CN114268477A - 基于多模式负载均衡的安全资源动态调度***及方法 - Google Patents

Abstract

基于多模式负载均衡的安全资源动态调度***，包括应用层、控制层和物理层，用户通过应用层下发设备使用需求，应用层将设备使用需求发送至控制层；控制层在接受到用户设备使用需求后，解析用户设备使用需求的参数，并采集所述物理层中设备的负载信息，使用解析出的参数与设备负载信息进行资源调度计算，并将资源调度计算结果发送至所述物理层。本发明可根据安全组件所需负载资源进行匹配，从而避免个别设备负载过重、排队时间过长导致整体性能下降的问题，并且实现了底层安全资源池负载均衡的分布式调度算法，在能够实现负载均衡，也可以提供更快的扫描速度。

Description

基于多模式负载均衡的安全资源动态调度***及方法

技术领域

本发明属于信息安全领域，具体涉及基于多模式负载均衡的安全资源动态调度***及方法。

背景技术

网络安全服务是当前网络中不可缺少的功能。传统的安全保护策略是通知的安全设备保护实体对象的地址,和安全设备与它建立连接通过传统的网络保护,而在现有的网络中,由于各种网络设备和网络的虚拟化功能,安全服务不再是简单地保护某个设备的某个实体，而是复杂的内部云租户、虚拟机和其他对象。当前的安全架构难以满足网络的发展要求，不能在当前开放、虚拟化等特点的网络防护需求中取得足够的进展，最重要的是，由于目前大部分的安全管理功能模块都是东西向部署的，使得安全管理功能无法与整个***有机集成。虽然模拟技术的发展在一定程度上提高自动化程度的安全,但实时应用程序的多样性和动态特征,这些需求仍不满足,安全保护能力并没有太大的改善,或不仅疲弱和高成本。

业务感知、灵活的资产配置、按需部署等安全能力代表着网络安全机制未来发展的方向，虽然现在在全球视野下，安全自动化等方面取得了一定的进展，但实现流程自动化和安全操作还有很长的路要走。目前，只有美国在推进SCAP(安全内容自动化协议)。尽管目前在漏洞信息的共享和交互以及安全信息的开放方面取得了一些进展。与其他服务相比，安全作为服务在创新方面比较薄弱和僵化，安全功能的重用和继承很差，只停留在产品更新级别。当前的安全体系结构难以满足网络的发展需求。这些应用的多样性和动态特性的需求还没有得到满足，安全防护能力没有得到很大的提高，或者不仅薄弱而且成本高。

软件定义的网络架构将为网络安全防护带来新的机遇。该架构将网络安全设备的控制平面和数据平面解耦，底层通过NFV(Network Function Virtualization)技术对传统硬件安全设备进行虚拟化和资源池，形成统一的安全资源池。顶层采用软件定义的细粒度方式对网络数据流进行定义和描述，并将目标网络数据流重定向到多个虚拟安全设备的序列中进行安全保护。虽然构建基于SDN和NFV技术的安全服务链可以有效提高安全防护的效率，降低网络管理的成本和复杂性，但现有的安全服务链机制仍然存在重大缺陷，主要是在安全资源调度时，如何有效地平衡各类虚拟安全设备的负载，提高安全服务链安全资源调度的效率，进而提高其所承载的物理服务器的资源利用率。

发明内容

为解决现有技术中存在的不足，本发明的目的在于，提供基于多模式负载均衡的安全资源动态调度***及方法，同时设计了软件定义网络的南向接口由软件定义安全的控制平面按照既定策略和逻辑拓扑对流进行调度。该机制可根据安全组件所需负载资源进行匹配，从而避免个别设备负载过重、排队时间过长导致整体性能下降的问题。

本发明采用如下的技术方案：

基于多模式负载均衡的安全资源动态调度***，包括应用层、控制层和物理层，用户通过所述应用层下发设备使用需求，所述应用层将设备使用需求发送至所述控制层；所述控制层在接受到用户设备使用需求后，解析用户设备使用需求的参数，并采集所述物理层中设备的负载信息，使用解析出的参数与设备负载信息进行资源调度计算，并将资源调度计算结果发送至所述物理层。

控制层包括控制层安全控制器以及安全设备资源池化器；

控制层安全控制器包括参数解析模块、资源调度计算模块、DDoS模块、防火墙模块、监控管理模块以及事件调度器；

应用层、控制层与物理层之间的数据传输通过OpenFlow流表完成。

参数解析模块接受到应用层发送的用户设备使用需求后，对用户设备使用需求进行解析，并将解析结果发送至资源调度计算模块；

解析的方法具体为：

如果用户在下发设备使用需求时没有指定设备供应商，则用户设备使用需求的参数为需求id；每个设备使用需求都有一个唯一的id；

如果用户在下发设备使用需求时指定了设备供应商，则用户设备使用需求的参数为需求id以及供应商所对应的设备id，则会直接调用设备供应商对应的设备。

资源调度计算模块包括任务调度子单元以及负载计算单元；

任务调度子单元监听是否存在新的任务，如果存在新的任务，则将新任务放入任务队列；

负载计算单元根据任务的优先级选择任务队列中的任务，并根据该任务对应的解析的结果计算出最适合提供用户服务的设备；选择物理层中负载最小的最多三个设备共用户选择执行当前用户设备使用需求，并选择至少两个设备作为备用设备。

资源调度计算模块使用的负载计算方法为：

其中，load_j表示第j个设备的负载，cpu_usageweight表示CPU使用权重，

表示该设备的CPU使用率，memory_usageweight表示内存使用权重，

表示内存使用率，disk_usageweight表示硬盘使用权重，disk_usage_j表示该设备的硬盘使用率。

DDoS模块检测OpenFlow流表并过滤可疑的OpenFlow流表，将有效的OpenFlow流表发送至防火墙模块；

具体方法为：

构建n个可见单元，并将通过第i个可见单元的数据设置为矩阵v_i,i＝1,2…n；同时构建与可见单元对应的n个隐藏单元，将通过第i个隐藏单元的数据设置为矩阵u_i,i＝1,2…n；OpenFlow流表数据通过第i个可见单元后进入第i个隐藏单元，再进入第i+1个可见单元以及第i+1个隐藏单元，直至通过所有的可见单元与隐藏单元即得到有效的OpenFlow流表；

每对可见单元与隐藏单元的概率分布为：

其中，θ＝(w_i,a,b)，a与b分别为v_i与u_i的修正指数，w_i为第i个可见单元与第i个隐藏单元之间的权重。

每对可见单元与隐藏单元权重之间的差值满足以下关系式：

Δw_i＝|(v_iu_i)ⁿⁿ×(v_iu_i)^mm|

其中，(v_iu_i ^T)ⁿⁿ表示第i个可见单元的第nn行数据与第i个隐藏单元的第nn列数据的乘积；(v_iu_i)^mm表示第i个可见单元的第mm行数据与第i个隐藏单元的第mm列数据的乘积；其中，nn与mm都为小于v_i最小维度且大于0的随机数；

PF(θ)表示一个配分函数。

防火墙模块对收到的OpenFlow流表进行检测与过滤；

监控管理模块接受物理层发送的错误信息，并将错误信息写入数据库；

事件调度器负责各模块间的数据交互和指令传递，其在处理一个任务时，首先判定处理该任务所涉及的模块之前是否存在依赖关系，如果存在依赖关系则按依赖关系启动所涉及的模块；如果不存在依赖关系，则同时运行所涉及的模块。

物理层包括所有设备；当所选设备都无法执行用户设备使用需求时，则将当前的设备参数和任务参数重新输入至控制层，重新计算设备负载并进行选择；此时，物理层同时将错误信息发送至控制层进行保存。

本发明还公开了基于多模式负载均衡的安全资源动态调度***，包括以下步骤：

步骤1，采集用户设备使用需求；

步骤2，根据步骤1的使用需求解析用户设备使用需求的参数，并将结果通过OpenFlow流表的形式进行传输；

步骤3，对步骤2中OpenFlow流表进行检测与过滤得到有效的OpenFlow流表；

步骤4，根据步骤3得到的有效OpenFlow流表中的信息进行资源调度计算；

步骤5，根据步骤4的结果对资源进行调度。

本发明的有益效果在于，与现有技术相比，本发明：

1、可根据安全组件所需负载资源进行匹配，从而避免个别设备负载过重、排队时间过长导致整体性能下降的问题；

2、实现了底层安全资源池负载均衡的分布式调度算法。该调度算法的目标是选择负载最小的安全设备来执行安全任务，如在该任务中选择负载最小的扫描仪进行扫描，这样既可以实现负载均衡，又可以提供更快的扫描速度。

附图说明

图1为本发明基于多模式负载均衡的安全资源动态调度***的***流程传递图；

图2为本发明基于多模式负载均衡的安全资源动态调度***的模块依赖并发机制；

图3为本发明基于多模式负载均衡的安全资源动态调度***的资源调度机制流程；

图4为本发明基于多模式负载均衡的安全资源动态调度***的***部署图。

具体实施方式

下面结合附图对本申请作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本申请的保护范围。

基于多模式负载均衡的安全资源动态调度***，其流程传递如图1所示，***部署图如图4所示，包括应用层、控制层、物理层；

用户通过应用层下发设备使用需求，应用层将设备使用需求发送至控制层；控制层在接受到用户设备使用需求后，解析用户设备使用需求的参数，并采集物理层中设备的负载信息，使用解析出的参数与设备负载信息进行资源调度计算，并将资源调度计算结果发送至物理层；

物理层根据接受到的资源调度计算结果让设备执行其对应的任务；

应用层、控制层与物理层之间的数据传输通过OpenFlow流表完成；

具体地，在本实施例中，设备为扫描仪，使用需求以订单的形式存在；应用层为用户提供交互界面，在本实施例中为一个WEB页面；

具体地，控制层包括控制层安全控制器以及安全设备资源池化器；控制层安全控制器包括参数解析模块、资源调度计算模块、DDoS模块、防火墙模块、监控管理模块以及事件调度器；

参数解析模块接受到应用层发送的用户设备使用需求后，对用户设备使用需求进行解析，并将解析结果发送至资源调度计算模块；

解析的方法具体为：

如果用户在下发设备使用需求时没有指定设备供应商，则用户设备使用需求的参数为需求id；每个设备使用需求都有一个唯一的id；

如果用户在下发设备使用需求时指定了设备供应商，则用户设备使用需求的参数为需求id以及供应商所对应的设备id，则会直接调用设备供应商对应的设备；

资源调度计算模块包括任务调度子单元以及负载计算单元；

任务调度子单元监听是否存在新的任务，如果存在新的任务，则将新任务放入任务队列；

负载计算单元根据任务的优先级选择任务队列中的任务，并根据该任务对应的解析的结果计算出最适合提供用户服务的设备；选择物理层中负载最小的最多三个设备共用户选择执行当前用户设备使用需求，并选择至少两个设备作为备用设备；

具体地，资源调度计算方法为：

在本发明中，设备负载可通过CPU使用率、内存使用率和硬盘使用率进行计算；对于第j个设备的负载load_j，其满足以下关系式：

其中，cpu_usageweight表示CPU使用权重，

表示该设备的CPU使用率，memory_usageweight表示内存使用权重，

表示内存使用率，disk_usageweight表示硬盘使用权重，disk_usage_j表示该设备的硬盘使用率；本领域的技术人员可以根据实际情况设定本关系式中使用的权重，使用率通过实际测量得到；

DDoS模块检测OpenFlow流表并过滤可疑的OpenFlow流表，将OpenFlow流表发送至防火墙模块；与传统的方法相比，本专利所使用的软件定义网络(SDN)通过集中控制器和OpenFlow协议可以直接提取每个流的统计信息，从而能用更少的负荷实现分布式拒绝服务攻击的检测。

本发明使用以下方法检测和过滤可疑的OpenFlow流表：

构建n个可见单元，并将通过第i个可见单元的数据设置为矩阵v_i,i＝1,2…n；同时构建与可见单元对应的n个隐藏单元，将通过第i个隐藏单元的数据设置为矩阵u_i,i＝1,2…n；OpenFlow流表数据通过第i个可见单元后进入第i个隐藏单元，再进入第i+1个可见单元以及第i+1个隐藏单元，直至通过所有的可见单元与隐藏单元即得到有效的OpenFlow流表；

每对可见单元与隐藏单元的概率分布为：

其中，θ＝(w_i,a,b)，a与b分别为v_i与u_i的修正指数，本领域的技术人员可根据实际情况进行设定；w_i为第i个可见单元与第i个隐藏单元之间的权重，第i对可见单元与隐藏单元权重与第i-1个对可见单元与隐藏单元权重之间的差值满足以下关系式：

Δw_i＝|(v_iu_i)ⁿⁿ×(v_iu_i)^mm|

其中，(v_iu_i ^T)ⁿⁿ表示第i个可见单元的第nn行数据与第i个隐藏单元的第nn列数据的乘积；(v_iu_i)^mm表示第i个可见单元的第mm行数据与第i个隐藏单元的第mm列数据的乘积；其中，nn与mm都为小于v_i最小维度且大于0的随机数；

PF(θ)表示一个配分函数，本领域的技术人员可以根据实际情况进行选择；在本实施例中，PF(θ)为一个直面配分函数；

防火墙模块对收到的OpenFlow流表进行检测与过滤；本发明的防火墙模块所使用的是现有防火墙技术；

监控管理模块接受物理层发送的错误信息，并将错误信息写入数据库；

事件调度器负责各模块间的数据交互和指令传递；如图2所示，事件调度器在处理一个任务时，首先判定处理该任务所涉及的模块之前是否存在依赖关系，如果存在依赖关系则按依赖关系启动所涉及的模块；如果不存在依赖关系，则同时运行所涉及的模块；

例如，对于资源调度计算任务时，防火墙模块依赖于DDoS模块的OpenFlow流表过滤结果，因此事件调度器会先启用DDoS模块，之后再启动防火墙模块；但参数解析模块并不依赖于DDoS模块的过滤结果，因此事件调度器会在启用DDoS模块的同时启用参数解析模块；

所利用的事件调度器减少了队列等待时间，保证了模块并发性，节省了整体任务处理的时间，同时考虑了模块间的依赖关系，保证任务可以正常运行；

安全设备资源池化器将物理层设备的安全功能抽象出来，安全设备的资源池化的主要方法是将不同厂商相同类型的安全设备进行接口改造，形成统一的接口，使得安全设备接收的参数一致，并且从安全设备返回的参数也一致，因此屏蔽不同厂商相同类型的安全设备的差异，接入本***的所有不同厂商的相同类型的设备(如扫描器)在控制层的控制器看来都是一样的，控制层只需完成控制的功能，给具体哪一台安全设备下发任务或者请求设备参数而不需要关心传的具体数据是什么，从而使得控制与转发功能相分离，形成安全资源池，供安全控制器调用；

具体地，控制层安全控制器通过物理拓扑的映射对已建立的策略和逻辑拓扑对OpenFlow流表进行调度，并让OpenFlow流表通过物理层相应的安全设备进行处理；

以扫描服务为例说明如何在提出的SDS架构中实现资源调度机制，图4为SDS总体架构图，其中资源调度模块是实现资源调度机制的主要内容。

首先用户在应用层中的appstore(如图3所示)上订阅了扫描服务，该扫描服务有最基本的几个参数，如要扫描的URl，任务id等

然后appstore订阅的扫描服务以任务的形式被推送到控制层的安全控制器,接着，在控制层的安全控制器，就有必要设置一个调度算法，在物理层的安全资源池中选择合适的扫描设备为用户提供服务。该调度算法需要从物理层的安全资源池中读取安全资源的参数，然后和任务的参数结合在一起算出负载最小的扫描器执行该扫描任务。这个过程中先要将安全设备进行池化，屏蔽各个厂商的扫描器的差异，然后需要统一的南向API，还需要实现负载均衡的调度算法，最后本文的调度室逻辑上的调度，通过调度流的方式进行调度，而不是物理上的调度.

最后位于控制层的安全控制器把网络设备和扫描设备能够理解的任务下发下去，网络设备和安全设备执行任务，为用户提供安全服务，最终扫描完成收集扫描结果。

物理层包括所有设备；当所选设备都无法执行用户设备使用需求时，则将当前的设备参数和任务参数重新输入至控制层，重新计算设备负载并进行选择；此时，物理层同时将错误信息发送至控制层进行保存。

本发明还公开了基于多模式负载均衡的安全资源动态调度***的安全资源动态调度方法，包括以下步骤：

步骤1，采集用户设备使用需求；

步骤2，根据步骤1的使用需求解析用户设备使用需求的参数，并将结果通过OpenFlow流表的形式进行传输；

步骤3，对步骤2中OpenFlow流表进行检测与过滤得到有效的OpenFlow流表；

步骤4，根据步骤3得到的有效OpenFlow流表中的信息进行资源调度计算；

步骤5，根据步骤4的结果对资源进行调度。

下面为一个具体的针对扫描服务的流程：

首先用户在应用层中上发出扫描服务需求，即对扫描仪的使用需求，该扫描服务有最基本的几个参数，如要扫描的URL，任务id等。然后在应用层发出的扫描服务需求以任务的形式被推送到控制层的安全控制器，接着，在控制层的安全控制器使用调度算法，在物理层的安全资源池中选择合适的扫描设备为用户提供服务。该调度算法需要从物理层的安全资源池中读取安全资源的参数，然后和任务的参数结合在一起算出负载最小的扫描器执行该扫描任务。这个过程中先要将安全设备进行池化，屏蔽各个厂商的扫描器的差异，然后需要统一的南向API，还需要实现负载均衡的调度算法，最后本文的调度室逻辑上的调度，通过调度流的方式进行调度，而不是物理上的调度。最后位于控制层的安全控制器把网络设备和扫描设备能够理解的任务下发下去，网络设备和安全设备执行任务，为用户提供安全服务，最终扫描完成收集扫描结果。

本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述，但是本领域技术人员应该理解，以上实施示例仅为本发明的优选实施方案，详尽的说明只是为了帮助读者更好地理解本发明精神，而并非对本发明保护范围的限制，相反，任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。

Claims (10)

1.基于多模式负载均衡的安全资源动态调度***，包括应用层、控制层和物理层，其特征在于，

用户通过所述应用层下发设备使用需求，所述应用层将设备使用需求发送至所述控制层；所述控制层在接受到用户设备使用需求后，解析用户设备使用需求的参数，并采集所述物理层中设备的负载信息，使用解析出的参数与设备负载信息进行资源调度计算，并将资源调度计算结果发送至所述物理层。

2.根据权利要求1所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

所述控制层包括控制层安全控制器以及安全设备资源池化器；

所述控制层安全控制器包括参数解析模块、资源调度计算模块、DDoS模块、防火墙模块、监控管理模块以及事件调度器；

所述应用层、控制层与物理层之间的数据传输通过OpenFlow流表完成。

3.根据权利要求2所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

所述参数解析模块接受到应用层发送的用户设备使用需求后，对用户设备使用需求进行解析，并将解析结果发送至资源调度计算模块；

解析的方法具体为：

如果用户在下发设备使用需求时没有指定设备供应商，则用户设备使用需求的参数为需求id；每个设备使用需求都有一个唯一的id；

如果用户在下发设备使用需求时指定了设备供应商，则用户设备使用需求的参数为需求id以及供应商所对应的设备id，则会直接调用设备供应商对应的设备。

4.根据权利要求2所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

所述资源调度计算模块包括任务调度子单元以及负载计算单元；

所述任务调度子单元监听是否存在新的任务，如果存在新的任务，则将新任务放入任务队列；

所述负载计算单元根据任务的优先级选择任务队列中的任务，并根据该任务对应的解析的结果计算出最适合提供用户服务的设备；选择物理层中负载最小的最多三个设备共用户选择执行当前用户设备使用需求，并选择至少两个设备作为备用设备。

5.根据权利要求2所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

所述资源调度计算模块使用的负载计算方法为：

其中，load_j表示第j个设备的负载，cpu_usageweight表示CPU使用权重，

表示该设备的CPU使用率，memory_usageweight表示内存使用权重，

表示内存使用率，disk_usageweight表示硬盘使用权重，disk_usage_j表示该设备的硬盘使用率。

6.根据权利要求1所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

所述DDoS模块检测OpenFlow流表并过滤可疑的OpenFlow流表，将有效的OpenFlow流表发送至防火墙模块；

具体方法为：

构建n个可见单元，并将通过第i个可见单元的数据设置为矩阵v_i，i＝1，2....n；同时构建与可见单元对应的n个隐藏单元，将通过第i个隐藏单元的数据设置为矩阵u_i，i＝1，2....n；OpenFlow流表数据通过第i个可见单元后进入第i个隐藏单元，再进入第i+1个可见单元以及第i+1个隐藏单元，直至通过所有的可见单元与隐藏单元即得到有效的OpenFlow流表；

每对可见单元与隐藏单元的概率分布为：

其中，θ＝(w_i，a，b)，a与b分别为v_i与u_i的修正指数，w_i为第i个可见单元与第i个隐藏单元之间的权重。

7.根据权利要求6所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

每对可见单元与隐藏单元权重之间的差值满足以下关系式：

Δw_i＝|(v_iu_i)ⁿⁿ×(v_iu_i)^mm|

其中，(v_iu_i ^T)ⁿⁿ表示第i个可见单元的第nn行数据与第i个隐藏单元的第nn列数据的乘积；(v_iu_i)^mm表示第i个可见单元的第mm行数据与第i个隐藏单元的第mm列数据的乘积；其中，nn与mm都为小于v_i最小维度且大于0的随机数；

PF(θ)表示一个配分函数。

8.根据权利要求2所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

所述防火墙模块对收到的OpenFlow流表进行检测与过滤；

所述监控管理模块接受物理层发送的错误信息，并将错误信息写入数据库；

所述事件调度器负责各模块间的数据交互和指令传递，其在处理一个任务时，首先判定处理该任务所涉及的模块之前是否存在依赖关系，如果存在依赖关系则按依赖关系启动所涉及的模块；如果不存在依赖关系，则同时运行所涉及的模块。

9.根据权利要求1所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

所述物理层包括所有设备；当所选设备都无法执行用户设备使用需求时，则将当前的设备参数和任务参数重新输入至控制层，重新计算设备负载并进行选择；此时，物理层同时将错误信息发送至控制层进行保存。

10.根据权利要求1-9任意一项所述的基于多模式负载均衡的安全资源动态调度***，其特征在于，

步骤1，采集用户设备使用需求；

步骤2，根据步骤1的使用需求解析用户设备使用需求的参数，并将结果通过OpenFlow流表的形式进行传输；

步骤3，对步骤2中OpenFlow流表进行检测与过滤得到有效的OpenFlow流表；

步骤4，根据步骤3得到的有效OpenFlow流表中的信息进行资源调度计算；

步骤5，根据步骤4的结果对资源进行调度。

Images