專利名稱：寬帶網(wǎng)絡(luò)綜合性能管理平臺的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計算機(jī)互聯(lián)網(wǎng)的信息安全技術(shù)領(lǐng)域，尤其涉及一種基于數(shù)學(xué)建模理論的應(yīng)用于寬帶網(wǎng)絡(luò)流量管理設(shè)備的寬帶網(wǎng)絡(luò)綜合性能管理平臺。
背景技術(shù)：
隨著互聯(lián)網(wǎng)和計算機(jī)的飛速發(fā)展，越來越多的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)為人們的工作、生活和娛樂帶來了便利。由于網(wǎng)絡(luò)本身具有傳播光廣、更新快的特點，這就給與互聯(lián)網(wǎng)相關(guān)的產(chǎn)品提出了很高更新要求。目前在防火墻、入侵檢測、寬帶流量管理等產(chǎn)品中，都要求能夠?qū)νㄐ啪W(wǎng)絡(luò)中運行的應(yīng)用業(yè)務(wù)進(jìn)行準(zhǔn)確識別，從而能夠?qū)@些業(yè)務(wù)進(jìn)行合理化的管理控制。業(yè)務(wù)識別作為管理控制的基礎(chǔ)和前提，已經(jīng)成為此類互聯(lián)網(wǎng)產(chǎn)品的生命線，是信息安全中最基礎(chǔ)、最關(guān)鍵、最核心的技術(shù)之一，具有特別重要的意義。
目前使用最廣泛的業(yè)務(wù)識別方法可以分成如下幾類1、基于TCP/IP協(xié)議的識別——利用IP協(xié)議棧中的協(xié)議字段，識別簡單的網(wǎng)絡(luò)協(xié)議，比如ICMP、ARP、IP等；2、基于端口的協(xié)議識別——在TCP和UDP協(xié)議中，采用了端口作為某種協(xié)議的標(biāo)識符，比如SMTP、POP3協(xié)議等；3、基于特征碼信息的協(xié)議識別——在報文凈荷中某些協(xié)議使用了特征碼，作為該應(yīng)用業(yè)務(wù)的標(biāo)識符，比如BitTorrent使用了“PSProtocol”作為標(biāo)識符。
目前以上三種識別方法在網(wǎng)絡(luò)安全產(chǎn)品中得到了普遍綜合使用，成為當(dāng)前使用最廣泛的業(yè)務(wù)識別技術(shù)。但是這三種技術(shù)都存在一個致命缺陷，就是它們都只能識別已知的網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)，無法識別未知的新業(yè)務(wù)。而在互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的今天，幾乎每時每刻都會有新的業(yè)務(wù)被創(chuàng)造出來，特別是當(dāng)前方興未艾的“點對點傳輸”(即P2P技術(shù))的出現(xiàn)，促使大量基于P2P技術(shù)的應(yīng)用業(yè)務(wù)的誕生。同時，基于HTTP業(yè)務(wù)的承載應(yīng)用也越來越多，幾乎所有的Web Service業(yè)務(wù)、XML技術(shù)、中間件都使用了HTTP作為其承載協(xié)議。而網(wǎng)絡(luò)攻擊行為更是花樣百出，黑客橫行網(wǎng)絡(luò)世界，對正常的通信業(yè)務(wù)造成了巨大的威脅。
以上三種盛行的網(wǎng)絡(luò)行為——P2P技術(shù)、WEB應(yīng)用、網(wǎng)絡(luò)攻擊，都有一個共同的特征，就是新應(yīng)用業(yè)務(wù)出現(xiàn)的頻率極高，更新很快。這種情況下，如果單純依靠傳統(tǒng)的業(yè)務(wù)識別辦法，一方面安全設(shè)備廠商需要投入難以估計的人力物力，對新出現(xiàn)的業(yè)務(wù)進(jìn)行跟蹤分析，時刻更新，即便如此也無法跟上新業(yè)務(wù)出現(xiàn)的速度；另一方面，將會造成網(wǎng)絡(luò)安全設(shè)備的業(yè)務(wù)特征庫極度膨脹，性能劣化，最終不堪重負(fù)，無法處理海量的網(wǎng)絡(luò)信息。
因此，必須尋求一種新的技術(shù)，用于解決繁多的新業(yè)務(wù)的識別問題。本發(fā)明就是為了滿足這樣一種需求，即采用一套統(tǒng)一的技術(shù)手段，根據(jù)不同的業(yè)務(wù)大類，創(chuàng)建不同的數(shù)學(xué)模型，采用模型匹配的辦法，來解決新業(yè)務(wù)識別問題。

發(fā)明內(nèi)容
為了解決現(xiàn)有技術(shù)存在的問題，本發(fā)明提供了一種基于數(shù)學(xué)建模理論的應(yīng)用于寬帶網(wǎng)絡(luò)流量管理設(shè)備的寬帶網(wǎng)絡(luò)綜合性能管理平臺，可輕松實現(xiàn)新應(yīng)用業(yè)務(wù)的識別。
本發(fā)明所述的寬帶網(wǎng)絡(luò)綜合性能管理平臺，是將互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)進(jìn)行分類，具有相同業(yè)務(wù)特征的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)劃分為一類，提取每一類數(shù)據(jù)業(yè)務(wù)的特征樣本空間并制定每一種特征樣本空間的權(quán)重比例，這些數(shù)據(jù)形成業(yè)務(wù)特征數(shù)據(jù)庫，并建立所述業(yè)務(wù)特征數(shù)據(jù)庫的業(yè)務(wù)識別數(shù)學(xué)模型；進(jìn)行業(yè)務(wù)識別時，將未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)通過所述數(shù)學(xué)模型與所述業(yè)務(wù)特征數(shù)據(jù)庫中的數(shù)據(jù)業(yè)務(wù)類別進(jìn)行比對，得到所述未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)所屬的類別。
所述數(shù)據(jù)模型為P=Σi=1Nwipi]]>其中pi為某一種數(shù)據(jù)業(yè)務(wù)的特征樣本空間，wi為所述特征樣本空間的權(quán)重比例，P為屬于所述數(shù)據(jù)業(yè)務(wù)的概率，N是自然數(shù)。
將未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)分別通過所述數(shù)學(xué)模型與所述業(yè)務(wù)特征數(shù)據(jù)庫中的不同數(shù)據(jù)業(yè)務(wù)類別進(jìn)行比對，得到不同的概率P，其中概率最大的就是所述未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)所述的類別。
所述特征樣本空間包括并發(fā)連接數(shù)、業(yè)務(wù)響應(yīng)時間、通信連接成功失敗狀態(tài)以及用戶交互情況。
與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是本發(fā)明基于數(shù)學(xué)建模理論，解決了當(dāng)前網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)飛速發(fā)展更新頻繁情況下識別新業(yè)務(wù)難的問題，無需添加額外的硬件，也無需升級設(shè)備軟件就可以實現(xiàn)新業(yè)務(wù)的識別；其數(shù)學(xué)模型參數(shù)簡單，實施方便，不需要龐大的業(yè)務(wù)識別特征庫，降低了對信息安全產(chǎn)品硬件處理能力的要求，節(jié)約了大量不必要的硬件和軟件方便開支。


圖1是目前信息安全產(chǎn)品對新業(yè)務(wù)進(jìn)行識別的通用處理模型；圖2是目前業(yè)務(wù)識別采用的處理流程；圖3是寬帶網(wǎng)絡(luò)綜合性能管理平臺進(jìn)行業(yè)務(wù)識別時的處理流程。
具體實施例方式
現(xiàn)結(jié)合附圖及實施例對本發(fā)明作進(jìn)一步詳細(xì)說明。信息安全產(chǎn)品首先必須識別出網(wǎng)絡(luò)報文的業(yè)務(wù)類型，才能對報文采取相應(yīng)的控制措施。因此，高效、準(zhǔn)確的業(yè)務(wù)識別就成了整個安全控制體系的關(guān)鍵。而業(yè)務(wù)識別耗費的CPU、內(nèi)存等硬件處理資源，一般情況會占據(jù)至少50％以上。因此提高設(shè)備的處理能力，簡化算法的復(fù)雜度，關(guān)鍵就在于業(yè)務(wù)識別引擎的優(yōu)化上。
圖1是目前信息安全產(chǎn)品對新業(yè)務(wù)進(jìn)行識別的通用處理模型。參考圖1，在傳統(tǒng)信息安全產(chǎn)品中，每出現(xiàn)一種新的業(yè)務(wù)，需要對這種業(yè)務(wù)加以判斷，進(jìn)行協(xié)議分析，制定對應(yīng)的業(yè)務(wù)特征庫。通常首先將未知類型業(yè)務(wù)的報文數(shù)據(jù)放入入端口報文緩沖隊列101，然后進(jìn)行報文業(yè)務(wù)類型識別102。對于此未知類型業(yè)務(wù)進(jìn)行特征數(shù)據(jù)采集，與系統(tǒng)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行比對，如果沒有發(fā)現(xiàn)匹配的類型，則判定該未知類型的業(yè)務(wù)為新業(yè)務(wù)，將采集的業(yè)務(wù)特征數(shù)據(jù)保存在業(yè)務(wù)類型特征數(shù)據(jù)庫103中，并制定相應(yīng)的網(wǎng)絡(luò)安全管理策略，然后才可以將此業(yè)務(wù)的報文放入出端口報文緩沖隊列。顯然，這種方法靈活性很差，針對每一種業(yè)務(wù)都需要進(jìn)行如上的步驟，哪怕未知類型的業(yè)務(wù)只是對目前已知的一種業(yè)務(wù)的簡單更新(比如BitTorrent業(yè)務(wù)的特征碼由“PSProtocol”變成了“BitTorrentProtocol”)，這種傳統(tǒng)的識別方法也不能夠識別出來，還需要為這種簡單的變化重新建立數(shù)據(jù)檔案，增加其數(shù)據(jù)信息，更新原有的數(shù)據(jù)庫。
圖2目前業(yè)務(wù)識別采用的處理流程。參考圖2，在這種傳統(tǒng)的識別模式下，每當(dāng)有報文進(jìn)入安全設(shè)備之后，就需要逐一與業(yè)務(wù)特征數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行匹配比對。其中，1、2、3……N-1、N表示系統(tǒng)中的特征數(shù)據(jù)庫。如果業(yè)務(wù)特征數(shù)據(jù)庫中已經(jīng)有N種業(yè)務(wù)的數(shù)據(jù)，按照數(shù)據(jù)結(jié)構(gòu)查找算法，其比較查找次數(shù)平均為N/2次。而當(dāng)前互聯(lián)網(wǎng)業(yè)務(wù)的數(shù)量，已經(jīng)發(fā)展到了數(shù)萬種之多，假定N＝50000，那么對于未知的數(shù)據(jù)業(yè)務(wù)需要進(jìn)行25000次的查找，這個工作量無疑是非常大的，這對系統(tǒng)硬件和軟件的處理能力、負(fù)荷能力提出了非常高的要求。
圖3是寬帶網(wǎng)絡(luò)綜合性能管理平臺進(jìn)行業(yè)務(wù)識別時的處理流程。參考圖3，采用本發(fā)明的方法，會首將互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)進(jìn)行分類，具有相同業(yè)務(wù)特征的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)劃分為一類。根據(jù)工程實施中的經(jīng)驗，目前網(wǎng)絡(luò)業(yè)務(wù)按照大類來分一般不超過15種，包括P2P類業(yè)務(wù)、WEB業(yè)務(wù)、病毒、攻擊、木馬類、辦公應(yīng)用類等。提取每一類數(shù)據(jù)業(yè)務(wù)的特征樣本空間并制定每一種特征樣本空間的權(quán)重比例，這些數(shù)據(jù)形成業(yè)務(wù)特征數(shù)據(jù)庫，并建立所述業(yè)務(wù)特征數(shù)據(jù)庫的業(yè)務(wù)識別數(shù)學(xué)模型。這樣一共建立M1～Mm共m種數(shù)學(xué)模型即可。進(jìn)行業(yè)務(wù)識別時，將未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)通過所述數(shù)學(xué)模型M1～Mm與所述業(yè)務(wù)特征數(shù)據(jù)庫中的數(shù)據(jù)業(yè)務(wù)類別進(jìn)行比對，得到所述未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)所屬的類別。
具體的說，對于一種互聯(lián)網(wǎng)業(yè)務(wù)類型，提取其特征樣本空間p，比如并發(fā)連接數(shù)、業(yè)務(wù)響應(yīng)時間、通信連接成功失敗狀態(tài)、用戶交互情況等。然后制定每一種樣本空間的權(quán)重比例w。根據(jù)如下業(yè)務(wù)識別數(shù)學(xué)模型p=Σi=1Nwipi]]>計算本次通信屬于哪一種業(yè)務(wù)類型的概率P。
比較屬于各種業(yè)務(wù)類型概率Pi，根據(jù)如下公式計算出概率最大者PP＝MAX(Pi)則P所對應(yīng)的業(yè)務(wù)類型就是此次通信報文所屬的業(yè)務(wù)類型。
下面就以P2P業(yè)務(wù)為例，闡述本發(fā)明所述的基于數(shù)學(xué)建模進(jìn)行業(yè)務(wù)識別的方法設(shè)P2P業(yè)務(wù)的樣本空間如下
并發(fā)連接數(shù)為p1，占權(quán)重為w1；連接成功率為p2，占權(quán)重為w2；單位時間內(nèi)新建連接數(shù)為p3，占權(quán)重為w3；連接主機(jī)數(shù)目為p4，占權(quán)重為w4；連接數(shù)據(jù)量為p5，占權(quán)重為w5。
則P2P業(yè)務(wù)識別模型構(gòu)建為Pp2p=Σi=15wipi]]>當(dāng)一種新的P2P業(yè)務(wù)出現(xiàn)時，報文與上述P2P模型進(jìn)行匹配之后，就能夠直接識別出其業(yè)務(wù)類型為P2P，繼而寬帶流量管理設(shè)備，或者防火墻，就能夠啟用P2P的控制策略(如帶寬限制)，對該新的業(yè)務(wù)進(jìn)行管理控制。
以上所述實施方式僅為本發(fā)明的優(yōu)選實施例，本發(fā)明不限于上述實施例，對于本領(lǐng)域一般技術(shù)人員而言，在不背離本發(fā)明的使用材料、工藝選擇和安裝原理的前提下對它所做的任何顯而易見的改動，都屬于本發(fā)明的構(gòu)思和所附權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種寬帶網(wǎng)絡(luò)綜合性能管理平臺，其特征在于將互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)進(jìn)行分類，具有相同業(yè)務(wù)特征的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)劃分為一類，提取每一類數(shù)據(jù)業(yè)務(wù)的特征樣本空間并制定每一種特征樣本空間的權(quán)重比例，這些數(shù)據(jù)形成業(yè)務(wù)特征數(shù)據(jù)庫，并建立所述業(yè)務(wù)特征數(shù)據(jù)庫的業(yè)務(wù)識別數(shù)學(xué)模型；進(jìn)行業(yè)務(wù)識別時，將未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)通過所述數(shù)學(xué)模型與所述業(yè)務(wù)特征數(shù)據(jù)庫中的數(shù)據(jù)業(yè)務(wù)類別進(jìn)行比對，得到所述未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)所屬的類別。
2.根據(jù)權(quán)利要求1所述的寬帶網(wǎng)絡(luò)綜合性能管理平臺，其特征在于所述數(shù)據(jù)模型為P=Σi=1Nwipi]]>其中pi為某一種數(shù)據(jù)業(yè)務(wù)的特征樣本空間，wi為所述特征樣本空間的權(quán)重比例，P為屬于所述數(shù)據(jù)業(yè)務(wù)的概率，N是自然數(shù)。
3.根據(jù)權(quán)利要求1所述的寬帶網(wǎng)絡(luò)綜合性能管理平臺，其特征在于將未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)分別通過所述數(shù)學(xué)模型與所述業(yè)務(wù)特征數(shù)據(jù)庫中的不同數(shù)據(jù)業(yè)務(wù)類別進(jìn)行比對，得到不同的概率P，其中概率最大的就是所述未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)所述的類別。
4.根據(jù)權(quán)利要求1或2所述的寬帶網(wǎng)絡(luò)綜合性能管理平臺，其特征在于所述特征樣本空間包括并發(fā)連接數(shù)、業(yè)務(wù)響應(yīng)時間、通信連接成功失敗狀態(tài)以及用戶交互情況。
全文摘要
本發(fā)明公開了一種寬帶網(wǎng)絡(luò)綜合性能管理平臺，是將互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)進(jìn)行分類，提取每一類數(shù)據(jù)業(yè)務(wù)的特征樣本空間并制定每一種特征樣本空間的權(quán)重比例，這些數(shù)據(jù)形成業(yè)務(wù)特征數(shù)據(jù)庫，并建立所述業(yè)務(wù)特征數(shù)據(jù)庫的業(yè)務(wù)識別數(shù)學(xué)模型；進(jìn)行業(yè)務(wù)識別時，將未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)通過數(shù)學(xué)模型與業(yè)務(wù)特征數(shù)據(jù)庫中的數(shù)據(jù)業(yè)務(wù)類別進(jìn)行比對，得到未知類型的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)所屬的類別。本發(fā)明基于數(shù)學(xué)建模理論，解決了當(dāng)前網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)飛速發(fā)展更新頻繁情況下識別新業(yè)務(wù)難的問題，數(shù)學(xué)模型參數(shù)簡單，實施方便，不需要龐大的業(yè)務(wù)識別特征庫，降低了對信息安全產(chǎn)品硬件處理能力的要求。
文檔編號G06F17/30GK101026502SQ20071006525
公開日2007年8月29日 申請日期2007年4月9日 優(yōu)先權(quán)日2007年4月9日
發(fā)明者付天福 申請人:北京天勤信通科技有限公司