[发明专利]一种SDN环境下安全防护部署的方法及装置

说明书

本申请实施例提供了一种SDN环境下安全防护部署的方法及装置，属于网络安全技术领域。所述方法包括：获取预设的各个目标安全功能，根据各个目标安全功能和每一安全应用程序包含的安全功能，从至少一个安全应用程序中确定安全应用程序的目标组合，目标组合满足每一目标安全功能，将目标组合中的安全应用程序发送至多个主机中的至少一个主机上，以使安全应用程序在其被发送至的主机上运行。采用本发明，可以提高安全防护部署的灵活性，降低安全防护部署成本。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种SDN环境下安全防护部署的方法及装置。

背景技术

随着网络技术在社会各个领域的渗透，社会各种活动对计算机网络的依赖程度也越来越深，因此如何对网络进行安全防护，避免当前复杂多变且高持续性的网络攻击，一直是业界研究的重点。

现有的网络安全防护技术是基于传统的网络结构，安全防护部署是指技术人员将安全设备部署到网络中需要保护的环节处，例如，在内网与外网边界处部署防火墙，在核心交换机上部署入侵检测系统。当用户的安全防护需求发生改变时，需要技术人员将安全设备重新部署到网络中新环节处，例如用户需要防护的核心交换机发生改变，技术人员需要在新的核心交换机上部署入侵检测系统。

因此，现有的网络安全防护技术，需要技术人员进行安全防护部署，部署成本较高，而且当用户的安全防护需求发生改变时，需要技术人员将安全设备重新部署到网络中新的环节处，安全防护部署的灵活性较低。

发明内容

本申请实施例的目的在于提供一种SDN环境下安全防护部署的方法及装置，以实现提高安全防护部署的灵活性，降低安全防护部署成本。具体技术方案如下：

第一方面，提供了一种SDN环境下安全防护部署的方法，应用于软件定义网络SDN中的安全控制器，所述安全控制器存储有至少一个安全应用程序，所述SDN还包括多个主机，所述方法包括：

获取预设的各个目标安全功能；

根据所述各个目标安全功能和每一安全应用程序包含的安全功能，从所述至少一个安全应用程序中确定安全应用程序的目标组合，所述目标组合满足每一目标安全功能；

将所述目标组合中的安全应用程序发送至所述多个主机中的至少一个主机上，以使所述安全应用程序在其被发送至的主机上运行。

可选的，所述根据所述各个目标安全功能和每一安全应用程序包含的安全功能，从所述至少一个安全应用程序中确定安全应用程序的目标组合，包括：

根据所述各个目标安全功能、每一安全应用程序包含的安全功能和预设的程序选择规则，将从所述至少一个安全应用程序中选出的安全应用程序按照前缀树结构排列，得到各个节点表示安全应用程序的目标前缀树，并遍历所述目标前缀树每一路径，得到安全应用程序的各个组合，每一组合满足每一目标安全功能；

根据预设的各个资源参数、每一组合运行所需的各个资源参数和预设的组合选择规则，从所述各个组合中确定目标组合。

可选的，所述根据预设的各个资源参数、每一组合运行所需的各个资源参数和预设的组合选择规则，从所述各个组合中确定目标组合，包括：

从所述各个组合中确定各个资源参数与所述预设的各个资源参数相互匹配的组合；

针对每一确定的组合，根据所述预设的各个资源参数、该组合运行所需的各个资源参数和预设的各个资源参数的评分计算公式，计算该组合运行所需的各个资源参数的评分；

根据预设的各个资源参数评分的权重值、该组合运行所需的各个资源参数的评分和预设的加权计算公式，加权计算该组合的评分；

将确定的组合中评分最高的组合作为目标组合。