基于家庭網(wǎng)關(guān)的應(yīng)用識別方法、系統(tǒng)和家庭網(wǎng)關(guān)的制作方法
【專利摘要】本發(fā)明公開了一種基于家庭網(wǎng)關(guān)的應(yīng)用識別方法、系統(tǒng)和家庭網(wǎng)關(guān),涉及寬帶接入【技術(shù)領(lǐng)域】。該應(yīng)用識別方法和系統(tǒng)中,家庭網(wǎng)關(guān)根據(jù)網(wǎng)絡(luò)側(cè)專用DPI設(shè)備深度分析獲得報(bào)文識別結(jié)果建立應(yīng)用識別規(guī)則,根據(jù)應(yīng)用識別規(guī)則對應(yīng)用進(jìn)行識別,降低應(yīng)用識別對家庭網(wǎng)關(guān)等性能受限設(shè)備的資源消耗,從而在家庭網(wǎng)關(guān)上實(shí)現(xiàn)快速、精準(zhǔn)的互聯(lián)網(wǎng)應(yīng)用識別。
【專利說明】基于家庭網(wǎng)關(guān)的應(yīng)用識別方法、系統(tǒng)和家庭網(wǎng)關(guān)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及寬帶接入【技術(shù)領(lǐng)域】,特別涉及一種基于家庭網(wǎng)關(guān)的應(yīng)用識別方法、系統(tǒng)和豕庭網(wǎng)關(guān)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展和寬帶接入的競爭加劇,運(yùn)營商的量收差在持續(xù)擴(kuò)大,電信傳統(tǒng)的純管道經(jīng)營模式面臨越來越大的挑戰(zhàn)。在這種競爭形勢下,為避免淪落成為“啞管道”,智能管道正成為運(yùn)營商進(jìn)行轉(zhuǎn)型探索的方向。要做到智能管道,前提之一就是能夠?qū)ε茉陔娦啪W(wǎng)絡(luò)上的應(yīng)用進(jìn)行識別。而家庭網(wǎng)關(guān)作為最靠近用戶的電信網(wǎng)絡(luò)終端,通過對其承載的互聯(lián)網(wǎng)應(yīng)用進(jìn)行識別,可以最精確地感知業(yè)務(wù)質(zhì)量和提高用戶體驗(yàn),助力電信智能管道建設(shè)。
[0003]目前一般通過五元組識別、DPI (Deep Packet Inspection,深度報(bào)文檢測)等技術(shù)實(shí)現(xiàn)對運(yùn)營商網(wǎng)絡(luò)上的應(yīng)用的識別。五元組識別對IP包四層以下的內(nèi)容,如源地址、目的地址、源端口、目的端口以及協(xié)議類型等信息進(jìn)行分析;其特點(diǎn)是識別效率較高,適合在一些性能受限設(shè)備上實(shí)現(xiàn),但準(zhǔn)確性低,特別是隨著網(wǎng)上應(yīng)用類型的不斷豐富,以及基于開放端口、隨機(jī)端口甚至采用加密方式進(jìn)行傳輸?shù)膽?yīng)用類型的增多,僅通過IP地址和端口信息已經(jīng)不能真正判斷流量中的應(yīng)用類型。DPI技術(shù)在L2?L4層報(bào)文分析的基礎(chǔ)上,增加了對應(yīng)用層的分析;其特點(diǎn)是識別準(zhǔn)確性高,但由于需要識別L4?L7層報(bào)文特征,對系統(tǒng)資源消耗較大,嚴(yán)重時(shí)會影響到設(shè)備性能,一般通過專有DPI設(shè)備實(shí)現(xiàn)。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的發(fā)明人發(fā)現(xiàn)上述現(xiàn)有技術(shù)中存在問題,并因此針對所述問題中的至少一個(gè)問題提出了一種新的技術(shù)方案。
[0005]本發(fā)明的一個(gè)目的是提供一種基于家庭網(wǎng)關(guān)的應(yīng)用識別的技術(shù)方案。
[0006]根據(jù)本發(fā)明的第一方面,提供了一種基于家庭網(wǎng)關(guān)的應(yīng)用識別方法,包括:家庭網(wǎng)關(guān)接收來自網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果,所述報(bào)文識別結(jié)果包括報(bào)文的五元組信息和所屬應(yīng)用類型;所述家庭網(wǎng)關(guān)將所述報(bào)文識別結(jié)果的報(bào)文五元組信息和網(wǎng)關(guān)NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)表項(xiàng)中的報(bào)文五元組信息進(jìn)行匹配,建立基于IP地址和端口號匹配應(yīng)用類型的應(yīng)用識別規(guī)則;所述家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的五元組信息和所述應(yīng)用識別規(guī)則進(jìn)行應(yīng)用識別。
[0007]可選地,該方法還包括:所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備對來自所述家庭網(wǎng)關(guān)的報(bào)文進(jìn)行包括應(yīng)用層的深度解析,獲得所述報(bào)文識別結(jié)果,將所述報(bào)文識別結(jié)果反饋給所述家庭網(wǎng)關(guān)。
[0008]可選地,該方法還包括:所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備創(chuàng)建表項(xiàng)保存已識別報(bào)文的歷史記錄;所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備根據(jù)所述已識別報(bào)文的歷史記錄確定是否對收到的報(bào)文進(jìn)行深度解析。[0009]可選地,該方法還包括:所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備為保存的所述已識別報(bào)文的歷史記錄設(shè)立老化機(jī)制;和/或所述家庭網(wǎng)關(guān)為所述應(yīng)用識別規(guī)則設(shè)立老化機(jī)制。
[0010]可選地,家庭網(wǎng)關(guān)接收來自網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果包括:所述家庭網(wǎng)關(guān)通過終端管理系統(tǒng)接收來自所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果;或者,所述家庭網(wǎng)關(guān)基于TR069協(xié)議從所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備接收所述報(bào)文識別結(jié)果。
[0011]可選地,基于IP地址和端口號匹配的應(yīng)用識別規(guī)則包括內(nèi)部IP地址、內(nèi)部端口、目的IP地址、目的端口、和應(yīng)用類型。
[0012]可選地,家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的五元組信息和所述應(yīng)用識別規(guī)則進(jìn)行應(yīng)用識別包括:所述家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的內(nèi)部IP地址和端口號與所述應(yīng)用識別規(guī)則中的內(nèi)部IP地址、內(nèi)部端口進(jìn)行匹配,以確定應(yīng)用類型;或者,所述家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的目的IP地址和目的端口與所述應(yīng)用識別規(guī)則中的目的IP地址和目的端口進(jìn)行匹配,以確定應(yīng)用類型。
[0013]根據(jù)本發(fā)明的另一方面,提供一種家庭網(wǎng)關(guān),包括:識別結(jié)果接收模塊,用于接收來自網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果,所述報(bào)文識別結(jié)果包括報(bào)文的五元組信息和所屬應(yīng)用類型;識別規(guī)則建立模塊,用于將所述報(bào)文識別結(jié)果的報(bào)文五元組信息和網(wǎng)關(guān)NAT表項(xiàng)中的報(bào)文五元組信息進(jìn)行匹配,建立基于IP地址和端口號匹配應(yīng)用類型的應(yīng)用識別規(guī)則;應(yīng)用識別模塊,用于根據(jù)接收報(bào)文的五元組信息和所述應(yīng)用識別規(guī)則進(jìn)行應(yīng)用識別。
[0014]可選地,基于IP地址和端口號匹配的應(yīng)用識別規(guī)則包括內(nèi)部IP地址、內(nèi)部端口、目的IP地址、目的端口、和應(yīng)用類型;所述應(yīng)用識別模塊根據(jù)接收報(bào)文的內(nèi)部IP地址和端口號與所述應(yīng)用識別規(guī)則中的內(nèi)部IP地址和內(nèi)部端口、或者目的IP地址和目的端口進(jìn)行匹配以確定應(yīng)用類型。
[0015]根據(jù)本發(fā)明的又一方面,提供一種基于家庭網(wǎng)關(guān)的應(yīng)用識別系統(tǒng),包括上述的家庭網(wǎng)關(guān),以及所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備;所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備對來自所述家庭網(wǎng)關(guān)的報(bào)文進(jìn)行包括應(yīng)用層的深度解析,獲得所述報(bào)文識別結(jié)果,將所述報(bào)文識別結(jié)果反饋給所述家庭網(wǎng)關(guān)。
[0016]可選地,該系統(tǒng)還包括終端管理系統(tǒng),所述家庭網(wǎng)關(guān)通過終端管理系統(tǒng)接收來自所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果。
[0017]可選地,網(wǎng)絡(luò)側(cè)專用DPI設(shè)備還用于創(chuàng)建表項(xiàng)保存已識別報(bào)文的歷史記錄,根據(jù)所述已識別報(bào)文的歷史記錄確定是否對收到的報(bào)文進(jìn)行深度解析。
[0018]可選地,網(wǎng)絡(luò)側(cè)專用DPI設(shè)備還為保存的所述已識別報(bào)文的歷史記錄設(shè)立老化機(jī)制;和/或所述家庭網(wǎng)關(guān)還為所述應(yīng)用識別規(guī)則設(shè)立老化機(jī)制。
[0019]本發(fā)明的一個(gè)優(yōu)點(diǎn)在于,家庭網(wǎng)關(guān)根據(jù)網(wǎng)絡(luò)側(cè)專用DPI設(shè)備深度分析獲得報(bào)文識別結(jié)果建立應(yīng)用設(shè)備規(guī)則,根據(jù)應(yīng)用識別規(guī)則對應(yīng)用進(jìn)行識別,降低應(yīng)用識別對家庭網(wǎng)關(guān)等性能受限設(shè)備的資源消耗,從而在家庭網(wǎng)關(guān)上實(shí)現(xiàn)快速、精準(zhǔn)的互聯(lián)網(wǎng)應(yīng)用識別。
[0020]通過以下參照附圖對本發(fā)明的示例性實(shí)施例的詳細(xì)描述,本發(fā)明的其它特征及其優(yōu)點(diǎn)將會變得清楚。
【專利附圖】
【附圖說明】
[0021]構(gòu)成說明書的一部分的附圖描述了本發(fā)明的實(shí)施例,并且連同說明書一起用于解釋本發(fā)明的原理。
[0022]參照附圖,根據(jù)下面的詳細(xì)描述,可以更加清楚地理解本發(fā)明,其中:
[0023]圖1示出根據(jù)本發(fā)明的基于家庭網(wǎng)關(guān)的應(yīng)用識別方法的一個(gè)實(shí)施例的流程圖。
[0024]圖2示出根據(jù)本發(fā)明一個(gè)例子的通過五元組匹配生成應(yīng)用識別規(guī)則的示意圖。
[0025]圖3示出根據(jù)本發(fā)明的基于家庭網(wǎng)關(guān)的應(yīng)用識別系統(tǒng)的一個(gè)實(shí)施例的結(jié)構(gòu)圖。
[0026]圖4示出根據(jù)本發(fā)明的基于家庭網(wǎng)關(guān)的應(yīng)用識別方法的另一個(gè)實(shí)施例的流程圖。
[0027]圖5示出根據(jù)本發(fā)明的家庭網(wǎng)關(guān)的一個(gè)實(shí)施例的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0028]現(xiàn)在將參照附圖來詳細(xì)描述本發(fā)明的各種示例性實(shí)施例。應(yīng)注意到:除非另外具體說明,否則在這些實(shí)施例中闡述的部件和步驟的相對布置、數(shù)字表達(dá)式和數(shù)值不限制本發(fā)明的范圍。
[0029]同時(shí),應(yīng)當(dāng)明白,為了便于描述,附圖中所示出的各個(gè)部分的尺寸并不是按照實(shí)際的比例關(guān)系繪制的。
[0030]以下對至少一個(gè)示例性實(shí)施例的描述實(shí)際上僅僅是說明性的,決不作為對本發(fā)明及其應(yīng)用或使用的任何限制。
[0031]對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設(shè)備可能不作詳細(xì)討論,但在適當(dāng)情況下,所述技術(shù)、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說明書的一部分。
[0032]在這里示出和討論的所有示例中,任何具體值應(yīng)被解釋為僅僅是示例性的,而不是作為限制。因此,示例性實(shí)施例的其它示例可以具有不同的值。
[0033]應(yīng)注意到:相似的標(biāo)號和字母在下面的附圖中表示類似項(xiàng),因此,一旦某一項(xiàng)在一個(gè)附圖中被定義,則在隨后的附圖中不需要對其進(jìn)行進(jìn)一步討論。
[0034]圖1示出根據(jù)本發(fā)明的基于家庭網(wǎng)關(guān)的應(yīng)用識別方法的一個(gè)實(shí)施例的流程圖。
[0035]如圖1所示,步驟102,家庭網(wǎng)關(guān)接收來自網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果,報(bào)文識別結(jié)果包括報(bào)文的五元組信息和所屬應(yīng)用類型。DPI設(shè)備可以通過終端管理系統(tǒng)將報(bào)文識別結(jié)果反饋給家庭網(wǎng)關(guān),或者,基于相關(guān)協(xié)議(如TR069),通過其他方式或者直接反饋給家庭網(wǎng)關(guān)。目前家庭網(wǎng)關(guān)支持由終端管理系統(tǒng)通過TR069協(xié)議進(jìn)行遠(yuǎn)程管理。
[0036]步驟104,家庭網(wǎng)關(guān)將報(bào)文識別結(jié)果的報(bào)文五元組信息和網(wǎng)關(guān)NAT表項(xiàng)中的報(bào)文五元組信息進(jìn)行匹配,建立基于IP地址和端口號匹配應(yīng)用類型的應(yīng)用識別規(guī)則。下面將結(jié)合圖2介紹一個(gè)基于匹配建立應(yīng)用識別規(guī)則的具體例子。
[0037]步驟106,家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的五元組信息和應(yīng)用識別規(guī)則進(jìn)行應(yīng)用識別。家庭網(wǎng)關(guān)接收到報(bào)文后,對報(bào)文進(jìn)行解析獲得五元組信息,基于已建立的應(yīng)用識別規(guī)則,根據(jù)報(bào)文的內(nèi)部地址(或目的地址)信息,在家庭網(wǎng)關(guān)上實(shí)現(xiàn)對后續(xù)報(bào)文識別,和應(yīng)用識別規(guī)則匹配確定來自(或去往)某地址的報(bào)文的應(yīng)用類型。
[0038]DPI技術(shù)通過對報(bào)文的深度分析來實(shí)現(xiàn)互聯(lián)網(wǎng)應(yīng)用的精準(zhǔn)識別,但是其對性能有一定要求,因此一般通過在網(wǎng)絡(luò)側(cè)部署專門的服務(wù)器等設(shè)備來實(shí)現(xiàn)。上述實(shí)施例中,網(wǎng)絡(luò)側(cè)專用DPI設(shè)備對來自家庭網(wǎng)關(guān)的報(bào)文進(jìn)行包括應(yīng)用層的深度解析獲得報(bào)文識別結(jié)果;利用專門DPI設(shè)備的報(bào)文識別結(jié)果,家庭網(wǎng)關(guān)可以只需根據(jù)IP地址和端口情況就能精準(zhǔn)、快速判定互聯(lián)網(wǎng)應(yīng)用類型,提供一種適合在家庭網(wǎng)關(guān)等性能受限的終端設(shè)備上實(shí)現(xiàn)精準(zhǔn)、快速互聯(lián)網(wǎng)應(yīng)用識別的方案。
[0039]DPI設(shè)備可以根據(jù)需要部署在骨干網(wǎng)、城域網(wǎng)出口及BRAS broadband RemoteAccess Server,寬帶遠(yuǎn)程接入服務(wù)器)等處,所有需要識別的報(bào)文都需經(jīng)過相應(yīng)的網(wǎng)絡(luò)側(cè)DPI設(shè)備。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)側(cè)專用DPI設(shè)備創(chuàng)建表項(xiàng)保存已識別報(bào)文的歷史記錄,網(wǎng)絡(luò)側(cè)專用DPI設(shè)備可以根據(jù)相關(guān)記錄判斷是否已經(jīng)識別過該類型報(bào)文,從而確定是否對收到的報(bào)文進(jìn)行深度解析,避免重復(fù)識別及上報(bào)。
[0040]圖2示出根據(jù)本發(fā)明一個(gè)例子的通過五元組匹配生成應(yīng)用識別規(guī)則的示意圖。其中,標(biāo)號21示出了網(wǎng)關(guān)NAT表項(xiàng)(或者家庭網(wǎng)關(guān)NAT表項(xiàng)),標(biāo)號22示出了 DPI設(shè)備識別結(jié)果信息,標(biāo)號23示出了匹配后生成的應(yīng)用識別規(guī)則。
[0041]網(wǎng)關(guān)NAT表項(xiàng)21例如包括協(xié)議、外部地址、外部端口、內(nèi)部地址、內(nèi)部端口、目的地址、目的端口等信息。報(bào)文數(shù)據(jù)從家庭網(wǎng)關(guān)出去時(shí)會經(jīng)過網(wǎng)關(guān)NAT,將原來的內(nèi)部IP (地址如192.168.1.X)和內(nèi)部端口號替換為網(wǎng)關(guān)的公網(wǎng)IP地址和外部端口號。
[0042]DPI設(shè)備識別結(jié)果信息22例如包括協(xié)議、源地址、源端口、目的地址、目的端口、應(yīng)用類型等信息,其中源地址和源端口均為經(jīng)過網(wǎng)關(guān)NAT之后的公網(wǎng)地址和端口號。
[0043]可以看出,DPI識別結(jié)果的元組信息和網(wǎng)關(guān)NAT表項(xiàng)信息有重疊也有不同。匹配就是將DPI設(shè)備識別結(jié)果信息中的〈協(xié)議,源地址,源端口,目的地址,目的端口 >和家庭網(wǎng)關(guān)NAT表中每個(gè)表項(xiàng)的〈協(xié)議,外部地址,外部端口,目的地址,目的端口 >進(jìn)行逐一比較,從而建立如應(yīng)用識別規(guī)則23的〈內(nèi)部地址,內(nèi)部端口,目的地址,目的端口,應(yīng)用類型〉的識別規(guī)則。有了識別規(guī)則,家庭網(wǎng)關(guān)就可以根據(jù)內(nèi)部IP地址及端口號或目的地址及端口號來確定報(bào)文的類型,實(shí)現(xiàn)識別。因?yàn)榭赡苡卸鄠€(gè)用戶同時(shí)在使用一類應(yīng)用,或者如BT類應(yīng)用涉及多個(gè)目的地址,內(nèi)部IP地址及端口號或目的地址及端口號,只要二者有一個(gè)匹配上就行。
[0044]網(wǎng)關(guān)NAT表中一般會存在多條表項(xiàng)信息,需要通過比較來確定那條表項(xiàng)信息能夠匹配上,如果沒其他異常情況,會有一條能匹配成功。
[0045]在一個(gè)實(shí)施例中,家庭網(wǎng)關(guān)為應(yīng)用識別規(guī)則設(shè)立老化機(jī)制,若老化時(shí)間內(nèi)無此類報(bào)文,則該應(yīng)用識別規(guī)則失效;在一個(gè)實(shí)施例中,網(wǎng)絡(luò)側(cè)專用DPI設(shè)備為保存的已識別報(bào)文的歷史記錄設(shè)立老化機(jī)制,若到時(shí)間沒有接收到對應(yīng)的報(bào)文則刪除該記錄;從而避免老化問題。
[0046]圖3示出根據(jù)本發(fā)明的基于家庭網(wǎng)關(guān)的應(yīng)用識別系統(tǒng)的一個(gè)實(shí)施例的結(jié)構(gòu)圖。如圖3所示,該系統(tǒng)中包括DPI設(shè)備31、家庭網(wǎng)關(guān)32,還可以包括終端管理系統(tǒng)33。DPI設(shè)備31對未識別過的報(bào)文進(jìn)行分析識別,在DPI設(shè)備31上新增識別結(jié)果反饋模塊,開發(fā)DPI設(shè)備31和終端管理系統(tǒng)33之間的接口,將滿足條件的識別結(jié)果(包括用戶信息、報(bào)文五元組信息、應(yīng)用類型信息等)傳給終端管理系統(tǒng)33并由終端管理系統(tǒng)33下發(fā)給相應(yīng)的家庭網(wǎng)關(guān)32,同時(shí)DPI設(shè)備31創(chuàng)建表項(xiàng)保存已識別報(bào)文的歷史記錄,避免重復(fù)識別及上報(bào)(步驟301)。終端管理系統(tǒng)33根據(jù)用戶信息,將報(bào)文五元組及報(bào)文所屬應(yīng)用類等信息發(fā)送給相應(yīng)的家庭網(wǎng)關(guān)32 (步驟302)。在家庭網(wǎng)關(guān)32通過匹配終端管理系統(tǒng)33下發(fā)的識別結(jié)果信息和NAT表項(xiàng)中的五元組信息,動(dòng)態(tài)建立IP地址、端口和應(yīng)用類型之間的對應(yīng)關(guān)系,作為識別規(guī)則保存下來,用于對后續(xù)報(bào)文進(jìn)行識別(步驟303)。
[0047]圖4示出根據(jù)本發(fā)明的基于家庭網(wǎng)關(guān)的應(yīng)用識別方法的另一個(gè)實(shí)施例的流程圖。該實(shí)施例以在一次使用過程中,家庭網(wǎng)關(guān)如何建立基于IP地址和端口匹配的應(yīng)用識別規(guī)則為例,處理流程如下:
[0048]步驟401,用戶終端通過有線/無線方式連接到家庭網(wǎng)關(guān),用戶使用終端設(shè)備訪問互聯(lián)網(wǎng)應(yīng)用,開始一次使用過程。
[0049]步驟402,家庭網(wǎng)關(guān)對用戶終端發(fā)過來的數(shù)據(jù)報(bào)文進(jìn)行NAT轉(zhuǎn)換(建立NAT表項(xiàng)),并轉(zhuǎn)發(fā)數(shù)據(jù)。
[0050]步驟403,若報(bào)文未被識別,網(wǎng)絡(luò)側(cè)DPI設(shè)備對報(bào)文進(jìn)行深度分析,獲取用戶信息、報(bào)文五元組信息、報(bào)文應(yīng)用類型等信息,并將這些數(shù)據(jù)記錄下來,通過該記錄表明相關(guān)報(bào)文已識別,避免后續(xù)對同類報(bào)文進(jìn)行重復(fù)識別;記錄有一定老化時(shí)間,若到時(shí)間沒有對應(yīng)的報(bào)文則刪除該記錄。
[0051]步驟404,若報(bào)文信息為初次識別,則DPI設(shè)備將用戶信息、報(bào)文五元組信息、報(bào)文應(yīng)用類型等數(shù)據(jù)發(fā)送給終端管理系統(tǒng)。
[0052]步驟405,終端管理系統(tǒng)根據(jù)用戶信息,將報(bào)文五元組信息、報(bào)文應(yīng)用類型信息發(fā)送給相應(yīng)網(wǎng)關(guān)。
[0053]步驟406,家庭網(wǎng)關(guān)接收管理平臺下發(fā)的報(bào)文五元組及其對應(yīng)的應(yīng)用類型信息,將報(bào)文的五元組信息和NAT表項(xiàng)中的五元組(外部地址、外部端口、目的地址、目的端口、協(xié)議)進(jìn)行比較,若匹配,則建立內(nèi)部地址、內(nèi)部端口、目的地址、目的端口等和應(yīng)用類型的對應(yīng)關(guān)系,作為識別規(guī)則保存下來(同樣存在老化時(shí)間)。后續(xù)家庭網(wǎng)關(guān)根據(jù)這些識別規(guī)則進(jìn)行應(yīng)用識別。
[0054]如果只在DPI設(shè)備上實(shí)現(xiàn)應(yīng)用識別可以保證從DPI設(shè)備向上對報(bào)文實(shí)現(xiàn)精細(xì)化管控(如優(yōu)先轉(zhuǎn)發(fā)一些報(bào)文或者清洗一些惡意流量),但對于從用戶到DPI設(shè)備這段仍然是啞管道;此外流經(jīng)網(wǎng)絡(luò)側(cè)DPI設(shè)備的數(shù)據(jù)來自于大量用戶,對于某報(bào)文來自哪個(gè)用戶還需要進(jìn)行額外的工作。而作為電信管道末端的設(shè)備,家庭網(wǎng)關(guān)實(shí)現(xiàn)對報(bào)文所屬的應(yīng)用類型的識另O,對于提供差異化服務(wù)、開展面向終端用戶的精細(xì)化業(yè)務(wù),具有一定的優(yōu)勢。
[0055]一個(gè)典型的應(yīng)用場景是:對于家庭網(wǎng)絡(luò)用戶,在其使用電信自營的一些互聯(lián)網(wǎng)應(yīng)用(如e云存儲)或者使用電信合作CP/SP的應(yīng)用時(shí),可以通過識別提供差異化服務(wù),如為報(bào)文打上高優(yōu)先標(biāo)簽并進(jìn)行優(yōu)先轉(zhuǎn)發(fā)或者讓其走專門的通道以保障帶寬,實(shí)現(xiàn)端到端QoS保障。
[0056]圖5示出根據(jù)本發(fā)明的家庭網(wǎng)關(guān)的一個(gè)實(shí)施例的結(jié)構(gòu)圖。如圖5所示,該家庭網(wǎng)關(guān)包括:
[0057]識別結(jié)果接收模塊51,用于接收來自網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果,所述報(bào)文識別結(jié)果包括報(bào)文的五元組信息和所屬應(yīng)用類型;
[0058]識別規(guī)則建立模塊52,用于將所述報(bào)文識別結(jié)果的報(bào)文五元組信息和網(wǎng)關(guān)NAT表項(xiàng)中的報(bào)文五元組信息進(jìn)行匹配,建立基于IP地址和端口號匹配應(yīng)用類型的應(yīng)用識別規(guī)則;
[0059]應(yīng)用識別模塊53,用于根據(jù)接收報(bào)文的五元組信息和所述應(yīng)用識別規(guī)則進(jìn)行應(yīng)用識別。
[0060]其中,基于IP地址和端口號匹配的應(yīng)用識別規(guī)則可以包括內(nèi)部IP地址、內(nèi)部端口、目的IP地址、目的端口和應(yīng)用類型等信息;應(yīng)用識別模塊53根據(jù)接收報(bào)文的內(nèi)部IP地址和端口號與應(yīng)用識別規(guī)則中的內(nèi)部IP地址和內(nèi)部端口、或者目的IP地址和目的端口進(jìn)行匹配以確定應(yīng)用類型。
[0061]上述實(shí)施例中,識別規(guī)則建立模塊根據(jù)網(wǎng)絡(luò)側(cè)專用DPI設(shè)備深度分析獲得報(bào)文識別結(jié)果建立應(yīng)用設(shè)備規(guī)則,應(yīng)用識別模塊根據(jù)應(yīng)用識別規(guī)則對應(yīng)用進(jìn)行識別,降低應(yīng)用識別對家庭網(wǎng)關(guān)等性能受限設(shè)備的資源消耗,從而在家庭網(wǎng)關(guān)上實(shí)現(xiàn)快速、精準(zhǔn)的互聯(lián)網(wǎng)應(yīng)用識別。
[0062]本公開的實(shí)施例提供了一種適合在家庭網(wǎng)關(guān)等性能受限設(shè)備上實(shí)現(xiàn)的高效率、高準(zhǔn)確率的互聯(lián)網(wǎng)應(yīng)用識別方案。在網(wǎng)絡(luò)側(cè)專有DPI設(shè)備報(bào)文識別的基礎(chǔ)上,將報(bào)文識別結(jié)果(報(bào)文五元組信息、報(bào)文所屬應(yīng)用類型等)反饋給相應(yīng)的家庭網(wǎng)關(guān);家庭網(wǎng)關(guān)通過將識別結(jié)果的五元組信息和網(wǎng)關(guān)NAT表項(xiàng)中的五元組信息進(jìn)行匹配,確定報(bào)文IP地址及端口號和報(bào)文所屬應(yīng)用類型之間的對應(yīng)關(guān)系,建立基于IP地址和端口號匹配的應(yīng)用識別規(guī)則,降低應(yīng)用識別對家庭網(wǎng)關(guān)等性能受限設(shè)備的資源消耗,從而在家庭網(wǎng)關(guān)上實(shí)現(xiàn)快速、精準(zhǔn)的互聯(lián)網(wǎng)應(yīng)用識別。
[0063]至此,已經(jīng)詳細(xì)描述了根據(jù)本發(fā)明的基于家庭網(wǎng)關(guān)的應(yīng)用識別方法、系統(tǒng)和家庭網(wǎng)關(guān)。為了避免遮蔽本發(fā)明的構(gòu)思,沒有描述本領(lǐng)域所公知的一些細(xì)節(jié)。本領(lǐng)域技術(shù)人員根據(jù)上面的描述,完全可以明白如何實(shí)施這里公開的技術(shù)方案。
[0064]可能以許多方式來實(shí)現(xiàn)本發(fā)明的方法和系統(tǒng)。例如,可通過軟件、硬件、固件或者軟件、硬件、固件的任何組合來實(shí)現(xiàn)本發(fā)明的方法和系統(tǒng)。用于所述方法的步驟的上述順序僅是為了進(jìn)行說明,本發(fā)明的方法的步驟不限于以上具體描述的順序,除非以其它方式特別說明。此外,在一些實(shí)施例中,還可將本發(fā)明實(shí)施為記錄在記錄介質(zhì)中的程序,這些程序包括用于實(shí)現(xiàn)根據(jù)本發(fā)明的方法的機(jī)器可讀指令。因而,本發(fā)明還覆蓋存儲用于執(zhí)行根據(jù)本發(fā)明的方法的程序的記錄介質(zhì)。
[0065]雖然已經(jīng)通過示例對本發(fā)明的一些特定實(shí)施例進(jìn)行了詳細(xì)說明,但是本領(lǐng)域的技術(shù)人員應(yīng)該理解,以上示例僅是為了進(jìn)行說明,而不是為了限制本發(fā)明的范圍。本領(lǐng)域的技術(shù)人員應(yīng)該理解,可在不脫離本發(fā)明的范圍和精神的情況下,對以上實(shí)施例進(jìn)行修改。本發(fā)明的范圍由所附權(quán)利要求來限定。
【權(quán)利要求】
1.一種基于家庭網(wǎng)關(guān)的應(yīng)用識別方法,其特征在于,包括: 家庭網(wǎng)關(guān)接收來自網(wǎng)絡(luò)側(cè)專用深度報(bào)文檢測DPI設(shè)備的報(bào)文識別結(jié)果,所述報(bào)文識別結(jié)果包括報(bào)文的五元組信息和所屬應(yīng)用類型; 所述家庭網(wǎng)關(guān)將所述報(bào)文識別結(jié)果的報(bào)文五元組信息和網(wǎng)關(guān)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT表項(xiàng)中的報(bào)文五元組信息進(jìn)行匹配,建立基于IP地址和端口號匹配應(yīng)用類型的應(yīng)用識別規(guī)則;所述家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的五元組信息和所述應(yīng)用識別規(guī)則進(jìn)行應(yīng)用識別。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括: 所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備對來自所述家庭網(wǎng)關(guān)的報(bào)文進(jìn)行包括應(yīng)用層的深度解析,獲得所述報(bào)文識別結(jié)果,將所述報(bào)文識別結(jié)果反饋給所述家庭網(wǎng)關(guān)。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,還包括: 所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備創(chuàng)建表項(xiàng)保存已識別報(bào)文的歷史記錄; 所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備根據(jù)所述已識別報(bào)文的歷史記錄確定是否對收到的報(bào)文進(jìn)行深度解析。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,還包括: 所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備為保存的所述已識別報(bào)文的歷史記錄設(shè)立老化機(jī)制; 和/或 所述家庭網(wǎng)關(guān)為所述應(yīng)用識別規(guī)則設(shè)立老化機(jī)制。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述家庭網(wǎng)關(guān)接收來自網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果包括:` 所述家庭網(wǎng)關(guān)通過終端管理系統(tǒng)接收來自所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果; 或者, 所述家庭網(wǎng)關(guān)基于TR069協(xié)議從所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備接收所述報(bào)文識別結(jié)果。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述基于IP地址和端口號匹配的應(yīng)用識別規(guī)則包括內(nèi)部IP地址、內(nèi)部端口、目的IP地址、目的端口、和應(yīng)用類型。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的五元組信息和所述應(yīng)用識別規(guī)則進(jìn)行應(yīng)用識別包括: 所述家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的內(nèi)部IP地址和端口號與所述應(yīng)用識別規(guī)則中的內(nèi)部IP地址、內(nèi)部端口進(jìn)行匹配,以確定應(yīng)用類型; 或者, 所述家庭網(wǎng)關(guān)根據(jù)接收報(bào)文的目的IP地址和目的端口與所述應(yīng)用識別規(guī)則中的目的IP地址和目的端口進(jìn)行匹配,以確定應(yīng)用類型。
8.一種家庭網(wǎng)關(guān),其特征在于,包括: 識別結(jié)果接收模塊,用于接收來自網(wǎng)絡(luò)側(cè)專用深度報(bào)文檢測DPI設(shè)備的報(bào)文識別結(jié)果,所述報(bào)文識別結(jié)果包括報(bào)文的五元組信息和所屬應(yīng)用類型; 識別規(guī)則建立模塊,用于將所述報(bào)文識別結(jié)果的報(bào)文五元組信息和網(wǎng)關(guān)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT表項(xiàng)中的報(bào)文五元組信息進(jìn)行匹配,建立基于IP地址和端口號匹配應(yīng)用類型的應(yīng)用識別規(guī)則; 應(yīng)用識別模塊,用于根據(jù)接收報(bào)文的五元組信息和所述應(yīng)用識別規(guī)則進(jìn)行應(yīng)用識別。
9.根據(jù)權(quán)利要求8所述的網(wǎng)關(guān),其特征在于,所述基于IP地址和端口號匹配的應(yīng)用識別規(guī)則包括內(nèi)部IP地址、內(nèi)部端口、目的IP地址、目的端口、和應(yīng)用類型; 所述應(yīng)用識別模塊根據(jù)接收報(bào)文的內(nèi)部IP地址和端口號與所述應(yīng)用識別規(guī)則中的內(nèi)部IP地址和內(nèi)部端口、或者目的IP地址和目的端口進(jìn)行匹配以確定應(yīng)用類型。
10.一種應(yīng)用識別系統(tǒng),其特征在于,包括權(quán)利要求8或9所述的家庭網(wǎng)關(guān),以及所述網(wǎng)絡(luò)側(cè)專用深度報(bào)文檢測DPI設(shè)備; 所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備對來自所述家庭網(wǎng)關(guān)的報(bào)文進(jìn)行包括應(yīng)用層的深度解析,獲得所述報(bào)文識別結(jié)果,將所述報(bào)文識別結(jié)果反饋給所述家庭網(wǎng)關(guān)。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于,還包括終端管理系統(tǒng); 所述家庭網(wǎng)關(guān)通過終端管理系統(tǒng)接收來自所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備的報(bào)文識別結(jié)果; 或者, 所述家庭網(wǎng)關(guān)基于TR069協(xié)議從所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備接收所述報(bào)文識別結(jié)果。
12.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于,所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備還用于創(chuàng)建表項(xiàng)保存已識別報(bào)文的歷史記錄,根據(jù)所述已識別報(bào)文的歷史記錄確定是否對收到的報(bào)文進(jìn)行深度解析。
13.根據(jù)權(quán)利要求12所述的系統(tǒng),其特征在于,所述網(wǎng)絡(luò)側(cè)專用DPI設(shè)備還為保存的所述已識別報(bào)文的歷史記錄設(shè)立老化機(jī)制; 和/或` 所述家庭網(wǎng)關(guān)還為所述應(yīng)用識別規(guī)則設(shè)立老化機(jī)制。
【文檔編號】H04L12/66GK103873356SQ201210531601
【公開日】2014年6月18日 申請日期:2012年12月11日 優(yōu)先權(quán)日:2012年12月11日
【發(fā)明者】湯憲飛, 趙偉峰, 劉文超, 萬象, 孟建庭 申請人:中國電信股份有限公司