專利名稱:報(bào)文檢測方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)�,尤其涉及一種報(bào)文檢測方法及系統(tǒng)。
背景技術(shù):
隨著IP技術(shù)的不斷發(fā)展���,IP寬帶業(yè)務(wù)成為亮點(diǎn)���,IP網(wǎng)絡(luò)逐漸從承載單一
的因特網(wǎng)業(yè)務(wù)到承載數(shù)據(jù)、語音���、視頻����、大客戶專線�����、3G�����、下一代網(wǎng)絡(luò)(Next Generation Network,以下簡稱NGN) ����、 IP多媒體子系統(tǒng)(IP Multimedia Subsystem,以下簡稱IMS )、因特網(wǎng)協(xié)議電視(Internet Protocol Television, 以下簡稱IPTV)等運(yùn)營級(jí)多業(yè)務(wù)的方向轉(zhuǎn)型�,在轉(zhuǎn)型過程中,IP網(wǎng)絡(luò)在安 全性���、可靠性�、業(yè)務(wù)服務(wù)質(zhì)量上也將發(fā)生^f艮本性的變革�����。
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展�����,各種新的應(yīng)用層出不窮�����,如對(duì)等網(wǎng)絡(luò)(Peerto Peer,以下簡稱P2P)���、網(wǎng)絡(luò)游戲�、網(wǎng)絡(luò)電視等新興業(yè)務(wù),占用了互聯(lián)網(wǎng)大 部分帶寬��,從目前國內(nèi)統(tǒng)計(jì)來看�����,P2P跨域的流量在干線占用了80%的帶寬��, 在我國寬帶不限時(shí)包月資費(fèi)模式下���,網(wǎng)絡(luò)的絕大部分帶寬被少量用戶所占用�����, 而這些用戶并未支付相應(yīng)的成本開銷�����,卻影響了其他大部分用戶的網(wǎng)絡(luò)質(zhì)量���, 導(dǎo)致網(wǎng)絡(luò)出現(xiàn)不同程度的擁塞,大大降低了其他應(yīng)用的用戶體驗(yàn)�����。與此同時(shí), 計(jì)算機(jī)網(wǎng)絡(luò)受到越來越嚴(yán)重的攻擊和入侵���,給用戶和運(yùn)營商造成非常巨大的 損失,盈利能力相應(yīng)降低����。雖然防火墻緩解了部分攻擊,但普通的防火墻對(duì) 于藏身在IP包凈荷中病毒的傳播和攻擊顯得力不從心�����。近年來�,網(wǎng)絡(luò)攻擊的 發(fā)展趨勢逐漸轉(zhuǎn)向高層應(yīng)用,據(jù)分析�����,目前網(wǎng)絡(luò)攻擊的70%以上集中在應(yīng)用 層���,并且該數(shù)字呈上升趨勢��。正因?yàn)槿绱?�,?nèi)容安全開始成為目前信息安全 中最關(guān)鍵的問題���。造成以上現(xiàn)象的主要原因是運(yùn)營商對(duì)用戶缺少一個(gè)有效的控制和區(qū)分 手段���,運(yùn)營商既不知道用戶在網(wǎng)上干什么,也沒有辦法給不同用戶提供一個(gè) 不同的服務(wù)質(zhì)量�����、服務(wù)等級(jí)的保證���,無法實(shí)現(xiàn)報(bào)文檢測和業(yè)務(wù)識(shí)別����,導(dǎo)致增 加了運(yùn)營商的運(yùn)營成本�,降低了客戶的滿意度。因此�,如何實(shí)現(xiàn)報(bào)文檢測和 業(yè)務(wù)識(shí)別,感知網(wǎng)絡(luò)應(yīng)用����,提供網(wǎng)絡(luò)業(yè)務(wù)控制和管理手段,構(gòu)建可以運(yùn)營與 管理的和諧網(wǎng)絡(luò)�����,是非常必要的。
一種新的^支術(shù)手,爻-深度才艮文才企測^支術(shù)(Deep Packet Inspection,以
下簡稱DPI)和深度/動(dòng)態(tài)流檢測技術(shù)(Deep/Dynamic Flow Inspection,以下 簡稱DFI)���,能夠感知網(wǎng)絡(luò)應(yīng)用�,給運(yùn)營商提供網(wǎng)絡(luò)控制和管理的手段�����。所 謂"深度"是和普通報(bào)文的檢測層次相比較而言的���,普通報(bào)文檢測僅檢測IP包4 層以下的內(nèi)容,包括源地址�、目的地址、源端口�、目的端口以及業(yè)務(wù)類型, 而DPI/DFI除了對(duì)前面的層次進(jìn)行檢測外�,還增加了應(yīng)用層檢測,能夠識(shí)別 各種應(yīng)用及其內(nèi)容��,并進(jìn)行控制和管理���。
現(xiàn)有技術(shù)中提出了以下兩種DPI/DFI報(bào)文檢測方案 如圖1所示���,為現(xiàn)有技術(shù)中采用串聯(lián)方式進(jìn)行DPI檢測的系統(tǒng)示意圖��, 在該網(wǎng)絡(luò)中�,DPI/DFI檢測設(shè)備位于匯聚層和接入層之間���,也可以部署在 匯聚層和IP/多協(xié)議標(biāo)記交換(Multiprotocol Label Switch,以下簡稱 MPLS)骨干網(wǎng)之間�����,所有進(jìn)入接入網(wǎng)絡(luò)或從接入網(wǎng)絡(luò)發(fā)出的報(bào)文都需要 經(jīng)過DPI/DFI檢測設(shè)備進(jìn)行檢測���,只有符合檢測策略的報(bào)文才允許進(jìn)入網(wǎng) 絡(luò)或從網(wǎng)絡(luò)發(fā)出。
如圖2所示����,為現(xiàn)有技術(shù)中采用并聯(lián)方式進(jìn)行DPI檢測的系統(tǒng)示意圖, 在該網(wǎng)絡(luò)中�����,DPI/DFI檢測設(shè)備側(cè)掛在網(wǎng)絡(luò)接入服務(wù)器(Network Access Server,以下簡稱NAS)旁����,也可以根據(jù)網(wǎng)絡(luò)實(shí)際情況側(cè)掛在其它網(wǎng)絡(luò) 設(shè)備旁,所有進(jìn)入接入網(wǎng)絡(luò)或從接入網(wǎng)絡(luò)發(fā)出的報(bào)文都需要經(jīng)過NAS, NAS將報(bào)文復(fù)制到DPI/DFI檢測設(shè)備進(jìn)行檢測���,在DPI/DFI檢測設(shè)備檢測 的過程中�����,報(bào)文繼續(xù)進(jìn)入接入網(wǎng)絡(luò)或從接入網(wǎng)絡(luò)發(fā)出����,不受影響,當(dāng)
8DPI/DFI檢測設(shè)備識(shí)別出非法業(yè)務(wù)后���,通過NAS丟棄進(jìn)入接入網(wǎng)絡(luò)或離開 接入網(wǎng)絡(luò)的非法業(yè)務(wù)的報(bào)文。
在實(shí)現(xiàn)本發(fā)明實(shí)施例的過程中�����,發(fā)明人發(fā)現(xiàn)以上兩種方案至少存在如 下問題采用串聯(lián)方式進(jìn)行DPI檢測的方案����,由于所有報(bào)文都經(jīng)過DPI/DFI 檢測設(shè)備,導(dǎo)致DPI/DFI檢測設(shè)備成為報(bào)文轉(zhuǎn)發(fā)的瓶頸���,造成傳輸延遲�, 尤其對(duì)實(shí)時(shí)業(yè)務(wù)有很大影響����;同時(shí)檢測策略不靈活���,無法根據(jù)網(wǎng)絡(luò)情況以 及動(dòng)態(tài)要求部署檢測策略。采用并聯(lián)方式進(jìn)行DPI檢測的方案�����,由于 DPI/DFI檢測設(shè)備側(cè)掛在網(wǎng)絡(luò)中�����,業(yè)務(wù)的實(shí)時(shí)控制能力較弱��,降低了控制 效果�����;同時(shí)檢測策略不靈活�����,無法根據(jù)網(wǎng)絡(luò)情況以及動(dòng)態(tài)要求部署檢測策 略���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了 一種報(bào)文檢測方法及系統(tǒng)�,以實(shí)現(xiàn)分層次對(duì)報(bào)文進(jìn) 行檢測,能滿足實(shí)時(shí)業(yè)務(wù)的需求����,避免DPI/DFI檢測設(shè)備成為報(bào)文轉(zhuǎn)發(fā)的瓶 頸。
本發(fā)明實(shí)施例提供了一種報(bào)文檢測方法���,包括 根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文�; 當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)�����,轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文���; 根據(jù)配置策略確定是否復(fù)制所述數(shù)據(jù)報(bào)文,若是��,則復(fù)制所述數(shù)據(jù)報(bào)文���, 并根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文���。
本發(fā)明實(shí)施例還提供了 一種報(bào)文檢測方法,包括 根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文;
當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)���,復(fù)制所述數(shù)據(jù)報(bào)文�����,根據(jù)深層次 檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文���;
根據(jù)配置策略確定是否轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文,若是�����,則轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文���。 本發(fā)明實(shí)施例提供了一種報(bào)文檢測系統(tǒng)����,包括
9檢測模塊�,用于根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文;
轉(zhuǎn)發(fā)模塊���,用于當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)��,轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)
文��;
確定模塊���,用于根據(jù)配置策略確定是否復(fù)制所述數(shù)據(jù)報(bào)文�;
復(fù)制模塊���,用于當(dāng)確定需要復(fù)制所述數(shù)據(jù)報(bào)文時(shí)��,復(fù)制所述數(shù)據(jù)報(bào)文��;
深層次檢測模塊�,用于根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文�。
本發(fā)明實(shí)施例還提供了一種報(bào)文檢測系統(tǒng),包括
檢測模塊��,用于根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文�����;
復(fù)制模塊����,用于當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí),復(fù)制所述數(shù)據(jù)報(bào)
文��;
深層次檢測模塊�����,用于根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文���; 確定模塊�����,用于根據(jù)配置策略確定是否轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文��; 轉(zhuǎn)發(fā)模塊�����,用于當(dāng)確定轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文時(shí)����,轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文���。 本發(fā)明實(shí)施例的報(bào)文檢測方法及系統(tǒng)�,首先根據(jù)檢測策略檢測數(shù)據(jù)報(bào)文, 進(jìn)一步根據(jù)深層次策略檢測數(shù)據(jù)報(bào)文��,實(shí)現(xiàn)了分層次對(duì)數(shù)據(jù)報(bào)文進(jìn)行檢測�, 解決了數(shù)據(jù)報(bào)文檢測和快速數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)性能之間的平衡問題,滿足了實(shí)時(shí) 業(yè)務(wù)的需求�,避免了 DPI/DFI檢測設(shè)備成為報(bào)文轉(zhuǎn)發(fā)的瓶頸,實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn) 營商對(duì)業(yè)務(wù)的感知和控制功能����。
圖1為現(xiàn)有技術(shù)中采用串聯(lián)方式進(jìn)行DPI檢測的系統(tǒng)示意圖2為現(xiàn)有技術(shù)中采用并聯(lián)方式進(jìn)行DIP檢測的系統(tǒng)示意圖3為本發(fā)明實(shí)施例的網(wǎng)絡(luò)架構(gòu)示意圖4為本發(fā)明實(shí)施例一報(bào)文檢測方法的流程圖5為本發(fā)明實(shí)施例二報(bào)文檢測方法的流程圖6為本發(fā)明實(shí)施例一報(bào)文檢測系統(tǒng)的示意圖;圖7為本發(fā)明實(shí)施例基于數(shù)據(jù)報(bào)文檢測的NGN網(wǎng)絡(luò)架構(gòu)示意圖�����;圖8為本發(fā)明實(shí)施例二報(bào)文檢測系統(tǒng)的示意圖�。
具體實(shí)施例方式
下面通過附圖和實(shí)施例,對(duì)本發(fā)明實(shí)施例的技術(shù)方案做進(jìn)一步的詳細(xì)描述����。
如圖3所示,為本發(fā)明實(shí)施例的網(wǎng)絡(luò)架構(gòu)示意圖��,該網(wǎng)絡(luò)中包括用戶終端��、接入網(wǎng)絡(luò)��、NAS�、內(nèi)^f企測和控制模塊以及IP/MPLS骨干網(wǎng),其中NAS中包括流檢測模塊�����,用于根據(jù)檢測策略檢測數(shù)據(jù)報(bào)文���;內(nèi)容檢測和控制模塊����,用于根據(jù)深層次檢測策略檢測數(shù)據(jù)報(bào)文�。。
如圖4所示�����,為本發(fā)明實(shí)施例一報(bào)文檢測方法的流程圖�。在執(zhí)行本實(shí)施例的步驟之前,內(nèi)容檢測和控制模塊預(yù)先配置檢測策略和深層次檢測策略���,具體的說���,內(nèi)容檢測和控制模塊根據(jù)運(yùn)營的的需要在其內(nèi)部配置深層次檢測策略�����,并為NAS配置檢測策略�。以語音業(yè)務(wù)為例�,檢測策略可以為五元組(源地址、宿地址��、源端口�����、宿端口和協(xié)議類型)及流量特征模型(如包長��、連接速率�����、傳輸字節(jié)量��、包間隔等)�;以IPTV業(yè)務(wù)流為例,檢測策略可以為五元組及業(yè)務(wù)協(xié)議基本特征字策略����。
本實(shí)施例具體包括如下步驟
步驟1Q1�、 NAS接收數(shù)據(jù)報(bào)文�����;
步驟102�、流檢測模塊根據(jù)檢測策略檢測數(shù)據(jù)報(bào)文�����,若數(shù)據(jù)報(bào)文不滿足檢測策略��,則執(zhí)行步驟106;否則����,執(zhí)行步驟103;
步驟103、按照正常流程轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文��,根據(jù)配置策略確定是否復(fù)制該數(shù)據(jù)報(bào)文�����,若是��,則執(zhí)行步驟104;
其中配置策略可以是運(yùn)營商根據(jù)網(wǎng)絡(luò)運(yùn)營情況而配置的策略����,通過預(yù)先配置決定當(dāng)數(shù)據(jù)報(bào)文滿足檢測策略時(shí)�����,是否需要進(jìn)一步進(jìn)行深層次檢測�����。
步驟104����、復(fù)制數(shù)據(jù)報(bào)文�����,且內(nèi)容檢測和控制模塊根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文��,若數(shù)據(jù)報(bào)文滿足深層次檢測策略�����,執(zhí)行步驟105;否則�����,執(zhí)行步驟106;
步驟105、處理下一個(gè)數(shù)據(jù)報(bào)文�����,結(jié)束�;
步驟106、發(fā)送告警通知�,丟棄數(shù)據(jù)報(bào)文�����。
當(dāng)數(shù)據(jù)報(bào)文不滿足檢測策略時(shí)��,例如����,流檢測模塊檢測出不是正常的五元組轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文;或者��,當(dāng)用戶使用語音業(yè)務(wù)時(shí)���,流檢測模塊檢測出數(shù)據(jù)報(bào)文的包長在400字節(jié)(通常語音業(yè)務(wù)數(shù)據(jù)報(bào)文的包長為150字節(jié)左右)以上�,且持續(xù)時(shí)間很長,說明該數(shù)據(jù)報(bào)文不是語音業(yè)務(wù)報(bào)文���;或者����,當(dāng)用戶收看IPTV業(yè)務(wù)流時(shí)���,流檢測模塊檢測出不是IPTV所需的實(shí)時(shí)傳輸協(xié)議(Realtime Transport Protocol,以下簡稱RTP)業(yè)務(wù)協(xié)議基本特征字����,而是其它業(yè)務(wù)的特征字����;則流檢測模塊可以將該數(shù)據(jù)報(bào)文寫入黑名單中,進(jìn)一步的�,流檢測模塊可以向NAS發(fā)送告警通知,NAS直接丟棄該數(shù)據(jù)報(bào)文�����;或者���,流檢測模塊降低該數(shù)據(jù)報(bào)文的優(yōu)先級(jí)�����,在數(shù)據(jù)報(bào)文的處理過程中�����,優(yōu)先級(jí)高的數(shù)據(jù)報(bào)文將得到優(yōu)先處理�����。
當(dāng)數(shù)據(jù)報(bào)文不滿足深層次檢測策略時(shí)��,內(nèi)容檢測和控制模塊向NAS發(fā)送告警通知����;NAS根據(jù)告警通知�,丟棄該數(shù)據(jù)報(bào)文;例如���,當(dāng)用戶收看IPTV業(yè)務(wù)流時(shí)��,內(nèi)容檢測和控制模塊檢測出該報(bào)文所屬的IPTV業(yè)務(wù)流沒有版權(quán)���,或者是非法的業(yè)務(wù)流報(bào)文,則通知NAS丟棄從五元組發(fā)送來的數(shù)據(jù)報(bào)文。
進(jìn)一 步的,內(nèi)容檢測和控制模塊還可以根據(jù)深層次檢測策略檢測的結(jié)果,將數(shù)據(jù)報(bào)文進(jìn)行分類����,并對(duì)數(shù)據(jù)報(bào)文進(jìn)行流量管理,該流量管理可以包括數(shù)據(jù)報(bào)文隊(duì)列的管理和調(diào)度�,以及數(shù)據(jù)報(bào)文流量的監(jiān)管和整形�。
本實(shí)施例把報(bào)文檢測及相關(guān)策略分布到不同的功能實(shí)體中,分層次對(duì)報(bào)文進(jìn)行檢測�����,解決了數(shù)據(jù)報(bào)文檢測和快速數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)性能之間的平衡問題���,既滿足了實(shí)時(shí)業(yè)務(wù)的需求����,避免了 DPI/DFI檢測設(shè)備成為報(bào)文轉(zhuǎn)發(fā)的瓶頸����,又能對(duì)業(yè)務(wù)流進(jìn)行控制和管理,實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)營商對(duì)業(yè)務(wù)的感知和控制功能��。
如圖5所示���,為本發(fā)明實(shí)施例二報(bào)文檢測方法的流程圖�����,在執(zhí)行本實(shí)施
12例的步驟之前�,需配置檢測策略和深層次檢測策略,具體的說���,內(nèi)容檢測和
控制模塊根據(jù)運(yùn)營的需要在其內(nèi)部配置深層次檢測策略�,并為NAS配置檢測
策略���。以語音業(yè)務(wù)為例�,4企測策略可以為五元組(源地址���、宿地址、源端口�、宿端口和協(xié)議類型)及流量特征模型(如包長、連接速率����、傳輸字節(jié)量、包
間隔等)���;以IPTV業(yè)務(wù)流為例����,4企測策略可以為五元組及業(yè)務(wù)協(xié)i義基本特征字策略。
本實(shí)施例具體包括如下步驟
步驟201���、 NAS接收數(shù)據(jù)報(bào)文��;
步驟202�����、流檢測模塊根據(jù)檢測策略檢測數(shù)據(jù)報(bào)文�����,若數(shù)據(jù)報(bào)文不滿足檢測策略����,則執(zhí)行步驟206;否則��,執(zhí)行步驟203;
步驟203��、復(fù)制數(shù)據(jù)報(bào)文����,內(nèi)容檢測和控制模塊根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文��,若數(shù)據(jù)報(bào)文滿足深層次檢測策略�,執(zhí)行步驟204;否貝'J���,執(zhí)行步驟206;
步驟204���、根據(jù)配置策略確定是否轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文,若是�����,則執(zhí)行步驟
205;
其中配置策略可以是運(yùn)營商根據(jù)網(wǎng)絡(luò)運(yùn)營情況而配置的策略��,可以通過預(yù)先配置決定當(dāng)數(shù)據(jù)報(bào)文滿足檢測策略時(shí)�,是否需要轉(zhuǎn)發(fā);也可以是通過深層次檢測策略的結(jié)果來確定配置策略�����,例如配置策略可以設(shè)置為當(dāng)數(shù)據(jù)報(bào)文滿足深層次檢測策略時(shí)����,轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。
步驟205����、轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文,結(jié)束��;
步驟2Q6��、發(fā)送告警通知�,丟棄數(shù)據(jù)報(bào)文,結(jié)束�。
當(dāng)數(shù)據(jù)報(bào)文不滿足檢測策略時(shí),例如���,流檢測模塊檢測出不是正常的五元組轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文�����;或者���,當(dāng)用戶使用語音業(yè)務(wù)時(shí),流檢測模塊檢測出數(shù)據(jù)報(bào)文的包長在400字節(jié)(通常語音業(yè)務(wù)數(shù)據(jù)報(bào)文的包長為ISO字節(jié)左右)以上����,且持續(xù)時(shí)間很長�����,說明該數(shù)據(jù)報(bào)文不是語音業(yè)務(wù)報(bào)文���;或者,當(dāng)用戶收看IPTV業(yè)務(wù)流時(shí)��,流檢測模塊檢測出不是IPTV所需的實(shí)時(shí)傳輸協(xié)議(Realtime Transport Protocol,以下簡稱RTP)業(yè)務(wù)協(xié)議基本特;f正字��,而是其它業(yè)務(wù)的特征字�;則流檢測模塊可以將該數(shù)據(jù)報(bào)文寫入黑名單中,進(jìn)一步的�����,流檢測模塊可以向NAS發(fā)送告警通知�����,NAS直接丟棄該數(shù)據(jù)報(bào)文��;或者��,流檢測模塊降低該數(shù)據(jù)報(bào)文的優(yōu)先級(jí),在數(shù)據(jù)報(bào)文的處理過程中�����,優(yōu)先級(jí)高的數(shù)據(jù)報(bào)文將得到優(yōu)先處理����。
當(dāng)數(shù)據(jù)報(bào)文不滿足深層次檢測策略時(shí)����,內(nèi)容檢測和控制模塊向NAS發(fā)送告警通知;NAS根據(jù)告警通知��,丟棄該數(shù)據(jù)報(bào)文���;例如����,當(dāng)用戶收看IPTV業(yè)務(wù)流時(shí)����,內(nèi)容檢測和控制模塊檢測出該報(bào)文所屬的IPTV業(yè)務(wù)流沒有版權(quán),或者是非法的業(yè)務(wù)流報(bào)文�,則通知NAS丟棄從五元組發(fā)送來的數(shù)據(jù)報(bào)文。
進(jìn)一步的,內(nèi)容檢測和控制模塊還可以根據(jù)深層次檢測策略檢測的結(jié)果�����,將數(shù)據(jù)報(bào)文進(jìn)行分類����,并對(duì)數(shù)據(jù)報(bào)文進(jìn)行流量管理,該流量管理可以包括數(shù)據(jù)報(bào)文隊(duì)列的管理和調(diào)度�����,以及數(shù)據(jù)報(bào)文流量的監(jiān)管和整形�。
本實(shí)施例把報(bào)文檢測及相關(guān)策略分布到不同的功能實(shí)體中,分層次對(duì)報(bào)文進(jìn)行檢測���,解決了數(shù)據(jù)報(bào)文檢測和快速數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)性能之間的平衡問題���,既滿足了實(shí)時(shí)業(yè)務(wù)的需求,避免了 DPI/DFI檢測設(shè)備成為報(bào)文轉(zhuǎn)發(fā)的瓶頸���,又能對(duì)業(yè)務(wù)流進(jìn)行控制和管理����,實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)營商對(duì)業(yè)務(wù)的感知和控制功能。
如圖6所示�,為本發(fā)明實(shí)施例一報(bào)文檢測系統(tǒng)的示意圖,具體包括檢測模塊ll,用于根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文�;轉(zhuǎn)發(fā)模塊12,用于當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí),轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文����;確定模塊13,用于根據(jù)配置策略確定是否復(fù)制所述數(shù)據(jù)報(bào)文�����;復(fù)制模塊14,用于當(dāng)確定需要復(fù)制所述數(shù)據(jù)報(bào)文時(shí)�,復(fù)制所述數(shù)據(jù)報(bào)文;深層次檢測模塊15��,用于根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文�。
本實(shí)施例還可以包括配置模塊16,用于配置所述檢測策略和所述深層次檢測策略��;告警模塊17,用于在所述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí)�,或者當(dāng)所述復(fù)制的數(shù)據(jù)報(bào)文不滿足深層次檢測策略時(shí)���,發(fā)送告警通知;處理模塊18�,用于當(dāng)所述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí)���,將所述數(shù)據(jù)報(bào)文寫入黑名單中;
其中處理模塊可以包括丟棄模塊���,用于根據(jù)所述告警通知��,丟棄所述黑
名單中的數(shù)據(jù)報(bào)文����;也可以包括優(yōu)先級(jí)模塊��,用于降低所述黑名單中的數(shù)據(jù)報(bào)文的優(yōu)先級(jí)�����。
如圖7所示,為本發(fā)明實(shí)施例基于數(shù)據(jù)報(bào)文檢測的NGN網(wǎng)絡(luò)架構(gòu)示意圖�����,其中檢測模塊位于網(wǎng)絡(luò)傳輸層�,在接入網(wǎng)絡(luò)和IP/MPLS骨干網(wǎng)的設(shè)備中,受深層次檢測模塊的控制���,主要對(duì)數(shù)據(jù)報(bào)文進(jìn)行基本識(shí)別,向深層次檢測模塊上報(bào)各種流量信息���。深層次檢測模塊位于網(wǎng)絡(luò)傳輸層的網(wǎng)絡(luò)控制層���,進(jìn)一步的,可以是網(wǎng)絡(luò)附著控制系統(tǒng)和/或資源接納控制系統(tǒng)的一部分���,也可單獨(dú)在網(wǎng)絡(luò)控制層作為 一 個(gè)內(nèi)容檢測和控制系統(tǒng)��,獨(dú)立于當(dāng)前的網(wǎng)絡(luò)附著控制系統(tǒng)和資源接納控制系統(tǒng)����。深層次檢測模塊主要用于對(duì)數(shù)據(jù)報(bào)文進(jìn)行深層次檢測和內(nèi)容識(shí)別��;對(duì)NAS中的檢測模塊配置檢測策略;可以提供對(duì)檢測模塊的控制功能����;還可以提供流量管理控制,根據(jù)網(wǎng)絡(luò)需要優(yōu)化報(bào)文轉(zhuǎn)發(fā)路徑�����,從而保證數(shù)據(jù)報(bào)文的服務(wù)質(zhì)量。
本實(shí)施例解決了報(bào)文檢測和快速數(shù)據(jù)轉(zhuǎn)發(fā)性能之間的平衡問題,既滿足了實(shí)時(shí)業(yè)務(wù)的需求��,避免了 DPI/DFI檢測設(shè)備成為報(bào)文轉(zhuǎn)發(fā)的瓶頸,又能對(duì)業(yè)務(wù)流進(jìn)行控制和管理,實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)營商對(duì)業(yè)務(wù)的感知和控制功能。
如圖8所示����,為本發(fā)明實(shí)施例二報(bào)文檢測系統(tǒng)的示意圖,具體包括檢測模塊21,用于根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文;復(fù)制模塊22,用于當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí),復(fù)制所述數(shù)據(jù)報(bào)文�;深層次檢測模塊23,用于根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文;確定模塊24,用于根據(jù)配置策略確定是否轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文���;轉(zhuǎn)發(fā)模塊25,用于當(dāng)確定轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文時(shí)���,轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文���。
本實(shí)施例還可以包括配置模塊26,用于配置所述檢測策略和所述深層次檢測策略;告警模塊27����,用于在所述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí),或者當(dāng)所述復(fù)制的數(shù)據(jù)報(bào)文不滿足深層次檢測策略時(shí)����,發(fā)送告警通知;處理模
15塊28���,用于當(dāng)所述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí)�,將所述數(shù)據(jù)報(bào)文寫入黑
名單中�����。
其中處理模塊可以包括丟棄模塊,用于根據(jù)所述告警通知���,丟棄所述黑
名單中的數(shù)據(jù)報(bào)文�����;也可以包括優(yōu)先級(jí)模塊�����,用于降低所述黑名單中的數(shù)據(jù)報(bào)文的優(yōu)先級(jí)�����。
本實(shí)施例檢測模塊21可以位于網(wǎng)絡(luò)傳輸層���,深層次檢測模塊23位于網(wǎng)絡(luò)控制層�,這與本發(fā)明實(shí)施例一報(bào)文檢測系統(tǒng)所描述的相同。
本實(shí)施例解決了報(bào)文檢測和快速數(shù)據(jù)轉(zhuǎn)發(fā)性能之間的平衡問題�,既滿足了實(shí)時(shí)業(yè)務(wù)的需求,避免了 DPI/DFI檢測設(shè)備成為報(bào)文轉(zhuǎn)發(fā)的瓶頸�,又能對(duì)業(yè)務(wù)流進(jìn)行控制和管理,實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)營商對(duì)業(yè)務(wù)的感知和控制功能�����。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明實(shí)施例的技術(shù)方案����,而非對(duì)其限制�����;盡管參照前述實(shí)施例對(duì)本發(fā)明實(shí)施例進(jìn)行了詳細(xì)的說明����,本領(lǐng)
域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換��;而這些修改或者替換���,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明實(shí)施例各實(shí)施例技術(shù)方案的精神和范圍�����。
1權(quán)利要求
1��、一種報(bào)文檢測方法����,其特征在于包括根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文��;當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)�,轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文;根據(jù)配置策略確定是否復(fù)制所述數(shù)據(jù)報(bào)文��,若是����,則復(fù)制所述數(shù)據(jù)報(bào)文,并根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文���。
2�����、 根據(jù)權(quán)利要求1所述的報(bào)文檢測方法�,其特征在于�,在所述根據(jù)檢 測策略檢測接收到的數(shù)據(jù)報(bào)文之前還包括配置所述檢測策略和所述深層次 檢測策略����。
3����、 根據(jù)權(quán)利要求1所述的報(bào)文檢測方法,其特征在于還包括當(dāng)所述 數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí)���,將所述數(shù)據(jù)報(bào)文寫入黑名單中�。
4、 根據(jù)權(quán)利要求3所述的報(bào)文檢測方法�,其特征在于�����,在所述將數(shù)據(jù) 報(bào)文寫入黑名單中之后還包括發(fā)送告警通知,丟棄所述黑名單中的數(shù)據(jù)報(bào) 文�����。
5����、 根據(jù)權(quán)利要求3所述的報(bào)文檢測方法����,其特征在于�����,在所述將數(shù)據(jù) 報(bào)文寫入黑名單中之后還包括降低所述黑名單中的數(shù)據(jù)報(bào)文的優(yōu)先級(jí)���。
6、 根據(jù)權(quán)利要求1所述的報(bào)文檢測方法�,其特征在于,在所述根據(jù)深 層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文之后還包括當(dāng)所述復(fù)制的數(shù)據(jù)報(bào)文不滿 足深層次檢測策略時(shí)����,發(fā)送告警通知。
7��、 根據(jù)權(quán)利要求l-6任一所述的報(bào)文檢測方法,其特征在于����,在所述 根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文之后還包括根據(jù)深層次檢測策略 檢測的結(jié)果,將所述數(shù)據(jù)報(bào)文進(jìn)行分類���,并對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行流量管理��。
8�、 根據(jù)權(quán)利要求7所述的報(bào)文檢測方法�,其特征在于,所述流量管理 包括數(shù)據(jù)報(bào)文隊(duì)列的管理和調(diào)度�����,以及數(shù)據(jù)報(bào)文流量的監(jiān)管和整形。
9��、 根據(jù)權(quán)利要求6所述的報(bào)文檢測方法��,其特征在于�����,在所述發(fā)送告 警通知之后還包括根據(jù)所述告警通知�,丟棄所述數(shù)據(jù)報(bào)文。
10�、 根據(jù)權(quán)利要求9所述的報(bào)文檢測方法,其特征在于�����,所述根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文具體為根據(jù)五元組和流量特征模型策略����,或者 五元組和業(yè)務(wù)協(xié)議基本特征字策略檢測接收到的數(shù)據(jù)報(bào)文。
11���、 根據(jù)權(quán)利要求10所述的報(bào)文檢測方法�,其特征在于���,所述丟棄數(shù) 據(jù)報(bào)文具體為丟棄從所述五元組發(fā)送來的數(shù)據(jù)報(bào)文���。
12�����、 一種報(bào)文檢測方法���,其特征在于包括 根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文;當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)��,復(fù)制所述數(shù)據(jù)報(bào)文���,根據(jù)深層次 檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文�;根據(jù)配置策略確定是否轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文�,若是,則轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文���。
13、 根據(jù)權(quán)利要求12所述的報(bào)文檢測方法����,其特征在于����,在所述根據(jù) 檢測策略檢測接收到的數(shù)據(jù)報(bào)文之前還包括配置所述檢測策略和所述深層 次檢測策略��。
14�、 根據(jù)權(quán)利要求12所述的報(bào)文檢測方法,其特征在于還包括當(dāng)所 述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí)�����,將所述數(shù)據(jù)報(bào)文寫入黑名單中�����。
15����、 根據(jù)權(quán)利要求14所述的報(bào)文檢測方法,其特征在于����,在所述將數(shù) 據(jù)報(bào)文寫入黑名單中之后還包括發(fā)送告警通知,丟棄所述黑名單中的數(shù)據(jù) 報(bào)文�。
16、 根據(jù)權(quán)利要求14所述的報(bào)文檢測方法�,其特征在于��,在所述將數(shù) 據(jù)報(bào)文寫入黑名單中之后還包括降低所述黑名單中的數(shù)據(jù)報(bào)文的優(yōu)先級(jí)���。
17、 根據(jù)權(quán)利要求12所述的報(bào)文檢測方法���,其特征在于�����,在所述根據(jù) 深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文之后還包括當(dāng)所述復(fù)制的數(shù)據(jù)報(bào)文不 滿足深層次檢測策略時(shí)�����,發(fā)送告警通知�����。
18��、 根據(jù)權(quán)利要求12-17任一所述的報(bào)文檢測方法����,其特征在于���,在 所述根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文之后還包括根據(jù)深層次檢測 策略檢測的結(jié)果�����,將所述數(shù)據(jù)報(bào)文進(jìn)行分類��,并對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行流量管理���。
19、 根據(jù)權(quán)利要求18所述的報(bào)文檢測方法���,其特征在于��,所述流量管 理包括數(shù)據(jù)報(bào)文隊(duì)列的管理和調(diào)度���,以及數(shù)據(jù)報(bào)文流量的監(jiān)管和整形。
20��、 根據(jù)權(quán)利要求17所述的報(bào)文檢測方法�,其特征在于,在所述發(fā)送 告警通知之后還包括根據(jù)所述告警通知�,丟棄所述數(shù)據(jù)報(bào)文。
21�����、 根據(jù)權(quán)利要求20所述的報(bào)文檢測方法,其特征在于�,所述根據(jù)檢 測策略檢測接收到的數(shù)據(jù)報(bào)文具體為根據(jù)五元組和流量特征模型策略,或 者五元組和業(yè)務(wù)協(xié)議基本特征字策略檢測接收到的數(shù)據(jù)報(bào)文�����。
22�����、 根據(jù)權(quán)利要求21所述的報(bào)文檢測方法���,其特征在于�����,所述丟棄數(shù) 據(jù)報(bào)文具體為丟棄從所述五元組發(fā)送來的數(shù)據(jù)報(bào)文���。
23、 一種寺艮文4僉測系統(tǒng)�����,其特征在于包括 檢測模塊,用于根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文��;轉(zhuǎn)發(fā)模塊�,用于當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)�,轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文;確定才莫塊���,用于根據(jù)配置策略確定是否復(fù)制所述數(shù)據(jù)報(bào)文��; 復(fù)制模塊�,用于當(dāng)確定需要復(fù)制所述數(shù)據(jù)報(bào)文時(shí)��,復(fù)制所述數(shù)據(jù)報(bào)文���; 深層次檢測模塊����,用于根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文���。
24�����、 根據(jù)權(quán)利要求23所述的報(bào)文檢測系統(tǒng)����,其特征在于還包括配置 模塊,用于配置所述檢測策略和所述深層次檢測策略���。
25����、 根據(jù)權(quán)利要求24所述的報(bào)文檢測系統(tǒng)���,其特征在于還包括告警 模塊�����,用于在所述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí)�,或者當(dāng)所述復(fù)制的數(shù)據(jù) 報(bào)文不滿足深層次檢測策略時(shí)���,發(fā)送告警通知���。
26����、 根據(jù)權(quán)利要求25所述的報(bào)文檢測系統(tǒng)��,其特征在于還包括處理 模塊�,用于當(dāng)所述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí),將所述數(shù)據(jù)報(bào)文寫入黑 名單中���。
27、 根據(jù)權(quán)利要求26所述的報(bào)文檢測系統(tǒng)���,其特征在于�����,所述處理模塊包括丟棄模塊���,用于根據(jù)所述告警通知,丟棄所述黑名單中的數(shù)據(jù)報(bào)文�����。
28���、 根據(jù)權(quán)利要求26所述的報(bào)文檢測系統(tǒng)��,其特征在于�����,所述處理模 塊包括優(yōu)先級(jí)模塊����,用于降低所述黑名單中的數(shù)據(jù)報(bào)文的優(yōu)先級(jí)。
29���、 根據(jù)權(quán)利要求23 - 28任一所述的報(bào)文檢測系統(tǒng)��,其特征在于�,所 述檢測模塊位于網(wǎng)絡(luò)傳輸層����。
30、 根據(jù)權(quán)利要求29所述的報(bào)文檢測系統(tǒng)����,其特征在于,所述深層次 檢測模塊位于網(wǎng)絡(luò)控制層�。
31�、 一種報(bào)文檢測系統(tǒng)����,其特征在于包括 檢測模塊,用于根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文�;復(fù)制模塊,用于當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)��,復(fù)制所述數(shù)據(jù)報(bào)文��;深層次檢測模塊����,用于根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文�; 確定模塊,用于根據(jù)配置策略確定是否轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文�; 轉(zhuǎn)發(fā)模塊,用于當(dāng)確定轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文時(shí)�����,轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文��。
32����、 根據(jù)權(quán)利要求31所述的報(bào)文檢測系統(tǒng)��,其特征在于還包括配置 模塊�,用于配置所述檢測策略和所述深層次檢測策略���。
33�、 根據(jù)權(quán)利要求32所述的報(bào)文檢測系統(tǒng)���,其特征在于還包括告警 模塊�,用于在所述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí)�,或者當(dāng)所述復(fù)制的數(shù)據(jù) 報(bào)文不滿足深層次檢測策略時(shí),發(fā)送告警通知���。
34����、 根據(jù)權(quán)利要求33所述的報(bào)文檢測系統(tǒng)�����,其特征在于還包括處理 模塊�����,用于當(dāng)所述數(shù)據(jù)報(bào)文不滿足所述檢測策略時(shí),將所述數(shù)據(jù)報(bào)文寫入黑 名單中����。
35、 根據(jù)權(quán)利要求34所述的報(bào)文檢測系統(tǒng)��,其特征在于���,所述處理模 塊包括丟棄模塊���,用于根據(jù)所述告警通知,丟棄所述黑名單中的數(shù)據(jù)報(bào)文�。
36、 根據(jù)權(quán)利要求34所述的報(bào)文檢測系統(tǒng)�����,其特征在于����,所述處理模 塊包括優(yōu)先級(jí)模塊��,用于降低所述黑名單中的數(shù)據(jù)報(bào)文的優(yōu)先級(jí)。
37�����、 根據(jù)權(quán)利要求31 - 36任一所述的報(bào)文檢測系統(tǒng)�,其特征在于,所述檢測模塊位于網(wǎng)絡(luò)傳輸層��。
38�、 根據(jù)權(quán)利要求37所述的報(bào)文檢測系統(tǒng),其特征在于����,所述深層次 檢測模塊位于網(wǎng)絡(luò)控制層。
全文摘要
本發(fā)明涉及一種報(bào)文檢測方法及系統(tǒng)�,其中一種方法包括根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文;當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)���,轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文�����;根據(jù)配置策略確定是否復(fù)制所述數(shù)據(jù)報(bào)文�,若是,則復(fù)制所述數(shù)據(jù)報(bào)文����,并根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文。另一種方法包括根據(jù)檢測策略檢測接收到的數(shù)據(jù)報(bào)文���;當(dāng)所述數(shù)據(jù)報(bào)文滿足所述檢測策略時(shí)��,復(fù)制所述數(shù)據(jù)報(bào)文����,根據(jù)深層次檢測策略檢測復(fù)制的數(shù)據(jù)報(bào)文���;根據(jù)配置策略確定是否轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文����,若是�����,則轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文�����。本發(fā)明滿足了實(shí)時(shí)業(yè)務(wù)的需求��,避免了DPI/DFI檢測設(shè)備成為報(bào)文轉(zhuǎn)發(fā)的瓶頸��,實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)營商對(duì)業(yè)務(wù)的感知和控制功能����。
文檔編號(hào)H04L29/06GK101488946SQ20081005626
公開日2009年7月22日 申請日期2008年1月16日 優(yōu)先權(quán)日2008年1月16日
發(fā)明者楊佩林, 嶸 鄒 申請人:華為技術(shù)有限公司