一種多分析系統分流的方法和設備的制作方法

專利名稱：一種多分析系統分流的方法和設備的制作方法
技術領域：
本發明涉及通信領域，尤其涉及一種多分析系統分流的方法和設備。
背景技術：
隨著互聯網應用的極大普及，互聯網的用戶數、網絡內容與流量持續增 長。互聯網的應用在為設備發展帶來諸多有益效果的同時，也突出了保障信 息安全的重要性和迫切性，如果不能對互聯網進行有效管理和監控，將會給 國家、企業、個人的網絡安全帶來巨大危害，分流系統就是在此背景下應運 而生，成為有效的數據網合法監聽方案。
如圖1所示，分流設備通過分光器接入到用戶的骨干網中，由于該接入 方式為并聯接入，不影響原有網絡流量。當接收到從前級設備分光或鏡像過 來的流量時，分流設備根據預先配置的ACL (Access Control List，訪問控制 列表)規則進行匹配和動作對不匹配任何ACL規則的報文直接丟棄，對匹 配ACL規則的報文重定向到均衡組，在均衡組各端口之間以負載分擔方式輸 出。這樣就完成一個流量的引入、分流以及負載分擔，供后級設備，例如服 務器對流量進行檢測分析和監視。
圖1中，安全監控系統、綠色上網系統等多個分析系統根據自身業務要 求完成相應的流量分析；從業務層面來看，系統間分析流量可能存在交叉的 情況，即一份流量需要同時被多個系統進行分析，而這些分析系統由不同部 門進行管理并分布在不同的分析服務器上，這就需要提供多分析系統分流， 即多用戶分流的功能。
在部署上述多分析系統分流功能時，現有技術在分流設備引流前再增加 一個分光器，如圖2所示，基于光學原理復制需要多個系統分析的流量，并 將分光后的信號分別接入到分流設備的不同物理端口 ，作為引流輸入接口 ， 在該接口上部署用戶的分流策略，完成多分析系統分流功能部署。
5但是，二次分光后的每份流量對應一個輸入物理端口 ，這樣端口數目取
決于多分析系統的個數，例如在4分析系統中，需要使用4個物理端口， 比原有的分流設備要多占用3個物理端口，在端口密度要求很高的分流設備 中，既占用了寶貴的端口資源，又大大增加了設備成本。而且，分光器基于 光信號復制，無法實現流量按規則匹配并復制，因此分光器復制所有流量并 向各個分析系統發送，導致每一分析系統接收所有流量，但是每一分析系統 實際需要進行分析的流量只是總流量的一部分，大量無用的流量占用了分析 系統的帶寬資源，降低了分析系統的流量處理能力。同時，在二次引入分光 器后光信號衰減很大，可能導致分流設備無法正確識別信號太弱的報文信息。

發明內容
本發明提供了一種多分析系統分流的方法和設備，低成本、高效完成多 分析系統的分流處理。
為了實現這一目的，本發明提供一種多分析系統分流的方法，應用于包 括分流設備和多個分析系統的分流系統中，所述分流設備中存儲目的分析系 統為多個的流量的標識信息，該方法包括
所述分流設備將接收到的流量中攜帶的標識信息匹配所述存儲的流量的 標識信息；
匹配成功時，所述分流設備根據所述流量對應的目的分析系統的個數復 制所述流量，并在復制后的每一流量中添加該流量對應的目的分析系統的標
記；
所述分流設備根據所述復制后的流量中攜帶的所述目的分析系統的標 記，將所述復制后的流量向對應的目的分析系統發送。
所述分流設備根據所述流量對應的目的分析系統的個數復制所述流量包
括
所述分流設備在所述流量中添加多分析系統復制標記、以及復制份數， 所述復制份數與所述流量對應的目的分析系統的個數相同；
所述分流設備識別所述多分析系統復制標記，進一步根據所述復制份數
6復制所述流量。
所述分流設備在復制后的每一流量中添加該流量對應的目的分析系統的 標記具體為
所述分流設備隨機在多個目的分析系統的標記中選擇尚未分配的標記添
加到所述流量中；或者預先設置多個目的分析系統的標記的優先級，所述分 流設備將尚未分配的優先級高的標記添加到所述流量中。
所述分流設備根據所述復制后的流量中攜帶的所述目的分析系統的標 記，將所述復制后的流量向對應的目的分析系統發送包括
所述分流設備根據復制后的每一流量攜帶的流量標識信息與目的分析系 統的標記，匹配該流量對應的目的分4斤系統的分流方式；
匹配成功時，所述分流設備根據所述目的分析系統的分流方式獲取向所 述目的分析系統發送所述復制后的流量的出端口 ，并通過所述出端口發送所 述復制后的流量。
所述分流設備將接收到的流量中攜帶的標識信息匹配所述存儲的流量的 標識信息之后，還包括
匹配失敗時，所述分流設備正常轉發所述流量。
本發明提供一種分流設備，應用于包括分流設備和多個分析系統的分流 系統中，所述分流設備中存儲目的分析系統為多個的流量的標識信息，該設 備包括
匹配單元，用于將接收到的流量中攜帶的標識信息匹配所述存儲的流量 的標識信息；
復制單元，用于所述匹配單元匹配成功時，根據所述流量對應的目的分 析系統的個數復制所述流量，并在復制后的每一流量中添加該流量對應的目 的分析系統的標記；
發送單元，用于根據所述復制單元復制后的流量中攜帶的所述目的分析 系統的標記，將所述復制后的流量向對應的目的分析系統發送。
所述復制單元具體用于在所述流量中添加多分析系統復制標記、以及復制份數，所述復制份數
與所述流量對應的目的分析系統的個數相同；
識別所述多分析系統復制標記，進一步根據所述復制份數復制所述流量。
所述復制單元還用于
隨機在多個目的分析系統的標記中選擇尚未分配的標記添加到所述流量 中；或者預先設置多個目的分析系統的標記的優先級，將尚未分配的優先級 高的標記添加到所述流量中。
所述發送單元具體用于
根據所述復制單元復制后的每一流量攜帶的流量標識信息與目的分析系 統的標i己，匹配該流量對應的目的分析系統的分流方式；
匹配成功時，根據所述目的分析系統的分流方式獲取向所述目的分析系 統發送所述復制后的流量的出端口 ，并通過所述出端口發送所述復制后的流 量。
所述發送單元還用于
所述匹配單元匹配失敗時，正常轉發所述流量。 與現有技術相比，本發明至少具有以下優點
本發明中，分流設備根據預先設置的匹配規則獲取需要向多個目的分析 系統發送的流量，并根據目的分析系統的個數復制該流量，為每一復制后的 流量分配對應的目的分析系統，從而在不增加端口等外部資源的情況下，實 現對多分析系統流量的分流，低成本實現高效分流。


圖1是現有技術中分流系統的組網方式示意圖2是現有技術中多分析系統分流功能的實現方式示意圖3是本發明提供的多分析系統分流的方法的流程示意圖4是本發明應用場景提供的多分析系統的組網方式示意圖5是本發明應用場景提供的多分析系統分流的方法的流程示意圖6是本發明提供的分流設備的結構示意圖。
8
具體實施例方式
本發明的核心思想在于在分流設備內部設置兩種報文匹配規則，根據 第 一種匹配規則選擇需要向多個分析系統發送的流量并復制，根據第二種匹 配規則獲取向各分析系統發送流量的出端口 ，并通過該出端口將復制后的流 量向對應的分析系統發送。
具體的，本發明提供一種多分析系統分流的方法，應用于包括分流設備 和多個分析系統的分流系統中，所述分流設備中存儲目的分析系統為多個的 流量的標識信息，如圖3所示，該方法包括
步驟301,所述分流設備將接收到的流量中攜帶的標識信息匹配所述存儲 的流量的標識信息；
步驟302,匹配成功時，所述分流設備才艮據所述流量對應的目的分析系統 的個數復制所述流量，并在復制后的每一流量中添加該流量對應的目的分析 系統的標記；
步驟303，所述分流設備根據所述復制后的流量中攜帶的所述目的分析系 統的標記，將所述復制后的流量向對應的目的分析系統發送。
下面結合具體應用場景詳細介紹本發明提供的多分析系統分流的方法， 結合圖4所示的組網方式，具體實現過程如圖5所示，包括以下步驟
步驟501，分流設備接收分光器發送的流量，根據預先配置的ACL規則 匹配該流量；如果匹配成功，則執行步驟502;否則，按照正常流程發送該流 量。
具體的，分流設備中預先配置分流策略，存儲需要向多個分析系統發送 的流量的標識信息，例如流量的IP五元組信息或者特征碼信息等，建立該標 識信息與對應多個分析系統的對應關系。例如，預先設置目的地址為曱網站 的流量，需要同時向安全監控系統和綠色上網系統發送，則分流設備中預先 存儲曱網站的IP地址與安全監控系統和綠色上網系統的對應關系。
分流設備還可以根據報文中自身攜帶的信息判斷該報文是否需要向多個
9分析系統發送。例如當該流量的IP五元組信息中顯示該流量的目的地址為多 個，或者該流量中的特征碼標識該流量的目的地址為多個時，分流設備判斷 該流量匹配成功。
預先配置的ACL規則即需要向多個分析系統發送的流量的標識信息與多 個分析系統的對應關系。分流設備獲取流量后，根據該流量的標識信息匹配 該預先配置的ACL規則，如果流量中具有與ACL規則中相同的標識信息， 則匹配成功，^丸行步-驟502;否則，匹配失敗。
匹配失敗時，分流設備按照正常流程轉發流量，根據流量的目的IP地址 選擇目的分析系統發送。
步驟502,分流設備在流量中設置多分析系統復制標記以及復制份數。
具體的，步驟501中的匹配成功表明該流量需要向多個分析系統發送， 為了便于后續進行流量的復制，分流設備為匹配成功的流量添加多分析系統 復制標記、以及復制份數，該復制份數與流量的目的分析系統的個數相同。
其中，分流設備在流量中添加的多分析系統復制標記以及復制份數可以 添加在流量的報文頭或者報文中間等預先設置的部位，根據該添加的內容分 流設備后續對流量進行復制時可以從流量中識別出多分析系統復制標記以及 復制份數。
分流設備復制后的流量與從輸入端口輸入的初始流量一致，份數與預先 配置的ACL規則一致。
步驟503，分流設備根據多分析系統復制標記以及復制份數復制流量，并 設置每一流量對應的目的分析系統的標記。
分流設備在對流量進行復制時，為每一流量添加目的分析系統的標記， 即均衡組ID。具體的，分流設備可以自動在多個目的分析系統的標記中選擇 尚未分配的標記添加到流量中，或者預先設置多個目的分析系統的標記的優 先級，優先級高的標記被優先分配給復制后的流量。
步驟504,分流設備根據復制后的流量中攜帶的目的分析系統的標記與目 的IP地址進行二次規則匹配，匹配成功時，執行步驟505;否則，丟棄該流 量。具體的，多分流系統中的每一分析系統都具有相應的用于計算流量出端
口的分流算法，例如Hash算法。分流設備預先設置流量的目的IP、分析系統 的標記與分析系統的分流算法的對應關系。分流設備復制流量結束后，根據 復制后的流量攜帶的目的IP、分析系統的標記，匹配對應的分析系統的分流 算法；如果匹配成功，即存在與流量攜帶的目的IP和分析系統的標記同時對 應的分流算法時，匹配成功，執行步驟505;否則，匹配失敗，丟棄該流量。
步驟505，分流設備獲取流量對應的目的分析系統的分流算法，根據該分 流算法進行分流計算，獲取該流量向目的分析系統發送的出端口 。
具體的，對于每一分析系統，可以包括多個分析服務器以及其他分析設 備，因此，分流設備與分析系統的連接方式可以是分流設備的多個端口分別 連接分析系統的多個分析服務器。本應用場景中，分流設備獲取與流量相應 的分流算法后，根據該分流算法計算得到相應的出端口 。
步驟506，分流設備根據選擇的發送端口發送流量，由后續設備繼續進行 流量處理。
通過采用本發明提供的方法，分流設備根據預先設置的匹配規則獲取需 要向多個目的分析系統發送的流量，并根據目的分析系統的個數復制該流量， 為每一復制后的流量分配對應的目的分析系統，從而在不增加端口等外部資 源的情況下，實現對多分析系統流量的分流，低成本實現高效分流。
本發明提供一種分流設備，應用于包括分流設備和多個分析系統的分流 系統中，所述分流設備中存儲目的分析系統為多個的流量的標識信息，如圖6 所示，該設備包括
匹配單元11,用于將接收到的流量中攜帶的標識信息匹配所述存儲的流 量的標識信息。分流設備中預先配置分流策略，存儲需要向多個分析系統發 送的流量的標識信息，例如流量的IP五元組信息或者特征碼信息等，建立該 標識信息與對應多個分析系統的對應關系。分流設備獲取流量后，匹配單元 11根據該流量的標識信息匹配存儲的標識信息，如果流量中具有與存儲的標 識信息中相同的標識信息，則匹配成功；否則，匹配失敗。復制單元12,用于所述匹配單元ll匹配成功時，根據所述流量對應的目 的分析系統的個數復制所述流量，并在復制后的每一流量中添加該流量對應 的目的分析系統的標記。具體的，所述復制單元12在所述流量中添加多分析 系統復制標記、以及復制份數，所述復制份數與所述流量對應的目的分析系
統的個數相同；識別所述多分析系統復制標記，進一步根據所述復制份數復 制所述流量。所述復制單元12還用于隨機在多個目的分析系統的標記中選擇 尚未分配的標記添加到所述流量中；或者預先設置多個目的分析系統的標記 的優先級，將尚未分配的優先級高的標記添加到所述流量中；其中，在流量 中添加的多分析系統復制標記以及復制份數可以添加在流量的報文頭或者報 文中間等預先設置的部位。
發送單元13，用于根據所述復制單元12復制后的流量中攜帶的所述目的 分析系統的標記，將所述復制后的流量向對應的目的分析系統發送。具體的， 所述發送單元13根據所述復制單元12復制后的每一流量攜帶的流量標識信 息與目的分析系統的標記，匹配該流量對應的目的分析系統的分流方式；匹 配成功時，根據所述目的分析系統的分流方式獲取向所述目的分析系統發送 所述復制后的流量的出端口，并通過所述出端口發送所述復制后的流量。多 分流系統中的每一分析系統都具有相應的用于計算流量出端口的分流算法， 例如Hash算法。分流設備預先設置流量的目的IP、分析系統的標記與分析系 統的分流算法的對應關系。復制單元12復制流量結束后，發送單元13根據 復制后的流量攜帶的目的IP 、分析系統的標記，匹配對應的分析系統的分流 算法；存在與流量攜帶的目的IP和分析系統的標記同時對應的分流算法時， 匹配成功；否則，匹配失敗。
所述發送單元13還用于
所述匹配單元11匹配失敗時，正常轉發所述流量。 所述流量的標識信息具體為五元組信息、或者特征碼信息。 通過采用本發明提供的設備，分流設備根據預先設置的匹配規則獲取需 要向多個目的分析系統發送的流量，并根據目的分析系統的個數復制該流量， 為每一復制后的流量分配對應的目的分析系統，從而在不增加端口等外部資
12源的情況下，實現對多分析系統流量的分流，低成本實現高效分流。
通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本 發明可借助軟件加必需的通用硬件平臺的方式來實現，當然也可以通過硬 件，但很多情況下前者是更佳的實施方式。基于這樣的理解，本發明的技 術方案本質上或者說對現有技術做出貢獻的部分可以以軟件產品的形式體 現出來，該計算機軟件產品存儲在一個存儲介質中，包括若干指令用以使 得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執行 本發明各個實施例所述的方法。
本領域技術人員可以理解附圖只是一個優選實施例的示意圖，附圖中 的模塊或流程并不 一 定是實施本發明所必須的。
本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描 述進行分布于實施例的裝置中，也可以進行相應變化位于不同于本實施例 的一個或多個裝置中。上述實施例的模塊可以合并為一個模塊，也可以進 一步拆分成多個子模塊。
上述本發明實施例序號僅僅為了描述，不代表實施例的優劣。
以上公開的僅為本發明的幾個具體實施例，但是，本發明并非局限于 此，任何本領域的技術人員能思之的變化都應落入本發明的保護范圍。
權利要求
1、一種多分析系統分流的方法，應用于包括分流設備和多個分析系統的分流系統中，所述分流設備中存儲目的分析系統為多個的流量的標識信息，其特征在于，該方法包括所述分流設備將接收到的流量中攜帶的標識信息匹配所述存儲的流量的標識信息；匹配成功時，所述分流設備根據所述流量對應的目的分析系統的個數復制所述流量，并在復制后的每一流量中添加該流量對應的目的分析系統的標記；所述分流設備根據所述復制后的流量中攜帶的所述目的分析系統的標記，將所述復制后的流量向對應的目的分析系統發送。
2、 如權利要求l所述的方法，其特征在于，所述分流設備根據所述流量 對應的目的分析系統的個數復制所述流量包括所述分流設備在所述流量中添加多分析系統復制標記、以及復制份數， 所述復制份數與所述流量對應的目的分析系統的個數相同；所述分流設備識別所述多分析系統復制標記，進一步根據所述復制份數 復制所述流量。
3、 如權利要求l所述的方法，其特征在于，所述分流設備在復制后的每 一流量中添加該流量對應的目的分析系統的標記具體為所述分流設備隨機在多個目的分析系統的標記中選擇尚未分配的標記添 加到所述流量中；或者預先設置多個目的分析系統的標記的優先級，所述分 流設備將尚未分配的優先級高的標記添加到所述流量中。
4、 如權利要求1-3中任一項所述的方法，其特征在于，所述分流設備才艮 據所述復制后的流量中攜帶的所述目的分析系統的標記，將所述復制后的流 量向對應的目的分析系統發送包括所述分流設備根據復制后的每一流量攜帶的流量標識信息與目的分析系 統的標記，匹配該流量對應的目的分析系統的分流方式；匹配成功時，所述分流設備根據所述目的分析系統的分流方式獲取向所述目的分析系統發送所述復制后的流量的出端口 ，并通過所述出端口發送所 述復制后的流量。
5、 如權利要求1-3中任一項所述的方法，其特征在于，所述分流設備將接收到的流量中攜帶的標識信息匹配所述存儲的流量的標識信息之后，還包 括匹配失敗時，所述分流設備正常轉發所述流量。
6、 一種分流設備，應用于包括分流設備和多個分析系統的分流系統中， 所述分流設備中存儲目的分析系統為多個的流量的標識信息，其特征在于， 該設備包括匹配單元，用于將接收到的流量中攜帶的標識信息匹配所述存儲的流量 的標識信息；復制單元，用于所述匹配單元匹配成功時，根據所述流量對應的目的分 析系統的個數復制所述流量，并在復制后的每一流量中添加該流量對應的目 的分析系統的標記；發送單元，用于根據所述復制單元復制后的流量中攜帶的所述目的分析 系統的標記，將所述復制后的流量向對應的目的分析系統發送。
7、 如權利要求6所述的設備，其特征在于，所述復制單元具體用于 在所述流量中添加多分析系統復制標記、以及復制份數，所述復制份數與所述流量對應的目的分析系統的個數相同；識別所述多分析系統復制標記，進一步根據所述復制份數復制所述流量。
8、 如權利要求6所述的設備，其特征在于，所述復制單元還用于 隨機在多個目的分析系統的標記中選擇尚未分配的標記添加到所述流量中；或者預先設置多個目的分析系統的標記的優先級，將尚未分配的優先級 高的標記添加到所述流量中。
9、 如權利要求6-8中任一項所述的設備，其特征在于，所述發送單元具 體用于根據所述復制單元復制后的每一流量攜帶的流量標識信息與目的分析系統的標記，匹配該流量對應的目的分析系統的分流方式；匹配成功時，根據所述目的分析系統的分流方式獲取向所述目的分析系 統發送所述復制后的流量的出端口 ，并通過所述出端口發送所述復制后的流量。
10、如權利要求6-8中任一項所述的設備，其特征在于，所述發送單元還 用于所述匹配單元匹配失敗時，正常轉發所述流量。
全文摘要
本發明公開了一種多分析系統分流的方法，包括分流設備將接收到的流量中攜帶的標識信息匹配所述存儲的流量的標識信息；匹配成功時，所述分流設備根據所述流量對應的目的分析系統的個數復制所述流量，并在復制后的每一流量中添加該流量對應的目的分析系統的標記；所述分流設備根據所述復制后的流量中攜帶的所述目的分析系統的標記，將所述復制后的流量向對應的目的分析系統發送。本發明中，分流設備低成本、高效完成多分析系統的分流處理。
文檔編號H04Q11/00GK101640823SQ20091016986
公開日2010年2月3日 申請日期2009年9月7日 優先權日2009年9月7日
發明者汪小勇, 立 蘇 申請人:杭州華三通信技術有限公司