[发明专利]基于分流定向的旁路式流量检测模型

说明书

技术领域

本发明涉及一种网络监控领域，具体地说是一种网络流量检测，特别是深度检测与内容识别技术的基于分流定向的旁路式流量检测模型，。

背景技术

网络流量检测是互联网安全监控和网络流量控制的基础，多年来业界提出了各种算法和解决方案，这些技术主要是针对网络流量本身的，通过识别流量本身的外部特征和组成特点来判断其类型，而对于网络流量检测系统的工作流程和架构技术研究的相对较少。目前流行的各种防火器墙、入侵检测系统、安全网关等设备，主要工作方式是通过对网络流量的直接检测分析，进而做出吸纳供应的处理。这种工作方式对于高速、海量的网络流量，不仅普遍存在结构性性能瓶颈，而且升级困难，升级代价昂贵。为解决这一问题，本发明提出了一种基于流量分类预处理(分流定向)的并行检测模型，基于此模型的检测系统，不仅可较容易地实现高性能，而且能够十分方便地实现较理想的线性扩展升级。

发明内容

本发明的目的是提供一种基于分流定向的旁路式流量检测模型。

本发明的目的是按以下方式实现的，包括分流器、流定向分配器、流检测器、异常告警器和异常汇集器，通过对流量分类预处理、分流定向，实现多检测器并行检测，发现异常则发出告警信息，并将异常流量或数据集中处理，处理步骤如下：

1)分流器负责从被检流量中拷贝出完全相同的待检流量；

2)流定向分配器根据各种流量成分的外部特征，将流量分成一系列类型，包括音频流、视频流、普通数据流、特殊流或控制流、协议、信令、内容流、辅助流，分类的规则和标准根据实际需要设定，不同类型的流被分到不同类型的“管道”中；

3)不同类型的流管道接到不同的流检测器，流检测器对发送来的分类流量进行专项检测，包括深度特征检测、内容检测，检测的算法和标准根据需要进行配置，检测出异常流或分组，包括网络攻击、不良信息时，发出异常告警，告警的类型根据需要设定，并将异常分组送到异常汇集器；

4)异常告警器负责寄存各检测器发来的告警信息；异常汇集器负责寄存各检测器发来异常流量和数据包，检测出的告警和数据包由另外的装置或系统集中处理。

本发明的优异效果是：

1)专门设立的流分类定向器，据此可以对流量进行分类、分流、均衡，从而保证了各检测器高性能并行检测，实现快速高效处理。

2)该模型的检测部分——流定向器和检测器，具有树形结构，可以很方便地在流定向器之后进行级联迭代(将分流出的流量作为下一级的被检流量，对该流量继续实施本发明所提出的方式的检测处理，从而实现更大规模的处理能力。

3)对于各检测器检出的异常流量，同一汇集到异常汇集器集中处理模式。

4)基于本发明的各类软硬件系统或产品。

5)本发明的权利要求不涉及各主要部件的内部技术细节。

附图说明

图1是基于分流定向的流量检测器结构模型。

具体实施方式

参照说明书附图对本发明的作以下详细地说明。

本发明的基于分流定向的旁路式流量检测模型，是针对网络流量检测和内容识别，设计一种用于高性能并行检测处理系统的结构模型，该模型包括分流器、流定向分配器、流检测器、异常告警器和异常汇集器，通过对流量分类预处理、分流定向，实现多检测器并行检测，发现异常则发出告警信息，并将异常流量或数据包集中处理。详细工作原理如下(参见图1.)：

1)分流器负责从被检流量中拷贝出完全相同的待检流量；

2)流定向分配器根据各种流量成分的外部特征，将流量分成一系列类型，如音频流、视频流、普通数据流、特殊流，或控制流(协议和信令)、内容流、辅助流，等等。分类的规则和标准可以根据实际需要设定。不同类型的流被分到不同类型的“管道”中(同一类型的流量可能被分到一组管道中)；

3)不同类型的流管道接到不同的流检测器，流检测器对发送来的分类流量进行专项检测，如深度特征检测、内容检测等。检测的算法和标准可以根据需要进行配置。检测出异常流或分组(如网络攻击、不良信息等)时，发出异常告警(告警的类型可根据需要设定)，并将异常分组送到异常汇集器；

4)异常告警器负责寄存各检测器发来的告警信息；异常汇集器负责寄存各检测器发来异常流量和数据包。检测出的告警和数据包由另外的装置或系统处理。