CN101951330A - 双向联合检测的装置及方法 - Google Patents
双向联合检测的装置及方法 Download PDFInfo
- Publication number
- CN101951330A CN101951330A CN2010102929851A CN201010292985A CN101951330A CN 101951330 A CN101951330 A CN 101951330A CN 2010102929851 A CN2010102929851 A CN 2010102929851A CN 201010292985 A CN201010292985 A CN 201010292985A CN 101951330 A CN101951330 A CN 101951330A
- Authority
- CN
- China
- Prior art keywords
- professional
- module
- data flow
- strategy
- relevant information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
Abstract
本发明公开了一种双向联合检测的装置及方法,其中,装置包括:分析模块、本地决策模块、匹配执行模块,其中,分析模块用于对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取到的该业务的相关信息;本地决策模块用于根据分析模块提取到的该业务的相关信息,确定该业务的上行和下行双向的控制策略;匹配执行模块用于将该业务的上行数据流、下行数据流分别与控制策略进行匹配,并在匹配成功时执行控制策略,对该业务的上行数据流、下行数据流分别进行相应的控制;本发明减少了现有检测方法中的重复识别,避免了现有检测方法造成不同控制结果的问题,还可以达到提高DPI系统识别效率的目的。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种双向联合检测的装置及方法。
背景技术
随着网络规模的不断扩大,网络管理对于精细化运营、未经许可业务抑制、网络安全防护和网络和业务资源管理的要求也越来越高,这促使了业务识别技术的发展,体现在设备层面,即在网络中越来越多的部署DPI(Deep Packet Inspection,深度包检测)功能设备。
所谓“深度”是和普通的L2-L4交换机或路由器的报文分析层次相比较而言的。L2-L4交换机/路由器分析IP包的层4以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI除了对前面的层次分析外,还增加数据包内容的识别,与此同时基于识别结果的业务控制也是DPI概念中的一个不可或缺的组成部分。
随着业务识别种类的增多,以及识别要求的不断提高,DPI设备基于单向(上行或下行)流的检测方式已经不能满足现有的识别需要,造成大量重复的识别,效率比较低。例如:ip 10.10.10.10的用户A与IP 10.20.20.20的服务器B进行业务通信,那么既会有A-)B的业务流量,同时也会有B->A的流量;通常的DPI识别机制是要分别识别A->B和B->A的流量,并且根据A->B和B->A的流量分别进行单方向的业务控制决策,这样的结果是就是会造成大量的重复识别,且对于A->B与B->A的双方向业务流量可能造成不同的业务控制结果。
发明内容
鉴于上述的分析,本发明旨在提供一种双向联合检测的装置及方法,用以解决现有检测方式中存在的重复识别以及识别效率低的问题。
本发明的目的主要是通过以下技术方案实现的:
本发明提供了一种双向联合检测的装置,包括:分析模块、本地决策模块、匹配执行模块,其中,
所述分析模块,用于对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取到该业务的相关信息;
所述本地决策模块,用于根据所述分析模块提取到的该业务的相关信息,确定该业务的上行和下行双向的控制策略;
所述匹配执行模块,用于将该业务的上行数据流、下行数据流分别与所述控制策略进行匹配,并在匹配成功时执行所述控制策略,对该业务的上行数据流、下行数据流分别进行相应的控制。
进一步地,还包括:
策略库,用于存储识别策略;
扫描模块,用于对经过DPI设备即深度包检测设备的所有业务的上行数据流和下行数据流进行扫描,根据所述识别策略确定需要识别与控制的业务。
进一步地,当所述相关信息至少包括五元组信息和业务类型信息时,所述本地决策模块还用于,利用该业务的相关信息中的五元组信息作为新的识别策略,并更新策略库中的识别策略。
本发明还提供了一种双向联合检测的方法,利用一种双向联合检测的装置,所述方法包括:
分析模块对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取到的该业务的相关信息;
本地决策模块根据所述分析模块提取到的该业务的相关信息,确定该业务的上行和下行双向的控制策略;
匹配执行模块分别将该业务的上行数据流、下行数据流与所述控制策略进行匹配,并在匹配成功时执行所述控制策略,对该业务的上行数据流、下行数据流分别进行相应的控制。
进一步地,在执行所述方法之前还包括:扫描模块对经过DPI设备即深度包检测设备的所有业务的上行数据流进行扫描,根据策略库中预定的识别策略确定需要识别与控制的业务。
进一步地,当所述相关信息至少包括五元组信息和业务类型信息时,还包括:所述本地决策模块利用该业务的相关信息中的五元组信息作为新的识别策略,并更新策略库中的识别策略。
本发明有益效果如下:
本发明通过单方向进行业务识别,减少了现有检测方法中的重复识别;并且通过从业务数据流提取出的业务的相关信息制定双方向的控制策略,避免了现有检测方法造成不同控制结果的问题;并且,本发明实施例通过利用五元组信息更新识别策略,还可以达到提高DPI系统识别效率的目的。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分的从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
图1为本发明实施例所述装置的结构示意图;
图2为本发明实施例所述方法的流程示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理。为了清楚和简化目的,当其可能使本发明的主题模糊不清时,将省略本文所描述的器件中已知功能和结构的详细具体说明。
首先,对本发明实施例所述装置进行详细说明。
如图1所示,图1为本发明实施例所述装置的结构示意图,具体可以包括:策略库、扫描模块、分析模块、本地决策模块、匹配执行模块,其中,
策略库,预先存储有识别策略,识别策略指识别业务的策略,最典型的是识别模板,其中包含识别业务的关键字。
扫描模块,对经过DPI设备的所有业务的上行数据流和下行数据流进行扫描,根据策略库中的识别策略确定需要识别与控制的业务,并通知分析模块;
分析模块,对于需要识别与控制的业务,对该业务的上行数据流或下行数据流进行分析,提取出该业务的相关信息,包括:该业务的五元组信息(源IP,源MAC,目的IP,目的MAC,协议号)、业务类型信息等,并将该业务的相关信息发送到本地决策模块;
本地决策模块,根据分析模块通过上行数据流或下行数据流提取到的该业务的相关信息进行上行和下行双方向的决策,确定双方向的控制策略并下发给匹配执行模块;同时更新策略库的识别策略,即将该业务的五元组信息作为新的识别策略,而不用继续通过关键字进行深度识别,从而达到提高DPI系统识别效率的目的;需要说明的是,本地决策模块进行决策时,根据单方向的数据流就可以判断出该业务的相关信息,也可以判断出反方向的数据流,但是如果本地决策模块中已有根据反方向的数据流进行分析得到的该业务的相关信息了,这个时候还可以结合双方向提取得到的该业务的相关信息进行综合分析,从而增加决策的准确性;例如,分析模块根据该业务的上行数据流提取到该业务的相关信息并上报给本地决策模块,本地决策模块在根据该业务的相关信息进行决策时,如果发现其中已有分析模块之前上报的根据该业务的下行数据流提取到的该业务的相关信息,那么此时本地决策模块可以根据分析模块之前上报的该业务的相关信息和刚刚获得的该业务的相关信息进行综合分析决策,这样可以增加决策的准确性;
匹配执行模块,分别将该业务的上行数据流、下行数据流与该控制策略进行匹配,并在匹配成功时执行该控制策略,对上行业务数据流、下行业务数据流分别进行相应的控制。
接下来,对本发明实施例所述方法进行详细说明。
如图2所示,图2为本发明实施例所述方法的流程示意图,具体可以包括如下步骤:
步骤201:当上行数据流经DPI设备,由扫描模块根据识别策略发现需要识别与控制的业务;
步骤202:分析模块对识别出来的该业务的上行数据流进行分析,提取该业务数据流的详细信息,包括:该业务的五元组信息(源IP,源MAC,目的IP,目的MAC,协议号)、业务类型信息等,并将该业务的相关信息上报给本地决策模块;
步骤203:本地决策模块收集该业务的相关信息(分析模块可能之前已上报过通过该业务的下行数据流提取到的该业务的相关信息),将该业务的相关信息进行双方向的分析决策,确定该业务的双方向的控制策略;同时更新策略库的识别策略,即将该业务的五元组信息作为新的识别策略,而不用继续通过关键字进行深度识别,从而达到提高DPI系统识别效率的目的;
步骤204:本地决策模块将双方向的控制策略通过策略库下发给匹配执行模块;
步骤205:匹配执行模块根据本地决策模块下发的该业务的双方向的控制策略,将该业务的上行数据流、下行数据流分别与该双向的控制策略进行匹配;
步骤206:当根据该双向的控制策略进行匹配成功时,匹配执行模块执行该双向的控制策略,实现对于该业务的控制,即对该业务的上行数据流、下行数据流分别进行相应的控制;其中,该双向的控制策略可以包括限速,流量整形,重定向等操作。
综上所述,本发明实施例提供了一种双向联合检测的装置及方法,通过单方向进行业务识别,减少了现有检测方法中的重复识别;并且通过从业务数据流提取出的业务的相关信息制定双方向的控制策略,避免了现有检测方法造成不同控制结果的问题;并且,本发明实施例通过利用五元组信息更新识别策略,还可以达到提高DPI系统识别效率的目的。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (6)
1.一种双向联合检测的装置,其特征在于,包括:分析模块、本地决策模块、匹配执行模块,其中,
所述分析模块,用于对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取到该业务的相关信息;
所述本地决策模块,用于根据所述分析模块提取到的该业务的相关信息,确定该业务的上行和下行双向的控制策略;
所述匹配执行模块,用于将该业务的上行数据流、下行数据流分别与所述控制策略进行匹配,并在匹配成功时执行所述控制策略,对该业务的上行数据流、下行数据流分别进行相应的控制。
2.根据权利要求1所述的装置,其特征在于,还包括:
策略库,用于存储识别策略;
扫描模块,用于对经过DPI设备即深度包检测设备的所有业务的上行数据流和下行数据流进行扫描,根据所述识别策略确定需要识别与控制的业务。
3.根据权利要求2所述的装置,其特征在于,当所述相关信息至少包括五元组信息和业务类型信息时,所述本地决策模块还用于,利用该业务的相关信息中的五元组信息作为新的识别策略,并更新策略库中的识别策略。
4.一种双向联合检测的方法,其特征在于,利用一种双向联合检测的装置,所述方法包括:
分析模块对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取到的该业务的相关信息;
本地决策模块根据所述分析模块提取到的该业务的相关信息,确定该业务的上行和下行双向的控制策略;
匹配执行模块分别将该业务的上行数据流、下行数据流与所述控制策略进行匹配,并在匹配成功时执行所述控制策略,对该业务的上行数据流、下行数据流分别进行相应的控制。
5.根据权利要求4所述的方法,其特征在于,在执行所述方法之前还包括:扫描模块对经过DPI设备即深度包检测设备的所有业务的上行数据流进行扫描,根据策略库中预定的识别策略确定需要识别与控制的业务。
6.根据权利要求5所述的方法,其特征在于,当所述相关信息至少包括五元组信息和业务类型信息时,还包括:所述本地决策模块利用该业务的相关信息中的五元组信息作为新的识别策略,并更新策略库中的识别策略。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102929851A CN101951330A (zh) | 2010-09-27 | 2010-09-27 | 双向联合检测的装置及方法 |
PCT/CN2011/074102 WO2012041066A1 (zh) | 2010-09-27 | 2011-05-16 | 双向联合检测的装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102929851A CN101951330A (zh) | 2010-09-27 | 2010-09-27 | 双向联合检测的装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101951330A true CN101951330A (zh) | 2011-01-19 |
Family
ID=43454693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102929851A Pending CN101951330A (zh) | 2010-09-27 | 2010-09-27 | 双向联合检测的装置及方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101951330A (zh) |
WO (1) | WO2012041066A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102177697A (zh) * | 2011-04-29 | 2011-09-07 | 华为技术有限公司 | 互联网业务控制方法及相关设备和系统 |
WO2012041066A1 (zh) * | 2010-09-27 | 2012-04-05 | 中兴通讯股份有限公司 | 双向联合检测的装置及方法 |
CN103037414A (zh) * | 2012-11-21 | 2013-04-10 | 大唐移动通信设备有限公司 | 通信系统中的策略控制方法及系统 |
CN104348675A (zh) * | 2013-08-02 | 2015-02-11 | 北京邮电大学 | 双向业务数据流识别方法及装置 |
CN106162754A (zh) * | 2015-04-07 | 2016-11-23 | 中国移动通信集团公司 | 一种业务流的识别方法、装置及系统 |
CN109547475A (zh) * | 2018-12-25 | 2019-03-29 | 中电福富信息科技有限公司 | 基于本机网络数据流量采集的业务体验分析系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286937A (zh) * | 2008-05-16 | 2008-10-15 | 华为技术有限公司 | 一种网络流量控制方法、装置及系统 |
US20100172257A1 (en) * | 2009-01-05 | 2010-07-08 | Shaohua Yu | Internet Real-Time Deep Packet Inspection and Control Device and Method |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101621587B (zh) * | 2008-06-30 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 网络监听方法、装置及系统 |
CN101715182B (zh) * | 2009-11-30 | 2012-11-21 | 中国移动通信集团浙江有限公司 | 一种流量控制方法、系统和设备 |
CN101951330A (zh) * | 2010-09-27 | 2011-01-19 | 中兴通讯股份有限公司 | 双向联合检测的装置及方法 |
-
2010
- 2010-09-27 CN CN2010102929851A patent/CN101951330A/zh active Pending
-
2011
- 2011-05-16 WO PCT/CN2011/074102 patent/WO2012041066A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286937A (zh) * | 2008-05-16 | 2008-10-15 | 华为技术有限公司 | 一种网络流量控制方法、装置及系统 |
US20100172257A1 (en) * | 2009-01-05 | 2010-07-08 | Shaohua Yu | Internet Real-Time Deep Packet Inspection and Control Device and Method |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012041066A1 (zh) * | 2010-09-27 | 2012-04-05 | 中兴通讯股份有限公司 | 双向联合检测的装置及方法 |
CN102177697A (zh) * | 2011-04-29 | 2011-09-07 | 华为技术有限公司 | 互联网业务控制方法及相关设备和系统 |
US9391864B2 (en) | 2011-04-29 | 2016-07-12 | Huawei Technologies Co., Ltd. | Internet service control method, and relevant device and system |
CN103037414A (zh) * | 2012-11-21 | 2013-04-10 | 大唐移动通信设备有限公司 | 通信系统中的策略控制方法及系统 |
CN103037414B (zh) * | 2012-11-21 | 2015-12-23 | 大唐移动通信设备有限公司 | 通信系统中的策略控制方法及系统 |
CN104348675A (zh) * | 2013-08-02 | 2015-02-11 | 北京邮电大学 | 双向业务数据流识别方法及装置 |
CN104348675B (zh) * | 2013-08-02 | 2017-10-13 | 北京邮电大学 | 双向业务数据流识别方法及装置 |
CN106162754A (zh) * | 2015-04-07 | 2016-11-23 | 中国移动通信集团公司 | 一种业务流的识别方法、装置及系统 |
CN106162754B (zh) * | 2015-04-07 | 2020-03-24 | 中国移动通信集团公司 | 一种业务流的识别方法、装置及系统 |
CN109547475A (zh) * | 2018-12-25 | 2019-03-29 | 中电福富信息科技有限公司 | 基于本机网络数据流量采集的业务体验分析系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2012041066A1 (zh) | 2012-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101951330A (zh) | 双向联合检测的装置及方法 | |
CN107231384B (zh) | 一种面向5g网络切片的DDoS攻击检测防御方法及系统 | |
CN102420701B (zh) | 一种互联网业务流特征的提取方法 | |
CN103312565B (zh) | 一种基于自主学习的对等网络流量识别方法 | |
CN102035698B (zh) | 基于决策树分类算法的http隧道检测方法 | |
CN101605018A (zh) | 一种基于流的深度报文检测协议解码方法、设备及系统 | |
CN103560923B (zh) | 分组传送网的网络故障快速定位方法 | |
CN101841440B (zh) | 基于支持向量机与深层包检测的对等网络流量识别方法 | |
CN103873356B (zh) | 基于家庭网关的应用识别方法、系统和家庭网关 | |
CN101488925B (zh) | 一种利用网络流采集及统计虚拟专用网络流量的方法 | |
CN104618377A (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
CN102571946B (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
EP2712130B1 (en) | Service control method and system for autonomous network | |
CN103873441A (zh) | 防火墙安全规则优化方法及装置 | |
CN105681389A (zh) | 一种基于Skype不同功能通信流的识别方法及装置 | |
CN101635720B (zh) | 一种未知流量过滤方法和一种带宽管理设备 | |
CN104468252A (zh) | 一种基于正迁移学习的智能网络业务识别方法 | |
CN110868404A (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
CN101645803A (zh) | 点对点业务的识别方法和互联网业务识别系统 | |
CN110213280A (zh) | 一种SDN环境下基于LDMDBF的DDoS攻击检测方法 | |
CN101572648B (zh) | 一种QinQ内广播的实现方法和装置 | |
CN103716172A (zh) | 一种基于多协议标签交换的oam方法及装置 | |
KR101292873B1 (ko) | 네트워크 인터페이스 카드장치 및 상기 네트워크 인터페이스 카드장치를 이용한 트래픽 처리 방법 | |
CN106656807A (zh) | 一种报文转发方法及sdn交换机 | |
CN104113880A (zh) | 数据流控制方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110119 |