WO2011012004A1 - 一种实现网络流量清洗的方法及系统 - Google Patents

Description

一种实现网络流量清洗的方法及系统 技术领域

本发明涉及计算机网络技术， 特别是指一种实现网络流量清洗的方法 及系统。 背景技术

随着互联网业务种类和业务量的迅猛发展， 网络中的垃圾流量（如无 任何意义或用处的流量、 或恶意攻击的流量）也在逐渐增多， 承载网络越 来越不堪重负， 经常会出现拥塞、 带宽不足的情况， 导致这种情况出现的 一个非常重要的原因就是网络中存在很多异常的网络流量， 如恶意攻击的 网络流量、 非授权的网络流量、 非法的点对点（P2P, Peer-to-Peer ) 网络流 量等， 此时， 对异常的网络流量进行清洗就成为一项非常重要的处理操作。 目前， 逐包检测的网络流量清洗方式对通信系统和检测设备的要求都非常 高， 并且处理效率较低， 然而， 清洗所针对的网络流量是非常大的， 因此， 现有的网络流量清洗方式根本无法满足骨干网等大流量应用场合的网络流 量清洗需要。 发明内容

有鉴于此， 本发明的主要目的在于提供一种实现网络流量清洗的方法 及系统， 有效提高网络流量清洗效率。

为解决上述技术问题， 本发明的技术方案是这样实现的：

一种实现网络流量清洗的方法， 该方法包括：

深度流检测（DFI )设备根据流量检测模板对网络流量进行检测， 向深 度报文检测 （DPI )设备发送可疑的网络流量； DPI设备根据识别模板对可疑的网络流量进行检测，根据控制策略清洗 异常的网络流量。

该方法还包括：

控制中心向 DFI设备下发设置的流量检测模板， DFI设备对收到的流 量检测模板进行存储； 和 /或，

控制中心向 DPI设备下发设置的识别模板和控制策略， DPI设备对收 到的识别模板和控制策略进行存储。

所述流量检测模板或所述识别模板是： 静态设置的， 或根据当前所需 动态设置的。

所述 DFI设备根据流量检测模板对网络流量进行检测之后， 还包括： DFI设备将正常的网络流量注入传输链路进行传输； 和 /或，

所述 DPI设备根据识别模板对可疑的网络流量进行检测之后，还包括： DPI设备将正常的网络流量注入传输链路进行传输。

所述根据流量检测模板对网络流量进行检测， 包括： 将网络流量的特 征与存储的流量检测模板进行比较， 确定网络流量的特征异常时， 确定对 应网络流量为可疑的网络流量。

所述根据识别模板对可疑的网络流量进行检测， 包括： 根据识别模板 对可疑的网络流量进行深度报文检测， 识别网络流量的具体应用， 确定网 络流量是否异常。

一种实现网络流量清洗的系统， 包括：

DFI设备， 用于根据流量检测模板对网络流量进行检测， 向 DPI设备 发送可疑的网络流量；

DPI设备，用于根据识别模板对可疑的网络流量进行检测，根据控制策 略清洗异常的网络流量。

所述系统进一步包括： 控制中心， 用于向 DFI设备下发设置的流量检测模板； 和 /或，

用于向 DPI设备下发设置的识别模板和控制策略。

所述流量检测模板或所述识别模板是： 静态设置的， 或根据当前所需 动态设置的。

所述 DFI设备还用于将正常的网络流量注入传输链路进行传输；和 /或， 所述 DPI设备还用于将正常的网络流量注入传输链路进行传输。

本发明方案中， 将 DFI技术与 DPI技术相结合， 从而很好地解决了网 络流量清洗中检测的完整性与清洗效率之间的矛盾， 并且兼顾了检测效率 与准确性， 能够满足海量数据的网络流量清洗需要， 大大提高了网络流量 清洗效率。

另外， 本发明方案中所涉及的流量检测模板可以与现有的流量检测模 板相同， 因此本发明方案在有关流量检测模板的相关实现中并不需要频繁 升级流量检测模板， 大大降低了网络流量清洗的维护成本。 附图说明

图 1为本发明中实现网络流量清洗的系统结构示意图；

图 2为本发明中实现网络流量清洗的流程示意图。 具体实施方式 深度 文检测（ DPI, Deep Packet Inspection )技术与深度流检测（ DFI, Deep Flow Inspection )技术是对异常的网络流量进行识别的两种主要方式。 其中， DPI技术在分析包头的基础上， 增加了对应用层的分析， 是一种基于 应用层的流量检测和控制技术；与 DPI技术进行应用层的载荷匹配不同， DFI 技术采用的是一种基于流量行为的应用识别技术， 即不同的应用类型体现 在会话连接或数据流上的状态各有不同。

例如， 网络中的 IP流量体现在流状态上的特征就非常明显： 实时传输 协议（RTP, Real-time Transport Protocol ) 流的包长相对固定， 一般在 130 至 220字节 （ byte ) , 连接速率较低， 为 20至 84千比特每秒（ Kbit/s ) , 同 时会话持续时间相对较长； 而基于 P2P下载应用的网络流量的特点为平均 包长都在 450byte以上、 下载时间长、 连接速率高、 首选的传输层协议为传 输控制协议 ( TCP, Transmission Control Protocol )等。

DFI技术正是基于这一系列流量行为的特征，建立流量特征模型、 即流 量检测模板， 通过分析会话连接流的数据包的长度、 连接速率、 传输字节 量、 数据包之间的间隔等信息来与建立的流量检测模板进行对比， 从而实 现应用类型的鉴别。

鉴于上述 DPI技术和 DFI技术各自的特点， 本发明方案中将 DFI技术 与 DPI技术相结合， 即 DFI设备根据流量检测模板对网络流量进行检测， 向 DPI设备发送可疑的网络流量； DPI设备根据识别模板对可疑的网络流 量进行检测， 根据控制策略清洗异常的网络流量， 这样便能够大大提高网 络流量清洗效率， 满足海量数据的网络流量清洗需要， 并且解决网络流量 清洗中检测的完整性与清洗效率之间的矛盾， 兼顾检测效率与准确性。

图 1为本发明中实现网络流量清洗的系统结构示意图， 如图 1所示， 该系统包括： DFI设备和 DPI设备， 其中， DFI设备用于根据流量检测模板 对网络流量进行检测， 确定可疑的网络流量， 向 DPI设备发送可疑的网络 流量； DPI设备用于根据识别模板对可疑的网络流量进行检测，确定异常的 网络流量， 根据控制策略清洗异常的网络流量。

DFI设备还用于将正常的网络流量注入传输链路进行传输。 DPI设备还 用于将正常的网络流量注入传输链路进行传输。

该系统可以进一步包括： 控制中心， 用于向 DFI设备下发设置的流量 检测模板； 还用于向 DPI设备下发设置的识别模板和控制策略。 控制中心 下发的流量检测模板、 识别模板、 控制策略可以是初始静态设置的， 也可 以是根据当前所需动态设置的。

图 2为本发明中实现网络流量清洗的流程示意图， 如图 2所示， 网络 流量清洗的具体实现包括以下步骤：

步骤 201 : 控制中心向 DFI设备下发设置的流量检测模板， DFI设备对 收到的流量检测模板进行存储。

步骤 202: 控制中心向 DPI设备下发设置的识别模板和控制策略， DPI 设备对收到的识别模板和控制策略进行存储。

步骤 201和步骤 202在执行上没有明显的时间顺序， 可以一前一后执 行， 也可以同时执行。

步骤 203~步骤 204: DFI设备根据流量检测模板对网络流量进行检测， 判断网络流量是否异常， 如果异常， 则表明网络流量可能是异常的， 确定 网络流量为可疑的网络流量， 继续执行步骤 205; 如果没有异常， 则将正常 的网络流量注入传输链路进行传输。

网络中有数据传输时， DFI设备将需要检测的网络流量引导到自身， 以 进行流量检测。 DFI设备采用 DFI技术进行流量检测是将网络流量的特征 与存储的流量检测模板进行比较， 处理速度较快。 本发明方案中所涉及的 流量检测模板可以与现有的流量检测模板相同， 因此本发明方案在有关流 量检测模板的相关实现中并不需要频繁升级流量检测模板， 大大降低了网 络流量清洗的维护成本。

DFI设备判断网络流量是否异常的具体处理是将网络流量的特征与流 量检测模板进行比较， 即通过网络流量的特征是否异常确定网络流量是否 异常， 如果确定网络流量的特征正常， 则将网络流量注入传输链路进行传 输； 如果确定网络流量的特征异常， 则表明网络流量可能是异常的， 确定 网络流量为可疑的网络流量， 然后执行步骤 205, 将可疑的网络流量发送给 DPI设备， 由 DPI设备进行深度报文检测， 进一步具体地识别异常的网络 流量。

步骤 205: DFI设备向 DPI设备发送可疑的网络流量， 由 DPI设备进行 深度报文检测。

步骤 206: DPI设备根据识别模板对收到的可疑的网络流量进行检测， 确定网络流量异常后， 根据控制策略对异常的网络流量进行清洗处理。

DPI设备根据识别模板对可疑的网络流量进行深度报文检测，准确识别 网络流量的具体应用， 从而确定网络流量是否异常， 确定网络流量异常后， 根据控制策略对识别出的异常的网络流量进行清洗处理。 DPI设备确定出的 异常的网络流量即为根据本发明方案最终得到的异常的网络流量。 例如， DPI设备 ^据识别模板确定网络流量的来源为非法用户，因此确定对应网络 流量为异常的网络流量， 直接拦截对应网络流量， 从而使对应网络流量不 会在传输链路中进行传输； 又如， DPI设备根据识别模板确定网络流量为大 量空内容的信息， 因此确定对应网络流量为异常的网络流量， 直接拦截对 应网络流量， 从而使对应网络流量不会在传输链路中进行传输。

步骤 207: DPI设备将正常的网络流量注入传输链路进行传输， 完成整 个的异常流量清洗过程。 这里所说的正常的网络流量是进行以上清洗处理 后所得到的正常的网络流量。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种实现网络流量清洗的方法， 其特征在于， 该方法包括： 深度流检测（DFI )设备根据流量检测模板对网络流量进行检测， 向深 度报文检测 （DPI )设备发送可疑的网络流量；

DPI设备根据识别模板对可疑的网络流量进行检测，根据控制策略清洗 异常的网络流量。

2、 根据权利要求 1所述的方法， 其特征在于， 该方法还包括： 控制中心向 DFI设备下发设置的流量检测模板， DFI设备对收到的流 量检测模板进行存储； 和 /或，

控制中心向 DPI设备下发设置的识别模板和控制策略， DPI设备对收 到的识别模板和控制策略进行存储。

3、 根据权利要求 2所述的方法， 其特征在于， 所述流量检测模板或所 述识别模板是： 静态设置的， 或根据当前所需动态设置的。

4、 根据权利要求 1或 2所述的方法， 其特征在于，

所述 DFI设备根据流量检测模板对网络流量进行检测之后， 还包括： DFI设备将正常的网络流量注入传输链路进行传输； 和 /或，

所述 DPI设备根据识别模板对可疑的网络流量进行检测之后，还包括： DPI设备将正常的网络流量注入传输链路进行传输。

5、 根据权利要求 1或 2所述的方法， 其特征在于， 所述根据流量检测 模板对网络流量进行检测， 包括： 将网络流量的特征与存储的流量检测模 板进行比较， 确定网络流量的特征异常时， 确定对应网络流量为可疑的网 络流量。

6、 根据权利要求 1或 2所述的方法， 其特征在于， 所述根据识别模板 对可疑的网络流量进行检测， 包括： 根据识别模板对可疑的网络流量进行 深度报文检测， 识别网络流量的具体应用， 确定网络流量是否异常。

7、 一种实现网络流量清洗的系统， 其特征在于， 包括：

DFI设备， 用于根据流量检测模板对网络流量进行检测， 向 DPI设备 发送可疑的网络流量；

DPI设备，用于根据识别模板对可疑的网络流量进行检测，根据控制策 略清洗异常的网络流量。

8、 根据权利要求 7所述的系统， 其特征在于， 所述系统进一步包括： 控制中心，

用于向 DFI设备下发设置的流量检测模板； 和 /或，

用于向 DPI设备下发设置的识别模板和控制策略。

9、 根据权利要求 8所述的系统， 其特征在于， 所述流量检测模板或所 述识别模板是： 静态设置的， 或根据当前所需动态设置的。

10、 根据权利要求 7至 9任一所述的系统， 其特征在于，

所述 DFI设备还用于将正常的网络流量注入传输链路进行传输；和 /或， 所述 DPI设备还用于将正常的网络流量注入传输链路进行传输。