海量信息高速分类和过滤的方法.pdf

摘要
申请专利号：	CN03153818.5	申请日：	2003.08.22
公开号：	CN1486036A	公开日：	2004.03.31
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回\|\|\|实质审查的生效\|\|\|公开
IPC分类号：	H04L12/28; H04L12/08; H04L12/24; H04L12/26	主分类号：	H04L12/28; H04L12/08; H04L12/24; H04L12/26
申请人：	北京港湾网络有限公司;
发明人：	高旭东; 夏迎春
地址：	100089北京市海淀区西三环北路21号久凌大厦13层
优先权：
专利代理机构：	北京君尚知识产权代理事务所	代理人：	余长江
PDF下载：	PDF下载

内容摘要

本发明提供了一种海量信息高速分类和过滤的方法，属于计算机网络通信领域。该方法包括：在交换机上指定监控端口组和受控端口组，对进入受控端口的数据包按照数据帧中所包含的特征字段进行分类，设定一个或多个class，每个class对应具有相同特征字段的一类网络流量，对每一个class设置重定向动作，重定向到监控端口组的某一指定端口，对受控端口组的所有端口进行上述设置，数据包的分类和重定向动作可以通过每端口的快速过滤处理器(FFP)设置，由于采用本方案既不影响网络业务的正常转发，且过滤和分类完全是基于硬件操作，因此可实现对骨干网络的高效监控。

权利要求书

1：一种海量信息高速分类和过滤的方法，包括： (1)在交换机上指定受控端口组和监控端口组； (2)按照数据帧中所包含的特征字段对流入任一受控端口的数据包进行分类，设定一个或多个类，每个类对应具有相同特征字段的一类的网络流量； (3)对每一个类设置重定向动作，重定向到监控端口组的某个指定端口。
2：如权利要求1所述的海量信息高速分类和过滤的方法，其特征在于步骤 (2)所述对数据包进行分类为每端口的快速过滤处理器FFP对特征字段设置掩码，然后进行特征字段值的匹配。
3：如权利要求1或2所述的海量信息高速分类和过滤的方法，其特征在于所述重定向动作为在快速过滤处理器FFP中设置IRULE.ACTION＝重定向。
4：如权利要求1所述的海量信息高速分类和过滤的方法，其特征在于所述特征字段包括源/目的MAC地址、802.1p优先级、VLAN ID、源/目的 IP地址、IP优先级、DSCP的优先级、IP的协议类型和TCP/UDP源/ 目的端口号的一项或多项。

说明书

海量信息高速分类和过滤的方法
    所属技术领域

    本发明属于计算机网络通信领域，具体涉及对骨干网上的海量信息进行高速分类和过滤的方法。

    背景技术

    互联网在我国已经进入高速发展时期，网上冲浪、电子邮件、网络聊天、电子商务等网络应用日益成为人们生活的重要组成部分。然而，网络的巨大优势也同时带来重大社会安全隐患。由于互联网信息的开放性、个人化，盛行于网络上的各种“有害”信息对社会的危害是很大的。如果我们在网络空间上没有高效和强大的监控手段，各种不良信息和反动信息就会肆无忌惮，随处蔓延。我们必须采用高科技手段在网络空间构筑起安全防线，保证网络信息的公益化。

    互联网上的信息传输和拦截监测是建立在相同的技术基础之上的，也就是说，我们利用的也是互联网的标准技术来实现有害信息地监测和拦截。但是，监测和拦截技术是原始信息处理的逆过程，其难度主要表现在以下三个方面：

    1、互联网的网络设备技术核心掌握在国外公司的手中，这些网络设备所处理的仅仅是网络传输层的内容，应用层的内容根本就没有处理，所以直接利用这些设备是不可能的。

    2、网络的宽带化已经逐步成为潮流，骨干网的信息监测和拦截难度明显加大。

    3、海量信息中相关信息的过滤技术。

    【发明内容】

    本发明解决上述互联网监测和拦截技术的难题，提供一种基于快速过滤处理器(fast filter processor，FFP)具有流分类和重定向功能的海量信息高速分类和过滤方法，以实现骨干网上特定服务的高效监测。

    本发明的技术内容：一种海量信息高速分类和过滤的方法，包括：

    (1)在交换机上指定受控端口组和监控端口组；

    (2)按照数据帧中所包含的特征字段对流入任一受控端口的数据包进行分类，设定一个或多个class，每个class对应具有相同特征字段的一类网络流量；

    (3)对每个class设置重定向动作，重定向到监控端口组的某个指定端口。

    步骤(2)所述对数据包进行分类可为每端口的快速过滤处理器(FFP)对特征字段设置掩码，然后进行特征字段值的匹配。

    所述重定向动作可为在快速过滤处理器(FFP)中设置IRULE.ACTION＝重定向。

    所述特征字段包括源/目的MAC地址、802.1p优先级、VLAN ID、源/目的IP地址(包括IP MASK部分)、IP优先级、DSCP的优先级、IP的协议类型和TCP/UDP源/目的端口号的一项或多项。

    本发明的技术效果：对受控端口组的每个受控端口的数据包按照数据帧中前80个字节中所包含的特征字段进行分类，形成不同的网络流量，并分别被映射到不同的出端口上，实现了网络流量的高效分类和过滤。上述数据包的分类和重定向动作可以通过每端口的快速过滤处理器(FFP)设置，本发明既不影响网络业务的正常转发，且过滤和分类完全是基于硬件操作，因此可实现对骨干网络的高效监控。

    【附图说明】

    本发明的一个具体实施例。

    【具体实施方式】

    参考附图，6802是实现监控功能的交换机，在6802上指定受控端口组和监控端口组，受控端口组连接带有不同类型数据包的集线器(HUB)，3，4端口为受控端口组(模拟互联网数据)；5，6，7端口为监控端口组；要求5端口的数据是3，4端口的所有pop3数据的映象；6端口的数据是3，4端口的所有smtp数据的映象；7端口的数据是3，4端口的所有http数据的映象。

    目前利用BROADCOM公司的业务芯片5690，首先通过每端口的快速过滤处理器(FFP)对进入本端口的数据包进行分类，并对每个类进行重定向动作。根据要求，可以按照TCP连接的端口号进行分类：第一类为源或目的端口＝110的数据包(POP3)，第二类为源或目的端口＝25的数据包(SMTP)，第三类为源或目的端口＝80的数据包(HTTP)。具体步骤为：

    1、在受控端口组的3、4端口对应的FFP中进行如下设置：

    (1)RULE.FILTER＝IP协议(0x0800)+TCP协议(6)+源端口号(110，表示POP3)，对应的IMASK.FMASK的三个相应字段填充1，IRULE.ACTION＝重定向(出口设置为5)；

    (2)RULE.FILTER＝IP协议(0x0800)+TCP协议(6)+目的端口号(110，表示POP3)，对应的IMASK.FMASK的三个相应字段填充1，IRULE.ACTION＝重定向(出口设置为5)；

    2、在受控端口组的3、4端口对应的FFP中进行如下设置：

    (1)RULE.FILTER＝IP协议(0x0800)+TCP协议(6)+源端口号(25，表示SMTP)，对应的IMASK.FMASK的三个相应字段填充1，IRULE.ACTION＝重定向(出口设置为6)；

    (2)RULE.FILTER＝IP协议(0x0800)+TCP协议(6)+目的端口号(25，表示SMTP)，对应的IMASK.FMASK的三个相应字段填充1，IRULE.ACTION＝重定向(出口设置为6)；

    3、在受控端口组的3、4端口对应的FFP中进行如下设置：

    (1)RULE.FILTER＝IP协议(0x0800)+TCP协议(6)+源端口号(80，表示HTTP)，对应的IMASK.FMASK的三个相应字段填充1，IRULE.ACTION＝重定向(出口设置为7)；

    (2)RULE.FILTER＝IP协议(0x0800)+TCP协议(6)+目的端口号(80，表示HTTP)，对应的IMASK.FMASK的三个相应字段填充1，IRULE.ACTION＝重定向(出口设置为7)；

    配置后的交换机就可以对3、4端口上的业务流量进行分类和过滤，将这些端口上的所有的(POP3)数据映象到5端口，(SMTP)数据映象到6端口，(HTTP)数据映象到7端口，而不影响数据包的正常转发，这样就可以实现对这两个端口上纷繁复杂的网络流量进行高效快速的分类、过滤和监控，达到净化网络信息，保障信息安全的目的。