專利名稱:網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)數(shù)據(jù)傳輸領(lǐng)域,更具體地說����,涉及一種網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)及方法。
背景技術(shù):
隨著寬帶網(wǎng)絡(luò)�����、流媒體����、編解碼����、信息加密和存儲(chǔ)技術(shù)的發(fā)展,以TCP/IP協(xié)議網(wǎng)絡(luò)為承載基礎(chǔ)的視頻業(yè)務(wù)越來越多����。這類以IP及其相關(guān)技術(shù)為基礎(chǔ)的視頻業(yè)務(wù)稱為網(wǎng)絡(luò)電視(IPTV)(區(qū)別于基于DVB(Digital Video Broadcast,數(shù)字視頻廣播)的數(shù)字電視廣播業(yè)務(wù))����。伴隨著正常的IPTV業(yè)務(wù)發(fā)展,一種新興的基于P2P(Peer-to-Peer,點(diǎn)對(duì)點(diǎn))方式的網(wǎng)絡(luò)電視業(yè)務(wù)逐漸為更多寬帶用戶所使用����。
P2P業(yè)務(wù)本身是一種難以管理的流量。從現(xiàn)有的應(yīng)用情況看���,其對(duì)帶寬的侵蝕性以及本身路由的無管理性給網(wǎng)絡(luò)帶來了巨大的負(fù)擔(dān)和大量的低效流量�。隨著IPTV運(yùn)營的逐漸展開��,免費(fèi)的基于P2P方式的網(wǎng)絡(luò)電視業(yè)務(wù)本身也會(huì)給正常的IPTV運(yùn)營造成影響����,不利于正常業(yè)務(wù)的推廣與發(fā)展。此外��,以P2P方式傳播的視頻業(yè)務(wù)本身也存在版權(quán)問題��。
基于以上原因���,必須通過技術(shù)手段識(shí)別出基于P2P方式的視頻業(yè)務(wù)�����,從而可對(duì)其進(jìn)行管理和控制����。
目前識(shí)別網(wǎng)絡(luò)數(shù)據(jù)流業(yè)務(wù)的方法主要有以下幾種(1)基于端口的業(yè)務(wù)識(shí)別技術(shù)傳統(tǒng)的客戶端—服務(wù)器(Client<->Server)模式的互聯(lián)網(wǎng)應(yīng)用采用IANA(Internet Assigned Numbers Authority,因特網(wǎng)號(hào)分配機(jī)構(gòu))定義的特定的服務(wù)端口號(hào)��,因此通過端口號(hào)即可識(shí)別出業(yè)務(wù)類型���。而P2P網(wǎng)絡(luò)電視應(yīng)用通常沒有中心的服務(wù)器和固定的服務(wù)端口號(hào),因此端口號(hào)識(shí)別的方法不適合絕大多數(shù)的P2P網(wǎng)絡(luò)電視應(yīng)用識(shí)別����。
(2)基于流統(tǒng)計(jì)性的業(yè)務(wù)識(shí)別技術(shù)由于P2P應(yīng)用通常伴隨著大量的TCP連接和UDP流產(chǎn)生,因此通過連接數(shù)和流數(shù)的統(tǒng)計(jì)值來發(fā)現(xiàn)P2P應(yīng)用成為一種可能����。但是除了P2P應(yīng)用外,傳統(tǒng)服務(wù)器��、以及DDOS被攻主機(jī)的流統(tǒng)計(jì)特性有相似特征,因此容易產(chǎn)生誤報(bào)���,而且該方法對(duì)于只有產(chǎn)生較少TCP連接和少量流的P2P應(yīng)用會(huì)產(chǎn)生誤報(bào)����。該方式能夠早期預(yù)警P2P流量的發(fā)生����,無法區(qū)分具體的P2P應(yīng)用類型����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于���,針對(duì)現(xiàn)有技術(shù)上述的誤識(shí)或無法識(shí)別P2P數(shù)據(jù)流的識(shí)別的缺陷����,提供一種網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)及方法���。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是構(gòu)造一種網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng),包括有數(shù)據(jù)流識(shí)別模塊以及數(shù)據(jù)流特征庫��,所述數(shù)據(jù)流特征庫中包括有多組網(wǎng)絡(luò)數(shù)據(jù)流的特征,所述數(shù)據(jù)流識(shí)別模塊根據(jù)數(shù)據(jù)流特征庫中的網(wǎng)絡(luò)數(shù)據(jù)流特征識(shí)別特定的數(shù)據(jù)流��。
在本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)中�,所述數(shù)據(jù)流特征庫包括有多組點(diǎn)對(duì)點(diǎn)方式網(wǎng)絡(luò)電視數(shù)據(jù)流特征。
在本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)中����,還包括流表更新模塊��,所述流表更新模塊判斷當(dāng)前的IP報(bào)文對(duì)應(yīng)的數(shù)據(jù)流是否為已標(biāo)記類型的數(shù)據(jù)流,所述流表更新模塊還用于將沒有標(biāo)記類型的數(shù)據(jù)流根據(jù)IP報(bào)文的源和目的端口號(hào),判斷其是否為特定應(yīng)用類型����,如果是則對(duì)該IP報(bào)文對(duì)應(yīng)的數(shù)據(jù)流進(jìn)行標(biāo)記�����,如果不是則將報(bào)文送入所述數(shù)據(jù)流識(shí)別模塊進(jìn)行識(shí)別。
在本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)中����,所述數(shù)據(jù)流特征庫包括有TCP數(shù)據(jù)流特征庫和UDP數(shù)據(jù)流特征庫���,所述TCP數(shù)據(jù)流特征庫和UDP數(shù)據(jù)流特征庫分別包含有TCP網(wǎng)絡(luò)電視流特征數(shù)據(jù)和UDP網(wǎng)絡(luò)電視流特征數(shù)據(jù)���,所述數(shù)據(jù)流識(shí)別模塊包括有識(shí)別輸入報(bào)文類型的報(bào)文識(shí)別模塊、根據(jù)TCP數(shù)據(jù)流特征庫識(shí)別TCP網(wǎng)絡(luò)電視流的TCP流識(shí)別模塊以及根據(jù)UDP數(shù)據(jù)流特征庫識(shí)別UDP網(wǎng)絡(luò)電視流的UDP流識(shí)別模塊����,其中TCP流識(shí)別模塊及UDP流識(shí)別模塊則分別與報(bào)文識(shí)別模塊連接。
在本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)中,所述TCP數(shù)據(jù)流特征庫包括有以下一組或多組特征TCP凈荷前四個(gè)字節(jié)為0x2c000000���;TCP凈荷前六個(gè)字節(jié)為0x0E0E01000000或關(guān)鍵字“STMM”��;TCP凈荷前三個(gè)字節(jié)為0x000000��;凈荷開始四個(gè)字節(jié)為0x11000000����;TCP靜荷前10個(gè)字節(jié)對(duì)應(yīng)字符串為“PSProtocol”��;TCP凈荷前四個(gè)字節(jié)為0x01000000�。
在本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)中,所述UDP數(shù)據(jù)流特征庫包括有以下一組或多組特征凈荷前四個(gè)字節(jié)為0x01000002���;只有2對(duì)DNS請(qǐng)求和回應(yīng)報(bào)文且報(bào)文包含如下兩個(gè)域名boot.coolstreaming.com.cn����、boot.coolbooting.cn��。
本發(fā)明還提供一種網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法�,包括以下步驟(a)在數(shù)據(jù)報(bào)文中檢查是否含有數(shù)據(jù)流特征庫中的任意一條特征;(b)若檢索到與所述特征字匹配的流量特征�����,則標(biāo)記當(dāng)前報(bào)文對(duì)應(yīng)的數(shù)據(jù)流為特定的數(shù)據(jù)流。
在本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法中����,所述步驟(a)包括(a1)根據(jù)當(dāng)前報(bào)文中的協(xié)議類型字段判斷當(dāng)前報(bào)文的類型���;(a2)若當(dāng)前報(bào)文為TCP類型報(bào)文����,則在TCP數(shù)據(jù)流特征庫中檢索與當(dāng)前報(bào)文中的特征字相匹配的流量特征���;若當(dāng)前報(bào)文為UDP類型報(bào)文��,則在UDP數(shù)據(jù)流特征庫中檢索與當(dāng)前報(bào)文中的特征字相匹配的流量特征����。
在本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法中���,還包括根據(jù)報(bào)文更新TCP/IP流表以判斷對(duì)應(yīng)數(shù)據(jù)流類型是否已標(biāo)記�����,并在數(shù)據(jù)流類型未標(biāo)記時(shí)執(zhí)行步驟(a)���。
在本發(fā)明所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法中�����,所述數(shù)據(jù)流特征庫包括有多組點(diǎn)對(duì)點(diǎn)方式網(wǎng)絡(luò)電視數(shù)據(jù)流特征��,所述步驟(b)中所述特定的數(shù)據(jù)流為點(diǎn)對(duì)點(diǎn)方式網(wǎng)絡(luò)電視流��。
本發(fā)明的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)及方法���,通過匹配數(shù)據(jù)流特征,識(shí)別數(shù)據(jù)流的應(yīng)用類型�����。此外���,通過對(duì)數(shù)據(jù)流分類識(shí)別��,有效地減少了特征匹配的計(jì)算量從而達(dá)到P2P網(wǎng)絡(luò)電視應(yīng)用業(yè)務(wù)識(shí)別的目的��。
圖1是本發(fā)明網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)的結(jié)構(gòu)框圖�����;圖2是圖1中數(shù)據(jù)流識(shí)別模塊及數(shù)據(jù)流特征庫的結(jié)構(gòu)框圖����;圖3是本發(fā)明網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法的流程圖。
具體實(shí)施例方式
如圖1所示����,在本發(fā)明的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)的第一實(shí)施例中��,網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)連接到基于TCP/IP協(xié)議的網(wǎng)絡(luò)中��,并通過分光機(jī)或網(wǎng)絡(luò)鏡像服務(wù)器(圖中未示出)等獲取網(wǎng)絡(luò)中的數(shù)據(jù)流��,其包括有一個(gè)數(shù)據(jù)流識(shí)別模塊13以及一個(gè)數(shù)據(jù)流特征庫14�。
目前的P2P網(wǎng)絡(luò)電視,主要包括有PPLIVE�、沸點(diǎn)、Coolstreaming��、Ppstream���、CCIPTV等��,其數(shù)據(jù)流對(duì)應(yīng)特征如下(1)PPLIVE網(wǎng)絡(luò)電視流量特征UDP流量特征在一個(gè)UDP流中存在源端口為4004或凈荷前四個(gè)字節(jié)為0x01000002的報(bào)文����;TCP流量特征在一個(gè)TCP流中存在源端口為8008或凈荷前四個(gè)字節(jié)為0x2c000000的報(bào)文;(2)沸點(diǎn)網(wǎng)絡(luò)電視流量特征沸點(diǎn)網(wǎng)絡(luò)電視的主要流量為TCP流量��,其特征如下存在凈荷前六個(gè)字節(jié)為0x0E0E01000000或凈荷中含有關(guān)鍵字“STMM”的報(bào)文��;(3)Coolstreaming流量特征TCP數(shù)據(jù)流中存在凈荷前三個(gè)字節(jié)為0x000000的報(bào)文���;或UDP流只有2對(duì)DNS請(qǐng)求和回應(yīng)報(bào)文�����,且報(bào)文包含如下兩個(gè)域名boot.coolstreaming.com.cn����、boot.coolbooting.cn����;(4)PPstream流量特征PPstream的流量為TCP流量,其每個(gè)流中存在凈荷長度21字節(jié)或凈荷開始四個(gè)字節(jié)為0x11000000的報(bào)文此外在PPstream的數(shù)據(jù)通道連接建立時(shí)存在如下特征數(shù)據(jù)包凈荷前10個(gè)字節(jié)為PSProtocol����;(5)CCIPTV流量特征凈荷開始四個(gè)字節(jié)為0x01000000�����。
數(shù)據(jù)流特征庫14中存儲(chǔ)有上述各類網(wǎng)絡(luò)電視流的特征�。
數(shù)據(jù)流識(shí)別模塊13讀取來自網(wǎng)絡(luò)的IP報(bào)文中的特征字符串以及其他特征(如端口號(hào)����、凈荷長度、包含的關(guān)鍵字等)��,并將上述特征字符串及其他特征與數(shù)據(jù)流特征庫中的網(wǎng)絡(luò)電視流特征進(jìn)行比對(duì)�����,并根據(jù)比對(duì)結(jié)果確定IP報(bào)文對(duì)應(yīng)的數(shù)據(jù)流是否為網(wǎng)絡(luò)電視流���。若IP報(bào)文中的特征字符串及其他特征符合數(shù)據(jù)流特征庫14中的一組網(wǎng)絡(luò)電視流特征,則數(shù)據(jù)流識(shí)別模塊13可確定該數(shù)據(jù)流為網(wǎng)絡(luò)電視流���;若在數(shù)據(jù)流特征庫14中不存在與IP報(bào)文中的特征字符串及其他特征匹配的網(wǎng)絡(luò)電視流特征組��,則數(shù)據(jù)流識(shí)別模塊13將其標(biāo)記為未識(shí)別數(shù)據(jù)流并送入其他協(xié)議處理模塊133處理�����。
此外���,為提高數(shù)據(jù)流識(shí)別效率���,本發(fā)明的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)還可包括一個(gè)流表更新模塊11。該流表更新模塊11根據(jù)輸入的IP報(bào)文更新數(shù)據(jù)流表��,即讀取IP報(bào)文中的某些字段�����,例如源IP地址��、源端口號(hào)�、目的IP地址、目的端口�����、協(xié)議類型等���,并根據(jù)這些字段生成新的記錄添加到數(shù)據(jù)流表中����。在某些數(shù)據(jù)流中,根據(jù)源或目的端口號(hào)是否為IANA定義的知名應(yīng)用端口號(hào)��,流表更新模塊11可以判斷其是否為已知應(yīng)用類型的數(shù)據(jù)流并對(duì)其應(yīng)用類型進(jìn)行標(biāo)記����,然后將帶有標(biāo)記的數(shù)據(jù)流發(fā)送到與應(yīng)用類型相對(duì)應(yīng)的協(xié)議處理模塊12處理。而沒有標(biāo)記數(shù)據(jù)流應(yīng)用類型的標(biāo)記的數(shù)據(jù)流則被發(fā)送到數(shù)據(jù)流識(shí)別模塊13進(jìn)行進(jìn)一步的識(shí)別�。
通過流表更新模塊11,過濾了一部分應(yīng)用類型已經(jīng)確定的數(shù)據(jù)流�����,減少了數(shù)據(jù)流識(shí)別模塊13的數(shù)據(jù)處理量����,從而可提高系統(tǒng)的處理效率。當(dāng)然�,在理論上���,也可不包括流表更新模塊11�,但整個(gè)系統(tǒng)的處理效率將可能降低���。
如圖2所示�,是圖1中數(shù)據(jù)流識(shí)別模塊13及數(shù)據(jù)流特征庫14的結(jié)構(gòu)框圖。數(shù)據(jù)流識(shí)別模塊13包括有報(bào)文識(shí)別模塊131�、TCP流識(shí)別模塊132以及UDP流識(shí)別模塊134,其中報(bào)文識(shí)別模塊131與流表更新模塊11連接����,TCP流識(shí)別模塊132及UDP流識(shí)別模塊134則分別與報(bào)文識(shí)別模塊131連接。數(shù)據(jù)流特征庫14包括TCP數(shù)據(jù)流特征庫141和UDP數(shù)據(jù)流特征庫142��,其中TCP數(shù)據(jù)流特征庫141連接到TCP流識(shí)別模塊132�,UDP數(shù)據(jù)流特征庫142連接到UDP流識(shí)別模塊134。
TCP數(shù)據(jù)流特征庫141中包括有各類TCP網(wǎng)絡(luò)電視流的特征����,其具體包括的特征與網(wǎng)絡(luò)電視流的類型如下(1)PPLIVE網(wǎng)絡(luò)電視流端口8008或凈荷前四個(gè)字節(jié)為0x2c000000;
(2)沸點(diǎn)網(wǎng)絡(luò)電視流凈荷前六個(gè)字節(jié)為0x0E0E01000000或凈荷含有關(guān)鍵字“STMM”����;(3)Coolstreaming流凈荷前三個(gè)字節(jié)為0x000000;(4)PPstream流凈荷長度21字節(jié)或凈荷開始四個(gè)字節(jié)為0x11000000�;(5)CCIPTV流量凈荷前四個(gè)字節(jié)為0x01000000。
UDP數(shù)據(jù)流特征庫142中包括有各類UDP網(wǎng)絡(luò)電視流的特征�,其具體包括的特征與網(wǎng)絡(luò)電視流的類型如下(1)PPLIVE網(wǎng)絡(luò)電視流端口4004或凈荷前四個(gè)字節(jié)為0x01000002;(2)Coolstreaming流只有2對(duì)DNS請(qǐng)求和回應(yīng)報(bào)文且報(bào)文包含如下兩個(gè)域名boot.coolstreaming.com.cn��、boot.coolbooting.cn。
由于避開端口號(hào)進(jìn)行網(wǎng)絡(luò)電視流的傳輸較易實(shí)現(xiàn)����,因此采用端口號(hào)進(jìn)行數(shù)據(jù)流識(shí)別的精確性相對(duì)較差。而采用特征字符串(即凈荷字節(jié))進(jìn)行識(shí)別則相對(duì)較精確��。
報(bào)文識(shí)別模塊131用于讀取報(bào)文中的協(xié)議字段以區(qū)分?jǐn)?shù)據(jù)流的類型����,并將TCP流發(fā)送到TCP流識(shí)別模塊132、將UDP流發(fā)送到UDP流識(shí)別模塊134���、將其他流發(fā)送到其他協(xié)議處理模塊133����。
TCP流識(shí)別模塊132讀取流中的報(bào)文���,并在TCP數(shù)據(jù)流特征庫中檢索對(duì)應(yīng)的流特征���,從而識(shí)別報(bào)文對(duì)應(yīng)的數(shù)據(jù)流。若在TCP數(shù)據(jù)流特征庫檢索到與報(bào)文特征對(duì)應(yīng)的特征�,則TCP流識(shí)別模塊132將報(bào)文對(duì)應(yīng)的數(shù)據(jù)流標(biāo)記為網(wǎng)絡(luò)電視流��;若未在TCP數(shù)據(jù)流特征庫檢索到與報(bào)文特征對(duì)應(yīng)的特征�����,則TCP流識(shí)別模塊132將數(shù)據(jù)流發(fā)送到其他協(xié)議處理模塊133處理�����。
類似地�����,UDP流識(shí)別模塊134根據(jù)UDP數(shù)據(jù)流特征庫142識(shí)別UDP數(shù)據(jù)流�����,并標(biāo)記網(wǎng)絡(luò)電視流����,并將非網(wǎng)絡(luò)電視流發(fā)送到其他協(xié)議處理模塊133處理。
當(dāng)然�,也可采用如圖1所示的一個(gè)數(shù)據(jù)流識(shí)別模塊13和一個(gè)數(shù)據(jù)流特征庫14來識(shí)別所有數(shù)據(jù)流,但由于數(shù)據(jù)流特征庫14中的需要進(jìn)行計(jì)算密集的特征匹配操作����,可能會(huì)降低識(shí)別效率��。
此外����,還通過使用不同的數(shù)據(jù)流特征庫���,識(shí)別不同的P2P數(shù)據(jù)流��。
如圖3所示����,是本發(fā)明網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法的流程圖�。
首先,在IP報(bào)文到達(dá)時(shí)���,根據(jù)報(bào)文中的報(bào)頭更新TCP/UDP數(shù)據(jù)流表(步驟S31)���,并判斷當(dāng)前報(bào)文對(duì)應(yīng)的數(shù)據(jù)流的應(yīng)用類型是否已經(jīng)標(biāo)記(步驟S32)。
若當(dāng)前報(bào)文對(duì)應(yīng)數(shù)據(jù)流的應(yīng)用類型已標(biāo)記�,則使用與應(yīng)用類型對(duì)應(yīng)的方式處理當(dāng)前數(shù)據(jù)流(步驟S33)。若當(dāng)前報(bào)文對(duì)應(yīng)數(shù)據(jù)流的應(yīng)用類型未標(biāo)記����,則根據(jù)報(bào)文中的協(xié)議類型字段判斷報(bào)文對(duì)應(yīng)數(shù)據(jù)流的類型(步驟S34)�。
若當(dāng)前報(bào)文為TCP報(bào)文����,則采用TCP數(shù)據(jù)流特征庫141判斷當(dāng)前報(bào)文對(duì)應(yīng)的數(shù)據(jù)流是否為P2P網(wǎng)絡(luò)電視(步驟S35)���。若當(dāng)前報(bào)文符合TCP數(shù)據(jù)流特征庫141中的一組特征����,則將當(dāng)前報(bào)文對(duì)應(yīng)的TCP數(shù)據(jù)流標(biāo)記為網(wǎng)絡(luò)電視流���;否則�,使用其他協(xié)議處理當(dāng)前報(bào)文對(duì)應(yīng)的數(shù)據(jù)流(步驟S39)�����。
若當(dāng)前報(bào)文為UDP報(bào)文��,則采用UDP數(shù)據(jù)流特征庫142判斷當(dāng)前報(bào)文對(duì)應(yīng)的數(shù)據(jù)流是否為P2P網(wǎng)絡(luò)電視(步驟S37)����。若當(dāng)前報(bào)文符合UDP數(shù)據(jù)流特征庫142中的一組特征,則將當(dāng)前報(bào)文對(duì)應(yīng)的UDP數(shù)據(jù)流標(biāo)記為網(wǎng)絡(luò)電視流��;否則,使用其他協(xié)議處理當(dāng)前報(bào)文對(duì)應(yīng)的數(shù)據(jù)流(步驟S39)�。
若當(dāng)前報(bào)文為其他類型,則直接使用其他協(xié)議處理當(dāng)前報(bào)文�。
在上述流程中,也可省略步驟S31���、S32�����、S33����,而直接進(jìn)行數(shù)據(jù)流的判斷��,但其可能識(shí)別效率較低�����。
此外�,還可省略步驟S34,對(duì)所有報(bào)文采用一個(gè)通用的數(shù)據(jù)流特征庫進(jìn)行識(shí)別��,但這也將影響識(shí)別效率���。
通過上述方式標(biāo)記數(shù)據(jù)流后���,就可根據(jù)標(biāo)記對(duì)每一接收的某個(gè)IP地址的特定應(yīng)用類型進(jìn)行流量統(tǒng)計(jì)�����,從而進(jìn)行針對(duì)不同應(yīng)用類型的精細(xì)化計(jì)費(fèi)或者流量控制。
以上所述�����,僅為本發(fā)明較佳的具體實(shí)施方式
�,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�����,可輕易想到的變化或替換����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此�����,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)�����,其特征在于�,包括有數(shù)據(jù)流識(shí)別模塊以及數(shù)據(jù)流特征庫,所述數(shù)據(jù)流特征庫中包括有多組網(wǎng)絡(luò)數(shù)據(jù)流的特征��,所述數(shù)據(jù)流識(shí)別模塊根據(jù)數(shù)據(jù)流特征庫中的網(wǎng)絡(luò)數(shù)據(jù)流特征識(shí)別特定的數(shù)據(jù)流�。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng),其特征在于�,所述數(shù)據(jù)流特征庫包括有多組點(diǎn)對(duì)點(diǎn)方式網(wǎng)絡(luò)電視數(shù)據(jù)流特征。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)���,其特征在于��,還包括流表更新模塊���,所述流表更新模塊判斷當(dāng)前的IP報(bào)文對(duì)應(yīng)的數(shù)據(jù)流是否為已標(biāo)記類型的數(shù)據(jù)流,所述流表更新模塊還用于將沒有標(biāo)記類型的數(shù)據(jù)流根據(jù)IP報(bào)文的源和目的端口號(hào)����,判斷其是否為特定應(yīng)用類型,如果是則對(duì)該IP報(bào)文對(duì)應(yīng)的數(shù)據(jù)流進(jìn)行標(biāo)記,如果不是則將報(bào)文送入所述數(shù)據(jù)流識(shí)別模塊進(jìn)行識(shí)別�����。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)��,其特征在于�����,所述數(shù)據(jù)流特征庫包括有TCP數(shù)據(jù)流特征庫和UDP數(shù)據(jù)流特征庫����,所述TCP數(shù)據(jù)流特征庫和UDP數(shù)據(jù)流特征庫分別包含有TCP網(wǎng)絡(luò)電視流特征數(shù)據(jù)和UDP網(wǎng)絡(luò)電視流特征數(shù)據(jù)����,所述數(shù)據(jù)流識(shí)別模塊包括有識(shí)別輸入報(bào)文類型的報(bào)文識(shí)別模塊、根據(jù)TCP數(shù)據(jù)流特征庫識(shí)別TCP網(wǎng)絡(luò)電視流的TCP流識(shí)別模塊以及根據(jù)UDP數(shù)據(jù)流特征庫識(shí)別UDP網(wǎng)絡(luò)電視流的UDP流識(shí)別模塊�,其中TCP流識(shí)別模塊及UDP流識(shí)別模塊則分別與報(bào)文識(shí)別模塊連接。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng)�����,其特征在于���,所述TCP數(shù)據(jù)流特征庫包括有以下一組或多組特征TCP凈荷前四個(gè)字節(jié)為0x2c000000����;TCP凈荷前六個(gè)字節(jié)為0x0E0E01000000或關(guān)鍵字“STMM”;TCP凈荷前三個(gè)字節(jié)為0x000000����;TCP凈荷開始四個(gè)字節(jié)為0x11000000;TCP靜荷前10個(gè)字節(jié)對(duì)應(yīng)字符串為“PSProtocol”�����;TCP凈荷前四個(gè)字節(jié)為0x01000000�。
6.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng),其特征在于���,所述UDP數(shù)據(jù)流特征庫包括有以下一組或多組特征凈荷前四個(gè)字節(jié)為0x01000002����;只有2對(duì)DNS請(qǐng)求和回應(yīng)報(bào)文且報(bào)文包含如下兩個(gè)域名boot.coolstreaming.com.cn���、boot.coolbooting.cn���。
7.一種網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法,其特征在于,包括以下步驟(a)在數(shù)據(jù)報(bào)文中檢查是否含有數(shù)據(jù)流特征庫中的任意一條特征��;(b)若檢查到與所述特征字匹配的流量特征���,則標(biāo)記當(dāng)前報(bào)文對(duì)應(yīng)的數(shù)據(jù)流為特定的數(shù)據(jù)流��。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法����,其特征在于���,所述步驟(a)包括(a1)根據(jù)當(dāng)前報(bào)文中的協(xié)議類型字段判斷當(dāng)前報(bào)文的類型�����;(a2)若當(dāng)前報(bào)文為TCP類型報(bào)文,則在TCP數(shù)據(jù)流特征庫中檢索與當(dāng)前報(bào)文中的特征字相匹配的流量特征�����;若當(dāng)前報(bào)文為UDP類型報(bào)文�,則在UDP數(shù)據(jù)流特征庫中檢索與當(dāng)前報(bào)文中的特征字相匹配的流量特征。
9.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法���,其特征在于�����,還包括根據(jù)報(bào)文更新TCP/IP流表以判斷對(duì)應(yīng)數(shù)據(jù)流類型是否已標(biāo)記�,并在數(shù)據(jù)流類型未標(biāo)記時(shí)執(zhí)行步驟(a)。
10.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法�,其特征在于,所述數(shù)據(jù)流特征庫包括有多組點(diǎn)對(duì)點(diǎn)方式網(wǎng)絡(luò)電視數(shù)據(jù)流特征�����,所述步驟(b)中所述特定的數(shù)據(jù)流為點(diǎn)對(duì)點(diǎn)方式網(wǎng)絡(luò)電視流����。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別系統(tǒng),包括有數(shù)據(jù)流識(shí)別模塊以及數(shù)據(jù)流特征庫��,所述數(shù)據(jù)流特征庫中包括有多組網(wǎng)絡(luò)數(shù)據(jù)流的特征��,所述數(shù)據(jù)流識(shí)別模塊根據(jù)數(shù)據(jù)流特征庫中的網(wǎng)絡(luò)數(shù)據(jù)流特征識(shí)別特定的數(shù)據(jù)流���。本發(fā)明還提供一種對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法����。本發(fā)明通過匹配數(shù)據(jù)流特征,識(shí)別數(shù)據(jù)流的應(yīng)用類型���。此外�,通過對(duì)數(shù)據(jù)流分類識(shí)別��,有效地減少了特征匹配的計(jì)算量從而達(dá)到P2P網(wǎng)絡(luò)電視應(yīng)用業(yè)務(wù)識(shí)別的目的�。
文檔編號(hào)G06F17/30GK1852297SQ20051010136
公開日2006年10月25日 申請(qǐng)日期2005年11月11日 優(yōu)先權(quán)日2005年11月11日
發(fā)明者劉竟, 鄭志彬, 劉廷永, 孫知信 申請(qǐng)人:華為技術(shù)有限公司