本发明专利技术提供了一种网络通信会话聚合的方法,包括创建关于主会话和从会话的数据结构;根据创建的数据结构将主会话和从会话关联,并将主会话的规则关联至从会话,得到主会话结点和从会话结点;若动态端口有协议,则建立与主会话关联的从会话节点;若有新会话时,将从会话与相应的主会话关联;创建关于上传至上层组件的会话信息的数据结构;将上层组件与相应的主会话关联;创建上层组件的数据结构;上层组件获取主会话与从会话的关联关系。可以广泛的适用于各种类型的动态端口协议。实现主会话‑从会话的关联聚合,从而在接收数据和后续处理中都能取得会话间的关联关系。可以在无法判定从会话(数据会话)协议特征时获知数据会话的所属协议。
A method of network communication session aggregation
【技术实现步骤摘要】
一种网络通信会话聚合的方法
本专利技术涉及通信
,具体地涉及一种网络通信会话聚合的方法
技术介绍
所谓会话关联,指建立同一个协议,会建立多个协议连接的会话,通常存在动态端口开放的通信协议,如FTP和OPCClassic。以FTP为例,一个FTP应用包含一个控制通道会话和若干个数据通道会话。进行FTP访问时先建立控制通道的会话连接,在需要传输文件数据时再动态的建立数据会话的连接。由于这时建立的通信会话的端口是报文协商获得或者随机分配的,这类的协议也被称为“动态端口”协议。由于是“动态端口”协议,一个FTP或OPC-DA应用就会由多个TCP会话组成,包括:一个主会话(控制会话)和多个从会话(数据会话)。对于网络监测审计类、网络数据采集类、网络保护控制类产品,需要把存在关联关系的会话按照主会话-从会话进行关联聚合,从而在接收数据和后续处理中都能取得会话间的关联关系。由在需要进行流还原与通信控制等的场合得到必要的支持。现有的会话处理技术:会话信息独立保存和展示,会话信息独立保存并单独控制缺点:1.通过列表展示可以标识通信对,但主会话和从会话之间不存在关联关系,被表示为独立的会话2.由于主会话和数据会话没有关联关系,对于没有协议/端口特征的从会话,无法得知所属的是哪种通信协议。3.对于监测审计类设备/安全控制类设备,无法自动的将主会话的规则对应到数据会话生效。
技术实现思路
(一)专利技术目的本专利技术的目的是针对现有技术的缺点提供一种网络通信会话聚合的方法。(二)技术方案为解决上述问题,本专利技术一种网络通信会话聚合的方法,包括如下步骤:步骤a:创建关于主会话和从会话的数据结构;步骤b:根据步骤a创建的数据结构将主会话和从会话关联,并将主会话的规则关联至从会话,得到主会话结点和从会话结点;步骤c:若动态端口有协议,则建立与主会话关联的从会话节点;步骤d:若有新会话时,将从会话与相应的主会话关联;步骤e:创建关于上传至上层组件的会话信息的数据结构;步骤f:根据步骤e的数据结构将上层组件与相应的主会话关联;步骤g:创建上层组件的数据结构;步骤h:根据步骤g的数据结构,上层组件获取主会话与从会话的关联关系。进一步的,步骤c具体包括,步骤c1:判断会话是否是动态端口协议,如果是则执行步骤c2,否则结束;步骤c2:判断五元组从会话哈希表上是否有对应的从会话节点,如果没有,则执行步骤c3,否则结束;步骤c3:建立从会话节点,将主会话关联到从会话节点,将从会话节点挂入五元组从会话哈希表中。进一步的,步骤d具体包括:步骤d1:接收新会话数据,判断是否有对应的从会话结点,如果有,则执行步骤d2,否则填写数据流统计信息;步骤d2:判断从会话是否已经关联主会话,如果是,则执行步骤d3,否则更新从会话节点的标志;步骤d3:判断当前会话是否已经达到establish状态,如果是则执行步骤d4,否则填写数据流统计信息;步骤d4:拆除对应的从会话节点。进一步的,步骤f具体包括当底层组件向上层组件上报会话信息时,将当前会话的信息,以及主会话信息一同上报,上层组件通过主会话的端口信息找到对应的主会话进行关联。进一步的,步骤h,上层组件通过主会话的五元组哈希值和哈希值下的索引值得到主会话的数据结构,最终获取主会话与从会话的关联关系。进一步的,还包括步骤i,以聚合的形式展示会话。(三)有益效果本专利技术的上述技术方案具有如下有益的技术效果:可以广泛的适用于各种类型的动态端口协议。本方法可以实现主会话-从会话的关联聚合,从而在接收数据和后续处理中都能取得会话间的关联关系。可以在无法判定从会话(数据会话)协议特征时获知数据会话的所属协议。可以在网络安全保护控制的场合提供必要的支持,使得从会话(数据会话)可以遵循主会话的相应规则。同时在需要进行流还原的应用场合,支持在进行协议数据流展示时,将主会话和从绘画聚合展示。网络通信的安全关联分析和控制、性能分析和网络数据流拓扑展示。附图说明图1是从会话处理逻辑图;图2是会话关联逻辑图;图3是会话聚合的展示效果图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本专利技术进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本专利技术的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本专利技术的概念。显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。此外,下面所描述的本专利技术不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。一种网络通信会话聚合的方法,包括如下步骤:步骤a:创建关于主会话和从会话的数据结构;步骤b:根据步骤a创建的数据结构将主会话和从会话关联,并将主会话的规则关联至从会话,得到主会话结点和从会话结点;例如,3个相同的数据结构flow_stat_node。其中第一个表示主会话node,后面2个表示从会话node。主会话通过relate_session成员找到从会话,而每个从会话都能通过各自的master成员找到主会话。步骤c:若动态端口有协议,则建立与主会话关联的从会话节点;如图1所示,当处理网络数据包时,一旦发现有动态端口协商协议,就会申请一个“从会话结点”,“从会话结点”能够关联主会话。步骤d:若有新会话时,将从会话与相应的主会话关联;如图2所示,当发现一个新会话时,会查询从会话哈希表。如果从会话哈希表中存在与当前会话相同信息的“从会话结点”,则说明当前会话存在主会话,则需要经当前会话(从会话)与相应的主会话关联。当底层组件实现主会话与从会话的关联后,可以在发现从会话的第一时间为从会话标记对应的协议。同时施加于主会话的规则也有能力同时关联到从会话。这样不但能够获知从会话的网络协议,而且对于动态端口协议,可以自动的为动态的从会话施加规则。步骤e:创建关于上传至上层组件的会话信息的数据结构;步骤f:根据步骤e的数据结构将上层组件与相应的主会话关联;其中:timestamp表示数据包时间戳,srv、sp、clnt、dp分别表示服务器IP、服务器端口、客户端IP、客户端端口,proto表示4层协议名称,app表示app层协议名称,mstrSp、mstrDp分别表示主会话服务器端口、主会话客户端端口当底层组件向上层组件上报网络会话信息时,会将当前会话的信息,以及主会话信息(如果有对应的主会话)一同上报。由于主会话和从会话的服务器IP、客户端IP是一样本文档来自技高网...
【技术保护点】
1.一种网络通信会话聚合的方法,其特征在于,包括如下步骤:/n步骤a:创建关于主会话和从会话的数据结构;/n步骤b:根据步骤a创建的数据结构将主会话和从会话关联,并将主会话的规则关联至从会话,得到主会话结点和从会话结点;/n步骤c:若动态端口有协议,则建立与主会话关联的从会话节点;/n步骤d:若有新会话时,将从会话与相应的主会话关联;/n步骤e:创建关于上传至上层组件的会话信息的数据结构;/n步骤f:根据步骤e的数据结构将上层组件与相应的主会话关联;/n步骤g:创建上层组件的数据结构;/n步骤h:根据步骤g的数据结构,上层组件获取主会话与从会话的关联关系。/n
【技术特征摘要】
1.一种网络通信会话聚合的方法,其特征在于,包括如下步骤:
步骤a:创建关于主会话和从会话的数据结构;
步骤b:根据步骤a创建的数据结构将主会话和从会话关联,并将主会话的规则关联至从会话,得到主会话结点和从会话结点;
步骤c:若动态端口有协议,则建立与主会话关联的从会话节点;
步骤d:若有新会话时,将从会话与相应的主会话关联;
步骤e:创建关于上传至上层组件的会话信息的数据结构;
步骤f:根据步骤e的数据结构将上层组件与相应的主会话关联;
步骤g:创建上层组件的数据结构;
步骤h:根据步骤g的数据结构,上层组件获取主会话与从会话的关联关系。
2.根据权利要求1所述的一种网络通信会话聚合的方法,其特征在于,步骤c具体包括,
步骤c1:判断会话是否是动态端口协议,如果是则执行步骤c2,否则结束;
步骤c2:判断五元组从会话哈希表上是否有对应的从会话节点,如果没有,则执行步骤c3,否则结束;
步骤c3:建立从会话节点,将主会话关联到从会话节点,将从会话节点挂入五元组从会话哈希表中。
...
【专利技术属性】
技术研发人员:沈志淳,吕德义,钱成,汪义舟,
申请(专利权)人:长扬科技北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。