CN113810348B - 网络安全检测方法、系统、设备及控制器 - Google Patents
网络安全检测方法、系统、设备及控制器 Download PDFInfo
- Publication number
- CN113810348B CN113810348B CN202010553314.XA CN202010553314A CN113810348B CN 113810348 B CN113810348 B CN 113810348B CN 202010553314 A CN202010553314 A CN 202010553314A CN 113810348 B CN113810348 B CN 113810348B
- Authority
- CN
- China
- Prior art keywords
- detection
- drainage
- equipment
- data
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Abstract
公开一种网络安全检测方法、系统、设备及控制器,以提升网络安全,属于通信技术领域,所述方法包括:控制器接收网络中多个检测设备的安全检测性能;根据所述多个检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略;其中,所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道。控制器根据网络中检测设备的安全检测性能,通过引流策略将接入设备的流量引流至检测设备进行检测,从而能够自动调配全网安全资源,避免网络设备服务降级导致的流量漏检。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络安全检测方法、系统、设备及控制器。
背景技术
随着网络技术的发展,网络攻击的技术也是日新月异,对网络中传输的流量进行安全检测是提高网络防御能力的重要手段。
一般采用两种方式进行安全检测,第一种是在出口区域部署具备安全功能的防火墙设备,通过将流量从核心交换机引流到防火墙进行安全检测,然后将检测完毕的流量从防火墙回注到核心交换机。第二种是在全网部署网络安全功能的交换机设备,来进行全网防护。
但是,上述第一种方式受限于防火墙的处理性能,第二中方式受限于交换机的处理性能;当流量较大时,只有部分流量被输送至防火墙或者交换机进行检测,从而导致未检测的流量在网络中传播,威胁网络安全。
发明内容
本申请提供一种网络安全检测方法、系统、设备及控制器,以自动调配全网安全资源,避免网络设备服务降级导致的流量漏检。
第一方面,本申请提供一种网络安全检测方法,包括:控制器接收网络中多个检测设备的安全检测性能;根据所述检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略;其中,所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道。
在第一方面中,企业网络架构中一般包括:出口防火墙、核心层、汇聚层、接入层,分别在出口防火墙、核心层、汇聚层、接入层设置威胁防御点,使得全网具备安全防御功能。进一步地,将出口防火墙、核心层、汇聚层、接入层中具备安全检测性能的网元设备作为检测设备,将出口防火墙、核心层、汇聚层、接入层中不具备安全检测性能的网元设备作为接入设备。所有的检测设备和接入设备均与控制器通信连接,控制器接收网络中多个检测设备的安全检测性能。该安全检测性能用于表征检测设备对数据进行安全检测的能力,包括数据处理量和处理的数据类型。控制器根据检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略,以使得接入设备中的待处理设备与至少一个检测设备建立引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检测。从而充分利用了控制器的调配功能,使得控制器能够根据网络中检测设备的安全检测性能,通过引流策略将接入设备的流量引流至检测设备进行检测,实现全网安全资源的自动调配,避免网络设备服务降级导致的流量漏检。
可选地,本申请提供的网络安全检测方法中所述第一引流策略还包括:数据类型和具备检测所述数据类型的能力的检测设备间的对应关系;所述第一引流策略还用于指示所述待处理设备将属于所述数据类型的流量经由所述引流隧道发往所述具备检测所述数据类型的能力的检测设备。
在第一方面的一种可能的实现方式中,由于网络中不同的检测设备能够检测的数据类型不同,因此,控制器首先需要获取待处理设备中数据的类型,然后查找到具备检测该数据类型的能力的检测设备。最后生成第一引流策略,以指示待处理设备将该数据类型的流量经由引流隧道发往具备检测对应数据类型的能力的检测设备进行安全检测。从而能够按照数据类型对待处理设备的流量进行引流检测,充分利用网络中不同检测设备的检测性能,满足更多数据类型的检测需求。
可选地,本申请提供的网络安全检测方法还包括:根据所述待处理设备上通过的数据量和多个检测设备的安全检测能力确定所述至少一个检测设备,其中所述至少一个检测设备的安全检测能力的总和满足对所述待处理设备上通过的数据的检测。
在第一方面的一种可能的实现方式中,由于网络中不同的检测设备能够检测的数据量不同,当待处理设备的流量较大时,可能需要调配多个检测设备对待处理设备的流量进行安全检测。此时,控制器根据待处理设备上通过的数据量和多个检测设备的安全检测能力确定与待处理设备建立引流隧道的检测设备。从而能够按照待处理的数据量对待处理设备的流量进行引流检测,充分利用网络中不同检测设备的检测性能,满足更高数据量的检测需求。
可选地,本申请提供的网络安全检测方法还包括:当所述待处理设备上通过的数据量上升,从而所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过的数据的检测时,向所述至少一个检测设备中的一个或多个检测设备发送第二引流策略;所述第二引流策略用于指示一个或多个检测设备与所述至少一个检测设备之外的其他检测设备建立引流隧道。
在第一方面的一种可能的实现方式中,待处理设备输出的流量是一个变化值,当待处理设备上通过的数据量上升,且当前建立引流隧道的检测设备的安全检测能力的总和无法满足对待处理设备上通过的数据的检测时,控制器会向已经与待处理设备建立引流隧道的检测设备,和/或剩余的未与待处理设备建立引流隧道的检测设备发送第二引流策略,以使得流量被送往更多的检测设备进行安全检测。从而能够适应于流量的动态变化,使得调度的检测设备能够一直满足待处理设备的流量检测需求,提升了检测效率。
第二方面,本申请提供一种网络安全检测方法,所述方法包括:接入设备向控制器发送数据类型和/或数据量;接收来自所述控制器的第一引流策略;其中,所述第一引流策略与所述数据类型和/或数据量相关;根据所述第一引流策略,与至少一个检测设备建立引流隧道;通过所述引流隧道,向所述检测设备发送数据。
在第二方面中,企业网络架构中一般包括:出口防火墙、核心层、汇聚层、接入层,分别在出口防火墙、核心层、汇聚层、接入层设置威胁防御点,使得全网具备安全防御功能。进一步地,将出口防火墙、核心层、汇聚层、接入层中具备安全检测性能的网元设备作为检测设备,将出口防火墙、核心层、汇聚层、接入层中不具备安全检测性能的网元设备作为接入设备。所有的检测设备和接入设备均与控制器通信连接,接入设备向控制器发送数据类型和/或数据量,并根据控制器发送的第一引流策略,将接入设备中的待处理设备与至少一个检测设备建立引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检测。从而充分利用了控制器的调配功能,使得控制器能够根据数据类型和/或数据量,通过引流策略将接入设备的流量引流至检测设备进行检测,实现全网安全资源的自动调配,避免网络设备服务降级导致的流量漏检。
第三方面,本申请提供一种网络安全检测方法,所述方法包括:当检测设备的检测能力不满足对来自第一引流隧道的数据的检测需求时,所述检测设备接收控制器发送的引流策略;所述检测设备根据所述引流策略,与另一检测设备建立第二引流隧道,并将超出所述检测设备检测能力的数据用所述第二引流隧道发往所述另一检测设备。
在第三方面中,企业网络架构中一般包括:出口防火墙、核心层、汇聚层、接入层,分别在出口防火墙、核心层、汇聚层、接入层设置威胁防御点,使得全网具备安全防御功能。进一步地,将出口防火墙、核心层、汇聚层、接入层中具备安全检测性能的网元设备作为检测设备,将出口防火墙、核心层、汇聚层、接入层中不具备安全检测性能的网元设备作为接入设备。所有的检测设备和接入设备均与控制器通信连接,当检测设备的检测能力不满足对来自第一引流隧道的数据的检测需求时,检测设备接收控制器发送的引流策略,与另一检测设备建立第二引流隧道,使得超出检测设备性能的流量经由第二引流隧道传输至另一检测设备进行检测。从而能够适应于流量的动态变化,使得调度的检测设备能够一直满足待处理设备的流量检测需求,提升了检测效率。
第四方面,本申请提供一种控制器,包括:
接收模块,用于接收网络中多个检测设备的安全检测性能;
处理模块,用于根据所述检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略;其中,所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道。
可选地,所述第一引流策略还包括:数据类型和具备检测所述数据类型的能力的检测设备间的对应关系;
所述第一引流策略还用于指示所述检测设备将属于所述数据类型的流量经由所述引流隧道发往所述具备检测所述数据类型的能力的检测设备。
可选地,所述处理模块,还用于:
根据所述待处理设备上通过的数据量和多个检测设备的安全检测能力确定所述至少一个检测设备,其中所述至少一个检测设备的安全检测能力的总和满足对所述待处理设备上通过的数据的检测。
可选地,所述处理模块还用于:
当所述待处理设备上通过的数据量上升,从而所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过的数据的检测时,向所述至少一个检测设备中的一个或多个检测设备发送第二引流策略;所述第二引流策略用于指示一个或多个检测设备与所述至少一个检测设备之外的其他检测设备建立引流隧道。
第五方面,本申请提供一种接入设备,包括:
发送模块,用于向控制器发送数据类型和/或数据量;
接收模块,用于接收来自所述控制器的第一引流策略;其中,所述第一引流策略与所述数据类型和/或数据量相关;
处理模块,用于根据所述第一引流策略,与至少一个检测设备建立引流隧道;
发送模块,用于通过所述引流隧道,向所述检测设备发送数据。
第六方面,本申请提供一种检测设备,包括:
接收模块,用于当检测设备的检测能力不满足对来自第一引流隧道的数据的检测需求时,接收控制器发送的引流策略;
处理模块,用于根据所述引流策略,与另一检测设备建立第二引流隧道,并将超出所述检测设备检测能力的数据用所述第二引流隧道发往所述另一检测设备。
第七方面,本申请提供一种网络安全检测系统,所述系统包括:控制器、接入设备、检测设备;其中:
所述控制器用以执行如第一方面中任一项所述的方法;
所述接入设备用以执行如第二方面所述的方法;
所述检测设备用以执行如第三方面所述的方法。
第八方面,本申请提供一种可读存储介质,所述可读存储介质上存储有计算机程序;所述计算机程序在被执行时,实现第一方面本申请所述的方法。
第九方面,本申请提供一种程序产品,所述程序产品包括计算机程序,所述计算机程序存储在可读存储介质中,通信装置的至少一个处理器可以从所述可读存储介质读取所述计算机程序,所述至少一个处理器执行所述计算机程序使得装置实施第一方面本申请任一所述的方法。
本申请提供的网络安全检测方法、系统、设备及控制器,控制器接收网络中多个检测设备的安全检测性能;根据所述检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略;其中,所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道。控制器根据网络中检测设备的安全检测性能,通过引流策略将接入设备的流量引流至检测设备进行检测,从而能够自动调配全网安全资源,避免网络设备服务降级导致的流量漏检。
附图说明
图1为本申请实施例提供的一种网络安全防御的架构示意图;
图2为本申请实施例提供的一种网络安全检测方法的流程示意图一;
图3为本申请实施例提供的一种网络安全检测方法的流程示意图二;
图4为本申请实施例提供的一种网络安全检测方法的信令交互示意图一;
图5为本申请实施例提供的一种网络安全检测方法的信令交互示意图二;
图6为本申请实施例提供的一种控制器的结构示意图一;
图7为本申请实施例提供的一种接入设备的结构示意图;
图8为本申请实施例提供的一种检测设备的结构示意图;
图9为本申请实施例提供的一种交换机设备的结构示意图;
图10为本申请实施例提供的一种控制器的结构示意图二。
具体实施方式
图1为本申请实施例提供的一种网络安全防御的架构示意图;如图1所示,包括:出口防火墙、核心层、汇聚层、接入层,分别在出口防火墙、核心层、汇聚层、接入层设置威胁防御点,使得全网具备安全防御功能。进一步地,将出口防火墙、核心层、汇聚层、接入层中具备安全检测性能的网元设备作为检测设备,将出口防火墙、核心层、汇聚层、接入层中不具备安全检测性能的网元设备作为接入设备。所有的检测设备和接入设备均与控制器通信连接,控制器接收网络中多个检测设备的安全检测性能。该安全检测性能用于表征检测设备对数据进行安全检测的能力,包括数据处理量和处理的数据类型。控制器根据检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略,以使得接入设备中的待处理设备与至少一个检测设备建立引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检测。从而充分利用了控制器的调配功能,使得控制器能够根据网络中检测设备的安全检测性能,通过引流策略将接入设备的流量引流至检测设备进行检测,实现全网安全资源的自动调配,避免网络设备服务降级导致的流量漏检。
图2为本申请实施例提供的一种网络安全检测方法的流程示意图一;如图2所示,本实施例中的方法可以包括:
S101、控制器接收网络中多个检测设备的安全检测性能。
示例性的,本实施例中的网络安全检测方法适用于工业园区网络,或者企业网络等等局域网场景。以企业网络为例,在企业网络中包括多个网元设备,这些网元设备可以是交换机、防火墙等等。为了便于区分,将自身具备安全检测能力的网元设备称为检测设备,将不具备安全检测能力,或者安全检测能力有限需要依赖其他检测设备进行安全检测的网元设备称为接入设备。网络中所有的接入设备和检测设备均与控制器通信连接。在步骤S101中,控制器接收网络中多个检测设备的安全检测性能。例如,表1给出了名称为xxx和名称为yyy的检测设备的安全检测性能;表2给出了不同数据类型的安全检测性能。
表1
| 检测设备 | 安全检测性能 |
| xxx | 40Gbps |
| yyy | 10Gbps |
表2
参见表1、表2所示,网络中不同检测设备的安全检测性能不同,因此,在建网之后,控制器需要先获取网络中各个检测设备的安全检测性能,以便于后续进行检查设备的调配。
S102、根据多个检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略。
示例性的,在步骤S102中,第一引流策略用于指示待处理设备与多个检测设备中的至少一个检测设备建立引流隧道。控制器根据检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略,以使得接入设备中的待处理设备与至少一个检测设备建立引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检测。从而充分利用了控制器的调配功能,使得控制器能够根据网络中检测设备的安全检测性能,通过引流策略将接入设备的流量引流至检测设备进行检测,实现全网安全资源的自动调配,避免网络设备服务降级导致的流量漏检。
需要说明的是,本实施例中不限定与待处理设备建立引流隧道的检测设备的数量。
在一种可选的实施方式中,控制器向待处理设备下发的第一引流策略可以包括数据类型和具备检测数据类型的能力的检测设备间的对应关系。待处理设备根据第一引流策略,将不同的数据类型的数据引流至具备检测数据类型的能力的检测设备进行安全检测。
示例性的,参见表1,当待处理设备输出的数据只有一种通用类型的数据,即任何检测设备均可以进行检测时,可以根据待处理设备上通过的数据量和多个检测设备的安全检测能力确定至少一个检测设备,其中至少一个检测设备的安全检测能力的总和满足对待处理设备上通过的数据的检测。
示例性的,参见表2,当待处理设备输出的数据包括不同类型的数据,此时,需要按照数据类型选择多个检测设备对待处理设备输出的数据进行安全检测。
在另一种可选的实施方式中,当待处理设备上通过的数据量上升,从而至少一个检测设备的安全检测能力的总和无法满足对待处理设备上通过的数据的检测时,向至少一个检测设备中的一个或多个检测设备发送第二引流策略;第二引流策略用于指示一个或多个检测设备与至少一个检测设备之外的其他检测设备建立引流隧道。
本实施例中,待处理设备输出的流量是一个变化值,当待处理设备上通过的数据量上升,且当前建立引流隧道的检测设备的安全检测能力的总和无法满足对待处理设备上通过的数据的检测时,控制器会向已经与待处理设备建立引流隧道的检测设备,和/或剩余的未与待处理设备建立引流隧道的检测设备发送第二引流策略,以使得流量被送往更多的检测设备进行安全检测。从而能够适应于流量的动态变化,使得调度的检测设备能够一直满足待处理设备的流量检测需求,提升了检测效率。
图3为本申请实施例提供的一种网络安全检测方法的流程示意图二;如图3所示,本实施例中的方法可以包括:
S201、控制器接收网络中多个检测设备的安全检测性能。
示例性的,本实施例中的网络安全检测方法适用于工业园区网络,或者企业网络等等局域网场景。以企业网络为例,在企业网络中包括多个网元设备,这些网元设备可以是交换机、防火墙等等。为了便于区分,将自身具备安全检测能力的网元设备称为检测设备,将不具备安全检测能力,或者安全检测能力有限需要依赖其他检测设备进行安全检测的网元设备称为接入设备。网络中所有的接入设备和检测设备均与控制器通信连接。在步骤S201中,控制器接收网络中多个检测设备的安全检测性能。
S202、接入设备向控制器发送数据类型和/或数据量。
示例性的,在步骤S202中,接入设备向控制器发送数据类型和/或数据量,从而便于控制器根据数据类型和/或数据量制定第一引流策略。该第一引流策略用于指示待处理设备与多个检测设备中的至少一个检测设备建立引流隧道。
S203、控制器根据多个检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略。
示例性的,在步骤S203中,控制器根据检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略,以使得接入设备中的待处理设备与至少一个检测设备建立引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检测。
S204、接入设备接收来自控制器的第一引流策略。
示例性的,在步骤S204中,待处理设备(接入设备中的一个或多个)接收控制器发送的第一引流策略,该第一引流策略包括:数据类型和具备检测数据类型的能力的检测设备间的对应关系。该第一引流策略还用于指示待处理设备将属于数据类型的流量经由引流隧道发往具备检测数据类型的能力的检测设备。
S205、接入设备根据第一引流策略,与至少一个检测设备建立引流隧道。
示例性的,在步骤S205中,待处理设备根据第一引流策略,与至少一个检测设备建立引流隧道。其中,待处理设备上通过的数据量与建立引流隧道的检测设备的安全监测性能相匹配。即检测设备的安全检测能力的总和满足对待处理设备上通过的数据的检测。
S206、接入设备通过引流隧道,向检测设备发送数据。
示例性的,在步骤S206中,待处理设备通过引流隧道将对应的数据发送给检测设备进行安全检测。从而充分利用了控制器的调配功能,使得控制器能够根据数据类型和/或数据量,通过引流策略将接入设备的流量引流至检测设备进行检测,实现全网安全资源的自动调配,避免网络设备服务降级导致的流量漏检。
可选地,本实施例中的方法还可以包括:
S207、当检测设备的检测能力不满足对来自第一引流隧道的数据的检测需求时,检测设备接收控制器发送的引流策略。
示例性的,当检测设备的检测能力不满足对来自第一引流隧道的数据的检测需求时,检测设备接收控制器发送的引流策略,与另一检测设备建立第二引流隧道,使得超出检测设备性能的流量经由第二引流隧道传输至另一检测设备进行检测。
S208、检测设备根据引流策略,与另一检测设备建立第二引流隧道,并将超出检测设备检测能力的数据用第二引流隧道发往另一检测设备。
示例性的,本实施例中不限定建立引流隧道的数量,任一检测设备在数据承载量超出预设阈值时,均可以将超出的数据通过第二引流隧道传输给其他检测设备进行安全检测。从而能够适应于流量的动态变化,使得调度的检测设备能够一直满足待处理设备(接入设备中的一个或多个)的流量检测需求,提升了检测效率。
图4为本申请实施例提供的一种网络安全检测方法的信令交互示意图一,如图4所示,本实施例中的方法可以包括:
S301、检测设备向控制器上报安全检测性能。
S302、控制器根据网络中检测设备的安全检测性能,生成一级引流策略。
S303、控制器向接入设备下发一级引流策略。
S304、接入设备根据一级引流策略,与至少一个检测设备建立引流隧道。
S305、接入设备通过引流隧道将流量发送给检测设备。
S306、检测设备对流量进行安全检测。
S307、检测设备向接入设备反馈检测结果。
S308、接入设备根据检测结果进行流量阻断。
S309、当接入设备的流量上升,检测设备无法满足当前检测需求时,控制器向检测设备下发二级引流策略。
S310、检测设备根据二级引流策略与其他检测设备建立引流隧道。
S311、检查设备将超出检测能力的流量发送给其他检测设备。
S312、其他检测设备对流量进行安全检测。
S313、其他检测设备将检测结果通过检测设备转发给接入设备。
S314、接入设备根据检测结果进行流量阻断。
本实施例中,控制器根据网络中检测设备的安全检测性能,生成一级引流策略,然后接入设备按照该一级引流策略与检测设备建立引流隧道。当接入设备的流量上升,已经建立引流隧道的检测设备无法满足接入设备的当前检测需求时,控制器向检测设备下发二级引流策略,以使得检测设备将超出检测能力的流量发送给其他检测设备,由其他检测设备辅助进行流量检测。检测设备将流量检测结果反馈给接入设备,当检测结果为存在威胁时,接入设备对对应流量进行阻断,从而维护全网安全。
本实施例中不限定建立引流隧道的数量,任一检测设备在数据承载量超出预设阈值时,均可以将超出的数据通过第二引流隧道传输给其他检测设备进行安全检测。从而能够适应于流量的动态变化,使得调度的检测设备能够一直满足待处理设备(接入设备中的一个或多个)的流量检测需求,提升了检测效率。
图5为本申请实施例提供的一种网络安全检测方法的信令交互示意图二,如图5所示,本实施例中的方法可以包括:
S401、检测设备向控制器上报安全检测性能。
S402、控制器根据网络中检测设备的安全检测性能,生成一级引流策略。
S403、控制器向接入设备下发一级引流策略。
S404、接入设备根据一级引流策略,与至少一个检测设备建立引流隧道。
S405、接入设备通过引流隧道将流量发送给检测设备。
S406、检测设备对流量进行安全检测。
S407、检测设备向接入设备反馈检测结果。
S408、接入设备根据检测结果进行流量阻断。
S409、当接入设备的流量上升,检测设备无法满足当前检测需求时,控制器向接入设备下发二级引流策略。
S410、接入设备根据二级引流策略与其他检测设备建立引流隧道。
S411、接入设备将超出检测设备的检测能力的流量发送给其他检测设备。
S412、其他检测设备对流量进行安全检测。
S413、其他检测设备将检测结果发送给接入设备。
S414、接入设备根据检测结果进行流量阻断。
本实施例中,控制器根据网络中检测设备的安全检测性能,生成一级引流策略,然后接入设备按照该一级引流策略与检测设备建立引流隧道。当接入设备的流量上升,已经建立引流隧道的检测设备无法满足接入设备的当前检测需求时,控制器向接入设备下发二级引流策略,以使得接入设备将超出检测设备的检测能力的流量发送给其他检测设备,由其他检测设备辅助进行流量检测。检测设备将流量检测结果反馈给接入设备,当检测结果为存在威胁时,接入设备对对应流量进行阻断,从而维护全网安全。
本实施例中不限定建立引流隧道的数量,当检测设备在数据承载量超出预设阈值时,接入设备可以将超出的数据通过第二引流隧道传输给其他检测设备进行安全检测。从而能够适应于流量的动态变化,使得调度的检测设备能够一直满足待处理设备(接入设备中的一个或多个)的流量检测需求,提升了检测效率。
图6为本申请实施例提供的一种控制器的结构示意图一,如图6所示,控制器可以包括:
接收模块61,用于接收网络中多个检测设备的安全检测性能;
处理模块62,用于根据多个检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略;其中,第一引流策略用于指示待处理设备与多个检测设备中的至少一个检测设备建立引流隧道。
可选地,第一引流策略还包括:数据类型和具备检测数据类型的能力的检测设备间的对应关系;第一引流策略还用于指示检测设备将属于数据类型的流量经由引流隧道发往具备检测数据类型的能力的检测设备。
可选地,处理模块62,还用于:根据待处理设备上通过的数据量和多个检测设备的安全检测能力确定至少一个检测设备,其中至少一个检测设备的安全检测能力的总和满足对待处理设备上通过的数据的检测。
可选地,处理模块62还用于:当待处理设备上通过的数据量上升,从而至少一个检测设备的安全检测能力的总和无法满足对待处理设备上通过的数据的检测时,向至少一个检测设备中的一个或多个检测设备发送第二引流策略;第二引流策略用于指示一个或多个检测设备与至少一个检测设备之外的其他检测设备建立引流隧道。
本实施例中的控制器可以执行如图2~图5所示的方法,其具体实现过程和实现原理,参见图2~图5所示的方法描述的内容,此处不再赘述。
图7为本申请实施例提供的一种接入设备的结构示意图,如图7所示,接入设备可以包括:
发送模块71,用于向控制器发送数据类型和/或数据量;
接收模块72,用于接收来自控制器的第一引流策略;其中,第一引流策略与数据类型和/或数据量相关;
处理模块73,用于根据第一引流策略,与至少一个检测设备建立引流隧道;
发送模块71,用于通过引流隧道,向检测设备发送数据。
本实施例中的控制器可以执行如图2~图5所示的方法,其具体实现过程和实现原理,参见图2~图5所示的方法描述的内容,此处不再赘述。
图8为本申请实施例提供的一种检测设备的结构示意图,如图8所示,检测设备可以包括:
接收模块81,用于当检测设备的检测能力不满足对来自第一引流隧道的数据的检测需求时,接收控制器发送的引流策略;
处理模块82,用于根据引流策略,与另一检测设备建立第二引流隧道,并将超出检测设备检测能力的数据用第二引流隧道发往另一检测设备。
本实施例中的控制器可以执行如图2~图5所示的方法,其具体实现过程和实现原理,参见图3~图5所示的方法描述的内容,此处不再赘述。
图9为本申请实施例提供的一种交换机设备的结构示意图,如图9所示,本实施例中的交换机设备可以包括:网络接口91、处理器92、存储器93、网络转发芯片94。交换机设备中具备数据安全检测性能时,可以作为检测设备使用。当交换机设备不具备数据安全检测性能,或者其自身的数据安全检测性能不能满足自身数据检测需求时,交换机设备可以作为接入设备使用。需要说明的是,本是实施例不限定交换机设备的具体内部架构,一些交换机设备也可以不设置网络转发芯片,而是直接由处理器来执行数据转发。
图10为本申请实施例提供的一种控制器的结构示意图二,如图10所示,本实施例中的控制器可以包括:处理器1001、存储器1002、输入设备1003、输出设备1004,处理器1001通过总线1005与存储器1002、输入设备1003、输出设备1004通信连接。此外,控制器还可以采用物理服务器或者虚拟机的方式进行部署,本实施例对控制器的架构不做限定。
本申请实施例还提供一种网络安全检测系统,该系统包括:控制器、接入设备、检测设备;其中:控制器用以执行如图2所示的方法;接入设备用以执行如图3所示的方法;检测设备用以执行如图3所示的方法。其具体实现过程和实现原理,参见图2~图5所示的方法描述的内容,此处不再赘述。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储有指令,当指令被执行时,使得计算机执行如本申请上述实施例中终端设备执行的方法。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储有指令,当指令被执行时,使得计算机执行如本申请上述实施例中网络设备执行的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。在本申请的实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,光盘)、或者半导体介质(例如固态硬盘(SSD))等。
Claims (11)
1.一种网络安全检测方法,其特征在于,所述方法包括:
控制器接收网络中多个检测设备的安全检测性能;所述安全检测性能包括数据处理量;
根据所述多个检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略;其中,所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道;
所述方法还包括:
根据所述待处理设备上通过的数据量和多个检测设备的安全检测能力确定所述至少一个检测设备,其中所述至少一个检测设备的安全检测能力的总和满足对所述待处理设备上通过的数据的检测;所述安全检测能力包括所述安全检测性能;
当所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过的数据的检测时,向所述至少一个检测设备中的一个或多个检测设备发送第二引流策略;所述第二引流策略用于指示一个或多个检测设备与所述至少一个检测设备之外的其他检测设备建立引流隧道。
2.根据权利要求1所述的方法,其特征在于,
所述第一引流策略还包括:数据类型和具备检测所述数据类型的能力的检测设备间的对应关系;
所述第一引流策略还用于指示所述待处理设备将属于所述数据类型的流量经由所述引流隧道发往所述具备检测所述数据类型的能力的检测设备。
3.根据权利要求1所述的方法,其特征在于,所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过的数据的检测,包括:
所述待处理设备上通过的数据量上升,从而所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过的数据的检测。
4.一种网络安全检测方法,其特征在于,所述方法包括:
接入设备向控制器发送数据类型和/或数据量;
接收来自所述控制器的第一引流策略;其中,所述第一引流策略与所述数据类型和/或数据量相关;
根据所述第一引流策略,与至少一个检测设备建立第一引流隧道;其中所述至少一个检测设备的安全检测能力的总和满足对所述接入设备上通过的数据的检测;所述安全检测能力包括安全检测性能;所述安全检测性能包括数据处理量;
通过所述第一引流隧道,向所述至少一个检测设备发送数据;
当所述至少一个检测设备的安全检测能力不满足对来自第一引流隧道的数据的检测需求时,超出的流量经由第二引流隧道传输至另一检测设备进行检测;所述第二引流隧道为所述至少一个检测设备中的一个或多个检测设备与所述至少一个检测设备之外的其他检测设备之间的引流隧道。
5.一种网络安全检测方法,其特征在于,所述方法包括:
当检测设备的安全检测能力不满足对来自第一引流隧道的数据的检测需求时,所述检测设备接收控制器发送的引流策略;所述安全检测能力包括安全检测性能;所述安全检测性能包括数据处理量;
所述检测设备根据所述引流策略,与另一检测设备建立第二引流隧道,并将超出所述检测设备检测能力的数据用所述第二引流隧道发往所述另一检测设备。
6.一种控制器,其特征在于,包括:
接收模块,用于接收网络中多个检测设备的安全检测性能;所述安全检测性能包括数据处理量;
处理模块,用于根据所述多个检测设备的安全检测性能,向接入设备中的待处理设备下发第一引流策略;其中,所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道;
所述处理模块,还用于:
根据所述待处理设备上通过的数据量和多个检测设备的安全检测能力确定所述至少一个检测设备,其中所述至少一个检测设备的安全检测能力的总和满足对所述待处理设备上通过的数据的检测;所述安全检测能力包括所述安全检测性能;
所述处理模块,还用于:
当所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过的数据的检测时,向所述至少一个检测设备中的一个或多个检测设备发送第二引流策略;所述第二引流策略用于指示一个或多个检测设备与所述至少一个检测设备之外的其他检测设备建立引流隧道。
7.根据权利要求6所述的控制器,其特征在于,所述第一引流策略还包括:数据类型和具备检测所述数据类型的能力的检测设备间的对应关系;
所述第一引流策略还用于指示所述检测设备将属于所述数据类型的流量经由所述引流隧道发往所述具备检测所述数据类型的能力的检测设备。
8.根据权利要求6所述的控制器,其特征在于,所述处理模块还用于:
当所述待处理设备上通过的数据量上升,从而所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过的数据的检测时,向所述至少一个检测设备中的一个或多个检测设备发送第二引流策略;所述第二引流策略用于指示一个或多个检测设备与所述至少一个检测设备之外的其他检测设备建立引流隧道。
9.一种接入设备,其特征在于,包括:
发送模块,用于向控制器发送数据类型和/或数据量;
接收模块,用于接收来自所述控制器的第一引流策略;其中,所述第一引流策略与所述数据类型和/或数据量相关;
处理模块,用于根据所述第一引流策略,与至少一个检测设备建立第一引流隧道;其中所述至少一个检测设备的安全检测能力的总和满足对所述接入设备上通过的数据的检测;所述安全检测能力包括安全检测性能;所述安全检测性能包括数据处理量;
发送模块,用于通过所述第一引流隧道,向所述至少一个检测设备发送数据;其中,当所述至少一个检测设备的安全检测能力不满足对来自第一引流隧道的数据的检测需求时,超出的流量经由第二引流隧道传输至另一检测设备进行检测;所述第二引流隧道为所述至少一个检测设备中的一个或多个检测设备与所述至少一个检测设备之外的其他检测设备之间的引流隧道。
10.一种检测设备,其特征在于,包括:
接收模块,用于当检测设备的安全检测能力不满足对来自第一引流隧道的数据的检测需求时,接收控制器发送的引流策略;所述安全检测能力包括安全检测性能;所述安全检测性能包括数据处理量;
处理模块,用于根据所述引流策略,与另一检测设备建立第二引流隧道,并将超出所述检测设备检测能力的数据用所述第二引流隧道发往所述另一检测设备。
11.一种网络安全检测系统,其特征在于,所述系统包括:控制器、接入设备、检测设备;其中:
所述控制器用以执行如权利要求1-3中任一项所述的方法;
所述接入设备用以执行如权利要求4所述的方法;
所述检测设备用以执行如权利要求5所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010553314.XA CN113810348B (zh) | 2020-06-17 | 2020-06-17 | 网络安全检测方法、系统、设备及控制器 |
| PCT/CN2021/100383 WO2021254397A1 (zh) | 2020-06-17 | 2021-06-16 | 网络安全检测方法、系统、设备及控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010553314.XA CN113810348B (zh) | 2020-06-17 | 2020-06-17 | 网络安全检测方法、系统、设备及控制器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113810348A CN113810348A (zh) | 2021-12-17 |
| CN113810348B true CN113810348B (zh) | 2023-04-07 |
Family
ID=78892667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010553314.XA Active CN113810348B (zh) | 2020-06-17 | 2020-06-17 | 网络安全检测方法、系统、设备及控制器 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113810348B (zh) |
| WO (1) | WO2021254397A1 (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753951A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种基于软件定义的网络安全流安全平台 |
| CN106911588A (zh) * | 2015-12-22 | 2017-06-30 | 中国电信股份有限公司 | 用于实现深度包检测优化的方法、装置和系统 |
| CN107979614A (zh) * | 2017-12-30 | 2018-05-01 | 杭州华为数字技术有限公司 | 数据包检测方法及装置 |
| CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN109981355A (zh) * | 2019-03-11 | 2019-07-05 | 北京网御星云信息技术有限公司 | 用于云环境的安全防御方法及系统、计算机可读存储介质 |
| CN110798459A (zh) * | 2019-10-23 | 2020-02-14 | 国网江苏省电力有限公司信息通信分公司 | 一种基于安全功能虚拟化的多安全节点联动防御方法 |
| CN111221619A (zh) * | 2018-11-27 | 2020-06-02 | 中国移动通信集团江西有限公司 | 一种业务开通和编排的方法、装置及设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9130977B2 (en) * | 2012-04-18 | 2015-09-08 | Radware, Ltd. | Techniques for separating the processing of clients' traffic to different zones |
| WO2015026314A1 (en) * | 2013-08-19 | 2015-02-26 | Hewlett-Packard Development Company, L.P. | Adaptive network security policies |
| CN104601482A (zh) * | 2013-10-30 | 2015-05-06 | 中兴通讯股份有限公司 | 流量清洗方法和装置 |
| CN105100026B (zh) * | 2014-05-22 | 2018-07-20 | 新华三技术有限公司 | 一种报文安全转发方法及装置 |
| CN109831390B (zh) * | 2019-01-21 | 2022-06-10 | 新华三云计算技术有限公司 | 报文转发控制方法及装置 |
| CN110113435B (zh) * | 2019-05-27 | 2022-01-14 | 绿盟科技集团股份有限公司 | 一种流量清洗的方法和设备 |
| CN111131319A (zh) * | 2019-12-30 | 2020-05-08 | 北京天融信网络安全技术有限公司 | 安全能力扩展方法、装置、电子设备及存储介质 |
-
2020
- 2020-06-17 CN CN202010553314.XA patent/CN113810348B/zh active Active
-
2021
- 2021-06-16 WO PCT/CN2021/100383 patent/WO2021254397A1/zh active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753951A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种基于软件定义的网络安全流安全平台 |
| CN106911588A (zh) * | 2015-12-22 | 2017-06-30 | 中国电信股份有限公司 | 用于实现深度包检测优化的方法、装置和系统 |
| CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN107979614A (zh) * | 2017-12-30 | 2018-05-01 | 杭州华为数字技术有限公司 | 数据包检测方法及装置 |
| CN111221619A (zh) * | 2018-11-27 | 2020-06-02 | 中国移动通信集团江西有限公司 | 一种业务开通和编排的方法、装置及设备 |
| CN109981355A (zh) * | 2019-03-11 | 2019-07-05 | 北京网御星云信息技术有限公司 | 用于云环境的安全防御方法及系统、计算机可读存储介质 |
| CN110798459A (zh) * | 2019-10-23 | 2020-02-14 | 国网江苏省电力有限公司信息通信分公司 | 一种基于安全功能虚拟化的多安全节点联动防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021254397A1 (zh) | 2021-12-23 |
| CN113810348A (zh) | 2021-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101873269B (zh) | 数据转发设备和端口缓存的分配方法 | |
| CN102257848B (zh) | 通信设备间的主备倒换方法、通信设备和系统及服务请求设备 | |
| CN103581042B (zh) | 一种数据包发送的方法和设备 | |
| CN103984659B (zh) | 分时使用串口的方法和装置 | |
| EP3236624A1 (en) | Cross-board forwarding method and apparatus | |
| CN106533973B (zh) | 分发业务消息的方法、设备和系统 | |
| CN103812750A (zh) | 数据通信设备cpu收发报文保护系统及方法 | |
| CN107370685A (zh) | 一种物联网终端接入方法及装置 | |
| CN108920339A (zh) | 一种系统异常上报方法及装置 | |
| CN105939267A (zh) | 带外管理方法及装置 | |
| CN106059806A (zh) | 一种can报文发送方法及装置 | |
| WO2016095440A1 (zh) | 报文的发送处理方法、装置及一种网络设备 | |
| CN105337970A (zh) | 路由器、服务器以及两者协同的网络访问控制方法 | |
| CN113810348B (zh) | 网络安全检测方法、系统、设备及控制器 | |
| CN104394012B (zh) | 集群路由器、mpu及其故障的确定方法、感知控制器 | |
| CN108062247A (zh) | 一种内存管理方法及系统 | |
| CN103051612B (zh) | 防火墙及防止网络攻击方法 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| CN113904871B (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
| CN106357688B (zh) | 一种防御ICMP flood攻击的方法和装置 | |
| CN103313262B (zh) | 一种无线网络覆盖备份方法和装置 | |
| CN104123261B (zh) | 一种电子设备及信息传送方法 | |
| CN109756362B (zh) | 一种第三方安全组件的集成处理方法及装置 | |
| CN107360605A (zh) | 数据传输系统、方法和装置 | |
| CN113630388B (zh) | 一种单向传输方法、装置、计算机设备以及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |