CN108667708A - 一种多种vpn流量的采集分析***及采集分析方法 - Google Patents
一种多种vpn流量的采集分析***及采集分析方法 Download PDFInfo
- Publication number
- CN108667708A CN108667708A CN201810353208.XA CN201810353208A CN108667708A CN 108667708 A CN108667708 A CN 108667708A CN 201810353208 A CN201810353208 A CN 201810353208A CN 108667708 A CN108667708 A CN 108667708A
- Authority
- CN
- China
- Prior art keywords
- vpn
- user
- flows
- hexa
- atomic group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/465—Details on frame tagging wherein a single frame includes a plurality of VLAN tags
- H04L12/4658—Details on frame tagging wherein a single frame includes a plurality of VLAN tags wherein a VLAN tag represents a service provider backbone VLAN, e.g. B-Tag, S-Tag
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种多种VPN流量的采集分析***及采集分析方法,以解决VPN流量类型变多、量级呈快速增长态势,对不同VPN流量如何筛选的问题。本发明中引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型),能够同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种在一级设备上对骨干网多种VPN流量采集分析的***。
本发明同时涉及在一级设备上对骨干网多种VPN流量采集分析的方法。
背景技术
随着网络带宽的高速增长与网络技术的快速发展,电信、联通、移动骨干网中VPN流量类型多、量级大、呈快速增长态势,不同VPN流量间存在相同子网流量的问题也越发突出,对此一级设备一直缺少能准确、高效地筛选出目标VPN流量的方法。现有技术中只能够匹配VPN字段或五元组以筛选目标VPN流量,但该方***率较低。
故,需要一种新的技术方案以解决上述问题。
发明内容
本发明的目的在于:提供一种多种VPN流量的采集分析***,用以解决难以VPN流量类型越来越多的情况下如何准确、高效地筛选出目标VPN流量的问题。
本发明同时提供多种VPN流量的采集分析方法,同样用以解决如何准确、高效地筛选出目标VPN流量的问题。
为达到上述目的,本发明多种VPN流量的采集分析***可采用如下技术方案:
一种多种VPN流量的采集分析***,包括:
VPN用户模块,用以构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
六元组模块,用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
有益效果:本发明提供的骨干网多种VPN流量的采集分析***中,引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型),能够同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。
其中,六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。
进一步的,VPN用户模块配置一个或多个VPN用户,每个VPN用户一对多对应多个相同或不同类型的VPN。
本发明提供的多种VPN流量的采集分析方法可采用以下技术方案,包括以下步骤:
(1)、构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
有益效果:本发明提供的多种VPN流量的采集分析方法中,引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型),能够同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。
本发明提供的多种VPN流量的采集分析方法还可以采用以下技术方案,包括以下步骤:
步骤101,根据需要配置一个或多个VPN用户,每个VPN用户配置相关MPLS标签值或VlAN标识或DLCI;
步骤102,根据需要配置一条或多条六元组规则;
步骤103,流量从骨干网进入设备数据包处理模块;
步骤104,分析报文,识别是否为VPN,如果是,则执行步骤106,否则执行步骤105;
步骤105,其它不相关处理流程;
步骤106,识别VPN类型,提取类型及相应的MPLS标签值或VlAN标识或DLCI,组建VPN用户表键值;
步骤107,查询VPN用户表,如果命中,执行步骤108;否则执行步骤105;
步骤108,提取VPN用户信息,解析流量,提取源IP、目的IP、源端口、目的端口、协议类型,组建六元组规则表键值;
步骤109,查询六元组规则表,如果命中,执行步骤110;否则执行步骤105;
步骤110,提取流量处理策略,并依此进行后续处理。
有益效果:本发明提供的多种VPN流量的采集分析方法中,引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度,使用六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型),能够同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。
附图说明
图1为本发明的多种VPN流量采集分析处理流程图。
具体实施方式
下面结合附图对进行说明。
实施例一
可参考图1,实施例一提供一种多种VPN流量的采集分析***,主要应用于骨干网,尤其是多个网络供应商提供的VPN流量类型多、量级大的情况。该多种VPN流量的采集分析***包括:
VPN用户模块,用以构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;VPN用户模块配置一个或多个VPN用户,每个VPN用户一对多对应多个相同或不同类型的VPN。
六元组模块,用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
其中,六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。
实施例二
对应上述采集分析***,该实施例二提供一骨干网多种VPN流量的采集分析方法,包括:
(1)、构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
实施例三
请结合图1所示,本实施例提供一种多种VPN流量的采集分析方法,包括以下步骤:
步骤101,根据需要配置一个或多个VPN用户,每个VPN用户配置相关MPLS标签值或VlAN标识或DLCI;
步骤102,根据需要配置一条或多条六元组规则;
步骤103,流量从骨干网进入设备数据包处理模块;
步骤104,分析报文,识别是否为VPN,如果是,则执行步骤106,否则执行步骤105;
步骤105,其它不相关处理流程;
步骤106,识别VPN类型,提取类型及相应的MPLS标签值或VlAN标识或DLCI,组建VPN用户表键值;
步骤107,查询VPN用户表,如果命中,执行步骤108;否则执行步骤105;
步骤108,提取VPN用户信息,解析流量,提取源IP、目的IP、源端口、目的端口、协议类型,组建六元组规则表键值;
步骤109,查询六元组规则表,如果命中,执行步骤110;否则执行步骤105;
步骤110,提取流量处理策略,并依此进行后续处理。
本发明中针对以往只匹配VPN字段或五元组方案的低准确率,VPN多样性带来的差异性,兼顾提高存储效率,本文提出一种“以VPN用户映射VPN子网,屏蔽VPN流量差异性,以六元组规则(VPN用户、源IP、目的IP、源端口、目的端口、协议类型)精确标识一个采集分析目标”的解决方案。其中,引入VPN用户概念,每台设备可有多个VPN用户,每个用户可一对多映射多个MPLS、VlAN、Frame relay,既能有效屏蔽VPN差异性,相比多对多映射,又能有效降低空间复杂度。
引入六元组概念:VPN用户、源IP、目的IP、源端口、目的端口、协议;同时匹配VPN和五元组字段,可精准标识出目标VPN流量,显著提高流量采集分析的准确率。
Claims (9)
1.一种多种VPN流量的采集分析***,其特征在于,包括:
VPN用户模块,用以构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
六元组模块,用以构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
2.根据权利要求1所述的采集分析***,其特征在于:六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。
3.根据权利要求1所述的采集分析***,其特征在于:五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。
4.根据权利要求2所述的采集分析***,其特征在于:VPN用户模块配置一个或多个VPN用户,每个VPN用户一对多对应多个相同或不同类型的VPN。
5.一种多种VPN流量的采集分析方法,其特征在于,包括以下步骤:
(1)、构建VPN用户表及分析流量;VPN用户表的键值为VPN类型、VPN类型对应的MPLS标签值或VlAN标识或DLCI,结果为VPN用户;分析流量即从VPN流量中获取VPN类型,提取VPN字段,组键值,查VPN用户表;若查中,提取VPN用户信息;
(2)、构建六元组规则表及分析VPN用户模块提取VPN用户信息后的VPN流量;其中六元组规则表:键值为VPN用户、源IP、目的IP、源端口、目的端口、协议类型,结果为对流量进行的处理策略;分析VPN用户模块提取VPN用户信息后的VPN流量即提取五元组,提取VPN用户信息,查询六元组规则表;若命中,提取流量处理策略信息,进行后续处理。
6.根据权利要求5所述的采集分析方法,其特征在于:六元组包括VPN用户、源IP、目的IP、源端口、目的端口、协议类型。
7.根据权利要求5所述的采集分析方法,其特征在于:五元组包括源IP地址、源端口、目的IP地址、目的端口、协议类型。
8.根据权利要求6所述的采集分析方法,其特征在于:VPN用户模块配置一个或多个VPN用户,每个VPN用户一对多对应多个相同或不同类型的VPN。
9.一种多种VPN流量的采集分析方法,其特征在于,包括以下步骤:
步骤101,根据需要配置一个或多个VPN用户,每个VPN用户配置相关MPLS标签值或VlAN标识或DLCI;
步骤102,根据需要配置一条或多条六元组规则;
步骤103,流量从骨干网进入设备数据包处理模块;
步骤104,分析报文,识别是否为VPN,如果是,则执行步骤106,否则执行步骤105;
步骤105,其它不相关处理流程;
步骤106,识别VPN类型,提取类型及相应的MPLS标签值或VlAN标识或DLCI,组建VPN用户表键值;
步骤107,查询VPN用户表,如果命中,执行步骤108;否则执行步骤105;
步骤108,提取VPN用户信息,解析流量,提取源IP、目的IP、源端口、目的端口、协议类型,组建六元组规则表键值;
步骤109,查询六元组规则表,如果命中,执行步骤110;否则执行步骤105;
步骤110,提取流量处理策略,并依此进行后续处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810353208.XA CN108667708B (zh) | 2018-04-19 | 2018-04-19 | 一种多种vpn流量的采集分析***及采集分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810353208.XA CN108667708B (zh) | 2018-04-19 | 2018-04-19 | 一种多种vpn流量的采集分析***及采集分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108667708A true CN108667708A (zh) | 2018-10-16 |
CN108667708B CN108667708B (zh) | 2019-08-13 |
Family
ID=63780755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810353208.XA Active CN108667708B (zh) | 2018-04-19 | 2018-04-19 | 一种多种vpn流量的采集分析***及采集分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108667708B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112653609A (zh) * | 2020-12-14 | 2021-04-13 | 北京指掌易科技有限公司 | 一种vpn识别应用方法、装置、终端及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101217491A (zh) * | 2008-01-04 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种调整流处理单元负载分担的方法及装置 |
CN101534248A (zh) * | 2009-04-14 | 2009-09-16 | 华为技术有限公司 | 深度报文识别方法和***及业务板 |
CN102025643A (zh) * | 2010-12-30 | 2011-04-20 | 华为技术有限公司 | 一种流表查找方法和装置 |
US20120327811A1 (en) * | 2011-06-22 | 2012-12-27 | Alaxala Networks Corporation | Virtual network connection method, network system, and network device |
CN103200112A (zh) * | 2012-01-06 | 2013-07-10 | 北京奇策科技有限公司 | 一种计算机网络tcp流量控制方法 |
-
2018
- 2018-04-19 CN CN201810353208.XA patent/CN108667708B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101217491A (zh) * | 2008-01-04 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种调整流处理单元负载分担的方法及装置 |
CN101534248A (zh) * | 2009-04-14 | 2009-09-16 | 华为技术有限公司 | 深度报文识别方法和***及业务板 |
CN102025643A (zh) * | 2010-12-30 | 2011-04-20 | 华为技术有限公司 | 一种流表查找方法和装置 |
US20120327811A1 (en) * | 2011-06-22 | 2012-12-27 | Alaxala Networks Corporation | Virtual network connection method, network system, and network device |
CN103200112A (zh) * | 2012-01-06 | 2013-07-10 | 北京奇策科技有限公司 | 一种计算机网络tcp流量控制方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112653609A (zh) * | 2020-12-14 | 2021-04-13 | 北京指掌易科技有限公司 | 一种vpn识别应用方法、装置、终端及存储介质 |
CN112653609B (zh) * | 2020-12-14 | 2022-05-27 | 北京指掌易科技有限公司 | 一种vpn识别应用方法、装置、终端及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108667708B (zh) | 2019-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107404400A (zh) | 一种网络态势感知实现方法及装置 | |
CN105871832B (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
CN102420701B (zh) | 一种互联网业务流特征的提取方法 | |
CN102315974B (zh) | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 | |
CN102271090B (zh) | 基于传输层特征的流量分类方法及装置 | |
CN104320304B (zh) | 一种易扩展的多方式融合的核心网用户流量应用识别方法 | |
CN107465567B (zh) | 一种数据库防火墙的数据转发方法 | |
CN110401624A (zh) | 源网荷***交互报文异常的检测方法及*** | |
CN111222019B (zh) | 特征提取的方法和装置 | |
CN105183780A (zh) | 基于改进agnes算法的协议分类方法 | |
CN113283498A (zh) | 一种面向高速网络的vpn流量快速识别方法 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及*** | |
CN105847250A (zh) | VoIP流媒体多维度信息隐写实时检测方法 | |
CN111654486A (zh) | 一种服务器设备判定识别方法 | |
CN106535240A (zh) | 基于云平台的移动app集中性能分析方法 | |
CN112073988A (zh) | 一种局域网内隐藏摄像头的探测方法 | |
CN108667708B (zh) | 一种多种vpn流量的采集分析***及采集分析方法 | |
CN104021348A (zh) | 一种隐匿p2p程序实时检测方法及*** | |
CN110572325A (zh) | 一种nat路由器流量识别方法 | |
CN104244217B (zh) | 实现用户数据实时同步的方法和*** | |
CN103916289A (zh) | Ipfix输出器中的报文筛选装置及方法 | |
CN108400910A (zh) | 一种路由器实现网络协议分析的方法及*** | |
CN112073364A (zh) | 一种基于DPI的DDoS攻击识别方法、***、设备及可读存储介质 | |
CN105871573A (zh) | 一种报文分析过滤方法及装置 | |
CN104753934A (zh) | 将未知协议多通信方数据流分离为点对点数据流的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |