技術領域

本發明涉及一種網絡監控領域，具體地說是一種網絡流量檢測，特別是深度檢測與內容識別技術的基于分流定向的旁路式流量檢測模型，。

背景技術

網絡流量檢測是互聯網安全監控和網絡流量控制的基礎，多年來業界提出了各種算法和解決方案，這些技術主要是針對網絡流量本身的，通過識別流量本身的外部特征和組成特點來判斷其類型，而對于網絡流量檢測系統的工作流程和架構技術研究的相對較少。目前流行的各種防火器墻、入侵檢測系統、安全網關等設備，主要工作方式是通過對網絡流量的直接檢測分析，進而做出吸納供應的處理。這種工作方式對于高速、海量的網絡流量，不僅普遍存在結構性性能瓶頸，而且升級困難，升級代價昂貴。為解決這一問題，本發明提出了一種基于流量分類預處理(分流定向)的并行檢測模型，基于此模型的檢測系統，不僅可較容易地實現高性能，而且能夠十分方便地實現較理想的線性擴展升級。

發明內容

本發明的目的是提供一種基于分流定向的旁路式流量檢測模型。

本發明的目的是按以下方式實現的，包括分流器、流定向分配器、流檢測器、異常告警器和異常匯集器，通過對流量分類預處理、分流定向，實現多檢測器并行檢測，發現異常則發出告警信息，并將異常流量或數據集中處理，處理步驟如下：

1)分流器負責從被檢流量中拷貝出完全相同的待檢流量；

2)流定向分配器根據各種流量成分的外部特征，將流量分成一系列類型，包括音頻流、視頻流、普通數據流、特殊流或控制流、協議、信令、內容流、輔助流，分類的規則和標準根據實際需要設定，不同類型的流被分到不同類型的“管道”中；

3)不同類型的流管道接到不同的流檢測器，流檢測器對發送來的分類流量進行專項檢測，包括深度特征檢測、內容檢測，檢測的算法和標準根據需要進行配置，檢測出異常流或分組，包括網絡攻擊、不良信息時，發出異常告警，告警的類型根據需要設定，并將異常分組送到異常匯集器；

4)異常告警器負責寄存各檢測器發來的告警信息；異常匯集器負責寄存各檢測器發來異常流量和數據包，檢測出的告警和數據包由另外的裝置或系統集中處理。

本發明的優異效果是：

1)專門設立的流分類定向器，據此可以對流量進行分類、分流、均衡，從而保證了各檢測器高性能并行檢測，實現快速高效處理。

2)該模型的檢測部分——流定向器和檢測器，具有樹形結構，可以很方便地在流定向器之后進行級聯迭代(將分流出的流量作為下一級的被檢流量，對該流量繼續實施本發明所提出的方式的檢測處理，從而實現更大規模的處理能力。

3)對于各檢測器檢出的異常流量，同一匯集到異常匯集器集中處理模式。

4)基于本發明的各類軟硬件系統或產品。

5)本發明的權利要求不涉及各主要部件的內部技術細節。

附圖說明

圖1是基于分流定向的流量檢測器結構模型。

具體實施方式

參照說明書附圖對本發明的作以下詳細地說明。

本發明的基于分流定向的旁路式流量檢測模型，是針對網絡流量檢測和內容識別，設計一種用于高性能并行檢測處理系統的結構模型，該模型包括分流器、流定向分配器、流檢測器、異常告警器和異常匯集器，通過對流量分類預處理、分流定向，實現多檢測器并行檢測，發現異常則發出告警信息，并將異常流量或數據包集中處理。詳細工作原理如下(參見圖1.)：

1)分流器負責從被檢流量中拷貝出完全相同的待檢流量；

2)流定向分配器根據各種流量成分的外部特征，將流量分成一系列類型，如音頻流、視頻流、普通數據流、特殊流，或控制流(協議和信令)、內容流、輔助流，等等。分類的規則和標準可以根據實際需要設定。不同類型的流被分到不同類型的“管道”中(同一類型的流量可能被分到一組管道中)；

3)不同類型的流管道接到不同的流檢測器，流檢測器對發送來的分類流量進行專項檢測，如深度特征檢測、內容檢測等。檢測的算法和標準可以根據需要進行配置。檢測出異常流或分組(如網絡攻擊、不良信息等)時，發出異常告警(告警的類型可根據需要設定)，并將異常分組送到異常匯集器；

4)異常告警器負責寄存各檢測器發來的告警信息；異常匯集器負責寄存各檢測器發來異常流量和數據包。檢測出的告警和數據包由另外的裝置或系統處理。