專利名稱:分析網(wǎng)絡(luò)流的裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及分析網(wǎng)絡(luò)流的裝置��、方法和計(jì)算機(jī)程序����。
背景技術(shù):
通信網(wǎng)絡(luò)(例如根據(jù)互聯(lián)網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò))是復(fù)雜的并且難以對(duì)也表示為網(wǎng)絡(luò)流的端對(duì)端網(wǎng)絡(luò)業(yè)務(wù)流進(jìn)行分析和監(jiān)視。分析網(wǎng)絡(luò)流的一種
已知協(xié)議是NetFlow協(xié)議�����,目前其通過互聯(lián)網(wǎng)工程任務(wù)組(IETF)被標(biāo)準(zhǔn)4匕��。在http:〃www.ieft.org/html.charters/ipfix-charter.html的IETF IP i充信息輸出(IPFIX)中提供了詳細(xì)信息��。
NetFlow協(xié)議提供了網(wǎng)絡(luò)會(huì)計(jì)、帶寬使用分析�����、網(wǎng)絡(luò)異常檢測(cè)�、業(yè)務(wù)工程和容量管理的技術(shù)。
在路由器��、交換機(jī)���、測(cè)量?jī)x器和基于軟件的業(yè)務(wù)測(cè)量?jī)x處支持NetFlow�����。某些高端路由器和交換機(jī)借助專用硬件擴(kuò)展支持NetFlow�����。
典型地���,針對(duì)NetFlow或其他網(wǎng)絡(luò)分析協(xié)議在路由器或交換機(jī)中實(shí)現(xiàn)擴(kuò)展是昂貴的,因?yàn)檫@種擴(kuò)展必須很好地集成到路由器或交換機(jī)的特定轉(zhuǎn)發(fā)和路由架構(gòu)中�����。
本發(fā)明的目的在于提供網(wǎng)絡(luò)流分析的改進(jìn)方案。本發(fā)明的另一目的在于提供分析網(wǎng)絡(luò)流的改進(jìn)裝置�、改進(jìn)方法、改進(jìn)計(jì)算機(jī)系統(tǒng)和改進(jìn)計(jì)算機(jī)程序��。
發(fā)明內(nèi)容
本發(fā)明涉及如獨(dú)立權(quán)利姜求中限定的一種裝置��、 一種計(jì)算機(jī)系統(tǒng)����、一種計(jì)算機(jī)程序和一種方法��。在附加的從屬權(quán)利要求中提供了本發(fā)明的進(jìn)一步的實(shí)施例����。
才艮據(jù)本發(fā)明的第一方面,提供了一種分析網(wǎng)絡(luò)流的裝置����,包括
解析器,用于從所述網(wǎng)絡(luò)流提取流識(shí)別信息�;
流測(cè)量單元,用于測(cè)量所述網(wǎng)絡(luò)流��;
可編程控制器���,用于控制所述流測(cè)量單元和所述解析器�����。
才艮據(jù)本發(fā)明的此方面的裝置的架構(gòu)允許能夠支持大量配置選項(xiàng)的流測(cè)量功能的有效��、靈活和快速實(shí)現(xiàn)�。這種配置選項(xiàng)可覆蓋如今的或未來的標(biāo)準(zhǔn)的各種版本。這種架構(gòu)提供了高性能的優(yōu)點(diǎn)����,而沒有僅支持一個(gè)標(biāo)準(zhǔn)的固定測(cè)量功能和接口的缺陷。
此架構(gòu)的模塊化方案包括解析器��,提供所述解析器以便接收網(wǎng)絡(luò)流以及從此網(wǎng)絡(luò)流提取流識(shí)別信息���。所述解析器可被編程為從所述網(wǎng)絡(luò)流提取流識(shí)別信息的任意期望組合��。所述流識(shí)別信息例如可包含在網(wǎng)絡(luò)流的分組標(biāo)頭的字段中����。作為實(shí)例�����,所述解析器可被編程為提取與特定協(xié)議標(biāo)準(zhǔn)相關(guān)的對(duì)應(yīng)標(biāo)頭字段。所述流識(shí)別信息可包括例如源和目的IP地址����、源和目的端口以及所分析的網(wǎng)絡(luò)流的IP協(xié)議。
通過流測(cè)量單元測(cè)量由所述流識(shí)別信息識(shí)別的網(wǎng)絡(luò)流����。所述流識(shí)別信息的測(cè)量例如可包括各個(gè)網(wǎng)絡(luò)流的開始和結(jié)束時(shí)間的時(shí)間戳、在各個(gè)網(wǎng)絡(luò)流中觀察的字節(jié)和分組的數(shù)目以及所觀察的網(wǎng)絡(luò)流的各種其他特性��。
通過可編程控制器并行控制所述流測(cè)量單元和所述解析器�。所述可編程控制器可被單獨(dú)編程�����,以用于各個(gè)應(yīng)用環(huán)境����、網(wǎng)絡(luò)流所使用的協(xié)議標(biāo)準(zhǔn)(例如NetFlow v5、 v7���、 v9����、 IPFIX)、要支持的網(wǎng)絡(luò)流的數(shù)目或各個(gè)網(wǎng)絡(luò)的速度��。因此���,所述解析器和所述流測(cè)量單元是通用單元�。通過所述可編程控制器來確定這些通用單元的特定功能���。
根據(jù)本發(fā)明的此方面的實(shí)施例���,提供了所述流測(cè)量單元以便向所述可編程控制器發(fā)送流狀態(tài)信息,以及提供所述可編程控制器以便根據(jù)所述流狀態(tài)信息向所述流測(cè)量單元發(fā)送流測(cè)量指令�����。
在所述流測(cè)量單元和所述可編程控制器之間的這種控制環(huán)路便于有效�����、快速和靈活的流測(cè)量過程和處理�。
6根據(jù)本發(fā)明的此方面的另一實(shí)施例,提供所述解析器以便向所述可編程控制器發(fā)送解析信息�����,以及提供所述可編程控制器以^更根據(jù)所述解析信息向所述解析器發(fā)送解析指令。
在所述解析器和所述可編程控制器之間的這種控制環(huán)路《更于有效�、快速和靈活的解析過程和處理。
根據(jù)本發(fā)明的此方面的另 一實(shí)施例�����,提供所述可編程控制器以便并行評(píng)估所述流測(cè)量單元的兩個(gè)或更多個(gè)流狀態(tài)信息值�����;向所述流測(cè)量單元并行發(fā)送兩個(gè)或更多個(gè)流測(cè)量指令���。這種并行處理結(jié)構(gòu)進(jìn)一步便于有效、快速和靈活的流測(cè)量過程和處理�����。根據(jù)本發(fā)明的此方面的另 一實(shí)施例����,所述可編程控制器包括程序存儲(chǔ)
器,其包含兩個(gè)或更多個(gè)流測(cè)量程序�����。
例如,可針對(duì)網(wǎng)絡(luò)分析協(xié)議的不同版本���、不同應(yīng)用環(huán)境��、要支持的流
的不同數(shù)目和網(wǎng)絡(luò)的不同速度對(duì)兩個(gè)或更多個(gè)流測(cè)量程序編程�����。
這允許非?��?焖俸腿菀椎馗淖?cè)撗b置的配置和應(yīng)用。此外�,這是一個(gè)
靈活和成本有效的方案。
根據(jù)本發(fā)明的此方面的另 一實(shí)施例�,所述可編程控制器作為可編程狀
態(tài)機(jī)來實(shí)現(xiàn)。
作為可編程狀態(tài)機(jī)實(shí)現(xiàn)所述可編程控制器是一種靈活和成本有效的方案�。
根據(jù)本發(fā)明的此方面的另一實(shí)施例,所述可編程狀態(tài)機(jī)包括轉(zhuǎn)移規(guī)則存儲(chǔ)器���、規(guī)則選擇器和狀態(tài)寄存器�,其中提供所述規(guī)則選擇器以便從指示當(dāng)前狀態(tài)的狀態(tài)寄存器接收外部輸入信號(hào)和內(nèi)部輸入信號(hào)�,并且其中提供所述規(guī)則選擇器以便借助轉(zhuǎn)移規(guī)則的轉(zhuǎn)移規(guī)則存儲(chǔ)器觀察所述內(nèi)部和外部輸入信號(hào),并且在轉(zhuǎn)移規(guī)則適用時(shí)改變所述狀態(tài)寄存器的狀態(tài)����、生成含有解析和/或流測(cè)量指令的輸出信號(hào)�����。
該實(shí)施例是實(shí)現(xiàn)所述可編程狀態(tài)機(jī)的有效方式�。
提供所述轉(zhuǎn)移規(guī)則存儲(chǔ)器以〗更存儲(chǔ)一組轉(zhuǎn)移規(guī)則�。 一組轉(zhuǎn)移規(guī)則可建立流測(cè)量程序。對(duì)于網(wǎng)絡(luò)分析協(xié)議的不同版本����、不同應(yīng)用環(huán)境、要支持的
7流的不同數(shù)目和網(wǎng)絡(luò)的不同速度���,可將多組轉(zhuǎn)移規(guī)則加載到所述轉(zhuǎn)移規(guī)則存儲(chǔ)器中�����。
提供所述規(guī)則選擇器以便從所述狀態(tài)寄存器接收外部輸入信號(hào)和內(nèi)部輸入信號(hào)。來自所述狀態(tài)寄存器的內(nèi)部輸入信號(hào)指示所述可編程狀態(tài)機(jī)的當(dāng)前狀態(tài)�。從所述流測(cè)量單元和/或所述解析器接收內(nèi)部輸入信號(hào)或外部輸入信號(hào)。所述狀態(tài)機(jī)的外部輸入信號(hào)可包括流狀態(tài)信息��、解析器信息和各種其他信息�。
所述規(guī)則選擇器通過用于轉(zhuǎn)移規(guī)則的轉(zhuǎn)移規(guī)則存儲(chǔ)器觀察所述內(nèi)部和外部輸入信號(hào)����。如果預(yù)定義的轉(zhuǎn)移規(guī)則適用���,則所述可編程狀態(tài)才幾改變所述狀態(tài)寄存器的狀態(tài)���,并生成含有解析和/或流測(cè)量指令的輸出信號(hào)。
換句話說�,所述可編程狀態(tài)機(jī)針對(duì)預(yù)定義狀態(tài)觀察流狀態(tài)信息和/或解析信息。當(dāng)檢測(cè)到這種預(yù)定義狀態(tài)時(shí)�����,所述狀態(tài)機(jī)改變其狀態(tài)�。然后,所述狀態(tài)機(jī)的改變狀態(tài)觸發(fā)針對(duì)所述解析器和/或流測(cè)量單元的控制操作�。
根據(jù)本發(fā)明的此方面的另 一 實(shí)施例,所述流測(cè)量單元包括流表單元�;
流表管理單元;以及流信息輸出單元����。
所述流表單元包括存儲(chǔ)器,用于存儲(chǔ)與該裝置分析的網(wǎng)絡(luò)流相關(guān)的信息。所述流表例如可使用5元組定義來表征特定網(wǎng)絡(luò)流��。換句話說�����,所述流表可提供由5元組定義表征的每個(gè)特定網(wǎng)絡(luò)流的表項(xiàng)���。根據(jù)5元組定義的實(shí)例���,將網(wǎng)絡(luò)流定義為具有相同源和目的IP地址、相同源和目的端口以及相同IP協(xié)議的分組的單向序列�����。
對(duì)于每個(gè)這樣的表項(xiàng)�����,所述流表可存儲(chǔ)流測(cè)量信息����,例如各個(gè)網(wǎng)絡(luò)流的開始和結(jié)束時(shí)間的時(shí)間戳�、在各個(gè)網(wǎng)絡(luò)流中觀察的字節(jié)和分組的數(shù)目以及所觀察的網(wǎng)絡(luò)流的各種其他特性。
提供所述流表管理單元以便管理所述流表的表項(xiàng)。通過所述可編程控制器控制所述流表管理單元����。提供此流表管理單元以執(zhí)行從所述可編程控制器接收的各種流測(cè)量指令。這種流測(cè)量指令可包括以下指令�����,即更新所述流表單元����、在所述流表單元中創(chuàng)建新表項(xiàng),以;^檢查所述流表單元的狀 態(tài)和特定表項(xiàng)的指令���??墒褂脗鹘y(tǒng)硬連線狀態(tài)機(jī)來實(shí)現(xiàn)所述流表管理單元��。 作為實(shí)例���,在從所述可編程控制器接收到檢查命令時(shí)���,所述流表管理 單元可以檢查流表是否已經(jīng)包含所識(shí)別網(wǎng)絡(luò)流的表項(xiàng)。結(jié)果����,其可向可編
程控制器提供回這樣的指示(作為單位標(biāo)志實(shí)現(xiàn))指出此所識(shí)別的網(wǎng)絡(luò)
流的表項(xiàng)是否已經(jīng)存在���,或所識(shí)別的網(wǎng)絡(luò)流是否為所述流表單元的流表中 不存在的新的流。
響應(yīng)于接收到網(wǎng)絡(luò)流存在與否的指示��,所述可編程控制器可以向所述 表管理單元派發(fā)其他流測(cè)量指令����,以通過相應(yīng)的"更新"、"創(chuàng)建新流表 表項(xiàng)����,,或"創(chuàng)建新流表"命令來更新現(xiàn)有流表表項(xiàng)�,創(chuàng)建新流表表項(xiàng)或創(chuàng) 建完整的新流表。
提供所述流信息輸出單元�����,以便向另一位置或?qū)嶓w輸出流信息�����。同樣 通過所述可編程控制器來控制所述流信息輸出單元�����。所述可編程控制器可 通過向所述流信息輸出單元派發(fā)輸出命令來觸發(fā)流測(cè)量信息的輸出����。
根據(jù)本發(fā)明的此方面的另一實(shí)施例,所述流表管理單元包括可編程 散列函數(shù)單元���,其具有兩個(gè)或更多個(gè)可選散列函數(shù)����,用于將所述流識(shí)別信 息映射到散列索引上��,其中提供所述可編程控制器以便選擇所述可選散列 函數(shù)中的一個(gè)��。
廣泛地采用散列函數(shù)��,以提高網(wǎng)絡(luò)流分析和網(wǎng)絡(luò)流測(cè)量的效率�。然而, 不同標(biāo)準(zhǔn)和流測(cè)量標(biāo)準(zhǔn)的不同協(xié)議版本使用不同的散列函數(shù)���。通過提供可 編程散列函數(shù)單元����,根據(jù)本發(fā)明的此實(shí)施例的裝置可支持這些不同的標(biāo)準(zhǔn) 和協(xié)議版本。
根據(jù)本發(fā)明的此方面的另一實(shí)施例����,提供所述可編程控制器以便向所 i^管理單元發(fā)送表管理命令。
這種表管理命令可以例如是更新命令�、創(chuàng)建命令或檢查命令。 根據(jù)本發(fā)明的此方面的另一實(shí)施例���,所述裝置作為硬件輔助設(shè)備來實(shí)現(xiàn)���。
該裝置作為硬件輔助設(shè)備的實(shí)現(xiàn)具有這樣的優(yōu)點(diǎn),其可以在系統(tǒng)中實(shí)現(xiàn)���,而不需要處理器或此系統(tǒng)的處理負(fù)^^旦�。
本發(fā)明的第二方面涉及一種計(jì)算機(jī)系統(tǒng)�����,包括中央處理單元����、存儲(chǔ)器 和計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備,所述計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備包括根據(jù)本發(fā)明第 一 方面的分析
所述計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備中的網(wǎng)絡(luò)流的裝置�。
所述計(jì)算枳i聯(lián)網(wǎng)設(shè)備可以例如是交換機(jī)或路由器����。該裝置作為計(jì)算機(jī)
系統(tǒng)的中央處理單元的硬件輔助"i史備來工作���。這允許在不增加中央處理器
負(fù)擔(dān)的情況下分析網(wǎng)絡(luò)流�。
本發(fā)明的第三方面涉及一種計(jì)算機(jī)系統(tǒng)�����,包括兩個(gè)或更多個(gè)虛擬計(jì)算
系統(tǒng)�����,還包括根據(jù)本發(fā)明第一方面的裝置����,其中提供所述裝置以便分析所
述虛擬計(jì)算系統(tǒng)之間和/或所述虛擬計(jì)算系統(tǒng)與外部設(shè)備之間的網(wǎng)絡(luò)流��。 這允許以可擴(kuò)展的方式監(jiān)視和分析所述虛擬計(jì)算系統(tǒng)之間的網(wǎng)絡(luò)流�����,
而不需要在所述計(jì)算機(jī)系統(tǒng)上和所述虛擬計(jì)算系統(tǒng)上提供任何附加軟件����。 根據(jù)本發(fā)明的此方面的其他實(shí)施例�,所述計(jì)算機(jī)系統(tǒng)包括 軟件聯(lián)網(wǎng)設(shè)備���,用于所述虛擬計(jì)算系統(tǒng)之間的內(nèi)部通信����; 硬件聯(lián)網(wǎng)i殳備�����,用于所述虛擬計(jì)算系統(tǒng)與外部設(shè)備之間的外部通信��; 其中提供所述軟件聯(lián)網(wǎng)設(shè)備和所述硬件聯(lián)網(wǎng)設(shè)備�,以便向根據(jù)本發(fā)明
第一方面的所述裝置轉(zhuǎn)發(fā)在所述虛擬計(jì)算系統(tǒng)之間和/或在所述虛擬計(jì)算
系統(tǒng)與外部設(shè)備之間的網(wǎng)絡(luò)流,以用于分析�����。
該架構(gòu)允許在虛擬化環(huán)境中有效實(shí)現(xiàn)網(wǎng)絡(luò)流功能����。
所述軟件聯(lián)網(wǎng)設(shè)備可以例如是軟件交換機(jī),即以軟件實(shí)現(xiàn)的交換機(jī)��。
所述硬件聯(lián)網(wǎng)設(shè)備可以例如是硬件交換機(jī),即以硬件實(shí)現(xiàn)的交換機(jī)����。
所述外部i殳備可以例如是另一計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)�����、互聯(lián)網(wǎng)或任意其他
目的地��。
根據(jù)本發(fā)明的此方面的其他實(shí)施例�,所述裝置設(shè)置在所述硬件聯(lián)網(wǎng)設(shè) 備中�����。
本發(fā)明的第四方面涉及一種分析網(wǎng)絡(luò)流的方法���,包括以下步驟 通過解析器從所述網(wǎng)絡(luò)流提取流識(shí)別信息���; 通過流測(cè)量單元測(cè)量所述網(wǎng)絡(luò)流;通過可編程控制器控制所述流測(cè)量單元和所述解析器��。
本發(fā)明的第五方面涉及一種流測(cè)量計(jì)算機(jī)程序��,包括用于執(zhí)行可編程 控制器上的流測(cè)量程序的指令,提供所述流測(cè)量計(jì)算機(jī)程序以便控制根據(jù) 本發(fā)明第一方面的裝置的流測(cè)量單元和解析器����。
參照隨后的示意性附圖,僅通過實(shí)例在以下詳細(xì)描述本發(fā)明的優(yōu)選實(shí)
施例���,其中
圖l是根據(jù)本發(fā)明實(shí)施例的分析網(wǎng)絡(luò)流的裝置的示意性示圖��,所述裝 置包括可編程控制器����、解析器和流測(cè)量單元����;
圖2示出包括計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備以及在計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備中分析網(wǎng)絡(luò)流的 裝置的示意性計(jì)算機(jī)系統(tǒng);
圖3是作為狀態(tài)機(jī)實(shí)現(xiàn)的可編程控制器的示意性示圖4是圖l的裝置的更詳細(xì)的示意性示圖5示出流測(cè)量單元的流表更新功能的流程圖6示出確定流表單元的過期M項(xiàng)的流程圖7示出輸出流表單元的過期M項(xiàng)的流程圖8示出包括虛擬計(jì)算系統(tǒng)以及分析虛擬計(jì)算系統(tǒng)之間的網(wǎng)絡(luò)流的裝 置的計(jì)算機(jī)系統(tǒng)的示意性示圖����。
M實(shí)施方式
提供附圖僅用于示例性目的,并不代表本發(fā)明的實(shí)際實(shí)例一定成比例���。 在附圖中���,j吏用相同的標(biāo)號(hào)表示相同或相似的部分�����。
圖1示出根據(jù)本發(fā)明示例性實(shí)施例的分析網(wǎng)絡(luò)流105的裝置100���。裝 置100包括解析器110,用于從網(wǎng)絡(luò)流105提取流識(shí)別信息��。網(wǎng)絡(luò)流105 可以是網(wǎng)絡(luò)中的任意種類的通信業(yè)務(wù)�����,特別地是端對(duì)端網(wǎng)絡(luò)業(yè)務(wù)���。網(wǎng)絡(luò)流 105可包括一系列數(shù)據(jù)分組,其中每個(gè)數(shù)據(jù)分組都是兩個(gè)不同網(wǎng)絡(luò)地址之 間的通信的一部分����。裝置100包括流測(cè)量單元130,用于測(cè)量網(wǎng)絡(luò)流105;以及可編程控制器140�,用于控制流測(cè)量單元130和解析器110。
提供流測(cè)量單元130以l更向可編程控制器140發(fā)送流狀態(tài)信息��,以及 提供可編程控制器140以^f更根據(jù)流狀態(tài)信息向流測(cè)量單元130發(fā)送流測(cè)量 指令。此外�����,提供解析器110以便向可編程控制器140發(fā)送解析信息�����,以 及提供可編程控制器140以便根據(jù)解析信息向解析器110發(fā)送解析指令�����。
可編程控制器140包括中央處理單元150和程序存儲(chǔ)器160�����。在程序 存儲(chǔ)器160中�����,可存儲(chǔ)一個(gè)或多個(gè)流測(cè)量程序170�����。
裝置100優(yōu)選地在硬件中實(shí)現(xiàn)����,并且可用作硬件輔助設(shè)備����。參照?qǐng)D2 進(jìn)一步示出該裝置��。
圖2示出計(jì)算機(jī)系統(tǒng)200���,其包括中央處理單元210�、存儲(chǔ)器220和計(jì) 算機(jī)聯(lián)網(wǎng)設(shè)備230��。此外�����,其包括用于分析網(wǎng)絡(luò)流的裝置100�����。裝置100 在石更件中作為中央處理單元210的硬件輔助i殳備來實(shí)現(xiàn)��。中央處理單元 210����、存儲(chǔ)器220、計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備230和裝置100經(jīng)由內(nèi)部總線系統(tǒng)240 連接���。
計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備230可以是任意類型的輸入/輸出設(shè)備����,例如路由器或 交換機(jī)��。在圖2的實(shí)例中�,計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備230用作第一局域網(wǎng)(LAN) 250、第二LAN 260和互聯(lián)網(wǎng)270之間的路由器��。因此�����,提供計(jì)算機(jī)聯(lián)網(wǎng) 設(shè)備230以l更在第一 LAN 250�、第二 LAN 260和互聯(lián)網(wǎng)270之間路由網(wǎng)絡(luò) 流280。提供裝置100以便分析和測(cè)量計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備230中的網(wǎng)絡(luò)流��。
圖3示出才艮據(jù)本發(fā)明另一示例性實(shí)施例的可編程控制器300的示意性 框圖����。可編程控制器300作為可編程狀態(tài)機(jī)來實(shí)現(xiàn)��。可編程控制器300包 括轉(zhuǎn)移規(guī)則存儲(chǔ)器310�、規(guī)則選擇器320和狀態(tài)寄存器330。提供規(guī)則選 擇器320�,以便從解析器110接收作為外部輸入信號(hào)340的解析信息,以 及從圖1的流測(cè)量單元130接收流狀態(tài)信息���。此外�����,提�,則選擇器320���, 以便從狀態(tài)寄存器330接收內(nèi)部輸入信號(hào)350�。此內(nèi)部輸入信號(hào)350指示 狀態(tài)寄存器330的當(dāng)前狀態(tài)�。規(guī)則選擇器320通過用于轉(zhuǎn)移規(guī)則的轉(zhuǎn)移規(guī) 則存儲(chǔ)器310觀察內(nèi)部輸入信號(hào)350和外部輸入信號(hào)340。當(dāng)轉(zhuǎn)移規(guī)則適 用時(shí)�,提供規(guī)則選擇器320,以便改變狀態(tài)寄存器330的狀態(tài)和向解析器
12110發(fā)送解析指令和/或向圖1的流測(cè)量單元130發(fā)送流測(cè)量指令�����。
圖3中所示的可編程狀態(tài)機(jī)的實(shí)現(xiàn)的更多細(xì)節(jié)在US 2005/0132342A1
中進(jìn)行了描述���,通過引用將其合并于此����。 圖4是圖l的裝置的更詳細(xì)示意圖�。
可通過可編程控制器140對(duì)解析器110編程,以從網(wǎng)絡(luò)流105提取任 意期望的流識(shí)別信息��。根據(jù)本發(fā)明的示例性實(shí)施例�����,網(wǎng)絡(luò)流105包括含有 分組標(biāo)頭的分組�,解析器IIO使用分組標(biāo)頭提取流識(shí)別信息。因此��,可對(duì) 解析器110編程以從將用于流識(shí)別的分組標(biāo)頭提取標(biāo)頭字段的任意期望組 合��。此類標(biāo)頭字段的實(shí)例包括IP源和目的地址�����、傳輸控制協(xié)議(TCP)源 和目的端口號(hào)����、多協(xié)"^義標(biāo)簽交換(MPLS)和虛擬局域網(wǎng)(VLAN)標(biāo)簽 等��?;诟鱾€(gè)網(wǎng)絡(luò)分析協(xié)議的協(xié)議標(biāo)準(zhǔn)�����,可對(duì)解析器110編程以提取與該 協(xié)議標(biāo)準(zhǔn)相關(guān)的對(duì)應(yīng)標(biāo)頭字段�����。提供解析器110�,以便向寄存器單元400 寫入這些標(biāo)頭字段的流識(shí)別信息。因此��,寄存器單元400包括具有從分組 標(biāo)頭導(dǎo)出的流識(shí)別信息的寄存器�。
提供此流識(shí)別信息作為對(duì)可編程散列函數(shù)單元410的輸入?����?删幊躺?列函數(shù)單元410將寄存器單元400中存儲(chǔ)的流識(shí)別信息映射到散列索引上�。 換句話說,可編程散列函數(shù)單元410將所選標(biāo)頭字段的實(shí)際值映射到散列 索引����?��?删幊躺⒘泻瘮?shù)單元410可提供覆蓋所有期望函數(shù)的各種散列函數(shù)�����, 以用于裝置100應(yīng)支持的協(xié)議版本�����。提供可編程控制器140,以便選擇可 用散列函數(shù)中的一個(gè)��?��?赏ㄟ^以下操作實(shí)現(xiàn)對(duì)散列函數(shù)之一的選擇�����,即從 可編程控制器140向可編程散列函數(shù)單元410發(fā)送與該散列函數(shù)對(duì)應(yīng)的散 列標(biāo)識(shí)符����。此類散列標(biāo)識(shí)符可以包括與所實(shí)現(xiàn)的散列函數(shù)之一唯一對(duì)應(yīng)的 短位(shortbit)向量�����。
流測(cè)量單元130還包括流表管理單元420。提供流表管理單元420以 便從可編程散列函數(shù)單元410接收各個(gè)分組標(biāo)頭的各個(gè)流識(shí)別信息的散列 索引�。流表管理單元420管理和控制流表單元430。流表管理單元420可 作為流測(cè)量指令執(zhí)行流表管理命令��。此類流表管理命令可包括以下命令��, 例如更新流表單元430�、在流表單元430中創(chuàng)建新表項(xiàng)、檢查流表單元430
13的表項(xiàng)���、從流表單元430刪除表項(xiàng)��,以及掃描流表單元430的表項(xiàng)的命令�����。 優(yōu)選地��,流表管理單元420通過硬連線的狀態(tài)機(jī)實(shí)現(xiàn)����。將流表管理命令從 可編程控制器140發(fā)送至流表管理單元420����。流表單元430包括存儲(chǔ)器����, 其存儲(chǔ)由各個(gè)散列索引識(shí)別的網(wǎng)絡(luò)流的網(wǎng)絡(luò)流表項(xiàng)���。網(wǎng)絡(luò)流表項(xiàng)包括關(guān) 鍵字字段�����,其限定流;和內(nèi)容字段�����,其包括與所限定的流有關(guān)的信息��。與 網(wǎng)絡(luò)流的每個(gè)新分組一起更新內(nèi)容字段��。流表單元430可以例如使用5元 組定義來表征和限定關(guān)鍵字字段中的網(wǎng)絡(luò)流���。在此實(shí)例中�����,關(guān)鍵字字段包 括源和目的IP地址�����、源和目的端口以及各個(gè)網(wǎng)絡(luò)流的IP協(xié)議���。
對(duì)于每個(gè)此類關(guān)鍵字字段�,流表可在對(duì)應(yīng)內(nèi)容字段中存儲(chǔ)流測(cè)量信息���, 例如各個(gè)網(wǎng)絡(luò)流開始和結(jié)束時(shí)間的時(shí)間戳�、在各個(gè)網(wǎng)絡(luò)流中觀察的字節(jié)和 分組的數(shù)目����,以及所觀察的網(wǎng)絡(luò)流的各種其他特性。
作為實(shí)例����,在從可編程控制器140接收到檢查命令時(shí),流表管理單元 420將檢查流表單元430是否已經(jīng)包含由各個(gè)散列索引識(shí)別的網(wǎng)絡(luò)流的表 項(xiàng)�。然后,作為流狀態(tài)信息向可編程控制器140提供指示����,所述指示指出 各個(gè)網(wǎng)絡(luò)流存在�,或散列索引對(duì)應(yīng)于在流表單元430中不存在的新網(wǎng)絡(luò)流���。 根據(jù)散列函數(shù)����,流表管理單元420還可直接訪問寄存器單元400的實(shí)際寄 存器值�,即訪問寄存器單元400中存儲(chǔ)的流識(shí)別信息。
響應(yīng)于接收到所識(shí)別的網(wǎng)絡(luò)流存在或不存在的流狀態(tài)信息���,可編程控 制器140可作為流測(cè)量指令向流表管理單元420派發(fā)表管理命令����,以通過 更新或創(chuàng)建命令來更新現(xiàn)有流M項(xiàng)或創(chuàng)建新的流M項(xiàng)�����。
此外���,提供可編程控制器140,以便控制流表單元430對(duì)過期流M 項(xiàng)的掃描�。為此,可編程控制器140將測(cè)試可編程定時(shí)器450的值��,可編 程定時(shí)器450可被配置為滿足各個(gè)網(wǎng)絡(luò)分析協(xié)議的所支持協(xié)議版本的特 征。這將觸發(fā)可編程控制器140在特定時(shí)段之后和/或以可配置的定期間隔 作為表管理命令向流表管理單元420發(fā)送掃描指令�����。然后���,流表管理單元 420將掃描流表單元430�,并向可編程控制器140報(bào)告任何過期流M項(xiàng)����。 作為響應(yīng),可編程控制器140可向流表管理單元420發(fā)送刪除命令以刪除 這些流M項(xiàng)�����。此外��,可編程控制器140可觸發(fā)這些過期流表表項(xiàng)的輸出����。在后一情況下,可編程控制器140可觸發(fā)流信息分組的創(chuàng)建�����,所述流信息 分組含有與過期網(wǎng)絡(luò)流有關(guān)的信息?����?删幊炭刂破?40向流信息輸出單元 440發(fā)送"生成分組"命令�����。流信息輸出單元440還指定為分組生成器����。 流信息輸出單元440可使用硬連線的狀態(tài)機(jī)來實(shí)現(xiàn)。流信息輸出單元440 向中央服務(wù)器或任意其他目的地輸出含有網(wǎng)絡(luò)流信息的流信息分組�����。
借助裝置100的此可編程概念����,可根據(jù)應(yīng)用環(huán)境�、所使用的協(xié)議標(biāo)準(zhǔn) (例如NetFlow v5、 v7��、 v9�����、 IPFIX)、要支持的網(wǎng)絡(luò)流的數(shù)目或各個(gè)網(wǎng) 絡(luò)的速度來不同地實(shí)現(xiàn)����、配置和執(zhí)行流測(cè)量單元130的流測(cè)量功能。
例如���,NetFlowv9和IPFIX不使用固定記錄字段���,但是使用在流模板 中定義的可變數(shù)目字段。模板確定流表的內(nèi)容和輸出的網(wǎng)絡(luò)流信息量����。此 外,可以在相同流表表項(xiàng)上聚集和映射多個(gè)網(wǎng)絡(luò)流�����。對(duì)于每個(gè)網(wǎng)絡(luò)流��,流 表可包含各種類型的信息����。此外�,確定何時(shí)輸出網(wǎng)絡(luò)流信息的規(guī)則可以改 變����。
圖5是示出流測(cè)量單元130的流表更新功能的流程圖。 在步驟510���,裝置100接收所觀察的網(wǎng)絡(luò)流的數(shù)據(jù)分組���。在步驟520, 解析器110解析^t據(jù)分組的標(biāo)頭�����,提取流識(shí)別信息并將其寫入寄存器單元 400����。在步驟530,可編程散列函數(shù)單元410計(jì)算流識(shí)別信息的散列索引�����, 并且流表管理單元420在流表單元430中執(zhí)行流表(散列表)查找���。在步 驟540,流表管理單元420評(píng)估對(duì)于各個(gè)散列索引是否已存在流表表項(xiàng)���。 如果存在,則在步驟550����,流表管理單元420更新流表單元430中的各個(gè) 流4^項(xiàng)。如果不存在���,則在步驟560�,流表管理單元420在流表單元430 中創(chuàng)建新的流^項(xiàng)���。
圖6是示出確定流表單元430中的過期流表表項(xiàng)的流程圖�����。 在步驟600����,可編程控制器140作為流測(cè)量指令向流表管理單元420 發(fā)送掃描命令�����。此步驟可以發(fā)生在特定時(shí)段之后和/或以可配置的定期間隔 發(fā)生。流表管理單元420然后可掃描流表單元430����。在步驟610,流表管理 單元420選擇流表單元430的初始表項(xiàng)�,并在步驟620確定自最后更新以 來的時(shí)間t。如果時(shí)間t大于例如由定時(shí)器450確定的預(yù)定時(shí)間���,則將流表單元430的各個(gè)表項(xiàng)標(biāo)記為過期��。在步驟650����,檢查是否處理(即���,檢查 是否過期)了流表單元430的所有表項(xiàng)�。如果否�����,則流表管理單元420將 選擇下一表項(xiàng)并繼續(xù)步驟620�。如果步驟650的結(jié)果是已處理了流表單元 430的所有表項(xiàng),則完成掃描�。然后����,在步驟670�����,流表管理單元420的掃 描功能等待時(shí)間t����,���,直到從可編程控制器140接收到新的掃描命令���。 圖7是示出向服務(wù)器或另 一 目的地輸出過期M項(xiàng)的流程圖。 在步驟700�����,可編程控制器140通過以下操作觸發(fā)輸出處理���,即向流 信息輸出單元(分組生成器)440發(fā)送"生成分組"命令����。在步驟710,流 信息輸出單元440選擇流表單元430的初始表項(xiàng)���,并在步驟720���,檢查各 個(gè)表項(xiàng)是否標(biāo)記為過期。如果是�,則在步驟730,流信息輸出單元440創(chuàng) 建和發(fā)送流信息分組���,其含有各個(gè)流表表項(xiàng)的過期網(wǎng)絡(luò)流的網(wǎng)絡(luò)流信息����。 流信息輸出單元440可向中央服務(wù)器或任意其他目的地輸出流信息分組��。 在隨后的步驟740����,從流表單元430刪除各個(gè)表表項(xiàng)。在隨后的步驟750�, 流信息輸出單元440檢查是否已處理(即,檢查流是否標(biāo)記為過期)所有 M項(xiàng)����。如果步驟720的結(jié)果是沒有將各個(gè)流M項(xiàng)標(biāo)記為過期�����,則輸出 處理還繼續(xù)步驟750��。如果步驟750的檢查結(jié)果為否定,則在步驟760����,選 擇下一流M項(xiàng)進(jìn)4亍處理,并且輸出處理繼續(xù)步驟720����。如果步驟750的 檢查結(jié)果為肯定,則同時(shí)完成輸出處理�。在步驟770,流信息輸出單元440 的輸出功能等待時(shí)間t"�,直到從可編程控制器140接收到新的生成分組命 令。
圖8示出了虛擬化服務(wù)器環(huán)境的示意圖�,所述虛擬化服務(wù)器環(huán)境包括 分析虛擬計(jì)算系統(tǒng)之間的網(wǎng)絡(luò)流的裝置。
虛擬化服務(wù)器環(huán)境包括計(jì)算機(jī)系統(tǒng)800���,其含有在計(jì)算機(jī)系統(tǒng)800的 中央處理單元820上運(yùn)行的兩個(gè)或更多個(gè)虛擬計(jì)算系統(tǒng)810�。計(jì)算機(jī)系統(tǒng) 800還包括軟件聯(lián)網(wǎng)設(shè)備830,用于虛擬計(jì)算系統(tǒng)810之間的內(nèi)部通信�����; 和硬件聯(lián)網(wǎng)設(shè)備840,用于虛擬計(jì)算系統(tǒng)810和外部設(shè)備850之間的外部 通信�����。
提供軟件聯(lián)網(wǎng)設(shè)備830,以便管理和控制虛擬計(jì)算系統(tǒng)810之間的內(nèi)
16部通信��。其可以例如是軟件交換機(jī)�,即,以軟件實(shí)現(xiàn)的交換機(jī)�����。
硬件聯(lián)網(wǎng)i殳備840可以例如是網(wǎng)絡(luò)適配器或硬件交換機(jī)���。提供硬件聯(lián) 網(wǎng)設(shè)備840以^更管理和控制虛擬計(jì)算系統(tǒng)810和外部設(shè)備850之間的外部 通信�����。外部設(shè)備850可以例如是計(jì)算系統(tǒng)800所希望通信的另一計(jì)算系統(tǒng)���、 網(wǎng)絡(luò)、互聯(lián)網(wǎng)或任意其他目的地��。
硬件聯(lián)網(wǎng)設(shè)備840包括用于分析網(wǎng)絡(luò)流的裝置100。裝置100可在硬 件中作為計(jì)算機(jī)系統(tǒng)800的中央處理單元820的硬件輔助設(shè)備來實(shí)現(xiàn)�。
虛擬計(jì)算系統(tǒng)810可經(jīng)由軟件聯(lián)網(wǎng)設(shè)備830和虛擬本地網(wǎng)絡(luò)860彼此 通信。虛擬本地網(wǎng)絡(luò)860可以例如是虛擬局域網(wǎng)(VLAN)����。
硬件聯(lián)網(wǎng)設(shè)備840可通過虛擬輸入/輸出(I/O)服務(wù)器分區(qū)870與虛 擬計(jì)算系統(tǒng)810通信以及與軟件聯(lián)網(wǎng)設(shè)備830通信。
提供軟件聯(lián)網(wǎng)設(shè)備830���,以便向裝置100轉(zhuǎn)發(fā)在軟件聯(lián)網(wǎng)設(shè)備830中 出現(xiàn)的網(wǎng)絡(luò)流或部分網(wǎng)絡(luò)流。提供硬件聯(lián)網(wǎng)設(shè)備840��,以便向裝置100轉(zhuǎn) 發(fā)在硬件聯(lián)網(wǎng)設(shè)備840中出現(xiàn)的網(wǎng)絡(luò)流或部分網(wǎng)絡(luò)流�。軟件聯(lián)網(wǎng)設(shè)備830 可使用虛擬輸入/輸出(I/O )服務(wù)器分區(qū)870,以便向裝置100轉(zhuǎn)發(fā)網(wǎng)絡(luò)流 或部分網(wǎng)絡(luò)流�����。硬件聯(lián)網(wǎng)設(shè)備840可使用硬件總線880,以便向裝置100 轉(zhuǎn)發(fā)網(wǎng)絡(luò)流或部分網(wǎng)絡(luò)流���。
計(jì)算機(jī)系統(tǒng)800允許以可擴(kuò)展的方式監(jiān)視和分析虛擬計(jì)算系統(tǒng)810之 間和/或虛擬計(jì)算系統(tǒng)810與外部設(shè)備850之間的網(wǎng)絡(luò)流���。在計(jì)算機(jī)系統(tǒng)800 上和虛擬計(jì)算系統(tǒng)810上無需附加的軟件。
所公開的實(shí)施例可以與所示和/或所述的一個(gè)或幾個(gè)其他實(shí)施例結(jié)合��。 對(duì)于所述實(shí)施例的 一個(gè)或多個(gè)特征也是如此。
其他實(shí)施例的詳細(xì)信息 所述技術(shù)可以實(shí)現(xiàn)為包括軟件����、固件、微碼��、硬件和/或它們的任意組 合的方法��、裝置或制品���。在此使用的術(shù)語"制品"指在介質(zhì)中實(shí)現(xiàn)的代碼 或邏輯��,其中此類介質(zhì)可以包括硬件邏輯[例如�,集成電路芯片�����、可編程門 陣列(PGA)�����、專用集成電路(ASIC)等]或計(jì)算才幾可讀介質(zhì)���,如磁存儲(chǔ)介質(zhì)(例如�,硬盤驅(qū)動(dòng)器、軟盤��、磁帶等)�、光存儲(chǔ)裝置(CD 一 R0M、光盤等)�、 易失性和非易失性存儲(chǔ)器件[例如,電可擦除可編程只讀存儲(chǔ)器(EEPR0M)����、 只讀存儲(chǔ)器(ROM)、可編程只讀存儲(chǔ)器(PR0M)����、隨才踏取存儲(chǔ)器(RAM)�、 動(dòng)態(tài)隨才/l^取存儲(chǔ)器(DRAM)、靜態(tài)隨4踏取存儲(chǔ)器(SRAM)�、閃存、固 件���、可編程邏輯等]�。由處理器來存取和執(zhí)行所述計(jì)算機(jī)可讀介質(zhì)中的代碼�����。 其中編碼所述代碼或邏輯的介質(zhì)還可以包括通過空間傳播的傳輸信號(hào)或諸 如光纖、銅線之類的傳輸介質(zhì)�����。其中編碼所述代碼或邏輯的傳輸信號(hào)還可 以包括無線信號(hào)���、衛(wèi)星傳輸��、無線電波����、紅外線信號(hào)���、藍(lán)牙等�����。其中編碼 所述代碼或邏輯的傳輸信號(hào)能夠通過發(fā)射站發(fā)射并且通過接收站接收�,其 中在傳輸信號(hào)中編碼的代碼或邏輯可以:帔解碼并存儲(chǔ)在硬件或接收和發(fā)射 站或設(shè)備處的計(jì)算機(jī)可讀介質(zhì)中���。此外�,"制品,����,可以包括其中包含、處 理和執(zhí)行代碼的硬件和軟件組件的組合��。當(dāng)然���,本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)
到��,可以^t出許多修改而不偏離實(shí)施例的范圍��,并且所述制品可以包括任 何信息承載介質(zhì)����。例如�����,所述制品包括其中存儲(chǔ)有指令(當(dāng)由機(jī)器執(zhí)行時(shí)��, 所述指令將導(dǎo)致操作被執(zhí)行)的存儲(chǔ)介質(zhì)��。
某些實(shí)施例可以采取完全硬件實(shí)施例��、完全軟件實(shí)施例或包含硬件和 軟件元素兩者的實(shí)施例的形式��。在一個(gè)優(yōu)選實(shí)施例中����,本發(fā)明以軟件實(shí)現(xiàn), 所述軟件包括但不限于固件�����、駐留軟件�����、微代碼等�����。
此外�,某些實(shí)施例可以采取可從計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)訪問的 計(jì)算機(jī)程序產(chǎn)品的形式,所述計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)提供了可以被 計(jì)算機(jī)或任何指令執(zhí)行系統(tǒng)使用或與計(jì)算機(jī)或任何指令執(zhí)行系統(tǒng)結(jié)合的程 序代碼�。出于此描述的目的,計(jì)算機(jī)可用或計(jì)算機(jī)可讀介質(zhì)可以是任何能 夠包含����、存儲(chǔ)��、傳送�、傳播或傳輸由指令執(zhí)行系統(tǒng)���、裝置或設(shè)備使用或與 所述指令執(zhí)行系統(tǒng)��、裝置或i殳備結(jié)合的程序的裝置�����。所述介質(zhì)可以是電����、 磁��、光���、電磁��、紅外線或半導(dǎo)體系統(tǒng)(或裝置或設(shè)備)或傳播介質(zhì)�����。計(jì)算
機(jī)可讀介質(zhì)的實(shí)例包括半導(dǎo)體或固態(tài)存儲(chǔ)器、磁帶、可移動(dòng)計(jì)算機(jī)盤����、隨 才M取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(R0M)���、硬磁盤和光盤����。光盤的當(dāng)前實(shí)例 包括光盤-只讀存儲(chǔ)器(CD-ROM)����、光盤-讀/寫(CR-R/W)和DVD。
18術(shù)語"特定實(shí)施例"���、"一個(gè)實(shí)施例"���、"實(shí)施例"、"多個(gè)實(shí)施例"����、 "所述實(shí)施例"、"所述多個(gè)實(shí)施例�,����,�����、"一個(gè)或多個(gè)實(shí)施例"��、"某些 實(shí)施例"和"某一實(shí)施例"指一個(gè)或多個(gè)(但不是所有)實(shí)施例�,除非另 外明確指出。術(shù)語"包含��,���,���、"包括"、"具有"及其變型指"包括但不 限于"����,除非另外明確指出。列舉的項(xiàng)目的列表并非暗示任何或所有的項(xiàng) 目互相排斥�,除非另外明確指出。術(shù)語"一"��、"一個(gè)"和"該"指"一 個(gè)或多個(gè)",除非另外明確指出����。
相互通信的i殳備不必持續(xù)地相互通信����,除非另外明確指出。此外�����,相 互通信的設(shè)備可以直接或通過一個(gè)或多個(gè)媒介間接地通信�����。此外�,具有若 干相互通信的組件的實(shí)施例的描述并非暗示所有此類組件都是必需的。相 反��,描述了多種可選的組件以說明更多可能的實(shí)施例�����。此外��,盡管可以按 照連續(xù)的順序來描述處理步驟、方法步驟�����、算法或類似步驟��,但是此類處 理��、方法和算法可以被配置為以交替順序工作�����。換句話說����,所描述的步驟 的任何序列或順序并不一定指示要求按此順序執(zhí)行步驟。實(shí)際可以按任何 順序執(zhí)行在此描述的處理的步驟���。此外���,可以同時(shí)、并行或并發(fā)地執(zhí)行某 些步驟�。
當(dāng)在此描述單個(gè)設(shè)備或物品時(shí),將顯而易見的是,可以j吏用多個(gè)i殳備/ 物品(無論它們是否協(xié)作)來代替單個(gè)設(shè)備/物品�。同樣,當(dāng)在此描述了多 個(gè)設(shè)備或物品(無論它們是否協(xié)作)的情況下�����,將顯而易見的是����,可以使 用單個(gè)設(shè)備或物品來代替多個(gè)設(shè)備或物品��。設(shè)備的功能和/或特性可以備選 地由一個(gè)或多個(gè)其他未明確描述為具有此類功能/特性的設(shè)備來體現(xiàn)�。因
此,其他實(shí)施例不必包括^:備本身���。
當(dāng)前上下文中的計(jì)算機(jī)程序裝置或計(jì)算機(jī)程序指一組指令的以任何語 言��、代碼或符號(hào)表示的任何表達(dá)�,旨在使具有信息處理能力的系統(tǒng)直接執(zhí)
行特定的功能���,或者執(zhí)行以下兩者之一或全部后執(zhí)行特定的功能a)轉(zhuǎn)換 為另一種語言����、代碼或符號(hào)��;b)以不同的材料形式再現(xiàn)。
權(quán)利要求
1.一種分析網(wǎng)絡(luò)流的裝置���,包括解析器��,用于從所述網(wǎng)絡(luò)流提取流識(shí)別信息�����;流測(cè)量單元�,用于測(cè)量所述網(wǎng)絡(luò)流�;可編程控制器,用于控制所述流測(cè)量單元和所述解析器��。
2. 根據(jù)權(quán)利要求1所述的裝置����,其中提供所述流測(cè)量單元以便向所述可編程控制器發(fā)送流狀態(tài)信息,并且其中提供所迷可編程控制器以《更根據(jù)所述流狀態(tài)信息向所述流測(cè)量單元發(fā)送流測(cè)量指令����。
3. 根據(jù)權(quán)利要求1或2所述的裝置,其中提供所述解析器以便向所述可編程控制器發(fā)送解析信息��,并且其中提供所述可編程控制器以便根據(jù)所述解析信息向所述解析器發(fā)送解析指令。
4. 根據(jù)任一先前權(quán)利要求所述的裝置��,其中提供所述可編程控制器以便并行評(píng)估所述流測(cè)量單元的兩個(gè)或更多個(gè)流狀態(tài)信息值�;向所述流測(cè)量單元并4亍發(fā)送兩個(gè)或更多個(gè)流測(cè)量指令。
5. 根據(jù)任一先前權(quán)利要求所述的裝置�,其中所述可編程控制器包括程序存儲(chǔ)器,其包含兩個(gè)或更多個(gè)流測(cè)量程序��。
6. 根據(jù)任一先前權(quán)利要求所述的裝置�,其中所述可編程控制器作為狀態(tài)機(jī)來實(shí)現(xiàn)。
7. 根據(jù)權(quán)利要求6所述的裝置�����,其中所述狀態(tài)機(jī)包括轉(zhuǎn)移規(guī)則存儲(chǔ)器�����、規(guī)則選擇器以及狀態(tài)寄存器�����,其中提供所述規(guī)則選擇器以便從指示當(dāng)前狀態(tài)的狀態(tài)寄存器接收外部輸入信號(hào)和內(nèi)部輸入信號(hào)�,并且其中提供所述規(guī)則選擇器以便借助轉(zhuǎn)移規(guī)則的轉(zhuǎn)移規(guī)則存儲(chǔ)器觀察所述內(nèi)部和外部輸入信號(hào)���,并且在轉(zhuǎn)移規(guī)則適用時(shí)改變所述狀態(tài)寄存器的狀態(tài)�����、生成含有解析和/或流測(cè)量指令的輸出信號(hào)����。
8. 根據(jù)任一先前權(quán)利要求所述的裝置,其中所述流測(cè)量單元包括流表單元�����;流表管理單元�;以及流信息輸出單元。
9. 根據(jù)權(quán)利要求8所述的裝置�����,其中所述流表管理單元包括可編程散列函數(shù)單元��,其具有兩個(gè)或更多個(gè)可選散列函數(shù)���,用于將所述流識(shí)別信息映射到散列索引上����,其中提供所述可編程控制器以便選擇所述可選散列函數(shù)中的一個(gè)。
10. 根據(jù)權(quán)利要求8或9所述的裝置�����,其中提供所述可編程控制器以便向所^管理單元發(fā)送表管理命令���。
11. 才艮據(jù)任一先前權(quán)利要求所述的裝置�����,其中所述裝置作為硬件輔助設(shè)備來實(shí)現(xiàn)��。
12. —種計(jì)算機(jī)系統(tǒng)�����,包括中央處理單元、存儲(chǔ)器和計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備�����,所述計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備包括根據(jù)任一先前權(quán)利要求的分析所述計(jì)算機(jī)聯(lián)網(wǎng)設(shè)備中的網(wǎng)絡(luò)流的裝置��。
13. 根據(jù)權(quán)利要求12所述的計(jì)算機(jī)系統(tǒng)���,其中所述裝置在硬件中作為所述中央處理單元的硬件輔助設(shè)備來實(shí)現(xiàn)����。
14. 一種計(jì)算機(jī)系統(tǒng),包括兩個(gè)或更多個(gè)虛擬計(jì)算系統(tǒng)�,還包括才艮據(jù)權(quán)利要求l-ll中的任一權(quán)利要求的裝置,其中提供所述裝置以便分析所述虛擬計(jì)算系統(tǒng)之間和/或所述虛擬計(jì)算系統(tǒng)與外部設(shè)備之間的網(wǎng)絡(luò)流�。
15. 根據(jù)權(quán)利要求14所述的計(jì)算機(jī)系統(tǒng),包括軟件聯(lián)網(wǎng)設(shè)備�����,用于所述虛擬計(jì)算系統(tǒng)之間的內(nèi)部通信�;硬件聯(lián)網(wǎng)設(shè)備,用于所述虛擬計(jì)算系統(tǒng)與外部設(shè)備之間的外部通信�;其中提供所述軟件聯(lián)網(wǎng)設(shè)備和所述硬件聯(lián)網(wǎng)設(shè)備,以便向所述裝置轉(zhuǎn)發(fā)在所述虛擬計(jì)算系統(tǒng)之間和/或在所述虛擬計(jì)算系統(tǒng)與外部設(shè)備之間的網(wǎng)絡(luò)流以便進(jìn)行分析�����。
16. 根據(jù)權(quán)利要求15所述的計(jì)算機(jī)系統(tǒng)����,其中所述裝置設(shè)置在所述硬件聯(lián)網(wǎng)設(shè)備中�����。
17. —種分析網(wǎng)絡(luò)流的方法,包括以下步驟通過解析器從所述網(wǎng)絡(luò)流提取流識(shí)別信息�;通過流測(cè)量單元測(cè)量所述網(wǎng)絡(luò)流;通過可編程控制器控制所述流測(cè)量單元和所述解析器�。
18. —種流測(cè)量計(jì)算積4呈序,包括用于執(zhí)行可編程控制器上的流測(cè)量程序的指令�,提供所述流測(cè)量計(jì)算機(jī)程序以便控制根據(jù)權(quán)利要求1至11中的任一權(quán)利要求的裝置的流測(cè)量單元和解析器。
全文摘要
本發(fā)明涉及一種分析網(wǎng)絡(luò)流的裝置�����,包括解析器�,用于從所述網(wǎng)絡(luò)流提取流識(shí)別信息;流測(cè)量單元�,用于測(cè)量所述網(wǎng)絡(luò)流;可編程控制器����,用于控制所述流測(cè)量單元和所述解析器�。
文檔編號(hào)H04L29/06GK101563908SQ200780047311
公開日2009年10月21日 申請(qǐng)日期2007年11月2日 優(yōu)先權(quán)日2006年12月19日
發(fā)明者A·金德, J·范倫特雷 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司