一种区分业务流早期回传的透明管控方法及设备转让专利
申请号 : CN201710606385.X
文献号 : CN107172107B
文献日 : 2019-08-13
发明人 : 李玉峰 , 魏鹏 , 陈博 , 江逸茗 , 张风雨 , 申涓 , 张校辉 , 王鹏
申请人 : 中国人民解放军信息工程大学
摘要 :
本发明涉及通信技术领域,公开了一种区分业务流早期回传的透明管控方法,包括首先将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理;对流数据包进行深度解析和管控规则匹配;根据深度解析和管控规则匹配结果,对流数据包进行相应的管控处理;本发明还公开了一种区分业务流早期回传的透明管控设备,包括浅层解析模块、早期黑名单匹配模块、早期复制回传模块、深度解析模块、管控规则匹配模块和管控处理模块。本发明的方法和设备能够使在线音视频数据包的回传、深度解析、规则匹配等的处理不影响用户的网络体验,具有良好的管控效果。
权利要求 :
1.一种区分业务流早期回传的透明管控方法,其特征在于,包括以下步骤:步骤1,将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理;具体实现过程为:步骤1.1,将流数据包进行浅层解析,包括IP头部检测和TCP/UDP头部检测;
步骤1.2,将流数据包进行早期黑名单匹配,若命中黑名单,则将该流数据包丢弃,并阻断数据传送,否则将该流数据包分为时延敏感数据包和非时延敏感数据包,所述时延敏感数据包包括在线音视频数据包;
步骤1.3,将在线音视频数据包复制一份后对复制包做上复制标记,并将原在线音视频数据包送入早期复制回传模块使其回传至链路中;
步骤2,对流数据包进行深度解析和管控规则匹配;
步骤3,根据深度解析和管控规则匹配结果,对流数据包进行相应的管控处理。
2.根据权利要求1所述的区分业务流早期回传的透明管控方法,其特征在于,在步骤1之前和步骤3之后,还包括:对流数据包进行光/电和数据链路层的基本处理。
3.根据权利要求1所述的区分业务流早期回传的透明管控方法,其特征在于,所述在线音视频数据包的处理时延限定在微秒级。
4.根据权利要求1所述的区分业务流早期回传的透明管控方法,其特征在于,所述步骤
2具体为:
步骤2.1,对流数据包进行深度解析,并将该流数据包划分为违规违法数据包、带有复制标记的合法数据包、未标记的非时延敏感合法数据包和有价值数据包;
步骤2.2,根据流数据包的深度解析结果,对该流数据包进行相应的管控规则匹配,为后续管控处理做准备。
5.根据权利要求4所述的区分业务流早期回传的透明管控方法,其特征在于,所述步骤
3中根据深度解析和管控规则匹配结果分为以下几种情况处理:情况一,对带有复制标记的合法数据包丢弃;
情况二,对违规违法数据包丢弃,进行反配规则,提取该流数据包的五元组信息并加入早期黑名单中,阻断后续数据的传输;
情况三,对未标记的非时延敏感合法数据包按照深度解析和管控规则匹配结果进行回传、阻断或者分流;
情况四,对有价值数据包分流到后端。
6.一种区分业务流早期回传的透明管控设备,其特征在于,包括:浅层解析模块,用于将流数据包进行浅层解析,包括IP头部检测和TCP/UDP头部检测;
早期黑名单匹配模块,用于将流数据包进行早期黑名单匹配,若命中黑名单,则将该流数据包丢弃,并阻断数据传送,否则将该流数据包分为时延敏感数据包和非时延敏感数据包,所述时延敏感数据包包括在线音视频数据包;
早期复制回传模块,用于将在线音视频数据包复制一份后对复制包做上复制标记,并将原在线音视频数据包送入早期复制回传模块使其回传至链路中;
深度解析模块,用于对流数据包进行载荷解析;
管控规则匹配模块,用于对流数据包进行管控规则匹配;
管控处理模块,用于对流数据包进行管控处理。
7.根据权利要求6所述的区分业务流早期回传的透明管控设备,其特征在于,还包括:光/电处理模块,用于对流数据包进行光/电处理;
数据链路层处理模块,用于对流数据包进行链路层处理。
8.根据权利要求6所述的区分业务流早期回传的透明管控设备,其特征在于,还包括故障避绕模块,所述故障避绕模块包括时钟预同步模块、电信号旁路控制模块和黑盒故障检测模块;
所述时钟预同步模块,用于主信号旁路时预先对备用信号进行时钟同步;
所述电信号旁路控制模块,用于主信号旁路控制到备用信号上;
所述黑盒故障检测模块,用于对管控设备进行黑盒式故障检测。
说明书 :
一种区分业务流早期回传的透明管控方法及设备
技术领域
[0001] 本发明涉及通信技术领域,特别是涉及一种区分业务流早期回传的透明管控方法及设备。
背景技术
[0002] 近些年来,我国网络融合的持续演进催生了更宽泛的融合网络空间和更多样的应用创新,引发了网络犯罪、网络泄密、网上暴恐教唆、不良信息传播等违规、违法活动的不断跨网蔓延,带来了网络空间治理复杂多样的新挑战。构建全程全网的网络管控技术体系已成为国家维护网络空间安全稳定、风清气正的核心技术需求之一。
[0003] 网络管控本身具有现实的特殊性,应使管控设备和管控行为难以被普遍感知。针对融合网络全程全网管控需求,本发明需要实现透明管控、高速深度处理及规则匹配等要求。实时管控设备需要对接收到的链路数据进行深度解析和规则匹配,既要将链路上的数据区分为合法流量、违规流量、有价值流量,又要使整个管控过程对合法用户透明,即让合法用户无感,使他们的网络体验不受影响。实时管控设备串接在链路上,类似于机场的安检设备,能够自动区分出违规信息和合规合法信息。实时管控设备还能够对区分出的违规违法流量和合规流量进行相应管控处理。
[0004] 对链路数据的检测是一个由浅入深、逐层检测的过程,浅层的检测包括IP头部检测、TCP/UDP头部检测等,而深层的检测主要是载荷部分检测。浅层检测耗时短,而深层检测耗时通常很长,是检测时延构成的主体部分。
[0005] 若我们要准确判断一个信息流的属性,一般要对该信息流进行深度解析和规则匹配,而完成整个检测需要很长的时延,但用户观看音视频等时延敏感类信息的处理时延要求很短,否则用户观看体验会受到影响。
[0006] 综上所述,信息流深度解析必须引入长时延与用户观看音视频等时延敏感类信息的处理时间必须很短之间产生了冲突。若要使用户的观看体验不受影响,要求实时管控设备对信息流的处理时延要很短。
发明内容
[0007] 为了解决上述技术问题,本发明提出一种区分业务流早期回传的透明管控方法及设备,能够使在线音视频数据包的回传、深度解析、规则匹配等的处理不影响用户的网络体验,具有良好的管控效果。
[0008] 为了实现上述目的,本发明采用以下的技术方案:
[0009] 本发明发现了音视频流管控延迟容忍规律:在人眼视觉暂留、人耳哈斯效应的生理固有规律作用下,在线音视频流的管控在延迟一定时间(几毫秒)后实施,并不影响管控效果。本发明的目的是能够对流量进行逐层识别,规则匹配,并将信息流深度解析必然带来长时延和合法音视频流必须保障短时延之间的对立问题实现了统一;传统网络管控方法是先检测所有流数据包,而后再对其进行转发或拦截,而本发明的网络管控方法是先转发在线音视频等时延敏感业务流数据包,而后再对其进行跟踪检测、拦截,对于非时延敏感数据包则先不转发,而是让它从浅层到深层规则逐步去匹配,再对其实施相应管控处理。
[0010] 基于以上音视频流管控延迟容忍规律,本发明提出一种区分业务流早期回传的透明管控方法,包括以下步骤:
[0011] 步骤1,将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理;
[0012] 步骤2,对流数据包进行深度解析和管控规则匹配;
[0013] 步骤3,根据深度解析和管控规则匹配结果,对流数据包进行相应的管控处理。
[0014] 进一步地,在步骤1之前和步骤3之后,还包括:对流数据包进行光/电和数据链路层的基本处理。
[0015] 进一步地,所述步骤1的具体实现过程为:
[0016] 步骤1.1,将流数据包进行浅层解析,包括IP头部检测和TCP/UDP头部检测;
[0017] 步骤1.2,将流数据包进行早期黑名单匹配,若命中黑名单,则将该流数据包丢弃,并阻断数据传送,否则将该流数据包分为时延敏感数据包和非时延敏感数据包,所述时延敏感数据包包括在线音视频数据包;
[0018] 步骤1.3,将在线音视频数据包复制一份后对复制包做上复制标记,并将原在线音视频数据包送入早期复制回传模块使其回传至链路中。
[0019] 进一步地,所述在线音视频数据包的处理时延限定在微秒级。
[0020] 进一步地,所述步骤2具体为:
[0021] 步骤2.1,对流数据包进行深度解析,并将该流数据包划分为违规违法数据包、带有复制标记的合法数据包、未标记的非时延敏感合法数据包和有价值数据包;
[0022] 步骤2.2,根据流数据包的深度解析结果,对该流数据包进行相应的管控规则匹配,为后续管控处理做准备。
[0023] 进一步地,所述步骤3中根据深度解析和管控规则匹配结果分为以下几种情况处理:
[0024] 情况一,对带有复制标记的合法数据包丢弃;
[0025] 情况二,对违规违法数据包丢弃,进行反配规则,提取该信息流的五元组信息并加入早期黑名单中,阻断后续数据的传输;
[0026] 情况三,对未标记的非时延敏感合法数据包按照深度解析和管控规则匹配结果进行回传、阻断或者分流;
[0027] 情况四,对有价值数据包分流到后端。
[0028] 本发明还提供一种区分业务流早期回传的透明管控设备,包括:
[0029] 浅层解析模块,用于对流数据包进行浅层的检测;
[0030] 早期黑名单匹配模块,用于判断流数据包是否命中黑名单;
[0031] 早期复制回传模块,用于将在线音视频数据包复制一份后对复制包做上复制标记,并将原在线音视频数据包送入早期复制回传模块使其回传至链路中;
[0032] 深度解析模块,用于对流数据包进行载荷解析;
[0033] 管控规则匹配模块,用于对流数据包进行管控规则匹配;
[0034] 管控处理模块,用于对流数据包进行管控处理。
[0035] 进一步地,还包括:光/电处理模块,用于对流数据包进行光/电处理;
[0036] 数据链路层处理模块,用于对流数据包进行链路层处理。
[0037] 进一步地,还包括故障避绕模块,所述故障避绕模块包括时钟预同步模块、电信号旁路控制模块和黑盒故障检测模块;
[0038] 所述时钟预同步模块,用于主信号旁路时预先对备用信号进行时钟同步;
[0039] 所述电信号旁路控制模块,用于主信号旁路控制到备用信号上;
[0040] 所述黑盒故障检测模块,用于对管控设备进行黑盒式故障检测。
[0041] 与现有技术相比,本发明具有以下优点:
[0042] 本发明针对信息流深度解析必须引入长时延与时延敏感类正常信息流的处理必须要求短时延之间的固有矛盾,利用人眼视觉暂留和人耳哈斯效应的生理固有规律,创建了区分业务流早期回传的高速、深度处理兼具,大容量规则支持的透明化管控设备,并首先发现了音视频流管控延迟容忍规律。本发明的管控设备能使在线音视频流的回传、深度解析、规则匹配等的处理不影响用户的网络体验,并有良好的管控效果;能使非时延敏感信息流按照正常流程进行逐层深度解析和规则匹配。
附图说明
[0043] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0044] 图1是本发明实施例的一种区分业务流早期回传的透明管控方法的流程示意图;
[0045] 图2是本发明实施例的一种区分业务流早期回传的透明管控设备的体系结构图。
具体实施方式
[0046] 为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
[0047] 实施例一,本发明提供一种区分业务流早期回传的透明管控方法,包括以下步骤:
[0048] 步骤1,将流数据包进行浅层解析、早期黑名单匹配和时延敏感数据的早期复制回传处理;
[0049] 步骤2,对流数据包进行深度解析和管控规则匹配;
[0050] 步骤3,根据深度解析和管控规则匹配结果,对流数据包进行相应的管控处理。
[0051] 本发明将未命中早期黑名单的输入数据区分成在线音视频流等时延敏感信息流和非时延敏感信息流,在线音视频流在进入深度解析前,通过图2中早期复制回传模块先放行,对时延敏感业务加速回传,从而将时延限定在微秒级,使合法用户网络体验不受影响;若该流是非时延敏感信息流,则按照正常流程进行逐层深度解析和规则匹配;若该业务流在深度解析后被判定为违规媒体流,则针对该业务流形成管控规则并配置到早期黑名单中,该业务流后续数据包将在1-3ms延迟后被阻断(此延迟包括深度解析时延和黑名单更新时延),而在管控延迟容忍规律作用下,管控效果不受影响。
[0052] 如图1所示,图1为本发明实施例的一种区分业务流早期回传的透明管控方法的流程示意图;本实施例提供一种区分业务流早期回传的透明管控方法,包括:
[0053] 步骤S101,实时管控设备准备接收链路上传来的数据包;
[0054] 步骤S102,对接收到的数据包进行光/电和数据链路层的基本处理;
[0055] 步骤S103,对接收到的数据包进行浅层解析:IP头部检测和TCP/UDP头部检测;
[0056] 步骤S104,对经过浅层解析的数据包进行早期黑名单匹配;
[0057] 步骤S105,判断该流数据包是否命中黑名单,若命中黑名单,则跳转至步骤S116,若未命中黑名单,则跳转至步骤S106;
[0058] 步骤S106,判断该流数据包是否为时延敏感数据包的在线音视频数据包,若是时延敏感数据包,则跳转至步骤S107,否则跳转至步骤S112;
[0059] 步骤S107,复制一份该时延敏感数据包并对复制包做上复制标记;
[0060] 步骤S108,判断该流数据包是否带有复制标记,若不带有,则跳转至步骤S109,否则跳转至步骤S112;
[0061] 步骤S109,通过早期复制回传模块回传不带有复制标记的音频数据流;
[0062] 步骤S110,对该流数据包进行管控(阻断、劣化、回传等)处理、链路层处理和光/电处理;
[0063] 步骤S111,继续传送后续数据包,传送完毕后结束对于该业务流的管控处理;
[0064] 步骤S112,对该业务流进行深度解析,即载荷解析;
[0065] 步骤S113,对该业务流进行管控规则匹配;
[0066] 步骤S114,判断该业务流第一个数据包是否为违规违法数据包,若是,则跳转至步骤S115,否则跳转至步骤S117;
[0067] 步骤S115,对被判定为违规违法的数据包丢弃,进行反配规则,提取该流数据包的源、目的IP地址等五元组信息并加入早期黑名单中;
[0068] 步骤S116,阻断后续数据的传输,并结束对该业务流的管控处理;
[0069] 步骤S117,判断该流数据包是否为有价值的流量,若是,则跳转至步骤S118,否则跳转至步骤S119;
[0070] 步骤S118,后端分析系统对该业务流中有价值的数据包进行分流处理;
[0071] 步骤S119, 判断该业务流第一个数据包是否为带有复制标记的合法数据包,若是,则跳转至步骤S120,否则跳转至步骤S121;
[0072] 步骤S120,对该业务流中带有复制标记的合法数据包丢弃,并跳转至步骤S111;
[0073] 步骤S121,对该业务流中未标记的非时延敏感合法数据包按照深度解析和管控规则匹配结果进行回传、阻断或者分流,并跳转至步骤S110。
[0074] 如图2所示,图2是本发明实施例的一种区分业务流早期回传的透明管控设备的体系结构图;本实施例还提供一种区分业务流早期回传的透明管控设备,包括:
[0075] 浅层解析模块203,用于对流数据包进行浅层的检测;
[0076] 早期黑名单匹配模块206,用于判断流数据包是否命中黑名单;
[0077] 早期复制回传模块207,用于将在线音视频数据包复制一份后对复制包做上复制标记,并将原在线音视频数据包送入早期复制回传模块使其回传至链路中;
[0078] 深度解析模块204,用于对流数据包进行载荷解析;
[0079] 管控规则匹配模块205,用于对流数据包进行管控规则匹配;
[0080] 管控处理模块208,用于对流数据包进行管控处理;
[0081] 光/电处理模块201,用于对流数据包进行光/电处理;
[0082] 数据链路层处理模块202,用于对流数据包进行链路层处理;
[0083] 时钟预同步模块209,用于主信号旁路时预先对备用信号进行时钟同步;
[0084] 电信号旁路控制模块210,用于主信号旁路控制到备用信号上;
[0085] 黑盒故障检测模块211,用于对管控设备进行黑盒式故障检测。
[0086] 本发明的管控设备对输入数据包进行基本处理,再对其进行浅层解析,并将该流与早期黑名单进行匹配,若命中黑名单则阻断数据传输,否则将该流区分为在线音视频数据包等时延敏感数据包和非时延敏感数据包,复制一份在线音视频流数据包后将原流送入早期复制回传模块进行回传,从而将合法在线音视频流的处理时延限定在微秒级。另外使该流非时延敏感数据包和在线音视频数据复制包继续进行深度解析和规则匹配,根据解析和匹配结果将不同价值的数据包进行相应处理。
[0087] 这样,在该管控设备管控规则范围内不会漏掉违规违法信息流,同时也因其非时延敏感特性,约(550)500-800us的深度解析时延不会让合法用户有感;合法在线音视频流的数据均通过早期复制回传通道回传至链路中,使用户网络体验不受到影响;违规违法的在线音视频流同样先进行了回传,然后该业务流首个包在经历深度解析和匹配并明确违规属性后,将五元组信息配置到早期黑名单中,该业务流后续数据包将在早期回传通道中被阻断,期间经历了约500-800us的深度解析时延和约2ms的黑名单更新时延,在本质上使违规在线音视频多播放了近3ms的时间,而在音视频流管控延迟容忍规律作用下,违规用户并未多看或者多听到额外的音视频内容,管控效果不受影响。另外,非时延敏感业务流不进行回传,其首个包经过逐层深度解析和规则匹配后,明确其是否违规并进行相应的管控处理,若是合法数据包则最终传送至链路中,否则反配规则,将五元组信息配置到早期黑名单中,其后续数据包将在早期回传通道中被阻断。
[0088] 以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。