CN103959711B - 利用监控策略和过滤策略管理网络流量的系统和方法 - Google Patents
利用监控策略和过滤策略管理网络流量的系统和方法 Download PDFInfo
- Publication number
- CN103959711B CN103959711B CN201280034354.7A CN201280034354A CN103959711B CN 103959711 B CN103959711 B CN 103959711B CN 201280034354 A CN201280034354 A CN 201280034354A CN 103959711 B CN103959711 B CN 103959711B
- Authority
- CN
- China
- Prior art keywords
- packet
- application program
- filtering policy
- monitoring
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
Abstract
本发明公开的是一种利用监控策略和过滤策略管理网络流量的系统和方法。根据本发明,用户终端侧根据监控策略检测应用程序的数据包,向网络流量管理装置发送检测到的数据包的流量统计信息,并根据从网络流量管理装置接收到的过滤策略过滤数据包,从而快速容易地检测能够引起通信网络过载的偶发数据通信流量(例如,用于维持会话的数据)或恶意用户的流量,并在用户终端侧过滤检测到的流量。
Description
技术领域
本发明涉及一种利用监控策略和过滤策略管理网络流量的系统和方法,更具体地,涉及一种利用监控策略和过滤策略管理网络流量的系统和方法,其中,用户终端侧根据监控策略检测应用程序的数据包,向网络流量管理装置发送检测到的数据包的流量统计信息,并根据从网络流量管理装置接收到的过滤策略过滤数据包,从而快速容易地检测能够引起通信网络过载的偶发数据通信流量(例如,用于维持会话的数据)或恶意用户的流量,并在用户终端侧过滤检测到的流量。
背景技术
随着包括智能电话、平板电脑的用户终端的振兴,已经出现了各种各样的应用程序。在这些应用程序中,例如需要接收或发送数据包功能的送信器的应用程序以及用于向特定服务器发送数据的应用程序越来越多。然而,在目前的通信企业网络中监控发生在所有应用程序中的流量并阻止不必要的和恶意的流量是不可能的。
以送信器形式的应用程序应当始终将载有相应应用程序的用户终端的位置发送至用于数据包接收功能的相应的服务器。也就是说,相应的服务器应当知道用于数据包发送的用户终端的位置。为此,应当在用户终端和相应的服务器之间维持会话,并且用户终端的位置信息可被定期地或临时地发送至相应的服务器。用于维持会话的数据(例如,维生信息以及心跳信息)与真实信息的发送无关,为了维持会话,应当定期在用户终端与相应的服务器之间进行交换。由于针对各应用程序独立地进行用于维持会话的数据的发送/接收,当在一个终端内安装或驱动多个送信器应用程序时,在通信企业的网络系统中增加了负载。
而且,还有在用户不知情的情况下从任意的用户终端窃取数据并向恶意的用户服务器泄露数据的应用程序。因此,正需要用于检测并控制用户终端的数据流量的技术,以提前快速地发现数据流量,并且必要的话阻止数据流量。
发明内容
因此,鉴于上述问题提出了本发明,并且本发明的一个方面在于提供一种利用监控策略和过滤策略管理网络流量的系统和方法,其中,用户终端侧根据监控策略检测应用程序的数据包,向网络流量管理装置发送检测到的数据包的流量统计信息,并根据从网络流量管理装置接收到的过滤策略过滤数据包,从而快速容易地检测能够引起通信网络过载的偶发数据通信流量(例如,用于维持会话的数据)或恶意用户的流量,并过滤在用户终端侧检测到的流量。
根据本发明的一个方面,提供了一种利用监控策略和过滤策略管理网络流量的系统,所述系统包括:网络流量管理装置,其被配置为通过创建监控策略和过滤策略并将创建的监控策略和过滤策略发送至用户终端来管理网络流量;以及流量控制装置,其被配置为基于从所述网络流量管理装置接收的监控策略,根据应用程序或目的地地址,检测并分类在所述用户终端的应用程序中产生的数据包,创建有关检测到的数据包的流量统计信息并且向所述网络流量管理装置发送所述流量统计信息,并在所述用户终端的核心区域根据从所述网络流量管理装置接收的过滤策略过滤所述数据包。
根据本发明的另一个方面,提供了一种利用监控策略和过滤策略控制流量的流量控制装置,所述流量控制装置包括:数据包收集单元,其被配置为根据在用户终端中的端口号,收集并分类在所述用户终端的应用程序中产生的数据包;数据包监控单元,其被配置为在收集到的数据包当中,在所述用户终端的核心区域,根据应用程序或目的地地址,检测并分类符合监控策略的数据包;流量管理单元,其被配置为通过分析检测到的数据包来创建流量统计信息,向网络流量管理装置发送所述流量统计信息,并从所述网络流量管理装置接收过滤策略;以及数据包过滤单元,其被配置为在所述用户终端的核心区域过滤与接收到的过滤策略相对应的应用程序的数据包或具有包括在所述过滤策略内的阻止目的地地址的数据包。
流量管理单元包括:流量信息创建单元,其被配置为通过分析检测到的数据包来创建流量统计信息,并向所述网络流量管理装置发送所述流量统计信息;策略配置单元,其被配置为分别在所述数据包监控单元和所述数据包过滤单元中配置所述监控策略和所述过滤策略;策略数据库,其被配置为存储所述监控策略和所述过滤策略;流量信息数据库,其被配置为存储创建的流量统计信息;以及过滤数据库,其被配置为存储有关被过滤的数据包的数据包信息。
所述数据包监控单元被配置为在收集到的数据包当中,根据端口号,监控并分类使用预定的已知端口或预定的未知端口的应用程序的数据包。
所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的数据包,提取协议信息、所述目的地地址以及所述端口号。
所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的数据包,提取用于所述目的地地址的目的地端口号、目的地IP地址和目的地MAC地址。
所述数据包监控单元被配置为当通过使用所述预定的未知端口的应用程序来创建套接字时,提取协议信息、所述目的地地址以及所述端口号。
所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的数据包,计算所述数据包在所述应用程序中发生的数据包创建时段。
所述数据包过滤单元被配置为通过利用在所述用户终端的核心区域操作的网络过滤器来过滤与所述过滤策略相对应的应用程序的数据包或具有所述过滤策略的阻止目的地地址的数据包。
所述数据包过滤单元被配置为创建句柄,所述句柄用于在用户区域控制在所述用户终端的核心区域操作的所述过滤策略,并通过利用创建的句柄来控制被配置为执行过滤的所述网络过滤器。
根据本发明的另一个方面,提供了一种利用监控策略和过滤策略控制数据流量的方法,所述方法包括以下步骤:从网络流量管理装置接收所述监控策略;根据端口号分类并收集在用户终端的应用程序中产生的数据包;在所述用户终端的核心区域,通过监控接收到的数据包,根据所述应用程序或目的地地址,检测并分类符合接收到的监控策略的数据包;通过分析检测到的数据包来创建流量统计信息;向所述网络流量管理装置发送创建的流量统计信息,并从所述网络流量管理装置接收所述过滤策略;以及在所述用户终端的核心区域过滤与接收到的过滤策略相对应的应用程序的数据包或具有包括在所述过滤策略中的阻止目的地地址的数据包。
所述数据包的检测和分类的步骤包括:在收集到的数据包当中,根据端口号,监控并分类使用预定的已知端口或预定的未知端口的应用程序的数据包。
所述数据包的检测和分类的步骤包括:通过监控使用所述预定的未知端口的应用程序的数据包来提取协议信息、目的地地址和端口号。
所述数据包的检测和分类的步骤包括:通过监控使用所述预定的未知端口的应用程序的数据包来提取用于所述目的地地址的目的地端口号、目的地IP地址和目的地MAC地址。
所述数据包的检测和分类的步骤包括:当通过使用所述预定的未知端口的应用程序来创建套接字时,提取协议信息、所述目的地地址以及所述端口号。
所述数据包的检测和分类的步骤包括:通过监控使用所述预定的未知端口的应用程序的数据包来计算所述数据包在所述应用程序中发生的数据包创建时段。
所述数据包的过滤的步骤包括:通过利用在所述用户终端的核心区域操作的网络过滤器来过滤与所述过滤策略相对应的应用程序的数据包或具有所述过滤策略的阻止目的地地址的数据包。
所述数据包的过滤的步骤包括:创建句柄,所述句柄用于在用户区域控制在所述用户终端的核心区域操作的所述过滤策略,并通过利用创建的句柄来控制用于执行过滤的所述网络过滤器。
根据本发明,用户终端侧根据监控策略检测应用程序的数据包,向网络流量管理装置发送检测到的数据包的流量统计信息,并根据从网络流量管理装置接收到的过滤策略过滤数据包,从而快速容易地检测能够引起通信网络过载的偶发数据通信流量(例如,用于维持会话的数据)或恶意用户的流量,并在用户终端侧过滤检测到的流量。
根据本发明,可以使提供例如应用程序的注册和认证的推送服务以及维生消息发送的过程所必需的流量最小化,并且可以预先过滤能够增加网络负载的消息。
根据本发明,能够快速识别并过滤违反监控策略和过滤策略的应用程序的数据包、恶意应用程序或异常产生流量的应用程序。
根据本发明,用户终端的应用程序被分类为使用预定的已知端口的应用程序和使用预定的未知端口的应用程序,从而监控并过滤使用预定的未知端口的应用程序的数据包,并且使用已知端口的应用程序的数据包通过,在这种情况下,能够减少需要监控和过滤的数据包,从而能够实现用户终端的操作减少。
附图说明
图1是根据本发明的一个实施方式利用监控策略和过滤策略的网络流量管理系统的配置的框图;
图2是根据本发明的一个实施方式利用监控策略和过滤策略的流量控制装置的配置的框图;
图3是根据本发明的一个实施方式的图2的流量管理单元的详细配置的框图;
图4是根据本发明的一个实施方式利用监控策略和过滤策略的网络流量管理方法的信号流图;以及
图5是根据本发明的一个实施方式的流量控制装置中的流量控制方法的流程图。
具体实施方式
以下,将参考附图详细描述本发明的实施方式。从下面的详细说明中将清楚地理解本发明的配置及相应的效果。在对本发明进行详细说明之前,应当注意的是相同的部件尽管在不同的附图中示出,但它们在附图中标有相同的参考数字,并且与已知的功能或配置有关的详细说明当使得本发明的主题模糊时将被省略。
图1是根据本发明的一个实施方式利用监控策略和过滤策略的网络流量管理系统的配置的框图。
如图1所示,根据本发明的一个实施方式,利用监控策略和过滤策略的网络流量管理系统10包括包含在用户终端100中的流量控制装置110,网络流量管理装置200以及服务提供装置300。
网络流量管理装置200管理用户终端100与服务提供装置300之间的网络流量。为此,网络流量管理装置200被配置为创建监控策略和过滤策略,将创建的监控策略和过滤策略发送至包含在用户终端100中的流量控制装置110,以管理流量。在此,网络流量管理装置200可接收来自流量控制装置110的流量统计信息,以识别用户终端100的流量统计信息。而且,网络流量管理装置200被配置为通过分析用户终端100的流量统计信息创建过滤策略,以向流量控制装置110发送创建的过滤策略。网络流量管理装置200可预先收集有关要管理的流量的流量信息,创建过滤策略并将创建的过滤策略发送至流量控制装置110。
在此,通信网络是指用于提供通信服务的网络,这样用户终端100、网络流量管理装置200以及服务提供装置300可以以有线和无线的方式互相通信。也就是说,通信网络可以是有线互联网网络,并且可包括通过移动通信网络(CDMA,和W-CDMA)连接的无线数据网络(互联网网络,以及IP多媒体子系统(IMS)网络),或者通过例如Wi-Fi的近场通信连接的互联网网络。
流量控制装置110通过安装在用户终端100中的应用程序101控制流量发生。在此,能够执行流量控制功能的包括笔记本电脑、智能电话、个人数字助理(PDA)、导航系统、便携式多媒体播放器(PMP)、电子词典以及MP3播放器在内的终端可应用于用户终端100,而与其种类无关。流量控制装置110可通过从基于网络的外部系统或外部存储介质提供的流量控制程序执行流量控制功能。
描述流量控制过程,流量控制装置110被配置为在用户终端100的核心区域,基于从网络流量管理装置200接收到的监控策略,根据应用程序和目的地地址,检测并分类已经发生在用户终端100的应用程序中的数据包。流量控制装置110将有关检测到的数据包的流量统计信息发送至网络流量管理装置200。在那之后,流量控制装置110在用户终端100的核心区域过滤与从网络流量管理装置200接收到的过滤策略相对应的应用程序的数据包,或具有包括在过滤策略中的阻止目的地地址的数据包。
图2是根据本发明的一个实施方式利用监控策略和过滤策略的流量控制装置的配置的框图。
在下文中将描述根据本发明的实施方式的流量控制装置的各元件。
如图2所示,根据本发明的流量控制装置110包括数据包收集单元210、数据包监控单元220、流量管理单元230以及数据包过滤单元240。在此,流量控制装置110接收在安装于用户终端100内的应用程序101中发生的数据包。
数据包收集单元210被配置为根据用户终端100中的端口号,收集并分类已经在安装于用户终端100内的应用程序101中发生的数据包。
数据包监控单元220被配置为在已经被收集在数据包收集单元210中的数据包当中,根据在用户终端的核心区域的应用程序或目的地地址,检测并分类符合监控策略的数据包。
具体描述数据包监控过程,数据包监控单元220被配置为在数据包收集单元210已经收集到的数据包当中,根据发送/接收端口,监控并分类利用预定的已知端口或未知端口的应用程序101的数据包。
描述已知端口和未知端口,应用程序101可被分类为使用预定的已知端口的应用程序和使用预定的未知端口的应用程序。例如,利用预定的已知端口的应用程序包括网络浏览器。利用预定的已知端口的应用程序的数据包发送/接收可基本通过,无需策略的对比。另一方面,数据包监控单元220假设利用预定的未知端口的应用程序的数据包根据其标准操作,并根据监控策略检测数据包。在此,当用户终端100的应用程序101使用的端口号被登记在网络流量管理装置200中时,应用程序101使用的端口号被称为已知端口。未知端口是指未被登记在网络流量管理装置200中的端口号。
数据包监控单元220可通过监控使用预定的未知端口的应用程序101的数据包来提取协议信息、目的地地址以及端口号。当使用已知端口的应用程序符合过滤策略时,数据包监控单元220可通过仅监控使用未知端口的应用程序101的数据包来减少待监控的数据包。
此时,只有在套接字(socket)被创建时,数据包监控单元220可通过监控使用预定的未知端口的应用程序101的数据包来提取协议信息、目的地地址以及端口号。由于在应用程序101和服务提供装置300之间创建套接字之后,应用程序101具有相同的协议信息、相同的目的地地址以及相同的端口号,数据包监控单元220可仅在套接字被创建时通过提取协议信息、目的地地址以及端口号来减少数据包监控负载。在此,数据包监控单元220被配置为提取作为目的地地址的目的地端口号、目的地IP地址以及目的地MAC地址。
而且,数据包监控单元220可通过监控使用预定的未知端口的应用程序101的数据包来计算数据包创建时段。例如,当已经在监控策略中配置了数据包创建时段时,数据包监控单元220可检测超出数据包创建时段的应用程序101的数据包。
同时,数据包监控单元220在不检查应用程序101的有效载荷的情况下仅确定是否存在接收/发送数据包。这样,数据包监控单元220能够减少数据包监控的负载。数据包监控单元220可获取并单独地分析整个数据包数据,即,数据包头部和数据包有效负载,或者可将整个数据包数据发送至网络流量管理装置200。
在那之后,在用户终端100的核心区域,数据包过滤单元240过滤与过滤策略相对
应的应用程序的数据包或具有包括在过滤策略内的阻止目的地地址的数据包。在此,从网
络流量管理装置200接收过滤策略。数据包过滤单元240通过利用在用户终端100的核心区
域操作的网络过滤器过滤与过滤策略相对应的应用程序101的数据包或具有过滤策略的阻
止目的地地址的数据包。数据包过滤单元240创建句柄(例如,iptables句柄,libipq*),所
述句柄被配置为在用户区域控制在用户终端100的核心区域操作的过滤策略,并可通过创
建的句柄控制执行过滤的网络过滤器。
同时,流量管理单元230被配置为通过分析在数据包监控单元220中检测到的数据包来创建流量统计信息。流量管理单元230将创建的流量统计信息发送至网络流量管理装置200。
图3是根据本发明的一个实施方式的图2的流量管理单元的详细配置的框图。
如图3所示,流量管理单元230包括流量信息创建单元310、策略配置单元320以及数据存储单元330。在此,数据存储单元330包括策略数据库(DB)331、流量DB332以及过滤DB333。
流量信息创建单元310分析根据应用程序和目的地地址在数据包监控单元220中检测到的数据包,以创建流量统计信息。流量统计信息包括针对预定时段的根据应用程序的数据包的数量和大小,以及针对预定时段的根据目的地地址的数据包的数量和大小。
策略配置单元320分别在数据包监控单元220和数据包过滤单元240中配置接收到的监控策略和过滤策略。监控策略包括将要被监控的应用程序列表、协议信息、端口号、数据包创建时段以及目的地地址。过滤策略包括阻止的应用程序列表以及阻止目的地地址列表。
数据存储单元330存储在流量信息创建单元310中创建的流量统计信息、流量信息以及关于过滤的数据包的数据包信息。
更具体地说,数据存储单元330将接收到的监控策略和过滤策略存储在策略DB331中。而且,数据存储单元330将已经在流量信息创建单元310中创建了的根据应用程序和目的地地址的流量统计信息存储在流量DB332中。而且,数据存储单元330将已经在数据包过滤单元240中过滤了的数据包信息存储在过滤DB333中。
图4是根据本发明的一个实施方式利用监控策略和过滤策略的网络流量管理方法的信号流图。
安装在用户终端100中的应用程序101向服务提供装置300发送或从服务提供装置300接收用于维持会话的数据包或恶意的数据包(S402)。
流量控制装置110从安装在用户终端100中的应用程序101收集数据包(S404)。
流量控制装置110根据监控策略监控收集到的数据包(S406)。
流量控制装置110通过利用监控过程S406的监控结果来创建流量统计信息,并将创建的流量统计信息发送至网络流量管理装置200(S408)。
网络流量管理装置200分析从流量控制装置110接收的流量统计信息,并利用分析结果创建过滤策略。
网络流量管理装置200将创建的过滤策略发送至流量控制装置110。
流量控制装置110根据从网络流量管理装置200接收的过滤策略过滤应用程序101的数据包。
流量控制装置110根据接收到的过滤策略阻止应用程序101的数据包(S416)。在过程S416中,已经描述了阻止数据包的过程。在过程S416中,流量控制装置110可以根据过滤策略阻止或许可数据包。
图5是根据本发明的一个实施方式的流量控制装置中的流量控制方法的流程图。
网络流量管理装置200向流量控制装置110发送监控策略(S502)。然后,流量管理单元230接收监控策略(S502)。
流量管理单元230在数据包监控单元220中配置接收到的监控策略(S504)。
在那之后,数据包收集单元210根据端口号收集并分类在安装于用户终端100中的应用程序101中创建的数据包,并且数据包监控单元220根据监控策略监控从应用程序101收集的数据包(S506)。
数据包监控单元220通过在用户终端100的核心区域的数据包监控确定是否存在符合监控策略的数据包(S508)。数据包监控单元220可根据应用程序和目的地地址检测并分类数据包。
当确定存在符合监控策略的数据包时(S508),流量管理单元230分析在数据包监控单元220中检测到的数据包,以创建流量统计信息(S510)。
流量管理单元230将创建的流量统计信息发送至网络流量管理装置200(S512)。
网络流量管理装置200分析接收到的流量统计信息,并利用分析结果创建过滤策略(S514)。
网络流量管理装置200将创建的过滤策略发送至流量控制装置110(S516)。
数据包过滤单元240根据从流量控制装置110接收的过滤策略过滤应用程序101的数据包(S518)。也就是说,在用户终端的核心区域,数据包过滤单元240过滤与过滤策略相对应的应用程序的数据包或具有包括在过滤策略中的阻止目的地地址的数据包。
同时,上述的数据流量控制方法可实现为记录在计算机可读记录介质中的软件程序,从而本发明可适用于各种播放设备。
各种播放设备包括个人电脑、笔记本电脑、便携式终端以及智能电话。
例如,记录介质可以是包括硬盘、闪速存储器、随机存取存储器(RAM)以及只读存储器(ROM)在内的嵌入式记录介质,或者是包括例如CD-R和CD-RW的光盘、紧凑型闪存卡、智能媒体、记忆棒以及多媒体卡在内的可拆卸式记录介质。
在这种情况下,可以执行记录在计算机可读记录介质中的程序,同时包括从网络流量管理装置接收监控策略;根据端口号收集并分类在用户终端的应用程序中创建的数据包;在用户终端的核心区域通过监控收集到的数据包,根据应用程序和目的地地址,检测并分类符合接收到的监控策略的数据包;通过分析检测到的数据包创建流量统计信息;将创建的流量统计信息发送至网络流量管理装置,并从该网络流量管理装置接收过滤策略;在用户终端的核心区域,过滤与接收到的过滤策略相对应的应用程序的数据包或具有包括在过滤策略中的阻止目的地地址的数据包。
虽然为说明目的已经描述了本发明的示例性实施方式,但本领域技术人员将理解的是,在不脱离由随附的权利要求书所公开的本发明的精神和范围的情况下,可以对本发明进行各种修改、添加和替换。因此,本发明不限于本发明的说明书中所公开的实施方式。通过随附的权利要求书及其等同物可以确定本发明的范围。
根据本发明,用户终端侧根据监控策略检测应用程序的数据包,向网络流量管理装置发送检测到的数据包的流量统计信息,并根据从网络流量管理装置接收到的过滤策略过滤数据包,从而快速容易地检测并过滤能够引起通信网络过载的偶发数据通信流量(例如,用于维持会话的数据)或者用户的恶意流量。由于本发明克服了这方面相关技术的局限性,应用设备以及相关技术的应用程序的销售及买卖有了很好的机会,并且事实上很明显的是本发明的执行具有较大的工业可用性。
Claims (18)
1.一种利用监控策略和过滤策略管理网络流量的系统,所述系统包括:
网络流量管理装置,其被配置为通过创建监控策略和过滤策略并将创建的监控策略和过滤策略发送至用户终端来管理网络流量;以及
流量控制装置,其被配置为基于从所述网络流量管理装置接收的监控策略,根据应用程序或目的地地址,检测并分类在所述用户终端的应用程序中产生的数据包,创建有关检测到的数据包的流量统计信息并且向所述网络流量管理装置发送所述流量统计信息,并在所述用户终端的核心区域根据从所述网络流量管理装置接收的过滤策略过滤与接收到的过滤策略相对应的应用程序的数据包或具有包括在所述过滤策略中的阻止目的地地址的数据包,
其中,所述过滤策略是由所述网络流量管理装置通过分析所述流量统计信息来创建的。
2.一种利用监控策略和过滤策略控制流量的流量控制装置,所述流量控制装置包括:
数据包收集单元,其被配置为根据在用户终端中的端口号,收集并分类在所述用户终端的应用程序中产生的数据包;
数据包监控单元,其被配置为在收集到的数据包当中,在所述用户终端的核心区域,根据应用程序或目的地地址,检测并分类符合从网络流量管理装置接收的监控策略的数据包;
流量管理单元,其被配置为通过分析检测到的数据包来创建流量统计信息,向所述网络流量管理装置发送所述流量统计信息,并从所述网络流量管理装置接收过滤策略,其中,所述过滤策略是由所述网络流量管理装置通过分析所述流量统计信息来创建的;以及
数据包过滤单元,其被配置为在所述用户终端的核心区域过滤与接收到的过滤策略相对应的应用程序的数据包或具有包括在所述过滤策略中的阻止目的地地址的数据包。
3.根据权利要求2所述的流量控制装置,其中,所述流量管理单元包括:
流量信息创建单元,其被配置为通过分析检测到的数据包来创建流量统计信息,并向所述网络流量管理装置发送所述流量统计信息;
策略配置单元,其被配置为分别在所述数据包监控单元和所述数据包过滤单元中配置所述监控策略和所述过滤策略;
策略数据库DB,其被配置为存储所述监控策略和所述过滤策略;
流量信息数据库DB,其被配置为存储创建的流量统计信息;以及
过滤数据库DB,其被配置为存储有关被过滤的数据包的数据包信息。
4.根据权利要求2所述的流量控制装置,其中,所述数据包监控单元被配置为在收集到的数据包当中,根据端口号,监控并分类使用预定的已知端口或预定的未知端口的应用程序的数据包。
5.根据权利要求4所述的流量控制装置,其中,所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的数据包,提取协议信息、所述目的地地址以及所述端口号。
6.根据权利要求5所述的流量控制装置,其中,所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的数据包,提取用于所述目的地地址的目的地端口号、目的地IP地址和目的地MAC地址。
7.根据权利要求4所述的流量控制装置,其中,所述数据包监控单元被配置为当通过使用所述预定的未知端口的应用程序来创建套接字时,提取协议信息、所述目的地地址以及所述端口号。
8.根据权利要求4所述的流量控制装置,其中,所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的数据包,计算所述数据包在所述应用程序中发生的数据包创建时段。
9.根据权利要求2所述的流量控制装置,其中,所述数据包过滤单元被配置为通过利用在所述用户终端的核心区域操作的网络过滤器来过滤与所述过滤策略相对应的应用程序的数据包或具有所述过滤策略的阻止目的地地址的数据包。
10.根据权利要求9所述的流量控制装置,其中,所述数据包过滤单元被配置为创建用于在用户区域控制在所述用户终端的核心区域操作的所述过滤策略的句柄,并通过利用创建的句柄来控制被配置为执行过滤的所述网络过滤器。
11.一种利用监控策略和过滤策略控制数据流量的方法,所述方法包括以下步骤:
从网络流量管理装置接收监控策略;
根据端口号分类并收集在用户终端的应用程序中产生的数据包;
在所述用户终端的核心区域,通过监控接收到的数据包,根据所述应用程序或目的地地址,检测并分类符合接收到的监控策略的数据包;
通过分析检测到的数据包来创建流量统计信息;
向所述网络流量管理装置发送创建的流量统计信息,并从所述网络流量管理装置接收所述过滤策略,其中,所述过滤策略是由所述网络流量管理装置通过分析所述流量统计信息来创建的;以及
在所述用户终端的核心区域过滤与接收到的过滤策略相对应的应用程序的数据包或具有包括在所述过滤策略中的阻止目的地地址的数据包。
12.根据权利要求11所述的方法,其中,所述数据包的检测和分类的步骤包括:
在收集到的数据包当中,根据端口号,监控并分类使用预定的已知端口或预定的未知端口的应用程序的数据包。
13.根据权利要求12所述的方法,其中,所述数据包的检测和分类的步骤包括:
通过监控使用所述预定的未知端口的应用程序的数据包来提取协议信息、目的地地址和端口号。
14.根据权利要求13所述的方法,其中,所述数据包的检测和分类的步骤包括:
通过监控使用所述预定的未知端口的应用程序的数据包来提取用于所述目的地地址的目的地端口号、目的地IP地址和目的地MAC地址。
15.根据权利要求12所述的方法,其中,所述数据包的检测和分类的步骤包括:
当通过使用所述预定的未知端口的应用程序来创建套接字时,提取协议信息、所述目的地地址以及所述端口号。
16.根据权利要求12所述的方法,其中,所述数据包的检测和分类的步骤包括:
通过监控使用所述预定的未知端口的应用程序的数据包来计算所述数据包在所述应用程序中发生的数据包创建时段。
17.根据权利要求11所述的方法,其中,所述数据包的过滤的步骤包括:
通过利用在所述用户终端的核心区域操作的网络过滤器来过滤与所述过滤策略相对应的应用程序的数据包或具有所述过滤策略的阻止目的地地址的数据包。
18.根据权利要求17所述的方法,其中,所述数据包的过滤的步骤包括:
创建用于在用户区域控制在所述用户终端的核心区域操作的所述过滤策略的句柄,并通过利用创建的句柄来控制用于执行过滤的所述网络过滤器。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/KR2012/007231 WO2014038737A1 (ko) | 2012-09-07 | 2012-09-07 | 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103959711A CN103959711A (zh) | 2014-07-30 |
CN103959711B true CN103959711B (zh) | 2018-02-23 |
Family
ID=50237330
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280034354.7A Active CN103959711B (zh) | 2012-09-07 | 2012-09-07 | 利用监控策略和过滤策略管理网络流量的系统和方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103959711B (zh) |
WO (1) | WO2014038737A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10432531B2 (en) * | 2016-06-28 | 2019-10-01 | Paypal, Inc. | Tapping network data to perform load balancing |
CN110213198A (zh) * | 2018-02-28 | 2019-09-06 | 中标软件有限公司 | 网络流量的监控方法及系统 |
CN109194700B (zh) * | 2018-11-28 | 2021-09-17 | 深信服科技股份有限公司 | 一种流量管控方法及相关装置 |
CN109587028B (zh) * | 2018-11-29 | 2021-11-26 | 麒麟合盛网络技术股份有限公司 | 一种控制客户端流量的方法和装置 |
CN109413675A (zh) * | 2018-12-05 | 2019-03-01 | 斑马网络技术有限公司 | 车联网流量控制方法、装置及车载终端 |
CN111356166A (zh) * | 2018-12-20 | 2020-06-30 | 福建雷盾信息安全有限公司 | 一种流量监控方法 |
CN111355603A (zh) * | 2018-12-20 | 2020-06-30 | 福建雷盾信息安全有限公司 | 一种计算机流量分析方法 |
CN114124470A (zh) * | 2021-11-01 | 2022-03-01 | 山东顺国电子科技有限公司 | 网络流量元数据采集技术算法 |
CN115658701B (zh) * | 2022-12-27 | 2023-03-14 | 北京仁科互动网络技术有限公司 | 数据库流量控制方法、装置、设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045197A (zh) * | 2010-12-14 | 2011-05-04 | 中兴通讯股份有限公司 | 一种告警数据的同步方法及网管系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2003015356A1 (ja) * | 2001-08-08 | 2004-12-02 | 富士通株式会社 | サーバ、移動通信端末、無線装置および通信システムにおける通信方法並びに通信システム |
US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
KR100479202B1 (ko) * | 2002-12-26 | 2005-03-28 | 한국과학기술정보연구원 | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 |
KR100502068B1 (ko) * | 2003-09-29 | 2005-07-25 | 한국전자통신연구원 | 네트워크 노드의 보안 엔진 관리 장치 및 방법 |
KR100617314B1 (ko) * | 2004-11-11 | 2006-08-30 | 한국전자통신연구원 | 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치 |
KR100615620B1 (ko) * | 2005-03-17 | 2006-08-25 | (주)팜미디어 | 정책 관리를 통한 휴대 단말의 디지털 컨텐츠 다운로드제어 방법 및 당해 시스템 |
KR20110027386A (ko) * | 2009-09-10 | 2011-03-16 | 모젠소프트 (주) | 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법 |
-
2012
- 2012-09-07 WO PCT/KR2012/007231 patent/WO2014038737A1/ko active Application Filing
- 2012-09-07 CN CN201280034354.7A patent/CN103959711B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045197A (zh) * | 2010-12-14 | 2011-05-04 | 中兴通讯股份有限公司 | 一种告警数据的同步方法及网管系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2014038737A1 (ko) | 2014-03-13 |
CN103959711A (zh) | 2014-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103959711B (zh) | 利用监控策略和过滤策略管理网络流量的系统和方法 | |
US9467360B2 (en) | System, device and method for managing network traffic by using monitoring and filtering policies | |
CN102045363B (zh) | 网络流量特征识别规则的建立方法、识别控制方法及装置 | |
CN103905261B (zh) | 协议特征库在线更新方法及系统 | |
CN109167798B (zh) | 一种基于机器学习的家用物联网设备DDoS检测方法 | |
KR20140051447A (ko) | 통신 네트워크들에 대한 클라우드 컴퓨팅 강화 게이트웨이 | |
CN107968730A (zh) | 监测物联网卡被盗用的方法和系统 | |
CN102201982A (zh) | 一种应用识别方法及其设备 | |
WO2014117406A1 (zh) | 特征提取装置、网络流量识别方法、装置和系统 | |
Nakao et al. | Application specific slicing for MVNO through software-defined data plane enhancing SDN | |
CN103414725A (zh) | 用于检测和过滤数据报文的方法和设备 | |
CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
Jmila et al. | A survey of smart home iot device classification using machine learning-based network traffic analysis | |
CN106470206A (zh) | 适用于异质网络架构的异常预测方法及系统 | |
KR101388627B1 (ko) | 4g 이동통신망에서의 비정상 트래픽 차단 장치 | |
Aureli et al. | Going beyond diffserv in ip traffic classification | |
CN103517292B (zh) | 一种移动终端信息上报方法和装置 | |
KR101469285B1 (ko) | 정책기반 라우팅을 이용한 선택적인 인터넷 트래픽 분석 시스템 및 그 방법 | |
CN108322354B (zh) | 一种偷跑流量账户识别方法及装置 | |
CN108199906B (zh) | 一种sdn构架中异常流量处理方法、装置和用户终端 | |
KR101423975B1 (ko) | 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법 | |
CN105743866B (zh) | 一种消息的处理方法及网关设备 | |
Cukier et al. | A statistical analysis of attack data to separate attacks | |
CN111565196B (zh) | 一种KNXnet/IP协议入侵检测方法、装置、设备及介质 | |
CN101296224B (zh) | 一种p2p流量识别系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |