[发明专利]一种拟态交换机安全流量控制装置及方法

权利要求书

1.一种拟态交换机安全流量控制装置，其特征在于，包括：

安全态势感知模块，用于维护报文特征数据库，并制定安全策略；

引流模块，制定动态引流策略，维护拟态交换机安全流量在拟态交换机物理端口与数据中转模块间的数据通路，以及维护数据中转模块与异构执行体虚拟端口的数据通路；

数据中转模块，根据所述安全态势感知模块制定的安全策略对来自拟态交换机物理端口的流量执行报文的解析过程，并将解析后的报文根据所述动态引流策略转发至异构执行体虚拟端口；或者

根据所述安全态势感知模块制定的安全策略对来自异构执行体虚拟端口的流量执行报文的解析过程，并将解析后的报文根据所述动态引流策略转发至拟态交换机物理端口；

所述报文的解析过程为指纹变换过程，包括以下步骤：

解析报文携带的外部指纹或内部指纹，获得报文源端口或目的端口的配置信息；

按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份，进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出；

按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。

2.根据权利要求1所述的拟态交换机安全流量控制装置，其特征在于，所述数据中转模块设置执行体代理，所述执行体代理包括主执行体和分发代理模块，所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接；所述主执行体管理配置信息，通过所述分发代理模块将配置信息分发至各异构执行体。

3.根据权利要求2所述的拟态交换机安全流量控制装置，其特征在于：所述主执行体是根据安全态势感知模块指定的选举算法，在异构执行体池中选举的。

4.根据权利要求2所述的拟态交换机安全流量控制装置，其特征在于：所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体与各异构执行体建立的是SSH连接。

5.一种拟态交换机安全流量控制方法，其特征在于，包括以下步骤：

步骤1：安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略；

步骤2：引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征，根据报文特征制定动态引流策略；

步骤3：数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口；

所述报文的解析过程为指纹变换过程，包括以下步骤：

步骤31：解析报文携带的外部指纹或内部指纹，获得报文源端口或目的端口的配置信息；

步骤32：按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份，进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出；

按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。

6.根据权利要求5所述的拟态交换机安全流量控制方法，其特征在于，所述步骤2的具体步骤为：

步骤21，引流模块获取来自拟态交换机物理端口的指定报文特征，制定动态引流策略，完成拟态交换机物理端口与数据中转模块的引流规则；

步骤22：引流模块获取来自异构执行体虚拟端口的指定报文特征，制定动态引流策略，完成异构执行体虚拟端口与数据中转模块的引流规则。

7.根据权利要求5所述的拟态交换机安全流量控制方法，其特征在于，所述数据中转模块设置执行体代理，所述执行体代理包括主执行体和分发代理模块，所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接；所述主执行体管理配置信息，通过所述分发代理模块将配置信息分发至各异构执行体。

8.根据权利要求7所述的拟态交换机安全流量控制方法，其特征在于：所述报文的解析过程为指纹变换过程，包括以下步骤：

步骤31：解析报文携带的外部指纹或内部指纹，获得报文源端口或目的端口的配置信息；

步骤32：按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份，进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出；

按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后，判断源异构执行体是否为主执行体，若是，则通过引流规则重定向至拟态交换机物理端口发出；否则，丢弃该报文。