每个安全设备的资源占用率包括以下至少一项：该安全设备的中央处理器CPU占用率、内存占用率、策略占用率、时延占用率；将所述至少一个安全设备中第一指标值最小的安全设备，作为所述第一安全设备。3.如权利要求2所述的方法，其特征在于，所述确定每个安全设备的第一指标值，包括：根据所述每个安全设备的资源占用率中每一项的值与该项权重值，确定出该安全设备的加权平均值；将该安全设备的加权平均值，作为该安全设备的第一指标值。4.如权利要求1-3任一所述的方法，其特征在于，所述确定每个安全设备的第二指标值，包括：将每个安全设备的第一指标值与流量使用率的平均值，作为该安全设备的第二指标值。5.如权利要求1-3任一所述的方法，其特征在于，包括：若在连续K个第二预设周期内，所述第二安全设备的流量使用率小于所述第一流量使用率阈值，则将所述安全策略重新下发至第三安全设备，并将所述第二安全设备从所述至少一个安全设备中删除；N为大于1的整数；所述第三安全设备为所述至少一个安全设备中...

【专利技术属性】
技术研发人员：何丹丹，王刚刚，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11