[发明专利]一种实现网络流量清洗的方法及系统

说明书

技术领域

本发明涉及计算机网络技术，特别是指一种实现网络流量清洗的方法及系统。

背景技术

随着互联网业务种类和业务量的迅猛发展，网络中的垃圾流量(如无任何意义或用处的流量、或恶意攻击的流量)也在逐渐增多，承载网络越来越不堪重负，经常会出现拥塞、带宽不足的情况，导致这种情况出现的一个非常重要的原因就是网络中存在很多异常的网络流量，如恶意攻击的网络流量、非授权的网络流量、非法的点对点(P2P，Peer-to-Peer)网络流量等，此时，对异常的网络流量进行清洗就成为一项非常重要的处理操作。目前，逐包检测的网络流量清洗方式对通信系统和检测设备的要求都非常高，并且处理效率较低，然而，清洗所针对的网络流量是非常大的，因此，现有的网络流量清洗方式根本无法满足骨干网等大流量应用场合的网络流量清洗需要。

发明内容

有鉴于此，本发明的主要目的在于提供一种实现网络流量清洗的方法及系统，有效提高网络流量清洗效率。

为达到上述目的，本发明的技术方案是这样实现的：

一种实现网络流量清洗的方法，该方法包括：

深度流检测DFI设备根据流量检测模板对网络流量进行检测，向深度报文检测DPI设备发送可疑的网络流量；

DPI设备根据识别模板对可疑的网络流量进行检测，根据控制策略清洗异常的网络流量。

该方法还包括：

控制中心向DFI设备下发设置的流量检测模板，DFI设备对收到的流量检测模板进行存储；和/或，

控制中心向DPI设备下发设置的识别模板和控制策略，DPI设备对收到的识别模板和控制策略进行存储。

所述DFI设备根据流量检测模板对网络流量进行检测之后，还包括：DFI设备将正常的网络流量注入传输链路进行传输；和/或，

所述DPI设备根据识别模板对可疑的网络流量进行检测之后，还包括：DPI设备将正常的网络流量注入传输链路进行传输。

所述根据流量检测模板对网络流量进行检测，包括：将网络流量的特征与存储的流量检测模板进行比较，确定网络流量的特征异常时，确定对应网络流量为可疑的网络流量。

所述根据识别模板对可疑的网络流量进行检测，包括：根据识别模板对可疑的网络流量进行深度报文检测，识别网络流量的具体应用，确定网络流量是否异常。

一种实现网络流量清洗的系统，包括：

DFI设备，用于根据流量检测模板对网络流量进行检测，向DPI设备发送可疑的网络流量；

DPI设备，用于根据识别模板对可疑的网络流量进行检测，根据控制策略清洗异常的网络流量。

所述系统进一步包括：控制中心，用于向DFI设备下发设置的流量检测模板；和/或，用于向DPI设备下发设置的识别模板和控制策略。

所述流量检测模板或所述识别模板是：静态设置的，或根据当前所需动态设置的。

所述DFI设备还用于将正常的网络流量注入传输链路进行传输；和/或，所述DPI设备还用于将正常的网络流量注入传输链路进行传输。

本发明方案中，将DFI技术与DPI技术相结合，从而很好地解决了网络流量清洗中检测的完整性与清洗效率之间的矛盾，并且兼顾了检测效率与准确性，能够满足海量数据的网络流量清洗需要，大大提高了网络流量清洗效率。

另外，本发明方案中所涉及的流量检测模板可以与现有的流量检测模板相同，因此本发明方案在有关流量检测模板的有关实现中并不需要频繁升级流量检测模板，大大降低了网络流量清洗的维护成本。

附图说明

图1为本发明中实现网络流量清洗的系统结构示意图；

图2为本发明中实现网络流量清洗的流程示意图。

具体实施方式

深度报文检测(DPI，Deep Packet Inspection)技术与深度流检测(DFI，Deep Flow Inspection)技术是对异常的网络流量进行识别的两种主要方式。其中，DPI技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术；与DPI技术进行应用层的载荷匹配不同，DFI技术采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。