保持連接特性的高速過濾分流方法

2023-06-09 03:04:56 4

專利名稱：保持連接特性的高速過濾分流方法
技術領域：
本發明涉及的是一種寬帶網高流量數據處理方法，特別是一種適用於寬帶網數據的保持連接特性的高速過濾分流方法，用於網絡信息技術領域。
背景技術：
近兩年，我國骨幹網與城域網的建設已達到相當的規模，骨幹網的帶寬通常在2.5G以上。現階段的網絡安全產品如防火牆、入侵檢測系統、網絡安全審計等對網絡數據包的處理性能是保證系統能否對網絡中發生的安全事件做出正確有效分析與判斷的首要前提。現有安全產品對於2.5G、10G以上寬帶網絡的海量數據處理需求存在很大的局限性1、基於單計算機方式的IDS、審計系統等產品依靠CPU實現網絡數據的處理，但內存、CPU等部件存在數量和速度上的限制，不可能無限制地支持大數據量的處理需求。因此，此類安全產品無法直接用於2.5G以上的高速網絡。
2、基於七層交換技術的負載均衡設備與各類IDS、審計系統的結合是目前針對高流量網絡數據處理的理想方式。但目前的負載均衡處理機制是以連接表的形式保存TCP連接的地址信息，隨著網絡規模的擴大及複雜化，連接表將隨網絡規模的擴大呈指數增長。此外，在網絡上還存在大量無用的虛假連接，連接表數據規模的不斷膨脹還會加大在查表過程中的資源消耗，即使採用高性能的NPU也很難適應超大連接數據的處理需求。
3、連接表快速查找問題限制了數據處理能力的提高。採用軟體實現，數據檢索速度較慢；基於硬體如內容關聯存儲器(CAM)的實現方案，存儲成本過高，不可能滿足無限龐大的連接表的存儲和快速查找。
以色列Radware公司的安全應用交換機FireProof，可對多臺防火牆FireWall、VPN、IDS做流量的負載均衡。FireProof中使用了多種傳統的負載均衡算法，如輪循算法、加權最少用戶法、加權最少字節法、加權最少數據包法。為了保證能夠對屬於同一連接的雙向數據包經負載均衡算法數據結果處理一致，在FireProof中需要跟蹤並記錄每個連接雙向的數據信息，通過檢測這些信息來保證後續通信數據能得到相同的負載均衡處理。對於高數據流量的網絡，FireProof採用傳統的Hash表方法，為每個連接在Hash表中建立一條記錄，當這個連接的下一個報文到達時，從Hash表中可以得到對該連接分配的輸出地址和埠，將報文傳給原選定的防火牆。當連接終止或超時，FireProof將這個連接的信息從Hash表中刪除。該產品不足之處在於為了保證對屬於同一連接的雙向數據包處理的一致性，必須在該產品中為每條連接記錄與處理相關的信息，隨著網絡規模的不斷擴大，日益龐大的連接信息的存儲及查找問題無法滿足高速寬帶網絡的數據處理需求。
網際網路的寬帶化發展使得網絡流量迅速增長，面對核心網、骨幹網上的海量數據，僅能滿足百兆網絡、千兆網絡的數據處理能力的網絡安全產品，由於無法對高流量的數據進行有效報文採集和處理，造成數據採集缺失而出現漏報，已經成為這些安全產品在電信骨幹網絡領域應用的一個主要瓶頸。

發明內容
本發明的目的主要是針對防火牆、入侵檢測、安全審計等產品在高速骨幹網絡應用中海量數據處理機制的這些缺陷，提出一種保持連接特性的高速過濾分流方法。使其依據用戶自定義的過濾分流規則結合基於Hash處理的分流算法，將從網絡上接收到的原始數據包中對業務處理有意義的數據實時有效、並保持連接地轉發到相應的後端集群處理系統進行進一步的業務處理，有效地解決在高速骨幹網環境下，構建入侵檢測、流量統計、內容審計、網絡監測、負載均衡以及其它應用系統時，對海量數據流進行高速轉發和集群處理的需求。
本發明是通過以下技術方案實現的，首先是設置輸出埠分組規則和過濾分流規則。輸出埠分組規則的配置是首先將各輸出埠按照對應的後端應用系統的業務處理類型進行分組，然後再根據組內各埠對應的後端系統的處理能力決定每個埠在該組中數據包處理流量的分配比例。過濾分流規則的配置是根據IP位址信息或特殊欄位將不同的數據包劃分到各個分組當中。數據過濾分流的處理過程是首先通過協議分析，從網絡上接收到的原始數據包中提取出IP數據包，根據設置好的過濾分流規則從大量的原始數據中濾掉與後續處理無關的部分，將相關數據劃分到不同的輸出埠分組中。然後將劃分到每個組中的數據包的地址和埠信息進行Hash運算，Hash值再與該分組所包含的埠總數取模，得到的結果就是該數據包在所屬的分組中對應的輸出埠序號。
以下對本發明作進一步的說明，具體內容如下
1.規則設置對原始數據進行過濾分流處理之前首先要設置規則。規則分為兩部分，一部分是輸出埠分組配置規則，另一個部分是過濾分流規則。
■輸出埠分組配置規則將輸出埠進行分組處理的優點是為了配合過濾規則，將對應業務處理需求相近的輸出埠以分組的方式集中統一處理，與每個埠分開獨立處理的方式相比，分組方式的處理過程更為簡單高效。輸出埠的分組主要遵循以下幾點原則(1)輸出埠的分組首先依據後端處理系統的業務需求，按照不同的業務處理類型進行分組。但是由於一個系統可能與多個系統分別在過濾規則屬性中互相有重疊，因此同一個輸出埠可以出現在不同的分組中。
(2)在每個分組內部，考慮到各個系統處理能力存在不均衡的情況，為了保證數據處理任務能夠實現均衡分配，同一個輸出埠可以多次出現在同一個組中，即在分組內按照每個埠對應的後端系統的數據處理能力決定每個埠在該組中數據包流量的分配比例。
(3)組內各輸出埠的分配在保證負載均衡的同時，還必須保證同一條TCP連接(雙向)的所有數據包必須轉發到同一個輸出埠上，以便於後端對所接收到的數據的匯總和還原。
■過濾分流規則過濾分流規則的設置包括兩種方式一種是將數據包的IP位址和埠信息，如源IP位址、源IP掩碼、源埠、目的IP位址、目的IP掩碼、目的埠作為直接監控對象，基於這些IP位址信息將規則設置在基於地址信息的過濾分流規則表中。另一種是基於特殊欄位信息的規則設置方式，即用戶只需設置特殊欄位、該欄位的偏移量、該欄位的長度、該欄位的匹配內容以及相應的過濾分流行為。
基於數據包的IP位址和埠信息的過濾分流規則表的格式如下

基於特殊欄位信息的過濾分流規則表的格式如下

其中
規則號每個規則的唯一標識序號源/目的IP位址數據包傳輸的源端和目的端的IP位址值源/目的IP掩碼數據包傳輸的源端和目的端IP欄位的子網掩碼源/目的埠數據包傳輸的源端和目的端的埠號欄位偏移量從IP數據包內容開始計算的需要匹配的特殊欄位的偏移量欄位長度需要匹配的特殊欄位的長度匹配內容特殊欄位的匹配值，這些特殊欄位可以包括如URL地址、Email信件中的收信人和發信人地址欄位。
過濾分流行為「0」表示將該數據包丟棄；「1」表示將該數據包轉發到組1；「2」表示將該數據包轉發到組2；……「N」表示將該數據報轉發到組N；「-1」表示該條規則無效，適用於某條規則不便於立即刪除但當前又不可以使用的情況。如果過濾分流規則表中除過濾分流行為欄位外的所有欄位都為0，則表示該條規則適用於所有數據包。
過濾分流規則的設定將作為此後的過濾分流處理的依據。當從網絡上接收到的數據包和一條基於數據包的IP位址和埠信息的過濾分流規則匹配時，數據包將根據該規則設定的過濾分流行為轉發到相應的分組；如果從網絡上接收到的數據包中包含與預先設置的特殊欄位值相同的數據時，將提取出該數據包的IP位址信息，連同預先設置的相應的過濾分流行為，形成一條基於IP位址和埠信息的動態過濾分流規則，寫入基於數據包的IP位址和埠信息的過濾分流規則表中。該數據包以及該數據包所屬的TCP/UDP連接的所有後續包都將根據此規則設定的過濾分流行為轉發到相應的分組。基於特徵欄位匹配形成的過濾分流規則具有時效特性，當這條連接結束後，基於數據包的IP位址和埠信息的過濾分流規則表中對應的這條規則也將被刪除，對於新接收到的數據包，同樣要按照上述特殊欄位匹配的過程重新生成新的基於IP位址和埠信息的動態過濾分流規則。
2.數據過濾分流處理規則設置好後，就可以開始對網絡上的原始數據包進行過濾分流處理。這一數據處理過程包括以下幾個環節(1)初始化將過濾分流規則導入內存，如果採用CAM技術實現，則將規則設置到CAM系統中。系統會根據用戶在「基於數據包的IP位址和埠信息的過濾分流規則表」和「基於特殊欄位信息的過濾分流規則表」中設定的內容，生成基於數據包的IP位址和埠信息的過濾分流規則表和基於特殊欄位信息的過濾分流規則表兩張表。其中，基於數據包的IP位址和埠信息的過濾分流規則表包含靜態設置的規則和動態設定的規則兩部分，靜態設置的規則是用戶設定的內容，動態設定的規則是系統在進行基於特殊欄位信息的過濾分流規則匹配時動態生成的規則內容，詳見下文關於過濾處理的過程。由於動態設定的規則具有時效性，因此導入到內存的基於數據包的IP位址和埠信息的過濾分流規則表增加「動態/靜態」和「超時計數」兩個欄位，格式為

(2)截取原始數據包截取網絡上的數據包，進行協議分析，根據網絡協議數據包格式提取出IP數據包。
(3)過濾處理首先，系統將獲取的IP數據包按照預先設置的基於數據包的IP位址和埠信息的過濾分流規則表進行匹配，如果匹配成功，則按照規則表中設置的「過濾分流行為」，將數據包劃分到不同的輸出埠分組中。如果匹配到的規則屬於動態設定規則，並且數據包屬於連接結束包，則清除該條動態設定規則，否則，將該條規則的超時計數清0。對於超過計數值仍未處理完成的情況，該條動態設定的規則也將被刪除。
此後，對於沒能與基於數據包的IP位址和埠信息的過濾分流規則表中規則匹配成功的數據包，再與基於特殊欄位信息的過濾分流規則表中設置的規則進行匹配，如果匹配成功，根據該條特殊欄位信息的過濾分流規則中設定的過濾分流行為將數據包劃分到不同的輸出埠分組中，並根據該數據包的源IP、目的IP位址和此規則的過濾分流行為生成一條基於數據包的IP位址和埠信息的動態過濾分流規則加入到基於數據包的IP位址和埠信息的過濾分流規則表中，通過與這條新形成的動態規則進行匹配，將會提取出該數據包所屬連接的後續數據包。如果數據包未能與基於特殊欄位信息的過濾分流規則相匹配，則丟棄該數據包。
由於動態生成的基於數據包的IP位址和埠信息的過濾分流規則是針對匹配到特殊欄位內容的連接，因此不會產生巨大的動態規則數量，也不會受到類似SYNFlooding(同步泛濫)攻擊的超大連接數影響，通常的CAM技術能夠滿足需求。
(4)分流處理分流算法是將劃分到每個分組中的每個數據包的源IP位址和目的IP位址進行高低位按位異或運算，如果是TCP/UDP數據包，則再將TCP/UDP埠號與運算結果再次進行異或，最終得到一個運算結果HASH值。再將此運算結果HASH值與該分組中所包含的輸出埠總數取模，得到的結果就是該數據包在所屬分組中對應的輸出埠序號。
採用這種分流算法的原理是以IP位址可以從網絡上的所有數據包中確定出屬於某一個源主機和目的主機之間進行數據交換的數據包，而異或運算的特點是運算結果與輸入數據的順序無關，因此可以保證同一個連接上的雙向數據包的IP位址和埠號運算得到的值相同，同時按位異或運算具有一定的離散特性，基本能夠保證不同的連接經異或處理後得到不同的結果值，因此再通過與分組中的輸出埠總數取模後，就可以保證既能夠將不同的數據包均衡地分配到不同的輸出埠上，又可以將屬於同一連接的數據包從相同的埠輸出，從而實現不依賴連接表又能夠保持連接情況下的負載均衡的分流處理。
本發明具有實質性特點和顯著進步(1)利用過濾分流規則對原始數據包進行粗粒度過濾的預處理方法，可以大大減少後端的數據處理負擔；此外，還能對數據包內容進行匹配，能夠對匹配特殊內容的數據包所屬連接的後續數據包進行分流處理。(2)既能根據數據包類型進行分流，又能對同一類型數據包根據流量比例進行分流。(3)利用Hash算法取模實現的分流處理，不需要依賴連接表同樣可以保持連接，解決了傳統的負載均衡算法存在的連接表太大難於維護和存儲的不足，並且只需要根據取模後的結果即可以直接確定輸出埠，避免了傳統算法需要對連接表中的數據進行逐條檢索造成的查找效率低等問題，保證了更高的檢索效率，從而能夠滿足高速骨幹網上海量數據流無上限並發處理的需求。(3)本方法適合採用現場可編程門陣列(FPGA)和內容可尋址存儲器(CAM)晶片等專用硬體技術實現，能夠達到較高的性價比，保證在高速骨幹網絡的線速處理需求。如果限定一組內輸出埠數量為2的冪次方，則可採用按位「與」的方式實現，更適合硬體實現，進一步提高效率降低成本。


圖1本發明實施的系統示意圖
具體實施例方式
如圖1所示，在核心骨幹網絡環境中，接入多臺入侵檢測設備、審計設備和網絡監測設備對網絡系統的運營狀況進行安全監控。這些安全設備需要從核心骨幹網裡的海量數據中提取出自身處理所需的信息作為後端分析與判別的依據。採用本發明中提出的技術方案，可以滿足大容量數據轉發處理器無法滿足數據的分類轉發處理的需求。下面闡述本發明技術方案的具體實施例。
(1)設置輸出埠分組配置規則假設高速網過濾分流接入平臺具有8個輸出埠，埠標識號分別為0、1、2、3、4、5、6、7，這些埠分別對應後端的各個安全監測設備。根據每個安全監測設備的業務類型處理需求和各自的數據處理能力，將各個埠劃分成四個分組

劃分到同一個分組中的埠說明它們將處理相同類型的數據包，其中埠2在分組1中出現兩次，說明埠2對應的後端處理設備將接收並處理該輸出埠中二四分之一的數據量；埠4被劃分到2和4兩個分組當中，說明埠4將負責轉發來自這兩個分組的數據。
(2)設置過濾分流規則過濾分流規則的設置是為了實現粗粒度的數據過濾分流，將對後端處理無用的數據濾除掉，將後端每個處理設備所需的數據劃分到指定的埠分組中。過濾分流規則設置的示例如下所示基於數據包的IP位址和埠信息的過濾分流規則表

基於特殊欄位信息的過濾分流規則表

(3)對從核心骨幹網絡上截取到的數據包進行協議分析，將IP數據包提取出來。假定截獲到以下兩個數據包數據包a由源地址61.125.3.8，源IP掩碼255.255.255.0，源埠90，發向目的地址10.10.25.30，目的IP掩碼255.255.255.0，目的埠為1290。
數據包b是基於SMTP協議發送郵件時截取到的數據包，源地址為10.10.19.131，源IP掩碼255.255.255.0，源埠為1664，目的地址為216.136.173.18，目的IP掩碼255.255.255.0，目的埠為25，發信人的郵件地址為[email protected]。
(4)將每個IP數據包分別與過濾分流規則表中的各個規則進行匹配，如果匹配到過濾分流行為是0的規則，將該數據包丟棄，對其餘保留下來的數據包用分組號進行標記，標明各個數據包的分組結果。如果某一個數據包不能與任何一條規則匹配，則將該數據包丟棄。
從上述定義的規則可以得出，劃分到組1的數據是目的埠號為21的數據包、源埠號為80的數據包；劃分到組2的數據是從IP位址為61.125.2.1、IP掩碼為255.255.255.255發出的數據包和從IP位址為61.125.34.3、IP掩碼為255.255.255.255發出的數據包；劃分到組3的數據是發向IP位址為61.125.2.1，IP掩碼為255.255.255.255的數據包，以及在數據包IP包頭後的第0X42位元組開始的15個字節中包含[email protected]內容的所屬連接的所有數據包；劃分到組4的數據是從IP位址為261.125.3.8、IP掩碼為255.255.255.0、埠號為90發出的數據包。此外，如果規則匹配完成後，用分組號來標識每個數據包。
根據(3)中假定的情況對數據包a的處理過程將數據包a的IP位址信息與基於數據包的IP位址和埠信息的過濾分流規則表中設置的規則逐一進行匹配，匹配結果發現該數據包的IP位址信息滿足規則6，因此數據包a按照規則6中設置的過濾分流行為被劃分到分組4處理。
根據(3)中假定的情況對數據包b的處理過程將數據包b中的地址信息與基於數據包的IP位址和埠信息的過濾分流規則表中設置的規則逐一進行匹配，匹配結果發現沒有與任何一條規則匹配成功，再將該數據包中欄位偏移量為0X42位元組之後的15個字節的值「[email protected]」提取出來與基於特殊欄位信息的過濾分流規則表中的規則進行逐一匹配，匹配結果滿足規則301。按照規則301中設置的過濾分流行為，將數據包b劃分到分組3，並提取出該數據包中的IP位址信息，連同規則301中設置的過濾分流行為，生成一條新的動態過濾分流規則加入到基於數據包的IP位址和埠信息的過濾分流規則表中，即

(5)對劃分到每個分組的數據，按照本發明中提出的分流算法進行分流處理。數據包a的源IP位址61.125.3.8和目的IP位址10.10.25.30高低位按位異或，得到的結果值再與源埠號90和目的埠號1290的異或結果進行按位異或，最終得到的結果與分組4中的埠總數取模，即{(0X3D7D_0X0A0A)_(0X0308_0X191E)_(0X005A_0X050A)}mod2＝{0X3777_0X1A16_0X0550}mod 2＝1運算結果為1，表明該數據包a應從分組4中的第2個埠輸出，即埠4輸出。
數據包b的源IP位址10.10.19.131和目的IP位址216.136.173.18高低字節按位異或，得到的結果值再與源埠號1664和目的埠號25的異或結果進行按位異或，最終得到的結果與分組3中的埠總數取模，即{(0X0A0A_0XD888)_(0X1383_0XAD12)_(0X0680_0X0019)}mod5＝{0XD282_0XBE91_0X0699}＝4運算結果為4，表明該數據包b應從分組3中的第5個埠輸出，即埠7輸出。
(6)假定收到數據包a、b所屬連接的後續包，由於所屬同一連接數據包的IP位址和埠相同，因此經上述運算過程得到的結果也相同，所以保證了相同連接的所有後續包仍然從相同的埠輸出。
(7)收到數據包b所屬連接的結束包，則清除動態設置的規則7。
本發明提出的不依賴連接表的高速過濾分流方法如果採用CAM技術實現，對於12路2.5G POS接入，具備30G的數據接入能力，滿足高速骨幹網絡的線速數據接入需求。
權利要求
1.一種保持連接特性的高速過濾分流方法，其特徵在於，首先設置輸出埠分組規則和過濾分流規則，輸出埠分組規則的配置是首先將各輸出埠按照對應的後端應用系統的業務處理類型進行分組，然後再根據組內各埠對應的後端系統的處理能力決定每個埠在該組中數據包處理流量的分配比例，過濾分流規則的配置是根據IP位址信息或特殊欄位將數據包劃分到各個分組當中；再進行數據過濾分流處理，先通過協議分析，從網絡上接收到的原始數據包中提取出IP數據包，根據設置好的過濾分流規則將與後續處理相關數據劃分到各個輸出埠分組中；然後將劃分到每個組中的數據包的地址和埠信息進行Hash運算，Hash值再與該分組所包含的埠總數取模，得到的結果就是該數據包在所屬的分組中對應的輸出埠序號。
2.根據權利要求1所述的保持連接特性的高速過濾分流方法，其特徵是，所述的輸出埠分組的配置遵循以下原則(1)輸出埠的分組首先依據後端處理系統的業務需求，按照業務處理類型進行分組，當一個系統與多個系統分別在過濾規則屬性中互相有重疊時，同一個輸出埠會出現在兩個以上的分組中；(2)在每個分組內部，為了保證數據處理任務實現均衡分配，同一個輸出埠可多次出現在同一個組中，即在分組內按照每個埠對應的後端系統的數據處理能力決定每個埠在該組中數據包流量的分配比例；(3)組內各輸出埠的分配在保證負載均衡的同時，保證同一條TCP連接雙向的所有數據包必須轉發到同一個輸出埠上，便於後端對所接收到的數據的匯總和還原。
3.根據權利要求1所述的保持連接特性的高速過濾分流方法，其特徵是，所述的過濾分流規則的設置包括兩種方式一種是將數據包的IP位址和埠信息，如源IP位址、源IP掩碼、源埠、目的IP位址、目的IP掩碼、目的埠作為直接監控對象，基於這些IP位址信息將規則設置在基於地址信息的過濾分流規則表中；另一種是基於特殊欄位信息的規則設置方式，即用戶只需設置特殊欄位、該欄位的偏移量、該欄位的長度、該欄位的匹配內容以及相應的過濾分流行為；基於數據包的IP位址和埠信息的過濾分流規則表的格式如下
基於特殊欄位信息的過濾分流規則表的格式如下
其中規則號每個規則的唯一標識序號源/目的IP位址數據包傳輸的源端和目的端的IP位址值源/目的IP掩碼數據包傳輸的源端和目的端IP欄位的子網掩碼源/目的埠數據包傳輸的源端和目的端的埠號欄位偏移量從IP數據包內容開始計算的需要匹配的特殊欄位的偏移量欄位長度需要匹配的特殊欄位的長度匹配內容特殊欄位的匹配值，這些特殊欄位包括如URL地址、Email信件中的收信人和發信人地址欄位；過濾分流行為「0」表示將該數據包丟棄，「1」表示將該數據包轉發到組1，「2」表示將該數據包轉發到組2，……「N」表示將該數據報轉發到組N，「-1」表示暫停使用該條規則，如果過濾分流規則表中除過濾分流行為欄位外的所有欄位都為0，則表示該條規則適用於所有數據包。
4.根據權利要求1或3所述的保持連接特性的高速過濾分流方法，其特徵是，過濾分流規則的設定將作為此後的過濾分流處理的依據，當從網絡上接收到的數據包和一條基於數據包的IP位址和埠信息的過濾分流規則匹配時，數據包將根據該規則設定的過濾分流行為轉發到相應的分組；如果從網絡上接收到的數據包中包含與預先設置的特殊欄位值相同的數據時，將提取出該數據包的IP位址信息，連同預先設置的相應的過濾分流行為，形成一條基於IP位址和埠信息的動態過濾分流規則，寫入基於數據包的IP位址和埠信息的過濾分流規則表中，該數據包以及該數據包所屬的TCP/UDP連接的所有後續包都將根據此規則設定的過濾分流行為轉發到相應的分組，基於特徵欄位匹配形成的過濾分流規則具有時效特性，當這條連接結束後，基於數據包的IP位址和埠信息的過濾分流規則表中對應的這條規則也將被刪除，對於新接收到的數據包，同樣要按照上述特殊欄位匹配的過程重新生成新的基於IP位址和埠信息的動態過濾分流規則。
5.根據權利要求1所述的保持連接特性的高速過濾分流方法，其特徵是，所述的數據過濾分流處理，包括以下幾個環節(1)初始化將過濾分流規則導入內存，如果採用CAM技術實現，則將規則設置到CAM系統中，系統會根據用戶在「基於數據包的IP位址和埠信息的過濾分流規則表」和「基於特殊欄位信息的過濾分流規則表」中設定的內容，生成基於數據包的IP位址和埠信息的過濾分流規則表和基於特殊欄位信息的過濾分流規則表兩張表，其中，基於數據包的IP位址和埠信息的過濾分流規則表包含靜態設置的規則和動態設定的規則兩部分，靜態設置的規則是用戶設定的內容，動態設定的規則是系統在進行基於特殊欄位信息的過濾分流規則匹配時動態生成的規則內容；(2)截取原始數據包截取網絡上的數據包，進行協議分析，根據網絡協議數據包格式提取出IP數據包；(3)過濾處理首先，系統將獲取的IP數據包按照預先設置的基於數據包的IP位址和埠信息的過濾分流規則表進行匹配，如果匹配成功，則按照規則表中設置的「過濾分流行為」，將數據包劃分到各輸出埠分組中，如果匹配到的規則屬於動態設定規則，並且數據包屬於連接結束包，則清除該條動態設定規則，否則，將該條規則的超時計數清0，對於超過計數值還在處理的情況，該條動態設定的規則也將被刪除；對於與基於數據包的IP位址和埠信息的過濾分流規則表中規則匹配失敗的數據包，再與基於特殊欄位信息的過濾分流規則表中設置的規則進行匹配，如果匹配成功，根據該條特殊欄位信息的過濾分流規則中設定的過濾分流行為將數據包劃分到相應的輸出埠分組中，並根據該數據包的源IP、目的IP位址和此規則的過濾分流行為生成一條基於數據包的IP位址和埠信息的動態過濾分流規則加入到基於數據包的IP位址和埠信息的過濾分流規則表中，通過與這條新形成的動態規則進行匹配，將會提取出該數據包所屬連接的後續數據包，如果數據包與基於特殊欄位信息的過濾分流規則匹配失敗，則丟棄該數據包；(4)分流處理採用分流算法將劃分到每個分組中的每個數據包的源IP位址和目的IP位址進行高低位按位異或運算，如果是TCP/UDP數據包，則再將TCP/UDP埠號與運算結果再次進行異或，最終得到一個運算結果HASH值，再將此運算結果HASH值與該分組中所包含的輸出埠總數取模，得到的結果就是該數據包在所屬分組中對應的輸出埠序號。
6.根據權利要求5所述的保持連接特性的高速過濾分流方法，其特徵是，由於動態設定的規則具有時效性，因此導入到內存的基於數據包的IP位址和埠信息的過濾分流規則表增加「動態/靜態」和「超時計數」兩個欄位，格式為
全文摘要
一種保持連接特性的高速過濾分流方法，用於網絡信息技術領域。本發明首先設置輸出埠分組規則和過濾分流規則，再進行數據過濾分流處理，先通過協議分析，從網絡上接收到的原始數據包中提取出IP數據包，根據設置好的過濾分流規則將與後續處理相關數據劃分到各個輸出埠分組中；然後將劃分到每個組中的數據包的地址和埠信息進行Hash運算，Hash值再與該分組所包含的埠總數取模，得到的結果就是該數據包在所屬的分組中對應的輸出埠序號。採用本發明可以有效地解決在高速骨幹網環境下，構建入侵檢測、流量統計、內容審計、網絡監測、負載均衡以及其它應用系統時，對海量數據流進行高速轉發和集群處理的需求。
文檔編號H04L29/06GK1564547SQ200410017189
公開日2005年1月12日 申請日期2004年3月25日 優先權日2004年3月25日
發明者張世永, 嚴明, 郭巍 申請人:上海復旦光華信息科技股份有限公司