技術領域

本發明涉及高速骨干網絡的流量采集與監控方法。

背景技術

高速網絡流量采集與監控的作用是對高速網絡鏈路上的數據進行過濾、采集、監督與管理，可應用于城域網及國家骨干網絡的數據監控、大規模企業網絡的高速接入流量控制等。目前市場上高速骨干網絡流量采集與監控產品盡管在性能和支持的接入速率上有不同，但均以分光器分光方式并行接入(也稱旁接)到高速骨干網絡中，流量采集與監控系統相當于高速骨干網絡的一個并行處理系統。這些高速骨干網絡流量采集與監控產品的結構大多如圖1所示，由輸入卡、交換控制卡、輸出卡和后端分析系統組成。輸入卡由并行處理通道組成，并行處理通道的核心是五元組加關鍵字模塊，五元組加關鍵字模塊與分光器相連，利用分光器從高速鏈路分光，將高速骨干網流量以并行方式接入到監控系統；并行處理通道通過五元組加關鍵字模塊對報文進行規則匹配、根據匹配結果決定將報文丟棄還是輸出到后端系統；輸出到后端系統的報文由交換控制卡完成輸入卡到輸出卡之間的流量轉發；交換控制卡運行控制軟件，由控制軟件對輸入卡、輸出卡各模塊進行配置與控制；輸出卡從交換控制卡接收報文，將報文發送到后端分析系統進行進一步的分析與處理。

這種并行接入的高速骨干網絡流量采集與監控產品對高速骨干網絡流量進行采集與監控的方法是：首先交換控制卡運行控制軟件，利用控制軟件配置五元組加關鍵字模塊的規則表，即將被監控高速骨干網絡報文的源IP、目的IP、源端口、目的端口、協議、關鍵字及對此報文的處理方法(丟棄或輸出)作為一條規則填寫到五元組加關鍵字模塊的規則表。報文通過分光器進入輸入卡后(分光器的作用相當于將報文復制一份，不會影響受監控高速骨干網報文的傳輸)，五元組加關鍵字模塊的控制邏輯提取報文的源IP、目的IP、源端口、目的端口、協議及關鍵字與規則表進行匹配，匹配成功則按此條規則的處理方法丟棄或輸出報文。優點是當系統出現故障時，不會影響受監控高速骨干網絡的正常運營。但是，此類系統不能對受監控高速骨干網絡流量進行實時控制，即當在受監控網絡上發現有害報文時不能進行實時的阻斷和響應。如何能對受監控高速骨干網絡報文進行實時的管控是本領域技術人員極為關注的技術問題。

發明內容

本發明要解決的技術問題是針對目前并行接入的高速骨干網絡流量監控方法不能對網絡流量進行實時管控的缺點，提供一種串行接入的高速骨干網絡流量采集與監控方法。本發明在現有并行流量處理通道的基礎上添加串行處理通道，形成串行處理通道和并行處理通道協同對網絡流量進行采集和監控的方法。并行處理通道進行數據采集和深度的流量分析，串行處理通道對網絡流量進行實時的控制，并行處理通道向串行處理通道實時上傳流量控制規則，發現有害信息時可對網絡數據流進行實時的控制。

本發明技術方案是：

第一步，改進輸入卡，輸入卡中增加報文復制模塊、串行處理通道，在并行處理通道中增加第二采樣模塊。報文復制模塊與受監控的高速骨干網相連，將從受監控高速骨干網過來的報文復制一份，將進來的報文送入串行處理通道，將復制的報文送入并行處理通道。串行處理通道由流模塊和第一采樣模塊組成。流模塊與報文復制模塊、第一采樣模塊及受監控高速骨干網相連，流模塊是一個控制邏輯，決定對某條流的報文阻斷、全部輸出或者采樣輸出。第一采樣模塊與流模塊、交換控制卡及受監控高速骨干網相連，采用第一采樣算法對從流模塊傳來的報文執行報文阻斷或采樣輸出。并行處理通道由五元組加關鍵字模塊和第二采樣模塊組成，五元組加關鍵字模塊與報文復制模塊相連，該模塊對從報文復制模塊來的報文進行規則匹配，確定將報文丟棄還是轉發給第二采樣模塊。第二采樣模塊與五元組加關鍵字模塊和交換控制卡相連，采用第二采樣算法對從五元組加關鍵字模塊來的報文進行丟棄或采樣輸出到交換控制卡。

流模塊由流控制單元、流規則表及流業務統計表組成。流規則表與流業務統計表都與流控制單元相連，流規則表表項個數N根據存儲空間大小確定，每一個表項即是一條流規則，流規則由規則ID、業務ID、信息域和處理域組成，信息域包括源IP(sip)、目的IP(dip)、源端口(sport)、目的端口(dport)、協議(pro)，這五個元素簡稱為fiveEle，處理域指抽樣粒度(samRate)，即對某條流的報文抽樣的比例。這個表不由控制軟件進行配置，而是當五元組加關鍵字模塊匹配某條五元組加關鍵字規則成功且該五元組加關鍵字規則要求生成流規則時，由五元組加關鍵字模塊根據該五元組加關鍵字規則內容添加一條流規則。