CN105897609A - 一种监管数据流传输的方法和装置 - Google Patents

一种监管数据流传输的方法和装置 Download PDF

Info

Publication number
CN105897609A
CN105897609A CN201610201969.4A CN201610201969A CN105897609A CN 105897609 A CN105897609 A CN 105897609A CN 201610201969 A CN201610201969 A CN 201610201969A CN 105897609 A CN105897609 A CN 105897609A
Authority
CN
China
Prior art keywords
message
information
rule
preset
message information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610201969.4A
Other languages
English (en)
Other versions
CN105897609B (zh
Inventor
周迪
王军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Uniview Technologies Co Ltd
Original Assignee
Zhejiang Uniview Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Uniview Technologies Co Ltd filed Critical Zhejiang Uniview Technologies Co Ltd
Priority to CN201610201969.4A priority Critical patent/CN105897609B/zh
Publication of CN105897609A publication Critical patent/CN105897609A/zh
Application granted granted Critical
Publication of CN105897609B publication Critical patent/CN105897609B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/215Flow control; Congestion control using token-bucket

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种监管数据流传数的方法和装置,其中,所述方法包括:当数据流量超过监管设备的流量阈值时,判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则;若所述报文的报文信息匹配所述报文通过规则,转发所述报文;若所述报文的报文信息匹配所述报文拒绝规则,丢弃所述报文;若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则,按照预置判断规则深度处理所述报文。采用本发明提供的监管数据流传输的方法,在超流量网络传输的情况下,可以合理利用网络监管设备的资源,提高网络传输性能。

Description

一种监管数据流传输的方法和装置
技术领域
本发明涉及网络通信技术领域,特别涉及一种监管数据流传输的方法和装置。
背景技术
在数据传输网络中,当信息业务激增时,容易导致数据链路拥塞,致使数据传输中断。现有技术解决此问题的做法是在网络传输系统中增加网络监管设备,比如防火墙或流量监测监管防御设备。上述监管设备对所有数据流量采用令牌桶机制进行处理,当经过上述监管设备的数据流量超过令牌桶的流量阈值时,丢弃部分流量。随之带来的问题是导致部分信息丢失,严重情况下会导致信息传输中断。
为了解决上述问题,现有技术通常采取提高网络监管设备性能的办法解决超流量情况下的数据传输问题。然而,在大部分情况下,经过网络监管设备的流量都是在一个平稳的范围内,突发超过设备预定性能的超流量事件是小概率事件,如果仅仅为上述小概率事件而大幅度提高网络设备性能,势必导致网络建设成本的大幅增加。
发明内容
有鉴于此,本发明提供一种监管数据流传输的方法和装置,合理利用网络监管设备的资源,提高网络传输性能。
一方面,本发明实施例提供了一种监管数据流传输的方法,所述方法包括:
当数据流量超过监管设备的流量阈值时,判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则;
若所述报文的报文信息匹配所述报文通过规则,转发所述报文;
若所述报文的报文信息匹配所述报文拒绝规则,丢弃所述报文;
若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则,按照预置判断规则深度处理所述报文。
可选地,所述报文信息包括:五元组信息和报文长度信息。
可选地,所述按照预置判断规则处理所述报文,包括:
采用令牌桶机制处理所述报文,判断所述报文是否能分配到令牌;
若所述报文分配不到令牌,直接转发所述报文;
若所述报文分配到令牌,按照预置检测规则继续检测所述报文;
如果所述报文符合所述预置检测规则,确定为第一报文,转发所述第一报文;
如果所述报文不符合所述预置检测规则,确定为第二报文,丢弃所述第二报文。
可选地,所述监管数据流传输的方法还包括:
在转发所述第一报文和/或丢弃所述第二报文时,提取报文信息,并根据所述报文信息获取预置报文信息表;
统计所述预置报文信息表中的一个报文信息表项在预设时间内的命中次数;
当所述命中次数少于预设阈值时,删除所述报文信息表项;
当所述命中次数不少于所述预设阈值时,根据所述报文信息表项更新所述预设的报文通过规则或报文拒绝规则。
可选地,所述在转发所述第一报文和/或丢弃所述第二报文时,提取报文信息,并根据所述报文信息获取预置报文信息表,包括:
提取当前处理报文的报文信息,所述当前处理报文为所述第一报文或所述第二报文,所述报文信息包括:五元组信息、报文长度信息;
根据所述报文信息按照预置规则匹配预置报文信息表,所述预置规则为:所述报文的五元组信息符合预设报文信息表项的五元组信息,并且,所述报文的报文长度在所述预设报文信息表项的预设报文长度范围内;
若所述报文信息符合所述预置规则,增加所述预设报文信息表项的命中次数;
若所述报文信息不符合所述预置规则,根据所述报文信息在所述预置报文信息表中建立新的报文信息表项。
另一方面,本发明实施例还提供了一种监管数据流传输的装置,所述装置包括:
初级检测模块,用于在数据流量超过监管设备的流量阈值的情况下,判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则;
报文转发模块,用于在所述报文的报文信息匹配所述报文通过规则的情况下,转发所述报文;
报文丢弃模块,用于在所述报文的报文信息匹配所述报文拒绝规则的情况下,丢弃所述报文;
深度处理模块,用于在所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则的情况下,按照预置判断规则深度处理所述报文。
可选的,所述报文信息包括:五元组信息和报文长度信息。
可选的,所述深度处理模块包括:
判断单元,用于采用令牌桶机制处理所述报文,判断所述报文是否能分配到令牌;
直接处理单元,用于在所述报文分配不到令牌的情况下,直接转发所述报文;
检测单元,用于在所述报文分配到令牌的情况下,按照预置检测规则继续检测所述报文;
报文转发单元,用于在所述报文符合所述预置检测规则的情况下,确定为第一报文,转发所述第一报文;
报文丢弃单元,用于在所述报文不符合所述预置检测规则的情况下,确定为第二报文,丢弃所述第二报文。
可选的,所述监管数据流传输的装置还包括:
信息提取模块,用于在转发所述第一报文和/或丢弃所述第二报文时,提取报文信息,并根据所述报文信息获取预置报文信息表;
统计模块,用于统计所述预置报文信息表中的一个报文信息表项在预设时间内的命中次数;
信息删除模块,用于在所述命中次数少于预设阈值的情况下,删除所述报文信息表项;
更新模块,用于在所述命中次数不少于所述预设阈值的情况下,根据所述报文信息表项更新所述预设的报文通过规则或报文拒绝规则。
可选的,所述信息提取模块包括:
信息提取单元,用于提取当前处理报文的报文信息,所述当前处理报文为所述第一报文或所述第二报文,所述报文信息包括:五元组信息、报文长度信息;
匹配单元,用于根据所述报文信息按照预置规则匹配预置报文信息表,所述预置规则为:所述报文的五元组信息符合预设报文信息表项的五元组信息,并且,所述报文的报文长度在所述预设报文信息表项的预设报文长度范围内;
第一处理单元,用于在所述报文信息符合所述预置规则的情况下,增加所述预设报文信息表项的命中次数;
第二处理单元,用于在所述报文信息不符合所述预置规则的情况下,根据所述报文信息在所述预置报文信息表中建立新的报文信息表项。
本发明提供的监管数据流传输的方法和装置,相对与现有技术,具有以下有益效果:
采用本发明提供的监管数据流传输的方法,当网络中出现超流量传输的情况时,可以根据设置于网络监管设备的交换芯片或网络入口处的预设报文通过规则或报文拒绝规则,对进入的数据报文进行初步检测,轻松分流部分报文,仅对其中一部分报文采用令牌桶机制进行处理,从而使网络监管设备可以释放出更多的网络处理器或CPU来处里其他数据报文的深层次检测,提高了超流量情况下的流量处理效率,使网络在超性能大压力的情况下,依旧保持流量传输不中断,提高了网络监管设备的性能。另一方面,相对于现有技术,无需增加的防火墙或流量监测监管防御设备的性能,降低了网络建设成本。
附图说明
图1是本申请根据一示例性实施例示出的一种监管数据流传输的方法流程图;
图2是本申请根据一示例性实施例示出的另一种监管数据流传输的方法流程图;
图3是本申请根据一示例性实施例示出的另一种监管数据流传输的方法流程图;
图4是本申请根据一示例性实施例示出的另一种监管数据流传输的方法流程图;
图5是本申请提供的监管数据流传输的装置所在设备的一种硬件结构图;
图6是本申请根据一示例性实施例示出的一种监管数据流传输的装置框图;
图7是本申请根据一示例性实施例示出的另一种监管数据流传输的装置框图;
图8是本申请根据一示例性实施例示出的另一种监管数据流传输的装置框图;
图9是本申请根据一示例性实施例示出的另一种监管数据流传输的装置框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请中可能采用术语第一、第二、目标等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参照图1根据一示例性实施例示出的一种监管数据流传输的方法流程图,可以包括:
步骤11、当数据流量超过监管设备的流量阈值时,判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则;
本发明实施例的应用场景是当前业务流量超过了网络监管设备的流量阈值。为了避免超流量数据的丢失,在网络监管设备的入口方向,比如入端口的交换芯片或网口上,设置报文通过规则和报文拒绝规则。当一个数据报文进入监管设备比如防火墙或者流量监测监管防御设备时,在网络监管设备的入端口处,首先通过上述规则对该报文的报文信息进行检测,本发明实施例中,一个报文的报文信息包括:五元组信息和报文长度。其中,报文的五元组信息包括:源IP地址、目的IP地址、源端口号、目的端口号、协议类型。对一个数据报文的判断结果包括以下三种情况:
第一种情况,所述报文的报文信息匹配预设的报文通过规则,则执行步骤12。
第二种情况,所述报文的报文信息匹配预设的报文拒绝规则,则执行步骤13。
第三种情况,所述报文的报文信息既不匹配预设的报文通过规则,也不匹配预设的报文拒绝规则,则将所述报文发送至网络监管设备的NP(NetworkProcessor,网络处理器)或者CPU(Central Processing Unit,中央处理器)进行深层次处理,即执行步骤14。
本发明实施例中,上述报文通过规则、报文拒绝规则中可以包括:预设的五元组信息和预设的报文长度信息。
步骤12、若所述报文的报文信息匹配所述报文通过规则,转发所述报文;
本发明实施例中,一条报文通过规则规定了符合预设五元组信息的数据报文在预设报文长度范围内可以直接进行报文转发。
例如,上述报文通过规则可以采用规则表的形式表示如下:
源IP地址 目的IP地址 源端口号 目的端口号 协议类型 报文长度
1.1.1.1 2.2.2.2 6000 8000 TCP 1500±50
1.1.1.1 2.2.2.1 7000 5000 TCP 1600±50
3.3.3.3 10.2.2.2 5050 6060 UDP 1880±50
表一
假设进入网络监管设备的一个报文P1的报文信息为:五元组信息{1.1.1.1;2.2.2.2;6000;8000;TCP},报文长度:1500。可以判定该报文的报文信息匹配上述表一中的第一个表项,则确定转发报文P1。
步骤13、若所述报文的报文信息匹配所述报文拒绝规则,丢弃所述报文;
本发明实施例中,一条报文拒绝规则规定了预设五元组信息的数据报文超过预设报文长度范围,可以直接丢弃。
例如,上述报文拒绝规则可以采用规则表的形式表示如下:
表二
假设进入网络监管设备的一个报文P2的报文信息为:五元组信息{1.1.1.1;2.2.2.2;6000;8000;TCP},报文长度:3020。可以判定该报文的报文信息匹配上述表二中的第一个表项,即五元组信息匹配,且报文长度3020在第一表项的报文长度范围:2950~3050内,则确定丢弃报文P2。
步骤14、若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则,按照预置判断规则深度处理所述报文。
假设进入网络监管设备的一个报文P3的报文信息为:五元组信息{1.1.1.1;2.2.2.2;6000;8000;TCP},报文长度:1400。可以确定:该报文既不匹配记录报文通过规则的表一,也不匹配记录报文拒绝规则的表二。本发明实施中,将按照预置判断规则深度处理报文P3。
参照图2根据一示例性实施例示出的另一种监管数据流传输的方法流程图,步骤14可以包括:
步骤141、采用令牌桶机制处理所述报文,判断所述报文是否能分配到令牌;
首先根据相关技术介绍令牌桶机制,假设网络监管设备的性能的衡量指标是每秒钟通过的报文数(packets per second,每秒钟报文数,pps)。例如某一台网络监管设备的性能标准为:每秒钟通过的报文数为a。那么,该网络监管设备就把令牌桶的容量设置为a,在入接口处每接收到1个报文,令牌数量就减少1,令牌桶中剩余a-1个令牌。
本发明实施例中,进入网络处理器或CPU的一个数据报文采用令牌桶机制处理时,如果令牌桶中还有剩余令牌,则所述数据报文就能分配到令牌。如果令牌桶中的令牌已用尽,则该数据报文分配不到令牌。
步骤142、若所述报文分配不到令牌,直接转发所述报文;
本发明实施例中,如果所述报文分配不到令牌,可以选择直接转发所述报文,避免因网络监管设备性能不够导致数据报文被丢弃的情况发生,进而避免信息丢失甚至传输中断的情况发生。
步骤143、若所述报文分配到令牌,按照预置检测规则继续检测所述报文;
本发明实施例中,如果一个数据报文可以分配到令牌,就可以进入监测监管队列,进行网络监管设备的深层次检测。即,网络监管设备的NP或CPU对该分配到令牌的数据报文按照预置检测规则进行深层次检测。
步骤144、如果所述报文符合所述预置检测规则,确定为第一报文,转发所述第一报文;
本发明实施例中,一个分配到令牌的数据报文在上述深层次检测过程中,如果符合上述预置检测规则,则可以将上述数据报文标记为第一报文,对所述第一报文执行转发操作。
步骤145、如果所述报文不符合所述预置检测规则,确定为第二报文,丢弃所述第二报文;
本发明实施例中,一个分配到令牌的数据报文在上述深层次检测过程中,如果不符合上述预置检测规则,则可以将上述数据报文标记为第二报文,对所述第二报文执行转发操作。
本发明实施例中,经过深层次监测后报文根据相应规则进行转发或丢弃,报文转发成功或丢弃后,释放掉令牌,此时令牌桶的容量又可以恢复为a。
参照图3根据一示例性实施例示出的另一种监管数据流传输的方法流程图,在图2所示实施例的基础上,还可以包括:
步骤146、在转发所述第一报文和丢弃所述第二报文时,提取报文信息,并根据所述报文信息获取预置报文信息表;
图3示出了本发明的一种优选实施例,即在转发第一报文和丢弃第二报文时,均提取报文信息。在本发明另一实施例中,也可以选择仅在转发第一报文时,提取第一报文的报文信息。或者,仅在丢弃第二报文时,提取第二报文的报文信息。
具体地,参照图4根据一示例性实施例示出的另一种监管数据流传输的方法流程图,在图3所示实施例的基础上,步骤146可以包括:
步骤1461、提取当前处理报文的报文信息,所述当前处理报文为所述第一报文或所述第二报文;
即在转发第一报文时,提取第一报文的报文信息;在丢弃第二报文时,提取第二报文的报文信息。
步骤1462、根据所述报文信息按照预置规则匹配预置报文信息表,所述预置规则为:所述报文的五元组信息符合预设报文信息表项的五元组信息,并且,所述报文的报文长度在所述预设报文信息表项的预设报文长度范围内;
步骤1463、若所述报文信息符合所述预置规则,增加所述预设报文信息表项的命中次数;
步骤1464、若所述报文信息不符合所述预置规则,根据所述报文信息在所述预置报文信息表中建立新的报文信息表项。
下面结合第一报文,对步骤146的具体实施过程进行详细说明,可以包括:
步骤A1、提取当前转发的第一报文的第一报文信息,所述第一报文信息包括:所述第一报文的五元组信息、报文长度;
本发明实施例中,在转发一个第一报文时,可以提取当前转发的第一报文的报文信息,本发明实施例中称之为第一报文信息,该第一报文信息包括:第一报文的五元组信息、第一报文的报文长度。
步骤B1、根据所述第一报文信息按照第一预置规则匹配第一预置报文信息表,所述第一预置规则为:所述第一报文的五元组信息符合第一预设表项中的五元组信息,并且,所述第一报文的报文长度在所述第一预设表项的预设报文长度范围内;
本发明实施例中,网络监管设备内可以预置一个报文信息表,该报文信息表的一个表项记录了第一报文的五元组信息、报文长度范围信息和命中次数等信息,此处称之为第一预置报文信息表。
上述第一预置报文信息表的初始化信息可以人工设置,也可以通过机器学习获得。对于后一种方式,在初始化阶段,上述第一预置报文信息表为空,在网络设备进行数据监管的过程中,当确定首个第一报文后,可以提取该第一报文的第一报文信息,并根据人工设置报文长度波动范围,生成所述第一预设报文信息表中的第一个表项。
假设上述首个第一报文的报文信息包括:五元组信息{1.1.1.1;2.2.2.2;6000;8000;TCP},报文长度:1400;根据经验人工设置的报文长度波动范围为50;则可以生成如表三所示的表项信息:
源IP地址 目的IP地址 源端口号 目的端口号 协议类型 报文长度 命中次数
1.1.1.1 2.2.2.2 6000 8000 TCP 1400±50 1
表三
在后续过程中,对于每一个要转发的第一报文,在提取第一报文信息之后,根据五元组信息和报文长度,按照上述第一预置规则匹配所述第一预置报文信息表,若匹配成功,执行步骤C1;若匹配失败,则执行步骤D1。
步骤C1、若所述第一报文信息满足所述第一预置规则,增加所述第一预设表项的命中次数;
假设当前第一预置报文信息表如表一所示,比如,当前转发的第一报文的五元组信息与表三中第一表项的五元组信息匹配;当前转发的第一报文的报文长度为1430,在第一表项的报文长度范围:1350~1450内,则可以确定当前转发第一报文的报文信息满足上述第一预置规则。相应的,增加上述第一表项的命中次数,将表三中第一表项的命中次数由1更改为2。更新后的报文信息表如表四所示:
源IP地址 目的IP地址 源端口号 目的端口号 协议类型 报文长度 命中次数
1.1.1.1 2.2.2.2 6000 8000 TCP 1400±50 2
表四
步骤D1、若所述第一报文信息不满足所述第一预置规则,根据所述第一报文信息在所述第一预置报文信息表中建立新的报文信息表项。
仍以第一预置报文信息表为表三为例,假设当前第一报文的第一报文信息包括:五元组信息{3.3.3.3;10.2.2.2;5050;6060;UDP};报文长度:1320。
根据上述第一预置匹配规则匹配表三,在表三中匹配不到相应的报文信息表项,则可以根据上述第一报文信息在第一预置报文信息表中建立新的表项,更新所述第一预置报文信息表。更新后的第一预置报文信息表如表五所示:
源IP地址 目的IP地址 源端口号 目的端口号 协议类型 报文长度 命中次数
1.1.1.1 2.2.2.2 6000 8000 TCP 1400±50 1
3.3.3.3 10.2.2.2 5050 6060 UDP 1320±50 1
表五
同理,对于第二报文,步骤146的具体实施过程可以包括:
步骤A2、提取当前丢弃的第二报文的第二报文信息,所述第二报文信息包括:所述第二报文的五元组信息、报文长度;
步骤B2、根据所述第二报文信息按照第二预置规则匹配第二预置报文信息表,所述第二预置规则为:所述第二报文的五元组信息符合第二预设表项中的五元组信息,并且,所述第二报文的报文长度在所述第二预设表项的预设报文长度范围内;
步骤C2、若所述第二报文信息满足所述第二预置规则,增加所述第二预设表项的命中次数;
步骤D2、若所述第二报文信息不满足所述第二预置规则,根据所述第二报文信息在所述第二预置报文信息表中建立新的报文信息表项。
本发明实施例中对第二报文的第二报文信息的处理过程与上述对第一报文的第一报文信息的处理过程类似,此处不再赘述。
步骤147、统计一个报文信息表项在预设时间内的命中次数;
本发明实施例中,可以定时统计上述第一预置报文信息表或第二预置报文信息表中一个表项的命中次数。比如,统计一个预设报文信息表项在10分钟内的命中次数,与预设阈值作比较,比如10次;若所述预设报文信息表项的命中次数小于预设阈值,执行步骤148;否则,执行步骤149。
步骤148、当所述命中次数少于预设阈值时,删除所述报文信息表项;
步骤149、当所述命中次数不少于所述预设阈值时,根据所述报文信息表项更新所述预设的报文通过规则或报文拒绝规则。
如果第一预置报文信息表中的一个表项在10分钟内命中次数超过了10次,则可以根据该表项生成一条报文通过规则,将该报文通过规则下发给网络监管设备的交换芯片或网络接口入口处。示例性地,如果上述各表中的第一表项在10分钟内命中次数超过了10次,则生成的一条报文通过规则可以表示为:
源IP地址 目的IP地址 源端口号 目的端口号 协议类型 报文长度
1.1.1.1 2.2.2.2 6000 8000 TCP 1400±50
表六
将上述新生成的报文通过规则下发到网络监管设备的数据报文在网络入口处或交换芯片处,更新报文通过规则。更新后的报文通过规则如表七所示:
源IP地址 目的IP地址 源端口号 目的端口号 协议类型 报文长度
1.1.1.1 2.2.2.2 6000 8000 TCP 1500±50
1.1.1.1 2.2.2.1 7000 5000 TCP 1600±50
3.3.3.3 10.2.2.2 5050 6060 UDP 1880±50
1.1.1.1 2.2.2.2 6000 8000 TCP 1400±50
表七
后续进入网络监管设备的数据报文在网络入口处或交换芯片处根据表六所示的报文通过规则进行检测时,若能匹配到,则不用再进入网络处理器或CPU采用令牌桶机制进行深层次检测。
如此,通过上述步骤149,可以不断刷新设置于网络入口处或交换芯片处的报文通过规则和报文拒绝规则。随着报文通过规则和报文拒绝规则的不断增加,网络监管设备可以释放出更多的网络处理器或CPU来处理其他数据报文的深层次检测,提高了超流量情况下的流量处理效率,提高的网络设备的性能。采用本发明提供的监管数据流传输的方法,无需增加的防火墙或流量监测监管防御设备的性能,因而,相对于现有技术,降低了网络建设成本。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。
其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明所必须的。
与本发明提供的一种监管数据流传输的方法实施例相对应,本发明还提供了一种监管数据流传输装置及校正图像的设备的实施例。
本发明提供的监管数据流传输装置的实施例可以应用在各种计算设备上,装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本发明提供的监管数据流传输的装置401所在设备的一种硬件结构图,除了图5所示的通过内部总线200相互连接的处理器100、内存400、网络接口300、以及非易失性存储器500之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,图5中不再一一示出。其中,所述处理器被配置为:
当数据流量超过监管设备的流量阈值时,判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则;
若所述报文的报文信息匹配所述报文通过规则,转发所述报文;
若所述报文的报文信息匹配所述报文拒绝规则,丢弃所述报文;
若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则,按照预置判断规则深度处理所述报文。
对应上述监管数据传输方法实施例,本发明还提供了一种监管数据流传输的装置。参照图6根据一示例性实施例示出的一种监管数据流传输的装置框图,所述装置可以包括:
初级检测模块21,用于在数据流量超过监管设备的流量阈值的情况下,判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则;其中,上述报文信息可以包括:五元组信息和报文长度信息。
报文转发模块22,用于在所述报文的报文信息匹配所述报文通过规则的情况下,转发所述报文;
报文丢弃模块23,用于在所述报文的报文信息匹配所述报文拒绝规则的情况下,丢弃所述报文;
深度处理模块24,用于在所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则的情况下,按照预置判断规则深度处理所述报文。
参照图7根据一示例性实施例示出的另一种监管数据流传输的装置框图,在图6所示实施例的基础上,所述深度处理模块24可以包括:
判断单元241,用于采用令牌桶机制处理所述报文,判断所述报文是否能分配到令牌;
直接处理单元242,用于在所述报文分配不到令牌的情况下,直接转发所述报文;
检测单元243,用于在所述报文分配到令牌的情况下,按照预置检测规则继续检测所述报文;
报文转发单元244,用于在所述报文符合所述预置检测规则的情况下,确定为第一报文,转发所述第一报文;
报文丢弃单元245,用于在所述报文不符合所述预置检测规则的情况下,确定为第二报文,丢弃所述第二报文。
参照图8根据一示例性实施例示出的另一种监管数据流传输的装置框图,在图7所示实施例的基础上,所述装置还可以包括:
信息提取模块25,用于在转发所述第一报文和/或丢弃所述第二报文时,提取报文信息,并根据所述报文信息获取预置报文信息表;
统计模块26,用于统计所述预置报文信息表中的一个报文信息表项在预设时间内的命中次数;
信息删除模块27,用于在所述命中次数少于预设阈值的情况下,删除所述报文信息表项;
更新模块28,用于在所述命中次数不少于所述预设阈值的情况下,根据所述报文信息表项更新所述预设的报文通过规则或报文拒绝规则。
参照图9根据一示例性实施例示出的另一种监管数据流传输的装置框图,在图8所示实施例的基础上,所述信息提取模块25可以包括:
信息提取单元251,用于提取当前处理报文的报文信息,所述当前处理报文为所述第一报文或所述第二报文,所述报文信息包括:五元组信息、报文长度信息;
匹配单元252,用于根据所述报文信息按照预置规则匹配预置报文信息表,所述预置规则为:所述报文的五元组信息符合预设报文信息表项的五元组信息,并且,所述报文的报文长度在所述预设报文信息表项的预设报文长度范围内;
第一处理单元253,用于在所述报文信息符合所述预置规则的情况下,增加所述预设报文信息表项的命中次数;
第二处理单元254,用于在所述报文信息不符合所述预置规则的情况下,根据所述报文信息在所述预置报文信息表中建立新的报文信息表项。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种监管数据流传输的方法,其特征在于,所述方法包括:
当数据流量超过监管设备的流量阈值时,判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则;
若所述报文的报文信息匹配所述报文通过规则,转发所述报文;
若所述报文的报文信息匹配所述报文拒绝规则,丢弃所述报文;
若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则,按照预置判断规则深度处理所述报文。
2.根据权利要求1所述的方法,其特征在于,所述报文信息包括:五元组信息和报文长度信息。
3.根据权利要求1所述的方法,其特征在于,所述按照预置判断规则处理所述报文,包括:
采用令牌桶机制处理所述报文,判断所述报文是否能分配到令牌;
若所述报文分配不到令牌,直接转发所述报文;
若所述报文分配到令牌,按照预置检测规则继续检测所述报文;
如果所述报文符合所述预置检测规则,确定为第一报文,转发所述第一报文;
如果所述报文不符合所述预置检测规则,确定为第二报文,丢弃所述第二报文。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在转发所述第一报文和/或丢弃所述第二报文时,提取报文信息,并根据所述报文信息获取预置报文信息表;
统计所述预置报文信息表中的一个报文信息表项在预设时间内的命中次数;
当所述命中次数少于预设阈值时,删除所述报文信息表项;
当所述命中次数不少于所述预设阈值时,根据所述报文信息表项更新所述预设的报文通过规则或报文拒绝规则。
5.根据权利要求4所述的方法,其特征在于,所述在转发所述第一报文和/或丢弃所述第二报文时,提取报文信息,并根据所述报文信息获取预置报文信息表,包括:
提取当前处理报文的报文信息,所述当前处理报文为所述第一报文或所述第二报文,所述报文信息包括:五元组信息、报文长度信息;
根据所述报文信息按照预置规则匹配预置报文信息表,所述预置规则为:所述报文的五元组信息符合预设报文信息表项的五元组信息,并且,所述报文的报文长度在所述预设报文信息表项的预设报文长度范围内;
若所述报文信息符合所述预置规则,增加所述预设报文信息表项的命中次数;
若所述报文信息不符合所述预置规则,根据所述报文信息在所述预置报文信息表中建立新的报文信息表项。
6.一种监管数据流传输的装置,其特征在于,所述装置包括:
初级检测模块,用于在数据流量超过监管设备的流量阈值的情况下,判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则;
报文转发模块,用于在所述报文的报文信息匹配所述报文通过规则的情况下,转发所述报文;
报文丢弃模块,用于在所述报文的报文信息匹配所述报文拒绝规则的情况下,丢弃所述报文;
深度处理模块,用于在所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则的情况下,按照预置判断规则深度处理所述报文。
7.根据权利要求6所述的装置,其特征在于,所述报文信息包括:五元组信息和报文长度信息。
8.根据权利要求6所述的装置,其特征在于,所述深度处理模块包括:
判断单元,用于采用令牌桶机制处理所述报文,判断所述报文是否能分配到令牌;
直接处理单元,用于在所述报文分配不到令牌的情况下,直接转发所述报文;
检测单元,用于在所述报文分配到令牌的情况下,按照预置检测规则继续检测所述报文;
报文转发单元,用于在所述报文符合所述预置检测规则的情况下,确定为第一报文,转发所述第一报文;
报文丢弃单元,用于在所述报文不符合所述预置检测规则的情况下,确定为第二报文,丢弃所述第二报文。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
信息提取模块,用于在转发所述第一报文和/或丢弃所述第二报文时,提取报文信息,并根据所述报文信息获取预置报文信息表;
统计模块,用于统计所述预置报文信息表中的一个报文信息表项在预设时间内的命中次数;
信息删除模块,用于在所述命中次数少于预设阈值的情况下,删除所述报文信息表项;
更新模块,用于在所述命中次数不少于所述预设阈值的情况下,根据所述报文信息表项更新所述预设的报文通过规则或报文拒绝规则。
10.根据权利要求9所述的装置,其特征在于,所述信息提取模块包括:
信息提取单元,用于提取当前处理报文的报文信息,所述当前处理报文为所述第一报文或所述第二报文,所述报文信息包括:五元组信息、报文长度信息;
匹配单元,用于根据所述报文信息按照预置规则匹配预置报文信息表,所述预置规则为:所述报文的五元组信息符合预设报文信息表项的五元组信息,并且,所述报文的报文长度在所述预设报文信息表项的预设报文长度范围内;
第一处理单元,用于在所述报文信息符合所述预置规则的情况下,增加所述预设报文信息表项的命中次数;
第二处理单元,用于在所述报文信息不符合所述预置规则的情况下,根据所述报文信息在所述预置报文信息表中建立新的报文信息表项。
CN201610201969.4A 2016-04-01 2016-04-01 一种监管数据流传输的方法和装置 Active CN105897609B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610201969.4A CN105897609B (zh) 2016-04-01 2016-04-01 一种监管数据流传输的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610201969.4A CN105897609B (zh) 2016-04-01 2016-04-01 一种监管数据流传输的方法和装置

Publications (2)

Publication Number Publication Date
CN105897609A true CN105897609A (zh) 2016-08-24
CN105897609B CN105897609B (zh) 2019-04-09

Family

ID=57013213

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610201969.4A Active CN105897609B (zh) 2016-04-01 2016-04-01 一种监管数据流传输的方法和装置

Country Status (1)

Country Link
CN (1) CN105897609B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656635A (zh) * 2017-02-14 2017-05-10 杭州迪普科技股份有限公司 监控报文转发流程的方法及装置
CN110191014A (zh) * 2019-05-20 2019-08-30 杭州迪普信息技术有限公司 一种规则表项的命中次数统计方法及装置
CN113114584A (zh) * 2021-03-01 2021-07-13 杭州迪普科技股份有限公司 一种网络设备的保护方法及装置
CN114189426A (zh) * 2021-10-29 2022-03-15 苏州浪潮智能科技有限公司 代理服务自适应带配置回复方法、系统、装置及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003077141A1 (en) * 2002-03-04 2003-09-18 Pluris, Inc. System for monitoring and facilitating data transfer traffic on at least one link node
US7203170B2 (en) * 2001-05-01 2007-04-10 Integrated Device Technology, Inc. Network switch port with weighted random early discard
CN101552722A (zh) * 2008-04-03 2009-10-07 北京启明星辰信息技术股份有限公司 一种管理网络流量带宽的方法及装置
CN101729429A (zh) * 2010-01-21 2010-06-09 杭州华三通信技术有限公司 一种流量控制方法及装置
CN101977154A (zh) * 2010-11-16 2011-02-16 杭州迪普科技有限公司 一种智能的流量安全处理控制方法及装置
CN102143143A (zh) * 2010-10-15 2011-08-03 华为数字技术有限公司 一种网络攻击的防护方法、装置及路由器
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7203170B2 (en) * 2001-05-01 2007-04-10 Integrated Device Technology, Inc. Network switch port with weighted random early discard
WO2003077141A1 (en) * 2002-03-04 2003-09-18 Pluris, Inc. System for monitoring and facilitating data transfer traffic on at least one link node
CN101552722A (zh) * 2008-04-03 2009-10-07 北京启明星辰信息技术股份有限公司 一种管理网络流量带宽的方法及装置
CN101729429A (zh) * 2010-01-21 2010-06-09 杭州华三通信技术有限公司 一种流量控制方法及装置
CN102143143A (zh) * 2010-10-15 2011-08-03 华为数字技术有限公司 一种网络攻击的防护方法、装置及路由器
CN102457489A (zh) * 2010-10-26 2012-05-16 中国民航大学 低速率拒绝服务LDoS攻击、检测和防御模块
CN101977154A (zh) * 2010-11-16 2011-02-16 杭州迪普科技有限公司 一种智能的流量安全处理控制方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
盖玲: "互联网流量监控疏堵技术的研究与应用", 《电信科学》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656635A (zh) * 2017-02-14 2017-05-10 杭州迪普科技股份有限公司 监控报文转发流程的方法及装置
CN110191014A (zh) * 2019-05-20 2019-08-30 杭州迪普信息技术有限公司 一种规则表项的命中次数统计方法及装置
CN113114584A (zh) * 2021-03-01 2021-07-13 杭州迪普科技股份有限公司 一种网络设备的保护方法及装置
CN113114584B (zh) * 2021-03-01 2023-02-28 杭州迪普科技股份有限公司 一种网络设备的保护方法及装置
CN114189426A (zh) * 2021-10-29 2022-03-15 苏州浪潮智能科技有限公司 代理服务自适应带配置回复方法、系统、装置及存储介质
CN114189426B (zh) * 2021-10-29 2023-08-11 苏州浪潮智能科技有限公司 代理服务自适应带配置回复方法、系统、装置及存储介质

Also Published As

Publication number Publication date
CN105897609B (zh) 2019-04-09

Similar Documents

Publication Publication Date Title
US11032205B2 (en) Flow control method and switching device
CN104539594B (zh) 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法
US9998357B2 (en) Multipath transmission based packet traffic control method and apparatus
CN105897609A (zh) 一种监管数据流传输的方法和装置
US9819590B2 (en) Method and apparatus for notifying network abnormality
CN104660582B (zh) DDoS识别、防护和路径优化的软件定义的网络架构
US10567426B2 (en) Methods and apparatus for detecting and/or dealing with denial of service attacks
KR101329263B1 (ko) 네트워크 기반 장치, 집적 회로 및 네트워크 기반 시스템
CN104539595B (zh) 一种集威胁处理和路由优化于一体的sdn架构及工作方法
CN101106518B (zh) 为中央处理器提供负载保护的拒绝服务方法
CN105357137B (zh) 报文过滤方法及所适用的fpga、智能变电站
CN112737914B (zh) 报文处理方法、装置、网络设备及可读存储介质
CN104243237B (zh) P2p流检测方法和设备
CN108449279B (zh) 拥塞控制方法及装置
CN104468636A (zh) DDoS威胁过滤与链路重配的SDN架构及工作方法
CN107872401A (zh) 一种网络关键业务保障方法及装置
CN104320305B (zh) 一种网络设备转发业务监控方法及系统
CN105939339A (zh) 攻击协议报文流的防护方法及装置
CN106657126A (zh) 检测及防御DDoS攻击的装置及方法
CN106789728A (zh) 一种基于NetFPGA的VoIP流量实时识别方法
CN106921534A (zh) 数据流量监管方法及装置
CN109347810B (zh) 一种处理报文的方法和装置
CN110336759B (zh) 基于rdma的协议报文转发方法及装置
CN105208023B (zh) 中心控制器保护方法、设备及系统
CN106411780A (zh) 报文控制的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant