专利名称:宽带网络综合性能管理平台的制作方法
技术领域:
本发明涉及计算机互联网的信息安全技术领域,尤其涉及一种基于数学建模理论的应用于宽带网络流量管理设备的宽带网络综合性能管理平台。
背景技术:
随着互联网和计算机的飞速发展,越来越多的互联网数据业务为人们的工作、生活和娱乐带来了便利。由于网络本身具有传播光广、更新快的特点,这就给与互联网相关的产品提出了很高更新要求。目前在防火墙、入侵检测、宽带流量管理等产品中,都要求能够对通信网络中运行的应用业务进行准确识别,从而能够对这些业务进行合理化的管理控制。业务识别作为管理控制的基础和前提,已经成为此类互联网产品的生命线,是信息安全中最基础、最关键、最核心的技术之一,具有特别重要的意义。
目前使用最广泛的业务识别方法可以分成如下几类1、基于TCP/IP协议的识别——利用IP协议栈中的协议字段,识别简单的网络协议,比如ICMP、ARP、IP等;2、基于端口的协议识别——在TCP和UDP协议中,采用了端口作为某种协议的标识符,比如SMTP、POP3协议等;3、基于特征码信息的协议识别——在报文净荷中某些协议使用了特征码,作为该应用业务的标识符,比如BitTorrent使用了“PSProtocol”作为标识符。
目前以上三种识别方法在网络安全产品中得到了普遍综合使用,成为当前使用最广泛的业务识别技术。但是这三种技术都存在一个致命缺陷,就是它们都只能识别已知的网络应用业务,无法识别未知的新业务。而在互联网技术飞速发展的今天,几乎每时每刻都会有新的业务被创造出来,特别是当前方兴未艾的“点对点传输”(即P2P技术)的出现,促使大量基于P2P技术的应用业务的诞生。同时,基于HTTP业务的承载应用也越来越多,几乎所有的Web Service业务、XML技术、中间件都使用了HTTP作为其承载协议。而网络攻击行为更是花样百出,黑客横行网络世界,对正常的通信业务造成了巨大的威胁。
以上三种盛行的网络行为——P2P技术、WEB应用、网络攻击,都有一个共同的特征,就是新应用业务出现的频率极高,更新很快。这种情况下,如果单纯依靠传统的业务识别办法,一方面安全设备厂商需要投入难以估计的人力物力,对新出现的业务进行跟踪分析,时刻更新,即便如此也无法跟上新业务出现的速度;另一方面,将会造成网络安全设备的业务特征库极度膨胀,性能劣化,最终不堪重负,无法处理海量的网络信息。
因此,必须寻求一种新的技术,用于解决繁多的新业务的识别问题。本发明就是为了满足这样一种需求,即采用一套统一的技术手段,根据不同的业务大类,创建不同的数学模型,采用模型匹配的办法,来解决新业务识别问题。
发明内容
为了解决现有技术存在的问题,本发明提供了一种基于数学建模理论的应用于宽带网络流量管理设备的宽带网络综合性能管理平台,可轻松实现新应用业务的识别。
本发明所述的宽带网络综合性能管理平台,是将互联网数据业务进行分类,具有相同业务特征的互联网数据业务划分为一类,提取每一类数据业务的特征样本空间并制定每一种特征样本空间的权重比例,这些数据形成业务特征数据库,并建立所述业务特征数据库的业务识别数学模型;进行业务识别时,将未知类型的互联网数据业务通过所述数学模型与所述业务特征数据库中的数据业务类别进行比对,得到所述未知类型的互联网数据业务所属的类别。
所述数据模型为P=Σi=1Nwipi]]>其中pi为某一种数据业务的特征样本空间,wi为所述特征样本空间的权重比例,P为属于所述数据业务的概率,N是自然数。
将未知类型的互联网数据业务分别通过所述数学模型与所述业务特征数据库中的不同数据业务类别进行比对,得到不同的概率P,其中概率最大的就是所述未知类型的互联网数据业务所述的类别。
所述特征样本空间包括并发连接数、业务响应时间、通信连接成功失败状态以及用户交互情况。
与现有技术相比,本发明的有益效果是本发明基于数学建模理论,解决了当前网络应用业务飞速发展更新频繁情况下识别新业务难的问题,无需添加额外的硬件,也无需升级设备软件就可以实现新业务的识别;其数学模型参数简单,实施方便,不需要庞大的业务识别特征库,降低了对信息安全产品硬件处理能力的要求,节约了大量不必要的硬件和软件方便开支。
图1是目前信息安全产品对新业务进行识别的通用处理模型;图2是目前业务识别采用的处理流程;图3是宽带网络综合性能管理平台进行业务识别时的处理流程。
具体实施例方式
现结合附图及实施例对本发明作进一步详细说明。信息安全产品首先必须识别出网络报文的业务类型,才能对报文采取相应的控制措施。因此,高效、准确的业务识别就成了整个安全控制体系的关键。而业务识别耗费的CPU、内存等硬件处理资源,一般情况会占据至少50%以上。因此提高设备的处理能力,简化算法的复杂度,关键就在于业务识别引擎的优化上。
图1是目前信息安全产品对新业务进行识别的通用处理模型。参考图1,在传统信息安全产品中,每出现一种新的业务,需要对这种业务加以判断,进行协议分析,制定对应的业务特征库。通常首先将未知类型业务的报文数据放入入端口报文缓冲队列101,然后进行报文业务类型识别102。对于此未知类型业务进行特征数据采集,与系统数据库中的数据进行比对,如果没有发现匹配的类型,则判定该未知类型的业务为新业务,将采集的业务特征数据保存在业务类型特征数据库103中,并制定相应的网络安全管理策略,然后才可以将此业务的报文放入出端口报文缓冲队列。显然,这种方法灵活性很差,针对每一种业务都需要进行如上的步骤,哪怕未知类型的业务只是对目前已知的一种业务的简单更新(比如BitTorrent业务的特征码由“PSProtocol”变成了“BitTorrentProtocol”),这种传统的识别方法也不能够识别出来,还需要为这种简单的变化重新建立数据档案,增加其数据信息,更新原有的数据库。
图2目前业务识别采用的处理流程。参考图2,在这种传统的识别模式下,每当有报文进入安全设备之后,就需要逐一与业务特征数据库中的数据进行匹配比对。其中,1、2、3……N-1、N表示系统中的特征数据库。如果业务特征数据库中已经有N种业务的数据,按照数据结构查找算法,其比较查找次数平均为N/2次。而当前互联网业务的数量,已经发展到了数万种之多,假定N=50000,那么对于未知的数据业务需要进行25000次的查找,这个工作量无疑是非常大的,这对系统硬件和软件的处理能力、负荷能力提出了非常高的要求。
图3是宽带网络综合性能管理平台进行业务识别时的处理流程。参考图3,采用本发明的方法,会首将互联网数据业务进行分类,具有相同业务特征的互联网数据业务划分为一类。根据工程实施中的经验,目前网络业务按照大类来分一般不超过15种,包括P2P类业务、WEB业务、病毒、攻击、木马类、办公应用类等。提取每一类数据业务的特征样本空间并制定每一种特征样本空间的权重比例,这些数据形成业务特征数据库,并建立所述业务特征数据库的业务识别数学模型。这样一共建立M1~Mm共m种数学模型即可。进行业务识别时,将未知类型的互联网数据业务通过所述数学模型M1~Mm与所述业务特征数据库中的数据业务类别进行比对,得到所述未知类型的互联网数据业务所属的类别。
具体的说,对于一种互联网业务类型,提取其特征样本空间p,比如并发连接数、业务响应时间、通信连接成功失败状态、用户交互情况等。然后制定每一种样本空间的权重比例w。根据如下业务识别数学模型p=Σi=1Nwipi]]>计算本次通信属于哪一种业务类型的概率P。
比较属于各种业务类型概率Pi,根据如下公式计算出概率最大者PP=MAX(Pi)则P所对应的业务类型就是此次通信报文所属的业务类型。
下面就以P2P业务为例,阐述本发明所述的基于数学建模进行业务识别的方法设P2P业务的样本空间如下
并发连接数为p1,占权重为w1;连接成功率为p2,占权重为w2;单位时间内新建连接数为p3,占权重为w3;连接主机数目为p4,占权重为w4;连接数据量为p5,占权重为w5。
则P2P业务识别模型构建为Pp2p=Σi=15wipi]]>当一种新的P2P业务出现时,报文与上述P2P模型进行匹配之后,就能够直接识别出其业务类型为P2P,继而宽带流量管理设备,或者防火墙,就能够启用P2P的控制策略(如带宽限制),对该新的业务进行管理控制。
以上所述实施方式仅为本发明的优选实施例,本发明不限于上述实施例,对于本领域一般技术人员而言,在不背离本发明的使用材料、工艺选择和安装原理的前提下对它所做的任何显而易见的改动,都属于本发明的构思和所附权利要求的保护范围。
权利要求
1.一种宽带网络综合性能管理平台,其特征在于将互联网数据业务进行分类,具有相同业务特征的互联网数据业务划分为一类,提取每一类数据业务的特征样本空间并制定每一种特征样本空间的权重比例,这些数据形成业务特征数据库,并建立所述业务特征数据库的业务识别数学模型;进行业务识别时,将未知类型的互联网数据业务通过所述数学模型与所述业务特征数据库中的数据业务类别进行比对,得到所述未知类型的互联网数据业务所属的类别。
2.根据权利要求1所述的宽带网络综合性能管理平台,其特征在于所述数据模型为P=Σi=1Nwipi]]>其中pi为某一种数据业务的特征样本空间,wi为所述特征样本空间的权重比例,P为属于所述数据业务的概率,N是自然数。
3.根据权利要求1所述的宽带网络综合性能管理平台,其特征在于将未知类型的互联网数据业务分别通过所述数学模型与所述业务特征数据库中的不同数据业务类别进行比对,得到不同的概率P,其中概率最大的就是所述未知类型的互联网数据业务所述的类别。
4.根据权利要求1或2所述的宽带网络综合性能管理平台,其特征在于所述特征样本空间包括并发连接数、业务响应时间、通信连接成功失败状态以及用户交互情况。
全文摘要
本发明公开了一种宽带网络综合性能管理平台,是将互联网数据业务进行分类,提取每一类数据业务的特征样本空间并制定每一种特征样本空间的权重比例,这些数据形成业务特征数据库,并建立所述业务特征数据库的业务识别数学模型;进行业务识别时,将未知类型的互联网数据业务通过数学模型与业务特征数据库中的数据业务类别进行比对,得到未知类型的互联网数据业务所属的类别。本发明基于数学建模理论,解决了当前网络应用业务飞速发展更新频繁情况下识别新业务难的问题,数学模型参数简单,实施方便,不需要庞大的业务识别特征库,降低了对信息安全产品硬件处理能力的要求。
文档编号G06F17/30GK101026502SQ20071006525
公开日2007年8月29日 申请日期2007年4月9日 优先权日2007年4月9日
发明者付天福 申请人:北京天勤信通科技有限公司