专利名称:基于分流定向的旁路式流量检测模型的制作方法
技术领域:
本发明涉及一种网络监控领域,具体地说是一种网络流量检测,特别是深度检测与内容识别技术的基于分流定向的旁路式流量检测模型,。
背景技术:
网络流量检测是互联网安全监控和网络流量控制的基础,多年来业界提出了各 种算法和解决方案,这些技术主要是针对网络流量本身的,通过识别流量本身的外部特征 和组成特点来判断其类型,而对于网络流量检测系统的工作流程和架构技术研究的相对较 少。目前流行的各种防火器墙、入侵检测系统、安全网关等设备,主要工作方式是通过对网 络流量的直接检测分析,进而做出吸纳供应的处理。这种工作方式对于高速、海量的网络流 量,不仅普遍存在结构性性能瓶颈,而且升级困难,升级代价昂贵。为解决这一问题,本发明 提出了一种基于流量分类预处理(分流定向)的并行检测模型,基于此模型的检测系统,不 仅可较容易地实现高性能,而且能够十分方便地实现较理想的线性扩展升级。
发明内容
本发明的目的是提供一种基于分流定向的旁路式流量检测模型。本发明的目的是按以下方式实现的,包括分流器、流定向分配器、流检测器、异常 告警器和异常汇集器,通过对流量分类预处理、分流定向,实现多检测器并行检测,发现异 常则发出告警信息,并将异常流量或数据集中处理,处理步骤如下1)分流器负责从被检流量中拷贝出完全相同的待检流量;2)流定向分配器根据各种流量成分的外部特征,将流量分成一系列类型,包括音 频流、视频流、普通数据流、特殊流或控制流、协议、信令、内容流、辅助流,分类的规则和标 准根据实际需要设定,不同类型的流被分到不同类型的“管道”中;3)不同类型的流管道接到不同的流检测器,流检测器对发送来的分类流量进行专 项检测,包括深度特征检测、内容检测,检测的算法和标准根据需要进行配置,检测出异常 流或分组,包括网络攻击、不良信息时,发出异常告警,告警的类型根据需要设定,并将异常 分组送到异常汇集器;4)异常告警器负责寄存各检测器发来的告警信息;异常汇集器负责寄存各检测 器发来异常流量和数据包,检测出的告警和数据包由另外的装置或系统集中处理。本发明的优异效果是1)专门设立的流分类定向器,据此可以对流量进行分类、分流、均衡,从而保证了 各检测器高性能并行检测,实现快速高效处理。2)该模型的检测部分一流定向器和检测器,具有树形结构,可以很方便地在流 定向器之后进行级联迭代(将分流出的流量作为下一级的被检流量,对该流量继续实施本 发明所提出的方式的检测处理,从而实现更大规模的处理能力。3)对于各检测器检出的异常流量,同一汇集到异常汇集器集中处理模式。
4)基于本发明的各类软硬件系统或产品。5)本发明的权利要求不涉及各主要部件的内部技术细节。
图1是基于分流定向的流量检测器结构模型。
具体实施例方式参照说明书附图对本发明的作以下详细地说明。本发明的基于分流定向的旁路式流量检测模型,是针对网络流量检测和内容识别,设计一种用于高性能并行检测处理系统的结构模型,该模型包括分流器、流定向分配 器、流检测器、异常告警器和异常汇集器,通过对流量分类预处理、分流定向,实现多检测器 并行检测,发现异常则发出告警信息,并将异常流量或数据包集中处理。详细工作原理如下 (参见图1.)1)分流器负责从被检流量中拷贝出完全相同的待检流量;2)流定向分配器根据各种流量成分的外部特征,将流量分成一系列类型,如音频流、视频流、普通数据流、特殊流,或控制流(协议和信令)、内容流、辅助流,等等。分类的规 则和标准可以根据实际需要设定。不同类型的流被分到不同类型的“管道”中(同一类型 的流量可能被分到一组管道中);3)不同类型的流管道接到不同的流检测器,流检测器对发送来的分类流量进行专项检测,如深度特征检测、内容检测等。检测的算法和标准可以根据需要进行配置。检测出 异常流或分组(如网络攻击、不良信息等)时,发出异常告警(告警的类型可根据需要设 定),并将异常分组送到异常汇集器;4)异常告警器负责寄存各检测器发来的告警信息;异常汇集器负责寄存各检测器发来异常流量和数据包。检测出的告警和数据包由另外的装置或系统处理。本发明主要创新点在于提出了一种基于分流定向的高性能并行流量检测模型,其特征是设立专门的流分类定向器,据此对流量进行分类、分流、均衡,从而保证了各检测器 分类并行检测,实现快速高效处理。同时,由于该模型的检测部分(流定向器和检测器)具 有树形结构,因而可以在流定向器之后进行级联迭代处理,从而实现更大规模的并行处理。基于本发明可以构造高性能的网流量检测系统,不仅使该系统具有分流分类并行检测、旁路检测的功能,而且能保证系统在扩展升级过程中具有最高性能提升效果的线性 扩展特性。更进一步,本发明设计的树状检测结构,特别有利于实现对流量的级联处理结 构,从而能够有效解决网络规模不断膨胀、网络流量日益增加的问题。本发明主要设计了基于分流定向的旁路式流量检测模型,可广泛应用于各种网络流量检测设备的体系结构。由于本发明不涉及各功能部件(如流定向分配器、流检测器等) 内部的具体细节,所以在实际系统设计和实现时,可根据需要灵活地配置相应的算法、构造等具体技术设计。特别需要说明的是,为了保证系统级的直接级联扩展,可在流量分类定向器之后的分流“管道”上引出分支通路,将这些通路延伸到设备外壳并做成级联插口。对于异常告警器和异常汇集器,可根据需要进行合并(如果系统对性能要求不是特别高),也可单独放到外部独立部署 (如果实际情况对系统的级联扩展要求特别高)。
权利要求
基于分流定向的旁路式流量检测模型,其特征在于,包括分流器、流定向分配器、流检测器、异常告警器和异常汇集器,通过对流量分类预处理、分流定向,实现多检测器并行检测,发现异常则发出告警信息,并将异常流量或数据集中处理,处理步骤如下1)分流器负责从被检流量中拷贝出完全相同的待检流量;2)流定向分配器根据各种流量成分的外部特征,将流量分成一系列类型,包括音频流、视频流、普通数据流、特殊流或控制流、协议、信令、内容流、辅助流,分类的规则和标准根据实际需要设定,不同类型的流被分到不同类型的“管道”中;3)不同类型的流管道接到不同的流检测器,流检测器对发送来的分类流量进行专项检测,包括深度特征检测、内容检测,检测的算法和标准根据需要进行配置,检测出异常流或分组,包括网络攻击、不良信息时,发出异常告警,告警的类型根据需要设定,并将异常分组送到异常汇集器;4)异常告警器负责寄存各检测器发来的告警信息;异常汇集器负责寄存各检测器发来异常流量和数据包,检测出的告警和数据包由另外的装置或系统集中处理。
全文摘要
本发明提供一种基于分流定向的旁路式流量检测模型,主要包括分流器、流定向分配器、流检测器、异常告警器和异常汇集器。基于对流量分类分流定向处理,实现多检测器并行检测,发现异常则发出告警信息,并将异常流量或数据包集中处理。由于该模型的检测部分具有树形结构,因而可通过在流定向器之后进行级联迭代,实现更大规模的并行处理。本发明可以广泛应用于各种网络流量检测系统,有效地实现和提高对流量的并行高速检测和理想的线性扩展升级等性能。
文档编号H04L12/24GK101800674SQ20101011107
公开日2010年8月11日 申请日期2010年2月21日 优先权日2010年2月21日
发明者苗再良 申请人:浪潮通信信息系统有限公司