CN112769785A - 基于机架交换机设备的网络一体化深度检测装置及方法 - Google Patents

Abstract

本发明公开了一种基于机架交换机设备的网络一体化深度检测装置及方法，该装置包括主控板、交换板、数据业务板、安全防护板、及互联所述主控板、交换板、数据业务板、安全防护板之间数据通信的背板。本发明优化了传统采用叠加式部署的方式，将数据安全检测设备部署在网络的关键位置对网络业务进行检测处理的低效处理概念，采用全新的网络通信设备内嵌安全防护一体化设计思路，兼顾安全检测和数据转发需求，将安全防护模块和数据交换设备一体化设计，设备内生安全防护***，配合原有机架设备的高速背板通信通道，并搭载高性能多核引擎并行深度检测技术，实现数据包的快速深度安全检测和转发处理。

Description

基于机架交换机设备的网络一体化深度检测装置及方法

技术领域

本发明涉及网络防护技术领域，具体涉及一种基于机架交换机设备的网络一体化深度检测装置及方法。

背景技术

随着当前通信网络规模不断扩大，针对网络和计算机***的入侵行为也在逐渐增多，安全监测预警作为网络防护的重要的一环，由于能及时发现威胁并提前发出警报，能有效降低威胁危害程度甚至能将威胁扼杀在萌芽阶段，因此网络空间安全预警颇受关注。对于传统交换机设备，包括机架式交换机，对网络流量的安全防护大多采用传统的SNMP、CLI、SYSLOG、第三方抓包工具分析等网络运维手段，对于功能稍微丰富的交换机设备，会采用基于L2-L4的固定字段进行数据包的过滤筛查技术，对数据流量进行检查。随着时代进步，通信方式的多样性、复杂性和可变性的出现，传统的安全过滤防护技术在某些复杂和高端的网络中已经力不从心，这就对网络进一步的安全性提出了更高的挑战，于是，专门的安全检测过滤设备出现了。它在通用网络体系结构下，通过采用叠加式部署的方式，将安全检测过滤设备部署在网络的关键位置，专门对数据进行更加精细化、深入化分析和过滤，保证了网络在复杂环境下的安全性。

当前的技术方案，传统的SNMP、CLI、SYSLOG、第三方抓包工具分析等网络运维手段不能实时跟踪网络状态信息，缺乏快速收集网络状态并及时针对相应场景进行网络流量优化，且这种方式属于被动网络防护方式，不能及时对网络入侵和攻击行为作出快速响应。

再者，基于L2-L4的固定字段进行数据包的过滤筛查的ACL访问控制策略技术，相对防护方式比较单一，防护颗粒度较粗，根本不能抵御新的网络威胁，无法满足某些复杂网络环境下的对于数据的精细化、智能化检测的要求。

基于以上安全考虑，虽然目前有新的防护体系将专门的安全检测过滤***叠加到通用网络架构中对数据进行独立深入过滤和检测，但是这种在传统网络架构下采用将交换网络设备和安全检测过滤设备分离叠加式部署的方式，安全防护策略配置和网络流量交换调度相互独立，无法有效的进行统一联动，且所有网络流量都需要统一交给安全检测过滤设备进行汇总分析，性能和实效性都无法保障，从而阻碍了动态防御效能的提升。

发明内容

针对现有技术中的上述不足，本发明提供了一种基于机架交换机设备的网络一体化深度检测装置及方法。

为了达到上述发明目的，本发明采用的技术方案为：

第一方面，本发明提出了一种基于机架交换机设备的网络一体化深度检测装置，包括主控板、交换板、数据业务板、安全防护板、及互联所述主控板、交换板、数据业务板、安全防护板之间数据通信的背板；

所述主控板用于运行所有控制面协议，对其它板卡下发控制指令；

所述交换板用于将业务数据和安全监测数据在数据业务板和安全防护板之间进行调度和转发；

所述数据业务板用于业务数据交换，同时对业务数据进行初级安全筛查、检测、过滤和转发；

所述安全防护板用于对业务数据进行深度检测和安全防护。

进一步地，所述交换板具体采用交换单元进行业务数据转发，所述交换单元内置交换矩阵模块，在需要进行二级防御检测时将业务数据报文转发至安全防护板，在不需要进行二级防御检测时通过解析业务数据报文的报文头查找对应路由表项，将业务数据分发到对应的数据业务板进行跨板转发。

进一步地，所述数据业务板具体采用业务转发单元获取线卡接收的外部用户业务数据，对业务数据进行一级防御检测，将检测后的安全数据转发至交换板的交换单元，同时接收交换单元转发的业务数据报文并通过查找对应转发表项将业务数据报文从对应的物理端口转发。

进一步地，所述业务转发单元用于将需要转发的业务数据报文硬件封装成交换单元识别的报文格式进行数据交换，并且对业务数据进行粗粒度的流量清洗和转发。

进一步地，所述第一交换芯片具体对L2-L4层字段进行流量清洗，包括主动攻击防御、安全访问控制、深度检测预判；

所述主动攻击防御具体对疑似攻击报文的数据流在设定统计周期内进行个数统计，在统计周期结束时与设定阈值进行比较；若超过设定阈值则判定为攻击报文，在间隔周期内对该类型的业务数据报文进行丢弃；否则判定为安全报文，将业务数据报文转发至交换单元进行对应的查表转发；

所述安全访问控制具体为根据可配置的KEY值过滤报文流进行ACL控制访问；

所述深度检测预判具体为根据配置的安全策略过滤列表对数据流量进行前期预判筛查，将数据直接送到安全防护板进行防护检测。

进一步地，所述安全防护板具体采用安全防护单元进行二级防御检测，所述安全防护单元包括多组处理芯片和一组第二交换芯片；

所述处理芯片用于并行处理各类业务数据报文的深度防护检测；

所述第二交换芯片用于将需要在处理芯片和交换单元之间转发的业务数据报文硬件封装和解封成处理芯片和交换单元识别的报文格式。

进一步地，所述安全防护单元内置深度包检测模块，采用行为分析、合法流量识别、特征识别过滤、异常流量基线学习、动态指纹识别、反向探测方法对非法入侵、畸形报文攻击、扫描窥探攻击、泛洪或流量型攻击的L2-L7层所有字段的攻击报文进行深度安全检测。

第二方面，本发明还提出了一种应用上述深度检测装置的方法，包括以下步骤：

S1、利用数据业务板的业务转发单元获取对应线卡接收的外部用户业务数据；

S2、利用业务转发单元解析数据报文，通过查询本地访问控制列表进行一级防御检测，并将一级防御检测的安全数据转发至交换板的交换单元；

S3、利用交换单元根据用户配置对业务数据报文进行转发；若需要进行二级防御检测，则将业务数据报文转发至安全防护板，进行步骤S4；若不需要进行二级防御检测，则通过解析业务数据报文的报文头查找对应路由表项，将业务数据报文分发到对应的业务转发单元，进行步骤S6；

S4、利用安全防护板的安全防护单元接收交换单元转发的业务数据报文，并对业务数据报文进行二级防御检测，并将二级防御检测的安全数据转发至交换板的交换单元；

S5、利用交换单元接收安全防护单元转发的业务数据报文，并将业务数据报文转发至业务转发单元；

S6、利用业务转发单元接收交换单元转发的业务数据报文，并查找对应转发表项，将业务数据报文从对应的物理端口转发。

本发明具有以下有益效果：

(1)本发明不同于传统网络运维手段被动网络防护方式，采用优化的主动检测方式，能及时对网络入侵和攻击行为作出快速响应；

(2)本发明在传统机架交换设备架构下集成了安全防护模块，内生安全防护***，采用一次解析，多业务并行处理的架构，实现核心网数据包的快速深度精细化安全检查和转发处理，实现了对业务数据报文从L2-L7的深度检测；

(3)本发明优化了传统网络体系结构下，通过采用叠加式部署的方式，将安全检测设备部署在网络的关键位置对网络业务进行检测处理的低效处理概念，采用全新的网络通信设备内嵌安全防护一体化设计思路，兼顾安全检测和数据转发需求，将安全防护模块和数据交换设备一体化设计，内生安全防护***，配合原有机架设备的高速背板通信通道，并搭载高性能多核引擎并行深度检测技术，实现数据包的快速深度安全检测和转发处理。

附图说明

图1为本发明基于机架交换机设备的网络一体化深度检测装置结构示意图；

图2为本发明基于机架交换机设备的网络一体化深度检测装置数据交互示意图；

图3为本发明实施例中报文统计示意图；

图4为本发明基于机架交换机设备的网络一体化深度检测方法流程示意图；

图5为本发明实施例中传统防御检测过程曲线图；

图6为本发明实施例中防御检测过程曲线图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

实施例1

如图1所示，本发明实施例提供了一种基于机架交换机设备的网络一体化深度检测装置，包括主控板、交换板、数据业务板、安全防护板、及互联所述主控板、交换板、数据业务板、安全防护板之间数据通信的背板。

其中，主控板是机架式设备的中枢神经，负责整机***的管理和指令下发；其用于运行所有控制面协议，对其它板卡下发控制指令。

交换板负责整机***各业务数据、安全监测数据的调度和转发，是互联数据业务板、安全防护板之间数据通信的必要保障中心；其用于将业务数据和安全监测数据在数据业务板和安全防护板之间进行调度和转发。

数据业务板负责流经整机***的用户数据初级筛选和收发；其用于业务数据交换，同时对业务数据进行初级安全筛查、检测、过滤和转发。

安全防护板应用深度包检测技术，负责对整机***业务数据的深层次分析、精细化访问控制、智能化防御；用于对业务数据进行深度检测和安全防护。

背板用来连接各主控板、交换板、业务板和安全板之间的通信通道。

本发明采用平面分布式架构体系，通过将机架式交换设备和安全防护设备进行一体化整合，采用一次解析，多业务并行处理的架构，内生的安全防护***，实现核心网数据包的快速深度精细化安全检查和转发处理。具体而言，在当前机架式交换机设备架构下，对业务线卡进行功能升级，内嵌安全防护单元，专门针对精细化网络进行深层次安全防护，从而达到传统设备和安全防护设备统一联动并进行深度精细化保护。

传统网络体系结构下，通过部署专门的数据安全检测过滤设备，通过物理位置叠加式将安全检测过滤设备部署在网络的关键位置，专门对数据进行分析和过滤，这种方式虽然也能保证网络在复杂环境下的安全性，但是部署起来相对麻烦，且对整体网络环境搭建有一定要求。部署成本以及后期维护成本也相对较高。安全防护策略配置和网络流量交换调度相互独立，无法有效的进行统一联动。而且往往是整个网络中通信设备共用一台安全检测过滤设备，需要额外将数据流量引入远端安全检测过滤设备进行数据安全检查。一方面网络拓扑搭建繁琐，另一方面，多台设备共享一个安全检测过滤设备，性能和实效性都无法保障，数据处理能力大打折扣，影响网络转发效率。

本发明依靠网络设备内嵌安全防护一体化的设计理念，兼顾考虑安全防护和数据交换各自体系结构的要求，将两者进行一体化融合设计，内生安全防护***，从而针对网络入侵和攻击的多样化趋势，将多种安全监测模块与网络设备结合起来充分发挥各个设备的优势以实现攻击的实时高效检测。同时，为了提升内嵌的安全防护模块处理性能，安全防护模块采用了高性能多核引擎并行深度检测等技术，架构上基于多个安全引擎并行堆叠而成，每个安全引擎采用DPDK(数据平面开发套件)并行处理技术，充分发挥多核处理器的并行处理能力，实现数据包的快速深度安全检查和转发处理。

本发明优化了传统网络体系结构下，通过采用叠加式部署的方式，将安全检测过滤设备部署在网络的关键位置对网络业务进行检测处理的低效处理概念，采用全新的网络通信设备内嵌安全防护一体化设计思路，兼顾安全检测和数据转发需求，将安全防护模块和数据交换设备一体化设计，配合原有机架设备的高速背板通信通道，并搭载高性能多核引擎并行深度检测技术，实现数据包的快速深度安全检测和转发处理。

在本实施例中，如图2所示，主控板具体采用主控单元对整体***进行控制和指令下发，主控单元为整机***控制面，所有控制面协议都运行在主控单元，实现控制面集中管理。

在本实施例中，如图2所示，交换板具体采用交换单元从各线卡接收跨板业务数据报文进行业务数据转发，交换单元内置交换矩阵模块，在需要进行二级防御检测时将业务数据报文转发至安全防护板，在不需要进行二级防御检测时通过解析业务数据报文的报文头查找对应路由表项，将业务数据报文分发到对应的数据业务板进行跨板转发。

在本实施例中，如图2所示，数据业务板具体采用业务转发单元获取线卡接收的外部用户业务数据，对业务数据进行一级防御检测，将检测后的安全数据转发至交换板的交换单元，同时接收交换单元转发的业务数据报文并通过查找本地转发表项将业务数据报文从对应的物理端口转发。

业务转发单元包括第一交换芯片，用于将需要转发的业务数据报文硬件封装成交换单元识别的报文格式进行数据交换，并且对业务数据进行粗粒度的流量清洗和转发。

业务转发单元具体对L2-L4层字段进行流量清洗，包括主动攻击防御、安全访问控制、深度检测预判；其中

主动攻击防御具体对疑似攻击报文的数据流在设定统计周期内进行个数统计，在统计周期结束时与设定阈值进行比较；若超过设定阈值则判定为攻击报文，在间隔周期内对该类型的业务数据报文进行丢弃；否则判定为安全报文，将业务数据报文转发至交换单元进行对应的查表转发。

本发明不同于传统网络运维手段被动网络防护方式，采用优化的主动检测方式，能及时对网络入侵和攻击行为作出快速响应。

如图3所示，本发明将时间轴分成间隔周期和统计周期。为每种疑似攻击报文设置一个计数器和阈值。在统计周期内进行对某种疑似报文的个数统计，在统计周期结束时与配置的门限值进行比较，如果超过门限值，则认为是攻击报文，在间隔周期内对该类型的报文进行丢弃。否则不丢弃。下一个统计周期和间隔周期重复以上动作。

安全访问控制具体为根据可配置的KEY值过滤报文流进行ACL控制访问，并执行相应ACTION，主要应用于策略路由，其应用如下：

1)丢弃对网络安全存在潜在威胁的报文；

2)路由选择L3报文；

3)转发控制报文到CPU，例如OAM类型报文；

4)分配新的优先级、VLAN ID、VRF，以选择报文流；

5)计数或测量一个给定的穿过多个端口的报文流；

6)重定向一个报文流到新的出口或者端口组；

7)基于出口更改或镜像重定向一个报文流。

深度检测预判具体为在业务转发模块内集成安全策略过滤列表，列表包含过滤可信名单和可疑名单。用户根据实际环境需求，配置对应的可疑名单。设备翱业务流量时，进行流量筛查，如果发现可疑业务数据，则将数据送到安全防护单元，进行深度检测和分析。

在本实施例中，如图2所示，安全防护板具体采用安全防护单元进行二级防御检测，安全防护单元包括多组处理芯片和一组第二交换芯片；其中

处理芯片用于并行处理各类业务数据报文的深度防护检测；每组CPU又连接多路高速通信通道，防止高峰期时各业务数据流量并发拥塞，提高业务转发性能。

第二交换芯片用于将需要在处理芯片和交换单元之间转发的业务数据报文硬件封装和解封成处理芯片和交换单元识别的报文格式，完成报文的高效中转。

安全防护单元内置深度包检测模块，采用行为分析、合法流量识别、特征识别过滤、异常流量基线学习、动态指纹识别、反向探测等技术，对非法入侵(如WEB攻击入侵、病毒入侵、伪装入侵等)、畸形报文攻击(如Winnuke、TearDrop等)、扫描窥探攻击(如主机扫描、端口扫描、路由选项探测等)、泛洪或流量型攻击(如各种Flood攻击、CC攻击等)进行检测，涵盖对L2-L7层所有范围的入侵和攻击防护，实现对网络流量的精细化深度安全检测。

本发明在传统机架交换设备架构下集成了安全防护模块，采用一次解析，多业务并行处理的架构，内生安全防护***，实现核心网数据包的快速深度精细化安全检查和转发处理，实现了对业务数据报文从L2-L7的深度检测。

传统业务流量过滤检测技术采用的访问控制策略技术虽然能满足大部分通用需求，但是它主要基于传统IP数据包检测技术进行报文识别，检测的报文字段相对固定，检测的深度有限，很容易被攻击者利用该传统技术的局限性，伪装成合法报文进行通信欺骗，从而窃取用户的重要信息。

而本发明技术采用基于深度包检测技术的智能分析方法来完成应用识别功能，主要以深度包检测技术为核心，结合基于报文内容(应用指纹)识别及基于行为特征的技术，实现网络中应用的自动识别和智能分类。采用基于协议识别、基于内容识别、基于内容+行为识别等多种识别技术，实现网络中应用的自动识别和智能分类。在检测过程中，采用了一次解析，多业务并行处理的架构。核心的应用解析和特征匹配处理由硬件加速模块高速处理，各个安全业务并行的跟踪处理结果并更新状态，当威胁特征的条件都符合时，立即根据安全策略触发响应动作，而当条件不符合时，会自动调整跟踪状态，确保检测安全的流量高速转发。应用本发明的高性能深度包检测防护技术，通过业务模块的第一级安全防护以及安全防护模块的第二级防护，特征识别覆盖L2-L7，可以大大加强对通信网络中安全防护的强度和粒度，极有力的通信网络环境的稳定可靠。

实施例2

基于实施例1中描述的网络一体化深度检测装置，本发明实施例还提出了一种应用该装置的网络一体化深度检测方法，如图4所示，包括以下步骤：

S1、利用数据业务板的业务转发单元获取对应线卡接收的外部用户业务数据；

S2、利用业务转发单元解析数据报文，通过查询本地访问控制列表进行一级防御检测，并将一级防御检测的安全数据转发至交换板的交换单元；

S3、利用交换单元根据用户配置对业务数据报文进行转发；若需要进行二级防御检测，则将业务数据报文转发至安全防护板，进行步骤S4；若不需要进行二级防御检测，则通过解析业务数据报文的报文头查找对应路由表项，将业务数据报文分发到对应的业务转发单元，进行步骤S6；

S4、利用安全防护板的安全防护单元接收交换单元转发的业务数据报文，并对业务数据报文进行二级防御检测，并将二级防御检测的安全数据转发至交换板的交换单元；

S5、利用交换单元接收安全防护单元转发的业务数据报文，并将业务数据报文转发至业务转发单元；

S6、利用业务转发单元接收交换单元转发的业务数据报文，并查找对应转发表项，将业务数据报文从对应的物理端口转发。

下面将本发明的网络一体化深度检测装置及方法的技术效果与现有技术进行对比分析。

传统的SNMP、CLI、SYSLOG、第三方抓包工具分析等网络运维手段往往在已经产生了攻击或者入侵行为，甚至攻击行为已经达到了一些目的后，才开始分析和部署防护行动，且分析行为还会占用大量是时间，不仅不能实时跟踪网络状态信息，缺乏快速收集网络状态并及时针对相应场景进行网络流量优化，且在人力和资源投入方面也会投入大量精力。在安全性、失效性、响应及时性都无法保障。而采用本发明所涉及一级、二级防护技术，都属于主动防御。采用流状态触发的实时安全检测技术，对业务报文进行状态和特征主动匹配识别出非法报文，大大提高了网络安全性和防护效率，能及时高效检测到网络攻击和入侵行为并立即做出防护行为，第一时间将攻击和入侵病毒阻挡在网络之外。

从图5曲线图可以看出，传统防御检测手段，从t0时刻开启检测开始，一直到t1时刻才能识别出攻击行为，并且针对攻击行为做出一定的防护手段后，在t2时刻才开始生效稳定，由于没有及时对攻击行为进行防御，这期间已经攻击入侵行为可能已经达到了一定目的。并且往往由于防护措施比较单一，传统防御只是降低了入侵的概率，将入侵体量从P1降低到了P2，无法真正完全隔绝所有攻击行为。

使用本发明技术后，如图6曲线图，一旦开启检测，由于不需要依靠查看日志、第三方分析工具被动检测方式等，而是依靠***自身安全防护模块进行主动智能化检测，能立即检测到攻击行为并从多角度、多层次作出防御行为，基本上在t0时刻开启了防御检测后，检测和防御行为就立即生效，且将大部分甚至全部入侵和攻击行为隔绝，全面保护了网络的正常安全通信。

传统业务流量过滤检测技术采用的访问控制策略技术虽然能满足大部分通用需求，但是它主要基于传统IP数据包检测技术进行报文识别，检测的报文字段相对固定，检测的深度有限，很容易被攻击者利用该传统技术的局限性，伪装成合法报文进行通信欺骗，从而窃取用户的重要信息。

而本发明采用基于深度包检测技术的智能分析方法来完成应用识别功能，主要以深度包检测技术为核心，结合基于报文内容(应用指纹)识别及基于行为特征的技术，实现网络中应用的自动识别和智能分类。采用基于协议识别、基于内容识别、基于内容+行为识别等多种识别技术，实现网络中应用的自动识别和智能分类，如表1。

表1传统检测技术和深度检测技术对比

在检测过程中，采用了一次解析，多业务并行处理的架构。核心的应用解析和特征匹配处理由硬件加速模块高速处理，各个安全业务并行的跟踪处理结果并更新状态，当威胁特征的条件都符合时，立即根据安全策略触发响应动作，而当条件不符合时，会自动调整跟踪状态，确保检测安全的流量高速转发。应用本发明的高性能深度包检测防护技术，通过业务模块的第一级安全防护以及安全防护模块的第二级防护，特征识别覆盖L2-L7，可以大大加强对通信网络中安全防护的强度和粒度，极有力的通信网络环境的稳定可靠。

传统网络体系结构下，通过部署专门的安全检测过滤设备，通过物理叠加式将安全检测过滤设备部署在网络的关键位置，专门对数据进行分析和过滤，这种方式虽然也能保证网络在复杂环境下的安全性，但是部署起来相对麻烦，且对整体网络环境搭建有一定要求。部署成本以及后期维护成本也相对较高。安全防护策略配置和网络流量交换调度相互独立，无法有效的进行统一联动。而且往往是整个网络中通信设备共用一台安全检测过滤设备，需要额外将数据流量引入远端安全检测过滤设备进行数据安全检查。一方面网络拓扑搭建繁琐，另一方面，多台设备共享一个安全检测过滤设备，性能和实效性都无法保障，数据处理能力大打折扣，影响网络转发效率。

本发明依靠网络设备内嵌安全防护一体化的设计理念，兼顾考虑安全防护和数据交换各自体系结构的要求，将两者进行一体化融合设计，内生安全防护***，从而针对网络入侵和攻击的多样化趋势，将多种安全监测模块与网络设备结合起来充分发挥各个设备的优势以实现攻击的实时高效检测。同时，为了提升内嵌的安全防护模块处理性能，安全防护模块采用了高性能多核引擎并行深度检测等技术，架构上基于多个安全引擎并行堆叠而成，每个安全引擎采用DPDK(数据平面开发套件)并行处理技术，充分发挥多核处理器的并行处理能力，实现数据包的快速深度安全检查和转发处理。具体对比如表2：

表2传统防护架构和一体化核心网络设备架构对比

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。

Claims (8)

1.一种基于机架交换机设备的网络一体化深度检测装置，其特征在于，包括主控板、交换板、数据业务板、安全防护板、及互联所述主控板、交换板、数据业务板、安全防护板之间数据通信的背板；

所述主控板用于运行所有控制面协议，对其它板卡下发控制指令；

所述交换板用于将业务数据和安全监测数据在数据业务板和安全防护板之间进行调度和转发；

所述数据业务板用于业务数据交换，同时对业务数据进行初级安全筛查、检测、过滤和转发；

所述安全防护板用于对业务数据进行深度检测和安全防护。

2.根据权利要求1所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述交换板具体采用交换单元进行业务数据转发，所述交换单元内置交换矩阵模块，在需要进行二级防御检测时将业务数据报文转发至安全防护板，在不需要进行二级防御检测时通过解析业务数据报文的报文头查找对应路由表项，将业务数据分发到对应的数据业务板进行跨板转发。

3.根据权利要求2所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述数据业务板具体采用业务转发单元获取线卡接收的外部用户业务数据，对业务数据进行一级防御检测，将检测后的安全数据转发至交换板的交换单元，同时接收交换单元转发的业务数据报文并通过查找对应转发表项将业务数据报文从对应的物理端口转发。

4.根据权利要求3所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述业务转发单元用于将需要转发的业务数据报文硬件封装成交换单元识别的报文格式进行数据交换，并且对业务数据进行粗粒度的流量清洗和转发。

5.根据权利要求4所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述第一交换芯片具体对L2-L4层字段进行流量清洗，包括主动攻击防御、安全访问控制、深度检测预判；

所述主动攻击防御具体对疑似攻击报文的数据流在设定统计周期内进行个数统计，在统计周期结束时与设定阈值进行比较；若超过设定阈值则判定为攻击报文，在间隔周期内对该类型的业务数据报文进行丢弃；否则判定为安全报文，将业务数据报文转发至交换单元进行对应的查表转发；

所述安全访问控制具体为根据可配置的KEY值过滤报文流进行ACL控制访问；

所述深度检测预判具体为根据配置的安全策略过滤列表对数据流量进行前期预判筛查，将数据直接送到安全防护板进行防护检测。

6.根据权利要求5所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述安全防护板具体采用安全防护单元进行二级防御检测，所述安全防护单元包括多组处理芯片和一组第二交换芯片；

所述处理芯片用于并行处理各类业务数据报文的深度防护检测；

所述第二交换芯片用于将需要在处理芯片和交换单元之间转发的业务数据报文硬件封装和解封成处理芯片和交换单元识别的报文格式。

7.根据权利要求6所述的基于机架交换机设备的网络一体化深度检测装置，其特征在于，所述安全防护单元内置深度包检测模块，采用行为分析、合法流量识别、特征识别过滤、异常流量基线学习、动态指纹识别、反向探测方法对非法入侵、畸形报文攻击、扫描窥探攻击、泛洪或流量型攻击的L2-L7层所有字段的攻击报文进行深度安全检测。

8.一种应用权利要求1至7任一所述深度检测装置的方法，其特征在于，包括以下步骤：

S1、利用数据业务板的业务转发单元获取对应线卡接收的外部用户业务数据；

S2、利用业务转发单元解析数据报文，通过查询本地访问控制列表进行一级防御检测，并将一级防御检测的安全数据转发至交换板的交换单元；

S3、利用交换单元根据用户配置对业务数据报文进行转发；若需要进行二级防御检测，则将业务数据报文转发至安全防护板，进行步骤S4；若不需要进行二级防御检测，则通过解析业务数据报文的报文头查找对应路由表项，将业务数据报文分发到对应的业务转发单元，进行步骤S6；

S4、利用安全防护板的安全防护单元接收交换单元转发的业务数据报文，并对业务数据报文进行二级防御检测，并将二级防御检测的安全数据转发至交换板的交换单元；

S5、利用交换单元接收安全防护单元转发的业务数据报文，并将业务数据报文转发至业务转发单元；

S6、利用业务转发单元接收交换单元转发的业务数据报文，并查找对应转发表项，将业务数据报文从对应的物理端口转发。

Images