CN103391219A - 基于会话的报文分析方法及装置 - Google Patents
基于会话的报文分析方法及装置 Download PDFInfo
- Publication number
- CN103391219A CN103391219A CN2013103459289A CN201310345928A CN103391219A CN 103391219 A CN103391219 A CN 103391219A CN 2013103459289 A CN2013103459289 A CN 2013103459289A CN 201310345928 A CN201310345928 A CN 201310345928A CN 103391219 A CN103391219 A CN 103391219A
- Authority
- CN
- China
- Prior art keywords
- message
- encapsulation
- analysis
- parameter
- parameter value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于会话的报文分析方法及装置。本发明实施例通过根据所接收的待分析的目标报文所属的会话,获得与所述目标报文对应的封装参数,使得能够利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文,由于封装参数与目标报文所属的会话存在对应关系,因此,使得由不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够避免现有技术中由于分析设备的处理能力有限而导致的单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求的问题,从而提高了报文分析的可靠性。
Description
技术领域
本发明涉及报文分析技术,尤其涉及一种基于会话的报文分析方法及装置。
背景技术
在现网中,基于网络安全的考虑,可以在不影响正常业务的报文转发行为的基础上,对网络设备所接收的报文进行分析。网络设备接收到报文之后,复制一份相同的报文,并利用路由封装协议,对报文进行路由封装,以生成分析报文,然后发送给下一跳网络设备,由下一跳网络设备将所述分析报文,发送给分析设备。
然而,由于分析设备的处理能力有限,在一些情况下,例如,交换设备的端口带宽的不断增长,等,使得单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求。这样,从而导致了报文分析的可靠性的降低。
发明内容
本发明的多个方面提供一种基于会话的报文分析方法及装置,用以提高报文分析的可靠性。
本发明的一方面,提供一种基于会话的报文分析方法,包括:
接收待分析的目标报文;
根据所述目标报文所属的会话,获得与所述目标报文对应的封装参数;
利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述封装参数包括外层目的地址。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述目标报文所属的会话,获得与所述目标报文对应的封装参数,包括:
根据所述目标报文的会话特征信息,获得与所述目标报文对应的封装参数,所述会话特征信息包括协议号,以及,源地址与目的地址、和源端口号与目的端口号中的至少一组。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述目标报文的会话特征信息,获得与所述目标报文对应的封装参数,包括:
将所述源地址和所述目的地址,进行异或运算,以获得第一参数值;
将所述源地址和所述目的地址,进行同或运算,以获得第二参数值;
将所述源端口号和所述目的端口号,进行异或运算,以获得第三参数值;
将所述源端口号和所述目的端口号,进行同或运算,以获得第四参数值;
对所述第一参数值、所述第二参数值、所述第三参数值、所述第四参数值和所述协议号,进行哈希计算,以获得哈希值;
根据哈希值,获得与所述哈希值对应的所述封装参数。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文之后,还包括:
向下一跳网络设备发送所述分析报文,以使得所述下一跳网络设备根据所述封装参数,查询下一跳网络设备的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文;或者
根据所述封装参数,查询本地的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文。
本发明的另一方面,提供一种基于会话的报文分析装置,包括:
接收单元,用于接收待分析的目标报文;
获得单元,用于根据所述目标报文所属的会话,获得与所述目标报文对应的封装参数;
封装单元,用于利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述封装参数包括外层目的地址。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述获得单元,具体用于
根据所述目标报文的会话特征信息,获得与所述目标报文对应的封装参数,所述会话特征信息包括协议号,以及,源地址与目的地址、和源端口号与目的端口号中的至少一组。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述获得单元,具体用于
将所述源地址和所述目的地址,进行异或运算,以获得第一参数值;
将所述源地址和所述目的地址,进行同或运算,以获得第二参数值;
将所述源端口号和所述目的端口号,进行异或运算,以获得第三参数值;
将所述源端口号和所述目的端口号,进行同或运算,以获得第四参数值;
对所述第一参数值、所述第二参数值、所述第三参数值、所述第四参数值和所述协议号,进行哈希计算,以获得哈希值;
根据哈希值,获得与所述哈希值对应的所述封装参数。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述装置还包括发送单元;
所述发送单元用于
向下一跳网络设备发送所述分析报文,以使得所述下一跳网络设备根据所述封装参数,查询下一跳网络设备的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文;或者
所述发送单元用于
向所述接收单元发送所述分析报文;
所述接收单元,还用于接收所述分析报文,根据所述封装参数,查询本地的转发表,以获得所述分析报文的转发表项;
所述发送单元,还用于根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文。
由上述技术方案可知,本发明实施例通过根据所接收的待分析的目标报文所属的会话,获得与所述目标报文对应的封装参数,使得能够利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文,由于封装参数与目标报文所属的会话存在对应关系,因此,使得由不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够避免现有技术中由于分析设备的处理能力有限而导致的单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求的问题,从而提高了报文分析的可靠性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的基于会话的报文分析方法的流程示意图;
图2为本发明另一实施例提供的基于会话的报文分析装置的结构示意图;
图3为本发明另一实施例提供的基于会话的报文分析装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1为本发明一实施例提供的基于会话的报文分析方法的流程示意图,如图1所示。
101、接收待分析的目标报文。
102、根据所述目标报文所属的会话,获得与所述目标报文对应的封装参数。
103、利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文。
其中,所述路由封装可以包括但不限于通用路由封装(Generic Routing Encapsulation,GRE)、IP隧道封装或多协议标签交换(Multi-Protocol Label Switching,MPLS)封装,本实施例对此不进行特别限定。
需要说明的是,101~103的执行主体可以为网络设备,可以是(Optical Network Terminal,ONT)、用户驻地设备(Customer Premises Equipment,CPE)、数字用户线接入复用器(Digital Subscriber Line Access Multiplexer,DSLAM)、路由器或交换机,或还可以是其他网络设备,本发明对此不进行特别限定。
这样,通过根据所接收的待分析的目标报文所属的会话,获得与所述目标报文对应的封装参数,使得能够利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文,由于封装参数与目标报文所属的会话存在对应关系,因此,使得由不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够避免现有技术中由于分析设备的处理能力有限而导致的单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求的问题,从而提高了报文分析的可靠性。
另外,采用本发明提供的技术方案,不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够达到分流的目的,从而实现了基于会话的负载均衡。
另外,采用本发明提供的技术方案,不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,使得分析设备能够以会话为单位,对该会话的分析报文进行分析,使得完整的会话分析得以实现,从而能够进一步提高报文分析的目的性。
可选地,在本实施例的一个可能的实现方式中,在102之前,还可以进一步预先建立封装参数列表,所述封装参数列表中包含至少两个封装参数。
其中,所述封装参数可以包括但不限于外层目的地址,即封装的报文头的目的地址。
可选地,在本实施例的一个可能的实现方式中,在102中,网络设备具体可以根据所述目标报文的会话特征信息,获得与所述目标报文对应的封装参数,所述会话特征信息包括协议号,以及,源地址与目的地址、和源端口号与目的端口号中的至少一组。
其中,源端口号和目的端口号可以为传输控制协议(Transmission Control Protocol,TCP)端口号,或者还可以为用户数据报协议(User Datagram Protocol,UDP)端口号,具体可以根据传输协议来确定,本实施例对此不进行特别限定。
一般来说,流量分析都是基于会话进行分析的,例如,服务器与客户端之间的通信。一个会话是指“客户端向服务器发出请求”以及“服务器向客户端返回响应”这两个方向的流量,对于分析设备来说,可以称做报文上下文。对于一个会话的两个方向的流量,他们的特征是:两条“流”的“报文”特征中,源地址和目的地址恰巧位置相反,源端口号和目的端口号恰巧位置相反,协议号相同。
现有的负载均衡方法一般的是通过报文特征(如源地址、目的地址、协议号、源端口号、目的端口号)进行哈希计算将流量分散到不同的分析设备上去,而由于同一会话的两个方向被哈希成不同的值,导致这两个方向的流被分散到不同的分析设备,使得分析设备丢失了会话的报文上下文。
由于,一个会话是双向流向的,即A→B方向,以及B→A方向。对于同向流向来说,一个流向上的报文的这些会话特征信息均相同;对于双向流向来说,两个流向上的报文的源地址与目的地址、源端口号与目的端口号,是互换的,协议号是相同的。因此,网络设备可以执行如下操作,就可以以会话为单位,获得与所述目标报文对应的封装参数:
操作一:将所述源地址和所述目的地址,进行异或运算,以获得第一参数值。
操作二:将所述源地址和所述目的地址,进行同或运算,以获得第二参数值。
操作三:将所述源端口号和所述目的端口号,进行异或运算,以获得第三参数值。
操作四:将所述源端口号和所述目的端口号,进行同或运算,以获得第四参数值。
操作五:对所述第一参数值、所述第二参数值、所述第三参数值、所述第四参数值和所述协议号,进行哈希计算,以获得哈希值。
操作六:根据哈希值,获得与所述哈希值对应的所述封装参数,例如,对哈希值进行取模运算,以获得一个偏移值,进而利用这个偏移值获得对应的封装参数。
这样,通过新的哈希计算方法,根据所接收的待分析的目标报文的会话特征,可以将一个会话的两个方向的流计算出相同的哈希值,使得一个会话获得一致的封装参数,使得能够利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文,由于封装参数与目标报文所属的会话存在对应关系,因此,使得一个会话的所有流总是能够被同一个分析设备接收分析。而不同会话的目标报文封装而成的分析报文会具有不同的封装参数,可以能够被路由到不同的分析设备实现负载均衡。这样,能够在不破坏会话即报文上下文的前提下,避免现有技术中由于分析设备的处理能力有限而导致的单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求的问题,从而提高了报文分析的可靠性。
可以理解的是,如果网络设备采用专用集成电路(Application Specific Integrated Circuit,ASIC)实现其报文转发功能,那么,该网络设备是在接收端进行本地的转发表的查询,以获得报文的转发表项。而本发明提供的技术方案,分析报文是在接收端之后才封装而成的。
这样,在本实施例的一个可能的实现方式中,在103之后,网络设备可以采用现有的报文处理方法,即网络设备则可以直接向下一跳网络设备发送所述分析报文,以使得所述下一跳网络设备根据所述封装参数,查询下一跳网络设备的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文。
或者,在本实施例的一个可能的实现方式中,在103之后,网络设备可以将所述分析报文在该网络设备的内部进行环回(Loopback)操作,以使得该分析报文到达该网络设备的接收端,那么,则可以根据所述封装参数,查询本地的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文。这样,由于网络设备在内部对分析报文执行环回操作,因此,可以直接将分析报文路由到所述封装参数所对应的分析设备,而不需要等到下一跳网络设备才能将分析报文路由到所述封装参数所对应的分析设备,从而能够进一步提高报文分析的效率。
本实施例中,通过根据所接收的待分析的目标报文所属的会话,获得与所述目标报文对应的封装参数,使得能够利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文,由于封装参数与目标报文所属的会话存在对应关系,因此,使得由不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够避免现有技术中由于分析设备的处理能力有限而导致的单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求的问题,从而提高了报文分析的可靠性。
另外,采用本发明提供的技术方案,不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够达到分流的目的,从而实现了基于会话的负载均衡。
另外,采用本发明提供的技术方案,不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,使得分析设备能够以会话为单位,对该会话的分析报文进行分析,使得完整的会话分析得以实现,从而能够进一步提高报文分析的目的性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
图2为本发明另一实施例提供的基于会话的报文分析装置的结构示意图,如图2所示。本实施例的基于会话的报文分析装置可以包括接收单元21、获得单元22和封装单元23。其中,接收单元21,用于接收待分析的目标报文;获得单元22,用于根据所述目标报文所属的会话,获得与所述目标报文对应的封装参数;封装单元23,用于利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文。
其中,所述路由封装可以包括但不限于通用路由封装(Generic Routing Encapsulation,GRE)、IP隧道封装或多协议标签交换(Multi-Protocol Label Switching,MPLS)封装,本实施例对此不进行特别限定。
需要说明的是,本实施例提供的装置可以为网络设备,可以是(Optical Network Terminal,ONT)、用户驻地设备(Customer Premises Equipment,CPE)、数字用户线接入复用器(Digital Subscriber Line Access Multiplexer,DSLAM)、路由器或交换机,或还可以是其他网络设备,本发明对此不进行特别限定。
这样,通过获得单元根据接收单元所接收的待分析的目标报文所属的会话,获得与所述目标报文对应的封装参数,使得封装单元能够利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文,由于封装参数与目标报文所属的会话存在对应关系,因此,使得由不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够避免现有技术中由于分析设备的处理能力有限而导致的单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求的问题,从而提高了报文分析的可靠性。
另外,采用本发明提供的技术方案,不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够达到分流的目的,从而实现了基于会话的负载均衡。
另外,采用本发明提供的技术方案,不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,使得分析设备能够以会话为单位,对该会话的分析报文进行分析,使得完整的会话分析得以实现,从而能够进一步提高报文分析的目的性。
可选地,在本实施例的一个可能的实现方式中,本实施例提供的基于会话的报文分析装置还可以进一步预先建立封装参数列表,所述封装参数列表中包含至少两个封装参数。
其中,所述封装参数可以包括但不限于外层目的地址,即封装的报文头的目的地址。
可选地,在本实施例的一个可能的实现方式中,所述获得单元22,具体可以用于根据所述目标报文的会话特征信息,获得与所述目标报文对应的封装参数,所述会话特征信息包括协议号,以及,源地址与目的地址、和源端口号与目的端口号中的至少一组。
其中,源端口号和目的端口号可以为传输控制协议(Transmission Control Protocol,TCP)端口号,或者还可以为用户数据报协议(User Datagram Protocol,UDP)端口号,具体可以根据传输协议来确定,本实施例对此不进行特别限定。
一般来说,流量分析都是基于会话进行分析的,例如,服务器与客户端之间的通信。一个会话是指“客户端向服务器发出请求”以及“服务器向客户端返回响应”这两个方向的流量,对于分析设备来说,可以称做报文上下文。对于一个会话的两个方向的流量,他们的特征是:两条“流”的“报文”特征中,源地址和目的地址恰巧位置相反,源端口号和目的端口号恰巧位置相反,协议号相同。
现有的负载均衡装置一般的是通过报文特征(如源地址、目的地址、协议号、源端口号、目的端口号)进行哈希计算将流量分散到不同的分析设备上去,而由于同一会话的两个方向被哈希成不同的值,导致这两个方向的流被分散到不同的分析设备,使得分析设备丢失了会话的报文上下文。
由于,一个会话是双向流向的,即A→B方向,以及B→A方向。对于同向流向来说,一个流向上的报文的这些会话特征信息均相同;对于双向流向来说,两个流向上的报文的源地址与目的地址、源端口号与目的端口号,是互换的,协议号是相同的。因此,所述获得单元22可以执行如下操作,就可以以会话为单位,获得与所述目标报文对应的封装参数:
操作一:将所述源地址和所述目的地址,进行异或运算,以获得第一参数值。
操作二:将所述源地址和所述目的地址,进行同或运算,以获得第二参数值。
操作三:将所述源端口号和所述目的端口号,进行异或运算,以获得第三参数值。
操作四:将所述源端口号和所述目的端口号,进行同或运算,以获得第四参数值。
操作五:对所述第一参数值、所述第二参数值、所述第三参数值、所述第四参数值和所述协议号,进行哈希计算,以获得哈希值。
操作六:根据哈希值,获得与所述哈希值对应的所述封装参数,例如,对哈希值进行取模运算,以获得一个偏移值,进而利用这个偏移值获得对应的封装参数。
这样,获得单元通过新的哈希计算方法,根据接收单元所接收的待分析的目标报文的会话特征,可以将一个会话的两个方向的流计算出相同的哈希值,使得一个会话获得一致的封装参数,使得封装单元能够利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文,由于封装参数与目标报文所属的会话存在对应关系,因此,使得一个会话的所有流总是能够被同一个分析设备接收分析。而不同会话的目标报文封装而成的分析报文会具有不同的封装参数,可以能够被路由到不同的分析设备实现负载均衡。这样,能够在不破坏会话即报文上下文的前提下,避免现有技术中由于分析设备的处理能力有限而导致的单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求的问题,从而提高了报文分析的可靠性。
可以理解的是,如果网络设备采用专用集成电路(Application Specific Integrated Circuit,ASIC)实现其报文转发功能,那么,该网络设备是在接收端进行本地的转发表的查询,以获得报文的转发表项。而本发明提供的技术方案,分析报文是在接收端之后才封装而成的。如图3所示,本实施例提供的基于会话的报文分析装置还可以进一步包括发送单元31。
这样,在本实施例的一个可能的实现方式中,所述发送单元31可以采用现有的报文处理方法,即则可以用于直接向下一跳网络设备发送所述分析报文,以使得所述下一跳网络设备根据所述封装参数,查询下一跳网络设备的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文。
或者,在本实施例的一个可能的实现方式中,所述发送单元31可以将所述分析报文在该装置的内部进行环回(Loopback)操作,以使得该分析报文到达该装置的接收端即接收单元21。那么,所述发送单元31则可以用于向所述接收单元21发送所述分析报文;相应地,所述接收单元21,还可以进一步用于接收所述分析报文,根据所述封装参数,查询本地的转发表,以获得所述分析报文的转发表项;所述发送单元31,还可以进一步用于根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文。这样,由于发送单元在内部对分析报文执行环回操作,因此,可以直接将分析报文路由到所述封装参数所对应的分析设备,而不需要等到下一跳网络设备才能将分析报文路由到所述封装参数所对应的分析设备,从而能够进一步提高报文分析的效率。
本实施例中,通过获得单元根据接收单元所接收的待分析的目标报文所属的会话,获得与所述目标报文对应的封装参数,使得封装单元能够利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文,由于封装参数与目标报文所属的会话存在对应关系,因此,使得由不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够避免现有技术中由于分析设备的处理能力有限而导致的单一分析设备的处理能力可能会无法满足网络设备的分析报文的分析需求的问题,从而提高了报文分析的可靠性。
另外,采用本发明提供的技术方案,不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,能够达到分流的目的,从而实现了基于会话的负载均衡。
另外,采用本发明提供的技术方案,不同会话的目标报文封装而成的分析报文会具有不同的封装参数,能够被路由到不同的分析设备,这样,使得分析设备能够以会话为单位,对该会话的分析报文进行分析,使得完整的会话分析得以实现,从而能够进一步提高报文分析的目的性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以2个或2个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于会话的报文分析方法,其特征在于,包括:
接收待分析的目标报文;
根据所述目标报文所属的会话,获得与所述目标报文对应的封装参数;
利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文。
2.根据权利要求1所述的方法,其特征在于,所述封装参数包括外层目的地址。
3.根据权利要求1或2所述的方法,其特征在于,所述根据所述目标报文所属的会话,获得与所述目标报文对应的封装参数,包括:
根据所述目标报文的会话特征信息,获得与所述目标报文对应的封装参数,所述会话特征信息包括协议号,以及,源地址与目的地址、和源端口号与目的端口号中的至少一组。
4.根据权利要求3所述的方法,其特征在于,所述根据所述目标报文的会话特征信息,获得与所述目标报文对应的封装参数,包括:
将所述源地址和所述目的地址,进行异或运算,以获得第一参数值;
将所述源地址和所述目的地址,进行同或运算,以获得第二参数值;
将所述源端口号和所述目的端口号,进行异或运算,以获得第三参数值;
将所述源端口号和所述目的端口号,进行同或运算,以获得第四参数值;
对所述第一参数值、所述第二参数值、所述第三参数值、所述第四参数值和所述协议号,进行哈希计算,以获得哈希值;
根据哈希值,获得与所述哈希值对应的所述封装参数。
5.根据权利要求1~4中任一权利要求所述的方法,其特征在于,所述利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文之后,还包括:
向下一跳网络设备发送所述分析报文,以使得所述下一跳网络设备根据所述封装参数,查询下一跳网络设备的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文;或者
根据所述封装参数,查询本地的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文。
6.一种基于会话的报文分析装置,其特征在于,包括:
接收单元,用于接收待分析的目标报文;
获得单元,用于根据所述目标报文所属的会话,获得与所述目标报文对应的封装参数;
封装单元,用于利用所述封装参数,对所述目标报文进行路由封装,以生成分析报文,以供所述封装参数所对应的分析设备接收所述分析报文。
7.根据权利要求6所述的装置,其特征在于,所述封装参数包括外层目的地址。
8.根据权利要求6或7中任一权利要求所述的装置,其特征在于,所述获得单元,具体用于
根据所述目标报文的会话特征信息,获得与所述目标报文对应的封装参数,所述会话特征信息包括协议号,以及,源地址与目的地址、和源端口号与目的端口号中的至少一组。
9.根据权利要求8所述的装置,其特征在于,所述获得单元,具体用于
将所述源地址和所述目的地址,进行异或运算,以获得第一参数值;
将所述源地址和所述目的地址,进行同或运算,以获得第二参数值;
将所述源端口号和所述目的端口号,进行异或运算,以获得第三参数值;
将所述源端口号和所述目的端口号,进行同或运算,以获得第四参数值;
对所述第一参数值、所述第二参数值、所述第三参数值、所述第四参数值和所述协议号,进行哈希计算,以获得哈希值;
根据哈希值,获得与所述哈希值对应的所述封装参数。
10.根据权利要求6~9中任一权利要求所述的装置,其特征在于,所述装置还包括发送单元;
所述发送单元用于
向下一跳网络设备发送所述分析报文,以使得所述下一跳网络设备根据所述封装参数,查询下一跳网络设备的转发表,以获得所述分析报文的转发表项,以及根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文;或者
所述发送单元用于
向所述接收单元发送所述分析报文;
所述接收单元,还用于接收所述分析报文,根据所述封装参数,查询本地的转发表,以获得所述分析报文的转发表项;
所述发送单元,还用于根据所述转发表项,向所述封装参数所对应的分析设备发送所述分析报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103459289A CN103391219A (zh) | 2013-08-09 | 2013-08-09 | 基于会话的报文分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103459289A CN103391219A (zh) | 2013-08-09 | 2013-08-09 | 基于会话的报文分析方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103391219A true CN103391219A (zh) | 2013-11-13 |
Family
ID=49535382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013103459289A Pending CN103391219A (zh) | 2013-08-09 | 2013-08-09 | 基于会话的报文分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103391219A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483507A (zh) * | 2017-09-30 | 2017-12-15 | 北京东土军悦科技有限公司 | 一种会话分析方法、设备及存储介质 |
| CN112671641A (zh) * | 2016-08-24 | 2021-04-16 | 华为技术有限公司 | 报文转发方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838589A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 基于高速网络数据处理平台vpn网关***的信息处理方法 |
| CN1937575A (zh) * | 2005-09-22 | 2007-03-28 | 中兴通讯股份有限公司 | 信令流分发方法及信令分发处理单元 |
| CN101155081A (zh) * | 2006-09-29 | 2008-04-02 | 中兴通讯股份有限公司 | 基于网络处理器的ip dslam业务故障诊断方法 |
| CN101217486A (zh) * | 2008-01-11 | 2008-07-09 | 东南大学 | 基于网络处理器的移动互联网数据负载分配方法 |
| CN101873251A (zh) * | 2009-04-27 | 2010-10-27 | 中兴通讯股份有限公司 | 报文转发方法及装置 |
| CN102870382A (zh) * | 2012-06-29 | 2013-01-09 | 华为技术有限公司 | 转发方法、接收方法、第一路由器以及第二路由器 |
| CN102932270A (zh) * | 2012-11-27 | 2013-02-13 | 无锡城市云计算中心有限公司 | 支持网络安全业务的负载均衡方法和设备 |
| CN103179109A (zh) * | 2013-02-04 | 2013-06-26 | 上海恒为信息科技有限公司 | 基于二级会话查询功能的过滤分流装置及其方法 |
-
2013
- 2013-08-09 CN CN2013103459289A patent/CN103391219A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937575A (zh) * | 2005-09-22 | 2007-03-28 | 中兴通讯股份有限公司 | 信令流分发方法及信令分发处理单元 |
| CN1838589A (zh) * | 2006-04-26 | 2006-09-27 | 南京大学 | 基于高速网络数据处理平台vpn网关***的信息处理方法 |
| CN101155081A (zh) * | 2006-09-29 | 2008-04-02 | 中兴通讯股份有限公司 | 基于网络处理器的ip dslam业务故障诊断方法 |
| CN101217486A (zh) * | 2008-01-11 | 2008-07-09 | 东南大学 | 基于网络处理器的移动互联网数据负载分配方法 |
| CN101873251A (zh) * | 2009-04-27 | 2010-10-27 | 中兴通讯股份有限公司 | 报文转发方法及装置 |
| CN102870382A (zh) * | 2012-06-29 | 2013-01-09 | 华为技术有限公司 | 转发方法、接收方法、第一路由器以及第二路由器 |
| CN102932270A (zh) * | 2012-11-27 | 2013-02-13 | 无锡城市云计算中心有限公司 | 支持网络安全业务的负载均衡方法和设备 |
| CN103179109A (zh) * | 2013-02-04 | 2013-06-26 | 上海恒为信息科技有限公司 | 基于二级会话查询功能的过滤分流装置及其方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112671641A (zh) * | 2016-08-24 | 2021-04-16 | 华为技术有限公司 | 报文转发方法及装置 |
| CN112671641B (zh) * | 2016-08-24 | 2022-10-18 | 华为技术有限公司 | 报文转发方法及装置 |
| CN107483507A (zh) * | 2017-09-30 | 2017-12-15 | 北京东土军悦科技有限公司 | 一种会话分析方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180287930A1 (en) | Parallel multipath routing architecture | |
| US20150200843A1 (en) | Packet Labels For Identifying Synchronization Groups of Packets | |
| CN106302223B (zh) | 一种聚合组流量分流的方法和装置 | |
| CN104954274A (zh) | 生成转发信息的方法、控制器和业务转发实体 | |
| CN102891803B (zh) | 拥塞处理方法及网络设备 | |
| US10944717B2 (en) | LSB based symmetric receive-side scaling | |
| CN102447638A (zh) | 负载均衡的方法及转发设备 | |
| CN103004147A (zh) | 报文转发路径确定方法及网络设备、控制设备 | |
| CN109936516A (zh) | 用于跨多个网络传输选项促进透明服务映射的***和方法 | |
| CN112787913B (zh) | 智能网卡组件、物理机、云服务***以及报文发送方法 | |
| CN106559280A (zh) | 双向转发检测方法和装置 | |
| CN103269315A (zh) | 标签分配方法、装置、***和网络设备 | |
| US10298508B2 (en) | Communication system, receiving-side apparatus and transmission-side apparatus | |
| CN106790221A (zh) | 一种英特网协议安全IPSec协议加密方法和网络设备 | |
| US20130055383A1 (en) | Coordinated detection of a grey-hole attack in a communication network | |
| CN105099915A (zh) | 一种建立业务路径的方法和设备 | |
| US9356876B1 (en) | System and method for classifying and managing applications over compressed or encrypted traffic | |
| CN102821049A (zh) | 转发报文的方法和装置 | |
| US10721250B2 (en) | Automatic tunnels routing loop attack defense | |
| CN103391219A (zh) | 基于会话的报文分析方法及装置 | |
| CN102315989B (zh) | 对ms-pw进行检测的方法及设备、*** | |
| CN103650457A (zh) | 一种共享接入的检测方法、设备和终端设备 | |
| CN103036984B (zh) | 一种单向流量的检测方法及网络设备 | |
| CN103460675A (zh) | 集群以及转发方法 | |
| WO2017184807A1 (en) | Parallel multipath routing architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131113 |