[发明专利]基于报文内容感知的动态规则链式递归触发方法及其系统

说明书

本发明公开了一种基于报文内容感知的动态规则链式递归触发方法及其系统，其主要技术特征是：在组建动态规则链式递归触发系统的基础上，针对现有TAP设备无法对报文流进行动态关联分析问题，通过增加触发器以及触发器与触发规则之间的关联关系，采用配置触发器、配置静态规则和触发器定义、报文匹配、生成新动态规则、规则老化删除、更新规则表等步骤，动态提取外部输入报文流中的IP地址、端口、用户标识等动态信息，递归触发新的动态规则，使报文流能够精确地输出到后端分析系统，显著节省后端分析系统的输入带宽，避免后端分析系统的性能损耗，它具有实现方法简单、规则触发快速高效、显著降低后端分析系统报文流量的优点。

技术领域

本发明属网络可视化技术领域，具体涉及一种基于报文内容感知的动态规则链式递归触发方法，以及实现该方法的一种系统组成。

背景技术

背景技术中，网络可视化领域使用TAP设备采集用户业务网的报文流，通过用户配置的静态规则来筛选感兴趣的流，基于分流采集网络传输给后端的分析系统进行实时处理。分析系统希望前端TAP设备能精准的过滤报文流，仅将其感兴趣的流输出到后端进行处理，避免无关数据报文造成不必要的带宽和性能损耗。很多情况下，后端分析系统希望处理特定大型网站的访问流量或者符合特定特征用户的全部流量，但是现有TAP设备仅支持基于MAC地址、IP地址、端口和报文载荷等静态域的规则筛选过滤。大型网站的负载均衡和内容缓存机制可能覆盖数千个IP地址，上述地址随着时间会不断发生变化，而用户的IP地址则可能在每次上网时，从成千上万个IP地址池中随机分配，因此精确的报文流筛选必须要解决报文流之间的动态关联性分析问题。例如：DNS报文流将携带服务端的域名和IP地址列表，决定了后续用户终端将与哪个服务端IP地址进行通讯，而Radius、PPPOE报文会携带用户账号、为用户分配的动态IP地址等信息，决定了某个用户本次上线过程中使用的客户端IP地址。

上述问题决定了现有TAP设备的静态域规则筛选模式无法满足后端分析系统的精准过滤要求，只能在前端TAP设备上静态配置最大规则集，将所有可能的报文流输出给后端分析系统进行识别处理。后端分析系统需要浪费大量的带宽资源和计算资源，对海量报文流进行解析，识别出需要处理的报文流并执行具体的业务监测处理过程。因此，如何精确的筛选出后端分析系统必须处理的报文流，对提高后端分析系统的性能，降低网络可视化系统的建设成本至关重要。为了精确筛选报文流，有效提高后端分析系统的效能，我们对基于报文内容感知的动态规则链式递归触发方法及其系统进行了研究。

发明内容

本发明的目的在于要提供一种基于报文内容感知的动态规则链式递归触发方法及其系统，它突破现有TAP设备的局限，通过增加触发器以及触发器与触发规则之间的关联关系，采用报文流动态关联分析技术和动态规则递归触发方法，实现对报文流的精确筛选，有效提高后端分析系统的效能。

本发明为解决上述技术问题，采用的技术方案是：

一种基于报文内容感知的动态规则链式递归触发方法，其步骤包括：

1）用户配置触发器，指定需触发的规则类型、老化时间、报文匹配方向、规则各组成域的来源、以及触发后的规则与其它触发器的关联关系，保存在触发描述库模块中，其中规则各组成域可以由用户配置静态值，也可以指定从当前报文的指定域提取动态值；

2）用户配置MAC、IP五元组、报文载荷特征码等静态规则，定义当前静态规则与某个触发器的关联关系，保存在静态规则库模块中；

3）触发描述库模块和静态规则库模块将静态规则和触发器定义分发给设备中的多个报文匹配引擎，保存在报文匹配引擎的规则表中；

4）报文匹配引擎在接收到网络报文时，查询规则表进行匹配；

5）如果当前报文与规则表中某一条规则匹配，根据规则关联的触发器，提取当前触发器指定的报文字段，与用户静态配置规则域、以及当前的触发关联关系一起构成新的动态规则；