WO2014101661A1

WO2014101661A1 - 业务流镜像方法及镜像设备

Info

Publication number: WO2014101661A1
Application number: PCT/CN2013/089205
Authority: WO
Inventors: 于泽; 段海峰
Original assignee: 华为技术有限公司
Priority date: 2012-12-28
Filing date: 2013-12-12
Publication date: 2014-07-03
Also published as: CN103051497B; CN103051497A

Abstract

本发明涉及通信技术领域，公开了业务流镜像方法及镜像设备，本发明可以实现基于用户标识对接收的业务流进行镜像；还可以对接收的业务流进行解析，获得业务流的业务类型，从而可以基于业务类型对业务流进行镜像。使用本发明，能够仅镜像指定用户或指定业务的业务流，降低监控设备的处理负荷。

Description

业务流镜像方法及镜像设备技术领域

本发明涉及通信技术领域，具体涉及业务流镜像方法及镜像设备。背景技术

为了实现一些与业务流相关的功能，如网络监控和网络故障排除等，推出了业务流镜像，现有的一些交换机等设备已经具备了业务流镜像功能。

现有的由交换机实现的业务流镜像是端口镜像，端口镜像的操作过程是，运营商或业务提供商先指定交换机上的一个或多个端口作为被镜像端口，交换机就会将该一个或多个被镜像端口的业务流复制到监控端口，该监控端口与监控设备连接，则在业务流复制到监控端口后，监控设备就可以从监控端口获得业务流，然后根据业务需要进行相应的分析和处理。

从上可知，由于现有的交换机是基于端口的镜像，因此监控设备在获得交换机镜像的业务流后，在对业务流进行分析前，需要先对交换机镜像的业务流进行筛选，增加了监控设备的处理负荷。发明内容

本发明提供了业务流镜像方法及镜像设备，能够根据不同的业务分析需求，镜像不同的业务流，减少了监控设备在对业务流进行分析前需要进行的筛选工作，降低了监控设备的处理负荷。

第一方面，本发明提供了一种业务流镜像方法，包括：

接收业务流，所述业务流包括用户的网络地址；

才艮据所述网络地址，查询与所述用户的网络地址对应的用户标识；根据查询到的用户标识，查询是否有与所述用户标识对应的镜像策略；如果查询到与所述用户标识对应的镜像策略，复制所述业务流，将复制的业务流发送至监控设备。

在第一方面的第一种实现方式中，所述镜像策略包括对业务流的业务类型要求；

所述复制所述业务流前进一步包括：判断所述业务流是否满足所述业务类型要求；

在所述接收的业务流满足所述业务类型要求时，复制所述业务流。结合第一方面或第一方面的第一种实现方式，在第一方面的第二种实现方式中，所述查询是否有与所述用户标识对应的镜像策略包括：

向镜像策略服务器发送镜像策略查询请求，所述镜像策略查询请求包括所述用户标识；

接收来自所述镜像策略服务器的镜像策略查询响应，如果有与所述用户标识对应的镜像策略，所述镜像策略查询响应包括与所述用户标识对应的镜像策略。

结合第一方面或第一方面的第一种实现方式或第二种实现方式，在第一方面的第三种实现方式中，接收业务流前进一步包括：

接收用户上线消息，所述用户上线消息包括所述用户的用户标识和网络地址；

保存所述用户的用户标识和网络地址的对应关系；

所述根据所述网络地址，查询与所述网络地址对应的所述用户的用户标识具体为：

根据所述对应关系查询与所述网络地址对应的所述用户的用户标识。结合第一方面或第一方面的第一至第三种实现方式的任意一种，在第一方面的第四种实现方式中，所述将复制的业务流发送至监控设备前进一步包括：

根据所述镜像策略对所述复制的业务流进行处理，获得处理后的业务流;

所述将业务流发送至监控设备具体为：将所述处理后的业务流发送至监控设备。

结合第一方面的第四种实现方式，在第一方面的第五种实现方式中，所述根据所述镜像策略对所述复制的业务流进行处理包括：

在所述镜像策略要求对业务流进行数据块拼装时，对所述复制的业务流进行数据块拼装；或在所述镜像策略要求对业务流进行解压缩时，对所述复制的业务流进行解压缩；或

在所述镜像策略要求在业务流中插入消息头列表时，在所述复制的业务流中插入所述镜像策略指定的消息头列表；或

在所述镜像策略要求对业务流中的消息头列表进行更新时，将所述复制的业务流中的消息头列表更新为所述镜像策略指定的消息头列表；或

在所述镜像策略要求删除业务流中的消息头列表时，删除所述复制的业务流中的消息头列表；或

在所述镜像策略要求将请求业务流和对应的响应业务流打包时，如果所述复制的业务流是请求业务流，在接收到与所述接收的业务流对应的响应业务流后，复制接收的所述响应业务流，将所述复制的请求业务流和复制的响应业务流打包；如果所述复制的业务流是响应业务流，将所述复制的响应业务流与之前复制的与所述复制的响应业务流对应的请求业务流打包。

第二方面，本发明提供了一种业务流镜像方法，包括：

在接收用户上线消息或业务流后，获取用户的用户标识和网络地址；根据所述用户标识，查询是否有与所述用户标识对应的镜像策略；如果查询到与所述用户标识对应的镜像策略，根据查询到的镜像策略设置与所述网络地址对应的交换机脚本；

将所述交换机脚本发送至交换机，以使得所述交换机对业务流进行镜像。

在第二方面的第一种实现方式中，所述查询是否有与所述用户标识对应的镜像策略包括：

第三方面，本发明提供了一种业务流镜像方法，包括：接收到业务流后，对接收的业务流进行解析，获得所述业务流的业务类型；

查询是否有与所述业务类型对应的镜像策略；

如果查询到与所述业务类型对应的镜像策略，复制所述业务流，将复制的业务流发送至监控设备。

在第三方面的第一种实现方式中，所述查询是否有与所述业务类型对应的镜像策略包括：

向镜像策略服务器发送镜像策略查询请求，所述镜像策略查询请求包括所述业务类型；

接收来自所述镜像策略服务器的镜像策略查询响应，如果有与所述业务类型对应的镜像策略，所述镜像策略查询响应包括与所述业务类型对应的镜像策略。

结合第三方面或第三方面的第一种实现方式，在第三方面的第二种实现方式中，所述复制所述业务流前进一步包括：

判断所述业务流是否满足所述镜像策略的要求；

如果所述业务流满足所述镜像策略的要求，确定需要对所述业务流进行镜像，复制所述接收的业务流。

结合第三方面的第二种实现方式，在第三方面的第三种实现方式中，在所述镜像策略要求仅对请求业务流进行镜像时，所述判断所述业务流是否满足所述镜像策略的要求包括：判断所述接收的业务流是否为请求业务流；在所述接收的业务流是请求业务流时，确定需要对所述业务流进行镜像；

在所述镜像策略要求仅对响应业务流进行镜像时，所述判断所述业务流是否满足所述镜像策略的要求包括：判断所述接收的业务流是否为响应业务流；在所述接收的业务流是响应业务流时，确定需要对所述业务流进行镜像；在所述镜像策略要求对请求业务流和响应业务流进行镜像时，所述判断所述业务流是否满足所述镜像策略的要求包括：判断所述接收的业务流是否为请求业务流或响应业务流；在所述接收的业务流是请求业务流或响应业务流时，确定需要对所述业务流进行镜像；在所述镜像策略对所述业务类型的指定字段有字段取值要求时，所述判断所述业务流是否满足所述镜像策略的要求包括：判断所述接收的业务流的字段是否满足所述字段取值要求；在所述接收的业务流的字段满足所述字段取值要求时，确定需要对所述业务流进行镜像。

结合第三方面的第三种实现方式，在第三方面的第四种实现方式中，所述业务类型为超文本传输协议业务，所述指定字段为超文本传输协议方法字段、超文本传输协议全球资源定位器字段和超文本传输协议内容类型字段中的至少一个。

结合第三方面的第三种实现方式，在第三方面的第五种实现方式中，所述业务类型为文件传输协议业务，所述指定字段为描述字段、建立字段、拆除字段、邀请字段、尝试字段、再见字段、被动模式字段、端口字段、恢复指令字段和保存字段中的至少一个。

结合第三方面的第三种实现方式，在第三方面的第六种实现方式中，所述业务类型为 RTSP业务，所述指定字段为描述字段、建立字段、播放字段、录制字段、拆除字段、邀请字段、尝试字段、响铃字段、再见字段、被动模式字段、端口字段、恢复指令字段、保存字段、媒体的全球资源定位器字段、流媒体服务器的网际协议地址走到您和流媒体服务器的域名字段中的至少一个。

结合第三方面的第三种实现方式，在第三方面的第七种实现方式中，所述业务类型为会话发起协议业务，所述指定字段为描述字段、建立字段、拆除字段、邀请字段、尝试字段、再见字段、被动模式字段、端口字段、恢复指令字段、保存字段、会话发起协议服务器的网际协议地址字段和会话发起协议服务器的域名字段中的至少一个。

结合第三方面的第三种实现方式，在第三方面的第八种实现方式中，所述业务类型为邮局协议第 3版业务或简单邮件传输协议业务，所述指定字段为你好字段、数据字段、用户字段、密码字段、状态字段、列表字段、恢复指令字段、删除字段、邮件服务器的网际协议地址字段、邮件服务器的域名字段、邮件的内容类型字段和邮件的附件类型字段中的至少一个。结合第三方面或第三方面的第一至第八种实现方式中的任一一个，在第三方面的第九种实现方式中，所述将复制的业务流发送至监控设备前进一步包括：

根据所述镜像策略对所述复制的业务流进行处理，获得处理后的业务流；

结合第三方面的第九种实现方式，在第三方面的第十种实现方式中，所述根据所述镜像策略对所述复制的业务流进行处理包括：

在所述镜像策略要求对业务流进行数据块拼装时，对所述复制的业务流进行数据块拼装；或

在所述镜像策略要求对业务流进行解压缩时，对所述复制的业务流进行解压缩；或

第四方面，本发明提供了一种镜像设备，包括：

接收单元，用于接收业务流，所述业务流包括用户的网络地址；查询单元，用于根据所述网络地址，查询与所述用户的网络地址对应的用户标识；根据查询到的用户标识，查询是否有与所述用户标识对应的镜像策略；镜像处理单元，用于在所述查询单元查询到与所述用户标识对应的策略时，复制所述业务流；

发送单元，用于将所述镜像处理单元复制的业务流发送至监控设备。在第四方面的第一种实现方式中，所述镜像策略包括对业务流的业务类型要求；

所述镜像处理单元具体用于：在所述查询单元查询到与所述用户标识对应的镜像策略时，根据与所述用户标识对应的镜像策略，判断所述接收的业务流是否满足所述业务类型要求；在判断所述接收的业务流满足所述业务类型要求时，复制所述业务流。

结合第四方面或第四方面的第一种实现方式，在第四方面的第二种实现方式中，所述查询单元在查询是否有与所述用户标识对应的镜像策略时，具体用于：通过所述发送单元向镜像策略服务器发送镜像策略查询请求，所述镜像策略查询请求包括所述用户标识；通过所述接收单元接收来自所述镜像策略服务器的镜像策略查询响应，如果有与所述用户标识对应的镜像策略，所述镜像策略查询响应包括与所述用户标识对应的镜像策略。

结合第四方面或第四方面的第一种实现方式或第二种实现方式，在第四方面的第三种实现方式中，所述接收单元还用于接收用户上线消息，所述用户上线消息包括所述用户的用户标识和网络地址；

所述镜像设备还包括保存单元，用于保存所述接收单元接收的用户上线消息所包括的所述用户的用户标识和网络地址的对应关系；

所述查询单元在查询查询与所述网络地址对应的所述用户的用户标识时，具体用于根据所述保存单元保存的对应关系查询与所述网络地址对应的所述用户的用户标识。

结合第四方面或第四方面的第一种实现方式或第二种实现方式或第三种实现方式，在第四方面的第四种实现方式中，还包括：

处理单元，用于根据所述镜像策略对所述镜像处理单元复制的业务流进行处理，获得处理后的业务流；

所述发送单元，具体用于将所述处理单元获得的处理后的业务流发送至监控设备。结合第四方面的第四种实现方式，在第四方面的第五种实现方式中，所述处理单元具体用于：

第五方面，本发明提供了一种镜像设备，包括：

接收单元，用于接收用户上线消息或业务流；

获取单元，用于在所述接收单元接收了用户上线消息或业务流或后，获取用户的用户标识和网络地址；

查询单元，用于根据所述获取单元获取的用户标识，查询是否有与所述用户标识对应的镜像策略；

设置单元，用于在所述查询单元查询到与所述用户标识对应的镜像策略时，根据查询到的镜像策略设置与所述网络地址对应的交换机脚本；

发送单元，用于将所述设置单元设置的交换机脚本发送至交换机，以使得所述交换机对业务流进行镜像。

在第五方面的第一种实现方式中，所述查询单元具体用于：通过所述发送单元向镜像策略服务器发送镜像策略查询请求，所述镜像策略查询请求包括所述用户标识；通过所述接收单元接收来自所述镜像策略服务器的镜像策略查询响应，如果有与所述用户标识对应的镜像策略，所述镜像策略查询响应包括与所述用户标识对应的镜像策略。

第六方面，本发明提供了一种镜像设备，包括：

接收单元，用于接收业务流；

解析单元，用于对所述接收单元接收的业务流进行解析，获得所述业务流的业务类型；

查询单元，用于查询是否有与所述解析单元获得的业务类型对应的镜像策略；

镜像处理单元，用于在所述查询单元查询到与所述业务类型对应的镜像策略时，复制所述业务流；

发送单元，用于将所述镜像处理单元复制的业务流发送至监控设备。在第六方面的第一种实现方式中，所述查询单元具体用于：通过所述发送单元向镜像策略服务器发送镜像策略查询请求，所述镜像策略查询请求包括所述业务类型；通过所述接收单元接收来自所述镜像策略服务器的镜像策略查询响应，如果有与所述业务类型对应的镜像策略，所述镜像策略查询响应包括与所述业务类型对应的镜像策略。

结合第六方面或第六方面的第一种实现方式，在第六方面的第二种实现方式中，所述镜像确定单元包括：

判断子单元，用于判断所述接收的业务流是否满足所述镜像策略的要求；

确定子单元，用于在所述判断子单元判断所述接收的业务流不满足所述镜像策略的要求时，确定不需要对所述接收的业务流进行镜像；在所述判断子单元判断所述接收的业务流满足所述镜像策略的要求时，确定需要对所述接收的业务流进行镜像；

复制子单元，用于在所述确定子单元确定需要对所述接收的业务流进行镜像时，复制所述业务流；

所述发送单元，具体用于将所述复制子单元复制的业务流发送至监控设备。结合第六方面的第二种实现方式，在第六方面的第三种实现方式中，所述判断子单元具体用于：

在所述镜像策略要求仅对请求业务流进行镜像时，判断所述接收的业务流是否为请求业务流；或在所述镜像策略要求仅对响应业务流进行镜像时，判断所述接收的业务流是否为响应业务流；或在所述镜像策略要求对请求业务流和响应业务流进行镜像时，判断所述接收的业务流是否为请求业务流或响应业务流；或在所述镜像策略对所述业务类型的指定字段有字段取值要求时，判断所述接收的业务流的字段是否满足所述字段取值要求；

所述确定子单元具体用于：在所述镜像策略要求仅对请求业务流进行镜像，且所述判断子单元判断所述接收的业务流是请求业务流时，确定需要对所述接收的业务流进行镜像；或在所述镜像策略要求仅对响应业务流进行镜像，且所述判断子单元判断所述接收的业务流是响应业务流时，确定需要对所述接收的业务流进行镜像；或在所述镜像策略要求对请求业务流和响应业务流进行镜像，且所述判断子单元判断所述接收的业务流是接收业务流或响应业务流时，确定需要对所述接收的业务流进行镜像；或在所述镜像策略对所述业务类型的指定字段有字段取值要求，且所述判断子单元判断所述接收的业务流的字段满足所述字段取值要求时，确定需要对所述接收的业务流进行镜像。

结合第六方面或第六方面的第一至第三种实现方式中的任意一种，在第六方面的第四种实现方式中，还包括：

所述发送单元，具体用于将所述处理单元处理后的业务流发送至监控设备。

结合第六方面的第四种实现方式，在第六方面的第五种实现方式中，所述处理单元具体用于：

从本发明提供的以上技术方案可以看出，由于本发明中镜像设备在接收到业务流后，可以根据业务流中用户的网络地址确定对应的用户标识，从而可以根据用户标识查询镜像策略，也就是说镜像策略是与用户标识对应的，并根据查询到的镜像策略对接收的业务流进行镜像，因此可以实现仅对用户标识对应的业务流进行镜像，减少了需要镜像的业务流的数量，从而能够根据不同的业务分析需求，镜像不同的业务流，也减少了监控设备在对用户的业务流进行分析时需要进行的筛选工作，降低了监控设备的处理负荷。或者，镜像设备在接收到用户上线消息后，可以根据用户上线消息中用户的用户标识确定查询镜像策略，也就是说镜像策略是与用户标识对应的，并根据查询到的镜像策略设置交换机脚本，将设置的交换机脚本发送至交换机后，可以使得交换机能够对该用户的业务流进行镜像，从而能够根据不同的业务分析需求，镜像不同的业务流，由于镜像策略是针对用户标识的，因此交换机仅会对用户标识对应的业务流进行镜像，减少了交换机需要镜像的业务流的数量，降低了交换机的处理负荷；同时，也减少了监控设备在对用户的业务流进行分析时需要进行的筛选工作，降低了监控设备的处理负荷。或者，镜像设备在接收到业务流后，对业务流进行解析，从而获得业务流的业务类型，再根据业务类型查询镜像策略，也就是说镜像策略是与业务类型对应的，从而能够根据不同的业务分析需求，镜像不同的业务流，并根据查询到的镜像策略对接收的业务流进行镜像，因此可以实现仅对业务类型对应的业务流进行镜像，减少了需要镜像的业务流的数量，也减少了监控设备在对某个或某些特定业务的业务流进行分析时所需要进行的筛选工作，降低了监控设备的处理负荷。附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明一个实施例提供的业务流镜像方法的流程图；

图 2为本发明另一个实施例提供的业务流镜像方法的流程图；图 3为本发明另一个实施例提供的业务流镜像方法的流程图；图 4为本发明另一个实施例提供的业务流镜像方法的流程图；图 5为本发明一个实施例提供的镜像设备的结构图；

图 6为本发明另一个实施例提供的镜像设备的结构图；

图 7为本发明另一个实施例提供的镜像设备的结构图；

图 8为本发明一个实施例提供的镜像处理单元的结构图；

图 9为本发明另一个实施例提供的镜像设备的结构图；

图 10为本发明另一个实施例提供的镜像设备的结构图；

图 11为本发明另一个实施例提供的镜像设备的结构图；

图 12为本发明另一个实施例提供的镜像设备的结构图；

图 13为本发明一个实施例提供的镜像系统的结构图；

图 14为本发明一个实施例提供的镜像系统的结构图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。在本发明实施例中，镜像设备与监控设备之间的连接可以是传输控制协议 ( TCP: Transmission Control Protocol )连接、用户数据协议 ( UDP: User Datagram Protocol )连接或私有协议连接等连接。本发明实施例中的镜像策略是由运营商或业务提供商设置的，可以包括与用户标识对应的镜像策略和与业务类型对应的镜像策略等，其中，与用户标识对应的镜像策略是针对与该用户标识对应的用户的，在根据与用户标识对应的镜像策略对业务流进行镜像时，被镜像的业务流都是该用户的；与业务类型对应的镜像策略是针对是针对该业务类型对应的业务的，在根据与业务类型对应的镜像策略对业务流进行镜像时，被镜像的业务流都是该业务的；可以理解的是，在实际应用中，与用户标识对应的镜像策略和与业务类型对应的镜像策略可以结合起来使用。

如下先介绍本发明实施例提供的业务流镜像方法，本发明实施例提供的业务流镜像方法描述的是镜像设备的处理流程，该镜像设备可以作为网关通用分组无线业务支持节点（GGSN: Gateway GPRS Support Node ), 分组数据服务节点（PDSN: Packet Data Serving Node )或网络接入服务器 ( NAS: Network Access Server )等网络接入设备的一个功能模块，也可以作为接入网关的一个功能模块，即由 GGSN、 PDSN, NAS等网络接入设备或接入网关作为镜像设备，也可以在网络中新增一个独立网元作为镜像设备。

图 1描述了本发明一个实施例提供的业务流镜像方法的流程，包括：

101、接收业务流，该业务流包括用户的网络地址。

用户的网络地址是用户在接入网络后由网络设备分配的，例如可以是由

NAS设备分配的 IP地址。用户的网络地址根据用户接入时间的不同，接入地点的不同可能会不同。

102、居业务流中的网络地址，查询与该网络地址对应的用户的用户标识。

镜像设备会预先保存用户的网络地址和用户标识之间的对应关系，该对应关系是镜像设备在接收到用户上线消息后，从该用户上线消息中获得的，因此在接收到业务流后，镜像设备就可以直接根据业务流中的网络地址，以及该对应关系查询到用户的用户标识。

用户上线消息可以是远端拨入用户验证服务（ Radius： Remote Authentication Dial-In User Service )消息，其中，在镜像设备为 GGSN、 PDSN 或 NAS 时，该用户上线消息可以是由核心网设备发送，如通用分组无线业务业务支撑节点（ SGSN: Serving GPRS Support Node )等核心网设备；在镜像设备为接入网关或者独立网元时，该用户上线消息可以是由 GGSN、 PDSN 或 NAS等网络接入设备发送。

其中，用户上线消息所包括的用户标识是指能够在网络中唯一的标识用户的标识，该用户标识可以是移动台国际综合业务数字网号码（MSISDN: Mobile Station International ISDN Number )等。

103、根据查询到的用户标识，查询是否有与该用户标识对应的镜像策略。

在本发明的一个实施例中，由镜像设备保存用户的镜像策略，则镜像设备可以直接使用用户标识查询是否保存有与该用户标识对应的镜像策略。

在本发明的另一个实施例中，由专门的镜像策略服务器保存用户的镜像策略，则镜像设备在解析获得了用户标识后，采用如下流程查询用户的镜像策略：向镜像策略服务器发送镜像策略查询请求，该镜像策略查询请求包括所述用户标识；接收来自镜像策略服务器的镜像策略查询响应；其中，如果有与用户标识对应的镜像策略，则镜像策略服务器会将镜像策略放在镜像策略查询响应中，即镜像策略查询响应会包括与用户标识对应的镜像策略；如果没有与用户标识对应的镜像策略，则镜像策略查询响应会标识没有查询到与该用户标识对应的镜像策略。例如在镜像策略服务器是策略和计费规则功能（PCRF: Policy and Charging Rules Function ) 实体时，镜像设备可以通过与 PCRF实体之间的 Gx接口，向 PCRF实体发送 Gx信用控制请求 -初始 ( CCR-I: Credit Control Request-Initial ) 消息查询镜像策略， PCRF实体可以通过 Gx信用控制应答 -初始（CCA-I: Credit Control Answer-Initial ) 消息向镜像设备返回镜像策略。当然，镜像策略服务器还可以是配置 ( provisioning )服务器等其他服务器，镜像设备可以通过简单对象访问协议 ( SOAP: Simple Object Access Protocol )接口或脚本接口与 provisioning月良务器通信。

在本发明的另一个实施例中，由镜像设备和镜像策略服务器保存用户的镜像策略，镜像设备先查询自身是否保存了与用户标识对应的镜像策略，在镜像设备没有保存与用户标识对应的镜像策略时，镜像设备再向镜像策略服务器查询。其中，镜像设备可以保存从镜像策略服务器查询到的镜像策略，从而提高后续的查询速度。

其中，本发明实施例所描述的镜像策略的内容可以包括哪些业务流需要镜像，如镜像某个用户的所有业务流，或镜像某一业务类型的业务流，或镜像某一业务类型下的属于业务请求的业务流等；根据不同的需要还可以包括镜像的时长，镜像的流量总大小等。

104、如果查询到与该用户标识对应的镜像策略，复制业务流，将复制的业务流发送至监控设备。

其中，根据镜像策略的不同，对接收的业务流进行镜像的过程也会不同。例如，在镜像策略要求将某个用户的所有业务流都进行镜像时，根据该镜像策略对接收的业务流进行镜像时，只要接收的业务流包括的网络地址与用户标识对应，就可以不需要进行额外的判断步骤，直接复制接收的业务流，并将该复制的业务流发送至监控设备。

在镜像策略包括了对业务流的业务类型要求时，则在对接收的业务流进行镜像时，可以判断接收的业务流是否满足该业务类型要求，在接收的业务流满足该业务类型要求时，复制业务流，并将复制的业务流发送至监控设备；在接收的业务流不满足该业务类型要求时，不需要对接收的业务流进行镜像。其中，业务类型可以根据需要进行设置，例如可以设置为超文本传输协议（ HTTP: Hypertext Transfer Protocol )业务、文件传输协议（ FTP: File Transfer Protocol )业务、实时流协议 ( RTSP: Real-Time Streaming Protocol ) 业务、邮局协议第 3版（POP3 : Post Office Protocol 3 ) 业务、简单邮件传输协议 ( SMTP: Simple Mail Transfer Protocol )业务和会话发起协议（ SIP: Session Initiation Protocol ) 业务等 Ί层或 Ί层以上业务中的一种或多种，进一步的，还可以根据需要对业务类型进行进一步的细化，例如仅需要镜像 HTTP业务请求或 FTP业务响应等，在仅需要镜像业务 HTTP业务请求时，则在接收的业务流是 HTTP业务流，并且是一个 HTTP请求业务流时才对接收的业务流进行镜像；在仅需要镜像 FTP业务响应时，则在接收的业务流是 FTP业务流，并且是 FTP响应业务流时才对接收的业务流进行镜像。

从上可知，本实施例中镜像设备在接收到业务流后，可以根据业务流中用户的网络地址确定对应的用户标识，从而可以根据用户标识查询镜像策略，也就是说镜像策略是与用户标识对应的，并根据查询到的镜像策略对接收的业务流进行镜像，因此可以实现仅对用户标识对应的业务流进行镜像，减少了需要镜像的业务流的数量，从而能够根据不同的业务分析需求，镜像不同的业务流，也减少了监控设备在对用户的业务流进行分析时需要进行的筛选工作，降低了监控设备的处理负荷。

进一步，在本发明的另一个实施例中，镜像设备在将复制的业务流发送至监控设备前，可以进一步根据镜像策略对复制的业务流进行处理，获得处理后的业务流；并且将处理后的业务流发送至监控设备。使得监控设备不需要对业务流进行处理即可以进行分析，进一步降低了监控设备的处理负荷，从而可以提高监控设备的处理效率。其中，根据镜像策略的要求不同，镜像设备所进行的处理也可以不同；例如，在镜像策略要求对业务流进行数据块拼装时，则镜像设备可以对复制的业务流进行数据块拼装；或在镜像策略要求对业务流进行解压缩时，则镜像设备可以对复制的业务流进行解压缩；或在镜像策略要求在业务流中插入消息头列表时，则镜像设备可以在复制的业务流中插入镜像策略指定的消息头列表；或在镜像策略要求对业务流中的消息头列表进行更新时，则镜像设备可以将复制的业务流中的消息头列表更新为镜像策略指定的消息头列表；或在镜像策略要求删除业务流中的消息头列表时，则镜像设备可以删除复制的业务流中的消息头列表；或在镜像策略要求将请求业务流和对应的响应业务流打包时，如果复制的业务流是请求业务流，则镜像设备可以在接收到与接收的业务流对应的响应业务流后，复制接收的响应业务流，将复制的请求业务流和复制的响应业务流打包；如果复制的业务流是响应业务流，则镜像设备可以将复制的响应业务流与之前复制的与复制的响应业务流对应的请求业务流打包。

图 2描述了本发明另一个实施例提供的业务流镜像方法的流程，包括： 201、接收用户上线消息或业务流。

用户上线消息可以是远端拨入用户验证服务（ Radius： Remote Authentication Dial-In User Service )消息，其中，在镜像设备为 GGSN、 PDSN 或 NAS时，该用户上线消息可以是由核心网设备发送，如 SGSN等核心网设备；在镜像设备为接入网关或者独立网元时，该用户上线消息可以是由 GGSN、 PDSN或 NAS等网络接入设备发送。

202、获取用户的用户标识和网络地址。

其中，在镜像设备接收的是用户上线消息时，用户上线消息中就已经包括了用户的用户标识和网络地址，因此解析用户上线消息就可以获取用户的用户标识和网络地址。在镜像设备接收的是业务流时，业务流中已经包括了用户的网络地址，因此解析业务流尽可以获取用户的网络地址，再根据获取的网络地址获取用户的用户标识；具体地，镜像设备可以在接收到用户上线消息后，保存用户上线消息中用户的用户标识和网络地址的对应关系，因此在后续收到业务流后，镜像设备就可以根据该对应关系以及业务流中用户的网络地址，查询到用户的用户标识。

其中，用户标识是指能够在网络中唯一的标识用户的标识，该用户标识可以是移动台国际综合业务数字网号码（ MSISDN： Mobile Station International ISDN Number )等。网络地址可以是 IP地址、会话发起协议（ SIP: Session Initiation Protocol )地址等。

203、根据获取的用户标识，查询是否有与该用户标识对应的镜像策略。在本发明的一个实施例中，由镜像设备保存用户的镜像策略，则镜像设备可以直接使用用户标识查询是否保存有与该用户标识对应的镜像策略。

在本发明的另一个实施例中，由专门的镜像策略服务器保存用户的镜像策略，则镜像设备在解析获得了用户标识后，采用如下流程查询用户的镜像策略：向镜像策略服务器发送镜像策略查询请求，该镜像策略查询请求包括所述用户标识；接收来自镜像策略服务器的镜像策略查询响应；其中，如果有与用户标识对应的镜像策略，则镜像策略服务器会将镜像策略放在镜像策略查询响应中，即镜像策略查询响应会包括与用户标识对应的镜像策略；如果没有与用户标识对应的镜像策略，则镜像策略查询响应会标识没有查询到与该用户标识对应的镜像策略。

204、如果查询到与用户标识对应的镜像策略，根据查询到的镜像策略设置与网络地址对应的交换机脚本。

镜像设备在查询到与用户标识对应的镜像策略时，由于交换机已经具有镜像功能，因此在查询到的镜像策略仅要求进行可以由交换机进行的镜像时，如基于 IP地址或 IP五元组的镜像等，镜像设备就可以调用交换机对用户的业务流进行镜像。由于查询到的镜像策略是与用户标识对应的，而交换机只能够进行基于网络地址的镜像，如进行基于 IP地址或 IP五元组的镜像，因此需要将与用户标识的镜像策略修改为与网络地址对应的镜像策略；进一步，由于交换机不能直接对镜像策略进行解析，因此需要将镜像策略设置成交换机脚本，从而可以通过交换机脚本对交换机进行配置。

205、将交换机脚本发送至交换机，以使得交换机对业务流进行镜像。具体的，镜像设备可以通过远程登录（Telnet )、安全外壳（SSH: Secure

Shell )等方式连接到交换机，并且将交换机脚本发送至交换机，从而实现对交换机的配置，使得交换机可以对业务流进行镜像。

本发明实施例中的交换机可以是路由器设备、交换机设备或防火墙设备等能够对业务流进行镜像的交换设备。

从上可知，本实施例中镜像设备在接收到用户上线消息后，可以根据用户上线消息中用户的用户标识确定查询镜像策略，也就是说镜像策略是与用户标识对应的，并根据查询到的镜像策略设置交换机脚本，将设置的交换机脚本发送至交换机后，可以使得交换机能够对该用户的业务流进行镜像，从而能够根据不同的业务分析需求，镜像不同的业务流，由于镜像策略是针对用户标识的，因此交换机仅会对用户标识对应的业务流进行镜像，减少了交换机需要镜像的业务流的数量，降低了交换机的处理负荷；同时，也减少了监控设备在对用户的业务流进行分析时需要进行的筛选工作，降低了监控设备的处理负荷。

图 3描述了本发明另一个实施例提供的业务流镜像方法的流程，包括： 301、接收到业务流后，对接收的业务流进行解析，获得接收的业务流的业务类型。

本发明实施例中所述的业务类型具体包括 HTTP业务、 FTP业务、 RTSP 业务、 POP3业务、 SMTP业务和 SIP业务等 7层或 7层以上业务中的一种或多种，本发明实施例并不限定业务的具体类型。在解析时可以采用深度报文检测（ DPI: Deep Packet Inspection )等能够获得 Ί层或 Ί层以上业务类型的解析方式。

302、查询是否有与接收的业务流的业务类型对应的镜像策略。

在本发明的一个实施例中，由镜像设备保存用户的镜像策略，则镜像设备可以直接使用业务类型查询是否保存有与该业务类型对应的镜像策略。

在本发明的另一个实施例中，由专门的镜像策略服务器保存用户的镜像策略，则镜像设备在解析获得了业务类型后，采用如下流程查询用户的镜像策略：向镜像策略服务器发送镜像策略查询请求，该镜像策略查询请求包括所述业务类型；接收来自镜像策略服务器的镜像策略查询响应；其中，如果有与业务类型对应的镜像策略，则镜像策略服务器会将镜像策略放在镜像策略查询响应中，即镜像策略查询响应会包括与业务类型对应的镜像策略；如果没有与业务类型对应的镜像策略，则镜像策略查询响应会标识没有查询到与该业务类型对应的镜像策略。

在本发明的另一个实施例中，由镜像设备和镜像策略服务器保存用户的镜像策略，镜像设备先查询自身是否保存了与业务类型对应的镜像策略，在镜像设备没有保存与业务类型对应的镜像策略时，镜像设备再向镜像策略服务器查询。其中，镜像设备可以保存从镜像策略服务器查询到的镜像策略，从而提高后续的查询速度。

303、如果查询到与接收的业务流的业务类型对应的镜像策略，复制业务流，将复制的业务流发送至监控设备。

其中，根据镜像策略的不同，对接收的业务流进行镜像的过程也会不同。例如，在镜像策略要求将某个业务类型的所有业务流都进行镜像时，根据该镜像策略对接收的业务流进行镜像时，只要接收的业务流的业务类型符合镜像策略的要求，就可以不需要进行额外的判断步骤，直接复制接收的业务流，并将该复制的业务流发送至监控设备。在镜像策略对业务流有进一步的要求时，则在复制业务流之前可以进一步包括：判断接收的业务流是否满足该业务类型对应的镜像策略的要求；在判断接收的业务流不满足镜像策略的要求时，确定不需要对接收的业务流进行镜像；在判断接收的业务流满足镜像策略的要求时，确定需要对接收的业务流进行镜像，复制接收的业务流。

例如，在镜像策略仅要求对请求业务流进行镜像时，则判断接收的业务流是否为请求业务流；在判断接收的业务流是请求业务流时，确定需要对接收的业务流进行镜像；在判断接收的业务流不是请求业务流时，确定不需要对接收的业务流进行镜像。或在镜像策略仅要求对响应业务流进行镜像时，则判断接收的业务流是否为响应业务流；在判断接收的业务流是响应业务流时，确定需要对接收的业务流进行镜像；在判断接收的业务流不是响应业务流时，确定不需要对接收的业务流进行镜像。或在镜像策略要求对请求业务流和响应业务流进行镜像时，判断接收的业务流是否为请求业务流或响应业务流；在判断接收的业务流是请求业务流或响应业务流时，确定需要对接收的业务流进行镜像；在判断接收的业务流不是请求业务流或响应业务流时，确定不需要对接收的业务流进行镜像。或在镜像策略对业务类型的指定字段有字段取值要求时，判断接收的业务流的字段是否满足字段取值要求；在判断接收的业务流的字段满足字段取值要求时，确定需要对接收的业务流进行镜像；在判断接收的业务流的字段不满足字段取值要求时，确定不需要对接收的业务流进行镜像。

从上可知，本实施例中镜像设备在接收到业务流后，对业务流进行解析，从而获得业务流的业务类型，再根据业务类型查询镜像策略，也就是说镜像策略是与业务类型对应的，从而能够根据不同的业务分析需求，镜像不同的业务流，并根据查询到的镜像策略对接收的业务流进行镜像，因此可以实现仅对业务类型对应的业务流进行镜像，减少了需要镜像的业务流的数量，也减少了监控设备在对某个或某些特定业务的业务流进行分析时所需要进行的筛选工作，降低了监控设备的处理负荷。

在本发明的一个实施例中，镜像策略要求对业务类型是 HTTP业务的业务流进行镜像，则只要接收的业务流是 HTTP业务的业务流就满足镜像策略的要求，可以对接收的业务流进行镜像。在本发明的另一个实施例中，镜像策略还可以进一步对超文本传输协议方法（HTTP METHOD )字段、超文本传输协议全球资源定位器（HTTP URL ) 字段和超文本传输协议内容类型 ( HTTP CONTENT TYPE )字段中的至少一个字段的取值进行限定，则接收的业务流不仅要是 HTTP业务的业务流，并且业务流中对应字段的取值也满足镜像策略的要求时，才对该接收的业务流进行镜像。

在本发明的一个实施例中，镜像策略要求对业务类型是 FTP业务的业务流进行镜像，则只要接收的业务流是 FTP业务的业务流就满足镜像策略的要求，可以对接收的业务流进行镜像。在本发明的另一个实施例中，镜像策略还可以进一步对描述（DESCRIBE ) 字段、建立（SETUP ) 字段、拆除 ( TEARDOWN ) 字段、邀请 ( INVITE )字段、尝试（Trying ) 字段、再见 ( BYE )字段、被动模式（ PASV )字段、端口 ( PORT )字段、恢复指令（ RETR ) 字段和保存（STOR ) 字段中的至少一个字段的取值进行限定，则接收的业务流不仅要是 FTP业务的业务流，并且业务流中对应字段的的取值也满足镜像策略的要求时，才对该接收的业务流进行镜像。

在本发明的一个实施例中，镜像策略要求对业务类型是 RTSP业务的业务流进行镜像，则只要接收的业务流是 RTSP业务的业务流就满足镜像策略的要求，可以对接收的业务流进行镜像。在本发明的另一个实施例中，镜像策略还可以进一步对 DESCRIBE字段、 SETUP字段、播放（PLAY ) 字段、录制（RECORD ) 字段、 TEARDOWN、 INVITE, Trying, 响铃（Ringing ) 字段、 BYE、 PASV, PORT, RETR, STOR, 媒体的 URL字段、流媒体服务器的 IP地址字段和流媒体服务器的域名字段中的至少一个字段的取值进行限定，则接收的业务流不仅要是 RTSP业务的业务流，并且业务流中对应字段的的取值也满足镜像策略的要求时，才对该接收的业务流进行镜像。

在本发明的一个实施例中，镜像策略要求对业务类型是 SIP业务的业务流进行镜像，则只要接收的业务流是 SIP业务的业务流就满足镜像策略的要求，可以对接收的业务流进行镜像。在本发明的另一个实施例中，镜像策略还可以进一步对 DESCRIBE字段、 SETUP字段、 PLAY字段、 RECORD字段、 TEARDOWN字段、 INVITE字段、 Trying字段、 Ringing字段、 BYE字段、 PASV字段、 PORT字段、 RETR字段、 STOR字段、 SIP服务器的 IP地址字段和 SIP服务器的域名字段中的至少一个字段的取值进行限定，则接收的业务流不仅要是 SIP业务的业务流，并且业务流中对应字段的的取值也满足镜像策略的要求时，才对该接收的业务流进行镜像。

在本发明的一个实施例中，镜像策略要求对业务类型是 POP3 业务或 SMTP业务的业务流进行镜像，则只要接收的业务流是 POP3业务或 SMTP 业务的业务流就满足镜像策略的要求，可以对接收的业务流进行镜像。在本发明的另一个实施例中，镜像策略还可以进一步对你好（HELO )字段、数据（DATA )字段、用户（USR ) 字段、密码（PASS )字段、状态（STAT ) 字段、列表（LIST ) 字段、 RETR、删除（DELE ) 字段、邮件服务器的 IP 地址字段、邮件服务器的域名字段、邮件的内容类型字段和邮件的附件类型字段中的至少一个字段的取值进行限定，则接收的业务流不仅要是 POP3业务或 SMTP业务的业务流，并且业务流中对应字段的的取值也满足镜像策略的要求时，才对该接收的业务流进行镜像。

在本发明的另一个实施例中，镜像策略还可以包括对需要镜像的业务流的处理要求，即镜像策略除了指示需要对哪些业务流进行镜像外，还指示了镜像设备需要对这些需要镜像的业务流进行什么处理。因此，镜像设备在将复制的业务流发送至监控设备前可以进一步包括：根据镜像策略对复制的业务流进行处理，获得处理后的业务流；从而将处理后的业务流发送至监控设备。

例如，在镜像策略要求对需要镜像的业务流进行数据块（chunk )拼装时，镜像设备就对复制的业务流进行 chunk拼装。或在镜像策略要求对需要镜像的业务流进行解压缩时，镜像设备就对复制的业务流进行解压缩。或在镜像策略要求在需要镜像的业务流中插入消息头列表时，镜像设备就在复制的业务流中插入镜像策略指定的消息头列表。或在镜像策略要求对需要镜像的业务流中的消息头列表进行更新时，镜像设备就将复制的业务流中的消息头列表更新为镜像策略指定的消息头列表。或在镜像策略要求删除需要镜像的业务流中的消息头列表时，镜像设备就删除复制的业务流中的消息头列表。或在镜像策略要求将请求业务流和对应的响应业务流打包时，如果当前复制的业务流是请求业务流，则镜像设备在接收到与该当前复制的业务流对应的响应业务流后，复制接收的该响应业务流，再将复制的请求业务流和复制的响应业务流打包；如果复制的业务流是响应业务流，则镜像设备就将该复制的响应业务流与之前复制的与该复制的响应业务流对应的请求业务流打包。

图 4描述了本发明一个实施例提供的业务流镜像方法的流程，该实施例描述的是镜像策略要求对 HTTP业务流进行镜像的情况，该实施例包括： 401、镜像设备接收前端设备发送的业务流。

其中，前端设备根据镜像设备在网络中的位置不同而不同，例如，在镜像设备是 NAS设备的一个功能实体时，则前端设备可以是核心网网元。

402、镜像设备对接收的业务流进行解析，获得业务流的业务类型。本实施例假设业务流的业务类型为 HTTP业务。具体的，镜像设备可以通过 DPI解析获知业务流的业务类型为 HTTP业务。

403、镜像设备查询是否有与业务流的业务类型对应的镜像策略；如果查询到与业务流的业务类型对应的镜像策略，进入步骤 405; 如果没有查询到与业务流的业务类型对应的镜像策略，进入步骤 404。

404、镜像设备向后端设备转发接收的业务流；结束流程。

其中，后端设备根据镜像设备在网络中的位置的不同而不同，例如，在镜像设备为 NAS设备时，后端设备可以是交换机。

405、镜像设备判断接收的业务流的字段是否满足镜像策略的字段取值要求；如果满足，进入步骤 406; 如果不满足，进入步骤 404。

其中，根据镜像策略对字段取值要求的不同，镜像设备需要判断的业务流的字段也会有不同，例如，在本发明的一个实施例中，镜像策略可以携带如下参数中的至少一个：

HTTP Method参数：指示镜像设备匹配 HTTP业务流中的 Method字段是否满足镜像策略中 HTTP Method 参数的要求，如果不满足镜像策略中 HTTP Method参数的要求，进入步骤 404。 HTTP Method可以取值为 GET、 POST等。

URL参数：指示镜像设备判断 HTTP业务流中的 URL字段是否满足镜像策略中 HTTP URL参数的要求，如果不满足镜像策略中 HTTP URL参数的要求，进入步骤 404。

Mirror Type参数： Mirror Type取值为 REQ时，表示只对请求业务流进行镜像，如果接收的业务流不是请求业务流，进入步骤 404; Mirror Type取值为 RES 时，表示只对响应业务流进行镜像，如果接收的业务流不是响应业务流，进入步骤 404; Mirror Type取值为 REQ— RES时，表示对请求业务流和响应业务流进行镜像，如果接收的业务流不是请求业务流或响应业务流，进入步骤 404。

Content Type参数：指示镜像设备判断 HTTP业务流中的 Content-type 字段是否满足镜像策略中 HTTP Content Type参数的要求，如果不满足镜像策略中 HTTP Content Type参数的要求，进入步骤 404; Content Type参数可以取值为文本（text )、图片（img )等。

406、镜像设备复制满足镜像策略的字段取值要求的业务流，并对复制的业务流进行处理。

其中，根据镜像策略中携带的参数所指示的处理要求的不同，镜像设备需要进行的处理也会有不同，例如，在本发明的一个实施例中，镜像策略可以携带如下参数中的至少一个：

Chunk Flag参数：表示是否需要对内容进行 chunk拼装后再做镜像，

Chunk Flag取值为 0, 表示不需要进行 chunk拼装，直接镜像原始业务流； Chunk Flag取值为 1 , 表示需要进行 chunk拼装，镜像 chunk拼装后的业务流。

HTTP Uncompress Flag参数：当原始业务流是经过 gzip/deflate压缩时，表示是否需要对原始业务流进行解压缩后再进行镜像。 HTTP Uncompress Flag取值为 0,表示不需要解压缩，直接镜像原始业务流； HTTP Uncompress Flag取值为 1 , 表示需要解压缩，镜像解压缩后的业务流。

Enrich Header List参数：表示是否需要插入消息头列表，如果镜像策略有 Enrich Header List [Header Name, Header Value]这个参数 ,表示需要在镜像流中插入的消息头列表， Header Name表示需要插入的消息头的名称， Header Value表示需要插入的消息头的值。

Correct Header List参数：表示是否需要更新或删除消息头列表，如果镜像策略有 Correct Header List [Header Name, Header Value]这个参数, 表示需要在镜像流中更新的消息头列表，其中， Header Name表示需要更新的消息头的名称， Header Value表示更新后的消息头的值；其中，如果其中的 Header Value为 NULL , 则表示要求删除消息头名称为 Header Name的消息头。

Pack Flag参数：表示是否需要将请求业务流和响应业务流打包镜像给监控设备，其中，如果在接收到请求业务流后，等待响应业务流的时间超过系统配置的阀值，则可以只对请求做镜像。 Pack Flag取值为 0, 表示不需要打包镜像； Pack Flag取值为 1 , 表示需要打包镜像。

407、镜像设备将处理过的业务流发送至监控设备。

需要说明的是，虽然本实施例描述的是对 HTTP业务流进行镜像的处理过程，在需要镜像的业务流是 FTP业务流、 RTSP业务流、 POP3业务流、 SMTP业务流和 SIP业务流等 7层或 7层以上的业务流时，可以参考 HTTP 业务流进行镜像的处理过程，不再贅述。

从上可知，本实施例中镜像设备在接收到业务流后，对业务流进行解析，从而确定业务流的业务类型是否为 HTTP业务，再根据业务类型为 HTTP业务查询镜像策略，也就是说镜像策略是与 HTTP业务对应的，从而能够根据不同的业务分析需求，镜像不同的业务流，并根据查询到的镜像策略对接收的业务流进行镜像，因此可以实现仅对 HTTP业务的业务流进行镜像，减少了需要镜像的业务流的数量，也减少了监控设备在对 HTTP业务的业务流进行分析时需要进行的筛选工作 , 降低了监控设备的处理负荷。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

如下再介绍本发明实施例提供的镜像设备，图 5描述了本发明一个实施例提供的镜像设备 500的结构，包括：

接收单元 501 ,用于接收业务流，该接收的业务流包括用户的网络地址。用户的网络地址是用户在接入网络后由网络设备分配的，例如可以是由 NAS设备分配的 IP地址。用户的网络地址根据用户接入时间的不同，接入地点的不同可能会不同。

查询单元 502, 用于根据接收单元 501接收的业务流所包括的用户的网络地址，查询与该用户的网络地址对应的用户标识；才艮据查询到的用户标识，查询是否有与该用户标识对应的镜像策略。

在本发明的一个实施例中，由镜像设备保存用户的镜像策略，则查询单元 502 可以直接使用用户标识查询是否保存有与该用户标识对应的镜像策略。

在本发明的另一个实施例中，由专门的镜像策略服务器保存用户的镜像策略，则查询单元 502在根据查询到的用户标识，查询是否有与该用户标识对应的镜像策略时，具体用于：通过发送单元 504向镜像策略服务器发送镜像策略查询请求，该镜像策略查询请求包括用户标识；通过接收单元 501接收来自镜像策略服务器的镜像策略查询响应，如果镜像策略服务器查询到有与用户标识对应的镜像策略，则镜像策略查询响应会包括与用户标识对应的镜像策略；如果没有与用户标识对应的镜像策略，则镜像策略查询响应会标识没有查询到与该用户标识对应的镜像策略。例如在镜像策略服务器是 PCRF时，查询单元 502可以通过与 PCRF之间的 Gx接口，向 PCRF发送 Gx CCR-I消息查询镜像策略， PCRF可以通过 Gx CCA-I消息向镜像设备返回镜像策略。当然，镜像策略服务器还可以是 provisioning服务器等其他服务器，镜像设备可以通过 SOAP接口或脚本接口与 provisioning服务器通信。

在本发明的另一个实施例中，由镜像设备和镜像策略服务器保存用户的镜像策略，查询单元 502可以先查询镜像设备是否保存了与用户标识对应的镜像策略，在镜像设备没有保存与用户标识对应的镜像策略时，查询单元 502 再向镜像策略服务器查询。其中，镜像设备可以保存从镜像策略服务器查询到的镜像策略，从而提高后续的查询速度。

镜像处理单元 503 , 用于在查询单元 502查询到与用户标识对应的策略时，复制业务流；

发送单元，用于将镜像处理单元 503复制的业务流发送至监控设备。其中，根据镜像策略的不同，对接收的业务流进行镜像的过程也会不同。例如，在镜像策略要求将某个用户的所有业务流都进行镜像时，根据该镜像策略对接收的业务流进行镜像时，只要接收的业务流包括的网络地址与用户标识对应，镜像处理单元 503就可以不需要进行额外的判断步骤，直接复制接收的业务流。在镜像策略包括了对业务流的业务类型要求时，在本发明的另一个实施例中，镜像处理单元 503可以具体用于：在查询单元 502查询到与用户标识对应的镜像策略时，根据与用户标识对应的镜像策略，判断接收的业务流是否满足业务类型要求；在判断接收的业务流满足业务类型要求时，复制业务流。在判断接收的业务流不满足业务类型要求时，则不需要对业务流进行镜像，镜像处理单元 503当然也就不需要复制业务流。

其中，业务类型可以根据需要进行设置，例如可以设置为 HTTP业务、 FTP业务、 POP3业务、 SMTP业务、 SIP业务和 RTSP业务等 7层业务或 Ί 层以上业务中的至少一种，进一步的，还可以根据需要对业务类型进行进一步的细化，例如仅需要镜像 HTTP业务请求或 FTP业务响应等，在仅需要镜像业务 HTTP业务请求时，则在接收的业务流是 HTTP业务流，并且是一个 HTTP请求业务流时才对接收的业务流进行镜像；在仅需要镜像 FTP业务响应时，则在接收的业务流是 FTP业务流，并且是一个 FTP响应业务流时才对接收的业务流进行镜像。在本发明的另一个实施例中，镜像设备 500所包括的接收单元 501还可以用于接收用户上线消息，该用户上线消息包括用户的用户标识和网络地址；该镜像设备 500还可以包括保存单元 505 , 用于保存接收单元 501接收的用户上线消息所包括的用户的用户标识和网络地址的对应关系；则查询单元 502在查询与用户的网络地址对应的用户标识时，具体可以用于根据保存单元 505保存的对应关系查询与用户的网络地址对应的用户标识。

在本发明的另一个实施例中，本发明实施例提供的镜像设备 500还可以包括处理单元，用于根据镜像策略对镜像处理单元 503复制的业务流进行处理，获得处理后的业务流；则发送单元 504, 具体用于将处理单元获得的处理后的业务流发送至监控设备。使得监控设备不需要对业务流进行处理即可以进行分析，进一步降低了监控设备的处理负荷，从而可以提高监控设备的处理效率。其中，根据镜像策略的要求不同，处理单元所进行的处理也可以不同；例如，在镜像策略要求对业务流进行数据块拼装时，处理单元对复制的业务流进行数据块拼装；或在镜像策略要求对业务流进行解压缩时，处理单元对复制的业务流进行解压缩；或在镜像策略要求在业务流中插入消息头列表时，处理单元在复制的业务流中插入镜像策略指定的消息头列表；或在镜像策略要求对业务流中的消息头列表进行更新时，处理单元将复制的业务流中的消息头列表更新为镜像策略指定的消息头列表；或在镜像策略要求删除业务流中的消息头列表时，处理单元删除复制的业务流中的消息头列表；或在镜像策略要求将请求业务流和对应的响应业务流打包时，如果复制的业务流是请求业务流，处理单元在接收到与接收的业务流对应的响应业务流后,复制接收的响应业务流，将复制的请求业务流和复制的响应业务流打包；如果复制的业务流是响应业务流，处理单元将复制的响应业务流与之前复制的与复制的响应业务流对应的请求业务流打包。

图 6描述了本发明另一个实施例提供的镜像设备 600的结构，包括：接收单元 601 , 用于接收用户上线消息或业务流。

用户上线消息可以是 Radius消息，其中，在镜像设备为 GGSN、 PDSN 或 NAS时，该用户上线消息可以是由核心网设备发送，如 SGSN等核心网设备；在镜像设备为接入网关或者独立网元时，该用户上线消息可以是由 GGSN、 PDSN或 NAS等网络接入设备发送。

获取单元，用于在接收单元 601接收了用户上线消息或业务流或后，获取用户的用户标识和网络地址。

其中，在接收单元 601接收的是用户上线消息时，用户上线消息中就已经包括了用户的用户标识和网络地址，因此获取单元 602解析用户上线消息就可以获取用户的用户标识和网络地址。在接收单元 601接收的是业务流时 , 业务流中已经包括了用户的网络地址，因此获取单元 601解析业务流尽可以获取用户的网络地址 ,再根据获取的网络地址获取用户的用户标识；具体地 , 镜像设备 600可以在接收到用户上线消息后，保存用户上线消息中用户的用户标识和网络地址的对应关系，因此在后续收到业务流后，获取单元 602就可以根据该对应关系以及业务流中用户的网络地址，查询到用户的用户标识。

其中，用户标识是指能够在网络中唯一的标识用户的标识，该用户标识可以是 MSISDN等。网络地址可以是 IP地址、会话发起协议（ SIP： Session

Initiation Protocol )地址等。

查询单元 603 , 用于根据获取单元 602获取的用户标识，查询是否有与该用户标识对应的镜像策略。

在本发明的一个实施例中，由镜像设备保存用户的镜像策略，则查询单元 602 可以直接使用用户标识查询是否保存有与该用户标识对应的镜像策略。

在本发明的另一个实施例中，由专门的镜像策略服务器保存用户的镜像策略，则查询单元 603在根据查询到的用户标识，查询是否有与该用户标识对应的镜像策略时，具体用于：通过发送单元 605向镜像策略服务器发送镜像策略查询请求，该镜像策略查询请求包括用户标识；通过接收单元 601接收来自镜像策略服务器的镜像策略查询响应，如果镜像策略服务器查询到有与用户标识对应的镜像策略，则镜像策略查询响应会包括与用户标识对应的镜像策略；如果没有与用户标识对应的镜像策略，则镜像策略查询响应会标识没有查询到与该用户标识对应的镜像策略。例如在镜像策略服务器是 PCRF时，查询单元 603可以通过与 PCRF之间的 Gx接口，向 PCRF发送 Gx CCR-I消息查询镜像策略， PCRF可以通过 Gx CCA-I消息向镜像设备返回镜像策略。当然，镜像策略服务器还可以是 provisioning服务器等其他服务器，镜像设备可以通过 SOAP接口或脚本接口与 provisioning服务器通信。

在本发明的另一个实施例中，由镜像设备和镜像策略服务器保存用户的镜像策略，查询单元 603可以先查询镜像设备是否保存了与用户标识对应的镜像策略，在镜像设备没有保存与用户标识对应的镜像策略时，查询单元 603 再向镜像策略服务器查询。其中，镜像设备可以保存从镜像策略服务器查询到的镜像策略，从而提高后续的查询速度。

设置单元 604, 用于在查询单元 603查询到与用户的用户标识对应的镜像策略时，根据查询到的镜像策略设置与该用户的网络地址对应的交换机脚本。

发送单元 605, 用于将设置单元 604设置的交换机脚本发送至交换机，以使得该交换机可以对业务流进行镜像。

发送单元 605具体可以通过 Telnet或 SSH等方式连接到交换机，并且将交换机脚本发送至交换机，从而实现对交换机的配置，使得交换机可以对业务流进行镜像。

图 7描述了本发明另一个实施例提供的镜像设备 700的结构，包括：接收单元 701 , 用于接收业务流。

本发明实施例中所述的业务类型具体包括 HTTP业务、 FTP业务、 RTSP 业务、 POP3业务、 SMTP业务和 SIP业务等 7层或 7层以上业务中的一种或多种，当然也可以是其他的业务，本发明实施例并不限定业务的具体类型。

解析单元 702, 用于对接收单元 701接收的业务流进行解析，获得接收的业务流的业务类型。

查询单元 703 , 用于查询是否有与解析单元 702获得的业务类型对应的镜像策略。

在本发明的一个实施例中，由镜像设备保存用户的镜像策略，则查询单元 703 可以直接根据业务类型查询是否保存有与该用户标识对应的镜像策略。

在本发明的另一个实施例中，由专门的镜像策略服务器保存用户的镜像策略，则查询单元 703可以具体用于：通过发送单元 705向镜像策略服务器发送镜像策略查询请求，该镜像策略查询请求包括接收的业务流的业务类型；通过接收单元 701接收来自镜像策略服务器的镜像策略查询响应，如果有与接收的业务流的业务类型对应的镜像策略，则该镜像策略查询响应会包括与该业务类型对应的镜像策略；如果没有与用户标识对应的镜像策略，则镜像策略查询响应会标识没有查询到与该用户标识对应的镜像策略。

在本发明的另一个实施例中，由镜像设备和镜像策略服务器保存用户的镜像策略，查询单元 703可以先查询镜像设备是否保存了与业务类型对应的镜像策略，在镜像设备没有保存与用户标识对应的镜像策略时，查询单元 703 再向镜像策略服务器查询。其中，镜像设备可以保存从镜像策略服务器查询到的镜像策略，从而提高后续的查询速度。

镜像处理单元 704, 用于在查询单元 703查询到与接收的业务流的业务类型对应的镜像策略时，复制业务流。

发送单元 705 ,用于将镜像处理单元 704复制的业务流发送至监控设备。其中，根据镜像策略的不同，对接收的业务流进行镜像的过程也会不同。例如，在镜像策略要求将某个业务类型的所有业务流都进行镜像时，只要接收的业务流的业务类型符合镜像策略的要求，镜像处理单元 704就可以不需要进行额外的判断步骤，直接复制接收的业务流。在镜像策略对业务流有进一步的要求时，如图 8所示，在本发明的一个实施例中，镜像设备 700包括的镜像处理单元 704包括：

判断子单元 7041 ,用于判断接收单元 701接收的业务流是否满足查询单元 703查询到的镜像策略的要求；确定子单元 7042,用于在判断子单元 7041 判断接收的业务流不满足镜像策略的要求时，确定不需要对接收的业务流进行镜像；在判断子单元 7041 判断接收的业务流满足镜像策略的要求时，确定需要对接收的业务流进行镜像；复制子单元 7043 ,用于在确定子单元 7042 确定需要对接收的业务流进行镜像时，复制所述业务流。此时，发送单元 705 , 具体用于将该复制子单元 7043复制的业务流发送至监控设备。

在本发明的另一个实施例中，判断子单元 7041 可以具体用于：在镜像策略要求仅对请求业务流进行镜像时，判断接收的业务流是否为请求业务流；或在镜像策略要求仅对响应业务流进行镜像时，判断接收的业务流是否为响应业务流；或在镜像策略要求对请求业务流和响应业务流进行镜像时，判断接收的业务流是否为请求业务流或响应业务流；或在镜像策略对业务类型的指定字段有字段取值要求时，判断接收的业务流的字段是否满足所述字段取值要求；相应的，确定子单元 7042具体用于：在镜像策略要求仅对请求业务流进行镜像，且判断子单元 7041 判断接收的业务流是请求业务流时，确定需要对接收的业务流进行镜像，在判断子单元 7041 判断接收的业务流不是请求业务流时，确定不需要对接收的业务流进行镜像；或在镜像策略要求仅对响应业务流进行镜像，且判断子单元 7041 判断接收的业务流是响应业务流时，确定需要对接收的业务流进行镜像，在判断子单元 7041 判断接收的业务流不是响应业务流时，确定不需要对接收的业务流进行镜像；或在镜像策略要求对请求业务流和响应业务流进行镜像，且判断子单元 7041 判断接收的业务流是接收业务流或响应业务流时，确定需要对接收的业务流进行镜像，在判断子单元 7041判断接收的业务流不是接收业务流或响应业务流时，确定不需要对接收的业务流进行镜像；或在镜像策略对业务类型的指定字段有字段取值要求，且判断子单元 7041 判断接收的业务流的字段满足字段取值要求时，确定需要对接收的业务流进行镜像，在判断子单元 7041 判断接收的业务流的字段不满足字段取值要求时，确定不需要对接收的业务流进行镜像。

如图 9所示，本发明的另一个实施例提供的镜像设备 700除了包括上述的接收单元 701 , 解析单元 702, 查询单元 703 , 镜像处理单元 704和发送单元 705外，还包括了：

处理单元 706, 用于根据镜像策略对镜像处理单元 704复制的业务流进行处理，获得处理后的业务流。上述的发送单元 705 , 具体用于将处理单元 706处理后的业务流发送至监控设备。

在本发明的另一个实施例中，处理单元 706可以具体用于：在镜像策略要求对业务流进行 chunk拼装时，对镜像处理单元 704 复制的业务流进行 chunk拼装。或在镜像策略要求对业务流进行解压缩时，对镜像处理单元 704 复制的业务流进行解压缩。或在镜像策略要求在业务流中插入消息头列表时，在镜像处理单元 704复制的业务流中插入镜像策略指定的消息头列表。或在镜像策略要求对业务流中的消息头列表进行更新时，将镜像处理单元 704复制的业务流中的消息头列表更新为镜像策略指定的消息头列表。或在镜像策略要求删除业务流中的消息头列表时，删除镜像处理单元 704复制的业务流中的消息头列表。或在镜像策略要求将请求业务流和对应的响应业务流打包时，如果镜像处理单元 704当前复制的业务流是请求业务流，在镜像处理单元 704复制了与该当前复制的请求业务流对应的响应业务流后，将复制的请求业务流和复制的响应业务流打包；如果镜像处理单元 704当前复制的业务流是响应业务流，将该当前复制的响应业务流与镜像处理单元 704之前复制的与该响应业务流对应的请求业务流打包。图 10描述了本发明另一个实施例提供的镜像设备的结构，包括至少一个处理器 1001 (例如 CPU ), 至少一个网络接口 1005或者其他通信接口，存储器 1006, 和至少一个通信总线 1003 , 用于实现这些装置之间的连接通信。处理器 1002用于执行存储器 1006中存储的可执行模块，例如计算机程序。存储器 1006 可能包含高速随机存取存储器（RAM: Random Access Memory ), 也可能还包括非不稳定的存储器（ non- volatile memory ), 例如至少一个磁盘存储器。通过至少一个网络接口 1005 (可以是有线或者无线）实现该系统网关与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

在一些实施方式中，存储器 1006存储了程序 10061 ,程序 10061可以被处理器 1002执行，这个程序包括：接收业务流，业务流包括用户的网络地址；才艮据网络地址，查询与用户的网络地址对应的用户标识；才艮据用户标识，查询是否有与用户标识对应的镜像策略；如果查询到与用户标识对应的镜像策略，复制业务流，将复制的业务流发送至监控设备。具体的实施步骤与图 1所示的实施例相同，此处不再贅述。从上可知，本实施例中镜像设备在接收到业务流后，可以根据业务流中用户的网络地址确定对应的用户标识，从而可以根据用户标识查询镜像策略，也就是说镜像策略是与用户标识对应的，并根据查询到的镜像策略对接收的业务流进行镜像，因此可以实现仅对用户标识对应的业务流进行镜像，减少了需要镜像的业务流的数量，从而能够根据不同的业务分析需求，镜像不同的业务流，也减少了监控设备在对用户的业务流进行分析时需要进行的筛选工作，降低了监控设备的处理负荷。

图 11描述了本发明另一个实施例提供的镜像设备的结构，包括至少一个处理器 1101 (例如 CPU ), 至少一个网络接口 1105或者其他通信接口，存储器 1106, 和至少一个通信总线 1103 , 用于实现这些装置之间的连接通信。处理器 1102用于执行存储器 1106中存储的可执行模块，例如计算机程序。存储器 1106 可能包含高速随机存取存储器（RAM: Random Access Memory ), 也可能还包括非不稳定的存储器（ non- volatile memory ), 例如至少一个磁盘存储器。通过至少一个网络接口 1105 (可以是有线或者无线）实现该系统网关与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

在一些实施方式中，存储器 1106存储了程序 11061 , 程序 11061可以被处理器 1102执行，这个程序包括：在接收用户上线消息或业务流后，获取用户的用户标识和网络地址；才艮据用户标识，查询是否有与该用户标识对应的镜像策略；如果查询到与用户标识对应的镜像策略，根据查询到的镜像策略设置与网络地址对应的交换机脚本；将交换机脚本发送至交换机，以使得交换机对业务流进行镜像。具体的实施步骤与图 2所示的实施例相同，此处不再赘述。

从上可知，本实施例中镜像设备在接收到用户上线消息后，可以根据用户上线消息中用户的用户标识确定查询镜像策略，也就是说镜像策略是与用户标识对应的，并根据查询到的镜像策略设置交换机脚本，将设置的交换机脚本发送至交换机后，可以使得交换机能够对该用户的业务流进行镜像，从而能够根据不同的业务分析需求，镜像不同的业务流，由于镜像策略是针对用户标识的，因此交换机仅需要对用户标识对应的业务流进行镜像，减少了交换机需要镜像的业务流的数量，降低了交换机的处理负荷；同时，也减少了监控设备在对用户的业务流进行分析时需要进行的筛选工作 , 降低了监控设备的处理负荷。

图 12描述了本发明另一个实施例提供的镜像设备的结构，包括至少一个处理器 1201 (例如 CPU ), 至少一个网络接口 1205或者其他通信接口，存储器 1206, 和至少一个通信总线 1203 , 用于实现这些装置之间的连接通信。处理器 1202用于执行存储器 1206中存储的可执行模块，例如计算机程序。存储器 1206 可能包含高速随机存取存储器（RAM: Random Access Memory ), 也可能还包括非不稳定的存储器（ non- volatile memory ), 例如至少一个磁盘存储器。通过至少一个网络接口 1205 (可以是有线或者无线）实现该系统网关与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

在一些实施方式中，存储器 1206存储了程序 12061 ,程序 12061可以被处理器 1202执行，这个程序包括：接收到业务流后，对接收的业务流进行解析，获得业务流的业务类型；查询是否有与业务类型对应的镜像策略；如果查询到与业务类型对应的镜像策略，复制业务流，将复制的业务流发送至监控设备。具体的实施步骤与图 3所示的实施例相同，此处不再贅述。

本发明实施例还提供了镜像系统，本发明实施例提供的镜像系统可以包括本发明任一实施例提供的镜像设备。

图 13描述了本发明一个实施例提供的镜像系统的结构，该实施例中镜像设备作为网络中的一个独立网元，该镜像系统包括接入设备 1301 , 交换机 1302, 镜像设备 1303和监控设备 1304; 其中，接入设备 1301用于接收来自用户的业务流，并将接收的用户的业务流发送至交换机 1302, 交换机 1302 将接收的业务流转发给镜像设备 1303; 镜像设备 1303的结构和对接收的业务流的处理可以参考上述的镜像设备的实施例，此处不再贅述。其中，在镜像设备 1303使用交换机 1302 的镜像功能对业务流进行镜像时，由交换机 1302将镜像的业务流发送至监控设备；在镜像设备 1303对业务流进行镜像时，由镜像设备 1303将镜像的业务流发送至监控设备。其中，接入设备 1301 可以是网络接入设备或接入网关，网络接入设备具体可以是 GGSN、 PDSN 或 NAS等网元。

图 14描述了本发明一个实施例提供的镜像系统的结构，该实施例中镜像设备作为接入设备的一个功能模块，该镜像系统包括接入设备 1401 ,镜像设备 1402和监控设备 1403; 其中，接入设备 1401用于接收来自用户的业务流后，镜像设备 1402就可以获得业务流；镜像设备 1402对接收的业务流的处理可以参考上述的镜像设备的实施例，此处不再贅述。其中，在镜像设备 1402使用交换机 1404的镜像功能对业务流进行镜像时，由交换机 1404将镜像的业务流发送至监控设备；在镜像设备 1402对业务流进行镜像时，由镜像设备 1402将镜像的业务流发送至监控设备。其中，接入设备 1401可以是网络接入设备或接入网关，网络接入设备具体可以是 GGSN、 PDSN或 NAS 等网元。

上述装置和系统内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述„

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，上述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，上述的存储介质可为磁碟、光盘、只读存储记忆体（ROM: Read-Only Memory )或随机存储记忆体 ( RAM: Random Access Memory ) 等。、、：八） ' 、 - 、，、；、、 V ,一门、术、、；、施例的说明只是用于帮助理解本发明的方法及其思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种业务流镜像方法，其特征在于，包括：

接收业务流，所述业务流包括用户的网络地址；

2、如权利要求 1 所述的业务流镜像方法，其特征在于，所述镜像策略包括对业务流的业务类型要求；

所述复制所述业务流前进一步包括：

判断所述业务流是否满足所述业务类型要求；

在所述接收的业务流满足所述业务类型要求时，复制所述业务流。

3、如权利要求 1或 2所述的业务流镜像方法，其特征在于，所述查询是否有与所述用户标识对应的镜像策略包括：

4、如权利要求 1至 3任一所述的业务流镜像方法，其特征在于，接收业务流前进一步包括：

保存所述用户的用户标识和网络地址的对应关系；

根据所述对应关系查询与所述网络地址对应的所述用户的用户标识。

5、如权利要求 1至 4任一所述的业务流镜像方法，其特征在于，所述将复制的业务流发送至监控设备前进一步包括：根据所述镜像策略对所述复制的业务流进行处理，获得处理后的业务流;

6、如权利要求 5所述的业务流镜像方法，其特征在于，所述根据所述镜像策略对所述复制的业务流进行处理包括：

7、一种业务流镜像方法，其特征在于，包括：

8、如权利要求 7所述的业务流镜像方法，其特征在于，所述查询是否有与所述用户标识对应的镜像策略包括：

9、一种业务流镜像方法，其特征在于，包括：

接收到业务流后，对接收的业务流进行解析，获得所述业务流的业务类型；

查询是否有与所述业务类型对应的镜像策略；

10、如权利要求 9所述的业务流镜像方法，其特征在于，所述查询是否有与所述业务类型对应的镜像策略包括：

11、如权利要求 9或 10所述的业务流镜像方法，其特征在于，所述复制所述业务流前进一步包括：

判断所述业务流是否满足所述镜像策略的要求；

12、如权利要求 11所述的业务流镜像方法，其特征在于，

在所述镜像策略要求仅对请求业务流进行镜像时，所述判断所述业务流是否满足所述镜像策略的要求包括：判断所述接收的业务流是否为请求业务流；在所述接收的业务流是请求业务流时，确定需要对所述业务流进行镜像；或在所述镜像策略要求仅对响应业务流进行镜像时，所述判断所述业务流是否满足所述镜像策略的要求包括：判断所述接收的业务流是否为响应业务流；在所述接收的业务流是响应业务流时，确定需要对所述业务流进行镜像；或

在所述镜像策略要求对请求业务流和响应业务流进行镜像时，所述判断所述业务流是否满足所述镜像策略的要求包括：判断所述接收的业务流是否为请求业务流或响应业务流；在所述接收的业务流是请求业务流或响应业务流时，确定需要对所述业务流进行镜像；或

在所述镜像策略对所述业务类型的指定字段有字段取值要求时，所述判断所述业务流是否满足所述镜像策略的要求包括：判断所述接收的业务流的字段是否满足所述字段取值要求；在所述接收的业务流的字段满足所述字段取值要求时，确定需要对所述业务流进行镜像。

13、如权利要求 12所述的业务流镜像方法，其特征在于，所述业务类型为超文本传输协议业务，所述指定字段为超文本传输协议方法字段、超文本传输协议全球资源定位器字段和超文本传输协议内容类型字段中的至少一个。

14、如权利要求 12所述的业务流镜像方法，其特征在于，所述业务类型为文件传输协议业务，所述指定字段为描述字段、建立字段、拆除字段、邀请字段、尝试字段、再见字段、被动模式字段、端口字段、恢复指令字段和保存字段中的至少一个。

15、如权利要求 12所述的业务流镜像方法，其特征在于，所述业务类型为实时流协议业务，所述指定字段为描述字段、建立字段、播放字段、录制字段、拆除字段、邀请字段、尝试字段、响铃字段、再见字段、被动模式字段、端口字段、恢复指令字段、保存字段、媒体的全球资源定位器字段、流媒体服务器的网际协议地址字段和流媒体服务器的域名字段中的至少一个。

16、如权利要求 12所述的业务流镜像方法，其特征在于，所述业务类型为会话发起协议业务，所述指定字段为描述字段、建立字段、拆除字段、邀请字段、尝试字段、再见字段、被动模式字段、端口字段、恢复指令字段、保存字段、会话发起协议服务器的网际协议地址字段和会话发起协议服务器的域名字段中的至少一个。

17、如权利要求 12所述的业务流镜像方法，其特征在于，所述业务类型为邮局协议第 3版业务或简单邮件传输协议业务，所述指定字段为你好字段、数据字段、用户字段、密码字段、状态字段、列表字段、恢复指令字段、删除字段、邮件服务器的网际协议地址字段、邮件服务器的域名字段、邮件的内容类型字段和邮件的附件类型字段中的至少一个。

18、如权利要求 9至 17任一所述的业务流镜像方法，其特征在于，所述将复制的业务流发送至监控设备前进一步包括：

19、如权利要求 18所述的业务流镜像方法，其特征在于，所述根据所述镜像策略对所述复制的业务流进行处理包括：

20、一种镜像设备，其特征在于，包括：

接收单元，用于接收业务流，所述业务流包括用户的网络地址；查询单元，用于根据所述网络地址，查询与所述用户的网络地址对应的用户标识；根据查询到的用户标识，查询是否有与所述用户标识对应的镜像策略；

镜像处理单元，用于在所述查询单元查询到与所述用户标识对应的策略时，复制所述业务流；

发送单元，用于将所述镜像处理单元复制的业务流发送至监控设备。

21、如权利要求 20所述的镜像设备，其特征在于，所述镜像策略包括对业务流的业务类型要求；

22、如权利要求 20或 21所述的镜像设备，所述查询单元在查询是否有与所述用户标识对应的镜像策略时，具体用于：通过所述发送单元向镜像策略服务器发送镜像策略查询请求，所述镜像策略查询请求包括所述用户标识；通过所述接收单元接收来自所述镜像策略服务器的镜像策略查询响应，如果有与所述用户标识对应的镜像策略，所述镜像策略查询响应包括与所述用户标识对应的镜像策略。

23、如权利要求 20至 22任一所述的镜像设备，其特征在于，所述接收单元还用于接收用户上线消息，所述用户上线消息包括所述用户的用户标识和网络地址；

24、如权利要求 20至 23所述的镜像设备，其特征在于，还包括：处理单元，用于根据所述镜像策略对所述镜像处理单元复制的业务流进行处理，获得处理后的业务流；

所述发送单元，具体用于将所述处理单元获得的处理后的业务流发送至监控设备。

25、如权利要求 24所述的镜像设备，其特征在于，所述处理单元具体用于：

26、一种镜像设备，其特征在于，包括：

接收单元，用于接收用户上线消息或业务流；

设置单元，用于在所述查询单元查询到与所述用户标识对应的镜像策略时，根据查询到的镜像策略设置与所述网络地址对应的交换机脚本；发送单元，用于将所述设置单元设置的交换机脚本发送至交换机，以使得所述交换机对业务流进行镜像。

27、如权利要求 26所述的镜像设备，其特征在于，所述查询单元具体用于：通过所述发送单元向镜像策略服务器发送镜像策略查询请求，所述镜像策略查询请求包括所述用户标识；通过所述接收单元接收来自所述镜像策略服务器的镜像策略查询响应，如果有与所述用户标识对应的镜像策略，所述镜像策略查询响应包括与所述用户标识对应的镜像策略。

28、一种镜像设备，其特征在于，包括：

接收单元，用于接收业务流；

29、如权利要求 28所述的镜像设备，其特征在于，所述查询单元具体用于：通过所述发送单元向镜像策略服务器发送镜像策略查询请求，所述镜像策略查询请求包括所述业务类型；通过所述接收单元接收来自所述镜像策略服务器的镜像策略查询响应，如果有与所述业务类型对应的镜像策略，所述镜像策略查询响应包括与所述业务类型对应的镜像策略。

30、如权利要求 28或 29所述的镜像设备，其特征在于，所述镜像处理单元包括：

所述发送单元，具体用于将所述复制子单元复制的业务流发送至监控设备。

31、如权利要求 30所述的镜像设备，其特征在于，所述判断子单元具体用于：在所述镜像策略要求仅对请求业务流进行镜像时，判断所述接收的业务流是否为请求业务流；或在所述镜像策略要求仅对响应业务流进行镜像时，判断所述接收的业务流是否为响应业务流；或在所述镜像策略要求对请求业务流和响应业务流进行镜像时，判断所述接收的业务流是否为请求业务流或响应业务流；或在所述镜像策略对所述业务类型的指定字段有字段取值要求时，判断所述接收的业务流的字段是否满足所述字段取值要求；

32、如权利要求 28至 31任一所述的镜像设备，其特征在于，还包括：处理单元，用于根据所述镜像策略对所述镜像处理单元复制的业务流进行处理，获得处理后的业务流；

33、如权利要求 32所述的镜像设备，其特征在于，所述处理单元具体用于：在所述镜像策略要求对业务流进行数据块拼装时，对所述复制的业务流进行数据块拼装；或

34、一种镜像设备，包括至少一个处理器，至少一个网络接口或者其他通信接口，存储器，和至少一个通信总线，所述用于实现各个装置之间的连接通信，所述处理器用于执行所述存储器中存储的程序；

所述程序包括步骤：接收到业务流后，对接收的业务流进行解析，获得业务流的业务类型；查询是否有与业务类型对应的镜像策略；如果查询到与业务类型对应的镜像策略，复制业务流，将复制的业务流发送至监控设备。