[发明专利]基于DPI和TAP的报文处理方法及系统

说明书

本发明揭示了一种基于DPI和TAP的报文处理方法及系统，所述方法包括：S1、建立DPI设备与TAP设备之间的通信连接；S2、TAP设备将报文汇聚后发往DPI设备；S3、DPI设备分析报文并向TAP设备发送基于五元组规则的协议报文；S4、TAP设备解析基于五元组规则的协议报文并下发执行动作请求，执行相应规则动作。本发明通过TAP设备与DPI设备之间的连接与消息交互，结合TAP设备的芯片转发能力与DPI设备的安全检测能力，能灵活地下发与管理异常流量的阻断或重定向规则，从而为TAP设备组网提供更灵活的安全特性。

技术领域

本发明属于数据传输技术领域，具体涉及一种基于DPI和TAP的报文处理方法及系统。

背景技术

随着网络通信技术以及云计算、数据中心等计数的进步与发展，通信网络已跨入大数据时代，如何监控各类业务系统的通信数据在大数据流量中传输质量，以及针对海量的网络通信数据的范畴中存在少量的恶意流量的检测，避免恶意流量对主机、网络设备的安全威胁和通信内容的窃取是网络管理必须面对的一个难题。

TAP(Test Access Point)设备是一种将网络中流量收集起来发往监控设备的网络设备，通常也被叫做汇聚分流器。从设备功能的角度，TAP设备功能都类似，都是用来在网络中某个点上，将网络流量牵引到或者复制到多台流量分析设备上去。通常来说，TAP交换机包括一些必须的基本功能和可选的高级功能，视不同场景会支持报文去重、过滤、负载均衡、tunnel报文解封装、源端口标记、时间戳、报文截短等功能。

DPI(Deep Packet Inspection)深度报文检测技术是在传统IP数据包检测技术(OSI L2-L4之间包含的数据包元素的检测分析)之上增加对应用层数据的应用协议识别，数据包内容检测与深度解码。通过对网络通讯的原始数据包捕获，DPI技术可使用其多种检测手段对通信数据包可能含有的异常数据做逐一的拆包分析，深度挖据出宏观数据流中存在的细微数据变化。

通常DPI设备组成旁路安全服务器集群，可使用TAP网络串行的方式做负载均衡获得网络中的原始报文，经安全分析后重新进入正常转发网络。

现有技术的一技术方案中，单独使用TAP设备静态配置做异常流量过滤，TAP设备使用专用交换芯片转发报文，可以使用传统端口ACL技术实现对流量的过滤或重定向，但是这种方式一般依赖于命令行操作，无法及时发现网络中异常流量并自动下发过滤规则。

现有技术的另一技术方案中，网络流量经TAP设备直接发往DPI服务器集群做流量识别与清洗，完成后安全的流量再发回给TAP设备向后续网络设备转发。但该技术方案中不能很好的利用TAP设备专用交换芯片大容量转发流量的优势，流量经过DPI设备再回到网络中，服务器负载较大，增加了网络传输时延。

因此，针对上述技术问题，有必要提供一种基于DPI和TAP的报文处理方法及系统。

发明内容

有鉴于此，本发明的目的在于提供一种基于DPI和TAP的报文处理方法及系统。

为了实现上述目的，本发明一实施例提供的技术方案如下：

一种基于DPI和TAP的报文处理方法，所述方法包括：

S1、建立DPI设备与TAP设备之间的通信连接；

S2、TAP设备将报文汇聚后发往DPI设备；

S3、DPI设备分析报文并向TAP设备发送基于五元组规则的协议报文；

S4、TAP设备解析基于五元组规则的协议报文并下发执行动作请求，执行相应规则动作。

一实施例中，所述步骤S4中相应规则动作包括无效、添加、删除、遍历查询所有五元组、查询某个五元组、清空所有规则五元组中的一种或多种。