[发明专利]一种智能的流量安全处理控制方法及装置

说明书

技术领域

本发明涉及数据通信技术，尤其涉及网络中流量处理的智能控制技术。

背景技术

随着网络的延伸，网络规模迅速扩大，安全问题变得日益复杂，建设可管、可控、可信的网络成为进一步推进网络应用发展的前提；另一方面随着网络所承载的业务日益复杂，保证应用层安全是网络安全发展的新的方向。

在网络发展的早期，网络设备的主要职责是路由转发。但随着网络相关应用的发展，服务质量保证以及安全处理等应用出现了，网络设备对一个报文的处理流程变得更长了。网络设备在进行报文转发之前，其内的应用程序会对通过他的网络封包进行分析，以判断是否有威胁存在，处理完后再按照一定的路由规则将封包转发出去，但是网络设备的处理能力是有限的，当网络中的流量很大时，网络设备如何能保证网络的畅通并且能实时的对网络进行保护呢，是现有技术中一直存在的技术难题。

发明内容

本发明的目的在于提供一种智能的流量安全处理控制装置，其应用于网络设备中，包括流量策略单元、安全处理单元、转发单元以及监控单元，其中

所述流量策略单元，用于从网络接口接收用户报文，结合网络设备当前的负荷状态并根据预定的策略确定所述用户报文送往所述转发单元还是送往所述安全处理单元；

所述安全处理单元，用于对从流量策略单元收到的用户报文进行安全检测，并将通过安全检测的报文送往转发单元，将未能通过安全检测的报文丢弃；

所述转发单元，用于根据报文的地址信息将从所述流量策略单元收到的用户报文转发出去；

所述监控单元，用于监控网络设备的负荷状态，并将负荷状态信息反馈给所述流量策略单元。

优选地，所述负荷状态是CPU利用率。

优选地，其中所述预定的策略为：如果所述负荷状态到达预设的第一阈值则将所述用户报文送往所述转发单元，否则将所述用户报文送往安全策略单元。

优选地，其中所述预定的策略为：如果所述负荷状态小于第一阈值，则将所述用户报文送往安全处理单元；如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于第一优先级，如果是，则将该报文送往安全处理单元，否则将用户报文送往转发单元。

优选地，其中所述预定的策略为：如果所述负荷状态未达到预设的第一阈值则将所述用户报文送往安全处理单元；如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值，则进一步判断用户报文是否属于第一优先级，如果是，则将该报文送往安全处理单元，否则将用户报文送往转发单元；如果所述负荷状态达到预设的第二阈值，则将该用户报文送往转发单元。

优选地，其中所述流量策略单元是根据用户报文中的优先级标记确定该用户报文是否属于第一优先级的，其中所述优先级标记是用户报文的IP地址或者进入流量策略单元之前网络设备为该用户报文打上的优先级标记。

本发明还提供一种智能的流量安全处理控制方法，应用于网络设备中，该方法包括：

步骤A、获取网络设备当前的负荷状态；

步骤B、从网络接口接收用户报文，结合网络设备当前的负荷状态并根据预定的策略确定是否对该报文进行安全处理，如果是转步骤C，否则转步骤D；

步骤C、对用户报文进行安全检测，如果用户报文通过安全检测转步骤D，否则丢弃该用户报文；；

步骤D、根据报文的地址信息将收到的用户报文转发出去。

优选地，所述负荷状态是CPU利用率。

优选地，其中所述预定的策略为：如果所述负荷状态到达预设的第一阈值转步骤D，否则转步骤C。

优选地，其中所述预定的策略为：如果所述负荷状态小于第一阈值，转步骤C；如果所述负荷状态大于等于第一阈值则进一步判断用户报文是否属于第一优先级，如果是则转步骤C，否则转步骤D。

优选地，其中所述预定的策略为：如果所述负荷状态未达到预设的第一阈值，转步骤C；如果所述负荷状态达到预设的第一阈值但未达到预设的第二阈值，则进一步判断用户报文是否属于第一优先级，如果是则转步骤C，否则转步骤D；如果所述负荷状态达到预设的第二阈值，转步骤D。

优选地，其中判断用户报文是否属于第一优先级具体为：根据用户报文中的优先级标记确定该用户报文是否属于第一优先级的，其中所述优先级标记是用户报文的IP地址或者进入流量策略单元之前网络设备为该用户报文打上的优先级标记。

相较于现有技术，当网络中的流量很大超过网络设备的处理能力时，本发明可以保证了网络的畅通，并且多级的安全处理的旁路功能也能保证网络设备重点保护的对象在流量没有超过其对应的阈值时继续受到保护，也就是可以继续做安全处理，达到了安全与网络通畅的平衡。

附图说明