CN101399749B - 一种报文过滤的方法、系统和设备 - Google Patents
一种报文过滤的方法、系统和设备 Download PDFInfo
- Publication number
- CN101399749B CN101399749B CN200710151721.2A CN200710151721A CN101399749B CN 101399749 B CN101399749 B CN 101399749B CN 200710151721 A CN200710151721 A CN 200710151721A CN 101399749 B CN101399749 B CN 101399749B
- Authority
- CN
- China
- Prior art keywords
- dpi
- data message
- server
- type
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/326—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/327—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the session layer [OSI layer 5]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/328—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the presentation layer [OSI layer 6]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Abstract
本发明提供了一种报文过滤的方法、系统和设备,设置在接入网用户侧的DPI代理服务器对接收到的数据报文进行识别处理,识别出该数据报文的业务类型和/或内容,根据识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤。这种方式是将DPI代理服务器分布设置在接入网用户侧,这些分布设置在接入网用户侧的DPI代理服务器接收到的数据报文仅为其所对应用户网络的用户设备发送的数据报文,相比较现有技术中集中设置在核心网和接入网的边缘的DPI服务器,较小了需要处理的数据报文流量,从而能够保证对数据报文进行深度包检测的实时性。
Description
技术领域
本发明涉及网络宽带技术,特别涉及一种报文过滤的方法、系统和设备。
背景技术
网络宽带技术的出现,给运营商带来机遇的同时也带来了需要解决的问题,例如宽带业务无法识别造成的难于管理、无法实现内容计费、不能满足信息安全的需要等问题,这就使得深度包检测技术应运而生。
深度包检测(DPI,Deep Packet Inspection)是相对普通报文分析而言的一种新技术,普通报文检测仅仅分析IP包应用层以下的内容,即根据接收到的数据报文的五元组,将接收到的各数据报文进行流分类,确定各数据报文所属的流类型,其中,数据报文的五元组包括源地址、目的地址、源端口、目的端口以及协议类型。而DPI进一步对与DPI相关的流类型中的数据报文进行识别处理,其中,所述识别处理包括:对数据报文进行应用层的分析或基于流量特征的检测,识别出各流类型对应的数据报文的业务类型和/或内容;根据识别出的业务类型和/或内容,对该流类型对应的数据报文进行DPI过滤,例如,如果检测出接收到的数据报文的内容中包含病毒,则可以根据DPI策略,丢弃该数据报文。需要说明的是:其中,对数据报文进行基于流量特征的检测,识别数据报文的业务类型和/或内容的方式属于基于流量特征的检测(DFI,Deep Flow Inspection)技术,在本发明中,将DPI和DFI技术广义地统称为DPI技术。
上述DPI的处理过程由DPI服务器完成,图1为现有技术中DPI服务器所在网络架构图,如图1所示,该DPI服务器设置在核心网和接入网的边缘,例如设置在核心网和接入网边缘的IP边缘节点或业务路由器中。由于接入网中可能包含多个接入节点(AN,Access Node),一个AN可能接收多个用户驻地网络(CPN,Customer Premise Network)中的多个用户设备(UE,User Equipment)发送的数据报文,也就是说,来自接入网的所有数据报文都由该DPI服务器集中处理,这就使得DPI服务器处理的数据报文流量大,从而造成DPI服务器处理数据报文的实时性难以保证,并且对DPI服务器的集中处理能力有很高要求。
发明内容
本发明实施例提供了一种报文过滤的方法、系统和设备,以便于减小DPI服务器处理的数据报文流量。
一种报文过滤的方法,该方法包括:
设置在接入网用户侧的深度包检测DPI代理服务器对接收到的数据报文进行识别处理,识别出该数据报文的业务类型和/或内容;
根据识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤,
所述对该数据报文进行DPI过滤包括:如果所述识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为允许通过时,按照该数据报文的目的地址发送该数据报文;
如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为流量限制时,则按照预先设置的DPI流量限制策略对所述数据报文进行流量限制处理;
如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为重定向时,将所述数据报文转发给DPI服务器进行DPI检测。
一种DPI代理服务器,该DPI代理服务器设置在接入网用户侧,该DPI代理服务器包括:
接收单元,接收数据报文;
业务识别单元,对所述接收单元接收到的数据报文进行识别处理,识别出所述数据报文的业务类型和/或内容;
DPI过滤单元,用于根据所述业务识别单元识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤,
该DPI代理服务器还包括:发送单元,用于发送所述数据报文;
重定向单元,用于通过隧道技术或将所述数据报文的目的地址修改为DPI服务器的地址的方式,将接收到得数据报文发送给DPI代理服务器;
所述DPI过滤单元包括:
策略确定单元,用于根据所述业务识别单元识别出的业务类型和/或内容,确定该业务类型和/或内容在DPI过滤策略中对应的处理方式;
通知单元,用于当所述策略确定单元确定的处理方式为允许通过时,通知所述发送单元按照所述数据报文的目的地址发送所述数据报文;当所述策略确定单元确定的处理方式为流量限制时,则通知所述发送单元按照预先设置的DPI流量限制策略发送所述数据报文;当所述策略确定单元确定的处理方式为重定向时,将所述数据报文发送给重定向单元。
一种报文过滤的系统,该系统包括:
设置在接入网用户侧的DPI代理服务器,用于对接收到的数据报文进行识别,识别出所述数据报文的业务类型和/或内容;根据识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤;
DPI代理服务器的上游设备,用于向所述DPI代理服务器发送数据报文,
其中,所述对该数据报文进行DPI过滤包括:如果所述识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为允许通过时,按照该数据报文的目的地址发送该数据报文;
如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为流量限制时,则按照预先设置的DPI流量限制策略对所述数据报文进行流量限制处理;
如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为重定向时,将所述数据报文转发给DPI服务器进行DPI检测。
由以上技术方案可以看出,本发明实施例提供的方法、系统和设备,通过设置在接入网用户侧的DPI代理服务器对接收到的数据报文进行识别处理,识别出该数据报文的业务类型和/或内容,根据识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤。这种方式是将DPI代理服务器分布式地设置在接入网用户侧,每个分布式设置在接入网用户侧的DPI代理服务器接收到的数据报文仅为其所对应用户网络的用户设备发送的数据报文,相比较现有技术中集中式设置在核心网和接入网的边缘的DPI服务器,负担的数据报文流量较少,从而能够保证对数据报文进行深度包检测的实时性。
附图说明
图1为现有技术中DPI服务器所在网络架构图;
图2为本发明实施例提供的报文过滤的方法流程图;
图3为本发明实施例提供的系统结构示意图;
图4为本发明实施例提供的DPI代理服务器的结构示意图;
图5为本发明实施例提供的报文过滤方法的系统流程图;
图6为本发明实施例提供的一个具体的报文过滤系统示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明实施例提供的方法主要包括:设置在接入网用户侧的DPI代理服务器对接收到的数据报文进行识别处理,识别出该数据报文的业务类型和/或内容;根据识别出的业务类型和/或内容,按照DPI过滤策略对该数据报文进行DPI过滤。
其中,上述对数据报文进行DPI过滤可以为:如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为允许通过时,按照该数据报文的目的地址发送该数据报文;如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为流量限制时,再按照DPI流量限制策略对该数据报文进行流量限制处理。该DPI过滤可以进一步包括:如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为重定向时,将该数据报文发送给DPI服务器进行进一步的DPI检测。该DPI过滤策略可以是接入控制列表(ACL,Access Control List)。
上述的DPI代理服务器可以分布式地设置在驻地网关(RG,ResidentialGateway)、AN或汇聚网节点中,DPI服务器可以集中地设置在IP边缘节点、路由器或DPI代理服务器上行方向的其它设备中。
图2为本发明实施例提供的报文过滤的方法流程图,如图2所示,该方法包括以下步骤:
步骤201:DPI代理服务器接收数据报文。
步骤202:DPI代理服务器确定接收到的数据报文所属的流类型,并对该数据报文进行包过滤。
本步骤中,DPI代理服务器根据接收到的数据报文的五元组,分析该数据报文的应用层以下的内容,对该数据报文进行分类,确定该数据报文所属的流类型,如果该数据报文所属的流类型与DPI无关,则不对该数据报文做DPI处理,将该数据报文转发出去;如果该数据报文所属的流类型与DPI相关,则继续执行步骤203。
步骤203:DPI代理服务器判断该数据报文所属的流类型对应的流标识是否存在于设置的ACL中,如果存在,则执行步骤204,如果不存在,则按照缺省进行处理,例如丢弃该数据报文,或者,执行步骤208。
本步骤中也可以判断该数据报文包含的用户标识是否存在与设置的ACL中。
本步骤中的ACL可以是策略服务器预先直接设置在DPI代理服务器中的,也可以是策略服务器设置在DPI服务器中,再由DPI服务器将ACL设置在DPI代理服务器中。
本步骤中的ACL的结构可以如表1所示,该ACL中保存了流标识或用户标识、业务类型、内容与处理方式之间的对应关系。
表1
另外,也可以不执行上述步骤202和步骤203,直接执行步骤204。
步骤204:DPI代理服务器对接收到的数据报文进行识别处理,识别出该数据报文的业务类型和/或内容。
本步骤中,对接收到的数据报文进行识别处理可以采用对数据报文进行应用层的分析、基于流量特征的检测或其它识别处理方法。这些识别处理方法是现有技术,在此不再赘述。
另外,在步骤204之前还可以首先判断步骤202中确定的流类型对应的流标识在ACL中是否有对应的业务类型和内容,也就是在ACL中,该流标识对应的业务类型和内容项是否不为空,如果没有对应的业务类型和内容,则直接按照该流标识在ACL中对应的处理方式对数据报文进行处理,如果有对应的业务类型或内容,则继续执行步骤204。
步骤205:DPI代理服务器判断在ACL中,该数据报文对应的流标识和识别出的业务类型和/或内容对应的处理方式,如果其处理方式为允许通过,执行步骤206;如果其处理方式为流量限制,则执行步骤207;如果其处理方式为重定向,则执行步骤208。
本步骤中,处理方式为重定向的数据报文通常是初步检测不能确定该数据报文的安全性或计费信息等,而需要进一步检测确定其是否安全或确定其计费信息等的数据报文。
另外,可以将数据报文根据不同的处理方式分为:白色数据报文、黑色数据报文和灰色数据报文。其中,白色数据报文为允许通过的数据报文,黑色数据报文为需要进行流量限制的数据报文,灰色数据报文为需要重定向进一步进行检测数据报文。
步骤206:DPI代理服务器按照该数据报文的目的地址发送该数据报文,结束流程。
步骤207:DPI代理服务器按照DPI流量限制策略对该数据报文进行流量限制处理,结束流程。
本步骤中,DPI流量限制策略可以是数据报文的业务类型和/或内容与流量限制处理方式的对应关系。该流量限制处理方式可以是丢弃该数据报文,或以一定流量允许数据报文通过。
步骤208:DPI代理服务器将该数据报文进行重定向,转发给DPI服务器。
本步骤中,DPI代理服务器可以采用隧道技术,设定隧道起点为DPI代理服务器,隧道终点为DPI服务器,通过隧道将该数据报文转发给DPI服务器,其中,采用的隧道可以是以太网隧道、IP隧道或其它专门的通道;或者,将数据报文的目的地址修改为DPI服务器的目的地址,将数据报文转发给DPI服务器。
步骤209:DPI服务器确定接收到的数据报文所属的流类型,并对该数据报文进行包过滤。
该步骤的处理方式与步骤202的处理方式相同,在此不再赘述。另外,本步骤也可以不执行,直接执行步骤210。
步骤210:DPI服务器对接收到的数据报文进行识别处理,识别出该数据报文的业务类型和/或内容。
步骤211:DPI服务器对该数据报文的业务类型和/或内容进行分析,确定该数据报文对应的处理方式,并按照确定的处理方式对该数据报文进行处理。
例如,DPI服务器对该数据报文进行分析后,判断该业务类型和/或内容中发现不安全的因素,则将该数据报文的处理方式确定为流量限制,丢弃该数据报文或以一定流量允许数据报文通过;如果没有发现不安全的因素,则可以将该数据报文的处理方式确定为通过。
该流程还可以继续包括以下步骤:
步骤212:DPI服务器向策略服务器发送策略更新请求。
本步骤中的更改可以是DPI服务器直接对DPI代理服务器中的DPI过滤策略进行更改,并向策略服务器发送策略更新请求,从策略服务器中获取新的DFI过滤策略;也可以向策略服务器发送策略更新请求,从策略服务器中获取新的DFI过滤策略,再由策略服务器对DPI代理服务器中的DPI过滤策略进行更改。
图2中所述流程中,也可以只在ACL中设置允许通过和流量限制两种处理方式,此时,不需要设置DPI服务器,只需要DPI代理服务器执行步骤201至步骤207即可完成报文过滤的过程。
图3为本发明实施例提供的系统结构示意图,如图3所示,该系统包括:设置在接入网用户侧的DPI代理服务器310和DPI代理服务器的上游设备300。
DPI代理服务器310,用于对接收到的数据报文进行识别,识别出该数据报文的业务类型和/或内容,根据识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤。
DPI代理服务器的上游设备300,用于向DPI代理服务器310发送数据报文。
该系统还可以包括:DPI服务器320,用于接收DPI代理服务器310转发来的数据报文,对接收到的数据报文进行识别处理,识别出所述数据报文的业务类型和/或内容,对识别出的业务类型和/或内容进行分析,确定该数据报文对应的处理方式,并按照确定的处理方式对该数据报文进行处理。
DPI代理服务器310,还用于将在DPI过滤过程中需要进行重定向处理的数据报文转发给DPI服务器320。
DPI代理服务器310进行的过滤处理为:如果所述识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为允许通过时,按照该数据报文的目的地址发送该数据报文;如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为流量限制时,则按照预先设置的DPI流量限制策略对所述数据报文进行流量限制处理;如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为重定向时,将所述数据报文转发给DPI服务器进行DPI检测。
该系统还可以包括:策略服务器330,用于为DPI代理服务器310配置DPI过滤策略。
DPI服务器320,还用于根据自身确定的数据报文的处理方式,向策略服务器330发送包含更改信息的策略更新请求,并对设置在所述DPI代理服务器310中的DPI过滤策略进行更改;
策略服务器330,接收到DPI服务器320发送的更新请求后,根据该更新请求中包含的更改信息对自身存储的DPI过滤策略进行更新。
更改策略服务器时,该系统还可以采用如下方式:
DPI服务器320,还用于根据自身确定的数据报文的处理方式,向策略服务器330发送包含更改信息的策略更新请求;
策略服务器330,接收到DPI服务器320发送的更新请求后,根据该更新请求中包含的更改信息对自身存储的DPI过滤策略进行更新,并更改DPI代理服务器310中的DPI过滤策略。
其中,DPI代理服务器310可以设置在RG、AN或汇聚网节点中;DPI服务器320可以设置在IP边缘节点、业务服务器或DPI代理服务器310的下游汇聚网节点中。
对于无线网络,IP Edge可以为GGSN或ASN GW,AN可以为BS;对于DSL网络,IP Edge可以为宽带接入服务器(BRAS,Broadband RemoteAccess Server)/宽带网络网关(BNG,Broadband Network Gateway),AN可以为DSLAM;对于PON,AN可以是ONT/ONU,也可以是OLT。
图4为本发明实施例提供的DPI代理服务器的结构示意图,如图4所示,该DPI代理服务器可以包括:接收单元401、业务识别单元402和DPI过滤单元403;
接收单元401,接收数据报文。
业务识别单元402,对接收单元401接收到的数据报文进行识别处理,识别出所述数据报文的业务类型和/或内容。
DPI过滤单元403,用于根据业务识别单元402识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤。
该DPI代理服务器还可以包括:流分类单元404和类型过滤单元405;
流分类单元404,用于确定接收单元401接收到的数据报文所属的流类型;
类型过滤单元405,用于根据流分类单元404确定的流类型,将与DPI无关的流类型对应的数据报文转发给该数据报文的目的地址对应的设备或对该数据报文进行流量限制处理,将与DPI相关的流类型对应的数据报文发送给业务识别单元402进行识别处理。其中,流量限制处理包括将该数据报文进行丢弃。
该DPI代理服务器还可以包括:判断单元406和发送单元407。
判断单元406,用于对类型过滤单元405发送给业务识别单元402的数据报文进行判断,判断该数据报文所属的流类型对应的流标识是否设置在DPI过滤策略中,如果存在,则触发业务识别单元402执行所述识别的操作,如果不存在,则禁止业务识别单元402执行所述识别的操作,并将该数据报文提供给发送单元407;
发送单元407,用于将判断单元406提供的数据报文发送给该数据报文的目的地址对应的设备,或将该数据报文转发给DPI服务器进行DPI检测。
发送单元407,还用于按照数据报文的目的地址发送该数据报文;
DPI过滤单元403可以包括:
策略执行单元4031,用于根据业务识别单元402识别出的业务类型和/或内容,确定该业务类型和/或内容在DPI过滤策略中对应的处理方式;
通知单元4032,用于当所述策略执行单元4031确定的处理方式为允许通过时,通知发送单元407按照该数据报文的目的地址发送所述数据报文;当策略执行单元4031确定的处理方式为流量限制时,则通知发送单元407按照预先设置的DPI流量限制策略发送该数据报文;当策略执行单元4031确定的处理方式为重定向时,通知重定向单元4033将对该数据报文进行重定向。
此时,该DPI代理服务器还可以包括:重定向单元409,用于通过隧道技术或修改数据报文目的地址为DPI服务器地址的方式,将接收到的数据报文发送给DPI服务器。
该DPI代理服务器还可以包括:DPI策略存储单元408,用于存储DPI过滤策略。另外,该DPI策略存储单元408中还可以存储其它DPI相关策略,可以包括:DPI业务识别规则、DPI过滤策略和/或DPI流量限制策略。
下面结合本发明实施例提供的系统,举一个具体的实施例,对应用该系统的流程进行描述,图5为本发明实施例提供的报文过滤方法的系统流程图,该实施例中,结合的报文过滤的系统架构图可以如图6所示,该实施例中,DPI代理服务器设置在AN或RG或汇聚节点中。DPI如图5所示,该系统流程图包括以下步骤:
步骤501:策略服务器向DPI服务器配置DPI相关策略。
其中,所述DPI相关策略可以包括:DPI过滤策略、DPI流量限制策略或DPI业务识别规则。
在此步骤之前,如果DPI代理服务器设置在RG中,则需要对DPI代理服务器所在的RG进行网络认证,使该RG成为可信节点。
步骤502:DPI服务器向DPI代理服务器配置DPI相关策略。
当DPI代理服务器位于DSLAM或OLT,DPI ACL及DPI相关策略可通过L2CP配置;当DPI代理服务器位于ONU/OLT,DPI ACL及DPI相关策略可通过OMCI配置;当DPI代理服务器位于RG,DPI ACL及DPI相关策略可通过TR069配置。
步骤503:DPI代理服务器接收用户设备发送的数据报文。
步骤504:DPI代理服务器执行图2所示流程中步骤202至步骤205的操作,对接收到的报文进行DPI分析,识别接收到的数据报文是灰色数据报文、白色数据报文还是黑色数据报文,如果是白色数据报文,执行步骤505,如果是黑色数据报文,则执行步骤506,如果是灰色数据报文,则执行步骤507。
步骤505:DPI代理服务器将该白色数据报文发送给IP边缘设备,结束流程。
步骤506:DPI代理服务器按照DPI流量限制策略处理该黑色数据报文,结束流程。
步骤507:DPI代理服务器将该灰色数据报文发送给DPI服务器。
步骤508:DPI服务器执行图2所示流程中的步骤209至步骤211对该灰色数据报文进行进一步的DPI分析,确定对该灰色数据报文的处理方式,并对该灰色数据报文执行相应地处理。
步骤509:DPI服务器根据确定的处理方式向策略服务器发送策略更新请求。
步骤510:策略服务器接收到策略更新请求后,根据策略更新请求中的更改信息对DPI相关策略进行更新。
步骤511:策略服务器更新DPI服务器中的DPI相关策略。
步骤512:DPI服务器更新DPI代理服务器中的DPI相关策略。
由以上描述可以看出,本发明实施例提供的方法、系统和设备,通过设置在接入网用户侧的DPI代理服务器对接收到的数据报文进行识别处理,识别出该数据报文的业务类型和/或内容,根据识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤。这种方式是将DPI代理服务器分布式设置在接入网用户侧,这些分布式设置在接入网用户侧的DPI代理服务器接收到的数据报文仅为其所对应用户网络的用户设备发送的数据报文,相比较现有技术中集中设置在核心网和接入网的边缘的DPI服务器,较小了需要处理的数据报文流量,从而能够保证对数据报文进行深度包检测的实时性。
另外,分布式DPI代理服务器和集中式DPI服务器还可以相结合,组成一种新型的分布式与集中式混合的DPI网络,虽然每个分布式的DPI代理服务器所负担的数据报文流量较少,但所有的分布式DPI代理服务器却分担了大部分的需要DPI的数据报文流量,仅有少量需要进一步重定向到DPI服务器的数据报文,从而有效地降低了DPI服务器的处理成本和实现难度。
更进一步地,在DPI代理服务器对数据报文进行DPI过滤时,将需要进行重定向处理的数据报文转发给DPI服务器,由DPI服务器进行进一步的DPI检测,使得DPI代理服务器不能确定的数据报文能够进一步得到检测,从而保证了对数据报文进行深度包检测的可靠性,并且这种方式,只有需要重定向的数据报文才会转发给DPI服务器,降低了对DPI服务器的集中处理能力,也保证了DPI服务器处理数据报文的实时性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (20)
1.一种报文过滤的方法,其特征在于,该方法包括:
设置在接入网用户侧的深度包检测DPI代理服务器对接收到的数据报文进行识别处理,识别出该数据报文的业务类型和/或内容;
根据识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤,
所述对该数据报文进行DPI过滤包括:如果所述识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为允许通过时,按照该数据报文的目的地址发送该数据报文;
如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为流量限制时,则按照预先设置的DPI流量限制策略对所述数据报文进行流量限制处理;
如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为重定向时,将所述数据报文转发给DPI服务器进行DPI检测。
2.根据权利要求1所述的方法,其特征在于,在所述对接收到的数据报文进行识别处理之前还包括:DPI代理服务器确定接收到的数据报文所属的流类型,选择与DPI相关的流类型对应的数据报文进行所述识别处理。
3.根据权利要求2所述的方法,其特征在于,在进行所述识别处理之前还包括:DPI代理服务器判断所述与DPI相关的流类型对应的流标识是否设置在预先设置的DPI过滤策略中,如果存在,则继续进行所述识别处理。
4.根据权利要求1所述的方法,其特征在于,所述对接收到的数据报文进行识别处理包括:对接收到的数据报文进行应用层的分析,或者,对接收到的数据报文进行基于流量特征的检测。
5.根据权利要求1所述的方法,其特征在于,所述DPI过滤策略为接入控制列表ACL。
6.根据权利要求1或3所述的方法,其特征在于,将所述数据报文转发给DPI服务器包括:采用隧道技术,将隧道起点设置为DPI代理服务器,将隧道终点设置为DPI服务器,通过隧道将所述数据报文转发给所述DPI服务器;或者,
将所述数据报文的目的地址修改为DPI服务器的目的地址,将所述数据报文发送给DPI服务器。
7.根据权利要求1或3所述的方法,其特征在于,所述DPI服务器对转发来的数据报文进行的DPI检测包括:DPI服务器对接收到的数据报文进行识别处理,识别出所述数据报文的业务类型和/或内容;对所述识别出的业务类型和/或内容进行分析,确定所述数据报文对应的处理方式,并按照确定的处理方式对所述数据报文进行处理。
8.根据权利要求7所述的方法,其特征在于,在所述DPI服务器对接收到的数据报文进行识别处理之前还包括:DPI服务器确定转发来的数据报文所属的流类型,选择与DPI相关的流类型对应的数据报文进行所述识别处理。
9.根据权利要求7所述的方法,其特征在于,该方法还包括:所述DPI服务器根据确定的所述数据报文对应的处理方式,对预先设置的DPI过滤策略进行更改。
10.根据权利要求9所述的方法,其特征在于,所述对预先设置的DPI过滤策略进行更改包括:DPI服务器向策略服务器发送策略更新请求,从所述策略服务器中获取更新后的DPI过滤策略,并对设置在DPI代理服务器中的DPI过滤策略进行更改更新;或者,
DPI服务器向策略服务器发送策略更新请求,从所述策略服务器中获取更新后的DPI过滤策略,并由所述策略服务器对所述DPI代理服务器中的DPI过滤策略进行更新。
11.一种DPI代理服务器,其特征在于,该DPI代理服务器设置在接入网用户侧,该DPI代理服务器包括:
接收单元,接收数据报文;
业务识别单元,对所述接收单元接收到的数据报文进行识别处理,识别出所述数据报文的业务类型和/或内容;
DPI过滤单元,用于根据所述业务识别单元识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤,
该DPI代理服务器还包括:发送单元,用于发送所述数据报文;
重定向单元,用于通过隧道技术或将所述数据报文的目的地址修改为DPI服务器的地址的方式,将接收到得数据报文发送给DPI服务器;
所述DPI过滤单元包括:
策略确定单元,用于根据所述业务识别单元识别出的业务类型和/或内容,确定该业务类型和/或内容在DPI过滤策略中对应的处理方式;
通知单元,用于当所述策略确定单元确定的处理方式为允许通过时,通知所述发送单元按照所述数据报文的目的地址发送所述数据报文;当所述策略确定单元确定的处理方式为流量限制时,则通知所述发送单元按照预先设置的DPI流量限制策略发送所述数据报文;当所述策略确定单元确定的处理方式为重定向时,将所述数据报文发送给重定向单元。
12.根据权利要求11所述的DPI代理服务器,其特征在于,该DPI代理服务器还包括:
流分类单元,用于确定所述接收单元接收到的数据报文所属的流类型;
类型过滤单元,用于根据所述流分类单元确定的流类型,选择与DPI相关的流类型对应的数据报文发送给所述业务识别单元进行识别处理。
13.根据权利要求12所述的DPI代理服务器,其特征在于,该DPI代理服务器还包括:
判断单元,用于对所述类型过滤单元发送给所述业务识别单元的数据报文进行判断,判断所述数据报文所属的流类型对应的流标识是否设置在所述DPI过滤策略中,如果存在,则触发所述业务识别单元执行所述识别的操作;
发送单元,用于将所述判断单元提供的数据报文发送给该数据报文的目的地址对应的设备。
14.根据权利要求11所述的DPI代理服务器,其特征在于,该DPI代理服务器还包括:DPI策略存储单元,用于存储DPI过滤策略。
15.一种报文过滤的系统,其特征在于,该系统包括:
设置在接入网用户侧的DPI代理服务器,用于对接收到的数据报文进行识别,识别出所述数据报文的业务类型和/或内容;根据识别出的业务类型和/或内容,按照预先设置的DPI过滤策略对该数据报文进行DPI过滤;
DPI代理服务器的上游设备,用于向所述DPI代理服务器发送数据报文,
其中,所述对该数据报文进行DPI过滤包括:如果所述识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为允许通过时,按照该数据报文的目的地址发送该数据报文;
如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为流量限制时,则按照预先设置的DPI流量限制策略对所述数据报文进行流量限制处理;
如果识别出的业务类型和/或内容在DPI过滤策略中对应的处理方式为重定向时,将所述数据报文转发给DPI服务器进行DPI检测。
16.根据权利要求15所述的系统,其特征在于,该系统还包括:
DPI服务器,用于接收所述DPI代理服务器转发来的数据报文,对接收到的数据报文进行识别处理,识别出所述数据报文的业务类型和/或内容;对所述识别出的业务类型和/或内容进行分析,确定所述数据报文对应的处理方式,并按照确定的处理方式对所述数据报文进行处理。
17.根据权利要求15所述的系统,其特征在于,该系统还包括:DPI策略服务器,用于为所述DPI代理服务器配置DPI过滤策略。
18.根据权利要求17所述的系统,其特征在于,所述DPI服务器,还用于根据自身确定的所述数据报文的处理方式,向所述策略服务器发送策略更新请求,并从所述策略服务器中获取更新后的DPI过滤策略,对设置在所述DPI代理服务器中的DPI过滤策略进行更新;
所述策略服务器,接收所述DPI服务器发送的更新请求,将更新后的DPI过滤策略提供给所述DPI服务器。
19.根据权利要求17所述的系统,其特征在于,所述DPI服务器,还用于根据自身确定的所述数据报文的处理方式,向所述策略服务器发送策略更新请求,从所述策略服务器中获取更新后的DPI过滤策略;
所述策略服务器,接收到所述DPI服务器发送的更新请求后,将更新后的DPI过滤策略提供给所述DPI服务器和DPI代理服务器。
20.根据权利要求16所述的系统,其特征在于,所述DPI代理服务器设置在路由器组RG、接入节点AN或汇聚网节点中;
所述DPI服务器设置在IP边缘节点、业务服务器或所述DPI代理服务器的下游汇聚网节点中。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710151721.2A CN101399749B (zh) | 2007-09-27 | 2007-09-27 | 一种报文过滤的方法、系统和设备 |
AT08800834T ATE552688T1 (de) | 2007-09-27 | 2008-09-10 | Verfahren und vorrichtung zum filtern von nachrichten |
PCT/CN2008/072323 WO2009043258A1 (fr) | 2007-09-27 | 2008-09-10 | Procédé, système et dispositif de filtrage de messages |
EP08800834A EP2182694B1 (en) | 2007-09-27 | 2008-09-10 | Method and device for message filtering |
US12/693,766 US8250646B2 (en) | 2007-09-27 | 2010-01-26 | Method, system, and device for filtering packets |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710151721.2A CN101399749B (zh) | 2007-09-27 | 2007-09-27 | 一种报文过滤的方法、系统和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101399749A CN101399749A (zh) | 2009-04-01 |
CN101399749B true CN101399749B (zh) | 2012-04-04 |
Family
ID=40518017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200710151721.2A Active CN101399749B (zh) | 2007-09-27 | 2007-09-27 | 一种报文过滤的方法、系统和设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8250646B2 (zh) |
EP (1) | EP2182694B1 (zh) |
CN (1) | CN101399749B (zh) |
AT (1) | ATE552688T1 (zh) |
WO (1) | WO2009043258A1 (zh) |
Families Citing this family (88)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014179602A1 (en) * | 2013-05-01 | 2014-11-06 | Kodiak Networks, Inc. | Voip denial-of-service protection mechanisms from attack |
US10116691B2 (en) | 2004-11-23 | 2018-10-30 | Kodiak Networks, Inc. | VoIP denial-of-service protection mechanisms from attack |
CN102160452B (zh) * | 2008-06-05 | 2015-02-04 | 凯敏公司 | 用于在网络中提供移动性管理的方法及系统 |
US8640188B2 (en) * | 2010-01-04 | 2014-01-28 | Tekelec, Inc. | Methods, systems, and computer readable media for providing group policy configuration in a communications network using a fake user |
US8813168B2 (en) | 2008-06-05 | 2014-08-19 | Tekelec, Inc. | Methods, systems, and computer readable media for providing nested policy configuration in a communications network |
CN101534248B (zh) * | 2009-04-14 | 2011-12-28 | 华为技术有限公司 | 深度报文识别方法和系统及业务板 |
US8837287B2 (en) * | 2009-04-14 | 2014-09-16 | Alcatel Lucent | Application-specific management of high-bandwidth transfers |
CN101873220B (zh) * | 2009-04-21 | 2014-08-20 | 中兴通讯股份有限公司 | 一种深度报文检测联动设备组的信息收集装置和方法 |
CN101883016B (zh) * | 2009-05-05 | 2014-11-05 | 中兴通讯股份有限公司 | 一种深度报文检测设备联动策略生成系统及方法 |
US8665724B2 (en) * | 2009-06-12 | 2014-03-04 | Cygnus Broadband, Inc. | Systems and methods for prioritizing and scheduling packets in a communication network |
CN101986609A (zh) * | 2009-07-29 | 2011-03-16 | 中兴通讯股份有限公司 | 一种实现网络流量清洗的方法及系统 |
CN102006216B (zh) * | 2009-09-02 | 2015-04-01 | 中兴通讯股份有限公司 | 一种深度报文检测系统及报文处理方法 |
CN101674584B (zh) * | 2009-09-03 | 2012-07-04 | 中兴通讯股份有限公司 | 病毒检测的方法及系统 |
CN101662428B (zh) * | 2009-09-25 | 2012-06-27 | 上海大学 | 基于堆叠结构的10g高性能宽带网络行为实时安全管理系统 |
CN101764754B (zh) * | 2009-12-28 | 2012-07-25 | 东南大学 | 基于dpi和dfi的业务识别系统中的样本获取方法 |
US9166803B2 (en) * | 2010-02-12 | 2015-10-20 | Tekelec, Inc. | Methods, systems, and computer readable media for service detection over an RX interface |
US8520538B2 (en) * | 2010-02-25 | 2013-08-27 | Clearwire Ip Holdings Llc | Method and system for managing traffic in a wireless communication system |
EP2543163B1 (en) * | 2010-03-05 | 2018-09-26 | Tekelec, Inc. | Methods, systems, and computer readable media for enhanced service detection and policy rule determination |
US20110225280A1 (en) * | 2010-03-15 | 2011-09-15 | Mark Delsesto | Methods, systems, and computer readable media for communicating policy information between a policy charging and rules function and a service node |
US9319318B2 (en) | 2010-03-15 | 2016-04-19 | Tekelec, Inc. | Methods, systems, and computer readable media for performing PCRF-based user information pass through |
US8973125B2 (en) * | 2010-05-28 | 2015-03-03 | Alcatel Lucent | Application layer authentication in packet networks |
CN101895467A (zh) * | 2010-07-08 | 2010-11-24 | 中兴通讯股份有限公司 | 报文过滤方法和装置 |
US8520672B2 (en) * | 2010-07-29 | 2013-08-27 | Cisco Technology, Inc. | Packet switching device using results determined by an application node |
CN102142925B (zh) * | 2010-08-12 | 2015-01-07 | 华为技术有限公司 | 深度包检测过滤方法、设备和系统 |
CN101997915B (zh) * | 2010-10-29 | 2014-01-08 | 中国电信股份有限公司 | 深度包检测装置、网页数据处理方法、采集方法及系统 |
US8868638B2 (en) | 2010-11-09 | 2014-10-21 | Usablenet Inc. | Methods for reducing latency in network connections using automatic redirects and systems thereof |
US8984164B2 (en) * | 2010-11-09 | 2015-03-17 | Usablenet Inc. | Methods for reducing latency in network connections and systems thereof |
US8699489B2 (en) * | 2010-12-22 | 2014-04-15 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for transferring data packets |
US8854974B2 (en) * | 2011-01-07 | 2014-10-07 | Genband Us Llc | Methods, systems, and computer readable media for deep packet inspection (DPI)-enabled traffic management for xDSL networks |
CN102158362B (zh) * | 2011-04-18 | 2015-05-06 | 中兴通讯股份有限公司 | 实现网络信息监管的方法、系统及装置 |
EP3567800B1 (en) | 2011-05-06 | 2022-06-22 | Huawei Technologies Co., Ltd. | Method, system and gateway for charging for data service |
CN102215170B (zh) * | 2011-06-08 | 2017-02-08 | 中兴通讯股份有限公司 | 抑制网络风暴的方法及处理器 |
US9565120B2 (en) | 2012-01-30 | 2017-02-07 | Broadcom Corporation | Method and system for performing distributed deep-packet inspection |
US8955093B2 (en) * | 2012-04-11 | 2015-02-10 | Varmour Networks, Inc. | Cooperative network security inspection |
CN102655474B (zh) | 2012-04-17 | 2015-07-22 | 华为技术有限公司 | 一种跨设备的流量类型识别方法、设备及系统 |
US9027138B2 (en) | 2012-06-29 | 2015-05-05 | Centurylink Intellectual Property Llc | Identification of infected devices in broadband environments |
EP2869508A4 (en) * | 2012-06-30 | 2015-07-08 | Huawei Tech Co Ltd | METHOD FOR RECEIVING MESSAGE AND DEVICE AND SYSTEM FOR INSPECTING PACKET IN DEPTH |
CN102857493B (zh) * | 2012-06-30 | 2015-07-08 | 华为技术有限公司 | 内容过滤方法和装置 |
EP2890062B1 (en) | 2012-08-23 | 2019-06-05 | Huawei Technologies Co., Ltd. | Packet processing method, deep packet inspection requesting network element, and deep packet inspection device |
CN103686466B (zh) * | 2012-09-12 | 2016-12-21 | 华为技术有限公司 | 为光网络中的设备生成转发表项的方法和装置 |
CN103179039B (zh) * | 2012-10-25 | 2015-09-16 | 四川省电力公司信息通信公司 | 一种有效过滤正常网络数据包的方法 |
CN103037414B (zh) * | 2012-11-21 | 2015-12-23 | 大唐移动通信设备有限公司 | 通信系统中的策略控制方法及系统 |
US9413651B2 (en) | 2012-12-14 | 2016-08-09 | Broadcom Corporation | Selective deep packet inspection |
CN103888894A (zh) * | 2012-12-19 | 2014-06-25 | 中国移动通信集团公司 | 一种获取交通状态信息的方法和装置 |
JP6172546B2 (ja) * | 2012-12-28 | 2017-08-02 | ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. | トラフィックステアリング方法、デバイス、及びシステム |
CN103095604A (zh) * | 2013-01-04 | 2013-05-08 | 海信集团有限公司 | 识别家庭网络具体应用的系统及方法 |
CN103346972A (zh) * | 2013-06-26 | 2013-10-09 | 北京傲天动联技术股份有限公司 | 基于用户终端的流量控制装置和方法 |
CN104283801A (zh) * | 2013-07-04 | 2015-01-14 | 中兴通讯股份有限公司 | 一种业务数据处理的方法和系统 |
CN104348776B (zh) * | 2013-07-23 | 2018-02-06 | 华为技术有限公司 | 数据包处理方法及装置 |
WO2015010307A1 (zh) | 2013-07-25 | 2015-01-29 | 华为技术有限公司 | 业务路径分配方法、路由器和业务执行实体 |
CN104349395A (zh) * | 2013-08-06 | 2015-02-11 | 中国电信股份有限公司 | 用于处理数据报文的方法、用户终端和系统 |
EP3021532B1 (en) * | 2013-08-20 | 2020-02-26 | Huawei Technologies Co., Ltd. | Method for realizing residential gateway service function and server |
CN104753704B (zh) * | 2013-12-27 | 2019-03-12 | 中兴通讯股份有限公司 | 一种软件定义网络中的状态迁移方法及交换机 |
CN103746996A (zh) * | 2014-01-03 | 2014-04-23 | 汉柏科技有限公司 | 一种防火墙的报文过滤方法 |
US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
US9641429B2 (en) | 2014-06-18 | 2017-05-02 | Radware, Ltd. | Predictive traffic steering over software defined networks |
CN105337852B (zh) * | 2014-07-03 | 2019-11-05 | 华为技术有限公司 | 更新业务流报文的处理方式的方法及装置 |
CN105323116B (zh) * | 2014-08-01 | 2018-06-29 | 中国电信股份有限公司 | 互联网特征业务流量的采集方法与装置、系统 |
US10050847B2 (en) | 2014-09-30 | 2018-08-14 | Keysight Technologies Singapore (Holdings) Pte Ltd | Selective scanning of network packet traffic using cloud-based virtual machine tool platforms |
CN104468313B (zh) * | 2014-12-05 | 2018-08-14 | 华为技术有限公司 | 一种报文处理方法、网络服务器及虚拟专用网络系统 |
CN105991713B (zh) * | 2015-02-12 | 2020-07-31 | 南京中兴软件有限责任公司 | 更新处理方法及装置 |
US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
WO2017020270A1 (en) * | 2015-08-05 | 2017-02-09 | Qualcomm Incorporated | Deep packet inspection indication for a mobile cdn |
US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
WO2017039393A1 (en) * | 2015-09-03 | 2017-03-09 | Samsung Electronics Co., Ltd. | Method and apparatus for adaptive cache management |
CN106776669A (zh) * | 2015-11-23 | 2017-05-31 | 中国电信股份有限公司 | 用于识别用户搜索内容的方法、管理平台和系统 |
CN106911588B (zh) * | 2015-12-22 | 2020-03-20 | 中国电信股份有限公司 | 用于实现深度包检测优化的方法、装置和系统 |
US10491611B2 (en) * | 2016-01-08 | 2019-11-26 | Belden, Inc. | Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols |
CN107026766A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团河北有限公司 | 一种网络质量的评估检测方法及装置 |
TWI625950B (zh) * | 2016-08-04 | 2018-06-01 | 群暉科技股份有限公司 | 於一網路系統中藉助於網路位址轉譯來轉送封包之方法與裝置 |
CN108092916A (zh) * | 2016-11-21 | 2018-05-29 | 中兴通讯股份有限公司 | 一种控制终端网络数据的方法、装置和路由设备 |
CN107147588B (zh) * | 2017-05-16 | 2020-03-31 | 网宿科技股份有限公司 | 流量引导方法和装置 |
US10412047B2 (en) | 2017-08-17 | 2019-09-10 | Arista Networks, Inc. | Method and system for network traffic steering towards a service device |
CN107733736A (zh) * | 2017-09-23 | 2018-02-23 | 中国人民解放军信息工程大学 | 一种低功耗的高速网络报文检测方法及装置 |
US10721651B2 (en) | 2017-09-29 | 2020-07-21 | Arista Networks, Inc. | Method and system for steering bidirectional network traffic to a same service device |
US10764234B2 (en) | 2017-10-31 | 2020-09-01 | Arista Networks, Inc. | Method and system for host discovery and tracking in a network using associations between hosts and tunnel end points |
CN109951347B (zh) * | 2017-12-21 | 2021-11-19 | 华为技术有限公司 | 业务识别方法、装置及网络设备 |
US10841280B2 (en) * | 2018-03-16 | 2020-11-17 | Lightspeed Systems, Inc. | User device-based enterprise web filtering |
US10917342B2 (en) | 2018-09-26 | 2021-02-09 | Arista Networks, Inc. | Method and system for propagating network traffic flows between end points based on service and priority policies |
US10848457B2 (en) | 2018-12-04 | 2020-11-24 | Arista Networks, Inc. | Method and system for cross-zone network traffic between different zones using virtual network identifiers and virtual layer-2 broadcast domains |
US10749789B2 (en) | 2018-12-04 | 2020-08-18 | Arista Networks, Inc. | Method and system for inspecting broadcast network traffic between end points residing within a same zone |
US10855733B2 (en) | 2018-12-04 | 2020-12-01 | Arista Networks, Inc. | Method and system for inspecting unicast network traffic between end points residing within a same zone |
CN111327604B (zh) * | 2020-01-21 | 2022-09-06 | 深圳市泰信通信息技术有限公司 | 数据处理系统及其方法 |
CN113572700A (zh) * | 2020-04-29 | 2021-10-29 | 厦门网宿有限公司 | 流量检测方法、系统、装置及计算机可读存储介质 |
CN112272123B (zh) * | 2020-10-16 | 2022-04-15 | 北京锐安科技有限公司 | 网络流量分析方法、系统、装置、电子设备和存储介质 |
CN115915047A (zh) * | 2021-08-04 | 2023-04-04 | 展讯通信(上海)有限公司 | 通信方法、电子设备和存储介质 |
CN114143079B (zh) * | 2021-11-29 | 2023-04-25 | 杭州迪普科技股份有限公司 | 包过滤策略的验证装置及方法 |
CN114338438B (zh) * | 2021-12-02 | 2023-07-28 | 中国联合网络通信集团有限公司 | 一种上网行为的管理方法、系统存储介质及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1466312A (zh) * | 2002-06-12 | 2004-01-07 | 华为技术有限公司 | 网络设备中基于代理方式接入网络的控制方法 |
CN1720459A (zh) * | 2002-11-07 | 2006-01-11 | 尖端技术公司 | 主动网络防护系统与方法 |
WO2006063052A1 (en) * | 2004-12-07 | 2006-06-15 | Nortel Networks Limited | Method and apparatus for network immunization |
CN1937623A (zh) * | 2006-10-18 | 2007-03-28 | 华为技术有限公司 | 一种控制网络业务的方法及系统 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI101763B1 (fi) | 1995-12-01 | 1998-08-14 | Nokia Mobile Phones Ltd | Siirrettävän tiedon koostumuksen säilyttäminen tukiaseman vaihdon yhteydessä |
KR20030046006A (ko) | 2001-12-03 | 2003-06-12 | 엘지전자 주식회사 | Pdcp 메시지 전송방법 |
EP1326460A1 (de) | 2001-12-21 | 2003-07-09 | Siemens Aktiengesellschaft | Verfahren und System zum Funkzellenwechsel in einem zellularen Paketnetzwerk |
CN1578227A (zh) | 2003-07-29 | 2005-02-09 | 上海聚友宽频网络投资有限公司 | 一种动态ip数据包过滤方法 |
US8458467B2 (en) * | 2005-06-21 | 2013-06-04 | Cisco Technology, Inc. | Method and apparatus for adaptive application message payload content transformation in a network infrastructure element |
EP3565313B1 (en) | 2005-10-31 | 2020-04-08 | Evolved Wireless LLC | Method of transmitting and receiving radio access information in a wireless mobile communications system |
US8270413B2 (en) * | 2005-11-28 | 2012-09-18 | Cisco Technology, Inc. | Method and apparatus for self-learning of VPNS from combination of unidirectional tunnels in MPLS/VPN networks |
CN101047975A (zh) | 2006-03-29 | 2007-10-03 | 华为技术有限公司 | 一种实现切换的方法 |
CN101047967B (zh) | 2006-03-30 | 2010-12-01 | 华为技术有限公司 | 在切换过程中处理数据的方法及装置 |
US20080010677A1 (en) | 2006-06-26 | 2008-01-10 | Nokia Corporation | Apparatus, method and computer program product providing improved sequence number handling in networks |
CN101047998B (zh) | 2006-06-27 | 2010-05-12 | 华为技术有限公司 | 一种基站间切换过程中的数据传输方法 |
CN101132609B (zh) | 2006-08-22 | 2010-04-21 | 华为技术有限公司 | 一种切换过程中转发数据的方法及系统 |
GB0616682D0 (en) | 2006-08-22 | 2006-10-04 | Nec Corp | Mobile telecommunications |
CN100488275C (zh) | 2006-11-21 | 2009-05-13 | 华为技术有限公司 | 一种节约网络无线资源和移动终端电池的方法和装置 |
US20080188223A1 (en) | 2007-02-07 | 2008-08-07 | Nokia Corporation | Method, a system and a network element for performing a handover of a mobile equipment |
CN100474819C (zh) | 2007-05-17 | 2009-04-01 | 华为技术有限公司 | 一种深度报文检测方法、网络设备及系统 |
CN101365168A (zh) | 2007-08-10 | 2009-02-11 | 北京三星通信技术研究有限公司 | 数据转发的方法 |
-
2007
- 2007-09-27 CN CN200710151721.2A patent/CN101399749B/zh active Active
-
2008
- 2008-09-10 WO PCT/CN2008/072323 patent/WO2009043258A1/zh active Application Filing
- 2008-09-10 AT AT08800834T patent/ATE552688T1/de active
- 2008-09-10 EP EP08800834A patent/EP2182694B1/en active Active
-
2010
- 2010-01-26 US US12/693,766 patent/US8250646B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1466312A (zh) * | 2002-06-12 | 2004-01-07 | 华为技术有限公司 | 网络设备中基于代理方式接入网络的控制方法 |
CN1720459A (zh) * | 2002-11-07 | 2006-01-11 | 尖端技术公司 | 主动网络防护系统与方法 |
WO2006063052A1 (en) * | 2004-12-07 | 2006-06-15 | Nortel Networks Limited | Method and apparatus for network immunization |
CN1937623A (zh) * | 2006-10-18 | 2007-03-28 | 华为技术有限公司 | 一种控制网络业务的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101399749A (zh) | 2009-04-01 |
WO2009043258A1 (fr) | 2009-04-09 |
US8250646B2 (en) | 2012-08-21 |
EP2182694B1 (en) | 2012-04-04 |
ATE552688T1 (de) | 2012-04-15 |
EP2182694A4 (en) | 2011-05-04 |
EP2182694A1 (en) | 2010-05-05 |
US20100132031A1 (en) | 2010-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101399749B (zh) | 一种报文过滤的方法、系统和设备 | |
CN101175078B (zh) | 应用分布式阈值随机漫步的潜在网络威胁识别 | |
CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
CN100474819C (zh) | 一种深度报文检测方法、网络设备及系统 | |
US9258275B2 (en) | System and method for dynamic security insertion in network virtualization | |
CN102763382B (zh) | 前端系统和前端处理方法 | |
CN106302371B (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
AU2020204346B2 (en) | Multi-access distributed edge security in mobile networks | |
US20090113517A1 (en) | Security state aware firewall | |
CN106656648B (zh) | 基于家庭网关的应用流量动态保护方法、系统及家庭网关 | |
CN103414725A (zh) | 用于检测和过滤数据报文的方法和设备 | |
CN109995714B (zh) | 一种处置流量的方法、装置和系统 | |
KR102171348B1 (ko) | 어플리케이션 검출 방법 및 장치 | |
CN105591967B (zh) | 一种数据传输方法和装置 | |
CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
US20110078283A1 (en) | Service providing system, filtering device, filtering method and method of confirming message | |
CN102118313A (zh) | Ip地址探测的方法及设备 | |
EP3641248B1 (en) | Traffic optimization device, communication system, traffic optimization method, and program | |
KR20110059919A (ko) | 웹 리다이렉트를 이용한 비정상 행위 단말의 제한을 위한 네트워크 접속 관리 방법 및 장치 | |
CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
CN106060068A (zh) | 一种信息过滤方法和装置 | |
CN107634884B (zh) | 基于虚拟专用拨号网的云化上网行为管理系统及方法 | |
KR102203734B1 (ko) | 서비스 체이닝 제어 장치 및 방법과 이를 이용한 서비스 체이닝 실행 방법 | |
CN104038409A (zh) | 一种邮件安全管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |