專利名稱:一種網(wǎng)絡(luò)數(shù)據(jù)流量分類方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,尤其涉及一種網(wǎng)絡(luò)數(shù)據(jù)流分類方法和裝置���。
背景技術(shù):
目前,因特網(wǎng)(Internet)應(yīng)用的數(shù)據(jù)流分類是一個(gè)被普遍關(guān)心的問(wèn)題����。其原因在于,首相���,當(dāng)網(wǎng)絡(luò)運(yùn)營(yíng)商了解到他們運(yùn)營(yíng)的網(wǎng)絡(luò)上正傳送著什么類型的數(shù)據(jù)時(shí),他們可以制訂計(jì)劃���、預(yù)算和提案����。網(wǎng)絡(luò)運(yùn)營(yíng)商和網(wǎng)絡(luò)用戶也一直都對(duì)那些能夠識(shí)別不正常網(wǎng)絡(luò)數(shù)據(jù)流并能有效阻止惡意攻擊的系統(tǒng)很感興趣�����。其次�,這些指導(dǎo)信息和實(shí)際的應(yīng)用分類可以被
用來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行建模,即���,對(duì)數(shù)據(jù)流的類別和用戶組成等信息的建模�����。第三�,就像電話公司必須提供用戶使用電話的截取信息一樣,一些國(guó)家的政府也正在闡明因特網(wǎng)服務(wù)提供商(Internet Service Provider, ISP)在網(wǎng)絡(luò)上的“合法偵聽”義務(wù),截取特定時(shí)間�����、特定人物的網(wǎng)絡(luò)使用的截取信息給政府����,預(yù)計(jì)有這種需求的政府和部門會(huì)變得越來(lái)越多。最后��,數(shù)據(jù)流分類技術(shù)可以應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的核心部件中����,區(qū)分惡意流量和正常流量。現(xiàn)有技術(shù)提供的一種識(shí)別網(wǎng)絡(luò)數(shù)據(jù)流類型的方法主要是通過(guò)探測(cè)數(shù)據(jù)包所使用的知名端口來(lái)進(jìn)行����,即,通過(guò)分析各個(gè)數(shù)據(jù)包的頭部信息���,然后將特定的端口與特定的應(yīng)用相關(guān)聯(lián)來(lái)識(shí)別流量��。具體地�����,一個(gè)流量分類器只要在網(wǎng)絡(luò)環(huán)境下查找包含同步消息(SYN消息)的TCP數(shù)據(jù)包便可以知道一個(gè)新的客戶端-服務(wù)器連接中哪一方是服務(wù)器端���。接著�,確定TCP同步消息包的目的端口號(hào)(該端口號(hào)在互聯(lián)網(wǎng)地址指派機(jī)構(gòu)的注冊(cè)端口號(hào)中有所定義)����,根據(jù)這個(gè)端口的定義就知道這個(gè)數(shù)據(jù)流所屬的應(yīng)用�����,UDP也可以用相似的方法確定應(yīng)用�。由于現(xiàn)在越來(lái)越多的服務(wù)已不再使用知名端口,它們并沒有在互聯(lián)網(wǎng)地址指派機(jī)構(gòu)注冊(cè)過(guò)端口號(hào)�����,例如����,諸如BitTorrent和eMule等基于點(diǎn)對(duì)點(diǎn)技術(shù)的應(yīng)用就沒有注冊(cè)過(guò)端口號(hào)���。另一方面,一個(gè)應(yīng)用可能使用并非知名端口來(lái)繞過(guò)操作系統(tǒng)的訪問(wèn)控制����,例如,無(wú)權(quán)限用戶在類似unix系統(tǒng)上可能被迫運(yùn)行非80端口的超文本傳送協(xié)議(HypertextTransfer Protocol, HTTP)服務(wù)�����。再者���,在一些特定應(yīng)用中�����,例如���,被動(dòng)模式的文件傳輸協(xié)議(File Transfer Protocol,FTP)應(yīng)用和RealMedia應(yīng)用等,所使用的端口號(hào)不是固定的而是動(dòng)態(tài)獲取的,這也給基于端口的網(wǎng)絡(luò)數(shù)據(jù)流分類方法造成了很大的障礙�����。因此,上述現(xiàn)有技術(shù)提供的基于知名端口的網(wǎng)絡(luò)數(shù)據(jù)流分類方法��,對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的業(yè)務(wù)類型進(jìn)行分類的準(zhǔn)確度并不高����,這種方法面臨越來(lái)越跟不上現(xiàn)實(shí)要求的困境。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)數(shù)據(jù)流分類方法和裝置���,以提高對(duì)網(wǎng)絡(luò)上數(shù)據(jù)業(yè)務(wù)流進(jìn)行分類時(shí)的準(zhǔn)確性����。本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)數(shù)據(jù)流分類方法���,所述方法包括將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配��;若匹配失敗���,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?��,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別�����,所述數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成���?���?蛇x地����,在所述將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配之后,所述方法還包括若匹配成功��,則對(duì)所述匹配成功的當(dāng)前數(shù)據(jù)流的類型進(jìn)行標(biāo)記��;或者�,若將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗,則所述方法進(jìn)一步包括對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài)��??蛇x地,所述方法進(jìn)一步包括根據(jù)所述匹配失敗或匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流拓?fù)涮卣餍畔?。可選地�,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址;所述結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?���,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別包括將所述當(dāng)前數(shù)據(jù)流的目的IP地址和目的端口地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址匹配�����,若匹配成功�,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流�。 可選地,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址�����;所述結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別包括將所述當(dāng)前數(shù)據(jù)流的源IP地址和目的IP地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址匹配,若匹配成功��,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流����。可選地�����,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息�;所述結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔ⅲ捎脝l(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別包括將所述當(dāng)前數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息匹配���,若匹配成功����,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流�。
可選地,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息�����;所述結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?��,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別包括將所述當(dāng)前數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息與所述類型已識(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息匹配��,若匹配成功���,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流??蛇x地,所述方法進(jìn)一步包括根據(jù)所述匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流特征庫(kù)��。本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)數(shù)據(jù)流分類裝置��,所述裝置包括匹配模塊,用于將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配���;再識(shí)別模塊�,用于若所述匹配模塊將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗����,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔ⅲ捎脝l(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別�,所述數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成?�?蛇x地�,所述裝置還包括標(biāo)記模塊和狀態(tài)維持模塊;所述標(biāo)記模塊�,用于若所述匹配模塊將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配成功,則對(duì)所述匹配成功的當(dāng)前數(shù)據(jù)流的類型進(jìn)行標(biāo)記��;所述狀態(tài)維持模塊���,用于若所述匹配模塊將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗�,則對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài)����?���?蛇x地�,所述裝置進(jìn)一步包括第一更新模塊��,用于根據(jù)所述匹配失敗或匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流拓?fù)涮卣餍畔?���。可選地��,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址��;所述再識(shí)別模塊包括第一識(shí)別單元��,用于將所述當(dāng)前數(shù)據(jù)流的目的IP地址和目的端口地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址匹配�,若匹配成功,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流���?����?蛇x地���,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址�����;所述再識(shí)別模塊包括第二識(shí)別單元�����,用于將所述當(dāng)前數(shù)據(jù)流的源IP地址和目的IP地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址匹配���,若匹配成功,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流��。 可選地����,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息;所述再識(shí)別模塊包括第三識(shí)別單元�����,用于將所述當(dāng)前數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息匹配����,若匹配成功�,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流�����?���?蛇x地��,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息���;所述再識(shí)別模塊包括第四識(shí)別單元�����,用于將所述當(dāng)前數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息與所述類型已識(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息匹配�����,若匹配成功��,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流���?��?蛇x地,所述裝置進(jìn)一步包括第二更新模塊��,用于根據(jù)所述匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流特征庫(kù)��。從上述本發(fā)明實(shí)施例可知�����,由于將一條數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配�����,從而初步識(shí)別該數(shù)據(jù)流的類型��。在初步識(shí)別出該數(shù)據(jù)流的類型后�����,可以結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?��,采用啟發(fā)式規(guī)則對(duì)所述數(shù)據(jù)流的類型再次識(shí)別�。與現(xiàn)有技術(shù)基于知名端口的網(wǎng)絡(luò)數(shù)據(jù)流分類方法相比,本發(fā)明實(shí)施例提供的方法在初次識(shí)別時(shí)保留了業(yè)務(wù)分類精確的優(yōu)點(diǎn)���,并憑借初次識(shí)別得到的業(yè)務(wù)分類可靠的分類結(jié)果實(shí)現(xiàn)了高效的啟發(fā)式數(shù)據(jù)流識(shí)別����,即使對(duì)那些負(fù)載加密的數(shù)據(jù)流也能夠進(jìn)行業(yè)務(wù)類型的識(shí)別�����,同時(shí)擁有反饋迭代學(xué)習(xí)能力���,較之現(xiàn)有技術(shù)實(shí)現(xiàn)了數(shù)據(jù)流識(shí)別更高的準(zhǔn)確率和分類覆蓋率。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案�����,下面將對(duì)現(xiàn)有技術(shù)或?qū)嵤├枋鲋兴枰褂玫母綀D作簡(jiǎn)單地介紹��,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域技術(shù)人員來(lái)講�����,還可以如這些附圖獲得其他的附圖。圖I是本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類方法流程示意圖�;圖2是本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖3是本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖;圖4是本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖�����;圖5是本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖��;圖6是本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖��;圖7是本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖�����;圖8是本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖�����;圖9是本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖�。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述�����,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例�?�;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域技術(shù)人員所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍�。請(qǐng)參閱附圖1�����,是本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類方法流程示意圖���,主要包括步驟SlOl和步驟S102 S101����,將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配。對(duì)于Internet應(yīng)用的數(shù)據(jù)流���,一種類型的數(shù)據(jù)流一般具有區(qū)別于另一種類型的數(shù)據(jù)流的特征���,有的是以協(xié)議特征字加以區(qū)別,有的是以特殊值開頭����,有的是以特殊值結(jié)尾等等。在本發(fā)明實(shí)施例中�����,可以根據(jù)各種類型已經(jīng)識(shí)別出來(lái)的數(shù)據(jù)流的特征��,事先制作一個(gè)數(shù)據(jù)流特征庫(kù)����。例如,可按照數(shù)據(jù)流的業(yè)務(wù)流行度(即該數(shù)據(jù)流在網(wǎng)絡(luò)中的比重)��,在數(shù)據(jù)流特征庫(kù)中存放事先已經(jīng)準(zhǔn)確識(shí)別的業(yè)務(wù)的應(yīng)用層特征字段,從而構(gòu)成數(shù)據(jù)流特征庫(kù)���。每當(dāng)接收完一個(gè)數(shù)據(jù)流時(shí)��,則將當(dāng)前接收到的數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配�����。在數(shù)據(jù)流分類領(lǐng)域���,由于深度包檢測(cè)(Deep Packet Inspection, DPI)技術(shù)的誤判率和錯(cuò)判率比較低,因此�����,在本發(fā)明實(shí)施例中����,可以使用DPI���,提取當(dāng)前數(shù)據(jù)流的特征�����,遍歷數(shù)據(jù)流特征庫(kù)�����,將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配����,并通過(guò)正則匹配等方法識(shí)別當(dāng)前數(shù)據(jù)流的類型。例如���,若當(dāng)前數(shù)據(jù)流的握手(Handshake)協(xié)議特征字為“BitTorrent Protocol ”,則使用DPI提取到該特征字���,并遍歷數(shù)據(jù)流特征庫(kù)。若數(shù)據(jù)流特征庫(kù)存放有已識(shí)別出來(lái)的BitTorrent業(yè)務(wù)的特征字段,則當(dāng)前數(shù)據(jù)流與BitTorrent業(yè)務(wù)匹配,識(shí)別出當(dāng)前數(shù)據(jù)流是BitTorrent業(yè)務(wù)數(shù)據(jù)流�����。再如����,若當(dāng)前數(shù)據(jù)流以“0x02”開始、以“0x03”結(jié)尾����,則使用DPI提取到當(dāng)前數(shù)據(jù)流的開始字段和結(jié)尾字段����,并遍歷數(shù)據(jù)流特征庫(kù)��。若數(shù)據(jù)流特征庫(kù)存放有已識(shí)別出來(lái)的即時(shí)通信(InstantMessenger, IM)中的QQ業(yè)務(wù)的特征字段,貝U當(dāng)前數(shù)據(jù)流與QQ業(yè)務(wù)匹配�����,識(shí)別出當(dāng)前數(shù)據(jù)流是QQ業(yè)務(wù)數(shù)據(jù)流�����。在前述實(shí)施例中�����,若將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配成功�,則對(duì)所述匹配成功的當(dāng)前數(shù)據(jù)流的類型進(jìn)行標(biāo)記,即����,標(biāo)記出該當(dāng)前數(shù)據(jù)流是什么類型的業(yè)務(wù)數(shù)據(jù)流。與此同時(shí)�����,也可以根據(jù)所述匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流特征庫(kù)�����。其他任何類型已識(shí)別的數(shù)據(jù)流可以做同樣的用處��,例如�����,若經(jīng)過(guò)成功匹配�����,某協(xié)議應(yīng)用層數(shù)據(jù)負(fù)載始終包含某個(gè)字段���,則經(jīng)驗(yàn)證后�,可將該字段加入數(shù)據(jù)流特征庫(kù)以更新數(shù)據(jù)流特征庫(kù)��,從而方便之后的數(shù)據(jù)流的識(shí)別���。若將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗�����,則對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持在“待分類”狀態(tài)�����,以便后續(xù)采用其他方法進(jìn)行再識(shí)別���。作為本發(fā)明一個(gè)實(shí)施例�����,在對(duì)匹配失敗的當(dāng)前數(shù)據(jù)流維持在“待分類”狀態(tài)時(shí)����,可以通過(guò)數(shù)據(jù)流表實(shí)現(xiàn)���。如下表I所示���,是本發(fā)明實(shí)施例提供的一個(gè)數(shù)據(jù)流表。
表項(xiàng)序號(hào)流哈希五元組信息最后到達(dá)的數(shù)據(jù)包時(shí)間戳分類狀態(tài)
a.b.c.d:p N secondsr'm
示例 03 0x7E1235A A.B.C.D:P η)
(relatively)
ProtocolJ表I在上述表I中�����,表項(xiàng)“序號(hào)”主要起索引的作用;表項(xiàng)“五元組信息”記錄了數(shù)據(jù)包的源IP�����、目的IP�����、源端口號(hào)��、目的端口號(hào)和協(xié)議類型���,由數(shù)據(jù)流的“五元組信息”可以生成“流哈希”;表項(xiàng)“流哈?�!庇靡詷?biāo)示不同的數(shù)據(jù)流(數(shù)據(jù)流有方向性����,但本發(fā)明對(duì)流哈希的選擇不做限制);表項(xiàng)“最后到達(dá)的數(shù)據(jù)包時(shí)間戳”記錄一個(gè)數(shù)據(jù)流中最后一個(gè)到達(dá)的數(shù)據(jù)包的時(shí)間戳���,用以設(shè)計(jì)超時(shí)重建新數(shù)據(jù)流之用�����,即在接收一個(gè)數(shù)據(jù)流的數(shù)據(jù)包時(shí)定時(shí)作檢查��,若發(fā)現(xiàn)最后到達(dá)的數(shù)據(jù)包時(shí)間戳距離當(dāng)前時(shí)間超過(guò)一定閾值�,則標(biāo)記該數(shù)據(jù)流為超時(shí),在此數(shù)據(jù)包之后到達(dá)的數(shù)據(jù)包���,即使其五元組信息與之前到達(dá)的數(shù)據(jù)包的五元組信息相同��,也視為是新的數(shù)據(jù)流的數(shù)據(jù)包���,需要為其創(chuàng)建一個(gè)新的數(shù)據(jù)流記錄,即�,在數(shù)據(jù)流表中重新記錄一個(gè)數(shù)據(jù)流的“序號(hào)”、“流哈?��!?、“五元組信息”�����、“最后到達(dá)的數(shù)據(jù)包時(shí)間戳”和“分類狀態(tài)”等表項(xiàng)�;表項(xiàng)“分類狀態(tài)”包括一個(gè)數(shù)據(jù)流的兩種狀態(tài),即“待分類”狀態(tài)和“既定的流量業(yè)務(wù)類型”狀態(tài)�����,其中,“待分類”狀態(tài)使用c (O)標(biāo)記����,“既定的流量業(yè)務(wù)類型”狀態(tài)使用c(fn)分別標(biāo)識(shí)各種既定的流量業(yè)務(wù)類型。例如��,前述實(shí)施例中�,若將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗����,則對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài),可通過(guò)在表I示例的數(shù)據(jù)流表中將當(dāng)前數(shù)據(jù)流的“分類狀態(tài)”表項(xiàng)標(biāo)記為c (O)來(lái)實(shí)現(xiàn)��。為方便在系統(tǒng)的內(nèi)部調(diào)用�����,可以根據(jù)分類狀態(tài)的不同設(shè)計(jì)為多個(gè)或者不同的數(shù)據(jù)結(jié)構(gòu)來(lái)實(shí)現(xiàn)表I示例的數(shù)據(jù)流表���。S102�����,若匹配失敗���,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?�,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別��,所述數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成�����。步驟SlOl是對(duì)數(shù)據(jù)流的初步識(shí)別或分類����,這種方法有可能無(wú)法識(shí)別出某些特殊類型的數(shù)據(jù)流��。例如����,隨著人們對(duì)網(wǎng)絡(luò)安全性意識(shí)的提高,網(wǎng)絡(luò)加密和/或隱私保護(hù)越來(lái)越受到人們的關(guān)注��,網(wǎng)絡(luò)上的數(shù)據(jù)流其數(shù)據(jù)包負(fù)載很多經(jīng)過(guò)了加密���,因此��,步驟SlOl示例的數(shù)據(jù)流的初步識(shí)別或分類方法不一定能夠發(fā)揮作用�。在本發(fā)明實(shí)施例中,若將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗�����,則可以結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別,所用到的數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成�。數(shù)據(jù)流拓?fù)涮卣餍畔⒖梢允菙?shù)據(jù)流拓?fù)涮卣鞅淼男问酱嬖冢渲杏涗浀男畔⒖梢允墙Y(jié)合圖論只是后得出的一些數(shù)據(jù)��,例如�,出入度和團(tuán)節(jié)點(diǎn)比例等����,也可以是數(shù)據(jù)流五元組信息的子集,例如����,僅僅記錄數(shù)據(jù)包的目的IP地址和目的端口號(hào),或者僅僅記錄數(shù)據(jù)包的源IP地址和目的IP地址等等���。若數(shù)據(jù)流拓?fù)涮卣鞅碛涗浟祟愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址��,則作為結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?����,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別的一個(gè)實(shí)施例���,可以將所述當(dāng)前數(shù)據(jù)流的目的IP地址和目的端口地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址匹配�,若匹配成功�����,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流�。 若數(shù)據(jù)流拓?fù)涮卣鞅碛涗浟祟愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址,則作為結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?����,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別的另一個(gè)實(shí)施例�����,可以將所述當(dāng)前數(shù)據(jù)流的源IP地址和目的IP地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址匹配�,若匹配成功,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流。上述根據(jù)數(shù)據(jù)流拓?fù)涮卣鞅碇杏涗浀臄?shù)據(jù)包的目的IP地址和目的端口號(hào)或者數(shù)據(jù)包的源IP地址和目的IP地址識(shí)別當(dāng)前數(shù)據(jù)流的類型���,其依據(jù)是一個(gè)服務(wù)器地址一般只會(huì)提供一種業(yè)務(wù)�,例如�,WEB服務(wù)器上一般只會(huì)提供HTTP數(shù)據(jù)流HTTPS數(shù)據(jù)流,而VoIP服務(wù)器上一般只會(huì)提供基于TCP的RTSP數(shù)據(jù)流和用于傳輸數(shù)據(jù)的UDP數(shù)據(jù)流�。若數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名(Hostname)信息,則作為結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?�,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別的另一個(gè)實(shí)施例���,可以將所述當(dāng)前數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息匹配�,若匹配成功�,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流。例如��,以數(shù)據(jù)流為單位�,通過(guò)對(duì)該數(shù)據(jù)流的Hostname字段分析得知該數(shù)據(jù)流是一次與MSN服務(wù)器交互的信息��。若結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔⒆R(shí)別出該數(shù)據(jù)流為HTTPS協(xié)議流�����,即MSN服務(wù)器提供的MSN Message (MSN聊天信息)����。由于MSN服務(wù)器向外界提供的服務(wù)有限����,包括郵件服務(wù)��、網(wǎng)站服務(wù)和MSN Message服務(wù)等���,其中����,郵件服務(wù)需采用HTTP協(xié)議而非HTTPS協(xié)議����,而MSNMessage服務(wù)采用的是HTTPS協(xié)議。因此�����,若當(dāng)前數(shù)據(jù)流的高層協(xié)議字段與上述類型已識(shí)別出數(shù)據(jù)流(HTTPS協(xié)議流)匹配��,則判斷當(dāng)前數(shù)據(jù)流也是HTTPS協(xié)議流���,屬于MSN Message應(yīng)用����。在本發(fā)明實(shí)施例中,數(shù)據(jù)流拓?fù)涮卣餍畔⑦€可以是包括類型已識(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息���,例如��,拓?fù)渥訄D的平均節(jié)點(diǎn)度���、最大節(jié)點(diǎn)度、出入邊比例�����、最大團(tuán)結(jié)點(diǎn)數(shù)比例和平均路的長(zhǎng)度等等���,其中���,平均節(jié)點(diǎn)度是表征主機(jī)活躍程度的參數(shù)���,而最大節(jié)點(diǎn)度對(duì)應(yīng)的節(jié)點(diǎn)通常是DNS或者異常攻擊的目標(biāo)節(jié)點(diǎn)����。若數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息,則作為結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?�,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別的另一個(gè)實(shí)施例��,可以將所述當(dāng)前數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息與所述類型已識(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息匹配�,若匹配成功,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流�����。上述根據(jù)數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息識(shí)別未知的數(shù)據(jù)流��,適用對(duì)象將不再是單條數(shù)據(jù)流���,而是由一定數(shù)量的數(shù)據(jù)流所組成的拓?fù)浣Y(jié)構(gòu)����。如果將所有的數(shù)據(jù)流組成拓?fù)鋱D�����,那么其中有通信或者通信關(guān)聯(lián)較集中的拓?fù)渥訄D將是分類的對(duì)象����。這個(gè)拓?fù)渥訄D的一些圖論特征信息���,例如,平均節(jié)點(diǎn)度和最大團(tuán)包含的節(jié)點(diǎn)數(shù)比例等等才是真正的分類依據(jù)�����。舉例而言�����,需要設(shè)計(jì)啟發(fā)式規(guī)則識(shí)別未知的P2P應(yīng)用����。假設(shè)BitTorrent應(yīng)用在某個(gè)DPI系統(tǒng)下,通過(guò)將當(dāng)前BitTorrent數(shù)據(jù)流(匹配前不知道是BitTorrent數(shù)據(jù)流)的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的BitTorrent數(shù)據(jù)流的特征進(jìn)行匹配,可以完成識(shí)別���,然而����,其他P2P應(yīng)用則暫時(shí)不能識(shí)別��。若將BitTorrent數(shù)據(jù)流組成拓?fù)鋱D并分析其中的拓?fù)渥訄D�����,得到類似平均節(jié)點(diǎn)度占子圖節(jié)點(diǎn)數(shù)比例和最大團(tuán)節(jié)點(diǎn)數(shù)比例等數(shù)值���,或者��,事先通過(guò) 大量實(shí)驗(yàn)獲取這些平均節(jié)點(diǎn)度占子圖節(jié)點(diǎn)數(shù)比例和最大團(tuán)節(jié)點(diǎn)數(shù)比例等的經(jīng)驗(yàn)值�����。然后�,將未知數(shù)據(jù)流組成拓?fù)鋱D�,并分析其中關(guān)聯(lián)性大的拓?fù)渥訄D的各項(xiàng)特征,通過(guò)諸如機(jī)器學(xué)習(xí)的方法將未知數(shù)據(jù)流的拓?fù)渥訄D的各項(xiàng)特征與BitTorrent數(shù)據(jù)流組成的拓?fù)渥訄D的各項(xiàng)特征進(jìn)行匹配��,如果匹配成功����,則認(rèn)為該未知數(shù)據(jù)流的拓?fù)渥訄D的節(jié)點(diǎn)運(yùn)行有P2P應(yīng)用,即�,識(shí)別該未知數(shù)據(jù)流是P2P類型的數(shù)據(jù)流。在本發(fā)明實(shí)施例中����,無(wú)論當(dāng)前數(shù)據(jù)流匹配成功還是失敗��,S卩�,無(wú)論當(dāng)前數(shù)據(jù)流是否通過(guò)將其至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配而識(shí)別出類型�����,都可以根據(jù)所述匹配失敗或匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流拓?fù)涮卣餍畔?���。也就是說(shuō),數(shù)據(jù)流拓?fù)涮卣餍畔⑹歉鶕?jù)所有數(shù)據(jù)流并按照啟發(fā)式策略來(lái)維護(hù)�����,當(dāng)接收到新的數(shù)據(jù)流時(shí)�,可以根據(jù)這些新的數(shù)據(jù)流來(lái)更新數(shù)據(jù)流拓?fù)涮卣餍畔⒁约案倪M(jìn)啟發(fā)式規(guī)則
坐坐寸寸ο從上述本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類方法可知,由于將一條數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配����,從而初步識(shí)別該數(shù)據(jù)流的類型。在初步識(shí)別出該數(shù)據(jù)流的類型后����,,可以結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?�,采用啟發(fā)式規(guī)則對(duì)所述數(shù)據(jù)流的類型再次識(shí)別。與現(xiàn)有技術(shù)基于知名端口的網(wǎng)絡(luò)數(shù)據(jù)流分類方法相t匕�,本發(fā)明實(shí)施例提供的方法在初次識(shí)別時(shí)保留了業(yè)務(wù)分類精確的優(yōu)點(diǎn),并憑借初次識(shí)別得到的業(yè)務(wù)分類可靠的分類結(jié)果實(shí)現(xiàn)了高效的啟發(fā)式數(shù)據(jù)流識(shí)別�����,即使對(duì)那些負(fù)載加密的數(shù)據(jù)流也能夠進(jìn)行業(yè)務(wù)類型的識(shí)別�,同時(shí)擁有反饋迭代學(xué)習(xí)能力�,較之現(xiàn)有技術(shù)實(shí)現(xiàn)了數(shù)據(jù)流識(shí)別更高的準(zhǔn)確率和分類覆蓋率。請(qǐng)參閱附圖2����,是本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置結(jié)構(gòu)示意圖。為了便于說(shuō)明��,僅僅示出了與本發(fā)明實(shí)施例相關(guān)的部分��。附圖2示例的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置包括匹配模塊201和再識(shí)別模塊202�����,其中匹配模塊201���,用于將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配�����。再識(shí)別模塊202���,用于若所述匹配模塊201將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗�����,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?�,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別�,所述數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成���。從上述本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置可知��,由于匹配模塊將一條數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配�,從而初步識(shí)別該數(shù)據(jù)流的類型��。在初步識(shí)別出該數(shù)據(jù)流的類型后�,再識(shí)別模塊可以結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔ⅲ捎脝l(fā)式規(guī)則對(duì)所述數(shù)據(jù)流的類型再次識(shí)別���。與現(xiàn)有技術(shù)基于知名端口的網(wǎng)絡(luò)數(shù)據(jù)流分類方法相比�,本發(fā)明實(shí)施例提供的方法在初次識(shí)別時(shí)保留了業(yè)務(wù)分類精確的優(yōu)點(diǎn),并憑借初次識(shí)別得到的業(yè)務(wù)分類可靠的分類結(jié)果實(shí)現(xiàn)了高效的啟發(fā)式數(shù)據(jù)流識(shí)別���,即使對(duì)那些負(fù)載加密的數(shù)據(jù)流也能夠進(jìn)行業(yè)務(wù)類型的識(shí)別�,同時(shí)擁有反饋迭代學(xué)習(xí)能力���,較之現(xiàn)有技術(shù)實(shí)現(xiàn)了數(shù)據(jù)流識(shí)別更高的準(zhǔn)確率和分類覆蓋率。需要說(shuō)明的是����,以上網(wǎng)絡(luò)數(shù)據(jù)流分類裝置的實(shí)施方式中,各功能模塊的劃分僅是舉例說(shuō)明�����,實(shí)際應(yīng)用中可以根據(jù)需要����,例如相應(yīng)硬件的配置要求或者軟件的實(shí)現(xiàn)的便利考慮,而將上述功能分配由不同的功能模塊完成��,即將所述網(wǎng)絡(luò)數(shù)據(jù)流分類裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊�����,以完成以上描述的全部或者部分功能。而且�����,實(shí)際應(yīng)用中��,本實(shí)施 例中的相應(yīng)的功能模塊可以是由相應(yīng)的硬件實(shí)現(xiàn)�����,也可以由相應(yīng)的硬件執(zhí)行相應(yīng)的軟件完成����,例如,前述的匹配模塊��,可以是具有執(zhí)行前述將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配的硬件���,例如匹配器�,也可以是能夠執(zhí)行相應(yīng)計(jì)算機(jī)程序從而完成前述功能的一般處理器或者其他硬件設(shè)備��;再如前述的再識(shí)別模塊�,可以是具有執(zhí)行前述若所述匹配模塊(匹配器)將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔ⅲ捎脝l(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別功能的硬件�����,例如再識(shí)別器���,也可以是能夠執(zhí)行相應(yīng)計(jì)算機(jī)程序從而完成前述功能的一般處理器或者其他硬件設(shè)備(本說(shuō)明書提供的各個(gè)實(shí)施例都可應(yīng)用上述描述原則)�����。對(duì)于Internet應(yīng)用的數(shù)據(jù)流���,一種類型的數(shù)據(jù)流一般具有區(qū)別于另一種類型的數(shù)據(jù)流的特征�,有的是以協(xié)議特征字加以區(qū)別,有的是以特殊值開頭�,有的是以特殊值結(jié)尾等等?�?梢愿鶕?jù)各種類型已經(jīng)識(shí)別出來(lái)的數(shù)據(jù)流的特征���,事先制作一個(gè)數(shù)據(jù)流特征庫(kù)���。例如,可按照數(shù)據(jù)流的業(yè)務(wù)流行度(即該數(shù)據(jù)流在網(wǎng)絡(luò)中的比重),在數(shù)據(jù)流特征庫(kù)中存放事先已經(jīng)準(zhǔn)確識(shí)別的業(yè)務(wù)的應(yīng)用層特征字段�����,從而構(gòu)成數(shù)據(jù)流特征庫(kù)�。每當(dāng)接收完一個(gè)數(shù)據(jù)流時(shí),匹配模塊201將當(dāng)前接收到的數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配����。在數(shù)據(jù)流分類領(lǐng)域,由于深度包檢測(cè)(Deep Packet Inspection, DPI)技術(shù)的誤判率和錯(cuò)判率比較低��,因此����,在本發(fā)明實(shí)施例中,匹配模塊201可以使用DPI����,提取當(dāng)前數(shù)據(jù)流的特征,遍歷數(shù)據(jù)流特征庫(kù)��,將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配�,并通過(guò)正則匹配等方法識(shí)別當(dāng)前數(shù)據(jù)流的類型。例如����,若當(dāng)前數(shù)據(jù)流的握手(Handshake)協(xié)議特征字為“BitTorrent Protocol ”,則匹配模塊201使用DPI提取到該特征字���,并遍歷數(shù)據(jù)流特征庫(kù)。若數(shù)據(jù)流特征庫(kù)存放有已識(shí)別出來(lái)的BitTorrent業(yè)務(wù)的特征字段,則當(dāng)前數(shù)據(jù)流與BitTorrent業(yè)務(wù)匹配����,匹配模塊201識(shí)別出當(dāng)前數(shù)據(jù)流是BitTorrent業(yè)務(wù)數(shù)據(jù)流。再如�����,若當(dāng)前數(shù)據(jù)流以“0x02”開始��、以“0x03”結(jié)尾�����,則匹配模塊201使用DPI提取到當(dāng)前數(shù)據(jù)流的開始字段和結(jié)尾字段�����,并遍歷數(shù)據(jù)流特征庫(kù)���。若數(shù)據(jù)流特征庫(kù)存放有已識(shí)別出來(lái)的即時(shí)通信(Instant Messenger, IM)中的QQ業(yè)務(wù)的特征字段��,則當(dāng)前數(shù)據(jù)流與QQ業(yè)務(wù)匹配����,匹配模塊201識(shí)別出當(dāng)前數(shù)據(jù)流是QQ業(yè)務(wù)數(shù)據(jù)流�����。附圖2示例的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置還可以包括標(biāo)記模塊301和狀態(tài)維持模塊302�,如附圖3所示本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置,其中標(biāo)記模塊301�,用于若所述匹配模塊201將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配成功,則對(duì)所述匹配成功的當(dāng)前數(shù)據(jù)流的類型進(jìn)行標(biāo)記����,即,標(biāo)記出該當(dāng)前數(shù)據(jù)流是什么類型的業(yè)務(wù)數(shù)據(jù)流����。狀態(tài)維持模塊302,用于若所述匹配模塊201將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗��,則對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài)�,以便后續(xù)采用其他方法進(jìn)行再識(shí)別。狀態(tài)維持模塊302在對(duì)匹配失敗的當(dāng)前數(shù)據(jù)流維持在“待分類”狀態(tài)時(shí)��,可以通過(guò)表I示例的數(shù)據(jù)流表實(shí)現(xiàn),例如���,若匹配模塊201將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗��,則狀態(tài)維持模塊302對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài)���,可通過(guò)在表I示例的數(shù)據(jù)流表中將當(dāng)前數(shù)據(jù)流的“分類狀態(tài)”表項(xiàng)標(biāo)記為c (O)來(lái)實(shí)現(xiàn)。附圖2示例的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置還可以包括標(biāo)記模塊301和狀態(tài)維持模塊302���,如附圖3所示本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置�����,其中標(biāo)記模塊301���,用于若所述匹配模塊201將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配成功,則對(duì)所述匹配成功的當(dāng)前數(shù)據(jù)流的類型進(jìn)行標(biāo)記�,即,標(biāo)記出該當(dāng)前數(shù)據(jù)流是什么類型的業(yè)務(wù)數(shù)據(jù)流�����。狀態(tài)維持模塊302���,用于若所述匹配模塊201將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗���,則對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài),以便后續(xù)采用其他方法進(jìn)行再識(shí)別�����。狀態(tài)維持模塊302在對(duì)匹配失敗的當(dāng)前數(shù)據(jù)流維持在“待分類”狀態(tài)時(shí)�,可以通過(guò)表I示例的數(shù)據(jù)流表實(shí)現(xiàn),例如�����,若匹配模塊201將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗���,則狀態(tài)維持模塊302對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài)����,可通過(guò)在表I示例的數(shù)據(jù)流表中將當(dāng)前數(shù)據(jù)流的“分類狀態(tài)”表項(xiàng)標(biāo)記為c(0)來(lái)實(shí)現(xiàn)�。附圖3示例的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置還可以包括第一更新模塊401,如附圖4所示本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置����。第一更新模塊401用于根據(jù)所述匹配失敗或匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流拓?fù)涮卣餍畔?����。無(wú)論當(dāng)前數(shù)據(jù)流是否通過(guò)將其至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配而識(shí)別出類型�,第一更新模塊401都可以根據(jù)所述匹配失敗或匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流拓?fù)涮卣餍畔?。也就是說(shuō),數(shù)據(jù)流拓?fù)涮卣餍畔⑹歉鶕?jù)所有數(shù)據(jù)流并按照啟發(fā)式策略來(lái)維護(hù)�,當(dāng)接收到新的數(shù)據(jù)流時(shí),第一更新模塊401可以根據(jù)這些新的數(shù)據(jù)流來(lái)更新數(shù)據(jù)流拓?fù)涮卣餍畔⒁约案倪M(jìn)啟發(fā)式規(guī)則等等��。對(duì)于附圖2示例的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置�����,數(shù)據(jù)流拓?fù)涮卣餍畔⒖梢允菙?shù)據(jù)流拓?fù)涮卣鞅淼男问酱嬖?��,其中記錄的信息可以是結(jié)合圖論只是后得出的一些數(shù)據(jù)�����,例如�,出入度和團(tuán)節(jié)點(diǎn)比例等�,也可以是數(shù)據(jù)流五元組信息的子集,例如,僅僅記錄數(shù)據(jù)包的目的IP地����、址和目的端口號(hào)���,或者僅僅記錄數(shù)據(jù)包的源IP地址和目的IP地址等等��。若數(shù)據(jù)流拓?fù)涮卣鞅碛涗浟祟愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址����,則附圖2示例的再識(shí)別模塊202可以包括第一識(shí)別單元501�,如附圖5所示本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置。第一識(shí)別單元501用于將所述當(dāng)前數(shù)據(jù)流的目的IP地址和目的端口地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址匹配����,若匹配成功,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流��。若數(shù)據(jù)流拓?fù)涮卣鞅碛涗浟祟愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址����,則附圖2示例的再識(shí)別模塊202可以包括第二識(shí)別單元601,如附圖6所示本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置����。第二識(shí)別單元601用于將所述當(dāng)前數(shù)據(jù)流的源IP地址和目的IP地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址匹配���,若匹配成功,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流��。若數(shù)據(jù)流拓?fù)涮卣鞅碛涗浟祟愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息���,則 附圖2示例的再識(shí)別模塊202可以包括第三識(shí)別單元701�����,如附圖7所示本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置�。第三識(shí)別單元701用于將所述當(dāng)前數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名(Hostname)信息分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息匹配���,若匹配成功��,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流��。例如�,以數(shù)據(jù)流為單位�����,第三識(shí)別單元701通過(guò)對(duì)該數(shù)據(jù)流的Hostname字段分析得知該數(shù)據(jù)流是一次與MSN服務(wù)器交互的信息。若第三識(shí)別單元701結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔⒆R(shí)別出該數(shù)據(jù)流為HTTPS協(xié)議流����,即MSN服務(wù)器提供的MS^essage (MSN聊天信息)。由于MSN服務(wù)器向外界提供的服務(wù)有限��,包括郵件服務(wù)���、網(wǎng)站服務(wù)和MSN Message服務(wù)等,其中�,郵件服務(wù)需采用HTTP協(xié)議而非HTTPS協(xié)議,而MSN Message服務(wù)采用的是HTTPS協(xié)議�����。因此���,若當(dāng)前數(shù)據(jù)流的高層協(xié)議字段與上述類型已識(shí)別出數(shù)據(jù)流(HTTPS協(xié)議流)匹配��,則第三識(shí)別單元701判斷當(dāng)前數(shù)據(jù)流也是HTTPS協(xié)議流��,屬于MSN Message應(yīng)用����。對(duì)于附圖2示例的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置,數(shù)據(jù)流拓?fù)涮卣餍畔⑦€可以是包括類型已識(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息���,例如����,拓?fù)渥訄D的平均節(jié)點(diǎn)度����、最大節(jié)點(diǎn)度、出入邊比例����、最大團(tuán)結(jié)點(diǎn)數(shù)比例和平均路的長(zhǎng)度等等,其中���,平均節(jié)點(diǎn)度是表征主機(jī)活躍程度的參數(shù)��,而最大節(jié)點(diǎn)度對(duì)應(yīng)的節(jié)點(diǎn)通常是DNS或者異常攻擊的目標(biāo)節(jié)點(diǎn)���。若數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息,則附圖2示例的再識(shí)別模塊202可以包括第四識(shí)別單元801����,如附圖8所示本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置���。第四識(shí)別單元801用于將所述當(dāng)前數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息與所述類型已識(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息匹配,若匹配成功��,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流����。上述第四識(shí)別單元801根據(jù)數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息識(shí)別未知的數(shù)據(jù)流,適用對(duì)象將不再是單條數(shù)據(jù)流�,而是由一定數(shù)量的數(shù)據(jù)流所組成的拓?fù)浣Y(jié)構(gòu)�����。如果將所有的數(shù)據(jù)流組成拓?fù)鋱D�,那么其中有通信或者通信關(guān)聯(lián)較集中的拓?fù)渥訄D將是分類的對(duì)象。這個(gè)拓?fù)渥訄D的一些圖論特征信息�����,例如�����,平均節(jié)點(diǎn)度和最大團(tuán)包含的節(jié)點(diǎn)數(shù)比例等等才是真正的分類依據(jù)���。舉例而言���,需要設(shè)計(jì)啟發(fā)式規(guī)則識(shí)別未知的P2P應(yīng)用�����。假設(shè)BitTorrent應(yīng)用在某個(gè)DPI系統(tǒng)下���,匹配模塊201通過(guò)將當(dāng)前BitTorrent數(shù)據(jù)流(匹配前不知道是BitTorrent數(shù)據(jù)流)的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的BitTorrent數(shù)據(jù)流的特征進(jìn)行匹配,可以完成識(shí)別���,然而��,其他P2P應(yīng)用則暫時(shí)不能識(shí)別��。若將BitTorrent數(shù)據(jù)流組成拓?fù)鋱D并分析其中的拓?fù)渥訄D�����,得到類似平均節(jié)點(diǎn)度占子圖節(jié)點(diǎn)數(shù)比例和最大團(tuán)節(jié)點(diǎn)數(shù)比例等數(shù)值��,或者���,事先通過(guò)大量實(shí)驗(yàn)獲取這些平均節(jié)點(diǎn)度占子圖節(jié)點(diǎn)數(shù)比例和最大團(tuán)節(jié)點(diǎn)數(shù)比例等的經(jīng)驗(yàn)值�����。然后��,將未知數(shù)據(jù)流組成拓?fù)鋱D�����,并分析其中關(guān)聯(lián)性大的拓?fù)渥訄D的各項(xiàng)特征��,通過(guò)諸如機(jī)器學(xué)習(xí)的方法���,第四識(shí)別單元801將未知數(shù)據(jù)流的拓?fù)渥訄D的各項(xiàng)特征與BitTorrent數(shù)據(jù)流組成的拓?fù)渥訄D的各項(xiàng)特征進(jìn)行匹配��,如果匹配成功���,則認(rèn)為該未知數(shù)據(jù)流的拓?fù)渥訄D的節(jié)點(diǎn)運(yùn)行有P2P應(yīng)用��,即�,識(shí)別該未知數(shù)據(jù)流是P2P類型的數(shù)據(jù)流����。附圖3示例的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置還可以包括第二更新模塊901���,如附圖9所示本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)數(shù)據(jù)流分類裝置。第二更新模塊901用于根據(jù)所述匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流特征庫(kù)�����。其他任何類型已識(shí)別的數(shù)據(jù)流可以被第二更新模塊901作同樣的用處����,例如,若經(jīng)過(guò)成功匹配��,某協(xié)議應(yīng)用層數(shù)據(jù)負(fù)載始終包含某個(gè)字段���,則經(jīng)驗(yàn)證后���,第二更新模塊901可將該字段加入數(shù)據(jù)流特征庫(kù)以更新數(shù)據(jù)流特征庫(kù),從而方便之后的數(shù)據(jù)流的識(shí)別�。
需要說(shuō)明的是,上述裝置各模塊/單元之間的信息交互����、執(zhí)行過(guò)程等內(nèi)容,由于與本發(fā)明方法實(shí)施例基于同一構(gòu)思�,其帶來(lái)的技術(shù)效果與本發(fā)明方法實(shí)施例相同����,具體內(nèi)容可參見本發(fā)明方法實(shí)施例中的敘述�����,此處不再贅述��。本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成��,比如以下各種方法的一種或多種或全部將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配���;若匹配失敗����,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別,所述數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成�����。本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成��,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中����,存儲(chǔ)介質(zhì)可以包括只讀存儲(chǔ)器(ROM,Read Only Memory)����、隨機(jī)存取存儲(chǔ)器(RAM,RandomAccess Memory)��、磁盤或光盤等����。以上對(duì)本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)數(shù)據(jù)流分類方法和裝置進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述�,以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí)��,對(duì)于本領(lǐng)域的一般技術(shù)人員���,依據(jù)本發(fā)明的思想��,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處����,綜上所述,本說(shuō)明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制���。
權(quán)利要求
1.一種網(wǎng)絡(luò)數(shù)據(jù)流分類方法�,其特征在于�,所述方法包括 將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配; 若匹配失敗��,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別,所述數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成��。
2.如權(quán)利要求I所述的方法����,其特征在于,在所述將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配之后��,所述方法還包括 若匹配成功����,則對(duì)所述匹配成功的當(dāng)前數(shù)據(jù)流的類型進(jìn)行標(biāo)記;或者 若將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗����,則所述方法進(jìn)一步包括對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài)。
3.如權(quán)利要求2所述的方法�����,其特征在于,所述方法進(jìn)一步包括 根據(jù)所述匹配失敗或匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流拓?fù)涮卣餍畔ⅰ?br>
4.如權(quán)利要求I至3任意一項(xiàng)所述的方法,其特征在于���,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址; 所述結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔ⅲ捎脝l(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別包括將所述當(dāng)前數(shù)據(jù)流的目的IP地址和目的端口地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址匹配�,若匹配成功����,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流。
5.如權(quán)利要求I至3任意一項(xiàng)所述的方法���,其特征在于�,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址��; 所述結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?���,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別包括將所述當(dāng)前數(shù)據(jù)流的源IP地址和目的IP地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址匹配,若匹配成功���,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流����。
6.如權(quán)利要求I至3任意一項(xiàng)所述的方法,其特征在于��,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息�; 所述結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔ⅲ捎脝l(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別包括將所述當(dāng)前數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息匹配�����,若匹配成功�����,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流�。
7.如權(quán)利要求I至3任意一項(xiàng)所述的方法,其特征在于��,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息���; 所述結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?�,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別包括將所述當(dāng)前數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息與所述類型已識(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息匹配���,若匹配成功��,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流。
8.如權(quán)利要求2至7任一項(xiàng)所述的方法��,其特征在于����,所述方法進(jìn)一步包括 根據(jù)所述匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流特征庫(kù)。
9.一種網(wǎng)絡(luò)數(shù)據(jù)流分類裝置����,其特征在于,所述裝置包括 匹配模塊����,用于將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配; 再識(shí)別模塊�,用于若所述匹配模塊將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?���,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別,所述數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成����。
10.如權(quán)利要求9所述的裝置����,其特征在于��,所述裝置還包括標(biāo)記模塊和狀態(tài)維持模塊��; 所述標(biāo)記模塊����,用于若所述匹配模塊將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配成功,則對(duì)所述匹配成功的當(dāng)前數(shù)據(jù)流的類型進(jìn)行標(biāo)記����; 所述狀態(tài)維持模塊,用于若所述匹配模塊將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配失敗�,則對(duì)所述匹配失敗的當(dāng)前數(shù)據(jù)流維持待分類狀態(tài)。
11.如權(quán)利要求10所述的裝置���,其特征在于�,所述裝置進(jìn)一步包括 第一更新模塊���,用于根據(jù)所述匹配失敗或匹配成功的當(dāng)前數(shù)據(jù)流更新所述數(shù)據(jù)流拓?fù)涮卣餍畔ⅰ?br>
12.如權(quán)利要求9至11任意一項(xiàng)所述的裝置�,其特征在于,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址�����;所述再識(shí)別模塊包括 第一識(shí)別單元�,用于將所述當(dāng)前數(shù)據(jù)流的目的IP地址和目的端口地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的目的IP地址和目的端口地址匹配,若匹配成功�����,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流�����。
13.如權(quán)利要求9至11任意一項(xiàng)所述的裝置����,其特征在于��,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址��;所述再識(shí)別模塊包括 第二識(shí)別單元��,用于將所述當(dāng)前數(shù)據(jù)流的源IP地址和目的IP地址分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的源IP地址和目的IP地址匹配�����,若匹配成功,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流��。
14.如權(quán)利要求9至11任意一項(xiàng)所述的裝置��,其特征在于�,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息;所述再識(shí)別模塊包括 第三識(shí)別單元����,用于將所述當(dāng)前數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息分別與所述數(shù)據(jù)流拓?fù)涮卣餍畔⒅蓄愋鸵炎R(shí)別數(shù)據(jù)流的高層協(xié)議字段和主機(jī)名信息匹配,若匹配成功��,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流�����。
15.如權(quán)利要求9至11任意一項(xiàng)所述的裝置��,其特征在于�����,所述數(shù)據(jù)流拓?fù)涮卣餍畔愋鸵炎R(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息;所述再識(shí)別模塊包括 第四識(shí)別單元��,用于將所述當(dāng)前數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息與所述類型已識(shí)別數(shù)據(jù)流拓?fù)渥訄D的圖論特征信息匹配���,若匹配成功����,則判斷所述當(dāng)前數(shù)據(jù)流與所述類型已識(shí)別數(shù)據(jù)流為同種類型的數(shù)據(jù)流���。
16.如權(quán)利要求10至15任意一項(xiàng)所述的裝置��,其特征在于,所述裝置進(jìn)一步包括第二更新模塊���,用于根據(jù)所述匹配成功的當(dāng)前數(shù)據(jù)流更·新所述數(shù)據(jù)流特征庫(kù)���。
全文摘要
本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)數(shù)據(jù)流分類方法和裝置,以提高對(duì)網(wǎng)絡(luò)上數(shù)據(jù)業(yè)務(wù)流進(jìn)行分類時(shí)的準(zhǔn)確性���。所述方法包括將當(dāng)前數(shù)據(jù)流的至少一個(gè)特征與數(shù)據(jù)流特征庫(kù)保存的類型已識(shí)別數(shù)據(jù)流的特征進(jìn)行匹配����;若匹配失敗,則結(jié)合數(shù)據(jù)流拓?fù)涮卣餍畔?�,采用啟發(fā)式規(guī)則對(duì)所述當(dāng)前數(shù)據(jù)流的類型再次識(shí)別���,所述數(shù)據(jù)流拓?fù)涮卣餍畔⒏鶕?jù)類型已識(shí)別數(shù)據(jù)流和/或類型未識(shí)別數(shù)據(jù)流生成。本發(fā)明提供的方法在初次識(shí)別時(shí)保留了業(yè)務(wù)分類精確的優(yōu)點(diǎn)����,并憑借初次識(shí)別得到的業(yè)務(wù)分類可靠的分類結(jié)果實(shí)現(xiàn)了高效的啟發(fā)式數(shù)據(jù)流識(shí)別,即使對(duì)那些負(fù)載加密的數(shù)據(jù)流也能夠進(jìn)行業(yè)務(wù)類型的識(shí)別��,同時(shí)擁有反饋迭代學(xué)習(xí)能力���,較之現(xiàn)有技術(shù)實(shí)現(xiàn)了數(shù)據(jù)流識(shí)別更高的準(zhǔn)確率和分類覆蓋率����。
文檔編號(hào)H04L29/08GK102724317SQ201210207138
公開日2012年10月10日 申請(qǐng)日期2012年6月21日 優(yōu)先權(quán)日2012年6月21日
發(fā)明者王磊, 陳凱, 黃史俊 申請(qǐng)人:華為技術(shù)有限公司