CN115037640A - 流量过滤方法、dpi设备、***和计算机可读存储介质 - Google Patents
流量过滤方法、dpi设备、***和计算机可读存储介质 Download PDFInfo
- Publication number
- CN115037640A CN115037640A CN202110205338.0A CN202110205338A CN115037640A CN 115037640 A CN115037640 A CN 115037640A CN 202110205338 A CN202110205338 A CN 202110205338A CN 115037640 A CN115037640 A CN 115037640A
- Authority
- CN
- China
- Prior art keywords
- flow
- filtering
- matched
- traffic
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 200
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000009471 action Effects 0.000 claims abstract description 56
- 238000004458 analytical method Methods 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 10
- 210000001503 joint Anatomy 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 7
- 230000010076 replication Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种流量过滤方法、DPI设备、***和计算机可读存储介质。该方法包括:DPI设备配置流量过滤信息;DPI设备根据需要匹配的流量的应用类型,对接收的原始流量进行解析以生成与原始流量中的需要匹配的流量对应的服务器端的IP地址、传输层协议类型、协议端口以及原始流量中的需要匹配的流量的应用名称;以及DPI设备在发现与需要匹配的流量的应用类型对应的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则,并将流量过滤规则下发到分流器;其中,分流器在接收到流量过滤规则后,对匹配该流量过滤规则的流量执行过滤操作。
Description
技术领域
本公开涉及网络安全领域,特别涉及一种流量过滤方法、DPI设备、***和计算机可读存储介质。
背景技术
目前,网络流量的飞速增长给基于原始流量进行深层分析的应用***带来巨大挑战。如果能过滤应用不关心的流量,将会大大降低应用的流量处理压力。例如,移动恶意程序检测***并不关注网络中近40%的视频流量,如能将其过滤,将减少该***30-40%的投资。
针对后端分析***基于应用层的流量按需复制需求,由于目前网络普遍采用CDN(Content Delivery Network,内容分发网络)技术导致服务器端地址经常变化,分流器简单基于IP地址+端口的模式无法实现流量精准过滤,而基于应用层的流量过滤需配置不同设备型号及专门板卡,存在价格较高的问题。
发明内容
本公开解决的一个技术问题是:提供一种流量过滤方法,以降低成本。
根据本公开的一个方面,提供了一种流量过滤方法,包括:深度包检测技术DPI设备配置流量过滤信息,所述流量过滤信息包括:用于接收需要匹配的流量的分析***的名称、与所述分析***对接的分流器输出端口、所述需要匹配的流量的应用类型和匹配后的过滤动作;所述DPI设备根据所述需要匹配的流量的应用类型,对接收的原始流量进行解析以生成与所述原始流量中的所述需要匹配的流量对应的服务器端的网际互连协议IP地址、传输层协议类型、协议端口以及所述原始流量中的所述需要匹配的流量的应用名称;以及所述DPI设备在发现与所述需要匹配的流量的应用类型对应的包含IP地址、传输层协议类型和协议端口的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则,并将所述流量过滤规则下发到分流器,其中,所述流量过滤规则包括所述IP地址、传输层协议类型、协议端口、分流器输出端口和过滤动作;其中,所述分流器在接收到所述流量过滤规则后,对匹配所述流量过滤规则的流量执行过滤操作。
在一些实施例中,所述流量过滤方法还包括:所述DPI设备在发现所述条目信息超过预定时间没有匹配流量的情况下,向所述分流器下发删除指令以删除与所述条目信息对应的流量过滤规则。
在一些实施例中,所述流量过滤信息还包括规则条目数阈值;所述流量过滤方法还包括:所述DPI设备在所记录的与应用类型对应的所述条目信息的条目数大于所述规则条目数阈值的情况下,根据每个条目信息所匹配的流量的大小对所有条目信息按照由大到小的顺序排序,并向所述分流器优先下发前N个条目信息所对应的流量过滤规则,其中,N为小于或等于所述规则条目数阈值的正整数。
在一些实施例中,所述过滤动作包括:丢弃流量动作或转发流量动作;所述分流器对匹配所述流量过滤规则的流量执行过滤操作的步骤包括:在所述流量过滤规则包含丢弃流量动作的情况下,所述分流器在丢弃匹配流量后,将剩余的流量转发给对应的分析***;和/或在所述流量过滤规则包含转发流量动作的情况下,所述分流器在丢弃除匹配流量之外的流量后,将所述匹配流量转发给对应的分析***。
根据本公开的另一个方面,提供了一种DPI设备,包括:配置单元,用于配置流量过滤信息,所述流量过滤信息包括:用于接收需要匹配的流量的分析***的名称、与所述分析***对接的分流器输出端口、所述需要匹配的流量的应用类型和匹配后的过滤动作;解析单元,用于根据所述需要匹配的流量的应用类型,对接收的原始流量进行解析以生成与所述原始流量中的所述需要匹配的流量对应的服务器端的网际互连协议IP地址、传输层协议类型、协议端口以及所述原始流量中的所述需要匹配的流量的应用名称;规则生成单元,用于在发现与所述需要匹配的流量的应用类型对应的包含IP地址、传输层协议类型和协议端口的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则,其中,所述流量过滤规则包括所述IP地址、传输层协议类型、协议端口、分流器输出端口和过滤动作;和发送单元,用于将所述流量过滤规则下发到分流器;其中,所述分流器在接收到所述流量过滤规则后,对匹配所述流量过滤规则的流量执行过滤操作。
在一些实施例中,所述发送单元还用于在发现所述条目信息超过预定时间没有匹配流量的情况下,向所述分流器下发删除指令以删除与所述条目信息对应的流量过滤规则。
在一些实施例中,所述流量过滤信息还包括规则条目数阈值;所述发送单元还用于在所记录的与应用类型对应的所述条目信息的条目数大于所述规则条目数阈值的情况下,根据每个条目信息所匹配的流量的大小对所有条目信息按照由大到小的顺序排序,并向所述分流器优先下发前N个条目信息所对应的流量过滤规则,其中,N为小于或等于所述规则条目数阈值的正整数。
在一些实施例中,所述过滤动作包括:丢弃流量动作或转发流量动作;所述分流器用于在所述流量过滤规则包含丢弃流量动作的情况下,在丢弃匹配流量后,将剩余的流量转发给对应的分析***;和/或在所述流量过滤规则包含转发流量动作的情况下,在丢弃除匹配流量之外的流量后,将所述匹配流量转发给对应的分析***。
根据本公开的另一个方面,提供了一种DPI设备,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如前所述的方法。
根据本公开的另一个方面,提供了一种流量过滤***,包括:如前所述的DPI设备;以及分流器,用于在从所述DPI设备接收到流量过滤规则后,对匹配所述流量过滤规则的流量执行过滤操作。
根据本公开的另一个方面,提供了一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如前所述的方法。
上述方法通过DPI设备向分流器下发流量过滤规则,实现了流量过滤的目的。该方法不需要专门增加设备配置,从而降低成本。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,
其中:
图1是示出根据本公开一些实施例的流量过滤方法的流程图;
图2是示出根据本公开一些实施例的流量过滤***的结构图;
图3是示出根据本公开一些实施例的DPI设备的结构图;
图4是示出根据本公开另一些实施例的DPI设备的结构图;
图5是示出根据本公开另一些实施例的DPI设备的结构图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1是示出根据本公开一些实施例的流量过滤方法的流程图。图2是示出根据本公开一些实施例的流量过滤***的结构图。下面结合图1和图2详细描述根据本公开一些实施例的流量过滤方法。
如图1所示,该流量过滤方法包括步骤S102至S106。
在步骤S102,DPI(Deep Packet Inspection,深度包检测技术)设备配置流量过滤信息,该流量过滤信息包括:用于接收需要匹配的流量的分析***的名称、与该分析***对接的分流器输出端口、需要匹配的流量的应用类型和匹配后的过滤动作。
例如,如图2所示,DPI设备210可以预先设备配置流量过滤信息。该流量过滤信息包括:第一分析***231的名称、第二分析***232的名称、与第一分析***231对接的分流器220的输出端口、与第二分析***232对接的分流器220的输出端口、需要匹配的流量的应用类型和匹配后的过滤动作。例如,过滤动作包括:丢弃流量动作或转发流量动作。
回到图1,在步骤S104,DPI设备根据需要匹配的流量的应用类型,对接收的原始流量进行解析以生成与原始流量中的所述需要匹配的流量对应的服务器端的IP(InternetProtocol,网际互连协议)地址、传输层协议类型、协议端口(即传输层协议端口)以及原始流量中的所述需要匹配的流量的应用名称。这里,服务器端是指对应于流量的应用软件所在的服务器端。
以需要匹配的流量的应用类型为视频流量为例。例如,如图2所示,分流器220从网络240通过分光和流量复制技术获得原始流量,而DPI设备210通过流量复制技术从分流器220获得该原始流量;然后,DPI设备210根据视频流量的应用类型,对原始流量进行解析,以生成与原始流量中的视频流量对应的服务器端的IP地址、传输层协议类型、协议端口以及原始流量中的视频流量的应用名称。例如,前面配置应用类型为视频,DPI解析出来的应用名称可以有“××视频”等等。
回到图1,在步骤S106,DPI设备在发现与需要匹配的流量的应用类型对应的包含IP地址、传输层协议类型和协议端口的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则,并将该流量过滤规则下发到分流器,其中,该流量过滤规则包括IP地址、传输层协议类型、协议端口、分流器输出端口和过滤动作。
这里,每个条目信息包含一个IP地址、一个传输层协议类型和协议端口。在另一些实施例中,还可以将流量的应用类型作为条目信息中的一部分信息。
分流器在接收到该流量过滤规则后,对匹配该流量过滤规则的流量执行过滤操作。这里,上面所述的需要匹配的流量即为匹配流量过滤规则的流量。
在一些实施例中,分流器对匹配该流量过滤规则的流量执行过滤操作的步骤包括:在该流量过滤规则包含丢弃流量动作的情况下,分流器在丢弃匹配流量后,将剩余的流量转发给对应的分析***;和/或在流量过滤规则包含转发流量动作的情况下,分流器在丢弃除匹配流量之外的流量后,将匹配流量转发给对应的分析***。
还是以需要匹配的流量的应用类型为视频流量为例。例如,如图2所示,DPI设备210在发现与视频流量类型对应的包含IP地址、传输层协议类型和协议端口的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则,并将该流量过滤规则下发到分流器220。
例如,流量过滤规则包括:某个应用软件所在的服务器端的IP地址、对应的传输层协议类型及协议端口、与第一分析***231对应的分流器输出端口和丢弃流量动作。这样,分流器220接收到该流量过滤规则,在丢弃匹配的视频流量后,将剩余的流量转发给对应的第一分析***231。
又例如,流量过滤规则包括:某个应用软件所在的服务器端的IP地址、对应的传输层协议类型及协议端口、与第二分析***232对应的分流器输出端口和转发流量动作。这样,分流器接收到该流量过滤规则,在丢弃除匹配的视频流量之外的流量后,将匹配的视频流量转发给对应的第二分析***232。
至此,提供了根据本公开一些实施例的流量过滤方法。该流量过滤方法包括:DPI设备配置流量过滤信息,该流量过滤信息包括:用于接收需要匹配的流量的分析***的名称、与分析***对接的分流器输出端口、所述需要匹配的流量的应用类型和匹配后的过滤动作;DPI设备根据需要匹配的流量的应用类型,对接收的原始流量进行解析以生成与原始流量中的所述需要匹配的流量对应的服务器端的IP地址、传输层协议类型、协议端口以及原始流量中的所述需要匹配的流量的应用名称;以及DPI设备在发现与所述需要匹配的流量的应用类型对应的包含IP地址、传输层协议类型和协议端口的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则,并将流量过滤规则下发到分流器。流量过滤规则包括IP地址、传输层协议类型、协议端口、分流器输出端口和过滤动作。分流器在接收到流量过滤规则后,对匹配该流量过滤规则的流量执行过滤操作。该方法通过DPI设备向分流器下发流量过滤规则,实现了流量过滤的目的。该方法不需要专门增加设备配置,从而降低成本。
在一些实施例中,所述流量过滤方法还可以包括:DPI设备在发现条目信息超过预定时间没有匹配流量的情况下,向分流器下发删除指令以删除与该条目信息对应的流量过滤规则。这里,预定时间可以根据实际情况或实际需要来确定。在该实施例中,DPI设备发现有记录超过一定时间没有匹配报文时,下发删除原有对应记录条目的过滤规则,这样可以减少不需要的流量过滤规则,减小分流器的存储压力。
在一些实施例中,流量过滤信息还包括规则条目数阈值。该规则条目数阈值可以根据实际需要来设置。例如,该规则条目数阈值可以根据分流器的能力设置。
在一些实施例中,流量过滤方法还可以包括:DPI设备在所记录的与应用类型对应的条目信息的条目数大于规则条目数阈值的情况下,根据每个条目信息所匹配的流量的大小对所有条目信息按照由大到小的顺序排序,并向分流器优先下发前N个条目信息所对应的流量过滤规则。这里,N为小于或等于规则条目数阈值的正整数。在该实施例中,当条目信息的记录数大于规则条目数阈值时,DPI设备根据匹配流量大小排序,优先下发匹配流量大的过滤规则。这样可以使得分流器能够优先按照匹配流量大的过滤规则进行过滤操作,提高***的利用率和效率。
在本公开的一些实施例中,DPI设备配置过滤流量相关信息,包括:需过滤转发流量(即匹配流量)的***名称、***在分流器上的对接端口、需过滤流量类型及特征和规则条数阀值,等等。DPI设备根据配置信息,对原始流量解析后生成每个***对应过滤流量的服务器端的IP地址、端口记录等信息,以及生成对应流量统计,并动态更新。DPI设备发现记录表有新增时,自动生成新的流量过滤规则(将匹配服务器端的IP地址和端口流量过滤),通过接口下发分流器。DPI设备发现有记录超过一定时间没有匹配报文时,下发删除原有对应记录条目的过滤规则。当记录数大于规则条目数阈值时,DPI设备根据匹配流量大小排序,优先下发匹配流量大的规则。分流器执行过滤规则,实现流量过滤转发相关应用的流量。这样实现了一种自适应动态流量过滤方法。
在上述方法中,DPI设备通过对原始流量解析识别,根据应用类型和特征动态生成过滤流量对应的服务器端IP地址和端口的记录,并转换成对访问该记录服务器和端口的流量进行过滤的规则实时下发给分流器,分流器根据过滤规则对原始流量进行过滤后转发给后端分析***,实现了自适应的动态流量过滤功能。
上述方法具有如下优点:(1)该方法不需要购买基于应用层解包处理的分流器和专用板卡,降低成本;(2)该方法的过滤处理效率比较高;(3)DPI设备和分流器联动端口利用已有的分流器规则下发接口,分流器无需改动,而DPI设备在现有话单合成的同时生成特定流量对应服务器端的IP地址+端口记录,有变动时则调用接口下发规则,软件改动不大。
图3是示出根据本公开一些实施例的DPI设备的结构图。如图3所示,该DPI设备包括:配置单元302、解析单元304、规则生成单元306和发送单元308。
配置单元302用于配置流量过滤信息。该流量过滤信息包括:用于接收需要匹配的流量的分析***的名称、与分析***对接的分流器输出端口、需要匹配的流量的应用类型和匹配后的过滤动作。
解析单元304用于根据需要匹配的流量的应用类型,对接收的原始流量进行解析以生成与原始流量中的所述需要匹配的流量对应的服务器端的IP地址、传输层协议类型、协议端口以及原始流量中的所述需要匹配的流量的应用名称。
规则生成单元306用于在发现与需要匹配的流量的应用类型对应的包含IP地址、传输层协议类型和协议端口的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则。该流量过滤规则包括IP地址、传输层协议类型、协议端口、分流器输出端口和过滤动作。
发送单元308用于将流量过滤规则下发到分流器。
分流器在接收到流量过滤规则后,对匹配该流量过滤规则的流量执行过滤操作。
至此,提供了根据本公开一些实施例的DPI设备。该DPI设备包括配置单元、解析单元、规则生成单元和发送单元。通过DPI设备的上述各个单元的相关功能,可以生成流量过滤规则并向分流器下发流量过滤规则,从而实现流量过滤。本公开不需要专门增加设备配置,从而降低成本。
发送单元308还用于在发现条目信息超过预定时间没有匹配流量的情况下,向分流器下发删除指令以删除与该条目信息对应的流量过滤规则。
在一些实施例中,流量过滤信息还包括规则条目数阈值。发送单元308还用于在所记录的与应用类型对应的条目信息的条目数大于规则条目数阈值的情况下,根据每个条目信息所匹配的流量的大小对所有条目信息按照由大到小的顺序排序,并向分流器优先下发前N个条目信息所对应的流量过滤规则,其中,N为小于或等于规则条目数阈值的正整数。
在一些实施例中,过滤动作包括:丢弃流量动作或转发流量动作。分流器用于在流量过滤规则包含丢弃流量动作的情况下,在丢弃匹配流量后,将剩余的流量转发给对应的分析***;和/或在流量过滤规则包含转发流量动作的情况下,在丢弃除匹配流量之外的流量后,将匹配流量转发给对应的分析***。
图4是示出根据本公开另一些实施例的DPI设备的结构图。该DPI设备包括存储器410和处理器420。其中:
存储器410可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1所对应实施例中的指令。
处理器420耦接至存储器410,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器420用于执行存储器中存储的指令,从而实现了流量过滤,降低了成本。
在一些实施例中,还可以如图5所示,该DPI设备500包括存储器510和处理器520。处理器520通过BUS总线530耦合至存储器510。该DPI设备500还可以通过存储接口540连接至外部存储装置550以便调用外部数据,还可以通过网络接口560连接至网络或者另外一台计算机***(未标出),此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,从而实现了流量过滤,降低了成本。
本公开的实施例还提供了一种流量过滤***。该流量过滤***包括如前所述的DPI设备(例如如图3、图4或图5所示的)DPI设备。该流量过滤***还包括分流器。该分流器用于在从DPI设备接收到流量过滤规则后,对匹配该流量过滤规则的流量执行过滤操作。通过DPI设备和分流器的联动,利用DPI设备基于应用层的数据包识别和分流器基于传输层过滤能力,实现了流量过滤功能。
在另一些实施例中,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现图1所对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(***)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (11)
1.一种流量过滤方法,包括:
深度包检测技术DPI设备配置流量过滤信息,所述流量过滤信息包括:用于接收需要匹配的流量的分析***的名称、与所述分析***对接的分流器输出端口、所述需要匹配的流量的应用类型和匹配后的过滤动作;
所述DPI设备根据所述需要匹配的流量的应用类型,对接收的原始流量进行解析以生成与所述原始流量中的所述需要匹配的流量对应的服务器端的网际互连协议IP地址、传输层协议类型、协议端口以及所述原始流量中的所述需要匹配的流量的应用名称;以及
所述DPI设备在发现与所述需要匹配的流量的应用类型对应的包含IP地址、传输层协议类型和协议端口的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则,并将所述流量过滤规则下发到分流器,其中,所述流量过滤规则包括所述IP地址、传输层协议类型、协议端口、分流器输出端口和过滤动作;
其中,所述分流器在接收到所述流量过滤规则后,对匹配所述流量过滤规则的流量执行过滤操作。
2.根据权利要求1所述的流量过滤方法,还包括:
所述DPI设备在发现所述条目信息超过预定时间没有匹配流量的情况下,向所述分流器下发删除指令以删除与所述条目信息对应的流量过滤规则。
3.根据权利要求1所述的流量过滤方法,其中,所述流量过滤信息还包括规则条目数阈值;
所述流量过滤方法还包括:所述DPI设备在所记录的与应用类型对应的所述条目信息的条目数大于所述规则条目数阈值的情况下,根据每个条目信息所匹配的流量的大小对所有条目信息按照由大到小的顺序排序,并向所述分流器优先下发前N个条目信息所对应的流量过滤规则,其中,N为小于或等于所述规则条目数阈值的正整数。
4.根据权利要求1所述的流量过滤方法,其中,
所述过滤动作包括:丢弃流量动作或转发流量动作;
所述分流器对匹配所述流量过滤规则的流量执行过滤操作的步骤包括:
在所述流量过滤规则包含丢弃流量动作的情况下,所述分流器在丢弃匹配流量后,将剩余的流量转发给对应的分析***;和/或
在所述流量过滤规则包含转发流量动作的情况下,所述分流器在丢弃除匹配流量之外的流量后,将所述匹配流量转发给对应的分析***。
5.一种DPI设备,包括:
配置单元,用于配置流量过滤信息,所述流量过滤信息包括:用于接收需要匹配的流量的分析***的名称、与所述分析***对接的分流器输出端口、所述需要匹配的流量的应用类型和匹配后的过滤动作;
解析单元,用于根据所述需要匹配的流量的应用类型,对接收的原始流量进行解析以生成与所述原始流量中的所述需要匹配的流量对应的服务器端的网际互连协议IP地址、传输层协议类型、协议端口以及所述原始流量中的所述需要匹配的流量的应用名称;
规则生成单元,用于在发现与所述需要匹配的流量的应用类型对应的包含IP地址、传输层协议类型和协议端口的条目信息为新增的条目信息后,根据解析得到的IP地址、传输层协议类型、协议端口、分流器输出端口和匹配后的过滤动作生成流量过滤规则,其中,所述流量过滤规则包括所述IP地址、传输层协议类型、协议端口、分流器输出端口和过滤动作;和
发送单元,用于将所述流量过滤规则下发到分流器;
其中,所述分流器在接收到所述流量过滤规则后,对匹配所述流量过滤规则的流量执行过滤操作。
6.根据权利要求5所述的DPI设备,其中,
所述发送单元还用于在发现所述条目信息超过预定时间没有匹配流量的情况下,向所述分流器下发删除指令以删除与所述条目信息对应的流量过滤规则。
7.根据权利要求5所述的DPI设备,其中,所述流量过滤信息还包括规则条目数阈值;
所述发送单元还用于在所记录的与应用类型对应的所述条目信息的条目数大于所述规则条目数阈值的情况下,根据每个条目信息所匹配的流量的大小对所有条目信息按照由大到小的顺序排序,并向所述分流器优先下发前N个条目信息所对应的流量过滤规则,其中,N为小于或等于所述规则条目数阈值的正整数。
8.根据权利要求5所述的DPI设备,其中,
所述过滤动作包括:丢弃流量动作或转发流量动作;
所述分流器用于在所述流量过滤规则包含丢弃流量动作的情况下,在丢弃匹配流量后,将剩余的流量转发给对应的分析***;和/或在所述流量过滤规则包含转发流量动作的情况下,在丢弃除匹配流量之外的流量后,将所述匹配流量转发给对应的分析***。
9.一种DPI设备,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至4任意一项所述的方法。
10.一种流量过滤***,包括:
如权利要求5至9任意一项所述的DPI设备;以及
分流器,用于在从所述DPI设备接收到流量过滤规则后,对匹配所述流量过滤规则的流量执行过滤操作。
11.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如权利要求1至4任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110205338.0A CN115037640A (zh) | 2021-02-24 | 2021-02-24 | 流量过滤方法、dpi设备、***和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110205338.0A CN115037640A (zh) | 2021-02-24 | 2021-02-24 | 流量过滤方法、dpi设备、***和计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115037640A true CN115037640A (zh) | 2022-09-09 |
Family
ID=83118002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110205338.0A Pending CN115037640A (zh) | 2021-02-24 | 2021-02-24 | 流量过滤方法、dpi设备、***和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115037640A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286937A (zh) * | 2008-05-16 | 2008-10-15 | 华为技术有限公司 | 一种网络流量控制方法、装置及*** |
| US20180034778A1 (en) * | 2016-07-29 | 2018-02-01 | ShieldX Networks, Inc. | Systems and methods for accelerated pattern matching |
| CN108259371A (zh) * | 2016-12-28 | 2018-07-06 | 亿阳信通股份有限公司 | 一种基于流处理的网络流量数据解析方法和装置 |
| CN110224891A (zh) * | 2019-06-12 | 2019-09-10 | 武汉绿色网络信息服务有限责任公司 | 一种基于dpi和分流器的智能流量调度方法和*** |
-
2021
- 2021-02-24 CN CN202110205338.0A patent/CN115037640A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101286937A (zh) * | 2008-05-16 | 2008-10-15 | 华为技术有限公司 | 一种网络流量控制方法、装置及*** |
| US20180034778A1 (en) * | 2016-07-29 | 2018-02-01 | ShieldX Networks, Inc. | Systems and methods for accelerated pattern matching |
| CN108259371A (zh) * | 2016-12-28 | 2018-07-06 | 亿阳信通股份有限公司 | 一种基于流处理的网络流量数据解析方法和装置 |
| CN110224891A (zh) * | 2019-06-12 | 2019-09-10 | 武汉绿色网络信息服务有限责任公司 | 一种基于dpi和分流器的智能流量调度方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103618733B (zh) | 一种应用于移动互联网的数据过滤***及方法 | |
| CN106790170B (zh) | 一种数据包过滤方法及装置 | |
| CN111181857B (zh) | 一种报文处理方法及装置、存储介质、光网络终端 | |
| CN103188231A (zh) | 一种多核板卡acl规则匹配方法 | |
| CN106603736B (zh) | Mac地址处理方法及装置 | |
| CN102193948A (zh) | 特征匹配方法和装置 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN102546398B (zh) | 一种报文匹配方法及装置 | |
| CN114745455A (zh) | 网络接口报文数据处理方法、装置、设备及介质 | |
| CN107592554A (zh) | 直播视频转发方法及装置 | |
| CN115037640A (zh) | 流量过滤方法、dpi设备、***和计算机可读存储介质 | |
| US9497167B2 (en) | System and method for automatic provisioning of multi-stage rule-based traffic filtering | |
| US10091074B2 (en) | Hardware acceleration architecture for signature matching applications for deep packet inspection | |
| JP4642903B2 (ja) | 文脈認識が強化されたメッセージ変換システムおよび方法 | |
| CN111210826A (zh) | 语音信息处理方法、装置、存储介质和智能终端 | |
| CN107483508B (zh) | 报文过滤方法、装置、设备及存储介质 | |
| CN108449231B (zh) | 一种交易数据的过滤方法、装置及实现装置 | |
| CN113992364B (zh) | 一种网络数据包阻断优化方法以及*** | |
| CN114157611B (zh) | 一种报文去重方法、装置及存储介质 | |
| CN115801927A (zh) | 报文解析方法及装置 | |
| CN104331452B (zh) | 一种处理脏数据的方法及*** | |
| CN102255802B (zh) | 一种sna主机报文解析的方法及*** | |
| CN112073357A (zh) | 一种访问控制列表下发方法及装置 | |
| CN110808972A (zh) | 数据流识别方法及装置 | |
| CN110597854A (zh) | 基于fe工业互联网的数据分类方法及相关产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |