一种基于NFV的动态虚拟化网络安全管理方法以及系统

技术领域

本申请涉及到网络安全领域，特别是涉及到一种基于NFV的动态虚拟化网络安全管理方法以及系统。

背景技术

虚拟化网络安全是指在虚拟化环境中，确保网络通信的安全性和数据完整性的一系列措施和技术，随着网络技术的快速发展，网络安全问题日益凸显，网络攻击手段也日益翻新。传统的网络安全管理方法难以满足日益增长的安全需求，同时网络安全管理也需要作出相应的调整和优化。

现有的网络安全管理技术在面对复杂多变的网络攻击时，往往缺乏对异常流量的深度解析和识别，导致无法及时发现和阻止潜在的网络攻击；同时，现有的网络流量管理方式也缺乏对不同网络切片的有效管理，无法针对特定的网络切片提供定制化的异常流量检测和响应策略，难以对网络流量的精细化控制。因此，现有技术存在缺陷，需要改进。

发明内容

为了解决现有技术中的一个或者几个问题，本申请的主要目的为提供一种基于NFV的动态虚拟化网络安全管理方法及系统。

为了实现上述发明目的，本申请提出一种基于NFV的动态虚拟化网络安全管理方法，所述方法包括：

实时获取访问的网络流量；

构建跨网络切片机制，通过所述SDN控制器识别匹配不同网络切片的所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型；

根据所述识别的结果，判断所述网络流量是否符合预设的匹配规则；

当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；

解析所述异常流量，得到所述异常流量的模式数据和行为数据；

将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略；

基于所述调整策略的结果来处理所述网络流量。

进一步地，所述根据所述识别的结果，判断所述网络流量是符合预设的匹配规则，包括：

加载所述预设的匹配规则，所述预设的匹配规则包括允许访问的IP地址、端口范围、协议类型；

判断所述源地址是否在允许访问的所述IP地址范围内；

判断所述目标地址是否在允许访问的所述IP地址范围内；

判断所述端口信息是否在允许的所述端口范围内；

判断所述协议类型是否符合协议类型；

根据所述判断的结果，当所述网络流量全部符合预设的匹配规则时，则判定所述网络流量为正常流量。

进一步地，所述构建跨网络切片机制，通过所述SDN控制器识别匹配不同网络切片的所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型，包括：

设置网络切片的属性策略，将大于预设的流量阈值的网络流量分配至第一网络切片；

根据网络流量的定位，将预设的定位信息的网络流量分配至第二网络切片；

根据用户认证信息来识别网络流量的用户身份，将预设用户身份范围内的网络流量分配至第三网络切片；

当所述网络流量同时满足多个条件时，按照根据优先级确定所述网络流量的所属切片，所述第一网络切片为第一优先级，所述第二网络切片为第二优先级，所述第三网络切片为第三优先级；

配置所述SDN控制器的识别属性，通过所述SDN控制器识别网络流量，并根据流量特征进行分类；

设置网络生成器，对所述网络生成器设定流量参数；

将每个类别的所述网络流量输入筛选器中，通过所述筛选器筛选出网络流量的源地址、目标地址、端口信息及协议类型；

判断所述网络流量的源地址、目标地址、端口信息及协议类型是否与设定的所述流量参数一致；

若所述网络流量的源地址、目标地址、端口信息及协议类型与设定的所述流量参数一致，则输出得到所述源地址、目标地址、端口信息及协议类型。

进一步地，所述将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略，包括：

将所述异常流量的模式数据和行为数据进行数据预处理；

将已预处理完成的所述模式数据和行为数据输入已训练的神经网络模型中进行识别，得到调整策略，所述调整策略包括报警策略、限流策略、阻断策略。

进一步地，所述方法还包括：

收集异常流量数据；

将所述异常流量数据进行预处理，所述预处理包括数据清洗、去除重复、格式转换；

将已预处理的异常流量数据进行提取出特征集，所述特征集包括流量速率、连接数、报文长度、报文序列、协议类型；

根据时间戳信息，将所述异常流量数据划分为不同的时间窗口；

基于每个所述时间窗口，计算异常流量的统计指标，所述统计指标包括均值、标准差、偏度、峰度；

将所述特征集和所述统计指标进行组合，得到特征向量；

将所述特征向量输入深度学习模型中生成异常流量的趋势分布表。

进一步地，所述报警策略包括异常流量的报警指令，用于接收报警指令向用户端发出报警信息；所述限流策略包括异常流量的限流指令，用于接收限流指令对异常流量进行限流；所述阻断策略包括异常流量的阻断指令，用于接收阻断指令对异常流量进行阻断。

进一步地，所述方法还包括：

当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；

对所述异常流量进行关联分析，挖掘所述异常流量的网络安全威胁信息；

根据所述关联分析结果，调整所述预设的匹配规则。

本申请实施例还提供一种基于NFV的动态虚拟化网络安全管理系统，包括：

获取模块，用于实时获取访问的网络流量；

第一识别模块，用于构建跨网络切片机制，通过所述SDN控制器识别匹配不同网络切片的所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型；

判断模块，用于根据所述识别的结果，判断所述网络流量是否符合预设的匹配规则；

判定模块，用于当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；

解析模块，用于解析所述异常流量，得到所述异常流量的模式数据和行为数据；

第二识别模块，用于将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略；

处理模块，用于基于所述调整策略的结果来处理所述网络流量。

本申请还提供一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。

本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。

本申请实施例的基于NFV的动态虚拟化网络安全管理方法以及系统，通过实时获取和分析网络流量的流量信息，将网络切片与NFV和SDN结合，为网络管理提供更多的灵活性和智能化的管理能力，可对网络实行更精细化的管理，根据不同切片的流量信息快速识别异常流量并采取相应的调整策略，通过设置匹配规则，通过判断网络流量的源地址、目标地址、端口信息及协议类型是否符合匹配规则的允许范围内。当检测到网络流量不符合预设的匹配规则时，则可判断出该网络流量为异常流量，根据异常流量识别异常流量模式和行为检测可能表明网络遭受攻击或异常情况的流量。将异常流量的模式数据和行为数据输入已训练的模型中，通过模型识别出模式数据和行为数据的应对的策略，SDN控制器可以自动执行策略。由上分析可知，本申请实施例通过实时获取和分析网络流量，基于不同网络切片，对不同网络切片采取不同的安全策略，能够根据流量的特定属性来定制安全措施，实现对网络实行更精细化的管理，从而提高安全管理的效率和效果。

附图说明

图1为本申请一实施例的基于NFV的动态虚拟化网络安全管理方法的流程示意图；

图2为本申请一实施例的基于NFV的动态虚拟化网络安全管理方法的流程示意图；

图3为本申请一实施例的基于NFV的动态虚拟化网络安全管理系统的结构示意框图；

图4为本申请一实施例的计算机设备的结构示意框图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

参照图1，本申请实施例中提供一种基于NFV的动态虚拟化网络安全管理方法，所述方法包括：包括SDN控制器，所述方法包括：

S1、实时获取访问的网络流量；

S2、构建跨网络切片机制，通过所述SDN控制器识别匹配不同网络切片的所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型；

S3、根据所述识别的结果，判断所述网络流量是否符合预设的匹配规则；

S4、当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；

S5、解析所述异常流量，得到所述异常流量的模式数据和行为数据；

S6、将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略；

S7、基于所述调整策略的结果来处理所述网络流量。

如上述步骤S1-S2所述，通过实时获取和分析网络流量的流量信息，分别为源地址、目标地址、端口信息及协议类型，根据流量信息快速识别异常流量并采取相应的调整策略。这种基于NFV和SDN控制器的技术方案可以为网络安全管理提供更加智能和灵活的应对手段。NFV(Network Function Virtualization，网络功能虚拟化)，旨在通过基于行业标准的服务器、存储和网络设备。SDN(Software Defined Networking，软件定义网络)是一种网络架构，其主要目标是使网络更加灵活、可编程和更易于管理。SDN架构主要用于网络控制功能从传统的硬件设备中分离出来，并通过软件化的方式实现网络控制和数据平面之间的解耦。具体的，通过分析网络流量的详细信息，可以对网络实行更精细化的管理。对不同网络切片采取不同的安全策略，能够根据流量的特定属性来定制安全措施，从而提高安全管理的效率和效果。构建跨网络切片机制，可在共享的基础设施上，不同的用户或组织可能需要不同的安全和服务级别。切片机制可以帮助隔离流量，确保每个租户的数据安全。在大型或复杂的网络环境中，实时监控和分析流量模式对于早期检测威胁至关重要。切片技术可以帮助管理员更好地理解网络行为，并快速识别异常。虽然切片机制本身并不是一个全新的概念，但是将其与NFV和SDN技术结合，可以为网络管理提供更多的灵活性和智能化的管理能力，特别是在需要高度定制化和动态管理的复杂网络环境中，可以对网络实行更精细化的管理。

如上述步骤S3所述，通过设置匹配规则，通过判断网络流量的源地址、目标地址、端口信息及协议类型是否符合匹配规则的允许范围内。匹配规则可包括允许访问的IP地址、端口范围、协议类型等。值得一提的是，在网络安全管理过程中，可能会遇到新的攻击手段和威胁。为了保持匹配规则的实时性和有效性，需要定期对预设的匹配规则进行更新，以便更好地应对网络安全风险。

如上述步骤S4-S5所述，当检测到网络流量不符合预设的匹配规则时，则可判断出该网络流量为异常流量，根据异常流量识别异常流量模式和行为是网络安全领域的重要任务，用于检测可能表明网络遭受攻击或异常情况的流量。异常流量模式和行为可能包括有DDoS攻击：大规模的、来自不同源头的数据包涌向目标服务器或网络，导致网络资源耗尽。端口扫描：大量的连接尝试，尝试访问网络中的多个端口，这可能是对网络的渗透测试或攻击前的侦察行为。异常流量速率：突然的流量增加或减少，超出了正常的范围，可能表明网络遭受攻击或者某些设备发生故障。异常协议使用：出现了不常见的网络传输协议或者非正常端口上的通信，可能意味着恶意软件或攻击正在进行。

如上述步骤S6-S7所述，将异常流量的模式数据和行为数据输入已训练的模型中，通过模型识别出模式数据和行为数据的应对的策略，SDN控制器可以自动执行策略，比如动态调整流表项、启动特定的防御机制、切换流量路径或隔离受影响的网络部分等。这些自动化的响应措施可以快速应对安全威胁，并最大限度地减少人为干预的延迟。

如上述步骤所述，通过实时获取和分析网络流量的流量信息，将网络切片与NFV和SDN结合，为网络管理提供更多的灵活性和智能化的管理能力，可对网络实行更精细化的管理，根据不同切片的流量信息快速识别异常流量并采取相应的调整策略，通过设置匹配规则，通过判断网络流量的源地址、目标地址、端口信息及协议类型是否符合匹配规则的允许范围内。当检测到网络流量不符合预设的匹配规则时，则可判断出该网络流量为异常流量，根据异常流量识别异常流量模式和行为检测可能表明网络遭受攻击或异常情况的流量。将异常流量的模式数据和行为数据输入已训练的模型中，通过模型识别出模式数据和行为数据的应对的策略，SDN控制器可以自动执行策略。由上分析可知，本申请实施例通过实时获取和分析网络流量，基于不同网络切片，对不同网络切片采取不同的安全策略，能够根据流量的特定属性来定制安全措施，实现对网络实行更精细化的管理，从而提高安全管理的效率和效果。

在一可行实施例中，基于NFV的动态虚拟化网络安全管理方法的应用场景中，可包括：企业网络安全管理：在企业网络环境中，这种方法可以实时监控和分析网络流量，根据预设的匹配规则识别异常流量。当发现异常流量时，系统可以自动解析并提取异常流量的特征数据，然后通过已训练的模型进行识别，以获得调整策略。根据这些调整策略，企业可以实时调整预设的匹配规则，从而确保网络的安全稳定。数据中心网络安全：数据中心承载着大量敏感数据和关键业务，对网络安全有很高要求。这种方法可以应用于数据中心，实时监控网络流量，发现并防范潜在的攻击和恶意行为。通过不断调整预设的匹配规则，提高数据中心的网络安全防护能力。云计算平台安全：云计算平台面临多样化的安全挑战，包括DDoS攻击、Web应用攻击等。这种方法可以实时获取和分析网络流量，识别异常流量并提取特征数据。通过已训练的模型，云计算平台可以快速获得调整策略，实时调整预设的匹配规则，保障云计算服务的正常运行。金融网络安全：金融行业对网络安全有极高要求。这种方法可以应用于金融网络，实时监控网络流量，发现并防范潜在的攻击。通过提取异常流量的特征数据，并根据已训练的模型获得调整策略，实时调整预设的匹配规则，确保金融业务的正常开展。

在一个实施例中，所述根据所述识别的结果，判断所述网络流量是符合预设的匹配规则，包括：

加载所述预设的匹配规则，所述预设的匹配规则包括允许访问的IP地址、端口范围、协议类型；

判断所述源地址是否在允许访问的所述IP地址范围内；

判断所述目标地址是否在允许访问的所述IP地址范围内；

判断所述端口信息是否在允许的所述端口范围内；

判断所述协议类型是否符合协议类型；

根据所述判断的结果，当所述网络流量全部符合预设的匹配规则时，则判定所述网络流量为正常流量。

如上述步骤所述，通过对比网络流量与预设匹配规则，将提取的网络流量关键信息与预设的匹配规则进行逐一对比，根据对比结果，如果网络流量的所有关键信息均符合预设的匹配规则，则判断该网络流量为正常流量；否则，判断为异常流量。分别判断源地址是否在允许访问的所述IP地址范围内；目标地址是否在允许访问的所述IP地址范围内；端口信息是否在允许的所述端口范围内；协议类型是否符合协议类型。具体的，1：检查源地址是否在允许访问的IP地址范围内：这个步骤主要是通过网络防火墙或安全策略来实现。防火墙会预先设定一个允许访问的IP地址范围，只有在这个范围内的IP地址才能访问内部网络。例如，公司允许员工使用家庭办公，那么可以在防火墙中添加员工家庭IP地址的范围，以便他们可以正常访问公司内部资源。2：检查目标地址是否在允许访问的IP地址范围内：与第一步类似，这个步骤也是通过网络防火墙或安全策略来实现。不同的是，这个步骤是检查访问请求的目标IP地址是否在允许访问的范围内。例如，公司内部服务器只允许特定部门的员工访问，那么可以在防火墙中设置允许访问的IP地址范围，以限制访问权限。3：检查端口是否在允许的端口范围内：这个步骤是通过网络设备和防火墙来实现的。预先设定一个允许访问的端口范围，只有在这个范围内的端口才能被允许访问。例如，公司允许员工使用SSH服务，但只允许使用默认端口22，那么可以设置防火墙只允许端口22的访问请求。4：检查协议类型是否符合预设的协议类型要求：这个步骤是通过网络设备和防火墙来实现的。预先设定允许访问的协议类型，只有符合要求的协议类型才能被允许访问。例如，公司允许员工使用HTTP协议访问外部网站，但禁止使用HTTPS协议，那么可以设置防火墙只允许HTTP协议的访问请求。通过预先设定允许访问的IP地址、端口和协议类型，可以有效防止未经授权的设备或用户访问内部网络，提高网络安全性；对于特定部门或角色的员工，可以设置不同的访问权限，从而实现对内部网络资源的精细控制；通过限制特定端口的访问，可以降低受到网络攻击的风险，如防范SQL注入攻击、拒绝服务攻击等；通过限制不常用或高风险的协议类型，可以优化网络性能，降低潜在的安全风险。

参照图2，在一实施例中，所述构建跨网络切片机制，通过所述SDN控制器识别匹配不同网络切片的所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型，包括：

S21、设置网络切片的属性策略，将大于预设的流量阈值的网络流量分配至第一网络切片；

S22、根据网络流量的定位，将预设的定位信息的网络流量分配至第二网络切片；

S23、根据用户认证信息来识别网络流量的用户身份，将预设用户身份范围内的网络流量分配至第三网络切片；

S24、当所述网络流量同时满足多个条件时，按照根据优先级确定所述网络流量的所属切片，所述第一网络切片为第一优先级，所述第二网络切片为第二优先级，所述第三网络切片为第三优先级；

S25、配置所述SDN控制器的识别属性，通过所述SDN控制器识别网络流量，并根据流量特征进行分类；

S26、设置网络生成器，对所述网络生成器设定流量参数；

S27、将每个类别的所述网络流量输入筛选器中，通过所述筛选器筛选出网络流量的源地址、目标地址、端口信息及协议类型；

S28、判断所述网络流量的源地址、目标地址、端口信息及协议类型是否与设定的所述流量参数一致；

S29、若所述网络流量的源地址、目标地址、端口信息及协议类型与设定的所述流量参数一致，则输出得到所述源地址、目标地址、端口信息及协议类型。

如上述步骤S21-S24所述，网络切片的属性策略可以是基于流量阈值动态调整的，当网络流量超过预设的阈值时，自动将其分类到第一个网络切片，在流量高峰时段，当某条链路上的流量超过设定的阈值时，系统自动将这部分流量划分为一个单独的网络切片，以保障网络的高峰承载能力。过识别流量中的特定定位信息(如MAC地址、IMSI等)，将含有这些特定信息的网络流量分配到第二个网络切片。在物联网应用中，根据终端设备的物理位置信息来区分网络流量，确保特定的流量获得优先处理或特定的服务。利用用户的认证信息，如用户名、密码或数字证书，来确认网络流量的用户身份，并将其分配到第三个网络切片。在企业网络中，对于拥有不同权限的内部用户，根据其身份认证信息，将网络流量区分为管理流量和普通用户流量。这种策略的灵活性在于可以根据实时网络状况动态调整流量阈值，从而更有效地管理网络资源；通过精确的定位信息，可以实现更精细的网络流量管理，提高网络资源的个性化分配；通过精确的流量特征识别，可以实现更高级的网络流量管理和优化。举例来说，在数据中心内部，可以根据不同应用的流量特性(如实时性、延迟要求等)来设置不同的网络切片，确保关键应用获得足够的网络资源。在智能城市中，可以根据车辆或设备的位置信息，将交通管理、监控等相关的网络流量分配到特定的网络切片，以提高响应速度和效率；为不同的网络切片分配优先级，当网络流量满足多个切片的条件时，根据优先级确定其所属切片。例如，如果一个网络流量同时满足第一、第二和第三网络切片的条件，但第一网络切片的优先级最高，则该流量应被分配给第一网络切片。

如上述步骤S25-S26所述，可设置网络生成器，对所述网络生成器设定流量参数：这个步骤是通过编写程序或使用专用设备来实现。网络生成器用于模拟网络流量，可以设置不同的流量参数，如流量大小、流量速率、流量类型等。这样可以预先设定好允许访问的IP地址、端口和协议类型范围。举例来说，可以设置网络生成器生成一定数量的HTTP请求，这些请求的源地址、目标地址、端口信息和协议类型均在允许范围内。

如上述步骤S27所述，将所述网络流量输入筛选器中，通过所述筛选器筛选出网络流量的源地址、目标地址、端口信息及协议类型：这个步骤是通过编写程序或使用专用筛选设备来实现。筛选器可以根据预设的规则，从网络流量中提取出源地址、目标地址、端口信息和协议类型。举例来说，可以使用正则表达式或其他筛选算法，从大量网络流量中提取符合预设规则的数据包。

如上述步骤S28所述，判断所述网络流量的源地址、目标地址、端口信息及协议类型是否与设定的所述流量参数一致：这个步骤是通过编写程序或使用专用判断设备来实现。判断器可以根据预设的流量参数，对比网络流量的源地址、目标地址、端口信息和协议类型。举例来说，可以编写一个判断函数，将提取的网络流量信息与预设的流量参数进行比对。

如上述步骤S29所述，若所述网络流量的源地址、目标地址、端口信息及协议类型与设定的所述流量参数一致，则输出得到所述源地址、目标地址、端口信息及协议类型：这个步骤是通过编写程序或使用专用输出设备来实现。当网络流量的源地址、目标地址、端口信息及协议类型与预设的流量参数一致时，将这些信息输出。举例来说，可以将符合预设规则的网络流量信息以文本或图形的方式展示给用户。

如上所述，通过设置网络生成器和筛选器，可以预先设定允许访问的IP地址、端口和协议类型范围，有助于确保网络流量符合预期；使用筛选器自动提取网络流量中的关键信息，减轻人工分析的负担，提高工作效率；通过编写程序或使用专用判断设备，可以快速判断网络流量的源地址、目标地址、端口信息和协议类型是否与预设的流量参数一致；当网络流量的源地址、目标地址、端口信息及协议类型与预设的流量参数一致时，将这些信息输出，有助于分析和监控网络状况，保障网络安全。帮助管理员更好地管理和监控网络流量，确保网络安全，提高工作效率。

在一可行实施例中，在识别第一网络切片、第二网络切片及第三网络切片的源地址、目标地址、端口信息及协议类型时，可对不同网络切片的具体用途进行细分识别。例如：第一网络切片：用于处理大于预设流量阈值的网络流量。源地址：设定一个或多个特定的源IP地址范围。目标地址：设定一个或多个特定的目标IP地址范围。端口信息：设定特定的端口号范围，例如，针对某些常见应用(如HTTP、HTTPS等)的端口。协议类型：限定特定的协议，如TCP、UDP。又例如：第二网络切片：专门处理预设定位信息的网络流量。源地址和目标地址：根据地理位置或网络路径设定特定的IP地址范围或MAC地址。端口信息：设定特定的端口号范围。协议类型：限定特定的协议。再例如：第三网络切片：针对具有预设用户身份的网络流量。用户认证信息：根据用户账号、设备标识符、用户角色等设定特定的识别信息。源地址和目标地址：设定一个或多个特定的IP地址范围。端口信息：设定特定的端口号范围。协议类型：限定特定的身份协议。由上分析：根据具体需求和场景来调整每个网络切片的识别属性，以实现更精细的网络流量管理和控制。例如，对于第一网络切片，可以设定更高的流量阈值，以处理大量的高流量请求；对于第二网络切片，可以根据地理位置或网络路径来优化流量传输，提高网络性能；对于第三网络切片，可以根据用户身份来限制或优先处理特定用户的网络请求。通过这种方式，可以更好地满足不同网络应用的需求，并提高网络的整体性能和可靠性。

在一实施例中，将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略，包括：

将所述异常流量的模式数据和行为数据进行数据预处理；

将已预处理完成的所述模式数据和行为数据输入已训练的神经网络模型中进行识别，得到调整策略，所述调整策略包括报警策略、限流策略、阻断策略。

如上所述，将所述异常流量的模式数据和行为数据进行预处理：这个步骤是为了准备输入神经网络模型的数据。预处理包括对数据进行清洗、特征提取和归一化等操作。举例来说，对异常流量的数据包进行解析，提取出关键参数如源地址、目的地址、协议类型、流量大小等，并对这些数据进行归一化处理，使数据具有相似的分布特征。将已预处理完成的所述模式数据和行为数据输入已训练的神经网络模型中进行识别，得到调整策略：这个步骤是通过训练神经网络模型来实现。神经网络模型可以识别出异常流量的模式和行为，并根据识别结果生成调整策略。举例来说，使用深度学习框架(如TensorFlow或PyTorch)搭建并训练一个神经网络模型，输入为预处理后的异常流量数据，输出为调整策略(报警策略、限流策略、阻断策略)。通过对异常流量的数据进行预处理，可以提取出有用的特征，使数据更容易被神经网络模型识别。同时，预处理过程可以消除数据中的噪声和异常值，提高模型的准确性；使用已训练好的神经网络模型对异常流量进行识别，可以快速发现异常流量的模式和行为。神经网络模型具有较好的泛化能力，可以在面对复杂的网络环境时，仍能保持较高的识别准确性；通过神经网络模型的输出，可以得到针对异常流量的调整策略，包括报警策略、限流策略和阻断策略。这些策略可以帮助网络管理员及时应对异常情况，保障网络的安全和稳定运行。

在一实施例中，所述方法还包括：

收集异常流量数据；

将所述异常流量数据进行预处理，所述预处理包括数据清洗、去除重复、格式转换；

将已预处理的异常流量数据进行提取出特征集，所述特征集包括流量速率、连接数、报文长度、报文序列、协议类型；

根据时间戳信息，将所述异常流量数据划分为不同的时间窗口；

基于每个所述时间窗口，计算异常流量的统计指标，所述统计指标包括均值、标准差、偏度、峰度；

将所述特征集和所述统计指标进行组合，得到特征向量；

将所述特征向量输入深度学习模型中生成异常流量的趋势分布表。

如上所述，收集异常流量数据这个步骤是通过网络监控系统或安全设备来实现的。这些设备可以捕获网络中的流量数据，包括正常流量和异常流量。收集异常流量数据有助于识别和分析异常情况；预处理是为了准备输入深度学习模型的数据。数据清洗可以去除无效数据和噪声，确保数据的准确性。去除重复可以防止重复数据对分析结果的影响。格式转换是将数据转换为适合深度学习模型处理的格式；将已预处理的异常流量数据进行特征提取，包括流量速率、连接数、报文长度、报文序列、协议类型：特征提取是为了提取描述异常流量的关键特征。这些特征可以帮助深度学习模型更好地识别和分析异常情况；时间窗口划分有助于分析异常流量在时间上的分布规律，以便更好地了解异常情况的发展趋势；计算异常流量的统计指标，包括均值、标准差、偏度、峰度：统计指标可以帮助我们了解异常流量的统计特征，进一步分析其规律；通过训练深度学习模型，可以预测异常流量的趋势分布，从而实现对异常情况的实时监控和预警。

在一实施例中，所述报警策略包括异常流量的报警指令，用于接收报警指令向用户端发出报警信息；所述限流策略包括异常流量的限流指令，用于接收限流指令对异常流量进行限流；所述阻断策略包括异常流量的阻断指令，用于接收阻断指令对异常流量进行阻断。

在一实施例中，所述方法还包括：

当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；

对所述异常流量进行关联分析，挖掘所述异常流量的网络安全威胁信息；

根据所述关联分析结果，调整所述预设的匹配规则。

如上所述，对所述异常流量进行关联分析，挖掘所述异常流量的网络安全威胁信息。这一步骤通过收集和整合网络流量、系统日志、安全事件等信息，利用关联分析方法(如聚类、序列分析等)挖掘异常流量中的网络安全威胁。例如，分析发现多台服务器上的异常流量具有相似特征，可能存在分布式攻击行为。根据所述关联分析结果，调整所述预设的匹配规则。这一步骤根据挖掘得到的网络安全威胁信息，动态调整预设的匹配规则，以提高网络安全管理的针对性和有效性。例如，针对分布式攻击，可以调整匹配规则，加强对特定端口、协议类型的监控和过滤，防止攻击继续进行。网络安全威胁信息具体包括：攻击源、攻击目标、攻击类型、攻击时间、攻击频率等。通过挖掘这些信息，可以了解网络安全状况，发现潜在的威胁，为调整匹配规则提供依据。根据关联分析结果，动态调整匹配规则，提高网络安全管理的有效性。例如，针对发现的分布式攻击，可以加强对特定端口、协议类型的监控和过滤，防止攻击继续进行。例如：假设在某企业的网络中，通过实时监控发现大量来自外部的异常流量。系统将这些异常流量进行关联分析，发现这些流量具有相似的特征，如源地址、目的地址和端口等。进一步分析发现，这些流量集中在一段时间内，呈爆发式增长，疑似分布式拒绝服务(DDoS)攻击。根据这些威胁信息，系统调整预设的匹配规则，加强对特定端口和协议类型的监控，同时采取措施提高防护能力，如设置访问控制、限制异常流量等。通过这些调整，企业可以更有效地防止潜在的网络安全威胁，确保网络的正常运行。

本申请的基于NFV的动态虚拟化网络安全管理方法，通过实时获取和分析网络流量的流量信息，分别为源地址、目标地址、端口信息及协议类型，根据流量信息快速识别异常流量并采取相应的调整策略，通过设置匹配规则，通过判断网络流量的源地址、目标地址、端口信息及协议类型是否符合匹配规则的允许范围内。当检测到网络流量不符合预设的匹配规则时，则可判断出该网络流量为异常流量，根据异常流量识别异常流量模式和行为检测可能表明网络遭受攻击或异常情况的流量。将异常流量的模式数据和行为数据输入已训练的模型中，通过模型识别出模式数据和行为数据的应对的策略，SDN控制器可以自动执行策略。由上分析可知，本申请实施例通过实时获取和分析网络流量，快速识别异常流量并采取相应的调整策略，实现基于NFV的动态虚拟化网络安全管理，可以提高网络安全性能，降低网络安全风险。

参照图3，本申请实施例中还提供一种基于NFV的动态虚拟化网络安全管理系统，包括：

获取模块1，用于实时获取访问的网络流量；

第一识别模块2，用于构建跨网络切片机制，通过所述SDN控制器识别匹配不同网络切片的所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型；

判断模块3，用于根据所述识别的结果，判断所述网络流量是否符合预设的匹配规则；

判定模块4，用于当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；

解析模块5，用于解析所述异常流量，得到所述异常流量的模式数据和行为数据；

第二识别模块6，用于将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略；

处理模块7，用于基于所述调整策略的结果来处理所述网络流量。

如上所述，可以理解地，本申请中提出的所述基于NFV的动态虚拟化网络安全管理系统的各组成部分可以实现如上所述基于NFV的动态虚拟化网络安全管理方法任一项的功能，具体结构不再赘述。

参照图4，本申请实施例中还提供一种计算机设备，该计算机设备可以是服务器，其内部结构可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于储存监控数据等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于NFV的动态虚拟化网络安全管理方法。

上述处理器执行上述的基于NFV的动态虚拟化网络安全管理方法，包括：实时获取访问的网络流量；通过所述SDN控制器识别匹配所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型；根据所述识别的结果，判断所述网络流量是否符合预设的匹配规则；当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；解析所述异常流量，得到所述异常流量的模式数据和行为数据；将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略；基于所述调整策略的结果来处理所述网络流量。

上述的基于NFV的动态虚拟化网络安全管理方法，通过实时获取和分析网络流量的流量信息，分别为源地址、目标地址、端口信息及协议类型，根据流量信息快速识别异常流量并采取相应的调整策略，通过设置匹配规则，通过判断网络流量的源地址、目标地址、端口信息及协议类型是否符合匹配规则的允许范围内。当检测到网络流量不符合预设的匹配规则时，则可判断出该网络流量为异常流量，根据异常流量识别异常流量模式和行为检测可能表明网络遭受攻击或异常情况的流量。将异常流量的模式数据和行为数据输入已训练的模型中，通过模型识别出模式数据和行为数据的应对的策略，SDN控制器可以自动执行策略。由上分析可知，本申请通过实时获取和分析网络流量，快速识别异常流量并采取相应的调整策略，实现基于NFV的动态虚拟化网络安全管理，可以提高网络安全性能，降低网络安全风险。

本申请一实施例还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现一种基于NFV的动态虚拟化网络安全管理方法，包括步骤：实时获取访问的网络流量；通过所述SDN控制器识别匹配所述网络流量，所述识别的内容包括源地址、目标地址、端口信息及协议类型；根据所述识别的结果，判断所述网络流量是否符合预设的匹配规则；当所述网络流量不符合预设的匹配规则时，则判定所述网络流量为异常流量；解析所述异常流量，得到所述异常流量的模式数据和行为数据；将所述异常流量的模式数据和行为数据输入已训练的模型中进行识别，得到调整策略；基于所述调整策略的结果来处理所述网络流量。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

以上所述仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。