一種虛擬化深度包檢測流量分析方法及系統技術方案

本發明專利技術提供了一種虛擬化深度包檢測流量分析方法和系統，將網絡功能虛擬化NFV技術與深度包DPI技術有機結合，設置基于五元組的流信息表，I/O接收核基于五元組要素對接收的數據流分配相應的流標識，將流標識及其對應的五元組要素添入流信息表中；工作核對接收的數據流進行解析，獲取流標識，根據預設的正則表達式特征庫文件和流信息表，對訪問WEB的流量進行識別和統計。本發明專利技術提供的虛擬化深度包檢測流量分析方法和系統，具有業務識別準確性高、部署過程靈活、可擴展性強，可以有效提高運維成本效益。

【技術實現步驟摘要】

本專利技術涉及通信網絡
，尤其涉及一種虛擬化深度包檢測流量分析方法及系統。
技術介紹
網絡技術已經成為人們日常生活中不可或缺的一部分，為了提供良好的網絡環境和網絡服務，網絡管理員或者網絡服務提供者ISP需要對網絡的穩定性和安全性進行管理，由此對網絡流量識別和分析也提出了更高的要求。現有技術中，通常利用DPI(Deep Packet Inspection，深度包檢測)技術對網絡流量進行識別和分析。通過DPI可以了解用戶的真正需求，充分利用網絡資源，開發有吸引力的增值業務，提升用戶對網絡的依賴性和忠誠度，進而構建更好的盈利模式。但是實現現有的DPI技術需要多種硬件設備，網絡搭建時間長，靈活性低，這也使得網絡管理更加復雜，從而導致運營費用增加。近年來，隨著網絡技術的創新發展，網絡功能虛擬化NFV(Network Function Virtualization)技術被提出和應用，NFV的技術基礎是使用云計算和虛擬化技術將通用的計算/網絡/存儲硬件設備分解為不同的虛擬資源供上層應用使用，打破了專有硬件對網絡的限制，提升網絡建設、管理和維護的效率。如何將NFV技術與DPI結合，在虛擬化平臺上深度感知網絡應用，進行準確的網絡流量識別分析，成為網絡業務控制和管理的手段，進一步使得構建可運營、可管理的網絡，成為運營商關注的焦點。
技術實現思路
本專利技術提供了一種虛擬化深度包檢測流量分析方法及系統，以解決現有DPI技術的業務識別準確性低，靈活性差的問題。為解決上述問題，本專利技術提供了一種虛擬化深度包檢測流量分析方法，所述方法包括：I/O接收核接收數據流，對五元組要素相同的數據流設置相同的流標識Stream ID，將所述Stream ID及其相對應的五元組要素添加到流信息表中，在預分配的內存地址上，將包含所述Stream ID的數據流放入先入先出隊列中；工作核從所述先入先出隊列中取出數據流，解析取出的數據流的Stream ID，根據預設的正則表達式特征庫文件和所述流信息表，對取出的數據流執行掃描，搜索匹配的特征值，進行深度包檢測，統計訪問所述特征值對應的WEB的流量。可選地，其中，所述五元組要素包括：源IP地址、源端口、目的IP地址、目的端口和協議；所述流信息表包括：所述Stream ID與所述五元組要素以及流標記和特征值ID的唯一對應關系；其中，所述流標記用于表示數據流是否已匹配特征值,所述特征值ID對應于所述預設的正則表達式特征庫文件中的特征值。可選地，其中，所述對五元組要素相同的數據流設置相同的流標識Stream ID包括：解析接收的數據流的五元組要素，比較當前的所述流信息表中是否存在與該五元組要素相同的數據流；若已存在，則使用該流信息表中五元組要素相同的數據流的Stream ID，并將所述Stream ID添加到所述數據流的附加字段中；若當前的流信息表中不存在與該五元組要素相同的數據流，則將現有的流信息表的最大Stream ID加1作為新的Stream ID，在所述流信息表中增加相應的表項，并將所述新的Stream ID添加到所述數據流的附加字段中。可選地，其中，所述對取出的數據流執行掃描，搜索匹配的特征值包括：對取出的數據流執行Hyperscan掃描，在流模式下，使用單匹配模式匹配所述流標記，將相同Stream ID的多個數據塊作為一條流，搜索匹配的特征值。可選地，其中，所述對取出的數據流執行掃描，搜索匹配的特征值包括：解析取出的數據流的Stream ID，判斷所述流信息表中所述Stream ID對應的流標記是否置位；當所述Stream ID對應的流標記已置位時，判斷所述數據流是否為TCP FIN報文；如果不是TCP FIN報文，則按所述Stream ID對應的特征值ID統計所述數據流；如果是TCP FIN報文，則將所述流信息表中所述Stream ID對應的流標記清除，結束對所述特征值ID對應的WEB的一次訪問的流量統計。可選地，其中，所述對取出的數據流執行掃描，搜索匹配的特征值還包括：當所述Stream ID對應的流標記沒有置位時，判斷所述數據流是否匹配所述預設的正則表達式特征庫文件中的特征值；當所述數據流匹配所述預設的正則表達式特征庫文件中的特征值時，置位所述流信息表中所述Stream ID對應的流標記位，記錄特征值ID，按所述特征值ID進行WEB流量統計；當所述數據流未匹配到所述預設的正則表達式特征庫文件中的特征值時，進行TCP流量統計。為解決上述問題，本專利技術還提供了一種虛擬化深度包檢測流量分析系統，所述系統包括：I/O接收核，用于對接收數據流，對五元組要素相同的數據流設置相同的流標識Stream ID，將所述Stream ID及其相對應的五元組要素添加到流信息表中，在預分配的內存地址上，將包含所述Stream ID的數據流放入先入先出隊列中；工作核，用于從所述先入先出隊列中取出數據流，解析取出的數據流的Stream ID，根據預設的正則表達式特征庫文件和所述流信息表，對取出的數據流執行掃描，搜索匹配的特征值，進行深度包檢測，統計訪問所述特征值對應的WEB的流量。可選地，其中，所述五元組要素包括：源IP地址、源端口、目的IP地址、目的端口和協議；所述流信息表包括所述Stream ID與所述五元組要素以及流標記和特征值ID的唯一對應關系；其中，所述流標記用于表示數據流是否已匹配特征值,所述特征值ID對應于所述預設的正則表達式特征庫文件中的特征值。可選地，其中，所述I/O接收核包括流分類模塊，所述流分類模塊，用于解析接收的數據流的五元組要素，比較當前的所述流信息表中是否存在與該五元組要素相同的數據流；若已存在，則使用該流信息表中五元組要素相同的數據流的Stream ID，并將所述Stream ID添加到所述數據流的附加字段中；若當前的流信息表中不存在與該五元組要素相同的數據流，則將現有的流信息表的最大Stream ID加1作為新的Stream ID，在所述流信息表中增加相應的表項，并將所述新的Stream ID添加到所述數據流的附加字段中。可選地，其中，所述工作核包括解析統計模塊；所述解析統計模塊，用于對取出的數據流執行Hyperscan掃描，在流模式下，使用單匹配模式匹配所述流標記，將相同Stream ID的多個數據塊作為一條流，搜索匹配的所述特征庫文件中的特征值。可選地，其中，所述解析統計模塊包括解析子模塊和統計子模塊：所述解析子模塊，用于解析取出的數據流的Stream ID，判斷所述流信息表中所述Stream ID對應的流標記是否置位；所述統計子模塊，用于當所述Stream ID對應的流標記已置位時，判斷所述數據流是否為TCP FIN報文；如果不是TCP FIN報文，則按所述Stream ID對應的特征值ID統計所述數據流；如果是TCP FIN報文，則將所述流信息表中所述Stream ID對應的流標記清除，結束對所述特征值ID對應的WEB的一次訪問的流量統計。可選地，其中，所述解析子模塊，還用于當所述Stream ID對應的流標記沒有置位時，判斷所述數據流是否匹配所述預設的正則表達式特征庫文件中的特征值；所述統計子模塊，還用于當所述數據流匹配所述預設的正則表達式特征庫文件中的特征值時，本文檔來自技高網...

【技術保護點】
一種虛擬化深度包檢測流量分析方法，其特征在于，包括：I/O接收核接收數據流，對五元組要素相同的數據流設置相同的流標識Stream?ID，將所述Stream?ID及其相對應的五元組要素添加到流信息表中，在預分配的內存地址上，將包含所述Stream?ID的數據流放入先入先出隊列中；工作核從所述先入先出隊列中取出數據流，解析取出的數據流的Stream?ID，根據預設的正則表達式特征庫文件和所述流信息表，對取出的數據流執行掃描，搜索匹配的特征值，進行深度包檢測，統計訪問所述特征值對應的WEB的流量。

【技術特征摘要】
1.一種虛擬化深度包檢測流量分析方法，其特征在于，包括：I/O接收核接收數據流，對五元組要素相同的數據流設置相同的流標識Stream ID，將所述Stream ID及其相對應的五元組要素添加到流信息表中，在預分配的內存地址上，將包含所述Stream ID的數據流放入先入先出隊列中；工作核從所述先入先出隊列中取出數據流，解析取出的數據流的Stream ID，根據預設的正則表達式特征庫文件和所述流信息表，對取出的數據流執行掃描，搜索匹配的特征值，進行深度包檢測，統計訪問所述特征值對應的WEB的流量。2.如權利要求1所述的方法，其特征在于，所述五元組要素包括：源IP地址、源端口、目的IP地址、目的端口和協議；所述流信息表包括：所述Stream ID與所述五元組要素、流標記以及特征值ID的唯一對應關系；其中，所述流標記用于表示數據流是否已匹配特征值,所述特征值ID對應于所述預設的正則表達式特征庫文件中的特征值。3.如權利要求1或2所述的方法，其特征在于，所述對五元組要素相同的數據流設置相同的流標識Stream ID包括：解析接收的數據流的五元組要素，比較當前的所述流信息表中是否存在與該五元組要素相同的數據流；若已存在，則使用該流信息表中五元組要素相同的數據流的Stream ID，并將所述Stream ID添加到所述數據流的附加字段中；若當前的流信息表中不存在與該五元組要素相同的數據流，則將現有的流信息表的最大Stream ID加1作為新的Stream ID，在所述流信息表中增加相應的表項，并將所述新的Stream ID添加到所述數據流的附加字段中。4.如權利要求3所述的方法，其特征在于，所述對取出的數據流執行掃描，搜索匹配的特征值包括：對取出的數據流執行Hyperscan掃描，在流模式下，使用單匹配模式匹配所述流標記，將相同Stream ID的多個數據塊作為一條流，搜索匹配的特征值。5.如權利要求1或2所述的方法，其特征在于，所述對取出的數據流執行掃描，搜索匹配的特征值包括：解析取出的數據流的Stream ID，判斷所述流信息表中所述Stream ID對應的流標記是否置位；當所述Stream ID對應的流標記已置位時，判斷所述數據流是否為TCP FIN報文；如果不是TCP FIN報文，則按所述Stream ID對應的特征值ID統計所述數據流；如果是TCP FIN報文，則將所述流信息表中所述Stream ID對應的流標記清除，結束對所述特征值ID對應的WEB的一次訪問的流量統計。6.如權利要求5所述的方法，其特征在于，所述對取出的數據流執行掃描，搜索匹配的特征值還包括：當所述Stream ID對應的流標記沒有置位時，判斷所述數據流是否匹配所述預設的正則表達式特征庫文件中的特征值；當所述數據流匹配所述預設的正則表達式特征庫文件中的特征值時，置位所述流信息表中所述Stream ID對應的流標記，記錄特征值ID，按所述特征值ID進行WEB流量統計；當所述數據流未匹配到所述預設的正則表達式特征庫文件中的特征值時，進行TCP流量統計。7.一種虛擬化深度包檢測...

【專利技術屬性】
技術研發人員：樊曼劼，
申請(專利權)人：瑞斯康達科技發展股份有限公司，
類型：發明
國別省市：北京;11