[发明专利]网络业务管控系统

说明书

（一）、技术领域：本发明涉及一种网络业务管控系统，特别是涉及一种单节点、交换节点和网络化网络业务管控系统。

（二）、背景技术: 目前，互联网正在经历突飞猛进的发展，业务承载多元化已成为网络发展的主流趋势之一，特别是近年来，随着互联网承载业务的多样化，原先单纯按照数据通信任务而设计的互联网已经显得越来越不堪重负，造成了现在互联网中出现了P2P应用泛滥、计费手段缺失、流量管理粗放、内容监管困难、行为无法审计等网络运营、监管和安全方面的突出问题，对网络业务管控系统提出新的挑战。

管控系统是一类网络安全防护装置的总称，包括网络业务管控节点装置、防火墙、路由器、交换机和入侵检测系统等。

业务管控作为一种新的互联网管控趋势，近年来已经成为互联网研究领域的新热点，然而，迄今为止，还未有成熟的业务管控系统体系结构推出。现今的深度数据包检测（DPI）设备大都是基于路由器的体系结构实现，沿袭了路由平面、转发平面的传统设计思路，虽然略具业务管控系统的体系结构特征，但在业务管控的开放性和可扩展性上却存在明显不足。目前，国内外有不少实现联动的网络安全管理平台，如Check Point公司的OPSEC安全联动平台、天融信公司的TOPSEC平台和中科网威自有的安全联动解决方案等都是较为著名的实现方案。

上述平台的联动方式通常是以某种管控装置（通常是防火墙）为中心，外围是支持联动协议的管控装置（通常是入侵检测系统），其管控范围通常局限在单个网络节点范围内，例如在企业网入口处实现防火墙和入侵检测系统之间实现简单的设备联动，仅仅建立了多个设备之间的安全联动互操作机制，而没有上升到全网范围安全管控的层次。其次，防火墙与入侵检测的联动由于入侵检测系统误报较多，且缺乏关联与归并，常常造成防火墙的错误联动，阻断正常的网络通信。至目前为止，并无支持“网络化”管控的成熟体系结构提出。

为了适应网络技术的发展，网络业务管控系统的发展趋势主要有以下几个方面：

● 适应网络的高速化发展。以各种不同的应用为驱动，互联网正朝着高速化的方向发展：光传输链路代替了传统的电传输链路，骨干链路速率已从OC-48提升到OC-192或OC-768。原来基于软件的网络业务管控算法由于其在计算速率上的限制已经完全不能适应现阶段骨干网甚至普通边缘网络的处理需求，因此，为了适应网络的高速化发展，随着FPGA、TCAM等大规模高速逻辑器件在目前网络处理系统中的广泛应用，基于全硬件化的IP业务分组处理平台将是网络业务管控的必然发展趋势。

● 支持基于深度流检测（DFI）的业务识别技术。随着各种未知业务以及加密类业务的不断涌现，深度数据包检测技术已经变得无能为力。DFI技术完全不用关心应用层载荷内容，更关注于网络流量特征的通用性，可识别加密业务流，并且计算开销和存储开销小，算法识别性能高，是DPI技术的有效补充和扩展。

● 支持全网部署、全网管控。面对当前业务管控在空间分布和功能协同等方面的挑战，单点部署、单一功能的业务管控节点无法满足全网管控的要求，必须对业务管控设备进行全网部署，与网络管理等系统实现联动，最终实现业务的全网管控。基于域的分层策略管理，对联动协议和联动管控信息库进行标准化，是全网业务管控的发展方向。

● 支持综合性增殖服务。网络业务管控系统可以在骨干链路上根据实际的应用需求，提供带宽资源优化、精细化流量管理、大客户业务带宽定制和私密数据保护、用户行为分析以及内容推送等综合性的增殖服务。比如：系统支持以用户群体整体作为对象进行统计分析，统计总体流量趋势、流量流向、使用业务、使用协议端口、访问Web分类喜好、访问网站排名；系统支持利用DNS域名解析重定向以及在用户数据中按照指定策略插入数据等多种形式，允许ISP在不影响用户正常使用网络的情况下，隐性的推送广告数据等。

因此，面对当前业务管控在处理速率和功能协同等方面的挑战，不能再从传统的围绕IDS和防火墙来完成的单个管控装置或单个管控范围来考虑业务管控，管控装置必须基于全硬件化的IP业务分组处理平台、支持基于DFI的业务识别技术、可全网部署、多点联动、支持用户行为分析等增殖服务。

（三）、发明内容：本发明要解决的技术问题是：克服现有技术的缺陷，提供一种开放式、可扩展的网络业务管控系统，该网络业务管控系统用于解决网络审计、监管和安全问题。