监测数据网络中包括多个数据流的通讯会话

摘要

本发明涉及一种监测整个数据网络的通讯会话的方法，所述会话包括使用第一协议的第一数据流，所述第一数据流称之为母数据流，该母数据流包括允许使用适用于所述会话的第二协议来建立第二数据流的数据，所述第二数据流称之为子数据流，所述方法包括：搜索(13)在数据流中允许建立子数据流的数据；使用这些数据生成(15)和存储(17)签名，称之为母密钥；审核(19)在所述数据网络中使用第二协议的数据流；生成(21)各个所述数据流的签名；比较(23)各个所述数据流的签名和母密钥；并且如果比较结果为正，则确定(25)对应的数据流为会话的子数据流。

说明书

本发明涉及监测数据网络中的通讯会话的方法和系统，所述会话 包括使用第一协议的第一数据流，该第一数据流称之为母数据流，该 母数据流包括允许使用适用于会话的第二协议来建立第二数据流的 数据，该第二数据流称之为子数据流。本发明还涉及实施监测方法的 计算机程序产品。

现有的网络应用通常使用多个会话和协议来执行它们的任务。

例如，在视频会议所产生的视频通话中，RTP会话(Real Time Protocol  -实时协议)可由SIP会话(Session Initiation Protocol-会话初始化协议)进 行初始化，并且RTP会话参数取决于SIP会话所交换的信息。

诸如防火墙之类的网络监测装置使用状态机制来建立在不同协 议会话之间的连接。

这种解决方法存在着增加这些装置的复杂性的缺陷，因为状态机 制的行为必须针对各个新的网络运用进行设置。此外，不同数据流的 处理会引起资源聚集，从而限制通过这些装置的有效带宽，或者需要 形成更加昂贵的机制，或者限制所能监测的数据量。

因此，有利的是采用有效的硬件和实施资源来监测多协议网络应 用的方法和系统。

为了克服上述一项或多项缺点，提出一种监测数据网络中的通讯 会话的方法，所述会话包括使用第一协议的第一数据流，所述第一数 据流称之为母数据流，所述母数据流包括允许使用适用于所述会话的 第二协议来建立第二数据流的数据，所述第二数据流称之为子数据 流，所述方法包括：

●搜索在所述母数据流中允许建立子数据流的数据；

●生成和存储适用于所述数据的签名，称之为母密钥；

●审核在所述数据网络中使用第二协议的数据流；

●生成各个所述数据流的签名；

●比较各个所述数据流的签名和母密钥；以及，

●如果比较结果为正，则确定所对应的数据流为会话的子数据 流。

通过定义具有合适签名的各个数据流以及执行简单的签名比较， 由计算机来执行该方法就非常迅速和简便，所述方法优选允许对相关 的数据流进行简单的分类，并且不需要定义状态机制。

本发明所具有的具体特征或优点可以单独使用或者组合使用，包 括：

·所述会话包括确定多个子数据流，审核数据流直至确定子数 据流的集合；

·所述子数据流包括允许使用适用于会话的第三协议来建立 第三数据的数据，使用这些数据来生成签名，并且审核使用第三协议 的数据流直至确定对应于所述会话的数据流；

·监测多个会话的方法，包括生成和存储母数据流的母密钥， 适用于使用第二协议的数据流，将签名与各个母密钥进行比较，以确 定所述数据流是否为一个会话的子数据流。

值得注意的是，所述方法有利于应用多个母数据流、子数据流及 其定义一个或多个母数据流之间遗传、具有任何等级遗传的一个或多 个子数据流之间遗传的任何类型的树结构。

本发明的第二部分中，提出一种计算机程序，其包括存储在计算 机可读介质上的程序代码，以当在计算机中执行该程序时可执行上述 的方法的步骤。

本发明的第三部分中，提出一种监测数据网络中的通讯会话的系 统，所述会话包括使用第一协议的第一数据流，所述第一数据流称之 为母数据流，所述母数据流包括允许使用适用于所述会话的第二协议 来建立第二数据流的数据，所述第二数据流称之为子数据流，所述系 统包括：

·第一数据流分析器，用于搜索在母数据流中允许建立子数据流 的数据；

·第一签名生成器，用于使用所述数据生成签名，称之为母密钥；

·存储器，用于存储所述签名；

·第二数据流分析器，用于审核在所述数据网络中使用第二协议 的数据流；

·第二签名生成器，用于生成各个所述数据流的签名；

·比较器，用于比较各个所述数据流的签名和母密钥；以及，

·标示器，如果比较的结果为正，则标示对应所述签名的数据流 为所述会话的子数据流。

在本发明的实施例中，系统至少包括由数据网络相连接的两个装 置，第一装置至少包括存储器、签名比较器和标示器，第二装置至少 包括第一数据流分析器，第一签名生成器和将所生成的签名传输至第 一装置的接口。它还至少包括由数据网络连接着第一装置的第三装 置，并且至少包括第二数据流分析器、第二签名生成器和将所生成的 签名传输至第一装置的接口。

本发明将通过下文以及参考附图的阐述变得更加明晰，附图包 括：

图1为数据网络的示意图；

图2为根据本发明实施例的方法的流程图；

图3为根据本发明第一实施例的监测系统的示意图；以及，

图4为根据本发明第二实施例的监测系统的示意图。

参照图1，数字数据网络1互连着多个装置3。监测系统5连接着 该网络，以获取在装置3之间所交换的数据。

系统5监测通过网络1所传播的通讯会话。“会话”或应用会话 为给定网络应用所产生的数据交换集。

例如，如众所周知，当第一装置希望使用FTP协议将文件传输至 第二装置时，第一装置和第二装置在端口21上开始使用TCP协议的 第一次交换，然后允许在变化但高于1024的端口上传输采用TCP协 议使用FTP-DATA的实际文件。所有的这些交换一起构成一个会话。

第一个TCP在端口21的交换并使用FTP-DATA传输，下文称之 为子会话或简单数据流。

第一子会话称之为母的子会话或母数据流，因为其能够在两个装 置之间交换数据，并允许建立第二子会话，称之为子的子会话或子数 据流。

为了监测会话，系统5实施下述方法，如图2所示意说明。

所述系统通过分析所传输的数据，在步骤11中监测所述应用会话 已经以母数据流的形式建立。

然后，在步骤13中，系统5分析母数据流，以发现用于建立子 数据流的数据。例如，在FTP会话中，系统5将分析所发送的数据包， 以确定形成传输的端口。

一旦收集到这些数据，系统5在步骤15中使用这些数据生成称 为母密钥的签名。例如，对FTP对话，系统5从信源装置和接收装置 的IP地址以及端口数来产生签名。该签名是例如这些数据的hash(无 序)数值。

这个母密钥由系统5在步骤17中存储。

随后，系统5监测对应于子数据流的数据流，例如在步骤19中， 因为子数据流使用与之相匹配的协议。

在步骤21中，计算各个数据流的签名。该签名计算与母密钥计 算相类似。例如，对FTP会话，计算两个装置的IP地址以及端口数 的hash密钥。

在步骤23中，将该密钥与母密钥进行比较。

如果比较结果为正，则在步骤25中，将对应数据流确认为所寻 找的子数据流。

为方便阐述，下文限制为一个母数据流和一个子数据流。然而， 本发明可以简单地适用于多个母数据流和子数据流。

于是，如果会话包含母数据流和多个子数据流，则系统将计算尽 可能多的母密钥，并且监测多个数据流直至获得子数据流。

相反的，多个会话，并因此可以同时监测多个母数据流。

然后，将数据流签名与所有母密钥进行比较，直至获得对应的母 密钥，以此定义相关的会话。如果没有对应的密钥，这意味着该数据 流不属于监测会话中的任一一个会话。

所述方法也可简单地适用于包括多个遗传等级的会话，即子数据 流包括用于建立其它数据流的数据，并且其行为构成作为其它子数据 流的母数据流。根据由子数据流所形成的连接数据，所述系统定义与 潜在的子数据流的签名相比较的母密钥。

本方法可根据所需技术特征以及处理系统的能力以各种不同的 形式准确实施。

例如，母密钥集合可以对应于具有会话名字特征的排序向量。一 旦计算出数据流的签名，母密钥或密钥的搜索和比较以及对会话的数 据流的分配对应于基于索引的操作，这是计算机在资源和速度方面都 十分有效的操作。这还能够对多个会话进行监测。

如图所示，检测系统5还包括：

●第一数据流分析器(31)，用于搜索在母数据流中允许建立子 数据流的数据；

●第一签名生成器(33)，用于使用所述数据生成签名，称之为 母密钥；

●存储器(35)，用于存储所述签名；

●第二数据流分析器(37)，用于审核在所述数据网络中使用第二 协议的数据流；

●第二签名生成器(39)，用于生成各个数据流的签名；

●比较器(41)，将各个数据流的签名和母密钥进行比较；以及，

●标示器(43)，如果比较的结果为正，则标示对应于所述签名的 数据流为所述会话的子数据流。

该监测系统可以由专用电子电路或者通过由计算机编程的程序 代码的计算机程序来执行，所述计算机程序可以存储在计算机的可读 介质上，当在计算机上执行本程序时，则能够执行监测方法的步骤。 尤其是，计算机包括能够监听网络中数据传输的网络接口、用于生成 密钥和签名的连接着处理器的随机存取存储器、以及用于例如存储签 名生成标准的硬盘驱动器之类的非易失性存储器。

所述系统的一个具体实施例包括将其分成多个非集中的装置，如 图4所示。第一装置系列50设置在所述数据流的附近，包括数据流 分析器31、37以及签名生成器33、39。然后，各自包括与集中装置 54通讯的通讯接口52，除了连接着接口52的通讯接口56之外，所 述集中装置54还包括用于存储签名的非易失性存储器35，以及签名 比较器41和标示器43。在第一装置50中也可以发现最后一个单元， 用于在产生数据流的附近来标示数据流。

本发明已通过上文以及附图作了阐述。有可能有许多不同的变化 例。

具体的，监测系统可以包括单一的数据流分析器和单一的签名生 成器，用于审核数据流并生成母数据流和子数据流的签名。或者，为 了提高速度，可以有与它们相同数量的协议类型。

在权利要求中，“包括”一词具有不排除其它元素的含义，以及 定冠词“一个”一词具有不排除多个的含义。