【技术实现步骤摘要】
基于虚拟交换机的虚拟化平台安全防护方法、装置和系统
本专利技术涉及通信
,尤其涉及一种基于虚拟交换机的虚拟化平台安全防护方法、装置和系统。
技术介绍
虚拟化平台上的设备之间通过至少一个虚拟交换机进行通信交互,这些通信交互包括:从物理机到虚拟机的通信交互、从虚拟机到物理机的通信交互,以及虚拟机之间的通信交互。为了保证虚拟化平台的通信安全,需要对上述通信交互过程中的通信流量进行安全检测。现有技术主要是重新配置通信交互过程中涉及到的通信设备的端口,将经过所有虚拟交互机的通信流量全部重定向到外部安全系统进行检测。由此可见,现有技术需要将所有的通信流量全部导入到外部安全系统进行检测,随着通信流量的增大,海量数据的导入导出降低了通信效率,而且外部安全系容易出现处理瓶颈,影像处理效率。
技术实现思路
本专利技术实施例提供一种基于虚拟交换机的虚拟化平台安全防护方法、装置和系统。技术方案如下:根据本专利技术实施例的第一方面,提供一种基于虚拟交换机的虚拟化平台安全防护方法,该方法包括:接收虚拟交换机中的第一接口发送的数据包,所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截;采用数据特征库检测所述数据包是否符合预设的网络安全策略,所述数据特征库中包括:与所述网络安全策略对应的特征信息;若判断获知所述数据包符合所述网络安全策略,则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。根据本专利技术实施例的第二方面,提供一种基于虚拟交换机的虚拟化平台安全防护装置,该装置包括:接收模块,用于接收虚拟交换机中的第一接口发送的数据 ...
【技术保护点】
一种基于虚拟交换机的虚拟化平台安全防护方法,其特征在于,所述方法包括:接收虚拟交换机中的第一接口发送的数据包,所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截;采用数据特征库检测所述数据包是否符合预设的网络安全策略,所述数据特征库中包括:与所述网络安全策略对应的特征信息;若判断获知所述数据包符合所述网络安全策略,则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。
【技术特征摘要】
1.一种基于虚拟交换机的虚拟化平台安全防护方法,其特征在于,所述方法包括:接收虚拟交换机中的第一接口发送的数据包,所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截;采用数据特征库检测所述数据包是否符合预设的网络安全策略,所述数据特征库中包括:与所述网络安全策略对应的特征信息;若判断获知所述数据包符合所述网络安全策略,则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备;所述接收虚拟交换机中的第一接口发送的数据包之前,还包括:应用钩子程序在所述通信链路上设置用于拦截所述数据包的第一注册点,并对所述第一注册点进行封装建立所述第一接口;和/或,应用钩子程序在所述通信链路上设置用于转发所述数据包的第二注册点,并对所述第二注册点进行封装建立所述第二接口;若判断获知所述数据包不符合所述网络安全策略,则根据所述网络安全策略中的网络威胁类型,对所述数据包进行安全防护处理。2.根据权利要求1所述的方法,其特征在于,所述网络安全策略包括:网络权限审计、网络攻击检测、以及流量入侵中的至少一种。3.根据权利要求2所述的方法,其特征在于,所述网络安全策略为网络权限审计,与所述网络安全策略对应的特征信息包括:IP地址信息,以及与IP地址信息对应的网络访问权限信息;所述采用数据特征库检测所述数据包是否符合预设的网络安全策略,包括:获取与所述数据包的源IP对应的网络访问权限信息,根据所述网络访问权限信息检测对目的IP的合法性进行审计;所述根据所述网络安全策略中的网络威胁类型,对所述数据包进行安全防护处理,包括:若判断获知所述目的IP不合法,则根据所述将所述网络访问权限信息对所述目的IP修改为合法权限IP,并将修改后的数据包发送给所述第二接口。4.根据权利要求2所述的方法,其特征在于,所述网络安全策略为网络攻击检测,与所述网络安全策略对应的特征信息包括:与数据包的通信协议对应的关键字段,以及攻击字符串的描述信息;所述采用数据特征库检测所述数据包是否符合预设的网络安全策略,包括:确定所述数据包应用的通信协议;获取与所述通信协议对应的关键字段中的数据信息,判断所述关键字段中的数据信息中是否包括所述攻击字符串的描述信息;所述根据所述网络安全策略中的网络威胁类型,对所述数据包进行安全防护处理,包括:若判断获知所述关键字段中的数据信息包括攻击字符串的描述信息,则丢弃所述数据包;或者,对所述数据包进行过滤处理后获取符合所述网络安全策略的数据包,并发送给所述第二接口。5.根据权利要求2所述的方法,其特征在于,所述网络安全策略为流量入侵,与所述网络安全策略对应的特征信息包括:数据包的格式信息,以及预设时间内与所述格式信息对应的流量阈值,其中,所述格式信息包括:头文件信息、中间文件的格式、以及结束文件的格式中的至少一种;所述采用数据特征库检测所述数据包是否符合预设的网络安全策略,包括:将所述数据包的头文件信息、中间文件的格式、以及结束文件的格式与所述特征信息中的格式信息进行匹配;判断预设时间内匹配成功的数据包的流量是否超过预设的流量阈值;所述根据所述网络安全策略中的网络威胁类型,对所述数据包进行安全防护处理,包括:若判断获知预设时间内匹配成功的数据包的流量超过所述流量阈值,则丢弃所述数据包。6.一种基于虚拟交换机的虚拟化平台安全防护装置,其特征在于,所...
【专利技术属性】
技术研发人员:汪圣平,
申请(专利权)人:北京奇虎科技有限公司,北京奇安信科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。