處理分組流制造技術

在一個實施例中，一種裝置包括包括：第一邏輯，其被配置來確定與分組相關聯的標識符，并且確定與該標識符相關聯的流計數索引；流計數器，其耦合到第一邏輯并被配置來對與流計數索引相關聯的分組流的數目進行計數。該實施例還包括第二邏輯，其耦合到第一邏輯和流計數器，其中第二邏輯被配置來分析分組以判定所述分組是否是尚未在流計數器中被計數的新的流的一部分，并且如果該分組尚未被計數，則遞增流計數器。

【技術實現步驟摘要】
【國外來華專利技術】
本專利技術涉及使用計算機系統800用于分析分組流。根據本專利技術一個實施例，計算機系統800響應于處理器804執行主存儲器806中包含的一個或多個指令的一個或多個序列來處理分組流。這種指令可被從另一個計算機可讀介質(例如存儲器件810)讀入到主存儲器806中。執行主存儲器806中包含的指令的序列使處理器804執行這里所述的處理步驟。也可以采用多處理布置中的一個或多個處理器來執行主存儲器806中包含的指令的序列。在替換實施例中，可以使用硬連線電路來替換軟件指令或者與軟件指令組合來實現本專利技術。因此，本專利技術的實施例不限于硬件電路和軟件的任何特定組合。 這里所述的術語計算機可讀介質指參與向處理器804提供指令來執行的任何介質。這種介質可采用多種形式，包括但不限于非易失性介質、易失性介質和傳輸介質。非易失性介質包括例如光或磁盤，例如存儲器件810。易失性介質包括動態存儲器，例如主存儲器806。傳輸介質包括同軸電纜、銅線和光纖，包括包含總線802在內的線路。傳輸介質還可以采用聲波或光波的形式，例如在無線電波和紅外數據通信期間產生的那些。 計算機可讀介質的常見形式包括例如軟盤、柔性盤、硬盤、磁帶、或者任何其他磁介質、CD-ROM、任何其他光介質、打孔卡、紙帶、具有孔狀圖案的任何其他物理介質、RAM、PROM和EPROM、閃存、任何其他存儲器芯片或者盒帶、后面所述的載波、或者計算機可從其讀取的任何其他介質。 多種形式的計算機可讀介質可用來向處理器804傳送一條或多條指令的一個或多個序列以便執行。例如，指令最初可承載在遠程計算機的磁盤上。遠程計算機可將指令加載到其動態存儲器中，并利用調制解調器通過電話線來發送指令。計算機系統800本地的調制解調器可接收電話線上的數據，并使用紅外發射器將數據轉換成紅外信號。耦合到總線802的紅外探測器可接收該紅外信號中承載的數據，并將數據放置到總線802上。總線802將數據傳送到主存儲器806，處理器804從主存儲器806取得指令并執行指令。主存儲器806接收到的指令在被處理器804執行之前或之后可以可選地被存儲到存儲器件810 。 通信接口 818還提供耦合到網絡鏈路820的雙向數據通信，網絡鏈路820被連接到本地網絡822。例如，通信接口818可以是綜合業務數字網(ISDN)卡或調制解調器，用于提供到相應類型的網絡線路的數據通信連接。作為另一個示例，通信接口 818可以是局域網(LAN)卡，用來提供到兼容LAN的數據通信連接。也可以實現無線鏈路。在任何這種實現方式中，通信接口 818發送和接收承載代表各種類型的信息的數字數據流的電、電磁或光信號。 網絡鏈路820 —般提供通過一個或多個網絡到其他數據設備的數據通信。例如，網絡鏈路820可提供通過本地網絡822到主機計算機824或者到由因特網服務提供商(ISP)826運營的數據裝備的連接。ISP 826又提供通過全球分組數據通信網絡828(現在通常稱作因特網)的數據通信服務。本地網絡822和因特網828 二者都使用承載數字數據流量的電、電磁或者光信號。承載去往和來自計算機系統800的數字數據的通過各種網絡的信號和網絡鏈路820上的并通過通信接口 818的信號是傳輸信息的載波的示例形式。 計算機系統800可通過網絡、網絡鏈路820和通信接口 818發送和接收數據，包括程序代碼。在因特網示例中，服務器830可通過因特網828、ISP 826、本地網絡822和通信13接口 818傳送所請求的應用程序的代碼。根據本專利技術，一個這樣下載的應用用于如這里所述處理分組流。 接收到的代碼可在其被接收到時由處理器804執行，并且/或者被存儲到存儲器件810或者其他非易失性存儲設備中以稍后執行。這樣，計算機系統800可獲得載波形式的應用代碼。 5.0擴展和替換 在前面的說明書中，已參考本專利技術的特定實施例描述了本專利技術。然而，顯然在不脫離本專利技術的寬廣精神和范圍的情況下可對本專利技術作出各種修改和改變。因此，說明書和附圖應當看作是說明性的而非限制性的。 總地來說， 一個實施例應用到被橋接或路由的任何IP流(但是如果需要的話可以擴展到基于MAC地址的)；在流轉發過程期間可以在沒有任何軟件參與的情況下完全由硬件執行；可以由粒狀硬件策略(gramularhardware policy)控制，所述粒狀硬件策略可基于每個源(蠕蟲遏制策略)或基于每個目的地(例如為了服務器保護)來選擇是否執行流速率限制，可以選擇每個地址允許的流的數目，以及要實行的(組合的)動作的類型約束流創建、丟棄不符合策略的分組、生成對CPU的中斷通知、挑選流采樣速率(即，N個流中的一個流被采樣)等；通過約束源每秒(或者其他可配置的時間段)可生成的流的數目來保護網絡和網絡資源；另外，通過限制在預定時間段中可打開的朝向目的地的連接的數目來保護被過度使用的目的地(例如服務器)(該限制可基于受保護設備的最大處理能力和可用存儲器來根據經驗確定)。 實施例至少部分地出于以下原因是新穎的在轉發過程期間，其可以在不要求任何軟件參與的情況下由硬件控制被路由或橋接的流的創建速率(并且基于軟件的實現方式也可以受益于這里的技術)；其可以基于源地址和/或目的地地址限制流的數目；其還可以被擴展來使用MAC地址、協議類型或者甚至L4端口，如果需要的話(L4端口使用示例可以是特定于應用的、基于目的地的流速率限制)；其可保護NetFlow實現方式免受目的在于耗盡NetFlow表格的資源從而導致溢出和統計數據丟失的攻擊(對于這種應用，該特征也可以用在僅軟件的實現方式中)。 —個實施例允許聯網設備限制末端主機在預定時間段中可產生的流的數目，以保護其他端設備免受蠕蟲擴散，并且控制對NetFlow表格的利用以避免可能的溢出問題。也可以使用策略來從被認為不太重要的設備選擇性地收集較少的流樣本。 —個實施例允許聯網設備在流量分析工具可分析流量并應用適當的網絡范圍對策之前，迅速地對惡意用戶或軟件片斷可生成的流的數目進行速率限制。因此，實施例可以與現有方案協作，并且不與它們互斥。 一個實施例具有完全硬件實現的能力、可應用于任何橋接或路由連接、具有高度的基于策略的粒度并且支持1 : N類型的每用戶流采樣比率。1本文檔來自技高網...

【技術保護點】
一種裝置，包括：第一邏輯，其被配置來確定與分組相關聯的標識符；流計數器，其耦合到所述第一邏輯并被配置來對與所述標識符相關聯的流的數目進行計數；第二邏輯，其耦合到所述第一邏輯和所述流計數器，其中所述第二邏輯被配置來分析所述分組以判定所述分組是否是尚未在所述流計數器中被計數的新的流的一部分，并且如果所述分組是新的流的一部分則遞增所述流計數器。

【技術特征摘要】
【國外來華專利技術】US 2007-5-22 11/805,308一種裝置，包括第一邏輯，其被配置來確定與分組相關聯的標識符；流計數器，其耦合到所述第一邏輯并被配置來對與所述標識符相關聯的流的數目進行計數；第二邏輯，其耦合到所述第一邏輯和所述流計數器，其中所述第二邏輯被配置來分析所述分組以判定所述分組是否是尚未在所述流計數器中被計數的新的流的一部分，并且如果所述分組是新的流的一部分則遞增所述流計數器。2. 如權利要求1所述的裝置，其中所述流是特定源和特定目的地之間的分組的流動，并且由 一特定參數集合所表征。3. 如權利要求2所述的裝置，其中所述參數集合包括源因特網協議(IP)地址、目的地IP地址、源傳輸控制協議(TCP)/用戶數據報協議(UDP)端口號、目的地TCP/UDP端口號、IP協議類型、IP服務類型、輸入邏輯接口 。4. 如權利要求1所述的裝置，還包括確定與所述標識符相關聯的流計數索引。5. 如權利要求1所述的裝置，其中所述標識符是可配置的。6. 如權利要求1所述的裝置，還包括流表格，其耦合到所述第二邏輯并且包括存儲的關于分組的統計數據。7. 如權利要求6所述的裝置，其中所述第二邏輯還被配置來判定所述流計數是否超過一閾值；當所述流計數尚未超過所述閾值時，更新所述流表格中的第一分組的統計數據；當所述流計數已超過所述閾值時，觸發事件。8. 如權利要求7所述的裝置，其中所述第二邏輯還被配置來重置所述流計數。9. 如權利要求7所述的裝置，其中所述事件包括不更新所述流表格中的所述分組的統計數據并傳遞所述分組。10. 如權利要求7所述的裝置，其中所述事件包括丟棄所述分組。11. 如權利要求io所述的裝置，還包括丟棄計數器，其被配置來對丟棄的分組的數目進行計數。12. 如權利要求1所述的裝置，其中所述標識符是所述分組的源的因特網協議地址。13. 如權利要求1所述的裝置，其中所述流計數器是所述第一邏輯中的散列表。14. 一種裝置，包括第一邏輯，其被配置來確定與分組相關聯的標識符；流表格，其包括存儲的關于分組的統計數據；第二邏輯，其耦合到所述第一邏輯和所述流表格，其中所述第二邏輯被配置來在所述流表格中存儲關于一個或多個分組的統計數據，其中對分組進行采樣來獲得所述統計數據的頻率是基于所述標識符的。15. —種方...

【專利技術屬性】
技術研發人員：馬爾科福斯基亞諾，
申請(專利權)人：思科技術公司，
類型：發明
國別省市：US[美國]