專利名稱:一種報文處理方法���、裝置和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網絡通信領域���,尤其涉及一種報文處理方法、裝置和系統(tǒng)�。
背景技術:
隨著信息技術的發(fā)展,網絡應用的日益廣泛�,網絡安全成為各運營
商、國家安全部門的重要工作之一�����;由于網絡流量海量增長,應用日趨 復雜��,后臺處理系統(tǒng)因平臺局限無法直接對流量進行處理����,需要專門的 分流設備,將網絡中的數(shù)據(jù)報文�,分解成適合處理系統(tǒng)或分析設備處理 的粒度��,按要求重定向到特定的服務器進行分析���,同時不影響網絡流量 傳輸���。
分析設備識別到有害信息,為了防止有害信息繼續(xù)傳遞�,需要對網 絡的數(shù)據(jù)報文進行阻斷,但對正常報文繼續(xù)轉發(fā)��。
安全分流路由器通過分光器介入到骨千網中�����。當接收到從前級設備 分光或者鏡像過來的報文時,安全分流路由器根據(jù)訪問控制列表 (Access Control List, ACL)的配置進行匹配和動作����。對不匹配任何 ACL中任何表項的報文直接丟棄,匹配的報文重定向到對應的端口或者 端口組�,在端口組的各端口間以負載分擔方式輸出。這樣就完成一個流 量引入�����、分流�����、負載分擔的系統(tǒng)�����,供后級設備對流量進行檢測分析和監(jiān) 視�����。
隨著互聯(lián)網的快速發(fā)展���,網絡流量呈快速增長趨勢����,各種應用產生了大量數(shù)據(jù)傳輸,后臺分析設備規(guī)模越來越大���,壓力也不斷增加�����,導致 分析設備需要處理大量非敏感流量(如電驢�,迅雷等點對點流量)��,降 低了分析設備的效率��,同時分流設備也會對非敏感數(shù)據(jù)流量分流���,大量
占用有限的資源。分析設備的增加也增加分析結果的整合成本和效率��。
發(fā)明內容
本發(fā)明實施例的目的是提供一種報文處理方法和裝置�����,以及一種報 文處理系統(tǒng),解決了分流設備流量壓力大����、分析設備效率低的問題。
本發(fā)明實施例的目的是通過以下技術方案實現(xiàn)的 一種報文處理方法�,包括 根據(jù)過濾規(guī)則集合,過濾報文中的非敏感流量��; 對所述過濾后的報文進行分流�����;
分析所述分流后的報文�,并根據(jù)分析結果更新所述過濾規(guī)則集合。 一種報文處理系統(tǒng)���,包括過濾裝置�、分流設備和分析設備���;其中����, 所述過濾裝置����,用于根據(jù)所述分析設備配置的過濾規(guī)則集合過濾報
文中的非敏感流量�,并向所述分流設備發(fā)送經過過濾的報文�����;
所述分流設備���,用于將所述經過過濾裝置過濾的報文分流到所述分
析設備�;
所述分析設備�����,用于根據(jù)分析規(guī)則對所述經過分流設備分流的報文 進行分析����,并使所述過濾裝置根據(jù)所述分析設備的分析結果更新所述過 濾規(guī)則集合。
一種過濾裝置�,位于分流設備之前���,包括 規(guī)則維護模塊���,用于維護分析設備配置的過濾規(guī)則集合; 過濾模塊,用于根據(jù)過濾規(guī)則集合過濾報文中的非敏感流量�;發(fā)送^f莫塊,用于向分流設備發(fā)送經過過濾的所述^R文以使所述分流 設備分流所述經過過濾的報文�。
采用本發(fā)明實施例提供的技術方案,因為在分流設備對報文分流前 進行預過濾�,可以減小需要進行分流的報文的規(guī)模,從而同時減少了分 析設備對非敏感流量的重復分析�,解決了分流設備流量壓力大、分析設 備效率低的問題����。
圖1為本發(fā)明 一個實施例中報文處理方法流程圖; 圖2為本發(fā)明另 一個實施例中過濾裝置框圖�����; 圖3為本發(fā)明又一個實施例中報文處理系統(tǒng)框圖�����; 圖4為本發(fā)明又一個實施例中報文處理系統(tǒng)的 一個具體應用場景示 意圖5為本發(fā)明又一個實施例中報文處理系統(tǒng)的另 一個具體應用場景 示意圖�。
具體實施例方式
圖1為本發(fā)明 一個實施例中報文處理方法流程圖。該方法包括 102 �、過濾裝置根據(jù)分析設備配置的過濾規(guī)則集合過濾報文中的非 敏感流量。舉例來說���,所述過濾規(guī)則集合可以由五元組規(guī)則(源地址���、 目的地址��、源端口����、目的端口�����、協(xié)議號)組成���。五元組規(guī)則可以是完全 匹配的或支持掩碼的�����。如果報文中五元組信息與過濾規(guī)則集合中的五元 組規(guī)則匹配則阻止報文通過���,如果報文中五元組信息不與過濾規(guī)則集合 中的任何五元組規(guī)則匹配則允許報文通過。104���、對過濾后的報文進行分流��。例如����,分流設備按訪問控制列表 的配置對經過過濾的報文進行匹配�,將能夠匹配訪問控制列表的報文分 流到相應的分析設備,丟棄不匹配訪問控制列表的任何表項的報文����。
106、分析分流后的報文��,并根據(jù)分析結果更新所述過濾規(guī)則集合���。
對經過分流的報文應用分析規(guī)則進行分析�,得到與分析規(guī)則中非敏感流 量規(guī)則匹配的報文�,根據(jù)與非敏感流量規(guī)則匹配的報文更新過濾規(guī)則集 合,并向過濾裝置發(fā)送更新過濾規(guī)則集合的信息以使過濾裝置更新過濾 規(guī)則集合����。例如,分析設備對流量���、地址和在線時間進行統(tǒng)計��,結合用
戶地址和端口信息分析出點對點(peer-to-peer��, P2P)應用等非敏感 流量�,并將非敏感流量的五元組信息向過濾裝置發(fā)送以使過濾裝置更新 過濾規(guī)則集合。對過濾規(guī)則集合的更新可以是增加過濾規(guī)則�����、刪除過濾 規(guī)則�����、老化過濾規(guī)則中的一種或多種����。所述老化過濾規(guī)則包括靜態(tài)老化 (如時間老化)和動態(tài)老化(如超時不命中老化)。分析規(guī)則由以下方 式中的一種或多種配置通過客戶端配置����、通過腳本配置、手工進行配 置���。
圖2為本發(fā)明另一個實施例中過濾裝置框圖��。該裝置位于分流設備 之前��,該裝置包括規(guī)則維護模塊202�����、過濾模塊204和發(fā)送模塊206; 其中�,
規(guī)則維護模塊202,用于維護分析設備配置的過濾規(guī)則集合�����。過濾 規(guī)則集合由五元組規(guī)則組成��。五元組規(guī)則可以是完全匹配的或支持掩碼 的����。規(guī)則維護模塊202根據(jù)分析設備的過濾規(guī)則集合更新信息維護過濾 規(guī)則集合,包括增加過濾規(guī)則��、刪除過濾規(guī)則�����、老化過濾規(guī)則中的一種 或多種����。
過濾模塊204,用于根據(jù)過濾規(guī)則集合過濾報文中的非敏感流量�。如果報文中五元組信息與過濾規(guī)則集合中的五元組規(guī)則匹配則阻止報 文通過���。如果報文中五元組信息不與過濾規(guī)則集合中的任何五元組規(guī)則 匹配則允許才艮文通過��。
發(fā)送模塊206���,用于向分流設備發(fā)送經過過濾的報文以使所述分流 設備分流所述經過過濾的報文。
過濾裝置�,可以位于獨立的單板上,也可以位于分流設備單板內部 的存儲單元上����。
以下結合圖3到圖5說明本發(fā)明又一個實施例。
圖3為本發(fā)明又一個實施例中報文處理系統(tǒng)框圖�。該系統(tǒng)包括過 濾裝置302、分流設備304和分析設備306;其中�,
過濾裝置302,用于根據(jù)分析設備306配置的過濾規(guī)則集合阻止報文 中的非敏感流量通過���,并向分流設備304發(fā)送經過過濾的報文�����。過濾規(guī) 則集合由五元組規(guī)則組成���。五元組規(guī)則可以是完全匹配的或支持掩碼 的��。
分流設備304,用于將經過過濾裝置過濾的報文分流到分析設備 306���。例如�,分流設備304按訪問控制列表的配置對經過過濾裝置過濾的 報文進行匹配,將能夠匹配訪問控制列表的報文分流到相應的分析設備 306�����,丟棄不匹配訪問控制列表的任何表項的報文���。
分析設備306,用于根據(jù)分析規(guī)則對經過分流設備分流的報文進行 分析����,得到與分析規(guī)則中非敏感流量規(guī)則匹配的報文�����,根據(jù)與非敏感流 量規(guī)則匹配的報文更新過濾規(guī)則集合����,并向過濾裝置發(fā)送更新過濾規(guī)則 集合的信息以使過濾裝置3 02才艮據(jù)所述分析設備的分析結果更新過濾規(guī) 則集合��。例如����,分析設備306對流量�、地址和在線時間進行統(tǒng)計,結合 用戶地址和端口信息分析出P2P應用等非敏感流量�����,并將非敏感流量的
8五元組信息向過濾裝置302發(fā)送以使過濾裝置302更新過濾規(guī)則集合����。對 過濾規(guī)則集合的更新可以是增加過濾規(guī)則、刪除過濾規(guī)則���、老化過濾規(guī) 則中的一種或多種�。分析規(guī)則由以下方式中的一種或多種配置通過客 戶端配置����、通過腳本配置、手工進行配置��。
圖4為本發(fā)明又一個實施例中才艮文處理系統(tǒng)的 一個具體應用場景示 意圖。
該具體應用場景中����,報文處理系統(tǒng)包括位于獨立的單板上的過濾裝 置402、分流策略設備404���、分流槽406和分析設備408;其中�����,
過濾裝置402�,在兩塊獨立可熱插拔的單板上���,兩塊單板分別對上 行、下行流量進行過濾�����。過濾裝置402將經過過濾的報文發(fā)送到分流策 略設備404���。
分流策略設備404,包括兩塊單板�。兩塊單板分別用于對過濾裝置 402發(fā)送的兩股經過過濾裝置過濾的報文執(zhí)行分流策略���,將完成分流的 報文發(fā)送到分流槽406���。
分流槽406,包括由具體實施情況而定的一塊或多塊單板�����。分流槽 406用于對同 一端口組內流量進4亍散列��,根據(jù)出端口上送分析設備408��。
分析設備408����,包括由具體實施情況而定的一個或多個分析服務器��。 分析設備408用于根據(jù)分析規(guī)則對經過分流的報文進行分析�,得到與分 析規(guī)則中非敏感流量規(guī)則匹配的報文,根據(jù)與非敏感流量規(guī)則匹配的報 文更新過濾規(guī)則集合�,并向過濾裝置402發(fā)送更新過濾規(guī)則集合的信息 以使過濾裝置402更新過濾規(guī)則集合。例如�,分析設備408對流量、地址 和在線時間進行統(tǒng)計��,結合用戶地址和端口信息分析出P2P應用等非敏 感流量�����,并將非敏感流量的五元組信息向過濾裝置402發(fā)送以使過濾裝 置402更新過濾規(guī)則集合。本領域相關^支術人員可以理解��,本發(fā)明又一個實施例中^^文處理系 統(tǒng)的該具體應用場景中過濾裝置402并不限定于在兩塊獨立可熱插拔的 單板上����,可以根據(jù)需要配置一塊或多塊單板和決定是否可熱插拔。分流
策略設備404也并不限定于包括兩塊單板�,可以根據(jù)需要配置一塊或多
塊單板。
圖5為本發(fā)明又一個實施例中報文處理系統(tǒng)的另 一個具體應用場景
示意圖�。
該具體應用場景中,報文處理系統(tǒng)包括接口板502�����、分流槽504和分 析設備506;其中�,
接口板502��,包括兩塊單板���。過濾裝置位于接口板502中存儲單元上��, 用于對上行���、下行流量進行過濾����。接口板502并用于對經過過濾的報文 執(zhí)行分流策略����,將完成分流的報文發(fā)送到分流槽504。
分流槽504,包括由具體實施情況而定的一塊或多塊單板�。分流槽 504用于對同 一端口組內流量進行散列,根據(jù)出端口上送分析設備506����。
分析設備506,包括由具體實施情況而定的一個或多個分析服務器。 用于根據(jù)分析規(guī)則對經過分流的報文進行分析����,得到與分析規(guī)則中非敏 感流量規(guī)則匹配的報文,根據(jù)與非敏感流量規(guī)則匹配的報文更新過濾規(guī) 則集合����,并向位于接口板502中存儲單元上的過濾裝置發(fā)送更新過濾規(guī)
則集合。例如��,分析設備506對流量����、地址和在線時間進行統(tǒng)計���,結合 用戶地址和端口信息分析出P2P應用等非敏感流量,并將非敏感流量的 五元組信息向接口板502發(fā)送以使位于接口板502中存儲單元上的過濾 裝置更新過濾規(guī)則集合����。
本領域相關技術人員可以理解,本發(fā)明又一個實施例中報文處理系
10統(tǒng)的該具體應用場景中接口板502并不限定于兩塊單板���,可以根據(jù)需要 配置一塊或多塊單^1�。
釆用本發(fā)明實施例提供的技術方案�����,因為在分流設備對報文分流前 進行預過濾���,并且支持過濾規(guī)則的老化��,可以減小需要進行分流的報文 的規(guī)模,從而同時減少了分析設備對非敏感流量的重復分析���,并可以減 少分流不均等帶來的影響�,解決了分流設備流量壓力大、分析設備效率 低�����、分流不均影響大的問題�����。
本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部 分步驟是可以通過程序來指令相關的硬件完成�,所述的程序可以存儲于
計算機可讀存儲介質中,所述存儲介質可以是ROM/RAM,磁盤或光盤等���。 以上所述�����,僅為本發(fā)明較佳的具體實施方式
��,但本發(fā)明的保護范圍 并不局限于此�����,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范 圍內�����,可輕易想到的變化或替換�,都應涵蓋在本發(fā)明的保護范圍之內。 因此�,本發(fā)明的保護范圍應該以權利要求的保護范圍為準。
權利要求
1���、一種報文處理方法�����,其特征在于���,包括根據(jù)過濾規(guī)則集合,過濾報文中的非敏感流量��;對過濾后的報文進行分流����;分析分流后的報文,并根據(jù)分析結果更新所述過濾規(guī)則集合�����。
2�����、 根據(jù)權利要求1所述的方法�����,其特征在于�����,所述過濾規(guī)則集合 包括至少一種過濾規(guī)則�����,所述過濾規(guī)則包括完全匹配的五元組規(guī)則�;或 支持掩碼的五元組規(guī)則。
3���、 根據(jù)權利要求1所述的方法�����,其特征在于��,所述更新所述過濾 規(guī)則集合����,包括以下更新方式中的一種或多種增加過濾纟見則; 刪除過濾規(guī)則�����; 老化過濾規(guī)則��。
4����、 根據(jù)權利要求1所述的方法,其特征在于�,所述分流過濾的報 文,包括按訪問控制列表的配置對所述經過過濾的報文進行匹配�����,分流能夠 匹配所述訪問控制列表的報文�����。
5�����、 一種報文處理系統(tǒng),其特征在于�,包括過濾裝置、分流設備和 分析設備�;其中�,所述過濾裝置,用于根據(jù)所述分析設備配置的過濾規(guī)則集合過濾報 文中的非敏感流量����,并向所述分流設備發(fā)送經過過濾的報文;所述分流設備���,用于將所述經過過濾裝置過濾的報文分流到所述分析設備�����;所述分析設備�����,用于根據(jù)分析規(guī)則對所述經過分流設備分流的報文 進行分析����,并使所述過濾裝置根據(jù)所述分析設備的分析結杲更新所述過 濾規(guī)則集合。
6�����、 根據(jù)權利要求5所述的系統(tǒng)���,其特征在于����,所述分析規(guī)則由以 下方式中的一種或多種配置通過客戶端配置��;通過腳本配置�����;手工進行配置�。
7、 根據(jù)權利要求5所述的系統(tǒng)��,其特征在于���,所述報文過濾裝置�, 位于獨立的單板上�����,或位于所述分流設備單板內部的存儲單元上。
8�、 根據(jù)權利要求5所述的系統(tǒng),其特征在于����,所述分流設備按訪 問控制列表的配置對所述經過過濾的報文進行匹配,將能夠匹配所述訪 問控制列表的報文分流到所述分析設備�。
9�����、 一種過濾裝置�,其特征在于,位于分流設備之前�,包括 規(guī)則維護模塊,用于維護過濾規(guī)則集合���;過濾模塊�,用于根據(jù)過濾規(guī)則集合過濾報文中的非敏感流量����; 發(fā)送模塊����,用于向分流設備發(fā)送經過過濾的所述報文�,以使所述分 流設備分流所述經過過濾的報文。
10�����、 根據(jù)權利要求9所述的裝置�,其特征在于,所述過濾裝置�����,位 于獨立的單板上�,或位于分流設備單板內部的存儲單元上。
全文摘要
本發(fā)明涉及網絡通信領域��,尤其涉及一種報文處理方法���、裝置和系統(tǒng)�。該方法包括根據(jù)過濾規(guī)則集合����,過濾報文中的非敏感流量�����;對所述過濾后的報文進行分流�����;分析所述分流后的報文�,并根據(jù)分析結果更新所述過濾規(guī)則集合�。采用本發(fā)明實施例提供的技術方案,因為在分流設備對報文分流前進行預過濾�����,可以減小需要進行分流的報文的規(guī)模�����,從而同時減少了分析設備對非敏感流量的重復分析���,解決了分流設備流量壓力大、分析設備效率低的問題����。
文檔編號H04L12/56GK101478478SQ200810242170
公開日2009年7月8日 申請日期2008年12月31日 優(yōu)先權日2008年12月31日
發(fā)明者云長江, 悅 劉, 曾斯柯, 李軍輝, 王立業(yè), 秦二輝, 陸春華, 新 雷, 雷 韓 申請人:華為技術有限公司