[发明专利]基于SDN的防护系统及其控制方法

说明书

本发明提供了基于SDN的防护系统的控制方法，基于SDN的防护系统包括多个租户组成的集群，控制方法包括：通过SDN控制器将待镜像的流量配置到虚拟路由器上，待镜像的流量携带有虚拟网络的信息；将待镜像的流量分配至与所述集群连接的虚机，其中，每个所述虚机对应至少一个租户，虚机所在的物理节点根据待镜像的流量所包含的IP信息和/或MPLS信息确定；利用虚机对待镜像的流量携带的虚拟网络的信息进行安全性分析，且响应于安全分析结果为存在威胁信息，生成安全策略。本发明能够实现东西向流量多租户安全分析和防护。

技术领域

本发明涉及计算机技术领域，尤其是涉及一种基于SDN的防护系统及其控制方法。

背景技术

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。那么，为了防止和避免遭受攻击和入侵，以确保网上信息的安全，网络安全系统起到了很大的作用。众所周知，云已经是当今IT建设部署的重要方式，不过云上的安全也令很多企业对其表示迟疑。当然，我们听到过很多云上的防火墙方案、分布式拒绝服务(Distributed Denial of Service，DDoS)等防护方案等等，这些都是边界的安全，它们主要聚焦在内外网之间边界上通过的流量，一般叫做南北向流量，不得不说这一层面的安全防护是十分必要的。然而，云内部的安全也是困扰很多企业的问题。例如，云平台内部不可视，用户无法管控虚机上的流量和应用；虚机之间缺乏威胁隔离机制，网络威胁一旦进入云平台内部，可以肆意蔓延等。

在东西向防护上，现在通常是通过虚机的安全组来进行防护，有厂商也把安全组叫做防火墙。安全组通常作用在虚机的虚拟网卡上，或者路由器的端口上，作用域都是网卡级别，而且只能做到四层，对于一个传输控制协议(Transmissi on Control Protocol，TCP)或者用户数据报协议(User Datagram Protocol，UD P)的服务的内部威胁是无法感知，因此对于应用的威胁是无法感知和防护。另外在虚拟化领域中存在多租户以及网段重叠的虚拟网络，无法识别出重叠网络的威胁源虚机。

基于此，有必要对现有防护系统进行改进。

发明内容

本发明的目的在于提供改进的防护系统及其控制方法，解决东西向流量多租户安全防护的问题。

本发明的目的采用以下技术方案实现：

第一方面，本发明提供了基于SDN的防护系统的控制方法，所述基于SDN的防护系统包括多个租户组成的集群，所述控制方法包括：通过SDN控制器将待镜像的流量配置到虚拟路由器上，所述待镜像的流量携带有虚拟网络的信息；将所述待镜像的流量分配至与所述集群连接的一个或多个虚机，其中，每个所述虚机对应至少一个租户，一个或多个虚机所在的物理节点根据所述待镜像的流量所包含的IP信息和/或MPLS信息确定；以及，利用所述虚机对所述待镜像的流量携带的虚拟网络的信息进行安全性分析，且响应于安全分析结果为存在威胁信息，生成安全策略。该技术方案的有益效果在于，考虑到在虚拟化中集群面临多租户的挑战，不同的租户可能具有相同的网段，相同的租户的不同虚拟网络也可能具有相同的网段，即不同虚拟网络中会存在相同IP地址的虚机，本发明通过将待镜像的流量配置有虚拟网络的信息，待镜像的流量能够携带虚拟网络的信息，利用所述虚机对多个租户进行安全性分析，在安全性分析后根据虚拟网络的信息即可确定存在安全风险的待镜像的流量，能够在检测出威胁流量后分辨出存在威胁虚拟网络的虚机及其对应的租户，同时也解决了虚拟网络识别重叠网络威胁源的问题。

在一些可选的实施例中，所述通过SDN控制器将待镜像的流量配置到虚拟路由器上包括：建立ArSDN旁路流量镜像；通过SDN控制器将待镜像的流量配置到对应的ArSDN虚拟路由器上；以及，在待镜像流量的IP Option字段中配置自定义的虚拟网络信息。该技术方案的有益效果在于，能够同时对多租户进行监控，提高监控效率。