(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111492762.4 (22)申请日 2021.12.08 (71)申请人 中盈优创资 讯科技有限公司 地址 200000 上海市嘉定区安亭镇杭桂 路 1112号10层10 04室-4 (72)发明人 何文娟　 (74)专利代理 机构 上海嘉蓝专利代理事务所 (普通合伙) 31407 代理人 金波 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种VPC环境下安全服 务的调度方法及装置 (57)摘要 本发明公开一种VPC环境下安全服务的调度 方法及装置， 其中， 该方法包括： 安全服务调度系 统将接收到的流量映射规则传递给eBPF内核模 块； eBPF内核模块根据流量映射规则对流量进行 处理， 并将流量引导至所需的安全组件； 安全组 件对流量进行分析处理， 触发告警以及安全防 护。 该方法及装置在VPC内部部署安全服务调度 系统， 通过安全服务调度系统将流量引导至所需 的安全组件， 从而实现了对云资产的安全防护， 实现了用户云网络与安全服务的解耦， 提高了云 资产的安全性以及运维的效率。 权利要求书2页 说明书6页 附图2页 CN 114244592 A 2022.03.25 CN 114244592 A 1.一种VPC环境下安全服 务的调度方法， 其特 征在于， 该 方法包括： 安全服务调度系统将接收到的流 量映射规则传递给 eBPF内核模块； eBPF内核模块 根据流量映射规则对流 量进行处 理， 并将流 量引导至所需的安全组件； 安全组件 对流量进行分析处 理， 触发告警以及安全防护。 2.根据权利要求1所述的VPC环境下安全服务的调度方法， 其特征在于， 所述安全服务 调度系统部署在VPC内部， 相互通信的VPC共享 安全服务调度系统。 3.根据权利要求2所述的VPC环境下安全服务的调度方法， 其特征在于， 所述安全服务 调度系统旁挂于VPC内部现有的业务流量转发组件， 通过现有的业务流量转发组件将流量 转发至安全服 务调度系统。 4.根据权利要求2所述的VPC环境下安全服务的调度方法， 其特征在于， 所述安全服务 调度系统可以是VPC内部现有的业 务流量转发组件的升级。 5.根据权利要求1所述的VPC环境下安全服务的调度方法， 其特征在于， 所述安全服务 调度系统隔离用户业 务网络、 安全组件以及其 他的流量分析工具。 6.根据权利要求1所述的VPC环境下安全服务的调度方法， 其特征在于， 所述安全服务 调度系统根据底层转发能力， 将流 量映射规则转换为 不同的转发表或者 流表。 7.根据权利要求1所述的VPC环境下安全服务的调度方法， 其特征在于， 所述安全服务 调度系统具有流 量处理、 流量转发和流 量复制功能， 将流 量调度至一个或者多个安全组件。 8.根据权利要求1所述的VPC环境下安全服务的调度方法， 其特征在于， 当流量需要多 个安全组件串行处 理时， 通过设置多个流 量映射规则， 实现多个安全组件之间的串行处 理。 9.一种VPC环境下安全服 务的调度装置， 其特 征在于， 该装置包括： 安全服务调度系统， 用于将接收到的流 量映射规则传递给 eBPF内核模块； eBPF内核模块， 用于根据流量映射规则对流量进行处理， 并将流量引导至所需的安全 组件； 安全组件， 用于对流 量进行分析处 理， 触发告警以及安全防护。 10.根据权利要求9所述的VPC环境下安全服务的调度装置， 其特征在于， 所述安全服务 调度系统部署在VPC内部， 相互通信的VPC共享 安全服务调度系统。 11.根据权利要求9所述的VPC环境下安全服务的调度装置， 其特征在于， 所述安全服务 调度系统旁挂于VPC内部现有的业务流量转发组件， 通过现有的业务流量转发组件将流量 转发至安全服 务调度系统。 12.根据权利要求9所述的VPC环境下安全服务的调度装置， 其特征在于， 所述安全服务 调度系统可以是VPC内部现有的业 务流量转发组件的升级。 13.根据权利要求9所述的VPC环境下安全服务的调度装置， 其特征在于， 所述安全服务 调度系统隔离用户业 务网络、 安全组件以及其 他的流量分析工具。 14.根据权利要求9所述的VPC环境下安全服务的调度装置， 其特征在于， 所述安全服务 调度系统根据底层转发能力， 将流 量映射规则转换为 不同的转发表或者 流表。 15.根据权利要求9所述的VPC环境下安全服务的调度装置， 其特征在于， 所述安全服务 调度系统具有流 量处理、 流量转发和流 量复制功能， 将流 量调度至一个或者多个安全组件。 16.根据权利要求9所述的VPC环境下安全服务的调度装置， 其特征在于， 当流量需要多 个安全组件串行处 理时， 通过设置多个流 量映射规则， 实现多个安全组件之间的串行处 理。权　利　要　求　书 1/2 页 2 CN 114244592 A 217.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求 1‑8任一项所述方 法。 18.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有执行权利 要求1‑8任一项所述方法的计算机程序。权　利　要　求　书 2/2 页 3 CN 114244592 A 3