CN105429820B - 基于软件定义网络的深度包检测系统及方法 - Google Patents

Abstract

本发明公开了一种基于软件定义网络的深度包检测系统及方法，涉及深度包检测领域。该深度包检测系统包括支持DPI功能的网络设备、DPI控制器和DPI服务器，所述支持DPI功能的网络设备用于：处理深度包检测规则的二到四层部分；所述DPI服务器用于：处理深度包检测规则的五层以上部分；所述DPI控制器用于：对整个深度包检测系统进行控制和协调，包括同步流表、配置支持DPI功能的网络设备和DPI服务器上的深度包检测规则和协调支持DPI功能的网络设备和DPI服务器。本发明既能提高资源的利用率，也能实现DPI系统的有效控制，而且DPI系统的功能、性能得到增强。

Description

基于软件定义网络的深度包检测系统及方法

技术领域

本发明涉及深度包检测领域，具体是涉及一种基于软件定义网络的深度包检测系统及方法。

背景技术

随着网络的不断发展，网络规模在不断扩大，网络的用户数不断增加，网络提供的应用和业务种类不断丰富，使网络变得越来越复杂，网络的运维管理变得更加困难，网络安全问题也变得越来越尖锐。一方面，各种各样的攻击存在于网络中，各种网络垃圾充斥网络，病毒、蠕虫也不断涌现，这些对网络的健康造成重大不良影响。另一方面，网络中流量形形色色，对资源的占用也有较大的差别。按照帕累托原则，20％的业务使用着网络80％的资源，这些业务并没有付出与之所用网络资源匹配的代价，同时它们对其它业务的服务质量有着较大的负面影响。这些也对网络服务提供商提出了新的研究课题和挑战：如何精确掌控网络全貌并基于掌控的信息完成网络的运维管理。

完善网络的运维管理仅仅是网络需求的一方面。随着大数据相关技术越来越受到关注，网络中的大数据蕴含的重大价值如何被充分挖掘出来也需要深入研究，这也提出了如何将网络中的大数据采集上来并很好的分门别类，从而方便在线分析和数据挖掘。DPI(Deep Packet Inspection，深度包检测)技术是解决上述问题和满足上述需求的基础技术。DPI技术基于从二层到七层网络协议的分析，能够实现对网络中数据的精确感知，从而做到对网络现状的精确把握。

由于网络中的业务、用户、数据的多样性，网络中的数据包特征也会不断的改变，深度包检测相关技术的实现也变得更加困难。网络中数据包的二层到四层的信息相对固定，处理起来比较方便。但五层以上的信息既无标准的定义，也经常变化，因此，处理起来有相当难度。而病毒、蠕虫及攻击流往往在五层以上动脑筋，以逃避传统方法的监控。

传统的DPI设备，从实现方法来看，主要有借助于硬件实现和软件实现两大类，硬件实现性能卓越，但灵活性不足，软件实现则正好相反。从系统分布来看，主要有独立设备和嵌入网络中的设备两大类。采用独立设备实现DPI功能，逻辑清楚，可扩展性强，但网络设备上具有的可用于实现DPI功能的宝贵资源被浪费了。而仅仅借助于网络设备来实现DPI功能也是不够的，尤其在以ASIC(Application Specific Integrated Circuit，专用集成电路)或NPU(Network Processing Unit，网络处理单元)为基础设计的网络设备，其处理五层以上不断改变中的信息是非常困难的。

综上所述，传统的DPI系统，要么是独立的DPI设备，要么是嵌入在网络中的设备，独立的DPI设备浪费了设备中的硬件资源，嵌入在网络中的设备在处理五层以上信息时力不从心。

发明内容

本发明的目的是为了克服上述背景技术的不足，提供一种基于软件定义网络的深度包检测系统及方法，既能提高资源的利用率，也能实现DPI系统的有效控制，而且DPI系统的功能、性能得到增强。

本发明提供一种基于软件定义网络的深度包检测系统，该深度包检测系统包括支持DPI功能的网络设备、DPI控制器和DPI服务器，其中：

所述支持DPI功能的网络设备用于：处理深度包检测规则的二到四层部分；

所述DPI服务器用于：处理深度包检测规则的五层以上部分；

所述DPI控制器用于：对整个深度包检测系统进行控制和协调，包括同步流表、配置支持DPI功能的网络设备和DPI服务器上的深度包检测规则和协调支持DPI功能的网络设备和DPI服务器。

在上述技术方案的基础上，所述DPI控制器的带宽和处理能力满足要求时，DPI服务器逻辑上作为DPI控制器的应用存在，DPI服务器所有与支持DPI功能的网络设备的交互均通过DPI控制器进行。

在上述技术方案的基础上，所述DPI控制器的带宽和处理能力存在限制时，DPI服务器逻辑上作为DPI控制器控制的特殊网络设备或DPI控制器的协处理单元存在，DPI服务器所有与支持DPI功能的网络设备的交互均直接进行。

在上述技术方案的基础上，一台DPI服务器对应至少一台支持DPI功能的网络设备；一台DPI控制器对应至少一台支持DPI功能的网络设备和至少一台DPI服务器。

在上述技术方案的基础上，所述DPI服务器基于多核处理器或通用处理器实现，处理格式不固定并且多变的五层以上信息。

在上述技术方案的基础上，所述DPI控制器为现有SDN控制器的DPI扩展版本，或者专门面向DPI设计的SDN控制器，用于控制域内的支持DPI功能的网络设备，同时实现衔接支持DPI功能的网络设备和DPI服务器的功能。

在上述技术方案的基础上，所述DPI控制器在下达DPI规则表项时，先判断该表项是否包含五层以上的信息，如果不包含五层以上的信息，则该表项仅需要支持DPI功能的网络设备处理，那么该表项仅下达到支持DPI功能的网络设备；如果该表项包含五层以上的信息，则该表项同时在支持DPI功能的网络设备和DPI服务器上配置，生成一个表项标识码，使该表项在支持DPI功能的网络设备和DPI服务器上精确对应起来；支持DPI功能的网络设备接收到该表项时，如果该表项只包含二到四层信息，则直接添加该表项；如果该表项包含五层以上信息，仅存储表项标识码和二到四层表项信息，同时该表项的动作是转发到DPI服务器；DPI服务器接收到表项时，意味着该表项一定包含五层以上信息，DPI服务器在添加表项时，仅存储表项标识码和五层以上信息。

本发明还提供一种基于软件定义网络的深度包检测方法，包括以下步骤：

DPI控制器根据需要，将应配置的深度包检测规则，分别配置在支持DPI功能的网络设备和DPI服务器上，配置到支持DPI功能的网络设备上的深度包检测规则只需二到四层部分；配置到DPI服务器上的深度包检测规则必需具备五层以上部分；

当支持DPI功能的网络设备接收到数据包时，先对该数据包的二到四层信息进行处理；如果匹配上带有五层以上深度包检测规则的表项时，将该数据包发送到DPI服务器；

当DPI服务器接收到该数据包时，进一步处理该数据包的五层以上信息：查找对应的深度包检测表项，按照查找到的表项指定的操作，对该数据包进行处理；

如果处理完毕的数据包需要进一步转发，DPI服务器通过DPI控制器将处理后的数据包发送到对应的支持DPI功能的网络设备的对应端口，这种情况是在DPI控制器的带宽和处理能力能够支持的前提下，DPI服务器作为DPI控制器的应用而存在；或者DPI服务器直接将处理后的数据包发送到对应的支持DPI功能的网络设备的对应端口，这种情况DPI控制器的带宽或处理能力有所限制，DPI服务器作为特殊的网络设备或DPI控制器的协处理单元而存在。

与现有技术相比，本发明的优点如下：

本发明中的深度包检测系统利用SDN的优点弥补传统DPI系统的不足。SDN网络具有控制面和数据面分离的架构，给网络带来开放、灵活、可编程等优点。在SDN架构下设计DPI系统，能使DPI系统具备SDN网络架构的优点。本发明中的DPI系统包括支持DPI功能的网络设备、DPI控制器和DPI服务器，当DPI控制器的带宽和处理能力满足要求时，DPI服务器逻辑上作为DPI控制器的应用存在，DPI服务器所有与支持DPI功能的网络设备的交互均通过DPI控制器进行；当DPI控制器的带宽和处理能力存在限制时，DPI服务器逻辑上作为DPI控制器控制的特殊网络设备或DPI控制器的协处理单元存在，DPI服务器所有与支持DPI功能的网络设备的交互均直接进行。该DPI系统充分利用软件定义网络架构的集中控制的优势、网络设备的硬件资源以及DPI服务器的处理的灵活性，可以说该系统是软件定义网络架构中分别处于三层的业务单元的完美结合。借助于SDN的架构，充分利用现有网络设备的资源，来设计DPI系统，既能提高资源的利用率，也能实现DPI系统的有效控制，而且DPI系统的功能、性能得到增强。

附图说明

图1是本发明实施例中基于软件定义网络的深度包检测系统的结构示意图。

图2是图1中所示的深度包检测系统的配置流程图。

图3是图1中所示的深度包检测系统的工作流程图。

图4是本发明实施例中基于软件定义网络的深度包检测系统的一种变体结构示意图。

图5是图4中所示的深度包检测系统的配置流程图。

图6是图4中所示的深度包检测系统的工作流程图。

具体实施方式

下面结合附图及具体实施例对本发明作进一步的详细描述。

近年来，SDN(Software DefinedNetworking，软件定义网络)引起了学术界和产业界的极大重视。SDN由于其将控制面和数据面分离的架构，开放、灵活、可编程的特点，受到了业界的欢迎。但是，目前没有DPI系统将DPI技术和SDN网络架构有机结合起来。本发明实施例中的深度包检测系统利用SDN的优点弥补传统DPI系统的不足。SDN网络具有控制面和数据面分离的架构，给网络带来开放、灵活、可编程等优点。在SDN架构下设计DPI系统，能使DPI系统具备SDN网络架构的优点。借助于SDN的架构，充分利用现有网络设备的资源，来设计DPI系统，既能提高资源的利用率，也能实现DPI系统的有效控制，而且DPI系统的功能、性能也得到增强。

参见图1所示，本发明实施例提供一种基于软件定义网络的深度包检测系统，包括支持DPI功能的网络设备、DPI控制器和DPI服务器，其中：

支持DPI功能的网络设备用于：处理深度包检测规则的二到四层部分，这是基于现有网络设备的特点而设计的，现有网络设备多基于ASIC和NPU实现，适合于处理具有固定格式的二到四层信息；支持DPI功能的网络设备用来处理二到四层信息，正好利用了它的强项：由于支持DPI功能的网络设备对数据包进行了初选，过滤了大量的数据包，使得DPI服务器仅处理匹配了五层以上信息的数据包，这样DPI服务器性能不足的问题得到了解决或缓解。

DPI服务器用于：处理深度包检测规则的五层以上部分；DPI服务器可以基于多核处理器或通用处理器实现，适合于处理格式不固定并且多变的五层以上信息。

DPI控制器用于：对整个深度包检测系统进行控制和协调，包括同步流表、配置支持DPI功能的网络设备和DPI服务器上的深度包检测规则和协调支持DPI功能的网络设备和DPI服务器。

当DPI控制器的带宽和处理能力满足要求时，DPI服务器逻辑上作为DPI控制器的应用存在，DPI服务器所有与支持DPI功能的网络设备的交互均通过DPI控制器进行。

当DPI控制器的带宽和处理能力存在限制时，DPI服务器逻辑上作为DPI控制器控制的特殊网络设备或DPI控制器的协处理单元存在，DPI服务器所有与支持DPI功能的网络设备的交互均直接进行。

一台DPI服务器对应至少一台支持DPI功能的网络设备；一台DPI控制器对应至少一台支持DPI功能的网络设备和至少一台DPI服务器。

本发明实施例还提供一种基于软件定义网络的深度包检测方法，包括以下步骤：

DPI控制器根据需要，将应配置的深度包检测规则，分别配置在支持DPI功能的网络设备和DPI服务器上，配置到支持DPI功能的网络设备上的深度包检测规则只需二到四层部分，不必配置五层以上部分；配置到DPI服务器上的深度包检测规则必需具备五层以上部分，可选择配置部分二到四层信息；

当支持DPI功能的网络设备接收到数据包时，先对该数据包的二到四层信息进行处理；如果匹配上带有五层以上深度包检测规则的表项时(该表项可从深度包检测规则表项的标记中获得，也可从深度包检测规则表项对应的操作中获取)，将该数据包发送到DPI服务器；

当DPI服务器接收到该数据包时，进一步处理该数据包的五层以上信息：查找对应的深度包检测表项，按照查找到的表项指定的操作，对该数据包进行处理；

如果处理完毕的数据包需要进一步转发，DPI服务器通过DPI控制器将处理后的数据包发送到对应的支持DPI功能的网络设备的对应端口，这种情况是在DPI控制器的带宽和处理能力能够支持的前提下，DPI服务器作为DPI控制器的应用而存在；或者DPI服务器直接将处理后的数据包发送到对应的支持DPI功能的网络设备的对应端口，这种情况DPI控制器的带宽或处理能力有所限制，DPI服务器作为特殊的网络设备或DPI控制器的协处理单元而存在。

参见图1所示，本发明实施例中支持DPI功能的网络设备可以处于网络设备层，DPI控制器可以处于控制层，DPI服务器处于应用层。

支持DPI功能的网络设备可以是现有网络中的设备、现有网络设备的DPI扩展形态或针对DPI研发的网络设备。该设备的特点是可以利用已有的硬件资源处理数据包的二层到四层信息，这些信息能够被现有网络设备上的ASIC、NP等硬件资源方便的处理。

DPI控制器可以是现有SDN控制器的DPI扩展版本，也可以是专门面向DPI设计的SDN控制器。它的作用是控制域内的支持DPI功能的网络设备，同时实现衔接支持DPI功能的网络设备和DPI服务器的功能。在图1中，所有支持DPI功能的网络设备和DPI服务器间的通信是通过DPI控制器来完成的。

DPI服务器的职责是实现DPI的高级功能，也是比较难以实现的功能，也就是五层以上信息的处理。五层以上信息格式复杂，未有标准定义，且经常变化，处理起来无论是功能实现还是性能保障都很困难。

图1所示的DPI系统的配置流程如下：

参见图2所示，DPI控制器在下达DPI规则表项时，先判断该表项是否包含五层以上的信息，如果不包含五层以上的信息，则该表项仅需要支持DPI功能的网络设备处理，不需要DPI服务器介入，那么该表项仅需下达到支持DPI功能的网络设备；如果该表项包含五层以上的信息，则该表项需要同时在支持DPI功能的网络设备和DPI服务器上配置，生成一个表项标识码，使该表项在支持DPI功能的网络设备和DPI服务器上精确对应起来；

支持DPI功能的网络设备接收到该表项时，如果该表项只包含二到四层信息，则直接添加该表项；如果该表项包含五层以上信息，那么仅需存储表项标识码和二到四层表项信息，五层以上的表项信息可以忽略，同时该表项的动作是转发到DPI服务器；DPI服务器接收到表项时，意味着该表项一定包含五层以上信息，由于二到四层信息不需要DPI服务器处理，那么，DPI服务器在添加表项时，仅需存储表项标识码和五层以上信息。

图1所示的DPI系统的数据包匹配过程如下：

参见图3所示，当支持DPI功能的网络设备接收到数据包时，将根据二到四层信息去匹配DPI规则表项，如果匹配的表项仅有二到四层信息，执行该表项指定的操作，则本数据包处理结束；如果匹配的表项包含五层以上信息，则该数据包需要DPI服务器进一步处理，这是通过PACKET-IN报文上报给DPI控制器来实现的，在上报给DPI控制器的PACKET-IN报文中，COOKIE字段携带表项标识码。“PACKET_IN”和“COOKIE”源自OPENFLOW的标准，没有中文翻译，具体参考OPENFLOW的标准的文档：openflow-spec-v1.3.0。

DPI控制器接收到支持DPI功能的网络设备发来的PACKET-IN报文时，通过分析COOKIE字段，确定该报文是需DPI控制器直接处理，还是送交DPI服务器处理，如果确定是送交DPI服务器处理，则将PACKET-IN报文中的数据包取出，连同表项标识码送交DPI服务器；DPI服务器接收到表项标识码和数据包时，根据标识码直接检索到某表项，将数据包与该表项存储的五层以上信息进行匹配，执行表项指定的操作。

图1所示的DPI系统的数据包转发过程过程如下：

参见图3所示，对于图1所示的DPI系统来说，数据包从支持DPI功能的网络设备到DPI控制器，再到DPI服务器，DPI服务器处理完数据包后，如果处理后的数据包需要进一步转发，则送回DPI控制器，再通过DPI控制器发送到对应转发设备的对应端口。这个功能可以这样实现：数据包从支持DPI功能的网络设备送达DPI控制器时，同时将目的端口报告给DPI控制器。

图4是本发明实施例中深度包检测系统一个变体的结构示意图。这个变体是在DPI控制器的运算能力和通信带宽不能满足有效衔接持DPI功能的网络设备和DPI服务器的需要时采用。图4中，支持DPI功能的网络设备、DPI控制器以及DPI服务器的主要功能和职责不变，但支持DPI功能的网络设备和DPI服务器间的通信是直接完成的，而不是通过DPI控制器来完成的，这种情况下，DPI服务器可看作一个特殊的网络设备或者DPI控制器的协处理单元。

图4所示的DPI系统变体的配置流程如下：

参见图5所示，DPI控制器在下达DPI规则表项时，先判断该表项是否包含五层以上的信息，如果不包含五层以上的信息，则该表项仅需下达到支持DPI功能的网络设备；如果该表项包含五层以上的信息，则该表项需要同时在支持DPI功能的网络设备和DPI服务器上配置。在图4所示的DPI系统变体中，由于DPI控制器不能作为支持DPI功能的网络设备和DPI服务器的完全桥梁，因此表项标识码的方法不能满足要求，因此不用生成和配置表项标识码。

支持DPI功能的网络设备接收到该表项时，处理方式与图2所示配置流程的类似，只是不用存储和处理表项标识码，也就是说，如果该表项只包含二到四层信息，则直接添加该表项；如果该表项包含五层以上信息,那么仅需存储二到四层表项信息，五层以上的表项信息可以忽略，同时该表项的动作是转发到DPI服务器。DPI服务器接收到表项时，由于没有表项标识码衔接，那么，DPI服务器在添加表项时，需要完整存储二到四层以及五层以上信息。

图4所示的DPI系统变体的数据包匹配过程如下：

参见图6所示，当支持DPI功能的网络设备接收到数据包时，将根据二到四层信息去匹配DPI规则表项，如果匹配的表项仅有二到四层信息，执行该表项指定的操作，则本数据包处理结束；如果匹配的表项包含五层以上信息，则该数据包同样需要DPI服务器进一步处理，但由于这种情况下，DPI控制器并不承担数据包中转的功能，那么该数据包是直接转发给DPI服务器处理的。DPI服务器接收到该数据包时，将数据包与DPI服务器存储的DPI表项的二层到四层以及五层以上信息进行完整匹配，如果找到能完全匹配的表项，则执行该表项指定的操作。

图4所示的DPI系统变体的数据包转发过程过程如下：

参见图6所示，对于图4所示的DPI系统变体来说，数据包从支持DPI功能的转发设备直接发送到DPI服务器，DPI服务器处理完数据包后，如果处理后的数据包需要进一步转发，则直接发送到对应转发设备的对应端口。同样这个功能可以通过将目的端口通告DPI服务器的方式实现。

本领域的技术人员可以对本发明实施例进行各种修改和变型，倘若这些修改和变型在本发明权利要求及其等同技术的范围之内，则这些修改和变型也在本发明的保护范围之内。

说明书中未详细描述的内容为本领域技术人员公知的现有技术。

Claims (8)

1.一种基于软件定义网络的深度包检测系统，其特征在于：该深度包检测系统包括支持DPI功能的网络设备、DPI控制器和DPI服务器，其中：

所述支持DPI功能的网络设备用于：处理深度包检测规则的二到四层部分；

所述DPI服务器用于：处理深度包检测规则的五层以上部分；

所述DPI控制器用于：对整个深度包检测系统进行控制和协调，包括同步流表、配置支持DPI功能的网络设备和DPI服务器上的深度包检测规则和协调支持DPI功能的网络设备和DPI服务器。

2.如权利要求1所述的基于软件定义网络的深度包检测系统，其特征在于：所述DPI控制器的带宽和处理能力满足要求时，DPI服务器逻辑上作为DPI控制器的应用存在，DPI服务器所有与支持DPI功能的网络设备的交互均通过DPI控制器进行。

3.如权利要求1所述的基于软件定义网络的深度包检测系统，其特征在于：所述DPI控制器的带宽和处理能力存在限制时，DPI服务器逻辑上作为DPI控制器控制的特殊网络设备或DPI控制器的协处理单元存在，DPI服务器所有与支持DPI功能的网络设备的交互均直接进行。

4.如权利要求1所述的基于软件定义网络的深度包检测系统，其特征在于：一台DPI服务器对应至少一台支持DPI功能的网络设备；一台DPI控制器对应至少一台支持DPI功能的网络设备和至少一台DPI服务器。

5.如权利要求1所述的基于软件定义网络的深度包检测系统，其特征在于：所述DPI服务器基于多核处理器或通用处理器实现，处理格式不固定并且多变的五层以上信息。

6.如权利要求1所述的基于软件定义网络的深度包检测系统，其特征在于：所述DPI控制器为现有SDN控制器的DPI扩展版本，或者专门面向DPI设计的SDN控制器，用于控制域内的支持DPI功能的网络设备，同时实现衔接支持DPI功能的网络设备和DPI服务器的功能。

7.如权利要求1至6中任一项所述的基于软件定义网络的深度包检测系统，其特征在于：所述DPI控制器在下达DPI规则表项时，先判断该表项是否包含五层以上的信息，如果不包含五层以上的信息，则该表项仅需要支持DPI功能的网络设备处理，那么该表项仅下达到支持DPI功能的网络设备；如果该表项包含五层以上的信息，则该表项同时在支持DPI功能的网络设备和DPI服务器上配置，生成一个表项标识码，使该表项在支持DPI功能的网络设备和DPI服务器上精确对应起来；支持DPI功能的网络设备接收到该表项时，如果该表项只包含二到四层信息，则直接添加该表项；如果该表项包含五层以上信息，仅存储表项标识码和二到四层表项信息，同时该表项的动作是转发到DPI服务器；DPI服务器接收到表项时，意味着该表项一定包含五层以上信息，DPI服务器在添加表项时，仅存储表项标识码和五层以上信息。

8.一种基于软件定义网络的深度包检测方法，其特征在于，包括以下步骤：

DPI控制器根据需要，将应配置的深度包检测规则，分别配置在支持DPI功能的网络设备和DPI服务器上，配置到支持DPI功能的网络设备上的深度包检测规则只需二到四层部分；配置到DPI服务器上的深度包检测规则必需具备五层以上部分；

当支持DPI功能的网络设备接收到数据包时，先对该数据包的二到四层信息进行处理；如果匹配上带有五层以上深度包检测规则的表项时，将该数据包发送到DPI服务器；

当DPI服务器接收到该数据包时，进一步处理该数据包的五层以上信息：查找对应的深度包检测表项，按照查找到的表项指定的操作，对该数据包进行处理；

如果处理完毕的数据包需要进一步转发，DPI服务器通过DPI控制器将处理后的数据包发送到对应的支持DPI功能的网络设备的对应端口，这种情况是在DPI控制器的带宽和处理能力能够支持的前提下，DPI服务器作为DPI控制器的应用而存在；或者DPI服务器直接将处理后的数据包发送到对应的支持DPI功能的网络设备的对应端口，这种情况DPI控制器的带宽或处理能力有所限制，DPI服务器作为特殊的网络设备或DPI控制器的协处理单元而存在。