1.一种报文检测方法,其特征在于,应用于Hadoop集群中的软件定义网络SDN控制器,所述方法包括:
接收交换设备发送的镜像报文;
对所述镜像报文执行报文检测,确定对应的病毒响应策略;
根据所述病毒响应策略向所述交换设备发送相应的流表项,以使所述交换设备对匹配所述流表项的报文进行处理。
2.根据权利要求1所述的方法,其特征在于,所述接收交换设备发送的镜像报文包括:
检测到主机上线时,向所述主机所接入的交换设备下发检测流表项,所述检测流表项用于控制所述交换设备将接收的所述主机发送的报文进行镜像后发送给本设备。
3.根据权利要求1所述的方法,其特征在于,根据所述病毒响应策略向所述交换设备发送相应的流表项,以使所述交换设备对匹配所述流表项的报文进行处理,包括:
当所述病毒响应策略为阻断时,向所述交换设备下发阻断流表项,以使所述交换设备丢弃命中所述阻断流表项的报文;和/或,
当所述病毒响应策略为通知时,输出告警提示。
4.根据权利要求1所述的方法,其特征在于,所述Hadoop集群中的每个SDN控制器具有一个或多个Hadoop工作模块;所述集群中至少一个SDN控制器具有一个Hadoop控制模块;
所述接收交换设备发送的镜像报文之后,所述方法还包括:确定执行所述报文检测的Hadoop工作模块;
其中,所述执行报文检测的Hadoop工作模块属于接收所述镜像报文的SDN控制器,或者,属于Hadoop集群中除接收所述镜像报文的SDN控制器以外的其他SDN控制器。
5.根据权利要求4所述的方法,其特征在于,所述确定执行所述报文检测的Hadoop工作模块,包括:
接收所述镜像报文的SDN控制器向具有所述Hadoop控制模块的SDN控制器发送报文检测的通知消息;
所述具有Hadoop控制模块的SDN控制器根据负载均衡策略指定执行报文检测的Hadoop工作模块,并向该指定Hadoop工作模块所属的SDN控制器返回响应消息,所述响应消息中包含该指定Hadoop工作模块的标识。
6.根据权利要求4所述的方法,其特征在于,对所述镜像报文执行报文检测,确定对应的病毒响应策略,包括:
执行报文检测的Hadoop工作模块所属的SDN控制器获取所述镜像报文的报文特征,将所述报文特征在预先获取的入侵防御系统IPS特征库中进行匹配;
当所述报文特征匹配到所述IPS特征库中的特征数据时,确定所述IPS特征库中与所述特征数据对应的病毒响应策略。
7.一种报文检测装置,其特征在于,应用于Hadoop集群中的软件定义网络SDN控制器,所述装置包括:
SDN控制单元,用于接收交换设备发送的镜像报文;
检测单元,用于对所述镜像报文执行报文检测,确定对应的病毒响应策略;
所述SDN控制单元,还用于根据所述病毒响应策略向所述交换设备发送相应的流表项,以使所述交换设备对匹配所述流表项的报文进行处理。
8.根据权利要求1所述的装置,其特征在于,所述SDN控制单元还用于:
检测到主机上线时,向所述主机所接入的交换设备下发检测流表项,所述检测流表项用于控制所述交换设备将接收的所述主机发送的报文进行镜像后发送给本设备。
9.根据权利要求7所述的装置,其特征在于,所述SDN控制单元,还用于:
当所述病毒响应策略为阻断时,向所述交换设备下发阻断流表项,以使所述交换设备丢弃命中所述阻断流表项的报文;和/或,
当所述病毒响应策略为通知时,输出告警提示。
10.根据权利要求7所述的装置,其特征在于,所述Hadoop集群中的每个SDN控制器具有一个或多个Hadoop工作模块;所述集群中至少一个SDN控制器具有一个Hadoop控制模块;
所述检测单元包括:Hadoop控制模块和/或Hadoop工作模块;
所述Hadoop控制模块,用于根据所述镜像报文确定执行所述报文检测的Hadoop工作模块;
其中,所述执行报文检测的Hadoop工作模块属于接收所述镜像报文的SDN控制器,或者,属于Hadoop集群中除接收所述镜像报文的SDN控制器以外的其他SDN控制器。
11.根据权利要求10所述的装置,其特征在于,
所述SDN控制单元,还用于根据接收的镜像报文生成报文检测的通知消息,并发送给所述Hadoop控制模块;
所述Hadoop控制模块,还用于接收报文检测的通知消息,根据负载均衡策略指定执行报文检测的Hadoop工作模块,并向该指定的Hadoop工作模块返回响应消息,所述响应消息中包含该指定Hadoop工作模块的标识。
12.根据权利要求11所述的装置,其特征在于,
所述Hadoop工作模块,用于根据所述响应消息,执行报文检测,包括:
获取所述镜像报文的报文特征,将所述报文特征在预先获取的入侵防御系统IPS特征库中进行匹配;当所述报文特征匹配到所述IPS特征库中的特征数据时,确定所述IPS特征库中与所述特征数据对应的病毒响应策略。