基于虚拟交换机的虚拟化平台安全防护方法、装置和系统制造方法及图纸

本发明专利技术实施例提供一种基于虚拟交换机的虚拟化平台安全防护方法、装置和系统，通过虚拟交换机中的第一接口对虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截，采用数据特征库中与网络安全策略对应的特征信息检测数据包是否安全，若是，则通过虚拟交换机中的第二接口发送给第二设备。从而避免了将虚拟交换机中的通信流量导入到外部系统进行安全检测，提高了安全检测的处理效率，并且降低了通信交互的时延。

【技术实现步骤摘要】
基于虚拟交换机的虚拟化平台安全防护方法、装置和系统
本专利技术涉及通信
，尤其涉及一种基于虚拟交换机的虚拟化平台安全防护方法、装置和系统。
技术介绍
虚拟化平台上的设备之间通过至少一个虚拟交换机进行通信交互，这些通信交互包括：从物理机到虚拟机的通信交互、从虚拟机到物理机的通信交互，以及虚拟机之间的通信交互。为了保证虚拟化平台的通信安全，需要对上述通信交互过程中的通信流量进行安全检测。现有技术主要是重新配置通信交互过程中涉及到的通信设备的端口，将经过所有虚拟交互机的通信流量全部重定向到外部安全系统进行检测。由此可见，现有技术需要将所有的通信流量全部导入到外部安全系统进行检测，随着通信流量的增大，海量数据的导入导出降低了通信效率，而且外部安全系容易出现处理瓶颈，影像处理效率。
技术实现思路
本专利技术实施例提供一种基于虚拟交换机的虚拟化平台安全防护方法、装置和系统。技术方案如下：根据本专利技术实施例的第一方面，提供一种基于虚拟交换机的虚拟化平台安全防护方法，该方法包括：接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；若判断获知所述数据包符合所述网络安全策略，则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。根据本专利技术实施例的第二方面，提供一种基于虚拟交换机的虚拟化平台安全防护装置，该装置包括：接收模块，用于接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；检测模块，用于采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；发送模块，用于若判断获知所述数据包符合所述网络安全策略，则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。根据本专利技术实施例的第三方面，提供了一种基于虚拟交换机的虚拟化平台安全防护系统，该系统包括：位于虚拟化平台上的第一设备、第二设备，以及虚拟交换机，其中，所述第一设备和第二设备均包括：虚拟化平台上的物理机，或者，部署在物理机上的虚拟机，所述虚拟交换机包括如上所述的基于虚拟交换机的虚拟化平台安全防护装置。本专利技术实施例提供的基于虚拟交换机的虚拟化平台安全防护方法、装置和系统，通过虚拟交换机中的第一接口对虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截，采用数据特征库中与网络安全策略对应的特征信息检测数据包是否安全，若是，则通过虚拟交换机中的第二接口发送给第二设备。从而避免了将虚拟交换机中的通信流量导入到外部系统进行安全检测，提高了安全检测的处理效率，并且降低了通信交互的时延。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本专利技术。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；图2是本专利技术实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；图3是本专利技术实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；图4是本专利技术实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；图5是本专利技术实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；图6是本专利技术实施例提供的一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；图7是本专利技术实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；图8是本专利技术实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；图9是本专利技术实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；图10是本专利技术实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；图11是本专利技术实施例提供的一种基于虚拟交换机的虚拟化平台安全防护系统的结构示意图。通过上述附图，已示出本专利技术明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本专利技术构思的范围，而是通过参考特定实施例为本领域技术人员说明本专利技术的概念。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1是本专利技术实施例提供的一种基于虚拟交换机的虚拟化平台安全防护方法的流程图，如图1所示，该方法具体包括：步骤101，接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；虚拟化平台上包括至少一个物理机，通过虚拟化技术可将一台物理机虚拟成多台虚拟机，以及在虚拟化平台上虚拟出来至少一个虚拟交换机。其中，每个虚拟机可运行不同的操作系统和应用，不同的虚拟机之间，以及虚拟机与物理机之间可以通过虚拟交换机进行通信交互。由于虚拟化平台上进行通信交互的通信双方的类型较多，包括：虚拟机通过虚拟交换机向虚拟机发送数据包，或者，物理机通过虚拟交换机向虚拟机发送数据包，虚拟机通过虚拟交换机向物理机发送数据包。因此，为了更清楚的说明本实施例提供的基于虚拟交换机的虚拟化平台安全防护方法，以虚拟化平台上的第一设备和第二设备为执行主体通过虚拟交换机进行通信交互为例进行具体说明。其中，第一设备包括：物理机或者虚拟机；第二设备包括：物理机或者虚拟机。预先在虚拟交换机中设置的第一接口，第一接口用于对虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截。需要注意的是，第一接口的位置可以根据实际应用需要在通信链路上进行选择，比如：通信链路的入口，或者中间位置，即在数据包通过通信链路流出虚拟交换机之前的位置均可以作为第一接口的设置位置。需要说明的是，第一接口的生成方式有很多，可以根据应用需要进行选择，本实施例对此不做限制，举例说明如下：可以通过钩子Hook程序在虚拟交换机中进行生成，也可以从虚拟化平台上的控制中心获取固化好的接口进行安装。当第一设备通过虚拟交换机预先建立的通信链路向第二设备发送数据包时，第一接口用于对通信链路上的数据包进行拦截，并发送给数据特征库进行安全检测。步骤102，采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；虚拟交换机中预先设置有数据特征库，数据特征库中包括有与网络安全策略对应的特征信息。其中，网络安全策略包括：网络权限审计、网络攻击检测、以及流量入侵中的至少一种，可以根据网络应本文档来自技高网...

【技术保护点】
一种基于虚拟交换机的虚拟化平台安全防护方法，其特征在于，所述方法包括：接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；若判断获知所述数据包符合所述网络安全策略，则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。

【技术特征摘要】
1.一种基于虚拟交换机的虚拟化平台安全防护方法，其特征在于，所述方法包括：接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；若判断获知所述数据包符合所述网络安全策略，则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备；所述接收虚拟交换机中的第一接口发送的数据包之前，还包括：应用钩子程序在所述通信链路上设置用于拦截所述数据包的第一注册点，并对所述第一注册点进行封装建立所述第一接口；和/或，应用钩子程序在所述通信链路上设置用于转发所述数据包的第二注册点，并对所述第二注册点进行封装建立所述第二接口；若判断获知所述数据包不符合所述网络安全策略，则根据所述网络安全策略中的网络威胁类型，对所述数据包进行安全防护处理。2.根据权利要求1所述的方法，其特征在于，所述网络安全策略包括：网络权限审计、网络攻击检测、以及流量入侵中的至少一种。3.根据权利要求2所述的方法，其特征在于，所述网络安全策略为网络权限审计，与所述网络安全策略对应的特征信息包括：IP地址信息，以及与IP地址信息对应的网络访问权限信息；所述采用数据特征库检测所述数据包是否符合预设的网络安全策略，包括：获取与所述数据包的源IP对应的网络访问权限信息，根据所述网络访问权限信息检测对目的IP的合法性进行审计；所述根据所述网络安全策略中的网络威胁类型，对所述数据包进行安全防护处理，包括：若判断获知所述目的IP不合法，则根据所述将所述网络访问权限信息对所述目的IP修改为合法权限IP，并将修改后的数据包发送给所述第二接口。4.根据权利要求2所述的方法，其特征在于，所述网络安全策略为网络攻击检测，与所述网络安全策略对应的特征信息包括：与数据包的通信协议对应的关键字段，以及攻击字符串的描述信息；所述采用数据特征库检测所述数据包是否符合预设的网络安全策略，包括：确定所述数据包应用的通信协议；获取与所述通信协议对应的关键字段中的数据信息，判断所述关键字段中的数据信息中是否包括所述攻击字符串的描述信息；所述根据所述网络安全策略中的网络威胁类型，对所述数据包进行安全防护处理，包括：若判断获知所述关键字段中的数据信息包括攻击字符串的描述信息，则丢弃所述数据包；或者，对所述数据包进行过滤处理后获取符合所述网络安全策略的数据包，并发送给所述第二接口。5.根据权利要求2所述的方法，其特征在于，所述网络安全策略为流量入侵，与所述网络安全策略对应的特征信息包括：数据包的格式信息，以及预设时间内与所述格式信息对应的流量阈值，其中，所述格式信息包括：头文件信息、中间文件的格式、以及结束文件的格式中的至少一种；所述采用数据特征库检测所述数据包是否符合预设的网络安全策略，包括：将所述数据包的头文件信息、中间文件的格式、以及结束文件的格式与所述特征信息中的格式信息进行匹配；判断预设时间内匹配成功的数据包的流量是否超过预设的流量阈值；所述根据所述网络安全策略中的网络威胁类型，对所述数据包进行安全防护处理，包括：若判断获知预设时间内匹配成功的数据包的流量超过所述流量阈值，则丢弃所述数据包。6.一种基于虚拟交换机的虚拟化平台安全防护装置，其特征在于，所...

【专利技术属性】
技术研发人员：汪圣平，
申请(专利权)人：北京奇虎科技有限公司，北京奇安信科技有限公司，
类型：发明
国别省市：北京;11