[发明专利]一种多分析系统分流的方法和设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种多分析系统分流的方法和设备。 

背景技术

随着互联网应用的极大普及，互联网的用户数、网络内容与流量持续增长。互联网的应用在为设备发展带来诸多有益效果的同时，也突出了保障信息安全的重要性和迫切性，如果不能对互联网进行有效管理和监控，将会给国家、企业、个人的网络安全带来巨大危害，分流系统就是在此背景下应运而生，成为有效的数据网合法监听方案。 

如图1所示，分流设备通过分光器接入到用户的骨干网中，由于该接入方式为并联接入，不影响原有网络流量。当接收到从前级设备分光或镜像过来的流量时，分流设备根据预先配置的ACL(Access Control List，访问控制列表)规则进行匹配和动作：对不匹配任何ACL规则的报文直接丢弃，对匹配ACL规则的报文重定向到均衡组，在均衡组各端口之间以负载分担方式输出。这样就完成一个流量的引入、分流以及负载分担，供后级设备，例如服务器对流量进行检测分析和监视。 

图1中，安全监控系统、绿色上网系统等多个分析系统根据自身业务要求完成相应的流量分析；从业务层面来看，系统间分析流量可能存在交叉的情况，即一份流量需要同时被多个系统进行分析，而这些分析系统由不同部门进行管理并分布在不同的分析服务器上，这就需要提供多分析系统分流，即多用户分流的功能。 

在部署上述多分析系统分流功能时，现有技术在分流设备引流前再增加一个分光器，如图2所示，基于光学原理复制需要多个系统分析的流量，并将分光后的信号分别接入到分流设备的不同物理端口，作为引流输入接口，在该接口上部署用户的分流策略，完成多分析系统分流功能部署。 

但是，二次分光后的每份流量对应一个输入物理端口，这样端口数目取决于多分析系统的个数，例如：在4分析系统中，需要使用4个物理端口，比原有的分流设备要多占用3个物理端口，在端口密度要求很高的分流设备中，既占用了宝贵的端口资源，又大大增加了设备成本。而且，分光器基于光信号复制，无法实现流量按规则匹配并复制，因此分光器复制所有流量并向各个分析系统发送，导致每一分析系统接收所有流量，但是每一分析系统实际需要进行分析的流量只是总流量的一部分，大量无用的流量占用了分析系统的带宽资源，降低了分析系统的流量处理能力。同时，在二次引入分光器后光信号衰减很大，可能导致分流设备无法正确识别信号太弱的报文信息。 

发明内容

本发明提供了一种多分析系统分流的方法和设备，低成本、高效完成多分析系统的分流处理。 

为了实现这一目的，本发明提供一种多分析系统分流的方法，应用于包括分流设备和多个分析系统的分流系统中，所述分流设备中预先存储目的分析系统为多个的流量的标识信息，该方法包括： 

所述分流设备将接收到的流量中携带的标识信息匹配所述存储的流量的标识信息； 

匹配成功时，所述分流设备根据所述流量对应的目的分析系统的个数复制所述流量，并在复制后的每一流量中添加该流量对应的目的分析系统的标记； 

所述分流设备根据复制后的每一流量携带的流量标识信息与目的分析系统的标记，匹配该流量对应的目的分析系统的分流方式； 

匹配成功时，所述分流设备根据所述目的分析系统的分流方式获取向所述目的分析系统发送所述复制后的流量的出端口，并通过所述出端口发送所述复制后的流量； 

其中，每一分析系统包括多个分析服务器，所述分流设备的多个出端口分别连接所述分析系统的多个服务器。 

所述分流设备根据所述复制后的流量中携带的所述目的分析系统的标记，将所述复制后的流量向对应的目的分析系统发送。 

所述分流设备根据所述流量对应的目的分析系统的个数复制所述流量包括： 

所述分流设备在所述流量中添加多分析系统复制标记、以及复制份数，所述复制份数与所述流量对应的目的分析系统的个数相同； 

所述分流设备识别所述多分析系统复制标记，进一步根据所述复制份数复制所述流量。 

所述分流设备在复制后的每一流量中添加该流量对应的目的分析系统的标记具体为： 

所述分流设备随机在多个目的分析系统的标记中选择尚未分配的标记添加到所述流量中；或者预先设置多个目的分析系统的标记的优先级，所述分流设备将尚未分配的优先级高的标记添加到所述流量中。 

所述分流设备根据所述复制后的流量中携带的所述目的分析系统的标记，将所述复制后的流量向对应的目的分析系统发送包括：