技術領域

本發明屬于網絡安全領域，具體涉及一種基于五元組和負載內容的采樣設備。

背景技術

隨著互聯網的高速發展和網絡規模的不斷擴大，不僅網上的應用也越來越復雜，而且網絡上的各種攻擊也越來越多，因此網絡設備都需要監控網絡流量分布情況的功能。目前現有技術中的網絡設備都能夠提供數據包的統計功能，但這個統計功能只能了解通過該網絡設備大致的流量，不能詳細的了解網絡流量的分布情況，如在通過該網絡設備的流量中來自哪個源IP地址的流量最多和哪種應用層協議的報文最多，然而這正是對確定網絡攻擊源所必須的。

專利號“CN200780023942.X”、發明名稱為“管理電子節目指南的技術”公開了管理電子節目指南的技術。一種裝置可包括顯示包括動態縮放網格的電子節目指南的顯示器。該裝置還可包括耦合到該顯示器的媒體處理設備。該媒體處理設備可包括處理器和供該處理器執行的電子節目指南管理模塊。該電子節目指南管理模塊可管理顯示器上的動態縮放網格。該動態縮放網格可包括主存節目項的內容單元格以顯示第一組相關聯的元數據，且該內容單元格在被選擇時被擴大以顯示對應于該節目項的第二組相關聯的元數據。對其它實施例也予以描述并主張權利。

專利號“CN201010130309.4”、發明名稱為“采樣設備和方法”公開了一種采樣設備，包括：被采樣信號輸入，用于接收被采樣的信號；采樣時鐘輸入，用于接收采樣時鐘；多個采樣單元，每一個采樣單元都具有用于接收被采樣的信號的第一輸入、用于接收各自的采樣時鐘的第二輸入以及用于輸出采樣后的數據的輸出；移相單元，對采樣時鐘進行移相處理，并將多個移相處理后的采樣時鐘分別輸出至多個采樣單元中每一個采樣單元的第二輸入；以及匯總單元，將多個采樣單元中每一個采樣單元的輸出進行匯總，以獲得最終的采樣數據。本發明還提供了一種相應的采樣方法。本發明無需提高采樣時鐘的頻率，便可利用具有較低頻率的采樣時鐘來實現高采樣率的采樣。

如果對網絡流的所有數據包進行分析會消耗大量的CPU資源，并且統計的帶寬流量范圍比較小。為詳細了解網絡流量分布情況同時降低CPU負擔和增大統計流量帶寬，本發明采用數據流采樣技術，同時將關心的五元組和應用層協議流量上傳主機進行分析。

為了實現這個目標，出現很多基于流統計的技術，這些技術一般都能夠統計一個數據流在某個時間段內的數據包和字節數統計情況，包括五元組(源IP，目的IP，源端口、目的端口、協議類型)信息。但是如果對于數據流所有的數據包都要進行抽樣的話，就會消耗大量的CPU資源，同時由于統計的帶寬流量限制，也無法對更多的流進行統計。因此為了降低CPU的使用負擔，也為了統計更大范圍的流量分布情況，一般會對數據流采取抽樣技術，這樣既能有效降低統計的數據流量，有能準備的了解數據的流量分布情況。現有抽樣技術只是對網絡包按照一定的間隔進行采集，為了對網絡流的分析更具有針對性，例如只是針對某個IP或者某個端口或者某種應用層協議進行

為詳細了解網絡流量分布情況，出現很多基于流統計的技術，這些技術一般都能夠統計一個數據流在某個時間段內的數據包和字節數統計情況，包括五元組(源IP，目的IP，源端口、目的端口、協議類型)信息。但是如果對于數據流所有的數據包都要進行抽樣的話，就會消耗大量的CPU資源，同時由于統計的帶寬流量限制，也無法對更多的流進行統計。

為釋放CPU和增加統計流量帶寬，出現很多抽樣技術，這些技術一般都是按照某個采樣進行對網絡流進行提取，并不關心具體五元組和應用層協議，無法使分析具有針對性。

發明內容

本發明克服現有技術不足，本發明采用硬件實現。

本發明提供了一種基于五元組和負載內容的采樣設備，包括依次連接的數據包接收模塊、抽樣模塊、應用層協議過濾模塊和五元組過濾模塊。

本發明提供的基于五元組和負載內容的采樣設備，所述數據包接收模塊接受網絡流量。

本發明提供的基于五元組和負載內容的采樣設備，所述抽樣模塊接收數據包接收模塊傳來的數據報文并進行抽樣。

本發明提供的基于五元組和負載內容的采樣設備，所述抽樣模塊包括對報文進行計數的報文計數器。

本發明提供的基于五元組和負載內容的采樣設備，報文計數器的頻率與采樣間隔相等。

本發明提供的基于五元組和負載內容的采樣設備，所述抽樣模塊將報文上傳到所述五元組過濾模塊，同時報文計數器對采樣間隔進行模運算。

本發明提供的基于五元組和負載內容的采樣設備，抽樣模塊的抽樣比例為50％。