[实用新型]一种基于网络流量的综合安全监测分析设备

说明书

技术领域

本实用新型涉及计算机网络领域，具体而言，涉及一种基于网络流量的综合安全监测分析设备。

背景技术

当前，基于网络流量的安全监测系统主要包括入侵检测系统、网络行为分析系统、恶意代码检测系统、网络内容安全审计系统等。当前这些系统存在如下问题：

(1)每种设备的功能都相对单一，对网络进行全面的安全监测时，需在网络中部署多种设备和系统，给网络机房管理带来巨大负担；

(2)多种分析设备对于网络流量的采集、处理过程基本类似，只是分析手段和方法不同，因此，部署多种分析设备，对于网络流量的采集和处理过程是重复的，容易造成资源浪费；

(3)要完成综合安全监测分析，需要多种分析设备和系统共同部署，不符合功能集成化和设备小型化的要求，在便携性和快速部署方面比较弱；

(4)多种分析结果数据各自独立，难以完成多种分析数据的融合，数据共享性差，融合关联分析缺乏。

实用新型内容

为解决上述问题，本实用新型基于ATCA标准架构，实现了一种基于网络流量的综合安全监测分析设备。

一种基于网络流量的综合安全监测分析设备，包括机箱、汇聚装置、过滤装置、交换装置和分析计算装置；其中，汇聚装置、过滤装置、交换装置、分析计算装置通过机箱的背板互连；

所述分析计算装置由至少一个烧录有分析计算软件的分析计算板卡组成；

所述汇聚装置包括接口子卡和输入板卡；接口子卡设置在输入板卡上；接口子卡作为各类网络链路的输入接口，根据自身维护的数据流表识别流量数据包，并将接收到的网络链路数据转换成以太网流量数据，然后发给输入板卡；

所述输入板卡按照过滤装置发送的流量过滤转发策略对从接口子卡接收的数据包转发给交换板卡或作丢弃处理；

所述过滤装置通过所述背板读取交换板卡的数据包，识别流量的应用协议，并进行解析，得到的解析结果通过交换板卡的配置接口提供给用户，用于制定流量过滤转发策略，用户制定完流量过滤转发策略将该策略配置到过滤装置中；

所述交换装置接收汇聚装置发送的流量数据，通过交换板背板接口或者前面板输出接口，根据过滤装置发送的流量过滤转发策略将流量转发到对应的分析计算板卡中，由此对数据进行具体的流量分析。

进一步的，所述交换装置提供配置接口，实现对综合安全监测分析设备的本地或远程运维管理。

进一步的，所述机箱还包括电源、板卡插槽、通信系统及散热装置。

较佳的，所述机箱采用ATCA标准实现。

较佳的，每个综合安全监测分析设备根据需求设置多个汇聚装置。

较佳的，所述接口子卡支持标准模块接口，支持ATM155M、ATM622M、POS155M、POS622M、POS2.5G、POS10G、POS40G、10GE、1GE接口类型。

较佳的，所述分析计算板卡包括入侵检测模块、异常行为分析模块、网络内容审计模块、恶意代码捕获模块或融合关联分析模块中的一种、两种、三种、四种或者五种模块。

较佳的，分析计算装置的分析计算板卡中包括融合关联分析模块用于获得其它分析计算板卡的分析结果，当其中一个分析计算板卡的分析结果提示出现可疑IP时，融合关联分析模块调用其它分析计算板卡对该可疑IP相关的分析结果，并进行汇总分析，判断是否为安全事件。

一种综合安全监测分析设备的级联系统，包括多个综合安全监测分析设备，采用多层级联的形式，即：综合安全监测分析设备分为至少两级，每一级中至少包括一个综合安全监测分析设备，其中，交换装置的输出接口与上一级综合安全监测分析设备的汇聚装置的输入接口相连。

本实用新型具有如下有益效果：

本实用新型提供了一个动态可扩展的流量综合安全分析平台，支持多种类型流量的统一获取、集中处理、冗余过滤和负载均衡，并将多种分析技术引擎前移，集成到平台中，从而达到功能集成化和设备小型化的目的。

附图说明

图1示出了本实用新型所述的基于网络流量的综合安全监测分析设备的示意图。

图2示出了本实用新型各组成部分的逻辑关系。

图3示出了多设备级联过程中的连接关系。

图4示出了分析计算装置结构及与交换装置连接关系图。

具体实施方式

下面结合附图并举实施例，对本实用新型进行详细描述。