技術領域

本發明一般地涉及分組流的網絡交換。

背景技術

本部分所述的方法可以被實施，但是不一定是先前以設想出或實施了 的方法。因此，除非這里另外指出，本部分所述的方法不是本申請所要求 的內容的現有技術，并且不因包括在該部分中而承認是現有技術。

在諸如因特網之類的網絡中，路由器、交換機、服務器和其他網絡元 件處理分組。一個或多個分組形成流(flow)。流被定義為特定源和特定 目的地之間一個或多個分組的流動，并且由一個特定的參數集合表征。不 同的系統使用不同的參數來定義流。例如，思科系統公司的某些產品中的 特定處理邏輯將分組歸類為稱作“NetFlow”的流。在一些情形中， NetFlow是下述分組流：這些分組具有相同的源因特網協議(IP)地址、 目的地IP地址、源傳輸控制協議(TCP)/用戶數據報協議(UDP)端口 號、目的地TCP/UDP端口號、IP協議類型、IP服務類型和輸入邏輯接 口。因此，如果兩個分組具有相同的前面的句子中所述的特征，則認為它 們處于同一NetFlow中。然而，其他邏輯可根據不同的特征來將分組歸類 成不同的流。例如，某些邏輯使用多種因素的變體來利用以下字段標識一 個流：源IP地址、源TCP/UDP端口號、目的地TCP/UDP端口號、IP協 議類型、IP服務類型和輸入虛擬局域網(VLAN)。

許多網絡元件包括流表格，流表格存儲從由邏輯處理的所有或者一些 流收集的信息(包括有關流中的特定分組中的一些或全部的數據)。收集 在特定流表格中的信息可包括例如定義該流的特征(例如，上述那些特 征)。大多數(即使不是全部)流表格在大小上是受限的，不能存儲有關 無限數目的流的數據。因此，一般來說，一個流表格中的數據被周期地發 送給收集器設備或者其他收集模塊以存儲和/或使用，并且流表格被重置以 使其可收集有關其他分組流的數據。流表格中的數據可用于許多目的，并 且流表格中的信息提供了關于例如由監控設備或其他模塊使用的網絡活動 的特征的信息。

NetFlow信息可被存儲在由Cisco?IOS軟件管理的NetFlow軟件或硬件 模塊中，該軟件可從加州San?Jose的思科系統公司購買。

包括端口掃描和ICMP攻擊在內的多種惡意網絡活動可直接與網絡中 的惡意軟件、黑客、蠕蟲或病毒活動相關聯。為了保持網絡的正常狀況， 檢測并防止這種惡意活動非常重要。可以使用思科網絡技術來檢測這些攻 擊并通知中央管理設備，中央管理設備采取正確的動作。然而，在該方法 中，可能無法足夠快速地作出反應，從而無法以足夠及時的方式減輕網絡 中的這些惡意活動的影響。此外，大多數網絡系統具有有限大小的流表 格，因此利用廣泛且快速的端口掃描的攻擊者可產生太多的新流，以至于 流表格可能溢出并且臨時丟失重要的統計數據。此外，在某些網絡中，未 布署流收集器或分析儀，并且未規劃或者不支持適當的反應式對策。

在某些網絡中，為了限制潛在的流表格利用和流數據導出問題，使用 了采樣(而不是連續)流收集。然而，采樣速率越高，安全設備要采用越 長的時間來收集足夠的采樣以識別惡意活動。因此，利用較高的采樣速率 可能導致對惡意活動的反應時的延遲。

類似地，可以使用全軟件驅動的連接速率控制技術來實現一定程度上 的網絡保護，例如扼殺惡意病毒活動。然而，任何這種基于軟件的方案在 被應用到基于硬件的系統時都不易于擴展，并且不能提供對某些網絡威脅 的及時應對。

附圖說明

在附圖中的圖示中以示例而非限制方式示出了本發明，其中類似的標 號指代類似的元件，并且在附圖中：

圖1示出了用于分組流處理的示例系統；

圖2示出了用于分組流處理的示例實施例；

圖3示出了用于分組流處理的示例實施例的高層邏輯視圖；

圖4示出了用于分組流處理的示例實施例的另一高層邏輯視圖；

圖5示出了可利用分組流處理的特征的高層邏輯示視圖；

圖6示出了用于分組流分析的示例方法；

圖7示出了用于分組流分析的另一個示例方法；

圖8示出了可在其上實現實施例的計算機系統。

具體實施方式