专利名称:双向联合检测的装置及方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种双向联合检测的装置及方法。
背景技术:
随着网络规模的不断扩大,网络管理对于精细化运营、未经许可业务抑制、网络安 全防护和网络和业务资源管理的要求也越来越高,这促使了业务识别技术的发展,体现在 设备层面,即在网络中越来越多的部署DPI (De印Packet Inspection,深度包检测)功能设备。所谓“深度”是和普通的L2-L4交换机或路由器的报文分析层次相比较而言的。 L2-L4交换机/路由器分析IP包的层4以下的内容,包括源地址、目的地址、源端口、目的端 口以及协议类型,而DPI除了对前面的层次分析外,还增加数据包内容的识别,与此同时基 于识别结果的业务控制也是DPI概念中的一个不可或缺的组成部分。随着业务识别种类的增多,以及识别要求的不断提高,DPI设备基于单向(上行或 下行)流的检测方式已经不能满足现有的识别需要,造成大量重复的识别,效率比较低。例 如ip 10. 10. 10. 10的用户A与IP 10. 20. 20. 20的服务器B进行业务通信,那么既会有 A-)B的业务流量,同时也会有B- > A的流量;通常的DPI识别机制是要分别识别A- > B 和B- > A的流量,并且根据A- > B和B- > A的流量分别进行单方向的业务控制决策,这 样的结果是就是会造成大量的重复识别,且对于A- > B与B- > A的双方向业务流量可能 造成不同的业务控制结果。
发明内容
鉴于上述的分析,本发明旨在提供一种双向联合检测的装置及方法,用以解决现 有检测方式中存在的重复识别以及识别效率低的问题。本发明的目的主要是通过以下技术方案实现的本发明提供了一种双向联合检测的装置,包括分析模块、本地决策模块、匹配执 行模块,其中,所述分析模块,用于对需要识别与控制的业务,从该业务的上行数据流或下行数 据流中提取到该业务的相关信息;所述本地决策模块,用于根据所述分析模块提取到的该业务的相关信息,确定该 业务的上行和下行双向的控制策略;所述匹配执行模块,用于将该业务的上行数据流、下行数据流分别与所述控制策 略进行匹配,并在匹配成功时执行所述控制策略,对该业务的上行数据流、下行数据流分别 进行相应的控制。进一步地,还包括策略库,用于存储识别策略;扫描模块,用于对经过DPI设备即深度包检测设备的所有业务的上行数据流和下
3行数据流进行扫描,根据所述识别策略确定需要识别与控制的业务。进一步地,当所述相关信息至少包括五元组信息和业务类型信息时,所述本地决 策模块还用于,利用该业务的相关信息中的五元组信息作为新的识别策略,并更新策略库 中的识别策略。本发明还提供了一种双向联合检测的方法,利用一种双向联合检测的装置,所述 方法包括分析模块对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取 到的该业务的相关信息;本地决策模块根据所述分析模块提取到的该业务的相关信息,确定该业务的上行 和下行双向的控制策略;匹配执行模块分别将该业务的上行数据流、下行数据流与所述控制策略进行匹 配,并在匹配成功时执行所述控制策略,对该业务的上行数据流、下行数据流分别进行相应 的控制。进一步地,在执行所述方法之前还包括扫描模块对经过DPI设备即深度包检测 设备的所有业务的上行数据流进行扫描,根据策略库中预定的识别策略确定需要识别与控 制的业务。进一步地,当所述相关信息至少包括五元组信息和业务类型信息时,还包括所述 本地决策模块利用该业务的相关信息中的五元组信息作为新的识别策略,并更新策略库中 的识别策略。本发明有益效果如下本发明通过单方向进行业务识别,减少了现有检测方法中的重复识别;并且通过 从业务数据流提取出的业务的相关信息制定双方向的控制策略,避免了现有检测方法造成 不同控制结果的问题;并且,本发明实施例通过利用五元组信息更新识别策略,还可以达到 提高DPI系统识别效率的目的。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分的从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。
图1为本发明实施例所述装置的结构示意图;图2为本发明实施例所述方法的流程示意图。
具体实施例方式下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并 与本发明的实施例一起用于阐释本发明的原理。为了清楚和简化目的,当其可能使本发明 的主题模糊不清时,将省略本文所描述的器件中已知功能和结构的详细具体说明。首先,对本发明实施例所述装置进行详细说明。如图1所示,图1为本发明实施例所述装置的结构示意图,具体可以包括策略库、 扫描模块、分析模块、本地决策模块、匹配执行模块,其中,
策略库,预先存储有识别策略,识别策略指识别业务的策略,最典型的是识别模 板,其中包含识别业务的关键字。扫描模块,对经过DPI设备的所有业务的上行数据流和下行数据流进行扫描,根 据策略库中的识别策略确定需要识别与控制的业务,并通知分析模块;分析模块,对于需要识别与控制的业务,对该业务的上行数据流或下行数据流进 行分析,提取出该业务的相关信息,包括该业务的五元组信息(源IP,源MAC,目的IP,目 的MAC,协议号)、业务类型信息等,并将该业务的相关信息发送到本地决策模块;本地决策模块,根据分析模块通过上行数据流或下行数据流提取到的该业务的相 关信息进行上行和下行双方向的决策,确定双方向的控制策略并下发给匹配执行模块;同 时更新策略库的识别策略,即将该业务的五元组信息作为新的识别策略,而不用继续通过 关键字进行深度识别,从而达到提高DPI系统识别效率的目的;需要说明的是,本地决策模 块进行决策时,根据单方向的数据流就可以判断出该业务的相关信息,也可以判断出反方 向的数据流,但是如果本地决策模块中已有根据反方向的数据流进行分析得到的该业务的 相关信息了,这个时候还可以结合双方向提取得到的该业务的相关信息进行综合分析,从 而增加决策的准确性;例如,分析模块根据该业务的上行数据流提取到该业务的相关信息 并上报给本地决策模块,本地决策模块在根据该业务的相关信息进行决策时,如果发现其 中已有分析模块之前上报的根据该业务的下行数据流提取到的该业务的相关信息,那么此 时本地决策模块可以根据分析模块之前上报的该业务的相关信息和刚刚获得的该业务的 相关信息进行综合分析决策,这样可以增加决策的准确性;匹配执行模块,分别将该业务的上行数据流、下行数据流与该控制策略进行匹配, 并在匹配成功时执行该控制策略,对上行业务数据流、下行业务数据流分别进行相应的控 制。接下来,对本发明实施例所述方法进行详细说明。如图2所示,图2为本发明实施例所述方法的流程示意图,具体可以包括如下步 骤步骤201 当上行数据流经DPI设备,由扫描模块根据识别策略发现需要识别与控 制的业务;步骤202 分析模块对识别出来的该业务的上行数据流进行分析,提取该业务数 据流的详细信息,包括该业务的五元组信息(源IP,源MAC,目的IP,目的MAC,协议号)、 业务类型信息等,并将该业务的相关信息上报给本地决策模块;步骤203 本地决策模块收集该业务的相关信息(分析模块可能之前已上报过通 过该业务的下行数据流提取到的该业务的相关信息),将该业务的相关信息进行双方向的 分析决策,确定该业务的双方向的控制策略;同时更新策略库的识别策略,即将该业务的五 元组信息作为新的识别策略,而不用继续通过关键字进行深度识别,从而达到提高DPI系 统识别效率的目的;步骤204 本地决策模块将双方向的控制策略通过策略库下发给匹配执行模块;步骤205 匹配执行模块根据本地决策模块下发的该业务的双方向的控制策略, 将该业务的上行数据流、下行数据流分别与该双向的控制策略进行匹配;步骤206 当根据该双向的控制策略进行匹配成功时,匹配执行模块执行该双向的控制策略,实现对于该业务的控制,即对该业务的上行数据流、下行数据流分别进行相应 的控制;其中,该双向的控制策略可以包括限速,流量整形,重定向等操作。综上所述,本发明实施例提供了一种双向联合检测的装置及方法,通过单方向进 行业务识别,减少了现有检测方法中的重复识别;并且通过从业务数据流提取出的业务的 相关信息制定双方向的控制策略,避免了现有检测方法造成不同控制结果的问题;并且, 本发明实施例通过利用五元组信息更新识别策略,还可以达到提高DPI系统识别效率的目 的。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范 围为准。
权利要求
一种双向联合检测的装置,其特征在于,包括分析模块、本地决策模块、匹配执行模块,其中,所述分析模块,用于对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取到该业务的相关信息;所述本地决策模块,用于根据所述分析模块提取到的该业务的相关信息,确定该业务的上行和下行双向的控制策略;所述匹配执行模块,用于将该业务的上行数据流、下行数据流分别与所述控制策略进行匹配,并在匹配成功时执行所述控制策略,对该业务的上行数据流、下行数据流分别进行相应的控制。
2.根据权利要求1所述的装置,其特征在于,还包括策略库,用于存储识别策略;扫描模块,用于对经过DPI设备即深度包检测设备的所有业务的上行数据流和下行数 据流进行扫描,根据所述识别策略确定需要识别与控制的业务。
3.根据权利要求2所述的装置,其特征在于,当所述相关信息至少包括五元组信息和 业务类型信息时,所述本地决策模块还用于,利用该业务的相关信息中的五元组信息作为 新的识别策略,并更新策略库中的识别策略。
4.一种双向联合检测的方法,其特征在于,利用一种双向联合检测的装置,所述方法包括分析模块对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取到的 该业务的相关信息;本地决策模块根据所述分析模块提取到的该业务的相关信息,确定该业务的上行和下 行双向的控制策略;匹配执行模块分别将该业务的上行数据流、下行数据流与所述控制策略进行匹配,并 在匹配成功时执行所述控制策略,对该业务的上行数据流、下行数据流分别进行相应的控 制。
5.根据权利要求4所述的方法,其特征在于,在执行所述方法之前还包括扫描模块对 经过DPI设备即深度包检测设备的所有业务的上行数据流进行扫描,根据策略库中预定的 识别策略确定需要识别与控制的业务。
6.根据权利要求5所述的方法,其特征在于,当所述相关信息至少包括五元组信息和 业务类型信息时,还包括所述本地决策模块利用该业务的相关信息中的五元组信息作为 新的识别策略,并更新策略库中的识别策略。
全文摘要
本发明公开了一种双向联合检测的装置及方法,其中,装置包括分析模块、本地决策模块、匹配执行模块,其中,分析模块用于对需要识别与控制的业务,从该业务的上行数据流或下行数据流中提取到的该业务的相关信息;本地决策模块用于根据分析模块提取到的该业务的相关信息,确定该业务的上行和下行双向的控制策略;匹配执行模块用于将该业务的上行数据流、下行数据流分别与控制策略进行匹配,并在匹配成功时执行控制策略,对该业务的上行数据流、下行数据流分别进行相应的控制;本发明减少了现有检测方法中的重复识别,避免了现有检测方法造成不同控制结果的问题,还可以达到提高DPI系统识别效率的目的。
文档编号H04L12/26GK101951330SQ20101029298
公开日2011年1月19日 申请日期2010年9月27日 优先权日2010年9月27日
发明者杨波 申请人:中兴通讯股份有限公司