一种基于SDN的安全策略自适应生成管理系统及方法

摘要

一种基于SDN的安全策略自适应生成管理系统，与NFV资源池和虚拟机资源池相连，为云环境提供安全策略自适应生成管理；包括安全检测模块、数据分析决策模块、安全策略统一管理模块、交换机模块；所述安全检测模块包括检测规则制定模块、流量感知模块、包检测模块、安全事件数据收集模块、其他检测模块；所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块；所述数据分析决策模块包括安全策略模板库、数据挖掘分析模块、安全策略定制模块、安全策略存储模块、策略安全传输模块、安全策略接口模块。

说明书

技术领域

本发明涉及虚拟化技术领域，尤其涉及一种基于SDN的安全策略自适应生 成管理系统及方法。

背景技术

SDN(软件定义网络)的出现，实现了对网络的灵活管理和控制，通过对 网络转发和控制的分离达到网络控制的灵活可编程，满足了根据应用变化对网 络灵活变动的需求。基于SDN的网络策略管理可以通过SDN应用层中的应用软 件，转化为具体的控制命令，下发到网络基础设施的实际设备中，实现对实际 设备的管理控制。

基于SDN控制模块的灵活性，可以实现多种对网络的控制：比如，通过检 测接受和发送缓冲区溢出的流量后，SDN交换机提取溢出流量的特征码并上报 到SDN控制模块，SDN控制模块根据流量特征中的转发路径下停止或者暂停流 量发送的控制命令，实现对缓冲区溢出情况下，流量的控制。或者针对初始的 新业务流量进入SDN网络时，转发设备表中无匹配该新业务的流量表项，则该 新业务流量被转发到控制器，流检测模块进行流检测，包检测模块进行包检测， 识别出该新业务流量的业务类型和业务特征，控制器根据业务流的特征、流标 记、流统计、包统计出发特定业务感知。

综合来说，已有的策略管理方法主要存在以下问题：

1)、现有的策略管理方法繁多，主要针对最基本的流量控制、包检测控制、 链路信息检测进行；

2)、现有的策略管理方法缺乏对网络安全相关的策略管理；

3)、现有的策略管理方法大多是一种方法针对一种控制方式，缺少同时针 对多种策略的统一管理；

4)、现有的策略控制方法不能结合云环境中的安全态势信息进行自适应调 整，缺少与安全设备实现联动，进行按需防护的功能。

因此，云环境下需要一种全新的机制，能够感知虚拟流量、虚拟网络边界， 来实现控制、转发；还能够根据网络安全事件来按需自适应生成对应的安全策 略，对安全威胁进行抵御和防护；并且，对不同作用的安全策略能够通过统一 管机制实现统一生成、管理，才能从全局的安全需求出发，灵活调整策略，应 对业务变动和资源变动以及网络安全威胁带来的安全策略变动，使得安全策略 恰当、有效的实施。

发明内容

为了实现上述目标，解决现有技术存在的问题，本发明提供一种基于SDN 的安全策略自适应生成管理系统及方法。

本发明的一种基于SDN的安全策略自适应生成管理系统，所述基于SDN的 安全策略自适应生成管理系统与NFV资源池和虚拟机资源池相连，为云环境提 供安全策略自适应生成管理；所述NFV资源池包括IDS服务器、IPS服务器、 流量清洗服务器、负载均衡服务器及安全防护设备；所述基于SDN的安全策略 自适应生成管理系统包括制定不同检测规则来实现不同信息采集的安全检测 模块、对所述安全检测模块采集到的数据进行数据分析和挖掘以定制出适应实 际情况和具体需求的安全策略的数据分析决策模块、与所述数据分析决策模块 相连并对所述数据分析决策模块制定的安全策略进行统一管理和控制并转化 为可执行命令的包含SDN控制模块及NFV控制模块的安全策略统一管理模块、 与所述安全策略统一管理模块相连并包含能够为流表实现按需转发的SDN交换 机的交换机模块；所述安全检测模块包括为新的策略需求定制相应检测规则的 检测规则制定模块、根据所述检测规则制定模块制定的相应流量检测规则通过 测量SDN交换机处流表信息来感知流量数据的流量感知模块、根据所述检测规 则制定模块制定的相应包检测规则在SDN交换机出获取包检测信息的包检测模 块、根据所述检测规则制定模块制定的相应安全事件检测规则收集来自NFV资 源池中安全防护设备提供的安全事件数据信息的安全事件数据收集模块、根据 所述检测规则制定模块制定的其他信息检测规则检测除了流量和包以及安全 事件信息以外的信息的其他检测模块；所述安全检测模块还包括为所述流量感 知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信 息的获取提供接口的检测信息获取接口模块；所述数据分析决策模块包括存储 安全策略需求模板的安全策略模板库、对所述安全检测模块检测到的数据进行 分类处理再对数据进行挖掘处理得到关键信息的数据挖掘分析模块、根据所述 数据挖掘分析模块得到的关键信息从所述安全策略模板库中匹配相应的安全 策略需求模板并定制实际情况和具体需求的安全策略的安全策略定制模块、将 所述安全策略定制模块定制的安全策略存储以备发送的安全策略存储模块、保 证所述安全策略定制模块定制的安全策略传输过程中的安全的策略安全传输 模块、将所述安全策略定制模块定制的安全策略提供给所述安全策略统一管理 模块的安全策略接口模块。

本发明的一种基于SDN的安全策略自适应生成管理方法，所述基于SDN的 安全策略自适应生成管理方法通过基于SDN的安全策略自适应生成管理系统来 实现，所述基于SDN的安全策略自适应生成管理方法包括如下四个主步骤：

s1、预制定检测规则，进入步骤s2；

s2、根据检测规则检测网络信息和安全信息，进入步骤s3；

s3、根据检测到的信息进行数据分析制定相应的安全策略，进入步骤s4；

s4、将制定好的安全策略下发到相应设备进行执行；

所述步骤s1包括如下步骤：

s11、根据新出现的情况增加新的策略需求，进入步骤s12；

s12、根据新的策略需求生成相应的策略需求模板，进入步骤s13；

s13、通过所述基于SDN的安全策略自适应生成管理系统中的安全检测模 块为所述步骤s12中新增的策略需求模板制定相应的检测规则，进入步骤s14；

s14、检测规则制定完毕；

所述步骤s2包括如下步骤：

s21、启动数据信息检测，进入步骤s22；

s22、解析检测规则，进入步骤s23；

s23、根据所述步骤s22中解析的检测规则，执行相应的信息检测，进入 步骤s24；

s24、根据所述步骤s23执行的信息检测，采集相应的数据信息，进入步 骤s25；

s25、整合所述步骤s24中采集到的信息发送到所述基于SDN的安全策略 自适应生成管理系统中的数据分析决策模块进行处理，进入步骤s26；

s26、信息检测结束；

所述步骤s3包括如下步骤：

s31、通过所述基于SDN的安全策略自适应生成管理系统中的数据分析决 策模块接收所述步骤s2中经过信息检测检测到的数据信息，进入步骤s32；

s32、通过所述数据分析决策模块中的数据挖掘分析模块对接收到的数据 信息根据类型进行分类处理，进入步骤s33；

s33、通过所述数据挖掘分析模块对分类后的信息分别进行信息挖掘、统 计、聚类、归并处理以提取到用以匹配安全策略模板的关键信息，进入步骤s34；

s34、根据所述步骤s33中提取到的关键信息通过所述数据分析决策模块 中的安全策略定制模块从所述数据分析决策模块中的安全策略模板库中选择 匹配的策略需求模板，再根据实际数据信息调节策略需求模板参数，定制得到 适应实际情况和具体需求的安全策略，进入步骤s35；

s35、通过所述数据分析决策模块中的安全策略存储模块对所述步骤s34 中定制好的安全策略进行存储，进入步骤s36；

s36、通过所述数据分析决策模块中的策略安全传输模块保证传输安全的 情况下，通过所述数据分析决策模块中的安全策略接口模块将所述步骤s35中 存储的安全策略发送给所述基于SDN的安全策略自适应生成管理系统中的安全 策略统一管理模块，进入步骤s37；

s37、安全策略定制完毕；

所述步骤s4包括如下步骤：

s41、由所述安全策略统一管理模块接收安全策略，进入步骤s42；

s42、由所述安全策略统一管理模块中的策略分流模块分析策略类型进行 不同策略分发，若策略类型为流量控制，进入步骤s43；若策略类型为负载调 整策略，进入步骤s48；若策略类型为安全防护策略，进入步骤s53；

s43、执行流量控制策略,将流量控制策略由所述策略分流模块分发给所述 安全策略统一管理模块中的SDN控制模块，进入步骤s44；

s44、由SDN控制模块将流量控制策略转化为可执行命令，进入步骤s45；

s45、由所述SDN控制模块将命令发送到所述基于SDN的安全策略自适应 生成管理系统中的交换机中的SDN交换机，进入步骤s46；

s46、由SDN交换机将流表流量信息提供给NFV资源池，进入步骤s47；

s47、开启NFV资源池中的流量清洗服务器根据所述SDN交换机提供的流 量信息执行经过所述SDN控制模块转化后的流程控制策略的可执行命令，进行 流量控制，进入步骤s57；

s48、执行负载调整策略，将负载调整策略由所述策略分流模块分发所述 SDN控制模块，进入步骤s49；

s49、由所述SDN控制模块将负载调整策略转化为可执行命令，进入步骤 s50；

s50、由所述SDN控制模块将命令发送到所述SDN交换机，进入步骤s51；

s51、由SDN交换机将负载信息提供给NFV资源池，进入步骤s52；

s52、开启NFV资源池中的负载均衡服务器根据所述SDN交换机提供的负 载信息执行经过所述SDN控制模块转化后的负载调整策略的可执行命令，进行 负载调整，进入步骤s57；

s53、由所述策略分流模块将安全防护策略分发给所述安全策略统一管理 模块中的NFV控制模块，进入步骤s54；

s54、由NFV控制模块将安全防护策略转化成可执行命令，进入步骤s55；

s55、由所述NFV控制模块将命令发送到NFV资源池，进入步骤s56；

s56、开启NFV资源池中的安全防护设备执行经过所述NFV控制模块转化 后的安全防护策略的可执行命令，进行安全防护，进入步骤s57；

s57、策略执行完毕。

本发明的有益效果在于，本发明实现了一种基于SDN自适应安全策略的统 一生成和管理，能够对多种场景包括：流量控制、包转发、链路信息调整(负 载均衡)、安全事件处理等实现策略的生成和管理；本发明通过添加策略需求 模板和定义检测规则，来扩展对新的策略的生成和管理；本发明引入数据分析 技术，对云环境中大量的网络数据和安全数据进行分析，寻找网络数据中的规 律和安全事件信息中的威胁，并依据数据分析结果，来有针对性的定制安全策 略；本发明的安全策略，能够通过SDN交换机发送到安全防护设备，实现与安 全防护设备的联动，更好的按需提供安全策略，实现对安全威胁的按需防护。

附图说明

图1是本发明的基于SDN的安全策略自适应生成管理系统组成架构示意图；

图2是本发明的基于SDN的安全策略自适应生成管理方法主体流程示意图；

图3是本发明的基于SDN的安全策略自适应生成管理方法中预制定检测规 则的具体流程示意图；

图4是本发明的基于SDN的安全策略自适应生成管理方法中根据检测规则 检测网络细心和安全信息的具体流程示意图；

图5是本发明的基于SDN的安全策略自适应生成管理方法中根据检测到的 信息进行技术分析制定相应的安全策略的具体流程示意图；

图6是本发明的基于SDN的安全策略自适应生成管理方法中将制定好的安 全策略下发到相应设备进行执行的具体流程示意图。

具体实施方式

为了更好的理解本发明，下面结合附图详细说明本发明。

如图1所示，本发明的一种基于SDN的安全策略自适应生成管理系统，所 述基于SDN的安全策略自适应生成管理系统与NFV资源池和虚拟机资源池相连， 为云环境提供安全策略自适应生成管理；所述NFV资源池包括IDS服务器、IPS 服务器、流量清洗服务器、负载均衡服务器及安全防护设备；所述基于SDN的 安全策略自适应生成管理系统包括制定不同检测规则来实现不同信息采集的 安全检测模块、对所述安全检测模块采集到的数据进行数据分析和挖掘以定制 出适应实际情况和具体需求的安全策略的数据分析决策模块、与所述数据分析 决策模块相连并对所述数据分析决策模块制定的安全策略进行统一管理和控 制并转化为可执行命令的包含SDN控制模块及NFV控制模块的安全策略统一管 理模块、与所述安全策略统一管理模块相连并包含能够为流表实现按需转发的 SDN交换机的交换机模块；所述安全检测模块包括为新的策略需求定制相应检 测规则的检测规则制定模块、根据所述检测规则制定模块制定的相应流量检测 规则通过测量SDN交换机处流表信息来感知流量数据的流量感知模块、根据所 述检测规则制定模块制定的相应包检测规则在SDN交换机出获取包检测信息的 包检测模块、根据所述检测规则制定模块制定的相应安全事件检测规则收集来 自NFV资源池中安全防护设备提供的安全事件数据信息的安全事件数据收集模 块、根据所述检测规则制定模块制定的其他信息检测规则检测除了流量和包以 及安全事件信息以外的信息的其他检测模块；所述安全检测模块还包括为所述 流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外 检测信息的获取提供接口的检测信息获取接口模块；所述数据分析决策模块包 括存储安全策略需求模板的安全策略模板库、对所述安全检测模块检测到的数 据进行分类处理再对数据进行挖掘处理得到关键信息的数据挖掘分析模块、根 据所述数据挖掘分析模块得到的关键信息从所述安全策略模板库中匹配相应 的安全策略需求模板并定制实际情况和具体需求的安全策略的安全策略定制 模块、将所述安全策略定制模块定制的安全策略存储以备发送的安全策略存储 模块、保证所述安全策略定制模块定制的安全策略传输过程中的安全的策略安 全传输模块、将所述安全策略定制模块定制的安全策略提供给所述安全策略统 一管理模块的安全策略接口模块。

优选地，所述其他检测模块检测SDN交换机处链路负载信息。

优选地，所述安全策略统一管理模块包括对所述数据分析决策模块发送过 来的安全策略根据类型分发给所述SDN控制模块和NFV控制模块的策略分流模 块。

优选地，所述策略分流模块将要求进行流量信息检测、包信息检测、链路 负载信息检测的安全策略分发给所述SDN控制模块，由所述SDN控制模块将接 收到的安全策略转化为可执行命令发送到SDN交换机。

优选地，所述策略分流模块将要求进行安全事件信息检测的安全策略分发 给所述NFV控制模块，由所述NFV控制模块将接收到的安全策略转化为可执行 命令通过交换机模块发送到NFV资源池中的安全防护设备。

优选地，所述策略安全传输模块使安全策略通过SSL传输保证安全策略在 传输过程中的安全。

优选地，所述检测规则制定模块制定包含数据类型、数据来源的检测规则。

如图2所示，本发明的一种基于SDN的安全策略自适应生成管理方法，所 述基于SDN的安全策略自适应生成管理方法通过基于SDN的安全策略自适应生 成管理系统来实现，所述基于SDN的安全策略自适应生成管理方法包括如下四 个主步骤：

s1、预制定检测规则，进入步骤s2；

s2、根据检测规则检测网络信息和安全信息，进入步骤s3；

s3、根据检测到的信息进行数据分析制定相应的安全策略，进入步骤s4；

s4、将制定好的安全策略下发到相应设备进行执行；

如图3所示，所述步骤s1包括如下步骤：

s11、根据新出现的情况增加新的策略需求，进入步骤s12；

s12、根据新的策略需求生成相应的策略需求模板，进入步骤s13；

s13、通过所述基于SDN的安全策略自适应生成管理系统中的安全检测模 块为所述步骤s12中新增的策略需求模板制定相应的检测规则，进入步骤s14；

s14、检测规则制定完毕；

如图4所示，所述步骤s2包括如下步骤：

s21、启动数据信息检测，进入步骤s22；

s22、解析检测规则，进入步骤s23；

s23、根据所述步骤s22中解析的检测规则，执行相应的信息检测，进入 步骤s24；

s24、根据所述步骤s23执行的信息检测，采集相应的数据信息，进入步 骤s25；

s25、整合所述步骤s24中采集到的信息发送到所述基于SDN的安全策略 自适应生成管理系统中的数据分析决策模块进行处理，进入步骤s26；

s26、信息检测结束；

如图5所示，所述步骤s3包括如下步骤：

s31、通过所述基于SDN的安全策略自适应生成管理系统中的数据分析决 策模块接收所述步骤s2中经过信息检测检测到的数据信息，进入步骤s32；

s32、通过所述数据分析决策模块中的数据挖掘分析模块对接收到的数据 信息根据类型进行分类处理，进入步骤s33；

s33、通过所述数据挖掘分析模块对分类后的信息分别进行信息挖掘、统 计、聚类、归并处理以提取到用以匹配安全策略模板的关键信息，进入步骤s34；

s34、根据所述步骤s33中提取到的关键信息通过所述数据分析决策模块 中的安全策略定制模块从所述数据分析决策模块中的安全策略模板库中选择 匹配的策略需求模板，再根据实际数据信息调节策略需求模板参数，定制得到 适应实际情况和具体需求的安全策略，进入步骤s35；

s35、通过所述数据分析决策模块中的安全策略存储模块对所述步骤s34 中定制好的安全策略进行存储，进入步骤s36；

s36、通过所述数据分析决策模块中的策略安全传输模块保证传输安全的 情况下，通过所述数据分析决策模块中的安全策略接口模块将所述步骤s35中 存储的安全策略发送给所述基于SDN的安全策略自适应生成管理系统中的安全 策略统一管理模块，进入步骤s37；

s37、安全策略定制完毕；

如图6所示，所述步骤s4包括如下步骤：

s41、由所述安全策略统一管理模块接收安全策略，进入步骤s42；

s42、由所述安全策略统一管理模块中的策略分流模块分析策略类型进行 不同策略分发，若策略类型为流量控制，进入步骤s43；若策略类型为负载调 整策略，进入步骤s48；若策略类型为安全防护策略，进入步骤s53；

s43、执行流量控制策略,将流量控制策略由所述策略分流模块分发给所述 安全策略统一管理模块中的SDN控制模块，进入步骤s44；

s44、由SDN控制模块将流量控制策略转化为可执行命令，进入步骤s45；

s45、由所述SDN控制模块将命令发送到所述基于SDN的安全策略自适应 生成管理系统中的交换机中的SDN交换机，进入步骤s46；

s46、由SDN交换机将流表流量信息提供给NFV资源池，进入步骤s47；

s47、开启NFV资源池中的流量清洗服务器根据所述SDN交换机提供的流 量信息执行经过所述SDN控制模块转化后的流程控制策略的可执行命令，进行 流量控制，进入步骤s57；

s48、执行负载调整策略，将负载调整策略由所述策略分流模块分发所述 SDN控制模块，进入步骤s49；

s49、由所述SDN控制模块将负载调整策略转化为可执行命令，进入步骤 s50；

s50、由所述SDN控制模块将命令发送到所述SDN交换机，进入步骤s51；

s51、由SDN交换机将负载信息提供给NFV资源池，进入步骤s52；

s52、开启NFV资源池中的负载均衡服务器根据所述SDN交换机提供的负 载信息执行经过所述SDN控制模块转化后的负载调整策略的可执行命令，进行 负载调整，进入步骤s57；

s53、由所述策略分流模块将安全防护策略分发给所述安全策略统一管理 模块中的NFV控制模块，进入步骤s54；

s54、由NFV控制模块将安全防护策略转化成可执行命令，进入步骤s55；

s55、由所述NFV控制模块将命令发送到NFV资源池，进入步骤s56；

s56、开启NFV资源池中的安全防护设备执行经过所述NFV控制模块转化 后的安全防护策略的可执行命令，进行安全防护，进入步骤s57；

s57、策略执行完毕。

优选地，所述步骤s24根据所述步骤s23执行的信息检测包括流量信息检 测、包信息检测、链路负载信息检测以及安全事件信息检测。

优选地，所述对信息的检测是在支持SDN的交换机出进行自适应信息收集， 其中，所述对流量信息的检测、包信息的检测、链路负载信息的检测是直接在 SDN交换机处进行信息采集；所述对安全事件信息的检测是通过交换机模块对 NFV资源池中的安全防护设备信息进行信息采集。

NFV资源池是一种将传统的安全设备以安全服务节点的方式呈现，NFV资 源池提供安全设备的弹性扩展，以及快速交互的能力，针对不同用户、不同时 段，随时随地的展开安全防护。SDN交换机支持OpenFlow协议，实现数据转发， SDN控制模块将安全策略内容转化成可执行的命令再转发到流量清洗器、安全 防护设备等地方。

本发明实现了一种基于SDN自适应安全策略的统一生成和管理，能够对多 种场景包括：流量控制、包转发、链路信息调整(负载均衡)、安全事件处理 等实现策略的生成和管理；本发明通过添加策略需求模板和定义检测规则，来 扩展对新的策略的生成和管理；本发明引入数据分析技术，对云环境中大量的 网络数据和安全数据进行分析，寻找网络数据中的规律和安全事件信息中的威 胁，并依据数据分析结果，来有针对性的定制安全策略；本发明的安全策略， 能够通过SDN交换机发送到安全防护设备，实现与安全防护设备的联动，更好 的按需提供安全策略，实现对安全威胁的按需防护。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局 限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，根据本 发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护 范围之内。