技術領域

本發(fā)明涉及網絡安全技術，尤其涉及一種流量聯(lián)動控制方法、裝置及系統(tǒng)，屬于網絡技術領域。?

背景技術

IP城域網按照網絡結構可分為：接入層、匯聚層和骨干層，接入層位于低位網絡層，通常直接連接用戶終端，將用戶流量引入網絡；匯聚層位于網絡中間層，處理來自接入層設備的所有通信量，提供到骨干層的上行鏈路；骨干層位于高位網絡層，進行高速的信息傳輸。在網絡受到惡意的非法流量攻擊或入侵時，很多情況下，這些非法流量都是從低位網絡層流向高位網絡層或從高位網絡層流向低位網絡層，如從接入層流向骨干層或從骨干層流向接入層。?

現(xiàn)有技術針對非法流量的處理通常采用在各個網絡層分別接入數據采集設備和網絡安全設備，各層分別采集網絡流量數據，并對存在惡意攻擊的非法流量進行清除或攔截，而通常情況下，非法流量都是從低位網絡層流向高位網絡層或從高位網絡層流向低位網絡層，現(xiàn)有技術無法處理流向本層網絡安全設備管轄范圍以外的預知流向的非法流量，從而導致了對非法流量無法實現(xiàn)全面的控制，降低了網絡的安全防護能力。?

發(fā)明內容

本發(fā)明的目的是為了解決現(xiàn)有技術非法流量在高/低位網絡層間流動時所引起的位于單層上的網絡安全設備無法對非法流量進行全面控制的問題。

為實現(xiàn)上述目的，本發(fā)明提供了一種流量聯(lián)動控制方法，包括：?

獲取各個網絡層的網絡流量數據；?

若所述網絡流量數據中存在異常流量，則判斷所述異常流量是否屬于需要進行控制的非法流量；?

若所述異常流量屬于所述非法流量，則根據所述非法流量的類型和流向，觸發(fā)與所述非法流量相關的各個網絡層上的網絡安全設備對所述非法流量進行聯(lián)動控制，所述網絡安全設備分布在存在非法流量和非法流量將要流向的各個網絡層中。?

本發(fā)明還提供了一種流量聯(lián)動控制裝置，包括：?

獲取模塊，用于獲取各個網絡層的網絡流量數據；?

第一判斷模塊，用于若所述網絡流量數據中存在異常流量，判斷所述異常流量是否屬于需要進行控制的非法流量；?

處理模塊，用于若所述異常流量屬于所述非法流量，則根據所述非法流量的類型和流向，觸發(fā)與所述非法流量相關的各個網絡層上的網絡安全設備對所述非法流量進行聯(lián)動控制，所述網絡安全設備分布在存在非法流量和非法流量將要流向的各個網絡層中。?

本發(fā)明又提供了一種流量聯(lián)動控制系統(tǒng)，包括：?

網絡安全設備，用于對所述非法流量進行處理，所述網絡安全設備分布在存在非法流量和非法流量將要流向的各個網絡層中；?

網絡安全決策設備，用于獲取各個網絡層的網絡流量數據，若所述網絡流量數據中存在異常流量，則判斷所述異常流量是否屬于需要進行控制的非法流量，若所述異常流量屬于所述非法流量，則根據所述非法流量的類型和流向，觸發(fā)與所述非法流量的相關各個網絡層上的網絡安全設備對所述非法流量進行聯(lián)動控制。?

本發(fā)明通過對各層網絡安全設備管轄范圍內的網絡流量數據采集、分析，匯總入網絡安全控制決策設備，觸發(fā)各層網絡安全設備對非法流量進行聯(lián)動控制，實現(xiàn)高/低位網絡安全設備聯(lián)合動作的工作模式，從而全面清除或攔截網絡中的非法流量，提高網絡的安全性及抵抗惡意流量攻擊的能力。?

附圖說明

圖1為本發(fā)明流量聯(lián)動控制方法第一實施例的流程圖；?

圖2為本發(fā)明流量聯(lián)動控制方法第二實施例的流程圖；?

圖3為本發(fā)明流量聯(lián)動控制裝置第一實施例的結構圖；?

圖4為本發(fā)明流量聯(lián)動控制裝置第二實施例的結構圖；?

圖5為本發(fā)明流量聯(lián)動控制系統(tǒng)第一實施例的結構圖；?

圖6為本發(fā)明流量聯(lián)動控制系統(tǒng)第二實施例的結構圖。?

具體實施方式

下面通過附圖和實施例，對本發(fā)明的技術方案做進一步的詳細描述。?

圖1為本發(fā)明流量聯(lián)動控制方法第一實施例的流程圖，如圖1所示，本發(fā)明的流量聯(lián)動控制方法包括：?

步驟100、網絡安全決策設備獲取各個網絡層的網絡流量數據；?

步驟101、如果獲取到的各個網絡層的網絡流量數據中存在異常流量，則網絡安全決策設備判斷該異常流量是否屬于需要進行控制的非法流量；?

其中，異常流量可能分為多種情況，比如，若該異常流量僅是流量大但不存在惡意攻擊情況，則該異常流量不屬于非法流量，不需要對其進行控制，若流量大小正常但存在惡意攻擊則屬于非法流量，需要對其進行控制。?