[发明专利]用于实现深度包检测优化的方法、装置和系统

说明书

本发明公开了一种用于实现深度包检测优化的方法、装置和系统，涉及云计算领域。其中方法包括：深度包检测前端设备在通过网络接收到数据报文后，在规则表中查询是否存在与数据报文相对应的策略规则；若未查询到与数据报文相对应的策略规则，则向规则控制器发送策略请求，以便规则控制器下发与数据报文相对应的策略规则；在接收到策略规则后，将策略规则写入规则表中；利用与数据报文相对应的策略规则对数据报文进行处理。本发明通过引入SDN技术，以数据流为单位对需要进入DPI检测的流量流向进行控制，减少需要检测的数据包数量，实现了DPI功能的按需部署，避免了现有技术中DPI设备随机丢弃数据包造成的解析不精确的问题。

技术领域

本发明涉及云计算领域，尤其涉及一种用于实现深度包检测优化的方法、装置和系统。

背景技术

DPI(Deep Packet Inspection，深度包检测)技术是一种基于网络协议栈应用层信息的流量检测和控制技术。其中，其对数据包的检测“深度”是相对于普通的报文分析层次相比较而言的。“普通报文检测”通常仅分析网络协议栈4层以下的内容，主要包括源地址、目的地址、源端口、目的端口以及协议类型，而DPI除了对上述这些层次的信息进行分析外，还增加了对应用层信息的分析，进而识别各种应用及其具体内容。

随着混合云(Hybrid Cloud)、虚拟私有云(Virtual Private Cloud，VPC)等创新云服务对于数据中心网络功能按需部署需求的日益增加，DPI也正在成为公有云服务中需要为客户灵活交付的服务能力。然而，现有的DPI设备一般部署在数据中心网络的出口，通过镜像方式将所有的网络流量导入到DPI设备。DPI过程对于性能有极高的要求，软件设备很难承担相应工作，如果为租户引入专属硬件又需要付出高昂的代价。同时，当网络流量过大时，DPI设备可能会无法承担全部流量的数据解析工作，只好将一部分流量做随机的丢弃处理，这就导致了DPI解析结果不精确。这是目前需要亟待解决的问题之一。

发明内容

本发明的发明人发现了上述现有技术中存在问题，并因此针对上述问题中的至少一个问题提出了一种新的技术方案。

根据本发明的一个方面，提供了一种用于实现深度包检测优化的方法，包括：

深度包检测前端设备在通过网络接收到数据报文后，在规则表中查询是否存在与数据报文相对应的策略规则，其中规则表中包括的策略规则由规则控制器下发；

若未查询到与数据报文相对应的策略规则，则深度包检测前端设备向规则控制器发送策略请求，以便规则控制器下发与数据报文相对应的策略规则；

深度包检测前端设备在接收到规则控制器下发的与数据报文相对应的策略规则后，将接收到的与数据报文相对应的策略规则写入规则表中；

深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。

在一个实施例中，若查询到与数据报文相对应的策略规则，则深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理。

在一个实施例中，还包括：深度包检测前端设备根据转发报文数计算当前的处理能力；

深度包检测前端设备根据规则控制器下发的最大转发能力信息，判断当前处理能力是否超过预设的最大转发能力；

若当前处理能力超过预设的最大转发能力，则深度包检测前端设备向规则控制器发送超过最大处理能力上报信息，以便规则控制器增加丢弃报文策略规则；

深度包检测前端设备在接收到规则控制器下发的丢弃报文策略规则后，将接收到的丢弃报文策略规则写入规则表中。

在一个实施例中，深度包检测前端设备利用与数据报文相对应的策略规则对数据报文进行处理的步骤包括：