[发明专利]一种拟态交换机安全流量控制装置及方法有效
申请号: | 201910580675.0 | 申请日: | 2019-06-29 |
公开(公告)号: | CN110247928B | 公开(公告)日: | 2020-09-15 |
发明(设计)人: | 宋帅康;吕青松;郭义伟;徐虹;魏亚祥;邵文超;冯志峰;党凯剑 | 申请(专利权)人: | 河南信大网御科技有限公司;珠海高凌信息科技股份有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/931;H04L12/935;H04L12/937;H04L12/46;H04L12/801;H04L12/833 |
代理公司: | 郑州德勤知识产权代理有限公司 41128 | 代理人: | 黄红梅 |
地址: | 450000 河南省郑州市金水区*** | 国省代码: | 河南;41 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 拟态 交换机 安全 流量 控制 装置 方法 | ||
1.一种拟态交换机安全流量控制装置,其特征在于,包括:
安全态势感知模块,用于维护报文特征数据库,并制定安全策略;
引流模块,制定动态引流策略,维护拟态交换机安全流量在拟态交换机物理端口与数据中转模块间的数据通路,以及维护数据中转模块与异构执行体虚拟端口的数据通路;
数据中转模块,根据所述安全态势感知模块制定的安全策略对来自拟态交换机物理端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至异构执行体虚拟端口;或者
根据所述安全态势感知模块制定的安全策略对来自异构执行体虚拟端口的流量执行报文的解析过程,并将解析后的报文根据所述动态引流策略转发至拟态交换机物理端口;
所述报文的解析过程为指纹变换过程,包括以下步骤:
解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。
2.根据权利要求1所述的拟态交换机安全流量控制装置,其特征在于,所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。
3.根据权利要求2所述的拟态交换机安全流量控制装置,其特征在于:所述主执行体是根据安全态势感知模块指定的选举算法,在异构执行体池中选举的。
4.根据权利要求2所述的拟态交换机安全流量控制装置,其特征在于:所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体与各异构执行体建立的是SSH连接。
5.一种拟态交换机安全流量控制方法,其特征在于,包括以下步骤:
步骤1:安全态势感知模块选定将要被控制的安全流量报文特征并制定安全策略;
步骤2:引流模块获取来自拟态交换机物理端口或者异构执行体虚拟端口的安全流量报文特征,根据报文特征制定动态引流策略;
步骤3:数据中转模块完成报文的解析后再转发至拟态交换机物理端口或者异构执行体虚拟端口;
所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后通过引流规则重定向至拟态交换机物理端口发出。
6.根据权利要求5所述的拟态交换机安全流量控制方法,其特征在于,所述步骤2的具体步骤为:
步骤21,引流模块获取来自拟态交换机物理端口的指定报文特征,制定动态引流策略,完成拟态交换机物理端口与数据中转模块的引流规则;
步骤22:引流模块获取来自异构执行体虚拟端口的指定报文特征,制定动态引流策略,完成异构执行体虚拟端口与数据中转模块的引流规则。
7.根据权利要求5所述的拟态交换机安全流量控制方法,其特征在于,所述数据中转模块设置执行体代理,所述执行体代理包括主执行体和分发代理模块,所述分发代理模块将来自拟态交换机物理端口的流量重定向到主执行体并与各异构执行体建立连接;所述主执行体管理配置信息,通过所述分发代理模块将配置信息分发至各异构执行体。
8.根据权利要求7所述的拟态交换机安全流量控制方法,其特征在于:所述报文的解析过程为指纹变换过程,包括以下步骤:
步骤31:解析报文携带的外部指纹或内部指纹,获得报文源端口或目的端口的配置信息;
步骤32:按照外部指纹与内部指纹的映射关系将来自拟态交换机物理端口的报文复制N份,进行指纹变换后通过引流规则重定向至异构执行体虚拟接口发出;
按照内部指纹与外部指纹的映射关系将来自异构执行体虚拟端口的报文进行指纹变换后,判断源异构执行体是否为主执行体,若是,则通过引流规则重定向至拟态交换机物理端口发出;否则,丢弃该报文。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于河南信大网御科技有限公司;珠海高凌信息科技股份有限公司,未经河南信大网御科技有限公司;珠海高凌信息科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910580675.0/1.html,转载请声明来源钻瓜专利网。