CN108667708A - 一种多种vpn流量的采集分析***及采集分析方法 - Google Patents

一种多种vpn流量的采集分析***及采集分析方法 Download PDF

Info

Publication number
CN108667708A
CN108667708A CN201810353208.XA CN201810353208A CN108667708A CN 108667708 A CN108667708 A CN 108667708A CN 201810353208 A CN201810353208 A CN 201810353208A CN 108667708 A CN108667708 A CN 108667708A
Authority
CN
China
Prior art keywords
vpn
user
flows
hexa
atomic group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810353208.XA
Other languages
English (en)
Other versions
CN108667708B (zh
Inventor
张家琦
邹昕
许翠
贾有春
孙浩
汪立东
何清林
郭三川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Sinovatio Technology LLC
National Computer Network and Information Security Management Center
Original Assignee
Nanjing Sinovatio Technology LLC
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Sinovatio Technology LLC, National Computer Network and Information Security Management Center filed Critical Nanjing Sinovatio Technology LLC
Priority to CN201810353208.XA priority Critical patent/CN108667708B/zh
Publication of CN108667708A publication Critical patent/CN108667708A/zh
Application granted granted Critical
Publication of CN108667708B publication Critical patent/CN108667708B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • H04L12/465Details on frame tagging wherein a single frame includes a plurality of VLAN tags
    • H04L12/4658Details on frame tagging wherein a single frame includes a plurality of VLAN tags wherein a VLAN tag represents a service provider backbone VLAN, e.g. B-Tag, S-Tag
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种多种VPN流量的采集分析***及采集分析方法,以解决VPN流量类型变多、量级呈快速增长态势,对不同VPN流量如何筛选的问题。本发明中引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型),能够同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。

Description

一种多种VPN流量的采集分析***及采集分析方法
技术领域
本发明涉及互联网技术领域,具体涉及一种在一级设备上对骨干网多种VPN流量采集分析的***。
本发明同时涉及在一级设备上对骨干网多种VPN流量采集分析的方法。
背景技术
随着网络带宽的高速增长与网络技术的快速发展,电信、联通、移动骨干网中VPN流量类型多、量级大、呈快速增长态势,不同VPN流量间存在相同子网流量的问题也越发突出,对此一级设备一直缺少能准确、高效地筛选出目标VPN流量的方法。现有技术中只能够匹配VPN字段或五元组以筛选目标VPN流量,但该方***率较低。
故,需要一种新的技术方案以解决上述问题。
发明内容
本发明的目的在于:提供一种多种VPN流量的采集分析***,用以解决难以VPN流量类型越来越多的情况下如何准确、高效地筛选出目标VPN流量的问题。
本发明同时提供多种VPN流量的采集分析方法,同样用以解决如何准确、高效地筛选出目标VPN流量的问题。
为达到上述目的,本发明多种VPN流量的采集分析***可采用如下技术方案:
一种多种VPN流量的采集分析***,包括:
VPN用户模块,用以构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
六元组模块,用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
有益效果:本发明提供的骨干网多种VPN流量的采集分析***中,引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型),能够同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。
其中,六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。
进一步的,VPN用户模块配置一个或多个VPN用户,每个VPN用户一对多对应多个相同或不同类型的VPN。
本发明提供的多种VPN流量的采集分析方法可采用以下技术方案,包括以下步骤:
(1)、构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
有益效果:本发明提供的多种VPN流量的采集分析方法中,引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型),能够同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。
本发明提供的多种VPN流量的采集分析方法还可以采用以下技术方案,包括以下步骤:
步骤101,根据需要配置一个或多个VPN用户,每个VPN用户配置相关MPLS标签值或VlAN标识或DLCI;
步骤102,根据需要配置一条或多条六元组规则;
步骤103,流量从骨干网进入设备数据包处理模块;
步骤104,分析报文,识别是否为VPN,如果是,则执行步骤106,否则执行步骤105;
步骤105,其它不相关处理流程;
步骤106,识别VPN类型,提取类型及相应的MPLS标签值或VlAN标识或DLCI,组建VPN用户表键值;
步骤107,查询VPN用户表,如果命中,执行步骤108;否则执行步骤105;
步骤108,提取VPN用户信息,解析流量,提取源IP、目的IP、源端口、目的端口、协议类型,组建六元组规则表键值;
步骤109,查询六元组规则表,如果命中,执行步骤110;否则执行步骤105;
步骤110,提取流量处理策略,并依此进行后续处理。
有益效果:本发明提供的多种VPN流量的采集分析方法中,引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型),能够同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。
附图说明
图1为本发明的多种VPN流量采集分析处理流程图。
具体实施方式
下面结合附图对进行说明。
实施例一
可参考图1,实施例一提供一种多种VPN流量的采集分析***,主要应用于骨干网,尤其是多个网络供应商提供的VPN流量类型多、量级大的情况。该多种VPN流量的采集分析***包括:
VPN用户模块,用以构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;VPN用户模块配置一个或多个VPN用户,每个VPN用户一对多对应多个相同或不同类型的VPN。
六元组模块,用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
其中,六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。
实施例二
对应上述采集分析***,该实施例二提供一骨干网多种VPN流量的采集分析方法,包括:
(1)、构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
实施例三
请结合图1所示,本实施例提供一种多种VPN流量的采集分析方法,包括以下步骤:
步骤101,根据需要配置一个或多个VPN用户,每个VPN用户配置相关MPLS标签值或VlAN标识或DLCI;
步骤102,根据需要配置一条或多条六元组规则;
步骤103,流量从骨干网进入设备数据包处理模块;
步骤104,分析报文,识别是否为VPN,如果是,则执行步骤106,否则执行步骤105;
步骤105,其它不相关处理流程;
步骤106,识别VPN类型,提取类型及相应的MPLS标签值或VlAN标识或DLCI,组建VPN用户表键值;
步骤107,查询VPN用户表,如果命中,执行步骤108;否则执行步骤105;
步骤108,提取VPN用户信息,解析流量,提取源IP、目的IP、源端口、目的端口、协议类型,组建六元组规则表键值;
步骤109,查询六元组规则表,如果命中,执行步骤110;否则执行步骤105;
步骤110,提取流量处理策略,并依此进行后续处理。
本发明中针对以往只匹配VPN字段或五元组方案的低准确率,VPN多样性带来的差异性,兼顾提高存储效率,本文提出一种“以VPN用户映射VPN子网,屏蔽VPN流量差异性,以六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型)精确标识一个采集分析目标”的解决方案。其中,引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度。
引入六元组概念:VPN用户、源IP、目的IP、源端口、目的端口、协议;同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。

Claims (9)

1.一种多种VPN流量的采集分析***,其特征在于,包括:
VPN用户模块,用以构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
六元组模块,用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
2.根据权利要求1所述的采集分析***,其特征在于:六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。
3.根据权利要求1所述的采集分析***,其特征在于:五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。
4.根据权利要求2所述的采集分析***,其特征在于:VPN用户模块配置一个或多个VPN用户,每个VPN用户一对多对应多个相同或不同类型的VPN。
5.一种多种VPN流量的采集分析方法,其特征在于,包括以下步骤:
(1)、构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
6.根据权利要求5所述的采集分析方法,其特征在于:六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。
7.根据权利要求5所述的采集分析方法,其特征在于:五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。
8.根据权利要求6所述的采集分析方法,其特征在于:VPN用户模块配置一个或多个VPN用户,每个VPN用户一对多对应多个相同或不同类型的VPN。
9.一种多种VPN流量的采集分析方法,其特征在于,包括以下步骤:
步骤101,根据需要配置一个或多个VPN用户,每个VPN用户配置相关MPLS标签值或VlAN标识或DLCI;
步骤102,根据需要配置一条或多条六元组规则;
步骤103,流量从骨干网进入设备数据包处理模块;
步骤104,分析报文,识别是否为VPN,如果是,则执行步骤106,否则执行步骤105;
步骤105,其它不相关处理流程;
步骤106,识别VPN类型,提取类型及相应的MPLS标签值或VlAN标识或DLCI,组建VPN用户表键值;
步骤107,查询VPN用户表,如果命中,执行步骤108;否则执行步骤105;
步骤108,提取VPN用户信息,解析流量,提取源IP、目的IP、源端口、目的端口、协议类型,组建六元组规则表键值;
步骤109,查询六元组规则表,如果命中,执行步骤110;否则执行步骤105;
步骤110,提取流量处理策略,并依此进行后续处理。
CN201810353208.XA 2018-04-19 2018-04-19 一种多种vpn流量的采集分析***及采集分析方法 Active CN108667708B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810353208.XA CN108667708B (zh) 2018-04-19 2018-04-19 一种多种vpn流量的采集分析***及采集分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810353208.XA CN108667708B (zh) 2018-04-19 2018-04-19 一种多种vpn流量的采集分析***及采集分析方法

Publications (2)

Publication Number Publication Date
CN108667708A true CN108667708A (zh) 2018-10-16
CN108667708B CN108667708B (zh) 2019-08-13

Family

ID=63780755

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810353208.XA Active CN108667708B (zh) 2018-04-19 2018-04-19 一种多种vpn流量的采集分析***及采集分析方法

Country Status (1)

Country Link
CN (1) CN108667708B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112653609A (zh) * 2020-12-14 2021-04-13 北京指掌易科技有限公司 一种vpn识别应用方法、装置、终端及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101217491A (zh) * 2008-01-04 2008-07-09 杭州华三通信技术有限公司 一种调整流处理单元负载分担的方法及装置
CN101534248A (zh) * 2009-04-14 2009-09-16 华为技术有限公司 深度报文识别方法和***及业务板
CN102025643A (zh) * 2010-12-30 2011-04-20 华为技术有限公司 一种流表查找方法和装置
US20120327811A1 (en) * 2011-06-22 2012-12-27 Alaxala Networks Corporation Virtual network connection method, network system, and network device
CN103200112A (zh) * 2012-01-06 2013-07-10 北京奇策科技有限公司 一种计算机网络tcp流量控制方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101217491A (zh) * 2008-01-04 2008-07-09 杭州华三通信技术有限公司 一种调整流处理单元负载分担的方法及装置
CN101534248A (zh) * 2009-04-14 2009-09-16 华为技术有限公司 深度报文识别方法和***及业务板
CN102025643A (zh) * 2010-12-30 2011-04-20 华为技术有限公司 一种流表查找方法和装置
US20120327811A1 (en) * 2011-06-22 2012-12-27 Alaxala Networks Corporation Virtual network connection method, network system, and network device
CN103200112A (zh) * 2012-01-06 2013-07-10 北京奇策科技有限公司 一种计算机网络tcp流量控制方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112653609A (zh) * 2020-12-14 2021-04-13 北京指掌易科技有限公司 一种vpn识别应用方法、装置、终端及存储介质
CN112653609B (zh) * 2020-12-14 2022-05-27 北京指掌易科技有限公司 一种vpn识别应用方法、装置、终端及存储介质

Also Published As

Publication number Publication date
CN108667708B (zh) 2019-08-13

Similar Documents

Publication Publication Date Title
CN107404400A (zh) 一种网络态势感知实现方法及装置
CN105871832B (zh) 一种基于协议属性的网络应用加密流量识别方法及其装置
CN102420701B (zh) 一种互联网业务流特征的提取方法
CN102315974B (zh) 基于层次化特征分析的tcp、udp流量在线识别方法和装置
CN102271090B (zh) 基于传输层特征的流量分类方法及装置
CN104320304B (zh) 一种易扩展的多方式融合的核心网用户流量应用识别方法
CN107465567B (zh) 一种数据库防火墙的数据转发方法
CN110401624A (zh) 源网荷***交互报文异常的检测方法及***
CN111222019B (zh) 特征提取的方法和装置
CN105183780A (zh) 基于改进agnes算法的协议分类方法
CN113283498A (zh) 一种面向高速网络的vpn流量快速识别方法
CN111294342A (zh) 一种软件定义网络中DDos攻击的检测方法及***
CN105847250A (zh) VoIP流媒体多维度信息隐写实时检测方法
CN111654486A (zh) 一种服务器设备判定识别方法
CN106535240A (zh) 基于云平台的移动app集中性能分析方法
CN112073988A (zh) 一种局域网内隐藏摄像头的探测方法
CN108667708B (zh) 一种多种vpn流量的采集分析***及采集分析方法
CN104021348A (zh) 一种隐匿p2p程序实时检测方法及***
CN110572325A (zh) 一种nat路由器流量识别方法
CN104244217B (zh) 实现用户数据实时同步的方法和***
CN103916289A (zh) Ipfix输出器中的报文筛选装置及方法
CN108400910A (zh) 一种路由器实现网络协议分析的方法及***
CN112073364A (zh) 一种基于DPI的DDoS攻击识别方法、***、设备及可读存储介质
CN105871573A (zh) 一种报文分析过滤方法及装置
CN104753934A (zh) 将未知协议多通信方数据流分离为点对点数据流的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant