专利名称:一种高速并行网络协议与应用分析方法
技术领域:
本发明是一种对网络中的传输数据进行分析的方法,可用于内容审计、内容过滤
以及网络访问控制等领域。
背景技术:
目前,在访问控制、内容过滤、内容审计以及网络安全等领域中,需要对网络使用 情况和网络数据进行监控。网络监控设备按照应用协议对网络数据进行分类、识别,并可记 录数据内容及按照特定规则对会话进行控制。通常,监控设备都部署在网络出口处,设备上 运行一个数据分析引擎实现上述功能。因此,在大流量的网络环境中,需要尽可能的减少丢 包率,使监控设备可以记录下更多更完整的数据。数据分析引擎本身的处理能力成为了设 备性能的瓶颈。 通常情况下,数据分析引擎从操作系统的协议栈中获取数据包。在获取数据包之 前,协议栈首先对整个数据流进行数据流重组等操作,然后再将数据包交给分析引擎顺序 处理。这样的话,协议栈必须对所有流经的数据进行上述操作,存在下列缺点
1.由于数据分析引擎只是针对特定的会话进行内容分析,因此数据流重组等操作 只需要针对特定会话; 2.监控设备一般都会设置匹配规则,不符合规则的会话也不应该进行数据流重组 等操作; 3.协议栈的串行操作延缓了上层的应用数据处理。
发明内容
本发明的目的在于使用一种高速并行的应用分析方法,针对上述缺点对数据分析 引擎进行改进,提高大流量网络环境中的监控设备的数据分析引擎的性能。
实现本发明的技术方案包括如下步骤
1.数据获取直接从网络接口获取原始数据; 2.会话管理根据数据包的地址和协议信息查找会话节点,未找到则生成会话节 点信息;会话节点中至少包含以下信息源/目的MAC地址、源/目的IP地址、传输层协议、 源/目的端口、会话动作(通过/拒绝); 3.监控匹配按照设定规则对新建会话节点进行匹配,并执行相应的动作;如果 不是新建节点,则直接执行相应的动作; 4.应用分析针对会话的数据流重组,并进行相应的应用数据分析。 —种高速并行网络协议与应用分析方法,用于网络监控设备的数据分析引擎,包
括 用于获取数据包的数据获取模块;
用于管理应用会话信息的会话管理模块;
用于匹配监控规则的监控匹配模块;
3
用于处理应用数据的应用分析模块; 由数据获取模块从网络接口获取原始数据包,然后从会话管理模块获取相应的会
话信息;监控匹配模块匹配新建的会话信息,并设置会话的处理动作;多个应用协议分析
模块并行处理应用数据。 该方法的先进之处在于 1.针对会话进行监控匹配,减少了数据包的监控规则匹配次数;
2.预先对会话进行监控匹配,避免了多余的数据流重组处理;
3.多个应用协议分析模块进行并行处理,提高了数据处理的效率。
图1是本发明的处理流程图。
具体实施例方式
如图1所示,一种高速并行网络协议与应用分析方法,包括如下步骤
1.数据获取直接从网络接口获取原始数据; 2.会话管理根据数据包的地址和协议信息查找会话节点,未找到则新建会话节 点;会话节点中至少包含以下信息源/目的MAC地址、源/目的IP地址、传输层协议、源/ 目的端口、会话动作(通过/拒绝); 3.监控匹配按照设定规则对新建会话节点进行匹配,并执行相应的动作;如果 不是新建节点,则直接执行相应的动作; 4.应用分析针对会话的数据流重组,并进行相应的应用数据分析。
权利要求
一种高速并行网络协议与应用分析方法,用于网络监控设备的数据分析引擎,其特征在于包括用于获取数据包的数据获取模块;用于管理应用会话信息的会话管理模块;用于匹配监控规则的监控匹配模块;多个用于处理应用数据的应用分析模块;由数据获取模块从网络接口获取原始数据包,然后从会话管理模块获取相应的会话信息;监控匹配模块匹配新建的会话信息,并设置会话的处理动作;多个应用协议分析模块并行处理应用数据。
2. 根据权利要求1所述的一种高速并行网络协议与应用分析方法,其特征在于从网 络接口获取原始数据包,而不经过操作系统的协议栈。
3. 根据权利要求1所述的一种高速并行网络协议与应用分析方法,其特征在于使用 会话管理模块对数据流进行管理,按照数据流进行监控匹配。
4. 根据权利要求1所述的一种高速并行网络协议与应用分析方法,其特征在于使用 多个应用分析模块,对数据进行并行处理。
5. —种高速并行网络协议与应用分析方法,其特征在于包含如下步骤1) 数据获取直接从网络接口获取原始数据;2) 会话管理根据数据包的地址和协议信息查找会话节点,未找到则新建会话节点; 会话节点中至少包含以下信息源/目的MAC地址、源/目的IP地址、传输层协议、源/目 的端口、会话动作(通过/拒绝);3) 监控匹配按照设定规则对新建会话节点进行匹配,并执行相应的动作;如果不是 新建节点,则直接执行相应的动作;4) 应用分析针对会话的数据流重组,并进行相应的应用数据分析。
全文摘要
本发明涉及高速并行网络协议与应用分析方法。本发明是一种对网络中的传输数据进行分析的方法,可用于内容审计、内容过滤以及网络访问控制等领域。直接从网络接口获取原始数据,通过会话管理模块获取会话信息;针对会话进行监控匹配处理后,由多个应用分析模块对应用数据进行并行处理。该方法提高了网络监控设备的数据分析引擎的工作效率。
文档编号H04L12/26GK101771569SQ20101000049
公开日2010年7月7日 申请日期2010年1月15日 优先权日2010年1月15日
发明者尹志超 申请人:莱克斯科技(北京)有限公司