一種基于深度包檢測(cè)的流量識(shí)別方法
【專(zhuān)利摘要】一種基于深度包檢測(cè)的流量識(shí)別方法,首先判斷接收到的報(bào)文中的TCP端口號(hào)是否大于第一閾值��,若大于第一閾值則使用DPI技術(shù)進(jìn)行判斷�,否則則使用TCP連接信息進(jìn)行判斷。通過(guò)應(yīng)用以上技術(shù)����,能夠使得在流量識(shí)別中更加準(zhǔn)確、快捷的得到識(shí)別結(jié)果�����,并且在識(shí)別流程上也大幅優(yōu)化���,能夠更容易的在現(xiàn)有設(shè)備中實(shí)現(xiàn)���。
【專(zhuān)利說(shuō)明】一種基于深度包檢測(cè)的流量識(shí)別方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】,尤其涉及一種深度包檢測(cè)的方法����。
【背景技術(shù)】
[0002]隨著近年來(lái)基于P2P (peer to peer)流量模型的新型網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展,網(wǎng)絡(luò)帶寬資源的消耗速度不斷加快,網(wǎng)上傳統(tǒng)業(yè)務(wù)也受到了越來(lái)越大的沖擊和影響����。P2P本身是一種很好的技術(shù),有廣闊的使用前景����,但同時(shí)P2P也是一種殺傷力很強(qiáng)的技術(shù)�����。目前�����,基于P2P的應(yīng)用多為帶寬耗盡型的下載業(yè)務(wù)���,使得原本富裕的接入����、匯聚和骨干帶寬資源被消耗殆盡��,網(wǎng)絡(luò)鏈路經(jīng)常處于滿(mǎn)負(fù)荷狀態(tài)��,導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量惡化(丟包率、時(shí)延及抖動(dòng)大大增加)���,使部分對(duì)端到端QoS (quality of service)要求較高的語(yǔ)音�����、視頻�、游戲類(lèi)業(yè)務(wù)的發(fā)展受到很大影響�����,同時(shí)擠占了傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用的帶寬資源�。如何有效控制此類(lèi)低價(jià)值業(yè)務(wù)流量對(duì)帶寬的侵蝕,解決骨干網(wǎng)增量不增收的現(xiàn)狀��,是擺在運(yùn)營(yíng)商面前的一個(gè)現(xiàn)實(shí)問(wèn)題�。
[0003]深度包檢測(cè)(DPI)技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù),當(dāng)IP數(shù)據(jù)包��、TCP或UDP數(shù)據(jù)流通過(guò)基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí)����,該系統(tǒng)通過(guò)深入讀取IP包載荷的內(nèi)容來(lái)對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組,從而得到整個(gè)應(yīng)用程序的內(nèi)容����,然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作�。深度包檢測(cè)法就是基于這種原理����,通過(guò)檢測(cè)各種P2P應(yīng)用協(xié)議使用的固定特征字來(lái)識(shí)別各種P2P應(yīng)用。
[0004]使用DPI技術(shù)能帶來(lái)以下好處:
a)檢測(cè)準(zhǔn)確率比基于端口和流量模式的方法高����,端口的變化不會(huì)影響檢測(cè)率�。
[0005]b)能夠檢測(cè)使用最廣泛的P2P應(yīng)用。
[0006]c)適合流量的精確檢測(cè)�����。
[0007]發(fā)明人在實(shí)現(xiàn)實(shí)際使用DPI技術(shù)時(shí)�����,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在如下缺點(diǎn): a)無(wú)法識(shí)別新出現(xiàn)的�����、經(jīng)加密的P2P應(yīng)用���,會(huì)出現(xiàn)漏判�。
[0008]b)協(xié)議分析和特征搜尋需要投入大量人力及時(shí)間。
[0009]c)難以獲取加密協(xié)議的特征����。
[0010]d)特征的選擇對(duì)檢測(cè)性能有很大影響。
[0011]e)系統(tǒng)檢測(cè)模塊需不定期地進(jìn)行升級(jí)����。
[0012]f)查看應(yīng)用層的內(nèi)容涉及隱私的問(wèn)題。
[0013]g)對(duì)檢測(cè)設(shè)備的處理能力要求較高����。
【發(fā)明內(nèi)容】
[0014]本發(fā)明提供了一種利用DPI技術(shù)進(jìn)行TCP流量識(shí)別的方法,包括:
步驟202���、接收TCP連接報(bào)文��,所述報(bào)文中包括網(wǎng)絡(luò)控制數(shù)據(jù)和用戶(hù)發(fā)送的數(shù)據(jù)��;
步驟204���、識(shí)別報(bào)文中包括的源端的端口號(hào),對(duì)端口號(hào)進(jìn)行判斷�����;
步驟206、若端口號(hào)大于預(yù)設(shè)的第一閾值則跳轉(zhuǎn)到步驟212���,否則進(jìn)入步驟208 ����;
步驟208�、對(duì)報(bào)文進(jìn)行DPI處理,提取報(bào)文中的字符串�,將字符串經(jīng)過(guò)由I個(gè)哈希函數(shù)構(gòu)成的Bloom Filter,進(jìn)行粗匹配�����,若匹配成功則直接報(bào)告匹配結(jié)果����,進(jìn)入步驟210 ;若匹配不成功����,貝1J進(jìn)入細(xì)匹配,將字符串經(jīng)過(guò)由η個(gè)哈希函數(shù)構(gòu)成的Bloom Filter,其中η為自然數(shù)且η>1���,獲得匹配結(jié)果�����,進(jìn)入步驟210 ���;
步驟210�����、所述匹配結(jié)果進(jìn)行分析����,若是異常結(jié)果則對(duì)異常進(jìn)行上報(bào)�,進(jìn)入步驟214 ;若非異常結(jié)果則不進(jìn)行上報(bào),進(jìn)入步驟214 ���;
步驟212����、對(duì)TCP連接信息進(jìn)行分析�,若在一定的時(shí)間內(nèi)TCP的連接數(shù)大于第二閾值且該一定的時(shí)間內(nèi)最大連接數(shù)和最小連接數(shù)差值高于第三閾值,則判斷流量異常���,對(duì)異常進(jìn)行上報(bào)����,進(jìn)入步驟214 ;否則不上報(bào)異常,進(jìn)入步驟214 ���;
步驟214�����、流量識(shí)別結(jié)束����。
[0015]本發(fā)明中����,通過(guò)首先判斷端口號(hào)���,再進(jìn)行有針對(duì)性的識(shí)別的方式�,有效的區(qū)別了不同情況下的流量識(shí)別方式���。并且�,通過(guò)Bloom Filter實(shí)現(xiàn)了 DPI的處理,精確的獲取處理結(jié)果�。同時(shí),通過(guò)判斷TCP連接的特征更加便捷的實(shí)現(xiàn)了流量的識(shí)別�����。通過(guò)應(yīng)用以上技術(shù)�,能夠使得在流量識(shí)別中更加準(zhǔn)確、快捷的得到識(shí)別結(jié)果���,并且在識(shí)別流程上也大幅優(yōu)化�,能夠更容易的在現(xiàn)有設(shè)備中實(shí)現(xiàn)���。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0016]為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��。
[0017]顯而易見(jiàn)地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。
[0018]圖1為本發(fā)明實(shí)施一的流程圖����。
【具體實(shí)施方式】
[0019]為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白����,以下將通過(guò)具體實(shí)施例和相關(guān)附圖,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明����。
[0020]實(shí)施例一
本發(fā)明實(shí)施例一提供了一種利用DPI技術(shù)進(jìn)行TCP流量識(shí)別的方法,包括:
步驟202�、接收TCP連接報(bào)文,所述報(bào)文中包括網(wǎng)絡(luò)控制數(shù)據(jù)和用戶(hù)發(fā)送的數(shù)據(jù)�;
步驟204、識(shí)別報(bào)文中包括的源端的端口號(hào)�����,對(duì)端口號(hào)進(jìn)行判斷���;
步驟206���、若端口號(hào)大于預(yù)設(shè)的第一閾值則跳轉(zhuǎn)到步驟212,否則進(jìn)入步驟208 ��;
步驟208���、對(duì)報(bào)文進(jìn)行DPI處理�,提取報(bào)文中的字符串�����,將字符串經(jīng)過(guò)由I個(gè)哈希函數(shù)構(gòu)成的Bloom Filter���,進(jìn)行粗匹配��,若匹配成功則直接報(bào)告匹配結(jié)果��,進(jìn)入步驟210 ;若匹配不成功���,貝1J進(jìn)入細(xì)匹配,將字符串經(jīng)過(guò)由η個(gè)哈希函數(shù)構(gòu)成的Bloom Filter,其中η>1,獲得匹配結(jié)果��,進(jìn)入步驟210 ;
步驟210�、對(duì)所述匹配結(jié)果進(jìn)行分析,若是異常結(jié)果則對(duì)異常進(jìn)行上報(bào)��,進(jìn)入步驟214 ;若非異常結(jié)果則不進(jìn)行上報(bào)�,進(jìn)入步驟214 ;
步驟212�����、對(duì)TCP連接信息進(jìn)行分析����,若在一定的時(shí)間內(nèi)TCP的連接數(shù)大于第二閾值且連接數(shù)的變化率高于第三閾值,則判斷流量異常��,對(duì)異常進(jìn)行上報(bào)��,進(jìn)入步驟214 ;否則不上報(bào)異常����,進(jìn)入步驟214; 步驟214、流量識(shí)別結(jié)束���。
[0021]實(shí)施例二
在實(shí)施例一的步驟214完成后����,繼續(xù)進(jìn)行步驟216����、將異常的報(bào)文的特征進(jìn)行存儲(chǔ),以參照該特征對(duì)后續(xù)報(bào)文進(jìn)行識(shí)別��,所述特征包括以下至少一項(xiàng):所述TCP連接的五元組��、所述匹配結(jié)果�����。
[0022]實(shí)施例三
在實(shí)施例二的參照該特征對(duì)后續(xù)報(bào)文進(jìn)行識(shí)別中��,具體為:根據(jù)異常報(bào)文所在的TCP的源IP地址和目的IP地址識(shí)別發(fā)送異常報(bào)文的通信雙方���,對(duì)于該通信雙方的所有端口上發(fā)送的數(shù)據(jù)進(jìn)行DPI處理���,獲取匹配結(jié)果,并進(jìn)行分析���,上報(bào)異常結(jié)果����。
[0023]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成���,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序在執(zhí)行時(shí)�,可包括如上述各方法的實(shí)施例的流程��。其中���,所述的存儲(chǔ)介質(zhì)可為磁碟�、光盤(pán)����、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或隨機(jī)存儲(chǔ)記憶體(Random AccessMemory, RAM)等。
[0024]上列較佳實(shí)施例��,對(duì)本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明,所應(yīng)理解的是����,以上所述僅為本發(fā)明的較佳實(shí)施例而已����,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�����、等同替換��、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
【權(quán)利要求】
1.一種利用DPI技術(shù)進(jìn)行TCP流量識(shí)別的方法��,其特征在于�,包括: 步驟202、接收TCP連接報(bào)文����,所述報(bào)文中包括網(wǎng)絡(luò)控制數(shù)據(jù)和用戶(hù)發(fā)送的數(shù)據(jù)���; 步驟204、識(shí)別報(bào)文中包括的源端的端口號(hào)���,對(duì)端口號(hào)進(jìn)行判斷�; 步驟206�����、若端口號(hào)大于預(yù)設(shè)的第一閾值則跳轉(zhuǎn)到步驟212�����,否則進(jìn)入步驟208 �����; 步驟208��、對(duì)報(bào)文進(jìn)行DPI處理��,提取報(bào)文中的字符串����,將字符串經(jīng)過(guò)由I個(gè)哈希函數(shù)構(gòu)成的Bloom Filter��,進(jìn)行粗匹配����,若匹配成功則直接報(bào)告匹配結(jié)果��,進(jìn)入步驟210 ;若匹配不成功�,貝1J進(jìn)入細(xì)匹配,將字符串經(jīng)過(guò)由η個(gè)哈希函數(shù)構(gòu)成的Bloom Filter,其中η>1,獲得匹配結(jié)果����,進(jìn)入步驟210 �����; 步驟210���、所述匹配結(jié)果進(jìn)行分析��,若是異常結(jié)果則對(duì)異常進(jìn)行上報(bào)��,進(jìn)入步驟214 ;若非異常結(jié)果則不進(jìn)行上報(bào)�,進(jìn)入步驟214 ����; 步驟212����、對(duì)TCP連接信息進(jìn)行分析����,若在一定的時(shí)間內(nèi)TCP的連接數(shù)大于第二閾值且連接數(shù)的變化率高于第三閾值,則判斷流量異常�����,對(duì)異常進(jìn)行上報(bào)����,進(jìn)入步驟214;否則不上報(bào)異常,進(jìn)入步驟214; 步驟214���、流量識(shí)別結(jié)束��。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,在步驟214之后�����,還包括: 步驟216�����、將異常的報(bào)文的特征進(jìn)行存儲(chǔ)�����,以參照該特征對(duì)后續(xù)報(bào)文進(jìn)行識(shí)別���,所述特征包括以下至少一項(xiàng):所述TCP連接的五元組��、所述匹配結(jié)果。
【文檔編號(hào)】H04L12/801GK104243225SQ201310243498
【公開(kāi)日】2014年12月24日 申請(qǐng)日期:2013年6月19日 優(yōu)先權(quán)日:2013年6月19日
【發(fā)明者】不公告發(fā)明人 申請(qǐng)人:北京思普崚技術(shù)有限公司