数据流的分流方法及装置的制造方法

数据流的分流方法及装置的制造方法
【专利摘要】本发明是关于数据流的分流方法及装置，所述方法包括：判断接收到的数据流是否为经过安全检测的数据流；对于判断为经过安全检测的数据流，转发所述数据流；对于判断为未经过安全检测的数据流，判断所述数据流的流量大小是否超出设备支持的最大处理阈值；当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测后转发，对所述数据流中超出所述最大处理阈值的报文负载进行转发；当所述未经过安全检测的数据流的流量大小未超出所述最大处理阈值时，对所述未经安全检测的数据流进行安全检测后转发。本发明可以解决相关技术中当面对较大数据流时安全设备转发效率低的问题。
【专利说明】
数据流的分流方法及装置
技术领域
[0001 ]本发明涉及通信技术领域，尤其涉及一种数据流的分流方法及装置。
【背景技术】
[0002]在视频监控系统中，网络摄像机可以将获取到的数据流发送至网络存储设备进行存储以保存视频监控数据。在网络摄像机将数据流发送至网络存储设备的过程中，为了避免将不合法、攻击、未授权等可能对网络存储设备上的存储系统造成损害的数据流发送至网络存储设备，相关技术加入了安全设备这一网络设备。
[0003]相关技术中，安全设备可以位于网络摄像机和网络存储设备之间，当网络摄像机将获取到的数据流发送至网络存储设备时，安全设备可以对该数据流进行检测，并将通过检测的数据流发送至网络存储设备。
[0004]由上述内容可知，相关技术可以通过安全设备实现对网络摄像机发送至网络存储设备的数据流的检测，但是，由于安全设备的处理性能有限，当面对较大的数据流时，安全设备需要较长的时间来对该数据流进行检测，此时，安全设备的转发效率低。

【发明内容】

[0005]为克服相关技术中存在的问题，本发明提供了数据流的分流方法及装置。
[0006]本发明提供一种数据流的分流方法，应用于包括若干互相级联的安全设备的视频监控系统中的安全设备，所述视频监控系统还包括前端设备以及后端设备，所述若干互相级联的安全设备连接在所述前端设备和所述后端设备之间，其特征在于，所述方法包括:
[0007]判断接收到的数据流是否为经过安全检测的数据流；
[0008]对于判断为经过安全检测的数据流，转发所述数据流;对于判断为未经过安全检测的数据流，判断所述数据流的流量大小是否超出设备支持的最大处理阈值；
[0009]当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测后转发，对所述数据流中超出所述最大处理阈值的报文负载进行转发；当所述未经过安全检测的数据流的流量大小未超出所述最大处理阈值时，对所述未经安全检测的数据流进行安全检测后转发。
[0010]作为改进，所述安全设备上的级联接口包括第一级联接口和第二级联接口，其中，相邻层级的两个安全设备之间第一级联接口与第一级联接口相连、第二级联接口与第二级联接口相连，且仅所述第一级联接口学习MAC地址，当所述安全设备通过视频监控系统中的其它安全设备与前端设备和后端设备相连时，所述方法还包括:
[0011]当所述数据流为经过安全检测的数据流时，通过第一级联接口接收和转发所述数据流；
[0012]当所述数据流为未经过安全检测的数据流时，通过第二级联接口接收和转发所述数据流。
[0013]作为改进，所述方法还包括:
[0014]当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，根据预设的分流规则将所述数据流划分为未超出所述最大处理阈值的部分数据流以及超出所述最大处理阈值的报文负载两部分。
[0015]作为改进，所述分流规则包括:
[0016]将所述数据流划分为若干个子数据流；
[0017]针对所述若干个子数据流执行不同的处理动作；
[0018]所述根据预设的分流规则将所述数据流划分为未超出所述最大处理阈值的部分数据流以及超出所述最大处理阈值的报文负载两部分，还包括:
[0019]基于所述分流规则对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测，并将安全检测后的所述部分数据流通过第一级联接口进行转发；
[0020]基于所述分流规则将所述数据流中超出所述最大处理阈值的报文负载通过第二级联接口进行转发。
[0021 ]作为改进，所述方法还包括:
[0022]当所述安全设备为互相级联的安全设备中层级最靠近前端设备的安全设备时，所述安全设备通过预设的接口与前端设备进行数据流交互；
[0023]当所述安全设备为互相级联的安全设备中层级最靠近后端设备的安全设备时，所述安全设备通过预设的接口与后端设备进行数据流交互。
[0024]本发明同时还提供一种数据流的分流装置，应用于包括若干互相级联的安全设备的视频监控系统中的安全设备，所述视频监控系统还包括前端设备以及后端设备，所述若干互相级联的安全设备连接在所述前端设备和所述后端设备之间，其特征在于，所述装置包括:
[0025]判断模块，用于判断接收到的数据流是否为经过安全检测的数据流；
[0026]第一处理模块，用于对于判断为经过安全检测的数据流，转发所述数据流;对于判断为未经过安全检测的数据流，判断所述数据流的流量大小是否超出设备支持的最大处理阈值；
[0027]第二处理模块，用于当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测后转发，对所述数据流中超出所述最大处理阈值的报文负载进行转发；当所述未经过安全检测的数据流的流量大小未超出所述最大处理阈值时，对所述未经安全检测的数据流进行安全检测后转发。
[0028]作为改进，所述安全设备上的级联接口包括第一级联接口和第二级联接口，其中，相邻层级的两个安全设备之间第一级联接口与第一级联接口相连、第二级联接口与第二级联接口相连，且仅所述第一级联接口学习MAC地址，当所述安全设备通过视频监控系统中的其它安全设备与前端设备和后端设备相连时，所述装置还包括:
[0029]第三处理模块，用于当所述数据流为经过安全检测的数据流时，通过第一级联接口接收和转发所述数据流；当所述数据流为未经过安全检测的数据流时，通过第二级联接口接收和转发所述数据流。
[0030]作为改进，所述装置还包括:
[0031]划分模块，用于当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，根据预设的分流规则将所述数据流划分为未超出所述最大处理阈值的部分数据流以及超出所述最大处理阈值的报文负载两部分。
[0032]作为改进，所述分流规则包括:
[0033]将所述数据流划分为若干个子数据流；
[0034]针对所述若干个子数据流执行不同的处理动作；
[0035]所述划分模块进一步用于:
[0036]基于所述分流规则对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测，并将安全检测后的所述部分数据流通过第一级联接口进行转发；
[0037]基于所述分流规则将所述数据流中超出所述最大处理阈值的报文负载通过第二级联接口进行转发。
[0038]作为改进，所述装置还包括:
[0039]交互模块，用于当所述安全设备为互相级联的安全设备中层级最靠近前端设备的安全设备时，所述安全设备通过预设的接口与前端设备进行数据流交互；以及当所述安全设备为互相级联的安全设备中层级最靠近后端设备的安全设备时，所述安全设备通过预设的接口与后端设备进行数据流交互。
[0040]在本发明中，视频监控系统中的安全设备可以先判断接收到的数据流是否为经过安全检测的数据流，并对于判断为经过安全检测的数据流进行转发；以及对于判断为未经过安全检测的数据流进行进一步的判断，所述安全设备可以判断所述未经过安全检测的数据流的流量大小是否超出设备支持的最大处理阈值，当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，可以对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测后转发，对所述数据流中超出所述最大处理阈值的部分报文负载进行转发；当所述未经过安全检测的数据流的流量大小未超出所述最大处理阈值时，所述安全设备可以对所述未经过安全检测的数据流进行安全检测后转发。
[0041]应用本发明可以使用若干个安全设备对数据流进行检测，从而可以解决相关技术中当面对较大数据流时安全设备转发效率低的问题。
[0042]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。
【附图说明】
[0043]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。
[0044]图1为示出的一种相关技术中的视频监控系统的组网图。
[0045]图2为本发明一实施例示出的一种数据流的分流方法的流程图。
[0046]图3为示出的一种安全设备相互级联的示意图。
[0047]图4为应用本发明实现数据流的分流的一个应用场景图。
[0048]图5是本发明实施例中数据流的分流装置的硬件结构框图。
[0049]图6是本发明根据一示例性实施例示出的一种数据流的分流装置的框图。
【具体实施方式】
[0050]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
[0051]请参见图1，图1为示出的一种相关技术中的视频监控系统的组网图。
[0052]在图1示出的视频监控系统中，包括前端设备IPC(IPCamera，网络摄像机)、后端设备IPSAN(IP Storage Area Network，网络存储设备)以及设置于IPC、IPSAN之间的安全设备。
[0053]当IPC获取到数据流时，可以将数据流发送至IPSAN进行保存。为了避免将该数据流中不合法、攻击以及未授权等可能会损害IPSAN上存储系统的恶意内容发送至IPSANjf频监控系统中加入了安全设备来对IPC发送至IPSAN的数据流进行安全检测。
[0054]由图1可知，安全设备可以接收IPC发送至IPSAN的数据流，并对数据流进行分析和处理，从而确定发送至IPSAN的数据流为安全的数据流。但是由于安全设备的处理能力有限，因此，当面对较大的数据流时，安全设备需要较长的时间来对该数据流进行安全检测，从而造成对数据流的转发效率低的问题。
[0055]在本发明中，视频监控系统中的安全设备可以先判断接收到的数据流是否为经过安全检测的数据流，并对于判断为经过安全检测的数据流进行转发；以及对于判断为未经过安全检测的数据流进行进一步的判断，该安全设备可以判断上述未经过安全检测的数据流的流量大小是否超出设备支持的最大处理阈值，当上述未经过安全检测的数据流的流量大小超出最大处理阈值时，可以对上述数据流中未超出最大处理阈值的部分数据流进行安全检测后转发，对上述数据流中超出最大处理阈值的部分报文负载进行转发；当上述未经过安全检测的数据流的流量大小未超出最大处理阈值时，所述安全设备可以对上述未经过安全检测的数据流进行安全检测后转发。
[0056]应用本发明可以使用若干个安全设备对数据流进行检测，从而可以解决相关技术中当面对较大数据流时安全设备转发效率低的问题。
[0057]参见图2，为本发明一实施例示出的一种数据流的分流方法的流程图，该实施例应用于包括若干互相级联的安全设备的视频监控系统中的安全设备，包括以下步骤:
[0058]步骤201:判断接收到的数据流是否为经过安全检测的数据流。
[0059]在本发明中，上述视频监控系统可以包括监控前端的IPC、监控后端的IPSAN以及若干连接在IPC、IPSAN之间的通过级联接口互相级联的安全设备。
[0060]在本发明中，安全设备可以包括用于接收IPC流量的入接口以及用于向IPSAN发送流量的出接口。另外，除了以上示出的出接口和入接口以外，安全设备上还可以包括级联接
□ O
[0061]其中，上述级联接口可以包括第一级联接口和第二级联接口，相邻层级的两个安全设备之间第一级联接口与第一级联接口相连、第二级联接口与第二级联接口相连。
[0062]上述第一级联接口可以为安全设备上用于转发已经经过安全设备安全检测后的数据流的接口，第二级联接口可以为安全设备上用于转发未经安全设备安全检测后的数据流的接口。
[0063]由于第一级联接口用于将安全设备安全检测后的数据流转发至安全设备组中下一级联的安全设备，因此在第一级联接口和第二级联接口中，可以仅由第一级联接口参与MAC地址学习；例如，在实际应用中，第一级联接口可以通过监听报文，来学习安全设备组中下一级联的安全设备上与自身进行对接的第一级联接口以及IPSAN的MAC地址。
[0064]请参见图3，图3为示出的一种安全设备相互级联的示意图。
[0065]其中，安全设备I的A接口为用于接收IPC流量的入接口，安全设备3的J接口为用于向IPSAN发送流量的出接口。除了A接口和J接口外，该三个安全设备中的B接口至I接口这8个接口均为级联接口。其中，安全设备I的B接口、安全设备2的D接口和F接口以及安全盒子3的H接口均为第一级联接口 ；安全设备I的C接口、安全设备2的E接口和G接口以及安全设备3的I接口均为第二级联接口。由相邻层级的两个安全设备之间第一级联接口与第一级联接口相连、第二级联接口与第二级联接口相连可知，图3中，安全设备I和安全设备2之间可以通过接口 B与接口 D相连、接口 C与接口 E相连的方式进行级联;安全设备2和安全设备3之间可以通过接口 F与接口 H相连、接口 G与接口 I相连的方式进行级联。
[0066]图3中的安全设备通过上述方法进行级联后，当安全设备I通过入接口A接收到来自IPC发送的数据流时，可以选择对接收到的所有数据流进行安全检测或对接收到的部分数据流进行安全检测，然后安全盒子I可以将经过安全检测的数据流通过接口 B发送至安全设备2的D接口 ；将未经过安全检测的报文负载通过接口C发送至安全设备2的E接口。安全设备2可以将经过安全检测的数据流通过F接口发送至安全设备3的H接口；将未经过安全检测的报文负载通过接口G发送至安全设备3的I接口。安全盒子3通过H接口接收到数据流后，可以将数据流通过出接口 J发送至IPSAN;安全设备3通过I接口接收到报文负载后，可以对报文负载进行安全检测，并将安全检测后的报文负载通过接口 J发送至IPSAN。
[0067]在本发明中，可以预先设置一个分流规则，该分流规则可以为将接收到的数据流划分为若干个子数据流，并针对该若干个子数据流执行不同的处理动作的规则。当接收到未经安全检测的流量大小超过最大处理阈值的数据流时，安全设备可以使用该分流规则，并根据该分流规则对接收到的数据流进行划分，以使安全设备可以对划分后的不同子数据流执行不同的处理动作。例如，安全设备可以根据分流规则将接收到的数据流划分为部分数据流和报文负载两部分，并仅对上述部分数据流进行安全检测，然后，安全设备可以将安全检测后的部分数据流以及上述未经过安全检测的报文负载进行转发。
[0068]在一个实施例中，上述分流规则可以为划分后的不同数据流指定级联接口，例如，分流规则可以为经过安全检测的部分数据流指定第一级联接口，则该部分数据流可以通过第一级联接口进行转发;该分流规则还可以为未经过安全检测的报文负载指定第二级联接口，则该报文负载可以通过第二级联接口进行转发。
[0069]在本发明中，当视频监控系统中的安全设备接收到数据流时，在选择对接收到的所有数据流进行安全检测或对接收到的部分数据流进行安全检测之前，可以先判断该数据流是否为经过安全检测的数据流。
[0070]其中，当接收数据流的安全设备为通过视频监控系统中的其他安全设备与IPC相连的安全设备时，该安全设备可以通过第一级联接口或第二级联接口接收上述数据流；当接收数据流的安全设备为视频监控系统中互相级联的安全设备中层级最靠近IPC的安全设备时，该安全设备可以通过入接口接收上述数据流。
[0071]需要说明的是，判断某一数据流是否为经过安全检测的数据流的技术为现有技术，故本发明在此不再赘述。
[0072]步骤202:对于判断为经过安全检测的数据流，转发所述数据流;对于判断为未经过安全检测的数据流，判断所述数据流的流量大小是否超出设备支持的最大处理阈值；
[0073]在本发明中，对于判断为经过安全检测的数据流，可以对其进行转发。其中，当安全设备为通过视频监控系统中的其他安全设备与IPSAN相连的安全设备时，该安全设备可以通过第一级联接口将该经过安全检测的数据流转发至下一层级的安全设备；当安全设备为视频监控系统中互相级联的安全设备中层级最靠近IPSAN的安全设备时，该安全设备可以将上述数据流通过出接口发送至后端设备。
[0074]对于判断为未经过安全检测的数据流，安全设备可以进一步判断该数据流的流量大小是否超出安全设备支持的最大处理阈值。
[0075]需要说明的是，安全设备的最大处理阈值可以由设备的性能或用户自定义设定，不同安全设备的最大处理阈值可以不同，本发明对此不做限定。
[0076]步骤203:当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测后转发，对所述数据流中超出所述最大处理阈值的报文负载进行转发;当所述未经过安全检测的数据流的流量大小未超出所述最大处理阈值时，对所述未经安全检测的数据流进行安全检测后转发。
[0077]在本发明中，当接收到的数据流的流量大小未超出该设备的最大处理阈值时，可以对该数据流进行安全检测。其中，安全设备对数据流进行安全检测的过程为现有技术，本发明在此不再赘述。
[0078]对该数据流进行安全检测后，如果当前的安全设备不为互相级联的安全设备中层级最靠近IPSAN的安全设备，则该安全设备可以通过其上的第一级联接口以及位于该安全设备和上述层级最靠近IPSAN的安全设备之间的若干个安全设备的第一级联接口将该经过安全检测后的数据流发送至上述层级最靠近IPSAN的安全设备，上述层级最靠近IPSAN的安全设备接收到该数据流后，可以通过出接口将此数据流发送至IPSAN。
[0079]当然，如果当前的安全设备为上述层级最靠近IPSAN的安全设备，则该安全设备可以将该经过安全检测的数据流通过出接口发送至IPSAN。
[0080]在一个实施例中，当视频监控系统中的一个安全设备通过其他安全设备与IPSAN相连时，该安全设备在将安全检测后的数据流通过第一级联接口转发至上述层级最靠近IPSAN的安全设备的过程中，可以基于若干个安全设备的第一级联接口学习到的MAC地址对该数据流进行转发。
[0081 ]在本发明中，当接收到的未经过安全检测的数据流的流量大小超出该设备的最大处理阈值时，可以对该数据流中未超出最大处理阈值的部分数据流进行安全检测后转发，以及对该数据流中超出最大处理阈值的报文负载进行转发。
[0082]其中，当安全设备不为层级最靠近IPSAN的安全设备时，该安全设备可以通过第一级联接口将该数据流中未超出最大处理阈值的部分数据流进行安全检测后转发，以及通过第二级联接口将该数据流中超出最大处理阈值的报文负载转发至下一层级的安全设备，以由该下一层级的安全设备对该报文负载进行安全检测。
[0083]在一个实施例中，针对层级不为最靠近IPSAN的安全设备，当接收到的未经过安全检测的数据流的流量大小超出安全设备支持的最大处理阈值时，可以使用预设的分流规则将该数据流划分为未超出最大处理阈值的部分数据流和超出最大处理阈值的报文负载两部分。然后，安全设备可以基于该分流规则对该未超出最大处理阈值的部分数据流进行安全检测后通过第一级联接口转发，以及对该超出最大处理阈值的报文负载通过第二级联接口转发。
[0084]在示出的一个实施例中，可以假设不为层级最靠近IPSAN的安全设备的最大处理阈值为300Mb，该安全设备接收到的数据流的流量大小为500Mb，则该安全设备可以基于分流规则将该数据流分为第一部分数据流和第二部分报文负载。其中，第一部分数据流为该数据流前300Mb的部分数据流;第二部分报文负载为该数据流后200Mb的报文负载。然后，该安全设备可以对第一部分数据流进行安全检测，并将安全检测后的第一部分数据流通过第一级联接口发送至下一层级的安全设备的第一级联接口；该安全设备可以不对第二部分报文负载进行安全检测，而是将第二部分报文负载通过第二级联接口转发至下一层级的安全设备的第二级联接口，以由下一层级的安全设备进行安全检测。
[0085]当然，安全设备在为流量大小超出其最大处理阈值的数据流分配分流规则时，可以先基于数据流的五元组信息对该数据流进行识别，从而确定该数据流为哪一个IPC发出的数据流。
[0086]在本发明中，当接收到的未经安全检测的数据流的流量大小未超出安全设备的最大处理阈值时，该安全设备可以不使用上述分流规则对该数据流进行分流。
[0087]在一个实施例中，当视频监控系统中的IPC发流码率增加，使得该未超出最大处理阈值的部分数据流的流量大小增加至超出最大处理阈值时，安全设备可以将该部分数据流中超出最大处理阈值的那部分数据流划分至上述超出最大处理阈值的报文负载中，以使该安全设备可以完成对未超出最大处理阈值的部分数据流的安全检测。
[0088]在本发明中，视频监控系统中的安全设备可以先判断接收到的数据流是否为经过安全检测的数据流，并对于判断为经过安全检测的数据流进行转发；以及对于判断为未经过安全检测的数据流进行进一步的判断，该安全设备可以判断上述未经过安全检测的数据流的流量大小是否超出设备支持的最大处理阈值，当上述未经过安全检测的数据流的流量大小超出最大处理阈值时，可以对上述数据流中未超出最大处理阈值的部分数据流进行安全检测后转发，对上述数据流中超出最大处理阈值的部分报文负载进行转发；当上述未经过安全检测的数据流的流量大小未超出最大处理阈值时，所述安全设备可以对上述未经过安全检测的数据流进行安全检测后转发。
[0089]应用本发明可以使用若干个安全设备对数据流进行检测，从而可以解决相关技术中当面对较大数据流时安全设备转发效率低的问题。
[0090]下面结合应用场景图对上述实施例进行详细描述:
[0091]请参见图4，为应用本发明实现数据流的分流的一个应用场景图。图4中，安全设备
1、2和3可以相互级联，该三个安全设备可以位于IPC和IPSAN之间。其中，该三个安全设备可以包括用于接收IPC流量的入接口 A以及用于向IPSAN发送流量的出接口 J。另外，除了以上示出的出接口和入接口以外，安全设备上还可以包括级联接口 B至I。
[0092]需要说明的是，视频监控系统可以包括多个安全设备，图4中所示的包括3个安全设备仅为示意性举例。
[0093]其中，上述级联接口B至I可以分为第一级联接口(如图4中的B、D、F和H接口)和第二级联接口(如图4中的C、E、G和I接口)。安全设备1、2以及安全设备2、3之间第一级联接口与第一级联接口相连、第二级联接口与第二级联接口相连。
[0094]关于视频监控系统中相邻层级的安全设备之间的级联方式已在上述实施例中详细说明，本发明在此实施例中不再赘述。
[0095]上述第一级联接口可以为安全设备上用于转发已经经过安全设备安全检测后的数据流的接口，第二级联接口可以为安全设备上用于转发未经安全设备安全检测后的数据流的接口。
[0096]由于第一级联接口用于将安全设备安全检测后的数据流转发至安全设备组中下一级联的安全设备，因此在第一级联接口和第二级联接口中，可以仅由第一级联接口学习MAC地址。
[0097]当IPC将获取到的数据流发送至IPSAN时，视频监控系统中的安全设备可以对数据流进行安全检测，并将通过安全检测的数据流发送至IPSAN。
[0098]当IPC获取到数据流时，可以将数据流发送至与其相连的安全设备1，安全设备I通过接口 A接收到数据流后，可以确定该数据流为未经过安全检测的数据流，然后安全设备I可以进一步判断该数据流的流量大小是否超出其支持的最大处理阈值。由于此判断过程为现有技术，因此本发明对此不做限定。
[0099]需要说明的是，安全设备的最大处理阈值可以由设备的性能或用户自定义设定，不同安全设备的最大处理阈值可以不同，因此本发明对此也不做限定。
[0100]完成上述判断过程后，如果该数据流的大小未超出安全设备I的最大处理阈值，则安全设备I可以对该数据流进行安全检测，并将安全检测后的数据流进行转发。
[0101]在一个实施例中，安全设备I可以先将安全检测后的数据流通过第一级联接口B发送至安全设备2的第一级联接口 D，然后安全设备2通过接口 D接收到该数据流后，可以通过对该数据流的分析确定该数据流为安全检测后的数据流，因此安全设备2可以不对该数据流进行安全检测，而是基于自身的MAC地址表将该数据流通过第一级联接口 F转发至安全设备3的第一级联接口 H，安全设备3通过接口 H接收到该数据流后，可以通过对该数据流的分析确定该数据流为安全检测后的数据流，故安全盒子3可以不对给数据流进行安全检测，将该数据流通过接口 J发送至IPSAN。
[0102]在示出的一个实施例中，可以假设安全设备I的最大处理阈值为300Mb，且安全设备I从接口 A接收到的数据流的流量大小为100Mb。则安全设备I可以经判断得知该未经安全检测的数据流的流量大小未超出其最大处理阈值，然后，安全设备I可以对该数据流进行安全检测，并基于自身的MAC地址表将安全检测后的数据流经第一级联接口B发送至安全设备2的第一级联接口 D，安全设备2通过接口 D接收到数据流后，可以确定该数据流为安全检测后的数据流，则安全设备2可以基于自身的MAC地址表通过第一级联接口 F将该数据流发送至安全设备3的第一级联接口 H，安全设备3通过接口 H接收到数据流后，可以确定该数据流为安全检测后的数据流，然后，安全设备3通过接口 J将数据流发送至IPSAN。
[0103]在本发明中，如果安全设备I接收到的数据流的流量大小超出了安全设备I的最大处理阈值，则安全设备I可以将该数据流中未超出最大处理阈值的部分数据流进行安全检测，并将安全检测后的部分数据流通过第一级联接口进行转发。具体过程可以与上述实施例相同，本发明在此不再赘述。
[0104]在另一个实施例中，如果安全设备I接收到的数据流的流量大小超出了安全设备I的最大处理阈值，则安全设备I可以通过预设的第二级联接口将上述数据流中超出最大处理阈值的报文负载发送至下一层级的安全设备，即安全设备2，进行安全检测。具体地，安全设备I可以通过第一级联接口C将该报文负载发送至安全设备2的第二级联接口E，以使安全设备2可以对该报文负载进行安全检测。
[0105]在本发明中，当安全设备I接收到数据流超出最大处理阈值时，可以基于预设的分流规则将该数据流划分为未超出最大处理阈值的部分数据流和超出最大处理阈值的报文负载两部分。然后，安全设备I可以基于该分流规则对该未超出最大处理阈值的部分数据流进行安全检测后通过第一级联接口转发至安全设备2的第一级联接口，以及将该超出最大处理阈值的报文负载通过第二级联接口转发至安全设备2的第二级联接口。
[0106]在示出的一个实施例中，可以假设安全设备I的最大处理阈值为300Mb，当安全设备I接收到流量大小为500Mb的数据流时，安全设备I可以基于预设的分流规则将该数据流的划分为两部分，其中，第一部分为该数据流的前300Mb的部分数据流，第二部分为该数据流的后200Mb的报文负载。安全设备I可以将前300Mb的部分数据流进行安全检测，并基于分流规则将安全检测后的前300Mb部分数据流通过第一级联接口 B发送至安全设备2的第一级联接口 D，安全设备2通过接口 D接收到安全检测后的部分数据流后，可以通过第一级联接口F将该部分数据流发送至安全设备3的第一级联接口 H，安全设备3接收通过第一级联接口 H接收到该部分数据流后，可以通过接口 J将该部分数据流发送至IPSAN;安全设备I可以不对后200Mb的报文负载进行安全检测，而是将其通过第二级联接口 C发送至相互级联的安全设备2的第二级联接口 E进行安全检测。安全设备2通过接口 E接收到报文负载后，可以确定该报文负载未经过安全检测，则安全设备2可以对该报文负载进行安全检测。假设安全设备2的最大处理阈值为100Mb，则安全设备2由判断可知，该报文负载的流量大小超出其最大处理阈值，此时，安全设备2可以基于预设的分流规则将该报文负载划分为未超出其最大处理阈值的部分报文负载以及超出其最大处理阈值的报文，即安全设备2可以将该后200Mb的报文负载的前10Mb划分为前10Mb的部分报文负载，以及将该后200Mb的报文负载的后10Mb划分为后10Mb的报文。然后，安全设备2可以对该前10Mb的部分报文负载进行安全检测，并将安全检测后的部分报文负载通过第一级联接口 F发送至安全设备3的第一级联接口 H，安全设备3通过接口H接收到部分报文负载后，可以通过接口 J将该部分报文负载发送至IPSAN;安全设备2可以不对后10Mb的报文进行安全检测，而是使用第二分流规则将该部分报文通过第二级联接口 G发送至安全设备3的第二级联接口 I，设备3通过接口 I接收到报文后，可以确定该报文未经过安全检测，然后安全设备3可以对该报文进行安全检测，并将安全检测后的报文通过接口 J发送至IPSAN。
[0107]当然，安全设备在为流量大小超出其最大处理阈值的数据流分配分流规则时，可以先基于数据流的五元组信息对该数据流进行识别，从而确定该数据流为哪一个IPC发出的数据流。
[0108]在一个实施例中，当视频监控系统中的IPC(例如图4中的IPCl)发流码率增加，使得该未超出最大处理阈值的部分数据流的流量大小增加至超出最大处理阈值时，安全设备可以将该部分数据流中超出最大处理阈值的那部分数据流划分至上述超出最大处理阈值的报文负载中，以使该安全设备可以完成对未超出最大处理阈值的部分数据流的安全检测。
[0109]在另一个实施例中，当接收到的未经安全检测的数据流的流量大小未超出安全设备的最大处理阈值时，该安全设备可以不使用上述分流规则对该数据流进行分流。
[0110]在本发明中，视频监控系统中的安全设备可以先判断接收到的数据流是否为经过安全检测的数据流，并对于判断为经过安全检测的数据流进行转发；以及对于判断为未经过安全检测的数据流进行进一步的判断，该安全设备可以判断上述未经过安全检测的数据流的流量大小是否超出设备支持的最大处理阈值，当上述未经过安全检测的数据流的流量大小超出最大处理阈值时，可以对上述数据流中未超出最大处理阈值的部分数据流进行安全检测后转发，对上述数据流中超出最大处理阈值的部分报文负载进行转发；当上述未经过安全检测的数据流的流量大小未超出最大处理阈值时，所述安全设备可以对上述未经过安全检测的数据流进行安全检测后转发。
[0111]应用本发明可以使用若干个安全设备对数据流进行检测，从而可以解决相关技术中当面对较大数据流时安全设备转发效率低的问题。
[0112]基于与上述方法同一的发明构思，本发明实施例还提供了数据流的分流装置的实施例，该数据流的分流装置可以应用于安全设备上。其中，该数据流的分流装置可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在的处理器，将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从应用层面而言，如图5所示，是本发明实施例中数据流的分流装置的硬件结构框图，除了图5所示的处理器、网络接口、内存以及非易失性存储器外，还可以包括其他硬件，如摄像装置、负责处理报文的转发芯片等。
[0113]如图6所示，为本发明根据一示例性实施例示出的一种数据流的分流装置的框图，所述装置包括:判断模块610、第一处理模块620以及第二处理模块630。
[0114]其中，判断模块610，用于判断接收到的数据流是否为经过安全检测的数据流；
[0115]第一处理模块620，用于对于判断为经过安全检测的数据流，转发所述数据流;对于判断为未经过安全检测的数据流，判断所述数据流的流量大小是否超出设备支持的最大处理阈值；
[0116]第二处理模块630，用于当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测后转发，对所述数据流中超出所述最大处理阈值的报文负载进行转发；当所述未经过安全检测的数据流的流量大小未超出所述最大处理阈值时，对所述未经安全检测的数据流进行安全检测后转发。
[0117]在一个可选的实现方式中，所述安全设备上的级联接口包括第一级联接口和第二级联接口，其中，相邻层级的两个安全设备之间第一级联接口与第一级联接口相连、第二级联接口与第二级联接口相连，且仅所述第一级联接口学习MAC地址，当所述安全设备通过视频监控系统中的其它安全设备与前端设备和后端设备相连时，所述装置还可以包括(图6中未示出):
[0118]第三处理模块640，用于当所述数据流为经过安全检测的数据流时，通过第一级联接口接收和转发所述数据流；当所述数据流为未经过安全检测的数据流时，通过第二级联接口接收和转发所述数据流。
[0119]在一个可选的实现方式中，所述装置还可以包括(图6中未示出):
[0120]划分模块650，用于当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，根据预设的分流规则将所述数据流划分为未超出所述最大处理阈值的部分数据流以及超出所述最大处理阈值的报文负载两部分。
[0121]在一个可选的实现方式中，所述分流规则可以包括:
[0122]将所述数据流划分为若干个子数据流；
[0123]针对所述若干个子数据流执行不同的处理动作；
[0124]所述划分模块650可以进一步用于:
[0125]基于所述分流规则对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测，并将安全检测后的所述部分数据流通过第一级联接口进行转发；
[0126]基于所述分流规则将所述数据流中超出所述最大处理阈值的报文负载通过第二级联接口进行转发。
[0127]在一个可选的实现方式中，所述装置还可以包括(图6中未示出):
[0128]交互模块，用于当所述安全设备为互相级联的安全设备中层级最靠近前端设备的安全设备时，所述安全设备通过预设的接口与前端设备进行数据流交互；以及当所述安全设备为互相级联的安全设备中层级最靠近后端设备的安全设备时，所述安全设备通过预设的接口与后端设备进行数据流交互。
[0129]在本发明中，视频监控系统中的安全设备可以先判断接收到的数据流是否为经过安全检测的数据流，并对于判断为经过安全检测的数据流进行转发；以及对于判断为未经过安全检测的数据流进行进一步的判断，该安全设备可以判断上述未经过安全检测的数据流的流量大小是否超出设备支持的最大处理阈值，当上述未经过安全检测的数据流的流量大小超出最大处理阈值时，可以对上述数据流中未超出最大处理阈值的部分数据流进行安全检测后转发，对上述数据流中超出最大处理阈值的部分报文负载进行转发；当上述未经过安全检测的数据流的流量大小未超出最大处理阈值时，所述安全设备可以对上述未经过安全检测的数据流进行安全检测后转发。
[0130]应用本发明可以使用若干个安全设备对数据流进行检测，从而可以解决相关技术中当面对较大数据流时安全设备转发效率低的问题。
[0131]本领域技术人员在考虑说明书及实践这里发明的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。
[0132]应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
[0133]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【主权项】
1.一种数据流的分流方法，应用于包括若干互相级联的安全设备的视频监控系统中的安全设备，所述视频监控系统还包括前端设备以及后端设备，所述若干互相级联的安全设备连接在所述前端设备和所述后端设备之间，其特征在于，所述方法包括: 判断接收到的数据流是否为经过安全检测的数据流； 对于判断为经过安全检测的数据流，转发所述数据流;对于判断为未经过安全检测的数据流，判断所述数据流的流量大小是否超出设备支持的最大处理阈值； 当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测后转发，对所述数据流中超出所述最大处理阈值的报文负载进行转发；当所述未经过安全检测的数据流的流量大小未超出所述最大处理阈值时，对所述未经安全检测的数据流进行安全检测后转发。2.根据权利要求1所述的方法，其特征在于，所述安全设备上的级联接口包括第一级联接口和第二级联接口，其中，相邻层级的两个安全设备之间第一级联接口与第一级联接口相连、第二级联接口与第二级联接口相连，且仅所述第一级联接口学习MAC地址，当所述安全设备通过视频监控系统中的其它安全设备与前端设备和后端设备相连时，所述方法还包括: 当所述数据流为经过安全检测的数据流时，通过第一级联接口接收和转发所述数据流； 当所述数据流为未经过安全检测的数据流时，通过第二级联接口接收和转发所述数据流。3.根据权利要求2所述的方法，其特征在于，所述方法还包括: 当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，根据预设的分流规则将所述数据流划分为未超出所述最大处理阈值的部分数据流以及超出所述最大处理阈值的报文负载两部分。4.根据权利要求3所述的方法，其特征在于，所述分流规则包括: 将所述数据流划分为若干个子数据流； 针对所述若干个子数据流执行不同的处理动作； 所述根据预设的分流规则将所述数据流划分为未超出所述最大处理阈值的部分数据流以及超出所述最大处理阈值的报文负载两部分，还包括: 基于所述分流规则对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测，并将安全检测后的所述部分数据流通过第一级联接口进行转发； 基于所述分流规则将所述数据流中超出所述最大处理阈值的报文负载通过第二级联接口进行转发。5.根据权利要求2所述的方法，其特征在于，所述方法还包括: 当所述安全设备为互相级联的安全设备中层级最靠近前端设备的安全设备时，所述安全设备通过预设的接口与前端设备进行数据流交互； 当所述安全设备为互相级联的安全设备中层级最靠近后端设备的安全设备时，所述安全设备通过预设的接口与后端设备进行数据流交互。6.—种数据流的分流装置，应用于包括若干互相级联的安全设备的视频监控系统中的安全设备，所述视频监控系统还包括前端设备以及后端设备，所述若干互相级联的安全设备连接在所述前端设备和所述后端设备之间，其特征在于，所述装置包括: 判断模块，用于判断接收到的数据流是否为经过安全检测的数据流； 第一处理模块，用于对于判断为经过安全检测的数据流，转发所述数据流;对于判断为未经过安全检测的数据流，判断所述数据流的流量大小是否超出设备支持的最大处理阈值； 第二处理模块，用于当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测后转发，对所述数据流中超出所述最大处理阈值的报文负载进行转发;当所述未经过安全检测的数据流的流量大小未超出所述最大处理阈值时，对所述未经安全检测的数据流进行安全检测后转发。7.根据权利要求6所述的装置，其特征在于，所述安全设备上的级联接口包括第一级联接口和第二级联接口，其中，相邻层级的两个安全设备之间第一级联接口与第一级联接口相连、第二级联接口与第二级联接口相连，且仅所述第一级联接口学习MAC地址，当所述安全设备通过视频监控系统中的其它安全设备与前端设备和后端设备相连时，所述装置还包括: 第三处理模块，用于当所述数据流为经过安全检测的数据流时，通过第一级联接口接收和转发所述数据流；当所述数据流为未经过安全检测的数据流时，通过第二级联接口接收和转发所述数据流。8.根据权利要求7所述的装置，其特征在于，所述装置还包括: 划分模块，用于当所述未经过安全检测的数据流的流量大小超出所述最大处理阈值时，根据预设的分流规则将所述数据流划分为未超出所述最大处理阈值的部分数据流以及超出所述最大处理阈值的报文负载两部分。9.根据权利要求8所述的装置，其特征在于，所述分流规则包括: 将所述数据流划分为若干个子数据流； 针对所述若干个子数据流执行不同的处理动作； 所述划分模块进一步用于: 基于所述分流规则对所述数据流中未超出所述最大处理阈值的部分数据流进行安全检测，并将安全检测后的所述部分数据流通过第一级联接口进行转发； 基于所述分流规则将所述数据流中超出所述最大处理阈值的报文负载通过第二级联接口进行转发。10.根据权利要求7所述的装置，其特征在于，所述装置还包括: 交互模块，用于当所述安全设备为互相级联的安全设备中层级最靠近前端设备的安全设备时，所述安全设备通过预设的接口与前端设备进行数据流交互；以及当所述安全设备为互相级联的安全设备中层级最靠近后端设备的安全设备时，所述安全设备通过预设的接口与后端设备进行数据流交互。
【文档编号】H04N7/18GK106027405SQ201610289433
【公开日】2016年10月12日
【申请日】2016年5月3日
【发明人】周迪, 余剑声
【申请人】浙江宇视科技有限公司