买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中国移动通信集团四川有限公司

摘要：本发明涉及网络安全领域，尤其涉及一种基于NFV的动态虚拟化网络安全管理方法以及系统，包括实时获取访问的网络流量；构建跨网络切片机制，通过SDN控制器识别匹配不同网络切片的网络流量；根据识别的结果，判断网络流量是否符合预设的匹配规则；当网络流量不符合预设的匹配规则时，则判定网络流量为异常流量；解析异常流量，得到异常流量的模式数据和行为数据；将异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略；基于调整策略的结果来处理网络流量。通过实时获取网络流量，基于不同网络切片，对网络切片采取不同的安全策略，能根据流量的特定属性来定制安全措施，实现对网络实行精细化管理，提高安全管理的效率和效果。

主权项：1.一种基于NFV的动态虚拟化网络安全管理方法，其特征在于，包括SDN控制器，所述方法包括：实时获取访问的网络流量；构建跨网络切片机制，通过所述SDN控制器识别匹配不同网络切片的所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型；根据所述识别的结果，判断所述网络流量是否符合预设的匹配规则；当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；解析所述异常流量，得到所述异常流量的模式数据和行为数据；将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略；基于所述调整策略的结果来处理所述网络流量；所述构建跨网络切片机制，通过所述SDN控制器识别匹配不同网络切片的所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型，包括：设置网络切片的属性策略，将大于预设的流量阈值的网络流量分配至第一网络切片；根据网络流量的定位，将预设的定位信息的网络流量分配至第二网络切片；根据用户认证信息来识别网络流量的用户身份，将预设用户身份范围内的网络流量分配至第三网络切片；当所述网络流量同时满足多个条件时，按照根据优先级确定所述网络流量的所属切片，所述第一网络切片为第一优先级，所述第二网络切片为第二优先级，所述第三网络切片为第三优先级；配置所述SDN控制器的识别属性，通过所述SDN控制器识别网络流量，并根据流量特征进行分类；设置网络生成器，对所述网络生成器设定流量参数；将每个类别的所述网络流量输入筛选器中，通过所述筛选器筛选出网络流量的源地址、目标地址、端口信息及协议类型；判断所述网络流量的源地址、目标地址、端口信息及协议类型是否与设定的所述流量参数一致；若所述网络流量的源地址、目标地址、端口信息及协议类型与设定的所述流量参数一致，则输出得到所述源地址、目标地址、端口信息及协议类型；网络切片的属性策略是基于流量阈值动态调整的，当网络流量超过预设的阈值时，自动将其分类到第一个网络切片，在流量高峰时段，当某条链路上的流量超过设定的阈值时，系统自动将这部分流量划分为一个单独的网络切片，以保障网络的高峰承载能力，通过识别流量中的特定定位信息，将含有这些特定信息的网络流量分配到第二个网络切片，在物联网应用中，根据终端设备的物理位置信息来区分网络流量，确保特定的流量获得优先处理或特定的服务；利用用户的认证信息，包括用户名、密码或数字证书，来确认网络流量的用户身份，并将其分配到第三个网络切片，在企业网络中，对于拥有不同权限的内部用户，根据其身份认证信息，将网络流量区分为管理流量和普通用户流量，这种策略的灵活性在于可以根据实时网络状况动态调整流量阈值，从而更有效地管理网络资源；通过精确的定位信息，可以实现更精细的网络流量管理，提高网络资源的个性化分配；通过精确的流量特征识别，可以实现更高级的网络流量管理和优化，在数据中心内部，可以根据不同应用的流量特性，根据实时性、延迟要求来设置不同的网络切片，确保关键应用获得足够的网络资源；在智能城市中，可以根据车辆或设备的位置信息，将交通管理、监控等相关的网络流量分配到特定的网络切片，以提高响应速度和效率；为不同的网络切片分配优先级，当网络流量满足多个切片的条件时，根据优先级确定其所属切片，当一个网络流量同时满足第一、第二和第三网络切片的条件，但第一网络切片的优先级最高，则该流量被分配给第一网络切片；在识别第一网络切片、第二网络切片及第三网络切片的源地址、目标地址、端口信息及协议类型时，对不同网络切片的具体用途进行细分识别，包括：第一网络切片，用于处理大于预设流量阈值的网络流量，源地址：设定一个或多个特定的源IP地址范围，目标地址：设定一个或多个特定的目标IP地址范围；端口信息：设定特定的端口号范围，针对HTTP、HTTPS的端口；协议类型：限定特定的协议，包括TCP、UDP；第二网络切片：用于处理预设定位信息的网络流量；源地址和目标地址：根据地理位置或网络路径设定特定的IP地址范围或MAC地址；端口信息：设定特定的端口号范围；协议类型：限定特定的协议；第三网络切片：针对具有预设用户身份的网络流量；用户认证信息：根据用户账号、设备标识符、用户角色设定特定的识别信息；源地址和目标地址：设定一个或多个特定的IP地址范围；端口信息：设定特定的端口号范围；协议类型：限定特定的身份协议；根据具体需求和场景来调整每个网络切片的识别属性，以实现更精细的网络流量管理和控制；对于第一网络切片，设定更高的流量阈值，以处理大量的高流量请求；对于第二网络切片，根据地理位置或网络路径来优化流量传输，提高网络性能；对于第三网络切片，根据用户身份来限制或优先处理特定用户的网络请求。

全文数据：

权利要求：

百度查询： 中国移动通信集团四川有限公司 一种基于NFV的动态虚拟化网络安全管理方法以及系统