可重構路由交換平臺數據包的識別、分類方法

2023-10-28 18:14:17

專利名稱：可重構路由交換平臺數據包的識別、分類方法
技術領域：
本發明涉及一種數據包的識別、分類方法，特別是涉及一種可重 構路由交換平臺數據包的識別、分類方法。背景技術：
多年來，網絡一直沿著面向業務支撐的技術體系發展，為承載特 定業務構建網絡，為融合新興業務改造網絡。在傳統的網絡技術體系框架下，依靠拓展鏈 路傳輸帶寬，提高節點處理速度，增大節點處理容量，增加複雜控制算法和協議等一系列技 術，不僅難以滿足特性差異日益擴大的用戶業務承載需求，而且付出了網絡複雜度快速提 高和傳送效率明顯降低的代價。面對大量差異化用戶業務的規模化應用，網絡無法適應的 問題日趨凸現。究其主要原因其一網絡是剛性的，改造只能依靠升級和擴展，無法實現重 構；其二節點是封閉的，節點的升級和擴展只能由原提供商實施，無法實現開放。為了擺脫傳統網絡技術體系束縛，提出面向服務提供的新型網絡技術體系，構建 一個柔性可重構、實現「三網融合」、跨區域的國家網絡新技術試驗床，引領電信網絡、廣電 網絡和網際網路向新一代高可信網絡方向演進，支撐和推動我國在網絡技術領域體制、協 議、算法、標準和設備等方面的研究。其中，對業務的高效識別和靈活管理成為研究的主要 內容。業務流的高效識別和靈活管理是加強網絡業務管控、維護網絡安全高效運行的必 要手段。為了實現有效的業務管控，必然要對網絡流量進行基於業務的實時識別分析。業務流的高效識別和靈活管理對於實現業務的高效承載具有重要的意義。隨著當 前流媒體、在線遊戲等服務質量(Quality of Service, QoS)敏感型業務的盛行，要求網絡 設備針對不同的業務實現區分的網絡服務。實現區分的網絡服務要求網絡設備，特別是邊 緣接入設備將匯聚的網絡流量根據其業務類型映射至不同的服務級別，這就要求進行網絡 業務流的高效感知。業務流的高效識別和靈活管理對於構建新一代高可信網絡具有重要的意義。可信 的前提是可控可管，通過業務流識別分析，認識用戶和業務的行為規律，可以為網絡的升級 擴展提供及時準確的參考依據。目前，對業務流識別方法的研究主要由以下幾個方面。一般識別系統普遍採用Claffy建議的五元組規範(源IP (SIP) (32bit)、目的IP (DIP) (32bit)、源埠(SPORT) (16bit)、目的埠(DPORT) (16bit)和協議(Protocol) (16bit))以及64秒超時時間戳對業務進行識別。但該識別方法只能針對部分IP流，對於 未來三網融合下的特定流將無法識別。深度數據包檢測(DPI，Deep Packet Inspection)也稱載荷特徵檢測。主要通過 協議分析與還原技術，提取數據包應用層載荷數據，通過分析載荷所包含的協議特徵值，來 識別業務流的類型。包括基於埠的識別，特徵欄位匹配識別，基於hash變換的匹配算法 等。但DPI只針對業務的某些特徵，當業務這些特徵或關鍵字固定時，則該方法無能為力， 如果要對業務的所有內容都進行審查，則大大降低了系統的性能，且數據如果加密，將對方 法有很大影響。基於流量統計特徵的檢測DFI。DFI是DPI技術的有效補充和擴展，DFI技術並不對數據包進行深度檢測，而是通過對網絡流量的狀態、網絡層和傳輸層信息、業務流持續時 間、平均流速率、字節長度分布等參數的統計分析，來獲取業務類型、業務狀態等信息。基於 流量統計特徵的檢測的優點包括可擴展性好、性能高和可識別加密數據流。數據是否加密 對檢測算法沒有影響。基於流量特徵的識別技術也具有很多不足，其主要缺點包括準確性差、缺乏流量 分類功能、實時識別困難等。所選取的特徵的有效性直接決定了該方法識別結果的準確性。 該檢測方法通常需結合專門的分類器方能實施，很大程度上受限於分類器本身的優劣。實 時識別困難是由於流量特徵統計需要記錄整個網絡的連接狀態，存儲和計算開銷非常大， 維持流量的實時識別資源消耗嚴重，用於實時流量識別的設計對速度和容量的要求非常 尚O深度數據包檢測技術依賴於報文載荷內容，面對應用層負載加密類業務流或者內 容特徵尚未公布的新型業務流無能為力。Karagiarmis等人在文獻中提出了基於傳輸層行 為特徵的識別方法，並從主機的社會層面、網絡層面及應用層面對此方法進行了全面分析。 這種基於傳輸層特徵的檢測方法對於網絡層加密業務，由於無法獲得其傳輸層信息，使得 該方法失效。另外，該方法需等連接結束時方能識別出業務類型，使之不適合用於在線實時 檢測。但是其最大的優點是完全不用關心應用層載荷內容，從而為應用層負載加密類網絡 業務流的識別提供了一種有效的方法。
發明內容
本發明要解決的技術問題是克服現有技術的缺陷，提供一種可擴展性強、滿足未來 對新型業務流識別需要的可重構路由交換平臺數據包的識別、分類方法。該方法解決了現 有業務識別方法只能單一部署的問題，能夠通過下載重新配置啟動實現對新型業務流的識 別。本發明的技術方案
一種可重構路由交換平臺數據包的識別、分類方法，含有如下步驟
a.路由交換平臺主控組件將業務識別構件代碼下載至FPGA並配置啟動；
b.通過一定數量的硬體地址激勵的方法對數據包進行切片複製；
c.業務識別構件對不同類型的數據包切片採用不同類型的識別方法輸出匹配信息；
d.對業務識別構件輸出的匹配信息進行綜合後輸出優先級控制信息；
e.採用令牌桶機制對不同優先級控制信息輸出至分路器進行流量控制；
f.分路器將不同的數據包分流到不同優先級的緩存隊列。步驟a含有如下步驟
al.制定標準化的業務識別構件接口 ； a2.將業務識別構件代碼下載至FPGA ； a3.業務識別構件參數配置；
a4.並行性下載及配置當有新業務到來時，提前在不影響其它業務識別構件正常運行 的情況下，利用FPGA的閒餘資源下載新的業務識別構件並配置啟動； 步驟b含有如下步驟
bl.將數據包按規則切成一定個數等長的cell單元；
b2.將每個cell單元發送至n+1個地址將每個cell單元廣播發送給η個業務識別構件和一個緩存器；
步驟c含有如下步驟
Cl.各業務識別構件採用不同的業務識別方法識別cell單元； c2.業務識別結果輸出輸入cell單元，業務識別構件進行匹配，當處理完最後一個 cell單元時，輸出匹配結果； 步驟d含有如下步驟
d 1.綜合各業務識別構件的輸出匹配信息在識別結果控制模塊中建立業務識別構 件地址、業務識別構件所識別業務、業務識別構件所識別業務的優先級的對應列表，對於與 數據包匹配的業務識別構件，通過判斷該業務識別構件的地址，查找對應業務的優先級； d 2.將數據包的cell單元個數信息傳送給令牌桶；
d 3.數據包的優先級控制信息輸出給令牌桶，在優先級控制信息等待輸出之前啟動計 數器，計數器的初值為數據包的cell單元個數，優先級控制信息每輸出一個，則計數器減 1，當計數器為0時，重新為下一個數據包計數； 步驟e含有如下步驟
e 1.令牌桶的權標註入令牌桶以速率r注入權標，權標個數為識別結果控制模塊傳 輸的被識別的數據包分割成的cell單元的個數，每個權標對應一個cell單元；
e 2 .優先級控制信息輸出到分路器當令牌桶中有權標時，則將優先級控制信息輸出 到分路器，當權標使用完畢，則等待下一個數據包的cell單元個數信息； 步驟f含有如下步驟
f 1.數據包中的優先級控制信息決定數據包輸出到相應緩存隊列當有優先級控制信 息輸入時，分路器將緩存器中的cell單元分路到相應的優先級的緩存隊列；
f 2.實現對不同的數據包的流量整形令牌桶中權標的注入速率ν影響著不同類型的 數據包到達不同優先級的緩存隊列的速率。業務i只另Ij構件接口含有 Data_in、Data_valid、Attribution、Match，其中，Data_ in接口接收固定比特長度的數據包切片，Data_Valid是有效位，Match與識別結果控制模 塊相連，Match將匹配信息輸出至識別結果控制模塊，Attribution接收主控組件下發的配
直fe息。cell單元的長度為139位，cell單元含有3位的頭尾標示、4位的控制標示、4位 的通道號標示、128位的數據，如果cell單元的最後不足128位則用空字節填充；所述每個 業務識別構件的識別方式不同，但都滿足實時性的要求，其延時不超過4個時鐘周期。業務識別構件輸出的匹配結果有兩種如果匹配，業務識別構件則輸出有效位 11、表示數據包cell單元個數的一個數值，該數值表示該數據包所分割成的cell單元個 數，該數值最大為256 ；如果不匹配，業務識別構件則輸出有效位00。業務識別方法含有關鍵字匹配業務識別方法、正則表達式業務識別方法、行為特 徵業務識別方法。為了方便本領域技術人員對本文技術方案的理解，下面對本文出現的技術名詞或 術語進行解釋
構件具有相對獨立功能、可以明確辨識、接口由契約指定、可獨立部署、和語境有明顯 依賴關係、且多由第三方提供的可組裝軟體實體。
業務識別是根據數據流的特徵欄位、統計特性、行為特性等，將數據流劃分為不 同的集合。對其更高的要求是，根據數據報或數據流在內容、行為等方面的特徵，識別其承 載的應用。目前的業務流識別方法大多採用單一識別方法加多個匹配關鍵字，該方法只能實 現單一識別機制對業務的識別，無法滿足不同識別機制的並行部署。本發明的有益效果
1、本發明基於平臺化支撐構件化處理的思想，通過加載針對新型業務特徵的業務識別 構件實現對新型業務的識別，且對不同業務進行聚類，而後針對不同聚類業務的特性，部署 多個標準化接口和業務識別構件對業務進行識別。因此，本發明具有重要的實用價值，能為 將來新業務的識別提供一種方法。2、本發明針對不同業務採用不同的識別方法，且把多種識別方法同時部署在一個 系統中，並能夠在需要時對新的流加載新的識別方法。

圖1為業務識別構件接口結構示意圖； 圖2為cell單元結構示意圖； 圖3為業務識別構件的識別延時示意圖。具體實施例方式
參見圖1 圖3，圖中，可重構路由交換平臺數據包的識別、分類方法含 有如下步驟
a.路由交換平臺主控組件將業務識別構件代碼下載至FPGA並配置啟動；
b.通過一定數量的硬體地址激勵的方法對數據包進行切片複製；
c.業務識別構件對不同類型的數據包切片採用不同類型的識別方法輸出匹配信息；
d.對業務識別構件輸出的匹配信息進行綜合後輸出優先級控制信息；
e.採用令牌桶機制對不同優先級控制信息輸出至分路器進行流量控制；
f.分路器將不同的數據包分流到不同優先級的緩存隊列。步驟a含有如下步驟
al.制定標準化的業務識別構件接口 ； a2.將業務識別構件代碼下載至FPGA ； a3.業務識別構件參數配置；
a4.並行性下載及配置當有新業務到來時，提前在不影響其它業務識別構件正常運行 的情況下，利用FPGA的閒餘資源下載新的業務識別構件並配置啟動； 步驟b含有如下步驟
bl.將數據包按規則切成一定個數等長的cell單元；
b2.將每個cell單元發送至n+1個地址將每個cell單元廣播發送給η個業務識別 構件和一個緩存器；
步驟c含有如下步驟
cl.各業務識別構件採用不同的業務識別方法識別cell單元； c2.業務識別結果輸出輸入cell單元，業務識別構件進行匹配，當處理完最後一個 cell單元時，輸出匹配結果；步驟d含有如下步驟
d 1.綜合各業務識別構件的輸出匹配信息在識別結果控制模塊中建立業務識別構 件地址、業務識別構件所識別業務、業務識別構件所識別業務的優先級的對應列表，對於與 數據包匹配的業務識別構件，通過判斷該業務識別構件的地址，查找對應業務的優先級； d 2.將數據包的cell單元個數信息傳送給令牌桶；
d 3.數據包的優先級控制信息輸出給令牌桶，在優先級控制信息等待輸出之前啟動計 數器，計數器的初值為數據包的cell單元個數，優先級控制信息每輸出一個，則計數器減 1，當計數器為0時，重新為下一個數據包計數； 步驟e含有如下步驟
e 1.令牌桶的權標註入令牌桶以速率r注入權標，權標個數為識別結果控制模塊傳 輸的被識別的數據包分割成的cell單元的個數，每個權標對應一個cell單元；
e 2 .優先級控制信息輸出到分路器當令牌桶中有權標時，則將優先級控制信息輸出 到分路器，當權標使用完畢，則等待下一個數據包的cell單元個數信息； 步驟f含有如下步驟
f 1.數據包中的優先級控制信息決定數據包輸出到相應緩存隊列當有優先級控制信 息輸入時，分路器將緩存器中的cell單元分路到相應的優先級的緩存隊列；
f 2.實現對不同的數據包的流量整形令牌桶中權標的注入速率ν影響著不同類型的 數據包到達不同優先級的緩存隊列的速率。業務i只另Ij構件接 口含有 Data_in、Data_valid、Attribution、Match，其中，Data_ in接口接收固定比特長度的數據包切片，Data_Valid是有效位，Match與識別結果控制模 塊相連，Match將匹配信息輸出至識別結果控制模塊，Attribution接收主控組件下發的配
直fe息。cell單元的長度為139位，cell單元含有3位的頭尾標示、4位的控制標示、4位 的通道號標示、128位的數據，如果cell單元的最後不足128位則用空字節填充；所述每個 業務識別構件的識別方式不同，但都滿足實時性的要求，其延時t不超過4個時鐘周期。業務識別構件輸出的匹配結果有兩種如果匹配，業務識別構件則輸出有效位 11、表示數據包cell單元個數的一個數值，該數值表示該數據包所分割成的cell單元個 數，該數值最大為256 ；如果不匹配，業務識別構件則輸出有效位00。業務識別方法含有關鍵字匹配業務識別方法、正則表達式業務識別方法、行為特 徵業務識別方法。
權利要求
一種可重構路由交換平臺數據包的識別、分類方法，其特徵是含有如下步驟a．路由交換平臺主控組件將業務識別構件代碼下載至FPGA並配置啟動；b．通過一定數量的硬體地址激勵的方法對數據包進行切片複製；c．業務識別構件對不同類型的數據包切片採用不同類型的識別方法輸出匹配信息；d．對業務識別構件輸出的匹配信息進行綜合後輸出優先級控制信息；e．採用令牌桶機制對不同優先級控制信息輸出至分路器進行流量控制；f．分路器將不同的數據包分流到不同優先級的緩存隊列。
2.根據權利要求1所述的可重構路由交換平臺數據包的識別、分類方 法，其特徵是所述步驟a含有如下步驟al.制定標準化的業務識別構件接口 ； a2.將業務識別構件代碼下載至FPGA ； a3.業務識別構件參數配置；a4.並行性下載及配置當有新業務到來時，提前在不影響其它業務識別構件正常運行 的情況下，利用FPGA的閒餘資源下載新的業務識別構件並配置啟動； 所述步驟b含有如下步驟bl.將數據包按規則切成一定個數等長的cell單元；b2.將每個cell單元發送至n+1個地址將每個cell單元廣播發送給η個業務識別 構件和一個緩存器；所述步驟c含有如下步驟cl.各業務識別構件採用不同的業務識別方法識別cell單元； c2.業務識別結果輸出輸入cell單元，業務識別構件進行匹配，當處理完最後一個 cell單元時，輸出匹配結果； 所述步驟d含有如下步驟d 1.綜合各業務識別構件的輸出匹配信息在識別結果控制模塊中建立業務識別構 件地址、業務識別構件所識別業務、業務識別構件所識別業務的優先級的對應列表，對於與 數據包匹配的業務識別構件，通過判斷該業務識別構件的地址，查找對應業務的優先級； d 2.將數據包的cell單元個數信息傳送給令牌桶；d 3.數據包的優先級控制信息輸出給令牌桶，在優先級控制信息等待輸出之前啟動計 數器，計數器的初值為數據包的cell單元個數，優先級控制信息每輸出一個，則計數器減 1，當計數器為0時，重新為下一個數據包計數； 所述步驟e含有如下步驟e 1.令牌桶的權標註入令牌桶以速率r注入權標，權標個數為識別結果控制模塊傳 輸的被識別的數據包分割成的cell單元的個數，每個權標對應一個cell單元；e 2 .優先級控制信息輸出到分路器當令牌桶中有權標時，則將優先級控制信息輸出 到分路器，當權標使用完畢，則等待下一個數據包的cell單元個數信息； 所述步驟f含有如下步驟f 1.數據包中的優先級控制信息決定數據包輸出到相應緩存隊列當有優先級控制信 息輸入時，分路器將緩存器中的cell單元分路到相應的優先級的緩存隊列；f 2.實現對不同的數據包的流量整形令牌桶中權標的注入速率ν影響著不同類型的 數據包到達不同優先級的緩存隊列的速率。
3.根據權利要求2所述的可重構路由交換平臺數據包的識別、分類方法，其特徵是所述業務識別構件接口含有Data_in、Data_valid、Attribution、 Match，其中，Datajn接口接收固定比特長度的數據包切片，Datajalid是有效位，Match 與識別結果控制模塊相連，Match將匹配信息輸出至識別結果控制模塊，Attribution接收 主控組件下發的配置信息。
4.根據權利要求2所述的可重構路由交換平臺數據包的識別、分類方法，其特徵是所述cell單元的長度為139位，cell單元含有3位的頭尾標示、4位的 控制標示、4位的通道號標示、128位的數據，如果cell單元的最後不足128位則用空字節 填充；所述每個業務識別構件的識別方式不同，但都滿足實時性的要求，其延時不超過4個 時鐘周期。
5.根據權利要求2所述的可重構路由交換平臺數據包的識別、分類方法，其特徵是 所述業務識別構件輸出的匹配結果有兩種如果匹配，業務識別構件則輸出有效位11、表 示數據包cell單元個數的一個數值，該數值表示該數據包所分割成的cell單元個數，該數 值最大為256 ；如果不匹配，業務識別構件則輸出有效位00。
6.根據權利要求2所述的可重構路由交換平臺數據包的識別、分類方法，其特徵是 所述業務識別方法含有關鍵字匹配業務識別方法、正則表達式業務識別方法、行為特徵業 務識別方法。
全文摘要
本發明涉及一種可重構路由交換平臺數據包的識別、分類方法；該方法含有如下步驟a．路由交換平臺主控組件將業務識別構件代碼下載至FPGA並配置啟動；b．通過一定數量的硬體地址激勵的方法對數據包進行切片複製；c．業務識別構件對不同類型的數據包切片採用不同類型的識別方法輸出匹配信息；d．對業務識別構件輸出的匹配信息進行綜合後輸出優先級控制信息；e．採用令牌桶機制對不同優先級控制信息輸出至分路器進行流量控制；f．分路器將不同的數據包分流到不同優先級的緩存隊列；本發明提供了一種可擴展性強、滿足未來對新型業務流識別需要的可重構路由交換平臺數據包的識別、分類方法。
文檔編號H04L12/56GK101977161SQ20101056538
公開日2011年2月16日 申請日期2010年11月30日 優先權日2010年11月30日
發明者伊鵬, 張博, 張建輝, 汪斌強, 王保進, 王婷, 袁博, 趙靚, 鄔鈞霆, 齊寧 申請人:中國人民解放軍信息工程大學