CN113824799A - 一种高性能网络安全智能分流控制技术及装置 - Google Patents

一种高性能网络安全智能分流控制技术及装置 Download PDF

Info

Publication number
CN113824799A
CN113824799A CN202111384594.7A CN202111384594A CN113824799A CN 113824799 A CN113824799 A CN 113824799A CN 202111384594 A CN202111384594 A CN 202111384594A CN 113824799 A CN113824799 A CN 113824799A
Authority
CN
China
Prior art keywords
security
flow
safety
service system
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111384594.7A
Other languages
English (en)
Other versions
CN113824799B (zh
Inventor
王金国
郑海树
韩旭东
吴明
许小奎
王能洁
郑威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Zhongfu Information Technology Co Ltd
Original Assignee
Nanjing Zhongfu Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Zhongfu Information Technology Co Ltd filed Critical Nanjing Zhongfu Information Technology Co Ltd
Priority to CN202111384594.7A priority Critical patent/CN113824799B/zh
Publication of CN113824799A publication Critical patent/CN113824799A/zh
Application granted granted Critical
Publication of CN113824799B publication Critical patent/CN113824799B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Abstract

本发明公开了通信技术领域的一种高性能网络安全智能分流控制技术及装置,包括以下步骤:启动安全系统,获取安全控制器服务地址;安全服务系统调用安全分发服务注册接口,向安全控制器注册本安全服务系统;安全控制器下发到流量分发组件;流量分发组件接收网络流量,根据安全分发策略匹配;安全服务系统进行不同的安全业务处理;安全控制器动态生成新的转发策略下发给流量分发/存储组件,将该流量进行重放处理;本发明流量分发组件和安全服务系统支持分布式部署,可以做到灵活部署,弹性伸缩。

Description

一种高性能网络安全智能分流控制技术及装置
技术领域
本发明涉及通信技术领域,具体为一种高性能网络安全智能分流控制技术及装置。
背景技术
目前的流量分发系统主要实现三/四层负载均衡分发,按流轮询(RR)负载均衡或者按照权重轮询(WRR)进行负载流量分发,部分支持L7应用流量分发,但是同一个服务器资源池中的服务器其业务功能都是对等的,即接收流量的服务器是相同的功能做负荷分担处理,对于系统应用有一定的局限性。
应用服务器系统接收网络流量进行业务负荷分担处理,完全是对等业务处理,无法进行异构业务系统搭建,不能完全满足安全业务系统要求,并且流量分发和负载均衡策略也是固定配置,无法自动动态调整。
基于此,本发明设计了一种高性能网络安全智能分流控制技术及装置,以解决上述问题。
发明内容
本发明的目的在于提供一种高性能网络安全智能分流控制技术及装置,以解决上述背景技术中提出的无法进行异构业务系统搭建,不能完全满足安全业务系统要求,并且流量分发和负载均衡策略也是固定配置,无法自动动态调整的问题。
为实现上述目的,本发明提供如下技术方案:
一种高性能网络安全智能分流控制技术,包括以下步骤:
S1:启动安全系统,获取安全控制器服务地址,初始化应用流量信息库;
S2:安全服务系统调用安全分发服务注册接口,向安全控制器注册本安全服务系统;
S3:安全控制器根据注册的应用流量策略和安全服务系统地址生成安全分发策略下发到流量分发组件;
S4:流量分发组件接收网络流量,进行DPI应用识别,获取流量归属的应用名称和应用类别信息,根据安全分发策略匹配;
S5:安全服务系统对请求的应用流量进行安全业务处理,不同的应用流量可以进行不同的安全业务处理;
S6:安全控制器接收注册的安全服务系统状态监控信息,若发现安全服务系统不可用,则安全控制器控制流量分发组件停止向该系统分发业务流量,直到安全服务系统恢复正常再重新分发;
S7:安全控制器接收某安全服务系统发现的某异常流量上报信息,安全控制器根据异常信息分析需要进行进一步的深度安全检测分析,则动态生成新的转发策略下发给流量分发/存储组件,将该流量进行重放处理,重新分发给深度安全分析系统进行深度安全分析处理。
优选的,S2中,所述向安全控制器注册本安全服务系统的注册信息包括安全服务系统地址、安全服务能力、最大处理带宽能力和运行负荷信息,并通过安全控制器应用流量策略接口请求需要的应用流量。
优选的,所述安全服务能力包括URL安全扫描、病毒检测、攻击检测、网络审计等。
优选的,所述应用流量策略包括流量5元组、应用名称或者应用类别信息,分发策略各字段支持通配。
优选的,S4中,所述流量分发组件同时能够对应用流量进行缓存存储。
优选的,S4中,根据安全分发策略匹配具体为将符合分发策略的应用流量分发到指定的安全服务系统进行安全业务处理,并可根据注册的安全服务系统负荷能力进行流控分发。
优选的,S5中,所述安全业务处理包括URL安全扫描、流量清洗、敏感内容分析、病毒检测处理。
一种高性能网络安全智能分流控制装置,包括流量分发组件、安全控制器和安全服务系统,所述安全控制器用于生成安全分发策略、控制流量分发组件、接收异常流量上报信息并深度检测分析,动态生成新的分发策略;所述流量分发组件用于接收安全分发策略,分发流量到安全服务系统。
优选的,所述安全服务系统包括安全服务系统1、安全服务系统2、安全服务系统3。
优选的,所述安全服务系统1用于请求POP3/IMAP应用流量1,对接收的POP3/IMAP应用流量1进行病毒检测,安全服务系统2对POP3/IMAP应用流量1或SMTP应用流量2进行敏感内容分析,安全服务系统3对HTTP应用流量3进行WEB安全和URL安全扫描,所述安全服务系统1、安全服务系统2、安全服务系统3不仅仅限于上述POP3/SMT/HTTP等应用协议,可以灵活扩展更多的应用协议进行识别和应用流量分发。
与现有技术相比,本发明的有益效果是:
1.本发明流量分发组件和安全服务系统支持分布式部署,可以是不同的物理机/虚拟机/容器/进程等不同形态,可以做到灵活部署,弹性伸缩。
2.本发明不同的安全服务系统可以处理相同的应用流量,流量分发组件根据注册的策略进行分发复制。
3.本发明流量分发组件和安全服务系统之间链路可以是共享内存,虚拟网络连接,也可以是物理网络或者隧道方式进行连接。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明整体架构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:
一种高性能网络安全智能分流控制技术,包括以下步骤:
S1:安全系统启动,获取安全控制器服务地址,初始化应用流量信息库;
S2:安全服务系统调用安全分发服务注册接口,向安全控制器注册本安全服务系统,注册信息包括安全服务系统地址、安全服务能力(如URL安全扫描、病毒检测等)、最大处理带宽能力和运行负荷信息,并通过安全控制器应用流量策略接口请求需要的应用流量,应用流量策略包括流量5元组(源IP,目的IP,协议号,源端口,目的端口)、应用名称或者应用类别信息,分发策略各字段支持通配;
S3:安全控制器根据注册的应用流量策略和安全服务系统地址生成安全分发策略下发到流量分发组件;
S4:流量分发组件接收网络流量,进行DPI应用识别,获取流量归属的应用名称和应用类别信息,根据安全分发策略(5元组+应用ID)匹配,将符合分发策略的应用流量分发到指定的安全服务系统进行安全业务处理,并可以根据注册的安全服务系统负荷能力进行流控分发;流量分发组件同时能够对应用流量进行缓存存储;
S5:安全服务系统对请求的应用流量进行安全业务处理,比如URL安全扫描、流量清洗、敏感内容分析、病毒检测等处理,不同的应用流量可以进行不同的安全业务处理,如上图安全服务系统1请求POP3/IMAP应用流量1,对接收的POP3/IMAP应用流量1进行病毒检测,安全服务系统2对POP3/IMAP应用流量1或SMTP应用流量2进行敏感内容分析,安全服务系统3对HTTP应用流量3进行WEB安全和URL安全扫描等。
S6:安全控制器接收注册的安全服务系统状态监控信息,若发现安全服务系统不可用,则安全控制器控制流量分发组件停止向该系统分发业务流量,直到安全服务系统恢复正常再重新分发。
S7:安全控制器接收某安全服务系统3发现的某异常流量上报信息,安全控制器根据异常信息分析需要进行进一步的深度安全检测分析,则动态生成新的转发策略下发给流量分发/存储组件,将该流量进行重放处理,重新分发给深度安全分析系统2进行深度安全分析处理。
其中,安全控制器根据各安全服务系统动态能力进行应用流量分发动态控制,智能调节业务系统整体处理能力,降低系统处理能力瓶颈。
安全控制器动态控制流量分发组件分发策略实现安全分析业务的分级处理,第一级安全服务系统只进行轻量化大流量网络安全分析,第二级安全服务系统进行复杂的深度安全分析;当第一级安全分析检测系统发现有可疑的异常流量需要进一步检测,则将流量信息上报给控制器,控制器进行综合分析判断将其提交给第二级安全服务系统进行深度分析,能最大程度避免深度检测处理资源的浪费,可以极大提升系统整体处理能力。
更进一步,安全控制器可以对该异常流量进行业务链编排,依次对该流量进行不同的安全服务分析处理,对不同的异常流量进行不同的安全服务处理。
一种高性能网络安全智能分流控制装置,包括流量分发组件、安全控制器和安全服务系统,所述安全控制器用于生成安全分发策略、控制流量分发组件、接收异常流量上报信息并深度检测分析,动态生成新的分发策略;所述流量分发组件用于接收安全分发策略,分发流量到安全服务系统。
安全服务系统包括安全服务系统1、安全服务系统2、安全服务系统3。安全服务系统1用于请求POP3/IMAP应用流量1,对接收的POP3/IMAP应用流量1进行病毒检测,安全服务系统2对POP3/IMAP应用流量1或SMTP应用流量2进行敏感内容分析,安全服务系统3对HTTP应用流量3进行WEB安全和URL安全扫描,所述安全服务系统1、安全服务系统2、安全服务系统3不仅仅限于上述POP3/SMT/HTTP等应用协议,可以灵活扩展更多的应用协议进行识别和应用流量分发。
不同的安全服务系统可以根据本系统能力灵活按需请求特定应用流量进行按需处理,不需要的流量提前过滤掉,极大的节省了处理资源,真正做到物有所用,发挥专长处理能力;相同的安全服务系统能够通过分流组件进行负荷分担处理,分流组件按照流量分发负载均衡算法分发给相同功能的安全服务系统,通过负载均衡和健康检测支持冗余备份,提高系统可靠性;安全服务系统按照处理能力请求最大流量应用带宽,避免超过系统处理能力导致丢包。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (10)

1.一种高性能网络安全智能分流控制技术,其特征在于:该技术包括以下步骤:
S1:启动安全系统,获取安全控制器服务地址,初始化应用流量信息库;
S2:安全服务系统调用安全分发服务注册接口,向安全控制器注册本安全服务系统;
S3:安全控制器根据注册的应用流量策略和安全服务系统地址生成安全分发策略下发到流量分发组件;
S4:流量分发组件接收网络流量,进行DPI应用识别,获取流量归属的应用名称和应用类别信息,根据安全分发策略匹配;
S5:安全服务系统对请求的应用流量进行安全业务处理,不同的应用流量可以进行不同的安全业务处理;
S6:安全控制器接收注册的安全服务系统状态监控信息,若发现安全服务系统不可用,则安全控制器控制流量分发组件停止向该系统分发业务流量,直到安全服务系统恢复正常再重新分发;
S7:安全控制器接收某安全服务系统发现的某异常流量上报信息,安全控制器根据异常信息分析需要进行进一步的深度安全检测分析,则动态生成新的转发策略下发给流量分发/存储组件,将该流量进行重放处理,重新分发给深度安全分析系统进行深度安全分析处理。
2.根据权利要求1所述的一种高性能网络安全智能分流控制技术,其特征在于:S2中,所述向安全控制器注册本安全服务系统的注册信息包括安全服务系统地址、安全服务能力、最大处理带宽能力和运行负荷信息,并通过安全控制器应用流量策略接口请求需要的应用流量。
3.根据权利要求2所述的一种高性能网络安全智能分流控制技术,其特征在于:所述安全服务能力包括URL安全扫描、病毒检测、攻击检测、网络审计。
4.根据权利要求2所述的一种高性能网络安全智能分流控制技术,其特征在于:所述应用流量策略包括流量5元组、应用名称或者应用类别信息,分发策略各字段支持通配。
5.根据权利要求1所述的一种高性能网络安全智能分流控制技术,其特征在于:S4中,所述流量分发组件同时能够对应用流量进行缓存存储。
6.根据权利要求1所述的一种高性能网络安全智能分流控制技术,其特征在于:S4中,根据安全分发策略匹配具体为将符合分发策略的应用流量分发到指定的安全服务系统进行安全业务处理,并可根据注册的安全服务系统负荷能力进行流控分发。
7.根据权利要求1所述的一种高性能网络安全智能分流控制技术,其特征在于:S5中,所述安全业务处理包括URL安全扫描、流量清洗、敏感内容分析、病毒检测处理。
8.一种高性能网络安全智能分流控制装置,其特征在于:包括流量分发组件、安全控制器和安全服务系统,所述安全控制器用于生成安全分发策略、控制流量分发组件、接收异常流量上报信息并深度检测分析,动态生成新的分发策略;所述流量分发组件用于接收安全分发策略,分发流量到安全服务系统。
9.根据权利要求8所述的一种高性能网络安全智能分流控制装置,其特征在于:所述安全服务系统包括安全服务系统1、安全服务系统2、安全服务系统3。
10.根据权利要求9所述的一种高性能网络安全智能分流控制装置,其特征在于:所述安全服务系统1用于请求POP3/IMAP应用流量1,对接收的POP3/IMAP应用流量1进行病毒检测,安全服务系统2对POP3/IMAP应用流量1或SMTP应用流量2进行敏感内容分析,安全服务系统3对HTTP应用流量3进行WEB安全和URL安全扫描,所述安全服务系统1、安全服务系统2、安全服务系统3不仅仅限于上述POP3/SMT/HTTP等应用协议,可以灵活扩展更多的应用协议进行识别和应用流量分发。
CN202111384594.7A 2021-11-22 2021-11-22 一种高性能网络安全智能分流控制方法及装置 Active CN113824799B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111384594.7A CN113824799B (zh) 2021-11-22 2021-11-22 一种高性能网络安全智能分流控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111384594.7A CN113824799B (zh) 2021-11-22 2021-11-22 一种高性能网络安全智能分流控制方法及装置

Publications (2)

Publication Number Publication Date
CN113824799A true CN113824799A (zh) 2021-12-21
CN113824799B CN113824799B (zh) 2022-09-27

Family

ID=78918027

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111384594.7A Active CN113824799B (zh) 2021-11-22 2021-11-22 一种高性能网络安全智能分流控制方法及装置

Country Status (1)

Country Link
CN (1) CN113824799B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070056028A1 (en) * 2005-08-19 2007-03-08 Cpacket Networks Inc. Apparatus and method for selective mirroring
US20080115190A1 (en) * 2006-11-13 2008-05-15 Jeffrey Aaron Methods, network services, and computer program products for dynamically assigning users to firewall policy groups
CN104917653A (zh) * 2015-06-26 2015-09-16 北京奇虎科技有限公司 基于云平台的虚拟化流量监控方法及装置
CN105049342A (zh) * 2015-05-18 2015-11-11 北京京东尚科信息技术有限公司 动态服务网关及其中执行的方法
CN108600355A (zh) * 2018-04-13 2018-09-28 济南浪潮高新科技投资发展有限公司 一种雾计算负载均衡调度系统及方法
CN110149396A (zh) * 2019-05-20 2019-08-20 华南理工大学 一种基于微服务架构的物联网平台构建方法
CN111800484A (zh) * 2020-06-22 2020-10-20 中科边缘智慧信息科技(苏州)有限公司 机动边缘信息服务系统的服务抗毁接替方法
CN112968978A (zh) * 2021-05-19 2021-06-15 南京烽火星空通信发展有限公司 一种基于sdn技术的互联网流量分流方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070056028A1 (en) * 2005-08-19 2007-03-08 Cpacket Networks Inc. Apparatus and method for selective mirroring
US20080115190A1 (en) * 2006-11-13 2008-05-15 Jeffrey Aaron Methods, network services, and computer program products for dynamically assigning users to firewall policy groups
CN105049342A (zh) * 2015-05-18 2015-11-11 北京京东尚科信息技术有限公司 动态服务网关及其中执行的方法
CN104917653A (zh) * 2015-06-26 2015-09-16 北京奇虎科技有限公司 基于云平台的虚拟化流量监控方法及装置
CN108600355A (zh) * 2018-04-13 2018-09-28 济南浪潮高新科技投资发展有限公司 一种雾计算负载均衡调度系统及方法
CN110149396A (zh) * 2019-05-20 2019-08-20 华南理工大学 一种基于微服务架构的物联网平台构建方法
CN111800484A (zh) * 2020-06-22 2020-10-20 中科边缘智慧信息科技(苏州)有限公司 机动边缘信息服务系统的服务抗毁接替方法
CN112968978A (zh) * 2021-05-19 2021-06-15 南京烽火星空通信发展有限公司 一种基于sdn技术的互联网流量分流方法

Also Published As

Publication number Publication date
CN113824799B (zh) 2022-09-27

Similar Documents

Publication Publication Date Title
EP1869868B1 (en) System, network device, method, and computer program product for active load balancing using clustered nodes as authoritative domain name servers
US7870611B2 (en) System method and apparatus for service attack detection on a network
EP2066101B1 (en) System and method for an improved high availability component implementation
US8782160B2 (en) Cluster control system, cluster control method, and program
CN107124453B (zh) 平台互联网关堆叠部署的负载均衡系统及视频呼叫方法
US20040008717A1 (en) Fault tolerant correlation engine method and system for telecommunications networks
US20030033428A1 (en) Apparatus and method for scalable server load balancing
CN103220354A (zh) 一种实现服务器集群负载均衡的方法
JP2003522492A (ja) メッセージングアプリケーションルータ
US9112901B2 (en) Method and system for providing connection resiliency
Abawajy An Approach to Support a Single Service Provider Address Image for Wide Area Networks Environment
RU2010146258A (ru) Способ, устройство и система для распределения сообщений
CN102333027A (zh) 基于vrrpe备份组的流量负载分担实现方法及其装置
WO2014075549A1 (en) Traffic Distribution for an Edge Device
CN106375355B (zh) 负载均衡处理方法及装置
CN109088823B (zh) 一种实现终端互联的方法及装置
CN116233256A (zh) 调度路径配置方法、装置、设备及存储介质
CN113824799B (zh) 一种高性能网络安全智能分流控制方法及装置
CN107204923B (zh) 一种协议分流方法、系统及路由器
US7260644B1 (en) Apparatus and method for re-directing a client session
CN114900526B (zh) 负载均衡方法及系统、计算机存储介质、电子设备
Junginger et al. A self-organizing publish/subscribe middleware for dynamic peer-to-peer networks
CN1665206A (zh) 实现网络长连接倒换的方法
CN115103008A (zh) 一种服务请求转发系统
WO2007045163A1 (fr) Procede pour la realisation de transmission de flux de bout en bout et equipement de noeuds

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant