[发明专利]一种基于五元组和负载内容的采样设备

说明书

技术领域

本发明属于网络安全领域，具体涉及一种基于五元组和负载内容的采样设备。

背景技术

随着互联网的高速发展和网络规模的不断扩大，不仅网上的应用也越来越复杂，而且网络上的各种攻击也越来越多，因此网络设备都需要监控网络流量分布情况的功能。目前现有技术中的网络设备都能够提供数据包的统计功能，但这个统计功能只能了解通过该网络设备大致的流量，不能详细的了解网络流量的分布情况，如在通过该网络设备的流量中来自哪个源IP地址的流量最多和哪种应用层协议的报文最多，然而这正是对确定网络攻击源所必须的。

专利号“CN200780023942.X”、发明名称为“管理电子节目指南的技术”公开了管理电子节目指南的技术。一种装置可包括显示包括动态缩放网格的电子节目指南的显示器。该装置还可包括耦合到该显示器的媒体处理设备。该媒体处理设备可包括处理器和供该处理器执行的电子节目指南管理模块。该电子节目指南管理模块可管理显示器上的动态缩放网格。该动态缩放网格可包括主存节目项的内容单元格以显示第一组相关联的元数据，且该内容单元格在被选择时被扩大以显示对应于该节目项的第二组相关联的元数据。对其它实施例也予以描述并主张权利。

专利号“CN201010130309.4”、发明名称为“采样设备和方法”公开了一种采样设备，包括：被采样信号输入，用于接收被采样的信号；采样时钟输入，用于接收采样时钟；多个采样单元，每一个采样单元都具有用于接收被采样的信号的第一输入、用于接收各自的采样时钟的第二输入以及用于输出采样后的数据的输出；移相单元，对采样时钟进行移相处理，并将多个移相处理后的采样时钟分别输出至多个采样单元中每一个采样单元的第二输入；以及汇总单元，将多个采样单元中每一个采样单元的输出进行汇总，以获得最终的采样数据。本发明还提供了一种相应的采样方法。本发明无需提高采样时钟的频率，便可利用具有较低频率的采样时钟来实现高采样率的采样。

如果对网络流的所有数据包进行分析会消耗大量的CPU资源，并且统计的带宽流量范围比较小。为详细了解网络流量分布情况同时降低CPU负担和增大统计流量带宽，本发明采用数据流采样技术，同时将关心的五元组和应用层协议流量上传主机进行分析。

为了实现这个目标，出现很多基于流统计的技术，这些技术一般都能够统计一个数据流在某个时间段内的数据包和字节数统计情况，包括五元组(源IP，目的IP，源端口、目的端口、协议类型)信息。但是如果对于数据流所有的数据包都要进行抽样的话，就会消耗大量的CPU资源，同时由于统计的带宽流量限制，也无法对更多的流进行统计。因此为了降低CPU的使用负担，也为了统计更大范围的流量分布情况，一般会对数据流采取抽样技术，这样既能有效降低统计的数据流量，有能准备的了解数据的流量分布情况。现有抽样技术只是对网络包按照一定的间隔进行采集，为了对网络流的分析更具有针对性，例如只是针对某个IP或者某个端口或者某种应用层协议进行

为详细了解网络流量分布情况，出现很多基于流统计的技术，这些技术一般都能够统计一个数据流在某个时间段内的数据包和字节数统计情况，包括五元组(源IP，目的IP，源端口、目的端口、协议类型)信息。但是如果对于数据流所有的数据包都要进行抽样的话，就会消耗大量的CPU资源，同时由于统计的带宽流量限制，也无法对更多的流进行统计。

为释放CPU和增加统计流量带宽，出现很多抽样技术，这些技术一般都是按照某个采样进行对网络流进行提取，并不关心具体五元组和应用层协议，无法使分析具有针对性。

发明内容

本发明克服现有技术不足，本发明采用硬件实现。

本发明提供了一种基于五元组和负载内容的采样设备，包括依次连接的数据包接收模块、抽样模块、应用层协议过滤模块和五元组过滤模块。

本发明提供的基于五元组和负载内容的采样设备，所述数据包接收模块接受网络流量。

本发明提供的基于五元组和负载内容的采样设备，所述抽样模块接收数据包接收模块传来的数据报文并进行抽样。

本发明提供的基于五元组和负载内容的采样设备，所述抽样模块包括对报文进行计数的报文计数器。

本发明提供的基于五元组和负载内容的采样设备，报文计数器的频率与采样间隔相等。

本发明提供的基于五元组和负载内容的采样设备，所述抽样模块将报文上传到所述五元组过滤模块，同时报文计数器对采样间隔进行模运算。

本发明提供的基于五元组和负载内容的采样设备，抽样模块的抽样比例为50％。