流量联动控制方法、装置及系统的制作方法

文档序号:7927965阅读:91来源:国知局
专利名称:流量联动控制方法、装置及系统的制作方法
技术领域
本发明涉及网络安全技术,尤其涉及一种流量联动控制方法、装置及系 统,属于网络技术领域。
背景技术
IP城域网按照网络结构可分为接入层、汇聚层和骨干层,接入层位于 低位网络层,通常直接连接用户终端,将用户流量引入网络;汇聚层位于网 络中间层,处理来自接入层设备的所有通信量,提供到骨干层的上行链路; 骨干层位于高位网络层,进行高速的信息传输。在网络受到恶意的非法流量 攻击或入侵时,很多情况下,这些非法流量都是从低位网络层流向高位网络 层或从高位网络层流向低位网络层,如从接入层流向骨干层或从骨干层流向 接入层。
现有技术针对非法流量的处理通常采用在各个网络层分别接入数据采集 设备和网络安全设备,各层分别采集网络流量数据,并对存在恶意攻击的非 法流量进行清除或拦截,而通常情况下,非法流量都是从^[氐位网络层流向高 位网络层或从高位网络层流向低位网络层,现有技术无法处理流向本层网络 安全设备管辖范围以外的预知流向的非法流量,从而导致了对非法流量无法 实现全面的控制,降低了网络的安全防护能力。

发明内容
本发明的目的是为了解决现有技术非法流量在高/低位网络层间流动时 所引起的位于单层上的网络安全设备无法对非法流量进行全面控制的问题。为实现上述目的,本发明提供了一种流量联动控制方法,包括 获取各个网络层的网络流量数据;
若所述网络流量数据中存在异常流量,则判断所述异常流量是否属于需 要进行控制的非法流量;
若所述异常流量属于所述非法流量,则根据所述非法流量的类型和流向, 触发与所述非法流量相关的各个网络层上的网络安全设备对所述非法流量进 行联动控制。
本发明还提供了一种流量联动控制装置,包括
获取模块,用于获取各个网络层的网络流量数据;
第一判断模块,用于若所述网络流量数据中存在异常流量,判断所述异 常流量是否属于需要进行控制的非法流量;
处理模块,用于若所述异常流量属于所述非法流量,则根据所述非法流 量的类型和流向,触发与所述非法流量相关的各个网络层上的网络安全设备 对所述非法流量进行联动控制。
本发明又提供了一种流量联动控制系统,包括
网络安全设备,用于对所述非法流量进行处理;
网络安全决策设备,用于获取各个网络层的网络流量数据,若所述网络 流量数据中存在异常流量,则判断所述异常流量是否属于需要进行控制的非 法流量,若所述异常流量属于所述非法流量,则根据所述非法流量的类型和 流向,触发与所述非法流量的相关各个网络层上的网络安全设备对所述非法 流量进行联动控制。
本发明通过对各层网络安全设备管辖范围内的网络流量数据采集、分析, 汇总入网络安全控制决策设备,触发各层网络安全设备对非法流量进行联动 控制,实现高/低位网络安全设备联合动作的工作模式,从而全面清除或拦截 网络中的非法流量,提高网络的安全性及抵抗恶意流量攻击的能力。


图1为本发明流量联动控制方法第.
图2为本发明流量if关动控制方法第. 图3为本发明流量联动控制装置第-图4为本发明流量联动控制装置第. 图5为本发明流量联动控制系统第-图6为本发明流量联动控制系统第-
-实施例的流程图 .实施例的流程图 -实施例的结构图 .实施例的结构图 实施例的结构图 .实施例的结构图
具体实施例方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。 图1为本发明流量联动控制方法第一实施例的流程图,如图1所示,本
发明的流量联动控制方法包括
步骤100、网络安全决策设备获取各个网络层的网络流量数据; 步骤IOI、如果获取到的各个网络层的网络流量数据中存在异常流量,则
网络安全决策设备判断该异常流量是否属于需要进行控制的非法流量;
其中,异常流量可能分为多种情况,比如,若该异常流量仅是流量大但
不存在恶意攻击情况,则该异常流量不属于非法流量,不需要对其进行控制,
若流量大小正常但存在恶意攻击则属于非法流量,需要对其进行控制。
步骤102、如果该异常流量属于需要进行控制的非法流量,则网络安全决
策设备#4居该非法流量的类型和流向,触发与该非法流量相关的各个网络层
上的网络安全设备对该非法流量进行联动控制。
流量数据中的异常流量为需要进行控制的非法流量时,网络安全决策设备触 发与该非法流量相关的各个网络层上的网络安全设备对该非法流量进行处 理,由于非法流量可能从高位网络层流向低位网络层或者从低位网络层流向
7高位网络层,因此,通过网络安全决策设备来同时触发不同网络层上接入的 网络安全设备,实现了各层网络安全设备针对非法流量的联合控制及同时处理。
图2为本发明流量联动控制方法第二实施例的流程图,如图2所示,在 第一实施例的基础上,进一步地,流量联动控制方法可具体为以下步骤
步骤200、网络安全决策设备获取各个网络层的数据采集设备采集的网络 流量数据;具体为各个网络层上接入的数据采集设备将采集到的网络流量数 据发送至网络安全决策设备。
步骤201、网络安全决策设备判断获取到的网络流量数据中是否存在异常 流量;即网络安全决策设备对获取到的网络流量数据进行参数分析,判断是 否超出正常网络流量参数范围,网络流量数据分析结果超出正常网络流量参 数范围,则存在异常流量;若不存在异常流量,则继续执行步骤201,若存在 则执行步骤202;
步骤202、网络安全决策设备判断该异常流量是否属于需要进行控制的非 法流量;其中,判断异常流量是否属于需要进行控制的非法流量参见第一实 施例;若异常流量不属于非法流量,则继续执行步骤202,否则执行步骤203;
步骤203、网络安全决策设备分析与非法流量相关的网络层及该非法流量 的类型,并根据分析结果生成处理该非法流量的各个网络层的网络安全设备 清单及网络安全设备对非法流量进行处理所执行的操作指令;
其中,分析与非法流量相关的网络层及该非法流量的类型具体为分析 该非法流量存在于哪个网络层及其源头是哪个网络层,该非法流量是从哪个 网络层流向哪个网络层,分析该非法流量的大小及类型。根据分析的结果, 即非法流量具体类型及流向,指定参与处理该非法流量的网络安全设备,这 些网络安全设备分布在存在非法流量或非法流量将要流向的各个网络层中, 根据指定参与处理非法流量的网络安全设备,生成控制该非法流量的网络安 全设备清单,同时生成这些网络安全设备执行处理操作的操作指令。步骤204、网络安全决策设备将网络安全设备清单及操作指令发送至各个 网络安全设备,以触发与非法流量相关的各个网络层上的网络安全设备对该 非法流量进行联动控制;即网络安全决策设备同时触发非法流量相关的各个 网络层上的网络安全设备,启动网络安全设备对非法流量进行联动控制。
步骤205、在网络安全设备进行处理非法流量操作结束之后,网络安全决 策设备对执行处理非法流量操作的网络安全设备进行复位。
本实施例针对不同类型、流向的非法流量指定相应的网络安全设备,根 据特定的操作指令执行处理非法流量的操作,使非法流量从高位网络层流入 低位网络层或从低位网络层流入高位网络层时,高位网络层和低位网络层中 的由网络安全决策设备指定的网络安全设备,能够根据网络安全决策设备发 送的操作指令同时进行处理非法流量的操作,使不同网络层的网络安全设备 联动控制,实现对非法流量进行了全面的控制。
图3为本发明流量联动控制装置第一实施例的结构图,如图3所示,本 实施例的流量联动控制装置包括获取模块301、第一判断模块302和处理模 块303,其中,获取模块301用于获取各个网络层的网络流量数据,将各个网 络层上的网络流量数据进行汇总;第一判断模块302用于若网络流量数据中 存在异常流量,判断异常流量是否属于需要控制的非法流量,该判断过程参 见上一实施例;处理模块303用于若异常流量属于非法流量,则根据该非法 流量的类型和流向,触发与该非法流量相关的各个网络层上的网络安全设备 对该非法流量进行联动控制。
本实施例的流量联动控制装置将各个网络层的网络流量数据汇总,通过 触发非法流量相关的各个网络层上的网络安全设备,对存在的需要处理的非 法流量进行了处理,从而使各个层上的网络安全设备针对非法流量可能在高、 低网络层之间流动的问题进行了联动控制,使非法流量得到了全面的控制。
图4为本发明流量联动控制装置第二实施例的结构图,如图4所示,流 量联动控制装置包括获取模块301、第一判断模块302和处理模块303,在此基础上,流量联动控制装置还可以包括第二判断模块304、分析模块305、 指令生成模块306和发送模块307,其中,第二判断模块304用于判断网络流 量数据中是否存在异常流量,分析模块305用于分析与非法流量相关的网络 层及非法流量的类型,指令生成模块306用于根据分析结果生成处理非法流 量的各个网络层的网络安全设备清单及网络安全设备对非法流量进行处理的 操作指令,发送模块307用于将网络安全设备清单及操作指令发送至各个网 络安全设备,以触发与非法流量相关的各个网络层上的网络安全设备对非法 流量进行联动控制。
本实施例通过分析非法流量的不同类型、流向,指定相应的各个网络层 的网络安全设备,根据特定的操作指令进行控制非法流量的操作,使非法流 量在不同网络层间流动时,从而达到了不同网络层的网络安全设备的联动, 对恶意的非法流量进行了全面的控制。
图5为本发明流量联动控制系统第一实施例的结构图,如图5所'示,本 发明的流量联动控制系统包括网络安全设备501和网络安全决策设备502, 其中,网络安全设备501用于对非法流量进行处理,网络安全决策设备502 用于获取各个网络层的网络流量数据,若该网络流量数据中存在异常流量, 则判断异常流量是否属于需要进行控制的非法流量,若异常流量属于非法流 量,则根据非法流量的类型和流向,触发与非法流量相关的各个网络层上的 网络安全设备501对非法流量进行联动控制。
本实施例中,由于各个网络层上均接入网络安全设备,网络安全决策设 备获取了各个网络层的网络流量数据后,触发各个网络层上的网络安全设备 对存在非法流量的网络流量数据进行处理,即通过网络安全决策设备来同时 触发不同网络层的网络安全设备,使各层网络安全设备可联动控制非法流量, 实现对非法流量的全面控制。
图6为本发明流量联动控制系统第二实施例的结构图,如图6所示,流 量联动控制系统包括网络安全设备5 01和网络安全决策设备502,在此基础上,
10流量联动控制系统还可以包括数据采集设备503,用于采集各个网络层上的 网络流量数据,并将网络流量数据发送至网络安全决策设备502,即各个网络 层上的数据采集设备503将各自网络层上采集到的网络流量数据汇总至网络 安全决策设备502,进一步地,网络安全决策设备502还可以包括获取模块 511、第一判断模块512和处理模块513,获取模块511用于获取各个网络层 的网络流量数据,第一判断模块512用于若网络流量数据中存在异常流量, 判断异常流量是否属于需要进行控制的非法流量,处理模块513用于若异常 流量属于需要进行控制的非法流量,则根据非法流量的类型和流向,触发与 非法流量相关的各个网络层上的网络安全设备501对非法流量进行联动控制。 本实施例中,由各网络层中的数据采集设备采集到的网络流量数据均汇 总到网络安全决.策设备,网络安全决策设备对接收到的存在非法流量的网络 流量数据进行分析,并且触发各层的网络安全设备对非法流量进行全面的控 制。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制, 尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当 理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技 术方案的精神和范围。
权利要求
1、一种流量联动控制方法,其特征在于,包括获取各个网络层的网络流量数据;若所述网络流量数据中存在异常流量,则判断所述异常流量是否属于需要进行控制的非法流量;若所述异常流量属于所述非法流量,则根据所述非法流量的类型和流向,触发与所述非法流量相关的各个网络层上的网络安全设备对所述非法流量进行联动控制。
2、 根据权利要求1所述的流量联动控制方法,其特征在于,所述荻取各 个网络层的网络流量数据包括获取由所述各个网络层的数据采集设备釆集 的所述网络流量数据。
3、 根据权利要求2所述的流量联动控制方法,其特征在于,若所述网络 流量数据中存在异常流量,则判断所述异常流量是否属于需要进行控制的非 法流量具体包括判断所述网络流量数据中是否存在异常流量;若不存在,则继续判断所述网络流量数据中是否存在所述异常流量; 若所述网络流量数据中存在所述异常流量,则判断所述异常流量是否属 于需要进行控制的非法流量。
4、 根据权利要求1、 2或3所述的流量联动控制方法,其特征在于,根 据所述非法流量的类型和流向,触发与所述非法流量相关的各个网络层上的 网络安全设备对所述非法流量进行联动控制具体包括分析与所述非法流量相关的网络层及所述非法流量的类型,并根据分析 结果生成处理所述非法流量的各个网络层的网络安全设备清单及所述网络安 全设备对所述非法流量进行处理的操作指令;将所述网络安全设备清单及所述操作指令发送至各个网络安全设备,以 触发与所述非法流量相关的各个网络层上的网络安全设备对所述非法流量进行联动控制。
5、 根据权利要求4所述的流量联动控制方法,其特征在于,还包括若 所述异常流量不属于所述非法流量,则继续判断所述异常流量是否属于所述 非法流量。
6、 根据权利要求4所述的流量联动控制方法,其特征在于,所述触发与 所述非法流量相关的各个网络层上的网络安全设备对所述非法流量进行联动 控制之后还包括对所述网络安全设备进行复位。
7、 一种流量联动控制装置,其特征在于,包括 获取模块,用于获取各个网络层的网络流量数据;第一判断模块,用于若所述网络流量数据中存在异常流量,判断所述异 常流量是否属于需要进行控制的非法流量;处理模块,用于若所述异常流量属于所述非法流量,则根据所述非法流 量的类型和流向,触发与所述非法流量相关的各个网络层上的网络安全设备 对所述非法流量进行联动控制。
8、 根据权利要求7所述的流量联动控制装置,其特征在于,还包括 第二判断模块,用于判断所述网络流量数据中是否存在所述异常流量。
9、 根据权利要求7或8所述的流量联动控制装置,其特征在于,还包括 分析模块,用于分析与所述非法流量相关的网络层及所述非法流量的类型;指令生成模块,用于根据分析结果生成处理所述非法流量的各个网络层 的网络安全设备清单及所述网络安全设备对所述非法流量进行处理的操作指 令;发送模块,用于将所述网络安全设备清单及所述操作指令发送至各个网 络安全设备,以触发与所述非法流量相关的各个网络层上的网络安全设备对 所述非法流量进行联动控制。
10、 一种流量联动控制系统,其特征在于,包括网络安全设备,用于对所述非法流量进行处理;网络安全决策设备,用于获取各个网络层的网络流量数据,若所述网络 流量数据中存在异常流量,则判断所述异常流量是否属于需要进行控制的非 法流量,若所述异常流量属于所述非法流量,则根据所述非法流量的类型和 流向,触发与所述非法流量相关的各个网络层上的网络安全设备对所述非法 流量进行联动控制。
11、 根据权利要求IO所述的流量联动控制系统,其特征在于,还包括 数据采集设备,用于获取各个网络层上的所述网络流量数据,并将所述网络 流量数据发送至所述网络安全决策设备。
12、 根据权利要求IO所述的流量联动控制系统,其特征在于,所述网络 安全决策设备包括获取模块,用于获取各个网络层的网络流量数据;第一判断模块,用于若所述网络流量数据中存在所述异常流量,则判断 所述异常流量是否属于需要进行控制的 一 夂法流量;处理模块,用于若所述异常流量属于所述非法流量,则根据所述非法流 量的类型和流向,触发与所述非法流量相关的各个网络层上的网络安全设备 对所述非法流量进行联动控制。
全文摘要
本发明涉及一种流量联动控制方法、装置及系统。该方法包括获取各个网络层的网络流量数据;若所述网络流量数据中存在异常流量,则判断所述异常流量是否属于需要进行控制的非法流量;若所述异常流量属于所述非法流量,则根据所述非法流量的类型和流向,触发与所述非法流量相关的各个网络层上的网络安全设备对所述非法流量进行联动控制。该装置包括获取模块、第一判断模块和处理模块。该系统包括网络安全决策设备和网络安全设备。本发明解决非法流量在高/低位网络层间流动时所引起的位于单层上的网络安全设备无法对非法流量进行全面控制的问题,采用一种高/低位网络层网络安全设备的联动控制方式实现对非法流量的全面控制。
文档编号H04L12/56GK101453423SQ20081022690
公开日2009年6月10日 申请日期2008年11月19日 优先权日2008年11月19日
发明者冯霄鹏, 刘惠明, 夏俊杰, 超 张 申请人:中国网络通信集团公司;北京电信规划设计院有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1