一种基于SDN的安全策略自适应生成管理系统,与NFV资源池和虚拟机资源池相连,为云环境提供安全策略自适应生成管理;包括安全检测模块、数据分析决策模块、安全策略统一管理模块、交换机模块;所述安全检测模块包括检测规则制定模块、流量感知模块、包检测模块、安全事件数据收集模块、其他检测模块;所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块;所述数据分析决策模块包括安全策略模板库、数据挖掘分析模块、安全策略定制模块、安全策略存储模块、策略安全传输模块、安全策略接口模块。
【技术实现步骤摘要】
本专利技术涉及虚拟化
,尤其涉及一种基于SDN的安全策略自适应生成管理系统及方法。
技术介绍
SDN(软件定义网络)的出现,实现了对网络的灵活管理和控制,通过对网络转发和控制的分离达到网络控制的灵活可编程,满足了根据应用变化对网络灵活变动的需求。基于SDN的网络策略管理可以通过SDN应用层中的应用软件,转化为具体的控制命令,下发到网络基础设施的实际设备中,实现对实际设备的管理控制。基于SDN控制模块的灵活性,可以实现多种对网络的控制:比如,通过检测接受和发送缓冲区溢出的流量后,SDN交换机提取溢出流量的特征码并上报到SDN控制模块,SDN控制模块根据流量特征中的转发路径下停止或者暂停流量发送的控制命令,实现对缓冲区溢出情况下,流量的控制。或者针对初始的新业务流量进入SDN网络时,转发设备表中无匹配该新业务的流量表项,则该新业务流量被转发到控制器,流检测模块进行流检测,包检测模块进行包检测,识别出该新业务流量的业务类型和业务特征,控制器根据业务流的特征、流标记、流统计、包统计出发特定业务感知。综合来说,已有的策略管理方法主要存在以下问题:1)、现有的策略管理方法繁多,主要针对最基本的流量控制、包检测控制、链路信息检测进行;2)、现有的策略管理方法缺乏对网络安全相关的策略管理;3)、现有的策略管理方法大多是一种方法针对一种控制方式,缺少同时针对多种策略的统一管理;4)、现有的策略控制方法不能结合云环境中的安全态势信息进行自适应调整,缺少与安全设备实现联动,进行按需防护的功能。因此,云环境下需要一种全新的机制,能够感知虚拟流量、虚拟网络边界,来实现控制、转发;还能够根据网络安全事件来按需自适应生成对应的安全策略,对安全威胁进行抵御和防护;并且,对不同作用的安全策略能够通过统一管机制实现统一生成、管理,才能从全局的安全需求出发,灵活调整策略,应对业务变动和资源变动以及网络安全威胁带来的安全策略变动,使得安全策略恰当、有效的实施。
技术实现思路
为了实现上述目标,解决现有技术存在的问题,本专利技术提供一种基于SDN的安全策略自适应生成管理系统及方法。本专利技术的一种基于SDN的安全策略自适应生成管理系统,所述基于SDN的安全策略自适应生成管理系统与NFV资源池和虚拟机资源池相连,为云环境提供安全策略自适应生成管理;所述NFV资源池包括IDS服务器、IPS服务器、流量清洗服务器、负载均衡服务器及安全防护设备;所述基于SDN的安全策略自适应生成管理系统包括制定不同检测规则来实现不同信息采集的安全检测模块、对所述安全检测模块采集到的数据进行数据分析和挖掘以定制出适应实际情况和具体需求的安全策略的数据分析决策模块、与所述数据分析决策模块相连并对所述数据分析决策模块制定的安全策略进行统一管理和控制并转化为可执行命令的包含SDN控制模块及NFV控制模块的安全策略统一管理模块、与所述安全策略统一管理模块相连并包含能够为流表实现按需转发的SDN交换机的交换机模块;所述安全检测模块包括为新的策略需求定制相应检测规则的检测规则制定模块、根据所述检测规则制定模块制定的相应流量检测规则通过测量SDN交换机处流表信息来感知流量数据的流量感知模块、根据所述检测规则制定模块制定的相应包检测规则在SDN交换机出获取包检测信息的包检测模块、根据所述检测规则制定模块制定的相应安全事件检测规则收集来自NFV资源池中安全防护设备提供的安全事件数据信息的安全事件数据收集模块、根据所述检测规则制定模块制定的其他信息检测规则检测除了流量和包以及安全事件信息以外的信息的其他检测模块;所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块;所述数据分析决策模块包括存储安全策略需求模板的安全策略模板库、对所述安全检测模块检测到的数据进行分类处理再对数据进行挖掘处理得到关键信息的数据挖掘分析模块、根据所述数据挖掘分析模块得到的关键信息从所述安全策略模板库中匹配相应的安全策略需求模板并定制实际情况和具体需求的安全策略的安全策略定制模块、将所述安全策略定制模块定制的安全策略存储以备发送的安全策略存储模块、保证所述安全策略定制模块定制的安全策略传输过程中的安全的策略安全传输模块、将所述安全策略定制模块定制的安全策略提供给所述安全策略统一管理模块的安全策略接口模块。本专利技术的一种基于SDN的安全策略自适应生成管理方法,所述基于SDN的安全策略自适应生成管理方法通过基于SDN的安全策略自适应生成管理系统来实现,所述基于SDN的安全策略自适应生成管理方法包括如下四个主步骤:sl、预制定检测规则,进入步骤s2 ;s2、根据检测规则检测网络信息和安全信息,进入步骤S3 ;S3、根据检测到的信息进行数据分析制定相应的安全策略,进入步骤s4 ;s4、将制定好的安全策略下发到相应设备进行执行;所述步骤sl包括如下步骤:sll、根据新出现的情况增加新的策略需求,进入步骤sl2 ;sl2、根据新的策略需求生成相应的策略需求模板,进入步骤sl3 ;sl3、通过所述基于SDN的安全策略自适应生成管理系统中的安全检测模块为所述步骤sl2中新增的策略需求模板制定相应的检测规则,进入步骤sl4 ;sl4、检测规则制定完毕;所述步骤s2包括如下步骤:s21、启动数据信息检测,进入步骤s22 ;s22、解析检测规则,进入步骤s23 ;s23、根据所述步骤s22中解析的检测规则,执行相应的信息检测,进入步骤s24 ;s24、根据所述步骤s23执行的信息检测,采集相应的数据信息,进入步骤s25 ;s25、整合所述步骤s24中采集到的信息发送到所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块进行处理,进入步骤s26 ;s26、信息检测结束;所述步骤S3包括如下步骤:s31、通过所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块接收所述步骤s2中经过信息检测检测到的数据信息,进入步骤s32 ;s32、通过所述数据分析决策模块中的数据挖掘分析模块对接收到的数据信息根据类型进行分类处理,进入步骤s33 ;s33、通过所述数据挖掘分析模块对分类后的信息分别进行信息挖掘、统计、聚类、归并处理以提取到用以匹配安全策略模板的关键信息,进入步骤s34 ;s34、根据所述步骤s33中提取到的关键信息通过所述数据分析决策模块中的安全策略定制模块从所述数据分析决策模块中的安全策略模板库中选择匹配的策略需求模板,再根据实际数据信息调节策略需求模板参数,定制得到适应实际情况和具体需求的安全策略,进入步骤s35 ;s35、通过所述数据分析决策模块中的安全策略存储模块对所述步骤s34中定制好的安全策略进行存储,进入步骤s36 ;s36、通过所述数据分析决策模块中的策略安全传输模块保证传输安全的情况下,通过所述数据分析决策模块中的安全策略接口模块将所述步骤s35中存储的安全策略发送给所述基于SDN的安全策略自适应生成管理系统中的安全策略统一管理模块,进入步骤s37 ;s37、安全策略定制完毕;所述步骤s4包括如下步骤:s41、由所述安全策略统一管理模块接收安全策略,进入步骤s42 ;s42、由所述安全策略统一管理模本文档来自技高网...
【技术保护点】
一种基于SDN的安全策略自适应生成管理系统,所述基于SDN的安全策略自适应生成管理系统与NFV资源池和虚拟机资源池相连,为云环境提供安全策略自适应生成管理;所述NFV资源池包括IDS服务器、IPS服务器、流量清洗服务器、负载均衡服务器及安全防护设备;其特征在于,所述基于SDN的安全策略自适应生成管理系统包括制定不同检测规则来实现不同信息采集的安全检测模块、对所述安全检测模块采集到的数据进行数据分析和挖掘以定制出适应实际情况和具体需求的安全策略的数据分析决策模块、与所述数据分析决策模块相连并对所述数据分析决策模块制定的安全策略进行统一管理和控制并转化为可执行命令的包含SDN控制模块及NFV控制模块的安全策略统一管理模块、与所述安全策略统一管理模块相连并包含能够为流表实现按需转发的SDN交换机的交换机模块;所述安全检测模块包括为新的策略需求定制相应检测规则的检测规则制定模块、根据所述检测规则制定模块制定的相应流量检测规则通过测量SDN交换机处流表信息来感知流量数据的流量感知模块、根据所述检测规则制定模块制定的相应包检测规则在SDN交换机出获取包检测信息的包检测模块、根据所述检测规则制定模块制定的相应安全事件检测规则收集来自NFV资源池中安全防护设备提供的安全事件数据信息的安全事件数据收集模块、根据所述检测规则制定模块制定的其他信息检测规则检测除了流量和包以及安全事件信息以外的信息的其他检测模块;所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块;所述数据分析决策模块包括存储安全策略需求模板的安全策略模板库、对所述安全检测模块检测到的数据进行分类处理再对数据进行挖掘处理得到关键信息的数据挖掘分析模块、根据所述数据挖掘分析模块得到的关键信息从所述安全策略模板库中匹配相应的安全策略需求模板并定制实际情况和具体需求的安全策略的安全策略定制模块、将所述安全策略定制模块定制的安全策略存储以备发送的安全策略存储模块、保证所述安全策略定制模块定制的安全策略传输过程中的安全的策略安全传输模块、将所述安全策略定制模块定制的安全策略提供给所述安全策略统一管理模块的安全策略接口模块。...
【技术特征摘要】
【专利技术属性】
技术研发人员:齐伟钢,白杨,杨振宇,
申请(专利权)人:中国电子科技网络信息安全有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。