亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種未知流量過濾方法和一種帶寬管理設備的制作方法

文檔序號:7702693閱讀:213來源:國知局
專利名稱:一種未知流量過濾方法和一種帶寬管理設備的制作方法
技術領域
本發(fā)明涉及網(wǎng)絡通信技術領域,尤指一種未知流量過濾方法和一種帶寬 管理設備。
背景技術
帶寬管理設備使用多種模型和方法識別網(wǎng)絡應用流量并進行管理,例
如,IP/端口識別方法、深度包4企測(DPI, Deep Packet Inspection)識別方 法以及其他的才莫型和方法。其中,IP/端口識別法才艮據(jù)IP或端口特征識別網(wǎng) 絡流量,在應用過程中需要不斷添加被管理的IP或端口; DPI識別法才艮據(jù) 數(shù)據(jù)流的特征字符串識別網(wǎng)絡流量,在應用中需要不斷添加新的網(wǎng)絡應用流 量對應的特征字符串。
現(xiàn)有的帶寬管理設備大部分采用"流量識別引擎+特征庫"的架構,其 中流量識別引擎是一套較為穩(wěn)定的流量識別系統(tǒng),特征庫隨著可識別流量的 增加而不斷更新,特征庫的更新不影響識別流量識別引擎的穩(wěn)定性。
隨著網(wǎng)絡應用軟件和協(xié)議的發(fā)展,因特網(wǎng)(Internet)上不斷出現(xiàn)新的 網(wǎng)絡應用流量,帶寬管理設備廠商需要不斷跟蹤新的網(wǎng)絡應用流量,并在帶 寬管理設備中支持該新流量的識別,因此跟蹤和分析的工作量非常大。如何 高效地識別未知流量,降低未知流量比例就成了帶寬管理設備廠商面臨的一 個現(xiàn)實問題。
目前,未知流量的識別主要包括以下幾種方式
1、自動化識別未知流量帶寬管理設備對于經(jīng)過的未知流量自動保存 下來,并根據(jù)某種算法查找未知流量數(shù)據(jù)流中的存在的共同特征,并將其添 加到特4i庫中。
但是在用戶網(wǎng)絡中的帶寬管理設備的流量一般很大,實時保存未知流量對設備的性能有很高要求。且由于輸入的未知流量可能由多種網(wǎng)絡應用軟件 產(chǎn)生,提取特征的算法復雜、效率低下。提取特征的算法適用性存在限制, 比如對于某軟件產(chǎn)生的加密數(shù)據(jù)流,提取特征字符串的算法失效。對于自動 化提取特征字符串,由于不知道其對應的網(wǎng)絡應用名稱,大量加入特征庫時 容易造成用戶界面不友好。
2、 人工識別未知流量帶寬管理設備一般會提供日志功能,根據(jù)曰志 信息中未知流量的IP或端口排名,使用抓包工具,如Wireshark,抓取指定 IP或端口的全部流量,然后人工分析和提取特征,并升級特征庫。
這種方式下,流量分析人員的工作量大,且免費的抓包工具中流量過濾 功能筒單,抓取的報文中存在大量的已識別流量和會話不完整的數(shù)據(jù)流,影 響未知流量的分析和識別效率。
3、 設置電子公告板(BBS, Bulletin Board System )論壇設置BBS論 壇,由用戶網(wǎng)絡中的網(wǎng)絡管理員反饋無法識別的流量和網(wǎng)絡應用。
這種方式中,對用戶網(wǎng)絡中的網(wǎng)絡管理員有較高的要求,依賴客戶的反 饋,未知流量的識別工作非常被動。
綜上所述,現(xiàn)有的未知流量識別和分析方案的效率不高。

發(fā)明內(nèi)容
本發(fā)明提供了 一種未知流量過濾方法,該方法能夠提高未知流量的識別 和分析效率。
本發(fā)明還提供了 一種帶寬管理設備,該帶寬管理設備能夠提高未知流量
的識別和分析效率。
為達到上述目的,本發(fā)明的技術方案具體是這樣實現(xiàn)的
本發(fā)明公開了 一種未知流量過濾方法,在帶寬管理設備上指定第 一鏡像
端口和第二鏡像端口 ,對于帶寬管理設備接收到的報文執(zhí)行以下步驟
判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件,是則將 已標識流中的滿足會話完整信息的報文鏡像到第 一鏡像端口 ;所述第 一次過濾條件包括所接收報文的類型是傳輸層報文,且所接收的報文所在的流已 經(jīng)標識;
接收來自第一鏡像端口的報文,并根據(jù)預設的第二次過濾條件判斷該報 文所屬流量是否是未知流量,是則將所述未知流量報文鏡像到第二鏡像端口 供流量分析使用。
本發(fā)明還公開了一種帶寬管理設備,該帶寬管理設備上指定了第一鏡像 端口和第二鏡像端口 ,該帶寬管理設備包括第 一過濾模塊和第二過濾模塊,
其中
第 一過濾模塊,用于判斷帶寬管理設備接收的報文是否符合預設的第一 次過濾條件,是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像 端口;所述第一次過濾條件包括所接收報文的類型是傳輸層報文,且所接 收的報文所在的流已經(jīng)標識;
第二過濾模塊,用于接收來自第一鏡像端口的報文,并根據(jù)預設的第二 次過濾條件判斷該報文所屬流量是否是未知流量,是則將所述未知流量報文 鏡像到第二鏡像端口供流量分析使用。
由上述技術方案可見,本發(fā)明這種判斷帶寬管理設備接收的報文是否符 合預設的第 一次過濾條件,是則將已標識流中的滿足會話完整信息的報文鏡 像到第一鏡像端口;所述第一次過濾條件包括所接收報文的類型是傳輸層 報文,且所接收的報文所在的流已經(jīng)標識;接收來自第一鏡像端口的報文, 并根據(jù)預設的第二次過濾條件判斷該報文所屬流量是否是未知流量,是則將 所述未知流量報文鏡像到第二鏡像端口供流量分析使用的技術方案,由于使 用了二次流量過濾的方式,因此最大限度地縮小了未知流量的分析范圍,提 高了未知流量的識別和分析效率。并且在用戶網(wǎng)絡中可以只執(zhí)行第一次流量 過濾過程,而第二次流量過濾過程可以不在用戶網(wǎng)絡中完成,因此減小了帶 寬管理設備對業(yè)務流量的影響,大大提高了未知流量過濾的效率。
8


圖1是本發(fā)明實施例一種未知流量過濾方法的系統(tǒng)示意圖; 圖2是本發(fā)明實施例一種未知流量過濾方法的流程圖; 圖3是本發(fā)明實施例中的第一次流量過濾過程的流程圖; 圖4是本發(fā)明實施例中的第二次流量過濾過程的流程圖; 圖5是本發(fā)明實施例一種帶寬管理設備的組成結構框圖。
具體實施例方式
本發(fā)明的核心思想是在現(xiàn)有的帶寬管理設備上配置兩種不同的未知流 量過濾方式,兩種未知流量過濾方式配合使用,其中,第一種過濾方式在用 戶網(wǎng)絡中應用,而第二種過濾方式不在用戶網(wǎng)絡中應用,且第一種過濾方式 釆用了簡單的過濾手段,從而降低了對用戶網(wǎng)絡中的帶寬管理設備的性能影 響,進而降低了帶寬管理設備對用戶網(wǎng)絡中的業(yè)務流量的影響。同時,兩次 過濾的方式又保證了提供給流量分析人員的現(xiàn)場流量的有效性和針對性,提 高了未知流量的分析和識別效率。
圖l是本發(fā)明實施例一種未知流量過濾方法的系統(tǒng)示意圖。參見圖l, 在第一次的未知流量過濾過程中,將命中的流量鏡像出來,即得到圖l中的 "第一次過濾鏡像流量",然后將對第一次過濾命中的鏡像流量進行第二次 過濾,得到圖l中的"第二次過濾鏡像流量",即目標流量。目標流量提供給 流量分析人員進行分析和識別。其中,第一次流量過濾過程在用戶網(wǎng)絡中完 成,即帶寬管理設備對網(wǎng)絡流量進行在線過濾;而第二次過濾是對第一次過 濾鏡像流量進行的,不在用戶網(wǎng)絡中完成,因此不會對網(wǎng)絡流量產(chǎn)生影響。 例如,當用戶網(wǎng)絡中突發(fā)未知流量時,用戶網(wǎng)絡中的帶寬管理設備采用第一 種過濾方式對用戶網(wǎng)絡流量進行在線過濾,得到"第一次過濾鏡像流量"; 而"第一次過濾鏡像流量"可以由用戶反饋給帶寬管理設備的廠商,由帶寬 管理設備的廠商在自己的辦公地點利用帶寬管理設備對"第 一次過濾鏡像流 量,,進行第二次過濾,得到"第二次過濾鏡像流量",進一步縮小未知流量的分析范圍;這樣最后提供給流量分析人員的是"第二次過濾鏡像流量", 保證了提供給流量分析人員的現(xiàn)場流量的有效性和針對性,提高了流量分析 人員的未知流量分析和識別效率。
圖2是本發(fā)明實施例一種未知流量過濾方法的流程圖。該方法需要在帶 寬管理設備上指定第 一鏡像端口和第二鏡像端口 ,則對于帶寬管理設備接收 到的每個報文執(zhí)行以下步驟
步驟201,判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條 件,是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像端口;所 述第一次過濾條件包括所接收報文的類型是傳輸層報文,且所接收的報文 所在的流已經(jīng)標識。
步驟202,接收來自第一鏡像端口的報文,并根據(jù)預設的第二次過濾條 件判斷該報文所屬流量是否是未知流量,是則將所述未知流量報文鏡像到第 二鏡像端口供流量分析使用。
下面分別詳細介紹本發(fā)明實施例中的第一次流量過濾和第二次流量過 濾過程。
一、第一次流量過濾
第一次流量過濾在用戶網(wǎng)絡中使用,初步確定未知流量的范圍,輸入流 量是用戶網(wǎng)絡中流經(jīng)帶寬管理設備的所有流量,輸出流量為滿足預設的第一 次過濾條件的流量。在本發(fā)明實施例中為了保證過濾流量的有效性,第一次 過濾條件中可以包括如下的處理*見則
(1)要求過濾的數(shù)據(jù)流為傳輸層數(shù)據(jù)流,如傳輸控制協(xié)議(TCP, Transfer Control Protocol)凄t據(jù)流和用戶凄t據(jù)才艮協(xié)i義(UDP, User Datagram Protocol)數(shù)據(jù)流;
(2 )為保證傳輸控制協(xié)議(TCP, Transfer Control Protocol)數(shù)據(jù)流的 完整性,要求過濾的TCP數(shù)據(jù)流必須存在同步連接序號SYN握手報文;
(3 )為了保證用戶數(shù)據(jù)報協(xié)議(UDP, User Datagram Protocol)數(shù)據(jù) 流的完整性,要求過濾的UDP數(shù)據(jù)流首報文必須為信令報文。可以設定一個
10閥值,如300字節(jié),來判斷是否為信令報文。例如,當一個UDP報文的UDP 負載長度小于300字節(jié)時,認為該UDP報文是信令報文;
(4) 對于每條數(shù)據(jù)流,可以設定閾值,只過濾前N個報文,如前50個
報文;
(5 )數(shù)據(jù)流滿足預設的IP地址和/或端口過濾條件。
圖3是本發(fā)明實施例中的第一次流量過濾過程的流程圖。如圖3所示,對 流經(jīng)帶寬管理設備的每一 個當前報文執(zhí)行以下步驟
步驟301,判斷帶寬管理設備是否開啟了第一次流量過濾功能,是則執(zhí) 行步驟302,否則直接確定當前報文不符合第一次過濾條件,正常轉發(fā)當前 報文并結束。
步驟302,判斷當前報文是否滿足預設的IP地址和/或端口過濾條件, 是則執(zhí)行步驟303,否則確定當前報文不符合第一次過濾條件,正常轉發(fā)當 前凈艮文并結束。
本步驟中,IP地址和/或端口過濾條件是提前通過配置命令設置的,即 可以根據(jù)IP地址進行過濾,也可以根據(jù)端口進行過濾,或者也可以根據(jù)IP 地址和端口的結合進行過濾。例如,提前配置IP地址和端口,只有源/目的 IP地址和端口與提前配置的IP地址和端口匹配的才艮文能夠命中。
步驟303,判斷當前報文是否為傳輸控制協(xié)議TCP報文或用戶數(shù)據(jù)報協(xié) 議UDP報文,是則執(zhí)行步驟304,否則確定當前報文不符合第一次過濾條 件,正常轉發(fā)當前才艮文并結束。
步驟304,判斷當前報文是否為其所屬流的首報文,是則執(zhí)行步驟305, 否則執(zhí)行步驟307。
本步驟中,如果報文是TCP報文,則判斷報文是否為同步連接序號SYN
握手報文,是則報文是收報文,其所屬的數(shù)據(jù)流滿足會話完整條件,否則報
文不是首報文,報文所屬的數(shù)據(jù)流不滿足會話完整條件;如果報文是UDP
報文,則判斷報文是否為信令報文,是則報文是首報文,所屬的數(shù)據(jù)流滿足
會話完整條件,否則報文不是首報文,所屬的數(shù)據(jù)流不滿足會話完整條件。步驟305,創(chuàng)建與當前才艮文的五元組對應的控制塊,然后4丸行步驟306。
本步驟中,創(chuàng)建與當前報文的五元組對應的控制塊,其實是利用報文的 五元組來標識該報文所屬的數(shù)據(jù)流。也就是說與五元組對應的控制塊是用來 標識該五元組對應的數(shù)據(jù)流已存在的。
步驟306,將當前報文鏡像到第一鏡像端口 ,并在對應控制塊上更新鏡 像報文計數(shù)。結束流程。
步驟307,根據(jù)當前報文的五元組判斷是否存在對應的控制塊,是則執(zhí) 行步驟308,否則正常轉發(fā)當前才艮文并結束。
步驟308,判斷當前報文對應控制塊上的鏡像報文計數(shù)是否超過閾值N, 是則正常轉發(fā)當前報文并結束,否則執(zhí)行步驟309。
步驟309,將當前報文鏡像到第一鏡像端口 ,并在對應控制塊上更新鏡 像報文計數(shù)。結束流程。
本步驟中,當報文是TCP報文時,如果報文存在TCP負載,則在對應 控制塊上的鏡像報文計數(shù)上加1;如果報文不存在TCP負載,則不改變對應 控制塊上的鏡像報文計數(shù)。
本實施例中,可以通過命令行的方式開啟第一流量過濾功能。并應提前 設置IP/端口過濾條件、第一鏡像端口以及每條數(shù)據(jù)流處理的報文閾值等參 數(shù)。
此外,在本發(fā)明實施例中,當所創(chuàng)建的控制塊在預定的時間內(nèi)沒有被訪 問時,刪除該控制塊。即使用老化方式(如定時器方式),及時釋放長時間 未使用的控制塊占用的相關系統(tǒng)資源。
二、第一次流量過濾
第二次流量過濾過程可以在流量分析階段執(zhí)行,進一步確定未知流量的 分析范圍,輸入流量是使用第一次流量過濾方法得到的現(xiàn)場流量,輸出流量 為帶寬管理設備無法識別的未知流量。具體實現(xiàn)時可以采用報文回放工具, 將輸入流量流經(jīng)帶寬管理設備。
在第二次流量過濾過程中所采用的流量過濾條件可以與現(xiàn)有技術的流
12量過濾條件相同。
圖4是本發(fā)明實施例中的第二次流量過濾過程的流程圖。如圖4所示,對 流經(jīng)第 一鏡像端口的每一個當前報文執(zhí)行以下步驟
步驟401,判斷帶寬管理設備是否開啟了第二次流量過濾功能,是則執(zhí) 行步驟402,否則直接確定當前報文不符合第二次過濾條件,結束流程。
步驟402,根據(jù)當前報文的五元組判斷是否存在對應的控制塊,是則直 接執(zhí)行步驟404,否則執(zhí)行步驟403。
步驟403,創(chuàng)建與當前報文五元組對應的控制塊,然后執(zhí)行步驟404。
步驟404判斷對應控制塊上記錄的會話類型,如果會話類型是已知流 量,則確定報文不符合第二次過濾條件,結束流程;如果會話類型是未知流 量,則確定報文符合第二次過濾條件,執(zhí)行步驟410;如果對應控制塊上未 記錄會話類型,則執(zhí)行步驟405;
步驟405、判斷流量識別引擎對對應控制塊的數(shù)據(jù)流的識別是否結束, 是則執(zhí)行步驟407,否則執(zhí)行步驟406。
步驟406,將當前報文緩存到對應控制塊中,并確定報文不符合第二次 過濾條件,結束流程。
步驟407,判斷對應控制塊的數(shù)據(jù)流是否為未知流量,是則執(zhí)行步驟 409,否則執(zhí)行步驟408。
步驟408,如果對應控制塊的數(shù)據(jù)流被識別為已知流量,則在對應控制 塊上記錄會話類型為已知流量,釋放對應控制塊中緩存的所有報文,并確定 報文不符合第二次過濾條件,結束流程。
步驟409,如果對應控制塊的數(shù)據(jù)流被識別為未知流量,則在對應控制 塊上記錄會話類型為未知流量,將對應控制塊中緩存的所有報文鏡像到第二 鏡像端口,并確定報文符合第二次過濾條件,執(zhí)行步驟410。
步驟410,將當前報文鏡像到第二鏡像端口 ,結束流程。
本實施例中,當確定當前報報文不符合第二次過濾條件時,可以直接丟 棄當前報文,也可以采用其他處理方式,本發(fā)明中不做限定。本實施例中,可以通過命令行的方式開啟第二流量過濾功能。并應提前 設置第二鏡像端口等參數(shù)。本實施例中,由于需要緩存報文,因此在實際應 用中可以設置報文回放工具的波特率,以降低對帶寬管理設備的內(nèi)存消耗。
此外,在本發(fā)明實施例中,當所創(chuàng)建的控制塊在預定的時間內(nèi)沒有被訪 問時,刪除該控制塊。即使用老化方式(如定時器方式),及時釋放長時間 未使用的控制塊占用的相關系統(tǒng)資源。
圖5是本發(fā)明實施例一種帶寬管理設備的組成結構框圖。該帶寬管理設 備上指定了第一鏡像端口和第二鏡像端口,則如圖5所示,該帶寬管理設備 包括第一過濾模塊501和第二過濾模塊502,其中
第一過濾模塊501,用于判斷帶寬管理設備接收的報文是否符合預設的 第 一次過濾條件,是則將已標識流中的滿足會話完整信息的報文鏡像到第一 鏡像端口;所述第一次過濾條件包括所接收報文的類型是傳輸層報文,且 所接收的l艮文所在的流已經(jīng)標識;
第二過濾模塊502,用于接收來自第一鏡像端口的報文,并根據(jù)預設的 第二次過濾條件判斷該報文所屬流量是否是未知流量,是則將所述未知流量 報文鏡像到第二鏡像端口供流量分析使用。
在圖5所示的帶寬管理設備中,所述第一次過濾條件進一步包括所接 收報文是一條數(shù)據(jù)流中的前N個報文之一,N為指定自然數(shù);并且所接收報 文滿足預設的IP地址和/或端口過濾條件。
在圖5所示的帶寬管理設備中,所述第一過濾模塊501,判斷所接收報 文的類型是傳輸層報文,是判斷所接收報文的類型是傳輸控制協(xié)議TCP報 文或用戶數(shù)據(jù)報協(xié)議UDP報文。
在圖5所示的帶寬管理設備中,所述第一過濾模塊501,進一步用于判 斷所接收報文是否為其所屬流的首報文,是則利用所接收報文的五元組對其 所屬流進行標識。
在圖5所示的帶寬管理設備中,所述第一過濾模塊501,在所接收報文 是TCP報文時,判斷該報文是否為同步連接序號SYN握手報文,是則確定該報文是其所屬流的首報文,否則不是;在所接收報文是UDP報文,判斷
該報文是否為信令報文,是則確定該報文是其所屬流的首報文,否則不是。
在圖5所示的帶寬管理設備中,所述第二過濾模塊502包括判斷過濾 子模塊503和第二鏡像子模塊504,其中,
判斷過濾子模塊503,用于在接收來自第一鏡像端口的報文時,執(zhí)行以 下步驟
a、 根據(jù)報文的五元組判斷是否存在對應的控制塊,是則直接執(zhí)行步驟 b,否則先創(chuàng)建與報文五元組對應的控制塊,然后執(zhí)行步驟b;
b、 判斷對應控制塊上記錄的會話類型,如果會話類型是已知流量,則 確定報文所屬流量是已知流量,如果會話類型是未知流量,則確定報文所屬 流量是未知流量,并將報文發(fā)送給第二鏡像子模塊,如果對應控制塊上未記 錄會話類型,則執(zhí)行步驟c;
c、 判斷流量識別引擎對對應控制塊的數(shù)據(jù)流的識別是否結束,是則執(zhí) 行步驟d,否則將報文緩存到對應控制塊中;
d、 如果對應控制塊的^t據(jù)流;波識別為未知流量,則在對應控制塊上記 錄會話類型為未知流量,將對應控制塊中緩存的所有報文送給第二鏡像子模 塊;如果對應控制塊的數(shù)據(jù)流被識別為已知流量,則在對應控制塊上記錄會 話類型為已知流量,釋放對應控制塊中緩存的所有報文;
第二鏡像子模塊504,用于將所接收的報文鏡像到第二鏡像端口 。 圖5所示的帶寬管理設備還包括控制塊管理模塊,用于刪除在預定的 時間內(nèi)沒有被訪問的控制塊。在圖5中沒有畫出控制塊管理模塊。
綜上所述,本發(fā)明這種在帶寬管理設備上指定第 一鏡像端口和第二鏡像 端口,判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件,是則 將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像端口 ;接收來自第 一鏡像端口的報文,并根據(jù)預設的第二次過濾條件判斷該報文所屬流量是否 是未知流量,是則將所述未知流量報文鏡像到第二鏡像端口供流量分析使 用。的技術方案,由于使用了二次流量過濾的方式,因此最大限度地縮小了未知流量的分析范圍,保證了提供給流量分析人員的現(xiàn)場流量的有效性和針 對性,提高了未知流量的分析和識別效率。并且在用戶網(wǎng)絡中可以只執(zhí)行第 一次流量過濾過程,而第二次流量過濾過程可以不在用戶網(wǎng)絡中完成,因此 減小了帶寬管理設備對業(yè)務流量的影響,大大提高了未知流量過濾的效率。 此外,在用戶網(wǎng)絡中的第一次流量過濾過程中,只處理未知流量中的完整
TCP或UDP數(shù)據(jù)流的前預設數(shù)量的報文的方案,降低了無效報文,如已知 流量或會話不完整的未知流量的干擾。
以上所述,僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護 范圍,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進等, 均應包含在本發(fā)明的保護范圍之內(nèi)。
權利要求
1、一種未知流量過濾方法,其特征在于,在帶寬管理設備上指定第一鏡像端口和第二鏡像端口,對于帶寬管理設備接收到的報文執(zhí)行以下步驟判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件,是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像端口;所述第一次過濾條件包括所接收報文的類型是傳輸層報文,且所接收的報文所在的流已經(jīng)標識;接收來自第一鏡像端口的報文,并根據(jù)預設的第二次過濾條件判斷該報文所屬流量是否是未知流量,是則將所述未知流量報文鏡像到第二鏡像端口供流量分析使用。
2、 如權利要求l所述的方法,其特征在于,所述第一次過濾條件進一步包括所接收報文是一條數(shù)據(jù)流中的前N 個報文之一,N為指定自然數(shù);并且所接收報文滿足預設的IP地址和/或端 口過濾條件。
3、 如權利要求1或2所述的方法,其特征在于,所接收報文的類型是傳輸層報文包括所接收報文的類型是傳輸控制協(xié) 議TCP報文或用戶數(shù)據(jù)報協(xié)議UDP報文。
4、 如權利要求1或2所述的方法,其特征在于,該方法進一步包括 判斷所接收報文是否為其所屬流的首報文,是則利用所接收報文的五元組對 其所屬流進4于標識。
5、 如權利要求4所述的方法,其特征在于,判斷所接收報文是否為其 所屬流的首報文包括如果所接收報文是TCP報文,則判斷該報文是否為同步連接序號SYN 握手報文,是則該報文是其所屬流的首報文,否則不是;如果所接收報文是UDP報文,則判斷該報文是否為信令報文,是則該 報文是其所屬流的首報文,否則不是。
6、 如權利要求l所述的方法,其特征在于,根據(jù)預設的第二次過濾條 件判斷該報文所屬流量是否是未知流量,是則將所述未知流量報文鏡像到第 二鏡像端口包括a、 根據(jù)報文的五元組判斷是否存在對應的控制塊,是則直接執(zhí)行步驟 b,否則先創(chuàng)建與報文五元組對應的控制塊,然后執(zhí)行步驟b;b、 判斷對應控制塊上記錄的會話類型,如果會話類型是已知流量,則 確定報文所屬流量是已知流量,如果會話類型是未知流量,則確定報文所屬 流量是未知流量,將報文鏡像到第二端口,如果對應控制塊上未記錄會話類 型,則執(zhí)行步驟c;c、 判斷流量識別引擎對對應控制塊的數(shù)據(jù)流的識別是否結束,是則執(zhí) 行步驟d,否則將報文緩存到對應控制塊中;d、 如果對應控制塊的數(shù)據(jù)流被識別為未知流量,則在對應控制塊上記 錄會話類型為未知流量,將對應控制塊中緩存的所有報文鏡像到第二鏡像端 口;如果對應控制塊的數(shù)據(jù)流被識別為已知流量,則在對應控制塊上記錄會 話類型為已知流量,釋放對應控制塊中緩存的所有報文。
7、 一種帶寬管理設備,其特征在于,該帶寬管理設備上指定了第一鏡 像端口和第二鏡像端口,該帶寬管理設備包括第一過濾模塊和第二過濾模塊,其中第 一過濾模塊,用于判斷帶寬管理設備接收的報文是否符合預設的第一 次過濾條件,是則將已標識流中的滿足會話完整信息的報文鏡像到第 一鏡像 端口;所述第一次過濾條件包括所接收報文的類型是傳輸層報文,且所接 收的才艮文所在的流已經(jīng)標識;第二過濾模塊,用于接收來自第一鏡像端口的報文,并根據(jù)預設的第二 次過濾條件判斷該報文所屬流量是否是未知流量,是則將所述未知流量報文 鏡像到第二鏡像端口供流量分析使用。
8、 如權利要求7所述的帶寬管理設備,其特征在于,所述第一次過濾 條件進一步包括所接收報文是一條數(shù)據(jù)流中的前N個報文之一,N為指定自然數(shù);并且所接收報文滿足預設的IP地址和/或端口過濾條件。
9、 如權利要求7所述的帶寬管理設備,其特征在于, 所述第一過濾模塊,判斷所接收報文的類型是傳輸層報文,是判斷所接收報文的類型是傳輸控制協(xié)議TCP報文或用戶數(shù)據(jù)報協(xié)議UDP報文。
10、 如權利要求7或8所述的帶寬管理設備,其特征在于, 所述第一過濾模塊,進一步用于判斷所接收報文是否為其所屬流的首報文,是則利用所接收報文的五元組對其所屬流進行標識。
11、 如權利要求IO所述的帶寬管理設備,其特征在于, 所述第一過濾模塊,在所接收報文是TCP報文時,判斷該報文是否為同步連接序號SYN握手報文,是則確定該報文是其所屬流的首報文,否則 不是;在所接收報文是UDP報文,判斷該報文是否為信令報文,是則確定 該報文是其所屬流的首報文,否則不是。
12、 如權利要求7所述的帶寬管理設備,其特征在于,所述第二過濾模 塊包括判斷過濾子模塊和第二鏡像子模塊,其中,判斷過濾子模塊,用于在接收來自第一鏡像端口的報文時,執(zhí)行以下步驟a、 根據(jù)報文的五元組判斷是否存在對應的控制塊,是則直接執(zhí)行步驟 b,否則先創(chuàng)建與才艮文五元組對應的控制塊,然后執(zhí)行步驟b;b、 判斷對應控制塊上記錄的會話類型,如果會話類型是已知流量,則 確定報文所屬流量是已知流量,如果會話類型是未知流量,則確定報文所屬 流量是未知流量,并將報文發(fā)送給第二鏡像子模塊,如果對應控制塊上未記 錄會話類型,則執(zhí)行步驟c;c、 判斷流量識別引擎對對應控制塊的數(shù)據(jù)流的識別是否結束,是則執(zhí) 行步驟d,否則將報文緩存到對應控制塊中;d、 如果對應控制塊的數(shù)據(jù)流;故識別為未知流量,則在對應控制塊上記 錄會話類型為未知流量,將對應控制塊中緩存的所有報文送給第二鏡像子模 塊;如果對應控制塊的數(shù)據(jù)流被識別為已知流量,則在對應控制塊上記錄會話類型為已知流量,釋放對應控制塊中緩存的所有報文;第二鏡像子模塊,用于將所接收的報文鏡像到第二鏡像端口
全文摘要
本發(fā)明公開了一種未知流量過濾方法和一種帶寬管理設備。方法包括判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件,是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像端口;接收來自第一鏡像端口的報文,并根據(jù)預設的第二次過濾條件判斷該報文所屬流量是否是未知流量,是則將所述未知流量報文鏡像到第二鏡像端口供流量分析使用。本發(fā)明的技術方案能夠提高未知流量的識別和分析效率。
文檔編號H04L29/06GK101635720SQ20091009211
公開日2010年1月27日 申請日期2009年8月31日 優(yōu)先權日2009年8月31日
發(fā)明者淞 吳, 鄒文宇 申請人:杭州華三通信技術有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1