WO2010075728A1

WO2010075728A1 - 一种报文处理方法、装置和系统

Info

Publication number: WO2010075728A1
Application number: PCT/CN2009/075414
Authority: WO
Inventors: 李军辉; 陆春华; 云长江; 秦二辉; 韩雷; 曾斯柯; 王立业; 雷新; 刘悦
Original assignee: 华为技术有限公司
Priority date: 2008-12-31
Filing date: 2009-12-08
Publication date: 2010-07-08
Also published as: CN101478478A

Abstract

本发明涉及网络通信领域，尤其涉及一种报文处理方法、装置和系统。该方法包括：根据过滤规则集合，过滤掉报文中的非敏感流量；对所述过滤后的报文进行分流；分析所述分流后的报文，并根据分析结果更新所述过滤规则集合。采用本发明实施例提供的技术方案，因为在分流设备对报文分流前进行预过滤，可以减小需要进行分流的报文的规模，从而同时减少了分析设备对非敏感流量的重复分析，解决了分流设备流量压力大、分析设备效率低的问题。

Description

说明书

Title of Invention:一种报文处理方法、装置和系统

[1] 本申请要求于 2008年 12月 31日提交中国专利局、申请号为 200810242170.5、发明名称为"一种报文处理方法、装置和系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

[2] 技术领域

[3] 本发明涉及网络通信领域，尤其涉及一种报文处理方法、装置和系统。

[4] 发明背景

[5] 随着信息技术的发展，网络应用的日益广泛，网络安全成为各运营商的重要工作之一；由于网络流量海量增长，应用日趋复杂，后台处理系统因平台局限无法直接对流量进行处理，需要专门的分流设备，将网络中的数据报文，分解成适合处理系统或分析设备处理的粒度，按要求重定向到特定的服务器进行分析，同吋不影响网络流量传输。

[6] 分析设备识别到有害信息，为了防止有害信息继续传递，需要对网络的数据报文进行阻断，但对正常报文继续转发。

[7] 安全分流路由器通过分光器介入到骨干网中。当接收到从前级设备分光或者镜像过来的报文吋，安全分流路由器根据访问控制列表（Access Control List, ACL ) 的配置进行匹配和动作。对不匹配任何 ACL中任何表项的报文直接丢弃，匹配的报文重定向到对应的端口或者端口组，在端口组的各端口间以负载分担方式输出。这样就完成一个流量引入、分流、负载分担的系统，供后级设备对流量进行检测分析和监视。

[8] 随着互联网的快速发展，网络流量呈快速增长趋势，各种应用产生了大量数据传输，后台分析设备规模越来越大，压力也不断增加，导致分析设备需要处理大量非敏感流量（非敏感流量是指分析设备不关注的流量，对非敏感流量不需要深度分析，一般情况下，非敏感流量包括 P2P流量、视频流量等），降低了分析设备的效率，同吋分流设备也会对全部流量分流，大量占用有限的资源。分析设备的增加也增加分析结果的整合成本和效率。发明内容

本发明实施例的目的是提供一种报文处理方法和装置，以及一种报文处理系统，解决了分流设备流量压力大、分析设备效率低的问题。

本发明实施例的目的是通过以下技术方案实现的：

一种报文处理方法，包括：

根据过滤规则集合，过滤掉报文中的非敏感流量；

对所述过滤后的报文进行分流；

分析所述分流后的报文，并根据分析结果更新所述过滤规则集合。

一种报文处理系统，包括过滤装置、分流设备和分析设备；其中，

所述过滤装置，用于根据所述分析设备配置的过滤规则集合过滤掉报文中的非敏感流量，并向所述分流设备发送经过过滤的报文；

所述分流设备，用于将所述经过过滤装置过滤的报文分流到所述分析设备；所述分析设备，用于根据分析规则对所述经过分流设备分流的报文进行分析，并使所述过滤装置根据所述分析设备的分析结果更新所述过滤规则集合。

一种过滤装置，位于分流设备之前，包括：

规则维护模块，用于维护分析设备配置的过滤规则集合；

过滤模块，用于根据过滤规则集合过滤掉报文中的非敏感流量；

发送模块，用于向分流设备发送经过过滤的所述报文以使所述分流设备分流所述经过过滤的报文。

釆用本发明实施例提供的技术方案，因为在分流设备对报文分流前进行预过滤，可以减小需要进行分流的报文的规模，从而同吋减少了分析设备对非敏感流量的重复分析，解决了分流设备流量压力大、分析设备效率低的问题。

附图简要说明

图 1为本发明一个实施例中报文处理方法流程图；

图 2为本发明另一个实施例中过滤装置框图；

图 ₃为本发明又一个实施例中报文处理系统框图；

图 ₄为本发明又一个实施例中报文处理系统的一个具体应用场景示意图；图 ₅为本发明又一个实施例中报文处理系统的另一个具体应用场景示意图。 [31] 实施本发明的方式

[32] 图 1为本发明一个实施例中报文处理方法流程图。该方法包括：

[33] 102、过滤装置根据分析设备配置的过滤规则集合过滤掉非敏感流量（非敏感流量是指分析设备不关注的流量，对非敏感流量不需要深度分析，一般情况下，非敏感流量包括 P2P流量、视频流量等）。举例来说，所述过滤规则集合可以由五元组规则（源地址、目的地址、源端口、目的端口、协议号）组成。五元组规则可以是完全匹配的或支持掩码的。如果报文中五元组信息与过滤规则集合中的五元组规则匹配则阻止报文通过，如果报文中五元组信息不与过滤规则集合中的任何五元组规则匹配则允许报文通过。

[34] 104、对过滤掉非敏感流量后的报文进行分流。

[35] 例如，分流设备按访问控制列表的配置对过滤掉非敏感流量后的报文（即需要分析设备分析的流量）进行匹配，将能够匹配访问控制列表的报文分流到分析设备，丢弃不匹配访问控制列表的任何表项的报文。

[36] 106、分析分流后的报文，并根据分析结果更新所述过滤规则集合。

[37] 本实施例中，对经过分流的报文的应用分析规则进行分析，更新过滤规则集合，把新的过滤规则集合发送到过滤装置。例如，分析设备对经过分流的报文的流量、 IP地址和在线吋间进行统计，结合端口号、协议号，对分流后的报文进行分析确认是否还存在不需要分析的非敏感流量，如果仍然存在非敏感流量，则将非敏感流量的五元组信息向过滤装置发送以使过滤装置更新过滤规则集合。当然，对过滤规则集合的更新可以是增加过滤规则、删除过滤规则、老化过滤规则中的一种或多种。所述老化过滤规则包括静态老化（如吋间老化）和动态老化（如超吋不命中老化）。分析规则由以下方式中的一种或多种配置：通过客户端配置、通过脚本配置、手工进行配置。

[38] 图 2为本发明另一个实施例中过滤装置框图。该过滤装置位于分流设备之前，该过滤装置包括：规则维护模块 202、过滤模块 204和发送模块 206; 其中，

[39] 规则维护模块 202，用于维护分析设备配置的过滤规则集合。过滤规则集合由五元组规则组成。五元组规则可以是完全匹配的或支持掩码的。规则维护模块 2 02根据分析设备的过滤规则集合更新信息维护过滤规则集合，包括增加过滤规贝 |J、删除过滤规则、老化过滤规则中的一种或多种。

[40] 过滤模块 204，用于根据过滤规则集合过滤报文中的非敏感流量。如果报文中五元组信息与过滤规则集合中的五元组规则匹配则阻止报文通过。如果报文中五元组信息与过滤规则集合中的任何五元组规则不匹配则允许报文通过。

[41] 发送模块 206，用于向分流设备发送经过过滤的报文以使所述分流设备分流所述经过过滤的报文。

[42] 过滤装置，可以位于独立的单板上，也可以位于分流设备单板内部的存储单元上。

[43] 以下结合图 3到图 5说明本发明又一个实施例。

[44] 图 3为本发明又一个实施例中报文处理系统框图。该系统包括：过滤装置 302、分流设备 304和分析设备 306；其中，

[45] 过滤装置 302，用于根据分析设备 306配置的过滤规则集合阻止报文中的非敏感流量通过，并向分流设备 304发送经过过滤的报文。过滤规则集合由五元组规则组成。五元组规则可以是完全匹配的或支持掩码的。

[46] 分流设备 304，用于将经过过滤装置过滤的报文分流到分析设备 306。例如，分流设备 304按访问控制列表的配置对经过过滤装置 302过滤的报文进行匹配，将能够匹配访问控制列表的报文分流到相应的分析设备 306，丢弃不匹配访问控制列表的任何表项的报文。

[47] 分析设备 306，用于根据分析规则对经过分流设备 304分流的报文进行分析，得到与分析规则中非敏感流量规则匹配的报文，根据与非敏感流量规则匹配的报文更新过滤规则集合，并向过滤装置 302发送更新过滤规则集合的信息以使过滤装置 302根据所述分析设备的分析结果更新过滤规则集合。例如，分析设备 306 对流量、地址和在线吋间进行统计，结合用户地址和端口信息分析出 P2P应用等非敏感流量，并将非敏感流量的五元组信息向过滤装置 302发送以使过滤装置 30 2更新过滤规则集合。对过滤规则集合的更新可以是增加过滤规则、删除过滤规贝 I」、老化过滤规则中的一种或多种。分析规则由以下方式中的一种或多种配置：通过客户端配置、通过脚本配置、手工进行配置。

[48] 图 4为本发明又一个实施例中报文处理系统的一个具体应用场景示意图。 [49] 该具体应用场景中，报文处理系统包括位于独立的单板上的过滤装置 402、分流策略设备 404、分流槽 406和分析设备 408 ; 其中，

[50] 过滤装置 402，在两块独立可热插拔的单板上，两块单板分别对上行、下行流量进行过滤。过滤装置 402将经过过滤的报文发送到分流策略设备 404。

[51] 分流策略设备 404，包括两块单板。两块单板分别用于对过滤装置 402发送的两股经过过滤装置过滤的报文执行分流策略，将完成分流的报文发送到分流槽 406

[52] 分流槽 406，包括由具体实施情况而定的一块或多块单板。分流槽 406用于对同一端口组内流量进行散列（Hash) ，根据出端口上送分析设备 408。

[53] 分析设备 408，包括由具体实施情况而定的一个或多个分析服务器。分析设备 4 08用于根据分析规则对经过分流的报文进行分析，得到与分析规则中非敏感流量规则匹配的报文，根据与非敏感流量规则匹配的报文更新过滤规则集合，并向过滤装置 402发送更新过滤规则集合的信息以使过滤装置 402更新过滤规则集合。例如，分析设备 408对流量、地址和在线吋间进行统计，结合用户地址和端口信息分析出 P2P应用等非敏感流量，并将非敏感流量的五元组信息向过滤装置 402发送以使过滤装置 402更新过滤规则集合。

[54] 本领域相关技术人员可以理解，本发明又一个实施例中报文处理系统的该具体应用场景中过滤装置 402并不限定于在两块独立可热插拔的单板上，可以根据需要配置一块或多块单板和决定是否可热插拔。分流策略设备 404也并不限定于包括两块单板，可以根据需要配置一块或多块单板。

[55] 图 5为本发明又一个实施例中报文处理系统的另一个具体应用场景示意图。

[56] 该具体应用场景中，报文处理系统包括接口板 502、分流槽 504和分析设备 506 ；其中，

[57] 接口板 502，包括两块单板。过滤装置位于接口板 502中存储单元上，用于对上行、下行流量进行过滤。接口板 502并用于对经过过滤的报文执行分流策略，将完成分流的报文发送到分流槽 504。

[58] 分流槽 504，包括由具体实施情况而定的一块或多块单板。分流槽 504用于对同一端口组内流量进行散列，根据出端口发送至分析设备 506。 [59] 分析设备 506，包括由具体实施情况而定的一个或多个分析服务器。用于根据分析规则对经过分流的报文进行分析，得到与分析规则中非敏感流量规则匹配的报文，根据与非敏感流量规则匹配的报文更新过滤规则集合，并向位于接口板 502中存储单元上的过滤装置发送更新过滤规则集合的信息以使位于接口板 50 2中存储单元上的过滤装置更新过滤规则集合。例如，分析设备 506对流量、地址和在线吋间进行统计，结合用户地址和端口信息分析出 P2P应用等非敏感流量，并将非敏感流量的五元组信息向接口板 502发送以使位于接口板 502中存储单元上的过滤装置更新过滤规则集合。

[60] 本领域相关技术人员可以理解，本发明又一个实施例中报文处理系统的该具体应用场景中接口板 502并不限定于两块单板，可以根据需要配置一块或多块单板

[61] 釆用本发明实施例提供的技术方案，因为在分流设备对报文分流前进行预过滤，并且支持过滤规则的老化，可以减小需要进行分流的报文的规模，从而同吋减少了分析设备对非敏感流量的重复分析，并可以减少分流不均等带来的影响，解决了分流设备流量压力大、分析设备效率低、分流不均影响大的问题。

[62] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于计算机可读存储介质中，所述存储介质可以是 ROM/RAM, 磁盘或光盘等。

[63] 以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求书

一种报文处理方法，其特征在于，包括：

根据过滤规则集合，过滤掉报文中的非敏感流量；

对过滤后的报文进行分流；

分析分流后的报文，并根据分析结果更新所述过滤规则集合。根据权利要求 1所述的报文处理方法，其特征在于，所述过滤规则集合包括至少一种过滤规则，所述过滤规则包括：

完全匹配的五元组规则；或

支持掩码的五元组规则。

根据权利要求 1所述的报文处理方法，其特征在于，所述更新所述过滤规则集合，包括以下更新方式中的一种或多种：

增加过滤规则；

删除过滤规则；

老化过滤规则。

根据权利要求 1所述的报文处理方法，其特征在于，所述分流过滤后的报文，包括：

按访问控制列表的配置对所述经过过滤的报文进行匹配，分流能够匹配所述访问控制列表的报文。

根据权利要求 1所述的报文处理方法，其特征在于，所述分析分流后的报文，并根据分析结果更新所述过滤规则集合包括：根据分析规则对分流后的报文进行分析，得到与分析规则中非敏感流量规则匹配的报文，根据与非敏感流量规则匹配的报文更新所述过滤规则集合。

根据权利要求 5所述的报文处理方法，其特征在于，所述分析规则由以下方式中的一种或多种配置：通过客户端配置、通过脚本配置、手工进行配置。

一种报文处理系统，其特征在于，包括过滤装置、分流设备和分析设备；其中，所述过滤装置，用于根据所述分析设备配置的过滤规则集合过滤掉报文中的非敏感流量，并向所述分流设备发送经过过滤的报文所述分流设备，用于将所述经过过滤装置过滤的报文分流到所述分析设备；

所述分析设备，用于根据分析规则对所述经过分流设备分流的报文进行分析，并使所述过滤装置根据所述分析设备的分析结果更新所述过滤规则集合。

[Claim 8] 根据权利要求 7所述的报文处理系统，其特征在于，所述分析规则由以下方式中的一种或多种配置：

通过客户端配置；

通过脚本配置；

手工进行配置。

[Claim 9] 根据权利要求 7所述的报文处理系统，其特征在于，所述报文过滤装置，位于独立的单板上，或位于所述分流设备单板内部的存储单元上。

[Claim 10] 根据权利要求 7所述的报文处理系统，其特征在于，所述分流设备按访问控制列表的配置对所述经过过滤的报文进行匹配，将能够匹配所述访问控制列表的报文分流到所述分析设备。

[Claim 11] 一种过滤装置，其特征在于，位于分流设备之前，包括：

规则维护模块，用于维护过滤规则集合；

过滤模块，用于根据过滤规则集合过滤掉报文中的非敏感流量；发送模块，用于向分流设备发送经过过滤的所述报文，以使所述分流设备分流所述经过过滤的报文。

[Claim 12] 根据权利要求 11所述的过滤装置，其特征在于，所述过滤装置，位于独立的单板上，或位于分流设备单板内部的存储单元上。