CN101873265A - 用于标识分离映射网络的数据分析装置及其方法 - Google Patents
用于标识分离映射网络的数据分析装置及其方法 Download PDFInfo
- Publication number
- CN101873265A CN101873265A CN201010201392A CN201010201392A CN101873265A CN 101873265 A CN101873265 A CN 101873265A CN 201010201392 A CN201010201392 A CN 201010201392A CN 201010201392 A CN201010201392 A CN 201010201392A CN 101873265 A CN101873265 A CN 101873265A
- Authority
- CN
- China
- Prior art keywords
- data
- packet
- access services
- judgment standard
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于用于标识分离映射网络的数据分析装置及其方法。所述数据分析装置包括:数据汇聚模块,其将从标识分离映射网络中所捕获的数据包存储至汇总数据;服务分类与重组模块,其将所述汇总数据中属于一个访问服务的数据包保存在与所述访问服务相对应的访问服务数据中;服务还原模块,其分析所述访问服务数据中的各个数据包,以对完成所述访问服务的数据的还原与重放。根据本发明的一个实施例的用于标识分离映射网络的数据分析装置或方法能够为标识分离映射网络中的网络行提供可靠的监测技术。
Description
技术领域
本发明涉及网络应用技术领域,尤其涉及网络数据分析装置及方法。具体地说,本发明涉及对标识分离映射网络中传送的数据进行数据还原的网络数据分析装置及其方法。
背景技术
随着互联网海量信息的广泛传播,基于网络信息内容的安全问题日益严重地威胁着互联网的健康发展,例如,利用网页和电子公告栏等传播有害信息或泄露国家机密、利用电子邮件发送有害信息或垃圾邮件以及利用即时通讯工具交互违法信息等。并且,由于数据在网络上以比特这种特殊形式传送,使得网络攻击行为不但简单易行,而且难以追溯,从而造成了互联网的安全问题。因此,需要采取数据分析和还原技术将网络上传送的信息内容完整地还原及再现出来,并对还原结果进行分析,以判断所传送的信息是否旨在传送有害信息或进行违法行为。通过对网络通信内容的分析和还原,能够建立网络行为与用户身份的对应关系,实现网络行为追踪和计算机犯罪取证。因此,对网络通信数据的分析和还原显得至关重要。
然而,为了解决现有网络中IP地址二义性的问题,出现了标识分离映射网络。标识分离映射网络采用了标识(例如,接入标识和交换路由标识)分离映射的网络架构。
具体地说,标识分离映射网络通过引入接入标识AID(Access Identifier)与交换路由标识RID(Switch Routing Identifier),创建了接入标识和交换路由标识的分离聚合映射理论,将用户终端的位置信息与身份信息进行分离,解决了IP地址二义性问题。
更具体地,标识分离映射网络采用多路径并行传送方式(简称多路径传输方式),即可分配多个接入路径来完成同一访问服务。注意,本发明中所述的访问服务是一个网络设备向另一网络设备发起的一次访问请求至该访问结束的整个过程。在多路径传输方式中,用户终端可以通过标识分离映射网络来建立多条路径,以由多条路径共同完成同一访问服务。换而言之,在多路径传输方式中,同一访问服务中的数据流可以在多条路径上并行传送,多条路径可以同时服务于同一访问。以下假定用户终端有两个接口(即拥有两个不同的接入标识)来进行说明。当用户终端发起某一访问服务时,首先,通过其中一个接入标识向服务器发起访问服务请求,并告知服务器此次访问服务将通过两条路径完成。服务器收到请求后,与用户终端建立连接,通过用户终端的两个接入标识建立的两条传送路径。然后服务器利用这两条路径来向用户终端发送属于本次服务的数据信息,从而完成该访问服务。
这种多路径传输方式的采用使得标识分离映射网络在网络吞吐量等方面得到了改善。但是,目前的数据还原技术仍然基于传统互联网体系结构,采用模拟TCP/IP协议栈方式,从底层依次向上,逐层进行协议解析,根据TCP传送序号进行排序整理,对单一网段路径上的数据进行分析,如图2所示。同时,传统的还原技术仅支持TCP/IP协议,不支持SCTP协议,也不支持多路径机制。例如,当前应用较广泛的一些网络数据分析软件虽然能够对流控制传送协议(SCTP,stream control transmission protocol,以下简称SCTP)进行分析,从其界面上进行每个数据包的详细协议树显示,但它们不能对采用了多路径传输方式的SCTP应用数据流进行还原及重放。
综上所述,应用于传统的互联网体系架构的传统网络数据分析和还原技术已经不能适用于标识分离映射网络,无法分析并还原由多路径来传送的访问服务的网络数据。因此,针对近来推广应用的可能采用了多路径传输方式的标识分离映射网络,当前的网络数据分析及还原技术已经无法有效地实现网络行为追踪和计算机犯罪取证等功能,从而无法确保网络安全。
当前的对网络中传送的数据进行还原的网络数据分析技术仅适应于传统的通过单一路径来传送一个访问服务的网络,不能适用于采用了多路径传输方式的标识分离映射网络,不能对通过多路径传输的访问服务的网络数据进行分析及还原。
发明内容
针对现有的数据处理装置的上述问题,本发明的目的是提供用于标识分离映射的网络数据分析装置及其方法。
根据本发明的第一方面,提供了一种用于标识分离映射网络的数据分析装置,所述数据分析装置包括:数据汇聚模块,其将从标识分离映射网络中所捕获的数据包存储至汇总数据;服务分类与重组模块,其将所述汇总数据中属于一个访问服务的数据包保存在与所述访问服务相对应的访问服务数据中;服务还原模块,其分析所述访问服务数据中的各个数据包,以完成对所述访问服务的数据的还原与重放。其中,所述服务分类与重组模块被配置为进行如下处理:根据所述汇总数据中的控制信息数据包来获得与各个访问服务一一对应的各个路径判断基准组,其中,路径判断基准组包括与一个访问服务的各条路径相对应的各个路径判断基准,路径判断基准是与路径的源及目的地有关的信息;从所述汇总数据中的数据包的报头中解析出与源及目的地有关的信息,作为与所述汇总数据中的数据包对应的路径判断基准;将所述与所述汇总数据中的数据包对应的路径判断基准与所述路径判断基准组中的路径判断基准进行比较,以确定所述汇总数据中的数据包属于哪个访问服务。
根据本发明的第二方面,提供了一种用于标识分离映射网络的数据分析方法,所述数据分析方法包括如下步骤:数据汇聚步骤,其将从标识分离映射网络中所捕获的数据包存储至汇总数据;服务分类与重组步骤,其将所述汇总数据中属于一个访问服务的数据包保存在与所述访问服务相对应的访问服务数据中;服务还原步骤,其分析所述访问服务数据中的各个数据包,以完成对所述访问服务的数据的还原与重放。其中,在所述服务分类与重组步骤中进行如下处理:根据所述汇总数据中的控制信息数据包来获得与各个访问服务一一对应的各个路径判断基准组,其中,路径判断基准组包括与一个访问服务的各条路径相对应的各个路径判断基准,路径判断基准是与路径的源及目的地有关的信息;从所述汇总数据中的数据包的报头中解析出与源及目的地有关的信息,作为与所述汇总数据中的数据包对应的路径判断基准;将所述与所述汇总数据中的数据包对应的路径判断基准与所述路径判断基准组中的路径判断基准进行比较,以确定所述汇总数据中的数据包属于哪个访问服务。
本发明的一个实施例的用于标识分离映射网络的数据分析装置或方法能够将多个路径上属于同一访问服务的数据包整理分类至同一访问服务数据,更具体地,可以根据各路径的源和目的地的端口号以及源和目的地的接入标识来判断在不同路径中传送的数据包是否属于同一访问服务,从而能够对通过多路径传输的访问服务的网络数据进行分析及还原。
根据本发明的一个实施例的用于标识分离映射网络的数据分析装置或方法能够为标识分离映射网络中的网络行提供可靠的监测技术。
此外,本发明的一个实施例的标识分离映射网络的数据分析装置或方法通过根据访问服务所采用的应用层协议(例如,HTTP、FTP、SMTP以及POP3等)来分配相应的数据分析装置装置的资源,能够有效地利用数据处理分析装置的CPU、内存或硬盘等装置资源,从而能够高效地将通过多路径传输的访问服务的网络数据进行快速的还原与重放。
此外,本发明的一个实施例的网络数据分析装置的模块分为三层,这种针对分层的模块化结构能够实现将访问服务的数据还原为原始的应用层数据的功能。
附图说明
通过以下(参考附图)对典型实施例的说明,本发明的其它特征将变得清楚。
图1是示出标识分离映射网络的基本网络架构的示意图;
图2是示出根据本发明典型实施例的用于标识分离映射网络的数据分析装置的构架的示意图;
图3示出以数据链表形式存储的汇总数据;
图4示出服务分类与重组模块202所进行的主要处理步骤;
图5是示出根据本发明典型实施例的用于标识分离映射网络的数据分析装置的服务还原模块对一个访问服务数据所进行的处理的流程图;
图6是示出由服务还原模块203所创建的数据还原子例程所进行的数据还原处理的流程图;
图7是根据本发明的用于标识分离映射网络的数据分析设备100中的数据流的一个例子的示意图;
图8是根据本发明的用于标识分离映射网络的数据分析设备100的运行情景的一个例子;
图9示出利用应用计算机程序的子线程来实现服务还原模块203中的子例程的流程图。
具体实施方式
为使本发明的技术方案和有益效果更加清楚,下面结合附图及实施例对本发明作进一步详细描述,以使本发明的实现过程能被充分理解并据以实施。
图1是示出标识分离映射网络的基本网络架构的示意图。在图1中,依据网络拓扑位置将标识分离映射网络划分为接入网(101a和101b)和核心网102这两个主要部分。接入网101a和101b用于接入诸如电脑终端、手持终端、固定网、移动网或传感网等接入终端。在图1中,电脑终端103a是接入终端的例子,电脑终端103a接入到接入网101a。在接入网中,利用接入标识来表示接入终端的身份信息。核心网用于路由管理、报文转发和路由等,在核心网102中,利用交换路由标识来表示接入终端的位置信息。交换路由标识采用统一的格式,以完成核心102的路由聚合与寻路。
如图1所示,在标识分离映射网络中,接入交换路由器104a和104b(ASR,Access Switch Router)进行标识替换处理。在标识替换处理中,数据包中的接入终端的接入标识替换为交换路由标识,并将经过标识替换处理后的数据包传送至核心网102中。核心网中的广义交换路由器105(GSR,General SwitchRouter)利用数据包中的交换路由标识来进行选路,并转发数据包。映射服务器106(Identifier server)用于存储和维护接入标识与交换路由标识之间的映射关系,并向接入交换路由器104提供与映射关系有关的注册和查询服务。
下面说明标识分离映射网络中的一个数据包的通信过程的例子。
首先,接入终端103a与接入交换路由器104a连接,由接入交换路由器104a为接入终端103a分配交换路由标识RIDa,建立接入标识AIDa与交换路由标识RIDa的映射关系,同时将映射关系注册到映射服务器106中。
然后,接入终端103a向接入终端103b发送数据包P,在数据包P中,源地址为接入标识AIDa,目的地址为接入标识AIDb。
接入交换路由器104a接收到数据包P后,首先查询映射服务器106,以获得与接入标识AIDa对应的交换路由标识RIDa,以及与接入标识AIDb对应的交换路由标识RIDb;然后分别将数据包中的源地址和目的地址(即接入标识AIDa和接入标识AIDb)替换为交换路由标识RIDa和交换路由标识RIDb,并将经过替换后的数据包P传送至核心网。为了便于说明,下文中,将替换后的数据包P称为数据包P’。
在核心网中,广义交换路由器105依据交换路由标识RIDb的聚合关系进行选路和转发数据包P’,将数据包P’输送至接入交换路由器104b。
接入交换路由器104b接收到数据包P’后,向映射服务器106查询接入标识AIDa与交换路由标识RIDa的映射关系。依据所查询的映射关系将数据包P’的源地址和目的地址重新替换成接入标识AIDa和接入标识AIDb,以获得数据包P。
然后,在接入网101b中,将数据包P传送至接入终端103b。这样,完成了数据包的一次通信过程。
依据图1所示的网络架构,可以采用多路径并行传送方式,即可分配一条或一条以上的接入路径来完成同一访问服务。
图2是示出本发明典型实施例的用于标识分离映射网络的数据分析装置的结构的示意图。下面参考图2说明根据本发明典型实施例的用于标识分离映射网络的数据分析装置的结构。
为了还原采用一条(尤其是一条以上)的接入路径共同传输的访问服务的网络数据,使得本发明的数据分析装置能够为标识分离映射网络中的网络提供可靠的监测技术,本发明的用于标识分离映射网络的数据分析装置主要包括数据汇聚模块、服务分类与重组模块和服务还原模块。这三个模块分别位于从下至上的不同的层,亦即,对于一个数据包的内容,依次由数据汇聚模块201、服务分类与重组模块202和服务还原模块203进行处理。
数据汇聚模块201汇聚从标识分离映射网络中所捕获的数据包,以将各个数据包存储为汇总数据。汇总数据中的数据包可以按照一定的顺序(例如按照捕获时间先后的顺序)存储。并且可以将汇总数据中的各个数据包存储为数据包链表、双向链表、数组、数据库或数据表等形式。优选地,将汇总数据存储为如图3所示的双向数据链表形式。从标识分离映射网络中所捕获的数据可以是存储数据包的一个或多个数据文件,也可以是从网络中直接捕获的数据包系列。然后,将汇总数据传送至服务分类与重组模块202。
下面参考图4说明服务分类与重组模块202所进行的主要处理步骤。服务分类与重组模块202接收来自数据汇聚模块201的汇总数据(步骤S401),然后进入步骤S402。
本发明的发明人注意到当终端发起一次访问服务时,终端利用控制信息数据包来协商采用几条路径完成这一次访问服务,因此,在步骤S402中,服务分类与重组模块202对汇总数据中的控制信息数据包进行分析,以从控制信息数据包中提取与各条路径的源及目的地有关的信息,作为各条路径的路径判断基准。属于同一访问服务的各条路径的路径判断基准组成路径判断基准组。
本发明利用控制信息数据包来获取一次访问服务所采用的各条路径的信息。更具体地,本发明从控制信息数据包中提取与一次访问服务所需要建立的各条路径的源及目的地有关的信息,以获得与一次访问服务相对应的路径判断基准组。可见,每一个访问服务对应于一个路径判断基准组,一个路径判断基准组中包括一个或多个路径判断基准,路径判断基准组中的各个路径判断基准与一次访问服务所采用的各个路径一一对应。其中,路径判断基准是与一条路径的源及目标地有关的信息。换而言之,从每个控制信息数据包分析并提取出的一个或多个不同的路径判断基准,同一个访问服务的不同路径拥有不同的路径判断基准,由属于同一访问服务的各个路径判断基准共同组成一个路径判断基准组。例如,可以从每个控制信息数据包中提取与一个访问服务所采用的一条路径的源端口号、目的端口号以及源接入标识和目的接入标识等,并将所提取的该条路径的源端口号、目的端口号以及源接入标识、目的接入标识等共同作为与该条路径的路径判断基准。服务于同一访问服务的多个路径的路径判断基准共同组成该访问服务的路判断基准组。在一优选实施例中,服务分类与重组模块202分别根据属于同一访问服务的各个路径的源端口号、目的端口号以及源接入标识、目的接入标识等算得hash值,从而获得一组hash值,这组hash值组成了与该访问服务相对应的路径判断基准组。本发明的发明人注意到针对属于同一访问服务的不同路径所算得的hash值有可能会产生冲突,对于可能产生的hash冲突,可以利用链地址法处理和避免。在通过分析汇总数据中的所有控制信息数据包获得了所有路径判断基准组之后,进入步骤S403。
本发明的发明人还注意到不仅可以从控制信息数据包中提取与各条路径的源及目的地有关的信息,在各条路径上传输的所有数据包中均包含了与该路径的源及目的地有关的信息,可以类似地从在各条路径上传输的所有数据包中提取各条路径的路径判断基准。因此,在步骤S403中,服务分类与重组模块202接收汇总数据中的一个数据包,并且解析所读取的数据包,根据数据包的报头中各字段的内容,解析出与源和目的地有关的信息,例如源端口号和目的端口号以及源接入标识和目的接入标识等信息,并依据所解析出的信息按照与在步骤S402同样的方法获得该数据包所使用的路径的路径判断基准,作为与数据包对应的路径判断基准。然后,服务分类与重组模块202将在步骤S403中所获得的与数据包对应的路径判断基准与在步骤S402中所获得的路径判断基准组中的路径判断基准进行比较,以确定该数据包属于哪个访问服务(步骤S404)。具体地,如果在步骤S403中所获得的与数据包对应的路径判断基准与在步骤S402中所获得的特定的路径判断基准组中的路径判断基准之一相同,则判断为该数据包属于与所述特定的路径判断判断基准组相对应的访问服务,在此,特定的路径判断基准组指在步骤S402中所获得的特定的路径判断基准组之一。应注意,服务分类与重组模块202所读取的各个数据包可能来自各个访问服务的各个不同的传输路径。
优选地,在步骤S404中,当在步骤S403中所获得的路径判断基准与在步骤S402中所获得的多个路径判断基准组中的路径判断基准之一相同时,可以通过进一步根据源接入标识和目的接入标识来确定该数据包属于哪个访问服务。
在步骤S405中,将在步骤S403中接收的数据包保存在根据在与步骤S404中所确定的访问服务相对应的访问服务数据中。也就是说,访问服务数据是与一个访问服务相对应的保存了属于同一个访问服务的数据包的数据,亦即,各个访问服务数据与各个访问服务一一对应。
在步骤S406中,判断是否已经分析了汇总数据中的所有数据包。如果判断结果为是,则处理结束,反之,则返回步骤S403。
由上可知,通过本发明的上述处理,即使数据包是从多个不同的传输路径捕获的,本发明的网络数据分析装置的服务分类与重组模块202也能够判断各个数据包是否属于同一访问服务,从而能够将属于同一个访问服务的数据包放在一起,以使得能够还原各个访问服务的应用层数据。然后,服务分类与重组模块202将各个访问服务数据传输至服务还原模块203。然后,由服务还原模块203对各个访问服务数据分别进行处理。下面根据图5来说明服务还原模块203对一个访问服务数据所进行的处理。
如图5所示,服务还原模块203从服务分类与重组模块202接收一个访问服务数据(步骤S501)。
然后,服务还原模块203根据所接收的访问服务数据中的数据包的端口号等包含在数据包报头中的信息,确定所接收的数据包的应用层协议类型(步骤S502)。例如,可以根据数据包的报头中保存的端口号来确定数据包的应用层的应用协议类型是否为HTTP协议、FTP协议、SMTP协议或POP3协议之一。
然后,在步骤S503中,服务还原模块203创建用于对访问服务数据进行数据还原的子处理,并根据所确定的应用层协议类型来为所创建的子处理分配适合于特定应用层协议类型的诸如CPU、内存等装置资源。也就是说,针对不同的应用层协议类型,服务还原模块203可以为所创建的进行数据还原的子处理分配不同数量的诸如CPU、内存等装置资源。例如,在以C++等语言描述的程序设计中,子处理对应于程序中的线程,可针对HTTP协议、FTP协议、SMTP协议或POP3协议等各种协议创建相对的线程。然后,在步骤S504中,执行子处理,以使所创建的数据还原子处理进行如图6所示的数据还原处理。
应注意,针对不同的访问服务数据所创建的数据还原子处理可以相互独立且并行地运行。由于为针对不同的访问服务数据所创建的数据还原子处理分配了相应的适合于各自应用层网络协议类型的诸如CPU、内存等装置资源,可以更有效地利用装置的CPU、内存等硬件资源,提高装置的运行效率。例如,在程序的线程为例,可通过为与不同的应用层网络协议类型相对应的线程分配不同权重值,不同的权重值可以拥有不同的占用CPU的优先权值、占用CPU时隙的比例、占内存的大小等资源,从而能够更加合理地分配装置的资源,例如,在LINUX系统中,可将优先权值设置为0~99。
应注意,通过创建子处理来进行数据还原是本发明的优选实施例之一,本领域技术人员根据前述记载能够明白本发明的服务还原模块203也可以不采用创建子处理的方式来进行数据还原处理。
图6示出了由服务还原模块203所创建的数据还原子处理所进行的数据还原处理。
在数据还原子处理接收一个访问服务数据。如前面所述,一个访问服务数据中保存了属于同一个访问服务的数据包。逐一分析访问服务数据中的每一个数据包,提取每个数据包中的数据捕获时间、源AID、目的AID、源端口、目的端口、协议类型以及应用层数据交互信息,将数据捕获时间、源AID、目的AID、源端口、目的端口、协议类型等信息存储至数据库。同时,创建结果文件,将应用层数据交互信息按照应用协议的规定格式写入结果文件中,从而完成对访问服务的数据的还原与重放,即对应用服务内容的还原与重放。
综上所述,本发明的用于分离映射网络的数据分析装置基及其方法采用了分层次的模块化结构,主要包括数据汇聚模块201、服务分类与重组模块202和服务还原模块203。其中,如图2所示,数据汇聚模块201是其它两个模块的基础,为服务分类与重组模块202提供了汇总数据的接口;服务分类与重组模块202通过分析汇总数据中的数据包,完成对属于不同访问服务的数据包的分类与整理,为服务还原模块203提供访问服务数据的接口;服务还原模块203通过分析各个访问服务数据,完成对应用服务内容的还原与重放。
为了便于理解,图7示出了本发明的网络数据分析设备100中的数据流的一个例子的示意图。
此外,如图8所示,本发明的网络数据分析设备100可以以第三方的监听的模式运行。在这一运行模式中,本发明的网络数据分析设备不会增加所监听的网络的负载,也不会影响所监听的网络上的其它设备的正常通信。而且,该运行模式对网络通信双方是透明的,网络入侵者无法检测到正在进行监听的网络数据分析设备,从而可以确保网络数据分析设备自身的安全性。
在图8所示的情景中,数据还原设备通100在多个接入交换路由器104中捕获正在传送的数据包,将所捕获的数据包保存为多个数据文件(对应于多个汇总数据),然后通过本发明所述的方法完成对应用服务内容的还原与重放。
此外,在图9示出了应用计算机程序的子线程实现服务还原模块203中的子例程的流程图。在图9中,创建了与HTTP协议、FTP协议、SMTP协议和POP3协议相对应的四个独立且并行地运行的子线程,用于对分别采用HTTP协议、FTP协议、SMTP协议和POP3协议传输的四个访问服务数据分别进行数据重组。
尽管参考典型实施例说明了本发明,但是应该理解,本发明不局限于所公开的典型实施例。所附权利要求书的范围符合最宽的解释,以包含所有这类修改、等同结构和功能。本发明的可以通过各种方式实现,例如,可以以应用程序、嵌入式设备或计算机等各种方式实现。
Claims (10)
1.一种用于标识分离映射网络的数据分析装置,其包括:
数据汇聚模块,其将从标识分离映射网络中所捕获的数据包存储至汇总数据;
服务分类与重组模块,其将所述汇总数据中属于一个访问服务的数据包保存在与所述访问服务相对应的访问服务数据中;
服务还原模块,其分析所述访问服务数据中的各个数据包,以完成对所述访问服务的数据的还原与重放,其中,
所述服务分类与重组模块被配置为进行如下处理:
根据所述汇总数据中的控制信息数据包来获得与各个访问服务一一对应的各个路径判断基准组,其中,路径判断基准组包括与一个访问服务的各条路径相对应的各个路径判断基准,路径判断基准是与路径的源及目的地有关的信息;
从所述汇总数据中的数据包的报头中解析出与源及目的地有关的信息,作为与所述汇总数据中的数据包对应的路径判断基准;
将所述与所述汇总数据中的数据包对应的路径判断基准与所述路径判断基准组中的路径判断基准进行比较,以确定所述汇总数据中的数据包属于哪个访问服务。
2.根据权利要求1所述的数据分析装置,其特征在于,所述路径判断基准是根据源端口号和目的端口号以及源接入标识和目的接入标识算得的hash值。
3.根据权利要求1所述的数据分析装置,其特征在于,所述访问服务判断基准由源端口号和目的端口号以及源接入标识和目的接入标识共同组成。
4.根据权利要求1所述的数据分析装置,其特征在于,所述服务还原模块针对不同的应用层网络协议,分别创建不同的独立且并行运行的子处理。
5.根据权利要求4所述的数据分析装置,其特征在于,为所述一个或多个子处理分别赋予不同的优先权值或分配不同数量的装置资源。
6.根据权利要求2所述的数据分析装置,其特征在于,当
当所述与所述汇总数据中的数据包对应的路径判断基准与多个所述路径判断基准组中的路径判断基准之一相同时,通过进一步根据所述汇总数据中的数据包的报头中的源接入标识和目的接入标识来确定所述汇总数据中的数据包属于哪个访问服务。
7.根据权利要求1所述的数据分析装置,其特征在于,所述汇总数据是一个双向链表。
8.根据权利要求1所述的数据分析装置,其特征在于,所述数据汇聚模块按照捕获的时间顺序将所有数据包存储至所述汇总数据。
9.根据权利要求2所述的数据分析装置,其特征在于,当针对属于同一访问服务的不同路径所算得的hash值相冲突时,利用链地址法来避免冲突。
10.一种用于标识分离映射网络的数据分析方法,其特征在于,包括如下步骤:
数据汇聚步骤,其将从标识分离映射网络中所捕获的数据包存储至汇总数据;
服务分类与重组步骤,其将所述汇总数据中属于一个访问服务的数据包保存在与所述访问服务相对应的访问服务数据中;
服务还原步骤,其分析所述访问服务数据中的各个数据包,以完成对所述访问服务的数据的还原与重放,其中,
在所述服务分类与重组步骤中进行如下处理:
根据所述汇总数据中的控制信息数据包来获得与各个访问服务一一对应的各个路径判断基准组,其中,路径判断基准组包括与一个访问服务的各条路径相对应的各个路径判断基准,路径判断基准是与路径的源及目的地有关的信息;
从所述汇总数据中的数据包的报头中解析出与源及目的地有关的信息,作为与所述汇总数据中的数据包对应的路径判断基准;
将所述与所述汇总数据中的数据包对应的路径判断基准与所述路径判断基准组中的路径判断基准进行比较,以确定所述汇总数据中的数据包属于哪个访问服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010201392A CN101873265B (zh) | 2010-06-09 | 2010-06-09 | 用于标识分离映射网络的数据分析装置及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010201392A CN101873265B (zh) | 2010-06-09 | 2010-06-09 | 用于标识分离映射网络的数据分析装置及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101873265A true CN101873265A (zh) | 2010-10-27 |
CN101873265B CN101873265B (zh) | 2012-10-03 |
Family
ID=42997936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010201392A Expired - Fee Related CN101873265B (zh) | 2010-06-09 | 2010-06-09 | 用于标识分离映射网络的数据分析装置及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101873265B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447700A (zh) * | 2011-12-08 | 2012-05-09 | 北京交通大学 | 基于身份与位置分离映射机制的DoS攻击防御方法 |
CN104166942A (zh) * | 2014-07-02 | 2014-11-26 | 国家电网公司 | 基于cim模型的跨区域供电范围搜索方法及其系统 |
CN108052085A (zh) * | 2017-12-28 | 2018-05-18 | 成都数成科技有限公司 | 一种工控指令传递路径分析的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101039206A (zh) * | 2006-03-13 | 2007-09-19 | 华为技术有限公司 | 通信网络及终端业务与网络分离的实现方法 |
CN101656765A (zh) * | 2009-09-14 | 2010-02-24 | 中兴通讯股份有限公司 | 身份位置分离网络的名址映射系统及数据传输方法 |
CN101667916A (zh) * | 2009-09-28 | 2010-03-10 | 北京交通大学 | 一种基于分离映射网络使用数字证书验证用户身份的方法 |
-
2010
- 2010-06-09 CN CN201010201392A patent/CN101873265B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101039206A (zh) * | 2006-03-13 | 2007-09-19 | 华为技术有限公司 | 通信网络及终端业务与网络分离的实现方法 |
CN101656765A (zh) * | 2009-09-14 | 2010-02-24 | 中兴通讯股份有限公司 | 身份位置分离网络的名址映射系统及数据传输方法 |
CN101667916A (zh) * | 2009-09-28 | 2010-03-10 | 北京交通大学 | 一种基于分离映射网络使用数字证书验证用户身份的方法 |
Non-Patent Citations (1)
Title |
---|
《电子学报》 20081031 董平等 新一代互联网移动管理机制研究 1916-1922 1-10 第36卷, 第10期 2 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447700A (zh) * | 2011-12-08 | 2012-05-09 | 北京交通大学 | 基于身份与位置分离映射机制的DoS攻击防御方法 |
CN102447700B (zh) * | 2011-12-08 | 2014-05-28 | 北京交通大学 | 基于身份与位置分离映射机制的DoS攻击防御方法 |
CN104166942A (zh) * | 2014-07-02 | 2014-11-26 | 国家电网公司 | 基于cim模型的跨区域供电范围搜索方法及其系统 |
CN104166942B (zh) * | 2014-07-02 | 2017-12-19 | 国家电网公司 | 基于cim模型的跨区域供电范围搜索方法及其系统 |
CN108052085A (zh) * | 2017-12-28 | 2018-05-18 | 成都数成科技有限公司 | 一种工控指令传递路径分析的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101873265B (zh) | 2012-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103338150B (zh) | 信息通信网络体系结构建立方法、装置、服务器和路由器 | |
US10728176B2 (en) | Ruled-based network traffic interception and distribution scheme | |
US9871781B2 (en) | Systems and methods for path maximum transmission unit discovery | |
CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
Hao et al. | Detecting Spammers with SNARE: Spatio-temporal Network-level Automatic Reputation Engine. | |
CN1875585B (zh) | 利用mac限制来控制动态未知l2泛滥的方法和系统 | |
CN101848235B (zh) | 一种支持nat穿越的实时多媒体数据p2p传输方案 | |
CN102282810B (zh) | 负载平衡 | |
US11088948B1 (en) | Correlating network flows in a routing service for full-proxy network appliances | |
CN106100999A (zh) | 一种虚拟化网络环境中镜像网络流量控制协议 | |
CN105471907B (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
CN108600376A (zh) | 基于LoRa的数据传输方法、装置、LoRa网关、系统及存储介质 | |
US11310149B1 (en) | Routing bidirectional flows in a stateless routing service | |
CN102763382A (zh) | 前端系统和前端处理方法 | |
CN103581274B (zh) | 一种堆叠系统中报文转发方法和装置 | |
CN103166866A (zh) | 生成表项的方法、接收报文的方法及相应装置和系统 | |
CN106972985A (zh) | 加速dpi设备数据处理与转发的方法和dpi设备 | |
CN113347258B (zh) | 云流量下的数据采集监控分析的方法及系统 | |
CN102571946A (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
CN101365014B (zh) | 一种分布式自适应监听系统及其生成和监听控制方法 | |
CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
CN107872368A (zh) | 一种网络节点集群中网关可达性的检测方法、装置及终端 | |
CN112929200A (zh) | 一种面向sdn多控制器的异常检测方法 | |
CN101873265B (zh) | 用于标识分离映射网络的数据分析装置及其方法 | |
Tang et al. | Elephant Flow Detection Mechanism in SDN‐Based Data Center Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121003 Termination date: 20180609 |
|
CF01 | Termination of patent right due to non-payment of annual fee |