专利名称:一种实现网络流量清洗的方法及系统的制作方法
技术领域:
本发明涉及计算机网络技术,特别是指一种实现网络流量清洗的方法及系统。
背景技术:
随着互联网业务种类和业务量的迅猛发展,网络中的垃圾流量(如无任何意义 或用处的流量、或恶意攻击的流量)也在逐渐增多,承载网络越来越不堪重负,经常会 出现拥塞、带宽不足的情况,导致这种情况出现的一个非常重要的原因就是网络中存在 很多异常的网络流量,如恶意攻击的网络流量、非授权的网络流量、非法的点对点(P2P, Peer-to-Peer)网络流量等,此时,对异常的网络流量进行清洗就成为一项非常重要的处理 操作。目前,逐包检测的网络流量清洗方式对通信系统和检测设备的要求都非常高,并且处 理效率较低,然而,清洗所针对的网络流量是非常大的,因此,现有的网络流量清洗方式根 本无法满足骨干网等大流量应用场合的网络流量清洗需要。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现网络流量清洗的方法及系统,有 效提高网络流量清洗效率。为达到上述目的,本发明的技术方案是这样实现的一种实现网络流量清洗的方法,该方法包括深度流检测DFI设备根据流量检测模板对网络流量进行检测,向深度报文检测 DPI设备发送可疑的网络流量;DPI设备根据识别模板对可疑的网络流量进行检测,根据控制策略清洗异常的网
络流量。该方法还包括控制中心向DFI设备下发设置的流量检测模板,DFI设备对收到的流量检测模板 进行存储;和/或,控制中心向DPI设备下发设置的识别模板和控制策略,DPI设备对收到的识别模 板和控制策略进行存储。所述DFI设备根据流量检测模板对网络流量进行检测之后,还包括DFI设备将正 常的网络流量注入传输链路进行传输;和/或,所述DPI设备根据识别模板对可疑的网络流量进行检测之后,还包括DPI设备将 正常的网络流量注入传输链路进行传输。所述根据流量检测模板对网络流量进行检测,包括将网络流量的特征与存储的 流量检测模板进行比较,确定网络流量的特征异常时,确定对应网络流量为可疑的网络流量。所述根据识别模板对可疑的网络流量进行检测,包括根据识别模板对可疑的网 络流量进行深度报文检测,识别网络流量的具体应用,确定网络流量是否异常。
一种实现网络流量清洗的系统,包括DFI设备,用于根据流量检测模板对网络流量进行检测,向DPI设备发送可疑的网
络流量;DPI设备,用于根据识别模板对可疑的网络流量进行检测,根据控制策略清洗异常 的网络流量。所述系统进一步包括控制中心,用于向DFI设备下发设置的流量检测模板;和/ 或,用于向DPI设备下发设置的识别模板和控制策略。所述流量检测模板或所述识别模板是静态设置的,或根据当前所需动态设置的。所述DFI设备还用于将正常的网络流量注入传输链路进行传输;和/或,所述DPI 设备还用于将正常的网络流量注入传输链路进行传输。本发明方案中,将DFI技术与DPI技术相结合,从而很好地解决了网络流量清洗中 检测的完整性与清洗效率之间的矛盾,并且兼顾了检测效率与准确性,能够满足海量数据 的网络流量清洗需要,大大提高了网络流量清洗效率。另外,本发明方案中所涉及的流量检测模板可以与现有的流量检测模板相同,因 此本发明方案在有关流量检测模板的有关实现中并不需要频繁升级流量检测模板,大大降 低了网络流量清洗的维护成本。
图1为本发明中实现网络流量清洗的系统结构示意图;图2为本发明中实现网络流量清洗的流程示意图。
具体实施例方式深度报文检测(DPI,Deep Packet Inspection)技术与深度流检测(DFI,Deep Flow Inspection)技术是对异常的网络流量进行识别的两种主要方式。其中,DPI技术在 分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术;与 DPI技术进行应用层的载荷匹配不同,DFI技术采用的是一种基于流量行为的应用识别技 术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。例如,网络中的IP流量体现在流状态上的特征就非常明显实时传输协议(RTP, Real-time Transport Protocol)流的包长相对固定,一般在130至220字节(byte),连接 速率较低,为20至84千比特每秒(Kbit/s),同时会话持续时间相对较长;而基于P2P下载 应用的网络流量的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选的传 输层协议为传输控制协议(TCP,Transmission Control Protocol)等。DFI技术正是基于这一系列流量行为的特征,建立流量特征模型、即流量检测模 板,通过分析会话连接流的数据包的长度、连接速率、传输字节量、数据包之间的间隔等信 息来与建立的流量检测模板进行对比,从而实现应用类型的鉴别。鉴于上述DPI技术和DFI技术各自的特点,本发明方案中将DFI技术与DPI技术 相结合,即DFI设备根据流量检测模板对网络流量进行检测,向DPI设备发送可疑的网络流 量;DPI设备根据识别模板对可疑的网络流量进行检测,根据控制策略清洗异常的网络流 量,大大提高网络流量清洗效率。
图1为本发明中实现网络流量清洗的系统结构示意图,如图1所示,该系统包括 DFI设备和DPI设备,其中,DFI设备用于根据流量检测模板对网络流量进行检测,向DPI设 备发送可疑的网络流量;DPI设备用于根据识别模板对可疑的网络流量进行检测,根据控 制策略清洗异常的网络流量。DFI设备还用于将正常的网络流量注入传输链路进行传输。DPI设备还用于将正 常的网络流量注入传输链路进行传输。该系统可以进一步包括控制中心,用于向DFI设备下发设置的流量检测模板;还 用于向DPI设备下发设置的识别模板和控制策略。控制中心下发的流量检测模板、识别模 板、控制策略可以是初始静态设置的,也可以是根据当前所需动态设置的。图2为本发明中实现网络流量清洗的流程示意图,如图2所示,步骤201 控制中心向DFI设备下发设置的流量检测模板,DFI设备对收到的流量 检测模板进行存储。步骤202 控制中心向DPI设备下发设置的识别模板和控制策略,DPI设备对收到 的识别模板和控制策略进行存储。步骤201和步骤202在执行上没有明显的时间顺序。步骤203 步骤204 =DFI设备根据流量检测模板对网络流量进行检测,判断网 络流量是否异常,如果异常,则表明网络流量可能是异常的,确定网络流量为可疑的网络流 量,继续执行步骤205 ;如果没有异常,则将正常的网络流量注入传输链路进行传输。网络中有数据传输时,DFI设备将需要检测的网络流量引导到自身,以进行流量检 测。DFI设备采用DFI技术进行流量检测是将网络流量的特征与存储的流量检测模板进行 比较,处理速度较快。本发明方案中所涉及的流量检测模板可以与现有的流量检测模板相 同,因此本发明方案在有关流量检测模板的有关实现中并不需要频繁升级流量检测模板, 大大降低了网络流量清洗的维护成本。DFI设备判断网络流量是否异常的具体处理是将网络流量与流量检测模板进行比 较,即能够确定网络流量的特征是否异常,如果确定网络流量的特征正常,则将网络流量注 入传输链路进行传输;如果确定网络流量的特征异常,则表明网络流量可能是异常的,确定 网络流量为可疑的网络流量,将可疑的网络流量发送给DPI设备,由DPI设备进行深度报文 检测,进一步具体地识别异常的网络流量。步骤205 =DFI设备向DPI设备发送可疑的网络流量,由DPI设备进行深度报文检 测。步骤206 =DPI设备根据识别模板对收到的可疑的网络流量进行检测,确定网络流 量异常后,根据控制策略对异常的网络流量进行清洗处理。DPI设备根据识别模板对可疑的网络流量进行深度报文检测,准确识别网络流量 的具体应用,从而确定网络流量是否异常,确定网络流量异常后,根据控制策略对识别出的 异常的网络流量进行清洗处理。DPI设备确定出的异常的网络流量即为根据本发明方案最 终得到的异常的网络流量。例如,DPI设备根据识别模板确定网络流量的来源为非法用户, 因此确定对应网络流量为异常的网络流量,直接拦截对应网络流量,从而使对应网络流量 不会在传输链路中进行传输;又如,DPI设备根据识别模板确定网络流量为大量空内容的 信息,因此确定对应网络流量为异常的网络流量,直接拦截对应网络流量,从而使对应网络流量不会在传输链路中进行传输。步骤207 =DPI设备将正常的网络流量注入传输链路进行传输,完成整个的异常流 量清洗过程。这里所说的正常的网络流量可以是进行清洗处理后所得到的正常的网络流量。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
一种实现网络流量清洗的方法,其特征在于,该方法包括深度流检测DFI设备根据流量检测模板对网络流量进行检测,向深度报文检测DPI设备发送可疑的网络流量;DPI设备根据识别模板对可疑的网络流量进行检测,根据控制策略清洗异常的网络流量。
2.根据权利要求1所述的方法,其特征在于,该方法还包括控制中心向DFI设备下发设置的流量检测模板,DFI设备对收到的流量检测模板进行 存储;和/或,控制中心向DPI设备下发设置的识别模板和控制策略,DPI设备对收到的识别模板和 控制策略进行存储。
3.根据权利要求1或2所述的方法,其特征在于,所述DFI设备根据流量检测模板对网络流量进行检测之后,还包括DFI设备将正常的 网络流量注入传输链路进行传输;和/或,所述DPI设备根据识别模板对可疑的网络流量进行检测之后,还包括DPI设备将正常 的网络流量注入传输链路进行传输。
4.根据权利要求1或2所述的方法,其特征在于,所述根据流量检测模板对网络流量进 行检测,包括将网络流量的特征与存储的流量检测模板进行比较,确定网络流量的特征异 常时,确定对应网络流量为可疑的网络流量。
5.根据权利要求1或2所述的方法,其特征在于,所述根据识别模板对可疑的网络流量 进行检测,包括根据识别模板对可疑的网络流量进行深度报文检测,识别网络流量的具体 应用,确定网络流量是否异常。
6.一种实现网络流量清洗的系统,其特征在于,包括DFI设备,用于根据流量检测模板对网络流量进行检测,向DPI设备发送可疑的网络流量;DPI设备,用于根据识别模板对可疑的网络流量进行检测,根据控制策略清洗异常的网络流量。
7.根据权利要求6所述的系统,其特征在于,所述系统进一步包括控制中心, 用于向DFI设备下发设置的流量检测模板;和/或,用于向DPI设备下发设置的识别模板和控制策略。
8.根据权利要求7所述的系统,其特征在于,所述流量检测模板或所述识别模板是静 态设置的,或根据当前所需动态设置的。
9.根据权利要求6至8任一所述的系统,其特征在于,所述DFI设备还用于将正常的网络流量注入传输链路进行传输;和/或, 所述DPI设备还用于将正常的网络流量注入传输链路进行传输。
全文摘要
本发明公开了一种实现网络流量清洗的方法及系统。本发明方案中,DFI设备根据流量检测模板对网络流量进行检测,向DPI设备发送可疑的网络流量;DPI设备根据识别模板对可疑的网络流量进行检测,根据控制策略清洗异常的网络流量。本发明方案中,将DFI技术与DPI技术相结合,从而很好地解决了网络流量清洗中检测的完整性与清洗效率之间的矛盾,并且兼顾了检测效率与准确性,能够满足海量数据的网络流量清洗需要,大大提高了网络流量清洗效率。
文档编号H04L12/26GK101986609SQ20091009013
公开日2011年3月16日 申请日期2009年7月29日 优先权日2009年7月29日
发明者宋晓丽, 杨波 申请人:中兴通讯股份有限公司