[发明专利]基于虚拟交换机的虚拟化平台安全防护方法、装置和系统

权利要求书

1.一种基于虚拟交换机的虚拟化平台安全防护方法，其特征在于，所述方法包括：

接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；

采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；

若判断获知所述数据包符合所述网络安全策略，则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。

2.根据权利要求1所述的方法，其特征在于，所述接收虚拟交换机中的第一接口发送的数据包之前，还包括：

应用钩子程序在所述通信链路上设置用于拦截所述数据包的第一注册点，并对所述第一注册点进行封装建立所述第一接口；

和/或，

应用钩子程序在所述通信链路上设置用于转发所述数据包的第二注册点，并对所述第二注册点进行封装建立所述第二接口。

3.根据权利要求1或2所述的方法，其特征在于，还包括：

若判断获知所述数据包不符合所述网络安全策略，则根据所述网络安全策略中的网络威胁类型，对所述数据包进行安全防护处理。

4.根据权利要求3所述的方法，其特征在于，所述网络安全策略包括：

网络权限审计、网络攻击检测、以及流量入侵中的至少一种。

5.根据权利要求4所述的方法，其特征在于，所述网络安全策略为网络权限审计，与所述网络安全策略对应的特征信息包括：IP地址信息，以及与IP地址信息对应的网络访问权限信息；

所述采用数据特征库检测所述数据包是否符合预设的网络安全策略，包括：

获取与所述数据包的源IP对应的网络访问权限信息，根据所述网络访问权限信息检测对目的IP的合法性进行审计；

所述根据所述网络安全策略中的网络威胁类型，对所述数据包进行安全防护处理，包括：

若判断获知所述目的IP不合法，则根据所述将所述网络访问权限信息对所述目的IP修改为合法权限IP，并将修改后的数据包发送给所述第二接口。

6.根据权利要求4所述的方法，其特征在于，所述网络安全策略为网络攻击检测，与所述网络安全策略对应的特征信息包括：与数据包的通信协议对应的关键字段，以及攻击字符串的描述信息；

所述采用数据特征库检测所述数据包是否符合预设的网络安全策略，包括：

确定所述数据包应用的通信协议；

获取与所述通信协议对应的关键字段中的数据信息，判断所述关键字段中的数据信息中是否包括所述攻击字符串的描述信息；

所述根据所述网络安全策略中的网络威胁类型，对所述数据包进行安全防护处理，包括：

若判断获知所述关键字段中的数据信息包括攻击字符串的描述信息，则丢弃所述数据包；或者，对所述数据包进行过滤处理后获取符合所述网络安全策略的数据包，并发送给所述第二接口。

7.根据权利要求4所述的方法，其特征在于，所述网络安全策略为流量入侵，与所述网络安全策略对应的特征信息包括：数据包的格式信息，以及预设时间内与所述格式信息对应的流量阈值，其中，所述格式信息包括：头文件信息、中间文件的格式、以及结束文件的格式中的至少一种；

所述采用数据特征库检测所述数据包是否符合预设的网络安全策略，包括：

将所述数据包的头文件信息、中间文件的格式、以及结束文件的格式与所述特征信息中的格式信息进行匹配；

判断预设时间内匹配成功的数据包的流量是否超过预设的流量阈值；

所述根据所述网络安全策略中的网络威胁类型，对所述数据包进行安全防护处理，包括：

若判断获知预设时间内匹配成功的数据包的流量超过所述流量阈值，则丢弃所述数据包。

8.一种基于虚拟交换机的虚拟化平台安全防护装置，其特征在于，所述装置包括：

接收模块，用于接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；

检测模块，用于采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；

发送模块，用于若判断获知所述数据包符合所述网络安全策略，则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。