技術領域

本發(fā)明涉及網絡安全技術，尤其涉及一種深度報文檢測(Deep?PacketInspection，DPI)方法、網絡設備及系統(tǒng)。

背景技術

隨著IP技術的不斷發(fā)展，IP網絡逐漸從承載單一的Internet業(yè)務到承載語音、數據、視頻、大客戶專線、3G、NGN等運營級多業(yè)務方向轉型。在轉型過程中，IP網絡在安全性、可靠性、業(yè)務服務質量上也將發(fā)生根本性的變革。

一方面，計算機網絡受到越來越嚴重的攻擊和入侵，給用戶和運營商造成非常巨大的損失。雖然防火墻的出現，緩解了一部分的攻擊。但普通的防火墻對于藏身于IP包凈荷之中的病毒傳播、攻擊，顯得力不從心。近年來，網絡攻擊的發(fā)展趨勢是逐漸轉向高層應用。據分析，目前對網絡的攻擊有70％以上是集中在應用層，并且這一數字呈上升趨勢。正因為如此，內容安全開始成為目前信息安全中最關鍵的問題。

另一方面，隨著網絡技術的不斷發(fā)展，各種新的應用層出不窮，但由于缺乏有效的技術手段，對很多新的應用不能感知和精細化的管理。這些業(yè)務大量的“寄生”于IP承載網絡，在給業(yè)務提供商帶來巨額利潤的同時，給網絡運營商造成了重大損失。典型的例子就是隨著對等網絡(Peer?to?Peer，P2P)應用的逐步普及，P2P應用(語音、視頻、文件傳輸等)已經占用了網絡帶寬資源60％以上，導致網絡不同程度的出現擁塞，大大降低了其他應用的用戶體驗。所有這些問題帶來的最終后果是，運營商的運營成本增加、收入減少以及用戶滿意度的下降，因此運營商迫切希望能夠解決這些問題。

一種新的技術手段——深度報文檢測(Deep?Packet?Inspection，DPI)，能夠感知網絡應用，給運營商提供網絡控制和管理的手段。所謂“深度”是和普通報文的檢測層次相比較而言的，普通報文檢測僅檢測IP包的4層以下的內容，包括源地址、目的地址、源端口、目的端口以及業(yè)務類型，而DPI除了對前面的層次進行檢測外，還增加了應用層檢測，能夠識別各種應用及其內容，并進行控制和管理。

如何在現有網絡上較迅速的推出一套DPI整體解決方案，且又不影響現有網絡的可靠性，是網絡運營商面臨的一個重要難題。由于接入設備發(fā)展較早，現有網絡上的接入設備一般都沒有考慮DPI的功能，為了能夠支持DPI檢測，一般采用以下兩種方法：

如圖1所示，為現有技術中采用串聯方式進行DPI檢測的系統(tǒng)結構示意圖。在該方案中，直接將DPI檢測裝置串聯在現有網絡上(其部署位置可以是接入層或者匯聚層)，所有的數據，都必須經過DPI檢測之后才進行轉發(fā)。該方案的優(yōu)點在于能夠對業(yè)務流進行實時控制和管理，能夠支持全面的DPI特性，包括識別、控制、攻擊防范等業(yè)務。

如圖2所示，為現有技術中采用并聯方式進行DPI檢測的系統(tǒng)結構示意圖。在該方案中，采用并聯方式將DPI檢測裝置旁掛到現有網絡上，由路由器或者物理分光設備將所有流量分光到DPI檢測裝置進行檢測。DPI檢測裝置識別出非法業(yè)務后，通過對發(fā)送非法業(yè)務的用戶的UDP/TCP連接進行干擾來控制用戶的非法業(yè)務的發(fā)送。

發(fā)明人經過研究發(fā)現，以上兩種方案都存在不同程度的缺陷：在以串聯方式進行DPI檢測的過程中，由于DPI檢測是對IP數據包進行特征字搜索，非常耗費處理器資源，導致DPI檢測成為數據轉發(fā)的瓶頸，從而影響所有業(yè)務的業(yè)務質量QoS。而在以并聯方式進行DPI檢測的過程中，用戶的所有流量都要通過分光或者鏡像的方式復制到DPI檢測裝置進行檢測，增加了DPI檢測裝置的負擔并且對用戶進行干擾的方法在某些基于UDP的加密應用下難以實現，降低了控制效果。

發(fā)明內容

為了解決上述問題，本發(fā)明實施例提供了一種深度報文檢測方法、網絡設備及系統(tǒng)。

本發(fā)明實施例中所述深度報文檢測方法包括以下步驟：

接收數據流中的數據報文；

判斷所述數據報文是否需要進行深度報文檢測，如果需要，首先對所述數據報文進行識別；

若不能識別所述數據報文，則復制所述數據報文，并將其中一份數據報文發(fā)送給深度報文檢測裝置，即DPI檢測裝置進行深度報文檢測。

其中，所述的DPI檢測裝置進行深度報文檢測具體包括：

DPI檢測裝置根據接收的數據報文檢測所述數據流的業(yè)務類型并將該數據流的業(yè)務類型反饋給網絡設備。

其中，所述方法還包括：

網絡設備收到所述數據流的后續(xù)數據報文后，根據所述數據流的業(yè)務類型的預定策略處理所述后續(xù)數據報文。

其中，所述方法還包括：

接收DPI檢測裝置發(fā)送的攜帶數據流信息的實時檢測通知；