本发明专利技术公开了一种串行接入的高速骨干网络流量采集与监控方法,目的是解决目前监控方法不能对网络流量进行实时管控的缺点。技术方案是先改进输入卡,输入卡中增加报文复制模块、串行处理通道,第二采样模块;串行处理通道由流模块和第一采样模块组成,流模块决定对某条流的报文阻断、全部输出或者采样输出;接着修改交换控制卡中控制软件的初始化输入卡程序,由该程序对流量采集与监控系统所有卡进行初始化;采用输入卡对核心骨干网流量进行采集与监控。本发明专利技术是串行处理通道和并行处理通道协同对网络流量进行采集和监控的方法,能对网络流量进行实时的控制,并能实时上传流量控制规则,发现有害信息时能立即阻止其传播。
【技术实现步骤摘要】
【技术保护点】
1.一种串行接入的高速骨干网络流量采集与监控方法,其特征在于包括以下步骤:第一步,改进输入卡,输入卡中增加报文复制模块、串行处理通道,在输入卡并行处理通道中增加第二采样模块;报文复制模块与受监控的高速骨干网相连,将从受监控高速骨干网过来的报文复制一份,将进来的报文送入串行处理通道,将复制的报文送入并行处理通道;串行处理通道由流模块和第一采样模块组成;流模块与报文复制模块、第一采样模块及受监控高速骨干网相连,流模块是一个控制逻辑,决定对某条流的报文阻断、全部输出或者采样输出;第一采样模块与流模块、交换控制卡及受监控高速骨干网相连,采用第一采样算法对从流模块传来的报文执行报文阻断或采样输出;并行处理通道由五元组加关键字模块和第二采样模块组成,五元组加关键字模块与报文复制模块相连,该模块对从报文复制模块来的报文进行规则匹配,确定将报文丢弃还是转发给第二采样模块,第二采样模块与五元组加关键字模块和交换控制卡相连,采用第二采样算法对从五元组加关键字模块来的报文进行丢弃或采样输出到交换控制卡;流模块由流控制单元、流规则表及流业务统计表组成;流规则表与流业务统计表都与流控制单元相连,流规则表表项个数N根据存储空间大小确定,每一个表项即是一条流规则,流规则由规则ID、业务ID、信息域和处理域组成,信息域包括源IP即sip、目的IP即dip、源端口即sport、目的端口即dport、协议即pro,这五个元素简称为fiveEle,处理域指抽样粒度即samRate,即对某条流的报文抽样的比例;流业务统计表表项个数M根据受监控高速骨干网络业务种类数目确定,该表包括业务ID即proId和报文数即packets两个域;proId指每类业务的ID号,packets指属于此类业务的报文数;proId由控制软件按递增的顺序初始化,报文数由流控制单元填写;流控制单元由第一取信息模块、第一改报文头模块及第一更新统计模块组成,第一取信息模块与报文复制模块、流规则表、第一改报文头模块、第一更新统计模块及受监控高速骨干网相连;第一改报文头模块与第一取信息模块及第一采样模块相连;第一更新统计模块与第一取信息模块及流业务统计表相连;第一取信息模块从报文复制模块获得报文后,先提取报文的fiveEle,将fiveEle与流规则表中的流规则逐条进行匹配,如果fiveEle与流规则表某个表项信息域sip、dip、sport、dport、pro一致,则报文匹配成功,第一取信息模块提取该表项业务ID及处理域samRate,将报文和samRate发送给第一改报文头模块,将业务ID发送给第一更新统计模块;第一更新统计模块根据业务ID号查找流业务统计表的proId,当proId等于业务ID时,更新流业务统计表中该表项的packets;第一改报文头模块修改报文头部信息,将samRate加到报文头部,并将加了samRate的报文发送给第一采样模块;如果第一取信息模块提取报文fiveEle后没有与流规则表匹配成功,则将该报文直接输出到受监控高速骨干网络;输入卡串行处理通道的第一采样模块是一个采样控制逻辑,第一采样模块从流模块接收添加了samRate的报文,提取samRate,根据samRate对报文采取控制,方法是:如果samRate为0,则阻断报文即报文不再往后发送;如果samRate为15,则发送报文;如果samRate大于0且小于15,则提取报文IP头的ID即16位的IP头标识符,如果ID的最低四位ID_low4小于samRate,则发送报文,否则,阻断该报文。对输入卡并行处理通道的五元组加关键字模块也进行了改进,五元组加关键字模块由控制逻辑、五元组加关键字规则表及五元组加关键字业务统计表组成,五元组加关键字规则表与五元组加关键字业务统计表都与控制逻辑相连。控制逻辑由第二取信息模块、第二改报文头模块及第二更新统计模块组成,第二取信息模块与报文复制模块、五元组加关键字规则表、第二改报文头模块、第二更新统计模块相连;第二改报文头模块与第二取信息模块及第二采样模块相连;第二更新统计模块与第二取信息模块及五元组加关键字业务统计表相连。五元组加关键字规则表每一个表项是一条五元组加关键字规则,五元组加关键字规则由规则ID、业务ID、信息段和处理段四个域组成,规则ID、业务ID与流规则中的规则ID、业务ID一样,信息段包括sip、dip、sport、dport、pro和关键字sig,处理段包括流标志stream、抽样粒度samRate、MAC索引macInd、转发端口port、转发卡号card五项内容,五元组加关键字规则表通过交换控制卡上的控制软件配置;第二取信息模块将报文fiveEle和关键字sig即报文内容最前面前16个字节提取后与五元组加关键字规则表进行匹配,若匹配规则成功,第二更新业务统计模块根据...
【技术特征摘要】
【专利技术属性】
技术研发人员:陈曙晖,唐勇,赵国鸿,何英亮,苏金树,卢泽新,孙一品,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。