CN101127692A - 一种对网络流量进行识别限流的方法及其设备 - Google Patents
一种对网络流量进行识别限流的方法及其设备 Download PDFInfo
- Publication number
- CN101127692A CN101127692A CNA2006101096844A CN200610109684A CN101127692A CN 101127692 A CN101127692 A CN 101127692A CN A2006101096844 A CNA2006101096844 A CN A2006101096844A CN 200610109684 A CN200610109684 A CN 200610109684A CN 101127692 A CN101127692 A CN 101127692A
- Authority
- CN
- China
- Prior art keywords
- network
- network traffics
- equipment
- message
- discerned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对网络流量进行识别限流的方法,以及实现该方法的设备,属于对网络流量控制的技术领域。本发明是将限流设备以旁挂的方式接入网络中,将网络流量复制一份发送给限流设备,由所述限流设备对所述网络流量进行分析,如果网络流量超过限定速度,由所述限流设备向网络设备发送结束报文,结束网络流量的传输或降低网络传输的速度。由于本发明是通过以旁挂的方式连接到网络中的限流设备实现的,需要到达目的端的真实网络流量并不经过限流设备,因此不会对网络中的流量的转发性能造成影响,也不会给网络带来延迟。即使限流设备发生故障,也只是对网络流量识别、限流的业务产生影响,而不会造成网络中断。
Description
技术领域
本发明涉及对网络流量进行控制的技术领域,具体地说是一种对网络流量进行识别限流的方法。本发明还涉及一种对网络流量进行识别限流的设备。
背景技术
由于当前网络的普及、发展,产生了各种各样的网络应用。但是,网络带宽的增长始终满足不了用户群增长所需要的带宽,一些网络用户利用网络传输大量的非法流量,给网络运营商增加了成本,也影响了其它用户的使用。所以运营商迫切的希望能精确控制自己网络中的各种流量,保证正常应用的流量,限制非法流量。于是产生了流量检测识别、限流设备。
为了对网络中的流量进行限流,需要在网络中设置限流设备,检测网络中的每条流量,根据应用流量的特征进行识别。现有技术的限流设备组网方式如图1所示,限流设备串接在网络中,网络流量直接通过限流设备。
由于限流设备需要串接在网络中,网络中多了一台设备,网络中的流量需要多经过一台设备,报文在网络中到达目的地的时间会加长,也就是延时加大。并且这些限流设备需要对流量进行识别、分析,转发性能不可能很高,这样经过此限流设备的流量的延时会比较大。这对于网络应用,尤其是对一些敏感的网络应用的影响是十分大的。
网络中的设备增多,也使网络系统的故障率提高。由于流量分析、限流设备串接在网络中,而设备的可靠性不可能是百分之百,一旦此设备发生故障,重起或者死机,会造成整条网络线路的传输中断,可能会给网络运营商带来巨大的经济损失。
发明内容
本发明要解决的技术问题是提供一种可以有效对网络中的非法流量进行限制,并且安全可靠、对网络没有影响的网络流量识别限流的方法,以及实现该方法的设备。
本发明的网络流量识别限流的方法为:将网络流量复制一份发送给限流设备,由所述限流设备对所述网络流量进行分析,如果网络流量超过限定速度,由所述限流设备向网络设备发送结束报文,结束网络流量的传输或降低网络传输的速度。
所述方法具体包括以下步骤:
A.复制一份网络流量,发送给限流设备;
B.限流设备对所述复制的网络流量进行识别;
C.根据识别的结果进行判断,当所述网络流量超过了限定速度时,根据报文的类型向网络设备发送结束报文;
D.网络设备接收到所述结束报文后,将所述结束报文转发给网络传输的源端或目的端,终止或抑制所述网络流量的传输。
所述复制网络流量的步骤由端口镜像或分光计分光的方式完成。
所述步骤B中限流设备根据所述网络流量的报文端口或网络应用特征对其进行识别。
所述网络流量通过TCP协议传输时,所述的结束报文为RST报文或FIN报文。
所述网络流量通过UDP协议传输时,对网络流量抓包分析,提取出UDP应用的结束报文,当正在传输的网络流量超过限定速度时,将该结束报文发送给所述网络设备,由所述网络设备将该结束报文转发给网络传输的源端。
本发明的对网络流量进行识别限流的设备以旁挂的方式连接到网络中,所述设备包括:
镜像装置,用于将网络中的网络流量复制一份发送给识别装置;
识别装置,用于接收所述镜像装置发送来的网络流量,根据所述网络流量的报文端口或应用流量特征进行识别,将识别结果发送给判断装置;
判断装置,用于根据所述识别装置的识别结果与限定速度进行比较,如果所述网络流量的速度超过了限定速度,发送一个结束信号给干扰装置;
干扰装置,用于当收到所述判断装置发送的所述结束信号时,发送结束报文给网络设备。
所述镜像装置为分光计或具有端口镜像功能的网络设备。
所述设备还包括结束报文生成装置,用于在所述网络流量通过TCP协议传输时,生成RST报文或FIN报文。
所述设备还包括存储装置,用于在所述网络流量通过UDP协议传输时,存储各种UDP应用的结束报文。
由于本发明的对网络流量进行识别限流的方法是通过以旁挂的方式连接到网络中的限流设备实现的,需要到达目的端的真实网络流量并不经过限流设备,因此不会对网络中的流量的转发性能造成影响,也不会给网络带来延迟。即使此限流设备发生故障,也只是对网络流量识别、限流的业务产生影响,而不会造成网络中断。另外,由于本明在以UDP协议传输时是将结束报文发送给网络传输的源端,由源端的网络设备终止或抑制网络流量的传输,可以减少从源端到目的端的网络流量。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1为现有技术中限流设备的组网结构示意图;
图2为本发明的限流设备的组网结构示意图;
图3为本发明的对网络流量进行识别限流的设备的结构示意图;
图4为本发明的对网络流量进行识别限流的方法的总体流程图;
图5为本发明的对网络流量进行识别限流的方法的详细流程图。
具体实施方式
用于对网络流量进行识别限流的设备如图3所示,包括:
镜像装置301,用于将网络中的网络流量复制一份发送给识别装置302,该镜像装置可以是分光计,也可以是具有端口镜像功能的网络设备;
识别装置302,用于接收所述镜像装置301发送来的网络流量,根据所述网络流量的报文端口或应用流量特征进行识别,将识别结果发送给判断装置303,同时将网络流量的类型信息发送给结束报文生成装置304;
判断装置303,用于根据所述识别装置302的识别结果与限定速度进行比较,如果所述网络流量的速度超过了限定速度,发送一个结束信号给干扰装置306;
结束报文生成装置304,用于在所述的网络流量通过TCP协议传输时,生成RST报文或FIN报文,并将该报文发送给干扰装置306;
存储装置305,用于存储各种UDP应用的结束报文;
干扰装置306,用于当收到所述判断装置发送的所述结束信号时,将结束报文生成装置404生成的结束报文或存储装置305中存储的结束报文发送给网络设备。
在上述装置中,根据不同的应用,可以只设结束报文生成装置304或只设存储装置305,从而只应用于TCP协议传输或UDP传输型的网络。
将上述装置组成的限流设备以旁挂的方式连接到网络中,其组网结构如图2所示。
如图4所示,本发明的方法通过以下步骤实现:
步骤401:复制一份网络流量给限流设备;
步骤402:由限流设备对网络流量进行识别分析;
步骤403:当网络流量超过设置好的限定流量时,由限流设备发送一份结束报文给网络设备,终止该网络流量的传输或者降低网络流量传输的速度。
本发明更为详细的方法如图5所示,其步骤如下;
步骤501:由镜像装置301将网络中的网络流量复制一份发送给识别装置302,该复制可以通过端口镜像或分光计分光的方式来完成;
步骤502:由识别装置302对网络流量进行识别,一般根据网络流量中报文端口或网络应用特征来进行识别,识别出网络流量的协议类型、速度等信息,并将该信息发送给判断装置303和结束报文生成装置304;
步骤503:由判断装置303将识别装置发送来的信息与限定速度进行比较,如果当前网络流量没有超过限定速度,返回步骤502,继续进行监视;如果超过了限定流量,生成一个结束网络流量传输的信号,将该信号发送给干扰装置306,进行步骤504;
步骤504:当网络流量通过TCP协议传输时,由结束报文生成装置304生成RST报文或FIN报文;当网络流量通过UDP协议传输时,从存储装置305中读取相应UDP应用的结束报文;将结束报文生成装置304生成的结束报文或从存储装置305中读取的结束报文发送给干扰装置306,该结束报文中带有网络流量传输的源端或目的端的地址;
步骤505:干扰装置306收到判断装置303发送的结束网络流量传输的信号后,将由结束报文生成装置304或存储装置305发送过来的的结束报文通过干扰口发送给网络中的设备;
步骤506:网络设备接收到干扰装置发送过来的结束报文后,根据结束报文中所携带的地址将该报文发送给网络传输的源端或目的端,如果网络流量是以TCP协议传输的,该结束报文既可以发送给网络流量传输的源端,也可以发送给目的端;如果网络流量是以UDP协议传输的,则该结束报文一般发送给网络传输的源端;
步骤507:源端或目的端接收到网络设备转发过来的结束报文后,终止该网络流量的传输或者降低网络传输的速度,达到限流的目的。
在步骤504中,结束报文也可以预先设定好存储在干扰装置306或专门的存储装置305中,当干扰装置306接收到判断装置303发送的结束信号后,直接读取存储的结束报文发送给网络设备即可。
由于本发明的限流设备是以旁挂的方式连接到网络中的,虽然网络传输时复制了一份网络流量,但网络中不会出现2份同样的报文,因此本发明的对网络流量进行识别限流的方法和设备不会对网络传输造成影响。
Claims (10)
1.一种对网络流量进行识别限流的方法,其特征在于,将网络流量复制一份发送给限流设备,由所述限流设备对所述网络流量进行分析,如果网络流量超过限定速度,由所述限流设备向网络设备发送结束报文,结束网络流量的传输或降低网络流量传输的速度。
2.根据权利要求1所述的对网络流量进行识别限流的方法,其特征在于,所述方法具体包括以下步骤:
A.复制一份网络流量,发送给限流设备;
B.限流设备对所述复制的网络流量进行识别;
C.根据识别的结果进行判断,当所述网络流量超过了限定速度时,根据报文的类型向网络设备发送结束报文;
D.网络设备接收到所述结束报文后,将所述结束报文转发给网络传输的源端或目的端,终止或抑制所述网络流量的传输。
3.根据权利要求2所述的对网络流量进行识别限流的方法,其特征在于,所述复制网络流量的步骤由端口镜像或分光计分光的方式完成。
4.根据权利要求2所述的对网络流量进行识别限流的方法,其特征在于,所述步骤B中限流设备根据所述网络流量的报文端口或网络应用特征对其进行识别。
5.根据权利要求1至4中任一权利要求所述的对网络流量进行识别限流的方法,其特征在于,所述网络流量通过TCP协议传输时,所述的结束报文为RST报文或FIN报文。
6.根据权利要求1至4中任一权利要求所述的对网络流量进行识别限流的方法,其特征在于,所述网络流量通过UDP协议传输时,对网络流量抓包分析,提取出UDP应用的结束报文,当正在传输的网络流量超过限定速度时,将该结束报文发送给所述网络设备,由所述网络设备将该结束报文转发给网络传输的源端。
7.一种对网络流量进行识别限流的设备,其特征在于,所述设备以旁挂的方式连接到网络中,所述设备包括:
镜像装置,用于将网络中的网络流量复制一份发送给识别装置;
识别装置,用于接收所述镜像装置发送来的网络流量,根据所述网络流量的报文端口或应用流量特征进行识别,将识别结果发送给判断装置;
判断装置,用于根据所述识别装置的识别结果与限定速度进行比较,如果所述网络流量的速度超过了限定速度,发送一个结束信号给干扰装置;
干扰装置,用于当收到所述判断装置发送的所述结束信号时,发送结束报文给网络设备。
8.根据权利要求7所述的对网络流量进行识别限流的设备,其特征在于,所述镜像装置为分光计或具有端口镜像功能的网络设备。
9.根据权利要求7所述的对网络流量进行识别限流的设备,其特征在于,所述设备还包括结束报文生成装置,用于在所述网络流量通过TCP协议传输时,生成RST报文或FIN报文。
10.根据权利要求7、8或9所述的对网络流量进行识别限流的设备,其特征在于,所述设备还包括存储装置,用于在所述网络流量通过UDP协议传输时,存储各种UDP应用的结束报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101096844A CN101127692B (zh) | 2006-08-17 | 2006-08-17 | 一种对网络流量进行识别限流的方法及其设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101096844A CN101127692B (zh) | 2006-08-17 | 2006-08-17 | 一种对网络流量进行识别限流的方法及其设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101127692A true CN101127692A (zh) | 2008-02-20 |
| CN101127692B CN101127692B (zh) | 2012-06-27 |
Family
ID=39095620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101096844A Expired - Fee Related CN101127692B (zh) | 2006-08-17 | 2006-08-17 | 一种对网络流量进行识别限流的方法及其设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101127692B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103401863A (zh) * | 2013-07-30 | 2013-11-20 | 北京奇虎科技有限公司 | 一种基于云安全的网络数据流分析方法和装置 |
| CN105743681A (zh) * | 2014-12-12 | 2016-07-06 | 国家电网公司 | 一种过程层通信网络的时延可视化分析方法及系统 |
| CN108111423A (zh) * | 2017-12-28 | 2018-06-01 | 迈普通信技术股份有限公司 | 流量传输管理方法、装置及网络分路设备 |
| TWI691185B (zh) * | 2018-01-15 | 2020-04-11 | 思銳科技股份有限公司 | 網路交換機頻寬管理方法與網路系統 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100403747C (zh) * | 2003-12-11 | 2008-07-16 | 上海贝尔阿尔卡特股份有限公司 | 数据流量控制方法 |
| CN100393047C (zh) * | 2005-12-21 | 2008-06-04 | 杭州华三通信技术有限公司 | 一种入侵检测系统与网络设备联动的系统及方法 |
-
2006
- 2006-08-17 CN CN2006101096844A patent/CN101127692B/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103401863A (zh) * | 2013-07-30 | 2013-11-20 | 北京奇虎科技有限公司 | 一种基于云安全的网络数据流分析方法和装置 |
| CN103401863B (zh) * | 2013-07-30 | 2016-12-28 | 北京奇虎科技有限公司 | 一种基于云安全的网络数据流分析方法和装置 |
| CN105743681A (zh) * | 2014-12-12 | 2016-07-06 | 国家电网公司 | 一种过程层通信网络的时延可视化分析方法及系统 |
| CN105743681B (zh) * | 2014-12-12 | 2019-04-05 | 国家电网公司 | 一种过程层通信网络的时延可视化分析方法及系统 |
| CN108111423A (zh) * | 2017-12-28 | 2018-06-01 | 迈普通信技术股份有限公司 | 流量传输管理方法、装置及网络分路设备 |
| TWI691185B (zh) * | 2018-01-15 | 2020-04-11 | 思銳科技股份有限公司 | 網路交換機頻寬管理方法與網路系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101127692B (zh) | 2012-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7509408B2 (en) | System analysis apparatus and method | |
| CN101841441B (zh) | 流量控制设备的测试方法、系统及数据流回放装置 | |
| CN102204164B (zh) | 网络丢包信息报告方法及装置 | |
| CN107026790B (zh) | 一种转发控制方法及设备 | |
| CN105308904B (zh) | 一种oam报文处理方法、网络设备和网络系统 | |
| CN103840976B (zh) | 通信方法、光设备和网络设备 | |
| CN101127692B (zh) | 一种对网络流量进行识别限流的方法及其设备 | |
| CN108270643B (zh) | Leaf-Spine交换机之间的链路的探测方法及设备 | |
| CN105577669B (zh) | 一种识别虚假源攻击的方法及装置 | |
| CN104092588B (zh) | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 | |
| CN106789728A (zh) | 一种基于NetFPGA的VoIP流量实时识别方法 | |
| CA2466567A1 (en) | A system and method for detecting sources of abnormal computer network messages | |
| CN104883362A (zh) | 异常访问行为控制方法及装置 | |
| WO2016110151A1 (zh) | Pon系统链路环回检测的方法及装置 | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| CN106302006B (zh) | 一种基于sdn的ip欺骗数据包的动态溯源方法 | |
| CN102223261A (zh) | 一种针对报文进行采样的方法及装置 | |
| CN106656656A (zh) | 一种网络设备抓包方法及装置 | |
| CN108156052B (zh) | 一种设备稳定性测试的方法及系统 | |
| CN105828218A (zh) | 一种检测组播流传输质量的方法、装置及系统 | |
| CN109981386B (zh) | 网络质量的测试方法、测试服务器和测试系统 | |
| CN101296224A (zh) | 一种p2p流量识别系统和方法 | |
| CN102185705B (zh) | 一种基于信息还原的内网视频文件监控方法 | |
| JP6378653B2 (ja) | サービス影響原因推定装置、サービス影響原因推定プログラム、及びサービス影響原因推定方法 | |
| CN112153027B (zh) | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120627 Termination date: 20210817 |