一种虚拟数据中心安全防御系统、方法及存储介质与流程

1.本发明涉及虚拟数据中心技术领域，具体涉及一种虚拟数据中心安全防御系统、方法及存储介质。


背景技术：

2.随着企业的业务从物理数据中心网络迁移到虚拟化网络，加快应用程序的配置和部署，并降低硬件成本和管理时间，这一情况变得更加普遍。在这个新的数据中心环境中，所有的基础设施元素，其中包括网络，存储，计算和安全性都是虚拟化的，并作为服务交付。这种根本的变化意味着保护网络外围安全的传统的方法和措施已经不再适用于解决动态的虚拟化环境。
3.在现有的虚拟数据中心网络中，由于平台的独立部署，需要不断重复导入清单数据，造成数据冗余严重，同时现有的不能满足多租户的安全服务。


技术实现要素：

4.针对现有技术存在的不足，本发明的目的在于提供一种虚拟数据中心安全防御系统、方法及存储介质。
5.为了实现上述目的，本发明提供如下技术方案：
6.一种虚拟数据中心安全防御系统，包括
7.云服务模块，用于为租户提供安全服务作业；
8.控制管理模块，所述控制控制管理模块与所述云服务模块连接，所述控制管理模块用于获取租户信息并根据租户的作业设置安全策略；
9.数据分配模块，所述数据分配模块与所述控制管理模块连接，所述数据分配模块用于根据租户信息下发引流策略，在匹配到数据流后转发至安全防护模块中；
10.安全防护模块，所述安全防护模块与所述数据分配模块连接，所述安全防护模块对根据安全策略对租户流量进行过滤防护并发送运行日志给所述数据分配模块，数据分配模块将转发日志至云服务模块。
11.在本发明中，进一步的，所述安全防护模块至少包括防火墙单元、入侵检测单元、病毒查杀单元、防ddos单元。
12.在本发明中，进一步的，所述控制管理模块包括多用户管理单元，所述多用户管理单元用于接收云服务模块的租户作业，并按照多用户资源配置策略进行作业选择。
13.在本发明中，进一步的，所述多用户资源配置策略的方法为：扫描所有的执行列队，判断是否存在未分配的资源作业，是则获取可用资源数量值，扫描列队中的所有作业，对所有作业最小资源需求求和，获取求和值，判断求和值是否小于可用资源数量值，小于则同时每个作业分配资源作业，否则按照列表顺序依次分配资源作业。
14.在本发明中，进一步的，还包括数据存储模块，所述数据存储模块按照存储数据策略对租户的多用户输入的文件进行数据存储。
15.在本发明中，进一步的，所述存储数据策略包括文件头指纹检测以及块指纹检测，所述文件头指纹检测用于对输入文件的文件头进行检测，所述块指纹检测用于实现对文件剩余部分进行块检测。
16.在本发明中，进一步的，所述文件头指纹检测的方法为：判断是否有文件输入，有则将文件分成若干对象，按照文件类型分为文件头和文件块，计算文件头指纹，判断存储数据库中是否存在相同的指纹，是则读取已存在的指纹，创建并存储文件头的指纹连接表，不存在相同指纹时存储文件头指纹，创建并存储文件头对象，将上述存储文件头的指纹连接表或存储文件头对象偏移至文件头尾部。
17.在本发明中，进一步的，所述块指纹检测的实现方法为：循环读取预设大小的文件块，计算块指纹，判断存储数据库中是否存在相同的块指纹，是则读取已存在的指纹，创建并存储文件头的指纹连接表，不存在相同块指纹时创建并存储块对象。
18.一种虚拟数据中心安全防御方法，基于所述一种虚拟数据中心安全防御系统，包括
19.租户下发安全服务作业，控制管理模块按照多用户资源配置策略接收解析该安全服务作业，并根据该安全作业获取租户信息并生成安全策略，将上述信息打包上传至数据分配模块，数据分配模块根据租户信息下发引流策略，在匹配到数据流后转发至安全防护模块中，安全防护模块对根据安全策略对租户流量进行过滤防护，并发送运行日志返回给数据分配模块，数据分配模块将转发日志至云服务模块中以将结果反馈至租户，同时，安全服务作业按照存储数据策略将数据存储至数据存贮模块中。
20.一种存储介质，所述存储介质存储有所述数据存储模块中的数据。
21.与现有技术相比，本发明的有益效果是：
22.本发明将防火墙、ddos等功能集中形成安全防护模块，通过安全设备的虚拟化以达到与云服务模块中租户安全服务作业相匹配的目的，并且根据作业需要，控制管理模块按照多用户资源配置策略接收解析该安全服务作业，通过资源配置策略加快了任务的分配，提升分配效率的同时实现了资源的动态分配。根据作业需要触发安全策略，将相关流量全部牵引至安全防护模块中进行过滤或防护，并发送运行日志返回给数据分配模块，数据分配模块将转发日志至云服务模块中以将结果反馈至租户。同时，本方案中的安全服务作业按照存储数据策略将数据存储至数据存贮模块中，按照存储数据策略进行存储，有效的解决重复导入清单数据的问题。
附图说明
23.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
24.图1是本发明的一种虚拟数据中心安全防御系统的整体结构框图；
25.图2是本发明的一种虚拟数据中心安全防御系统的运行流程示意图；
26.图3是本发明的一种虚拟数据中心安全防御系统中多用户资源配置策略的流程示意图；
27.图4是本发明的一种虚拟数据中心安全防御系统中文件头指纹检测的实现方法流程示意图；
28.图5是本发明的一种虚拟数据中心安全防御系统中块指纹检测实现方法流程示意图；
具体实施方式
29.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
30.需要说明的是，当组件被称为“固定于”另一个组件，它可以直接在另一个组件上或者也可以存在居中的组件。当一个组件被认为是“连接”另一个组件，它可以是直接连接到另一个组件或者可能同时存在居中组件。当一个组件被认为是“设置于”另一个组件，它可以是直接设置在另一个组件上或者可能同时存在居中组件。本文所使用的术语“垂直的”、“水平的”、“左”、“右”以及类似的表述只是为了说明的目的。
31.除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
32.请同时参见图1、图2，本发明一较佳实施方式提供一种虚拟数据中心安全防御系统，包括一种虚拟数据中心安全防御系统，包括
33.云服务模块，用于为租户提供安全服务作业；
34.控制管理模块，所述控制控制管理模块与所述云服务模块连接，所述控制管理模块用于获取租户信息并根据租户的作业设置安全策略；
35.数据分配模块，所述数据分配模块与所述控制管理模块连接，所述数据分配模块用于根据租户信息下发引流策略，在匹配到数据流后转发至安全防护模块中；
36.安全防护模块，所述安全防护模块与所述数据分配模块连接，所述安全防护模块对根据安全策略对租户流量进行过滤防护并发送运行日志给所述数据分配模块，数据分配模块将转发日志至云服务模块。
37.具体的，本系统的流程为：租户下发安全服务作业，控制管理模块按照多用户资源配置策略接收解析该安全服务作业，并根据该安全作业获取租户信息并生成安全策略，将上述信息打包上传至数据分配模块，数据分配模块根据租户信息下发引流策略，在匹配到数据流后转发至安全防护模块中，安全防护模块对根据安全策略对租户流量进行过滤防护，并发送运行日志返回给数据分配模块，数据分配模块将转发日志至云服务模块中以将结果反馈至租户。
38.在本发明中，进一步的，所述安全防护模块至少包括防火墙单元、入侵检测单元、病毒查杀单元、防dddos单元。本发明将防火墙、ddos等功能集中形成安全防护模块，通过安全设备的虚拟化以达到与云服务模块中租户安全服务作业相匹配的目的。
39.在本发明中，进一步的，所述控制管理模块包括多用户管理单元，所述多用户管理单元用于接收云服务模块的租户作业，并按照多用户资源配置策略进行作业选择。
40.具体的，本发明通过多用户管理单元主要用于对云服务模块的用户作业进行管
理，通过设计用户资源配置策略，实现多个资源列队之间可以动态调整，这样使得多个列队资源池之间不均衡时，保证资源整体的充分利用。
41.基于上述实施例，示例性的，如图3所示，所述多用户资源配置策略的方法为：扫描所有的执行列队，判断是否存在未分配的资源作业，是则获取可用资源数量值，扫描列队中的所有作业，对所有作业最小资源需求求和，获取求和值，判断求和值是否小于可用资源数量值，小于则同时每个作业分配资源作业，否则按照列表顺序依次分配资源作业，最后更新每个资源作业以进行初始化。
42.如此，实现了每个作业资源的智能调度，有效的保证了资源的配置。
43.需要说明的是，上述的可用资源为用于接收安全服务作业的若干可以调用的接口函数，用于接入租户发出的安全服务作业，然后在控制管理模块内进行处理，获取租户信息并根据租户的作业生成安全策略。
44.在本发明中，进一步的，还包括数据存储模块，所述数据存储模块按照存储数据策略对租户的多用户输入的作业文件进行数据存储。
45.本方案中的安全服务作业按照存储数据策略将数据存储至数据存贮模块中，按照存储数据策略进行存储，有效的解决重复导入清单数据的问题。
46.基于上述实施例，示例性的，所述存储数据策略包括文件头指纹检测以及块指纹检测，所述文件头指纹检测用于对输入文件的文件头进行检测，所述块指纹检测用于实现对文件剩余部分进行块检测。
47.在本发明中，进一步的，如图4所示，所述文件头指纹检测的方法为：判断是否有文件输入，有则将文件分成若干对象，按照文件类型分为文件头和文件块，计算文件头指纹，判断存储数据库中是否存在相同的指纹，是则读取已存在的指纹，创建并存储文件头的指纹连接表，不存在相同指纹时存储文件头指纹，创建并存储文件头对象，将上述存储文件头的指纹连接表或存储文件头对象偏移至文件头尾部。
48.在本发明中，进一步的，如图5所示，所述块指纹检测的实现方法为：循环读取预设大小的文件块，计算块指纹，判断存储数据库中是否存在相同的块指纹，是则读取已存在的指纹，创建并存储文件头的指纹连接表，不存在相同块指纹时创建并存储块对象。
49.具体的，本方案将为消除重复数据的多余副本，采用将输入文件，若干对象，按照文件类型分为文件头和文件块，先通过文件头指纹检测去除一部分重复数据，在通过块指纹检测去除一部分重复数据，最后保留经过上述方法处理后的文件对象集合。如此，来提高存储空间的利用率。
50.一种虚拟数据中心安全防御方法，基于所述一种虚拟数据中心安全防御系统，包括
51.租户下发安全服务作业，控制管理模块按照多用户资源配置策略接收解析该安全服务作业，并根据该安全作业获取租户信息并生成安全策略，将上述信息打包上传至数据分配模块，数据分配模块根据租户信息下发引流策略，在匹配到数据流后转发至安全防护模块中，安全防护模块对根据安全策略对租户流量进行过滤防护，并发送运行日志返回给数据分配模块，数据分配模块将转发日志至云服务模块中以将结果反馈至租户，同时，安全服务作业按照存储数据策略将数据存储至数据存贮模块中。
52.基于本发明的发明构思，在本发明的另一些优选实施方式中，提供了一种存储介
质，所述存储介质分为两部分，一部分可存储有计算机程序，如本系统的运算方法，另一部分数据存储模块中的数据。
53.应当指出，对于本领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。
54.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
55.在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
56.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
57.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
58.应当理解，本技术实施例中，从权、各个实施例、特征可以互相组合结合，都能实现解决前述技术问题。
59.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
60.上述说明是针对本发明较佳可行实施例的详细说明，但实施例并非用以限定本发明的专利申请范围，凡本发明所提示的技术精神下所完成的同等变化或修饰变更，均应属于本发明所涵盖专利范围。