CN101552722A - 一种管理网络流量带宽的方法及装置 - Google Patents

一种管理网络流量带宽的方法及装置 Download PDF

Info

Publication number
CN101552722A
CN101552722A CNA2008101033581A CN200810103358A CN101552722A CN 101552722 A CN101552722 A CN 101552722A CN A2008101033581 A CNA2008101033581 A CN A2008101033581A CN 200810103358 A CN200810103358 A CN 200810103358A CN 101552722 A CN101552722 A CN 101552722A
Authority
CN
China
Prior art keywords
flow
network
network traffics
bandwidth
management information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2008101033581A
Other languages
English (en)
Inventor
华东明
王洋
叶润国
邓炜
胡振宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venus Information Technology Co Ltd
Original Assignee
Beijing Venus Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venus Information Technology Co Ltd filed Critical Beijing Venus Information Technology Co Ltd
Priority to CNA2008101033581A priority Critical patent/CN101552722A/zh
Publication of CN101552722A publication Critical patent/CN101552722A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种管理网络流量带宽的方法及装置,包括:根据IP的源和目的地址、源和目的端口、应用层协议类型,将流量分为源和目的IP流量、源和目的端口流量和协议流量。根据IP的不同优先级,将流量分为白流量、灰流量和黑流量。基于速率对流量进行检测,根据对流量的不同检测结果,实施预先设置的控制动作,丢弃超过流量速率限制的数据包,使数据包以低于限制的速率发送出去。利用本发明,可以对网络流量的带宽进行管理,对网络流量带宽进行分类、检测和控制。这样可以高效地对网络流量带宽进行管理,有效地利用网络带宽,避免网络流量的拥塞,以及可以预防一些异常网络流量攻击的发生,为网络用户提供一个高服务质量和安全的网络环境。

Description

一种管理网络流量带宽的方法及装置
技术领域
本发明涉及网络与信息安全技术领域,具体涉及在TCP/IP网络中的一种管理网络流量带宽的方法及装置。
背景技术
目前,随着Internet和网络应用模式的发展,人们可以通过网络进行电子商务、资源共享和娱乐活动,网络逐渐成为人们在工作、生活和学习中不可缺少的一部分,同时,人们对网络中信息的高吞吐量、低延迟和高安全性的需求越来越强烈。网络流量带宽管理产品的市场需求也越来越强烈。当前,在网络与信息安全市场上,防火墙产品、入侵检测产品和防病毒产品仍是主流产品。
在本发明的网络流量带宽管理的方法及装置中主要涉及以下技术:承诺访问速率技术、访问控制列表技术、早期检测技术、令牌桶技术。
网络流量带宽管理技术的发展有两大方向,一是静态带宽管理技术;二是动态带宽管理技术。对于静态带宽管理技术,为单个流量设定带宽阈值,当该流量的实际速率超过该阈值时,采取相应的带宽管理策略,其优点是网络管理员能够根据用户、业务、协议、时间等条件检测和控制网络带宽,缺陷是不能充分有效地利用网络带宽。对于动态带宽管理技术,动态监视网络的总流量速率,动态改变带宽管理的策略,其优点是网络总带宽在高峰时不会被少数几个用户占用,每个用户都有得到平均带宽的机会,某个用户空闲时,其带宽资源可以被其它迫切需要带宽的用户利用,其缺点是没有针对用户流量需求、业务类别和应用环境进行检测和控制网络带宽。本发明结合静态和动态带宽管理技术对网络流量进行监管,克服了以上两种方法中存在的缺点,既能够根据用户流量需求、业务类别和应用环境进行监管网络带宽,又能够动态监视网络的总流量速率,动态改变带宽管理的策略。
发明内容
本发明的目的是克服静态和动态带宽管理技术的缺点,提供一种在TCP/IP网络中基于静态和动态带宽管理的装置,使得能够有效地检测和控制网络流量带宽,以保证网络应用的高吞吐量、低延迟和安全性,给网络用户一个快速和安全的网络应用环境。
本发明的目的是通过以下技术方案实现的:
一种管理网络流量带宽的方法,包括以下步骤:
A、根据源和目的IP地址、源和目的端口、应用层协议类型,对网络流量进行分类;
B、根据IP的优先级,对网络流量进行分级;
C、捕获并解析网络数据包;
D、静态检测网络流量;
E、动态检测网络流量;
F、对网络流量进行控制。
在网络流量带宽管理信息库已有的前提下,所述步骤A包括:
A1、读取网络流量分类信息;
A2、解析网络流量分类信息;
所述网络流量分类信息包括:源和目的IP、源和目的端口和协议类型。
优选地,所述步骤B包括:
B1、读取网络流量分级信息;
B2、解析网络流量分级信息;
所述网络流量分级信息包括:白流量、灰流量和黑流量。
优选地,所述步骤C包括:
C1、捕获网络数据包;
C2、解析网络数据包;
所述通过解析所获得的信息包括:源和目的IP地址、源和目的端口、应用层协议类型,以及白、灰或黑流量级别。
可选地,所述步骤D包括:
D1、查找静态流量管理节点;
D2、统计流量大小;
D3、计算流量在设置时间窗内的速率;
D4、根据网络流量带宽管理信息库中设置的静态流量管理信息对流量速率进行评估。
所述网络流量静态检测信息包括:流量方向、级别、管理模式、速率阈值。
可选地,所述步骤E包括:
E1、查找动态流量管理节点;
E2、统计流量大小;
E3、计算流量在设置时间窗内的速率;
E4、根据网络流量带宽管理信息库中设置的动态流量管理信息对流量速率进行评估。
所述网络流量动态检测信息包括:流量方向和速率阈值。
优选地,所述步骤F包括:
运用令牌桶算法,丢弃超过流量速率限制的报文,使报文以均匀的速率转发出去。
所述网络流量控制信息包括:速率阈值。
一种管理网络流量带宽的装置,包括:
用于存储网络流量带宽管理信息包括静态和动态流量管理信息的信息库,静态流量管理信息包括流量方向、级别、管理模式、速率阈值、时间窗、源IP地址、目的IP地址、源端口、目的端口和应用层协议类型,动态流量管理信息包括:流量方向、级别、速率阈值和时间窗;
网络流量带宽管理信息初始化装置,包括读取和解析网络流量带宽管理信息,设置网络流量静态和动态检测规则;
网络数据包预处理装置,包括使用捕包器捕获网络数据包,使用协议解析器对其进行解析,并对其进行分类和分级;
网络流量静态检测装置,使用用户配置的静态流量检测规则,对特定网络流量进行检测;
网络流量动态检测装置,使用根据网络流量实时自学习生成的动态流量检测规则,对网络流量进行检测;
网络流量控制装置,使用令牌桶算法,对超出速率限制的流量实施丢包控制行为,是网络流量以均匀速率转发出去。
首先初始化网络流量带宽管理信息,然后对网络数据包进行预处理,并分别进行静态和动态检测,最后根据检测结果对其进行控制。
网络流量带宽管理信息库向网络流量带宽管理信息初始化装置提供静态和动态流量管理信息,网络流量带宽管理信息初始化装置初始化网络流量带宽管理装置的缓冲区,网络数据包预处理装置向网络流量静态和动态检测装置提供预处理后的网络数据包信息,网络流量控制装置根据检测装置的检测结果进行流量控制。
由以上本发明提供的技术方案可以看出,本发明结合静态和动态带宽管理技术对网络流量进行监管,克服了以上两种方法中存在的缺点,既能够根据用户流量需求、业务类别和应用环境进行监管网络带宽,又能够动态监视网络的总流量速率,动态改变带宽管理的策略。
附图说明
图1是在TCP/IP网络中网络流量带宽管理装置的组网示意图;
图2是本发明方法的装置结构示意图;
图3是本发明方法的主流程图;
图4是本发明中流量分级流程示意图;
图5是本发明中流入协议流量检测流程示意图;
图6是本发明中流出协议流量检测流程示意图;
图7是本发明中目的端口流量检测流程示意图;
图8是本发明中源端口流量检测流程示意图;
图9是本发明中目的IP流量检测流程示意图;
图10是本发明中源IP流量检测流程示意图;
图11是本发明中流量控制流程示意图。
具体实施方式
本发明方法的核心在于根据IP的源和目的地址、源和目的端口、应用层协议类型,将流量分为源和目的IP流量、源和目的端口流量和协议流量。根据IP的不同优先级,将流量分为白流量、灰流量和黑流量,获取网络数据包和解析协议,基于速率对流量进行静态和动态检测,依据对流量不同的评估结果,实施预先设定好的控制动作,丢弃超过流量速率限制的报文,使报文以均匀的速率发送出去。
本领域普通技术人员知道,网络流量带宽管理的通用工作流程为:
在初始化阶段,根据源和目的IP地址、源和目的端口、应用层协议类型,将流量分为源和目的IP流量、源和目的端口流量和协议流量。根据IP的不同优先级,将流量分为白流量、灰流量和黑流量。
在预处理阶段,由网络捕包器获取网络数据包,进行解析协议,对流量进行分类和分级。
在检测阶段,基于流量的速率进行检测和评估。
在控制阶段,实施预先设定好的控制动作,丢弃超过流量速率限制的报文,使报文以均匀的速率发送出去。
在检测阶段,有两种检测方式:静态流量带宽检测方式和动态流量带宽检测方式。
在TCP/IP中管理网络流量带宽的装置组网结构如图1所示。其中,
局域网,包括局域网内部的网络用户和网络服务;
网络流量带宽管理装置,用于管理流经的网络数据流量,为局域网提供服务质量和安全保护;
Internet,包括路由器,可以传送和路由网络流量。
下面参照图2对本发明方法的装置结构作详细说明:
网络流量带宽管理装置包括:
信息库,包括网络流量静态和动态检测规则;
初始化模块,包括读取和解析网络流量带宽管理信息,设置网络流量静态和动态检测规则;
网络数据包预处理装置,包括使用捕包器捕获网络数据包,使用协议解析器对其进行解析,并对其进行分类和分级;
检测模块,使用用户配置的静态流量检测规则,对特定网络流量进行检测,使用根据网络流量实时自学习生成的动态流量检测规则,对网络流量进行检测;
控制模块,使用令牌桶算法,对超出速率限制的流量实施丢包控制行为,是网络流量以均匀速率转发出去。
首先初始化网络流量带宽管理信息,然后对网络数据包进行预处理,并分别进行静态和动态检测,最后根据检测结果对其进行控制。
信息库包括静态流量管理信息库和动态流量管理信息库。
初始化模块包括:
静态流量管理信息初始化模块,设置网络流量静态检测规则,包括流量类型、流量等级、IP的源和目的地址、源和目的端口、应用协议类型、限流方向、限流模式、速率阈值和时间窗。流量类型包括源和目的IP流量、源和目的端口流量和协议流量。流量等级包括白流量、灰流量和黑流量;
动态流量管理信息初始化模块,设置网络流量动态检测规则,包括限流方向、速率阈值和时间窗;
网络数据包预处理模块包括:
捕获模块,由捕获器捕获网络数据包;
解析模块,由协议解析器解析网络数据包,获得限流中关注的关键字段,包括IP的源和目的地址、源和目的端口、应用协议类型;
流量分类模块,根据源和目的IP地址、源和目的端口、应用层协议类型,将流量分为源和目的IP流量、源和目的端口流量和协议流量;
流量分级模块,根据IP的不同优先级,将流量分为白流量、灰流量和黑流量;
检测模块包括:
静态检测模块,使用用户配置的静态流量检测规则,对特定网络流量进行检测;
动态检测模块,使用根据网络流量实时自学习生成的动态流量检测规则,对网络流量进行检测;
具体包括:
流入协议流量检测模块,统计流入协议流量的字节个数,计算其流量速率,并与用户配置的静态检测规则和自学习生成的动态检测规则相比较,判断其是否超出速率阈值;
流出协议流量检测模块,统计流出协议流量的字节个数,计算其流量速率,并与用户配置的静态检测规则和自学习生成的动态检测规则相比较,判断其是否超出速率阈值;
目的端口流量检测模块,统计目的端口流量的字节个数,计算其流量速率,并与用户配置的静态检测规则和自学习生成的动态检测规则相比较,判断其是否超出速率阈值;
源端口流量检测模块,统计源端口流量的字节个数,计算其流量速率,并与用户配置的静态检测规则和自学习生成的动态检测规则相比较,判断其是否超出速率阈值;
目的IP流量检测模块,统计目的IP流量的字节个数,计算其流量速率,并与用户配置的静态检测规则和自学习生成的动态检测规则相比较,判断其是否超出速率阈值;
源IP流量检测模块,统计源IP流量的字节个数,计算其流量速率,并与用户配置的静态检测规则和自学习生成的动态检测规则相比较,判断其是否超出速率阈值;
相关流量检测判决模块,对源和目的IP流量、源和目的端口流量和协议流量的检测结果进行判决,有两种判决方式,一是只要有一个流量速率超出阈值就阻断,二是只有全部流量速率超出阈值才阻断;
单向流量检测模块,判断流量检测方向为单向检测,此时只检测流入或流出协议流量、或者目的或源IP流量、或者目的或源端口流量;
双向流量检测模块,判断流量检测方向为双向检测,此时检测流入和流出协议流量、或者目的和源IP流量、或者目的和源端口流量;
访问静态访问控制列表模块,是网络流量静态检测规则的实现;
访问动态访问控制列表模块,是网络流量动态检测规则的实现;
白流量检测模块,对流量等级为白的流量进行检测;
灰流量检测模块,对流量等级为灰的流量进行检测;
黑流量检测模块,对流量等级为黑的流量进行检测。
控制模块,基于检测和评估结果对流量速率进行限制。
首先初始化网络流量带宽管理信息,然后对网络数据包进行预处理,并分别进行静态和动态检测,最后根据检测结果对其进行控制。
网络流量带宽管理装置包括信息库、初始化模块、网络数据包捕获和解析模块、检测模块和控制模块。
信息库包括静态流量管理信息库和动态流量管理信息库。
初始化模块包括静态流量管理信息初始化模块和动态流量管理信息初始化模块。
网络数据包预处理模块包括捕获模块、解析模块、流量分类模块和流量分级模块;
检测模块包括静态检测模块和动态检测模块,具体包括流入协议流量检测模块、流出协议流量检测模块、目的端口流量检测模块、源端口流量检测模块、目的IP流量检测模块、源IP流量检测模块和相关流量检测判决模块,以及单向流量检测模块、双向流量检测模块、访问静态访问控制列表模块、访问动态访问控制列表模块、白流量检测模块、灰流量检测模块和黑流量检测模块。
控制模块,基于检测和评估结果对流量速率进行限制。
网络流量带宽管理信息库向网络流量带宽管理信息初始化装置提供静态和动态流量管理信息,网络流量带宽管理信息初始化装置初始化网络流量带宽管理装置的缓冲区,网络数据包预处理装置向网络流量静态和动态检测装置提供预处理后的网络数据包信息,网络流量控制装置根据检测装置的检测结果进行流量控制。
为了使本技术领域的人员更好地理解本发明,下面结合图3所示的流程图对本发明作进一步的详细说明。包括以下步骤:
步骤301:初始化管理信息,读取、解析静态和动态、不同级别的流量带宽管理信息,创建静态和动态访问控制列表,为流量检测做准备工作;
步骤302:采用捕获器捕获网络数据包,并解析数据包头信息,包括源和目的IP地址、源和目的端口和应用协议类型;
步骤303:对网络流量分类和分级,将网络流量分为源和目的IP流量、源和目的端口流量、协议流量;并将网络流量分为白、灰和黑流量;
步骤304:根据流入协议流量访问控制列表,对网络流量进行检测;
步骤305:根据流出协议流量访问控制列表,对网络流量进行检测;
步骤306:根据目的端口流量访问控制列表,对网络流量进行检测;
步骤307:根据源端口流量访问控制列表,对网络流量进行检测;
步骤308:根据目的IP流量访问控制列表,对网络流量进行检测;
步骤309:根据源IP流量访问控制列表,对网络流量进行检测;
步骤310:根据对源和目的IP流量、源和目的端口流量、协议流量的检测结果,对这些结果进行判决,有两种判决方式:一种是如果一个数据包所在的所有流量都超出速率阈值,就对该数据包进行限制;另一种是只要一个数据包所在所有流量的一个流量超出速率阈值,就对该数据包进行限制;
步骤311:如果一个数据包需要限流,就运用令牌桶算法对流量进行限制,丢弃超出速率限制部分的数据包。
下面通过一个应用实例对图10的上述流程作进一步说明。
例如:设定捕获器捕获到的一个新的数据包的有关信息为
源IP地址:192.168.6.100     目的IP地址:218.25.41.110
源端口:1691                目的端口:80
应用协议类型:HTTP          数据包大小:1075bytes
首先,根据该数据包的应用协议类型和事先设定的流量级别,判断其优先级别,其为灰流量;然后对该数据包所在流量分别进行检测,检测流入HTTP协议流量,需要限流;检测流出HTTP协议流量,不需要限流;检测192.168.6.100节点的流量,不需要限流;检测218.25.41.110节点的流量,需要限流;检测1691流量,不需要限流;检测80流量,需要限流;根据以上检测结果判决该数据包,得出结论为需要限流;最后丢弃该数据包。
参照图4对本发明中流量分级流程作详细说明:
假定事先设定好协议级别列表,包括协议ID与流量级别的对应关系。
在解析网络数据包后,根据协议类型获得相应的协议ID,然后判断该协议ID是否在设定范围内,若在设定范围内,则根据协议ID所在的范围,判决其流量级别,是白流量、灰流量还是黑流量。
下面通过一个应用实例对图4的上述流程作进一步说明。
在解析网络数据包后,获得的HTTP协议的协议ID为30,则其为灰流量。
参照图5对本发明中流入协议流量检测流程作详细说明:
步骤501:通过协议解析可以获得流入协议流量的协议号;
步骤502:根据协议号查找流入协议流量列表,获得相应的流量节点;
步骤503:进行流量检测,计算流量速率,并与设定的速率阈值进行比较,若需要限流,则设置限流标记,否则设置放行标记;
步骤504:检查是否为双向限流并且方向开关为1,若是,则检测流出协议流量,若检测结果需要限流,则设置限流标记,否则设置放行标记;
步骤505:将两个方向的限流标志进行相与,获得双向检测的最终结果。
下面通过一个应用实例对图5的上述流程作进一步说明。
首先通过协议解析后获得协议号为30,然后在流入协议流量列表中查找到下标为30的流量节点,计算出流量速率为24Mbps,而其速率阈值为20Mbps,则设置限流标记=1;经检查可知为双向限流并且方向开关为1,则检测流出协议流量,其检测结果为不需要限流,则设置限流标记=0;最后将以上两个限流标记相与,获得双向检测的最终结果为0。
参照图6对本发明中流出协议流量检测流程作详细说明:
步骤601:通过协议解析可以获得流出协议流量的协议号;
步骤602:根据协议号查找流出协议流量列表,获得相应的流量节点;
步骤603:进行流量检测,计算流量速率,并与设定的速率阈值进行比较,若需要限流,则设置限流标记,否则设置放行标记;
步骤604:检查是否为双向限流并且方向开关为1,若是,则检测流入协议流量,若检测结果需要限流,则设置限流标记,否则设置放行标记;
步骤605:将两个方向的限流标志进行相与,获得双向检测的最终结果。
下面通过一个应用实例对图6的上述流程作进一步说明。
首先通过协议解析后获得协议号为30,然后在流出协议流量列表中查找到下标为30的流量节点,计算出流量速率为16Mbps,而其速率阈值为20Mbps,则设置限流标记=0;经检查可知为双向限流并且方向开关为1,则检测流入协议流量,其检测结果为需要限流,则设置限流标记=1;最后将以上两个限流标记相与,获得双向检测的最终结果为0。
参照图7对本发明中目的端口流量检测流程作详细说明:
步骤701:通过协议解析可以获得流量的目的端口号;
步骤702:根据目的端口号查找目的端口流量列表,获得相应的流量节点;
步骤703:进行流量检测,计算流量速率,并与设定的速率阈值进行比较,若需要限流,则设置限流标记,否则设置放行标记;
步骤704:检查是否为双向限流并且方向开关为1,若是,则检测源端口流量,若检测结果需要限流,则设置限流标记,否则设置放行标记;
步骤705:将两个方向的限流标志进行相与,获得双向检测的最终结果。
下面通过一个应用实例对图7的上述流程作进一步说明。
首先通过协议解析后获得目的端口号为80,然后在目的端口流量列表中查找到下标为80的流量节点,计算出流量速率为11Mbps,而其速率阈值为10Mbps,则设置限流标记=1;经检查可知为双向限流并且方向开关为1,则检测源端口流量,其检测结果为需要限流,则设置限流标记=1;最后将以上两个限流标记相与,获得双向检测的最终结果为1。
参照图8对本发明中源端口流量检测流程作详细说明:
步骤801:通过协议解析可以获得流量的源端口号;
步骤802:根据源端口号查找源端口流量列表,获得相应的流量节点;
步骤803:进行流量检测,计算流量速率,并与设定的速率阈值进行比较,若需要限流,则设置限流标记,否则设置放行标记;
步骤804:检查是否为双向限流并且方向开关为1,若是,则检测目的端口流量,若检测结果需要限流,则设置限流标记,否则设置放行标记;
步骤805:将两个方向的限流标志进行相与,获得双向检测的最终结果。
下面通过一个应用实例对图8的上述流程作进一步说明。
首先通过协议解析后获得源端口号为80,然后在源端口流量列表中查找到下标为80的流量节点,计算出流量速率为1Mbps,而其速率阈值为2Mbps,则设置限流标记=1;经检查可知为双向限流并且方向开关为1,则检测目的端口流量,其检测结果为需要限流,则设置限流标记=1;最后将以上两个限流标记相与,获得双向检测的最终结果为1。
参照图9对本发明中目的IP流量检测流程作详细说明:
步骤901:通过协议解析可以获得流量的目的IP地址;
步骤902:根据目的IP地址先做散列,然后查找目的IP流量列表,获得相应的流量节点;
步骤903:进行流量检测,计算流量速率,并与设定的速率阈值进行比较,若需要限流,则设置限流标记,否则设置放行标记;
步骤904:检查是否为双向限流并且方向开关为1,若是,则检测源IP流量,若检测结果需要限流,则设置限流标记,否则设置放行标记;
步骤905:将两个方向的限流标志进行相与,获得双向检测的最终结果。
下面通过一个应用实例对图9的上述流程作进一步说明。
首先通过协议解析后获得目的IP地址为218.25.41.110,计算出其散列值为31952,然后在目的IP流量列表中查找到下标为31952的流量节点,计算出流量速率为21Mbps,而其速率阈值为20Mbps,则设置限流标记=1;经检查可知为双向限流并且方向开关为1,则检测源IP流量,其检测结果为需要限流,则设置限流标记=1;最后将以上两个限流标记相与,获得双向检测的最终结果为1。
参照图10对本发明中源IP流量检测流程作详细说明:
步骤1001:通过协议解析可以获得流量的源IP地址;
步骤1002:根据源IP地址先做散列,然后查找源IP流量列表,获得相应的流量节点;
步骤1003:进行流量检测,计算流量速率,并与设定的速率阈值进行比较,若需要限流,则设置限流标记,否则设置放行标记;
步骤1004:检查是否为双向限流并且方向开关为1,若是,则检测目的IP流量,若检测结果需要限流,则设置限流标记,否则设置放行标记;
步骤1005:将两个方向的限流标志进行相与,获得双向检测的最终结果。
下面通过一个应用实例对图10的上述流程作进一步说明。
首先通过协议解析后获得源IP地址为192.168.6.100,计算出其散列值为27931,然后在源IP流量列表中查找到下标为27931的流量节点,计算出流量速率为1.2Mbps,而其速率阈值为1Mbps,则设置限流标记=1;经检查可知为双向限流并且方向开关为1,则检测目的IP流量,其检测结果为需要限流,则设置限流标记=1;最后将以上两个限流标记相与,获得双向检测的最终结果为1。
参照图11对本发明中流量控制流程作详细说明:
步骤1101:获取当前时间,并检查当前时间与上次存放令牌的时间差是否大于1秒,若大于1秒,则执行步骤1102、步骤1103和步骤1104;
步骤1102:从流量节点中获取速率阈值r;
步骤1103:向令牌桶中存放r个令牌;
步骤1104:获取当前时间并赋给令牌存放时间变量;
步骤1105:若当前时间与上次存放令牌的时间差小于1秒,检查令牌桶中令牌的个数与该数据包的大小的差值是否大于0,若大于0,则减去包大小令牌,标志变量标记为放行,否则标志变量标记为阻断。
下面通过一个应用实例对图11的上述流程作进一步说明。
假定上次存放令牌的时间为162335ms,速率阈值为2Mbps。
首先获取当前时间为164237ms,164237ms-162335ms>1秒,则获取速率阈值为2Mbps,并向令牌桶中存放2Mbit,数据包的大小为8600bit,则2Mbit-8600bit=>0,则剩余令牌为11400bit,标志标量标记为放行。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (8)

1、一种管理网络流量带宽的方法,其特征在于包括以下步骤:
A、根据源和目的IP地址、源和目的端口、应用层协议类型,对网络流量进行分类;
B、根据IP的优先级,对网络流量进行分级;
C、捕获并解析网络数据包;
D、静态检测网络流量;
E、动态检测网络流量;
F、对网络流量进行控制。
2、根据权利要求1所述的一种管理网络流量带宽的方法,其特征在于,所述步骤A包括:
A1、读取网络流量分类信息;
A2、解析网络流量分类信息;
所述网络流量分类信息包括:源和目的IP、源和目的端口和协议类型。
3、根据权利要求1所述的一种管理网络流量带宽的方法,其特征在于,所述步骤B包括:
B1、读取网络流量分级信息;
B2、解析网络流量分级信息;
所述网络流量分级信息包括:白流量、灰流量和黑流量。
4、根据权利要求1所述的一种管理网络流量带宽的方法,其特征在于,所述步骤C包括:
C1、捕获网络数据包;
C2、解析网络数据包;
所述通过解析所获得的信息包括:源和目的IP地址、源和目的端口、应用层协议类型,以及白、灰或黑流量级别。
5、根据权利要求1所述的一种管理网络流量带宽的方法,其特征在于,所述步骤D包括:
D1、查找静态流量管理节点;
D2、统计流量大小;
D3、计算流量在设置时间窗内的速率;
D4、根据网络流量带宽管理信息库中设置的静态流量管理信息对流量速率进行评估;
所述网络流量静态检测信息包括:流量方向、级别、管理模式、速率阈值。
6、根据权利要求1所述的一种管理网络流量带宽的方法,其特征在于,所述步骤E包括:
E1、查找动态流量管理节点;
E2、统计流量大小;
E3、计算流量在设置时间窗内的速率;
E4、根据网络流量带宽管理信息库中设置的动态流量管理信息对流量速率进行评估;
所述网络流量动态检测信息包括:流量方向和速率阈值。
7、根据权利要求1所述的一种管理网络流量带宽的方法,其特征在于,所述步骤F包括:
运用令牌桶算法,丢弃超过流量速率限制的报文,使报文以均匀的速率转发出去;
所述网络流量控制信息包括:速率阈值。
8、一种管理网络流量带宽的装置,其特征在于包括:
用于存储网络流量带宽管理信息包括静态和动态流量管理信息的信息库,静态流量管理信息包括流量方向、级别、管理模式、速率阈值、时间窗、源IP地址、目的IP地址、源端口、目的端口和应用层协议类型,动态流量管理信息包括:流量方向、级别、速率阈值和时间窗;
网络流量带宽管理信息初始化装置,包括读取和解析网络流量带宽管理信息,对网络流量进行分类和分级;
网络数据包预处理装置;
网络流量静态检测装置;
网络流量动态检测装置;
网络流量控制装置;
读取和解析网络流量带宽管理信息,设置网络流量静态和动态检测规则的网络流量带宽管理信息初始化装置;
包括使用捕包器捕获网络数据包,使用协议解析器对其进行解析,并对其进行分类和分级的网络数据包预处理装置;
使用用户配置的静态流量检测规则,对特定网络流量进行检测的网络流量静态检测装置;
使用根据网络流量实时自学习生成的动态流量检测规则,对网络流量进行检测的网络流量动态检测装置;
使用令牌桶算法,对超出速率限制的流量实施丢包控制行为,是网络流量以均匀速率转发出去的网络流量控制装置;
首先初始化网络流量带宽管理信息,然后对网络数据包进行预处理,并分别进行静态和动态检测,最后根据检测结果对其进行控制;
网络流量带宽管理信息库向网络流量带宽管理信息初始化装置提供静态和动态流量管理信息,网络流量带宽管理信息初始化装置初始化网络流量带宽管理装置的缓冲区,网络数据包预处理装置向网络流量静态和动态检测装置提供预处理后的网络数据包信息,网络流量控制装置根据检测装置的检测结果进行流量控制。
CNA2008101033581A 2008-04-03 2008-04-03 一种管理网络流量带宽的方法及装置 Pending CN101552722A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNA2008101033581A CN101552722A (zh) 2008-04-03 2008-04-03 一种管理网络流量带宽的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2008101033581A CN101552722A (zh) 2008-04-03 2008-04-03 一种管理网络流量带宽的方法及装置

Publications (1)

Publication Number Publication Date
CN101552722A true CN101552722A (zh) 2009-10-07

Family

ID=41156724

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2008101033581A Pending CN101552722A (zh) 2008-04-03 2008-04-03 一种管理网络流量带宽的方法及装置

Country Status (1)

Country Link
CN (1) CN101552722A (zh)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101977146A (zh) * 2010-10-25 2011-02-16 成都飞鱼星科技开发有限公司 一种网络流量智能控制器及其实现方法
CN102075412A (zh) * 2010-10-22 2011-05-25 北京神州绿盟信息安全科技股份有限公司 一种网络数据传输速率控制设备及方法
CN104270526A (zh) * 2014-09-29 2015-01-07 广东欧珀移动通信有限公司 移动终端的数据流量控制方法和系统
WO2015043537A1 (en) * 2013-09-29 2015-04-02 Hangzhou H3C Technologies Co., Ltd. Defending against flow attacks
WO2015196799A1 (zh) * 2014-06-24 2015-12-30 中兴通讯股份有限公司 报文处理方法、装置及线卡
CN105245466A (zh) * 2015-10-14 2016-01-13 北京锐安科技有限公司 流量控制方法、装置及设备
CN105429963A (zh) * 2015-11-04 2016-03-23 北京工业大学 基于Modbus/Tcp的入侵检测分析方法
CN105897609A (zh) * 2016-04-01 2016-08-24 浙江宇视科技有限公司 一种监管数据流传输的方法和装置
US9473407B2 (en) 2012-10-23 2016-10-18 Sangfor Technologies Company Limited Traffic controlling method and device based on remote application
CN106533971A (zh) * 2016-11-15 2017-03-22 航天恒星科技有限公司 基于令牌桶机制的卫星通信速率控制方法
US10142882B2 (en) 2011-12-29 2018-11-27 Thomson Licensing Network gateway and a method for transmitting packets of a data stream
CN110191024A (zh) * 2019-05-31 2019-08-30 中国联合网络通信集团有限公司 网络流量监控方法和装置
CN110943873A (zh) * 2018-09-21 2020-03-31 中移(杭州)信息技术有限公司 一种报文流的处理方法、装置和可读介质
CN110943973A (zh) * 2019-11-01 2020-03-31 华为技术有限公司 数据流分类方法及装置、模型训练方法及装置
CN111757041A (zh) * 2020-06-17 2020-10-09 许继集团有限公司 一种网络视频会议流量识别方法及装置
CN112367276A (zh) * 2020-12-31 2021-02-12 南京群顶科技有限公司 基于网络流量优先级的网络资源动态自适应方法及系统
CN115277503A (zh) * 2022-06-24 2022-11-01 北京天融信网络安全技术有限公司 一种监控网络流量的方法、装置、存储介质及电子设备
CN117155864A (zh) * 2023-11-01 2023-12-01 南京市微驰数字科技有限公司 一种基于互联网的流量管理系统及管理方法

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102075412A (zh) * 2010-10-22 2011-05-25 北京神州绿盟信息安全科技股份有限公司 一种网络数据传输速率控制设备及方法
CN102075412B (zh) * 2010-10-22 2013-06-19 北京神州绿盟信息安全科技股份有限公司 一种网络数据传输速率控制设备及方法
CN101977146B (zh) * 2010-10-25 2013-04-17 成都飞鱼星科技开发有限公司 一种网络流量智能控制器及其实现方法
CN101977146A (zh) * 2010-10-25 2011-02-16 成都飞鱼星科技开发有限公司 一种网络流量智能控制器及其实现方法
US10142882B2 (en) 2011-12-29 2018-11-27 Thomson Licensing Network gateway and a method for transmitting packets of a data stream
US9473407B2 (en) 2012-10-23 2016-10-18 Sangfor Technologies Company Limited Traffic controlling method and device based on remote application
WO2015043537A1 (en) * 2013-09-29 2015-04-02 Hangzhou H3C Technologies Co., Ltd. Defending against flow attacks
WO2015196799A1 (zh) * 2014-06-24 2015-12-30 中兴通讯股份有限公司 报文处理方法、装置及线卡
CN104270526A (zh) * 2014-09-29 2015-01-07 广东欧珀移动通信有限公司 移动终端的数据流量控制方法和系统
CN105245466A (zh) * 2015-10-14 2016-01-13 北京锐安科技有限公司 流量控制方法、装置及设备
CN105429963A (zh) * 2015-11-04 2016-03-23 北京工业大学 基于Modbus/Tcp的入侵检测分析方法
CN105429963B (zh) * 2015-11-04 2019-01-22 北京工业大学 基于Modbus/Tcp的入侵检测分析方法
CN105897609B (zh) * 2016-04-01 2019-04-09 浙江宇视科技有限公司 一种监管数据流传输的方法和装置
CN105897609A (zh) * 2016-04-01 2016-08-24 浙江宇视科技有限公司 一种监管数据流传输的方法和装置
CN106533971A (zh) * 2016-11-15 2017-03-22 航天恒星科技有限公司 基于令牌桶机制的卫星通信速率控制方法
CN110943873A (zh) * 2018-09-21 2020-03-31 中移(杭州)信息技术有限公司 一种报文流的处理方法、装置和可读介质
CN110943873B (zh) * 2018-09-21 2021-08-17 中移(杭州)信息技术有限公司 一种报文流的处理方法、装置和可读介质
CN110191024B (zh) * 2019-05-31 2021-04-06 中国联合网络通信集团有限公司 网络流量监控方法和装置
CN110191024A (zh) * 2019-05-31 2019-08-30 中国联合网络通信集团有限公司 网络流量监控方法和装置
CN110943973A (zh) * 2019-11-01 2020-03-31 华为技术有限公司 数据流分类方法及装置、模型训练方法及装置
CN110943973B (zh) * 2019-11-01 2021-04-20 华为技术有限公司 数据流分类方法及装置、模型训练方法及装置和存储介质
CN111757041A (zh) * 2020-06-17 2020-10-09 许继集团有限公司 一种网络视频会议流量识别方法及装置
CN111757041B (zh) * 2020-06-17 2022-01-07 许继集团有限公司 一种网络视频会议流量识别方法及装置
CN112367276B (zh) * 2020-12-31 2021-03-30 南京群顶科技有限公司 基于网络流量优先级的网络资源动态自适应方法及系统
CN112367276A (zh) * 2020-12-31 2021-02-12 南京群顶科技有限公司 基于网络流量优先级的网络资源动态自适应方法及系统
CN115277503A (zh) * 2022-06-24 2022-11-01 北京天融信网络安全技术有限公司 一种监控网络流量的方法、装置、存储介质及电子设备
CN115277503B (zh) * 2022-06-24 2024-03-15 北京天融信网络安全技术有限公司 一种监控网络流量的方法、装置、存储介质及电子设备
CN117155864A (zh) * 2023-11-01 2023-12-01 南京市微驰数字科技有限公司 一种基于互联网的流量管理系统及管理方法
CN117155864B (zh) * 2023-11-01 2024-01-30 南京市微驰数字科技有限公司 一种基于互联网的流量管理系统及管理方法

Similar Documents

Publication Publication Date Title
CN101552722A (zh) 一种管理网络流量带宽的方法及装置
Siaterlis et al. Towards multisensor data fusion for DoS detection
US8392991B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
CN104618377B (zh) 基于NetFlow的僵尸网络检测系统与检测方法
Karagiannis et al. BLINC: multilevel traffic classification in the dark
KR101519623B1 (ko) 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
US10129115B2 (en) Method and system for network monitoring using signature packets
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
EP1847081A1 (en) Policing networks
Ahmed et al. Filtration model for the detection of malicious traffic in large-scale networks
JP5053445B2 (ja) アプリケーションアウェアネスを用いて終端間サービス構成を検査するインバウンド機構
EP2430800A1 (en) A method and apparatus for policy enforcement using a tag
JP5405498B2 (ja) アプリケーションアウェアネスを用いてサービスの終端間qoeを監視するインバウンド機構
Benmoussa et al. A novel congestion-aware interest flooding attacks detection mechanism in named data networking
Ahmed et al. Service violation monitoring model for detecting and tracing bandwidth abuse
CN108881241B (zh) 一种面向软件定义网络的动态源地址验证方法
Ahmed et al. A potent model for unwanted traffic detection in QoS network domain
CN1838607A (zh) 一种阻止网络拒绝服务攻击的高速检测和控制机制
Kawahara et al. Detection accuracy of network anomalies using sampled flow statistics
JP2009267892A (ja) 巨大フロー特定方法とシステムおよびプログラムとフロー制御システム
Tong et al. QoS enhancement with partial state
JP2006019816A (ja) フローレベル通信品質管理装置と方法およびプログラム
Kawahara et al. Packet sampling TCP flow rate estimation and performance degradation detection method
Liu A collaborative defense framework against DDoS attacks in networks
Kawahara et al. A method of detecting performance degradation at TCP flow level from sampled packet streams

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Open date: 20091007