一种网络防护装置、方法及计算机存储介质制造方法及图纸

本申请实施例公开了一种网络防护装置、方法及计算机存储介质，该装置设置接口，并通过接口与网络设备连接，接口和网络设备之间还设置防火墙；该装置包括：流量解析模块和威胁检测模块，威胁检测模块包括：流量编排组件和注册在流量编排组件上的多个安全检测组件；流量编排组件分别与多个安全检测组件连接；其中，流量解析模块，用于获取网络设备通过接口发送的网络流量；对网络流量进行解析，得到流量数据包；将流量数据包传输至威胁检测模块；流量编排组件，用于确定流量数据包的数据信息；根据数据信息，从多个安全检测组件中确定流量数据包对应的目标安全检测组件；调度目标安全检测组件，以利用目标安全检测组件对流量数据包进行检测。进行检测。进行检测。

【技术实现步骤摘要】
一种网络防护装置、方法及计算机存储介质


[0001]本申请涉及网络安全防护
，尤其涉及一种网络防护装置、方法及计算机存储介质。

技术介绍

[0002]传统的网络安全防护解决方案中主要依赖防火墙、入侵检测系统(Intrusion Detection System，IDS)、入侵防护系统(Intrusion Prevention System，IPS)、网络应用级入侵防御系统(Web Application Firewall，WAF)、数据泄露防护系统(Data leakage prevention，DLP)等传统的安全设备，在网络安全边界上提供网络安全保障。随着第5代移动通信技术(5th Generation Mobile Communication Technology，5G)的发展和5G+千行百业的应用推广，5G网络安全威胁日益引起人们的关注，随之，传统的网络安全设备及方案也被应用到5G业务场景中，为5G应用提供安全保障服务。
[0003]在5G应用场景下，5G业务对网络的带宽、时延、连接数要求很高，而现有技术的技术方案中，采用安全设备逐个串联的方式，在每个安全设备中对5G网络流量进行协议解析和识别，导致安全设备资源浪费及极大降低网络流量传输效率；且在5G网络中串行接入防火墙、IPS、DLP和WAF等安全产品的方式，在任意一个安全设备发生故障后，都可能导致网络故障，且很难定位具体发生故障的安全设备。

技术实现思路

[0004]有鉴于此，本申请实施例期望提供一种网络防护装置、方法及计算机存储介质，能够降低安全设备资源浪费，且能够提高网络流量传输效率及快速定位安全设备故障点。
[0005]为达到上述目的，本申请的技术方案是这样实现的：
[0006]第一方面，本申请实施例提供一种网络防护装置，网络防护装置设置接口，网络防护装置通过接口与网络设备连接，接口和网络设备之间还设置防火墙；所述装置包括：流量解析模块和威胁检测模块，威胁检测模块包括：流量编排组件和注册在流量编排组件上的多个安全检测组件；流量编排组件分别与多个安全检测组件连接；其中，
[0007]流量解析模块，用于获取网络设备通过接口发送的网络流量；对网络流量进行解析，得到流量数据包；将流量数据包传输至威胁检测模块；
[0008]流量编排组件，用于确定流量数据包的数据信息；根据数据信息，从多个安全检测组件中确定流量数据包对应的目标安全检测组件；调度目标安全检测组件，以利用目标安全检测组件对流量数据包进行检测。
[0009]第二方面，本申请实施例提供一种网络防护方法，应用于网络防护装置，网络防护装置设置接口，网络防护装置通过接口与网络设备连接，接口和网络设备之间还设置防火墙；装置包括：流量解析模块和威胁检测模块，威胁检测模块包括：流量编排组件和注册在流量编排组件上的多个安全检测组件；流量编排组件分别与多个安全检测组件连接；该方法包括：
[0010]利用流量解析模块获取网络设备通过接口发送的网络流量；并对网络流量进行解析，得到流量数据包；将流量数据包传输至威胁检测模块；
[0011]利用流量编排组件确定流量数据包的数据信息；根据数据信息，从多个安全检测组件中确定流量数据包对应的目标安全检测组件；并调度目标安全检测组件，以利用目标安全检测组件对流量数据包进行检测。
[0012]第三方面，本申请实施例提供一种计算机存储介质，其上存储有计算机程序，该计算机程序被执行时实现上述网络防护方法。
[0013]本申请实施例提供一种网络防护装置、方法及计算机存储介质，网络防护装置设置接口，网络防护装置通过接口与网络设备连接，接口和网络设备之间还设置防火墙；装置包括：流量解析模块和威胁检测模块，威胁检测模块包括：流量编排组件和注册在流量编排组件上的多个安全检测组件；流量编排组件分别与多个安全检测组件连接；其中，流量解析模块，用于获取网络设备通过接口发送的网络流量；对网络流量进行解析，得到流量数据包；将流量数据包传输至威胁检测模块；流量编排组件，用于确定流量数据包的数据信息；根据数据信息，从多个安全检测组件中确定流量数据包对应的目标安全检测组件；调度目标安全检测组件，以利用目标安全检测组件对流量数据包进行检测。采用上述网络防护装置的实现方案，在进行网络防护的过程中，通过在网络防护装置中的威胁检测模块中部署流量编排组件以及安全防护组件，在流量解析模块将解析后的流量数据包传输至威胁检测模块的情况下，威胁检测模块中的流量编排组件会根据流量数据包中数据信息的特征，选择出该数据信息对应的安全检测组件，在数据信息不同的情况下，其所选择的安全检测组件也会不同，利用此方式，在进行流量数据包检测时，只匹配流量数据包对应的安全检测组件并进行调度，保证了数据流量包的检测只需流经其对应的安全检测组件进行检测，能够减少不必要的安全设备资源浪费和提高流量传输效率，且利用安全组件调度的方式，所有的安全组件都在威胁检测模块中部署，在发生故障时，基于威胁检测模块在网络拓扑中的部署位置，能够快速定位网络中的故障点。
附图说明
[0014]图1为现有技术中一种示例性地网络安全防护设备示意图；
[0015]图2为现有技术中一种示例性地5G网络安全防护系统示意图；
[0016]图3为现有技术中一种示例性地改进的网络安全防护设备示意图一；
[0017]图4为现有技术中一种示例性地改进的网络安全防护设备示意图二；
[0018]图5为本申请实施例提供的一种网络防护装置示意图一；
[0019]图6为本申请实施例提供的一种网络防护装置示意图二；
[0020]图7为现有技术中一种网络流量解析过程示意图；
[0021]图8为本申请实施例提供的一种网络流量解析过程示意图；
[0022]图9为一种示例性用户层面的GPRS隧道协议GTP
‑
U对应的流量数据包报头格式示意图；
[0023]图10为本申请实施例提供的一种示例性地威胁检测模块示意图；
[0024]图11为本申请实施例提供的一种5G网络安全防护系统示意图；
[0025]图12为本申请实施例提供的一种网络防护方法流量图。
具体实施方式
[0026]为了能够更加详尽地了解本申请实施例的特点及
技术实现思路
，下面结合说明书附图及具体实施例对本申请的技术方案做进一步的详细阐述，所附附图仅供参考说明之用，并非用来限定本申请实施例。
[0027]除非另有定义，本文所使用的所有技术和科学术语与属于本申请的
的技术人员通常理解的含义相同。本文所使用的术语只是为了描述本申请实施例的目的，不是旨在限制本申请。
[0028]在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。还需要指出，本申请实施例所涉及的术语“第一/第二/第三”仅是用于区别类似的对象，不代表针对对象的特定排本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络防护装置，其特征在于，所述网络防护装置设置接口，所述网络防护装置通过所述接口与网络设备连接，所述接口和所述网络设备之间还设置防火墙；所述装置包括：流量解析模块和威胁检测模块，所述威胁检测模块包括：流量编排组件和注册在所述流量编排组件上的多个安全检测组件；所述流量编排组件分别与所述多个安全检测组件连接；其中，所述流量解析模块，用于获取所述网络设备通过所述接口发送的网络流量；对所述网络流量进行解析，得到流量数据包；将所述流量数据包传输至所述威胁检测模块；所述流量编排组件，用于确定所述流量数据包的数据信息；根据所述数据信息，从所述多个安全检测组件中确定所述流量数据包对应的目标安全检测组件；调度所述目标安全检测组件，以利用所述目标安全检测组件对所述流量数据包进行检测。2.根据权利要求1所述的装置，其特征在于，所述数据信息包括：流量数据包业务类型、流量数据包协议类型、流量数据包特征以及流量数据包类别；所述流量编排组件，还用于根据所述流量数据包业务类型、所述流量数据包协议类型、所述流量数据包特征以及所述流量数据包类别，从所述多个安全检测组件中确定所述流量数据包对应的目标安全检测组件。3.根据权利要求1所述的装置，其特征在于，所述流量编排组件中预定义安全检测组件调度模型和安全检测组件调度策略；所述流量编排组件，还用于根据所述安全检测组件调度模型和/或所述安全检测组件调度策略，从所述多个安全检测组件中确定所述流量数据包对应的目标安全检测组件。4.根据权利要求1所述的装置，其特征在于，所述流量编排组件，还用于获取所述流量数据包在传输过程中的监测信息；并根据所述监测信息从所述多个安全检测组件中确定所述流量数据包对应的目标安全检测组件。5.根据权利要求1所述的装置，其特征在于，所述流量解析模块中包括多个处理器；所述流量解析模块，还用于确定所述多个流量数据包对应的多个负载参数值；并根据所述多个负载参数值将所述多个网络流量数据包分别分配给所述多个处理器进行解析。6.根据权利要求1所述的装置，其特征在于，所述接口包括：第一接口、第二接口、第三接口和第四接口；所述网络设备包括：基站RAN、5G核心网5GC、数据网站DN和会话管理网元SMF；所述网络防护装置还包括：UPF网元；所述UPF网元通过所述第一接口与所述RAN连接；所述UPF网元通过所述第二接口与所述5GC连接；所述UPF网元通过所述第三接口与所述DN...

【专利技术属性】
技术研发人员：叶荣伟，王圣江，章智儒，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：