CN110099004A - 一种网络安全路由方法及*** - Google Patents

一种网络安全路由方法及*** Download PDF

Info

Publication number
CN110099004A
CN110099004A CN201910251973.5A CN201910251973A CN110099004A CN 110099004 A CN110099004 A CN 110099004A CN 201910251973 A CN201910251973 A CN 201910251973A CN 110099004 A CN110099004 A CN 110099004A
Authority
CN
China
Prior art keywords
security
data flow
detection equipment
network
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910251973.5A
Other languages
English (en)
Inventor
张贤
陈军
李卫群
兰海翔
雷琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guiyang Yi Lian Network Co Ltd
Original Assignee
Guiyang Yi Lian Network Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guiyang Yi Lian Network Co Ltd filed Critical Guiyang Yi Lian Network Co Ltd
Priority to CN201910251973.5A priority Critical patent/CN110099004A/zh
Publication of CN110099004A publication Critical patent/CN110099004A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全路由方法,包括以下步骤:对进入网络拓扑结构的数据流的安全类型进行识别;实时采集网络拓扑结构的网络状态信息;基于数据流的安全类型以及网络状态信息,生成数据流表;根据数据流表将数据流发送至对应的安全检测设备中。同时,还提出一种网络安全路由***,包括:网络安全识别设备,索引服务器,SDN控制器,SDN交换机以及安全检测设备。本发明的有益效果是:不仅可以基于数据流的安全类型将数据流发送至对应的安全检测设备进行检测,而且可以选择空闲的安全检测设备对数据流进行检测,并通过最优的路径将数据流传输至安全检测设备中,提高数据流的检测效率。

Description

一种网络安全路由方法及***
技术领域
本发明涉及网络安全领域,具体的说,是一种网络安全路由方法及***。
背景技术
目前,为了提高网络的安全性,常在网络中设置提供网络安全功能的安全检测设备。但是这种安全检测设备一般设置于固定的路径上,使得只有经过该固定路径进行传输的数据流才能进入安全检测设备上进行安全检测,使得检测设备的利用率低,而且也降低网络安全检测的效率。
发明内容
本发明所要解决的技术问题是提供一种网络安全路由方法及***,以提高数据流的安全检测的效率。
本发明解决上述技术问题的技术方案如下:
一种网络安全路由方法,包括以下步骤:
对进入网络拓扑结构的数据流的安全类型进行识别;
实时采集所述网络拓扑结构的网络状态信息;
基于所述数据流的安全类型以及所述网络状态信息,生成数据流表;
根据所述数据流表将所述数据流发送至对应的安全检测设备中。
本发明的有益效果是:通过对进入网络拓扑结构的数据流的安全类型进行识别,可以确定数据流要进行的安全检测的类型,并实时采集所述网络拓扑结构的网络状态信息,然后基于所述数据流的安全类型以及所述网络状态信息,生成数据流表。不仅可以基于数据流的安全类型将数据流发送至对应的安全检测设备进行检测,而且通过所述网络状态信息生成数据流表,可以在网络拓扑结构中选择空闲的安全检测设备对数据流进行检测,并通过最优的路径将数据流传输至安全检测设备中,提高了检测设备的利用率和数据流的检测效率。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步地,所述基于所述数据流的安全类型以及所述网络状态信息,生成数据流表,具体包括:
根据所述数据流的安全类型,确定与所述数据流的安全类型对应的安全检测设备;
根据已确定的所述安全检测设备以及实时采集的所述网络状态信息,计算全局QoS路由,并基于计算结果生成所述数据流表。
采用上述进一步方案的有益效果是:通过实时采集的所述网络状态信息计算全局QoS路由,生成所述数据流表。可以通过最优的路径将数据流传输至对应的安全检测设备中,提高数据流的检测效率。
进一步地,所述方法还包括:
采集所述安全检测设备中待检测的数据流的数量;
若所述待检测的数据流的数量超过预设阈值,则停止向所述安全检测设备发送新的数据流。
采用上述进一步方案的有益效果是:通过采集所述安全检测设备中待检测的数据流的数量,并在所述待检测的数据流的数量超过预设阈值时,所述安全检测设备停止接收新的数据流。可以防止节点处理的数据量激增导致安全检测设备发生故障。
进一步地,还包括:
记录采集到的所述安全检测设备中待检测的数据流的数量以及超过所述预设阈值的安全检测设备的节点信息,生成日志。
采用上述进一步方案的有益效果是:通过记录采集到的所述安全检测设备中待检测的数据流的数量以及超过所述预设阈值的安全检测设备的节点信息,生成日志。工作人员不仅可以对安全检测设备进行监控,而且可以根据日志及时调整安全检测设备处理的数据流的阈值。
同时,本发明还提出一种网络安全路由***,包括:
网络安全识别设备,用于对进入网络拓扑结构的数据流的安全类型进行识别;
索引服务器,用于采集所述网络拓扑结构的网络状态信息;
SDN控制器,用于根据所述数据流的安全类型以及所述网络状态信息,生成数据流表;
SDN交换机,用于根据所述数据流表将所述数据流发送至对应的安全检测设备中。
进一步地,所述SDN控制器包括确定单元、路由计算单元以及流表生成单元,其中:
所述确定单元用于根据所述数据流的安全类型,确定与所述数据流的安全类型对应的安全检测设备;
所述路由计算单元用于根据已确定的所述安全检测设备以及实时采集的所述网络状态信息,计算全局QoS路由;
所述流表生成单元用于根据所述路由计算单元的计算结果生成所述数据流表。
进一步地,所述***还包括监控服务器,所述监控服务器包括数据采集单元以及控制单元,
所述数据采集单元用于采集所述安全检测设备中待检测的数据流的数量;
所述控制单元用于在所述待检测的数据流的数量超过预设阈值时,控制SDN交换机停止向所述安全检测设备发送新的数据流。
进一步地,所述***还包括日志生成模块,所述日志生成模块用于记录采集到的所述安全检测设备中待检测的数据流的数量以及超过所述预设阈值的安全检测设备的节点信息,并生成日志。
本发明的有益效果是:网络安全识别设备通过对进入网络拓扑结构的数据流的安全类型进行识别,可以确定数据流要进行的安全检测的类型,并通过索引服务器实时采集所述网络拓扑结构的网络状态信息,然后SDN控制器基于所述数据流的安全类型以及所述网络状态信息,生成数据流表,SDN交换机根据所述数据流表将所述数据流发送至对应的安全检测设备中。不仅可以按类型将数据流发送至对应的安全检测设备进行检测,而且通过所述网络状态信息生成数据流表,可以通过最优的路径将数据流传输至安全检测设备中,提高数据流的检测效率。
附图说明
图1为本发明一种网络安全路由方法的流程示意图;
图2为本发明一种网络安全路由***的结构示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,一种网络安全路由方法,包括以下步骤:
对进入网络拓扑结构的数据流的安全类型进行识别;
实时采集所述网络拓扑结构的网络状态信息;
基于所述数据流的安全类型以及所述网络状态信息,生成数据流表;
根据所述数据流表将所述数据流发送至对应的安全检测设备中。
需要说明的是,网络安全识别设备对进入网络拓扑结构的数据流的安全类型进行识别,包括数据流从节点进入网络拓扑结构时,若所述数据流需要进行检测,则向网络安全识别设备发送检测请求,所述安全识别设备基于所述检测请求对数据流进行识别,数据流安全类型识别由现有的DPI检测,DPI(Deep Packet Inspection)即深度包检测技术,是一种基于应用层的流量检测和控制技术,以及大数据分析组成,对数据流的类型和可能面临的安全类型进行预判。然后基于数据流的安全类型确定检测该类型的数据流的安全检测设备。通过索引服务器采集所述网络拓扑结构的网络状态信息,SDN控制器可以根据网络状态信息,选择最优的路径,从而使得SDN交换机将待检测的数据流传输至确定下来的安全检测设备。
具体地,所述基于所述数据流的安全类型以及所述网络状态信息,生成数据流表,具体包括:
根据所述数据流的安全类型,确定与所述数据流安全类型对应的安全检测设备;
根据已确定的所述安全检测设备以及实时采集的所述网络状态信息,计算全局QoS路由,并基于计算结果生成所述数据流表。
需要说明的是,通过SDN控制器计算全局QoS路由,可以从网络结构中动态地选择可行路径,以选取一条最优的路径将数据流传输至安全检测设备中。
可选地,所述方法还包括:
采集所述安全检测设备中待检测的数据流的数量;
若所述待检测的数据流的数量超过预设阈值,则停止向所述安全检测设备发送新的数据流。
需要说明的是,通过监控服务器定时采集所述安全检测设备中待检测的数据流的数量,是要防止所述安全检测设备由于数据流激增导致节点故障。因此,在所述待检测的数据流的数量超过预设阈值,停止向超过阈值的安全检测设备发送新的数据流。当所述安全检测设备将积压的待检测数据流处理至一定数量时,才继续向安全设备发送新的数据流。
另外,网络结构中存在多个处理同一类型的数据流的安全检测设备,因此当一个安全检测设备停止接收新的数据流,则将断链的安全检测设备从候选的检测设备中移除,SDN控制器基于所述数据流的安全类型以及所述网络状态信息选择一个新的安全检测设备并选择路由路径。
可选地,还包括:
记录采集到的所述安全检测设备中待检测的数据流的数量以及超过所述预设阈值的安全检测设备的节点信息,生成日志。
需要说明的是,通过日志生成模块生成日志,工作人员可以基于所述日志对已经设定的阀值进行调整,使得安全检测设备的效率达到最佳,不会出现过载也不会出现负载不足的情况,进一步提高安全检测设备的利用率。
同时,如图2所示,本发明还提出一种网络安全路由***,包括:
网络安全识别设备,用于对进入网络拓扑结构的数据流的安全类型进行识别;
索引服务器,用于采集所述网络拓扑结构的网络状态信息;
SDN控制器,用于根据所述数据流的安全类型以及所述网络状态信息,生成数据流表;
SDN交换机,用于根据所述数据流表将所述数据流发送至对应的安全检测设备中。
具体地,所述SDN控制器包括确定单元、路由计算单元以及流表生成单元,其中:
所述确定单元用于根据所述数据流的安全类型,确定与所述数据流的安全类型对应的安全检测设备;
所述路由计算单元用于根据已确定的所述安全检测设备以及实时采集的所述网络状态信息,计算全局QoS路由;
所述流表生成单元用于根据所述路由计算单元的计算结果生成所述数据流表。
可选地,所述***还包括监控服务器,所述监控服务器包括数据采集单元以及控制单元,
所述数据采集单元用于采集所述安全检测设备中待检测的数据流的数量;
所述控制单元用于在所述待检测的数据流的数量超过预设阈值时,控制SDN交换机停止向所述安全检测设备发送新的数据流。
可选地,所述***还包括日志生成模块,所述日志生成模块用于记录采集到的所述安全检测设备中待检测的数据流的数量以及超过所述预设阈值的安全检测设备的节点信息,并生成日志。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种网络安全路由方法,其特征在于,包括以下步骤:
对进入网络拓扑结构的数据流的安全类型进行识别;
实时采集所述网络拓扑结构的网络状态信息;
基于所述数据流的安全类型以及所述网络状态信息,生成数据流表;
根据所述数据流表将所述数据流发送至对应的安全检测设备中。
2.根据权利要求1所述的网络安全路由方法,其特征在于,所述基于所述数据流的安全类型以及所述网络状态信息,生成数据流表,具体包括:
根据所述数据流的安全类型,确定与所述数据流的安全类型对应的安全检测设备;
根据已确定的所述安全检测设备以及实时采集的所述网络状态信息,计算全局QoS路由,并基于计算结果生成所述数据流表。
3.根据权利要求2所述的网络安全路由方法,其特征在于,所述方法还包括:
采集所述安全检测设备中待检测的数据流的数量;
若所述待检测的数据流的数量超过预设阈值,则停止向所述安全检测设备发送新的数据流。
4.根据权利要求3所述的网络安全路由方法,其特征在于,还包括:
记录采集到的所述安全检测设备中待检测的数据流的数量以及超过所述预设阈值的安全检测设备的节点信息,生成日志。
5.一种网络安全路由***,其特征在于,包括:
网络安全识别设备,用于对进入网络拓扑结构的数据流的安全类型进行识别;
索引服务器,用于采集所述网络拓扑结构的网络状态信息;
SDN控制器,用于根据所述数据流的安全类型以及所述网络状态信息,生成数据流表;
SDN交换机,用于根据所述数据流表将所述数据流发送至对应的安全检测设备中。
6.根据权利要求5所述的网络安全路由***,其特征在于,所述SDN控制器包括确定单元、路由计算单元以及流表生成单元,其中:
所述确定单元用于根据所述数据流的安全类型,确定与所述数据流的安全类型对应的安全检测设备;
所述路由计算单元用于根据已确定的所述安全检测设备以及实时采集的所述网络状态信息,计算全局QoS路由;
所述流表生成单元用于根据所述路由计算单元的计算结果生成所述数据流表。
7.根据权利要求6所述的网络安全路由***,其特征在于,所述***还包括监控服务器,所述监控服务器包括数据采集单元以及控制单元,
所述数据采集单元用于采集所述安全检测设备中待检测的数据流的数量;
所述控制单元用于在所述待检测的数据流的数量超过预设阈值时,控制SDN交换机停止向所述安全检测设备发送新的数据流。
8.根据权利要求7所述的网络安全路由***,其特征在于,所述***还包括日志生成模块,所述日志生成模块用于记录采集到的所述安全检测设备中待检测的数据流的数量以及超过所述预设阈值的安全检测设备的节点信息,并生成日志。
CN201910251973.5A 2019-03-29 2019-03-29 一种网络安全路由方法及*** Pending CN110099004A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910251973.5A CN110099004A (zh) 2019-03-29 2019-03-29 一种网络安全路由方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910251973.5A CN110099004A (zh) 2019-03-29 2019-03-29 一种网络安全路由方法及***

Publications (1)

Publication Number Publication Date
CN110099004A true CN110099004A (zh) 2019-08-06

Family

ID=67444133

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910251973.5A Pending CN110099004A (zh) 2019-03-29 2019-03-29 一种网络安全路由方法及***

Country Status (1)

Country Link
CN (1) CN110099004A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114584395A (zh) * 2022-04-18 2022-06-03 南京硕茂电子科技有限公司 一种基于网络安全的大数据安全防护***及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102347870A (zh) * 2010-07-29 2012-02-08 中国电信股份有限公司 一种流量安全检测方法、设备和***
CN103532940A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 网络安全检测方法及装置
CN103609070A (zh) * 2012-10-29 2014-02-26 华为技术有限公司 网络流量检测方法、***、设备及控制器
CN105099821A (zh) * 2015-07-30 2015-11-25 北京奇虎科技有限公司 基于云的虚拟环境下流量监控的方法和装置
CN108462633A (zh) * 2016-12-09 2018-08-28 中兴通讯股份有限公司 基于sdn的网络安全路由调度方法及***

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102347870A (zh) * 2010-07-29 2012-02-08 中国电信股份有限公司 一种流量安全检测方法、设备和***
CN103609070A (zh) * 2012-10-29 2014-02-26 华为技术有限公司 网络流量检测方法、***、设备及控制器
CN103532940A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 网络安全检测方法及装置
CN105099821A (zh) * 2015-07-30 2015-11-25 北京奇虎科技有限公司 基于云的虚拟环境下流量监控的方法和装置
CN108462633A (zh) * 2016-12-09 2018-08-28 中兴通讯股份有限公司 基于sdn的网络安全路由调度方法及***

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114584395A (zh) * 2022-04-18 2022-06-03 南京硕茂电子科技有限公司 一种基于网络安全的大数据安全防护***及方法
CN114584395B (zh) * 2022-04-18 2024-03-01 东方魂数字科技(北京)有限公司 一种基于网络安全的大数据安全防护***及方法

Similar Documents

Publication Publication Date Title
CN101188531B (zh) 一种监测网络流量异常的方法及***
KR100561628B1 (ko) 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
KR20060028601A (ko) 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
US10033592B2 (en) Method and system for monitoring network link and storage medium therefor
CN108282497A (zh) 针对SDN控制平面的DDoS攻击检测方法
CN106506242B (zh) 一种网络异常行为和流量监测的精确定位方法与***
CN107872457B (zh) 一种基于网络流量预测进行网络操作的方法及***
KR20180120558A (ko) 딥러닝 기반 통신망 장비의 장애 예측 시스템 및 방법
CN108306747B (zh) 一种云安全检测方法、装置和电子设备
CN107294767B (zh) 一种直播网络传输故障监测方法及***
CN101242320A (zh) 监测网络路径的方法及装置
CN109728981A (zh) 一种云平台故障监测方法及装置
CN106973012A (zh) 一种计算机网络环路检测方法
CN106533791A (zh) 一种基于大数据平台的端到端业务质量优化装置及方法
CN112260899B (zh) 基于mmu的网络监测方法和装置
CN111130821B (zh) 一种掉电告警的方法、处理方法及装置
CN107426051B (zh) 分布式集群***中节点的工作状态的监测方法、装置及***
JP2021022759A (ja) ネットワーク分析プログラム、ネットワーク分析装置及びネットワーク分析方法
CN106453504A (zh) 一种基于nginx服务器集群的监控***及方法
CN110099004A (zh) 一种网络安全路由方法及***
CN103856367A (zh) Ip网络路由安全快速检测方法及路由分析服务器
WO2018035765A1 (zh) 网络异常的检测方法及装置
CN111865667A (zh) 网络连通性故障根因定位方法及装置
WO2015154512A1 (zh) 一种组播链路的检测方法、网络设备及服务器
CN109132737B (zh) 电梯外召的检测方法及电梯外召的检测装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190806

RJ01 Rejection of invention patent application after publication