專利名稱：一種基于五元組和負載內(nèi)容的采樣設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于五元組和負載內(nèi)容的采樣設(shè)備。
背景技術(shù)：
隨著互聯(lián)網(wǎng)的高速發(fā)展和網(wǎng)絡(luò)規(guī)模的不斷擴大，不僅網(wǎng)上的應(yīng)用也越來越復(fù)雜， 而且網(wǎng)絡(luò)上的各種攻擊也越來越多，因此網(wǎng)絡(luò)設(shè)備都需要監(jiān)控網(wǎng)絡(luò)流量分布情況的功能。 目前現(xiàn)有技術(shù)中的網(wǎng)絡(luò)設(shè)備都能夠提供數(shù)據(jù)包的統(tǒng)計功能，但這個統(tǒng)計功能只能了解通過該網(wǎng)絡(luò)設(shè)備大致的流量，不能詳細的了解網(wǎng)絡(luò)流量的分布情況，如在通過該網(wǎng)絡(luò)設(shè)備的流量中來自哪個源IP地址的流量最多和哪種應(yīng)用層協(xié)議的報文最多，然而這正是對確定網(wǎng)絡(luò)攻擊源所必須的。專利號“CN200780023942.X”、發(fā)明名稱為“管理電子節(jié)目指南的技術(shù)”公開了管理電子節(jié)目指南的技術(shù)。一種裝置可包括顯示包括動態(tài)縮放網(wǎng)格的電子節(jié)目指南的顯示器。 該裝置還可包括耦合到該顯示器的媒體處理設(shè)備。該媒體處理設(shè)備可包括處理器和供該處理器執(zhí)行的電子節(jié)目指南管理模塊。該電子節(jié)目指南管理模塊可管理顯示器上的動態(tài)縮放網(wǎng)格。該動態(tài)縮放網(wǎng)格可包括主存節(jié)目項的內(nèi)容單元格以顯示第一組相關(guān)聯(lián)的元數(shù)據(jù)，且該內(nèi)容單元格在被選擇時被擴大以顯示對應(yīng)于該節(jié)目項的第二組相關(guān)聯(lián)的元數(shù)據(jù)。對其它實施例也予以描述并主張權(quán)利。專利號“CN201010130309.4”、發(fā)明名稱為“采樣設(shè)備和方法”公開了一種采樣設(shè)
備，包括被采樣信號輸入，用于接收被采樣的信號；采樣時鐘輸入，用于接收采樣時鐘；多個采樣單元，每一個采樣單元都具有用于接收被采樣的信號的第一輸入、用于接收各自的采樣時鐘的第二輸入以及用于輸出采樣后的數(shù)據(jù)的輸出；移相單元，對采樣時鐘進行移相處理，并將多個移相處理后的采樣時鐘分別輸出至多個采樣單元中每一個采樣單元的第二輸入；以及匯總單元，將多個采樣單元中每一個采樣單元的輸出進行匯總，以獲得最終的采樣數(shù)據(jù)。本發(fā)明還提供了一種相應(yīng)的采樣方法。本發(fā)明無需提高采樣時鐘的頻率，便可利用具有較低頻率的采樣時鐘來實現(xiàn)高采樣率的采樣。如果對網(wǎng)絡(luò)流的所有數(shù)據(jù)包進行分析會消耗大量的CPU資源，并且統(tǒng)計的帶寬流量范圍比較小。為詳細了解網(wǎng)絡(luò)流量分布情況同時降低CPU負擔(dān)和增大統(tǒng)計流量帶寬，本發(fā)明采用數(shù)據(jù)流采樣技術(shù)，同時將關(guān)心的五元組和應(yīng)用層協(xié)議流量上傳主機進行分析。為了實現(xiàn)這個目標(biāo)，出現(xiàn)很多基于流統(tǒng)計的技術(shù)，這些技術(shù)一般都能夠統(tǒng)計一個數(shù)據(jù)流在某個時間段內(nèi)的數(shù)據(jù)包和字節(jié)數(shù)統(tǒng)計情況，包括五元組(源IP，目的IP，源端口、 目的端口、協(xié)議類型)信息。但是如果對于數(shù)據(jù)流所有的數(shù)據(jù)包都要進行抽樣的話，就會消耗大量的CPU資源，同時由于統(tǒng)計的帶寬流量限制，也無法對更多的流進行統(tǒng)計。因此為了降低CPU的使用負擔(dān)，也為了統(tǒng)計更大范圍的流量分布情況，一般會對數(shù)據(jù)流采取抽樣技術(shù)，這樣既能有效降低統(tǒng)計的數(shù)據(jù)流量，有能準(zhǔn)備的了解數(shù)據(jù)的流量分布情況?，F(xiàn)有抽樣技術(shù)只是對網(wǎng)絡(luò)包按照一定的間隔進行采集，為了對網(wǎng)絡(luò)流的分析更具有針對性，例如只是針對某個IP或者某個端口或者某種應(yīng)用層協(xié)議進行
為詳細了解網(wǎng)絡(luò)流量分布情況，出現(xiàn)很多基于流統(tǒng)計的技術(shù)，這些技術(shù)一般都能夠統(tǒng)計一個數(shù)據(jù)流在某個時間段內(nèi)的數(shù)據(jù)包和字節(jié)數(shù)統(tǒng)計情況，包括五元組(源IP，目的 IP，源端口、目的端口、協(xié)議類型)信息。但是如果對于數(shù)據(jù)流所有的數(shù)據(jù)包都要進行抽樣的話，就會消耗大量的CPU資源，同時由于統(tǒng)計的帶寬流量限制，也無法對更多的流進行統(tǒng)計。為釋放CPU和增加統(tǒng)計流量帶寬，出現(xiàn)很多抽樣技術(shù)，這些技術(shù)一般都是按照某個采樣進行對網(wǎng)絡(luò)流進行提取，并不關(guān)心具體五元組和應(yīng)用層協(xié)議，無法使分析具有針對性。

發(fā)明內(nèi)容
本發(fā)明克服現(xiàn)有技術(shù)不足，本發(fā)明采用硬件實現(xiàn)。本發(fā)明提供了一種基于五元組和負載內(nèi)容的采樣設(shè)備，包括依次連接的數(shù)據(jù)包接收模塊、抽樣模塊、應(yīng)用層協(xié)議過濾模塊和五元組過濾模塊。本發(fā)明提供的基于五元組和負載內(nèi)容的采樣設(shè)備，所述數(shù)據(jù)包接收模塊接受網(wǎng)絡(luò)流量。本發(fā)明提供的基于五元組和負載內(nèi)容的采樣設(shè)備，所述抽樣模塊接收數(shù)據(jù)包接收模塊傳來的數(shù)據(jù)報文并進行抽樣。本發(fā)明提供的基于五元組和負載內(nèi)容的采樣設(shè)備，所述抽樣模塊包括對報文進行計數(shù)的報文計數(shù)器。本發(fā)明提供的基于五元組和負載內(nèi)容的采樣設(shè)備，報文計數(shù)器的頻率與采樣間隔相等。本發(fā)明提供的基于五元組和負載內(nèi)容的采樣設(shè)備，所述抽樣模塊將報文上傳到所述五元組過濾模塊，同時報文計數(shù)器對采樣間隔進行模運算。本發(fā)明提供的基于五元組和負載內(nèi)容的采樣設(shè)備，抽樣模塊的抽樣比例為50%。本發(fā)明提供的基于五元組和負載內(nèi)容的采樣設(shè)備，所述五元組過濾模塊采用基于 CAM并行查找方式，對所有規(guī)則并行查找，將命中規(guī)則報文上傳給所述應(yīng)用層協(xié)議過濾模塊。本發(fā)明提供的基于五元組和負載內(nèi)容的采樣設(shè)備，所述應(yīng)用層協(xié)議過濾模塊采用軟硬件結(jié)合的方式，軟件將正則表達式編譯成DFA表，存儲在設(shè)備內(nèi)存中，所述應(yīng)用層協(xié)議模塊進行查表操作，如果匹配功能則上傳該報文。與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果在于1)將網(wǎng)絡(luò)流量按照配置比例進行抽樣；2)五元組和應(yīng)用層協(xié)議報文上傳主機進行分析；3)降低CPU負擔(dān)和增加網(wǎng)絡(luò)流統(tǒng)計帶寬；4)對關(guān)注特征流量進行重點分析。


圖1是本發(fā)明的結(jié)構(gòu)示意圖；圖2是本發(fā)明抽樣間隔示意圖3是本發(fā)明抽樣結(jié)構(gòu)示意圖。
具體實施例方式本發(fā)明采用硬件實現(xiàn)，包括數(shù)據(jù)包接收模塊、抽樣模塊、五元組過濾和應(yīng)用層協(xié)議分析模塊，如圖1所示，采樣設(shè)備，包括依次連接的數(shù)據(jù)包接收模塊、抽樣模塊、應(yīng)用層協(xié)議過濾模塊和五元組過濾模塊。參見附圖2，抽樣模塊接收數(shù)據(jù)報文并進行計數(shù)，如果與采樣間隔(可由主機進行動態(tài)配置)相等，將報文上傳五元組過濾模塊同時報文計數(shù)器對采樣間隔進行模運算，如圖所示，抽樣比例為50%，其中黑色方格為被抽樣報文。五元組過濾模塊采用基于CAM并行查找方式，對所有規(guī)則并行查找，將命中規(guī)則報文上傳給應(yīng)用層協(xié)議過濾模塊。應(yīng)用層協(xié)議過濾模塊采用軟硬件結(jié)合的方式，軟件將正則表達式編譯成DFA表，存儲在設(shè)備內(nèi)存中，應(yīng)用層協(xié)議模塊進行查表操作，如果匹配功能則上傳該報文，如圖3所示。經(jīng)過上述模塊就完成了對關(guān)注五元組和應(yīng)用層協(xié)議網(wǎng)絡(luò)流量的抽樣。本發(fā)明將網(wǎng)絡(luò)流量按照配置比例進行抽樣，五元組和應(yīng)用層協(xié)議報文上傳主機進行分析，降低CPU負擔(dān)和增加網(wǎng)絡(luò)流統(tǒng)計帶寬，對關(guān)注特征流量進行重點分析。但是如果對于數(shù)據(jù)流所有的數(shù)據(jù)包都要進行抽樣的話，就會消耗大量的CPU資源，同時由于統(tǒng)計的帶寬流量限制，也無法對更多的流進行統(tǒng)計。以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制，盡管參照上述實施例對本發(fā)明進行了詳細的說明，所述領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對本發(fā)明的具體實施方式
進行修改或者同等替換，而未脫離本發(fā)明精神和范圍的任何修改或者等同替換， 其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.一種基于五元組和負載內(nèi)容的采樣設(shè)備，其特征在于，包括依次連接的數(shù)據(jù)包接收模塊、抽樣模塊、應(yīng)用層協(xié)議過濾模塊和五元組過濾模塊。
2.根據(jù)權(quán)利要求1所述的采樣設(shè)備，其特征在于，所述數(shù)據(jù)包接收模塊接受網(wǎng)絡(luò)流量。
3.根據(jù)權(quán)利要求1-2所述的采樣設(shè)備，其特征在于，所述抽樣模塊接收數(shù)據(jù)包接收模塊傳來的數(shù)據(jù)報文并進行抽樣。
4.根據(jù)權(quán)利要求1-3所述的采樣設(shè)備，其特征在于，所述抽樣模塊包括對報文進行計數(shù)的報文計數(shù)器。
5.根據(jù)權(quán)利要求1-4所述的采樣設(shè)備，其特征在于，報文計數(shù)器的頻率與采樣間隔相寸。
6.根據(jù)權(quán)利要求1-5所述的采樣設(shè)備，其特征在于，所述抽樣模塊將報文上傳到所述五元組過濾模塊，同時報文計數(shù)器對采樣間隔進行模運算。
7.根據(jù)權(quán)利要求1-6所述的采樣設(shè)備，其特征在于，抽樣模塊的抽樣比例為50%。
8.根據(jù)權(quán)利要求1-7所述的采樣設(shè)備，其特征在于，所述五元組過濾模塊采用基于CAM 并行查找方式，對所有規(guī)則并行查找，將命中規(guī)則報文上傳給所述應(yīng)用層協(xié)議過濾模塊。
9.根據(jù)權(quán)利要求1-8所述的采樣設(shè)備，其特征在于，所述應(yīng)用層協(xié)議過濾模塊采用軟硬件結(jié)合的方式，軟件將正則表達式編譯成DFA表，存儲在設(shè)備內(nèi)存中，所述應(yīng)用層協(xié)議模塊進行查表操作，如果匹配功能則上傳該報文。
全文摘要
本發(fā)明提供一種基于五元組和負載內(nèi)容的采樣設(shè)備，包括數(shù)據(jù)包接收模塊、抽樣模塊、應(yīng)用層協(xié)議過濾模塊和五元組過濾模塊；所述數(shù)據(jù)包接收模塊連接抽樣模塊；所述抽樣模塊連接五元組過濾模塊；所述五元組過濾模塊連接所述應(yīng)用層協(xié)議過濾模塊。與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果在于1)將網(wǎng)絡(luò)流量按照配置比例進行抽樣；2)五元組和應(yīng)用層協(xié)議報文上傳主機進行分析；3)降低CPU負擔(dān)和增加網(wǎng)絡(luò)流統(tǒng)計帶寬；4)對關(guān)注特征流量進行重點分析。
文檔編號H04L29/06GK102497371SQ20111041356
公開日2012年6月13日 申請日期2011年12月13日 優(yōu)先權(quán)日2011年12月13日
發(fā)明者劉興奎, 劉朝輝, 姬乃軍, 李鋒偉, 紀(jì)奎 申請人:曙光信息產(chǎn)業(yè)(北京)有限公司