[發明專利]安全能力擴展方法、裝置、電子設備及存儲介質在審
| 申請號: | 201911422955.5 | 申請日: | 2019-12-30 |
| 公開(公告)號: | CN111131319A | 公開(公告)日: | 2020-05-08 |
| 發明(設計)人: | 黃亞洲;李瑋 | 申請(專利權)人: | 北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08 |
| 代理公司: | 北京超凡宏宇專利代理事務所(特殊普通合伙) 11463 | 代理人: | 余菲 |
| 地址: | 100000 北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 安全 能力 擴展 方法 裝置 電子設備 存儲 介質 | ||
1.一種安全能力擴展方法,其特征在于,所述方法包括:
加載一個或多個虛擬的安全網元;
將所述一個或多個虛擬的安全網元組成第一安全服務鏈;
在所述第一安全服務鏈的性能數據低于預設性能閾值時,基于每個安全網元的性能數據確定安全性能不足的目標安全網元;
創建指定安全網元組,將所述第一安全服務鏈中的所述目標安全網元替換為所述指定安全網元組,以得到第二安全服務鏈。
2.根據權利要求1所述的方法,其特征在于,所述將所述一個或多個虛擬的安全網元組成第一安全服務鏈,包括:
配置報文匹配規則,所述報文匹配規則用于將指定報文傳入所述第一安全服務鏈;
設置所述一個或多個虛擬的安全網元的數據傳輸關系,所述數據傳輸關系用于使所述指定報文按照指定路徑通過所述一個或多個虛擬的安全網元。
3.根據權利要求2所述的方法,其特征在于,所述加載一個或多個虛擬的安全網元,包括:
通過虛擬化軟件加載所述一個或多個虛擬的安全網元;
所述配置報文匹配規則,包括:
通過OpenvSwitch基于匹配規則流表配置所述報文匹配規則;
所述設置所述一個或多個虛擬的安全網元的數據傳輸關系,包括:
通過OpenvSwitch配置每個安全網元的虛擬橋內端口,用于使所述指定報文按照指定路徑通過所述一個或多個虛擬的安全網元。
4.根據權利要求1所述的方法,其特征在于,在所述基于每個安全網元的性能數據確定安全性能不足的目標安全網元之前,所述方法還包括:
確定所述第一安全服務鏈的所述預設性能閾值;
獲取所述第一安全服務鏈的入口數據流量和出口數據流量;
在所述第一安全服務鏈的入口數據流量、所述出口數據流量以及所述預設性能閾值滿足服務鏈性能判定條件時,確定所述第一安全服務鏈的性能數據低于所述預設性能閾值;所述服務鏈性能判定條件包括:
5.根據權利要求1所述的方法,其特征在于,所述基于每個安全網元的性能數據確定安全性能不足的目標安全網元,包括:
確定每個安全網元的收包數量、發包數量;
確定每個安全網元的網元CPU占用率、網元內存占用率和網元硬盤占用率;
在安全網元的收包數量、發包數量網元CPU占用率、網元內存占用率和網元硬盤占用率滿足安全網元性能判定條件時,確定滿足所述安全網元性能判定條件的安全網元為安全性能不足的所述目標安全網元;所述安全網元性能判定條件包括:網元CPU占用率≥預設網元CPU占用率閾值,網元內存占用率≥預設網元內存占用率閾值,網元硬盤占用率≥預設網元硬盤占用率閾值。
6.根據權利要求5所述的方法,其特征在于,在所述基于每個安全網元的性能數據確定安全性能不足的目標安全網元之前,所述方法還包括:
確定所述第一安全服務鏈所處的物理服務器系統的系統CPU占用率、系統內存占用率和系統硬盤占用率;
基于物理系統性能判定條件確定所述物理服務器系統的性能數據是否低于預設物理性能閾值;
在所述系統CPU占用率、所述系統內存占用率和所述系統硬盤占用率滿足物理系統性能判定條件時,確定所述物理服務器系統的性能數據低于所述預設物理性能閾值;所述物理系統性能判定條件包括:系統CPU占用率≥預設系統CPU占用率閾值,系統內存占用率≥預設系統內存占用率閾值,系統硬盤占用率≥預設系統硬盤占用率閾值。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司,未經北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911422955.5/1.html,轉載請聲明來源鉆瓜專利網。
