1.一種未知流量過濾方法，其特征在于，在帶寬管理設備上指定第一 鏡像端口和第二鏡像端口，對于帶寬管理設備接收到的報文執行以下步驟：

判斷帶寬管理設備接收的報文是否符合預設的第一次過濾條件，是則將 已標識流中的滿足會話完整信息的報文鏡像到第一鏡像端口；所述第一次過 濾條件包括：所接收報文的類型是傳輸層報文，且所接收的報文所在的流已 經標識；

接收來自第一鏡像端口的報文，并根據預設的第二次過濾條件判斷該報 文所屬流量是否是未知流量，是則將所述未知流量報文鏡像到第二鏡像端口 供流量分析使用。

2.如權利要求1所述的方法，其特征在于，

所述第一次過濾條件進一步包括：所接收報文是一條數據流中的前N 個報文之一，N為指定自然數；并且所接收報文滿足預設的IP地址和/或端 口過濾條件。

3.如權利要求1或2所述的方法，其特征在于，

所接收報文的類型是傳輸層報文包括：所接收報文的類型是傳輸控制協 議TCP報文或用戶數據報協議UDP報文。

4.如權利要求1或2所述的方法，其特征在于，該方法進一步包括： 判斷所接收報文是否為其所屬流的首報文，是則利用所接收報文的五元組對 其所屬流進行標識。

5.如權利要求4所述的方法，其特征在于，判斷所接收報文是否為其 所屬流的首報文包括：

如果所接收報文是TCP報文，則判斷該報文是否為同步連接序號SYN 握手報文，是則該報文是其所屬流的首報文，否則不是；

如果所接收報文是UDP報文，則判斷該報文是否為信令報文，是則該 報文是其所屬流的首報文，否則不是。

6.如權利要求1所述的方法，其特征在于，根據預設的第二次過濾條 件判斷該報文所屬流量是否是未知流量，是則將所述未知流量報文鏡像到第 二鏡像端口包括：

a、根據報文的五元組判斷是否存在對應的控制塊，是則直接執行步驟 b，否則先創建與報文五元組對應的控制塊，然后執行步驟b；

b、判斷對應控制塊上記錄的會話類型，如果會話類型是已知流量，則 確定報文所屬流量是已知流量，如果會話類型是未知流量，則確定報文所屬 流量是未知流量，將報文鏡像到第二端口并結束處理，如果對應控制塊上未 記錄會話類型，則執行步驟c；

c、判斷流量識別引擎對對應控制塊的數據流的識別是否結束，是則執 行步驟d，否則將報文緩存到對應控制塊中并結束處理；

d、如果對應控制塊的數據流被識別為未知流量，則在對應控制塊上記 錄會話類型為未知流量，將對應控制塊中緩存的所有報文鏡像到第二鏡像端 口；如果對應控制塊的數據流被識別為已知流量，則在對應控制塊上記錄會 話類型為已知流量，釋放對應控制塊中緩存的所有報文。

7.一種帶寬管理設備，其特征在于，該帶寬管理設備上指定了第一鏡 像端口和第二鏡像端口，該帶寬管理設備包括：第一過濾模塊和第二過濾模 塊，其中：

第一過濾模塊，用于判斷帶寬管理設備接收的報文是否符合預設的第一 次過濾條件，是則將已標識流中的滿足會話完整信息的報文鏡像到第一鏡像 端口；所述第一次過濾條件包括：所接收報文的類型是傳輸層報文，且所接 收的報文所在的流已經標識；

第二過濾模塊，用于接收來自第一鏡像端口的報文，并根據預設的第二 次過濾條件判斷該報文所屬流量是否是未知流量，是則將所述未知流量報文 鏡像到第二鏡像端口供流量分析使用。

8.如權利要求7所述的帶寬管理設備，其特征在于，所述第一次過濾 條件進一步包括：所接收報文是一條數據流中的前N個報文之一，N為指定 自然數；并且所接收報文滿足預設的IP地址和/或端口過濾條件。

9.如權利要求7所述的帶寬管理設備，其特征在于，

所述第一過濾模塊，判斷所接收報文的類型是傳輸層報文，是判斷所接 收報文的類型是傳輸控制協議TCP報文或用戶數據報協議UDP報文。