This invention discloses a dynamic rule chain recursion trigger method and its system based on message content perception. Its main technical features are: on the basis of building a dynamic rule chain recursion trigger system, the existing TAP devices can not carry on dynamic association analysis to the message stream, by adding flip-flops and trigger. The relationship between trigger rules, configuration trigger, configuration static rule and trigger definition, message matching, new dynamic rule, rule aging delete, update rule table, etc. are used to dynamically extract IP address, port, user identity and other dynamic information in the external input message flow, and trigger the new movement recursively. The rule of state enables the message flow to be accurately output to the back end analysis system, significantly saving the input bandwidth of the back end analysis system and avoiding the performance loss of the back end analysis system. It has the advantages of simple realization method, fast and efficient rule triggering, and significant reduction of message flow in back end analysis system.
【技术实现步骤摘要】
基于报文内容感知的动态规则链式递归触发方法及其系统
本专利技术属网络可视化
,具体涉及一种基于报文内容感知的动态规则链式递归触发方法,以及实现该方法的一种系统组成。
技术介绍
技术介绍
中,网络可视化领域使用TAP设备采集用户业务网的报文流,通过用户配置的静态规则来筛选感兴趣的流,基于分流采集网络传输给后端的分析系统进行实时处理。分析系统希望前端TAP设备能精准的过滤报文流,仅将其感兴趣的流输出到后端进行处理,避免无关数据报文造成不必要的带宽和性能损耗。很多情况下,后端分析系统希望处理特定大型网站的访问流量或者符合特定特征用户的全部流量,但是现有TAP设备仅支持基于MAC地址、IP地址、端口和报文载荷等静态域的规则筛选过滤。大型网站的负载均衡和内容缓存机制可能覆盖数千个IP地址,上述地址随着时间会不断发生变化,而用户的IP地址则可能在每次上网时,从成千上万个IP地址池中随机分配,因此精确的报文流筛选必须要解决报文流之间的动态关联性分析问题。例如:DNS报文流将携带服务端的域名和IP地址列表,决定了后续用户终端将与哪个服务端IP地址进行通讯,而Radius、PP...
【技术保护点】
1.一种基于报文内容感知的动态规则链式递归触发方法,其特征在于它包括以下步骤:1)用户配置触发器,指定需触发的规则类型、老化时间、报文匹配方向、规则各组成域的来源、以及触发后的规则与其它触发器的关联关系,保存在触发描述库模块中,其中规则各组成域可以由用户配置静态值,也可以指定从当前报文的指定域提取动态值;2)用户配置MAC、IP五元组、报文载荷特征码等静态规则,定义当前静态规则与某个触发器的关联关系,保存在静态规则库模块中;3)触发描述库模块和静态规则库模块将静态规则和触发器定义分发给设备中的多个报文匹配引擎,保存在报文匹配引擎的规则表中;4)报文匹配引擎在接收到网络报文时...
【技术特征摘要】
1.一种基于报文内容感知的动态规则链式递归触发方法,其特征在于它包括以下步骤:1)用户配置触发器,指定需触发的规则类型、老化时间、报文匹配方向、规则各组成域的来源、以及触发后的规则与其它触发器的关联关系,保存在触发描述库模块中,其中规则各组成域可以由用户配置静态值,也可以指定从当前报文的指定域提取动态值;2)用户配置MAC、IP五元组、报文载荷特征码等静态规则,定义当前静态规则与某个触发器的关联关系,保存在静态规则库模块中;3)触发描述库模块和静态规则库模块将静态规则和触发器定义分发给设备中的多个报文匹配引擎,保存在报文匹配引擎的规则表中;4)报文匹配引擎在接收到网络报文时,查询规则表进行匹配;5)如果当前报文与规则表中某一条规则匹配,根据规则关联的触发器,提取当前触发器指定的报文字段,与用户静态配置规则域、以及当前的触发关联关系一起构成新的动态规则;6)报文匹配引擎将新动态规则发送给动态规则库模块;7)动态规则库模块在收到新动态规则后,保存在规则库中,将其分发给所有报文匹配引擎,保存在各报文匹配引擎的规则表中,保证所有报文匹配引擎的动态规则严格同步;8)动态规则库模块周期性查询各个动态规则的报文匹配计数,在达到动态规则老化时间且无报文匹配本条规则时,通知所有报文匹配引擎删除该动态规则。2.一种实现上述基于报文内容感知的动态规则链式递归触发方法的系统,其特征在于它包括:控制平面、数据平面;所述的控制平面包括触发描述库模块、静态规则库模块、多线程并行的动态规则处理线程模块;触发描述库模块:保存用户定义的触发器信息,其中触发器包括触发的规则类型、规则优先级、从报文中动态提取的规则域描述、用户静态配置的规则域、以及新触发规则与其它触发器的关联关系、新触发规则的老化时间等,触发描述库模块将所有触发器信息可靠分发给所有的报文匹配引擎...
【专利技术属性】
技术研发人员:张晓哲,胡都欢,刘日,李先平,杨白,李权,张鹏,唐靖飚,陈一骄,童江鹏,
申请(专利权)人:湖南戎腾网络科技有限公司,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。