專利名稱:一種實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)���,特別是指一種實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的方法及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)業(yè)務(wù)種類和業(yè)務(wù)量的迅猛發(fā)展���,網(wǎng)絡(luò)中的垃圾流量(如無(wú)任何意義 或用處的流量�、或惡意攻擊的流量)也在逐漸增多���,承載網(wǎng)絡(luò)越來(lái)越不堪重負(fù)���,經(jīng)常會(huì) 出現(xiàn)擁塞、帶寬不足的情況,導(dǎo)致這種情況出現(xiàn)的一個(gè)非常重要的原因就是網(wǎng)絡(luò)中存在 很多異常的網(wǎng)絡(luò)流量��,如惡意攻擊的網(wǎng)絡(luò)流量����、非授權(quán)的網(wǎng)絡(luò)流量、非法的點(diǎn)對(duì)點(diǎn)(P2P����, Peer-to-Peer)網(wǎng)絡(luò)流量等�,此時(shí),對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行清洗就成為一項(xiàng)非常重要的處理 操作�����。目前�����,逐包檢測(cè)的網(wǎng)絡(luò)流量清洗方式對(duì)通信系統(tǒng)和檢測(cè)設(shè)備的要求都非常高�����,并且處 理效率較低��,然而,清洗所針對(duì)的網(wǎng)絡(luò)流量是非常大的��,因此����,現(xiàn)有的網(wǎng)絡(luò)流量清洗方式根 本無(wú)法滿足骨干網(wǎng)等大流量應(yīng)用場(chǎng)合的網(wǎng)絡(luò)流量清洗需要。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明的主要目的在于提供一種實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的方法及系統(tǒng),有 效提高網(wǎng)絡(luò)流量清洗效率�。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的方法�����,該方法包括深度流檢測(cè)DFI設(shè)備根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)����,向深度報(bào)文檢測(cè) DPI設(shè)備發(fā)送可疑的網(wǎng)絡(luò)流量;DPI設(shè)備根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)���,根據(jù)控制策略清洗異常的網(wǎng)
絡(luò)流量����。該方法還包括控制中心向DFI設(shè)備下發(fā)設(shè)置的流量檢測(cè)模板���,DFI設(shè)備對(duì)收到的流量檢測(cè)模板 進(jìn)行存儲(chǔ)����;和/或,控制中心向DPI設(shè)備下發(fā)設(shè)置的識(shí)別模板和控制策略����,DPI設(shè)備對(duì)收到的識(shí)別模 板和控制策略進(jìn)行存儲(chǔ)。所述DFI設(shè)備根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)之后�,還包括DFI設(shè)備將正 常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸;和/或�����,所述DPI設(shè)備根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)之后����,還包括DPI設(shè)備將 正常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸�����。所述根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)�����,包括將網(wǎng)絡(luò)流量的特征與存儲(chǔ)的 流量檢測(cè)模板進(jìn)行比較,確定網(wǎng)絡(luò)流量的特征異常時(shí)��,確定對(duì)應(yīng)網(wǎng)絡(luò)流量為可疑的網(wǎng)絡(luò)流量���。所述根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)����,包括根據(jù)識(shí)別模板對(duì)可疑的網(wǎng) 絡(luò)流量進(jìn)行深度報(bào)文檢測(cè)�����,識(shí)別網(wǎng)絡(luò)流量的具體應(yīng)用�,確定網(wǎng)絡(luò)流量是否異常。
一種實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的系統(tǒng)��,包括DFI設(shè)備�����,用于根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)�,向DPI設(shè)備發(fā)送可疑的網(wǎng)
絡(luò)流量;DPI設(shè)備��,用于根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)���,根據(jù)控制策略清洗異常 的網(wǎng)絡(luò)流量�。所述系統(tǒng)進(jìn)一步包括控制中心,用于向DFI設(shè)備下發(fā)設(shè)置的流量檢測(cè)模板�����;和/ 或���,用于向DPI設(shè)備下發(fā)設(shè)置的識(shí)別模板和控制策略���。所述流量檢測(cè)模板或所述識(shí)別模板是靜態(tài)設(shè)置的,或根據(jù)當(dāng)前所需動(dòng)態(tài)設(shè)置的���。所述DFI設(shè)備還用于將正常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸��;和/或����,所述DPI 設(shè)備還用于將正常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸����。本發(fā)明方案中�����,將DFI技術(shù)與DPI技術(shù)相結(jié)合,從而很好地解決了網(wǎng)絡(luò)流量清洗中 檢測(cè)的完整性與清洗效率之間的矛盾���,并且兼顧了檢測(cè)效率與準(zhǔn)確性��,能夠滿足海量數(shù)據(jù) 的網(wǎng)絡(luò)流量清洗需要��,大大提高了網(wǎng)絡(luò)流量清洗效率�����。另外��,本發(fā)明方案中所涉及的流量檢測(cè)模板可以與現(xiàn)有的流量檢測(cè)模板相同���,因 此本發(fā)明方案在有關(guān)流量檢測(cè)模板的有關(guān)實(shí)現(xiàn)中并不需要頻繁升級(jí)流量檢測(cè)模板,大大降 低了網(wǎng)絡(luò)流量清洗的維護(hù)成本����。
圖1為本發(fā)明中實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的系統(tǒng)結(jié)構(gòu)示意圖;圖2為本發(fā)明中實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的流程示意圖�����。
具體實(shí)施例方式深度報(bào)文檢測(cè)(DPI,Deep Packet Inspection)技術(shù)與深度流檢測(cè)(DFI�,Deep Flow Inspection)技術(shù)是對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行識(shí)別的兩種主要方式。其中�����,DPI技術(shù)在 分析包頭的基礎(chǔ)上�����,增加了對(duì)應(yīng)用層的分析��,是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)����;與 DPI技術(shù)進(jìn)行應(yīng)用層的載荷匹配不同,DFI技術(shù)采用的是一種基于流量行為的應(yīng)用識(shí)別技 術(shù)�����,即不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同�。例如,網(wǎng)絡(luò)中的IP流量體現(xiàn)在流狀態(tài)上的特征就非常明顯實(shí)時(shí)傳輸協(xié)議(RTP���, Real-time Transport Protocol)流的包長(zhǎng)相對(duì)固定����,一般在130至220字節(jié)(byte)�����,連接 速率較低��,為20至84千比特每秒(Kbit/s)�����,同時(shí)會(huì)話持續(xù)時(shí)間相對(duì)較長(zhǎng)�����;而基于P2P下載 應(yīng)用的網(wǎng)絡(luò)流量的特點(diǎn)為平均包長(zhǎng)都在450byte以上�����、下載時(shí)間長(zhǎng)��、連接速率高�����、首選的傳 輸層協(xié)議為傳輸控制協(xié)議(TCP,Transmission Control Protocol)等����。DFI技術(shù)正是基于這一系列流量行為的特征,建立流量特征模型���、即流量檢測(cè)模 板����,通過分析會(huì)話連接流的數(shù)據(jù)包的長(zhǎng)度�、連接速率、傳輸字節(jié)量����、數(shù)據(jù)包之間的間隔等信 息來(lái)與建立的流量檢測(cè)模板進(jìn)行對(duì)比,從而實(shí)現(xiàn)應(yīng)用類型的鑒別����。鑒于上述DPI技術(shù)和DFI技術(shù)各自的特點(diǎn),本發(fā)明方案中將DFI技術(shù)與DPI技術(shù) 相結(jié)合����,即DFI設(shè)備根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè),向DPI設(shè)備發(fā)送可疑的網(wǎng)絡(luò)流 量;DPI設(shè)備根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)���,根據(jù)控制策略清洗異常的網(wǎng)絡(luò)流 量,大大提高網(wǎng)絡(luò)流量清洗效率�����。
圖1為本發(fā)明中實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的系統(tǒng)結(jié)構(gòu)示意圖���,如圖1所示�,該系統(tǒng)包括 DFI設(shè)備和DPI設(shè)備����,其中,DFI設(shè)備用于根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)����,向DPI設(shè) 備發(fā)送可疑的網(wǎng)絡(luò)流量;DPI設(shè)備用于根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)�,根據(jù)控 制策略清洗異常的網(wǎng)絡(luò)流量。DFI設(shè)備還用于將正常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸�����。DPI設(shè)備還用于將正 常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸。該系統(tǒng)可以進(jìn)一步包括控制中心����,用于向DFI設(shè)備下發(fā)設(shè)置的流量檢測(cè)模板;還 用于向DPI設(shè)備下發(fā)設(shè)置的識(shí)別模板和控制策略�����??刂浦行南掳l(fā)的流量檢測(cè)模板、識(shí)別模 板����、控制策略可以是初始靜態(tài)設(shè)置的,也可以是根據(jù)當(dāng)前所需動(dòng)態(tài)設(shè)置的�����。圖2為本發(fā)明中實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的流程示意圖�,如圖2所示,步驟201 控制中心向DFI設(shè)備下發(fā)設(shè)置的流量檢測(cè)模板�,DFI設(shè)備對(duì)收到的流量 檢測(cè)模板進(jìn)行存儲(chǔ)。步驟202 控制中心向DPI設(shè)備下發(fā)設(shè)置的識(shí)別模板和控制策略�����,DPI設(shè)備對(duì)收到 的識(shí)別模板和控制策略進(jìn)行存儲(chǔ)。步驟201和步驟202在執(zhí)行上沒有明顯的時(shí)間順序��。步驟203 步驟204 =DFI設(shè)備根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)�,判斷網(wǎng) 絡(luò)流量是否異常,如果異常����,則表明網(wǎng)絡(luò)流量可能是異常的���,確定網(wǎng)絡(luò)流量為可疑的網(wǎng)絡(luò)流 量����,繼續(xù)執(zhí)行步驟205 �����;如果沒有異常�,則將正常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸。網(wǎng)絡(luò)中有數(shù)據(jù)傳輸時(shí)���,DFI設(shè)備將需要檢測(cè)的網(wǎng)絡(luò)流量引導(dǎo)到自身��,以進(jìn)行流量檢 測(cè)����。DFI設(shè)備采用DFI技術(shù)進(jìn)行流量檢測(cè)是將網(wǎng)絡(luò)流量的特征與存儲(chǔ)的流量檢測(cè)模板進(jìn)行 比較,處理速度較快���。本發(fā)明方案中所涉及的流量檢測(cè)模板可以與現(xiàn)有的流量檢測(cè)模板相 同��,因此本發(fā)明方案在有關(guān)流量檢測(cè)模板的有關(guān)實(shí)現(xiàn)中并不需要頻繁升級(jí)流量檢測(cè)模板��, 大大降低了網(wǎng)絡(luò)流量清洗的維護(hù)成本�����。DFI設(shè)備判斷網(wǎng)絡(luò)流量是否異常的具體處理是將網(wǎng)絡(luò)流量與流量檢測(cè)模板進(jìn)行比 較�,即能夠確定網(wǎng)絡(luò)流量的特征是否異常��,如果確定網(wǎng)絡(luò)流量的特征正常�,則將網(wǎng)絡(luò)流量注 入傳輸鏈路進(jìn)行傳輸;如果確定網(wǎng)絡(luò)流量的特征異常��,則表明網(wǎng)絡(luò)流量可能是異常的����,確定 網(wǎng)絡(luò)流量為可疑的網(wǎng)絡(luò)流量,將可疑的網(wǎng)絡(luò)流量發(fā)送給DPI設(shè)備�����,由DPI設(shè)備進(jìn)行深度報(bào)文 檢測(cè),進(jìn)一步具體地識(shí)別異常的網(wǎng)絡(luò)流量�。步驟205 =DFI設(shè)備向DPI設(shè)備發(fā)送可疑的網(wǎng)絡(luò)流量,由DPI設(shè)備進(jìn)行深度報(bào)文檢 測(cè)����。步驟206 =DPI設(shè)備根據(jù)識(shí)別模板對(duì)收到的可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè),確定網(wǎng)絡(luò)流 量異常后��,根據(jù)控制策略對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行清洗處理��。DPI設(shè)備根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行深度報(bào)文檢測(cè)�,準(zhǔn)確識(shí)別網(wǎng)絡(luò)流量 的具體應(yīng)用����,從而確定網(wǎng)絡(luò)流量是否異常,確定網(wǎng)絡(luò)流量異常后��,根據(jù)控制策略對(duì)識(shí)別出的 異常的網(wǎng)絡(luò)流量進(jìn)行清洗處理�����。DPI設(shè)備確定出的異常的網(wǎng)絡(luò)流量即為根據(jù)本發(fā)明方案最 終得到的異常的網(wǎng)絡(luò)流量���。例如���,DPI設(shè)備根據(jù)識(shí)別模板確定網(wǎng)絡(luò)流量的來(lái)源為非法用戶�����, 因此確定對(duì)應(yīng)網(wǎng)絡(luò)流量為異常的網(wǎng)絡(luò)流量����,直接攔截對(duì)應(yīng)網(wǎng)絡(luò)流量�,從而使對(duì)應(yīng)網(wǎng)絡(luò)流量 不會(huì)在傳輸鏈路中進(jìn)行傳輸;又如�,DPI設(shè)備根據(jù)識(shí)別模板確定網(wǎng)絡(luò)流量為大量空內(nèi)容的 信息,因此確定對(duì)應(yīng)網(wǎng)絡(luò)流量為異常的網(wǎng)絡(luò)流量��,直接攔截對(duì)應(yīng)網(wǎng)絡(luò)流量��,從而使對(duì)應(yīng)網(wǎng)絡(luò)流量不會(huì)在傳輸鏈路中進(jìn)行傳輸����。步驟207 =DPI設(shè)備將正常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸,完成整個(gè)的異常流 量清洗過程����。這里所說(shuō)的正常的網(wǎng)絡(luò)流量可以是進(jìn)行清洗處理后所得到的正常的網(wǎng)絡(luò)流量����。以上所述����,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍���。
權(quán)利要求
一種實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的方法��,其特征在于�����,該方法包括深度流檢測(cè)DFI設(shè)備根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè),向深度報(bào)文檢測(cè)DPI設(shè)備發(fā)送可疑的網(wǎng)絡(luò)流量��;DPI設(shè)備根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)�����,根據(jù)控制策略清洗異常的網(wǎng)絡(luò)流量�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,該方法還包括控制中心向DFI設(shè)備下發(fā)設(shè)置的流量檢測(cè)模板,DFI設(shè)備對(duì)收到的流量檢測(cè)模板進(jìn)行 存儲(chǔ)��;和/或�,控制中心向DPI設(shè)備下發(fā)設(shè)置的識(shí)別模板和控制策略,DPI設(shè)備對(duì)收到的識(shí)別模板和 控制策略進(jìn)行存儲(chǔ)�。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于����,所述DFI設(shè)備根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)之后,還包括DFI設(shè)備將正常的 網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸���;和/或�,所述DPI設(shè)備根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)之后�����,還包括DPI設(shè)備將正常 的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸�����。
4.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于,所述根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn) 行檢測(cè)�����,包括將網(wǎng)絡(luò)流量的特征與存儲(chǔ)的流量檢測(cè)模板進(jìn)行比較�����,確定網(wǎng)絡(luò)流量的特征異 常時(shí)�,確定對(duì)應(yīng)網(wǎng)絡(luò)流量為可疑的網(wǎng)絡(luò)流量。
5.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于�����,所述根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量 進(jìn)行檢測(cè)���,包括根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行深度報(bào)文檢測(cè),識(shí)別網(wǎng)絡(luò)流量的具體 應(yīng)用����,確定網(wǎng)絡(luò)流量是否異常。
6.一種實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的系統(tǒng),其特征在于��,包括DFI設(shè)備�,用于根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè),向DPI設(shè)備發(fā)送可疑的網(wǎng)絡(luò)流量����;DPI設(shè)備,用于根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)����,根據(jù)控制策略清洗異常的網(wǎng)絡(luò)流量。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)��,其特征在于�,所述系統(tǒng)進(jìn)一步包括控制中心, 用于向DFI設(shè)備下發(fā)設(shè)置的流量檢測(cè)模板�����;和/或����,用于向DPI設(shè)備下發(fā)設(shè)置的識(shí)別模板和控制策略。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于�,所述流量檢測(cè)模板或所述識(shí)別模板是靜 態(tài)設(shè)置的,或根據(jù)當(dāng)前所需動(dòng)態(tài)設(shè)置的�。
9.根據(jù)權(quán)利要求6至8任一所述的系統(tǒng),其特征在于�,所述DFI設(shè)備還用于將正常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸;和/或����, 所述DPI設(shè)備還用于將正常的網(wǎng)絡(luò)流量注入傳輸鏈路進(jìn)行傳輸。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)網(wǎng)絡(luò)流量清洗的方法及系統(tǒng)��。本發(fā)明方案中���,DFI設(shè)備根據(jù)流量檢測(cè)模板對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)�����,向DPI設(shè)備發(fā)送可疑的網(wǎng)絡(luò)流量���;DPI設(shè)備根據(jù)識(shí)別模板對(duì)可疑的網(wǎng)絡(luò)流量進(jìn)行檢測(cè),根據(jù)控制策略清洗異常的網(wǎng)絡(luò)流量����。本發(fā)明方案中,將DFI技術(shù)與DPI技術(shù)相結(jié)合�,從而很好地解決了網(wǎng)絡(luò)流量清洗中檢測(cè)的完整性與清洗效率之間的矛盾,并且兼顧了檢測(cè)效率與準(zhǔn)確性��,能夠滿足海量數(shù)據(jù)的網(wǎng)絡(luò)流量清洗需要���,大大提高了網(wǎng)絡(luò)流量清洗效率�。
文檔編號(hào)H04L12/26GK101986609SQ20091009013
公開日2011年3月16日 申請(qǐng)日期2009年7月29日 優(yōu)先權(quán)日2009年7月29日
發(fā)明者宋曉麗, 楊波 申請(qǐng)人:中興通訊股份有限公司