CN106911588A - 用于实现深度包检测优化的方法、装置和系统 - Google Patents
用于实现深度包检测优化的方法、装置和系统 Download PDFInfo
- Publication number
- CN106911588A CN106911588A CN201510969775.4A CN201510969775A CN106911588A CN 106911588 A CN106911588 A CN 106911588A CN 201510969775 A CN201510969775 A CN 201510969775A CN 106911588 A CN106911588 A CN 106911588A
- Authority
- CN
- China
- Prior art keywords
- deep
- packet detection
- information
- data message
- headend equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 158
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000005457 optimization Methods 0.000 title claims abstract description 22
- 238000012545 processing Methods 0.000 claims description 63
- 238000007689 inspection Methods 0.000 claims description 40
- 230000008569 process Effects 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 4
- 230000029058 respiratory gaseous exchange Effects 0.000 claims description 2
- 230000010365 information processing Effects 0.000 claims 2
- 238000005516 engineering process Methods 0.000 abstract description 8
- 230000004907 flux Effects 0.000 abstract description 3
- 238000004364 calculation method Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 7
- 238000012360 testing method Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 102000006479 Heterogeneous-Nuclear Ribonucleoproteins Human genes 0.000 description 1
- 108010019372 Heterogeneous-Nuclear Ribonucleoproteins Proteins 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
- H04L47/323—Discarding or blocking control packets, e.g. ACK packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
- H04L43/0829—Packet loss
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于实现深度包检测优化的方法、装置和系统,涉及云计算领域。其中方法包括:深度包检测前端设备在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则;若未查询到与数据报文相对应的策略规则,则向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;在接收到策略规则后,将策略规则写入规则表中;利用与数据报文相对应的策略规则对数据报文进行处理。本发明通过引入SDN技术,以数据流为单位对需要进入DPI检测的流量流向进行控制,减少需要检测的数据包数量,实现了DPI功能的按需部署,避免了现有技术中DPI设备随机丢弃数据包造成的解析不精确的问题。
Description
技术领域
本发明涉及云计算领域,尤其涉及一种用于实现深度包检测优化的方法、装置和系统。
背景技术
DPI(Deep Packet Inspection,深度包检测)技术是一种基于网络协议栈应用层信息的流量检测和控制技术。其中,其对数据包的检测“深度”是相对于普通的报文分析层次相比较而言的。“普通报文检测”通常仅分析网络协议栈4层以下的内容,主要包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI除了对上述这些层次的信息进行分析外,还增加了对应用层信息的分析,进而识别各种应用及其具体内容。
随着混合云(Hybrid Cloud)、虚拟私有云(Virtual PrivateCloud,VPC)等创新云服务对于数据中心网络功能按需部署需求的日益增加,DPI也正在成为公有云服务中需要为客户灵活交付的服务能力。然而,现有的DPI设备一般部署在数据中心网络的出口,通过镜像方式将所有的网络流量导入到DPI设备。DPI过程对于性能有极高的要求,软件设备很难承担相应工作,如果为租户引入专属硬件又需要付出高昂的代价。同时,当网络流量过大时,DPI设备可能会无法承担全部流量的数据解析工作,只好将一部分流量做随机的丢弃处理,这就导致了DPI解析结果不精确。这是目前需要亟待解决的问题之一。
发明内容
本发明的发明人发现了上述现有技术中存在问题,并因此针对上述问题中的至少一个问题提出了一种新的技术方案。
根据本发明的一个方面,提供了一种用于实现深度包检测优化的方法,包括:
深度包检测前端设备在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发;
若未查询到与数据报文相对应的策略规则,则深度包检测前端设备向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;
深度包检测前端设备在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中;
深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
在一个实施例中,若查询到与数据报文相对应的策略规则,则深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
在一个实施例中,还包括:深度包检测前端设备根据转发报文数计算当前的处理能力;
深度包检测前端设备根据规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力;
若当前处理能力超过预设的最大转发能力,则深度包检测前端设备向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则;
深度包检测前端设备在接收到规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。
在一个实施例中,深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理的步骤包括:
深度包检测前端设备利用与数据报文相对应的策略规则,将数据报文转发到深度包检测设备进行处理,或将数据报文丢弃。
在一个实施例中,还包括:深度包检测前端设备在进行初始化操作时,与规则控制器建立管理通路;
深度包检测前端设备在接收到规则控制器下发的信息后,判断下发信息是否为最大处理能力信息;
若下发信息为最大处理能力信息,则深度包检测前端设备记录最大处理能力信息;
若下发信息不是最大处理能力信息,则深度包检测前端设备进一步判断下发信息是否为具有策略规则的流表信息;
若下发信息为流表信息,则深度包检测前端设备记录流表信息。
根据本发明的另一方面,提供了一个用于实现深度包检测优化的方法。包括:
规则控制器在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求;
若接收到的信息为策略请求,则规则控制器从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求;
规则控制器生成与数据报文信息相对应的策略规则;
规则控制器将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
在一个实施例中,若接收到的信息不是策略请求,则规则控制器进一步判断接收到的信息是否为超过最大处理能力上报信息;
若接收到的信息为超过最大处理能力上报信息,则规则控制器增加丢弃报文策略规则;
规则控制器将增加的丢弃报文策略规则下发给深度包检测前端设备。
在一个实施例中,还包括:规则控制器在进行初始化操作时,与深度包检测前端设备建立管理通路;
规则控制器根据深度包检测设备的处理能力,确定深度包检测前端设备在单位时间内的最大处理能力;
规则控制器将最大处理能力信息下发给深度包检测前端设备;
规则控制器生成相应的具有策略规则的流表信息,并将生成的流表信息下发给深度包检测前端设备。
根据本发明的一个方面,提供了一种用于实现深度包检测优化的深度包检测前端设备,包括:
查询单元,用于在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发;
策略单元,用于若未查询到与数据报文相对应的策略规则,则向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中;
报文处理单元,用于利用与数据报文相对应的策略规则对数据报文进行处理。
在一个实施例中,报文处理单元,还用于若查询到与数据报文相对应的策略规则,则利用与数据报文相对应的策略规则对数据报文进行处理。
在一个实施例中,策略单元,还用于根据转发报文数计算当前的处理能力;根据规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力;若当前处理能力超过预设的最大转发能力,则向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则;在接收到规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。
在一个实施例中,报文处理单元,具体用于利用与数据报文相对应的策略规则,将数据报文转发到深度包检测设备进行处理,或将数据报文丢弃。
在一个实施例中,策略单元,还用于在进行初始化操作时,与规则控制器建立管理通路;在接收到规则控制器下发的信息后,判断下发信息是否为最大处理能力信息;若下发信息为最大处理能力信息,则记录最大处理能力信息;若下发信息不是最大处理能力信息,则进一步判断下发信息是否为具有策略规则的流表信息;若下发信息为流表信息,则记录流表信息。
根据本发明的一个方面,提供了一种用于实现深度包检测优化的规则控制器,包括:
信息处理单元,用于在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求;
策略生成单元,用于若接收到的信息为策略请求,则从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求;生成与数据报文信息相对应的策略规则;将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
在一个实施例中,信息处理单元,还用于若接收到的信息不是策略请求,则进一步判断接收到的信息是否为超过最大处理能力上报信息;
策略生成单元,还用于若接收到的信息为超过最大处理能力上报信息,则增加丢弃报文策略规则;将增加的丢弃报文策略规则下发给深度包检测前端设备。
在一个实施例中,信息处理单元,还用于在进行初始化操作时,与深度包检测前端设备建立管理通路;
策略生成单元,还用于根据深度包检测设备的处理能力,确定深度包检测前端设备在单位时间内的最大处理能力;将最大处理能力信息下发给深度包检测前端设备;生成相应的具有策略规则的流表信息,并将生成的流表信息下发给深度包检测前端设备。
根据本发明的又一方面,提供了一种用于实现深度包检测优化的系统,包括:
深度包检测前端设备,为上述任一实施例涉及的深度包检测前端设备;
规则控制器,为上述任一实施例涉及的规则控制器。
深度包检测设备,用于接收深度包检测前端设备转发的数据报文并进行处理。
本发明的用于实现深度包检测优化的方法和系统,通过引入SDN(Software Defined Network,软件定义网络)技术,以数据流为单位对需要进入DPI检测的流量流向进行控制,减少需要检测的数据包数量,实现了DPI功能的按需部署,避免了现有技术中DPI设备随机丢弃数据包造成的解析不精确的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明深度包检测前端设备检测优化方法一个实施例的流程图。
图2为本发明深度包检测前端设备检测优化方法另一个实施例的流程图。
图3为本发明深度包检测前端设备初始化流程图。
图4为本发明规则控制器检测优化方法一个实施例的流程图。
图5为本发明规则控制器检测优化方法另一个实施例的流程图。
图6为本发明规则控制器检测初始化流程图。
图7为本发明中深度包检测前端设备的一个实施例的示意图。
图8为本发明中规则控制器的一个实施例的示意图。
图9为本发明实现深度包检测优化的系统的一个实施例的示意图。
图10为本发明实现深度包检测优化的系统的网络架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明深度包检测前端设备检测优化方法一个实施例的流程图。如图1所示,本实施例的方法步骤如下:
步骤101,在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发。其中,具有策略规则的流表信息可以包括转发报文流表、丢弃报文流表和缺省项报文流表。
在一个实施例中,规则控制器为SDN控制器,用来引导哪些流量用于转发检测,哪些流量丢弃。SDN技术的核心思想是将网络设备的控制平面与数据平面分离,并由控制平面开放软件可编程的接口供网络用户对网络设备的控制能力进行灵活调用。对于深度包检测场景而言,引入SDN的最大优势是能够以数据流(Flow)为单位进行网络中数据流量流向的控制,从而可以有选择地(例如以租户为单位)将特定网络流量灵活地导入到深度包检测设备中,降低深度包检测设备压力,避免现有深度包检测设备难以有效满足混合云、虚拟私有云等云服务场景中深度包检测设备需求的问题。
步骤102,若未查询到与数据报文相对应的策略规则,则向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则。
步骤103,在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中。
步骤104,利用与数据报文相对应的策略规则对数据报文进行处理。例如,将数据报文转发至深度包检测设备进行处理,或将数据报文丢弃。
如图1所示的实施例中,通过引入SDN技术,以数据流为单位对需要进入DPI检测的流量流向进行控制,减少需要检测的数据包数量,实现了深度包检测功能的按需部署,避免了现有技术中深度包检测设备随机丢弃数据包造成的解析不精确的问题。
图2为本发明的深度包检测前端设备检测优化方法另一个实施例的流程图。如图2所示,本实施例的方法步骤如下:
步骤201,通过网络接收数据报文。
步骤202,在规则表中查询是否存在与数据报文对应的策略规则。若不存在,则进入步骤203;若存在,则进入步骤205。
步骤203,向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则。
步骤204,在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中。
步骤205,利用与数据报文相对应的策略规则对数据报文进行处理。例如,将数据报文转发至深度包检测设备进行处理,或将数据报文丢弃。
在另一个实施例中,还包括:
步骤206,根据转发报文数计算当前的处理能力。
步骤207,根据规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力。
步骤208,若当前处理能力超过预设的最大转发能力,则向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则。然后返回步骤201。
若当前能力没有到达预设的最大转发能力,则继续按照现有的策略规则对数据进行转发或丢弃。若当前处理能力超过预设的最大转发能力时,则向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则。在接收到规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。并按照更新后的规则表进行数据转发或丢弃。避免了现有技术中深度检测设备对待测数据的随机丢弃,得到的测试结果更准确。其中,规则控制器生成的不限于现有技术中的根据五元组进行数据包解析的粗放方式,而是可以根据更丰富的数据流特征,例如来自云管理平台等外部组件的租户网络相关的VxLAN ID(虚拟可扩展局域网标识)等相关信息,更灵活的选择转发或丢弃的数据报文。
图3为本发明深度包检测前端设备初始化流程的一个实施例的流程图。如图3所示,本实施例的方法步骤如下:
步骤301,在进行初始化操作时,与规则控制器建立管理通路。
步骤302,在接收到规则控制器下发的信息后,判断下发信息是否为最大处理能力信息。
步骤303,若下发信息为最大处理能力信息,则记录最大处理能力信息。
步骤304,若下发信息不是最大处理能力信息,则进一步判断下发信息是否为具有策略规则的流表信息。
步骤305,若下发信息为流表信息,则记录流表信息。
本实施例中,策略规则可以是主动规则,也可以是被动规则,当为主动规则时,规则控制器下发的为已制定的静态规则。当为被动规则时,规则控制器根据上报的数据流信息进行分析,针对性的下发策略规则并定期动态调整,以适应多变的网络环境。
图4为本发明规则控制器检测优化方法一个实施例的流程图。如图4所示,本实施例的方法步骤如下:
步骤401,在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求。
步骤402,若接收到信息为策略请求,则从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求。
步骤403,生成与数据报文信息相对应的策略规则。
步骤404,将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。例如,策略规则可以包括转发报文流表、丢弃报文流表、缺省项报文流表。
本实施例中,策略规则可以是主动规则,也可以是被动规则,当为主动规则时,规则控制器下发的为已制定的静态规则。当为被动规则时,规则控制器根据上报的数据流信息进行分析,针对性的下发策略规则并定期动态调整,以适应多变的网络环境。
图5为本发明规则控制器检测优化方法另一个实施例的流程图。如图5所示,本实施例的方法步骤如下:
步骤501,接收深度包检测前端设备发送的信息。
步骤502,判断接收到的信息是否为策略请求。若是,则进入步骤503;否则,进入步骤506。
步骤503,若接收到的信息为策略请求,则从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求。
步骤504,生成与数据报文信息相对应的策略规则。其中生成规则不限于现有SDN技术中的根据五元组进行数据包解析的方式,而是可以根据更丰富的数据流特征,例如来自云管理平台等外部组件的租户网络相关的VxLAN ID等相关信息,更灵活的选择转发或丢弃的数据报文。
步骤505,将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
步骤506,若接收到的信息不是策略请求,则进一步判断接收到的信息是否为超过最大处理能力上报信息。
步骤507,若接收到的信息为超过最大处理能力上报信息,则增加丢弃报文策略规则。
步骤508,将增加的丢弃报文策略规则下发给深度包检测前端设备。
为了避免现有技术中深度包检测设备在数据报文超过其最大处理能力时随机丢弃数据的问题。本实施例中,当接收到的信息为超过最大处理能力上报信息,则增加丢弃报文策略规则并发送给深度包检测前端设备,以便深度包检测前端设备根据策略规则丢弃相应的数据,转发检测所必须的数据,使得深度包检测设备的检测结果更加准确。
图6为本发明规则控制器初始化流程图。如图6所示,本实施例的方法步骤如下:
步骤601,在进行初始化操作时,与深度包检测前端设备建立管理通路。
步骤602,根据深度包检测设备的处理能力,确定深度包检测前端设备在单位时间内的最大处理能力。
步骤603,将最大处理能力信息下发给深度包检测前端设备。
步骤604,生成相应的具有策略规则的流表信息,并将生成的流表信息下发给深度包检测前端设备。其中具有策略规则的流表信息可以包括转发报文流表、丢弃报文流表、缺省项报文流表。
图7为本发明的深度包检测前端设备的一个实施例的示意图,如图7所示,包括查询单元701、策略单元702和报文处理单元703,其中:
查询单元701用于在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发。
策略单元702用于若未查询到与数据报文相对应的策略规则,则向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中。
在一个实施例中,策略单元702还用于根据转发报文数计算当前的处理能力;根据规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力;若当前处理能力超过预设的最大转发能力,则向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则;在接收到规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。
在一个实施例中,策略单元702还用于在进行初始化操作时,与规则控制器建立管理通路;在接收到规则控制器下发的信息后,判断下发信息是否为最大处理能力信息;若下发信息为最大处理能力信息,则记录最大处理能力信息;若下发信息不是最大处理能力信息,则进一步判断下发信息是否为策略规则;若下发信息为策略规则,则记录策略规则。
报文处理单元703用于利用与数据报文相对应的策略规则对数据报文进行处理。例如具体用于利用与数据报文相对应的策略规则,将数据报文转发到深度包检测设备进行处理,或将数据报文丢弃。
在一个实施例中,报文处理单元703还用于若查询到与数据报文相对应的策略规则,则利用与数据报文相对应的策略规则对数据报文进行处理。
图7所示实施例中,深度包检测前端设备,根据规则控制器下发的策略规则,对待检测的数据报文进行管理,根据客户需求丢弃不需要检测的数据包,减少深度包检测设备检测的数据包数量,从而减轻了深度包检测设备的处理压力。深度包检测前端设备可以是一个独立的物理设备,可以是深度包检测设备中的一个模块,将控制面和数据面分离。当为独立物理设备时,深度包检测前端设备可以不影响现有的深度包检测设备的结构和状态,但是会增加组网复杂度;当为深度包检测设备中的一个模块时,虽然会改变现有的深度包检测设备的结构,但是可以利用深度包检测设备自身的高性能包解析能力,更高效的开展数据包信息的匹配和转发控制。本领域技术人员可以根据实际需求,进行灵活配置。
图8为本发明的规则控制器的一个实施例的示意图,包括信息处理单元801和策略生成单元802,其中,
信息处理单元801用于在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求。
策略生成单元802用于若接收到的信息为策略请求,则从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求;生成与数据报文信息相对应的策略规则;将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
在一个实施例中,信息处理单元801还用于若接收到的信息不是策略请求,则进一步判断接收到的信息是否为超过最大处理能力上报信息。策略生成单元802还用于若接收到的信息为超过最大处理能力上报信息,则增加丢弃报文策略规则;将增加的丢弃报文策略规则下发给深度包检测前端设备。
在一个实施例中,信息处理单元801还用于在进行初始化操作时,与深度包检测前端设备建立管理通路。策略生成单元802还用于根据深度包检测设备的处理能力,确定深度包检测前端设备在单位时间内的最大处理能力;将最大处理能力信息下发给深度包检测前端设备;生成相应的具有策略规则的流表信息,并将生成的流表信息下发给深度包检测前端设备。其中具有策略规则的流表信息可以包括转发报文流表、丢弃报文流表、缺省项报文流表。
如图8所示的实施例中,规则控制器可以为SDN控制器,基于OpenFlow(开放数据流)协议。OpenFlow协议通过对OpenFlow流表的下发和网络中未匹配数据包的上报,实现了SDN控制器对网络的集中化控制。其中,OpenFlow流表能够体现出丰富的数据流的特征(例如租户网络相关的VxLAN ID等相关信息),并且支持灵活的结构定义,能够有效地避免传统的根据五元组进行数据包解析的粗放方式。
图9为本发明的用于实现深度包检测优化的系统的一个实施例的示意图。包括:
深度包检测前端设备901,为上述任一实施例涉及的深度包检测前端设备。
规则控制器902,为上述任一实施例涉及的规则控制器。
深度包检测设备903用于接收深度包检测前端设备901转发的数据报文并进行处理。
图10为本发明的系统具有应用于数据中心网络深度包检测的网络架构图。本发明在现有的深度包检测系统中,增加了深度包检测前端设备1001和规则控制器1002,深度包检测前端设备1001接收待检测的数据报文,通过规则控制器1002下发的策略规则对数据进行转发或丢弃,以数据流为单位对需要进入深度包检测设备1003的流量流向进行控制,减少需要检测的数据包数量,实现了深度包检测功能的按需部署,避免了现有技术中深度包检测设备随机丢弃数据包造成的解析不精确的问题。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (17)
1.一种用于实现深度包检测优化的方法,其特征在于,包括:
深度包检测前端设备在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发;
若未查询到与数据报文相对应的策略规则,则深度包检测前端设备向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;
深度包检测前端设备在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中;
深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
2.根据权利要求1所述的方法,其特征在于,
若查询到与数据报文相对应的策略规则,则深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
3.根据权利要求2所述的方法,其特征在于,还包括:
深度包检测前端设备根据转发报文数计算当前的处理能力;
深度包检测前端设备根据规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力;
若当前处理能力超过预设的最大转发能力,则深度包检测前端设备向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则;
深度包检测前端设备在接收到规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。
4.根据权利要求1-3中任一项所述的方法,其特征在于,
深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理的步骤包括:
深度包检测前端设备利用与数据报文相对应的策略规则,将数据报文转发到深度包检测设备进行处理,或将数据报文丢弃。
5.根据权利要求1-3中任一项所述的方法,其特征在于,还包括:
深度包检测前端设备在进行初始化操作时,与规则控制器建立管理通路;
深度包检测前端设备在接收到规则控制器下发的信息后,判断下发信息是否为最大处理能力信息;
若下发信息为最大处理能力信息,则深度包检测前端设备记录最大处理能力信息;
若下发信息不是最大处理能力信息,则深度包检测前端设备进一步判断下发信息是否为具有策略规则的流表信息;
若下发信息为流表信息,则深度包检测前端设备记录流表信息。
6.一种用于实现深度包检测优化的方法,其特征在于,包括:
规则控制器在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求;
若接收到的信息为策略请求,则规则控制器从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求;
规则控制器生成与数据报文信息相对应的策略规则;
规则控制器将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
7.根据权利要求6所述的方法,其特征在于,
若接收到的信息不是策略请求,则规则控制器进一步判断接收到的信息是否为超过最大处理能力上报信息;
若接收到的信息为超过最大处理能力上报信息,则规则控制器增加丢弃报文策略规则;
规则控制器将增加的丢弃报文策略规则下发给深度包检测前端设备。
8.根据权利要求6或7所述的方法,其特征在于,还包括:
规则控制器在进行初始化操作时,与深度包检测前端设备建立管理通路;
规则控制器根据深度包检测设备的处理能力,确定深度包检测前端设备在单位时间内的最大处理能力;
规则控制器将最大处理能力信息下发给深度包检测前端设备;
规则控制器生成相应的具有策略规则的流表信息,并将生成的流表信息下发给深度包检测前端设备。
9.一种用于实现深度包检测优化的深度包检测前端设备,其特征在于,包括:
查询单元,用于在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发;
策略单元,用于若未查询到与数据报文相对应的策略规则,则向规则控制器发送策略请求,以便所述规则控制器下发与数据报文相对应的策略规则;在接收到所述规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中;
报文处理单元,用于利用与数据报文相对应的策略规则对数据报文进行处理。
10.根据权利要求9所述的深度包检测前端设备,其特征在于,所述报文处理单元,还用于若查询到与数据报文相对应的策略规则,则利用与数据报文相对应的策略规则对数据报文进行处理。
11.根据权利要求10所述的深度包检测前端设备,其特征在于,所述策略单元,还用于根据转发报文数计算当前的处理能力;根据所述规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力;若当前处理能力超过预设的最大转发能力,则向所述规则控制器发送超过最大处理能力上报信息,以便所述规则控制器增加丢弃报文策略规则;在接收到所述规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。
12.根据权利要求9-11中任一项所述的深度包检测前端设备,其特征在于,所述报文处理单元,具体用于利用与数据报文相对应的策略规则,将数据报文转发到深度包检测设备进行处理,或将数据报文丢弃。
13.根据权利要求9-11中任一项所述的深度包检测前端设备,其特征在于,所述策略单元,还用于在进行初始化操作时,与所述规则控制器建立管理通路;在接收到所述规则控制器下发的信息后,判断下发信息是否为最大处理能力信息;若下发信息为最大处理能力信息,则记录最大处理能力信息;若下发信息不是最大处理能力信息,则进一步判断下发信息是否为具有策略规则的流表信息;若下发信息为流表信息,则记录流表信息。
14.一种用于实现深度包检测优化的规则控制器,其特征在于,包括:
信息处理单元,用于在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求;
策略生成单元,用于若接收到的信息为策略请求,则从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求;生成与数据报文信息相对应的策略规则;将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。
15.根据权利要求14所述的规则控制器,其特征在于,
所述信息处理单元,还用于若接收到的信息不是策略请求,则进一步判断接收到的信息是否为超过最大处理能力上报信息;
所述策略生成单元,还用于若接收到的信息为超过最大处理能力上报信息,则增加丢弃报文策略规则;将增加的丢弃报文策略规则下发给深度包检测前端设备。
16.根据权利要求14或15所述的规则控制器,其特征在于,
所述信息处理单元,还用于在进行初始化操作时,与深度包检测前端设备建立管理通路;
所述策略生成单元,还用于根据深度包检测设备的处理能力,确定深度包检测前端设备在单位时间内的最大处理能力;将最大处理能力信息下发给深度包检测前端设备;生成相应的具有策略规则的流表信息,并将生成的流表信息下发给深度包检测前端设备。
17.一种用于实现深度包检测优化的系统,其特征在于,包括:
深度包检测前端设备,为权利要求9-13中任一项涉及的深度包检测前端设备;
规则控制器,为权利要求14-16中任一项涉及的规则控制器。
深度包检测设备,用于接收所述深度包检测前端设备转发的数据报文并进行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510969775.4A CN106911588B (zh) | 2015-12-22 | 2015-12-22 | 用于实现深度包检测优化的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510969775.4A CN106911588B (zh) | 2015-12-22 | 2015-12-22 | 用于实现深度包检测优化的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106911588A true CN106911588A (zh) | 2017-06-30 |
| CN106911588B CN106911588B (zh) | 2020-03-20 |
Family
ID=59200902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510969775.4A Active CN106911588B (zh) | 2015-12-22 | 2015-12-22 | 用于实现深度包检测优化的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106911588B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547533A (zh) * | 2017-08-24 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种特征规则开启方法及装置 |
| CN108667741A (zh) * | 2018-04-26 | 2018-10-16 | 宝牧科技(天津)有限公司 | 一种用于工业网络数据转发的控制方法及系统 |
| CN110753006A (zh) * | 2019-09-17 | 2020-02-04 | 优刻得科技股份有限公司 | 一种数据处理方法、装置及电子设备 |
| CN110856176A (zh) * | 2019-10-18 | 2020-02-28 | 国家计算机网络与信息安全管理中心 | 一种采用流表方式实现的呼叫管理的系统及其方法 |
| CN110990669A (zh) * | 2019-10-16 | 2020-04-10 | 广州丰石科技有限公司 | 一种基于规则生成的dpi解析方法和系统 |
| CN111817917A (zh) * | 2020-07-03 | 2020-10-23 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
| CN113572700A (zh) * | 2020-04-29 | 2021-10-29 | 厦门网宿有限公司 | 流量检测方法、系统、装置及计算机可读存储介质 |
| CN113810348A (zh) * | 2020-06-17 | 2021-12-17 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399749A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
| CN104639451A (zh) * | 2013-11-14 | 2015-05-20 | 中兴通讯股份有限公司 | 数据流分流方法及控制器 |
| US20150200838A1 (en) * | 2014-01-10 | 2015-07-16 | Juniper Networks, Inc. | Dynamic end-to-end network path setup across multiple network layers with network service chaining |
-
2015
- 2015-12-22 CN CN201510969775.4A patent/CN106911588B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399749A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
| CN104639451A (zh) * | 2013-11-14 | 2015-05-20 | 中兴通讯股份有限公司 | 数据流分流方法及控制器 |
| US20150200838A1 (en) * | 2014-01-10 | 2015-07-16 | Juniper Networks, Inc. | Dynamic end-to-end network path setup across multiple network layers with network service chaining |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107547533A (zh) * | 2017-08-24 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种特征规则开启方法及装置 |
| CN108667741A (zh) * | 2018-04-26 | 2018-10-16 | 宝牧科技(天津)有限公司 | 一种用于工业网络数据转发的控制方法及系统 |
| CN108667741B (zh) * | 2018-04-26 | 2021-11-12 | 宝牧科技(天津)有限公司 | 一种用于工业网络数据转发的控制方法及系统 |
| CN110753006A (zh) * | 2019-09-17 | 2020-02-04 | 优刻得科技股份有限公司 | 一种数据处理方法、装置及电子设备 |
| CN110990669A (zh) * | 2019-10-16 | 2020-04-10 | 广州丰石科技有限公司 | 一种基于规则生成的dpi解析方法和系统 |
| CN110856176A (zh) * | 2019-10-18 | 2020-02-28 | 国家计算机网络与信息安全管理中心 | 一种采用流表方式实现的呼叫管理的系统及其方法 |
| CN113572700A (zh) * | 2020-04-29 | 2021-10-29 | 厦门网宿有限公司 | 流量检测方法、系统、装置及计算机可读存储介质 |
| CN113810348A (zh) * | 2020-06-17 | 2021-12-17 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
| CN113810348B (zh) * | 2020-06-17 | 2023-04-07 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
| CN111817917A (zh) * | 2020-07-03 | 2020-10-23 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106911588B (zh) | 2020-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106911588A (zh) | 用于实现深度包检测优化的方法、装置和系统 | |
| US11218423B2 (en) | Method for service implementation in network function virtualization (NFV) system and communications unit | |
| CN103746911B (zh) | 一种sdn网络结构及其通信方法 | |
| US9001688B2 (en) | Dynamic balancing of a traffic mix for data center device testing | |
| US8582466B2 (en) | Flow statistics aggregation | |
| US9001668B2 (en) | Endpoint selection in a network test system | |
| CN105721318B (zh) | 一种软件定义网络sdn中发现网络拓扑的方法和装置 | |
| CN108243106A (zh) | 控制网络切片的方法、转发设备、控制设备和通信系统 | |
| CN110493351B (zh) | 一种视联网接入方法、装置、设备及存储介质 | |
| CN108040019B (zh) | 报文转发的方法及装置 | |
| CN110225474A (zh) | 一种多连接下的数据量上报方法 | |
| US11575566B2 (en) | Telecommunication network analytics platform | |
| US11483685B2 (en) | Systems and methods for distributed charging in digital telecommunications networks | |
| CN104852828B (zh) | 一种网络时延检测方法,装置及系统 | |
| EP3203693B1 (en) | User message forwarding control method and processing node | |
| CN110493069A (zh) | 故障检测方法、装置、sdn控制器及转发设备 | |
| CN105162729B (zh) | 一种基于用户策略的sdn报文处理方法、系统和sdn设备 | |
| CN109995664A (zh) | 一种发送数据流的方法、设备和系统 | |
| US9094290B2 (en) | Measuring and displaying bandwidth contention | |
| US20240098004A1 (en) | Packet forwarding method and apparatus, and communication network | |
| CN112469067B (zh) | 一种网络批量业务流量监测方法和系统 | |
| KR102174190B1 (ko) | 5g 기반의 네트워크 성능 시각화 방법, 장치 및 시스템 | |
| CN107819596A (zh) | Sdn网络故障的诊断方法、装置及系统 | |
| CN107835109B (zh) | 一种测试软件定义的分组传送网网络的方法及系统 | |
| CN108667873B (zh) | 一种分流方法、分流装置、电子设备和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20170630 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000040 Denomination of invention: Method, device, and system for optimizing deep packet inspection Granted publication date: 20200320 License type: Common License Record date: 20240914 |
|
| EE01 | Entry into force of recordation of patent licensing contract |