[发明专利]一种未知流量过滤方法和一种带宽管理设备

权利要求书

1.一种未知流量过滤方法，其特征在于，在带宽管理设备上指定第一 镜像端口和第二镜像端口，对于带宽管理设备接收到的报文执行以下步骤：

判断带宽管理设备接收的报文是否符合预设的第一次过滤条件，是则将 已标识流中的满足会话完整信息的报文镜像到第一镜像端口；所述第一次过 滤条件包括：所接收报文的类型是传输层报文，且所接收的报文所在的流已 经标识；

接收来自第一镜像端口的报文，并根据预设的第二次过滤条件判断该报 文所属流量是否是未知流量，是则将所述未知流量报文镜像到第二镜像端口 供流量分析使用。

2.如权利要求1所述的方法，其特征在于，

所述第一次过滤条件进一步包括：所接收报文是一条数据流中的前N 个报文之一，N为指定自然数；并且所接收报文满足预设的IP地址和/或端 口过滤条件。

3.如权利要求1或2所述的方法，其特征在于，

所接收报文的类型是传输层报文包括：所接收报文的类型是传输控制协 议TCP报文或用户数据报协议UDP报文。

4.如权利要求1或2所述的方法，其特征在于，该方法进一步包括： 判断所接收报文是否为其所属流的首报文，是则利用所接收报文的五元组对 其所属流进行标识。

5.如权利要求4所述的方法，其特征在于，判断所接收报文是否为其 所属流的首报文包括：

如果所接收报文是TCP报文，则判断该报文是否为同步连接序号SYN 握手报文，是则该报文是其所属流的首报文，否则不是；

如果所接收报文是UDP报文，则判断该报文是否为信令报文，是则该 报文是其所属流的首报文，否则不是。

6.如权利要求1所述的方法，其特征在于，根据预设的第二次过滤条 件判断该报文所属流量是否是未知流量，是则将所述未知流量报文镜像到第 二镜像端口包括：

a、根据报文的五元组判断是否存在对应的控制块，是则直接执行步骤 b，否则先创建与报文五元组对应的控制块，然后执行步骤b；

b、判断对应控制块上记录的会话类型，如果会话类型是已知流量，则 确定报文所属流量是已知流量，如果会话类型是未知流量，则确定报文所属 流量是未知流量，将报文镜像到第二端口并结束处理，如果对应控制块上未 记录会话类型，则执行步骤c；

c、判断流量识别引擎对对应控制块的数据流的识别是否结束，是则执 行步骤d，否则将报文缓存到对应控制块中并结束处理；

d、如果对应控制块的数据流被识别为未知流量，则在对应控制块上记 录会话类型为未知流量，将对应控制块中缓存的所有报文镜像到第二镜像端 口；如果对应控制块的数据流被识别为已知流量，则在对应控制块上记录会 话类型为已知流量，释放对应控制块中缓存的所有报文。

7.一种带宽管理设备，其特征在于，该带宽管理设备上指定了第一镜 像端口和第二镜像端口，该带宽管理设备包括：第一过滤模块和第二过滤模 块，其中：

第一过滤模块，用于判断带宽管理设备接收的报文是否符合预设的第一 次过滤条件，是则将已标识流中的满足会话完整信息的报文镜像到第一镜像 端口；所述第一次过滤条件包括：所接收报文的类型是传输层报文，且所接 收的报文所在的流已经标识；

第二过滤模块，用于接收来自第一镜像端口的报文，并根据预设的第二 次过滤条件判断该报文所属流量是否是未知流量，是则将所述未知流量报文 镜像到第二镜像端口供流量分析使用。

8.如权利要求7所述的带宽管理设备，其特征在于，所述第一次过滤 条件进一步包括：所接收报文是一条数据流中的前N个报文之一，N为指定 自然数；并且所接收报文满足预设的IP地址和/或端口过滤条件。

9.如权利要求7所述的带宽管理设备，其特征在于，

所述第一过滤模块，判断所接收报文的类型是传输层报文，是判断所接 收报文的类型是传输控制协议TCP报文或用户数据报协议UDP报文。