專利名稱:一種高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法
技術(shù)領(lǐng)域:
本發(fā)明是一種對網(wǎng)絡(luò)中的傳輸數(shù)據(jù)進(jìn)行分析的方法����,可用于內(nèi)容審計�����、內(nèi)容過濾
以及網(wǎng)絡(luò)訪問控制等領(lǐng)域�。
背景技術(shù):
目前,在訪問控制�����、內(nèi)容過濾����、內(nèi)容審計以及網(wǎng)絡(luò)安全等領(lǐng)域中,需要對網(wǎng)絡(luò)使用 情況和網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控�。網(wǎng)絡(luò)監(jiān)控設(shè)備按照應(yīng)用協(xié)議對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分類、識別��,并可記 錄數(shù)據(jù)內(nèi)容及按照特定規(guī)則對會話進(jìn)行控制��。通常�����,監(jiān)控設(shè)備都部署在網(wǎng)絡(luò)出口處,設(shè)備上 運行一個數(shù)據(jù)分析引擎實現(xiàn)上述功能�����。因此�����,在大流量的網(wǎng)絡(luò)環(huán)境中�����,需要盡可能的減少丟 包率���,使監(jiān)控設(shè)備可以記錄下更多更完整的數(shù)據(jù)��。數(shù)據(jù)分析引擎本身的處理能力成為了設(shè) 備性能的瓶頸����。 通常情況下�����,數(shù)據(jù)分析引擎從操作系統(tǒng)的協(xié)議棧中獲取數(shù)據(jù)包。在獲取數(shù)據(jù)包之 前�,協(xié)議棧首先對整個數(shù)據(jù)流進(jìn)行數(shù)據(jù)流重組等操作,然后再將數(shù)據(jù)包交給分析引擎順序 處理�。這樣的話,協(xié)議棧必須對所有流經(jīng)的數(shù)據(jù)進(jìn)行上述操作���,存在下列缺點
1.由于數(shù)據(jù)分析引擎只是針對特定的會話進(jìn)行內(nèi)容分析,因此數(shù)據(jù)流重組等操作 只需要針對特定會話�; 2.監(jiān)控設(shè)備一般都會設(shè)置匹配規(guī)則,不符合規(guī)則的會話也不應(yīng)該進(jìn)行數(shù)據(jù)流重組 等操作����; 3.協(xié)議棧的串行操作延緩了上層的應(yīng)用數(shù)據(jù)處理。
發(fā)明內(nèi)容
本發(fā)明的目的在于使用一種高速并行的應(yīng)用分析方法����,針對上述缺點對數(shù)據(jù)分析 引擎進(jìn)行改進(jìn),提高大流量網(wǎng)絡(luò)環(huán)境中的監(jiān)控設(shè)備的數(shù)據(jù)分析引擎的性能�。
實現(xiàn)本發(fā)明的技術(shù)方案包括如下步驟
1.數(shù)據(jù)獲取直接從網(wǎng)絡(luò)接口獲取原始數(shù)據(jù); 2.會話管理根據(jù)數(shù)據(jù)包的地址和協(xié)議信息查找會話節(jié)點���,未找到則生成會話節(jié) 點信息��;會話節(jié)點中至少包含以下信息源/目的MAC地址���、源/目的IP地址���、傳輸層協(xié)議、 源/目的端口����、會話動作(通過/拒絕); 3.監(jiān)控匹配按照設(shè)定規(guī)則對新建會話節(jié)點進(jìn)行匹配�����,并執(zhí)行相應(yīng)的動作�;如果 不是新建節(jié)點,則直接執(zhí)行相應(yīng)的動作�; 4.應(yīng)用分析針對會話的數(shù)據(jù)流重組,并進(jìn)行相應(yīng)的應(yīng)用數(shù)據(jù)分析�����。 —種高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法�����,用于網(wǎng)絡(luò)監(jiān)控設(shè)備的數(shù)據(jù)分析引擎���,包
括 用于獲取數(shù)據(jù)包的數(shù)據(jù)獲取模塊���;
用于管理應(yīng)用會話信息的會話管理模塊�;
用于匹配監(jiān)控規(guī)則的監(jiān)控匹配模塊���;
3
用于處理應(yīng)用數(shù)據(jù)的應(yīng)用分析模塊�; 由數(shù)據(jù)獲取模塊從網(wǎng)絡(luò)接口獲取原始數(shù)據(jù)包����,然后從會話管理模塊獲取相應(yīng)的會
話信息����;監(jiān)控匹配模塊匹配新建的會話信息,并設(shè)置會話的處理動作�;多個應(yīng)用協(xié)議分析
模塊并行處理應(yīng)用數(shù)據(jù)。 該方法的先進(jìn)之處在于 1.針對會話進(jìn)行監(jiān)控匹配�����,減少了數(shù)據(jù)包的監(jiān)控規(guī)則匹配次數(shù)����;
2.預(yù)先對會話進(jìn)行監(jiān)控匹配����,避免了多余的數(shù)據(jù)流重組處理��;
3.多個應(yīng)用協(xié)議分析模塊進(jìn)行并行處理���,提高了數(shù)據(jù)處理的效率�。
圖1是本發(fā)明的處理流程圖����。
具體實施例方式
如圖1所示,一種高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法���,包括如下步驟
1.數(shù)據(jù)獲取直接從網(wǎng)絡(luò)接口獲取原始數(shù)據(jù)�����; 2.會話管理根據(jù)數(shù)據(jù)包的地址和協(xié)議信息查找會話節(jié)點�����,未找到則新建會話節(jié) 點�;會話節(jié)點中至少包含以下信息源/目的MAC地址�����、源/目的IP地址、傳輸層協(xié)議、源/ 目的端口、會話動作(通過/拒絕)�; 3.監(jiān)控匹配按照設(shè)定規(guī)則對新建會話節(jié)點進(jìn)行匹配����,并執(zhí)行相應(yīng)的動作����;如果 不是新建節(jié)點,則直接執(zhí)行相應(yīng)的動作����; 4.應(yīng)用分析針對會話的數(shù)據(jù)流重組��,并進(jìn)行相應(yīng)的應(yīng)用數(shù)據(jù)分析�����。
權(quán)利要求
一種高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法��,用于網(wǎng)絡(luò)監(jiān)控設(shè)備的數(shù)據(jù)分析引擎�,其特征在于包括用于獲取數(shù)據(jù)包的數(shù)據(jù)獲取模塊��;用于管理應(yīng)用會話信息的會話管理模塊�;用于匹配監(jiān)控規(guī)則的監(jiān)控匹配模塊����;多個用于處理應(yīng)用數(shù)據(jù)的應(yīng)用分析模塊;由數(shù)據(jù)獲取模塊從網(wǎng)絡(luò)接口獲取原始數(shù)據(jù)包����,然后從會話管理模塊獲取相應(yīng)的會話信息;監(jiān)控匹配模塊匹配新建的會話信息���,并設(shè)置會話的處理動作���;多個應(yīng)用協(xié)議分析模塊并行處理應(yīng)用數(shù)據(jù)。
2. 根據(jù)權(quán)利要求1所述的一種高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法�,其特征在于從網(wǎng) 絡(luò)接口獲取原始數(shù)據(jù)包,而不經(jīng)過操作系統(tǒng)的協(xié)議棧�。
3. 根據(jù)權(quán)利要求1所述的一種高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法,其特征在于使用 會話管理模塊對數(shù)據(jù)流進(jìn)行管理����,按照數(shù)據(jù)流進(jìn)行監(jiān)控匹配。
4. 根據(jù)權(quán)利要求1所述的一種高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法,其特征在于使用 多個應(yīng)用分析模塊���,對數(shù)據(jù)進(jìn)行并行處理�����。
5. —種高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法��,其特征在于包含如下步驟1) 數(shù)據(jù)獲取直接從網(wǎng)絡(luò)接口獲取原始數(shù)據(jù)�����;2) 會話管理根據(jù)數(shù)據(jù)包的地址和協(xié)議信息查找會話節(jié)點�����,未找到則新建會話節(jié)點�����; 會話節(jié)點中至少包含以下信息源/目的MAC地址、源/目的IP地址��、傳輸層協(xié)議�����、源/目 的端口、會話動作(通過/拒絕)��;3) 監(jiān)控匹配按照設(shè)定規(guī)則對新建會話節(jié)點進(jìn)行匹配����,并執(zhí)行相應(yīng)的動作;如果不是 新建節(jié)點�����,則直接執(zhí)行相應(yīng)的動作�;4) 應(yīng)用分析針對會話的數(shù)據(jù)流重組,并進(jìn)行相應(yīng)的應(yīng)用數(shù)據(jù)分析���。
全文摘要
本發(fā)明涉及高速并行網(wǎng)絡(luò)協(xié)議與應(yīng)用分析方法�����。本發(fā)明是一種對網(wǎng)絡(luò)中的傳輸數(shù)據(jù)進(jìn)行分析的方法�����,可用于內(nèi)容審計�、內(nèi)容過濾以及網(wǎng)絡(luò)訪問控制等領(lǐng)域。直接從網(wǎng)絡(luò)接口獲取原始數(shù)據(jù)����,通過會話管理模塊獲取會話信息;針對會話進(jìn)行監(jiān)控匹配處理后����,由多個應(yīng)用分析模塊對應(yīng)用數(shù)據(jù)進(jìn)行并行處理。該方法提高了網(wǎng)絡(luò)監(jiān)控設(shè)備的數(shù)據(jù)分析引擎的工作效率����。
文檔編號H04L12/26GK101771569SQ20101000049
公開日2010年7月7日 申請日期2010年1月15日 優(yōu)先權(quán)日2010年1月15日
發(fā)明者尹志超 申請人:萊克斯科技(北京)有限公司