公开一种网络安全检测的新方法、系统、设备及控制器，以提升网络安全，属于通信技术领域，所描述的方法包括：控制器接收网络中多个检测设备的安全检测性能；根据所述多个检测设备的安全检测性能，向接入设备中的待处理设备下发第一引流策略；其中，所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个检测设备建立引流隧道。控制器根据网络中检测设备的安全检测性能，通过引流策略将接入设备的流量引流至检测设备进行检测，从而能够自动调配全网安全资源，避免网络设备服务降级导致的流量漏检。

  (19)国家知识产权局 (12)发明专利 (10)授权公告号 CN 113810348 B (45)授权公告日 2023.04.07 (21)申请号 4.X (56)对比文件 (22)申请日 2020.06.17 CN 111221619 A,2020.06.02 US 2016205143 A1 ,2016.07.14 (65)同一申请的已公布的文献号 CN 107979614 A,2018.05.01 申请公布号 CN 113810348 A CN 109922021 A,2019.06.21 (43)申请公布日 2021.12.17 CN 104753951 A,2015.07.01 (73)专利权人 华为技术有限公司 CN 106911588 A,2017.06.30 地址 518129 广东省深圳市龙岗区坂田华 CN 109981355 A,2019.07.05 为总部办公楼 CN 110798459 A,2020.02.14 审查员 徐凯 (72)发明人 张镇伟 (74)专利代理机构 北京同立钧成知识产权代理 有限公司 11205 专利代理师 祝乐芳臧建明 (51)Int.Cl. H04L 9/40 (2022.01) H04L 43/12 (2022.01) 权利要求书3页 说明书11页 附图6页 (54)发明名称 网络安全检测方法、系统、设备及控制器 (57)摘要 公开一种网络安全检测方法、系统、设备及 控制器，以提升网络安全，属于通信技术领域，所 述方法有：控制器接收网络中多个检测设备的 安全检测性能；根据所述多个检测设备的安全检 测性能，向接入设备中的待处理设备下发第一引 流策略 ；其中，所述第一引流策略用于指示所述 待处理设备与所述多个检测设备中的至少一个 检测设备建立引流隧道。控制器根据网络中检测 设备的安全检测性能，通过引流策略将接入设备 的流量引流至检测设备做检测，从而能够自动 调配全网安全资源，避免网络设备服务降级导致 的流量漏检。 B 8 4 3 0 1 8 3 1 1 N C CN 113810348 B 权利要求书 1/3页 1.一种网络安全检测方法，其特征在于，所述方法包括： 控制器接收网络中多个检测设备的安全检测性能；所述安全检测性能包括数据处理 量； 根据所述多个检测设备的安全检测性能，向接入设备中的待处理设备下发第一引流策 略；其中，所述第一引流策略用于指示所述待处理设备与所述多个检测设备中的至少一个 检测设备建立引流隧道； 所述方法还包括： 根据所述待处理设备上通过的数据量和多个检测设备的安全检测能力确定所述至少 一个检测设备，其中所述至少一个检测设备的安全检测能力的总和满足对所述待处理设备 上通过的数据的检测；所述安全检测能力包括所述安全检测性能； 当所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过 的数据的检测时，向所述至少一个检测设备中的一个或多个检测设备发送第二引流策略； 所述第二引流策略用于指示一个或多个检测设备与所述至少一个检测设备之外的其他检 测设备建立引流隧道。 2.根据权利要求1所述的方法，其特征在于， 所述第一引流策略还包括：数据类型和具备检测所述数据类型的能力的检测设备间的 对应关系； 所述第一引流策略还用于指示所述待处理设备将属于所述数据类型的流量经由所述 引流隧道发往所述具备检测所述数据类型的能力的检测设备。 3.根据权利要求1所述的方法，其特征在于，所述至少一个检测设备的安全检测能力的 总和无法满足对所述待处理设备上通过的数据的检测，包括： 所述待处理设备上通过的数据量上升，从而所述至少一个检测设备的安全检测能力的 总和无法满足对所述待处理设备上通过的数据的检测。 4.一种网络安全检测方法，其特征在于，所述方法包括： 接入设备向控制器发送数据类型和/或数据量； 接收来自所述控制器的第一引流策略；其中，所述第一引流策略与所述数据类型和/或 数据量相关； 根据所述第一引流策略，与至少一个检测设备建立第一引流隧道；其中所述至少一个 检测设备的安全检测能力的总和满足对所述接入设备上通过的数据的检测；所述安全检测 能力包括安全检测性能；所述安全检测性能包括数据处理量； 通过所述第一引流隧道，向所述至少一个检测设备发送数据； 当所述至少一个检测设备的安全检测能力不满足对来自第一引流隧道的数据的检测 需求时，超出的流量经由第二引流隧道传输至另一检测设备进行仔细的检测；所述第二引流隧道 为所述至少一个检测设备中的一个或多个检测设备与所述至少一个检测设备之外的其他 检测设备之间的引流隧道。 5.一种网络安全检测方法，其特征在于，所述方法包括： 当检测设备的安全检测能力不满足对来自第一引流隧道的数据的检测需求时，所述检 测设备接收控制器发送的引流策略；所述安全检测能力包括安全检测性能；所述安全检测 性能包括数据处理量； 2 2 CN 113810348 B 权利要求书 2/3页 所述检测设备根据所述引流策略，与另一检测设备建立第二引流隧道，并将超出所述 检测设备检测能力的数据用所述第二引流隧道发往所述另一检测设备。 6.一种控制器，其特征在于，包括： 接收模块，用于接收网络中多个检测设备的安全检测性能；所述安全检测性能包括数 据处理量； 处理模块，用于根据所述多个检测设备的安全检测性能，向接入设备中的待处理设备 下发第一引流策略；其中，所述第一引流策略用于指示所述待处理设备与所述多个检测设 备中的至少一个检测设备建立引流隧道； 所述处理模块，还用于： 根据所述待处理设备上通过的数据量和多个检测设备的安全检测能力确定所述至少 一个检测设备，其中所述至少一个检测设备的安全检测能力的总和满足对所述待处理设备 上通过的数据的检测；所述安全检测能力包括所述安全检测性能； 所述处理模块，还用于： 当所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备上通过 的数据的检测时，向所述至少一个检测设备中的一个或多个检测设备发送第二引流策略； 所述第二引流策略用于指示一个或多个检测设备与所述至少一个检测设备之外的其他检 测设备建立引流隧道。 7.根据权利要求6所述的控制器，其特征在于，所述第一引流策略还包括：数据类型和 具备检测所述数据类型的能力的检测设备间的对应关系； 所述第一引流策略还用于指示所述检测设备将属于所述数据类型的流量经由所述引 流隧道发往所述具备检测所述数据类型的能力的检测设备。 8.根据权利要求6所述的控制器，其特征在于，所述处理模块还用于： 当所述待处理设备上通过的数据量上升，从而所述至少一个检测设备的安全检测能力 的总和无法满足对所述待处理设备上通过的数据的检测时，向所述至少一个检测设备中的 一个或多个检测设备发送第二引流策略；所述第二引流策略用于指示一个或多个检测设备 与所述至少一个检测设备之外的其他检测设备建立引流隧道。 9.一种接入设备，其特征在于，包括： 发送模块，用于向控制器发送数据类型和/或数据量； 接收模块，用于接收来自所述控制器的第一引流策略；其中，所述第一引流策略与所述 数据类型和/或数据量相关； 处理模块，用于根据所述第一引流策略，与至少一个检测设备建立第一引流隧道；其中 所述至少一个检测设备的安全检测能力的总和满足对所述接入设备上通过的数据的检测； 所述安全检测能力包括安全检测性能；所述安全检测性能包括数据处理量； 发送模块，用于通过所述第一引流隧道，向所述至少一个检测设备发送数据；其中，当 所述至少一个检测设备的安全检测能力不满足对来自第一引流隧道的数据的检测需求时， 超出的流量经由第二引流隧道传输至另一检测设备进行检测；所述第二引流隧道为所述至 少一个检测设备中的一个或多个检测设备与所述至少一个检测设备之外的其他检测设备 之间的引流隧道。 10.一种检测设备，其特征在于，包括： 3 3 CN 113810348 B 权利要求书 3/3页 接收模块，用于当检测设备的安全检测能力不满足对来自第一引流隧道的数据的检测 需求时，接收控制器发送的引流策略；所述安全检测能力包括安全检测性能；所述安全检测 性能包括数据处理量； 处理模块，用于根据所述引流策略，与另一检测设备建立第二引流隧道，并将超出所述 检测设备检测能力的数据用所述第二引流隧道发往所述另一检测设备。 11.一种网络安全检测系统，其特征在于，所述系统包括：控制器、接入设备、检测设备； 其中： 所述控制器用以执行如权利要求1‑3中任一项所述的方法； 所述接入设备用以执行如权利要求4所述的方法； 所述检测设备用以执行如权利要求5所述的方法。 4 4 CN 113810348 B 说明书 1/11页 网络安全检测方法、系统、设备及控制器 技术领域 [0001] 本申请涉及通信技术领域，尤其涉及一种网络安全检测方法、系统、设备及控制 器。 背景技术 [0002] 随着网络技术的发展，网络攻击的技术也是日新月异，对网络中传输的流量进行 安全检测是提高网络防御能力的重要手段。 [0003] 一般采用两种方式进行安全检测，第一种是在出口区域部署具备安全功能的防火 墙设备，通过将流量从核心交换机引流到防火墙进行安全检测，然后将检测完毕的流量从 防火墙回注到核心交换机。第二种是在全网部署网络安全功能的交换机设备，来进行全网 防护。 [0004] 但是，上述第一种方式受限于防火墙的处理性能，第二中方式受限于交换机的处 理性能；当流量较大时，只有部分流量被输送至防火墙或者交换机进行检测，从而导致未检 测的流量在网络中传播，威胁网络安全。 发明内容 [0005] 本申请提供一种网络安全检测方法、系统、设备及控制器，以自动调配全网安全资 源，避免网络设备服务降级导致的流量漏检。 [0006] 第一方面，本申请提供一种网络安全检测方法，包括：控制器接收网络中多个检测 设备的安全检测性能；根据所述检测设备的安全检测性能，向接入设备中的待处理设备下 发第一引流策略；其中，所述第一引流策略用于指示所述待处理设备与所述多个检测设备 中的至少一个检测设备建立引流隧道。 [0007] 在第一方面中，企业网络架构中一般包括：出口防火墙、核心层、汇聚层、接入层， 分别在出口防火墙、核心层、汇聚层、接入层设置威胁防御点，使得全网具备安全防御功能。 进一步地，将出口防火墙、核心层、汇聚层、接入层中具备安全检测性能的网元设备作为检 测设备，将出口防火墙、核心层、汇聚层、接入层中不具备安全检测性能的网元设备作为接 入设备。所有的检测设备和接入设备均与控制器通信连接，控制器接收网络中多个检测设 备的安全检测性能。该安全检测性能用于表征检测设备对数据进行安全检测的能力，包括 数据处理量和处理的数据类型。控制器根据检测设备的安全检测性能，向接入设备中的待 处理设备下发第一引流策略，以使得接入设备中的待处理设备与至少一个检测设备建立引 流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检测。从 而充分利用了控制器的调配功能，使得控制器能够根据网络中检测设备的安全检测性能， 通过引流策略将接入设备的流量引流至检测设备进行检测，实现全网安全资源的自动调 配，避免网络设备服务降级导致的流量漏检。 [0008] 可选地，本申请提供的网络安全检测方法中所述第一引流策略还包括：数据类型 和具备检测所述数据类型的能力的检测设备间的对应关系；所述第一引流策略还用于指示 5 5 CN 113810348 B 说明书 2/11页 所述待处理设备将属于所述数据类型的流量经由所述引流隧道发往所述具备检测所述数 据类型的能力的检测设备。 [0009] 在第一方面的一种可能的实现方式中，由于网络中不同的检测设备能够检测的数 据类型不同，因此，控制器首先需要获取待处理设备中数据的类型，然后查找到具备检测该 数据类型的能力的检测设备。最后生成第一引流策略，以指示待处理设备将该数据类型的 流量经由引流隧道发往具备检测对应数据类型的能力的检测设备进行安全检测。从而能够 按照数据类型对待处理设备的流量进行引流检测，充分利用网络中不同检测设备的检测性 能，满足更多数据类型的检测需求。 [0010] 可选地，本申请提供的网络安全检测方法还包括：根据所述待处理设备上通过的 数据量和多个检测设备的安全检测能力确定所述至少一个检测设备，其中所述至少一个检 测设备的安全检测能力的总和满足对所述待处理设备上通过的数据的检测。 [0011] 在第一方面的一种可能的实现方式中，由于网络中不同的检测设备能够检测的数 据量不同，当待处理设备的流量较大时，可能需要调配多个检测设备对待处理设备的流量 进行安全检测。此时，控制器根据待处理设备上通过的数据量和多个检测设备的安全检测 能力确定与待处理设备建立引流隧道的检测设备。从而能够按照待处理的数据量对待处理 设备的流量进行引流检测，充分利用网络中不同检测设备的检测性能，满足更高数据量的 检测需求。 [0012] 可选地，本申请提供的网络安全检测方法还包括：当所述待处理设备上通过的数 据量上升，从而所述至少一个检测设备的安全检测能力的总和无法满足对所述待处理设备 上通过的数据的检测时，向所述至少一个检测设备中的一个或多个检测设备发送第二引流 策略；所述第二引流策略用于指示一个或多个检测设备与所述至少一个检测设备之外的其 他检测设备建立引流隧道。 [0013] 在第一方面的一种可能的实现方式中，待处理设备输出的流量是一个变化值，当 待处理设备上通过的数据量上升，且当前建立引流隧道的检测设备的安全检测能力的总和 无法满足对待处理设备上通过的数据的检测时，控制器会向已经与待处理设备建立引流隧 道的检测设备，和/或剩余的未与待处理设备建立引流隧道的检测设备发送第二引流策略， 以使得流量被送往更多的检测设备进行安全检测。从而能够适应于流量的动态变化，使得 调度的检测设备能够一直满足待处理设备的流量检测需求，提升了检测效率。 [0014] 第二方面，本申请提供一种网络安全检测方法，所述方法包括：接入设备向控制器 发送数据类型和/或数据量；接收来自所述控制器的第一引流策略；其中，所述第一引流策 略与所述数据类型和/或数据量相关；根据所述第一引流策略，与至少一个检测设备建立引 流隧道；通过所述引流隧道，向所述检测设备发送数据。 [0015] 在第二方面中，企业网络架构中一般包括：出口防火墙、核心层、汇聚层、接入层， 分别在出口防火墙、核心层、汇聚层、接入层设置威胁防御点，使得全网具备安全防御功能。 进一步地，将出口防火墙、核心层、汇聚层、接入层中具备安全检测性能的网元设备作为检 测设备，将出口防火墙、核心层、汇聚层、接入层中不具备安全检测性能的网元设备作为接 入设备。所有的检测设备和接入设备均与控制器通信连接，接入设备向控制器发送数据类 型和/或数据量，并根据控制器发送的第一引流策略，将接入设备中的待处理设备与至少一 个检测设备建立引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备 6 6 CN 113810348 B 说明书 3/11页 进行安全检测。从而充分利用了控制器的调配功能，使得控制器能够根据数据类型和/或数 据量，通过引流策略将接入设备的流量引流至检测设备进行检测，实现全网安全资源的自 动调配，避免网络设备服务降级导致的流量漏检。 [0016] 第三方面，本申请提供一种网络安全检测方法，所述方法包括：当检测设备的检测 能力不满足对来自第一引流隧道的数据的检测需求时，所述检测设备接收控制器发送的引 流策略；所述检测设备根据所述引流策略，与另一检测设备建立第二引流隧道，并将超出所 述检测设备检测能力的数据用所述第二引流隧道发往所述另一检测设备。 [0017] 在第三方面中，企业网络架构中一般包括：出口防火墙、核心层、汇聚层、接入层， 分别在出口防火墙、核心层、汇聚层、接入层设置威胁防御点，使得全网具备安全防御功能。 进一步地，将出口防火墙、核心层、汇聚层、接入层中具备安全检测性能的网元设备作为检 测设备，将出口防火墙、核心层、汇聚层、接入层中不具备安全检测性能的网元设备作为接 入设备。所有的检测设备和接入设备均与控制器通信连接，当检测设备的检测能力不满足 对来自第一引流隧道的数据的检测需求时，检测设备接收控制器发送的引流策略，与另一 检测设备建立第二引流隧道，使得超出检测设备性能的流量经由第二引流隧道传输至另一 检测设备进行检测。从而能够适应于流量的动态变化，使得调度的检测设备能够一直满足 待处理设备的流量检测需求，提升了检测效率。 [0018] 第四方面，本申请提供一种控制器，包括： [0019] 接收模块，用于接收网络中多个检测设备的安全检测性能； [0020] 处理模块，用于根据所述检测设备的安全检测性能，向接入设备中的待处理设备 下发第一引流策略；其中，所述第一引流策略用于指示所述待处理设备与所述多个检测设 备中的至少一个检测设备建立引流隧道。 [0021] 可选地，所述第一引流策略还包括：数据类型和具备检测所述数据类型的能力的 检测设备间的对应关系； [0022] 所述第一引流策略还用于指示所述检测设备将属于所述数据类型的流量经由所 述引流隧道发往所述具备检测所述数据类型的能力的检测设备。 [0023] 可选地，所述处理模块，还用于： [0024] 根据所述待处理设备上通过的数据量和多个检测设备的安全检测能力确定所述 至少一个检测设备，其中所述至少一个检测设备的安全检测能力的总和满足对所述待处理 设备上通过的数据的检测。 [0025] 可选地，所述处理模块还用于： [0026] 当所述待处理设备上通过的数据量上升，从而所述至少一个检测设备的安全检测 能力的总和无法满足对所述待处理设备上通过的数据的检测时，向所述至少一个检测设备 中的一个或多个检测设备发送第二引流策略；所述第二引流策略用于指示一个或多个检测 设备与所述至少一个检测设备之外的其他检测设备建立引流隧道。 [0027] 第五方面，本申请提供一种接入设备，包括： [0028] 发送模块，用于向控制器发送数据类型和/或数据量； [0029] 接收模块，用于接收来自所述控制器的第一引流策略；其中，所述第一引流策略与 所述数据类型和/或数据量相关； [0030] 处理模块，用于根据所述第一引流策略，与至少一个检测设备建立引流隧道； 7 7 CN 113810348 B 说明书 4/11页 [0031] 发送模块，用于通过所述引流隧道，向所述检测设备发送数据。 [0032] 第六方面，本申请提供一种检测设备，包括： [0033] 接收模块，用于当检测设备的检测能力不满足对来自第一引流隧道的数据的检测 需求时，接收控制器发送的引流策略； [0034] 处理模块，用于根据所述引流策略，与另一检测设备建立第二引流隧道，并将超出 所述检测设备检测能力的数据用所述第二引流隧道发往所述另一检测设备。 [0035] 第七方面，本申请提供一种网络安全检测系统，所述系统包括：控制器、接入设备、 检测设备；其中： [0036] 所述控制器用以执行如第一方面中任一项所述的方法； [0037] 所述接入设备用以执行如第二方面所述的方法； [0038] 所述检测设备用以执行如第三方面所述的方法。 [0039] 第八方面，本申请提供一种可读存储介质，所述可读存储介质上存储有计算机程 序；所述计算机程序在被执行时，实现第一方面本申请所述的方法。 [0040] 第九方面，本申请提供一种程序产品，所述程序产品包括计算机程序，所述计算机 程序存储在可读存储介质中，通信装置的至少一个处理器可以从所述可读存储介质读取所 述计算机程序，所述至少一个处理器执行所述计算机程序使得装置实施第一方面本申请任 一所述的方法。 [0041] 本申请提供的网络安全检测方法、系统、设备及控制器，控制器接收网络中多个检 测设备的安全检测性能；根据所述检测设备的安全检测性能，向接入设备中的待处理设备 下发第一引流策略；其中，所述第一引流策略用于指示所述待处理设备与所述多个检测设 备中的至少一个检测设备建立引流隧道。控制器根据网络中检测设备的安全检测性能，通 过引流策略将接入设备的流量引流至检测设备进行检测，从而能自动调配全网安全资 源，避免网络设备服务降级导致的流量漏检。 附图说明 [0042] 图1为本申请实施例提供的一种网络安全防御的架构示意图； [0043] 图2为本申请实施例提供的一种网络安全检测的新方法的流程示意图一； [0044] 图3为本申请实施例提供的一种网络安全检测的新方法的流程示意图二； [0045] 图4为本申请实施例提供的一种网络安全检测方法的信令交互示意图一； [0046] 图5为本申请实施例提供的一种网络安全检测方法的信令交互示意图二； [0047] 图6为本申请实施例提供的一种控制器的结构示意图一； [0048] 图7为本申请实施例提供的一种接入设备的结构示意图； [0049] 图8为本申请实施例提供的一种检测设备的结构示意图； [0050] 图9为本申请实施例提供的一种交换机设备的结构示意图； [0051] 图10为本申请实施例提供的一种控制器的结构示意图二。 具体实施方式 [0052] 图1为本申请实施例提供的一种网络安全防御的架构示意图；如图1所示，包括：出 口防火墙、核心层、汇聚层、接入层，分别在出口防火墙、核心层、汇聚层、接入层设置威胁防 8 8 CN 113810348 B 说明书 5/11页 御点，使得全网具备安全防御功能。进一步地，将出口防火墙、核心层、汇聚层、接入层中具 备安全检测性能的网元设备作为检测设备，将出口防火墙、核心层、汇聚层、接入层中不具 备安全检测性能的网元设备作为接入设备。所有的检测设备和接入设备均与控制器通信连 接，控制器接收网络中多个检测设备的安全检测性能。该安全检测性能用于表征检测设备 对数据进行安全检测的能力，包括数据处理量和处理的数据类型。控制器根据检测设备的 安全检测性能，向接入设备中的待处理设备下发第一引流策略，以使得接入设备中的待处 理设备与至少一个检测设备建立引流隧道。待处理设备输出的数据通过引流隧道发送给至 少一个检测设备做安全检测。从而充分利用了控制器的调配功能，使得控制器能够根据 网络中检测设备的安全检测性能，通过引流策略将接入设备的流量引流至检测设备进行检 测，实现全网安全资源的自动调配，避免网络设备服务降级导致的流量漏检。 [0053] 图2为本申请实施例提供的一种网络安全检测方法的流程示意图一；如图2所示， 本实施例中的方法可以包括： [0054] S101、控制器接收网络中多个检测设备的安全检测性能。 [0055] 示例性的，本实施例中的网络安全检测方法适用于工业园区网络，或者企业网络 等等局域网场景。以企业网络为例，在企业网络中包括多个网元设备，这些网元设备可以是 交换机、防火墙等等。为了便于区分，将自身具备安全检测能力的网元设备称为检测设备， 将不具备安全检测能力，或者安全检测能力有限需要依赖其他检测设备进行安全检测的网 元设备称为接入设备。网络中所有的接入设备和检测设备均与控制器通信连接。在步骤 S101中，控制器接收网络中多个检测设备的安全检测性能。例如，表1给出了名称为xxx和名 称为yyy的检测设备的安全检测性能；表2给出了不同数据类型的安全检测性能。 [0056] 表1 [0057] 检测设备 安全检测性能 xxx 40Gbps yyy 10Gbps [0058] 表2 [0059] [0060] 参见表1、表2所示，网络中不同检测设备的安全检测性能不同，因此，在建网之后， 控制器需要先获取网络中各个检测设备的安全检测性能，以便于后续进行检查设备的调 配。 [0061] S102、根据多个检测设备的安全检测性能，向接入设备中的待处理设备下发第一 引流策略。 [0062] 示例性的，在步骤S102中，第一引流策略用于指示待处理设备与多个检测设备中 的至少一个检测设备建立引流隧道。控制器根据检测设备的安全检测性能，向接入设备中 的待处理设备下发第一引流策略，以使得接入设备中的待处理设备与至少一个检测设备建 立引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检 9 9 CN 113810348 B 说明书 6/11页 测。从而充分利用了控制器的调配功能，使得控制器能够根据网络中检测设备的安全检测 性能，通过引流策略将接入设备的流量引流至检测设备进行仔细的检测，实现全网安全资源的自 动调配，避免网络设备服务降级导致的流量漏检。 [0063] 需要说明的是，本实施例中不限定与待处理设备建立引流隧道的检测设备的数 量。 [0064] 在一种可选的实施方式中，控制器向待处理设备下发的第一引流策略可以包括数 据类型和具备检测数据类型的能力的检测设备间的对应关系。待处理设备根据第一引流策 略，将不同的数据类型的数据引流至具备检测数据类型的能力的检测设备进行安全检测。 [0065] 示例性的，参见表1，当待处理设备输出的数据只有一种通用类型的数据，即任何 检测设备均可以进行检测时，可以根据待处理设备上通过的数据量和多个检测设备的安全 检测能力确定至少一个检测设备，其中至少一个检测设备的安全检测能力的总和满足对待 处理设备上通过的数据的检测。 [0066] 示例性的，参见表2，当待处理设备输出的数据包括不同类型的数据，此时，需要按 照数据类型选择多个检测设备对待处理设备输出的数据进行安全检测。 [0067] 在另一种可选的实施方式中，当待处理设备上通过的数据量上升，从而至少一个 检测设备的安全检测能力的总和无法满足对待处理设备上通过的数据的检测时，向至少一 个检测设备中的一个或多个检测设备发送第二引流策略；第二引流策略用于指示一个或多 个检测设备与至少一个检测设备之外的其他检测设备建立引流隧道。 [0068] 本实施例中，待处理设备输出的流量是一个变化值，当待处理设备上通过的数据 量上升，且当前建立引流隧道的检测设备的安全检测能力的总和无法满足对待处理设备上 通过的数据的检测时，控制器会向已经与待处理设备建立引流隧道的检测设备，和/或剩余 的未与待处理设备建立引流隧道的检测设备发送第二引流策略，以使得流量被送往更多的 检测设备进行安全检测。从而能够适应于流量的动态变化，使得调度的检测设备能够一直 满足待处理设备的流量检测需求，提升了检测效率。 [0069] 图3为本申请实施例提供的一种网络安全检测的新方法的流程示意图二；如图3所示， 本实施例中的方法可以包括： [0070] S201、控制器接收网络中多个检测设备的安全检测性能。 [0071] 示例性的，本实施例中的网络安全检测方法适用于工业园区网络，或者企业网络 等等局域网场景。以企业网络为例，在企业网络中包括多个网元设备，这些网元设备可以是 交换机、防火墙等等。为了便于区分，将自身具备安全检验测试能力的网元设备称为检测设备， 将不具备安全检验测试能力，或者安全检验测试能力有限需要依赖其他检测设备进行安全检测的网 元设备称为接入设备。网络中所有的接入设备和检测设备均与控制器通信连接。在步骤 S201中，控制器接收网络中多个检测设备的安全检测性能。 [0072] S202、接入设备向控制器发送数据类型和/或数据量。 [0073] 示例性的，在步骤S202中，接入设备向控制器发送数据类型和/或数据量，从而便 于控制器根据数据类型和/或数据量制定第一引流策略。该第一引流策略用于指示待处理 设备与多个检测设备中的至少一个检测设备建立引流隧道。 [0074] S203、控制器根据多个检测设备的安全检测性能，向接入设备中的待处理设备下 发第一引流策略。 10 10 CN 113810348 B 说明书 7/11页 [0075] 示例性的，在步骤S203中，控制器根据检测设备的安全检测性能，向接入设备中的 待处理设备下发第一引流策略，以使得接入设备中的待处理设备与至少一个检测设备建立 引流隧道。待处理设备输出的数据通过引流隧道发送给至少一个检测设备进行安全检测。 [0076] S204、接入设备接收来自控制器的第一引流策略。 [0077] 示例性的，在步骤S204中，待处理设备(接入设备中的一个或多个)接收控制器发 送的第一引流策略，该第一引流策略包括：数据类型和具备检测数据类型的能力的检测设 备间的对应关系。该第一引流策略还用于指示待处理设备将属于数据类型的流量经由引流 隧道发往具备检测数据类型的能力的检测设备。 [0078] S205、接入设备根据第一引流策略，与至少一个检测设备建立引流隧道。 [0079] 示例性的，在步骤S205中，待处理设备根据第一引流策略，与至少一个检测设备建 立引流隧道。其中，待处理设备上通过的数据量与建立引流隧道的检测设备的安全监测性 能相匹配。即检测设备的安全检验测试能力的总和满足对待处理设备上通过的数据的检测。 [0080] S206、接入设备通过引流隧道，向检测设备发送数据。 [0081] 示例性的，在步骤S206中，待处理设备通过引流隧道将对应的数据发送给检测设 备进行安全检测。从而充分利用了控制器的调配功能，使得控制器能够根据数据类型和/或 数据量，通过引流策略将接入设备的流量引流至检测设备进行检测，实现全网安全资源的 自动调配，避免网络设备服务降级导致的流量漏检。 [0082] 可选地，本实施例中的方法还可以包括： [0083] S207、当检测设备的检测能力不满足对来自第一引流隧道的数据的检测需求时， 检测设备接收控制器发送的引流策略。 [0084] 示例性的，当检测设备的检测能力不满足对来自第一引流隧道的数据的检测需求 时，检测设备接收控制器发送的引流策略，与另一检测设备建立第二引流隧道，使得超出检 测设备性能的流量经由第二引流隧道传输至另一检测设备进行检测。 [0085] S208、检测设备根据引流策略，与另一检测设备建立第二引流隧道，并将超出检测 设备检测能力的数据用第二引流隧道发往另一检测设备。 [0086] 示例性的，本实施例中不限定建立引流隧道的数量，任一检测设备在数据承载量 超出预设阈值时，均可以将超出的数据通过第二引流隧道传输给其他检测设备进行安全检 测。从而能够适应于流量的动态变化，使得调度的检测设备能够一直满足待处理设备(接入 设备中的一个或多个)的流量检测需求，提升了检测效率。 [0087] 图4为本申请实施例提供的一种网络安全检测方法的信令交互示意图一，如图4所 示，本实施例中的方法可以包括： [0088] S301、检测设备向控制器上报安全检测性能。 [0089] S302、控制器根据网络中检测设备的安全检测性能，生成一级引流策略。 [0090] S303、控制器向接入设备下发一级引流策略。 [0091] S304、接入设备根据一级引流策略，与至少一个检测设备建立引流隧道。 [0092] S305、接入设备通过引流隧道将流量发送给检测设备。 [0093] S306、检测设备对流量进行安全检测。 [0094] S307、检测设备向接入设备反馈检测结果。 [0095] S308、接入设备根据检测结果进行流量阻断。 11 11 CN 113810348 B 说明书 8/11页 [0096] S309、当接入设备的流量上升，检测设备不足以满足当前检测需求时，控制器向检测 设备下发二级引流策略。 [0097] S310、检测设备根据二级引流策略与其他检测设备建立引流隧道。 [0098] S311、检查设备将超出检验测试能力的流量发送给其他检测设备。 [0099] S312、其他检测设备对流量进行安全检测。 [0100] S313、其他检测设备将检测结果通过检测设备转发给接入设备。 [0101] S314、接入设备根据检测结果进行流量阻断。 [0102] 本实施例中，控制器根据网络中检测设备的安全检测性能，生成一级引流策略，然 后接入设备按照该一级引流策略与检测设备建立引流隧道。当接入设备的流量上升，已经 建立引流隧道的检测设备不足以满足接入设备的当前检测需求时，控制器向检测设备下发二 级引流策略，以使得检测设备将超出检验测试能力的流量发送给其他检测设备，由其他检测设 备辅助进行流量检测。检测设备将流量检测结果反馈给接入设备，当检测结果为存在威胁 时，接入设备对对应流量进行阻断，从而维护全网安全。 [0103] 本实施例中不限定建立引流隧道的数量，任一检测设备在数据承载量超出预设阈 值时，均可以将超出的数据通过第二引流隧道传输给其他检测设备进行安全检测。从而能 够适应于流量的动态变化，使得调度的检测设备能够一直满足待处理设备(接入设备中的 一个或多个)的流量检测需求，提升了检测效率。 [0104] 图5为本申请实施例提供的一种网络安全检测方法的信令交互示意图二，如图5所 示，本实施例中的方法可以包括： [0105] S401、检测设备向控制器上报安全检测性能。 [0106] S402、控制器根据网络中检测设备的安全检测性能，生成一级引流策略。 [0107] S403、控制器向接入设备下发一级引流策略。 [0108] S404、接入设备根据一级引流策略，与至少一个检测设备建立引流隧道。 [0109] S405、接入设备通过引流隧道将流量发送给检测设备。 [0110] S406、检测设备对流量进行安全检测。 [0111] S407、检测设备向接入设备反馈检测结果。 [0112] S408、接入设备根据检测结果进行流量阻断。 [0113] S409、当接入设备的流量上升，检测设备不足以满足当前检测需求时，控制器向接入 设备下发二级引流策略。 [0114] S410、接入设备根据二级引流策略与其他检测设备建立引流隧道。 [0115] S411、接入设备将超出检测设备的检验测试能力的流量发送给其他检测设备。 [0116] S412、其他检测设备对流量进行安全检测。 [0117] S413、其他检测设备将检测结果发送给接入设备。 [0118] S414、接入设备根据检测结果进行流量阻断。 [0119] 本实施例中，控制器根据网络中检测设备的安全检测性能，生成一级引流策略，然 后接入设备按照该一级引流策略与检测设备建立引流隧道。当接入设备的流量上升，已经 建立引流隧道的检测设备无法满足接入设备的当前检测需求时，控制器向接入设备下发二 级引流策略，以使得接入设备将超出检测设备的检验测试能力的流量发送给其他检测设备，由 其他检测设备辅助进行流量检测。检测设备将流量检测结果反馈给接入设备，当检测结果 12 12 CN 113810348 B 说明书 9/11页 为存在威胁时，接入设备对对应流量进行阻断，从而维护全网安全。 [0120] 本实施例中不限定建立引流隧道的数量，当检测设备在数据承载量超出预设阈值 时，接入设备可以将超出的数据通过第二引流隧道传输给其他检测设备进行安全检测。从 而能够适应于流量的动态变化，使得调度的检测设备能够一直满足待处理设备(接入设备 中的一个或多个)的流量检测需求，提升了检测效率。 [0121] 图6为本申请实施例提供的一种控制器的结构示意图一，如图6所示，控制器可以 包括： [0122] 接收模块61，用于接收网络中多个检测设备的安全检测性能； [0123] 处理模块62，用于根据多个检测设备的安全检测性能，向接入设备中的待处理设 备下发第一引流策略；其中，第一引流策略用于指示待处理设备与多个检测设备中的至少 一个检测设备建立引流隧道。 [0124] 可选地，第一引流策略还包括：数据类型和具备检测数据类型的能力的检测设备 间的对应关系；第一引流策略还用于指示检测设备将属于数据类型的流量经由引流隧道发 往具备检测数据类型的能力的检测设备。 [0125] 可选地，处理模块62，还用于：根据待处理设备上通过的数据量和多个检测设备的 安全检验测试能力确定至少一个检测设备，其中至少一个检测设备的安全检验测试能力的总和满足 对待处理设备上通过的数据的检测。 [0126] 可选地，处理模块62还用于：当待处理设备上通过的数据量上升，从而至少一个检 测设备的安全检验测试能力的总和无法满足对待处理设备上通过的数据的检测时，向至少一个 检测设备中的一个或多个检测设备发送第二引流策略；第二引流策略用于指示一个或多个 检测设备与至少一个检测设备之外的其他检测设备建立引流隧道。 [0127] 本实施例中的控制器可以执行如图2～图5所示的方法，其具体实现过程和实现原 理，参见图2～图5所示的方法描述的内容，此处不再赘述。 [0128] 图7为本申请实施例提供的一种接入设备的结构示意图，如图7所示，接入设备可 以包括： [0129] 发送模块71，用于向控制器发送数据类型和/或数据量； [0130] 接收模块72，用于接收来自控制器的第一引流策略；其中，第一引流策略与数据类 型和/或数据量相关； [0131] 处理模块73，用于根据第一引流策略，与至少一个检测设备建立引流隧道； [0132] 发送模块71，用于通过引流隧道，向检测设备发送数据。 [0133] 本实施例中的控制器可以执行如图2～图5所示的方法，其具体实现过程和实现原 理，参见图2～图5所示的方法描述的内容，此处不再赘述。 [0134] 图8为本申请实施例提供的一种检测设备的结构示意图，如图8所示，检测设备可 以包括： [0135] 接收模块81，用于当检测设备的检测能力不满足对来自第一引流隧道的数据的检 测需求时，接收控制器发送的引流策略； [0136] 处理模块82，用于根据引流策略，与另一检测设备建立第二引流隧道，并将超出检 测设备检验测试能力的数据用第二引流隧道发往另一检测设备。 [0137] 本实施例中的控制器可以执行如图2～图5所示的方法，其具体实现过程和实现原 13 13 CN 113810348 B 说明书 10/11页 理，参见图3～图5所示的方法描述的内容，此处不再赘述。 [0138] 图9为本申请实施例提供的一种交换机设备的结构示意图，如图9所示，本实施例 中的交换机设备可以包括：网络接口91、处理器92、存储器93、网络转发芯片94。交换机设备 中具备数据安全检测性能时，可以作为检测设备使用。当交换机设备不具备数据安全检测 性能，或者其自身的数据安全检测性能不能满足自身数据检测需求时，交换机设备可以作 为接入设备使用。需要说明的是，本是实施例不限定交换机设备的具体内部架构，一些交换 机设备也可以不设置网络转发芯片，而是直接由处理器来执行数据转发。 [0139] 图10为本申请实施例提供的一种控制器的结构示意图二，如图10所示，本实施例 中的控制器可以包括：处理器1001、存储器1002、输入设备1003、输出设备1004，处理器1001 通过总线通信连接。此外，控制器还可以 采用物理服务器或者虚拟机的方式来进行部署，本实施例对控制器的架构不做限定。 [0140] 本申请实施例还提供一种网络安全检测系统，该系统包括：控制器、接入设备、检 测设备；其中：控制器用以执行如图2所示的方法；接入设备用以执行如图3所示的方法；检 测设备用以执行如图3所示的方法。其具体实现过程和实现原理，参见图2～图5所示的方法 描述的内容，此处不再赘述。 [0141] 本申请实施例提供一种计算机可读存储介质，计算机可读存储介质存储有指令， 当指令被执行时，使得计算机执行如本申请上述实施例中终端设备执行的方法。 [0142] 本申请实施例提供一种计算机可读存储介质，计算机可读存储介质存储有指令， 当指令被执行时，使得计算机执行如本申请上述实施例中网络设备执行的方法。 [0143] 在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其 它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为 一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或 者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互 之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连 接，可以是电性，机械或其它的形式。 [0144] 作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的 部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络 单元上。能够准确的通过实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。 [0145] 另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以 是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单 元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。 [0146] 需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能 划分，实际实现时可以有另外的划分方式。在本申请的实施例中的各功能模块可以集成在 一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一 个模块中。上述集成的模块既可以采用硬件的形式实现，也能够使用软件功能模块的形式 实现。 [0147] 集成的模块如果以软件功能模块的形式实现并作为独立的产品营销售卖或使用时，可 以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案或者该技术 方案的全部或部分可以以软件产品的形式反映出来，该计算机软件产品存储在一个存储介 14 14 CN 113810348 B 说明书 11/11页 质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备 等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介 质包括：U盘、移动硬盘、只读存储器(Read‑Only Memory，ROM)、随机存取存储器(Random  Access Memory，RAM)、磁碟或者光盘等各种能存储程序代码的介质。 [0148] 在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实 现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品 包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产 生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、 或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机 可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、 计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如 红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机 可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集 成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁 带)、光介质(例如，光盘)、或者半导体介质(例如固态硬盘(SSD))等。 15 15 CN 113810348 B 说明书附图 1/6页 图1 图2 16 16 CN 113810348 B 说明书附图 2/6页 图3 17 17 CN 113810348 B 说明书附图 3/6页 图4 18 18 CN 113810348 B 说明书附图 4/6页 图5 19 19 CN 113810348 B 说明书附图 5/6页 图6 图7 图8 20 20 CN 113810348 B 说明书附图 6/6页 图9 图10 21 21

  2、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问加。

  3、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。

  4、VIP文档为合作方或网友上传，每下载1次， 网站将按照每个用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

  一种MOF催化生长碳纳米管包覆镍锡合金电极材料及其制备方法和应用.pdf

  JJF 2074-2023标准橡胶国际硬度块(N、H、L标尺)校准规范.pdf

  计量规程规范 JJF 2074-2023标准橡胶国际硬度块(N、H、L标尺)校准规范.pdf

  《JJF 2074-2023标准橡胶国际硬度块(N、H、L标尺)校准规范》.pdf

  计量规程规范 JJF 2076-2023高速光电探测器校准规范.pdf

  计量规程规范 JJG 1199-2023个人和环境监视测定用X、γ辐射光释光剂量测量(装置)系统.pdf

  《JJG 1199-2023个人和环境监视测定用X、γ辐射光释光剂量测量(装置)系统》.pdf

  JJG 1199-2023个人和环境监视测定用X、γ辐射光释光剂量测量(装置)系统.pdf

  第6课 修饰文本说成果（课件）- 五年级上册信息技术 闽教版（2020）.pptx

  原创力文档创建于2008年，本站为文档C2C交易模式，即用户上传的文档直接分享给其他用户（可下载、阅读），本站只是中间服务平台，本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方，若您的权利被侵害，请发链接和相关诉求至 电线) ，上传者