(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111384594.7 (22)申请日 2021.11.22 (65)同一申请的已公布的文献号 申请公布号 CN 113824799 A (43)申请公布日 2021.12.21 (73)专利权人 南京中孚信息技 术有限公司 地址 210000 江苏省南京市浦口区浦口大 道13号新城总部大厦B座21层 (72)发明人 王金国　郑海树　韩旭东　吴明　 许小奎　王能洁　郑威　 (51)Int.Cl. H04L 67/1036(2022.01) H04L 9/40(2022.01) (56)对比文件 US 2008115190 A1,20 08.05.15CN 110149396 A,2019.08.20 审查员 贾源昊 (54)发明名称 一种高性能网络安全智能分流控制方法及 装置 (57)摘要 本发明公开了通信技术领域的一种高性能 网络安全智能分流控制技术及装置， 包括以下步 骤： 启动安全系统， 获取安全控制器服务地址； 安 全服务系统调用安全分发服务注册接口， 向安全 控制器注册本安全服务系统； 安全控制器下发到 流量分发组件； 流量分发组件接收网络流量， 根 据安全分发策略匹配； 安全服务系统进行不同的 安全业务处理； 安全控制器动态 生成新的转发策 略下发给流量分发/存储组件， 将该流量进行重 放处理； 本发 明流量分发组件和安全服务系统支 持分布式部署， 可以做到 灵活部署， 弹性伸缩。 权利要求书1页 说明书4页 附图1页 CN 113824799 B 2022.09.27 CN 113824799 B 1.一种高性能网络安全智能分流控制方法， 其特 征在于： 该 方法包括以下步骤： S1： 启动安全服 务系统， 获取安全 控制器服 务地址， 初始化应用流 量信息库； S2： 安全服 务系统调用安全分发服 务注册接口， 向安全 控制器注 册本安全服 务系统； S3： 安全控制器根据注册的应用流量策略和安全服务系统地址生成安全分发策略下发 到流量分发/存 储组件； S4： 流量分发/存储组件接收网络流量， 进行DPI应用识别， 获取流量归属的应用名称和 应用类别 信息， 根据安全分发策略匹配； S5： 安全服务系统对请求的应用流量进行安全业务处理， 不同的应用流量可以进行不 同的安全业 务处理； S6： 安全控制器接收注册的安全服务系统状态监控信息， 若发现安全服务系统不可用， 则安全控制器控制流量分发/存储组件停止 向该系统分发业务流量， 直到安全服务系统恢 复正常再重新分发； S7： 安全控制器接收某安全服务系统发现的某异常流量上报信息， 安全控制器根据异 常信息分析需要进行进一步的深度安全检测分析， 则动态生成新的转发策略下发给流量分 发/存储组件， 将该流量进行重放处理， 重新分发给深度安全分析系统进 行深度安全分析 处 理； S2中， 所述向安全控制器注册本安全服务系统的注册信息包括安全服务系统地址、 安 全服务能力、 最大处理带宽能力和 运行负荷信息， 并通过安全控制 器应用流量策略接口请 求需要的应用流 量； 所述安全服务能力包括URL 安全扫描、 病毒检测、 攻击检测、 网络审计； 所述应用流量策略包括流量5元组、 应用名称或者应用类别信 息， 安全分发策略各字段 支持通配； S4中， 所述 流量分发/存 储组件同时能够对应用流 量进行缓存 存储； S4中， 根据安全分发策略匹配具体为将符合安全分发策略的应用流量分发到指定的安 全服务系统进行安全业 务处理， 并可根据注 册的安全服 务系统负荷能力进行流控分发； S5中， 所述 安全业务处理包括URL 安全扫描、 流 量清洗、 敏感内容分析、 病毒检测处 理。 2.一种高性能网络安全智能分流控制装置， 实现如权利要求1所述方法， 其特征在于： 包括流量分发/存储组件、 安全控制器和安全服务系统， 所述安全控制器用于生成安全分发 策略、 控制流量分发/存储组件、 接 收异常流量上报信息并深度检测分析， 动态生成新的安 全分发策略； 所述 流量分发/存 储组件用于 接收安全分发策略， 分发流 量到安全服 务系统。 3.根据权利要求2所述的一种高性能网络安全智能分流控制装置， 其特征在于： 所述安 全服务系统包括 安全服务系统1、 安全服 务系统2、 安全服 务系统3。 4.根据权利要求3所述的一种高性能网络安全智能分流控制装置， 其特征在于： 所述安 全服务系统1用于请求POP3/IMAP应用流量1， 对接收的POP3/IMAP应用流量1进行病毒检测， 安全服务系统2对POP 3/IMAP应用流量1或SMTP应用流量2进 行敏感内容分析， 安全服务系统 3对HTTP应用流 量3进行WEB安全和URL 安全扫描。权　利　要　求　书 1/1 页 2 CN 113824799 B 2一种高性能网 络安全智能分流控制方 法及装置 技术领域 [0001]本发明涉及通信技术领域， 具体为一种高性能网络安全智能分流控制方法及装 置。 背景技术 [0002]目前的流量分发系统主要实现三/四层负载均衡分发， 按流轮询(RR)负载均衡或 者按照权重轮询(W RR)进行负载流量分发， 部分支持L7应用流量分发， 但是同一个服务器资 源池中的服务器其业务功能都是对等的， 即接收流量的服务器是相同的功能做负荷分担处 理， 对于系统应用有一定的局限性。 [0003]应用服务器系统接收网络流量进行业务负荷分担处理， 完全是对等业务处理， 无 法进行异构业务系统搭建， 不能完全满足安全业务系统要求， 并且流量分发和负载均衡策 略也是固定配置， 无法自动 动态调整。 [0004]基于此， 本发明设计了一种高性能网络安全智能分流控制方法及装置， 以解决上 述问题。 发明内容 [0005]本发明的目的在于提供一种高性能网络安全智能分流控制方法及装置， 以解决上 述背景技术中提出 的无法进行异构业务系统搭建， 不能完全满足安全业务系统要求， 并且 流量分发和负载均衡策略也是固定配置， 无法自动 动态调整的问题。 [0006]为实现上述目的， 本发明提供如下技 术方案： [0007]一种高性能网络安全智能分流控制方法， 包括以下步骤： [0008]S1： 启动安全服 务系统， 获取安全 控制器服 务地址， 初始化应用流 量信息库； [0009]S2： 安全服务系统调用安全分发服务注册接 口， 向安全控制器注册本安全服务系 统； [0010]S3： 安全控制器根据注册的应用流量策略和安全服务系统地址生成安全分发策略 下发到流 量分发/存 储组件； [0011]S4： 流量分发/存储组件接收网络流量， 进行DP I应用识别， 获取流量归属的应用名 称和应用类别 信息， 根据安全分发策略匹配； [0012]S5： 安全服务系统对请求的应用流量进行安全业务处理， 不同的应用流量可以进 行不同的安全业 务处理； [0013]S6： 安全控制器接收注册的安全服务系统状态监控信息， 若发现安全服务系统不 可用， 则安全控制器控制流量分发/存储组件停止向该系统分发业务流量， 直到安全服务系 统恢复正常再重新分发； [0014]S7： 安全控制器接收某安全服务系统发现的某异常流量上报信息， 安全控制器根 据异常信息 分析需要进行进一步的深度安全检测分析， 则动态生成新的转发策略下发给流 量分发/存储组件， 将该流量进 行重放处理， 重新分发给深度安全分析系统进 行深度安全分说　明　书 1/4 页 3 CN 113824799 B 3