专利名称:基于深度包检测和深度流检测技术的IPv6监测设备的制作方法
技术领域:
本发明涉及一种IPv6监测设备,尤其涉及一种基于深度包检测和深度流检测技 术的IPv6监测设备。
背景技术:
深度包检测技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用 层的流量检测和控制技术,当IP数据包、TCP或UDP数据流经过基于DPI技术的带宽管理 系统时,该系统通过深入读取IP包载荷的内容来对0SI7层协议中的应用层信息进行重组, 从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行操作。深度流检测技术,就是利用不同的网络数据包宏观上的基于流的行为统计特性的 区别,通过与已建立的各种业务类型的数据流的数据模型比对,而判别出数据流所对应的 具体业务类型的。深度流检测法将各种应用的连接数、对应IP地址数、端口数、数据包发送 频率等行为参数作为特征指标与DFI检测模型进行匹配,以此来判断一个流所属的应用层 协议。在目前针对于IPv4协议的深度流检测系统中,一般由其报文的源地址、目的地址、源 端口号、目的端口号和传输协议类型这5元组来确定一个会话流,从而进行深度流的检测 和控制。与IPv4相比,IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否 认性方面有了新的保证,然而目前针对IPv6的网管设备几乎没有成熟产品出现,缺乏对 IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。因此, 本发明将在以下几方面体现其技术优势1)首个基于IPv6网,融合DPI、DFI技术的安全高效网络管理系统;2)为IPv6网络定制安全设备;3)防御并解决向IPv6迁移的可能漏洞。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷,提供一种安全、高效的基 于深度包检测和深度流检测技术的IPv6监测设备。本发明的目的可以通过以下技术方案来实现一种基于深度包检测和深度流检测技术的IPv6监测设备,该设备包括网络数据 处理模块、传统检测模块、深度流检测DFI模块、深度包检测DPI模块、外围设备,所述的外 围设备包括IPv6数据包、IP地址端口、业务流信息库、特性库,所述的IPv6数据包中数据 依次流过网络数据处理模块、传统检测模块、深度流检测DFI模块、深度包检测DPI模块,所 述的传统检测模块与IP地址端口相连,所述的深度流检测DFI模块与业务流信息库相连, 所述的深度包检测DPI模块与特性库相连。所述的传统检测模块包括端口检测、IP地址检测。所述的深度流检测DFI模块包括以下步骤
(1)网络数据包信息导入;(2)通过TLU进行会话流匹配,同时深度流检测模块启动对相应会话流中IP地址 以及流标签的查找和统计;(3)对其是否存在相匹配的记录进行判断;(4)若是,更新原始记录;(5)若否,则插入新会话记录;(6)调用出所有记录中的源IP地址和源端口号,计算所有匹配记录中不相同的源 IP地址数量和源端口号数量;(7)通过计算,得出该数据包的源并发比;(8)与系统预设值进行比较,判断该数据包的属性;(9)如果为非P2P流量,则提取出所有会话流跟踪中匹配到的会话流和该数据包 本身的会话流的五元组,提交传统检测模块,作白名单插入;(10)如果为P2P流量,同样提取出相关五元组,提交传统检测模块,作黑名单插 入;(11)对于未能判别该数据包具体应用的情况,将该会话流定为可疑流量;(12)对可疑流量利用上下行流量对称法和时间跨度均衡法进行延迟监控判别;(13)无论判断如何,最后生成报告。与现有技术相比,本发明的优点是1)融合DPI、DFI技术的安全高效网络管理系统;2)为IPv6网络定制安全设备;3)防御并解决向IPv6迁移的可能漏洞。
图1是本发明基于深度包检测和深度流检测技术的IPv6监测设备的结构示意 图;图2是本发明基于深度包检测和深度流检测技术的IPv6监测设备的深度流检测 DFI模块的流程图;图3是本发明基于深度包检测和深度流检测技术的IPv6监测设备的MPC8572功 能模块示意图;图4是本发明基于深度包检测和深度流检测技术的IPv6监测设备的模式匹配数 据处理流程图;图5是本发明基于深度包检测和深度流检测技术的IPv6监测设备的模式匹配软 件设计中的组件及其交互的示意图。
具体实施例方式以下结合具体实施例对本发明做进一步说明。实施例如图1、图2、图3、图4、图5、图6所示,一种基于深度包检测和深度流检测技术的 IPv6监测设备,该设备包括网络数据处理模块b、传统检测模块C、深度流检测DFI模块d、深度包检测DPI模块e、外围设备,所述的外围设备包括IPv6数据包a、IP地址端口 f、业务 流信息库g、特性库h,所述的IPv6数据包a中数据依次流过网络数据处理模块b、传统检测 模块c、深度流检测DFI模块d、深度包检测DPI模块e,所述的传统检测模块c与IP地址端 口 f相连,所述的深度流检测DFI模块d与业务流信息库g相连,所述的深度包检测DPI模 块e与特性库h相连。所述的传统检测模块c包括端口检测、IP地址检测,虽然现在的P2P应用通常能 够逃过传统检测的识别,但这一模块仍然是必须的。对于整个系统而言,完成网络上高速流 量的实时检测并非易事,这对系统的硬件和软件都是一个非常大的挑战,同时也是成本上 的提升。因此,相对廉价和逻辑简单的传统检测能够做到初步的数据过滤,减少后两个模块 的检测负荷。传统检测不需要通过硬件查找来完成,通过软件提取出会话流中的地址、端口 号信息,并与已知地址、端口号进行比较就可以完成该模块的功能。本发明采用的核心处理器为MPC8572E是基于飞思卡尔的e500嵌入式内核,提供 TLU快速表查找、模式识别和安全加速技术。MPC8572处理器采用两个高性能的增强型e500内核,提供1. 2GHz 1. 5GHz的时 钟速度;四个集成的增强型以太网控制器;两个集成的DDR2/DDR3内存控制器;1个带MII 的10/100MbpS快速以太网控制器;灵活高速的互联接口。增强型外围设备和高速互联技 术,可以对处理器性能和I/O系统吞吐量进行平衡。处理器还包含一个应用加速模块,它集 成了四个功能强大的引擎压缩存储空间引擎(Deflate Engine),用于管理文件解压;查 找表单元(Table Lookup Unit,TLU),可以降低复杂表搜索和报头检测的负荷;模式匹配引 擎(Pattern Match Engine, PME),用于处理正则表达式(Regular expression)匹配;以 及为虚拟专用网络加速IPSec和SL/TLS密码操作的安全引擎,这些专用模块为设备的研发 提供了相当大的技术保障,保证了设备的处理速度和性能。MPC8572系列处理器组成模块, 如图3所示,其中的查找表和模式匹配引擎模块分别为深度流检测DFI模块d、深度包检测 DPI模块e所述的深度流检测DFI模块d包括以下步骤第1步,网络数据包信息导入。第2步,通过TLU进行会话流匹配,同时深度流检测模块启动对相应会话流中IP 地址以及流标签的查找和统计。第3步,对其是否存在相匹配的记录进行判断。第4步,若是,更新原始记录。第5步,若否,则插入新会话记录。第6步,调用出所有记录中的源IP地址和源端口号,计算所有匹配记录中不相同 的源IP地址数量和源端口号数量。第7步,通过计算,得出该数据包的源并发比。第8步,与系统预设值进行比较,判断该数据包的属性。第9步,如果为非P2P流量,则提取出所有会话流跟踪中匹配到的会话流和该数据 包本身的会话流的五元组,提交传统检测模块,作白名单插入。第10步,如果为P2P流量,同样提取出相关五元组,提交传统检测模块,作黑名单 插入。
第11步,对于未能判别该数据包具体应用的情况,将该会话流定为可疑流量。第12步,对可疑流量利用上下行流量对称法和时间跨度均衡法进行延迟监控判 别。第13步,无论判断如何,最后生成报告。所述的深度包检测DPI模块e具体实施如下用DPI技术可以精准的分析出协议类型,但有个缺点是进行相关模式匹配会消耗 大量系统的资源,如果要适用千兆、甚至IOG网络利用传统通用处理器的能力来处理完全 不行的,所以必须使用硬件来进行模式匹配。而硬件平台恰好提供了硬件级别的深度包检测引擎,加速DPI的识别速度。该模 式匹配引擎包括直接存储器访问引擎(Direct memory access engine,DMA)、解压缩引擎 (Deflate engine,DFE)、关键字扫描引擎(Key element scanner engine,KES)、数据检测引 擎(Data examination engine)、状态规则引擎(Stateful rule engine)五个子引擎。进 入该模块的数据通过设计可实现单模式匹配和多模式状态匹配,数据处理的流程如图4所示。
首先,DMA引擎根据配置的调度策略选择一个通道进行命令传送,数据传递和结果 上报。接着,进行模式匹配。关键元素扫描引擎(KES)用于提高模式匹配的性能,它通过预 检数据,判定其是否可能存在需要检查的模式来对被检查数据进行过滤。它只将可能存在 要匹配的模式的数据传递给数据匹配引擎进行完全的模式匹配从而达到加速匹配性能的 目的。数据匹配引擎(DXE)使用非确定性有限自动机(NFA)来实现基于正则表达式的模式 匹配。状态规则引擎(SRE)根据有限状态提供多个协议模式之间的关联并维护它们的状 态,以及记录从被检查的数据中提取的信息。本发明中的深度包检测模块实现了基于硬件DPI技术的网络识别的同时,也将单 模式和多模式状态检测融合起来。基于模式识别的结果,应用层程序可以对不同的数据类 型采取不同的处理措施,比如记录匹配事件、丢弃某些类型的数据包和转发某些类型的数 据包。在系统设计中,包括模式匹配引擎驱动程序、模式匹配引擎管理程序和模式匹配 数据扫描程序三个组件。图5为模式匹配软件设计中的组件及其交互的示意图。模式匹配管理模块的功能是配置模式匹配引擎和模式数据库的建立。通过它可以 实现添加、删除、查询不同协议的模式和状态规则。该模块包括正则表达式编译器、状态规 则编译器和模式管理应用程序。模式匹配驱动提供向模式匹配引擎发送命令和读取结果的接口。模式匹配扫描程序是将DPI技术基于硬件实现的核心程序。当在数据内容查找模 式时,此应用程序通过模式匹配驱动API将数据拷贝送入硬件匹配模块,同时扫描结果返 回给应用程序。模式和状态规则在扫描开始前通过模式管理模块添加,在扫描过程中,模式 数据库可以实时更新而不必中止扫描。
权利要求
一种基于深度包检测和深度流检测技术的IPv6监测设备,该设备包括网络数据处理模块、传统检测模块、深度流检测DFI模块、深度包检测DPI模块、外围设备,所述的外围设备包括IPv6数据包、IP地址端口、业务流信息库、特性库,所述的IPv6数据包中数据依次流过网络数据处理模块、传统检测模块、深度流检测DFI模块、深度包检测DPI模块,所述的传统检测模块与IP地址端口相连,所述的深度流检测DFI模块与业务流信息库相连,所述的深度包检测DPI模块与特性库相连。
2.根据权利要求1所述的一种基于深度包检测和深度流检测技术的IPv6监测设备,其 特征在于,所述的传统检测模块包括端口检测、IP地址检测。
3.根据权利要求1所述的一种基于深度包检测和深度流检测技术的IPv6监测设备,其 特征在于,所述的深度流检测DFI模块包括以下步骤(1)网络数据包信息导入;(2)通过TLU进行会话流匹配,同时深度流检测模块启动对相应会话流中IP地址以及 流标签的查找和统计;(3)对其是否存在相匹配的记录进行判断;(4)若是,更新原始记录;(5)若否,则插入新会话记录;(6)调用出所有记录中的源IP地址和源端口号,计算所有匹配记录中不相同的源IP地 址数量和源端口号数量;(7)通过计算,得出该数据包的源并发比;(8)与系统预设值进行比较,判断该数据包的属性;(9)如果为非P2P流量,则提取出所有会话流跟踪中匹配到的会话流和该数据包本身 的会话流的五元组,提交传统检测模块,作白名单插入;(10)如果为P2P流量,同样提取出相关五元组,提交传统检测模块,作黑名单插入;(11)对于未能判别该数据包具体应用的情况,将该会话流定为可疑流量;(12)对可疑流量利用上下行流量对称法和时间跨度均衡法进行延迟监控判别;(13)无论判断如何,最后生成报告。
全文摘要
本发明涉及一种基于深度包检测和深度流检测技术的IPv6监测设备,该设备包括网络数据处理模块、传统检测模块、深度流检测DFI模块、深度包检测DPI模块、外围设备,所述的外围设备包括IPv6数据包、IP地址端口、业务流信息库、特性库,所述的IPv6数据包中数据依次流过网络数据处理模块、传统检测模块、深度流检测DFI模块、深度包检测DPI模块,所述的传统检测模块与IP地址端口相连,所述的深度流检测DFI模块与业务流信息库相连,所述的深度包检测DPI模块与特性库相连。与现有技术相比,本发明具有安全、高效等优点。
文档编号H04L12/26GK101997700SQ20091005624
公开日2011年3月30日 申请日期2009年8月11日 优先权日2009年8月11日
发明者丁佳颖, 张之远, 曹炳尧, 殷超, 潘志浩, 顾蔚 申请人:上海大学