80]如图4所示,所述步骤s2包括如下步骤:
[0081]s21、启动数据信息检测,进入步骤s22 ;
[0082]s22、解析检测规则,进入步骤s23 ;
[0083]s23、根据所述步骤s22中解析的检测规则,执行相应的信息检测,进入步骤s24 ;
[0084]s24、根据所述步骤s23执行的信息检测,采集相应的数据信息,进入步骤s25 ;
[0085]s25、整合所述步骤s24中采集到的信息发送到所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块进行处理,进入步骤s26 ;
[0086]s26、信息检测结束;
[0087]如图5所示,所述步骤s3包括如下步骤:
[0088]s31、通过所述基于SDN的安全策略自适应生成管理系统中的数据分析决策模块接收所述步骤s2中经过信息检测检测到的数据信息,进入步骤s32 ;
[0089]s32、通过所述数据分析决策模块中的数据挖掘分析模块对接收到的数据信息根据类型进行分类处理,进入步骤s33 ;
[0090]s33、通过所述数据挖掘分析模块对分类后的信息分别进行信息挖掘、统计、聚类、归并处理以提取到用以匹配安全策略模板的关键信息,进入步骤s34 ;
[0091]s34、根据所述步骤s33中提取到的关键信息通过所述数据分析决策模块中的安全策略定制模块从所述数据分析决策模块中的安全策略模板库中选择匹配的策略需求模板,再根据实际数据信息调节策略需求模板参数,定制得到适应实际情况和具体需求的安全策略,进入步骤s35 ;
[0092]s35、通过所述数据分析决策模块中的安全策略存储模块对所述步骤s34中定制好的安全策略进行存储,进入步骤s36 ;
[0093]s36、通过所述数据分析决策模块中的策略安全传输模块保证传输安全的情况下,通过所述数据分析决策模块中的安全策略接口模块将所述步骤s35中存储的安全策略发送给所述基于SDN的安全策略自适应生成管理系统中的安全策略统一管理模块,进入步骤s37 ;
[0094]s37、安全策略定制完毕;
[0095]如图6所示,所述步骤s4包括如下步骤:
[0096]s41、由所述安全策略统一管理模块接收安全策略,进入步骤s42 ;
[0097]s42、由所述安全策略统一管理模块中的策略分流模块分析策略类型进行不同策略分发,若策略类型为流量控制,进入步骤s43 ;若策略类型为负载调整策略,进入步骤s48 ;若策略类型为安全防护策略,进入步骤s53 ;
[0098]s43、执行流量控制策略,将流量控制策略由所述策略分流模块分发给所述安全策略统一管理模块中的SDN控制模块,进入步骤s44 ;
[0099]s44、由SDN控制模块将流量控制策略转化为可执行命令,进入步骤s45 ;
[0100]S45、由所述SDN控制模块将命令发送到所述基于SDN的安全策略自适应生成管理系统中的交换机中的SDN交换机,进入步骤s46 ;
[0101]S46、由SDN交换机将流表流量信息提供给NFV资源池,进入步骤s47 ;
[0102]s47、开启NFV资源池中的流量清洗服务器根据所述SDN交换机提供的流量信息执行经过所述SDN控制模块转化后的流程控制策略的可执行命令,进行流量控制,进入步骤s57 ;
[0103]s48、执行负载调整策略,将负载调整策略由所述策略分流模块分发所述SDN控制模块,进入步骤s49 ;
[0104]s49、由所述SDN控制模块将负载调整策略转化为可执行命令,进入步骤s50 ;
[0105]s50、由所述SDN控制模块将命令发送到所述SDN交换机,进入步骤s51 ;
[0106]S51、由SDN交换机将负载信息提供给NFV资源池,进入步骤s52 ;
[0107]s52、开启NFV资源池中的负载均衡服务器根据所述SDN交换机提供的负载信息执行经过所述SDN控制模块转化后的负载调整策略的可执行命令,进行负载调整,进入步骤s57 ;
[0108]s53、由所述策略分流模块将安全防护策略分发给所述安全策略统一管理模块中的NFV控制模块,进入步骤s54 ;
[0109]s54、由NFV控制模块将安全防护策略转化成可执行命令,进入步骤s55 ;
[0110]S55、由所述NFV控制模块将命令发送到NFV资源池,进入步骤s56 ;
[0111]S56、开启NFV资源池中的安全防护设备执行经过所述NFV控制模块转化后的安全防护策略的可执行命令,进行安全防护,进入步骤s57 ;
[0112]s57、策略执行完毕。
[0113]优选地,所述步骤s24根据所述步骤s23执行的信息检测包括流量信息检测、包信息检测、链路负载信息检测以及安全事件信息检测。
[0114]优选地,所述对信息的检测是在支持SDN的交换机出进行自适应信息收集,其中,所述对流量信息的检测、包信息的检测、链路负载信息的检测是直接在SDN交换机处进行信息采集;所述对安全事件信息的检测是通过交换机模块对NFV资源池中的安全防护设备?目息进行?目息米集。
[0115]NFV资源池是一种将传统的安全设备以安全服务节点的方式呈现,NFV资源池提供安全设备的弹性扩展,以及快速交互的能力,针对不同用户、不同时段,随时随地的展开安全防护。SDN交换机支持OpenFlow协议,实现数据转发,SDN控制模块将安全策略内容转化成可执行的命令再转发到流量清洗器、安全防护设备等地方。
[0116]本发明实现了一种基于SDN自适应安全策略的统一生成和管理,能够对多种场景包括:流量控制、包转发、链路信息调整(负载均衡)、安全事件处理等实现策略的生成和管理;本发明通过添加策略需求模板和定义检测规则,来扩展对新的策略的生成和管理;本发明引入数据分析技术,对云环境中大量的网络数据和安全数据进行分析,寻找网络数据中的规律和安全事件信息中的威胁,并依据数据分析结果,来有针对性的定制安全策略;本发明的安全策略,能够通过SDN交换机发送到安全防护设备,实现与安全防护设备的联动,更好的按需提供安全策略,实现对安全威胁的按需防护。
[0117]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
【主权项】
1.一种基于SDN的安全策略自适应生成管理系统,所述基于SDN的安全策略自适应生成管理系统与NFV资源池和虚拟机资源池相连,为云环境提供安全策略自适应生成管理;所述NFV资源池包括IDS服务器、IPS服务器、流量清洗服务器、负载均衡服务器及安全防护设备;其特征在于, 所述基于SDN的安全策略自适应生成管理系统包括制定不同检测规则来实现不同信息采集的安全检测模块、对所述安全检测模块采集到的数据进行数据分析和挖掘以定制出适应实际情况和具体需求的安全策略的数据分析决策模块、与所述数据分析决策模块相连并对所述数据分析决策模块制定的安全策略进行统一管理和控制并转化为可执行命令的包含SDN控制模块及NFV控制模块的安全策略统一管理模块、与所述安全策略统一管理模块相连并包含能够为流表实现按需转发的SDN交换机的交换机模块; 所述安全检测模块包括为新的策略需求定制相应检测规则的检测规则制定模块、根据所述检测规则制定模块制定的相应流量检测规则通过测量SDN交换机处流表信息来感知流量数据的流量感知模块、根据所述检测规则制定模块制定的相应包检测规则在SDN交换机出获取包检测信息的包检测模块、根据所述检测规则制定模块制定的相应安全事件检测规则收集来自NFV资源池中安全防护设备提供的安全事件数据信息的安全事件数据收集模块、根据所述检测规则制定模块制定的其他信息检测规则检测除了流量和包以及安全事件信息以外的信息的其他检测模块;所述安全检测模块还包括为所述流量感知模块、包检测模块、其他检测模块及安全事件数据收集模块实现对外检测信息的获取提供接口的检测信息获取接口模块; 所述数据分析决策模块包括存储安全策略需求模板的安全策略模板库、对所述安全检测模块检测到的数据进行分类处理再对数