一种网络交换设备架构及其数据分析方法

技术领域

本发明属于网络安全设备技术领域，具体涉及一种可智能分析数据安全性的网络交换设备架构及其运行方法。

背景技术

对于政务、能源、军队等行业，通常由于其业务重要性，会将信息网络严格划分内外网区域，内外网之间通过网闸隔离，区域边界通过部署防火墙、IDS/IPS/WAF、防病毒网关等安全设备进行安全防护。但随着攻击泛滥，钓鱼邮件、非受控外设等社会工程学攻击手段的发展，传统的隔离设备与基于签名的各类安全产品容易被绕过，进而横向感染内网区域。因此，需要借助AI智能分析网络设备，提升来自外网攻击的全面发现和自动化处置能力。

目前尚无较好的将AI智能分析应用于数据甄别的方案，因此亟需设计一种网络交换设备架构可满足以上使用需求。

发明内容

针对以上需求，本发明提供一种网络交换设备架构及其数据分析方法，该种网络交换设备架构利用AI智能分析模块可以对通信数据进行智能分析、甄别，并进行对应的处理，可有效的保证整个系统的数据安全。

本发明的技术方案是：一种网络交换设备架构，包括主板、CPU处理器、交换芯片、AI智能分析模块、复位系统、电源系统和时钟系统；

所述CPU处理器、交换芯片、AI智能分析模块、复位系统和时钟系统设置于主板上，所述电源系统为所有部件提供需要的各种供电电压；

所述CPU处理器与交换芯片电性连接，所述交换芯片与AI智能分析模块电性连接，所述AI智能分析模块还与CPU处理器电性连接。

优选的，电源系统采用热插拔设计。

优选的，所述时钟系统采用高精度晶振作整板时钟发生器，以温补晶振或恢复钟时钟作时钟源，再通过各个晶振为所有器件提供所需的各种频率时钟。

优选的，还包括管理系统，所述管理系统用于监控设备内部的温度、主电路电压和上电控制状态信息。

本发明还提供该网络交换设备架构的数据分析方法：

1）通过交换芯片接收外部数据，通过交换系统的端口镜像功能将数据复制转发到AI智能分析模块；

2）对数据进行数值化处理，如数据类型转换、图像滤波等手段；

3）对数据进行归一化处理；

4）通过卷积神经网络对数值化数据进行计算后，与入侵检测模型进行检测对比，如果检测结果为正常，则继续进行下一轮的实时数据采集，如果检测结果为异常，则发送报警信息，并给出具体的网络攻击或威胁类型。

优选的，步骤4）中，对于新获取的网络攻击或威胁数据特征，经过人工审核后存入入侵特征知识库，实现对入侵检测模型的迭代训练和更新。

优选的，步骤4）中所述入侵检测模型检测判断结果异常的规则包括：（1）外部IP、MAC来自于国外的一些特殊机构的数据；（2）短时间内，收到大量相同的报文；（3）数据报文本身存在错误。

优选的，所述入侵检测模型可采用分级保密方法处理数据。

本发明的有益效果：（1）通过AI智能分析模块，对日志和所有转发的网络报文数据进行AI分析，实时监控网络攻击和潜在的威胁，并及时上报报警信息，保障内网安全；

（2）经过AI智能分析模块对通信数据进行分析，通过CPU处理器管理功能对交换芯片进行通知，通过ACL策略或者端口控制功能，对侵入的数据来源进行阻断或者过滤。

（3）可自主设定规则对数据进行筛选和过滤，并对入侵检测模型进行迭代升级，保证系统的长期可靠性。

本发明将网络安全与AI智能分析结合，进行实时分析，实时检测和实时处理，保证网络安全。

附图说明

图1是本发明中网络交换设备架构的硬件原理框图；

图2是AI智能分析模块工作流程；

图3是本发明中网络交换设备工作场景图；

图4是本发明中AI智能分析模块的原理图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的应用场景如图3所示，适用于安全要求较高的场景，部署于外网通信或者连接互联网的网络核心层，监视内外网通信，防止内网受到外网的攻击或者监视。

本实施例中网络交换设备架构的硬件原理框图如图1，在系统硬件架构上包括：设置于主板上的CPU处理器、交换芯片、AI智能分析模块、复位系统和时钟系统，以及为所有部件提供需要的各种供电电压的电源系统；

CPU处理器与交换芯片电性连接，交换芯片与AI智能分析模块电性连接，AI智能分析模块还与CPU处理器电性连接。

CPU处理器：控制与管理交换芯片和AI智能分析模块等外围器件、维持交换系统的协议报文和向上级发送报警信息等功能；本实施例中为：CPU采用国产龙芯中科2K处理器

交换芯片：主要实现以太网数据报文的交换与转发和实现对外部接口的配置、管理及状态监控等功能；交换芯片收到外部数据报文后，按原定转发路径正常转发给其他外部设备，交换芯片复制所有端口的数据报文，通过“万兆”（XAUI）接口上送给AI智能分析模块。本实施例中为：交换芯片采用国产盛科CTC7132交换芯片

参见图4，AI智能分析模块（如图4）：AI智能分析模块主体为AI芯片，AI芯片通过PCIE接口与CPU相连，本实施例中为：AI芯片为海思Ascend 310处理器，收集交换系统的转发报文，根据AI模型进行统计和分析数据报文，基于机器学习、流量特征、文件内容分析等多项检测技术，大幅度提升内网漏洞、木马检测的准确性。并依靠本地的威胁情报、机器学习、文件检测等实时检测引擎，帮助发现未知威胁，其中使能信号用于控制/复位AI的工作状态；SPI设备为AI芯片软件运行的载体，传感器用于检测芯片的运行状态。

复位系统：内部含有看门狗电路，看门狗电路可以复位整个板卡的所有器件。系统CPU挂死后，从CPU过来的GPIO就不会有规则的跳变，SM706检测不到WDI的信号变化，就会送出WDO，WDO会触发RESET信号，这样使整个系统完成复位；复位系统为本领域常规技术，具体安装方式不再赘述；

电源系统：设备外部供电电压为交流220V，通过设备内部AC/DC电源转换为主板所需要的直流12V电源，再通过DC/DC电源转换成所有系统所需要的各种供电电压；电源系统为本领域常规技术，具体安装方式不再赘述；

时钟系统：采用高精度晶振作整板时钟发生器，以温补晶振或恢复钟时钟作时钟源。再通过各个晶振为所有器件提供所需的各种频率时钟；时钟系统为本领域常规技术，具体安装方式不再赘述。

本实施例中电源采用热插拔技术，以及包括管理系统，二者属于硬件机箱内常规的技术手段，具体不再赘述，且图中未示出。

参见图2，本实施例中的数据分析方法：

1）通过交换芯片接收外部数据，如pdf/word/excel等文件类型、多种协议类型、字符类型以及图像视频等格式数据等，数据通过交换系统的端口镜像功能将数据复制转发到AI智能分析模块，AI智能分析模块实时接收从交换系统发送过来的各项数据；

2）由于原始数据信息中存在字符数据，而AI模型的输入是数值型数据，因此需要对接收的实时数据信息进行数值化处理；通过特定的统计方法（数学方法）将待处理数据转换为算法要求的数据的这个过程称为特征处理，即将数据报文内容进行数值化处理。数值化处理为常规技术，为本领域技术人员熟知，根据实际需求制定，故不再赘述；

3）为避免数值间量纲差异较大，因此通过归一化对数据进行处理；数值型数据归一化处理，即对原始数据进行归一化处理后使其映射到指定范围内（通常默认是[0,1]之间）降低数据附带的量纲影响，使不同的特征具有相同的尺度(Scale)，进而具有可比性(公平性)。归一化处理为常规技术，为本领域技术人员熟知，根据实际需求制定，故不再赘述；

4）通过卷积神经网络对数值化数据进行计算后，与入侵检测模型进行检测对比，如果检测结果为正常，则继续进行下一轮的实时数据采集，如果检测结果为异常，则发送报警信息，并给出具体的网络攻击或威胁类型；卷积神经网络是一类包含卷积计算且具有深度结构的前馈神经网络，是深度学习的代表算法之一。卷积神经网络具有表征学习能力，能够按其阶层结构对输入信息进行平移不变分类，因此也被称为“平移不变人工神经网络”；此为常规技术，为本领域技术人员熟知，根据实际需求制定，故不再赘述，

入侵检测模型：即一段时间的组网自学习过程，通过收集该段时间的所有报文进行整合处理，形成的安全的网络模型；入侵检测模型的构建方法为常规技术，具体不再赘述；

传入的特征数据主要包括持续时间、协议类型、网络服务类型、传输的字节数、网络流量统计特征等。设特征数据是N维的，网络攻击类型有M类，采用深度卷积神经网络作为入侵检测模型，则模型的输入为N维处理后的特征数据，输出为M+1维的检测结果，其中第0位为正常情况的概率，其余位分别对应不同攻击类型的概率，概率最大的即为当前特征所对应的网络入侵情况。

本实施例中，除常规的数据判断原则外，用户可根据自己设定相关规则，以辨别外部威胁，例如：

例1：外部IP、MAC来自于国外的一些特殊机构的数据，辨别为威胁。

AI收到交换芯片复制来的数据后，经过“一系列”处理，再“基于深度卷积神经网络……”进行分析、判断，并对该类“威胁”数据进行标记，再上报CPU告警，CPU通过PCIE给交换芯片下发规则，由交换芯片阻断该类信息。后续，本例数据，交换芯片不再进行转发、上传。

例2：短时间内，收到大量相同的报文，AI会判断该类报文为泛洪攻击，也会标记后，上报CPU告警，CPU通过PCIE给交换芯片下发规则，由交换芯片阻断该类信息。后续，本例数据，交换芯片不再进行转发、上传。

例3：数据报文本身存在错误，例如其CRC（校验盒）、异形报文、超长报文、ARP攻击、分片报文。

例4：AI分析模块同时监视和探测特殊端口号的数据，例如SSH的22端口号、TELNET的23号端口号、tftp的69端口号和ftp的20端口号等端口号。（分级保密）

例1、2、3的数据如进入系统网络，会造成网络崩溃、数据泄露等问题，影响内部用户的使用。

例4的管理，主要是出于分级保密、安全管理的要求。

进一步的，对于新获取的网络攻击或威胁数据特征，经过人工审核后存入入侵特征知识库，还可以通过对特定的环境进行迭代训练或者其他用户发布的信息数据，从而得到新的网络攻击或威胁数据特征，进而对入侵检测模型进行迭代训练和更新，持续保障AI智能分析模块的入侵检测精度。

本发明并不局限于上述实施例，在本发明公开的技术方案的基础上，本领域的技术人员根据所公开的技术内容，不需要创造性的劳动就可以对其中的一些技术特征作出一些替换和变形，这些替换和变形均在本发明的保护范围内。