CN111817917A - 一种深度包检测的方法、装置、服务器及存储介质 - Google Patents
一种深度包检测的方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN111817917A CN111817917A CN202010636949.6A CN202010636949A CN111817917A CN 111817917 A CN111817917 A CN 111817917A CN 202010636949 A CN202010636949 A CN 202010636949A CN 111817917 A CN111817917 A CN 111817917A
- Authority
- CN
- China
- Prior art keywords
- detection
- data
- virtual detector
- control platform
- inspection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及计算机技术领域,公开了一种深度包检测的方法、装置、服务器及存储介质。本发明中的深度包检测的方法,应用于数据检测平台,数据检测平台包括:第一虚拟检测器和第二虚拟检测器,第一虚拟检测器部署于家庭网关,第二虚拟检测器部署于数据汇集设备,数据汇集设备用于汇集多个家庭网关的数据包,方法包括:第一虚拟检测器根据控制平台下发的第一检测策略,对家庭网关的数据包进行第一检测,确定数据包的第二层至第四层中是否存在异常;第二虚拟检测器根据控制平台下发的第二检测策略,对数据汇集设备中的指定数据包进行第二检测,确定指定数据包的第五层至第七层中是否存在异常。
Description
技术领域
本发明实施例涉及计算机技术领域,特别涉及一种深度包检测的方法、装置、服务器及存储介质。
背景技术
深度包检测技术(Deep Packets Inspection,简称“DPI”),是一种可以解析TCP/IP协议七层信息的数据包检测技术。相对比防火墙技术、网关识别技术、深度流检测技术,拥有更加深层次的识别机制,能够深度解析出应用层的特征信息,能够分析和识別互联网中的各种类型业务。DPI设备可以将数据包的七层信息全部解析出来进行规则匹配。
发明人发现相关技术中至少存在如下问题:目前的DPI技术依赖于高耦合的底层设备和网络设备,这导致DPI技术的灵活性差,使用不便等问题。
发明内容
本发明实施方式的目的在于提供一种深度包检测的方法、装置、服务器及存储介质,使得可以快速、高效地对数据包进行深度检测。
为解决上述技术问题,本发明的实施方式提供了一种深度包检测的方法,应用于数据检测平台,数据检测平台包括:第一虚拟检测器和第二虚拟检测器,第一虚拟检测器部署于家庭网关,第二虚拟检测器部署于数据汇集设备,数据汇集设备用于汇集多个家庭网关的数据包,方法包括:第一虚拟检测器根据控制平台下发的第一检测策略,对家庭网关的数据包进行第一检测,确定数据包的第二层至第四层中是否存在异常;第二虚拟检测器根据控制平台下发的第二检测策略,对数据汇集设备中的指定数据包进行第二检测,确定指定数据包的第五层至第七层中是否存在异常。
本发明的实施方式还提供了一种深度包检测的方法,应用于控制平台,控制平台与数据检测平台连接,数据检测平台执行上述的深度包检测的方法;该方法包括:向数据检测平台的第一虚拟检测器下发第一检测策略;向数据检测平台的第二虚拟检测器下发第二检测策略。
本发明的实施方式还提供了一种深度包检测的装置,深度包检测的装置,包括:第一下发模块和第二下发模块;第一下发模块用于向数据检测平台的第一虚拟检测器下发第一检测策略;第二下发模块用于向数据检测平台的第二虚拟检测器下发第二检测策略。
本发明的实施方式还提供了一种服务器,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述应用于数据检测平台上的深度包检测的方法,或者执行应用于控制平台的深度包检测的方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现应用于数据检测平台上的深度包检测的方法,或者执行时实现应用于控制平台的深度包检测的方法。
本发明实施方式相对于现有技术而言,数据检测平台包括第一虚拟探测器和第二虚拟探测器,且两个虚拟探测器设置在不同位置,第一虚拟探测器设置在家庭网关上,可以实时对数据包进行第一检测,可以实时确定用户侧设备采集的数据包的第二层至第四层是否存在异常,由于第一检测只针对数据包的第二层至第四层,检测速度快;第二虚拟探测器设置在数据汇集设备上,可以采集指定数据包,对指定数据包进行第二检测,第二检测是针对数据包的第五层至第七层的检测,数据包的第五层至第七层的层次高,检测速度繁杂,而本实例中无需对所有数据包进行第二检测,而是由针对性的对指定数据包进行检测,使得检测速度快,避免出现所有的检测任务在网络侧进行,而导致数据检测平台的资源开销大的问题。
另外,在第一虚拟检测器根据控制平台下发的第一检测策略,对家庭网关的数据包进行第一检测,确定数据包的第二层至第四层中是否存在异常之后,该方法还包括:获数据包的第一检测的第一检测结果;将第一检测结果上传控制平台,以由控制平台根据第一检测结果,修正当前第二检测的第二检测策略;在第二虚拟检测器根据控制平台下发的第二检测策略,对数据汇集设备中的指定数据包进行第二检测,确定指定数据包的第五层至第七层中是否存在异常之后,方法还包括:获取指定数据包的第二检测的第二检测结果;将第二检测结果上传控制平台,以由控制平台根据第二检测结果,确定下一次进行第二检测的第二检测策略。数据包的第一检测的第一检测结果返回控制平台,控制平台可以针对第一检测结果修正当前第二检测的第二检测策略,使得当前的第二检测策略更加准确;第二检测的第二检测结果上传控制平台,控制平台可以根据第二检测结果重新确定下一次第二检测的第二检测策略,形成了第二检测的闭环,使得重新确定的第二检测策略更加准确。
另外,该方法还包括:采集家庭网关的运行状态信息;将运行状态信息上传控制平台,以由控制平台根据运行状态信息,和/或,第一检测结果,确定下一次下发的第一检测策略。控制平台根据家庭网关的运行状态信息,调整第一检测策略,使得第一检测策略更加准确;或者可以通过上传的第一检测结果调整第一检测策略,使得第一检测策略更加准确,也可以根据第一检测结果和家庭网关的运行状态信息共同调整第一检测策略。
另外,第二虚拟检测器包括:采集器、负载均衡器和多个数据分析虚拟机;第二虚拟检测器根据控制平台下发的第二检测策略,对数据汇集设备中的指定数据包进行第二检测,确定指定数据包的第五层至第七层中是否存在异常,包括:采集器根据第二检测策略,从数据汇集设备中采集指定数据包;负载均衡器根据第二检测策略以及每个数据分析虚拟机的负载信息,向多个数据分析虚拟机分配指定数据包;数据分析虚拟机对分配到的指定数据包进行分析,确定指定数据包的第五层至第七层中是否存在异常。第二虚拟检测器中设置由负载均衡器以及多个数据分析虚拟机,每个数据分析虚拟机的负载均衡,从而使得每个数据分析虚拟机可以快速对指定数据包进行分析,提高每个数据分析虚拟机的利用率。
另外,数据汇集设备包括以下任意一种:宽带接入服务器、软件定义网络交换机、省级网关。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是根据本发明第一实施例提供的一种深度包检测的方法的流程图;
图2是根据本发明第一实施例提供的一种SDN网络架构示意图;
图3是根据本发明第二实施例提供的一种深度包检测的方法的流程图;
图4是根据本发明第二实施例提供的一种SDN网络架构示意图;
图5是根据本发明第三实施例提供的一种深度包检测的方法的流程图;
图6是根据本发明第四实施例提供的一种深度包检测的方法的流程图;
图7是根据本发明第五实施例提供的一种深度包检测的装置的结构框图;
图8是根据本发明第六实施例提供的一种服务器的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
发明人发现目前采用的深度包检测方法,需要一台额外的DPI服务器,DPI服务器通常采用传统的软件和硬件耦合的方式进行部署,这样可以实现较高的网络处理性能,满足运营商电信级的业务要求,但是DPI服务器的功能单一、开放性和通用性低,灵活性差。
软件定义网络(Software Defined Networking,简称“SDN”)是一种新型的网络技术,它的核心思想是将网络的控制平面和数据平面进行分离,并且可以对控制平面进行编程。数据平面与控制平面的分离将有助于底层网络设施资源的抽象以及管理视图的集中,并以虚拟资源的形式支持上层应用与服务,实现更好的灵活性与可控性。从而数据平面上的交换机等网络设备可以只关注数据的转发而不考虑决策策略;所有的决策策略都由控制平面上的SDN控制器来决定和处理,这就使得网络的配置和管理变得非常敏捷高效。网络管理员也就可以通过集中的方式对网络进行配置和管理,而无需单独访问和配置每个网络硬件设备。
本发明的第一实施方式涉及一种深度包检测的方法。该深度包检测的方法应用于数据检测平台,数据检测平台包括:第一虚拟检测器和第二虚拟检测器,第一虚拟检测器部署于家庭网关,第二虚拟检测器部署于数据汇集设备,数据汇集设备用于汇集多个家庭网关的数据包。该深度包检测的方法的具体步骤如图1所示。
为了提高控制平台对数据检测平台、家庭网关以及数据汇集设备的灵活控制,可以采用软件定义网络,软件定义网络(Software Defined Networking,简称“SDN”)是一种新型的网络技术,它的核心思想是将网络的控制平面和数据平面进行分离,并且可以对控制平面进行编程。数据平面与控制平面的分离将有助于底层网络设施资源的抽象以及管理视图的集中,并以虚拟资源的形式支持上层应用与服务,实现更好的灵活性与可控性。从而数据平面上的交换机等网络设备可以只关注数据的转发而不考虑决策策略;所有的决策策略都由控制平面上的SDN控制器来决定和处理,这就使得网络的配置和管理变得非常敏捷高效。网络管理员也就可以通过集中的方式对网络进行配置和管理,而无需单独访问和配置每个网络硬件设备。
本示例中,网络架构为如图2所示的SDN网络架构,下面结和附图1以及图2介绍本实施方式中的深度包检测的过程。
步骤101:第一虚拟检测器根据控制平台下发的第一检测策略,对家庭网关的数据包进行第一检测,确定数据包的第二层至第四层中是否存在异常。
为了便于理解,先对图2中的SDN网络架构进行介绍,该SDN网络架构可以包括:控制平台、家庭网关和数据汇集设备;数据汇集设备可以分别与多个家庭网关通信连接,如,100个家庭网关,数据汇集设备可以接入通信系统的核心网络,从而将家庭网关采集的数据包上传至核心网络中,控制平台可以分别通信连接家庭网关和数据汇集设备,本示例中,控制平台可以为SDN控制平台。其中,数据汇集设备包括以下任意一种:宽带接入服务器、SDN交换机、省级网关。
第一虚拟检测器被部署于家庭网关中,例如,可以采用软件插件的形内置于家庭网关设备中。该第一虚拟检测器被部署于家庭网关之后,该第一虚拟检测器即可实时采集用户设备产生的数据包。
第二虚拟检测器被部署于数据汇集设备,该第一虚拟检测器和第二虚拟检测器分别和控制平台连接。可以理解的是,在SDN架构中可以包括多种数据汇集设备,例如,如图2所示,在该SDN架构中,设置有SDN交换机和BRAS服务器两种数据汇集设备,其中,SDN交换机可以有多个,每个SDN交换机均与BRAS服务器连接,由BRAS服务器汇集每个SDN交换机中的数据。基于高效检测的考虑,可以将该第二虚拟检测器部署于BRAS服务器上,该第二虚拟检测器与BRAS服务器之间的虚线表示两者之间连接,第二虚拟检测器与控制平台之间的虚线表示第二虚拟检测器与该控制平台连接。
SDN控制平台可以按照预设间隔向第一虚拟检测器下发第一检测策略,第一检测策略可以包括探测数据包的第二层至第四层的检测策略,例如,第一检测策略可以包括:检测数据流量是否异常的策略,检测IP地址是否异常的策略等等。第一虚拟检测器根据第一检测策略对家庭网关获取的数据包进行第一检测,例如,对数据包的IP地址、数据流量进行检测;确定数据包的第二层至第四层中是否存在异常。
在一个例子中,获取数据包的第一检测的第一检测结果;将第一检测结果上传控制平台,以由控制平台根据所述第一检测结果,修正当前第二检测的第二检测策略。
具体的说,该第一虚拟检测器可以将通过“Packet-in”的方式向SDN控制平台上报第一检测结果,第一检测结果可以包括:异常数据包的包名、异常原因等信息、异常流量信息等。该SDN控制平台接收该第一检测结果,可以根据该第一检测结果,修正当前第二检测的第二检测策略。例如,本次的第二检测策略可以预先存储的,也可以采用上一次确定的第二检测策略;若第一检测结果的数据包存在流量异常的情况,可以获取该数据包的数据类型,将确定的异常数据包的数据类型添加至第二检测策略的指定类型中,以便对该属于指定类型的数据包进行第5层至第7层的检测。
值得一提的是,通过对该第二检测策略进行修正,使得该第二检测策略更加准确,可以提高第二检测的准确度,减少漏检情况的发生。
步骤102:第二虚拟检测器根据控制平台下发的第二检测策略,对数据汇集设备中的指定数据包进行第二检测,确定指定数据包的第五层至第七层中是否存在异常。
具体的说,该第二虚拟检测器从数据汇集设备中抓取指定数据包,对指定数据包进行应用层内容的探测和分析,得到第二检测的第二检测结果,该第二检测结果可以包括:存在网络安全隐患的数据包;其中,第二检测策略中可以包括指定数据包的信息,如:指定数据包的数据类型,第二检测的检测内容等信息,如:应用类型的检测等。第二虚拟检测器可以将第二检测的第二检测结果上传控制平台,由控制平台根据该第二检测结果,对属于异常的数据进行处理。
在一个例子中,获取指定数据包的第二检测的第二检测结果;将第二检测结果上传控制平台,以由控制平台根据第二检测结果,确定下一次第二检测的第二检测策略。
具体的说,第二虚拟检测器将第二检测结果上传控制平台,控制平台可以根据该第二检测结果,确定下一次第二检测的第二检测策略,例如,第二检测结果包括:异常数据包的异常信息,异常信息可以:数据包内容不合法、数据包的IP地址不合法等等;控制平台可以根据该异常信息,查找与该异常信息相关的数据类型,从查找的数据类型中筛选出当前第二检测策略中未指定的数据类型,将筛选的数据类型添加至该第二检测策略中,得到下一次第二检测的第二检测策略。
需要说明的是,控制平台在接收到第一检测结果后,可以根据第一检测结果对异常的数据包进行处理,同理,控制平台在接收到第二检测结果后,也同样可以根据第二检测结果,对异常数据进行处理,例如,可以对异常会话进行阻断,进行阻断方式可以是控制平台向SDN交换机下发流表,对该异常的数据流量进行阻断,即匹配到相应的流表项,进行丢弃。若发现应用层的内容信息合法,那么维持该数据流的正常分发。
本发明实施方式相对于现有技术而言,数据检测平台包括第一虚拟探测器和第二虚拟探测器,且两个虚拟探测器设置在不同位置,第一虚拟探测器设置在家庭网关上,可以实时对数据包进行第一检测,可以实时确定用户侧设备采集的数据包的第二层至第四层是否存在异常,由于第一检测只针对数据包的第二层至第四层,检测速度快;第二虚拟探测器设置在数据汇集设备上,可以采集指定数据包,对指定数据包进行第二检测,第二检测是针对数据包的第五层至第七层的检测,数据包的第五层至第七层的层次高,检测速度繁杂,而本实例中无需对所有数据包进行第二检测,而是由针对性的对指定数据包进行检测,使得检测速度快,避免出现所有的检测任务在网络侧进行,而导致数据检测平台的资源开销大的问题。
本发明的第二实施方式涉及一种深度包检测的方法。第二实施方式与第一实施方式大致相同,主要区别之处在于:在本发明第二实施方式中,本实施方式中,还包括采集运行状态信息,将该运行状态信息上传控制平台,由控制平台根据该运行状态信息和/或第一检测结果,确定下一次下发的第一检测策略。该第二实施方式的具体流程如图3所示。
步骤201:第一虚拟检测器根据控制平台下发的第一检测策略,对家庭网关的数据包进行第一检测,确定数据包的第二层至第四层中是否存在异常。
步骤202:采集家庭网关的运行状态信息。
具体的说,可以实时收集家庭网关的运行状态信息,也可以每个预设时长采集家庭网关的运行状态信息。家庭网关的运行状态信息可以包括:设备运行是否存在异常、在流量集中时刻的流量类型、流量统计等信息。
步骤203:将运行状态信息上传控制平台,以由控制平台根据运行状态信息,和/或,第一检测结果,确定下一次下发的第一检测策略。
具体的说,将采集的运行状态信息上传控制平台,该控制平台可以根据该运行状态信息,重新确定下一次下发的第一检测策略,例如,上一次下发的第一检测策略A1是对IP地址进行检测,上传的运行状态信息中包括在流量集中时刻的流量类型,控制平台对该运行状态进行分析,确定流量大的业务类型,可以在下一次的第一检测策略中增加对确定的业务类型进行数据包的检测的策略,并将增加内容后的第一检测策略作为下一次待下发的第一检测策略。
控制平台也可以根据上传的第一检测结果,重新确定下一次下发的第一检测策略,由于第一检测结果中包括对数据包中是否异常的结果,可以根据该结果,调整第一检测策略,从而使得下一次进行第一检测时,检测更加准确。
控制平台还可以同时根据第一检测结果和运行状态信息,重新确定下一次待下发的第一检测策略。
步骤204:第二虚拟检测器根据控制平台下发的第二检测策略,对数据汇集设备中的指定数据包进行第二检测,确定指定数据包的第五层至第七层中是否存在异常。
在一个例子中,第二虚拟检测器的结构框图如图4中虚线框,包括:采集器、负载均衡器和至少两个数据分析虚拟机;第二虚拟检测器根据控制平台下发的第二检测策略,采集器分别与数据汇集设备、负载均衡器以及控制平台连接,负载均衡器还可以与控制平台以及数据分析虚拟机连接,每个数据分析虚拟机也可以与控制平台连接。下面结合图4所示的SDN网络架构对第二虚拟检测器的工作过程进行介绍,图4中,SDN网络架构中设置有SDN交换机以及BRAS服务器,其中,第二虚拟检测器以旁挂的形式部署于BRAS服务器上。
采集器根据第二检测策略,从数据汇集设备中采集指定数据包,采集器可以从控制平台获取第二检测策略,进而从BRAS服务器中采集指定数据包,采集器可以通过分光器的分光、镜像功能采集指定数据包,采用分光器采集指定数据包,不会影响BRAS服务器的传输数据包的速度。
采集器将采集的指定数据包传输至负载均衡器。负载均衡器根据第二检测策略以及每个数据分析虚拟机的负载信息,向多个数据分析虚拟机分配指定数据包。负载均衡器可以主动获取数据分析虚拟机的负载信息,也可以由每个数据分析虚拟机按照预设间隔向负载均衡器上报负载信息,负载信息中可以包括数据分析虚拟机中当前的运行负载、可用的运行负载占总负载的比例等信息。第二检查策略中包括负载均衡方案,负载均衡器根据按照负载均衡方案以及负载信息,将指定数据包分发至匹配的数据分析虚拟机内。数据分析虚拟机对分配到的指定数据包进行分析,确定指定数据包的第五层至第七层中是否存在异常。数据分析虚拟机对指定数据包的第五层至第七层进行探测和分析,具体的探测和分析方式此处将不再进行赘述。第二虚拟检测器可以将第二检测结果发送至控制平台,若第二检测结果中存在异常的指定数据包,异常的指定数据包可以是:具有安全隐患的数据包、流量异常的数据包,数据分析虚拟机可以定时将第二检测结果发送至控制控平台,当控制平台接收到第二检测结果后,可以对异常的指定数据包进行处理,例如,可以对异常的指定数据包所属业务进行阻断,若在SDN网络架构中包括SDN交换机以及BRAS服务器,且第二虚拟检测器部署于BRAS服务器上,那么控制平台在接收到第二检测结果后,可以向SDN交换机下发流表,从而实现对异常的流量进行阻断,即若匹配到相应的异常流表项,则对异常流表项进行丢弃。针对第二检测结果中属于合法的内容信息,则按照正常的数据分发方式进行数据分发。
本实施方式中提供的深度包检测方法,设置数据采集器,仅采集指定数据包,减少数据的采集工作,提高数据采集的指令,同时使用负载均衡的方式,合理利用每个数据分析虚拟机,提高对数据包第五层至第七层检测的检测效果。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明第三实施方式涉及一种深度包检测的方法,该方法应用于控制平台,该深度包检测的方法的具体流程如图5所示。
步骤301:向数据检测平台的第一虚拟检测器下发第一检测策略。
具体的说,控制平台与数据检测平台连接,数据检测平台包括:第一虚拟检测器和第二虚拟检测器,第一虚拟检测器部署于家庭网关,第二虚拟检测器部署于数据汇集设备,数据汇集设备用于汇集多个家庭网关的数据包。本示例中,控制平台和数据检测平台可以处于SDN网络架构下,SDN网络架构具体可以包括:SDN控制平台、家庭网关和数据汇集设备;数据汇集设备可以分别与多个家庭网关通信连接,如,100个家庭网关,数据汇集设备可以接入通信系统的核心网络,从而将家庭网关采集的数据包上传至核心网络中,SDN控制平台可以分别通信连接家庭网关和数据汇集设备。其中,数据汇集设备包括以下任意一种:宽带接入服务器、SDN交换机、省级网关。第一虚拟检测器被部署于家庭网关中,例如,可以采用软件插件的形内置于家庭网关设备中。该第一虚拟检测器安装于家庭网关之后,该第一虚拟检测器可以实时采集用户设备产生的数据包。
SDN控制平台可以按照预设间隔向第一虚拟检测器下发第一检测策略,第一检测策略可以包括探测数据包的第二层至第四层的检测策略,例如,第一检测策略可以包括对流量数据异常的检测策略,异常IP地址的检测策略等。第一虚拟检测器根据第一检测策略对家庭网关的数据包进行第一检测,例如,对数据包的IP地址、异常的数据流量进行检测;确定数据包的第二层至第四层中是否存在异常。
第一虚拟检测器可以将对数据进行第一检测的第一检测结果返回SDN控制平台。
步骤302:向数据检测平台的第二虚拟检测器下发第二检测策略。
第二虚拟检测器部署于数据汇集设备,该第一虚拟检测器和第二虚拟检测器分别和控制平台连接。可以理解的是,在SDN架构中可以包括多种数据汇集设备,例如,在SDN架构中,设置有SDN交换机和BRAS服务器两种数据汇集设备,其中,SDN交换机可以有多个,每个SDN交换机均与BRAS服务器连接,由BRAS服务器汇集每个SDN交换机中的数据,可以将第二虚拟检测器以旁挂的形式部署在BRAS服务器上。
该SDN控制平台可以根据业务需要,预先存储有第二检测策略,例如,第二检测策略用于检测发布的图片内容是否符合网络安全需求;可以理解的是,还可以针对客户的视频流量业务进行检测等等。第二检测策略可以在接收到第一检测结果后,向数据检测平台下发第二检测策略,也可以定时向数据检测平台发送第二检测策略。
第二检测策略中可以包括指定数据包的信息,第二检测的检测内容等信息;该第二虚拟检测器从数据汇集设备中抓取指定数据包,对指定数据包进行应用层内容的探测和分析,得到第二检测的第二检测结果。
第二虚拟检测器将第二检测结果上传至SDN控制平台,该SDN控制平台可以根据第二检测结果,对异常的数据进行处理。
不难发现,本实施方式为与第一实施方式相对应的控制平台的实施例,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
本发明第四实施方式涉及一种深度包检测的方法。第四实施方式是对第三实施方式的进一步改进,主要改进之处在于:在本发明第四实施方式中,控制平台根据第一检测结果修正当前的第二检测策略,当控制平台接收到第二检测结果后,可以重新确定下一次第二检测的第二检测策略。该深度包检测的方法的流程如图6所示:
步骤401:向数据检测平台的第一虚拟检测器下发第一检测策略。
该步骤与第三实施方式中的步骤301大致相同,此处将不在进行赘述。
步骤402:根据接收的第一检测结果,修正当前第二检测的第二检测策略,第一检测结果为第一虚拟检测器上传的第一检测的结果。
具体的说,该第一虚拟检测器可以将通过“Packet-in”的方式向SDN控制平台上报第一检测结果,第一检测结果可以包括:异常数据包的包名、异常原因等信息、异常流量信息等。该SDN控制平台接收该第一检测结果,可以根据该第一检测结果,修正当前第二检测的第二检测策略。例如,本次的第二检测策略可以预先存储的,也可以采用上一次确定的第二检测策略;若第一检测结果的数据包存在流量异常的情况,可以获取该数据包的数据类型,将确定的异常数据包的数据类型添加至第二检测策略的指定类型中,以便对该属于指定类型的数据包进行第5层至第7层的检测。
步骤403:向数据检测平台的第二虚拟检测器下发第二检测策略。
该步骤与第三实施方式中的步骤302大致相同,此处将不再进行赘述。
步骤404:根据接收的第二检测结果,确定下一次进行第二检测的第二检测策略,第二检测结果为第二虚拟检测器上传的第二检测的结果。
具体的说,该第二虚拟检测器从数据汇集设备中抓取指定数据包,对指定数据包进行应用层内容的探测和分析,得到第二检测的第二检测结果,该第二检测结果可以包括:存在网络安全隐患的数据包。第二虚拟检测器将第二检测结果上传控制平台,控制平台可以根据该第二检测结果,确定下一次第二检测的第二检测策略,例如,第二检测结果包括:异常数据包的异常信息,异常信息可以:数据包内容不合法、数据包的IP地址不合法等等;控制平台可以根据该异常信息,查找与该异常信息相关的数据类型,从查找的数据类型中筛选出当前第二检测策略中未指定的数据类型,将筛选的数据类型添加至该第二检测策略中,得到下一次第二检测的第二检测策略。
需要说明的是,控制平台在接收到第一检测结果后,可以根据第一检测结果对异常的数据包进行处理,同理,控制平台在接收到第二检测结果后,也同样可以根据第二检测结果,对异常数据进行处理,例如,可以对异常会话进行阻断,进行阻断方式可以是控制平台向SDN交换机下发流表,对该异常的数据流量进行阻断,即匹配到相应的流表项,进行丢弃。若发现应用层的内容信息合法,那么维持该数据流的正常分发。
本实施方式提供的深度包检测的方法,控制平台可以根据第一检测结果,对当前的第二检测策略进行修正,提高第二检测策略的准确度;此外,控制控台还可以根据第二检测结果,确定下一次的进行第二检测的第二检测策略,提高下一次进行第二检测的检测效果。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
本发明第五实施方式涉及一种深度包检测的装置,该深度包检测的装置50的结构框图如图7所示,包括:第一下发模块501和第二下发模块502;第一下发模块501用于向数据检测平台的第一虚拟检测器下发第一检测策略;第二下发模块502用于向数据检测平台的第二虚拟检测器下发第二检测策略。
本发明第六实施方式涉及一种服务器,该服务器的结构框图如图8所示,包括:至少一个处理器601;以及,与至少一个处理器601通信连接的存储器602;其中,存储器602存储有可被至少一个处理器601执行的指令,指令被至少一个处理器601执行,以使至少一个处理器601能够执行第一实施方式或第二实施方式中的深度包检测的方法,或者执行第三实施方式或第四实施方式的深度包检测的方法。
其中,存储器602和处理器601采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器601和存储器602的各种电路链接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器601处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器601。
处理器601负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
本发明第七实施方式涉及一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现第一实施方式或第二实施方式中的深度包检测的方法,或者执行时实现第三实施方式或第四实施方式中的深度包检测的方法。
本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种深度包检测的方法,其特征在于,应用于数据检测平台,所述数据检测平台包括:第一虚拟检测器和第二虚拟检测器,所述第一虚拟检测器部署于家庭网关,所述第二虚拟检测器部署于数据汇集设备,所述数据汇集设备用于汇集多个所述家庭网关的数据包,所述方法包括:
所述第一虚拟检测器根据控制平台下发的第一检测策略,对所述家庭网关的数据包进行第一检测,确定所述数据包的第二层至第四层中是否存在异常;
所述第二虚拟检测器根据所述控制平台下发的第二检测策略,对所述数据汇集设备中的指定数据包进行第二检测,确定所述指定数据包的第五层至第七层中是否存在异常。
2.根据权利要求1所述的深度包检测的方法,其特征在于,在所述第一虚拟检测器根据控制平台下发的第一检测策略,对所述家庭网关的数据包进行第一检测,确定所述数据包的第二层至第四层中是否存在异常之后,所述方法还包括:
获取所述数据包的第一检测的第一检测结果;
将所述第一检测结果上传所述控制平台,以由所述控制平台根据所述第一检测结果,修正当前所述第二检测的所述第二检测策略;
在所述第二虚拟检测器根据所述控制平台下发的第二检测策略,对所述数据汇集设备中的指定数据包进行第二检测,确定所述指定数据包的第五层至第七层中是否存在异常之后,所述方法还包括:
获取所述指定数据包的所述第二检测的第二检测结果;
将所述第二检测结果上传所述控制平台,以由所述控制平台根据所述第二检测结果,确定下一次第二检测的第二检测策略。
3.根据权利要求2所述的深度包检测的方法,其特征在于,所述方法还包括:
采集所述家庭网关的运行状态信息;
将所述运行状态信息上传所述控制平台,以由所述控制平台根据所述运行状态信息,和/或,所述第一检测结果,确定下一次下发的所述第一检测策略。
4.根据权利要求3所述的深度包检测的方法,其特征在于,所述第二虚拟检测器包括:采集器、负载均衡器和多个数据分析虚拟机;
所述第二虚拟检测器根据所述控制平台下发的第二检测策略,对所述数据汇集设备中的指定数据包进行第二检测,确定所述指定数据包的第五层至第七层中是否存在异常,包括:
所述采集器根据所述第二检测策略,从所述数据汇集设备中采集所述指定数据包;
所述负载均衡器根据所述第二检测策略以及每个所述数据分析虚拟机的负载信息,向多个所述数据分析虚拟机分配所述指定数据包;
所述数据分析虚拟机对分配到的所述指定数据包进行分析,确定所述指定数据包的第五层至第七层中是否存在异常。
5.根据权利要求1至4中任一项所述的深度包检测的方法,其特征在于,所述数据汇集设备包括以下任意一种:宽带接入服务器、软件定义网络交换机、省级网关。
6.一种深度包检测的方法,其特征在于,应用于控制平台,所述控制平台与数据检测平台连接,所述数据检测平台执行如权利要求1至5中任一项所述的深度包检测的方法;所述方法包括:
向所述数据检测平台的第一虚拟检测器下发第一检测策略;
向所述数据检测平台的第二虚拟检测器下发第二检测策略。
7.根据权利要求6所述的深度包检测的方法,其特征在于,在所述向所述数据检测平台的第一虚拟检测器下发第一检测策略之后,所述方法还包括:
根据接收的第一检测结果,修正当前所述第二检测的所述第二检测策略,所述第一检测结果为所述第一虚拟检测器上传的第一检测的结果;
在所述向所述数据检测平台的第二虚拟检测器下发第二检测策略之后,所述方法还包括:
根据接收的第二检测结果,确定下一次进行所述第二检测的第二检测策略,所述第二检测结果为所述第二虚拟检测器上传的第二检测的结果。
8.一种深度包检测的装置,其特征在于,所述深度包检测的装置,包括:第一下发模块和第二下发模块;
所述第一下发模块用于向数据检测平台的第一虚拟检测器下发第一检测策略;
所述第二下发模块用于向数据检测平台的第二虚拟检测器下发第二检测策略。
9.一种服务器,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-5中任一所述的深度包检测的方法,或者执行如权利要求6-7中任一所述的深度包检测的方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的深度包检测的方法,或者执行时实现权利要求6-7中任一所述的深度包检测的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010636949.6A CN111817917B (zh) | 2020-07-03 | 2020-07-03 | 一种深度包检测的方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010636949.6A CN111817917B (zh) | 2020-07-03 | 2020-07-03 | 一种深度包检测的方法、装置、服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111817917A true CN111817917A (zh) | 2020-10-23 |
| CN111817917B CN111817917B (zh) | 2021-12-24 |
Family
ID=72856058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010636949.6A Active CN111817917B (zh) | 2020-07-03 | 2020-07-03 | 一种深度包检测的方法、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111817917B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452676A (zh) * | 2021-05-27 | 2021-09-28 | 鹏城实验室 | 一种检测器分配方法和物联网检测系统 |
| CN114301689A (zh) * | 2021-12-29 | 2022-04-08 | 北京安天网络安全技术有限公司 | 校园网络安全防护方法、装置、计算设备及存储介质 |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488946A (zh) * | 2008-01-16 | 2009-07-22 | 华为技术有限公司 | 报文检测方法及系统 |
| CN101882999A (zh) * | 2009-05-08 | 2010-11-10 | 中兴通讯股份有限公司 | 基于深度报文检测设备的业务识别网络的管理方法与系统 |
| CN103746869A (zh) * | 2013-12-24 | 2014-04-23 | 武汉烽火网络有限责任公司 | 结合数据/掩码和正则表达式的多级深度包检测方法 |
| CA2898053A1 (en) * | 2013-08-05 | 2015-02-12 | Huawei Technologies Co., Ltd. | Deep packet inspection method, device, and coprocessor |
| EP2916613A1 (en) * | 2014-03-06 | 2015-09-09 | Cisco Technology, Inc. | Devices and method using same EPS bearers in downlink and uplink |
| US9178807B1 (en) * | 2012-09-20 | 2015-11-03 | Wiretap Ventures, LLC | Controller for software defined networks |
| CN105429820A (zh) * | 2015-11-05 | 2016-03-23 | 武汉烽火网络有限责任公司 | 基于软件定义网络的深度包检测系统及方法 |
| CN106446113A (zh) * | 2016-09-18 | 2017-02-22 | 成都九鼎瑞信科技股份有限公司 | 移动大数据解析方法及装置 |
| CN106911588A (zh) * | 2015-12-22 | 2017-06-30 | 中国电信股份有限公司 | 用于实现深度包检测优化的方法、装置和系统 |
| GB201709277D0 (en) * | 2017-06-05 | 2017-07-26 | Pismo Labs Technology Ltd | Methods and systems for identifying data sessions at a VPN gateway |
| US20180145904A1 (en) * | 2016-11-22 | 2018-05-24 | Radisys Corporation | System of hierarchical flow-processing tiers |
| CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN109450721A (zh) * | 2018-09-06 | 2019-03-08 | 南京聚铭网络科技有限公司 | 一种基于深度神经网络的网络异常行为识别方法 |
| CN109639648A (zh) * | 2018-11-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
| CN109714312A (zh) * | 2018-11-19 | 2019-05-03 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
| CN109995706A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种安全审计的方法、装置、电子设备和存储介质 |
| CN111294344A (zh) * | 2020-01-19 | 2020-06-16 | 中移(杭州)信息技术有限公司 | 数据转发的控制系统、方法、电子设备及存储介质 |
-
2020
- 2020-07-03 CN CN202010636949.6A patent/CN111817917B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488946A (zh) * | 2008-01-16 | 2009-07-22 | 华为技术有限公司 | 报文检测方法及系统 |
| CN101882999A (zh) * | 2009-05-08 | 2010-11-10 | 中兴通讯股份有限公司 | 基于深度报文检测设备的业务识别网络的管理方法与系统 |
| WO2010127524A1 (zh) * | 2009-05-08 | 2010-11-11 | 中兴通讯股份有限公司 | 基于深度报文检测设备的业务识别网络的管理方法与系统 |
| US9178807B1 (en) * | 2012-09-20 | 2015-11-03 | Wiretap Ventures, LLC | Controller for software defined networks |
| CA2898053A1 (en) * | 2013-08-05 | 2015-02-12 | Huawei Technologies Co., Ltd. | Deep packet inspection method, device, and coprocessor |
| EP2933955A1 (en) * | 2013-08-05 | 2015-10-21 | Huawei Technologies Co., Ltd. | Deep packet inspection method, device, and coprocessor |
| CN103746869A (zh) * | 2013-12-24 | 2014-04-23 | 武汉烽火网络有限责任公司 | 结合数据/掩码和正则表达式的多级深度包检测方法 |
| EP2916613A1 (en) * | 2014-03-06 | 2015-09-09 | Cisco Technology, Inc. | Devices and method using same EPS bearers in downlink and uplink |
| CN105429820A (zh) * | 2015-11-05 | 2016-03-23 | 武汉烽火网络有限责任公司 | 基于软件定义网络的深度包检测系统及方法 |
| CN106911588A (zh) * | 2015-12-22 | 2017-06-30 | 中国电信股份有限公司 | 用于实现深度包检测优化的方法、装置和系统 |
| CN106446113A (zh) * | 2016-09-18 | 2017-02-22 | 成都九鼎瑞信科技股份有限公司 | 移动大数据解析方法及装置 |
| US20180145904A1 (en) * | 2016-11-22 | 2018-05-24 | Radisys Corporation | System of hierarchical flow-processing tiers |
| GB201709277D0 (en) * | 2017-06-05 | 2017-07-26 | Pismo Labs Technology Ltd | Methods and systems for identifying data sessions at a VPN gateway |
| CN109995706A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种安全审计的方法、装置、电子设备和存储介质 |
| CN109450721A (zh) * | 2018-09-06 | 2019-03-08 | 南京聚铭网络科技有限公司 | 一种基于深度神经网络的网络异常行为识别方法 |
| CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN109639648A (zh) * | 2018-11-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
| CN109714312A (zh) * | 2018-11-19 | 2019-05-03 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
| CN111294344A (zh) * | 2020-01-19 | 2020-06-16 | 中移(杭州)信息技术有限公司 | 数据转发的控制系统、方法、电子设备及存储介质 |
Non-Patent Citations (5)
| Title |
|---|
| CHU-SING YANG: "A Network Management System Based on DPI", 《2010 13TH INTERNATIONAL CONFERENCE ON NETWORK-BASED INFORMATION SYSTEMS》 * |
| 刘洋: "统一计算架构NPU支持深度包检测", 《电子设计技术》 * |
| 戴冕等: "软件定义网络的测量方法研究", 《软件学报》 * |
| 蒋文龙: "基于DPI技术的P2P流量监控系统的研究与设计", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 赵金伟: "深度分组检测技术数据整合思路分析", 《电信工程技术与标准化》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452676A (zh) * | 2021-05-27 | 2021-09-28 | 鹏城实验室 | 一种检测器分配方法和物联网检测系统 |
| CN113452676B (zh) * | 2021-05-27 | 2022-05-10 | 鹏城实验室 | 一种检测器分配方法和物联网检测系统 |
| CN114301689A (zh) * | 2021-12-29 | 2022-04-08 | 北京安天网络安全技术有限公司 | 校园网络安全防护方法、装置、计算设备及存储介质 |
| CN114301689B (zh) * | 2021-12-29 | 2024-02-23 | 北京安天网络安全技术有限公司 | 校园网络安全防护方法、装置、计算设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111817917B (zh) | 2021-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| CN105493450B (zh) | 动态检测网络中的业务异常的方法和系统 | |
| CN113812126B (zh) | 报文传输方法、装置及系统,可读存储介质 | |
| US8654637B2 (en) | Method for configuration of a load balancing algorithm in a network device | |
| US9548908B2 (en) | Flow de-duplication for network monitoring | |
| US9794272B2 (en) | Method and apparatus for monitoring malicious traffic in communication networks | |
| US8806550B1 (en) | Rules engine for troubleshooting video content delivery network | |
| US10623314B2 (en) | Switch system, and monitoring centralized control method | |
| US20090238088A1 (en) | Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system | |
| US7788721B2 (en) | Traffic control method, apparatus, and system | |
| US7876676B2 (en) | Network monitoring system and method capable of reducing processing load on network monitoring apparatus | |
| US9407503B2 (en) | Control apparatus, communication system, communication method, and program | |
| CN106464547A (zh) | 家庭网络监测器 | |
| EP2667545A1 (en) | Network system, controller, switch, and traffic monitoring method | |
| JP6692178B2 (ja) | 通信システム | |
| CN111817917B (zh) | 一种深度包检测的方法、装置、服务器及存储介质 | |
| US8274911B2 (en) | Network monitoring system and path extracting method | |
| CN111092840B (zh) | 处理策略的生成方法、系统及存储介质 | |
| CN111314179A (zh) | 网络质量检测方法、装置、设备和存储介质 | |
| CN116708134A (zh) | 基于流量控制的点对点网络传输系统 | |
| US20150304200A1 (en) | Traffic information collection system and collection control node | |
| US7783784B1 (en) | Method and apparatus for adaptive selection of algorithms to load and spread traffic on an aggregation of network interface cards | |
| WO2022270767A1 (ko) | 지능형 네트워크 관리 시스템의 정보묶음 생성관리 장치 및 그 방법 | |
| CN101924665B (zh) | 一种Cable Modem的监测系统及监测方法 | |
| JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |