本申請提供一種病毒防護方法、裝置及系統，涉及網絡安全技術領域。所述病毒防護方法包括：基于病毒特征庫獲得病毒特征流表；將所述病毒特征流表發送至交換機，以使所述交換機基于所述病毒特征流表確定經過所述交換機的流量的特征是否命中病毒特征流表，以識別所述流量是否安全。該病毒防護方法通過SDN控制器將病毒特征庫轉換為病毒特征表，以使每個交換機基于病毒特征表進行流量安全性判定，從而實現全網病毒防護，提高安全性。

技術領域

本申請涉及網絡安全技術領域，具體而言，涉及一種病毒防護方法、裝置及系統。

背景技術

伴隨著云計算及其相關業務的發展，服務器的應用需求產生了爆炸性的增長。受制于空間、能源等相關因素的影響，單純使用物理服務器已經無法滿足使用需求的增長。同時，單一物理服務器所具有的高運算能力也使得它可以承擔更多的負載，于是以服務器虛擬化為代表的虛擬化技術日益成為主流。利用虛擬化軟件創建的虛擬機，用戶所需的資源可以被動態地分配，實現建立、刪除、移動、變更等靈活的操作。橫向數據流量的增加和變化，與之相應的網絡資源也需要能根據流量模式的變化做及時調整。但是傳統的網絡架構模型已經無法完成這種靈活多變的應用，使用和修改配置維護量都大量增加，SDN的分離網絡的控制平面和轉發平面，實現網絡狀態的集中控制，支持靈活的軟件編程的理念剛好能切合云計算的這一潮流，解決配合云計算的網絡問題，會逐漸取代傳統網絡部署，成為主流。

但是在SDN網絡環境下，現有的病毒防護技術還是依賴傳統方式解決，傳統的防毒墻部署方式主要將防毒墻部署在網絡邊界或終端主機上，未部署防毒墻的網絡部分或終端主機則不在防毒墻的保護范圍中，存在病毒防護不全面，安全性較低的問題。

發明內容

有鑒于此，本申請實施例的目的在于提供一種病毒防護方法、裝置及系統，以改善現有技術中存在的病毒防護不全面，安全性較低問題。

本申請實施例提供了一種病毒防護方法，應用于SDN控制器，所述方法包括：基于病毒特征庫獲得病毒特征流表；將所述病毒特征流表發送至交換機，以使所述交換機基于所述病毒特征流表確定經過所述交換機的流量是否命中病毒特征流表，以識別所述流量是否安全。

在上述實現方式中，通過SDN控制器將病毒特征庫轉換為病毒特征流表，以使全網絡中的交換機基于該病毒特征流表判定流量的安全性，從而保障了與SDN控制器通信連接的所有交換機的流量安全，不需要在全網所有邊緣節點、邊界節點或所有終端主機上進行病毒防護部署也能保證病毒防護的全面性，從而提高了網絡安全性。

可選地，所述基于病毒特征庫獲得病毒特征流表，包括：基于所述病毒特征庫中的病毒特征信息，反向解析出病毒特征IP報文信息；基于所述病毒特征IP報文信息生成所述病毒特征流表。

在上述實現方式中，采用反向解析方式獲得病毒特征IP報文信息，再生成病毒特征流表，以進行更加全面、準確的病毒檢測。

可選地，所述方法還包括：接收所述交換機發送的病毒流表命中信息，所述病毒流表命中信息用于表示經過所述交換機的流量命中的病毒特征；接收所述防毒墻發送來的病毒查殺結果，所述病毒查殺結果用于表示所述流量是否安全，并包含病毒樣本信息；在所述病毒查殺結果表示所述流量安全時，更新所述病毒特征庫中的所述流量命中的病毒特征對應的誤報率；在所述病毒查殺結果表示所述流量不安全時，確定所述病毒樣本信息是否與所述流量命中的病毒特征一致；若所述病毒樣本信息與所述流量命中的病毒特征一致，更新所述病毒特征庫中的所述流量命中的病毒特征對應的誤報率；若所述病毒樣本信息與所述流量命中的病毒特征不一致，基于所述病毒樣本信息更新所述病毒特征庫，并更新所述病毒特征庫中的所述流量命中的病毒特征對應的誤報率。

在上述實現方式中，基于病毒特征的命中情況對病毒特征的誤報率進行實時更新，同時基于病毒樣本信息對病毒特征庫進行實時更新，保證了病毒防護的全面性和時效性，進一步提高了病毒防護安全性，也方便用戶可以獲取病毒防護的最新情況。