本發明公開了一種網絡安全路由方法，包括以下步驟：對進入網絡拓撲結構的數據流的安全類型進行識別；實時采集網絡拓撲結構的網絡狀態信息；基于數據流的安全類型以及網絡狀態信息，生成數據流表；根據數據流表將數據流發送至對應的安全檢測設備中。同時，還提出一種網絡安全路由系統，包括：網絡安全識別設備，索引服務器，SDN控制器，SDN交換機以及安全檢測設備。本發明的有益效果是：不僅可以基于數據流的安全類型將數據流發送至對應的安全檢測設備進行檢測，而且可以選擇空閑的安全檢測設備對數據流進行檢測，并通過最優的路徑將數據流傳輸至安全檢測設備中，提高數據流的檢測效率。

技術領域

本發明涉及網絡安全領域，具體的說，是一種網絡安全路由方法及系統。

背景技術

目前，為了提高網絡的安全性，常在網絡中設置提供網絡安全功能的安全檢測設備。但是這種安全檢測設備一般設置于固定的路徑上，使得只有經過該固定路徑進行傳輸的數據流才能進入安全檢測設備上進行安全檢測，使得檢測設備的利用率低，而且也降低網絡安全檢測的效率。

發明內容

本發明所要解決的技術問題是提供一種網絡安全路由方法及系統，以提高數據流的安全檢測的效率。

本發明解決上述技術問題的技術方案如下：

一種網絡安全路由方法，包括以下步驟：

對進入網絡拓撲結構的數據流的安全類型進行識別；

實時采集所述網絡拓撲結構的網絡狀態信息；

基于所述數據流的安全類型以及所述網絡狀態信息，生成數據流表；

根據所述數據流表將所述數據流發送至對應的安全檢測設備中。

本發明的有益效果是：通過對進入網絡拓撲結構的數據流的安全類型進行識別，可以確定數據流要進行的安全檢測的類型，并實時采集所述網絡拓撲結構的網絡狀態信息，然后基于所述數據流的安全類型以及所述網絡狀態信息，生成數據流表。不僅可以基于數據流的安全類型將數據流發送至對應的安全檢測設備進行檢測，而且通過所述網絡狀態信息生成數據流表，可以在網絡拓撲結構中選擇空閑的安全檢測設備對數據流進行檢測，并通過最優的路徑將數據流傳輸至安全檢測設備中，提高了檢測設備的利用率和數據流的檢測效率。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步地，所述基于所述數據流的安全類型以及所述網絡狀態信息，生成數據流表，具體包括：

根據所述數據流的安全類型，確定與所述數據流的安全類型對應的安全檢測設備；

根據已確定的所述安全檢測設備以及實時采集的所述網絡狀態信息，計算全局QoS路由，并基于計算結果生成所述數據流表。

采用上述進一步方案的有益效果是：通過實時采集的所述網絡狀態信息計算全局QoS路由，生成所述數據流表。可以通過最優的路徑將數據流傳輸至對應的安全檢測設備中，提高數據流的檢測效率。

進一步地，所述方法還包括：

采集所述安全檢測設備中待檢測的數據流的數量；

若所述待檢測的數據流的數量超過預設閾值，則停止向所述安全檢測設備發送新的數據流。

采用上述進一步方案的有益效果是：通過采集所述安全檢測設備中待檢測的數據流的數量，并在所述待檢測的數據流的數量超過預設閾值時，所述安全檢測設備停止接收新的數據流。可以防止節點處理的數據量激增導致安全檢測設備發生故障。

進一步地，還包括：

記錄采集到的所述安全檢測設備中待檢測的數據流的數量以及超過所述預設閾值的安全檢測設備的節點信息，生成日志。