一种区分业务流早期回传的透明管控方法及设备技术

本发明专利技术涉及通信技术领域，公开了一种区分业务流早期回传的透明管控方法，包括首先将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理；对流数据包进行深度解析和管控规则匹配；根据深度解析和管控规则匹配结果，对流数据包进行相应的管控处理；本发明专利技术还公开了一种区分业务流早期回传的透明管控设备，包括浅层解析模块、早期黑名单匹配模块、早期复制回传模块、深度解析模块、管控规则匹配模块和管控处理模块。本发明专利技术的方法和设备能够使在线音视频数据包的回传、深度解析、规则匹配等的处理不影响用户的网络体验，具有良好的管控效果。

Transparent control method and device for distinguishing early return of service flow

The present invention relates to the technical field of communication, and discloses a differentiated service flow early return transparent control method, including the flow data packets for shallow parsing, blacklist, early and delay sensitive early replicating data return packet processing; convection depth of analysis and control rules, according to the depth of analysis and control; rule matching results, convection packets corresponding control; the invention also discloses a transparent control device to distinguish between business flow early return, including shallow parsing module, early blacklist matching module, feedback module, early replication depth analysis module, control module and control module of rule matching. The method and the device of the invention can make the processing of the return, depth analysis and rule matching of the online audio and video data packet not affect the network experience of the user, and have good control effect.

【技术实现步骤摘要】
一种区分业务流早期回传的透明管控方法及设备
本专利技术涉及通信
，特别是涉及一种区分业务流早期回传的透明管控方法及设备。
技术介绍
近些年来，我国网络融合的持续演进催生了更宽泛的融合网络空间和更多样的应用创新，引发了网络犯罪、网络泄密、网上暴恐教唆、不良信息传播等违规、违法活动的不断跨网蔓延，带来了网络空间治理复杂多样的新挑战。构建全程全网的网络管控技术体系已成为国家维护网络空间安全稳定、风清气正的核心技术需求之一。网络管控本身具有现实的特殊性，应使管控设备和管控行为难以被普遍感知。针对融合网络全程全网管控需求，本专利技术需要实现透明管控、高速深度处理及规则匹配等要求。实时管控设备需要对接收到的链路数据进行深度解析和规则匹配，既要将链路上的数据区分为合法流量、违规流量、有价值流量，又要使整个管控过程对合法用户透明，即让合法用户无感，使他们的网络体验不受影响。实时管控设备串接在链路上，类似于机场的安检设备，能够自动区分出违规信息和合规合法信息。实时管控设备还能够对区分出的违规违法流量和合规流量进行相应管控处理。对链路数据的检测是一个由浅入深、逐层检测的过程，浅层的检测包括IP头部检测、TCP/UDP头部检测等，而深层的检测主要是载荷部分检测。浅层检测耗时短，而深层检测耗时通常很长，是检测时延构成的主体部分。若我们要准确判断一个信息流的属性，一般要对该信息流进行深度解析和规则匹配，而完成整个检测需要很长的时延，但用户观看音视频等时延敏感类信息的处理时延要求很短，否则用户观看体验会受到影响。综上所述，信息流深度解析必须引入长时延与用户观看音视频等时延敏感类信息的处理时间必须很短之间产生了冲突。若要使用户的观看体验不受影响，要求实时管控设备对信息流的处理时延要很短。
技术实现思路
为了解决上述技术问题，本专利技术提出一种区分业务流早期回传的透明管控方法及设备，能够使在线音视频数据包的回传、深度解析、规则匹配等的处理不影响用户的网络体验，具有良好的管控效果。为了实现上述目的，本专利技术采用以下的技术方案：本专利技术发现了音视频流管控延迟容忍规律：在人眼视觉暂留、人耳哈斯效应的生理固有规律作用下，在线音视频流的管控在延迟一定时间(几毫秒)后实施，并不影响管控效果。本专利技术的目的是能够对流量进行逐层识别，规则匹配，并将信息流深度解析必然带来长时延和合法音视频流必须保障短时延之间的对立问题实现了统一；传统网络管控方法是先检测所有流数据包，而后再对其进行转发或拦截，而本专利技术的网络管控方法是先转发在线音视频等时延敏感业务流数据包，而后再对其进行跟踪检测、拦截，对于非时延敏感数据包则先不转发，而是让它从浅层到深层规则逐步去匹配，再对其实施相应管控处理。基于以上音视频流管控延迟容忍规律，本专利技术提出一种区分业务流早期回传的透明管控方法，包括以下步骤：步骤1，将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理；步骤2，对流数据包进行深度解析和管控规则匹配；步骤3，根据深度解析和管控规则匹配结果，对流数据包进行相应的管控处理。进一步地，在步骤1之前和步骤3之后，还包括：对流数据包进行光/电和数据链路层的基本处理。进一步地，所述步骤1的具体实现过程为：步骤1.1，将流数据包进行浅层解析，包括IP头部检测和TCP/UDP头部检测；步骤1.2，将流数据包进行早期黑名单匹配，若命中黑名单，则将该流数据包丢弃，并阻断数据传送，否则将该流数据包分为时延敏感数据包和非时延敏感数据包，所述时延敏感数据包包括在线音视频数据包；步骤1.3，将在线音视频数据包复制一份后对复制包做上复制标记，并将原在线音视频数据包送入早期复制回传模块使其回传至链路中。进一步地，所述在线音视频数据包的处理时延限定在微秒级。进一步地，所述步骤2具体为：步骤2.1，对流数据包进行深度解析，并将该流数据包划分为违规违法数据包、带有复制标记的合法数据包、未标记的非时延敏感合法数据包和有价值数据包；步骤2.2，根据流数据包的深度解析结果，对该流数据包进行相应的管控规则匹配，为后续管控处理做准备。进一步地，所述步骤3中根据深度解析和管控规则匹配结果分为以下几种情况处理：情况一，对带有复制标记的合法数据包丢弃；情况二，对违规违法数据包丢弃，进行反配规则，提取该信息流的五元组信息并加入早期黑名单中，阻断后续数据的传输；情况三，对未标记的非时延敏感合法数据包按照深度解析和管控规则匹配结果进行回传、阻断或者分流；情况四，对有价值数据包分流到后端。本专利技术还提供一种区分业务流早期回传的透明管控设备，包括：浅层解析模块，用于对流数据包进行浅层的检测；早期黑名单匹配模块，用于判断流数据包是否命中黑名单；早期复制回传模块，用于将在线音视频数据包复制一份后对复制包做上复制标记，并将原在线音视频数据包送入早期复制回传模块使其回传至链路中；深度解析模块，用于对流数据包进行载荷解析；管控规则匹配模块，用于对流数据包进行管控规则匹配；管控处理模块，用于对流数据包进行管控处理。进一步地，还包括：光/电处理模块，用于对流数据包进行光/电处理；数据链路层处理模块，用于对流数据包进行链路层处理。进一步地，还包括故障避绕模块，所述故障避绕模块包括时钟预同步模块、电信号旁路控制模块和黑盒故障检测模块；所述时钟预同步模块，用于主信号旁路时预先对备用信号进行时钟同步；所述电信号旁路控制模块，用于主信号旁路控制到备用信号上；所述黑盒故障检测模块，用于对管控设备进行黑盒式故障检测。与现有技术相比，本专利技术具有以下优点：本专利技术针对信息流深度解析必须引入长时延与时延敏感类正常信息流的处理必须要求短时延之间的固有矛盾，利用人眼视觉暂留和人耳哈斯效应的生理固有规律，创建了区分业务流早期回传的高速、深度处理兼具，大容量规则支持的透明化管控设备，并首先发现了音视频流管控延迟容忍规律。本专利技术的管控设备能使在线音视频流的回传、深度解析、规则匹配等的处理不影响用户的网络体验，并有良好的管控效果；能使非时延敏感信息流按照正常流程进行逐层深度解析和规则匹配。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例的一种区分业务流早期回传的透明管控方法的流程示意图；图2是本专利技术实施例的一种区分业务流早期回传的透明管控设备的体系结构图。具体实施方式为了使本
的人员更好地理解本专利技术中的技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。实施例一，本专利技术提供一种区分业务流早期回传的透明管控方法，包括以下步骤：步骤1，将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理；步骤2，对流数据包进行深度解析和管控规则匹配；步骤3，根据深度解析和管控规则匹配结果，对流数据包进行相应的管控处理。本专利技术将未命中早期黑名单的输入数据区分成在线音视频流等时延敏感信息流和非时延敏感信息流，在线音视频流在进入深度解析前，通过图2中早期复制回传模块先放行，对时延敏感业务加速回传，从而将本文档来自技高网...

【技术保护点】
一种区分业务流早期回传的透明管控方法，其特征在于，包括以下步骤：步骤1，将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理；步骤2，对流数据包进行深度解析和管控规则匹配；步骤3，根据深度解析和管控规则匹配结果，对流数据包进行相应的管控处理。

【技术特征摘要】
1.一种区分业务流早期回传的透明管控方法，其特征在于，包括以下步骤：步骤1，将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理；步骤2，对流数据包进行深度解析和管控规则匹配；步骤3，根据深度解析和管控规则匹配结果，对流数据包进行相应的管控处理。2.根据权利要求1所述的区分业务流早期回传的透明管控方法，其特征在于，在步骤1之前和步骤3之后，还包括：对流数据包进行光/电和数据链路层的基本处理。3.根据权利要求1或者2所述的区分业务流早期回传的透明管控方法，其特征在于，所述步骤1的具体实现过程为：步骤1.1，将流数据包进行浅层解析，包括IP头部检测和TCP/UDP头部检测；步骤1.2，将流数据包进行早期黑名单匹配，若命中黑名单，则将该流数据包丢弃，并阻断数据传送，否则将该流数据包分为时延敏感数据包和非时延敏感数据包，所述时延敏感数据包包括在线音视频数据包；步骤1.3，将在线音视频数据包复制一份后对复制包做上复制标记，并将原在线音视频数据包送入早期复制回传模块使其回传至链路中。4.根据权利要求3所述的区分业务流早期回传的透明管控方法，其特征在于，所述在线音视频数据包的处理时延限定在微秒级。5.根据权利要求3所述的区分业务流早期回传的透明管控方法，其特征在于，所述步骤2具体为：步骤2.1，对流数据包进行深度解析，并将该流数据包划分为违规违法数据包、带有复制标记的合法数据包、未标记的非时延敏感合法数据包和有价值数据包；步骤2.2，根据流数据包的深度解析结果，对该流数据包进行相应的管控规则匹配，为后续管控处理做准备。...

【专利技术属性】
技术研发人员：李玉峰，魏鹏，陈博，江逸茗，张风雨，申涓，张校辉，王鹏，
申请(专利权)人：中国人民解放军信息工程大学，
类型：发明
国别省市：河南,41