[发明专利]报文分流方法及系统

说明书

本公开涉及一种报文分流方法及系统，其中，报文分流方法包括：基于流表，确定待分流报文是否命中流表，并为未命中流表的待分流报文重新构建流表项和进行初始化；基于三元组表，确定所重新构建的流表项的服务器三元组是否命中三元组表，并为未命中三元组表的待分流报文重新构建三元组表项和进行初始化；以及识别被重新构建三元组表项的待分流报文的应用层协议，并在未识别出应用层协议的情况下，对所述待分流报文按五元组策略进行过滤和分流，并更新其对应的流表项和三元组表项相关信息。通过本发明的技术方案，能够克服常规网络应用协议识别方案在分流器上使用时遇到的性能瓶颈的问题。

技术领域

本发明涉及通信技术领域，具体而言，涉及一种报文分流方法、一种报文分流系统、一种网络设备及计算机可读存储介质。

背景技术

随着网络技术的发展，大带宽已成趋势，而随着网络流量的日益增多以及网络流量成分的日益多样，对于流量可视化系统来说，非价值流量也在增多(尤其是高清视频、加密流量等)，此类流量如果大量输出到后端业务服务器上，会导致后端业务服务器大量浪费，导致成本、功耗不必要地增加。

而现有的分流器主要是在三层、四层做规则，对于网络中的高清视频、加密等非价值流量的识别和丢弃能力有限，常规应用协议识别流程如图1所示，基于三层、四层做协议推导后，再基于DPI(Packet Inspection，深度包检测)做协议推导来实现协议识别，整个过程多依赖DPI技术，DPI技术是一种基于应用层的流量检测和控制技术，其在分析包头的基础上，增加了对应用层的分析，需要逐包进行拆包操作，并与后台数据库进行匹配对比，处理速度相对较低，在实际使用时往往成为性能瓶颈，不适用于接入流量很大的分流器使用。

在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本发明旨在解决现有常规网络应用协议识别方案在分流器上使用时遇到的性能瓶颈的问题。

为了解决上述技术问题，本发明的第一方面提出了一种报文分流方法，包括：基于流表，确定待分流报文是否命中流表，并为未命中流表的待分流报文重新构建流表项和进行初始化；基于三元组表，确定所重新构建的流表项的服务器三元组是否命中三元组表，并为未命中三元组表的待分流报文重新构建三元组表项和进行初始化；以及识别被重新构建三元组表项的待分流报文的应用层协议，并在未识别出应用层协议的情况下，对所述待分流报文按五元组策略进行过滤和分流，并更新其对应的流表项和三元组表项相关信息。

在上述技术方案中，优选地，还包括：基于流表，确定命中流表的包含未知应用的待分流报文的包序列数是否小于所命中流表项的第一预定报文计数，如果不是，则对所述待分流报文按五元组策略进行过滤和分流，如果是则识别所述待分流报文的应用层协议，并在未识别出应用层协议的情况下，对所述待分流报文按五元组策略进行过滤和分流，并增加其所命中流表项报文计数。

在上述任一项技术方案中，优选地，还包括：在识别命中三元组表的待分流报文的应用或命中流表的待分流报文的应用为已知应用时，对该待分流报文进行应用策略精细化过滤和分流。

在上述任一项技术方案中，优选地，还包括：基于流表，确定命中三元组表的待分流报文的包序列数是否小于所命中三元组表项的第二预定报文计数，如果不是，则对所述待分流报文按五元组策略进行过滤和分流，如果是，则识别所述待分流报文的应用层协议，并在未识别出应用层协议的情况下，对所述待分流报文按五元组策略进行过滤和分流，并增加其所命中三元组表项的报文计数。

在上述任一项技术方案中，优选地，还包括：在识别出应用层协议时，对该待分流报文进行应用策略精细化过滤和分流并更新对应流表项和三元组表项的应用信息。

在上述任一项技术方案中，优选地，还包括：定时遍历所述三元组表，并将预定时间内命中计数无增加的三元组表项删除。