一種未知流量過濾方法和一種帶寬管理設備的製作方法

2023-06-14 03:18:31

專利名稱：一種未知流量過濾方法和一種帶寬管理設備的製作方法
技術領域：
本發明涉及網絡通信技術領域，尤指一種未知流量過濾方法和一種帶寬 管理設備。
背景技術：
帶寬管理設備使用多種模型和方法識別網絡應用流量並進行管理，例
如，IP/埠識別方法、深度包4企測(DPI, Deep Packet Inspection)識別方 法以及其他的才莫型和方法。其中，IP/埠識別法才艮據IP或埠特徵識別網 絡流量，在應用過程中需要不斷添加被管理的IP或埠； DPI識別法才艮據 數據流的特徵字符串識別網絡流量，在應用中需要不斷添加新的網絡應用流 量對應的特徵字符串。
現有的帶寬管理設備大部分採用"流量識別引擎+特徵庫"的架構，其 中流量識別引擎是一套較為穩定的流量識別系統，特徵庫隨著可識別流量的 增加而不斷更新，特徵庫的更新不影響識別流量識別引擎的穩定性。
隨著網絡應用軟體和協議的發展，網際網路(Internet)上不斷出現新的 網絡應用流量，帶寬管理設備廠商需要不斷跟蹤新的網絡應用流量，並在帶 寬管理設備中支持該新流量的識別，因此跟蹤和分析的工作量非常大。如何 高效地識別未知流量，降低未知流量比例就成了帶寬管理設備廠商面臨的一 個現實問題。
目前，未知流量的識別主要包括以下幾種方式
1、自動化識別未知流量帶寬管理設備對於經過的未知流量自動保存 下來，並根據某種算法查找未知流量數據流中的存在的共同特徵，並將其添 加到特4i庫中。
但是在用戶網絡中的帶寬管理設備的流量一般很大，實時保存未知流量對設備的性能有很高要求。且由於輸入的未知流量可能由多種網絡應用軟體 產生，提取特徵的算法複雜、效率低下。提取特徵的算法適用性存在限制， 比如對於某軟體產生的加密數據流，提取特徵字符串的算法失效。對於自動 化提取特徵字符串，由於不知道其對應的網絡應用名稱，大量加入特徵庫時 容易造成用戶界面不友好。
2、 人工識別未知流量帶寬管理設備一般會提供日誌功能，根據曰志 信息中未知流量的IP或埠排名，使用抓包工具，如Wireshark,抓取指定 IP或埠的全部流量，然後人工分析和提取特徵，並升級特徵庫。
這種方式下，流量分析人員的工作量大，且免費的抓包工具中流量過濾 功能筒單，抓取的報文中存在大量的已識別流量和會話不完整的數據流，影 響未知流量的分析和識別效率。
3、 設置電子公告板(BBS， Bulletin Board System )論壇設置BBS論 壇，由用戶網絡中的網絡管理員反饋無法識別的流量和網絡應用。
這種方式中，對用戶網絡中的網絡管理員有較高的要求，依賴客戶的反 饋，未知流量的識別工作非常被動。
綜上所述，現有的未知流量識別和分析方案的效率不高。

發明內容
本發明提供了 一種未知流量過濾方法，該方法能夠提高未知流量的識別 和分析效率。
本發明還提供了 一種帶寬管理設備，該帶寬管理設備能夠提高未知流量
的識別和分析效率。
為達到上述目的，本發明的技術方案具體是這樣實現的
本發明公開了 一種未知流量過濾方法，在帶寬管理設備上指定第 一鏡像
埠和第二鏡像埠 ，對於帶寬管理設備接收到的報文執行以下步驟
判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件，是則將 已標識流中的滿足會話完整信息的報文鏡像到第 一鏡像埠 ；所述第 一次過濾條件包括所接收報文的類型是傳輸層報文，且所接收的報文所在的流已 經標識；
接收來自第一鏡像埠的報文，並根據預設的第二次過濾條件判斷該報 文所屬流量是否是未知流量，是則將所述未知流量報文鏡像到第二鏡像埠 供流量分析使用。
本發明還公開了一種帶寬管理設備，該帶寬管理設備上指定了第一鏡像 埠和第二鏡像埠 ，該帶寬管理設備包括第 一過濾模塊和第二過濾模塊，
其中
第 一過濾模塊，用於判斷帶寬管理設備接收的報文是否符合預設的第一 次過濾條件，是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像 埠；所述第一次過濾條件包括所接收報文的類型是傳輸層報文，且所接 收的報文所在的流已經標識；
第二過濾模塊，用於接收來自第一鏡像埠的報文，並根據預設的第二 次過濾條件判斷該報文所屬流量是否是未知流量，是則將所述未知流量報文 鏡像到第二鏡像埠供流量分析使用。
由上述技術方案可見，本發明這種判斷帶寬管理設備接收的報文是否符 合預設的第 一次過濾條件，是則將已標識流中的滿足會話完整信息的報文鏡 像到第一鏡像埠；所述第一次過濾條件包括所接收報文的類型是傳輸層 報文，且所接收的報文所在的流已經標識；接收來自第一鏡像埠的報文， 並根據預設的第二次過濾條件判斷該報文所屬流量是否是未知流量，是則將 所述未知流量報文鏡像到第二鏡像埠供流量分析使用的技術方案，由於使 用了二次流量過濾的方式，因此最大限度地縮小了未知流量的分析範圍，提 高了未知流量的識別和分析效率。並且在用戶網絡中可以只執行第一次流量 過濾過程，而第二次流量過濾過程可以不在用戶網絡中完成，因此減小了帶 寬管理設備對業務流量的影響，大大提高了未知流量過濾的效率。
8


圖1是本發明實施例一種未知流量過濾方法的系統示意圖； 圖2是本發明實施例一種未知流量過濾方法的流程圖； 圖3是本發明實施例中的第一次流量過濾過程的流程圖； 圖4是本發明實施例中的第二次流量過濾過程的流程圖； 圖5是本發明實施例一種帶寬管理設備的組成結構框圖。
具體實施例方式
本發明的核心思想是在現有的帶寬管理設備上配置兩種不同的未知流 量過濾方式，兩種未知流量過濾方式配合使用，其中，第一種過濾方式在用 戶網絡中應用，而第二種過濾方式不在用戶網絡中應用，且第一種過濾方式 釆用了簡單的過濾手段，從而降低了對用戶網絡中的帶寬管理設備的性能影 響，進而降低了帶寬管理設備對用戶網絡中的業務流量的影響。同時，兩次 過濾的方式又保證了提供給流量分析人員的現場流量的有效性和針對性，提 高了未知流量的分析和識別效率。
圖l是本發明實施例一種未知流量過濾方法的系統示意圖。參見圖l, 在第一次的未知流量過濾過程中，將命中的流量鏡像出來，即得到圖l中的 "第一次過濾鏡像流量"，然後將對第一次過濾命中的鏡像流量進行第二次 過濾，得到圖l中的"第二次過濾鏡像流量"，即目標流量。目標流量提供給 流量分析人員進行分析和識別。其中，第一次流量過濾過程在用戶網絡中完 成，即帶寬管理設備對網絡流量進行在線過濾；而第二次過濾是對第一次過 濾鏡像流量進行的，不在用戶網絡中完成，因此不會對網絡流量產生影響。 例如，當用戶網絡中突發未知流量時，用戶網絡中的帶寬管理設備採用第一 種過濾方式對用戶網絡流量進行在線過濾，得到"第一次過濾鏡像流量"； 而"第一次過濾鏡像流量"可以由用戶反饋給帶寬管理設備的廠商，由帶寬 管理設備的廠商在自己的辦公地點利用帶寬管理設備對"第 一次過濾鏡像流 量，，進行第二次過濾，得到"第二次過濾鏡像流量"，進一步縮小未知流量的分析範圍；這樣最後提供給流量分析人員的是"第二次過濾鏡像流量"， 保證了提供給流量分析人員的現場流量的有效性和針對性，提高了流量分析 人員的未知流量分析和識別效率。
圖2是本發明實施例一種未知流量過濾方法的流程圖。該方法需要在帶 寬管理設備上指定第 一鏡像埠和第二鏡像埠 ，則對於帶寬管理設備接收 到的每個報文執行以下步驟
步驟201，判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條 件，是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像埠；所 述第一次過濾條件包括所接收報文的類型是傳輸層報文，且所接收的報文 所在的流已經標識。
步驟202，接收來自第一鏡像埠的報文，並根據預設的第二次過濾條 件判斷該報文所屬流量是否是未知流量，是則將所述未知流量報文鏡像到第 二鏡像埠供流量分析使用。
下面分別詳細介紹本發明實施例中的第一次流量過濾和第二次流量過 濾過程。
一、第一次流量過濾
第一次流量過濾在用戶網絡中使用，初步確定未知流量的範圍，輸入流 量是用戶網絡中流經帶寬管理設備的所有流量，輸出流量為滿足預設的第一 次過濾條件的流量。在本發明實施例中為了保證過濾流量的有效性，第一次 過濾條件中可以包括如下的處理*見則
(1)要求過濾的數據流為傳輸層數據流，如傳輸控制協議(TCP, Transfer Control Protocol)悽t據流和用戶悽t據才艮協i義(UDP, User Datagram Protocol)數據流；
(2 )為保證傳輸控制協議(TCP, Transfer Control Protocol)數據流的 完整性，要求過濾的TCP數據流必須存在同步連接序號SYN握手報文；
(3 )為了保證用戶數據報協議(UDP， User Datagram Protocol)數據 流的完整性，要求過濾的UDP數據流首報文必須為信令報文。可以設定一個
10閥值，如300位元組，來判斷是否為信令報文。例如，當一個UDP報文的UDP 負載長度小於300位元組時，認為該UDP報文是信令報文；
(4) 對於每條數據流，可以設定閾值，只過濾前N個報文，如前50個
報文；
(5 )數據流滿足預設的IP位址和/或埠過濾條件。
圖3是本發明實施例中的第一次流量過濾過程的流程圖。如圖3所示，對 流經帶寬管理設備的每一 個當前報文執行以下步驟
步驟301，判斷帶寬管理設備是否開啟了第一次流量過濾功能，是則執 行步驟302，否則直接確定當前報文不符合第一次過濾條件，正常轉發當前 報文並結束。
步驟302，判斷當前報文是否滿足預設的IP位址和/或埠過濾條件， 是則執行步驟303，否則確定當前報文不符合第一次過濾條件，正常轉發當 前淨艮文並結束。
本步驟中，IP位址和/或埠過濾條件是提前通過配置命令設置的，即 可以根據IP位址進行過濾，也可以根據埠進行過濾，或者也可以根據IP 地址和埠的結合進行過濾。例如，提前配置IP位址和埠，只有源/目的 IP位址和埠與提前配置的IP位址和埠匹配的才艮文能夠命中。
步驟303,判斷當前報文是否為傳輸控制協議TCP報文或用戶數據報協 議UDP報文，是則執行步驟304,否則確定當前報文不符合第一次過濾條 件，正常轉發當前才艮文並結束。
步驟304，判斷當前報文是否為其所屬流的首報文，是則執行步驟305， 否則執行步驟307。
本步驟中，如果報文是TCP報文，則判斷報文是否為同步連接序號SYN
握手報文，是則報文是收報文，其所屬的數據流滿足會話完整條件，否則報
文不是首報文，報文所屬的數據流不滿足會話完整條件；如果報文是UDP
報文，則判斷報文是否為信令報文，是則報文是首報文，所屬的數據流滿足
會話完整條件，否則報文不是首報文，所屬的數據流不滿足會話完整條件。步驟305，創建與當前才艮文的五元組對應的控制塊，然後4丸行步驟306。
本步驟中，創建與當前報文的五元組對應的控制塊，其實是利用報文的 五元組來標識該報文所屬的數據流。也就是說與五元組對應的控制塊是用來 標識該五元組對應的數據流已存在的。
步驟306,將當前報文鏡像到第一鏡像埠 ，並在對應控制塊上更新鏡 像報文計數。結束流程。
步驟307，根據當前報文的五元組判斷是否存在對應的控制塊，是則執 行步驟308，否則正常轉發當前才艮文並結束。
步驟308，判斷當前報文對應控制塊上的鏡像報文計數是否超過閾值N, 是則正常轉發當前報文並結束，否則執行步驟309。
步驟309,將當前報文鏡像到第一鏡像埠 ，並在對應控制塊上更新鏡 像報文計數。結束流程。
本步驟中，當報文是TCP報文時，如果報文存在TCP負載，則在對應 控制塊上的鏡像報文計數上加1;如果報文不存在TCP負載，則不改變對應 控制塊上的鏡像報文計數。
本實施例中，可以通過命令行的方式開啟第一流量過濾功能。並應提前 設置IP/埠過濾條件、第一鏡像埠以及每條數據流處理的報文閾值等參 數。
此外，在本發明實施例中，當所創建的控制塊在預定的時間內沒有被訪 問時，刪除該控制塊。即使用老化方式(如定時器方式)，及時釋放長時間 未使用的控制塊佔用的相關系統資源。
二、第一次流量過濾
第二次流量過濾過程可以在流量分析階段執行，進一步確定未知流量的 分析範圍，輸入流量是使用第一次流量過濾方法得到的現場流量，輸出流量 為帶寬管理設備無法識別的未知流量。具體實現時可以採用報文回放工具， 將輸入流量流經帶寬管理設備。
在第二次流量過濾過程中所採用的流量過濾條件可以與現有技術的流
12量過濾條件相同。
圖4是本發明實施例中的第二次流量過濾過程的流程圖。如圖4所示，對 流經第 一鏡像埠的每一個當前報文執行以下步驟
步驟401，判斷帶寬管理設備是否開啟了第二次流量過濾功能，是則執 行步驟402,否則直接確定當前報文不符合第二次過濾條件，結束流程。
步驟402，根據當前報文的五元組判斷是否存在對應的控制塊，是則直 接執行步驟404,否則執行步驟403。
步驟403,創建與當前報文五元組對應的控制塊，然後執行步驟404。
步驟404判斷對應控制塊上記錄的會話類型，如果會話類型是已知流 量，則確定報文不符合第二次過濾條件，結束流程；如果會話類型是未知流 量，則確定報文符合第二次過濾條件，執行步驟410;如果對應控制塊上未 記錄會話類型，則執行步驟405;
步驟405、判斷流量識別引擎對對應控制塊的數據流的識別是否結束， 是則執行步驟407,否則執行步驟406。
步驟406，將當前報文緩存到對應控制塊中，並確定報文不符合第二次 過濾條件，結束流程。
步驟407,判斷對應控制塊的數據流是否為未知流量，是則執行步驟 409，否則執行步驟408。
步驟408，如果對應控制塊的數據流被識別為已知流量，則在對應控制 塊上記錄會話類型為已知流量，釋放對應控制塊中緩存的所有報文，並確定 報文不符合第二次過濾條件，結束流程。
步驟409，如果對應控制塊的數據流被識別為未知流量，則在對應控制 塊上記錄會話類型為未知流量，將對應控制塊中緩存的所有報文鏡像到第二 鏡像埠，並確定報文符合第二次過濾條件，執行步驟410。
步驟410,將當前報文鏡像到第二鏡像埠 ，結束流程。
本實施例中，當確定當前報報文不符合第二次過濾條件時，可以直接丟 棄當前報文，也可以採用其他處理方式，本發明中不做限定。本實施例中，可以通過命令行的方式開啟第二流量過濾功能。並應提前 設置第二鏡像埠等參數。本實施例中，由於需要緩存報文，因此在實際應 用中可以設置報文回放工具的波特率，以降低對帶寬管理設備的內存消耗。
此外，在本發明實施例中，當所創建的控制塊在預定的時間內沒有被訪 問時，刪除該控制塊。即使用老化方式(如定時器方式)，及時釋放長時間 未使用的控制塊佔用的相關系統資源。
圖5是本發明實施例一種帶寬管理設備的組成結構框圖。該帶寬管理設 備上指定了第一鏡像埠和第二鏡像埠，則如圖5所示，該帶寬管理設備 包括第一過濾模塊501和第二過濾模塊502,其中
第一過濾模塊501，用於判斷帶寬管理設備接收的報文是否符合預設的 第 一次過濾條件，是則將已標識流中的滿足會話完整信息的報文鏡像到第一 鏡像埠；所述第一次過濾條件包括所接收報文的類型是傳輸層報文，且 所接收的l艮文所在的流已經標識；
第二過濾模塊502,用於接收來自第一鏡像埠的報文，並根據預設的 第二次過濾條件判斷該報文所屬流量是否是未知流量，是則將所述未知流量 報文鏡像到第二鏡像埠供流量分析使用。
在圖5所示的帶寬管理設備中，所述第一次過濾條件進一步包括所接 收報文是一條數據流中的前N個報文之一，N為指定自然數；並且所接收報 文滿足預設的IP位址和/或埠過濾條件。
在圖5所示的帶寬管理設備中，所述第一過濾模塊501，判斷所接收報 文的類型是傳輸層報文，是判斷所接收報文的類型是傳輸控制協議TCP報 文或用戶數據報協議UDP報文。
在圖5所示的帶寬管理設備中，所述第一過濾模塊501，進一步用於判 斷所接收報文是否為其所屬流的首報文，是則利用所接收報文的五元組對其 所屬流進行標識。
在圖5所示的帶寬管理設備中，所述第一過濾模塊501，在所接收報文 是TCP報文時，判斷該報文是否為同步連接序號SYN握手報文，是則確定該報文是其所屬流的首報文，否則不是；在所接收報文是UDP報文，判斷
該報文是否為信令報文，是則確定該報文是其所屬流的首報文，否則不是。
在圖5所示的帶寬管理設備中，所述第二過濾模塊502包括判斷過濾 子模塊503和第二鏡像子模塊504，其中，
判斷過濾子模塊503,用於在接收來自第一鏡像埠的報文時，執行以 下步驟
a、 根據報文的五元組判斷是否存在對應的控制塊，是則直接執行步驟 b,否則先創建與報文五元組對應的控制塊，然後執行步驟b;
b、 判斷對應控制塊上記錄的會話類型，如果會話類型是已知流量，則 確定報文所屬流量是已知流量，如果會話類型是未知流量，則確定報文所屬 流量是未知流量，並將報文發送給第二鏡像子模塊，如果對應控制塊上未記 錄會話類型，則執行步驟c;
c、 判斷流量識別引擎對對應控制塊的數據流的識別是否結束，是則執 行步驟d，否則將報文緩存到對應控制塊中；
d、 如果對應控制塊的^t據流;波識別為未知流量，則在對應控制塊上記 錄會話類型為未知流量，將對應控制塊中緩存的所有報文送給第二鏡像子模 塊；如果對應控制塊的數據流被識別為已知流量，則在對應控制塊上記錄會 話類型為已知流量，釋放對應控制塊中緩存的所有報文；
第二鏡像子模塊504,用於將所接收的報文鏡像到第二鏡像埠 。 圖5所示的帶寬管理設備還包括控制塊管理模塊，用於刪除在預定的 時間內沒有被訪問的控制塊。在圖5中沒有畫出控制塊管理模塊。
綜上所述，本發明這種在帶寬管理設備上指定第 一鏡像埠和第二鏡像 埠，判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件，是則 將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像埠 ；接收來自第 一鏡像埠的報文，並根據預設的第二次過濾條件判斷該報文所屬流量是否 是未知流量，是則將所述未知流量報文鏡像到第二鏡像埠供流量分析使 用。的技術方案，由於使用了二次流量過濾的方式，因此最大限度地縮小了未知流量的分析範圍，保證了提供給流量分析人員的現場流量的有效性和針 對性，提高了未知流量的分析和識別效率。並且在用戶網絡中可以只執行第 一次流量過濾過程，而第二次流量過濾過程可以不在用戶網絡中完成，因此 減小了帶寬管理設備對業務流量的影響，大大提高了未知流量過濾的效率。 此外，在用戶網絡中的第一次流量過濾過程中，只處理未知流量中的完整
TCP或UDP數據流的前預設數量的報文的方案，降低了無效報文，如已知 流量或會話不完整的未知流量的幹擾。
以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護 範圍，凡在本發明的精神和原則之內所做的任何修改、等同替換、改進等， 均應包含在本發明的保護範圍之內。
權利要求
1、一種未知流量過濾方法，其特徵在於，在帶寬管理設備上指定第一鏡像埠和第二鏡像埠，對於帶寬管理設備接收到的報文執行以下步驟判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件，是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像埠；所述第一次過濾條件包括所接收報文的類型是傳輸層報文，且所接收的報文所在的流已經標識；接收來自第一鏡像埠的報文，並根據預設的第二次過濾條件判斷該報文所屬流量是否是未知流量，是則將所述未知流量報文鏡像到第二鏡像埠供流量分析使用。
2、 如權利要求l所述的方法，其特徵在於，所述第一次過濾條件進一步包括所接收報文是一條數據流中的前N 個報文之一，N為指定自然數；並且所接收報文滿足預設的IP位址和/或端 口過濾條件。
3、 如權利要求1或2所述的方法，其特徵在於，所接收報文的類型是傳輸層報文包括所接收報文的類型是傳輸控制協 議TCP報文或用戶數據報協議UDP報文。
4、 如權利要求1或2所述的方法，其特徵在於，該方法進一步包括 判斷所接收報文是否為其所屬流的首報文，是則利用所接收報文的五元組對 其所屬流進4於標識。
5、 如權利要求4所述的方法，其特徵在於，判斷所接收報文是否為其 所屬流的首報文包括如果所接收報文是TCP報文，則判斷該報文是否為同步連接序號SYN 握手報文，是則該報文是其所屬流的首報文，否則不是；如果所接收報文是UDP報文，則判斷該報文是否為信令報文，是則該 報文是其所屬流的首報文，否則不是。
6、 如權利要求l所述的方法，其特徵在於，根據預設的第二次過濾條 件判斷該報文所屬流量是否是未知流量，是則將所述未知流量報文鏡像到第 二鏡像埠包括a、 根據報文的五元組判斷是否存在對應的控制塊，是則直接執行步驟 b，否則先創建與報文五元組對應的控制塊，然後執行步驟b;b、 判斷對應控制塊上記錄的會話類型，如果會話類型是已知流量，則 確定報文所屬流量是已知流量，如果會話類型是未知流量，則確定報文所屬 流量是未知流量，將報文鏡像到第二埠，如果對應控制塊上未記錄會話類 型，則執行步驟c;c、 判斷流量識別引擎對對應控制塊的數據流的識別是否結束，是則執 行步驟d,否則將報文緩存到對應控制塊中；d、 如果對應控制塊的數據流被識別為未知流量，則在對應控制塊上記 錄會話類型為未知流量，將對應控制塊中緩存的所有報文鏡像到第二鏡像端 口；如果對應控制塊的數據流被識別為已知流量，則在對應控制塊上記錄會 話類型為已知流量，釋放對應控制塊中緩存的所有報文。
7、 一種帶寬管理設備，其特徵在於，該帶寬管理設備上指定了第一鏡 像埠和第二鏡像埠，該帶寬管理設備包括第一過濾模塊和第二過濾模塊，其中第 一過濾模塊，用於判斷帶寬管理設備接收的報文是否符合預設的第一 次過濾條件，是則將已標識流中的滿足會話完整信息的報文鏡像到第 一鏡像 埠；所述第一次過濾條件包括所接收報文的類型是傳輸層報文，且所接 收的才艮文所在的流已經標識；第二過濾模塊，用於接收來自第一鏡像埠的報文，並根據預設的第二 次過濾條件判斷該報文所屬流量是否是未知流量，是則將所述未知流量報文 鏡像到第二鏡像埠供流量分析使用。
8、 如權利要求7所述的帶寬管理設備，其特徵在於，所述第一次過濾 條件進一步包括所接收報文是一條數據流中的前N個報文之一，N為指定自然數；並且所接收報文滿足預設的IP位址和/或埠過濾條件。
9、 如權利要求7所述的帶寬管理設備，其特徵在於， 所述第一過濾模塊，判斷所接收報文的類型是傳輸層報文，是判斷所接收報文的類型是傳輸控制協議TCP報文或用戶數據報協議UDP報文。
10、 如權利要求7或8所述的帶寬管理設備，其特徵在於， 所述第一過濾模塊，進一步用於判斷所接收報文是否為其所屬流的首報文，是則利用所接收報文的五元組對其所屬流進行標識。
11、 如權利要求IO所述的帶寬管理設備，其特徵在於， 所述第一過濾模塊，在所接收報文是TCP報文時，判斷該報文是否為同步連接序號SYN握手報文，是則確定該報文是其所屬流的首報文，否則 不是；在所接收報文是UDP報文，判斷該報文是否為信令報文，是則確定 該報文是其所屬流的首報文，否則不是。
12、 如權利要求7所述的帶寬管理設備，其特徵在於，所述第二過濾模 塊包括判斷過濾子模塊和第二鏡像子模塊，其中，判斷過濾子模塊，用於在接收來自第一鏡像埠的報文時，執行以下步驟a、 根據報文的五元組判斷是否存在對應的控制塊，是則直接執行步驟 b,否則先創建與才艮文五元組對應的控制塊，然後執行步驟b;b、 判斷對應控制塊上記錄的會話類型，如果會話類型是已知流量，則 確定報文所屬流量是已知流量，如果會話類型是未知流量，則確定報文所屬 流量是未知流量，並將報文發送給第二鏡像子模塊，如果對應控制塊上未記 錄會話類型，則執行步驟c;c、 判斷流量識別引擎對對應控制塊的數據流的識別是否結束，是則執 行步驟d，否則將報文緩存到對應控制塊中；d、 如果對應控制塊的數據流;故識別為未知流量，則在對應控制塊上記 錄會話類型為未知流量，將對應控制塊中緩存的所有報文送給第二鏡像子模 塊；如果對應控制塊的數據流被識別為已知流量，則在對應控制塊上記錄會話類型為已知流量，釋放對應控制塊中緩存的所有報文；第二鏡像子模塊，用於將所接收的報文鏡像到第二鏡像埠
全文摘要
本發明公開了一種未知流量過濾方法和一種帶寬管理設備。方法包括判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件，是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像埠；接收來自第一鏡像埠的報文，並根據預設的第二次過濾條件判斷該報文所屬流量是否是未知流量，是則將所述未知流量報文鏡像到第二鏡像埠供流量分析使用。本發明的技術方案能夠提高未知流量的識別和分析效率。
文檔編號H04L29/06GK101635720SQ20091009211
公開日2010年1月27日 申請日期2009年8月31日 優先權日2009年8月31日
發明者淞 吳, 鄒文宇 申請人:杭州華三通信技術有限公司