CN101977154A - 一种智能的流量安全处理控制方法及装置 - Google Patents
一种智能的流量安全处理控制方法及装置 Download PDFInfo
- Publication number
- CN101977154A CN101977154A CN2010105450730A CN201010545073A CN101977154A CN 101977154 A CN101977154 A CN 101977154A CN 2010105450730 A CN2010105450730 A CN 2010105450730A CN 201010545073 A CN201010545073 A CN 201010545073A CN 101977154 A CN101977154 A CN 101977154A
- Authority
- CN
- China
- Prior art keywords
- message
- user
- load condition
- unit
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种智能的流量安全处理控制装置,其应用于网络设备中,包括流量策略单元、安全处理单元、转发单元以及监控单元,其中流量策略单元用于接收用户报文结合网络设备当前的负荷状态并根据预定的策略确定所述用户报文送往所述转发单元还是送往所述安全处理单元从而实现安全处理旁路的功能,同时可以进一步根据流量的优先级进行策略的细分,从而达到了业务安全与网络通畅的平衡。
Description
技术领域
本发明涉及数据通信技术,尤其涉及网络中流量处理的智能控制技术。
背景技术
随着网络的延伸,网络规模迅速扩大,安全问题变得日益复杂,建设可管、可控、可信的网络成为进一步推进网络应用发展的前提;另一方面随着网络所承载的业务日益复杂,保证应用层安全是网络安全发展的新的方向。
在网络发展的早期,网络设备的主要职责是路由转发。但随着网络相关应用的发展,服务质量保证以及安全处理等应用出现了,网络设备对一个报文的处理流程变得更长了。网络设备在进行报文转发之前,其内的应用程序会对通过他的网络封包进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,但是网络设备的处理能力是有限的,当网络中的流量很大时,网络设备如何能保证网络的畅通并且能实时的对网络进行保护呢,是现有技术中一直存在的技术难题。
发明内容
本发明的目的在于提供一种智能的流量安全处理控制装置,其应用于网络设备中,包括流量策略单元、安全处理单元、转发单元以及监控单元,其中
所述流量策略单元,用于从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的策略确定所述用户报文送往所述转发单元还是送往所述安全处理单元;
所述安全处理单元,用于对从流量策略单元收到的用户报文进行安全检测,并将通过安全检测的报文送往转发单元,将未能通过安全检测的报文丢弃;
所述转发单元,用于根据报文的地址信息将从所述流量策略单元收到的用户报文转发出去;
所述监控单元,用于监控网络设备的负荷状态,并将负荷状态信息反馈给所述流量策略单元。
优选地,所述负荷状态是CPU利用率。
优选地,其中所述预定的策略为:如果所述负荷状态到达预设的第一阈值则将所述用户报文送往所述转发单元,否则将所述用户报文送往安全策略单元。
优选地,其中所述预定的策略为:如果所述负荷状态小于第一阈值,则将所述用户报文送往安全处理单元;如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于第一优先级,如果是,则将该报文送往安全处理单元,否则将用户报文送往转发单元。
优选地,其中所述预定的策略为:如果所述负荷状态未达到预设的第一阈值则将所述用户报文送往安全处理单元;如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值,则进一步判断用户报文是否属于第一优先级,如果是,则将该报文送往安全处理单元,否则将用户报文送往转发单元;如果所述负荷状态达到预设的第二阈值,则将该用户报文送往转发单元。
优选地,其中所述流量策略单元是根据用户报文中的优先级标记确定该用户报文是否属于第一优先级的,其中所述优先级标记是用户报文的IP地址或者进入流量策略单元之前网络设备为该用户报文打上的优先级标记。
本发明还提供一种智能的流量安全处理控制方法,应用于网络设备中,该方法包括:
步骤A、获取网络设备当前的负荷状态;
步骤B、从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的策略确定是否对该报文进行安全处理,如果是转步骤C,否则转步骤D;
步骤C、对用户报文进行安全检测,如果用户报文通过安全检测转步骤D,否则丢弃该用户报文;;
步骤D、根据报文的地址信息将收到的用户报文转发出去。
优选地,所述负荷状态是CPU利用率。
优选地,其中所述预定的策略为:如果所述负荷状态到达预设的第一阈值转步骤D,否则转步骤C。
优选地,其中所述预定的策略为:如果所述负荷状态小于第一阈值,转步骤C;如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于第一优先级,如果是则转步骤C,否则转步骤D。
优选地,其中所述预定的策略为:如果所述负荷状态未达到预设的第一阈值,转步骤C;如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值,则进一步判断用户报文是否属于第一优先级,如果是则转步骤C,否则转步骤D;如果所述负荷状态达到预设的第二阈值,转步骤D。
优选地,其中判断用户报文是否属于第一优先级具体为:根据用户报文中的优先级标记确定该用户报文是否属于第一优先级的,其中所述优先级标记是用户报文的IP地址或者进入流量策略单元之前网络设备为该用户报文打上的优先级标记。
相较于现有技术,当网络中的流量很大超过网络设备的处理能力时,本发明可以保证了网络的畅通,并且多级的安全处理的旁路功能也能保证网络设备重点保护的对象在流量没有超过其对应的阈值时继续受到保护,也就是可以继续做安全处理,达到了安全与网络通畅的平衡。
附图说明
图1是本发明组网模式图。
图2是本发明智能流量安全处理控制装置逻辑结构图。
图3是本发明流量策略控制状态图。
具体实施方式
请参考图1,网络安全设备通常位于企业网络的出口附近,其业务负担一半都比较重,本发明聚焦于安全设备在性能和业务上的平衡。从整体上来说本发明能够根据不同的流量级别来分别自动开启或关闭应用层流控bypass(旁路),从而平衡网络设备资源与业务的处理。更进一步来说,可以根据不同级别的网络流量,分别对处于不同级别的保护对象进行旁路处理,并且当通过设备的流量下降到某个级别点时,网络设备又会自动关闭旁路处理的功能,这不仅能够在网络流量很大的一瞬间保护网络设备,保证网络的畅通,而且也能够在网络流量恢复正常的时候实时的保护网络设备要保护的对象。以下结合附图通过一些具体的实例来进行详细描述
在优选的实施方式中,本发明通过应用在网络设备中的计算机程序实现。请参考图2并结合图3,本发明智能流量安全处理装置包括网络接口10、流量策略单元20、安全处理单元30、转发单元40、配置单元50以及监控单元60,为了更简洁地描述本发明,以下描述的流程处理与逻辑结构相对应的,具体实施方式中不再分别进行重复描述。
步骤101、获取网络设备当前的负荷状态;
本步骤的执行对应为监控单元执行。在企业网络环境中,靠近企业网络核心位置的网络设备通常仅仅承担着用户报文的转发,还要承担着很多应用处理,比如说地址转换、安全处理、限速、审计、流量统计以及服务质量保证等等,其中最常见的业务是安全处理业务,因此对报文的处理流程更加复杂。随着语音视频业务的发展,P2P流量的爆发式增长,对网络设备的性能要求越来越高。网络设备内各种软硬件资源的使用随着流量的波动而波动。在流量较大的情形下,网络设备的负荷也是相对较大的。网络设备的负荷状态可以通过各种指标进行反映,比如最典型的就是网络设备的CPU的利用率或者网络设备的网络吞吐率。监控单元获得网络设备当前的负荷状态信息后可以提交流量策略单元,以使的流量策略单元根据网络设备的负荷状态作出合理的策略安排。
步骤102、从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的策略确定是否对该报文进行安全处理,如果是转步骤103,否则转步骤104;
本步骤由流量策略单元执行。具体来说,报文进入网络设备之后需要进行最基本的转发处理,但在做转发之前需要做各种应用处理,比如安全处理等。然而当报文流量非常大的时候,如果针对所有报文都进行安全处理,则在网络设备内的处理时间大大增长,影响用户的体验,容易造成拥塞导致部分队列中的报文被丢弃。因此本发明采用预定的策略对用户报文的处理进行针对性调整。随着网络设备负荷的加重相应减少各级别报文的安全处理。以下就上述预定的策略进行举例说明:
示例1:本示例中预定的策略为:如果所述负荷状态到达预设的第一阈值转步骤104,否则转步骤103。本示例中并没有对用户报文进行区分,如果遇到网络设备负荷较高,比如CPU利用率达到80%,则将用户报文正常的安全处理流程旁路掉,使其向后进入转发流程。
示例2:本示例中所述预定的策略为:如果所述负荷状态小于第一阈值,转步骤103进行安全处理;如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于第一优先级,如果是则转步骤103进行安全处理,否则转步骤104进行转发处理。在这一示例中对用户报文进行了区分,也就是说当网络设备负担较重的时候,旁路掉一部分报文的安全处理,从而减轻设备的负担,避免造成拥塞,保证报文处理的及时性。比如定义VIP流量(对应上述第一优先级用户报文组成的流量)和普通流量。这里可以采用比较简单普遍的定义方式:取用户报文ip地址或者在报文进入网络设备时在报文dscp标志位里打上的优先级标记来定义。这里介绍用ip地址来区分的定义方式,在用户界面上,用户可以通过配置单元50提供的配置接口将需要重点保护的ip地址加入VIP流量网段作为第一优先级的报文进行对待。比如当系统的处理能力达到一定程度的时候,例如cpu的利用率达到60%或者网络吞吐率达到设计规格的60%,自动开启对普通流量的旁路功能,使属于普通流量的用户报文跳过安全处理流程而进入转发处理,而对于VIP流量的用户报文则需要按照正常的处理方式先送入安全处理单元进行处理。
示例3:本示例中所述预定的策略为:如果所述负荷状态未达到预设的第一阈值,转步骤103;如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值,则进一步判断用户报文是否属于第一优先级,如果是则转步骤103,否则转步骤104;如果所述负荷状态达到预设的第二阈值,转步骤104。在示例2的基础上,如果在开启普通流量的旁路功能之后,网络设备负荷状态进一步加重,比如cpu的利用率进一步上升到达80%,流量策略单元开启对VIP流量的旁路。也就是如果设备的负荷非常严重的时候,需要对高优先级的报文(第一优先级的报文)进行旁路处理,使得更高优先级的报文也跳过安全处理进入报文转发。
在示例3中用户的报文被划分为2个优先级,分别对应到2个阈值;如果用户希望做更细化的流量策略控制,可以进一步划分用户报文的优先级,设置更多的对应的网络设备负荷状态的阈值,从而达到更为精细的控制。
从流量策略实施过程中旁路功能的使能状态上来看,当网络设备的负荷状态从高到低变化时,流量策略单元会依次关闭掉对VIP流量的旁路以及对普通流量的旁路。比如CPU利用率低于80%时,关闭对VIP流量的用户报文的旁路处理,当CPU利用率进一步降低到60%的时候,进一步关闭对普通流量的用户报文的旁路。当网络设备的负荷状态从低到高进行变化时,则刚好相反。请参考图3,本发明的流量策略单元中旁路执行的状态图清晰地示意了各种状态之间的变化。
步骤103、对从流量策略单元收到的用户报文进行安全检测,并将通过安全检测的报文送往转发单元,将未能通过安全检测的报文丢弃;本步骤由安全处理单元执行。安全处理单元可以采用深度报文检测技术对报文的报头以及报文的内容进行深度检测以确定报文是否符合预定的安全策略,对于不符合安全策略的报文可以进行丢弃以确保网络的安全,符合安全策略的报文送往转发单元进行正常的转发处理。
步骤104、根据报文的地址信息将从所述流量策略单元收到的用户报文转发出去;本步骤由转发单元进行处理,转发处理属于网络设备的基本功能,在此不再进行详细描述。
在传统技术中,当网络中的流量很大超过网络设备的处理能力时,网络安全设备将无法正常处理或者转发全部的报文,这样就会形成拥塞甚至导致部分报文被丢弃。相反在这种情况下本发明可以保证了网络的畅通,并且多级的安全处理的旁路功能也能保证网络设备重点保护的对象在流量没有超过其对应的阈值时继续受到保护也就是可以继续做安全处理,达到了安全与网络通畅的平衡。
以上所描述的仅仅是本发明较佳的实现方式,并不用以限定本发明的保护范围,任何等同的变化和修改皆应涵盖在本发明的保护范围之内。
Claims (12)
1.一种智能的流量安全处理控制装置,其应用于网络设备中,包括流量策略单元、安全处理单元、转发单元以及监控单元,其特征在于:
所述流量策略单元,用于从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的策略确定所述用户报文送往所述转发单元还是送往所述安全处理单元;
所述安全处理单元,用于对从流量策略单元收到的用户报文进行安全检测,并将通过安全检测的报文送往转发单元,将未能通过安全检测的报文丢弃;
所述转发单元,用于根据报文的地址信息将从所述流量策略单元收到的用户报文转发出去;
所述监控单元,用于监控网络设备的负荷状态,并将负荷状态信息反馈给所述流量策略单元。
2.根据权利要求1所述的装置,其特征在于,所述负荷状态是CPU利用率。
3.根据权利要求1所述的装置,其特征在于,其中所述预定的策略为:如果所述负荷状态到达预设的第一阈值则将所述用户报文送往所述转发单元,否则将所述用户报文送往安全策略单元。
4.根据权利要求1所述的装置,其特征在于,其中所述预定的策略为:如果所述负荷状态小于第一阈值,则将所述用户报文送往安全处理单元;如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于第一优先级,如果是,则将该报文送往安全处理单元,否则将用户报文送往转发单元。
5.根据权利要求1所述的装置,其特征在于,其中所述预定的策略为:如果所述负荷状态未达到预设的第一阈值则将所述用户报文送往安全处理单元;如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值,则进一步判断用户报文是否属于第一优先级,如果是,则将该报文送往安全处理单元,否则将用户报文送往转发单元;如果所述负荷状态达到预设的第二阈值,则将该用户报文送往转发单元。
6.根据权利要求4或5所述的装置,其特征在于,其中所述流量策略单元是根据用户报文中的优先级标记确定该用户报文是否属于第一优先级的,其中所述优先级标记是用户报文的IP地址或者进入流量策略单元之前网络设备为该用户报文打上的优先级标记。
7.一种智能的流量安全处理控制方法,应用于网络设备中,其特征在于,该方法包括:
步骤A、获取网络设备当前的负荷状态;
步骤B、从网络接口接收用户报文,结合网络设备当前的负荷状态并根据预定的策略确定是否对该报文进行安全处理,如果是转步骤C,否则转步骤D;
步骤C、对用户报文进行安全检测,如果用户报文通过安全检测转步骤D,否则丢弃该用户报文;;
步骤D、根据报文的地址信息将收到的用户报文转发出去。
8.根据权利要求7所述的方法,其特征在于,所述负荷状态是CPU利用率。
9.根据权利要求7所述的装置,其特征在于,其中所述预定的策略为:如果所述负荷状态到达预设的第一阈值转步骤D,否则转步骤C。
10.根据权利要求7所述的装置,其特征在于,其中所述预定的策略为:如果所述负荷状态小于第一阈值,转步骤C;如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于第一优先级,如果是则转步骤C,否则转步骤D。
11.根据权利要求10所述的装置,其特征在于,其中所述预定的策略为:如果所述负荷状态未达到预设的第一阈值,转步骤C;如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值,则进一步判断用户报文是否属于第一优先级,如果是则转步骤C,否则转步骤D;如果所述负荷状态达到预设的第二阈值,转步骤D。
12.根据权利要求7所述的装置,其特征在于,其中判断用户报文是否属于第一优先级具体为:根据用户报文中的优先级标记确定该用户报文是否属于第一优先级的,其中所述优先级标记是用户报文的IP地址或者进入流量策略单元之前网络设备为该用户报文打上的优先级标记。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105450730A CN101977154A (zh) | 2010-11-16 | 2010-11-16 | 一种智能的流量安全处理控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105450730A CN101977154A (zh) | 2010-11-16 | 2010-11-16 | 一种智能的流量安全处理控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101977154A true CN101977154A (zh) | 2011-02-16 |
Family
ID=43577001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105450730A Pending CN101977154A (zh) | 2010-11-16 | 2010-11-16 | 一种智能的流量安全处理控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101977154A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579760A (zh) * | 2014-12-22 | 2015-04-29 | 大唐移动通信设备有限公司 | 一种网络设备的负荷处理方法和系统 |
| CN104753738A (zh) * | 2015-03-26 | 2015-07-01 | 杭州华三通信技术有限公司 | 一种流量检测方法及装置 |
| CN105897609A (zh) * | 2016-04-01 | 2016-08-24 | 浙江宇视科技有限公司 | 一种监管数据流传输的方法和装置 |
| CN109561083A (zh) * | 2018-11-20 | 2019-04-02 | 杭州迪普科技股份有限公司 | bypass处理的方法、装置、设备及存储介质 |
| CN111277509A (zh) * | 2020-01-13 | 2020-06-12 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000072624A1 (en) * | 1999-05-21 | 2000-11-30 | Nokia Corporation | Adaptive rate matching for data or speech |
| CN101043478A (zh) * | 2007-04-20 | 2007-09-26 | 北京航空航天大学 | 实现消息安全处理的服务网关及方法 |
| CN101127713A (zh) * | 2007-09-05 | 2008-02-20 | 华为技术有限公司 | 通用流量控制装置及流量控制方法 |
-
2010
- 2010-11-16 CN CN2010105450730A patent/CN101977154A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000072624A1 (en) * | 1999-05-21 | 2000-11-30 | Nokia Corporation | Adaptive rate matching for data or speech |
| CN101043478A (zh) * | 2007-04-20 | 2007-09-26 | 北京航空航天大学 | 实现消息安全处理的服务网关及方法 |
| CN101127713A (zh) * | 2007-09-05 | 2008-02-20 | 华为技术有限公司 | 通用流量控制装置及流量控制方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579760A (zh) * | 2014-12-22 | 2015-04-29 | 大唐移动通信设备有限公司 | 一种网络设备的负荷处理方法和系统 |
| CN104753738A (zh) * | 2015-03-26 | 2015-07-01 | 杭州华三通信技术有限公司 | 一种流量检测方法及装置 |
| CN105897609A (zh) * | 2016-04-01 | 2016-08-24 | 浙江宇视科技有限公司 | 一种监管数据流传输的方法和装置 |
| CN105897609B (zh) * | 2016-04-01 | 2019-04-09 | 浙江宇视科技有限公司 | 一种监管数据流传输的方法和装置 |
| CN109561083A (zh) * | 2018-11-20 | 2019-04-02 | 杭州迪普科技股份有限公司 | bypass处理的方法、装置、设备及存储介质 |
| CN111277509A (zh) * | 2020-01-13 | 2020-06-12 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
| CN111277509B (zh) * | 2020-01-13 | 2023-12-05 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7970899B2 (en) | Integrated data flow packet admission and traffic management apparatus | |
| US9197548B2 (en) | Network switching system using software defined networking applications | |
| CN103354989B (zh) | 用于中间装置中的多级服务质量分类的系统和方法 | |
| Ghirardello et al. | Cyber security of smart homes: Development of a reference architecture for attack surface analysis | |
| US9755981B2 (en) | Snooping forwarded packets by a virtual machine | |
| CN102075421B (zh) | 服务质量处理方法及装置 | |
| CN103297347B (zh) | 一种负载均衡处理方法及装置 | |
| TW200812321A (en) | Systems and methods for close queuing to support quality of service | |
| CN101977154A (zh) | 一种智能的流量安全处理控制方法及装置 | |
| US20190097931A1 (en) | System and method for control traffic reduction between sdn controller and switch | |
| Sharma et al. | P-RED: Probability based random early detection algorithm for queue management in MANET | |
| Iqbal et al. | Minimize the delays in software defined network switch controller communication | |
| Adedayo et al. | QoS functionality in software defined network | |
| Tshiningayamwe et al. | A priority rate-based routing protocol for wireless multimedia sensor networks | |
| Moghaddam | A fuzzy Active Queue Management mechanism for Internet congestion control | |
| CN104283741B (zh) | 精确检测大流老化的方法及装置 | |
| De Schepper et al. | RFC 9330: Low Latency, Low Loss, and Scalable Throughput (L4S) Internet Service: Architecture | |
| CN103532868B (zh) | 电力系统网络带宽和流量控制方法 | |
| CN102394816B (zh) | 一种虚拟专用网络用户服务质量控制方法和设备 | |
| Muhammad et al. | Study on performance of AQM schemes over TCP variants in different network environments | |
| Divakaran | A spike-detecting AQM to deal with elephants | |
| CN102075418B (zh) | 一种网络数据流量控制设备及方法 | |
| Panjanathan et al. | Enhanced low latency queuing algorithm with active queue management for multimedia applications in wireless networks | |
| Cisco | Designing a Campus | |
| Divakaran et al. | Size-based flow-scheduling using spike-detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110216 |