CN105827629A - 云计算环境下软件定义安全导流装置及其实现方法 - Google Patents

云计算环境下软件定义安全导流装置及其实现方法 Download PDF

Info

Publication number
CN105827629A
CN105827629A CN201610285832.1A CN201610285832A CN105827629A CN 105827629 A CN105827629 A CN 105827629A CN 201610285832 A CN201610285832 A CN 201610285832A CN 105827629 A CN105827629 A CN 105827629A
Authority
CN
China
Prior art keywords
water conservancy
conservancy diversion
module
service traffics
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610285832.1A
Other languages
English (en)
Other versions
CN105827629B (zh
Inventor
毕江
周旭辉
王燕清
李程
李伏琼
翟林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610285832.1A priority Critical patent/CN105827629B/zh
Publication of CN105827629A publication Critical patent/CN105827629A/zh
Application granted granted Critical
Publication of CN105827629B publication Critical patent/CN105827629B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及云计算环境下软件安全定义导流装置,包括:管理平台,其提供安全导流策略配置接口,允许管理员配置安全导流策略;管理模块,其接收安全导流策略文件并根据安全导流策略文件的内容形成导流策略表;流量识别模块,其接收和识别镜像过来的业务流量,并对已识别的业务流量进行预处理;流量处理模块,其对预处理后的业务流量进行二次处理;流量发送模块,其将二次处理后的业务流量发送到指定端口,由外部设备对业务流量进行接收;数据统计模块,其对所有业务流量进行统计,并向管理模块进行发送,再由管理模块将统计信息发送给管理平台。本发明能按需灵活镜像业务流量,可靠性更强,并可实现软件定义安全导流。

Description

云计算环境下软件定义安全导流装置及其实现方法
技术领域
本发明属于信息安全技术领域,涉及云计算环境下业务流量的镜像、监控、统计与分析,具体涉及云计算环境下软件定义安全导流装置及其实现方法。
背景技术
随着数据中心的大规模建设,虚拟化技术的大规模应用,为了最大化发挥虚拟化的优势,保证数据中心的稳定、持续、高效运行,云计算成为当前IT支撑***的首选。
云计算技术的核心在于虚拟化技术,虚拟化技术包括了计算资源虚拟化、存储资源虚拟化、安全资源虚拟化和网络资源虚拟化等。在虚拟化技术中,网络资源虚拟化技术显得格外重要,因为它是连接计算资源虚拟化、存储资源虚拟化和安全资源虚拟化的纽带。
网络资源虚拟化的两个重要概念为OVS和OpenFlow。
OVS是openvswitch的简称,指开源虚拟交换机,它是部署在服务器上的软件,实现云计算环境下的数据交换功能。OVS具备流量镜像功能,可以通过mirror命令,将业务***所连接端口的业务流量镜像一份到一个特定的端口,连接在该端口的业务***可以收取所有的镜像流量。
Openflow是开源协议,同时也是OVS的重要组成部分,通过Openflow协议,可以实现数据转发的控制功能,为特定的访问关系指定一条需要经过的路径,简称引流。
云计算技术为业务***资源的灵活分配、按需调整、快速恢复提供了有力支持,大大提升了运维效率,节省了***部署时间,降低了工作量。
但云计算技术同时也存在一些问题。例如,在传统业务***中运行正常的安全设备,当网络虚拟化采用vxlan技术实现虚拟业务***的跨地域迁移时,存在着无法识别vxlan数据包头、无法部署的情况;云计算环境下的业务***边界消失,无法在边界实现安全控制;业务***的流量在OVS内部转发,安全检测设备无法发现OVS内部的安全问题。
此外,通过OVS的mirror命令所获取的数据存在数据重复,导致网络流量翻倍,影响网络性能;OVS的mirror命令镜像到的数据与网络接口关联度高,从同一个接口获取的数据可能包含多个业务***的信息,而某些业务***的信息在进行安全分析时并不需要,镜像的灵活性差。
发明内容
本发明的目的是提供一种云计算环境下软件定义安全导流装置及其实现方法,通过其解决以下问题:1)云计算环境中,物理拓扑与业务逻辑拓扑边界不一致,导致基于安全监控需求的业务流量无法获取的问题;2)传统安全监控在云计算环境中无法提供对东西向业务流量的监控问题,以及在特定业务环境下,对大业务流量中无需通过安全设备的流量的细粒度流量选择优化问题;3)传统使用物理交换机镜像功能所无法实现的按安全监控需求和安全设备配置拓扑,从多个源镜像到多个不同目的的按需复杂流量镜像处理的问题;4)传统安全监控方案中,没有基于安全监控需求的统一安全监控流量管控框架,实现对整个网络中所有流量和所有安全监控设备的镜像流量规则的按需软件定义和管控的问题。
为了实现上述目的,本发明提供如下技术方案:一种云计算环境下软件安全定义导流装置,其包括:
管理平台,该管理平台用于提供安全导流策略配置接口,允许管理员通过该配置接口配置安全导流策略;
管理模块,该管理模块用于接收所述管理平台通过CWCP协议下发的安全导流策略文件并根据安全导流策略文件的内容形成导流策略表;
流量识别模块,该流量识别模块用于接收和识别镜像过来的业务流量,并以所述导流策略表的导流策略对已识别的业务流量进行预处理;
流量处理模块,该流量处理模块用于根据所述导流策略表对所述流量识别模块预处理后的业务流量进行二次处理;
流量发送模块,该流量发送模块用于将所述流量处理模块二次处理后的业务流量发送到指定端口,由连接在该端口的外部设备对业务流量进行接收;
数据统计模块,该数据统计模块用于对镜像过来的所有业务流量进行统计,并以主动或被动的方式向所述管理模块进行发送,再由所述管理模块将统计信息发送给所述管理平台。
此外,本发明提供一种基于上述云计算环境下软件定义安全导流装置的安全导流实现方法,其包括以下步骤:
(1)管理员在所述管理平台中通过安全导流策略配置接口配置业务流量的安全导流策略;
(2)所述管理平台通过CWCP协议向所述管理模块下发安全导流策略文件;
(3)所述管理模块根据获得的安全导流策略文件建立导流策略表;
(4)在刀片服务器或PC服务器上,调用OVS的mirror命令,实现将所有业务流量镜像给所述流量识别模块;
(5)所述流量识别模块接收镜像过来的所有业务流量,并对镜像过来的所有业务流量进行识别,然后以所述导流策略表的导流策略对已识别的业务流量进行预处理,并将预处理后的业务流量发送到所述流量处理模块;
(6)所述流量处理模块根据所述导流策略表对发送过来的业务流量进行二次处理,二次处理完毕后将业务流量发送到所述流量发送模块;
(7)所述流量发送模块将接收到的业务流量发送到指定的外部设备,并与所述数据统计模块共享业务流量发送队列;
(8)所述数据统计模块对所述业务流量发送队列里的数据进行统计、归并和保存;
(9)所述数据统计模块以主动或被动的方式向所述管理模块推送统计信息,并由所述管理模块将统计信息上报给所述管理平台;
(10)所述管理平台基于所述统计信息全局监控云环境的网络拓扑、业务拓扑、业务域之间的访问关系、访问流量和安全措施部署状态。
进一步地,其中,业务流量的识别通过读取业务流量数据包的源MAC、目的MAC、VLAN_ID信息、源IP、源端口、目的IP、目的端口和协议来实现。
更进一步地,其中,所述流量处理模块根据所述导流策略表中Actions字段所定义的内容,对业务流量进行二次处理。
再进一步地,其中,对业务流量进行二次处理包括对业务流量进行修改数据包字段、设置数据包发送队列、设置数据包发送速度、设置数据包发送的多个地址。
本发明的云计算环境下软件定义安全导流装置及其实现方法具有如下有益技术效果:
1)、将镜像的业务流量数据与网络平台解耦,能按需灵活镜像业务域的业务流量。
2)、将业务流量的镜像过程、识别过程、镜像策略配置过程以及镜像的业务流量的操作、转发、统计过程解耦,增加更多细粒度控制手段,从而使可操控性更强。
3)、具有更多的镜像选择,可按照IP、端口和协议对复杂的业务流量进行筛选,并根据业务目标设置多种预期动作,实现软件定义安全导流。
4)、能实时统计业务流量信息,从而能够辅助运维人员快速发现业务问题、安全问题,辅助运维人员快速定位业务故障点。
附图说明
图1是本发明的云计算环境下软件定义安全导流装置的部署图。
图2是本发明的云计算环境下软件定义安全导流装置的整体架构图。
图3是业务流量的处理流程图。
图4是本发明的云计算环境下软件定义安全导流装置的整体处理流程图。
具体实施方式
下面结合附图和实施例对本发明进一步说明,实施例的内容不作为对本发明的保护范围的限制。
在云计算环境下,为了满足对业务流量的安全监控及安全检测,需要对业务流量进行镜像,并将镜像的业务流量发送到外部安全设备进行安全检测与安全审计。
在复杂的业务应用中,有些协议虽然占用大量业务带宽,但本身不存在安全隐患,存在安全隐患的是承载该类业务流量的外在框架。例如视频播放,视频流中不存在安全隐患,但视频流播放组件中存在安全隐患。视频流播放组件一般以框架的形式嵌入在页面中,随http协议进行传输,但播放的内容以流媒体协议单独进行内容传输。在应对安全风险时,可以考虑过滤掉承载视频播放的流媒体协议。同样类似的场景还有很多。因此,为了降低处理负载,提供工作效率,需要对镜像的业务流量进行软件定义的安全导流。
如图1所示,本发明的云计算环境下软件定义安全导流装置部署在云计算环境下的刀片服务器或PC服务器上并连接服务器的OVS。刀片服务器上部署的其它业务***,例如业务***1、业务***2和业务***3也同时连接在OVS上,OVS完成不同业务***间的信息交互。
通过调用OVS的流量镜像功能,利用mirror命令,在OVS内核中将业务***1、业务***2和业务***3的业务流量镜像到本发明的软件定义安全导流装置中,由所述软件定义安全导流装置对镜像的业务流量进行安全导流。
如图2所示,本发明的云计算环境下软件安全定义导流装置包括管理平台、管理模块、流量识别模块、流量处理模块、流量发送模块和数据统计模块。其中,
所述管理平台用于提供安全导流策略配置接口,允许管理员通过该配置接口配置安全导流策略,并将安全导流策略文件通过CWCP协议下发给所述管理模块,并由所述管理模块根据所述安全导流策略文件的内容形成导流策略表。
协议是解耦合物理网络、业务网络、业务流量的关键,通过协议设计,实现安全监控按需过滤、按需操作、实时统计的目的,解决当前云计算环境下业务流量镜像的诸多问题。
CWCP协议的数据包格式如下:
。其中,
VLAN_ID字段用来匹配数据包的二层包头中的vlan信息;
SRC_MAC字段用来匹配数据包的二层包头中的源MAC地址信息;
DST_MAC字段用来匹配数据包的二层包头中的目的MAC地址信息;
SRC_IP字段用来匹配数据包的三层包头中的源IP地址信息;
SRC_PORT字段用来匹配数据包的四层包头中的源端口信息;
DST_IP字段用来匹配数据包的三层包头中的目的IP地址信息;
DST_PORT字段用来匹配数据包的四层包头中的目的端口信息;
Protocol字段用来匹配数据包的三层包头中的protocol信息;
Priority字段用来设置当前策略的优先级别;
Actions字段用来设置匹配规则数据包的相应动作;
Conters字段用来对匹配规则的数据包进行数量统计;
Actions字段是对数据包的操作字段,目前所支持的操作行为有:去除/修改数据包的vlan信息,修改数据包的MAC信息,修改数据包的IP地址信息,丢弃数据包,复制数据包,发送数据包到特定地址,发送数据包到多个特定地址,设置数据包发送的速度,设置数据包QOS。
管理员在所述管理平台上通过所述配置接口配置安全导流策略时,将需要进行导流的业务流量的特征填入CWCP数据包中,并将内容发送给所述管理模块。所述管理模块根据接收到的导流策略信息,在本地生成导流策略表,以备所述流量识别模块所调用。
所述流量识别模块,用于接收和识别镜像过来的业务流量,并以所述导流策略表的导流策略对已识别的业务流量进行预处理。具体地,利用OVS的mirror命令将各业务***的业务流量镜像到所述流量识别模块,通过所述流量识别模块为业务流量的匹配和转发做前期处理工作。
在本发明中,业务流量的识别通过读取数据包的源MAC、目的MAC、VLAN_ID信息、源IP、源端口、目的IP、目的端口和协议来实现。当镜像的业务流量数据进入到软件定义安全导流装置中后,所述流量识别模块会读取镜像的业务流量的数据包的包头,对业务流量进行识别。
所述流量识别模块将获取到的镜像的业务流量的数据包,从上到下,逐条匹配所述导流策略表中的规则项,并针对满足匹配规则项的数据包进行Actions相应设置的动作处理,如果没有匹配规则项,则根据默认处理策略,对数据包进行处理。
所述流量处理模块用于根据所述导流策略表对所述流量识别模块预处理后的业务流量进行二次处理。具体地,所述流量处理模块根据导流决策表中Actions字段所定义的内容,对匹配的业务流量进行二次处理。所述流量处理模块可以包括执行模块。所述执行模块用于根据动作信息修改业务流量的相关信息。所述执行模块能修改的内容包扩修改业务流量的目的IP地址、目的MAC地址、设置业务流量的发送速度、修改vlan标识,去除已有vlan标识。
所述流量发送模块用于将所述流量处理模块二次处理后的业务流量发送到指定端口,由连接在该端口的外部设备对业务流量进行接收。
所述数据统计模块用于对镜像过来的所有业务流量进行统计,并以主动或被动的方式向所述管理模块进行发送,再由所述管理模块将统计信息发送给所述管理平台。
所述数据统计模块可以包括采集模块。所述采集模块负责将业务流量进行数据获取、归并与格式化,并将所有数据以规范的统一格式存放在数据库中。数据包含了业务流量的IP、端口、协议、事件、数据包数、流量大小等信息。这类统计信息对于辅助运维人员发现安全问题、业务问题,降低信息噪声有很大帮助作用。统计信息能够以主动或被动的方式,向管理模块进行发送,管理模块将统计信息发送给所述管理平台。这样,所述管理平台就可以基于所述统计信息全局监控云环境的网络拓扑、业务拓扑、业务域之间的访问关系、访问流量和安全措施部署状态。
具体地,如图3所示,当匹配的业务流量进入到所述流量处理模块时,首先匹配导流策略表,根据导流策略表的内容对匹配的业务流量进行处理。当导流策略表中没有匹配项以及匹配的业务流量不进行动作设置时,直接把匹配的业务流量通过所述流量发送模块发送到外部设备,并将发送的业务流量数据传送到所述数据统计模块进行信息统计。
当预处理后的业务流量匹配了导流策略表并设置了动作信息时,先判断是否为丢弃信息,如果是丢弃信息则将业务流量数据包丢弃,如果不是,则将业务流量发送到执行模块,由所述执行模块根据动作信息修改业务流量的相关信息。
同时,所述采集模块负责将业务流量进行数据获取、归并与格式化,并将所有数据以规范的统一格式存放在数据库中。数据包含了业务流量的IP、端口、协议、事件、数据包数、流量大小等信息。这类统计信息对于辅助运维人员发现安全问题、业务问题,降低信息噪声有很大帮助作用。统计信息能够以主动或被动的方式,向管理模块进行发送,管理模块将统计信息发送给所述管理平台。这样,所述管理平台就可以基于所述统计信息全局监控云环境的网络拓扑、业务拓扑、业务域之间的访问关系、访问流量和安全措施部署状态。
在本发明中,所述管理模块通过CWMP协议将统计信息发送到所述管理平台。
CWMP协议的数据包格式如下:
。其中,
VLAN_ID字段用来记录数据包二层包头中的vlan信息;
SRC_MAC字段用来记录数据包二层包头中的源MAC地址信息;
DST_MAC字段用来记录数据包二层包头中的目的MAC地址信息;
SRC_IP字段用来记录数据包三层包头中的源IP地址信息;
SRC_PORT字段用来记录数据包四层包头中的源端口信息;
DST_IP字段用来记录数据包三层包头中的目的IP地址信息;
DST_PORT字段用来记录数据包四层包头中的目的端口信息;
Protocol字段用来记录数据包三层包头中的protocol信息;
Packets字段用来记录数据包发送的包数;
Sizes字段用来技术数据包的大小;
Con_time字段用来记录数据包的连接时长。
管理平台根据统计信息,可以很好地全局展示当前业务域的连接状态、访问态势,对运维人员的故障排除,全局监控具有积极意义。
如图4所示,本发明的云计算环境下软件定义安全导流装置的整体处理流程如下:
1、管理员在软件定义安全导流装置的管理平台中,通过交互界面中的安全导流策略配置接口配置业务流量的导流策略。其中,可以配置默认导流规则为丢弃,配置丢弃视频协议、ftp协议等文件传输协议,配置复制关键服务器1.1.1.1的流量并分别发送到检测设备与审计设备(一份流量发送到两个目的设备)。
2、管理平台通过CWCP协议向软件定义安全导流装置的管理模块下发导流策略,管理模块根据获得的导流策略建立导流策略表。
3、在刀片服务器或PC服务器上,调用OVS的mirror命令,实现将所有业务流量镜像给软件定义安全导流装置的流量识别模块。
4、软件定义安全导流装置的各个模块协同工作。其中,流量识别模块接收所有镜像的业务流量,并根据业务流量的五元组信息、vlan_id信息、摘要信息对镜像的业务流量中的不同业务流量进行识别,已识别的业务流量的信息匹配导流策略表的规则,并将业务流量发送到流量处理模块。
5、流量处理模块根据导流策略表中设置的Actions字段内容,对业务流量进行二次处理,处理完毕后将业务流量发送到流量发送模块,如果未能匹配任何一条规则,则根据默认策略,丢弃未匹配的镜像流量。
6、流量发送模块将匹配成功的业务流量发送到特定的外部设备或同时发送到两个外部设备(一份业务数据发送到两个外部设备),并与数据统计模块共享流量发送队列。
7、数据统计模块对流量发送队列里的数据进行统计、归并、保存。其中,统计内容为针对单一IP的数据发送量、数据包速率、流量大小和IP网段的素具发送量、数据包大小、流量大小。
8、数据统计模块以主动或被动的方式向管理模块推送统计信息,管理模块将统计信息上报给管理平台。
9、管理平台根据统计信息全局监控云环境的网络拓扑,业务拓扑,业务域之间的访问关系、访问流量、安全措施部署状态。
在云计算环境下,虚拟化技术大规模部署,网络虚拟化所采用的OVS,实现了服务器内部所有虚拟业务***的流量交互。OVS所具有的mirror命令,虽然能够对虚拟业务***进行流量镜像,但存在流量翻倍,影响网络性能,所有业务流量混合在一起,镜像数据存在不关心的业务流量,浪费存储空间的问题。
本发明的软件定义安全导流装置能够对镜像的业务流量进行二次处理,通过业务流量去重算法,降低OVS的mirror命令对网络性能的影响;同时通过管理员对导流策略的配置,能够细粒度灵活镜像所需业务流量,处理业务流量后续动作,实现软件定义安全导流。
本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无法对所有的实施方式予以穷举。凡是属于本发明的技术方案所引伸出的显而易见的变化或变动仍处于本发明的保护范围之列。

Claims (5)

1.一种云计算环境下软件安全定义导流装置,其包括:
管理平台,该管理平台用于提供安全导流策略配置接口,允许管理员通过该配置接口配置安全导流策略;
管理模块,该管理模块用于接收所述管理平台通过CWCP协议下发的安全导流策略文件并根据安全导流策略文件的内容形成导流策略表;
流量识别模块,该流量识别模块用于接收和识别镜像过来的业务流量,并以所述导流策略表的导流策略对已识别的业务流量进行预处理;
流量处理模块,该流量处理模块用于根据所述导流策略表对所述流量识别模块预处理后的业务流量进行二次处理;
流量发送模块,该流量发送模块用于将所述流量处理模块二次处理后的业务流量发送到指定端口,由连接在该端口的外部设备对业务流量进行接收;
数据统计模块,该数据统计模块用于对镜像过来的所有业务流量进行统计,并以主动或被动的方式向所述管理模块进行发送,再由所述管理模块将统计信息发送给所述管理平台。
2.一种基于权利要求1的云计算环境下软件定义安全导流装置的安全导流实现方法,其包括以下步骤:
(1)管理员在所述管理平台中通过安全导流策略配置接口配置业务流量的安全导流策略;
(2)所述管理平台通过CWCP协议向所述管理模块下发安全导流策略文件;
(3)所述管理模块根据获得的安全导流策略文件建立导流策略表;
(4)在刀片服务器或PC服务器上,调用OVS的mirror命令,实现将所有业务流量镜像给所述流量识别模块;
(5)所述流量识别模块接收镜像过来的所有业务流量,并对镜像过来的所有业务流量进行识别,然后以所述导流策略表的导流策略对已识别的业务流量进行预处理,并将预处理后的业务流量发送到所述流量处理模块;
(6)所述流量处理模块根据所述导流策略表对发送过来的业务流量进行二次处理,二次处理完毕后将业务流量发送到所述流量发送模块;
(7)所述流量发送模块将接收到的业务流量发送到指定的外部设备,并与所述数据统计模块共享业务流量发送队列;
(8)所述数据统计模块对所述业务流量发送队列里的数据进行统计、归并和保存;
(9)所述数据统计模块以主动或被动的方式向所述管理模块推送统计信息,并由所述管理模块将统计信息上报给所述管理平台;
(10)所述管理平台基于所述统计信息全局监控云计算环境的网络拓扑、业务拓扑、业务域之间的访问关系、访问流量和安全措施部署状态。
3.根据权利要求2所述的安全导流实现方法,其特征是,业务流量的识别通过读取业务流量数据包的源MAC、目的MAC、VLAN_ID信息、源IP、源端口、目的IP、目的端口和协议来实现。
4.根据权利要求3所述的安全导流实现方法,其特征是,所述流量处理模块根据所述导流策略表中Actions字段所定义的内容,对业务流量进行二次处理。
5.根据权利要求3和4所述的安全导流实现方法,其特征是,对业务流量进行二次处理包括对业务流量进行修改数据包字段、设置数据包发送队列、设置数据包发送速度、设置数据包发送的多个地址。
CN201610285832.1A 2016-05-04 2016-05-04 云计算环境下软件定义安全导流装置及其实现方法 Active CN105827629B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610285832.1A CN105827629B (zh) 2016-05-04 2016-05-04 云计算环境下软件定义安全导流装置及其实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610285832.1A CN105827629B (zh) 2016-05-04 2016-05-04 云计算环境下软件定义安全导流装置及其实现方法

Publications (2)

Publication Number Publication Date
CN105827629A true CN105827629A (zh) 2016-08-03
CN105827629B CN105827629B (zh) 2018-08-03

Family

ID=56528988

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610285832.1A Active CN105827629B (zh) 2016-05-04 2016-05-04 云计算环境下软件定义安全导流装置及其实现方法

Country Status (1)

Country Link
CN (1) CN105827629B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106100999A (zh) * 2016-08-28 2016-11-09 北京瑞和云图科技有限公司 一种虚拟化网络环境中镜像网络流量控制协议
CN106375384A (zh) * 2016-08-28 2017-02-01 北京瑞和云图科技有限公司 一种虚拟网络环境中镜像网络流量的管理***和控制方法
CN106533838A (zh) * 2016-11-30 2017-03-22 国云科技股份有限公司 一种面向云平台的业务特征时序数据包采集方法
CN107342926A (zh) * 2017-06-13 2017-11-10 国家计算机网络与信息安全管理中心 一种多业务快速匹配分发的方法
CN110912731A (zh) * 2019-10-29 2020-03-24 广州丰石科技有限公司 基于nfv采用dpi技术实现业务识别和拓扑分析的***和方法
CN111026525A (zh) * 2019-10-30 2020-04-17 哈尔滨安天科技集团股份有限公司 云平台虚拟导流技术的调度方法及装置
CN111031091A (zh) * 2019-10-30 2020-04-17 哈尔滨安天科技集团股份有限公司 云平台虚拟导流技术的自动化适配方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
CN104301321A (zh) * 2014-10-22 2015-01-21 北京启明星辰信息技术股份有限公司 一种实现分布式网络安全防护的方法及***
CN104378298A (zh) * 2013-08-16 2015-02-25 中兴通讯股份有限公司 一种流表条目生成方法及相应设备
CN104579810A (zh) * 2013-10-23 2015-04-29 中兴通讯股份有限公司 软件定义网络流量采样方法和***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
CN104378298A (zh) * 2013-08-16 2015-02-25 中兴通讯股份有限公司 一种流表条目生成方法及相应设备
CN104579810A (zh) * 2013-10-23 2015-04-29 中兴通讯股份有限公司 软件定义网络流量采样方法和***
CN104301321A (zh) * 2014-10-22 2015-01-21 北京启明星辰信息技术股份有限公司 一种实现分布式网络安全防护的方法及***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
何利文 等: "云环境中软件定义的安全服务", 《南京邮电大学学报》 *
李陟,李小爽: "通过虚拟导流突破云环境***署问题", 《邮电设计技术》 *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106375384A (zh) * 2016-08-28 2017-02-01 北京瑞和云图科技有限公司 一种虚拟网络环境中镜像网络流量的管理***和控制方法
CN106100999A (zh) * 2016-08-28 2016-11-09 北京瑞和云图科技有限公司 一种虚拟化网络环境中镜像网络流量控制协议
CN106100999B (zh) * 2016-08-28 2019-05-24 北京瑞和云图科技有限公司 一种虚拟化网络环境中镜像网络流量控制方法
CN106375384B (zh) * 2016-08-28 2019-06-18 北京瑞和云图科技有限公司 一种虚拟网络环境中镜像网络流量的管理***和控制方法
CN106533838B (zh) * 2016-11-30 2019-12-10 国云科技股份有限公司 一种面向云平台的业务特征时序数据包采集方法
CN106533838A (zh) * 2016-11-30 2017-03-22 国云科技股份有限公司 一种面向云平台的业务特征时序数据包采集方法
CN107342926A (zh) * 2017-06-13 2017-11-10 国家计算机网络与信息安全管理中心 一种多业务快速匹配分发的方法
CN110912731A (zh) * 2019-10-29 2020-03-24 广州丰石科技有限公司 基于nfv采用dpi技术实现业务识别和拓扑分析的***和方法
CN110912731B (zh) * 2019-10-29 2022-07-26 广州丰石科技有限公司 基于nfv采用dpi技术实现业务识别和拓扑分析的***和方法
CN111026525A (zh) * 2019-10-30 2020-04-17 哈尔滨安天科技集团股份有限公司 云平台虚拟导流技术的调度方法及装置
CN111031091A (zh) * 2019-10-30 2020-04-17 哈尔滨安天科技集团股份有限公司 云平台虚拟导流技术的自动化适配方法及装置
CN111031091B (zh) * 2019-10-30 2022-10-21 安天科技集团股份有限公司 云平台虚拟导流技术的自动化适配方法及装置
CN111026525B (zh) * 2019-10-30 2024-02-13 安天科技集团股份有限公司 云平台虚拟导流技术的调度方法及装置

Also Published As

Publication number Publication date
CN105827629B (zh) 2018-08-03

Similar Documents

Publication Publication Date Title
CN105827629A (zh) 云计算环境下软件定义安全导流装置及其实现方法
US11202132B2 (en) Application performance monitoring and management platform with anomalous flowlet resolution
US10230612B2 (en) Systems and methods for implementing a traffic visibility network
US20220070065A1 (en) Enriched flow data for network analytics
US11061942B2 (en) Unstructured data fusion by content-aware concurrent data processing pipeline
US10397277B2 (en) Dynamic data socket descriptor mirroring mechanism and use for security analytics
CN103782546B (zh) 拆分架构网络中的全网络流量监测
US8837288B2 (en) Flow-based network switching system
EP3151470B1 (en) Analytics for a distributed network
US20160359695A1 (en) Network behavior data collection and analytics for anomaly detection
US20140075557A1 (en) Streaming Method and System for Processing Network Metadata
US8923159B2 (en) Processing network traffic
CN104115463A (zh) 用于处理网络元数据的流式传输方法和***
US10917318B2 (en) Packet capture via packet tagging
JP2016508353A (ja) ネットワークメタデータを処理する改良されたストリーミング方法およびシステム
CN114006839B (zh) 一种基于eBPF的流量采集方法及装置
Montpetit The network as a computer board: Architecture concepts for in-network computing in the 6G era
Pesek et al. Augmenting Monitoring Infrastructure For Dynamic Software-Defined Networks
US9923783B1 (en) Hardware connection management
CN118118208A (zh) 智能防火墙流处理器
Tripathi et al. Netvisor: Bare Metal Control Plane, Application level Analytics and Intrusion Detection

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant