本申请提供一种流量控制方法及装置,该方法包括:创建虚拟专用网络设备与用户端之间的通信会话;接收用户端通过通信会话发送的业务报文;通过虚拟专用网络设备的深度检测模块对业务报文进行深度报文解析,得到报文解析数据;基于预设的深度检测规则对报文解析数据进行识别,得到识别结果;基于识别结果将业务报文转发到虚拟专用网络设备中的流量控制模块,以使流量控制模块中的目标通信端口对业务报文进行相应处理。可见,实施这种实施方式,能够对流量进行有效的监控,并进一步地基于监控结果对流量进行合理的管控,从而实现有效流量管控的效果。控的效果。控的效果。
【技术实现步骤摘要】
一种流量控制方法及装置
[0001]本申请涉及网络安全
,具体而言,涉及一种流量控制方法及装置。
技术介绍
[0002]目前的现代网络中充斥着大量恶性流量,从而导致大量的网络带宽资源被无意义消耗,并且还会导致较多的安全问题,使得用户不胜其扰。而为了解决该种问题,本领域的技术人员提出了使用网关技术来监控网络数据的方法,以此来保证网络数据的安全传输。
[0003]然而,随着技术的快速发展,传统基于IP和端口号(或协议号)对流量进行识别管控的方法开始越来越难的实现有效监控了,因此,如何有效的对流量进行监控并加以控制成为了本领域技术人员亟待解决的问题之一。
[0004]
技术实现思路
[0005]本申请实施例的目的在于提供一种流量控制方法及装置,能够对流量进行有效的监控,并进一步地基于监控结果对流量进行合理的管控,从而实现有效流量管控的效果。
[0006]本申请实施例第一方面提供了一种流量控制方法,应用于虚拟专用网络设备,所述方法包括:
[0007]创建所述虚拟专用网络设备与用户端之间的通信会话;
[0008]接收所述用户端通过所述通信会话发送的业务报文;
[0009]通过所述虚拟专用网络设备的深度检测模块对所述业务报文进行深度报文解析,得到报文解析数据;
[0010]基于预设的深度检测规则对所述报文解析数据进行识别,得到识别结果;
[0011]基于所述识别结果将所述业务报文转发到所述虚拟专用网络设备中的流量控制模块,以使所述流量控制模块中的目标通信端口对所述业务报文进行相应处理。
[0012]在上述实现过程中,该方法可以优先创建虚拟专用网络设备与用户端之间的通信会话,从而方便对不同用户访问的流量进行管理;在vpn设备与用户端建立好通信会话之后,接收用户端通过通信会话发送的业务报文;可见,该方法可以依靠专用的会话传输业务报文,这样能够极大程度的提高报文传输的可靠性。然后,该方法再通过虚拟专用网络设备的深度检测模块对业务报文进行深度报文解析,得到报文解析数据;可见,该方法可以利用DPI技术对业务报文进行更深入的解析,从而得到有效的报文解析数据,便于后续步骤基于该报文解析数据进行识别与其他处理,进而实现了为后续步骤提供数据基础的效果。再后,该方法再基于预设的深度检测规则对报文解析数据进行识别,得到识别结果;可见,该方法可以对不同的报文都进行准确地识别,并基于该识别结果来确定是否与预设规则相匹配,从而能够使得该方法可以在识别出识别结果与预设规则相匹配的时候,再转发该业务报文,从而实现规则匹配的效果。最后,该方法再基于识别结果将业务报文转发到虚拟专用网络设备中的流量控制模块,以使流量控制模块中的目标通信端口对业务报文进行相应处
理。可见,该方法可以通过vpn设备中的量控制模块对不同的业务报文进行对应的处理,从而实现对业务报文的精细划分控制,进而实现有效流量管控的效果。
[0013]进一步地,所述创建所述虚拟专用网络设备与用户端之间的通信会话的步骤包括:
[0014]接收用户端发送的连接请求;
[0015]根据所述连接请求创建所述虚拟专用网络设备与所述用户端之间的通信会话,并创建与所述通信会话相对应的会话控制值。
[0016]在上述实现过程中,该方法在创建虚拟专用网络设备与用户端之间的通信会话的过程中,可以优先接收用户端发送的连接请求;并根据连接请求创建虚拟专用网络设备与用户端之间的通信会话,并创建与通信会话相对应的会话控制值。可见,该方法可以接收用户输入的账号密码请求进行确定是否能够连接入vpn服务器,并在能够连接的时候,建立会话和session值,并以此来实现对不同用户访问时的流量分别管理的效果。
[0017]进一步地,在所述接收所述用户端通过所述通信会话发送的业务报文的步骤之后,所述方法还包括:
[0018]判断所述业务报文是否包括所述会话控制值;
[0019]当所述业务报文包括所述会话控制值时,触发执行所述通过所述虚拟专用网络设备的深度检测模块对所述业务报文进行深度报文解析,得到报文解析数据的步骤。
[0020]在上述实现过程中,该方法可以在接收用户端通过通信会话发送的业务报文的步骤之后,判断业务报文是否包括会话控制值;并在业务报文包括会话控制值时,触发执行后续步骤。可见,该方法可以对session值进行检测校验,以使存在session值的报文进入后续步骤,从而实现对不具有session值的报文的阻断效果。
[0021]进一步地,所述基于所述识别结果将所述业务报文转发到所述虚拟专用网络设备中的流量控制模块,以使所述流量控制模块中的目标通信端口对所述业务报文进行相应处理的步骤包括:
[0022]基于所述识别结果判断所述业务报文是否被识别成功;
[0023]当所述业务报文被识别成功时,在所述虚拟专用网络设备的流量控制模块中确定与所述识别结果相对应的目标通信端口;
[0024]将所述业务报文转发到所述目标通信端口,以使所述目标通信端口对所述业务报文进行相应处理。
[0025]在上述实现过程中,该方法可以在转发业务报文的过程中,优先基于识别结果判断业务报文是否被识别成功;可见,该方法可以基于识别结果来判定是否要对业务报文进行转发,从而实现对转发与否的初步判断。具体的,在业务报文被识别成功时,在虚拟专用网络设备的流量控制模块中确定与识别结果相对应的目标通信端口;并将业务报文转发到目标通信端口,以使目标通信端口对业务报文进行相应处理。可见,该方法可以在业务报文被成功识别的时候确定目标通信端口,然后通过该目标通信端口进行精准的报文处理,从而实现准确、有效的流程管控效果。
[0026]进一步地,所述方法还包括:
[0027]当所述业务报文未被识别成功时,基于所述识别结果生成响应报文,并将所述响应报文反馈至所述用户端。
[0028]在上述实现过程中,该方法还可以在业务报文未被识别成功时,基于识别结果生成响应报文,并将响应报文反馈至用户端。可见,该方法能够在业务报文未被成功识别的时候,及时向用户端进行告警,以使用户可以通过用户端得知业务报文存在问题,从而以此来实现流量管控的部分效果。
[0029]本申请实施例第二方面提供了一种流量控制装置,所述流量控制装置应用于虚拟专用网络设备中,所述流量控制装置包括:
[0030]会话创建单元,用于创建所述虚拟专用网络设备与用户端之间的通信会话;
[0031]接收单元,用于接收所述用户端通过所述通信会话发送的业务报文;
[0032]解析单元,用于通过所述虚拟专用网络设备的深度检测模块对所述业务报文进行深度报文解析,得到报文解析数据;
[0033]识别单元,用于基于预设的深度检测规则对所述报文解析数据进行识别,得到识别结果;
[0034]转发单元,用于基于所述识别结果将所述业务报文转发到所述虚拟专用网络设备中的流量控制模块,以使所述流量控制模块中的目标通信端口对所述业务报文进行相应本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量控制方法,其特征在于,应用于虚拟专用网络设备,所述方法包括:创建所述虚拟专用网络设备与用户端之间的通信会话;接收所述用户端通过所述通信会话发送的业务报文;通过所述虚拟专用网络设备的深度检测模块对所述业务报文进行深度报文解析,得到报文解析数据;基于预设的深度检测规则对所述报文解析数据进行识别,得到识别结果;基于所述识别结果将所述业务报文转发到所述虚拟专用网络设备中的流量控制模块,以使所述流量控制模块中的目标通信端口对所述业务报文进行相应处理。2.根据权利要求1所述的流量控制方法,其特征在于,所述创建所述虚拟专用网络设备与用户端之间的通信会话的步骤包括:接收用户端发送的连接请求;根据所述连接请求创建所述虚拟专用网络设备与所述用户端之间的通信会话,并创建与所述通信会话相对应的会话控制值。3.根据权利要求2所述的流量控制方法,其特征在于,在所述接收所述用户端通过所述通信会话发送的业务报文的步骤之后,所述方法还包括:判断所述业务报文是否包括所述会话控制值;当所述业务报文包括所述会话控制值时,触发执行所述通过所述虚拟专用网络设备的深度检测模块对所述业务报文进行深度报文解析,得到报文解析数据的步骤。4.根据权利要求1所述的流量控制方法,其特征在于,所述基于所述识别结果将所述业务报文转发到所述虚拟专用网络设备中的流量控制模块,以使所述流量控制模块中的目标通信端口对所述业务报文进行相应处理的步骤包括:基于所述识别结果判断所述业务报文是否被识别成功;当所述业务报文被识别成功时,在所述虚拟专用网络设备的流量控制模块中确定与所述识别结果相对应的目标通信端口;将所述业务报文转发到所述目标通信端口,以使所述目标通信端口对所述业务报文进行相应处理。5.根据权利要求4所述的流量控制方法,其特征在于,所述方法还包括:当所述业务报文未被识别成功时,基于所...
【专利技术属性】
技术研发人员:段浩暄,党帆,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。