专利名称:一种深度报文检测设备联动策略生成系统及方法
技术领域:
本发明涉及深度报文检测技术,尤其是涉及一种深度报文检测设备联动策略生成 系统及方法。
背景技术:
随着互联网业务的急剧增长,实现基于各种业务的可管可控是产业链各环节都比 较关心的问题,但是,要实现基于各种业务的疏导管控首要条件就是识别相应的各种应用, 使用深度报文检测(DPI,Deep Packet Inspection)技术无疑是作为业务识别功能的最佳 选择。所谓DPI技术是一种基于应用层的流量检测和控制技术,DPI是与普通报文的分 析层次比较而言的,一般,普通报文检测仅分析IP数据包层以下的内容,包括源地址、目 的地址、源端口、目的端口以及协议类型;而DPI除了对前面的层次分析外,还增加了对应 用层的分析,可识别各种应用甚至其内容。实现DPI技术的设备称为DPI设备,是具备业务数据流识别、业务数据流控制能力 的设备。当IP数据包、传输控制协议(TCP)或用户数据包协议(UDP)的数据流通过DPI设 备时,该设备通过深入读取IP数据包载荷的内容来对TCP/IP协议中的应用层信息进行分 析,从而识别出真正的应用类型和特征。因此,利用DPI技术在IP网络中部署DPI系统,可 实现网络运营中的业务识别、业务控制和业务统计等功能。DPI技术工作在开放系统连接 (0SI,0pen SystemInterconnect)模型的传输层到应用层,具有高数据流处理能力,能够对 网络所承载的业务进行识别和流量管理,可部署在网络骨干网、城域网和企业网内部。但是,由于当前DPI设备部署的分散性以及管理的独立性,极有可能导致DPI设备 处理业务流量的不均衡;另外,由于某台DPI设备发生故障也会导致局部业务处理失败。目 前,尚未有方案提出对分散部署于网络中各DPI设备及相应信息进行集中管理。
发明内容
有鉴于此,本发明的主要目的在于提供一种深度报文检测设备联动策略生成系统 及方法,能实现对分散的DPI设备及信息集中管理与分析。为达到上述目的,本发明的技术方案是这样实现的本发明提供了一种深度报文检测设备联动策略生成系统,包括深度报文检测 DPI执行机构、DPI联动信息控制中心以及策略决策模块;其中,DPI执行机构,用于对业务流量进行识别与控制,还用于向DPI联动信息控制中心 提供各DPI设备的信息;DPI联动信息控制中心,用于收集各DPI设备的信息,并将收集到的信息分类提供 给策略决策模块;策略决策模块,用于从DPI联动信息控制中心收集DPI设备的信息,并根据收集的 信息生成可执行的应用策略,再将所生成的应用策略下发给DPI执行机构。
上述方案中,所述策略决策模块包括DPI设备联动策略管理子模块、策略生成子 模块;其中,所述DPI设备联动策略管理子模块,用于接收策略生成子模块上报的应用策 略,根据上报的应用策略生成可执行的应用策略并下发DPI执行机构;所述策略生成子模 块,用于接收DPI联动信息控制中心上报的各种DPI设备信息,根据收到的DPI设备信息生 成各种策略,并将生成的策略提供给DPI设备联动策略管理子模块。上述方案中,所述DPI设备的信息包括但不限于DPI设备的路由信息、DPI设备的 状态信息、DPI设备的识别结果信息、DPI设备的流量信息、DPI设备的关联信息;所述策略生成子模块包括关联识别控制策略决策子模块、流量分担联动策略决策 子模块、故障处理联动策略决策子模块中的任意一个或多个。上述方案中,所述策略生成子模块包括关联识别控制策略决策子模块、流量分担 联动策略决策子模块和故障处理联动策略决策子模块;所述关联识别控制策略决策子模块,用于从DPI联动信息控制中心获取DPI设备 的关联信息,根据获取的关联信息进行相应控制决策,并将自身生成的控制策略上报DPI 设备联动策略管理子模块;所述流量分担联动策略决策子模块,用于从DPI联动信息控制中心获取DPI设备 的流量信息,根据获取的流量信息进行流量分担策略决策,并将自身产生的流量分担策略 上报DPI设备联动策略管理子模块;所述故障处理联动策略决策子模块,用于从DPI联动信息控制中心获取DPI设备 的状态信息,根据获取的状态信息进行故障处理策略决策,并将自身产生的故障处理策略 上报DPI设备联动策略管理子模块。该系统进一步包括集中策略管理模块,用于协调管理一个以上所述联动策略生成 系统,生成并下发相应管理策略给其管辖范围内的策略决策模块;相应的,DPI设备联动策 略管理子模块还用于接收集中策略管理模块下发的策略;之后结合所收到的策略分析生成 可执行的应用策略。该系统进一步包括外部管理及决策系统,用于生成对DPI设备进行管理的策略, 并将所生成的策略提供给策略决策模块;相应的,DPI设备联动策略管理子模块还用于接 收来自外部管理及决策系统编辑和导入/导出的策略;之后结合所收到的各种策略信息分 析生成可执行的应用策略。本发明还提供了一种深度报文检测设备联动策略生成方法,包括获取各DPI设备的信息,根据所获取的信息确定不同的应用策略,之后再根据确 定的一个以上应用策略生成可执行的应用策略并下发。上述方案中,所述获取各DPI设备的信息为将获取的各DPI设备的信息分类上报 策略决策模块中的各策略决策子模块;相应的,所述根据所获取的信息确定不同的应用策略为各策略决策子模块根据 收到的信息生成自身的应用策略,并将生成的应用策略上报策略决策模块中的DPI设备联 动策略管理子模块;所述生成可执行的应用策略并下发为DPI设备联动策略管理子模块根据上报的 应用策略生成执行的应用策略并下发DPI执行机构。本发明还提供了一种深度报文检测设备联动策略生成方法,包括
获取各DPI设备的信息,根据所获取的信息确定不同的应用策略,之后根据确定 的一个以上应用策略,并结合集中策略管理模块、和/或外部管理及决策系统提供的策略 信息生成可执行的应用策略并下发。上述方案中,所述获取各DPI设备的信息为将获取的各DPI设备的信息分类上报 策略决策模块中的各策略决策子模块;相应的,所述根据所获取的信息确定不同的应用策略为各策略决策子模块根据 收到的信息生成自身的应用策略,并将生成的应用策略上报策略决策模块中的DPI设备联 动策略管理子模块;所述生成可执行的应用策略并下发为DPI设备联动策略管理子模块根据上报的 应用策略、集中策略管理模块下发的策略信息和/或外部管理及决策系统生成的策略,分 析生成可执行的应用策略,并下发DPI执行机构。本发明所提供的深度报文检测设备联动策略生成系统及方法,获取各个DPI设备 的各类信息,根据所获取的各类信息初步确定不同的应用策略,之后将初步确定的多个应 用策略进行综合分析,生成最终可执行的应用策略并下发。如此,整个系统可以根据所有 DPI设备的状态变化,及时调整应用策略,比如流量分担、故障处理等等,依据各DPI设备 的信息制定联动策略,达到对分散部署于网络中的各DPI设备进行集中管理的目的。本发明在制定应用策略时采用两级应用策略确定机制,先由专门针对某类信息进 行处理的模块各自生成自身的应用策略,再由策略决策模块对收到的所有应用策略综合分 析,生成最终可执行的应用策略。通过本发明的应用可以有效实现对部署于网络中的DPI 设备进行流量优化、以及故障情况下流量的转移等等,进而实现各DPI设备之间协调、可靠 的配合工作。进一步的,本发明的策略决策模块、具体为策略决策模块中的DPI设备联动策略 管理子模块还可以将各个策略决策子模块上报的应用策略,结合集中策略管理模块下发的 应用策略、和/或外部管理及决策系统为其提供的应用策略进行综合分析判断,生成更适 用的可执行应用策略,如此,能够更好地对网络中各DPI设备的流量管理进行优化,能更好 地协调各DPI设备之间的工作。
图1为本发明DPI联动策略生成系统的组成结构示意图;图2为本发明DPI联动策略生成系统一实施例的组成结构示意图;图3为本发明DPI联动策略生成方法的实现流程示意图。
具体实施例方式本发明的基本思想是获取各个DPI设备的各类信息,根据所获取的各类信息初 步确定不同的应用策略,之后根据初步确定的多个应用策略生成最终可执行的应用策略并 下发。进一步的,本发明还可以将初步确定的多个应用策略,与集中策略管理模块下发 的应用策略、和/或外部管理及决策系统为其提供的应用策略结合起来进行分析判断,生 成更适用的可执行应用策略。
如图1所示,本发明的深度报文检测设备联动策略生成系统主要包括DPI执行机 构11、DPI联动信息控制中心12以及策略决策模块13 ;其中,DPI执行机构11,是一个DPI联动设备组,用于具体实现对业务流量的识别与控 制,还用于向DPI联动信息控制中心12提供各个DPI设备的信息;并可根据策略决策模块 下发的应用策略对DPI设备执行控制操作。这里,所述信息可以包括DPI设备的路由信息、DPI设备的状态信息、DPI设备的 识别结果信息、DPI设备的流量信息、DPI设备的关联信息等等;所述对DPI设备执行控制 操作可以是数据流量的转移,比如将故障设备传输的数据转由正常工作且负荷量小的一 个或多个设备传输;将负荷量大的设备上的一部分数据转由负荷量小的一个或多个设备传 输。DPI联动信息控制中心12,用于管理DPI设备组中设备的注册、设备信息的收集与 维护,并将收集到的DPI设备信息提供给策略决策模块中的策略生成子模块。图1所示系统中,完成DPI联动策略决策制定与下发最关键的模块为策略决策模 块13,策略决策模块13用于从DPI联动信息控制中心12收集DPI设备的各类信息,并根据 收集的信息生成可执行的应用策略,再将所生成的应用策略下发给DPI执行机构11。在实际应用中,所述策略决策模块13可以作为功能模块集成于网管设备中,也可 以作为单独的网络设备,比如单独作为策略决策服务器。具体的,该策略决策模块13由 DPI设备联动策略管理子模块131、以及策略生成子模块130组成。其中,DPI设备联动策略管理子模块131,是可执行的应用策略最终决定与发布的中心, 该子模块具体用于完成以下功能接收来自策略生成子模块130根据收集到的各类DPI设 备信息生成的各种策略,再综合分析接收到的各种策略,产生可执行的应用策略;对DPI执 行机构11发布识别模版以及最终产生的应用策略。这里,所述综合分析可以是对收到的不同应用策略进行判断、比较,根据各个应用 策略之间的关联度、是否重叠、是否有冲突等等条件,确定最优的应用策略为最终可执行的 应用策略。该子模块还可用于对应用策略进行优先级的调整,选择优先级高的应用策略作为 最终可执行的应用策略;相应的,对DPI执行机构11发布的即为最终产生且经过优先级调 整的应用策略。策略生成子模块130,用于接收DPI联动信息控制中心12上报的各种DPI设备信 息,根据收到的DPI设备信息生成各种策略,并将生成的策略提供给DPI设备联动策略管理 子模块131 ;所述策略生成子模块130可以包括关联识别控制策略决策子模块132、流量分担 联动策略决策子模块133、故障处理联动策略决策子模块134中的任意一个或多个。也就是 说,策略生成子模块130可以是关联识别控制策略决策子模块132、流量分担联动策略决策 子模块133、故障处理联动策略决策子模块134三者中任意一个子模块、或是任意两个子模 块的组合、或是三个子模块的组合。相应的,DPI联动信息控制中心12将收集到的信息分类提供给策略决策模块中相 应的策略决策子模块。这里,所述分类是指将收到的所有信息按不同类别区分,比如分为 DPI设备的识别结果信息、DPI设备的路由信息、DPI设备的状态信息、DPI设备的流量信息、
7DPI设备的关联信息等等,那么,可将不同类别的信息上报不同的策略决策子模块。实际应用中,可将某一类信息仅上报给一个对应的策略决策子模块,比如将状态 信息上报故障处理策略决策子模块等;也可以根据信息与策略决策子模块的相关性,将某 几类信息上报同一个策略决策子模块,比如将路由信息、状态信息都上报故障处理策略决 策子模块;还可以根据信息与策略决策子模块的相关性,将某一类信息上报多个策略决策 子模块,比如将路由信息上报流量分担联动策略决策子模块、故障处理策略决策子模块。这种情况下,DPI设备联动策略管理子模块131接收来自关联识别控制策略决策 子模块132、流量分担联动策略决策子模块133、故障处理联动策略决策子模块134的各种 生成策略。具体的,关联识别控制策略决策子模块132,用于从DPI联动信息控制中心12获取 在不同DPI设备间因业务识别需要而得到的关联信息,根据获取的关联信息进行相应控制 决策,并将自身生成的控制策略上报DPI设备联动策略管理子模块131,由DPI设备联动策 略管理子模块131做最终应用策略决策。比如同一业务数据通过不同DPI设备传输时,可 通过对不同DPI设备信息的识别确定为同一业务数据,进而制定相应的处理策略。流量分担联动策略决策子模块133,用于从DPI联动信息控制中心12获取DPI设 备的流量信息,根据获取的流量信息进行流量分担策略决策,并将自身产生的流量分担策 略上报DPI设备联动策略管理子模块131,由DPI设备联动策略管理子模块131做最终应用 策略决策。这里,进行流量分担策略决策的原则是使各个DPI设备之间在应用层的流量平 衡优化。故障处理联动策略决策子模块134,用于从DPI联动信息控制中心12获取DPI设 备的状态信息,根据获取的状态信息进行故障处理策略决策,并将自身产生的故障处理策 略上报DPI设备联动策略管理子模块131,由DPI设备联动策略管理子模块131做最终应用 策略决策。本子模块的目的就是规避设备风险,及时处理设备故障带来的业务中断及相关问 题。实际应用中,该子模块也可以接收路由信息等DPI设备信息,在进行策略决策时结合所 收到的各类信息生成自身的故障处理策略。比如根据状态信息可确定哪个DPI设备发生 故障,根据路由信息可获知各DPI设备的流量负荷情况,那么根据该负荷情况就可以确定 将故障DPI设备上传输的数据流转移到哪个、或哪些DPI设备比较合适,既能保证数据流正 常传输,又能达到流量均衡优化。在实际应用中,如果网络中同时存在多个由DPI执行机构11、DPI联动信息控制中 心12和策略决策模块13组成的联动策略生成系统,那么,为了协调管理多个这样的联动策 略生成系统,图1中可进一步包括集中策略管理模块15,连接策略决策模块13,用于协调管 理一个以上所述联动策略生成系统,生成并下发相应的管理策略给其管辖范围内的策略决 策模块13。在实际应用中,图1所示系统还可以包括外部管理及决策系统14,为外部决策管 理系统,用于生成对DPI设备进行管理的策略,并将所生成的策略提供给策略决策模块13。对于增加集中策略管理模块15、和/或外部管理及决策系统14的情况,相应的, DPI设备联动策略管理子模块131,还用于接收来自集中策略管理模块15下发的各种策略, 和/或用于处理来自外部管理及决策系统14编辑和导入/导出的策略;之后结合所收到的各种策略进行综合分析,生成最终可执行的应用策略。这里,进行综合分析的各种策略信息 包括来自策略决策模块13的策略、来自集中策略管理模块15的策略和/或来自外部管理 及决策系统14的策略。这里,所述结合所收到的各种策略进行综合分析具体可以是策略决策模块13根 据DPI联动信息控制中心12所获取的信息制定相应策略;同时策略决策模块13接收集中 策略管理模块15发给的相应策略;之后,策略决策模块13会对自身制定的策略与接收到的 策略进行比较分析,确定最终可执行的应用策略。假如策略决策模块13制定的策略为对 某台DPI设备的某种应用流量如VOIP流量应控制在IOMbps ;而集中策略管理模块15所制 定的策略是限制其下所有DPI设备的VOIP流量在5Mbps,且集中策略管理模块15的策略优 先级高,因为集中策略管理模块制定的策略可能会涉及到全局多个联动策略生成系统;则 策略决策模块13综合分析后,根据决策的优先级将集中策略管理模块15制定的5Mbps应 用于相应DPI设备。本发明中,策略决策主要针对联动策略而言,因此,对于业务的识别及控制策略可 以根据外部管理及决策系统14所提供的信息执行;也可以由外部管理及决策系统14制定 相应的识别与控制的策略,根据优先级选用策略决策模块13的策略或外部管理及决策系 统14的策略。图2为本发明的具体实施例,本实施例中,策略生成子模块130包括关联识别控 制策略决策子模块132、流量分担联动策略决策子模块133、故障处理联动策略决策子模块 134三个子模块。图2中用不同填充方式表示不同类别的信息,这里是三类信息,分别用黑 色填充、斜线填充以及空白填充表示;相应的,DPI联动信息控制中心12到关联识别控制策 略决策子模块132的实线表示传输黑色填充的数据流;DPI联动信息控制中心12到流量分 担联动策略决策子模块133的虚线表示传输斜线填充的数据流;DPI联动信息控制中心12 到故障处理联动策略决策子模块134的点划线表示传输空白填充的数据流。如图2所示,DPI联动信息控制中心12从DPI执行机构11获取DPI设备的信息, 并将所获取的信息分类后分别上报策略决策模块13中相应策略决策子模块关联识别控 制策略决策子模块132、流量分担联动策略决策子模块133、故障处理联动策略决策子模块 134,各个策略决策子模块根据收到的相应信息生成自身的应用策略,并将自身生成的应用 策略上报DPI设备联动策略管理子模块131,DPI设备联动策略管理模块131对来自各个策 略决策子模块接收的策略决策信息进行综合分析,并最终决定产生可执行的应用策略下发 至DPI执行机构11,DPI执行机构11收到可执行的应用策略后,根据下发的应用策略对DPI 设备进行控制操作,比如转移数据流量、分担数据流量等。这里,所述综合分析是指DPI设备联动策略管理模块131要结合来自各个策略子 模块的策略信息,分析得出可执行的应用策略。比如DPI设备联动策略管理模块131收到 来自流量分担联动策略决策子模块133、故障处理联动策略决策子模块134的策略,其中, 流量分担联动策略决策子模块133的策略给出当前正常工作的各节点设备的网络拓扑结 构,故障处理联动策略决策子模块134的策略给出当前出现故障的节点设备并指出需要走 迂回路径,那么,DPI设备联动策略管理模块131收到这两个策略后,先根据故障处理联动 策略决策子模块134的策略确定哪个节点设备发生故障,再根据流量分担联动策略决策子 模块133的策略确定与该故障节点设备连接的上下游各节点设备、以及该上下游各节点设
9备之间连接的所有节点设备,之后根据路径选择算法从中选出合适的替换故障节点设备的 节点设备。可见,综合分析是结合来自各方面的策略信息才得出最终的应用策略;或是,从 几种同类策略中选出优先级高的、或较佳的、或最适合当前运行环境的策略作为最终可执 行的应用策略。结合具体应用举个例子来说,假设网络中有DPI1、DPI2、DPI3、DPI4四个DPI设备, 其中,四个DPI设备均支持P2P协议,且DPIl分别与DPI2、DPI3相连,DPI2、DPI3均连接 DPI4,从DPIl传输至DPI4的数据流经由DPI2传输。当DPI2发生故障时,首先,DPI联动信息控制中心12从DPI执行机构11获取DPI 设备的信息DPI1 DPI4均支持P2P协议;DPIl与DPI2、DPI3相连,DPI2、DPI3与DPI4相 连,且DPIl通过DPI2向DPI4传输数据;DPI4发生故障。然后,DPI联动信息控制中心12获得上述信息后,将这些信息分为三类DPI1 DPI4均支持P2P协议属于识别结果信息;DPI1、DPI2、DPI3、DPI4的连接关系,以及DPIl向 DPI4传输数据所走的路径属于路由信息;DPI4发生故障属于状态信息。之后,DPI联动信息控制中心12将识别结果信息上报关联识别控制策略决策子模 块132 ;将路由信息上报流量分担联动策略决策子模块133和故障处理联动策略决策子模 块134 ;将状态信息上报故障处理联动策略决策子模块134。关联识别控制策略决策子模块132、流量分担联动策略决策子模块133和故障处 理联动策略决策子模块134各自根据收到的信息生成自身的应用策略;其中,故障处理联 动策略决策子模块134收到路由信息和状态信息后,根据状态信息和路由信息生成自身的 策略决策将DPIl经由DPI2向DPI4传输的数据,转移至经由DPI3向DPI4传输。最后,故障处理联动策略决策子模块134将自身生成的策略决策上报DPI设备联 动策略管理模块131,DPI设备联动策略管理模块131经过综合分析,对于故障处理,将DPI 1 经由DPI3传输数据至DPI4作为最终可执行的应用策略,并下发此应用策略给DPI执行机 构11,DPI执行机构11根据收到的应用策略对DPIl DPI4进行控制处理,将DPIl发送 DPI4的数据经由DPI3传输。基于上述装置,本发明还提供了一种深度报文检测设备联动策略生成方法,该方 法的具体处理过程如图3所示,包括以下步骤步骤301 =DPI联动信息控制中心从DPI执行机构获取各个DPI设备的信息,上报 策略决策模块的策略生成子模块;这里,如果策略生成子模块中包括多个策略决策子模块,例如包括关联识别控 制策略决策子模块、流量分担联动策略决策子模块、故障处理联动策略决策子模块,则DPI 联动信息控制中心会将DPI设备信息分类后,上报策略生成子模块中的各个策略决策子模 块。其中,所述DPI设备的信息可为DPI设备的路由信息、和/或DPI设备的状态信息、和 /或DPI设备的识别结果信息、和/或DPI设备的流量信息、和/或DPI设备的关联信息。步骤302 策略生成子模块根据收到的相应信息生成各种应用策略,并将生成的 应用策略上报策略决策模块中的DPI设备联动策略管理子模块;这里,如果策略生成子模块由多个策略决策子模块组成,则各策略决策子模块各 自根据收到的相应信息生成自身的应用策略,上报DPI设备联动策略管理子模块。步骤303 =DPI设备联动策略管理子模块综合分析收到的各种应用策略,并最终形成可执行的应用策略,下发至DPI执行机构;这里,如果DPI设备联动策略管理子模块还连接集中策略管理模块、和/或外部管 理及决策系统;那么,所述最终形成可执行的应用策略为根据确定的一个以上应用策略, 并结合集中策略管理模块下发的策略信息、和/或外部管理及决策系统提供的策略信息生 成最终可执行的应用策略。步骤304 =DPI执行机构根据策略决策模块下发的最终可执行的应用策略,对各个 DPI设备执行相应控制操作。本步骤对于DPI设备联动策略生成方法来说是可选的。由上述处理过程可以看出采用本发明所提供的方法,可以有效综合网络中部署 的DPI设备信息以及业务状态等,进行相应策略决策的制定,进而有效的实现DPI设备识别 业务流量的优化均衡,以及单个DPI设备故障情况下数据流量的转移等功能。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在 本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护 范围之内。
1权利要求
一种深度报文检测设备联动策略生成系统,其特征在于,该系统包括深度报文检测DPI执行机构、DPI联动信息控制中心以及策略决策模块;其中,DPI执行机构,用于对业务流量进行识别与控制,还用于向DPI联动信息控制中心提供各DPI设备的信息;DPI联动信息控制中心,用于收集各DPI设备的信息,并将收集到的信息分类提供给策略决策模块;策略决策模块,用于从DPI联动信息控制中心收集DPI设备的信息,并根据收集的信息生成可执行的应用策略,再将所生成的应用策略下发给DPI执行机构。
2.根据权利要求1所述的深度报文检测设备联动策略生成系统,其特征在于,所述策 略决策模块包括DPI设备联动策略管理子模块、策略生成子模块;其中,所述DPI设备联动策略管理子模块,用于接收策略生成子模块上报的应用策略, 根据上报的应用策略生成可执行的应用策略并下发DPI执行机构;所述策略生成子模块,用于接收DPI联动信息控制中心上报的各种DPI设备信息,根据 收到的DPI设备信息生成各种策略,并将生成的策略提供给DPI设备联动策略管理子模块。
3.根据权利要求2所述的深度报文检测设备联动策略生成系统,其特征在于,所述DPI 设备的信息包括但不限于DPI设备的路由信息、DPI设备的状态信息、DPI设备的识别结果 信息、DPI设备的流量信息、DPI设备的关联信息;所述策略生成子模块包括关联识别控制策略决策子模块、流量分担联动策略决策子模 块、故障处理联动策略决策子模块中的任意一个或多个。
4.根据权利要求2所述的深度报文检测设备联动策略生成系统,其特征在于,所述策 略生成子模块包括关联识别控制策略决策子模块、流量分担联动策略决策子模块和故障处 理联动策略决策子模块;所述关联识别控制策略决策子模块,用于从DPI联动信息控制中心获取DPI设备的关 联信息,根据获取的关联信息进行相应控制决策,并将自身生成的控制策略上报DPI设备 联动策略管理子模块;所述流量分担联动策略决策子模块,用于从DPI联动信息控制中心获取DPI设备的流 量信息,根据获取的流量信息进行流量分担策略决策,并将自身产生的流量分担策略上报 DPI设备联动策略管理子模块;所述故障处理联动策略决策子模块,用于从DPI联动信息控制中心获取DPI设备的状 态信息,根据获取的状态信息进行故障处理策略决策,并将自身产生的故障处理策略上报 DPI设备联动策略管理子模块。
5.根据权利要求4所述的深度报文检测设备联动策略生成系统,其特征在于,该系统 进一步包括集中策略管理模块,用于协调管理一个以上所述联动策略生成系统,生成并下 发相应管理策略给其管辖范围内的策略决策模块;相应的,DPI设备联动策略管理子模块还用于接收集中策略管理模块下发的策略;之 后结合所收到的策略分析生成可执行的应用策略。
6.根据权利要求4或5所述的深度报文检测设备联动策略生成系统,其特征在于,该系 统进一步包括外部管理及决策系统,用于生成对DPI设备进行管理的策略,并将所生成的 策略提供给策略决策模块;相应的,DPI设备联动策略管理子模块还用于接收来自外部管理及决策系统编辑和导 入/导出的策略;之后结合所收到的策略分析生成可执行的应用策略。
7.一种深度报文检测设备联动策略生成方法,其特征在于,该方法包括获取各DPI设备的信息,根据所获取的信息确定不同的应用策略,之后再根据确定的 一个以上应用策略生成可执行的应用策略并下发。
8.根据权利要求7所述的深度报文检测设备联动策略生成方法,其特征在于,所述获 取各DPI设备的信息为将获取的各DPI设备的信息分类上报策略决策模块中的各策略决 策子模块;相应的,所述根据所获取的信息确定不同的应用策略为各策略决策子模块根据收到 的信息生成自身的应用策略,并将生成的应用策略上报策略决策模块中的DPI设备联动策 略管理子模块;所述生成可执行的应用策略并下发为DPI设备联动策略管理子模块根据上报的应用 策略生成执行的应用策略并下发DPI执行机构。
9.根据权利要求7或8所述的深度报文检测设备联动策略生成方法,其特征在于,所 述DPI设备的信息包括但不限于DPI设备的路由信息、DPI设备的状态信息、DPI设备的识 别结果信息、DPI设备的流量信息、DPI设备的关联信息。
10.一种深度报文检测设备联动策略生成方法,其特征在于,该方法包括获取各DPI设备的信息,根据所获取的信息确定不同的应用策略,之后根据确定的一 个以上应用策略,并结合集中策略管理模块、和/或外部管理及决策系统提供的策略信息 生成可执行的应用策略并下发。
11.根据权利要求10所述的深度报文检测设备联动策略生成方法,其特征在于,所述 获取各DPI设备的信息为将获取的各DPI设备的信息分类上报策略决策模块中的各策略 决策子模块;相应的,所述根据所获取的信息确定不同的应用策略为各策略决策子模块根据收到 的信息生成自身的应用策略,并将生成的应用策略上报策略决策模块中的DPI设备联动策 略管理子模块;所述生成可执行的应用策略并下发为DPI设备联动策略管理子模块根据上报的应用 策略、集中策略管理模块下发的策略信息和/或外部管理及决策系统生成的策略,分析生 成可执行的应用策略,并下发DPI执行机构。
12.根据权利要求10或11所述的深度报文检测设备联动策略生成方法,其特征在于, 所述DPI设备的信息包括但不限于DPI设备的路由信息、DPI设备的状态信息、DPI设备的 识别结果信息、DPI设备的流量信息、DPI设备的关联信息。
全文摘要
本发明公开了一种深度报文检测设备联动策略生成系统,包括深度报文检测(DPI)执行机构、DPI联动信息控制中心以及策略决策模块;其中,DPI执行机构,用于对业务流量进行识别与控制,向DPI联动信息控制中心提供DPI设备的信息;DPI联动信息控制中心,用于管理DPI设备的注册、设备信息的收集与维护,并将收集到的信息分类提供给策略决策模块;策略决策模块,用于从DPI联动信息控制中心收集DPI设备的各类信息,并根据收集的信息生成可执行的应用策略,再将所生成的应用策略下发给DPI执行机构。本发明还同时公开了深度报文检测设备联动策略生成方法,采用本发明能实现对分散的DPI设备及信息集中管理与分析。
文档编号H04L12/56GK101883016SQ200910083189
公开日2010年11月10日 申请日期2009年5月5日 优先权日2009年5月5日
发明者宋晓丽, 杨波 申请人:中兴通讯股份有限公司