專利名稱:基于分流定向的旁路式流量檢測模型的制作方法
技術領域:
本發明涉及一種網絡監控領域,具體地說是一種網絡流量檢測,特別是深度檢測與內容識別技術的基于分流定向的旁路式流量檢測模型,。
背景技術:
網絡流量檢測是互聯網安全監控和網絡流量控制的基礎,多年來業界提出了各 種算法和解決方案,這些技術主要是針對網絡流量本身的,通過識別流量本身的外部特征 和組成特點來判斷其類型,而對于網絡流量檢測系統的工作流程和架構技術研究的相對較 少。目前流行的各種防火器墻、入侵檢測系統、安全網關等設備,主要工作方式是通過對網 絡流量的直接檢測分析,進而做出吸納供應的處理。這種工作方式對于高速、海量的網絡流 量,不僅普遍存在結構性性能瓶頸,而且升級困難,升級代價昂貴。為解決這一問題,本發明 提出了一種基于流量分類預處理(分流定向)的并行檢測模型,基于此模型的檢測系統,不 僅可較容易地實現高性能,而且能夠十分方便地實現較理想的線性擴展升級。
發明內容
本發明的目的是提供一種基于分流定向的旁路式流量檢測模型。本發明的目的是按以下方式實現的,包括分流器、流定向分配器、流檢測器、異常 告警器和異常匯集器,通過對流量分類預處理、分流定向,實現多檢測器并行檢測,發現異 常則發出告警信息,并將異常流量或數據集中處理,處理步驟如下1)分流器負責從被檢流量中拷貝出完全相同的待檢流量;2)流定向分配器根據各種流量成分的外部特征,將流量分成一系列類型,包括音 頻流、視頻流、普通數據流、特殊流或控制流、協議、信令、內容流、輔助流,分類的規則和標 準根據實際需要設定,不同類型的流被分到不同類型的“管道”中;3)不同類型的流管道接到不同的流檢測器,流檢測器對發送來的分類流量進行專 項檢測,包括深度特征檢測、內容檢測,檢測的算法和標準根據需要進行配置,檢測出異常 流或分組,包括網絡攻擊、不良信息時,發出異常告警,告警的類型根據需要設定,并將異常 分組送到異常匯集器;4)異常告警器負責寄存各檢測器發來的告警信息;異常匯集器負責寄存各檢測 器發來異常流量和數據包,檢測出的告警和數據包由另外的裝置或系統集中處理。本發明的優異效果是1)專門設立的流分類定向器,據此可以對流量進行分類、分流、均衡,從而保證了 各檢測器高性能并行檢測,實現快速高效處理。2)該模型的檢測部分一流定向器和檢測器,具有樹形結構,可以很方便地在流 定向器之后進行級聯迭代(將分流出的流量作為下一級的被檢流量,對該流量繼續實施本 發明所提出的方式的檢測處理,從而實現更大規模的處理能力。3)對于各檢測器檢出的異常流量,同一匯集到異常匯集器集中處理模式。
4)基于本發明的各類軟硬件系統或產品。5)本發明的權利要求不涉及各主要部件的內部技術細節。
圖1是基于分流定向的流量檢測器結構模型。
具體實施例方式參照說明書附圖對本發明的作以下詳細地說明。本發明的基于分流定向的旁路式流量檢測模型,是針對網絡流量檢測和內容識別,設計一種用于高性能并行檢測處理系統的結構模型,該模型包括分流器、流定向分配 器、流檢測器、異常告警器和異常匯集器,通過對流量分類預處理、分流定向,實現多檢測器 并行檢測,發現異常則發出告警信息,并將異常流量或數據包集中處理。詳細工作原理如下 (參見圖1.)1)分流器負責從被檢流量中拷貝出完全相同的待檢流量;2)流定向分配器根據各種流量成分的外部特征,將流量分成一系列類型,如音頻流、視頻流、普通數據流、特殊流,或控制流(協議和信令)、內容流、輔助流,等等。分類的規 則和標準可以根據實際需要設定。不同類型的流被分到不同類型的“管道”中(同一類型 的流量可能被分到一組管道中);3)不同類型的流管道接到不同的流檢測器,流檢測器對發送來的分類流量進行專項檢測,如深度特征檢測、內容檢測等。檢測的算法和標準可以根據需要進行配置。檢測出 異常流或分組(如網絡攻擊、不良信息等)時,發出異常告警(告警的類型可根據需要設 定),并將異常分組送到異常匯集器;4)異常告警器負責寄存各檢測器發來的告警信息;異常匯集器負責寄存各檢測器發來異常流量和數據包。檢測出的告警和數據包由另外的裝置或系統處理。本發明主要創新點在于提出了一種基于分流定向的高性能并行流量檢測模型,其特征是設立專門的流分類定向器,據此對流量進行分類、分流、均衡,從而保證了各檢測器 分類并行檢測,實現快速高效處理。同時,由于該模型的檢測部分(流定向器和檢測器)具 有樹形結構,因而可以在流定向器之后進行級聯迭代處理,從而實現更大規模的并行處理。基于本發明可以構造高性能的網流量檢測系統,不僅使該系統具有分流分類并行檢測、旁路檢測的功能,而且能保證系統在擴展升級過程中具有最高性能提升效果的線性 擴展特性。更進一步,本發明設計的樹狀檢測結構,特別有利于實現對流量的級聯處理結 構,從而能夠有效解決網絡規模不斷膨脹、網絡流量日益增加的問題。本發明主要設計了基于分流定向的旁路式流量檢測模型,可廣泛應用于各種網絡流量檢測設備的體系結構。由于本發明不涉及各功能部件(如流定向分配器、流檢測器等) 內部的具體細節,所以在實際系統設計和實現時,可根據需要靈活地配置相應的算法、構造等具體技術設計。特別需要說明的是,為了保證系統級的直接級聯擴展,可在流量分類定向器之后的分流“管道”上引出分支通路,將這些通路延伸到設備外殼并做成級聯插口。對于異常告警器和異常匯集器,可根據需要進行合并(如果系統對性能要求不是特別高),也可單獨放到外部獨立部署 (如果實際情況對系統的級聯擴展要求特別高)。
權利要求
基于分流定向的旁路式流量檢測模型,其特征在于,包括分流器、流定向分配器、流檢測器、異常告警器和異常匯集器,通過對流量分類預處理、分流定向,實現多檢測器并行檢測,發現異常則發出告警信息,并將異常流量或數據集中處理,處理步驟如下1)分流器負責從被檢流量中拷貝出完全相同的待檢流量;2)流定向分配器根據各種流量成分的外部特征,將流量分成一系列類型,包括音頻流、視頻流、普通數據流、特殊流或控制流、協議、信令、內容流、輔助流,分類的規則和標準根據實際需要設定,不同類型的流被分到不同類型的“管道”中;3)不同類型的流管道接到不同的流檢測器,流檢測器對發送來的分類流量進行專項檢測,包括深度特征檢測、內容檢測,檢測的算法和標準根據需要進行配置,檢測出異常流或分組,包括網絡攻擊、不良信息時,發出異常告警,告警的類型根據需要設定,并將異常分組送到異常匯集器;4)異常告警器負責寄存各檢測器發來的告警信息;異常匯集器負責寄存各檢測器發來異常流量和數據包,檢測出的告警和數據包由另外的裝置或系統集中處理。
全文摘要
本發明提供一種基于分流定向的旁路式流量檢測模型,主要包括分流器、流定向分配器、流檢測器、異常告警器和異常匯集器。基于對流量分類分流定向處理,實現多檢測器并行檢測,發現異常則發出告警信息,并將異常流量或數據包集中處理。由于該模型的檢測部分具有樹形結構,因而可通過在流定向器之后進行級聯迭代,實現更大規模的并行處理。本發明可以廣泛應用于各種網絡流量檢測系統,有效地實現和提高對流量的并行高速檢測和理想的線性擴展升級等性能。
文檔編號H04L12/24GK101800674SQ20101011107
公開日2010年8月11日 申請日期2010年2月21日 優先權日2010年2月21日
發明者苗再良 申請人:浪潮通信信息系統有限公司