[发明专利]处理分组流

说明书

技术领域

本发明一般地涉及分组流的网络交换。

背景技术

本部分所述的方法可以被实施，但是不一定是先前以设想出或实施了 的方法。因此，除非这里另外指出，本部分所述的方法不是本申请所要求 的内容的现有技术，并且不因包括在该部分中而承认是现有技术。

在诸如因特网之类的网络中，路由器、交换机、服务器和其他网络元 件处理分组。一个或多个分组形成流(flow)。流被定义为特定源和特定 目的地之间一个或多个分组的流动，并且由一个特定的参数集合表征。不 同的系统使用不同的参数来定义流。例如，思科系统公司的某些产品中的 特定处理逻辑将分组归类为称作“NetFlow”的流。在一些情形中， NetFlow是下述分组流：这些分组具有相同的源因特网协议(IP)地址、 目的地IP地址、源传输控制协议(TCP)/用户数据报协议(UDP)端口 号、目的地TCP/UDP端口号、IP协议类型、IP服务类型和输入逻辑接 口。因此，如果两个分组具有相同的前面的句子中所述的特征，则认为它 们处于同一NetFlow中。然而，其他逻辑可根据不同的特征来将分组归类 成不同的流。例如，某些逻辑使用多种因素的变体来利用以下字段标识一 个流：源IP地址、源TCP/UDP端口号、目的地TCP/UDP端口号、IP协 议类型、IP服务类型和输入虚拟局域网(VLAN)。

许多网络元件包括流表格，流表格存储从由逻辑处理的所有或者一些 流收集的信息(包括有关流中的特定分组中的一些或全部的数据)。收集 在特定流表格中的信息可包括例如定义该流的特征(例如，上述那些特 征)。大多数(即使不是全部)流表格在大小上是受限的，不能存储有关 无限数目的流的数据。因此，一般来说，一个流表格中的数据被周期地发 送给收集器设备或者其他收集模块以存储和/或使用，并且流表格被重置以 使其可收集有关其他分组流的数据。流表格中的数据可用于许多目的，并 且流表格中的信息提供了关于例如由监控设备或其他模块使用的网络活动 的特征的信息。

NetFlow信息可被存储在由Cisco IOS软件管理的NetFlow软件或硬件 模块中，该软件可从加州San Jose的思科系统公司购买。

包括端口扫描和ICMP攻击在内的多种恶意网络活动可直接与网络中 的恶意软件、黑客、蠕虫或病毒活动相关联。为了保持网络的正常状况， 检测并防止这种恶意活动非常重要。可以使用思科网络技术来检测这些攻 击并通知中央管理设备，中央管理设备采取正确的动作。然而，在该方法 中，可能无法足够快速地作出反应，从而无法以足够及时的方式减轻网络 中的这些恶意活动的影响。此外，大多数网络系统具有有限大小的流表 格，因此利用广泛且快速的端口扫描的攻击者可产生太多的新流，以至于 流表格可能溢出并且临时丢失重要的统计数据。此外，在某些网络中，未 布署流收集器或分析仪，并且未规划或者不支持适当的反应式对策。

在某些网络中，为了限制潜在的流表格利用和流数据导出问题，使用 了采样(而不是连续)流收集。然而，采样速率越高，安全设备要采用越 长的时间来收集足够的采样以识别恶意活动。因此，利用较高的采样速率 可能导致对恶意活动的反应时的延迟。

类似地，可以使用全软件驱动的连接速率控制技术来实现一定程度上 的网络保护，例如扼杀恶意病毒活动。然而，任何这种基于软件的方案在 被应用到基于硬件的系统时都不易于扩展，并且不能提供对某些网络威胁 的及时应对。

附图说明

在附图中的图示中以示例而非限制方式示出了本发明，其中类似的标 号指代类似的元件，并且在附图中：

图1示出了用于分组流处理的示例系统；

图2示出了用于分组流处理的示例实施例；

图3示出了用于分组流处理的示例实施例的高层逻辑视图；

图4示出了用于分组流处理的示例实施例的另一高层逻辑视图；

图5示出了可利用分组流处理的特征的高层逻辑示视图；

图6示出了用于分组流分析的示例方法；

图7示出了用于分组流分析的另一个示例方法；

图8示出了可在其上实现实施例的计算机系统。

具体实施方式