專利名稱:網(wǎng)絡(luò)應(yīng)用流量識別方法和裝置及網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)應(yīng)用流量識別方法和一種網(wǎng)絡(luò)應(yīng)用流量識別裝置�,還涉及一種網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備。
背景技術(shù):
網(wǎng)絡(luò)應(yīng)用流量識別是許多核心網(wǎng)絡(luò)業(yè)務(wù)的關(guān)鍵共性技術(shù)�,其將不同應(yīng)用類型或者應(yīng)用協(xié)議的流量區(qū)分出來���,以便分別進(jìn)行處理。
現(xiàn)有的網(wǎng)絡(luò)應(yīng)用流量識別技術(shù)主要有以下幾種(1 )基于IP/端口的識別技術(shù)根據(jù)TCP數(shù)據(jù)包或UDP數(shù)據(jù)包包頭的源IP地址����、目的IP地址或者源端口號、目的端口號識別網(wǎng)絡(luò)應(yīng)用流量����;
該基于IP/端口的識別術(shù)技能夠有效識別具有固定通信網(wǎng)絡(luò)端口號的網(wǎng)絡(luò)流量,比如早期的Fasttrack使用1214端口進(jìn)行通信��;
但是�,該方法對于源IP地址、源端口號����、目的IP地址、目的端口號沒有特征的網(wǎng)絡(luò)應(yīng)用流量�����,則無法進(jìn)行識別��;比如,采用可變端口或者能夠進(jìn)行端口偽裝的網(wǎng)絡(luò)應(yīng)用流量����;
(2) DPI (Deep Packet Inspection,深層分組檢查)識別技術(shù)通過數(shù)據(jù)包深層掃描,在TCP數(shù)據(jù)包或UDP數(shù)據(jù)包負(fù)載中查找特定明文特征來識別網(wǎng)絡(luò)應(yīng)用流量�����,該特定明文特征使某一個(gè)協(xié)議區(qū)別于其它協(xié)議��;
該DPI識別技術(shù)對于具有明文特征的網(wǎng)絡(luò)應(yīng)用流量���,其識別準(zhǔn)確度可達(dá)95%甚至更高,同時(shí)能夠很好的識別采用可變端口或者進(jìn)行端口偽裝的網(wǎng)絡(luò)應(yīng)用流量�;
但是,本方法對于無法從TCP或UDP負(fù)載中提取明文特征的網(wǎng)絡(luò)應(yīng)用流量無效�;比如,由于無法從加密流中提取明文特征����,因此本方法無法對加密的網(wǎng)絡(luò)應(yīng)用流量進(jìn)行識別;
(3) 基于流統(tǒng)計(jì)特征的識別技術(shù)比如�,如果用戶保持的TCP或UDP連接在一段時(shí)間內(nèi),其目的端口在1024以上連接數(shù)與目的端口在1024以下連接數(shù)的比值大于預(yù)設(shè)閾值��,則認(rèn)為用戶正在使用P2P (Peer-to-Peer)軟件���;再比如��,如果用戶主機(jī)的TCP連接數(shù)和UDP流數(shù)大于某個(gè)設(shè)定閾值�����,也可認(rèn)為用戶正在使用P2P軟件��; "
該基于流統(tǒng)計(jì)特征的識別技術(shù)主要是針對無法提取明文特征的網(wǎng)絡(luò)應(yīng)用流量提出的����,但效果不佳,存在較大的誤報(bào)風(fēng)險(xiǎn)�����;比如說�����,本方法很難對P2P流量����、游戲流和數(shù)據(jù)庫流加以區(qū)分。
可以看出,對于采用可變端口并同時(shí)加密的網(wǎng)絡(luò)應(yīng)用流量���,現(xiàn)有的網(wǎng)絡(luò)應(yīng)用流量識別技術(shù)無法實(shí)現(xiàn)有效的識別�����;而隨著應(yīng)用軟件和協(xié)議的不斷發(fā)展��,網(wǎng)絡(luò)上出現(xiàn)了越來越多的使用基于IP/端口的識別技術(shù)和DPI識別技術(shù)所無法識別的網(wǎng)絡(luò)應(yīng)用流量����。其中�,加密P2P流量產(chǎn)生的影響最大:.其"帶寬吞噬"特性造成了網(wǎng)絡(luò)帶寬的巨大消耗,甚至?xí)鹁W(wǎng)絡(luò)擁塞���,大大降低網(wǎng)絡(luò)性能,劣化了網(wǎng)絡(luò)服務(wù)質(zhì)量�����,妨礙了正常的網(wǎng)絡(luò)業(yè)務(wù)開展和關(guān)鍵應(yīng)用�,嚴(yán)重影響了用戶正常的Web、 E-mail等應(yīng)用��;同時(shí),由于加密P2P流量無法被有效識別���,因此能夠輕易穿透現(xiàn)有防火墻和安全代理�,使得病毒和惡意代碼得以躲過安全審査入侵內(nèi)部網(wǎng)絡(luò)����,造成極大的安全隱患。
為了克服上述現(xiàn)有技術(shù)的缺陷���,網(wǎng)絡(luò)技術(shù)人員提出了諸多解決方案�����。其中�,中國專利申請CN200810018164.1 "基于傳輸層特征的P2P網(wǎng)絡(luò)流量識別方法"提出了這樣一種方案通過提取雙向網(wǎng)絡(luò)流的特征序列并與P2P特征模板庫中相同協(xié)議類型下的特征序列模板匹配實(shí)現(xiàn)P2P網(wǎng)絡(luò)流量的識別����。這一方案雖然能夠?qū)崿F(xiàn)對加密P2P網(wǎng)絡(luò)流量的識別,但需要對每一網(wǎng)絡(luò)應(yīng)用流量都提取N個(gè)數(shù)據(jù)包并遍歷P2P特征模板庫中所有的特征序列模板加以匹配���,因此效率較低�,同時(shí)也導(dǎo)致了較大的系統(tǒng)開銷���。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例旨在克服上述現(xiàn)有技術(shù)的缺陷���,提供能夠高效���、迅速識別網(wǎng)絡(luò)應(yīng)用流量的技術(shù)方案,同時(shí)有效降低系統(tǒng)開銷�����。
為實(shí)現(xiàn)上述目的�,本發(fā)明的實(shí)施例提供了一種網(wǎng)絡(luò)應(yīng)用流量識別方法,包括關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征的步驟�����;以及�,對于通過網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備的任一網(wǎng)絡(luò)會話執(zhí)行以下步驟
步驟S1:采用DPI識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別,識別成功則所
述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量�;其中,如果命中一所述特定明文特征�,
則以所述網(wǎng)絡(luò)會話的源IP為鍵值��,將所述特定明文特征關(guān)聯(lián)的特征序列模板
記錄到專門設(shè)置的第一列表中���,結(jié)束識別���;
步驟S2:對于前述識別技術(shù)無法識別的網(wǎng)絡(luò)會話��,記錄當(dāng)前報(bào)文的特
征信息����;
步驟S3:識別所記錄的報(bào)文數(shù)目是否達(dá)到預(yù)設(shè)的閾值���,是則將所述網(wǎng)絡(luò)會話的源IP和目的IP與所述第一列表中的鍵值進(jìn)行適配�����,提取匹配鍵值下全部特征序列模板并執(zhí)行步驟S4;否則步驟SI;
步驟S4:將上述所記錄的報(bào)文特征信息與所提取的特征序列模板進(jìn)行適配��,如果與一已知網(wǎng)絡(luò)應(yīng)用的特征序列模板適配成功�����,則識別所述網(wǎng)絡(luò)會話為所述己知網(wǎng)絡(luò)應(yīng)用流量���,結(jié)束識別。
其中����,所述當(dāng)前報(bào)文的特征信息可以包括負(fù)載長度特征��、方向特征和/或位置特征����。
其中���,所述步驟S1中采用DPI識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別的步
驟可以包括識別是否命中五層以上的協(xié)議明文特征��,是則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量���,并繼續(xù)執(zhí)行下述步驟,否則執(zhí)行步驟S2;識別是否命中特定明文特征�,是則以所述網(wǎng)絡(luò)會話的源IP為鍵值,將所述特定明文特征關(guān)聯(lián)的特征序列模板記錄到專門設(shè)置的第一列表中�,否則結(jié)束。
其中���,所述步驟Sl中將所述特定明文特征關(guān)聯(lián)的特征序列模板記錄到專門設(shè)置的第一列表中的步驟具體可以為遍歷所述第一列表中所述鍵值下的特征序列模板���,如果所述關(guān)聯(lián)的特征序列模板已存在,則不再記錄�;否則,將所述關(guān)聯(lián)的特征序列模板記錄到所述鍵值下�����。
其中���,還可以包括對所述第一列表表項(xiàng)執(zhí)行老化處理��,刪除所述第一列表在預(yù)設(shè)時(shí)間內(nèi)未被適配成功的特征序列模板����。
其中�����,所述關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征的步驟可以包括關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板ID和相應(yīng)的特定明文特征��,并將已知網(wǎng)絡(luò)應(yīng)用的特征序列模板存儲在特征模板庫中��;后續(xù)需要記錄
8已知網(wǎng)絡(luò)應(yīng)用的特征序列模板時(shí)�����,僅需記錄所述特征序列模板ID�,通過調(diào)用特征模板庫中的相應(yīng)特征序列模板實(shí)現(xiàn)�。
其中���,所述步驟S2之前還可以包括采用基于IP/端口的識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別�,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量�����。
本發(fā)明的實(shí)施例還提供了 一種網(wǎng)絡(luò)應(yīng)用流量識別裝置����,設(shè)置于網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備中,包括
關(guān)聯(lián)單元�����,用于關(guān)聯(lián)記錄己知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征����;
DPI識別單元,與所述關(guān)聯(lián)單元連接�����,用于采用DPI識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量并結(jié)束識別����,其中,如果命中一所述特定明文特征��,則觸發(fā)第一列表記錄單元�����;否則��,記錄當(dāng)前報(bào)文的特征信息���,如果所記錄的報(bào)文數(shù)目未達(dá)到預(yù)設(shè)的閾值則對所述網(wǎng)絡(luò)會話的后續(xù)報(bào)文繼續(xù)進(jìn)行識別,如果達(dá)到預(yù)設(shè)的閾值則觸發(fā)特征序列模板提取單元�����;
第一列表記錄單元���,與所述DPI識別單元和所述關(guān)聯(lián)單元連接����,用于以所述網(wǎng)絡(luò)會話的源IP為鍵值,將所述特定明文特征關(guān)聯(lián)的特征序列模板記錄到第一列表中���;
特征序列模板提取單元���,與所述DPI識別單元和所述第一列表連接,用于接受所述DPI識別單元識別失敗的觸發(fā)���,將所述網(wǎng)絡(luò)會話的源IP和目的IP與所述第一列表中的鍵值進(jìn)行適配�,提取匹配鍵值下全部的特征序列模板�����;
特征序列適配單元�����,與所述特征序列模板提取單元和所述DPI識別單元連接����,用于將所述網(wǎng)絡(luò)會話的報(bào)文特征信息與所提取的特征序列模板進(jìn)行適配,如果與一已知網(wǎng)絡(luò)應(yīng)用的特征序列模板適配成功�,則識別所述網(wǎng)絡(luò)會話為所述已知網(wǎng)絡(luò)應(yīng)用流量并結(jié)束識別。
其中���,所述DPI識別單元可以包括協(xié)議明文特征識別模塊��,用于識別
所述網(wǎng)絡(luò)會話是否命中五層以上的協(xié)議明文特征��,是則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量���,并觸發(fā)特定明文特征識別模塊���,否則觸發(fā)報(bào)文信息記錄模塊�����;報(bào)文信息記錄模塊�,用于記錄所述當(dāng)前報(bào)文的特征信息,并識別所記錄的報(bào)文數(shù)目是否達(dá)到預(yù)設(shè)的閾值����,是則觸發(fā)所述特征序列模板提取單元,否則指令所述協(xié)議明文特征識別模塊對所述網(wǎng)絡(luò)會話的后續(xù)報(bào)文繼續(xù)進(jìn)行識別����;特定明文特征識別模塊,用于識別所述網(wǎng)絡(luò)會話是否命中關(guān)聯(lián)單元中的一特定明文特征�,是則觸發(fā)所述第一列表記錄單元。
其中,所述當(dāng)前報(bào)文的特征信息可以包括負(fù)載長度特征�、方向特征和/或位置特征。
其中��,還可以包括第一列表管理單元�����,設(shè)置在所述第一列表記錄單元和所述第一列表之間����,用于遍歷所述第一列表中所述鍵值下的特征序列模板,如果關(guān)聯(lián)的特征序列模板已存在���,則不再記錄��;否則����,將所述關(guān)聯(lián)的特征序列模板記錄到所述鍵值下�����。
其中�,還可以包括第一列表老化單元�����,與所述第一列表連接�,用于對所述第一列表表項(xiàng)執(zhí)行老化處理��,刪除所述第一列表在預(yù)設(shè)時(shí)間內(nèi)未被適配成功的特征序列模板����。
其中,還可以包括特征模板庫���,與所述關(guān)聯(lián)單元連接,用于保存已知網(wǎng)絡(luò)應(yīng)用的特征序列模板�����;所述關(guān)聯(lián)單元中僅關(guān)聯(lián)記錄已知網(wǎng)絡(luò)應(yīng)用的特征序列模板ID和相應(yīng)的特定明文特征�。
其中,還可以包括IP/端口識別單元�,與所述DPI識別單元連接,用于采用基于IP/端口的識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別�,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量。
本發(fā)明的實(shí)施例還提供了 一種網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備���,包括網(wǎng)絡(luò)應(yīng)用流量處理裝置�,還設(shè)有上面任一所述的網(wǎng)絡(luò)應(yīng)用流量識別裝置,用于向所述網(wǎng)絡(luò)應(yīng)用流量處理裝置發(fā)送網(wǎng)絡(luò)應(yīng)用流量識別結(jié)果�����。
由上述技術(shù)方案可知���,本發(fā)明的實(shí)施例基于DPI識別法識別出的特定明文特征��,限定了某一IP后續(xù)可能產(chǎn)生的網(wǎng)絡(luò)應(yīng)用流量���,具有以下有益效果-
1、 能夠?qū)PI識別技術(shù)無法識別的網(wǎng)絡(luò)應(yīng)用流量加以識別����;
2、 無需遍歷全部已知網(wǎng)絡(luò)應(yīng)用的特征序列模板��,而是針對可能使用的特征序列模板加以適配�����,降低了適配工作量����,從而提高了網(wǎng)絡(luò)應(yīng)用流量識別
的效率����,同時(shí)降低了系統(tǒng)開銷��;
3��、在可能的范圍內(nèi)進(jìn)行特征序列識別�����,有效降低了特征序列識別的誤報(bào)率���。
通過以下參照附圖對優(yōu)選實(shí)施例的說明��,本發(fā)明的上述以及其它目的���、特征和優(yōu)點(diǎn)將更加明顯���。
圖1為本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別方法一實(shí)施例的流程圖�;圖2為本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別方法另一實(shí)施例的流程圖�;圖3為本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別裝置一實(shí)施例的框圖����;圖4為本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備一實(shí)施例的框圖��。
具體實(shí)施例方式
下面將詳細(xì)描述本發(fā)明的具體實(shí)施例�。應(yīng)當(dāng)注意,這里描述的實(shí)施例只用于舉例說明�����,并不用于限制本發(fā)明��。
本發(fā)明的主要構(gòu)思在于根據(jù)某一 IP產(chǎn)生的特定明文特征預(yù)測后續(xù)可能使用的網(wǎng)絡(luò)應(yīng)用流量����,來解決現(xiàn)有采用特征序列進(jìn)行識別時(shí)存在的匹配基數(shù)大所導(dǎo)致的效率降低、開銷較大以及誤報(bào)率高的問題���。下面將詳細(xì)介紹本發(fā)明所提供的網(wǎng)絡(luò)應(yīng)用流量識別方案����。
本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別方法是一種通用的識別方法����,主要具有以下特點(diǎn)
(1)利用了網(wǎng)絡(luò)應(yīng)用流量的特征序列進(jìn)行識別本領(lǐng)域技術(shù)人員可以了解�����,對于任何一種網(wǎng)絡(luò)應(yīng)用�����,無論其在網(wǎng)絡(luò)傳輸過程中加密與否���,其在數(shù)據(jù)包層面一直存在著可供識別的一些特征,包括負(fù)載長度特征即TCP或UDP負(fù)載長度為固定值或在指定范圍內(nèi)變化;方向特征即報(bào)文是從客戶端到服務(wù)器�����,還是從服務(wù)器到客戶端�;位置特征即該數(shù)據(jù)包是會話中的第幾個(gè)數(shù)據(jù)包;
通過提取一個(gè)已知網(wǎng)絡(luò)應(yīng)用的一系列數(shù)據(jù)報(bào)文的特征構(gòu)成一個(gè)特征序 列模板����,就可以作為一網(wǎng)絡(luò)會話是否為所述已知網(wǎng)絡(luò)應(yīng)用的判斷依據(jù),這種 方案可以簡稱為特征序列識別法����;
當(dāng)然����,上述提出的特征可以根據(jù)實(shí)際需要組合�����,比如可以采用負(fù)載長度 特征和方向特征作為特征構(gòu)成特征序列模板��,也可以采用負(fù)載長度特征�、方 向特征和位置特征共同作為特征構(gòu)成特征序列模板�。只要某網(wǎng)絡(luò)應(yīng)用流量能 夠與已知的特征序列模板匹配,那么該網(wǎng)絡(luò)應(yīng)用流量就能被準(zhǔn)確識別。
(2) 采用對網(wǎng)絡(luò)應(yīng)用流量進(jìn)行預(yù)測來縮小特征序列模板的適配范圍
由于已知網(wǎng)絡(luò)應(yīng)用的特征序列模板基數(shù)龐大�, 一一適配無疑需要巨大的
工作量����,從而導(dǎo)致網(wǎng)絡(luò)應(yīng)用流量識別的低效率和高消耗����;
而在協(xié)議分析過程中我們可以發(fā)現(xiàn)���,由于網(wǎng)絡(luò)應(yīng)用需要或者商業(yè)需要�����, 任何的網(wǎng)絡(luò)應(yīng)用軟件����,不管在網(wǎng)絡(luò)傳輸過程中是否加密或者進(jìn)行其他的偽裝 處理,其在啟動或者使用過程中都存在相應(yīng)的、能夠通過DPI識別技術(shù)檢測 出特定明文特征的流量;該流量可能為軟件啟動界面訪問固定的一個(gè)網(wǎng)址而 產(chǎn)生的HTTP流量���,比如�,當(dāng)采用迅雷(Thunder)軟件進(jìn)行下載時(shí),會在軟 件啟動時(shí)訪問迅雷特定URL的HTTP流量��,這個(gè)訪問會話所產(chǎn)生的HTTP 流量能夠被DPI技術(shù)所識別;該流量可能為軟件使用過程中進(jìn)行網(wǎng)站域名査 詢而產(chǎn)生的���、能夠被DPI技術(shù)所識別的DNS流量;或者�,該流量也有可能 是其他被DPI技術(shù)所識別的����、具有特定明文特征的TCP或UDP負(fù)載流量;
因此�����,根據(jù)某一 IP產(chǎn)生的DPI技術(shù)可識別流量判斷其正在使用的網(wǎng)絡(luò) 應(yīng)用��,能夠推測其后續(xù)可能產(chǎn)生的網(wǎng)絡(luò)應(yīng)用流量�,從而有效縮小特征序列模 板的適配范圍;
(3) 與現(xiàn)有的其他網(wǎng)絡(luò)應(yīng)用流量識別技術(shù)結(jié)合使用-
現(xiàn)有技術(shù)中的特征序列識別法都是獨(dú)立使用�,雖然能夠從特征序列的角 度實(shí)現(xiàn)流量的準(zhǔn)確識別,但事實(shí)上�,其中有相當(dāng)一部分流量可以采用現(xiàn)有的 DPI等簡單高效的方式實(shí)現(xiàn)識別,全部采用特征序列識別法無疑降低了識別 效率�,也加重了系統(tǒng)開銷;而本發(fā)明由于需要DPI技術(shù)進(jìn)行網(wǎng)絡(luò)應(yīng)用流量預(yù)測�����,因此可以將特征序
列識別法作為DPI識別處理的后續(xù)操作,針對DPI識別技術(shù)無法識別的網(wǎng)絡(luò) 應(yīng)用流量進(jìn)行處理�����,從而有效緩解上述問題���;
下面���,就本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別方法加以描述,其適用于網(wǎng)絡(luò) 應(yīng)用流量管理設(shè)備�����。
請結(jié)合圖1���,顯示了該網(wǎng)絡(luò)應(yīng)用流量識別方法一實(shí)施例的流程圖����,包括 以下步驟
步驟SO:關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征�; 具體的����,可以采用腳本或者用戶自定義接口的方式來定義已知網(wǎng)絡(luò)應(yīng)用
的特征序列模板���;以及,采用腳本或者用戶自定義接口的方式來關(guān)聯(lián)己知網(wǎng)
絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征�����;
其中�,已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征可能是一對
一的關(guān)聯(lián);
但更多情況下����,是一對多關(guān)聯(lián)比如,使用迅雷軟件時(shí)產(chǎn)生的特定明文 特征為訪問迅雷特定URL的HTTP流量�����,但軟件使用過程中可能綜合使用 BT (比特)���、迅雷�����、emule�����、 FTP等多種網(wǎng)絡(luò)應(yīng)用����,也就是后續(xù)可能發(fā)生的 網(wǎng)絡(luò)應(yīng)用流量具有多種可能,分別具有各自的特征序列模板��;這種情況下���, 是將一個(gè)特定明文特征與多個(gè)網(wǎng)絡(luò)應(yīng)用的特征序列模板關(guān)聯(lián)起來���;當(dāng)然,迅 雷協(xié)議和FTP協(xié)議都是明文的�,可以通過DPI識別技術(shù)識別出來,因此一般 僅需要關(guān)聯(lián)加密的BT和emule協(xié)議���;
或者�,是多對一關(guān)聯(lián)比如����,用戶可以采用BitTorrent、比特精靈等等 不用的應(yīng)用軟件�����,這些軟件在啟動之初產(chǎn)生的HTTP流量并不相同�,因此能 夠通過DPI識別技術(shù)提取到的特定明文特征也不相同;但這些應(yīng)用軟件所采 用的網(wǎng)絡(luò)應(yīng)用協(xié)議都是BT協(xié)議���,其特征序列模板一致����;這種情況下���,是將 多個(gè)特定明文特征與一個(gè)網(wǎng)絡(luò)應(yīng)用的特征序列模板關(guān)聯(lián)起來����;
較佳的�,由于直接關(guān)聯(lián)特征序列模板需要記錄的信息較多,因此可以采 用關(guān)聯(lián)己知網(wǎng)絡(luò)應(yīng)用的特征序列模板ID和相應(yīng)的特定明文特征��,并將已知 網(wǎng)絡(luò)應(yīng)用的特征序列模板存儲在特征模板庫中加以替代���;后續(xù)需要記錄已知 網(wǎng)絡(luò)應(yīng)用的特征序列模板時(shí)��,僅需記錄所述特征序列模板ID���,通過調(diào)用特征模板庫中的相應(yīng)特征序列模板實(shí)現(xiàn)�����;這樣�����,可以節(jié)約系統(tǒng)的空間開銷和處理 開銷�����;其中����,特征序列模板ID可以是該已知網(wǎng)絡(luò)應(yīng)用的名稱����,或者該特征 序列模板的編號等等。
在執(zhí)行完成上述已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征 關(guān)聯(lián)的步驟之后����,就能夠基于DPI識別技術(shù)識別出的特定明文特征,推測后 續(xù)網(wǎng)絡(luò)會話可能采用的網(wǎng)絡(luò)應(yīng)用協(xié)議�;具體的���,是對于通過網(wǎng)絡(luò)應(yīng)用流量管 理設(shè)備的任一網(wǎng)絡(luò)會話執(zhí)行以下步驟
步驟S1:采用DPI識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別���,識別成功則所 述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量�;其中���,如果命中一所述特定明文特征����, 則以所述網(wǎng)絡(luò)會話的源IP為鍵值�����,將所述特定明文特征關(guān)聯(lián)的特征序列模板 記錄到專門設(shè)置的第一列表中��,結(jié)束識別����;
在本步驟S1中,DPI識別技術(shù)能夠?qū)崿F(xiàn)以下兩方面特征的識別-
一方面��,是五層以上協(xié)議明文特征�;主要包括普通的HTTP流量����、DNS 流量或者其他TCP或者UDP流量�,以及未加密的FTP、 BT����、 emule、 Maze 等等網(wǎng)絡(luò)應(yīng)用協(xié)議�;上述網(wǎng)絡(luò)應(yīng)用協(xié)議可以被DPI識別技術(shù)正確識別,因此 其網(wǎng)絡(luò)會話流量類型能夠被直接確定�;
另一方面,是特定明文特征����;對于DPI識別技術(shù)能夠識別出協(xié)議明文特 征的網(wǎng)絡(luò)會話,需要進(jìn)一步判斷其是否為一已定義的特定明文特征�����,如果是�����, 那么說明后續(xù)將產(chǎn)生關(guān)聯(lián)的網(wǎng)絡(luò)應(yīng)用;舉例來說�,如果用戶訪問了比特精靈 網(wǎng)站,那么就有可能后續(xù)產(chǎn)生BT應(yīng)用���;
在實(shí)際應(yīng)用中��,能夠識別出協(xié)議明文特征的報(bào)文�����,其所屬會話的流量類 型就可以確定下來,無需進(jìn)一步的識別處理����,因此識別結(jié)束;而對于無法識 別出協(xié)議明文特征的報(bào)文�,則后續(xù)通過步驟S2加以進(jìn)一步的識別處理。
對上述內(nèi)容加以總結(jié)�,本步驟S1可以具體包括
步驟S11:識別是否命中五層以上的協(xié)議明文特征,是則所述網(wǎng)絡(luò)會話 為所識別網(wǎng)絡(luò)應(yīng)用流量����,并繼續(xù)執(zhí)行下述步驟S12;否則說明DPI識別技術(shù) 無法進(jìn)行協(xié)議明文特征識別,當(dāng)然也就更加沒有進(jìn)一步識別特定明文特征的 可能性����,因此轉(zhuǎn)入后續(xù)步驟S2的特征序列識別處理��;
步驟S12:識別是否命中特定明文特征��,是則以所述網(wǎng)絡(luò)會話的源IP
14為鍵值��,將所述特定明文特征關(guān)聯(lián)的特征序列模板記錄到專門設(shè)置的第一列 表中����;否則說明能夠識別出協(xié)議明文特征的網(wǎng)絡(luò)會話沒有進(jìn)一步的特定明文
特征�,由于基于上述識別出的協(xié)議明文特征已經(jīng)能夠確定網(wǎng)絡(luò)應(yīng)用流量,因 此無需進(jìn)一步的處理��,識別結(jié)束�����。
上述采用五元組信息中的源IP作為鍵值是一種較為常用的選擇��;但實(shí) 際應(yīng)用中所采用的鍵值可以不局限于此比如���,可以以〈源IP��、目的0 為鍵 值進(jìn)行記錄�����,當(dāng)后續(xù)網(wǎng)絡(luò)流量具有相同的〈源IP���、目的0>>或者<目的0>�����、源 IP〉時(shí)�����,其可能采用的是該鍵值下所有的網(wǎng)絡(luò)應(yīng)用;但后者由于匹配過于嚴(yán) 格��,所以有可能導(dǎo)致部分流量的處理跳過���。
作為一較佳的實(shí)施例����,如果在步驟SO中關(guān)聯(lián)的是己知網(wǎng)絡(luò)應(yīng)用的特征 序列模板ID和特定明文特征��,那么第一列表中所記錄的就是特征序列模板 ID��,當(dāng)后續(xù)需要進(jìn)行特征序列模板匹配時(shí),通過所述特征序列模板ID在特 征模板庫中調(diào)用即可�����,不再贅述�。
進(jìn)一步的,為了避免重復(fù)添加�����,在某一鍵值下記錄特定明文特征關(guān)聯(lián)的 特征序列模板時(shí)�����,需要遍歷所述第一列表中所述鍵值下的特征序列模板�����,如 果所述關(guān)聯(lián)的特征序列模板己存在�����,則不再記錄�;否則,將所述關(guān)聯(lián)的特征 序列模板記錄到所述鍵值下����;
更進(jìn)一步的���,各鍵值下所記錄的網(wǎng)絡(luò)應(yīng)用并不一定會發(fā)生,舉例來說����, 用戶雖然打開了BT軟件,但由于沒找到想要的文件��,因此關(guān)閉了BT客戶 端�����;或者�����,用戶的BT應(yīng)用在一段時(shí)間后被軟件封堵���,無法繼續(xù)下載;等等��。 由于網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備無法進(jìn)行區(qū)分���,因此只要發(fā)生了打開BT軟件的 行為���,就會在相應(yīng)鍵值下記錄該特定明文特征關(guān)聯(lián)的特征序列模板����,但這個(gè) 流量顯然不會發(fā)生或者不再繼續(xù)發(fā)生���;因此�����,較佳的實(shí)施方式為對第一列表 采取老化處理��,刪除所述第一列表在預(yù)設(shè)時(shí)間內(nèi)未被適配成功即在一定時(shí)間 內(nèi)沒有被匹配到的特征序列模板��,從而避免相應(yīng)鍵值下記錄過多的無效特征 序列模板�。
經(jīng)過上述步驟S1的處理��,可以看出�����,部分能夠被DPI識別技術(shù)識別的 網(wǎng)絡(luò)應(yīng)用流量已經(jīng)無需進(jìn)一步的處理���,而對于DPI識別技術(shù)無法識別的流量�����, 比如加密流量�,繼續(xù)執(zhí)行步驟S2:對于前述識別技術(shù)無法識別的網(wǎng)絡(luò)會話,記錄當(dāng)前報(bào)文的特 征信息����;
其中,當(dāng)前報(bào)文的特征信息可以包括負(fù)載長度特征����、方向特征和/或 位置特征;當(dāng)然����,根據(jù)實(shí)際情況,也可以選擇其他的特征信息���。
步驟S3:識別所記錄的報(bào)文數(shù)目是否達(dá)到預(yù)設(shè)的閾值,是則將所述網(wǎng) 絡(luò)會話的源IP和目的IP與所述第一列表中的鍵值進(jìn)行適配�,提取匹配鍵值 下全部的特征序列模板,即提取所有可能被采用的網(wǎng)絡(luò)應(yīng)用的特征序列模 板�����,然后執(zhí)行步驟S4;
否則,對所述網(wǎng)絡(luò)會話的后續(xù)報(bào)文重新執(zhí)行步驟S1;
可以看出����,如果在記錄報(bào)文數(shù)目沒有達(dá)到預(yù)設(shè)的閾值時(shí),識別出第M 個(gè)報(bào)文的協(xié)議明文特征���,那么網(wǎng)絡(luò)應(yīng)用流量識別成功��,不會再繼續(xù)進(jìn)行后續(xù) 的處理���;
只有當(dāng)檢測報(bào)文數(shù)目達(dá)到預(yù)設(shè)閾值仍然沒有任何一個(gè)報(bào)文被識別出協(xié) 議明文特征時(shí),才會觸發(fā)鍵值適配的動作��;
需要說明的是�����,閾值是由網(wǎng)絡(luò)管理人員根據(jù)實(shí)際情況預(yù)先設(shè)置的��;比如���, 閾值為30個(gè)報(bào)文���。
步驟S4:將上述所記錄的報(bào)文特征信息與所提取的特征序列模板進(jìn)行適 配�,如果與一已知網(wǎng)絡(luò)應(yīng)用的特征序列模板適配成功�����,則識別所述網(wǎng)絡(luò)會話 為所述已知網(wǎng)絡(luò)應(yīng)用流量�,結(jié)束識別;
有必要指出的是��,特征序列模板對應(yīng)的往往不是一個(gè)報(bào)文所能包括的信 息����;以閾值為30個(gè)報(bào)文為例,本步驟S4就是用所記錄的30個(gè)報(bào)文的特征 信息共同與所提取的特征序列模板進(jìn)行適配��,只要一特征序列模板能在三十 個(gè)報(bào)文的全部特征信息中找到對應(yīng)����,那么就認(rèn)為適配成功;
此外��,作為補(bǔ)充說明的是�,對于步驟S1和S4識別成功的網(wǎng)絡(luò)會話,都 可以采取進(jìn)一步的處理動作,比如在相應(yīng)的會話控制模塊上記錄識別到的流 量類型信息��,在此不再贅述���。
通過上述步驟S0 S4可以看出,本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別方法利 用現(xiàn)有的DPI識別技術(shù)識別網(wǎng)絡(luò)應(yīng)用軟件在啟動或使用過程中產(chǎn)生的特定 HTTP流量��、DNS流量或其它具有特定明文特征的TCP或UDP負(fù)載流量��,推測該源IP后續(xù)未知流量可能使用的網(wǎng)絡(luò)應(yīng)用協(xié)議�����,從而大大縮小了進(jìn)行特 征序列匹配的范圍��,有效提高了網(wǎng)絡(luò)應(yīng)用流量識別的效率�����,同時(shí)降低了特征 序列識別的誤報(bào)率���;
以及�,與現(xiàn)有的DPI識別技術(shù)相結(jié)合�����,利用系統(tǒng)開銷較低的DPI識別技 術(shù)先行過濾一部分網(wǎng)絡(luò)應(yīng)用流量,既實(shí)現(xiàn)了對DPI識別技術(shù)無法識別的網(wǎng)絡(luò) 應(yīng)用流量的識別�����,同時(shí)也提高了識別效率�����,降低了識別開銷�。
作為一較佳的實(shí)施例,本發(fā)明所提供的網(wǎng)絡(luò)應(yīng)用流量識別方法還可以進(jìn) 一步結(jié)合現(xiàn)有的其他識別技術(shù)���,比如基于IP/端口的識別技術(shù)���;
具體的,可以在步驟S1執(zhí)行之前�,首先采用基于IP/端口的識別技術(shù)對 所述網(wǎng)絡(luò)會話進(jìn)行識別,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量���; 但是�,無論本步驟識別成功還是失敗���,都會繼續(xù)執(zhí)行步驟S1���,通過DPI識別 技術(shù)進(jìn)行特定明文特征的識別���;
或者�����,可以在步驟S1執(zhí)行之后�,對于DPI識別技術(shù)無法識別的網(wǎng)絡(luò)流 量采用基于IP/端口的識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別,識別成功則所述 網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量�,然后結(jié)束;否則執(zhí)行步驟S2�����,通過有限范 圍的特征序列識別法進(jìn)行進(jìn)一步的處理�;
上述特征序列識別法與基于IP/端口的識別技術(shù)和DPI識別法結(jié)合在一 起使用,能夠進(jìn)一步縮小需要進(jìn)行特征序列識別法進(jìn)行識別的網(wǎng)絡(luò)應(yīng)用流量 范圍�����,以及提高網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備的效率����。
為了便于理解�����,下面以一個(gè)具體實(shí)施例對本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識 別方法加以描述����。
首先���,關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征��;具體 的����,可以包括
定義各網(wǎng)絡(luò)應(yīng)用相應(yīng)的特定明文特征��;
使用腳本或用戶自定義接口的方法定義各網(wǎng)絡(luò)應(yīng)用流量對應(yīng)的特征序 列模板����;
使用腳本或用戶自定義接口的方法關(guān)聯(lián)特定明文特征和特征序列模板; 然后����,請結(jié)合圖2���,示出了基于IP進(jìn)行后續(xù)流量預(yù)測的網(wǎng)絡(luò)應(yīng)用流量識
17別方法后續(xù)步驟的流程圖,包括以下步驟
(1) 網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備接收所有通過的網(wǎng)絡(luò)會話報(bào)文����;
(2) 創(chuàng)建或查找會話管理控制塊,用于記錄會話五元組信息以及已識 別的流量類型��;
(3) 采用基于IP/端口的識別技術(shù)進(jìn)行網(wǎng)絡(luò)應(yīng)用流量識別�,識別成功則 在會話管理控制塊上記錄識別結(jié)果并進(jìn)入后續(xù)處理�,識別不成功則直接進(jìn)入 后續(xù)處理;
(4) 采用DPI識別法進(jìn)行網(wǎng)絡(luò)應(yīng)用流量識別���,包括 查看是否命中5層以上的協(xié)議明文特征��,比如HTTP協(xié)議�����、FTP協(xié)議���、
POP3協(xié)議以及未加密的BT、 Maze����、迅雷等協(xié)議�;
如果是�,則識別成功并在會話管理控制塊上記錄識別結(jié)果;然后�����,査看 是否命中了預(yù)定義的特定明文特征��,是則創(chuàng)建基于該會話源IP的表項(xiàng)�,并記 錄該特定明文特征關(guān)聯(lián)的特征序列模板(為了便于描述,我們稱這個(gè)用于記 錄表項(xiàng)的文件為第一列表)�,結(jié)束;
如果否���,則進(jìn)入后續(xù)處理����;
(5) 記錄當(dāng)前報(bào)文的特征信息�����;
(6) 識別所記錄的報(bào)文數(shù)目是否達(dá)到預(yù)設(shè)的閾值��,是則繼續(xù)執(zhí)行,否 則對所述網(wǎng)絡(luò)會話的后續(xù)報(bào)文重新執(zhí)行DPI識別����;
(7) 采用特征序列法進(jìn)行網(wǎng)絡(luò)應(yīng)用流量識別,包括-基于會話的源IP和目的IP遍歷第一列表中的表項(xiàng)鍵值����,確定全部可能
使用的網(wǎng)絡(luò)應(yīng)用的特征序列模板;
將所記錄的報(bào)文特征信息與上述特征序列模板進(jìn)行匹配��,匹配成功則表' 示該會話命中了該特征序列模板對應(yīng)的網(wǎng)絡(luò)應(yīng)用���,在會話管理控制塊上記錄 識別結(jié)果。
有必要指出的是��,有可能存在匹配不成功的情況���,比如一種尚未歸納特 征序列模板的網(wǎng)絡(luò)應(yīng)用協(xié)議就無法被匹配成功���;這種情況下,網(wǎng)絡(luò)應(yīng)用流量 識別失敗��,可以設(shè)置相應(yīng)的警報(bào)措施��,即如果某一會話在檢測了超過預(yù)設(shè)門 限值的報(bào)文后仍然沒有識別出所屬網(wǎng)絡(luò)應(yīng)用流量,那么提交報(bào)警日志�����,由網(wǎng) 絡(luò)管理員進(jìn)行后續(xù)處理����,比如定義相應(yīng)的特征序列等;對于其他識別成功的情況�,則由網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備根據(jù)識別出的網(wǎng) 絡(luò)應(yīng)用流量類型采取相應(yīng)的限流、阻斷��、告警等流量管理措施�。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分歩驟 可以通過程序指令相關(guān)的硬件來完成,所述的程序可以存儲于一計(jì)算機(jī)可讀 取存儲介質(zhì)中���,該程序在執(zhí)行時(shí)����,關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng) 的特定明文特征��,并對于通過網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備的任一網(wǎng)絡(luò)會話執(zhí)行如 下步驟
步驟S1:采用DPI識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別�,識別成功則所 述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量;其中��,如果命中一所述特定明文特征, 則以所述網(wǎng)絡(luò)會話的源IP為鍵值����,將所述特定明文特征關(guān)聯(lián)的特征序列模板 記錄到專門設(shè)置的第一列表中,結(jié)束識別�����;
步驟S2:對于前述識別技術(shù)無法識別的網(wǎng)絡(luò)會話���,記錄當(dāng)前報(bào)文的特 征信息�;
步驟S3:識別所記錄的報(bào)文數(shù)目是否達(dá)到預(yù)設(shè)的閾值���,是則將所述網(wǎng) 絡(luò)會話的源IP和目的IP與所述第一列表中的鍵值進(jìn)行適配���,提取匹配鍵值 下全部特征序列模板并執(zhí)行步驟S4;否則步驟S1;
步驟S4:將上述所記錄的報(bào)文特征信息與所提取的特征序列模板進(jìn)行適 配��,如果與一己知網(wǎng)絡(luò)應(yīng)用的特征序列模板適配成功�,則識別所述網(wǎng)絡(luò)會話 為所述已知網(wǎng)絡(luò)應(yīng)用流量,結(jié)束識別���;
所述的存儲介質(zhì)包括ROM/RAM (Readonly Memory/Random-Access Memory,只讀存儲器/隨機(jī)訪問內(nèi)存)���、磁碟或者光盤等�。
繼續(xù)��,對本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別裝置加以描述���。請結(jié)合圖3���,
顯示了一網(wǎng)絡(luò)應(yīng)用流量識別裝置300的實(shí)施例框圖。
該網(wǎng)絡(luò)應(yīng)用流量識別裝置300設(shè)置于網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備中��,包括 關(guān)聯(lián)單元301���,用于關(guān)聯(lián)記錄已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特
定明文特征��;
DPI識別單元302�,與關(guān)聯(lián)單元3(H連接�,用于采用DPI識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量并結(jié)
束識別�����;其中,如果命中一所述特定明文特征�����,則觸發(fā)第一列表記錄單元304;
否則��,記錄當(dāng)前報(bào)文的特征信息��,可以包括負(fù)載長度特征��、方向特征和/或位 置特征(也可以包括其他的特征信息)�,如果所記錄的報(bào)文數(shù)目未達(dá)到預(yù)設(shè) 的閾值則對所述網(wǎng)絡(luò)會話的后續(xù)報(bào)文繼續(xù)進(jìn)行識別,如果達(dá)到預(yù)設(shè)的閾值則
觸發(fā)特征序列模板提取單元305;
第一列表記錄單元304���,與所述DPI識別單元302和所述關(guān)聯(lián)單元301 連接�����,用于以所述網(wǎng)絡(luò)會話的源IP為鍵值����,將所述特定明文特征關(guān)聯(lián)的特征 序列模板記錄到第一列表303中�����;
特征序列模板提取單元305���,與所述DPI識別單元302和所述第一列表 303連接�,用于接受所述DPI識別單元302識別失敗的觸發(fā)�,將所述網(wǎng)絡(luò)會 話的源IP和目的IP與所述第一列表303中的鍵值進(jìn)行適配,提取匹配鍵值 下全部的特征序列模板����;
特征序列適配單元306,與所述特征序列模板提取單元305和所述DPI 識別單元302連接���,用于將所述網(wǎng)絡(luò)會話的報(bào)文特征信息與所提取的特征序 列模板進(jìn)行適配����,如果與一己知網(wǎng)絡(luò)應(yīng)用的特征序列模板適配成功���,則識別 所述網(wǎng)絡(luò)會話為所述已知網(wǎng)絡(luò)應(yīng)用流量并結(jié)束識別��;
上述各單元的具體工作方式請參見本發(fā)明網(wǎng)絡(luò)應(yīng)用流量識別方法的相 應(yīng)步驟��。
通過本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別裝置300�����,能夠基于DPI識別法識 別出的特定明文特征����,有效縮小可供進(jìn)行匹配的特征序列模板,從而提高網(wǎng) 絡(luò)應(yīng)用流量管理設(shè)備的識別效率���,以及有效降低特征序列識別法的誤報(bào)率�;
以及�,結(jié)合DPI識別法一起使用,能夠縮小進(jìn)行特征序列識別的網(wǎng)絡(luò)應(yīng) 用流量���,進(jìn)一步降低了識別工作量�;
較佳的����,DPI識別單元302包括
協(xié)議明文特征識別模塊3021,用于識別所述網(wǎng)絡(luò)會話是否命中五層以上 的協(xié)議明文特征����,是則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量,并觸發(fā)特定明 文特征識別模塊3022�,否則觸發(fā)報(bào)文信息記錄模塊3023;
報(bào)文信息記錄模塊3023,用于記錄所述當(dāng)前報(bào)文的特征信息��,并識別所記錄的報(bào)文數(shù)目是否達(dá)到預(yù)設(shè)的閾值,是則觸發(fā)所述特征序列模板提取單元
305�����,否則指令所述協(xié)議明文特征識別模塊3021對所述網(wǎng)絡(luò)會話的后續(xù)報(bào)文 繼續(xù)進(jìn)行識別��;
特定明文特征識別模塊3022���,用于識別所述網(wǎng)絡(luò)會話是否命中關(guān)聯(lián)單元 中的一特定明文特征,是則觸發(fā)所述第一列表記錄單元304;
需要說明的是���,協(xié)議明文特征識別模塊3021與特定明文特征識別模塊 3022可以合并為一個(gè)功能塊實(shí)現(xiàn)����,即同時(shí)識別協(xié)議明文特征和特定明文特征��。
較佳的���,為了避免同一鍵值下特征序列模板的反復(fù)記錄�,該網(wǎng)絡(luò)應(yīng)用流 量識別裝置300還可以包括第一列表管理單元307��,設(shè)置在所述第一列表記 錄單元304和所述第一列表303之間�,用于遍歷所述第一列表303中所述鍵 值下的特征序列模板��,如果關(guān)聯(lián)的特征序列模板已存在����,則不再記錄�;否則, 將所述關(guān)聯(lián)的特征序列模板記錄到所述鍵值下��。
較佳的���,為了避免第一列表303中記錄過多無效的特征序列模板�,該網(wǎng) 絡(luò)應(yīng)用流量識別裝置300還可以包括第一列表老化單元308�����,與所述第一列 表303連接����,用于對所述第一列表303表項(xiàng)執(zhí)行老化處理,刪除所述第一列 表303在預(yù)設(shè)時(shí)間內(nèi)未被適配成功的特征序列模板����。
較佳的,為了避免特征序列模板的反復(fù)記錄����,該網(wǎng)絡(luò)應(yīng)用流量識別裝置 300還可以包括特征模板庫309�,與所述關(guān)聯(lián)單元301連接�,用于保存己知 網(wǎng)絡(luò)應(yīng)用的特征序列模板;所述關(guān)聯(lián)單元301中僅關(guān)聯(lián)記錄已知網(wǎng)絡(luò)應(yīng)用的 特征序列模板ID和相應(yīng)的特定明文特征���,在需要特征序列模板時(shí)去特征模 板庫309中調(diào)用。
較佳的��,還可以進(jìn)一步結(jié)合基于iP/端口的識別技術(shù)�����,以更進(jìn)一步降低識 別工作量�;具體的,該網(wǎng)絡(luò)應(yīng)用流量識別裝置300還可以包括IP/端口識別 單元310���,與所述DPli只別單元302連接����;
其可以設(shè)置于所述DPI識別單元302之前�����,或者可以設(shè)置在所述DPI識 別單元302與所述特征序列模板提取單元305之間,圖3以前一種情況為例 該IP/端口識別單元310采用基于IP/端口的識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識 別�����,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量���,然后觸發(fā)DPI識別單元302;識別失敗則直接觸發(fā)DPI識別單元302;
當(dāng)然�����,如果IP/端口識別單元310設(shè)置在所述DPI識別單元302與所述 特征序列模板提取單元305之間��,則僅在識別失敗的時(shí)候觸發(fā)特征序列模板 提取單元305;如果識別成功�����,就無需進(jìn)一步的處理�。
繼續(xù)�,對本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備加以描述。請結(jié)合圖4����, 顯示了一網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備40的實(shí)施例框圖。
該網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備40用于對通過本設(shè)備的網(wǎng)絡(luò)會話加以識別和
處理,包括
上述本發(fā)明提供的網(wǎng)絡(luò)應(yīng)用流量識別裝置400����,用于對網(wǎng)絡(luò)會話流量加
以識別,并將識別結(jié)果發(fā)送給網(wǎng)絡(luò)應(yīng)用流量處理裝置410;就本發(fā)明提供的
網(wǎng)絡(luò)應(yīng)用流量識別裝置400而言��,其IP/端口識別單元�����、DPI識別單元以及特 征序列適配單元都有可能輸出網(wǎng)絡(luò)會話識別結(jié)果����;
網(wǎng)絡(luò)應(yīng)用流量處理裝置410�,用于根據(jù)網(wǎng)絡(luò)應(yīng)用流量識別結(jié)果,對網(wǎng)絡(luò) 應(yīng)用流量采取限流���、阻斷����、告警等流量管理措施�。
雖然已參照幾個(gè)典型實(shí)施例描述了本發(fā)明,但應(yīng)當(dāng)理解���,所用的術(shù)語是
說明和示例性����、而非限制性的術(shù)語。由于本發(fā)明能夠以多種形式具體實(shí)施而
不脫離發(fā)明的精神或?qū)嵸|(zhì)����,所以應(yīng)當(dāng)理解,上述實(shí)施例不限于任何前述的細(xì)
節(jié)���,而應(yīng)在隨附權(quán)利要求所限定的精神和范圍內(nèi)廣泛地解釋�����,因此落入權(quán)利 要求或其等效范圍內(nèi)的全部變化和改型都應(yīng)為隨附權(quán)利要求所涵蓋�����。
2權(quán)利要求
1. 一種網(wǎng)絡(luò)應(yīng)用流量識別方法�,其特征在于����,包括關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征的步驟;以及�,對于通過網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備的任一網(wǎng)絡(luò)會話執(zhí)行以下步驟步驟S1采用DPI識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量;其中��,如果命中一所述特定明文特征��,則以所述網(wǎng)絡(luò)會話的源IP為鍵值�,將所述特定明文特征關(guān)聯(lián)的特征序列模板記錄到專門設(shè)置的第一列表中,結(jié)束識別���;步驟S2對于前述識別技術(shù)無法識別的網(wǎng)絡(luò)會話���,記錄當(dāng)前報(bào)文的特征信息;步驟S3識別所記錄的報(bào)文數(shù)目是否達(dá)到預(yù)設(shè)的閾值�,是則將所述網(wǎng)絡(luò)會話的源IP和目的IP與所述第一列表中的鍵值進(jìn)行適配,提取匹配鍵值下全部特征序列模板并執(zhí)行步驟S4�;否則步驟S1�����;步驟S4將上述所記錄的報(bào)文特征信息與所提取的特征序列模板進(jìn)行適配�����,如果與一已知網(wǎng)絡(luò)應(yīng)用的特征序列模板適配成功�����,則識別所述網(wǎng)絡(luò)會話為所述已知網(wǎng)絡(luò)應(yīng)用流量,結(jié)束識別�。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用流量識別方法,其特征在于����,所述當(dāng) 前報(bào)文的特征信息包括負(fù)載長度特征、方向特征和/或位置特征��。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)應(yīng)用流量識別方法���,其特征在于��,所述 步驟S1中采用DPI識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別的步驟包括識別是否命中五層以上的協(xié)議明文特征��,是則所述網(wǎng)絡(luò)會話為所識 別網(wǎng)絡(luò)應(yīng)用流量�,并繼續(xù)執(zhí)行下述步驟����,否則執(zhí)行步驟S2;識別是否命中特定明文特征,是則以所述網(wǎng)絡(luò)會話的源IP為鍵值�����, 將所述特定明文特征關(guān)聯(lián)的特征序列模板記錄到專門設(shè)置的第一列表 中,否則結(jié)束�。
4. 根據(jù)權(quán)利要求1-3任一所述的網(wǎng)絡(luò)應(yīng)用流量識別方法,其特征在于����, 所述步驟S1中將所述特定明文特征關(guān)聯(lián)的特征序列模板記錄到專門設(shè)置的第一列表中的步驟具體為遍歷所述第一列表中所述鍵值下的特征序列模板,如果所述關(guān)聯(lián)的特征序列模板已存在����,則不再記錄;否則���,將 所述關(guān)聯(lián)的特征序列模板記錄到所述鍵值下��。
5. 根據(jù)權(quán)利要求1-3任一所述的網(wǎng)絡(luò)應(yīng)用流量識別方法�����,其特征在于�, 還包括對所述第一列表表項(xiàng)執(zhí)行老化處理��,刪除所述第一列表在預(yù)設(shè)時(shí) 間內(nèi)未被適配成功的特征序列模板��。
6. 根據(jù)權(quán)利要求1-3任一所述的網(wǎng)絡(luò)應(yīng)用流量識別方法���,其特征在于���, 所述關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征的步驟包 括關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板ID和相應(yīng)的特定明文特征,并將 已知網(wǎng)絡(luò)應(yīng)用的特征序列模板存儲在特征模板庫中���;后續(xù)需要記錄已知 網(wǎng)絡(luò)應(yīng)用的特征序列模板時(shí)����,僅需記錄所述特征序列模板ID�,通過調(diào)用 特征模板庫中的相應(yīng)特征序列模板實(shí)現(xiàn)。
7. 根據(jù)權(quán)利要求l-3任一所述的網(wǎng)絡(luò)應(yīng)用流量識別方法���,其特征在于����, 所述步驟S2之前還包括采用基于IP/端口的識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn) 行識別���,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量��。
8. —種網(wǎng)絡(luò)應(yīng)用流量識別裝置���,設(shè)置于網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備中��,其特 征在于�����,包括關(guān)聯(lián)單元���,用于關(guān)聯(lián)記錄己知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定 明文特征;DPI識別單元���,與所述關(guān)聯(lián)單元連接��,用于采用DPI識別技術(shù)對所述 網(wǎng)絡(luò)會話進(jìn)行識別��,識別成功則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量并 結(jié)束識別��,其中���,如果命中一所述特定明文特征,則觸發(fā)第一列表記錄 單元��;否則���,記錄當(dāng)前報(bào)文的特征信息��,如果所記錄的報(bào)文數(shù)目未達(dá)到 預(yù)設(shè)的閾值則對所述網(wǎng)絡(luò)會話的后續(xù)報(bào)文繼續(xù)進(jìn)行識別����,如果達(dá)到預(yù)設(shè) 的閾值則觸發(fā)特征序列模板提取單元�;第一列表記錄單元,與所述DPI識別單元和所述關(guān)聯(lián)單元連接�����,用 于以所述網(wǎng)絡(luò)會話的源IP為鍵值�����,將所述特定明文特征關(guān)聯(lián)的特征序列 模板記錄到第一列表中�;特征序列模板提取單元,與所述DPI識別單元和所述第一列表連接��, 用于接受所述DPI識別單元識別失敗的觸發(fā)��,將所述網(wǎng)絡(luò)會話的源IP和目的IP與所述第一列表中的鍵值進(jìn)行適配��,提取匹配鍵值下全部的特征序列模板����;特征序列適配單元�,與所述特征序列模板提取單元和所述DPI識別單元連接����,用于將所述網(wǎng)絡(luò)會話的報(bào)文特征信息與所提取的特征序列模板進(jìn)行適配,如果與一已知網(wǎng)絡(luò)應(yīng)用的特征序列模板適配成功����,則識別所述網(wǎng)絡(luò)會話為所述已知網(wǎng)絡(luò)應(yīng)用流量并結(jié)束識別。
9. 根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)應(yīng)用流量識別裝置�����,其特征在于���,所述DPI識別單元包括協(xié)議明文特征識別模塊�����,用于識別所述網(wǎng)絡(luò)會話是否命中五層以上的協(xié)議明文特征�,是則所述網(wǎng)絡(luò)會話為所識別網(wǎng)絡(luò)應(yīng)用流量�,并觸發(fā)特定明文特征識別模塊,否則觸發(fā)報(bào)文信息記錄模塊���;報(bào)文信息記錄模塊�,用于記錄所述當(dāng)前報(bào)文的特征信息,并識別所記錄的報(bào)文數(shù)目是否達(dá)到預(yù)設(shè)的閾值���,是則觸發(fā)所述特征序列模板提取單元,否則指令所述協(xié)議明文特征識別模塊對所述網(wǎng)絡(luò)會話的后續(xù)報(bào)文繼續(xù)進(jìn)行識別�;特定明文特征識別模塊,用于識別所述網(wǎng)絡(luò)會話是否命中關(guān)聯(lián)單元中的一特定明文特征���,是則觸發(fā)所述第一列表記錄單元�。
10. 根據(jù)權(quán)利要求8或9所述的網(wǎng)絡(luò)應(yīng)用流量識別裝置����,其特征在于,所述當(dāng)前報(bào)文的特征信息包括負(fù)載長度特征����、方向特征和/或位置特征。
11. 根據(jù)權(quán)利要求8或9所述的網(wǎng)絡(luò)應(yīng)用流量識別裝置��,其特征在于��,還包括第一列表管理單元�����,設(shè)置在所述第一列表記錄單元和所述第一列表之間,用于遍歷所述第一列表中所述鍵值下的特征序列模板���,如果關(guān)聯(lián)的特征序列模板已存在����,則不再記錄���;否則�����,將所述關(guān)聯(lián)的特征序列模板記錄到所述鍵值下��。
12. 根據(jù)權(quán)利要求8或9所述的網(wǎng)絡(luò)應(yīng)用流量識別裝置�����,其特征在于�,還包括第一列表老化單元�,與所述第一列表連接,用于對所述第一列表表項(xiàng)執(zhí)行老化處理����,刪除所述第一列表在預(yù)設(shè)時(shí)間內(nèi)未被適配成功的特征序列模板���。
13. 根據(jù)權(quán)利要求8或9所述的網(wǎng)絡(luò)應(yīng)用流量識別裝置,其特征在于���,還包括特征模板庫��,與所述關(guān)聯(lián)單元連接,用于保存己知網(wǎng)絡(luò)應(yīng)用的特征序列模板�;所述關(guān)聯(lián)單元中僅關(guān)聯(lián)記錄已知網(wǎng)絡(luò)應(yīng)用的特征序列模板ID 和相應(yīng)的特定明文特征。
14. 根據(jù)權(quán)利要求8或9所述的網(wǎng)絡(luò)應(yīng)用流量識別裝置���,其特征在于�, 還包括IP/端口識別單元�����,與所述DPI識別單元連接��,用于采用基于IP/端口 的識別技術(shù)對所述網(wǎng)絡(luò)會話進(jìn)行識別�,識別成功則所述網(wǎng)絡(luò)會話為所識 別網(wǎng)絡(luò)應(yīng)用流量。
15. —種網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備���,包括網(wǎng)絡(luò)應(yīng)用流量處理裝置��,其特征 在于�����,還設(shè)有權(quán)利要求8-14任一所述的網(wǎng)絡(luò)應(yīng)用流量識別裝置���,用于向所 述網(wǎng)絡(luò)應(yīng)用流量處理裝置發(fā)送網(wǎng)絡(luò)應(yīng)用流量識別結(jié)果���。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)應(yīng)用流量識別方法、網(wǎng)絡(luò)應(yīng)用流量識別裝置以及一種網(wǎng)絡(luò)應(yīng)用流量管理設(shè)備���。該方法包括關(guān)聯(lián)已知網(wǎng)絡(luò)應(yīng)用的特征序列模板和相應(yīng)的特定明文特征����;以網(wǎng)絡(luò)會話的源IP為鍵值���,將DPI識別出的特定明文特征關(guān)聯(lián)的特征序列模板記錄到第一列表中��;以及�,對于現(xiàn)有識別技術(shù)無法識別的網(wǎng)絡(luò)會話��,記錄當(dāng)前報(bào)文的特征信息并在達(dá)到預(yù)設(shè)閾值時(shí),與相應(yīng)鍵值下全部特征序列模板進(jìn)行適配�,獲得網(wǎng)絡(luò)應(yīng)用流量識別結(jié)果。通過本發(fā)明�����,能夠?qū)PI識別法無法識別的網(wǎng)絡(luò)應(yīng)用流量加以識別����,同時(shí)提高了識別效率,降低了識別開銷���,以及降低了識別誤報(bào)率。
文檔編號H04L12/56GK101505276SQ20091011960
公開日2009年8月12日 申請日期2009年3月23日 優(yōu)先權(quán)日2009年3月23日
發(fā)明者淞 吳, 鄒文宇 申請人:杭州華三通信技術(shù)有限公司