本發(fā)明公開了一種基于報文內(nèi)容感知的動態(tài)規(guī)則鏈?zhǔn)竭f歸觸發(fā)方法及其系統(tǒng)，其主要技術(shù)特征是：在組建動態(tài)規(guī)則鏈?zhǔn)竭f歸觸發(fā)系統(tǒng)的基礎(chǔ)上，針對現(xiàn)有TAP設(shè)備無法對報文流進(jìn)行動態(tài)關(guān)聯(lián)分析問題，通過增加觸發(fā)器以及觸發(fā)器與觸發(fā)規(guī)則之間的關(guān)聯(lián)關(guān)系，采用配置觸發(fā)器、配置靜態(tài)規(guī)則和觸發(fā)器定義、報文匹配、生成新動態(tài)規(guī)則、規(guī)則老化刪除、更新規(guī)則表等步驟，動態(tài)提取外部輸入報文流中的IP地址、端口、用戶標(biāo)識等動態(tài)信息，遞歸觸發(fā)新的動態(tài)規(guī)則，使報文流能夠精確地輸出到后端分析系統(tǒng)，顯著節(jié)省后端分析系統(tǒng)的輸入帶寬，避免后端分析系統(tǒng)的性能損耗，它具有實現(xiàn)方法簡單、規(guī)則觸發(fā)快速高效、顯著降低后端分析系統(tǒng)報文流量的優(yōu)點。

技術(shù)領(lǐng)域

本發(fā)明屬網(wǎng)絡(luò)可視化技術(shù)領(lǐng)域，具體涉及一種基于報文內(nèi)容感知的動態(tài)規(guī)則鏈?zhǔn)竭f歸觸發(fā)方法，以及實現(xiàn)該方法的一種系統(tǒng)組成。

背景技術(shù)

背景技術(shù)中，網(wǎng)絡(luò)可視化領(lǐng)域使用TAP設(shè)備采集用戶業(yè)務(wù)網(wǎng)的報文流，通過用戶配置的靜態(tài)規(guī)則來篩選感興趣的流，基于分流采集網(wǎng)絡(luò)傳輸給后端的分析系統(tǒng)進(jìn)行實時處理。分析系統(tǒng)希望前端TAP設(shè)備能精準(zhǔn)的過濾報文流，僅將其感興趣的流輸出到后端進(jìn)行處理，避免無關(guān)數(shù)據(jù)報文造成不必要的帶寬和性能損耗。很多情況下，后端分析系統(tǒng)希望處理特定大型網(wǎng)站的訪問流量或者符合特定特征用戶的全部流量，但是現(xiàn)有TAP設(shè)備僅支持基于MAC地址、IP地址、端口和報文載荷等靜態(tài)域的規(guī)則篩選過濾。大型網(wǎng)站的負(fù)載均衡和內(nèi)容緩存機(jī)制可能覆蓋數(shù)千個IP地址，上述地址隨著時間會不斷發(fā)生變化，而用戶的IP地址則可能在每次上網(wǎng)時，從成千上萬個IP地址池中隨機(jī)分配，因此精確的報文流篩選必須要解決報文流之間的動態(tài)關(guān)聯(lián)性分析問題。例如：DNS報文流將攜帶服務(wù)端的域名和IP地址列表，決定了后續(xù)用戶終端將與哪個服務(wù)端IP地址進(jìn)行通訊，而Radius、PPPOE報文會攜帶用戶賬號、為用戶分配的動態(tài)IP地址等信息，決定了某個用戶本次上線過程中使用的客戶端IP地址。

上述問題決定了現(xiàn)有TAP設(shè)備的靜態(tài)域規(guī)則篩選模式無法滿足后端分析系統(tǒng)的精準(zhǔn)過濾要求，只能在前端TAP設(shè)備上靜態(tài)配置最大規(guī)則集，將所有可能的報文流輸出給后端分析系統(tǒng)進(jìn)行識別處理。后端分析系統(tǒng)需要浪費(fèi)大量的帶寬資源和計算資源，對海量報文流進(jìn)行解析，識別出需要處理的報文流并執(zhí)行具體的業(yè)務(wù)監(jiān)測處理過程。因此，如何精確的篩選出后端分析系統(tǒng)必須處理的報文流，對提高后端分析系統(tǒng)的性能，降低網(wǎng)絡(luò)可視化系統(tǒng)的建設(shè)成本至關(guān)重要。為了精確篩選報文流，有效提高后端分析系統(tǒng)的效能，我們對基于報文內(nèi)容感知的動態(tài)規(guī)則鏈?zhǔn)竭f歸觸發(fā)方法及其系統(tǒng)進(jìn)行了研究。

發(fā)明內(nèi)容

本發(fā)明的目的在于要提供一種基于報文內(nèi)容感知的動態(tài)規(guī)則鏈?zhǔn)竭f歸觸發(fā)方法及其系統(tǒng)，它突破現(xiàn)有TAP設(shè)備的局限，通過增加觸發(fā)器以及觸發(fā)器與觸發(fā)規(guī)則之間的關(guān)聯(lián)關(guān)系，采用報文流動態(tài)關(guān)聯(lián)分析技術(shù)和動態(tài)規(guī)則遞歸觸發(fā)方法，實現(xiàn)對報文流的精確篩選，有效提高后端分析系統(tǒng)的效能。

本發(fā)明為解決上述技術(shù)問題，采用的技術(shù)方案是：

一種基于報文內(nèi)容感知的動態(tài)規(guī)則鏈?zhǔn)竭f歸觸發(fā)方法，其步驟包括：

1）用戶配置觸發(fā)器，指定需觸發(fā)的規(guī)則類型、老化時間、報文匹配方向、規(guī)則各組成域的來源、以及觸發(fā)后的規(guī)則與其它觸發(fā)器的關(guān)聯(lián)關(guān)系，保存在觸發(fā)描述庫模塊中，其中規(guī)則各組成域可以由用戶配置靜態(tài)值，也可以指定從當(dāng)前報文的指定域提取動態(tài)值；

2）用戶配置MAC、IP五元組、報文載荷特征碼等靜態(tài)規(guī)則，定義當(dāng)前靜態(tài)規(guī)則與某個觸發(fā)器的關(guān)聯(lián)關(guān)系，保存在靜態(tài)規(guī)則庫模塊中；

3）觸發(fā)描述庫模塊和靜態(tài)規(guī)則庫模塊將靜態(tài)規(guī)則和觸發(fā)器定義分發(fā)給設(shè)備中的多個報文匹配引擎，保存在報文匹配引擎的規(guī)則表中；

4）報文匹配引擎在接收到網(wǎng)絡(luò)報文時，查詢規(guī)則表進(jìn)行匹配；

5）如果當(dāng)前報文與規(guī)則表中某一條規(guī)則匹配，根據(jù)規(guī)則關(guān)聯(lián)的觸發(fā)器，提取當(dāng)前觸發(fā)器指定的報文字段，與用戶靜態(tài)配置規(guī)則域、以及當(dāng)前的觸發(fā)關(guān)聯(lián)關(guān)系一起構(gòu)成新的動態(tài)規(guī)則；