一种监管数据流传输的方法和装置的制造方法

一种监管数据流传输的方法和装置的制造方法
【专利摘要】本发明提供一种监管数据流传数的方法和装置，其中，所述方法包括：当数据流量超过监管设备的流量阈值时，判断每个报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则；若所述报文的报文信息匹配所述报文通过规则，转发所述报文；若所述报文的报文信息匹配所述报文拒绝规则，丢弃所述报文；若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则，按照预置判断规则深度处理所述报文。采用本发明提供的监管数据流传输的方法，在超流量网络传输的情况下，可以合理利用网络监管设备的资源，提高网络传输性能。
【专利说明】
一种监管数据流传输的方法和装置
技术领域
[0001] 本发明涉及网络通信技术领域，特别涉及一种监管数据流传输的方法和装置。
【背景技术】
[0002] 在数据传输网络中，当信息业务激增时，容易导致数据链路拥塞，致使数据传输中 断。现有技术解决此问题的做法是在网络传输系统中增加网络监管设备，比如防火墙或流 量监测监管防御设备。上述监管设备对所有数据流量采用令牌桶机制进行处理，当经过上 述监管设备的数据流量超过令牌桶的流量阈值时，丢弃部分流量。随之带来的问题是导致 部分信息丢失，严重情况下会导致信息传输中断。
[0003] 为了解决上述问题，现有技术通常采取提高网络监管设备性能的办法解决超流量 情况下的数据传输问题。然而，在大部分情况下，经过网络监管设备的流量都是在一个平稳 的范围内，突发超过设备预定性能的超流量事件是小概率事件，如果仅仅为上述小概率事 件而大幅度提高网络设备性能，势必导致网络建设成本的大幅增加。

【发明内容】

[0004] 有鉴于此，本发明提供一种监管数据流传输的方法和装置，合理利用网络监管设 备的资源，提尚网络传输性能。
[0005] -方面，本发明实施例提供了一种监管数据流传输的方法，所述方法包括：
[0006] 当数据流量超过监管设备的流量阈值时，判断每个报文的报文信息是否匹配预设 的报文通过规则或报文拒绝规则；
[0007] 若所述报文的报文信息匹配所述报文通过规则，转发所述报文；
[0008] 若所述报文的报文信息匹配所述报文拒绝规则，丢弃所述报文；
[0009] 若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则， 按照预置判断规则深度处理所述报文。
[0010] 可选地，所述报文信息包括:五元组信息和报文长度信息。
[0011] 可选地，所述按照预置判断规则处理所述报文，包括：
[0012] 采用令牌桶机制处理所述报文，判断所述报文是否能分配到令牌；
[0013]若所述报文分配不到令牌，直接转发所述报文；
[0014]若所述报文分配到令牌，按照预置检测规则继续检测所述报文；
[0015] 如果所述报文符合所述预置检测规则，确定为第一报文，转发所述第一报文；
[0016] 如果所述报文不符合所述预置检测规则，确定为第二报文，丢弃所述第二报文。
[0017] 可选地，所述监管数据流传输的方法还包括：
[0018] 在转发所述第一报文和/或丢弃所述第二报文时，提取报文信息，并根据所述报文 信息获取预置报文信息表；
[0019] 统计所述预置报文信息表中的一个报文信息表项在预设时间内的命中次数；
[0020] 当所述命中次数少于预设阈值时，删除所述报文信息表项；
[0021] 当所述命中次数不少于所述预设阈值时，根据所述报文信息表项更新所述预设的 报文通过规则或报文拒绝规则。
[0022] 可选地，所述在转发所述第一报文和/或丢弃所述第二报文时，提取报文信息，并 根据所述报文信息获取预置报文信息表，包括：
[0023]提取当前处理报文的报文信息，所述当前处理报文为所述第一报文或所述第二报 文，所述报文信息包括:五元组信息、报文长度信息；
[0024] 根据所述报文信息按照预置规则匹配预置报文信息表，所述预置规则为:所述报 文的五元组信息符合预设报文信息表项的五元组信息，并且，所述报文的报文长度在所述 预设报文信息表项的预设报文长度范围内；
[0025] 若所述报文信息符合所述预置规则，增加所述预设报文信息表项的命中次数；
[0026] 若所述报文信息不符合所述预置规则，根据所述报文信息在所述预置报文信息表 中建立新的报文信息表项。
[0027] 另一方面，本发明实施例还提供了一种监管数据流传输的装置，所述装置包括：
[0028] 初级检测模块，用于在数据流量超过监管设备的流量阈值的情况下，判断每个报 文的报文信息是否匹配预设的报文通过规则或报文拒绝规则；
[0029] 报文转发模块，用于在所述报文的报文信息匹配所述报文通过规则的情况下，转 发所述报文；
[0030] 报文丢弃模块，用于在所述报文的报文信息匹配所述报文拒绝规则的情况下，丢 弃所述报文；
[0031]深度处理模块，用于在所述报文的报文信息既不匹配所述报文通过规则又不匹配 所述报文拒绝规则的情况下，按照预置判断规则深度处理所述报文。
[0032]可选的，所述报文信息包括:五元组信息和报文长度信息。
[0033]可选的，所述深度处理模块包括：
[0034] 判断单元，用于采用令牌桶机制处理所述报文，判断所述报文是否能分配到令牌；
[0035] 直接处理单元，用于在所述报文分配不到令牌的情况下，直接转发所述报文；
[0036] 检测单元，用于在所述报文分配到令牌的情况下，按照预置检测规则继续检测所 述报文；
[0037] 报文转发单元，用于在所述报文符合所述预置检测规则的情况下，确定为第一报 文，转发所述第一报文；
[0038]报文丢弃单元，用于在所述报文不符合所述预置检测规则的情况下，确定为第二 报文，丢弃所述第二报文。
[0039] 可选的，所述监管数据流传输的装置还包括：
[0040] 信息提取模块，用于在转发所述第一报文和/或丢弃所述第二报文时，提取报文信 息，并根据所述报文信息获取预置报文信息表；
[0041 ]统计模块，用于统计所述预置报文信息表中的一个报文信息表项在预设时间内的 命中次数；
[0042] 信息删除模块，用于在所述命中次数少于预设阈值的情况下，删除所述报文信息 表项；
[0043] 更新模块，用于在所述命中次数不少于所述预设阈值的情况下，根据所述报文信 息表项更新所述预设的报文通过规则或报文拒绝规则。
[0044]可选的，所述信息提取模块包括：
[0045]信息提取单元，用于提取当前处理报文的报文信息，所述当前处理报文为所述第 一报文或所述第二报文，所述报文信息包括:五元组信息、报文长度信息；
[0046] 匹配单元，用于根据所述报文信息按照预置规则匹配预置报文信息表，所述预置 规则为:所述报文的五元组信息符合预设报文信息表项的五元组信息，并且，所述报文的报 文长度在所述预设报文信息表项的预设报文长度范围内；
[0047] 第一处理单元，用于在所述报文信息符合所述预置规则的情况下，增加所述预设 报文信息表项的命中次数；
[0048]第二处理单元，用于在所述报文信息不符合所述预置规则的情况下，根据所述报 文信息在所述预置报文信息表中建立新的报文信息表项。
[0049] 本发明提供的监管数据流传输的方法和装置，相对与现有技术，具有以下有益效 果：
[0050] 采用本发明提供的监管数据流传输的方法，当网络中出现超流量传输的情况时， 可以根据设置于网络监管设备的交换芯片或网络入口处的预设报文通过规则或报文拒绝 规则，对进入的数据报文进行初步检测，轻松分流部分报文，仅对其中一部分报文采用令牌 桶机制进行处理，从而使网络监管设备可以释放出更多的网络处理器或CPU来处里其他数 据报文的深层次检测，提高了超流量情况下的流量处理效率，使网络在超性能大压力的情 况下，依旧保持流量传输不中断，提高了网络监管设备的性能。另一方面，相对于现有技术， 无需增加的防火墙或流量监测监管防御设备的性能，降低了网络建设成本。
【附图说明】
[0051 ]图1是本申请根据一示例性实施例示出的一种监管数据流传输的方法流程图；
[0052] 图2是本申请根据一示例性实施例示出的另一种监管数据流传输的方法流程图；
[0053] 图3是本申请根据一示例性实施例示出的另一种监管数据流传输的方法流程图；
[0054] 图4是本申请根据一示例性实施例示出的另一种监管数据流传输的方法流程图；
[0055] 图5是本申请提供的监管数据流传输的装置所在设备的一种硬件结构图；
[0056] 图6是本申请根据一示例性实施例示出的一种监管数据流传输的装置框图；
[0057] 图7是本申请根据一示例性实施例示出的另一种监管数据流传输的装置框图；
[0058] 图8是本申请根据一示例性实施例示出的另一种监管数据流传输的装置框图；
[0059] 图9是本申请根据一示例性实施例示出的另一种监管数据流传输的装置框图。
【具体实施方式】
[0060] 为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实 施方式对本发明作进一步详细的说明。
[0061 ]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0062] 应当理解，尽管在本申请中可能采用术语第一、第二、目标等来描述各种信息，但 这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱 离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为 第一信息。取决于语境，如在此所使用的词语"如果"可以被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0063] 参照图1根据一示例性实施例示出的一种监管数据流传输的方法流程图，可以包 括：
[0064] 步骤11、当数据流量超过监管设备的流量阈值时，判断每个报文的报文信息是否 匹配预设的报文通过规则或报文拒绝规则；
[0065] 本发明实施例的应用场景是当前业务流量超过了网络监管设备的流量阈值。为了 避免超流量数据的丢失，在网络监管设备的入口方向，比如入端口的交换芯片或网口上，设 置报文通过规则和报文拒绝规则。当一个数据报文进入监管设备比如防火墙或者流量监测 监管防御设备时，在网络监管设备的入端口处，首先通过上述规则对该报文的报文信息进 行检测，本发明实施例中，一个报文的报文信息包括:五元组信息和报文长度。其中，报文的 五元组信息包括:源IP地址、目的IP地址、源端口号、目的端口号、协议类型。对一个数据报 文的判断结果包括以下三种情况：
[0066] 第一种情况，所述报文的报文信息匹配预设的报文通过规则，则执行步骤12。
[0067] 第二种情况，所述报文的报文信息匹配预设的报文拒绝规则，则执行步骤13。
[0068] 第三种情况，所述报文的报文信息既不匹配预设的报文通过规则，也不匹配预设 的报文拒绝规则，则将所述报文发送至网络监管设备的NP(Net W〇rk Processor，网络处理 器)或者CPU(Central Processing Unit，中央处理器)进行深层次处理，即执行步骤14。
[0069] 本发明实施例中，上述报文通过规则、报文拒绝规则中可以包括:预设的五元组信 息和预设的报文长度信息。
[0070] 步骤12、若所述报文的报文信息匹配所述报文通过规则，转发所述报文；
[0071] 本发明实施例中，一条报文通过规则规定了符合预设五元组信息的数据报文在预 设报文长度范围内可以直接进行报文转发。
[0072] 例如，上述报文通过规则可以采用规则表的形式表示如下：
[0073]
[0074] 表一
[0075]假设进入网络监管设备的一个报文P1的报文信息为：五元组信息{1 . 1 . 1 . 1 ; 2.2.2.2;6000;8000;TCP}，报文长度：1500。可以判定该报文的报文信息匹配上述表一中的 第一个表项，则确定转发报文P1。
[0076] 步骤13、若所述报文的报文信息匹配所述报文拒绝规则，丢弃所述报文；
[0077] 本发明实施例中，一条报文拒绝规则规定了预设五元组信息的数据报文超过预设 报文长度范围，可以直接丢弃。
[0079]
[0078] 例如，上述报文拒绝规则可以采用规则表的形式表示如下：
[0080]
[0081 ]表二
[0082] 假设进入网络监管设备的一个报文P2的报文信息为：五元组信息{1 . 1 . 1 . 1 ; 2.2.2.2;6000;8000;TCP}，报文长度:3020。可以判定该报文的报文信息匹配上述表二中的 第一个表项，即五元组信息匹配，且报文长度3020在第一表项的报文长度范围：2950~3050 内，则确定丢弃报文P2。
[0083] 步骤14、若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒 绝规则，按照预置判断规则深度处理所述报文。
[0084] 假设进入网络监管设备的一个报文P3的报文信息为：五元组信息{1 . 1 . 1 . 1 ; 2.2.2.2; 6000; 8000; TCP}，报文长度：1400。可以确定：该报文既不匹配记录报文通过规则 的表一，也不匹配记录报文拒绝规则的表二。本发明实施中，将按照预置判断规则深度处理 报文P3。
[0085] 参照图2根据一示例性实施例示出的另一种监管数据流传输的方法流程图，步骤 14可以包括：
[0086] 步骤141、采用令牌桶机制处理所述报文，判断所述报文是否能分配到令牌；
[0087] 首先根据相关技术介绍令牌桶机制，假设网络监管设备的性能的衡量指标是每秒 钟通过的报文数(packets per second，每秒钟报文数，pps)。例如某一台网络监管设备的 性能标准为:每秒钟通过的报文数为a。那么，该网络监管设备就把令牌桶的容量设置为a， 在入接口处每接收到1个报文，令牌数量就减少1，令牌桶中剩余a-1个令牌。
[0088]本发明实施例中，进入网络处理器或CPU的一个数据报文采用令牌桶机制处理时， 如果令牌桶中还有剩余令牌，则所述数据报文就能分配到令牌。如果令牌桶中的令牌已用 尽，则该数据报文分配不到令牌。
[0089] 步骤142、若所述报文分配不到令牌，直接转发所述报文；
[0090] 本发明实施例中，如果所述报文分配不到令牌，可以选择直接转发所述报文，避免 因网络监管设备性能不够导致数据报文被丢弃的情况发生，进而避免信息丢失甚至传输中 断的情况发生。
[0091] 步骤143、若所述报文分配到令牌，按照预置检测规则继续检测所述报文；
[0092] 本发明实施例中，如果一个数据报文可以分配到令牌，就可以进入监测监管队列， 进行网络监管设备的深层次检测。即，网络监管设备的NP或CPU对该分配到令牌的数据报文 按照预置检测规则进行深层次检测。
[0093]步骤144、如果所述报文符合所述预置检测规则，确定为第一报文，转发所述第一 报文；
[0094]本发明实施例中，一个分配到令牌的数据报文在上述深层次检测过程中，如果符 合上述预置检测规则，则可以将上述数据报文标记为第一报文，对所述第一报文执行转发 操作。
[0095] 步骤145、如果所述报文不符合所述预置检测规则，确定为第二报文，丢弃所述第 二报文；
[0096] 本发明实施例中，一个分配到令牌的数据报文在上述深层次检测过程中，如果不 符合上述预置检测规则，则可以将上述数据报文标记为第二报文，对所述第二报文执行转 发操作。
[0097] 本发明实施例中，经过深层次监测后报文根据相应规则进行转发或丢弃，报文转 发成功或丢弃后，释放掉令牌，此时令牌桶的容量又可以恢复为a。
[0098] 参照图3根据一示例性实施例示出的另一种监管数据流传输的方法流程图，在图2 所示实施例的基础上，还可以包括：
[0099] 步骤146、在转发所述第一报文和丢弃所述第二报文时，提取报文信息，并根据所 述报文信息获取预置报文信息表；
[0100] 图3示出了本发明的一种优选实施例，即在转发第一报文和丢弃第二报文时，均提 取报文信息。在本发明另一实施例中，也可以选择仅在转发第一报文时，提取第一报文的报 文信息。或者，仅在丢弃第二报文时，提取第二报文的报文信息。
[0101] 具体地，参照图4根据一示例性实施例示出的另一种监管数据流传输的方法流程 图，在图3所示实施例的基础上，步骤146可以包括：
[0102] 步骤1461、提取当前处理报文的报文信息，所述当前处理报文为所述第一报文或 所述第二报文；
[0103] 即在转发第一报文时，提取第一报文的报文信息;在丢弃第二报文时，提取第二报 文的报文信息。
[0104] 步骤1462、根据所述报文信息按照预置规则匹配预置报文信息表，所述预置规则 为:所述报文的五元组信息符合预设报文信息表项的五元组信息，并且，所述报文的报文长 度在所述预设报文信息表项的预设报文长度范围内；
[0105] 步骤1463、若所述报文信息符合所述预置规则，增加所述预设报文信息表项的命 中次数；
[0106] 步骤1464、若所述报文信息不符合所述预置规则，根据所述报文信息在所述预置 报文信息表中建立新的报文信息表项。
[0107] 下面结合第一报文，对步骤146的具体实施过程进行详细说明，可以包括：
[0108] 步骤A1、提取当前转发的第一报文的第一报文信息，所述第一报文信息包括:所述 第一报文的五元组信息、报文长度；
[0109] 本发明实施例中，在转发一个第一报文时，可以提取当前转发的第一报文的报文 信息，本发明实施例中称之为第一报文信息，该第一报文信息包括:第一报文的五元组信 息、第一报文的报文长度。
[0110] 步骤B1、根据所述第一报文信息按照第一预置规则匹配第一预置报文信息表，所 述第一预置规则为:所述第一报文的五元组信息符合第一预设表项中的五元组信息，并且， 所述第一报文的报文长度在所述第一预设表项的预设报文长度范围内；
[0111] 本发明实施例中，网络监管设备内可以预置一个报文信息表，该报文信息表的一 个表项记录了第一报文的五元组信息、报文长度范围信息和命中次数等信息，此处称之为 第一预置报文信息表。
[0112] 上述第一预置报文信息表的初始化信息可以人工设置，也可以通过机器学习获 得。对于后一种方式，在初始化阶段，上述第一预置报文信息表为空，在网络设备进行数据 监管的过程中，当确定首个第一报文后，可以提取该第一报文的第一报文信息，并根据人工 设置报文长度波动范围，生成所述第一预设报文信息表中的第一个表项。
[0113] 假设上述首个第一报文的报文信息包括：五元组信息{1.1.1.1; 2.2.2.2; 6000 ; 8000;TCP}，报文长度：1400;根据经验人工设置的报文长度波动范围为50;则可以生成如表 三所示的表项信息：
[0114]
[0115] ~' '
' ' ' '
[0116]在后续过程中，对于每一个要转发的第一报文，在提取第一报文信息之后，根据五 元组信息和报文长度，按照上述第一预置规则匹配所述第一预置报文信息表，若匹配成功， 执行步骤C1;若匹配失败，则执行步骤D1。
[0117] 步骤C1、若所述第一报文信息满足所述第一预置规则，增加所述第一预设表项的 命中次数；
[0118] 假设当前第一预置报文信息表如表一所示，比如，当前转发的第一报文的五元组 信息与表三中第一表项的五元组信息匹配；当前转发的第一报文的报文长度为1430,在第 一表项的报文长度范围：1350~1450内，则可以确定当前转发第一报文的报文信息满足上 述第一预置规则。相应的，增加上述第一表项的命中次数，将表三中第一表项的命中次数由 1更改为2。更新后的报文信息表如表四所示：
[0119]
[0120] 表四
[0121] 步骤D1、若所述第一报文信息不满足所述第一预置规则，根据所述第一报文信息 在所述第一预置报文信息表中建立新的报文信息表项。
[0122] 仍以第一预置报文信息表为表三为例，假设当前第一报文的第一报文信息包括： 五元组信息{3·3·3·3;10·2·2·2;5050;6060;UDP};报文长度：1320。
[0123] 根据上述第一预置匹配规则匹配表三，在表三中匹配不到相应的报文信息表项， 则可以根据上述第一报文信息在第一预置报文信息表中建立新的表项，更新所述第一预置 报文信息表。更新后的第一预置报文信息表如表五所示：
[0124]
[0125] 表五
[0126] 同理，对于第二报文，步骤146的具体实施过程可以包括：
[0127] 步骤A2、提取当前丢弃的第二报文的第二报文信息，所述第二报文信息包括:所述 第二报文的五元组信息、报文长度；
[0128] 步骤B2、根据所述第二报文信息按照第二预置规则匹配第二预置报文信息表，所 述第二预置规则为:所述第二报文的五元组信息符合第二预设表项中的五元组信息，并且， 所述第二报文的报文长度在所述第二预设表项的预设报文长度范围内；
[0129] 步骤C2、若所述第二报文信息满足所述第二预置规则，增加所述第二预设表项的 命中次数；
[0130] 步骤D2、若所述第二报文信息不满足所述第二预置规则，根据所述第二报文信息 在所述第二预置报文信息表中建立新的报文信息表项。
[0131] 本发明实施例中对第二报文的第二报文信息的处理过程与上述对第一报文的第 一报文信息的处理过程类似，此处不再赘述。
[0132] 步骤147、统计一个报文信息表项在预设时间内的命中次数；
[0133] 本发明实施例中，可以定时统计上述第一预置报文信息表或第二预置报文信息表 中一个表项的命中次数。比如，统计一个预设报文信息表项在10分钟内的命中次数，与预设 阈值作比较，比如10次;若所述预设报文信息表项的命中次数小于预设阈值，执行步骤148; 否则，执行步骤149。
[0134] 步骤148、当所述命中次数少于预设阈值时，删除所述报文信息表项；
[0135] 步骤149、当所述命中次数不少于所述预设阈值时，根据所述报文信息表项更新所 述预设的报文通过规则或报文拒绝规则。
[0136] 如果第一预置报文信息表中的一个表项在10分钟内命中次数超过了 10次，则可以 根据该表项生成一条报文通过规则，将该报文通过规则下发给网络监管设备的交换芯片或 网络接口入口处。示例性地，如果上述各表中的第一表项在10分钟内命中次数超过了 10次， 则生成的一条报文通过规则可以表示为：
[0137]
[0138] 表六
[0139] 将上述新生成的报文通过规则下发到网络监管设备的数据报文在网络入口处或 交换芯片处，更新报文通过规则。更新后的报文通过规则如表七所示：
[0140]
[0141] 表七
[0142] 后续进入网络监管设备的数据报文在网络入口处或交换芯片处根据表六所示的 报文通过规则进行检测时，若能匹配到，则不用再进入网络处理器或CPU采用令牌桶机制进 行深层次检测。
[0143] 如此，通过上述步骤149,可以不断刷新设置于网络入口处或交换芯片处的报文通 过规则和报文拒绝规则。随着报文通过规则和报文拒绝规则的不断增加，网络监管设备可 以释放出更多的网络处理器或CPU来处理其他数据报文的深层次检测，提高了超流量情况 下的流量处理效率，提高的网络设备的性能。采用本发明提供的监管数据流传输的方法，无 需增加的防火墙或流量监测监管防御设备的性能，因而，相对于现有技术，降低了网络建设 成本。
[0144] 对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但 是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某 些步骤可以采用其他顺序或者同时进行。
[0145] 其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例， 所涉及的动作和模块并不一定是本发明所必须的。
[0146] 与本发明提供的一种监管数据流传输的方法实施例相对应，本发明还提供了一种 监管数据流传输装置及校正图像的设备的实施例。
[0147] 本发明提供的监管数据流传输装置的实施例可以应用在各种计算设备上，装置实 施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作 为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机 程序指令读取到内存中运行形成的。从硬件层面而言，如图5所示，为本发明提供的监管数 据流传输的装置401所在设备的一种硬件结构图，除了图5所示的通过内部总线200相互连 接的处理器100、内存400、网络接口 300、以及非易失性存储器500之外，实施例中装置所在 的设备通常根据该设备的实际功能，还可以包括其他硬件，图5中不再一一示出。其中，所述 处理器被配置为：
[0148] 当数据流量超过监管设备的流量阈值时，判断每个报文的报文信息是否匹配预设 的报文通过规则或报文拒绝规则；
[0149] 若所述报文的报文信息匹配所述报文通过规则，转发所述报文；
[0150] 若所述报文的报文信息匹配所述报文拒绝规则，丢弃所述报文；
[0151]若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则， 按照预置判断规则深度处理所述报文。
[0152] 对应上述监管数据传输方法实施例，本发明还提供了一种监管数据流传输的装 置。参照图6根据一示例性实施例示出的一种监管数据流传输的装置框图，所述装置可以包 括：
[0153] 初级检测模块21，用于在数据流量超过监管设备的流量阈值的情况下，判断每个 报文的报文信息是否匹配预设的报文通过规则或报文拒绝规则；其中，上述报文信息可以 包括:五元组信息和报文长度信息。
[0154] 报文转发模块22,用于在所述报文的报文信息匹配所述报文通过规则的情况下， 转发所述报文；
[0155] 报文丢弃模块23,用于在所述报文的报文信息匹配所述报文拒绝规则的情况下， 丢弃所述报文；
[0156]深度处理模块24,用于在所述报文的报文信息既不匹配所述报文通过规则又不匹 配所述报文拒绝规则的情况下，按照预置判断规则深度处理所述报文。
[0157]参照图7根据一示例性实施例示出的另一种监管数据流传输的装置框图，在图6所 示实施例的基础上，所述深度处理模块24可以包括：
[0158]判断单元241，用于采用令牌桶机制处理所述报文，判断所述报文是否能分配到令 牌；
[0159]直接处理单元242,用于在所述报文分配不到令牌的情况下，直接转发所述报文； [0160]检测单元243,用于在所述报文分配到令牌的情况下，按照预置检测规则继续检测 所述报文；
[0161] 报文转发单元244,用于在所述报文符合所述预置检测规则的情况下，确定为第一 报文，转发所述第一报文；
[0162] 报文丢弃单元245,用于在所述报文不符合所述预置检测规则的情况下，确定为第 二报文，丢弃所述第二报文。
[0163] 参照图8根据一示例性实施例示出的另一种监管数据流传输的装置框图，在图7所 示实施例的基础上，所述装置还可以包括：
[0164] 信息提取模块25,用于在转发所述第一报文和/或丢弃所述第二报文时，提取报文 信息，并根据所述报文信息获取预置报文信息表；
[0165] 统计模块26,用于统计所述预置报文信息表中的一个报文信息表项在预设时间内 的命中次数；
[0166] 信息删除模块27,用于在所述命中次数少于预设阈值的情况下，删除所述报文信 息表项；
[0167] 更新模块28,用于在所述命中次数不少于所述预设阈值的情况下，根据所述报文 信息表项更新所述预设的报文通过规则或报文拒绝规则。
[0168] 参照图9根据一示例性实施例示出的另一种监管数据流传输的装置框图，在图8所 示实施例的基础上，所述信息提取模块25可以包括：
[0169] 信息提取单元251，用于提取当前处理报文的报文信息，所述当前处理报文为所述 第一报文或所述第二报文，所述报文信息包括:五元组信息、报文长度信息；
[0170] 匹配单元252,用于根据所述报文信息按照预置规则匹配预置报文信息表，所述预 置规则为:所述报文的五元组信息符合预设报文信息表项的五元组信息，并且，所述报文的 报文长度在所述预设报文信息表项的预设报文长度范围内；
[0171]第一处理单元253,用于在所述报文信息符合所述预置规则的情况下，增加所述预 设报文信息表项的命中次数；
[0172]第二处理单元254,用于在所述报文信息不符合所述预置规则的情况下，根据所述 报文信息在所述预置报文信息表中建立新的报文信息表项。
[0173] 对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实 施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中上述作为分离部件 说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以 不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的 需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可以理解并实施。
[0174] 本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与 其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置实施例 而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部 分说明即可。
[0175]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【主权项】
1. 一种监管数据流传输的方法，其特征在于，所述方法包括： 当数据流量超过监管设备的流量阈值时，判断每个报文的报文信息是否匹配预设的报 文通过规则或报文拒绝规则； 若所述报文的报文信息匹配所述报文通过规则，转发所述报文； 若所述报文的报文信息匹配所述报文拒绝规则，丢弃所述报文； 若所述报文的报文信息既不匹配所述报文通过规则又不匹配所述报文拒绝规则，按照 预置判断规则深度处理所述报文。2. 根据权利要求1所述的方法，其特征在于，所述报文信息包括:五元组信息和报文长 度信息。3. 根据权利要求1所述的方法，其特征在于，所述按照预置判断规则处理所述报文，包 括： 采用令牌桶机制处理所述报文，判断所述报文是否能分配到令牌； 若所述报文分配不到令牌，直接转发所述报文； 若所述报文分配到令牌，按照预置检测规则继续检测所述报文； 如果所述报文符合所述预置检测规则，确定为第一报文，转发所述第一报文； 如果所述报文不符合所述预置检测规则，确定为第二报文，丢弃所述第二报文。4. 根据权利要求3所述的方法，其特征在于，所述方法还包括： 在转发所述第一报文和/或丢弃所述第二报文时，提取报文信息，并根据所述报文信息 获取预置报文信息表； 统计所述预置报文信息表中的一个报文信息表项在预设时间内的命中次数； 当所述命中次数少于预设阈值时，删除所述报文信息表项； 当所述命中次数不少于所述预设阈值时，根据所述报文信息表项更新所述预设的报文 通过规则或报文拒绝规则。5. 根据权利要求4所述的方法，其特征在于，所述在转发所述第一报文和/或丢弃所述 第二报文时，提取报文信息，并根据所述报文信息获取预置报文信息表，包括： 提取当前处理报文的报文信息，所述当前处理报文为所述第一报文或所述第二报文， 所述报文信息包括:五元组信息、报文长度信息； 根据所述报文信息按照预置规则匹配预置报文信息表，所述预置规则为:所述报文的 五元组信息符合预设报文信息表项的五元组信息，并且，所述报文的报文长度在所述预设 报文信息表项的预设报文长度范围内； 若所述报文信息符合所述预置规则，增加所述预设报文信息表项的命中次数； 若所述报文信息不符合所述预置规则，根据所述报文信息在所述预置报文信息表中建 立新的报文信息表项。6. -种监管数据流传输的装置，其特征在于，所述装置包括： 初级检测模块，用于在数据流量超过监管设备的流量阈值的情况下，判断每个报文的 报文信息是否匹配预设的报文通过规则或报文拒绝规则； 报文转发模块，用于在所述报文的报文信息匹配所述报文通过规则的情况下，转发所 述报文； 报文丢弃模块，用于在所述报文的报文信息匹配所述报文拒绝规则的情况下，丢弃所 述报文； 深度处理模块，用于在所述报文的报文信息既不匹配所述报文通过规则又不匹配所述 报文拒绝规则的情况下，按照预置判断规则深度处理所述报文。7. 根据权利要求6所述的装置，其特征在于，所述报文信息包括:五元组信息和报文长 度信息。8. 根据权利要求6所述的装置，其特征在于，所述深度处理模块包括： 判断单元，用于采用令牌桶机制处理所述报文，判断所述报文是否能分配到令牌； 直接处理单元，用于在所述报文分配不到令牌的情况下，直接转发所述报文； 检测单元，用于在所述报文分配到令牌的情况下，按照预置检测规则继续检测所述报 文； 报文转发单元，用于在所述报文符合所述预置检测规则的情况下，确定为第一报文，转 发所述第一报文； 报文丢弃单元，用于在所述报文不符合所述预置检测规则的情况下，确定为第二报文， 丢弃所述第二报文。9. 根据权利要求8所述的装置，其特征在于，所述装置还包括： 信息提取模块，用于在转发所述第一报文和/或丢弃所述第二报文时，提取报文信息， 并根据所述报文信息获取预置报文信息表； 统计模块，用于统计所述预置报文信息表中的一个报文信息表项在预设时间内的命中 次数； 信息删除模块，用于在所述命中次数少于预设阈值的情况下，删除所述报文信息表项； 更新模块，用于在所述命中次数不少于所述预设阈值的情况下，根据所述报文信息表 项更新所述预设的报文通过规则或报文拒绝规则。10. 根据权利要求9所述的装置，其特征在于，所述信息提取模块包括： 信息提取单元，用于提取当前处理报文的报文信息，所述当前处理报文为所述第一报 文或所述第二报文，所述报文信息包括:五元组信息、报文长度信息； 匹配单元，用于根据所述报文信息按照预置规则匹配预置报文信息表，所述预置规则 为:所述报文的五元组信息符合预设报文信息表项的五元组信息，并且，所述报文的报文长 度在所述预设报文信息表项的预设报文长度范围内； 第一处理单元，用于在所述报文信息符合所述预置规则的情况下，增加所述预设报文 信息表项的命中次数； 第二处理单元，用于在所述报文信息不符合所述预置规则的情况下，根据所述报文信 息在所述预置报文信息表中建立新的报文信息表项。
【文档编号】H04L12/24GK105897609SQ201610201969
【公开日】2016年8月24日
【申请日】2016年4月1日
【发明人】周迪, 王军
【申请人】浙江宇视科技有限公司