[发明专利]网络安全检测方法、系统、设备及控制器

说明书

公开一种网络安全检测方法、系统、设备及控制器，以提升网络安全，属于通信技术领域，所述方法包括：控制器接收网络中多个检测设备的安全检测性能；根据所述多个检测设备的安全检测性能，向接入设备中的待处理设备下发第一引流策略；其中，所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道。控制器根据网络中检测设备的安全检测性能，通过引流策略将接入设备的流量引流至检测设备进行检测，从而能够自动调配全网安全资源，避免网络设备服务降级导致的流量漏检。

技术领域

本申请涉及通信技术领域，尤其涉及一种网络安全检测方法、系统、设备及控制器。

背景技术

随着网络技术的发展，网络攻击的技术也是日新月异，对网络中传输的流量进行安全检测是提高网络防御能力的重要手段。

一般采用两种方式进行安全检测，第一种是在出口区域部署具备安全功能的防火墙设备，通过将流量从核心交换机引流到防火墙进行安全检测，然后将检测完毕的流量从防火墙回注到核心交换机。第二种是在全网部署网络安全功能的交换机设备，来进行全网防护。

但是，上述第一种方式受限于防火墙的处理性能，第二中方式受限于交换机的处理性能；当流量较大时，只有部分流量被输送至防火墙或者交换机进行检测，从而导致未检测的流量在网络中传播，威胁网络安全。

发明内容

本申请提供一种网络安全检测方法、系统、设备及控制器，以自动调配全网安全资源，避免网络设备服务降级导致的流量漏检。

第一方面，本申请提供一种网络安全检测方法，包括：控制器接收网络中多个检测设备的安全检测性能；根据所述检测设备的安全检测性能，向接入设备中的待处理设备下发第一引流策略；其中，所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道。

在第一方面中，企业网络架构中一般包括：出口防火墙、核心层、汇聚层、接入层，分别在出口防火墙、核心层、汇聚层、接入层设置威胁防御点，使得全网具备安全防御功能。进一步地，将出口防火墙、核心层、汇聚层、接入层中具备安全检测性能的网元设备作为检测设备，将出口防火墙、核心层、汇聚层、接入层中不具备安全检测性能的网元设备作为接入设备。所有的检测设备和接入设备均与控制器通信连接，控制器接收网络中多个检测设备的安全检测性能。该安全检测性能用于表征检测设备对数据进行安全检测的能力，包括数据处理量和处理的数据类型。控制器根据检测设备的安全检测性能，向接入设备中的待处理设备下发第一引流策略，以使得接入设备中的待处理设备与至少一个检测设备建立引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检测。从而充分利用了控制器的调配功能，使得控制器能够根据网络中检测设备的安全检测性能，通过引流策略将接入设备的流量引流至检测设备进行检测，实现全网安全资源的自动调配，避免网络设备服务降级导致的流量漏检。

可选地，本申请提供的网络安全检测方法中所述第一引流策略还包括：数据类型和具备检测所述数据类型的能力的检测设备间的对应关系；所述第一引流策略还用于指示所述待处理设备将属于所述数据类型的流量经由所述引流隧道发往所述具备检测所述数据类型的能力的检测设备。

在第一方面的一种可能的实现方式中，由于网络中不同的检测设备能够检测的数据类型不同，因此，控制器首先需要获取待处理设备中数据的类型，然后查找到具备检测该数据类型的能力的检测设备。最后生成第一引流策略，以指示待处理设备将该数据类型的流量经由引流隧道发往具备检测对应数据类型的能力的检测设备进行安全检测。从而能够按照数据类型对待处理设备的流量进行引流检测，充分利用网络中不同检测设备的检测性能，满足更多数据类型的检测需求。

可选地，本申请提供的网络安全检测方法还包括：根据所述待处理设备上通过的数据量和多个检测设备的安全检测能力确定所述至少一个检测设备，其中所述至少一个检测设备的安全检测能力的总和满足对所述待处理设备上通过的数据的检测。