【技术实现步骤摘要】
本专利技术涉及数据化和信息化智能电网技术,尤其是一种电网云平台安全和效能兼容的流量牵引模型及其应用。
技术介绍
1、在云平台基础设施建设方面,国网公司已建立覆盖27个网省的华为云、阿里云基础平台, 已基本具备提供高性能云计算的能力,但在同步开展云平台网络安全防护能力建设过程中,有以下三方面迫切需求。一是加强云安全防护自研能力建设,构建国网云安全自主可控技术体系。国网云承载了关系国计民生的电网关键业务,云平台安全运行是电网业务安全的首要前提,要着力提升国网云网络安全防护能力建设,保障基础平台、业务及数据安全,为新基建和数字化转型持续赋能。相比于传统网络安全防护,云安全防护能力在深度和广度上需持续提升,对安全组件间的协同提出了更高的要求。需依托多方安全技防措施的能力集成,构建统一的安全技防措施能力集成架构,统一调配云上云下多方安全技防措施的防护能力,同时,借助云的弹性可伸缩能力,应对不同类型和规模的攻击场景,实现预测、检测、响应、溯源的全过程网络安全管控能力,打造更具规模、更体系化的国网云安全自适应生态体系。三是加强云安全态势感知能力提升,构建对抗模式下联动防御体系。随着国网云平台、数据中台、物联管理平台建设的不断推进,多种业务形态、海量数据、异构终端大量接入,使网络安全边界趋于模糊,云平台及其承载的业务逐渐成为攻击威胁的主要对象,如何在对抗模式下提升云平台自身的态势感知及联动防御能力,是云安全防护研究的重要课题。
2、尤其是近几年随着国网公司新型电力系统公司云平台的建设和业务系统的持续迁移上云,云平台及云上业务的安全防
3、当前,专利技术人项目组云平台系统的开发,在安全和效能维度上主要面对以下挑战:多方云安全防护能力不统一:多方云并存组合运行的复杂环境下,安全防护组件存在差异,难以实现统一安全管控。传统安全防护设计架构无法适配云平台:传统安全防护能力与云上安全防护能力未实现协同及统一管控,安全防护组件之间的技术壁垒,导致安全防护能力无法针对场景进行自动化编排,全域网络安全态势难以动态感知。安全防护组件难以实现协同管控:云上云下安全防护组件接口标准不一、流量无法统一管控、统一编排难度大,导致安全防护组件难以实现协同管控。
4、为此,项目组以云上云下联合防护研究要点,将传统安全防护设备的能力进行解耦,同时,将阿里云、华为云的安全组件的能力进行统一纳管,建立云上云下安全防护自适应管控系统,改变当前安全防护措施基于硬件或虚拟化堆叠的防护方式,形成满足多云应用并存、组件部署灵活、防护集中管控的自适应云安全防护体系,通过对安全技防资源的多目标多路径数据引流实现电网云平台数据流的统一管控,提升自适应安全防护能力和云安全运营业务的支撑能力,这是当下技术开发的重要基础,也是本专利技术技术团队所承担开发子项的重中之重。
技术实现思路
1、本专利技术要解决的技术问题是提供一种电网云平台安全和效能兼容的流量牵引模型及其应用,能够通过对安全技防资源的多目标多路径数据引流实现电网云平台数据流的统一管控。
2、为解决上述技术问题,本专利技术所采取的技术方案如下。
3、电网云平台安全和效能兼容的流量牵引模型,在电网云平台建设中多方云并存组合运行的复杂环境下结合安全性和平台效率进行算力流的牵引模型构建,结合多条流量牵引路径,将流量牵引至传统虚拟安全资源、华为云虚拟安全资源、阿里云虚拟安全资源或其他云端虚拟安全资源上,实现对各项云端虚拟安全资源的有效利用和安全防护。
4、作为本专利技术的一种优选技术方案,所述多条流量牵引路径包括但不限于:sdn引流、api引流、代理引流、微代理引流及其他可选流量牵引路径。
5、作为本专利技术的一种优选技术方案,不同引流路径在电网云平台流量牵引模型中的初始化设置与基础的流量牵引模型框架相对应。
6、作为本专利技术的一种优选技术方案,所述基础的流量牵引模型框架具体包括:所述sdn 引流利用软件定义网络的集中控制和灵活可编程特性,通过控制器下发流表规则将特定的流量精准引导至目标虚拟安全资源;当检测到来自符合预先设定的区域或具有预先设定特征的网络流量时,sdn 控制器调整流表将其引流至预先设定的华为云或阿里云的虚拟安全资源进行处理;所述代理引流在网络中部署代理服务器对流量进行分析和筛选并根据预设的数据规则将符合条件的流量引导至相应的虚拟安全资源;对于需要深度检测的流量通过代理引流至预先设定的具有高级检测功能的传统虚拟安全资源;所述api 引流借助应用程序编程接口实现与不同安全系统和虚拟安全资源的交互;通过调用 api实现对流量的动态分配和引导;当安全监测系统发现异常流量时通过api指令将其引流至预先设定的具备特定防护能力的虚拟安全资源;所述微代理引流采用轻量级的微代理在终端或网络边缘进行流量的初步筛选和引导并通过判断流量的性质和需求而将其引导至对应的虚拟安全资源。
7、电网云平台流量牵引方法,基于流量牵引模型把电网云平台的数据流量的各种特征用一个向量来表示,这个向量可以命名为流量特征向量;流量特征向量内涵源 ip 地址、目的 ip 地址、协议类型、流量大小及其他不同维度的数据信息,进一步,对于每一种具体的引流路径分别对应构建一个根据流量特征来做决定的数据模块,其中 sdn 引流、api 引流、代理引流和微引流及其他后续新增的引流路径都由对应的数据模块来根据流量特征决定是否采用这种引流方式,然后把引流方式的决策组合在一起形成一个包含了对于每种引流方式的权重参数数据的引流矩阵,此引流矩阵直接对目标引流方向进行数值表征,进一步,对于引流矩阵的迭代优化(或者对等的返回到对于相关数据模块的调整和优化)对应了流量牵引的迭代优化。
8、作为本专利技术的一种优选技术方案,所述流量特征向量在源ip地址、目的ip地址、协议类型、流量大小之外,还包括:a流量的时间分布特征:不同时间段的流量峰值、均值;b流量的流向特征:流入流出的比例;c流量的应用类型特征:视频流、文件传输流、网页浏览、其他数据流类型。
9、作为本专利技术的一种优选技术方案,对于每种引流方案,其引流函数的具体构建不仅依据流量特征,同时按需可选的融入当前网络中各虚拟安全资源的负载情况、安全策略的优先级以及历史引流效果数据因素;其中sdn引流函数根据sdn控制器所监测到的网络链路拥塞情况动态调整引流策略;api引流函数根据安全策略数据中设定的优先级规则决定是否优先采用api方式进行引流。
10、作为本专利技术的一种优选技术方案,在数据上,引流矩阵构建为多因素下的权重表征架构,给流量特征的匹配度赋予权本文档来自技高网...
【技术保护点】
1.电网云平台安全和效能兼容的流量牵引模型,在电网云平台建设中多方云并存组合运行的复杂环境下结合安全性和平台效率进行算力流的牵引模型构建,其特征在于:结合多条流量牵引路径,将流量牵引至传统虚拟安全资源、华为云虚拟安全资源、阿里云虚拟安全资源或其他云端虚拟安全资源上,实现对各项云端虚拟安全资源的有效利用和安全防护。
2.根据权利要求1中所述的电网云平台安全和效能兼容的流量牵引模型,其特征在于:所述多条流量牵引路径包括但不限于:SDN引流、API引流、代理引流、微代理引流及其他可选流量牵引路径。
3.根据权利要求1中所述的电网云平台安全和效能兼容的流量牵引模型,其特征在于:不同引流路径在电网云平台流量牵引模型中的初始化设置与基础的流量牵引模型框架相对应。
4.根据权利要求3中所述的电网云平台安全和效能兼容的流量牵引模型,其特征在于:所述基础的流量牵引模型框架具体包括:所述SDN 引流利用软件定义网络的集中控制和灵活可编程特性,通过控制器下发流表规则将特定的流量精准引导至目标虚拟安全资源;当检测到来自符合预先设定的区域或具有预先设定特征的网络流量时,
5.电网云平台流量牵引方法,其特征在于:基于权利要求1-4中的流量牵引模型,把电网云平台的数据流量的各种特征用一个向量来表示,这个向量可以命名为流量特征向量;流量特征向量内涵源 IP 地址、目的 IP 地址、协议类型、流量大小及其他不同维度的数据信息,进一步,对于每一种具体的引流路径分别对应构建一个根据流量特征来做决定的数据模块,其中 SDN 引流、API 引流、代理引流和微引流及其他后续新增的引流路径都由对应的数据模块来根据流量特征决定是否采用这种引流方式,然后把引流方式的决策组合在一起形成一个包含了对于每种引流方式的权重参数数据的引流矩阵,此引流矩阵直接对目标引流方向进行数值表征,同时,对于引流矩阵的迭代优化(或者对等的返回到对于相关数据模块的调整和优化)对应了流量牵引的迭代优化。
6.根据权利要求5中所述的电网云平台流量牵引方法,其特征在于:所述流量特征向量在源IP地址、目的IP地址、协议类型、流量大小之外,还包括:a流量的时间分布特征:不同时间段的流量峰值、均值;b流量的流向特征:流入流出的比例;c流量的应用类型特征:视频流、文件传输流、网页浏览、其他数据流类型。
7.根据权利要求5中所述的电网云平台流量牵引方法,其特征在于:对于每种引流方案,其引流函数的具体构建不仅依据流量特征,同时按需可选的融入当前网络中各虚拟安全资源的负载情况、安全策略的优先级以及历史引流效果数据因素;其中SDN引流函数根据SDN控制器所监测到的网络链路拥塞情况动态调整引流策略;API引流函数根据安全策略数据中设定的优先级规则决定是否优先采用API方式进行引流。
8.根据权利要求5中所述的电网云平台流量牵引方法,其特征在于:在初始数据层面,引流矩阵构建为多因素下的权重表征架构,给流量特征的匹配度赋予权重w1,给虚拟安全资源的负载情况赋予权重w2,给安全策略的优先级赋予权重w3,通过加权计算得出最终的引流矩阵;对引流矩阵的迭代优化对应了流量牵引的迭代优化。
9.根据权利要求8中所述的电网云平台流量牵引方法,其特征在于:对于引流矩阵的优化,构建一种能够同时考虑多个目标的优化方法实现引流矩阵的优化并确定最终的引流方式实现引流矩阵的优化。
10.根据权利要求9中所述的电网云平台流量牵引方法,其特征在于:对于引流矩阵的优化,在初始构建的优化算法的基础上,二次构建其他面向不同目标的优化算法进行多重优化,实现电网云平台流量牵引的可调化和/或定制化方案输出。
...【技术特征摘要】
1.电网云平台安全和效能兼容的流量牵引模型,在电网云平台建设中多方云并存组合运行的复杂环境下结合安全性和平台效率进行算力流的牵引模型构建,其特征在于:结合多条流量牵引路径,将流量牵引至传统虚拟安全资源、华为云虚拟安全资源、阿里云虚拟安全资源或其他云端虚拟安全资源上,实现对各项云端虚拟安全资源的有效利用和安全防护。
2.根据权利要求1中所述的电网云平台安全和效能兼容的流量牵引模型,其特征在于:所述多条流量牵引路径包括但不限于:sdn引流、api引流、代理引流、微代理引流及其他可选流量牵引路径。
3.根据权利要求1中所述的电网云平台安全和效能兼容的流量牵引模型,其特征在于:不同引流路径在电网云平台流量牵引模型中的初始化设置与基础的流量牵引模型框架相对应。
4.根据权利要求3中所述的电网云平台安全和效能兼容的流量牵引模型,其特征在于:所述基础的流量牵引模型框架具体包括:所述sdn 引流利用软件定义网络的集中控制和灵活可编程特性,通过控制器下发流表规则将特定的流量精准引导至目标虚拟安全资源;当检测到来自符合预先设定的区域或具有预先设定特征的网络流量时,sdn 控制器调整流表将其引流至预先设定的华为云或阿里云的虚拟安全资源进行处理;所述代理引流在网络中部署代理服务器对流量进行分析和筛选并根据预设的数据规则将符合条件的流量引导至相应的虚拟安全资源;对于需要深度检测的流量通过代理引流至预先设定的具有高级检测功能的传统虚拟安全资源;所述api 引流借助应用程序编程接口实现与不同安全系统和虚拟安全资源的交互;通过调用 api实现对流量的动态分配和引导;当安全监测系统发现异常流量时通过api指令将其引流至预先设定的具备特定防护能力的虚拟安全资源;所述微代理引流采用轻量级的微代理在终端或网络边缘进行流量的初步筛选和引导并通过判断流量的性质和需求而将其引导至对应的虚拟安全资源。
5.电网云平台流量牵引方法,其特征在于:基于权利要求1-4中的流量牵引模型,把电网云平台的数据流量的各种特征用一个向量来表示,这个向量可以命名为流量特征向量;流量特征向量内涵源 ip 地址、目的 ip 地址、协议类型、流量大小及其他不同维度的数...
【专利技术属性】
技术研发人员:党芳芳,陈涛,杨莹,李帅,刘晗,吴阳阳,李丁丁,宋一凡,焦琪迪,王磊,
申请(专利权)人:国网河南省电力公司信息通信分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。