[发明专利]安全能力扩展方法、装置、电子设备及存储介质

权利要求书

1.一种安全能力扩展方法，其特征在于，所述方法包括：

加载一个或多个虚拟的安全网元；

将所述一个或多个虚拟的安全网元组成第一安全服务链；

在所述第一安全服务链的性能数据低于预设性能阈值时，基于每个安全网元的性能数据确定安全性能不足的目标安全网元；

创建指定安全网元组，将所述第一安全服务链中的所述目标安全网元替换为所述指定安全网元组，以得到第二安全服务链。

2.根据权利要求1所述的方法，其特征在于，所述将所述一个或多个虚拟的安全网元组成第一安全服务链，包括：

配置报文匹配规则，所述报文匹配规则用于将指定报文传入所述第一安全服务链；

设置所述一个或多个虚拟的安全网元的数据传输关系，所述数据传输关系用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。

3.根据权利要求2所述的方法，其特征在于，所述加载一个或多个虚拟的安全网元，包括：

通过虚拟化软件加载所述一个或多个虚拟的安全网元；

所述配置报文匹配规则，包括：

通过OpenvSwitch基于匹配规则流表配置所述报文匹配规则；

所述设置所述一个或多个虚拟的安全网元的数据传输关系，包括：

通过OpenvSwitch配置每个安全网元的虚拟桥内端口，用于使所述指定报文按照指定路径通过所述一个或多个虚拟的安全网元。

4.根据权利要求1所述的方法，其特征在于，在所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元之前，所述方法还包括：

确定所述第一安全服务链的所述预设性能阈值；

获取所述第一安全服务链的入口数据流量和出口数据流量；

在所述第一安全服务链的入口数据流量、所述出口数据流量以及所述预设性能阈值满足服务链性能判定条件时，确定所述第一安全服务链的性能数据低于所述预设性能阈值；所述服务链性能判定条件包括：

5.根据权利要求1所述的方法，其特征在于，所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元，包括：

确定每个安全网元的收包数量、发包数量；

确定每个安全网元的网元CPU占用率、网元内存占用率和网元硬盘占用率；

在安全网元的收包数量、发包数量网元CPU占用率、网元内存占用率和网元硬盘占用率满足安全网元性能判定条件时，确定满足所述安全网元性能判定条件的安全网元为安全性能不足的所述目标安全网元；所述安全网元性能判定条件包括：网元CPU占用率≥预设网元CPU占用率阈值，网元内存占用率≥预设网元内存占用率阈值，网元硬盘占用率≥预设网元硬盘占用率阈值。

6.根据权利要求5所述的方法，其特征在于，在所述基于每个安全网元的性能数据确定安全性能不足的目标安全网元之前，所述方法还包括：

确定所述第一安全服务链所处的物理服务器系统的系统CPU占用率、系统内存占用率和系统硬盘占用率；

基于物理系统性能判定条件确定所述物理服务器系统的性能数据是否低于预设物理性能阈值；

在所述系统CPU占用率、所述系统内存占用率和所述系统硬盘占用率满足物理系统性能判定条件时，确定所述物理服务器系统的性能数据低于所述预设物理性能阈值；所述物理系统性能判定条件包括：系统CPU占用率≥预设系统CPU占用率阈值，系统内存占用率≥预设系统内存占用率阈值，系统硬盘占用率≥预设系统硬盘占用率阈值。