用于实现深度包检测优化的方法、装置和系统制造方法及图纸

技术编号:15749805 阅读:148 留言:0更新日期:2017-07-03 15:09
本发明专利技术公开了一种用于实现深度包检测优化的方法、装置和系统,涉及云计算领域。其中方法包括:深度包检测前端设备在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则;若未查询到与数据报文相对应的策略规则,则向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;在接收到策略规则后,将策略规则写入规则表中;利用与数据报文相对应的策略规则对数据报文进行处理。本发明专利技术通过引入SDN技术,以数据流为单位对需要进入DPI检测的流量流向进行控制,减少需要检测的数据包数量,实现了DPI功能的按需部署,避免了现有技术中DPI设备随机丢弃数据包造成的解析不精确的问题。

【技术实现步骤摘要】
用于实现深度包检测优化的方法、装置和系统
本专利技术涉及云计算领域,尤其涉及一种用于实现深度包检测优化的方法、装置和系统。
技术介绍
DPI(DeepPacketInspection,深度包检测)技术是一种基于网络协议栈应用层信息的流量检测和控制技术。其中,其对数据包的检测“深度”是相对于普通的报文分析层次相比较而言的。“普通报文检测”通常仅分析网络协议栈4层以下的内容,主要包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI除了对上述这些层次的信息进行分析外,还增加了对应用层信息的分析,进而识别各种应用及其具体内容。随着混合云(HybridCloud)、虚拟私有云(VirtualPrivateCloud,VPC)等创新云服务对于数据中心网络功能按需部署需求的日益增加,DPI也正在成为公有云服务中需要为客户灵活交付的服务能力。然而,现有的DPI设备一般部署在数据中心网络的出口,通过镜像方式将所有的网络流量导入到DPI设备。DPI过程对于性能有极高的要求,软件设备很难承担相应工作,如果为租户引入专属硬件又需要付出高昂的代价。同时,当网络流量过大时,DPI设备可能会无法承担全部流量的数据解析工作,只好将一部分流量做随机的丢弃处理,这就导致了DPI解析结果不精确。这是目前需要亟待解决的问题之一。
技术实现思路
本专利技术的专利技术人发现了上述现有技术中存在问题,并因此针对上述问题中的至少一个问题提出了一种新的技术方案。根据本专利技术的一个方面,提供了一种用于实现深度包检测优化的方法,包括:深度包检测前端设备在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发;若未查询到与数据报文相对应的策略规则,则深度包检测前端设备向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;深度包检测前端设备在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中;深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。在一个实施例中,若查询到与数据报文相对应的策略规则,则深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。在一个实施例中,还包括:深度包检测前端设备根据转发报文数计算当前的处理能力;深度包检测前端设备根据规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力;若当前处理能力超过预设的最大转发能力,则深度包检测前端设备向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则;深度包检测前端设备在接收到规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。在一个实施例中,深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理的步骤包括:深度包检测前端设备利用与数据报文相对应的策略规则,将数据报文转发到深度包检测设备进行处理,或将数据报文丢弃。在一个实施例中,还包括:深度包检测前端设备在进行初始化操作时,与规则控制器建立管理通路;深度包检测前端设备在接收到规则控制器下发的信息后,判断下发信息是否为最大处理能力信息;若下发信息为最大处理能力信息,则深度包检测前端设备记录最大处理能力信息;若下发信息不是最大处理能力信息,则深度包检测前端设备进一步判断下发信息是否为具有策略规则的流表信息;若下发信息为流表信息,则深度包检测前端设备记录流表信息。根据本专利技术的另一方面,提供了一个用于实现深度包检测优化的方法。包括:规则控制器在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求;若接收到的信息为策略请求,则规则控制器从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求;规则控制器生成与数据报文信息相对应的策略规则;规则控制器将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。在一个实施例中,若接收到的信息不是策略请求,则规则控制器进一步判断接收到的信息是否为超过最大处理能力上报信息;若接收到的信息为超过最大处理能力上报信息,则规则控制器增加丢弃报文策略规则;规则控制器将增加的丢弃报文策略规则下发给深度包检测前端设备。在一个实施例中,还包括:规则控制器在进行初始化操作时,与深度包检测前端设备建立管理通路;规则控制器根据深度包检测设备的处理能力,确定深度包检测前端设备在单位时间内的最大处理能力;规则控制器将最大处理能力信息下发给深度包检测前端设备;规则控制器生成相应的具有策略规则的流表信息,并将生成的流表信息下发给深度包检测前端设备。根据本专利技术的一个方面,提供了一种用于实现深度包检测优化的深度包检测前端设备,包括:查询单元,用于在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发;策略单元,用于若未查询到与数据报文相对应的策略规则,则向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中;报文处理单元,用于利用与数据报文相对应的策略规则对数据报文进行处理。在一个实施例中,报文处理单元,还用于若查询到与数据报文相对应的策略规则,则利用与数据报文相对应的策略规则对数据报文进行处理。在一个实施例中,策略单元,还用于根据转发报文数计算当前的处理能力;根据规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力;若当前处理能力超过预设的最大转发能力,则向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则;在接收到规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。在一个实施例中,报文处理单元,具体用于利用与数据报文相对应的策略规则,将数据报文转发到深度包检测设备进行处理,或将数据报文丢弃。在一个实施例中,策略单元,还用于在进行初始化操作时,与规则控制器建立管理通路;在接收到规则控制器下发的信息后,判断下发信息是否为最大处理能力信息;若下发信息为最大处理能力信息,则记录最大处理能力信息;若下发信息不是最大处理能力信息,则进一步判断下发信息是否为具有策略规则的流表信息;若下发信息为流表信息,则记录流表信息。根据本专利技术的一个方面,提供了一种用于实现深度包检测优化的规则控制器,包括:信息处理单元,用于在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求;策略生成单元,用于若接收到的信息为策略请求,则从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求;生成与数据报文信息相对应的策略规则;将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。在一个实施例中,信息处理单元,还用于若接收到的信息不是策略请求,则进一步判断接收到的信息是否为超过最大处理能力上报信息;策略生成单元,本文档来自技高网...
用于实现深度包检测优化的方法、装置和系统

【技术保护点】
一种用于实现深度包检测优化的方法,其特征在于,包括:深度包检测前端设备在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发;若未查询到与数据报文相对应的策略规则,则深度包检测前端设备向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;深度包检测前端设备在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中;深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。

【技术特征摘要】
1.一种用于实现深度包检测优化的方法,其特征在于,包括:深度包检测前端设备在通过网络接收到数据报文后,在规则表中查询是否存在与数据报文相对应的策略规则,其中规则表中包括的策略规则由规则控制器下发;若未查询到与数据报文相对应的策略规则,则深度包检测前端设备向规则控制器发送策略请求,以便规则控制器下发与数据报文相对应的策略规则;深度包检测前端设备在接收到规则控制器下发的与数据报文相对应的策略规则后,将接收到的与数据报文相对应的策略规则写入规则表中;深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。2.根据权利要求1所述的方法,其特征在于,若查询到与数据报文相对应的策略规则,则深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。3.根据权利要求2所述的方法,其特征在于,还包括:深度包检测前端设备根据转发报文数计算当前的处理能力;深度包检测前端设备根据规则控制器下发的最大转发能力信息,判断当前处理能力是否超过预设的最大转发能力;若当前处理能力超过预设的最大转发能力,则深度包检测前端设备向规则控制器发送超过最大处理能力上报信息,以便规则控制器增加丢弃报文策略规则;深度包检测前端设备在接收到规则控制器下发的丢弃报文策略规则后,将接收到的丢弃报文策略规则写入规则表中。4.根据权利要求1-3中任一项所述的方法,其特征在于,深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理的步骤包括:深度包检测前端设备利用与数据报文相对应的策略规则,将数据报文转发到深度包检测设备进行处理,或将数据报文丢弃。5.根据权利要求1-3中任一项所述的方法,其特征在于,还包括:深度包检测前端设备在进行初始化操作时,与规则控制器建立管理通路;深度包检测前端设备在接收到规则控制器下发的信息后,判断下发信息是否为最大处理能力信息;若下发信息为最大处理能力信息,则深度包检测前端设备记录最大处理能力信息;若下发信息不是最大处理能力信息,则深度包检测前端设备进一步判断下发信息是否为具有策略规则的流表信息;若下发信息为流表信息,则深度包检测前端设备记录流表信息。6.一种用于实现深度包检测优化的方法,其特征在于,包括:规则控制器在接收到深度包检测前端设备发送的信息后,判断接收到的信息是否为策略请求;若接收到的信息为策略请求,则规则控制器从策略请求中提取出数据报文信息,其中深度包检测前端设备在未查询到与所接收的数据报文相对应的策略规则时发送策略请求;规则控制器生成与数据报文信息相对应的策略规则;规则控制器将生成的策略规则下发给深度包检测前端设备,以便深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。7.根据权利要求6所述的方法,其特征在于,若接收到的信息不是策略请求,则规则控制器进一步判断接收到的信息是否为超过最大处理能力上报信息;若接收到的信息为超过最大处理能力上报信息,则规则控制器增加丢弃报文策略规则;规则控制器将增加的丢弃报文策略规则下发给深度包检测前端设备。8.根据权利要求6或7所述的方法,其特征在于,还包括:规则控制器在进行初始化操作时,与深度包检测前端设备建立管理通路;规则控制器根据深度包检测设备的处理能力,确定深度包检测前端设备在单位时间内的最大处理能力;规则控制器将最大处理能力信息下发给深度包检测前端设备;规则控制器生成相应的具有策略规则的流表信息,并将生成的流表信息下发给深度包检测前端设备。9.一种用于实现深度包检测优化的深度包检测前端设备,其特征在于,包括:查询单元,用于在通过网络接...

【专利技术属性】
技术研发人员:王和宇王峰
申请(专利权)人:中国电信股份有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1