（一）、技術領域：本發明涉及一種網絡業務管控系統，特別是涉及一種單節點、交換節點和網絡化網絡業務管控系統。

（二）、背景技術:?目前，互聯網正在經歷突飛猛進的發展，業務承載多元化已成為網絡發展的主流趨勢之一，特別是近年來，隨著互聯網承載業務的多樣化，原先單純按照數據通信任務而設計的互聯網已經顯得越來越不堪重負，造成了現在互聯網中出現了P2P應用泛濫、計費手段缺失、流量管理粗放、內容監管困難、行為無法審計等網絡運營、監管和安全方面的突出問題，對網絡業務管控系統提出新的挑戰。

管控系統是一類網絡安全防護裝置的總稱，包括網絡業務管控節點裝置、防火墻、路由器、交換機和入侵檢測系統等。

業務管控作為一種新的互聯網管控趨勢，近年來已經成為互聯網研究領域的新熱點，然而，迄今為止，還未有成熟的業務管控系統體系結構推出?，F今的深度數據包檢測（DPI）設備大都是基于路由器的體系結構實現，沿襲了路由平面、轉發平面的傳統設計思路，雖然略具業務管控系統的體系結構特征，但在業務管控的開放性和可擴展性上卻存在明顯不足。目前，國內外有不少實現聯動的網絡安全管理平臺，如Check?Point公司的OPSEC安全聯動平臺、天融信公司的TOPSEC平臺和中科網威自有的安全聯動解決方案等都是較為著名的實現方案。

上述平臺的聯動方式通常是以某種管控裝置（通常是防火墻）為中心，外圍是支持聯動協議的管控裝置（通常是入侵檢測系統），其管控范圍通常局限在單個網絡節點范圍內，例如在企業網入口處實現防火墻和入侵檢測系統之間實現簡單的設備聯動，僅僅建立了多個設備之間的安全聯動互操作機制，而沒有上升到全網范圍安全管控的層次。其次，防火墻與入侵檢測的聯動由于入侵檢測系統誤報較多，且缺乏關聯與歸并，常常造成防火墻的錯誤聯動，阻斷正常的網絡通信。至目前為止，并無支持“網絡化”管控的成熟體系結構提出。

為了適應網絡技術的發展，網絡業務管控系統的發展趨勢主要有以下幾個方面：

●?適應網絡的高速化發展。以各種不同的應用為驅動，互聯網正朝著高速化的方向發展：光傳輸鏈路代替了傳統的電傳輸鏈路，骨干鏈路速率已從OC-48提升到OC-192或OC-768。原來基于軟件的網絡業務管控算法由于其在計算速率上的限制已經完全不能適應現階段骨干網甚至普通邊緣網絡的處理需求，因此，為了適應網絡的高速化發展，隨著FPGA、TCAM等大規模高速邏輯器件在目前網絡處理系統中的廣泛應用，基于全硬件化的IP業務分組處理平臺將是網絡業務管控的必然發展趨勢。

●?支持基于深度流檢測（DFI）的業務識別技術。隨著各種未知業務以及加密類業務的不斷涌現，深度數據包檢測技術已經變得無能為力。DFI技術完全不用關心應用層載荷內容，更關注于網絡流量特征的通用性，可識別加密業務流，并且計算開銷和存儲開銷小，算法識別性能高，是DPI技術的有效補充和擴展。

●?支持全網部署、全網管控。面對當前業務管控在空間分布和功能協同等方面的挑戰，單點部署、單一功能的業務管控節點無法滿足全網管控的要求，必須對業務管控設備進行全網部署，與網絡管理等系統實現聯動，最終實現業務的全網管控。基于域的分層策略管理，對聯動協議和聯動管控信息庫進行標準化，是全網業務管控的發展方向。

●?支持綜合性增殖服務。網絡業務管控系統可以在骨干鏈路上根據實際的應用需求，提供帶寬資源優化、精細化流量管理、大客戶業務帶寬定制和私密數據保護、用戶行為分析以及內容推送等綜合性的增殖服務。比如：系統支持以用戶群體整體作為對象進行統計分析，統計總體流量趨勢、流量流向、使用業務、使用協議端口、訪問Web分類喜好、訪問網站排名；系統支持利用DNS域名解析重定向以及在用戶數據中按照指定策略插入數據等多種形式，允許ISP在不影響用戶正常使用網絡的情況下，隱性的推送廣告數據等。

因此，面對當前業務管控在處理速率和功能協同等方面的挑戰，不能再從傳統的圍繞IDS和防火墻來完成的單個管控裝置或單個管控范圍來考慮業務管控，管控裝置必須基于全硬件化的IP業務分組處理平臺、支持基于DFI的業務識別技術、可全網部署、多點聯動、支持用戶行為分析等增殖服務。

（三）、發明內容：本發明要解決的技術問題是：克服現有技術的缺陷，提供一種開放式、可擴展的網絡業務管控系統，該網絡業務管控系統用于解決網絡審計、監管和安全問題。