利用监控策略和过滤策略管理网络流量的系统和方法

摘要

本发明公开的是一种利用监控策略和过滤策略管理网络流量的系统和方法。根据本发明，用户终端侧根据监控策略检测应用程序的数据包，向网络流量管理装置发送检测到的数据包的流量统计信息，并根据从网络流量管理装置接收到的过滤策略过滤数据包，从而快速容易地检测能够引起通信网络过载的偶发数据通信流量（例如，用于维持会话的数据）或恶意用户的流量，并在用户终端侧过滤检测到的流量。

说明书

技术领域

本发明涉及一种利用监控策略和过滤策略管理网络流量的系统和方法，更具体 地，涉及一种利用监控策略和过滤策略管理网络流量的系统和方法，其中，用户终端 侧根据监控策略检测应用程序的数据包，向网络流量管理装置发送检测到的数据包的 流量统计信息，并根据从网络流量管理装置接收到的过滤策略过滤数据包，从而快速 容易地检测能够引起通信网络过载的偶发数据通信流量（例如，用于维持会话的数据） 或恶意用户的流量，并在用户终端侧过滤检测到的流量。

背景技术

随着包括智能电话、平板电脑的用户终端的振兴，已经出现了各种各样的应用程 序。在这些应用程序中，例如需要接收或发送数据包功能的送信器的应用程序以及用 于向特定服务器发送数据的应用程序越来越多。然而，在目前的通信企业网络中监控 发生在所有应用程序中的流量并阻止不必要的和恶意的流量是不可能的。

以送信器形式的应用程序应当始终将载有相应应用程序的用户终端的位置发送 至用于数据包接收功能的相应的服务器。也就是说，相应的服务器应当知道用于数据 包发送的用户终端的位置。为此，应当在用户终端和相应的服务器之间维持会话，并 且用户终端的位置信息可被定期地或临时地发送至相应的服务器。用于维持会话的数 据（例如，维生信息以及心跳信息）与真实信息的发送无关，为了维持会话，应当定 期在用户终端与相应的服务器之间进行交换。由于针对各应用程序独立地进行用于维 持会话的数据的发送/接收，当在一个终端内安装或驱动多个送信器应用程序时，在 通信企业的网络系统中增加了负载。

而且，还有在用户不知情的情况下从任意的用户终端窃取数据并向恶意的用户服 务器泄露数据的应用程序。因此，正需要用于检测并控制用户终端的数据流量的技术， 以提前快速地发现数据流量，并且必要的话阻止数据流量。

发明内容

因此，鉴于上述问题提出了本发明，并且本发明的一个方面在于提供一种利用监 控策略和过滤策略管理网络流量的系统和方法，其中，用户终端侧根据监控策略检测 应用程序的数据包，向网络流量管理装置发送检测到的数据包的流量统计信息，并根 据从网络流量管理装置接收到的过滤策略过滤数据包，从而快速容易地检测能够引起 通信网络过载的偶发数据通信流量（例如，用于维持会话的数据）或恶意用户的流量， 并过滤在用户终端侧检测到的流量。

根据本发明的一个方面，提供了一种利用监控策略和过滤策略管理网络流量的系 统，所述系统包括：网络流量管理装置，其被配置为通过创建监控策略和过滤策略并 将创建的监控策略和过滤策略发送至用户终端来管理网络流量；以及流量控制装置， 其被配置为基于从所述网络流量管理装置接收的监控策略，根据应用程序或目的地地 址，检测并分类在所述用户终端的应用程序中产生的数据包，创建有关检测到的数据 包的流量统计信息并且向所述网络流量管理装置发送所述流量统计信息，并在所述用 户终端的核心区域根据从所述网络流量管理装置接收的过滤策略过滤所述数据包。

根据本发明的另一个方面，提供了一种利用监控策略和过滤策略控制流量的流量 控制装置，所述流量控制装置包括：数据包收集单元，其被配置为根据在用户终端中 的端口号，收集并分类在所述用户终端的应用程序中产生的数据包；数据包监控单元， 其被配置为在收集到的数据包当中，在所述用户终端的核心区域，根据应用程序或目 的地地址，检测并分类符合监控策略的数据包；流量管理单元，其被配置为通过分析 检测到的数据包来创建流量统计信息，向网络流量管理装置发送所述流量统计信息， 并从所述网络流量管理装置接收过滤策略；以及数据包过滤单元，其被配置为在所述 用户终端的核心区域过滤与接收到的过滤策略相对应的应用程序的数据包或具有包 括在所述过滤策略内的阻止目的地地址的数据包。

流量管理单元包括：流量信息创建单元，其被配置为通过分析检测到的数据包来 创建流量统计信息，并向所述网络流量管理装置发送所述流量统计信息；策略配置单 元，其被配置为分别在所述数据包监控单元和所述数据包过滤单元中配置所述监控策 略和所述过滤策略；策略数据库，其被配置为存储所述监控策略和所述过滤策略；流 量信息数据库，其被配置为存储创建的流量统计信息；以及过滤数据库，其被配置为 存储有关被过滤的数据包的数据包信息。

所述数据包监控单元被配置为在收集到的数据包当中，根据端口号，监控并分类 使用预定的已知端口或预定的未知端口的应用程序的数据包。

所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的 数据包，提取协议信息、所述目的地地址以及所述端口号。

所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的 数据包，提取用于所述目的地地址的目的地端口号、目的地IP地址和目的地MAC 地址。

所述数据包监控单元被配置为当通过使用所述预定的未知端口的应用程序来创 建套接字时，提取协议信息、所述目的地地址以及所述端口号。

所述数据包监控单元被配置为通过监控使用所述预定的未知端口的应用程序的 数据包，计算所述数据包在所述应用程序中发生的数据包创建时段。

所述数据包过滤单元被配置为通过利用在所述用户终端的核心区域操作的网络 过滤器来过滤与所述过滤策略相对应的应用程序的数据包或具有所述过滤策略的阻 止目的地地址的数据包。

所述数据包过滤单元被配置为创建句柄，所述句柄用于在用户区域控制在所述用 户终端的核心区域操作的所述过滤策略，并通过利用创建的句柄来控制被配置为执行 过滤的所述网络过滤器。

根据本发明的另一个方面，提供了一种利用监控策略和过滤策略控制数据流量的 方法，所述方法包括以下步骤：从网络流量管理装置接收所述监控策略；根据端口号 分类并收集在用户终端的应用程序中产生的数据包；在所述用户终端的核心区域，通 过监控接收到的数据包，根据所述应用程序或目的地地址，检测并分类符合接收到的 监控策略的数据包；通过分析检测到的数据包来创建流量统计信息；向所述网络流量 管理装置发送创建的流量统计信息，并从所述网络流量管理装置接收所述过滤策略； 以及在所述用户终端的核心区域过滤与接收到的过滤策略相对应的应用程序的数据 包或具有包括在所述过滤策略中的阻止目的地地址的数据包。

所述数据包的检测和分类的步骤包括：在收集到的数据包当中，根据端口号，监 控并分类使用预定的已知端口或预定的未知端口的应用程序的数据包。

所述数据包的检测和分类的步骤包括：通过监控使用所述预定的未知端口的应用 程序的数据包来提取协议信息、目的地地址和端口号。

所述数据包的检测和分类的步骤包括：通过监控使用所述预定的未知端口的应用 程序的数据包来提取用于所述目的地地址的目的地端口号、目的地IP地址和目的地 MAC地址。

所述数据包的检测和分类的步骤包括：当通过使用所述预定的未知端口的应用程 序来创建套接字时，提取协议信息、所述目的地地址以及所述端口号。

所述数据包的检测和分类的步骤包括：通过监控使用所述预定的未知端口的应用 程序的数据包来计算所述数据包在所述应用程序中发生的数据包创建时段。

所述数据包的过滤的步骤包括：通过利用在所述用户终端的核心区域操作的网络 过滤器来过滤与所述过滤策略相对应的应用程序的数据包或具有所述过滤策略的阻 止目的地地址的数据包。

所述数据包的过滤的步骤包括：创建句柄，所述句柄用于在用户区域控制在所述 用户终端的核心区域操作的所述过滤策略，并通过利用创建的句柄来控制用于执行过 滤的所述网络过滤器。

根据本发明，用户终端侧根据监控策略检测应用程序的数据包，向网络流量管理 装置发送检测到的数据包的流量统计信息，并根据从网络流量管理装置接收到的过滤 策略过滤数据包，从而快速容易地检测能够引起通信网络过载的偶发数据通信流量 （例如，用于维持会话的数据）或恶意用户的流量，并在用户终端侧过滤检测到的流 量。

根据本发明，可以使提供例如应用程序的注册和认证的推送服务以及维生消息发 送的过程所必需的流量最小化，并且可以预先过滤能够增加网络负载的消息。

根据本发明，能够快速识别并过滤违反监控策略和过滤策略的应用程序的数据 包、恶意应用程序或异常产生流量的应用程序。

根据本发明，用户终端的应用程序被分类为使用预定的已知端口的应用程序和使 用预定的未知端口的应用程序，从而监控并过滤使用预定的未知端口的应用程序的数 据包，并且使用已知端口的应用程序的数据包通过，在这种情况下，能够减少需要监 控和过滤的数据包，从而能够实现用户终端的操作减少。

附图说明

图1是根据本发明的一个实施方式利用监控策略和过滤策略的网络流量管理系 统的配置的框图；

图2是根据本发明的一个实施方式利用监控策略和过滤策略的流量控制装置的 配置的框图；

图3是根据本发明的一个实施方式的图2的流量管理单元的详细配置的框图；

图4是根据本发明的一个实施方式利用监控策略和过滤策略的网络流量管理方 法的信号流图；以及

图5是根据本发明的一个实施方式的流量控制装置中的流量控制方法的流程图。

具体实施方式

以下，将参考附图详细描述本发明的实施方式。从下面的详细说明中将清楚地理 解本发明的配置及相应的效果。在对本发明进行详细说明之前，应当注意的是相同的 部件尽管在不同的附图中示出，但它们在附图中标有相同的参考数字，并且与已知的 功能或配置有关的详细说明当使得本发明的主题模糊时将被省略。

图1是根据本发明的一个实施方式利用监控策略和过滤策略的网络流量管理系 统的配置的框图。

如图1所示，根据本发明的一个实施方式，利用监控策略和过滤策略的网络流量 管理系统10包括包含在用户终端100中的流量控制装置110，网络流量管理装置200 以及服务提供装置300。

网络流量管理装置200管理用户终端100与服务提供装置300之间的网络流量。 为此，网络流量管理装置200被配置为创建监控策略和过滤策略，将创建的监控策略 和过滤策略发送至包含在用户终端100中的流量控制装置110，以管理流量。在此， 网络流量管理装置200可接收来自流量控制装置110的流量统计信息，以识别用户终 端100的流量统计信息。而且，网络流量管理装置200被配置为通过分析用户终端 100的流量统计信息创建过滤策略，以向流量控制装置110发送创建的过滤策略。网 络流量管理装置200可预先收集有关要管理的流量的流量信息，创建过滤策略并将创 建的过滤策略发送至流量控制装置110。

在此，通信网络是指用于提供通信服务的网络，这样用户终端100、网络流量管 理装置200以及服务提供装置300可以以有线和无线的方式互相通信。也就是说，通 信网络可以是有线互联网网络，并且可包括通过移动通信网络（CDMA，和W-CDMA） 连接的无线数据网络（互联网网络，以及IP多媒体子系统（IMS）网络），或者通过 例如Wi-Fi的近场通信连接的互联网网络。

流量控制装置110通过安装在用户终端100中的应用程序101控制流量发生。在 此，能够执行流量控制功能的包括笔记本电脑、智能电话、个人数字助理（PDA）、 导航系统、便携式多媒体播放器（PMP）、电子词典以及MP3播放器在内的终端可应 用于用户终端100，而与其种类无关。流量控制装置110可通过从基于网络的外部系 统或外部存储介质提供的流量控制程序执行流量控制功能。

描述流量控制过程，流量控制装置110被配置为在用户终端100的核心区域，基 于从网络流量管理装置200接收到的监控策略，根据应用程序和目的地地址，检测并 分类已经发生在用户终端100的应用程序中的数据包。流量控制装置110将有关检测 到的数据包的流量统计信息发送至网络流量管理装置200。在那之后，流量控制装置 110在用户终端100的核心区域过滤与从网络流量管理装置200接收到的过滤策略相 对应的应用程序的数据包，或具有包括在过滤策略中的阻止目的地地址的数据包。

图2是根据本发明的一个实施方式利用监控策略和过滤策略的流量控制装置的 配置的框图。

在下文中将描述根据本发明的实施方式的流量控制装置的各元件。

如图2所示，根据本发明的流量控制装置110包括数据包收集单元210、数据包 监控单元220、流量管理单元230以及数据包过滤单元240。在此，流量控制装置110 接收在安装于用户终端100内的应用程序101中发生的数据包。

数据包收集单元210被配置为根据用户终端100中的端口号，收集并分类已经在 安装于用户终端100内的应用程序101中发生的数据包。

数据包监控单元220被配置为在已经被收集在数据包收集单元210中的数据包当 中，根据在用户终端的核心区域的应用程序或目的地地址，检测并分类符合监控策略 的数据包。

具体描述数据包监控过程，数据包监控单元220被配置为在数据包收集单元210 已经收集到的数据包当中，根据发送/接收端口，监控并分类利用预定的已知端口或 未知端口的应用程序101的数据包。

描述已知端口和未知端口，应用程序101可被分类为使用预定的已知端口的应用 程序和使用预定的未知端口的应用程序。例如，利用预定的已知端口的应用程序包括 网络浏览器。利用预定的已知端口的应用程序的数据包发送/接收可基本通过，无需 策略的对比。另一方面，数据包监控单元220假设利用预定的未知端口的应用程序的 数据包根据其标准操作，并根据监控策略检测数据包。在此，当用户终端100的应用 程序101使用的端口号被登记在网络流量管理装置200中时，应用程序101使用的端 口号被称为已知端口。未知端口是指未被登记在网络流量管理装置200中的端口号。

数据包监控单元220可通过监控使用预定的未知端口的应用程序101的数据包来 提取协议信息、目的地地址以及端口号。当使用已知端口的应用程序符合过滤策略时， 数据包监控单元220可通过仅监控使用未知端口的应用程序101的数据包来减少待监 控的数据包。

此时，只有在套接字（socket）被创建时，数据包监控单元220可通过监控使用 预定的未知端口的应用程序101的数据包来提取协议信息、目的地地址以及端口号。 由于在应用程序101和服务提供装置300之间创建套接字之后，应用程序101具有相 同的协议信息、相同的目的地地址以及相同的端口号，数据包监控单元220可仅在套 接字被创建时通过提取协议信息、目的地地址以及端口号来减少数据包监控负载。在 此，数据包监控单元220被配置为提取作为目的地地址的目的地端口号、目的地IP 地址以及目的地MAC地址。

而且，数据包监控单元220可通过监控使用预定的未知端口的应用程序101的数 据包来计算数据包创建时段。例如，当已经在监控策略中配置了数据包创建时段时， 数据包监控单元220可检测超出数据包创建时段的应用程序101的数据包。

同时，数据包监控单元220在不检查应用程序101的有效载荷的情况下仅确定是 否存在接收/发送数据包。这样，数据包监控单元220能够减少数据包监控的负载。 数据包监控单元220可获取并单独地分析整个数据包数据，即，数据包头部和数据包 有效负载，或者可将整个数据包数据发送至网络流量管理装置200。

在那之后，在用户终端100的核心区域，数据包过滤单元240过滤与过滤策略相 对应的应用程序的数据包或具有包括在过滤策略内的阻止目的地地址的数据包。在 此，从网络流量管理装置200接收过滤策略。数据包过滤单元240通过利用在用户终 端100的核心区域操作的网络过滤器过滤与过滤策略相对应的应用程序101的数据包 或具有过滤策略的阻止目的地地址的数据包。数据包过滤单元240创建句柄（例如， iptables句柄，libipq*），所述句柄被配置为在用户区域控制在用户终端100的核心区 域操作的过滤策略，并可通过创建的句柄控制执行过滤的网络过滤器。

同时，流量管理单元230被配置为通过分析在数据包监控单元220中检测到的数 据包来创建流量统计信息。流量管理单元230将创建的流量统计信息发送至网络流量 管理装置200。

图3是根据本发明的一个实施方式的图2的流量管理单元的详细配置的框图。

如图3所示，流量管理单元230包括流量信息创建单元310、策略配置单元320 以及数据存储单元330。在此，数据存储单元330包括策略数据库（DB）331、流量 DB332以及过滤DB333。

流量信息创建单元310分析根据应用程序和目的地地址在数据包监控单元220 中检测到的数据包，以创建流量统计信息。流量统计信息包括针对预定时段的根据应 用程序的数据包的数量和大小，以及针对预定时段的根据目的地地址的数据包的数量 和大小。

策略配置单元320分别在数据包监控单元220和数据包过滤单元240中配置接收 到的监控策略和过滤策略。监控策略包括将要被监控的应用程序列表、协议信息、端 口号、数据包创建时段以及目的地地址。过滤策略包括阻止的应用程序列表以及阻止 目的地地址列表。

数据存储单元330存储在流量信息创建单元310中创建的流量统计信息、流量信 息以及关于过滤的数据包的数据包信息。

更具体地说，数据存储单元330将接收到的监控策略和过滤策略存储在策略DB 331中。而且，数据存储单元330将已经在流量信息创建单元310中创建了的根据应 用程序和目的地地址的流量统计信息存储在流量DB332中。而且，数据存储单元330 将已经在数据包过滤单元240中过滤了的数据包信息存储在过滤DB333中。

图4是根据本发明的一个实施方式利用监控策略和过滤策略的网络流量管理方 法的信号流图。

安装在用户终端100中的应用程序101向服务提供装置300发送或从服务提供装 置300接收用于维持会话的数据包或恶意的数据包（S402）。

流量控制装置110从安装在用户终端100中的应用程序101收集数据包（S404）。

流量控制装置110根据监控策略监控收集到的数据包（S406）。

流量控制装置110通过利用监控过程S406的监控结果来创建流量统计信息，并 将创建的流量统计信息发送至网络流量管理装置200（S408）。

网络流量管理装置200分析从流量控制装置110接收的流量统计信息，并利用分 析结果创建过滤策略。

网络流量管理装置200将创建的过滤策略发送至流量控制装置110。

流量控制装置110根据从网络流量管理装置200接收的过滤策略过滤应用程序 101的数据包。

流量控制装置110根据接收到的过滤策略阻止应用程序101的数据包（S416）。 在过程S416中，已经描述了阻止数据包的过程。在过程S416中，流量控制装置110 可以根据过滤策略阻止或许可数据包。

图5是根据本发明的一个实施方式的流量控制装置中的流量控制方法的流程图。

网络流量管理装置200向流量控制装置110发送监控策略（S502）。然后，流量 管理单元230接收监控策略（S502）。

流量管理单元230在数据包监控单元220中配置接收到的监控策略（S504）。

在那之后，数据包收集单元210根据端口号收集并分类在安装于用户终端100 中的应用程序101中创建的数据包，并且数据包监控单元220根据监控策略监控从应 用程序101收集的数据包（S506）。

数据包监控单元220通过在用户终端100的核心区域的数据包监控确定是否存在 符合监控策略的数据包（S508）。数据包监控单元220可根据应用程序和目的地地址 检测并分类数据包。

当确定存在符合监控策略的数据包时（S508），流量管理单元230分析在数据包 监控单元220中检测到的数据包，以创建流量统计信息（S510）。

流量管理单元230将创建的流量统计信息发送至网络流量管理装置200（S512）。

网络流量管理装置200分析接收到的流量统计信息，并利用分析结果创建过滤策 略（S514）。

网络流量管理装置200将创建的过滤策略发送至流量控制装置110（S516）。

数据包过滤单元240根据从流量控制装置110接收的过滤策略过滤应用程序101 的数据包（S518）。也就是说，在用户终端的核心区域，数据包过滤单元240过滤与 过滤策略相对应的应用程序的数据包或具有包括在过滤策略中的阻止目的地地址的 数据包。

同时，上述的数据流量控制方法可实现为记录在计算机可读记录介质中的软件程 序，从而本发明可适用于各种播放设备。

各种播放设备包括个人电脑、笔记本电脑、便携式终端以及智能电话。

例如，记录介质可以是包括硬盘、闪速存储器、随机存取存储器（RAM）以及 只读存储器（ROM）在内的嵌入式记录介质，或者是包括例如CD-R和CD-RW的光 盘、紧凑型闪存卡、智能媒体、记忆棒以及多媒体卡在内的可拆卸式记录介质。

在这种情况下，可以执行记录在计算机可读记录介质中的程序，同时包括从网络 流量管理装置接收监控策略；根据端口号收集并分类在用户终端的应用程序中创建的 数据包；在用户终端的核心区域通过监控收集到的数据包，根据应用程序和目的地地 址，检测并分类符合接收到的监控策略的数据包；通过分析检测到的数据包创建流量 统计信息；将创建的流量统计信息发送至网络流量管理装置，并从该网络流量管理装 置接收过滤策略；在用户终端的核心区域，过滤与接收到的过滤策略相对应的应用程 序的数据包或具有包括在过滤策略中的阻止目的地地址的数据包。

虽然为说明目的已经描述了本发明的示例性实施方式，但本领域技术人员将理解 的是，在不脱离由随附的权利要求书所公开的本发明的精神和范围的情况下，可以对 本发明进行各种修改、添加和替换。因此，本发明不限于本发明的说明书中所公开的 实施方式。通过随附的权利要求书及其等同物可以确定本发明的范围。

根据本发明，用户终端侧根据监控策略检测应用程序的数据包，向网络流量管理 装置发送检测到的数据包的流量统计信息，并根据从网络流量管理装置接收到的过滤 策略过滤数据包，从而快速容易地检测并过滤能够引起通信网络过载的偶发数据通信 流量（例如，用于维持会话的数据）或者用户的恶意流量。由于本发明克服了这方面 相关技术的局限性，应用设备以及相关技术的应用程序的销售及买卖有了很好的机 会，并且事实上很明显的是本发明的执行具有较大的工业可用性。