專利名稱:雙向聯(lián)合檢測(cè)的裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種雙向聯(lián)合檢測(cè)的裝置及方法����。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,網(wǎng)絡(luò)管理對(duì)于精細(xì)化運(yùn)營�����、未經(jīng)許可業(yè)務(wù)抑制����、網(wǎng)絡(luò)安 全防護(hù)和網(wǎng)絡(luò)和業(yè)務(wù)資源管理的要求也越來越高,這促使了業(yè)務(wù)識(shí)別技術(shù)的發(fā)展����,體現(xiàn)在 設(shè)備層面,即在網(wǎng)絡(luò)中越來越多的部署DPI (De印Packet Inspection�����,深度包檢測(cè))功能設(shè)備。所謂“深度”是和普通的L2-L4交換機(jī)或路由器的報(bào)文分析層次相比較而言的�����。 L2-L4交換機(jī)/路由器分析IP包的層4以下的內(nèi)容�,包括源地址、目的地址�、源端口、目的端 口以及協(xié)議類型���,而DPI除了對(duì)前面的層次分析外���,還增加數(shù)據(jù)包內(nèi)容的識(shí)別�,與此同時(shí)基 于識(shí)別結(jié)果的業(yè)務(wù)控制也是DPI概念中的一個(gè)不可或缺的組成部分。隨著業(yè)務(wù)識(shí)別種類的增多��,以及識(shí)別要求的不斷提高��,DPI設(shè)備基于單向(上行或 下行)流的檢測(cè)方式已經(jīng)不能滿足現(xiàn)有的識(shí)別需要�,造成大量重復(fù)的識(shí)別,效率比較低�。例 如ip 10. 10. 10. 10的用戶A與IP 10. 20. 20. 20的服務(wù)器B進(jìn)行業(yè)務(wù)通信,那么既會(huì)有 A-)B的業(yè)務(wù)流量,同時(shí)也會(huì)有B- > A的流量��;通常的DPI識(shí)別機(jī)制是要分別識(shí)別A- > B 和B- > A的流量��,并且根據(jù)A- > B和B- > A的流量分別進(jìn)行單方向的業(yè)務(wù)控制決策�,這 樣的結(jié)果是就是會(huì)造成大量的重復(fù)識(shí)別,且對(duì)于A- > B與B- > A的雙方向業(yè)務(wù)流量可能 造成不同的業(yè)務(wù)控制結(jié)果�����。
發(fā)明內(nèi)容
鑒于上述的分析��,本發(fā)明旨在提供一種雙向聯(lián)合檢測(cè)的裝置及方法���,用以解決現(xiàn) 有檢測(cè)方式中存在的重復(fù)識(shí)別以及識(shí)別效率低的問題�。本發(fā)明的目的主要是通過以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明提供了一種雙向聯(lián)合檢測(cè)的裝置���,包括分析模塊�、本地決策模塊����、匹配執(zhí) 行模塊,其中��,所述分析模塊,用于對(duì)需要識(shí)別與控制的業(yè)務(wù)�����,從該業(yè)務(wù)的上行數(shù)據(jù)流或下行數(shù) 據(jù)流中提取到該業(yè)務(wù)的相關(guān)信息�;所述本地決策模塊,用于根據(jù)所述分析模塊提取到的該業(yè)務(wù)的相關(guān)信息��,確定該 業(yè)務(wù)的上行和下行雙向的控制策略�;所述匹配執(zhí)行模塊,用于將該業(yè)務(wù)的上行數(shù)據(jù)流��、下行數(shù)據(jù)流分別與所述控制策 略進(jìn)行匹配����,并在匹配成功時(shí)執(zhí)行所述控制策略,對(duì)該業(yè)務(wù)的上行數(shù)據(jù)流�、下行數(shù)據(jù)流分別 進(jìn)行相應(yīng)的控制。進(jìn)一步地����,還包括策略庫����,用于存儲(chǔ)識(shí)別策略�����;掃描模塊��,用于對(duì)經(jīng)過DPI設(shè)備即深度包檢測(cè)設(shè)備的所有業(yè)務(wù)的上行數(shù)據(jù)流和下
3行數(shù)據(jù)流進(jìn)行掃描��,根據(jù)所述識(shí)別策略確定需要識(shí)別與控制的業(yè)務(wù)�����。進(jìn)一步地��,當(dāng)所述相關(guān)信息至少包括五元組信息和業(yè)務(wù)類型信息時(shí)�����,所述本地決 策模塊還用于����,利用該業(yè)務(wù)的相關(guān)信息中的五元組信息作為新的識(shí)別策略�����,并更新策略庫 中的識(shí)別策略����。本發(fā)明還提供了一種雙向聯(lián)合檢測(cè)的方法�����,利用一種雙向聯(lián)合檢測(cè)的裝置�,所述 方法包括分析模塊對(duì)需要識(shí)別與控制的業(yè)務(wù)�����,從該業(yè)務(wù)的上行數(shù)據(jù)流或下行數(shù)據(jù)流中提取 到的該業(yè)務(wù)的相關(guān)信息����;本地決策模塊根據(jù)所述分析模塊提取到的該業(yè)務(wù)的相關(guān)信息,確定該業(yè)務(wù)的上行 和下行雙向的控制策略����;匹配執(zhí)行模塊分別將該業(yè)務(wù)的上行數(shù)據(jù)流、下行數(shù)據(jù)流與所述控制策略進(jìn)行匹 配�,并在匹配成功時(shí)執(zhí)行所述控制策略,對(duì)該業(yè)務(wù)的上行數(shù)據(jù)流�����、下行數(shù)據(jù)流分別進(jìn)行相應(yīng) 的控制����。進(jìn)一步地,在執(zhí)行所述方法之前還包括掃描模塊對(duì)經(jīng)過DPI設(shè)備即深度包檢測(cè) 設(shè)備的所有業(yè)務(wù)的上行數(shù)據(jù)流進(jìn)行掃描����,根據(jù)策略庫中預(yù)定的識(shí)別策略確定需要識(shí)別與控 制的業(yè)務(wù)。進(jìn)一步地�,當(dāng)所述相關(guān)信息至少包括五元組信息和業(yè)務(wù)類型信息時(shí),還包括所述 本地決策模塊利用該業(yè)務(wù)的相關(guān)信息中的五元組信息作為新的識(shí)別策略�,并更新策略庫中 的識(shí)別策略。本發(fā)明有益效果如下本發(fā)明通過單方向進(jìn)行業(yè)務(wù)識(shí)別��,減少了現(xiàn)有檢測(cè)方法中的重復(fù)識(shí)別�;并且通過 從業(yè)務(wù)數(shù)據(jù)流提取出的業(yè)務(wù)的相關(guān)信息制定雙方向的控制策略,避免了現(xiàn)有檢測(cè)方法造成 不同控制結(jié)果的問題�;并且,本發(fā)明實(shí)施例通過利用五元組信息更新識(shí)別策略����,還可以達(dá)到 提高DPI系統(tǒng)識(shí)別效率的目的。本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的說明書中闡述�����,并且,部分的從說明書中變 得顯而易見����,或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明 書�、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得���。
圖1為本發(fā)明實(shí)施例所述裝置的結(jié)構(gòu)示意圖�;圖2為本發(fā)明實(shí)施例所述方法的流程示意圖��。
具體實(shí)施例方式下面結(jié)合附圖來具體描述本發(fā)明的優(yōu)選實(shí)施例����,其中,附圖構(gòu)成本申請(qǐng)一部分����,并 與本發(fā)明的實(shí)施例一起用于闡釋本發(fā)明的原理。為了清楚和簡化目的����,當(dāng)其可能使本發(fā)明 的主題模糊不清時(shí),將省略本文所描述的器件中已知功能和結(jié)構(gòu)的詳細(xì)具體說明�����。首先,對(duì)本發(fā)明實(shí)施例所述裝置進(jìn)行詳細(xì)說明�����。如圖1所示��,圖1為本發(fā)明實(shí)施例所述裝置的結(jié)構(gòu)示意圖���,具體可以包括策略庫、 掃描模塊�����、分析模塊�、本地決策模塊、匹配執(zhí)行模塊��,其中�,
策略庫,預(yù)先存儲(chǔ)有識(shí)別策略����,識(shí)別策略指識(shí)別業(yè)務(wù)的策略,最典型的是識(shí)別模 板,其中包含識(shí)別業(yè)務(wù)的關(guān)鍵字�。掃描模塊,對(duì)經(jīng)過DPI設(shè)備的所有業(yè)務(wù)的上行數(shù)據(jù)流和下行數(shù)據(jù)流進(jìn)行掃描��,根 據(jù)策略庫中的識(shí)別策略確定需要識(shí)別與控制的業(yè)務(wù)����,并通知分析模塊;分析模塊���,對(duì)于需要識(shí)別與控制的業(yè)務(wù)�,對(duì)該業(yè)務(wù)的上行數(shù)據(jù)流或下行數(shù)據(jù)流進(jìn) 行分析����,提取出該業(yè)務(wù)的相關(guān)信息,包括該業(yè)務(wù)的五元組信息(源IP�,源MAC,目的IP�����,目 的MAC�����,協(xié)議號(hào))、業(yè)務(wù)類型信息等�����,并將該業(yè)務(wù)的相關(guān)信息發(fā)送到本地決策模塊����;本地決策模塊,根據(jù)分析模塊通過上行數(shù)據(jù)流或下行數(shù)據(jù)流提取到的該業(yè)務(wù)的相 關(guān)信息進(jìn)行上行和下行雙方向的決策�����,確定雙方向的控制策略并下發(fā)給匹配執(zhí)行模塊���;同 時(shí)更新策略庫的識(shí)別策略,即將該業(yè)務(wù)的五元組信息作為新的識(shí)別策略���,而不用繼續(xù)通過 關(guān)鍵字進(jìn)行深度識(shí)別�����,從而達(dá)到提高DPI系統(tǒng)識(shí)別效率的目的����;需要說明的是,本地決策模 塊進(jìn)行決策時(shí)����,根據(jù)單方向的數(shù)據(jù)流就可以判斷出該業(yè)務(wù)的相關(guān)信息,也可以判斷出反方 向的數(shù)據(jù)流�����,但是如果本地決策模塊中已有根據(jù)反方向的數(shù)據(jù)流進(jìn)行分析得到的該業(yè)務(wù)的 相關(guān)信息了����,這個(gè)時(shí)候還可以結(jié)合雙方向提取得到的該業(yè)務(wù)的相關(guān)信息進(jìn)行綜合分析,從 而增加決策的準(zhǔn)確性����;例如,分析模塊根據(jù)該業(yè)務(wù)的上行數(shù)據(jù)流提取到該業(yè)務(wù)的相關(guān)信息 并上報(bào)給本地決策模塊���,本地決策模塊在根據(jù)該業(yè)務(wù)的相關(guān)信息進(jìn)行決策時(shí)���,如果發(fā)現(xiàn)其 中已有分析模塊之前上報(bào)的根據(jù)該業(yè)務(wù)的下行數(shù)據(jù)流提取到的該業(yè)務(wù)的相關(guān)信息,那么此 時(shí)本地決策模塊可以根據(jù)分析模塊之前上報(bào)的該業(yè)務(wù)的相關(guān)信息和剛剛獲得的該業(yè)務(wù)的 相關(guān)信息進(jìn)行綜合分析決策����,這樣可以增加決策的準(zhǔn)確性�;匹配執(zhí)行模塊��,分別將該業(yè)務(wù)的上行數(shù)據(jù)流��、下行數(shù)據(jù)流與該控制策略進(jìn)行匹配����, 并在匹配成功時(shí)執(zhí)行該控制策略,對(duì)上行業(yè)務(wù)數(shù)據(jù)流����、下行業(yè)務(wù)數(shù)據(jù)流分別進(jìn)行相應(yīng)的控 制。接下來��,對(duì)本發(fā)明實(shí)施例所述方法進(jìn)行詳細(xì)說明����。如圖2所示�����,圖2為本發(fā)明實(shí)施例所述方法的流程示意圖���,具體可以包括如下步 驟步驟201 當(dāng)上行數(shù)據(jù)流經(jīng)DPI設(shè)備��,由掃描模塊根據(jù)識(shí)別策略發(fā)現(xiàn)需要識(shí)別與控 制的業(yè)務(wù)���;步驟202 分析模塊對(duì)識(shí)別出來的該業(yè)務(wù)的上行數(shù)據(jù)流進(jìn)行分析����,提取該業(yè)務(wù)數(shù) 據(jù)流的詳細(xì)信息����,包括該業(yè)務(wù)的五元組信息(源IP,源MAC�,目的IP,目的MAC���,協(xié)議號(hào))����、 業(yè)務(wù)類型信息等�����,并將該業(yè)務(wù)的相關(guān)信息上報(bào)給本地決策模塊�;步驟203 本地決策模塊收集該業(yè)務(wù)的相關(guān)信息(分析模塊可能之前已上報(bào)過通 過該業(yè)務(wù)的下行數(shù)據(jù)流提取到的該業(yè)務(wù)的相關(guān)信息),將該業(yè)務(wù)的相關(guān)信息進(jìn)行雙方向的 分析決策����,確定該業(yè)務(wù)的雙方向的控制策略��;同時(shí)更新策略庫的識(shí)別策略����,即將該業(yè)務(wù)的五 元組信息作為新的識(shí)別策略��,而不用繼續(xù)通過關(guān)鍵字進(jìn)行深度識(shí)別���,從而達(dá)到提高DPI系 統(tǒng)識(shí)別效率的目的�����;步驟204 本地決策模塊將雙方向的控制策略通過策略庫下發(fā)給匹配執(zhí)行模塊��;步驟205 匹配執(zhí)行模塊根據(jù)本地決策模塊下發(fā)的該業(yè)務(wù)的雙方向的控制策略, 將該業(yè)務(wù)的上行數(shù)據(jù)流����、下行數(shù)據(jù)流分別與該雙向的控制策略進(jìn)行匹配;步驟206 當(dāng)根據(jù)該雙向的控制策略進(jìn)行匹配成功時(shí)�����,匹配執(zhí)行模塊執(zhí)行該雙向的控制策略,實(shí)現(xiàn)對(duì)于該業(yè)務(wù)的控制����,即對(duì)該業(yè)務(wù)的上行數(shù)據(jù)流、下行數(shù)據(jù)流分別進(jìn)行相應(yīng) 的控制�����;其中����,該雙向的控制策略可以包括限速,流量整形���,重定向等操作�����。綜上所述���,本發(fā)明實(shí)施例提供了一種雙向聯(lián)合檢測(cè)的裝置及方法,通過單方向進(jìn) 行業(yè)務(wù)識(shí)別���,減少了現(xiàn)有檢測(cè)方法中的重復(fù)識(shí)別��;并且通過從業(yè)務(wù)數(shù)據(jù)流提取出的業(yè)務(wù)的 相關(guān)信息制定雙方向的控制策略��,避免了現(xiàn)有檢測(cè)方法造成不同控制結(jié)果的問題�;并且, 本發(fā)明實(shí)施例通過利用五元組信息更新識(shí)別策略���,還可以達(dá)到提高DPI系統(tǒng)識(shí)別效率的目 的�����。以上所述��,僅為本發(fā)明較佳的具體實(shí)施方式
��,但本發(fā)明的保護(hù)范圍并不局限于此����, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可輕易想到的變化或替換�����, 都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此���,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書的保護(hù)范 圍為準(zhǔn)�����。
權(quán)利要求
一種雙向聯(lián)合檢測(cè)的裝置����,其特征在于��,包括分析模塊��、本地決策模塊�、匹配執(zhí)行模塊,其中�,所述分析模塊,用于對(duì)需要識(shí)別與控制的業(yè)務(wù)����,從該業(yè)務(wù)的上行數(shù)據(jù)流或下行數(shù)據(jù)流中提取到該業(yè)務(wù)的相關(guān)信息;所述本地決策模塊�,用于根據(jù)所述分析模塊提取到的該業(yè)務(wù)的相關(guān)信息,確定該業(yè)務(wù)的上行和下行雙向的控制策略;所述匹配執(zhí)行模塊�����,用于將該業(yè)務(wù)的上行數(shù)據(jù)流����、下行數(shù)據(jù)流分別與所述控制策略進(jìn)行匹配,并在匹配成功時(shí)執(zhí)行所述控制策略��,對(duì)該業(yè)務(wù)的上行數(shù)據(jù)流��、下行數(shù)據(jù)流分別進(jìn)行相應(yīng)的控制��。
2.根據(jù)權(quán)利要求1所述的裝置���,其特征在于��,還包括策略庫�,用于存儲(chǔ)識(shí)別策略�;掃描模塊,用于對(duì)經(jīng)過DPI設(shè)備即深度包檢測(cè)設(shè)備的所有業(yè)務(wù)的上行數(shù)據(jù)流和下行數(shù) 據(jù)流進(jìn)行掃描�,根據(jù)所述識(shí)別策略確定需要識(shí)別與控制的業(yè)務(wù)。
3.根據(jù)權(quán)利要求2所述的裝置���,其特征在于����,當(dāng)所述相關(guān)信息至少包括五元組信息和 業(yè)務(wù)類型信息時(shí)����,所述本地決策模塊還用于,利用該業(yè)務(wù)的相關(guān)信息中的五元組信息作為 新的識(shí)別策略�����,并更新策略庫中的識(shí)別策略����。
4.一種雙向聯(lián)合檢測(cè)的方法,其特征在于��,利用一種雙向聯(lián)合檢測(cè)的裝置�����,所述方法包括分析模塊對(duì)需要識(shí)別與控制的業(yè)務(wù)�,從該業(yè)務(wù)的上行數(shù)據(jù)流或下行數(shù)據(jù)流中提取到的 該業(yè)務(wù)的相關(guān)信息;本地決策模塊根據(jù)所述分析模塊提取到的該業(yè)務(wù)的相關(guān)信息�,確定該業(yè)務(wù)的上行和下 行雙向的控制策略���;匹配執(zhí)行模塊分別將該業(yè)務(wù)的上行數(shù)據(jù)流、下行數(shù)據(jù)流與所述控制策略進(jìn)行匹配�����,并 在匹配成功時(shí)執(zhí)行所述控制策略�,對(duì)該業(yè)務(wù)的上行數(shù)據(jù)流、下行數(shù)據(jù)流分別進(jìn)行相應(yīng)的控 制��。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于�����,在執(zhí)行所述方法之前還包括掃描模塊對(duì) 經(jīng)過DPI設(shè)備即深度包檢測(cè)設(shè)備的所有業(yè)務(wù)的上行數(shù)據(jù)流進(jìn)行掃描�����,根據(jù)策略庫中預(yù)定的 識(shí)別策略確定需要識(shí)別與控制的業(yè)務(wù)�����。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于����,當(dāng)所述相關(guān)信息至少包括五元組信息和 業(yè)務(wù)類型信息時(shí),還包括所述本地決策模塊利用該業(yè)務(wù)的相關(guān)信息中的五元組信息作為 新的識(shí)別策略�,并更新策略庫中的識(shí)別策略���。
全文摘要
本發(fā)明公開了一種雙向聯(lián)合檢測(cè)的裝置及方法�,其中�,裝置包括分析模塊、本地決策模塊����、匹配執(zhí)行模塊,其中�,分析模塊用于對(duì)需要識(shí)別與控制的業(yè)務(wù),從該業(yè)務(wù)的上行數(shù)據(jù)流或下行數(shù)據(jù)流中提取到的該業(yè)務(wù)的相關(guān)信息�;本地決策模塊用于根據(jù)分析模塊提取到的該業(yè)務(wù)的相關(guān)信息,確定該業(yè)務(wù)的上行和下行雙向的控制策略�����;匹配執(zhí)行模塊用于將該業(yè)務(wù)的上行數(shù)據(jù)流�、下行數(shù)據(jù)流分別與控制策略進(jìn)行匹配�����,并在匹配成功時(shí)執(zhí)行控制策略�,對(duì)該業(yè)務(wù)的上行數(shù)據(jù)流���、下行數(shù)據(jù)流分別進(jìn)行相應(yīng)的控制��;本發(fā)明減少了現(xiàn)有檢測(cè)方法中的重復(fù)識(shí)別���,避免了現(xiàn)有檢測(cè)方法造成不同控制結(jié)果的問題,還可以達(dá)到提高DPI系統(tǒng)識(shí)別效率的目的�����。
文檔編號(hào)H04L12/26GK101951330SQ20101029298
公開日2011年1月19日 申請(qǐng)日期2010年9月27日 優(yōu)先權(quán)日2010年9月27日
發(fā)明者楊波 申請(qǐng)人:中興通訊股份有限公司