本说明书提供一种应用于分流系统的报文流分流方法,预先根据各个应用的会话特征,构建相应的会话模型,每个会话模型中,依据会话中各个报文的不同属性,将会话中的报文划分为不用类型的报文。用户根据每个应用的会话模型,设置需要分流的报文的类型,得到该应用的分流策略。分流系统接收到报文后,确定报文所属的会话,并将其关联至对应的会话。针对每个会话,确定会话所属的应用,根据会话中每个报文的属性,以及为该会话所属应用设置的分流策略,确定会话中每个报文是否需要分流至对应的分析系统。分析系统。分析系统。
【技术实现步骤摘要】
一种报文流分流方法及装置
[0001]本说明书涉及通信
,尤其涉及一种报文流分流方法及装置。
技术介绍
[0002]大型机构有时会需要对各个应用进行有目的的分析,如,分析各应用在本机构的使用情况、应用是否合法等等,一般情况下,是在大量流量经过的地方部署分流系统与分析系统,分流系统用于获取流经的流量,将流量分流至各个分析系统。
[0003]现有技术中,管理人员根据实际需要,配置各个分析系统的分析目的,并根据各个分析系统的分析目的,配置分流系统的分流策略。其中,分流系统的分流策略一般都是根据应用特征制定的,即,应用特征相同的报文会有被分流至同一分析系统,应用特征可能是IP地址+端口号、特定字符串等。
[0004]然而,对于分析系统来说,每个应用所产生的流量并不都是可分析的或有分析价值的,即,分流至本系统的报文并不是所有都是可分析的或有分析价值的,大量报文的涌入,使得分析系统的系统压力较大。
技术实现思路
[0005]为克服上述分析系统压力较大的问题,本说明书提供了一种报文分流方法及装置。
[0006]本说明书提供了一种报文分流方法,所述方法应用于分流系统;所述分流系统用于将接收到的报文分流至不同分析目的的分析系统;
[0007]预先针对每个应用构建会话模型;其中,每个会话模型中,依据会话中各个报文的不同属性,将会话中的各个报文划分为不同的报文类型;
[0008]预先设置每个应用的分流策略;所述分流策略为用户基于每个应用的分析目的,设置的该应用对应的会话模型中需要分流至对应的分析系统的报文类型;
[0009]所述方法包括:
[0010]针对任一报文,根据该报文的五元组信息,确定该报文所属会话;
[0011]针对任一会话,确定该会话所属的应用;根据该会话所属的应用,确定该会话对应的会话模型;
[0012]针对任一会话的任一报文,根据该会话对应的会话模型,确定该报文的报文类型;根据该会话所属应用的分流策略,确定该报文是否为需要分流至对应分析系统的报文类型。
[0013]本说明书还提供了一种报文分流装置,所述方法应用于分流系统;所述分流系统用于将接收到的报文分流至不同分析目的的分析系统;
[0014]预先针对每个应用构建会话模型;其中,每个会话模型中,依据会话中各个报文的不同属性,将会话中的各个报文划分为不同的报文类型;
[0015]预先设置每个应用的分流策略;所述分流策略为用户基于每个应用的分析目的,
设置的该应用对应的会话模型中需要分流至对应的分析系统的报文类型;
[0016]所述装置包括:
[0017]会话确定模块,用于针对任一报文,根据该报文的五元组信息,确定该报文所属会话;
[0018]应用识别模块,用于针对任一会话,确定该会话所属的应用;根据该会话所属的应用,确定该会话对应的会话模型;
[0019]分流模块,用于针对任一会话的任一报文,根据该会话对应的会话模型,确定该报文的报文类型;根据该会话所属应用的分流策略,确定该报文是否为需要分流至对应分析系统的报文类型。
[0020]本说明书实施例的技术方案,预先根据各个应用的会话特征,构建相应的会话模型,每个会话模型中,依据会话中各个报文的不同属性,将会话中的报文划分为不用类型的报文。用户根据每个应用的会话模型,设置需要分流的报文的类型,得到该应用的分流策略。分流系统接收到报文后,确定报文所属的会话,并将其关联至对应的会话。针对每个会话,确定会话所属的应用,根据会话中每个报文的属性,以及为该会话所属应用设置的分流策略,确定会话中每个报文是否需要分流至对应的分析系统。
[0021]通过本说明书实施例的技术方案,以会话的形式管理各个报文,确定会话中的各个报文是否需要进行分流,使得有分析价值的报文分流至对应的分析系统,没有分析价值的报文直接做丢弃处理,从而使得分流系统分流至各个分析系统的报文都是有分析价值的报文,减少了分析系统的资源消耗,包括内存资源的消耗与计算资源的消耗。
[0022]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
[0023]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
[0024]图1是本说明书示出的系统框架示意图。
[0025]图2是本说明书示出的一种报文分流方法流程示意图。
[0026]图3是本说明书根据一具体实施例示出的一种报文方法流程示意图。
[0027]图4是本说明书根据一具体实施例示出示出的应用识别流程示意图。
[0028]图5是本说明书示出的一种报文分流装置示意图。
[0029]图6是本说明书示出的一种计算机设备硬件结构示意图。
具体实施方式
[0030]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
[0031]在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包
括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0032]应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0033]如上所述,相关技术中,分流系统将采集的所有流量按照要求,将每个应用的所有报文都分流(转发)至对应的分析系统,由于分析系统不仅需要分析各个报文是否有分析价值,还需要根据有分析价值的报文得到分析结果,因此大量报文的涌入,使得分析系统不堪负重,即,对于无分析价值的报文,其不仅消耗了分析系统大量的存储资源,还消耗了分析系统一部分的计算资源。随着网络规模的增长,上述问题日渐更甚。
[0034]而分流系统是根据设置,将接收到的报文分流至各个分析系统,相较于分析系统而言,其负载压力小于分析系统。
[0035]专利技术人在实践中发现,不同类型的报文包含的信息各不相同,对用户的价值也有所不同(即,用户设置的分析系统的分析目的不同,分析系统所需的报文是不同的),一般情况下,应用中包含很多种报文,按照不用维度,可划分为很多类型的报文,例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文分流方法,其特征在于,所述方法应用于分流系统;所述分流系统用于将接收到的报文分流至不同分析目的的分析系统;预先针对每个应用构建会话模型;其中,每个会话模型中,依据会话中各个报文的不同属性,将会话中的各个报文划分为不同的报文类型;预先设置每个应用的分流策略;所述分流策略为用户基于每个应用的分析目的,设置的该应用对应的会话模型中需要分流至对应的分析系统的报文类型;所述方法包括:针对任一报文,根据该报文的五元组信息,确定该报文所属会话;针对任一会话,确定该会话所属的应用;根据该会话所属的应用,确定该会话对应的会话模型;针对任一会话的任一报文,根据该会话对应的会话模型,确定该报文的报文类型;根据该会话所属应用的分流策略,确定该报文是否为需要分流至对应分析系统的报文类型。2.如权利要求1所述的方法,其特征在于,所述针对任一会话,确定该会话所属的应用,包括:预先建立三元组信息与应用的对应关系;针对任一会话,根据该会话对应的五元组信息,确定该会话的三元组信息;所述三元组信息为源IP、源端口号、IP协议号,或目的IP、目的端口号、IP协议号;查询该会话的三元组信息对应的应用,确定为该会话所属的应用。3.如权利要求2所述的方法,其特征在于,还包括:在基于所确定的三元组信息未查询到对应的应用的情况下,根据该会话的报文,识别该会话的报文所属的应用;将识别出的应用确定为该会话的应用,并保存该会话的三元组信息与识别出的应用之间的对应关系。4.如权利要求1所述的方法,其特征在于,还包括:针对任一报文,若根据该报文的五元组信息,未确定出该报文所属的会话,则根据该报文的五元组信息创建新会话,并确定该报文的所属会话为该新会话。5.如权利要求4所述的方法,其特征在于,所述根据该报文的五元组信息创建新会话包括:确定该报文的端口号是否为知名端口号;其中,知名端口号为1~1023之间的端口号;在该报文的端口号为知名端口号的情况下,根据该报文的五元组信息创建新的主会话;在该报文的端口号为非知名端口号的情况下,根据该报文的源IP、目的IP、IP协议号,确定是否存在相匹配的主会话;在存在相匹配的主会话的情况下,根据该报文的五元组信息创建该匹配的主会话的新的关联会话;在不存在相匹配的主会话的情况下,根据该报文的五元组信息创建新的主会话。6.如权利要求1所述的方法,其特征在于,还包括:针对任一报文,记录该报文的处理状态,所述处理状态包括已进行分流处理、未进行分流处理、已进行丢弃处理;周期性检测各个会话中,各个报文的处理状态;
确定已进行分流处理的报文是否被删除,在未被删除的情况下...
【专利技术属性】
技术研发人员:沈智新,符志清,钱雪彪,钞文涛,
申请(专利权)人:杭州迪普信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。