協(xié)議類型的識別方法和裝置制造方法
【專利摘要】本發(fā)明涉及一種協(xié)議類型的識別方法和裝置。該方法包括:獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文;查找用戶多維信息表中是否存在用戶終端對應(yīng)的用戶多維信息��,用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息��;如果查找到用戶終端對應(yīng)的用戶多維信息�����,則根據(jù)所獲取的用戶多維信息標(biāo)識的用戶終端當(dāng)前已建立的所有連接的信息���,對數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別;如果沒有查找到用戶終端對應(yīng)的用戶多維信息��,則根據(jù)數(shù)據(jù)報文的報文特征�,對數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別。本發(fā)明實現(xiàn)了基于用戶多維信息的協(xié)議識別���,進而實現(xiàn)了基于用戶的業(yè)務(wù)控制����。
【專利說明】協(xié)議類型的識別方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)流量管理技術(shù)��,尤其涉及一種協(xié)議類型的識別方法和裝置��。
【背景技術(shù)】
[0002]深度報文檢測(Deep Packet Inspect ion,DPI)技術(shù)可以深入分析報文來識別報文,DPI除了對報文L2(數(shù)據(jù)鏈路層)��、L3(網(wǎng)絡(luò)層)�����、L4(傳輸層)的內(nèi)容進行分析外�,還增加了對L7(應(yīng)用層)內(nèi)容的分析,能識別各種真實的應(yīng)用及其內(nèi)容����,,進而用于網(wǎng)絡(luò)優(yōu)化和流量控制等應(yīng)用場景���。
[0003]在現(xiàn)有技術(shù)下�,DPI通?����;跀?shù)據(jù)流來識別報文�,即DPI以單條數(shù)據(jù)流為對象來進行處理,對數(shù)據(jù)流經(jīng)過流表查找之后�����,通過使用各種識別方法,例如特征識別���、端口分類���、統(tǒng)計方法等,對數(shù)據(jù)流中的報文進行掃描�����,完成流的識別和分類�����。每條流的識別都是一個獨立的處理過程��,識別結(jié)果時也以流為單位進行保存����。
[0004]基于流的識別方法的缺點是:基于流的識別方式在每條流的范圍內(nèi)通過對數(shù)據(jù)流中的報文內(nèi)容進行掃描來實現(xiàn)識別和協(xié)議分類��,沒有利用數(shù)據(jù)流之間的關(guān)聯(lián)性�����,對數(shù)據(jù)流識別的性能低并且無法實現(xiàn)基于用戶為單位的精準(zhǔn)的業(yè)務(wù)控制。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實施例提供了一種協(xié)議類型的識別方法和裝置�����,以提高數(shù)據(jù)流協(xié)議識別的效率�。
[0006]第一方面,本發(fā)明實施例提供了一種協(xié)議類型的識別方法�,所述方法包括:
[0007]獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文;
[0008]查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息��,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息�����;
[0009]如果查找到所述用戶終端對應(yīng)的用戶多維信息��,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息���,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別���;
[0010]如果沒有查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所述數(shù)據(jù)報文的報文特征����,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別����。
[0011]在第一種可能的實現(xiàn)方式中�,所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息包括:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息�。
[0012]根據(jù)第一方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中�����,在所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息之后��,還包括:如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息��,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息�����。
[0013]結(jié)合第一方面�����,在第三種可能的實現(xiàn)方式中����,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息、所述用戶終端已有連接的用戶終端地址信息�、所述用戶終端曾訪問過的服務(wù)器地址信息、所述用戶終端的協(xié)議列表����、所述用戶終端已有連接的行為特征信息;所述用戶多維信息表中包括所述用戶多維信息���,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系��。
[0014]結(jié)合第一方面的第三種可能的實現(xiàn)方式���,在第四種可能的實現(xiàn)方式中,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息�����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別��,包括:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息��,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中�,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中����,如果是,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�����,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中��,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�����。
[0015]結(jié)合第一方面或者第一方面的第一種至第四種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式,在第五種可能的實現(xiàn)方式中���,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后還包括:如果識別成功�,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù),并且輸出識別結(jié)果�,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型。
[0016]結(jié)合第一方面或者第一方面的第一種至第五種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式�,在第六種可能的實現(xiàn)方式中,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的用戶終端已有連接的協(xié)議類型���,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后還包括:如果識別成功��,則進一步判斷所述數(shù)據(jù)報文是否為通過特征無法識別成功的報文�,如果是���,則進行基于用戶的行為識別統(tǒng)計��,并且更新所述用戶多維信息表中的用戶終端已有連接的行為特征信息�����。
[0017]第二方面����,本發(fā)明實施例還提供了一種協(xié)議類型的識別方法,該方法包括:
[0018]獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文����;
[0019]根據(jù)所述數(shù)據(jù)報文的報文特征,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別���;[0020]如果基于數(shù)據(jù)流識別不成功����,則查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息�����,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息�;
[0021]如果查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別。
[0022]根據(jù)第二方面���,在第一種可能的實現(xiàn)方式中����,所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息包括:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息�,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息。�。
[0023]根據(jù)第二方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中�����,在所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息之后�����,還包括:如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息�����,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息����。
[0024]結(jié)合第二方面��,在第三種可能的實現(xiàn)方式中�,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息��、所述用戶終端已有連接的用戶終端地址信息����、所述用戶終端曾訪問過的服務(wù)器地址信息、所述用戶終端的協(xié)議列表����、所述用戶終端已有連接的行為特征信息;所述用戶多維信息表中包括所述用戶多維信息��,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系��。
[0025]結(jié)合第二方面的第三種可能的實現(xiàn)方式��,在第四種可能的實現(xiàn)方式中��,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別�����,包括:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息����,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中���,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息�,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中,如果是�����,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中���,如果是��,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息�����、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�;或者判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中�����,如果是����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型。
[0026]結(jié)合第二方面或者第二方面的第一種至第四種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式����,在第五種可能的實現(xiàn)方式中,所述所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息�,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后還包括:如果識別成功,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)��,并且輸出識別結(jié)果���,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型����。
[0027]結(jié)合第二方面或者第二方面的第一種至第五種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式,在第六種可能的實現(xiàn)方式中��,所述對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別之后還包括:如果基于所述數(shù)據(jù)流識別成功�����,則對所述數(shù)據(jù)報文進行相應(yīng)的業(yè)務(wù)處理����。
[0028]結(jié)合第二方面或者第二方面的第一種至第六種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式����,在第七種可能的實現(xiàn)方式中,所述對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后還包括:如果識別成功�����,則進一步判斷所述數(shù)據(jù)報文是否為通過特征無法識別成功的報文�����,如果是,則進行基于用戶的行為識別統(tǒng)計�����,并且更新所述用戶連接數(shù)據(jù)表中的用戶終端已有連接的行為特征信息�。
[0029]第三方面,本發(fā)明實施例提供了一種協(xié)議類型的識別裝置����,所述裝置包括:
[0030]獲取單元,用于獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文��;
[0031]查找單元�,用于查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息��;
[0032]第一處理單元����,用于如果查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息��,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別��;
[0033]第二處理單元���,用于如果沒有查找到所述用戶終端對應(yīng)的用戶多維信息���,則根據(jù)所述數(shù)據(jù)報文的報文特征����,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別���。
[0034]在第一種可能的實現(xiàn)方式中����,所述查找單元具體用于:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息�����,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息���。
[0035]根據(jù)第三方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中����,如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息
[0036]結(jié)合第三方面或者第三方面的第一種����、第二種可能的實現(xiàn)方式���,在第三種可能的實現(xiàn)方式中,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息����、所述用戶終端已有連接的用戶終端地址信息、所述用戶終端曾訪問過的服務(wù)器地址信息�����、所述用戶終端的協(xié)議列表����、所述用戶終端已有連接的行為特征信息;所述用戶多維信息表中包括所述用戶多維信息��,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系�。
[0037]結(jié)合第三方面的第三種可能的實現(xiàn)方式,在第四種可能的實現(xiàn)方式中��,所述第一處理單元具體用于:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息�����,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中,如果是����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中,如果是���,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�����,如果是�����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型���;或者判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中,如果是���,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�����;或者判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)�����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�,如果是��,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��。
[0038]結(jié)合第三方面或者第三方面的第一種至第四種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式��,在第五種可能的實現(xiàn)方式中��,所述第一處理單元還用于:如果識別成功����,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)�,并且輸出識別結(jié)果����,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型。
[0039]結(jié)合第三方面的或者第三方面的第一種至第五種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式����,在第六種可能的實現(xiàn)方式中,所述第一處理單元還用于:如果識別成功���,則進一步判斷所述數(shù)據(jù)報文是否為通過特征無法識別成功的報文�����,如果是���,則進行基于用戶的行為識別統(tǒng)計,并且更新所述用戶多維信息表中的用戶終端已有連接的行為特征信
肩���、O
[0040]第四方面�����,本發(fā)明實施例提供了一種協(xié)議類型的識別裝置,該裝置包括:
[0041]獲取單元,用于獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文�����;
[0042]第一處理單元��,用于根據(jù)所述數(shù)據(jù)報文的報文特征���,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別��;
[0043]查找單元�����,用于如果基于數(shù)據(jù)流識別不成功�����,則查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息�����,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息����;
[0044]第二處理單元,用于如果查找到所述用戶終端對應(yīng)的用戶多維信息����,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別���。
[0045]根據(jù)第四方面����,在第一種可能的實現(xiàn)方式中��,所述查找單元具體用于:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息��,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息�。
[0046]根據(jù)第四方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中���,第二處理單元還用于:如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息���,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息。
[0047]結(jié)合第四方面�����,在第三種可能的實現(xiàn)方式中,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息����、所述用戶終端已有連接的用戶終端地址信息�����、所述用戶終端曾訪問過的服務(wù)器地址信息�����、所述用戶終端的協(xié)議列表����、所述用戶終端已有連接的行為特征信息;所述用戶多維信息表中包括所述用戶多維信息��,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系����。
[0048]結(jié)合第四方面的第三種可能的實現(xiàn)方式,在第四種可能的實現(xiàn)方式中��,所述第二處理單元具體用于:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息�����,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中,如果是��,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中�,如果是,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息���、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中����,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)���,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�����,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��。
[0049]結(jié)合第四方面或者第四方面的第一種至第四種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式����,在第五種可能的實現(xiàn)方式中,所述第二處理單元還用于:如果基于所述用于多維信息識別成功���,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)�,并且輸出識別結(jié)果���。
[0050]結(jié)合第四方面或者第四方面的第一種至第五種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式�����,在第六種可能的實現(xiàn)方式中�����,所述第一處理單元還用于:如果基于所述數(shù)據(jù)流識別成功���,則對所述數(shù)據(jù)報文進行相應(yīng)的業(yè)務(wù)處理����。
[0051]結(jié)合第四方面或者第四方面的第一種至第七種可能的實現(xiàn)方式中的任意一種可能的實現(xiàn)方式����,在第八種可能的實現(xiàn)方式中,所述第二處理單元還用于:如果基于所述用戶多維信息識別成功�����,則進一步判斷所述數(shù)據(jù)報文是否為無法通過特征識別的報文����,如果是,則進行基于用戶的行為識別統(tǒng)計���,并且更新用戶連接數(shù)據(jù)表中的用戶終端已有連接的行為特征信息��。
[0052]本發(fā)明實施例提供的協(xié)議類型的識別方法和裝置�,通過對接收到的數(shù)據(jù)報文根據(jù)用戶終端已有連接的協(xié)議類型進行基于用戶多維信息的協(xié)議類型識別,可以實現(xiàn)以用戶為單位的業(yè)務(wù)控制���,并且通過結(jié)合基于用戶多維信息的協(xié)議類型識別和基于數(shù)據(jù)流的協(xié)議類型識別�,可以提高DPI系統(tǒng)的識別準(zhǔn)確率����,提升協(xié)議識別性能。
【專利附圖】
【附圖說明】
[0053]圖1為本發(fā)明實施例提供的一種協(xié)議類型的識別方法流程圖�;
[0054]圖2為本發(fā)明實施例提供的另一協(xié)議類型的識別方法流程圖;[0055]圖3為本發(fā)明實施例提供的一種DPI系統(tǒng)模塊圖�����;
[0056]圖4為本發(fā)明實施例提供的另一協(xié)議類型的識別方法流程圖����;
[0057]圖5為本發(fā)明實施例提供的另一協(xié)議類型的識別方法流程圖���;
[0058]圖6為本發(fā)明實施例提供的一種協(xié)議類型的識別裝置示意圖��;
[0059]圖7為本發(fā)明實施例提供的另一協(xié)議類型的識別裝置示意圖�;
[0060]圖8為本發(fā)明實施例提供的一種網(wǎng)絡(luò)設(shè)備示意圖���;
[0061]圖9為本發(fā)明實施例提供的另一網(wǎng)絡(luò)設(shè)備示意圖���。
【具體實施方式】
[0062]下面通過附圖和實施例��,對本發(fā)明的技術(shù)方案做進一步的詳細描述�����。
[0063]本發(fā)明實施例提供的協(xié)議類型的識別方法在實際應(yīng)用時�,作為一種新的協(xié)議識別方法可應(yīng)用于網(wǎng)絡(luò)優(yōu)化���、應(yīng)用流量控制等業(yè)務(wù)場景�����。當(dāng)網(wǎng)絡(luò)設(shè)備����,如業(yè)務(wù)網(wǎng)關(guān)���、路由器等接收到新建的連接的數(shù)據(jù)報文時�,可基于用戶多維信息表分析該業(yè)務(wù)數(shù)據(jù)報文的協(xié)議類型���,由此本發(fā)明實施例可實現(xiàn)基于用戶為單位的業(yè)務(wù)控制�����,結(jié)合基于用戶多維信息的協(xié)議類型識別和基于數(shù)據(jù)流的協(xié)議類型識別兩種方法����,可以提高DPI系統(tǒng)的識別準(zhǔn)確率����,提升協(xié)議識別性能����。
[0064]其中,本申請文件中提到的五元組中的服務(wù)器地址信息可以為數(shù)據(jù)報文五元組中的源地址信息�,也可以為目的地址信息,用戶終端向服務(wù)器發(fā)送的數(shù)據(jù)報文的五元組的目的地址信息即為五元組中的服務(wù)器地址信息����,服務(wù)器向用戶終端發(fā)送的數(shù)據(jù)報文的五元組的源地址信息即為五元組中的服務(wù)器地址信息。另外��,用戶終端具體可以為客戶端����,或者運行在用戶終端中的應(yīng)用程序。
[0065]圖1為本發(fā)明實施例提供的一種協(xié)議類型的識別方法流程圖�����,該實施例的執(zhí)行主體是網(wǎng)絡(luò)設(shè)備�����,如業(yè)務(wù)網(wǎng)關(guān)或者路由器,該實施例詳細描述了網(wǎng)絡(luò)設(shè)備對接收到的數(shù)據(jù)報文進行基于用戶的協(xié)議類型識別的方法�,如圖所示,該實施例包括以下步驟:
[0066]步驟101���,獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文�。
[0067]網(wǎng)絡(luò)設(shè)備接收到數(shù)據(jù)流的數(shù)據(jù)報文后���,對報文進行解析���,根據(jù)報文頭部信息,得到對應(yīng)的五元組信息����。其中��,五元組信息包括報文的目的IP地址�、目的端口號���、源IP地址、源端口號��、傳輸層協(xié)議號(如傳輸控制協(xié)議(Transmi s s i on Cont ro I Pro t oco I,TCP)號�、用戶數(shù)據(jù)報協(xié)議(User Da t agram Protocol, UDP)號),然后根據(jù)五元組信息判斷數(shù)據(jù)流對應(yīng)的連接是否為新建的連接�����。
[0068]優(yōu)選地����,接收到數(shù)據(jù)報文后,網(wǎng)絡(luò)設(shè)備可查詢流表�,判斷流表中是否存在該業(yè)務(wù)數(shù)據(jù)報文的五元組信息對應(yīng)的連接記錄信息,如果是����,則判斷數(shù)據(jù)流對應(yīng)的連接是已有連接,如果否��,則判斷所述數(shù)據(jù)流對應(yīng)的連接為新建的連接。
[0069]如果查詢流表之后��,判斷出數(shù)據(jù)報文所在連接為已有連接���,則直接根據(jù)所述流表存儲的所述該數(shù)據(jù)報文的五元組信息對應(yīng)協(xié)議類型識別結(jié)果以及業(yè)務(wù)處理方法����,即可對所述該數(shù)據(jù)報文進行相應(yīng)處理��,如流量控制等�。需要說明的是,即使數(shù)據(jù)報文所在連接為已有連接�����,也可以繼續(xù)執(zhí)行步驟102��,即對數(shù)據(jù)報文所在連接進行相應(yīng)的協(xié)議識別���。
[0070]步驟102�,查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息�����,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息。[0071]所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息包括:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息��,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息�����。
[0072]其中�����,用戶多維信息包括以下信息中的一項或者任意項的組合:用戶終端已有連接對應(yīng)的地址對信息��、用戶終端已有連接的用戶終端地址信息�、用戶終端曾訪問過的服務(wù)器地址信息����、用戶的協(xié)議列表信息、用戶終端已有連接的行為特征信息�����;用戶多維信息表中包括所述用戶多維信息�����,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系O
[0073]具體地,用戶多維信息表中可以包括用戶終端曾訪問過的服務(wù)器地址信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系����,和/或用戶終端已有連接的源IP地址信息和目的IP地址信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系,和/或用戶終端已有連接的用戶終端地址信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系��,和/或用戶終端已有連接的行為特征信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系���。
[0074]具體地��,本發(fā)明實施例中����,用戶終端已有連接對應(yīng)的地址對信息為已有連接的源IP地址和目的IP地址組成的地址對��,用戶終端已有連接的用戶終端地址信息由已有連接對應(yīng)的用戶終端的IP地址和端口號組成�,用戶終端曾訪問過的服務(wù)器地址信息由用戶終端曾訪問過的服務(wù)器的IP地址和端口號組成,用戶的協(xié)議列表中存儲了用戶常用的協(xié)議記錄信息����,用戶終端已有連接的行為特征信息包括用戶常見協(xié)議類型對應(yīng)的協(xié)議特征以及用戶的行為統(tǒng)計數(shù)據(jù)。
[0075]網(wǎng)絡(luò)設(shè)備判斷出用戶多維信息表中存在該數(shù)據(jù)報文所在連接對應(yīng)的用戶終端的用戶多維信息之后�,即可執(zhí)行步驟103。
[0076]網(wǎng)絡(luò)設(shè)備在查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息之后����,如果沒有在所述用戶多維信息表中查找到與所述用戶終端對應(yīng)的用戶多維信息����,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息�。優(yōu)選地,可在對該數(shù)據(jù)報文所在連接的協(xié)議類型識別成功后在用戶多維信息表中添加該用戶的用戶多維信息��。
[0077]步驟103���,如果查找到所述用戶終端對應(yīng)的用戶多維信息���,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息���,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別����。
[0078]其中����,例如對一個報文進行檢測,發(fā)現(xiàn)它是HTTP協(xié)議的消息�,那么就認(rèn)為該報文所屬的連接/數(shù)據(jù)流是HTTP協(xié)議的���,該連接/數(shù)據(jù)流中的所有數(shù)據(jù)報文都是HTTP協(xié)議的。因此���,本發(fā)明實施例中基于用戶多維信息識別協(xié)議類型的過程即是基于該用戶終端已有連接的相關(guān)信息識別所接收到的數(shù)據(jù)報文的協(xié)議類型的過程��。
[0079]基于用戶多維信息進行的協(xié)議識別方法包括多種獨立的識別方法�����,各種識別方法之間不需要固定的先后順序��。其中����,每種獨立的識別方法都為基于用戶多維信息中的某一維信息進行識別的方法����,例如基于服務(wù)器地址信息進行的協(xié)議識別方法,基于用戶終端已有連接的地址對信息進行的協(xié)議識別方法�,基于用戶終端已有連接的用戶終端地址信息的協(xié)議識別方法,基于用戶終端已有連接的特征識別方法��,基于用戶終端已有連接的特征識別方法等�����。
[0080]具體地,根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息�����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別���,包括:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息���,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中,如果是�����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型���;或者判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中��,如果是��,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中����,如果是���,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息���,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中����,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��。
[0081]如果網(wǎng)絡(luò)設(shè)備基于用戶多維信息識別出了數(shù)據(jù)流的協(xié)議類型�����,則更新用戶多維信息表中的連接的識別結(jié)果�。
[0082]步驟104,如果沒有查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所述數(shù)據(jù)報文的報文特征�,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別。
[0083]其中����,基于數(shù)據(jù)流的協(xié)議識別,指的是通過對一個數(shù)據(jù)流內(nèi)的一個或者多個數(shù)據(jù)報文進行檢測���,從而識別出該數(shù)據(jù)流/連接所使用的協(xié)議類型����。如果網(wǎng)絡(luò)設(shè)備基于用戶多維信息沒有識別出數(shù)據(jù)流的協(xié)議類型或者說如果用戶多維信息表中不存在該用戶的多維信息��,則基于數(shù)據(jù)流進行協(xié)議識別�,基于流的協(xié)議識別方法包括關(guān)聯(lián)識別、端口識別�����、特征識別��、行為識別等方法��,識別成功后同樣更新用戶多維信息表中的連接的識別結(jié)果���,如果識別不成功則輸出識別不成功的識別結(jié)果�。
[0084]由此��,本發(fā)明實施例提供的協(xié)議類型的識別方法和裝置���,通過對接收到的數(shù)據(jù)報文根據(jù)用戶終端已有連接的協(xié)議類型進行基于用戶多維信息的協(xié)議類型識別�����,可以實現(xiàn)以用戶為單位的業(yè)務(wù)控制����,并且通過結(jié)合基于用戶多維信息的協(xié)議類型識別和基于數(shù)據(jù)流的協(xié)議類型識別�����,可以提高DPI系統(tǒng)的識別準(zhǔn)確率��,提升協(xié)議識別性能��。
[0085]需要說明的是�,網(wǎng)路設(shè)備為了實現(xiàn)協(xié)議識別功能,可以在設(shè)備中布置一個DPI系統(tǒng)�����,當(dāng)網(wǎng)絡(luò)設(shè)備接收到數(shù)據(jù)報文時,DPI系統(tǒng)可以進行相應(yīng)的報文協(xié)議識別���。
[0086]具體地,DPI系統(tǒng)所包括的內(nèi)容如圖3所示����,圖3為本發(fā)明實施例提供的一種DPI系統(tǒng)模塊圖,如圖所示��,DPI系統(tǒng)包括流表301��、用戶連接管理模塊303、用戶多維信息表302���、協(xié)議識別模塊304���、業(yè)務(wù)處理模塊307�����。其中���,協(xié)議識別模塊包括基于用戶多維信息的協(xié)議識別子模塊305和基于數(shù)據(jù)流的協(xié)議識別子模塊306��。其中��,基于用戶多維信息的協(xié)議識別子模塊可以使用多種獨立的識別方法來識別報文協(xié)議類型�,如基于服務(wù)器地址信息的識別方法����、基于已有連接的地址對信息的識別、基于已有連接的用戶終端地址信息的識別��、基于用戶終端的特征識別�、基于用戶終端的行為識別,這些獨立的識別方法也可以結(jié)合在一起使用�;而基于數(shù)據(jù)流的協(xié)議識別子模塊也可以使用多種獨立的識別方法來識別報文的協(xié)議類型,如關(guān)聯(lián)識別�����、端口識別�����、特征識別、行為識別等����。在DPI系統(tǒng)運行時,首先在流表中查找以判斷該連接是否為新建的連接�,然后進入用戶連接管理模塊,該模塊在用戶多維信息表中查找到是否存在新建的連接所屬的用戶記錄��,如果存在���,則基于用戶多維信息表中的用戶多維信息進行協(xié)議識別��;如果基于用戶多維信息的協(xié)議識別成功����,更新用戶多維信息表然后輸出識別結(jié)果進入業(yè)務(wù)處理模塊����,否則進入基于流的協(xié)議識別模塊繼續(xù)識別;如果基于流的協(xié)議識別成功���,更新用戶多維信息表然后輸出識別結(jié)果進入業(yè)務(wù)處理�����。
[0087]上述實施例簡單描述了 DPI系統(tǒng)進行協(xié)議識別的過程����,下面通過一個詳細的實施例描述協(xié)議識別過程�。
[0088]圖2為本發(fā)明實施例提供的另一協(xié)議類型的識別方法流程圖,該實施例的執(zhí)行主體是網(wǎng)絡(luò)設(shè)備�,如業(yè)務(wù)網(wǎng)關(guān)或者路由器,其中詳細描述了網(wǎng)絡(luò)設(shè)備對接收到的報文進行協(xié)議識別的過程���。如圖所示�,該實施例包括以下步驟:
[0089]步驟201�,接收數(shù)據(jù)報文。
[0090]步驟202���,判斷該數(shù)據(jù)報文所在連接是否為新建的連接���。
[0091]網(wǎng)絡(luò)設(shè)備對接收到的數(shù)據(jù)報文進行解析,根據(jù)報文頭部信息�����,得到對應(yīng)的五元組信息。其中��,五元組信息包括報文的目的IP地址�����、目的端口號�����、源IP地址�、源端口號、傳輸層協(xié)議號�����。
[0092]具體地����,可以在流表中查找是否存在該五元組信息對應(yīng)的連接記錄信息。流表中保存了 DPI系統(tǒng)曾檢測過的連接的記錄信息���,流表中可以包括五元組信息�����、對應(yīng)連接的識別結(jié)果��、相應(yīng)的業(yè)務(wù)控制策略等�����。
[0093]如果流表中保存了接收到的數(shù)據(jù)報文對應(yīng)的五元組信息���,則說明該數(shù)據(jù)報文對應(yīng)的連接為已有連接,否則說明對應(yīng)的連接為新建的連接�。如果判斷為新建的連接,則執(zhí)行步驟 203��。
[0094]步驟203����,判斷用戶多維信息表中是否存在新建的連接對應(yīng)的用戶多維信息。
[0095]具體地�,可以查詢用戶多維信息表,判斷用戶多維信息表中是否存在五元組信息中用戶的地址信息對應(yīng)的用戶多維信息�����,如果是�,則判斷用戶多維信息表中存在新建的連接對應(yīng)的用戶終端的用戶多維信息�����,如果否����,則判斷用戶多維信息表中不存在新建的連接對應(yīng)的用戶終端的用戶多維信息�����。用戶終端的地址信息即為用戶終端設(shè)備的IP地址信息或者IP地址信息及端口信息����。
[0096]其中,用戶多維信息包括以下信息中的一項或者任意項的組合:用戶終端已有連接對應(yīng)的地址對信息�����、用戶終端已有連接的用戶終端地址信息���、用戶終端曾訪問過的服務(wù)器地址信息�����、用戶的協(xié)議列表信息���、用戶終端已有連接的行為特征信息��。用戶多維信息表中除包括用戶多維信息之外�,還包括所述用戶多維信息���,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系�����。
[0097]如果用戶多維信息表中存在新建的連接對應(yīng)的用戶終端的用戶多維信息���,執(zhí)行步驟204�,否則執(zhí)行步驟205。
[0098]步驟204�,基于用戶多維信息進行協(xié)議識別。
[0099]基于用戶多維信息進行的協(xié)議識別方法包括多種獨立的識別方法�,各種識別方法之間不需要固定的先后順序。其中�,每種獨立的識別方法都為基于用戶多維信息中的某一維信息進行識別的方法,例如基于服務(wù)器地址信息進行的協(xié)議識別方法�����,基于用戶終端已有連接的地址對信息進行的協(xié)議識別方法,基于用戶終端已有連接的用戶終端地址信息的協(xié)議識別方法���,基于用戶終端已有連接的特征識別方法����,基于用戶終端已有連接的行為識別方法等�。
[0100]具體地,基于服務(wù)器地址信息進行的協(xié)議識別方法具體為:如果一個用戶向一個服務(wù)器端口發(fā)起連接����,那么該用戶后續(xù)向相同的服務(wù)器端口發(fā)起的連接的協(xié)議類型和第一個連接的協(xié)議類型肯定是相同的。例如用戶用HTTP協(xié)議訪問了某服務(wù)器(如:1.2.3.4:80)���,那么該用戶后續(xù)訪問該服務(wù)器(1.2.3.4:80)的所有連接的協(xié)議類型也都是HTTP的�。
[0101]具體地�����,基于用戶終端已有連接的地址對信息進行的協(xié)議識別方法具體為:如果一個用戶向一個服務(wù)器發(fā)起連接�,那么該用戶后續(xù)向相同的服務(wù)器IP地址發(fā)起的連接的協(xié)議類型和第一個連接的協(xié)議類型有可能是相同的。該識別方法在該用戶的歷史連接中找到和新建的連接的IP地址對(目的IP地址�,源IP地址)相同的連接���,然后通過簡單的判斷(例如簡單的特征字確認(rèn))來確認(rèn)新建的連接的協(xié)議類型是否和歷史連接的協(xié)議類型相同。
[0102]具體地�����,基于用戶終端已有連接的用戶終端地址信息的協(xié)議識別方法具體為:如果一個用戶以相同的(IP:Por t)向一個或者多個目的地址發(fā)起多個連接�,那么這些具有相同的用戶終端(IP:Por t)的連接的協(xié)議類型是相同的。該識別方法在該用戶的歷史連接中找到和新建的連接的用戶終端地址(IP =Port)相同的連接�,就可以確認(rèn)新建的連接的協(xié)議類型和歷史連接的協(xié)議類型相同。
[0103]具體地���,基于用戶的特征識別方法具體為:按用戶記錄用戶常用的協(xié)議列表�,協(xié)議列表的來源包括該用戶曾經(jīng)使用的協(xié)議和預(yù)先配置的協(xié)議列表(例如用戶所在地區(qū)的熱門協(xié)議應(yīng)用)����。基于用戶的特征識別方法在識別過程中��,對用戶的常用協(xié)議列表中的協(xié)議通過掃描協(xié)議特征的方法進行識別�。
[0104]具體地�,基于用戶的行為識別方法具體為:通過比較用戶的報文的用戶行為統(tǒng)計數(shù)據(jù)和用戶行為特征集,如果匹配則可以確認(rèn)當(dāng)前報文所屬的協(xié)議���。用戶行為的統(tǒng)計數(shù)據(jù)包括報文中二進制數(shù)值的統(tǒng)計分布�、端口范圍、報文長度統(tǒng)計(報文長度范圍�、報文長度序列、報文長度集合�、報文長度平均值、上下行每次交互的報文長度求和)�����、報文發(fā)送頻度�����、報文收發(fā)比例以及目的地址的分散程度�����,等維度�����。用戶行為特征集保存在用戶記錄中����,用戶行為特征集的初始內(nèi)容是預(yù)先配置的用戶行為特征���,并在識別過程中根據(jù)該用戶的歷史連接的行為統(tǒng)計數(shù)據(jù)來豐富和更新。
[0105]如果識別成功���,則執(zhí)行步驟206�,否則執(zhí)行步驟209�。
[0106]步驟205,在用戶多維信息表中添加新用戶終端對應(yīng)的用戶多維信息�����。
[0107]如果用戶多維信息表中不存在新用戶對應(yīng)的用戶多維信息����,則在用戶多維信息表中添加對應(yīng)的記錄。添加記錄后�,執(zhí)行步驟209,即基于數(shù)據(jù)流對該數(shù)據(jù)報文進行協(xié)議識別���。
[0108]步驟206��,如果識別成功,則判斷識別成功的協(xié)議報文是否包含無法通過特征識別方法識別的流量�。
[0109]如果基于用戶多維信息成功識別報文協(xié)議類型�,則進一步判斷該識別成功的報文是否包含無法通過特征識別方法識別的流量���,例如��,如果用戶建立的第一個連接是加密連接�,無法通過特征識別的方法識別���,而是通過“基于數(shù)據(jù)流的協(xié)議識別”中的“行為識別”方法識別的���,然后DPI會記錄該加密連接的IP、端口等等信息�;當(dāng)該用戶建立第二個同樣的加密連接時,DPI就能夠通過發(fā)明的五種方法中的某一種來識別第二個加密連接�����,此時就會觸發(fā)該判斷��,DPI會將第二個加密連接的行為統(tǒng)計數(shù)據(jù)來更新對應(yīng)協(xié)議的行為特征����。
[0110]如果是,則執(zhí)行步驟207�����,否則執(zhí)行步驟208。
[0111]步驟207���,進行基于用戶終端的行為識別統(tǒng)計�����,并更新用戶多維信息表中的用戶終端已有連接的用戶行為特征信息�。
[0112]由于一個連接本來是需要通過行為特征來識別的��,如果不能通過行為特征來識別出來����,那么這個連接可以作為對應(yīng)協(xié)議的行為特征的一個樣本數(shù)據(jù)、幫助改進和完善對應(yīng)協(xié)議的行為特征�����。
[0113]步驟208���,更新用戶多維信息表中該連接對應(yīng)的識別結(jié)果數(shù)據(jù)���。
[0114]不管是通過基于流的協(xié)議識別方法�����,還是通過基于用戶的協(xié)議識別方法,如果成功識別了該連接對應(yīng)的協(xié)議類型��,則需要更新用戶多維信息表中對應(yīng)的識別結(jié)果數(shù)據(jù)����。可選地��,還可以更新流表中該數(shù)據(jù)流對應(yīng)的協(xié)議識別結(jié)果以及業(yè)務(wù)控制策略等�����。
[0115]步驟209�����,如果識別不成功�,則基于數(shù)據(jù)流進行協(xié)議識別。
[0116]如果基于用戶的協(xié)議識別不成功����,則基于數(shù)據(jù)流進行識別�����,基于流的協(xié)議識別方法包括關(guān)聯(lián)識別����、端口識別��、特征識別��、行為識別等�����。如果基于流的協(xié)議識別成功��,則執(zhí)行步驟208����,否則執(zhí)行步驟210。
[0117]步驟210����,輸出識別結(jié)果。
[0118]不管是否識別成功,都可輸出識別結(jié)果�����,以便根據(jù)該識別結(jié)果進行相應(yīng)的業(yè)務(wù)控制���。
[0119]由此,本發(fā)明實施例提供的協(xié)議類型的識別方法和裝置�,通過對接收到的數(shù)據(jù)報文根據(jù)用戶終端已有連接的協(xié)議類型進行基于用戶多維信息的協(xié)議類型識別,可以實現(xiàn)以用戶為單位的業(yè)務(wù)控制��,并且通過結(jié)合基于用戶多維信息的協(xié)議類型識別和基于數(shù)據(jù)流的協(xié)議類型識別���,可以提高DPI系統(tǒng)的識別準(zhǔn)確率���,提升協(xié)議識別性能。
[0120]本發(fā)明實施例還提供了一種協(xié)議類型的識別方法����,圖4為本發(fā)明實施例提供的另一協(xié)議類型的識別方法流程圖,該實施例的執(zhí)行主體是網(wǎng)絡(luò)設(shè)備�����,如業(yè)務(wù)網(wǎng)關(guān)或者路由器,該實施例詳細描述了網(wǎng)絡(luò)設(shè)備對接收到的數(shù)據(jù)報文進行基于用戶的協(xié)議類型識別的方法�,如圖所示,該實施例包括以下步驟:
[0121]步驟401�����,獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文�。
[0122]網(wǎng)絡(luò)設(shè)備接收到數(shù)據(jù)流的數(shù)據(jù)報文后,對報文進行解析�,根據(jù)報文頭部信息,得到對應(yīng)的五元組信息���。其中���,五元組信息包括報文的目的IP地址、目的端口號�����、源IP地址�����、源端口號���、TCP號�,然后根據(jù)五元組信息判斷數(shù)據(jù)流對應(yīng)的連接是否為新建的連接。
[0123]優(yōu)選地��,接收到數(shù)據(jù)報文后��,網(wǎng)絡(luò)設(shè)備可查詢流表��,判斷流表中是否存在該業(yè)務(wù)數(shù)據(jù)報文的五元組信息對應(yīng)的連接記錄信息��,如果是�,則判斷數(shù)據(jù)流對應(yīng)的連接是已有連接�,如果否,則判斷所述數(shù)據(jù)流對應(yīng)的連接為新建的連接��。
[0124]如果查詢流表之后��,判斷出數(shù)據(jù)報文所在數(shù)據(jù)流對應(yīng)的連接為已有連接���,則直接根據(jù)所述流表存儲的所述該數(shù)據(jù)報文的五元組信息對應(yīng)協(xié)議類型識別結(jié)果以及業(yè)務(wù)處理方法��,對所述該數(shù)據(jù)報文進行相應(yīng)處理�����,如流量控制等����。需要說明的是,即使數(shù)據(jù)報文所在連接為已有連接��,也可以繼續(xù)執(zhí)行步驟402����,即對數(shù)據(jù)報文所在連接進行相應(yīng)的協(xié)議識別。[0125]步驟402����,根據(jù)所述數(shù)據(jù)報文的報文特征,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別���。
[0126]其中��,基于數(shù)據(jù)流的協(xié)議識別方法包括關(guān)聯(lián)識別�����、端口識別��、特征識別��、行為識別等方法���,識別成功后同樣更新用戶多維信息表中的連接的識別結(jié)果����,如果識別不成功則輸出識別不成功的識別結(jié)果���。
[0127]步驟403��,如果基于數(shù)據(jù)流識別不成功����,則查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息�,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息���。
[0128]查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息包括:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息���,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息。
[0129]其中��,用戶多維信息包括以下信息中的一項或者任意項的組合:用戶終端已有連接對應(yīng)的地址對信息����、用戶終端已有連接的用戶終端地址信息��、用戶終端曾訪問過的服務(wù)器地址信息����、用戶的協(xié)議列表信息���、用戶終端已有連接的行為特征信息���,用戶多維信息表中包括所述用戶多維信息,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系O
[0130]具體地����,本發(fā)明實施例中,用戶終端已有連接對應(yīng)的地址對信息為已有連接的源IP地址和目的IP地址組成的地址對�,用戶終端已有連接的用戶終端地址信息由已有連接對應(yīng)的用戶終端的IP地址和端口號組成,用戶終端曾訪問過的服務(wù)器地址信息由用戶終端曾訪問過的服務(wù)器的IP地址和端口號組成����,用戶的協(xié)議列表中存儲了用戶常用的協(xié)議記錄信息,用戶終端已有連接的行為特征信息包括用戶常見協(xié)議類型對應(yīng)的協(xié)議特征以及用戶的行為統(tǒng)計數(shù)據(jù)����。
[0131]網(wǎng)絡(luò)設(shè)備判斷出用戶多維信息表中存在該數(shù)據(jù)報文所在連接對應(yīng)的用戶終端的用戶多維信息之后���,即可執(zhí)行步驟404。
[0132]網(wǎng)絡(luò)設(shè)備在查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息之后���,如果沒有在所述用戶多維信息表中查找到與所述用戶終端對應(yīng)的用戶多維信息�����,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息���。優(yōu)選地,可在對該數(shù)據(jù)報文所在連接的協(xié)議類型識別成功后在用戶多維信息表中添加該用戶的用戶多維信息����。
[0133]步驟404,如果查找到所述用戶終端對應(yīng)的用戶多維信息��,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別���。
[0134]基于用戶多維信息進行的協(xié)議識別方法包括多種獨立的識別方法�,各種識別方法之間不需要固定的先后順序。其中�����,每種獨立的識別方法都為基于用戶多維信息中的某一維信息進行識別的方法�,例如基于服務(wù)器地址信息進行的協(xié)議識別方法,基于用戶終端已有連接的地址對信息進行的協(xié)議識別方法����,基于用戶終端已有連接的用戶終端地址信息的協(xié)議識別方法,基于用戶終端已有連接的特征識別方法�����,基于用戶終端已有連接的特征識別方法等��。
[0135]具體地����,根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別����,包括:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中,如果是���,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�;或者判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息�,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中,如果是����,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中,如果是����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�����;或者判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中���,如果是���,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)�,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中,如果是����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型。
[0136]如果網(wǎng)絡(luò)設(shè)備基于用戶多維信息識別出了數(shù)據(jù)流的協(xié)議類型���,則更新用戶多維信息表中的連接的識別結(jié)果�����。
[0137]由此���,本發(fā)明實施例實現(xiàn)了基于用戶多維信息的協(xié)議識別,進而可實現(xiàn)以用戶為單位的業(yè)務(wù)控制�����,并且可以提高DPI系統(tǒng)的識別準(zhǔn)確率����,提升協(xié)議識別性能。
[0138]圖4所對應(yīng)的上述實施例簡單描述了 DPI系統(tǒng)進行協(xié)議識別的過程����,下面通過一個詳細的實施例描述協(xié)議識別過程����。
[0139]圖5為本發(fā)明實施例提供的另一協(xié)議類型的識別方法流程圖��,該實施例的執(zhí)行主體是網(wǎng)絡(luò)設(shè)備��,如業(yè)務(wù)網(wǎng)關(guān)或者路由器��,其中詳細描述了網(wǎng)絡(luò)設(shè)備對接收到的報文進行協(xié)議識別的過程�����。如圖所示�,該實施例包括以下步驟:
[0140]步驟501,接收數(shù)據(jù)報文����。
[0141]步驟502,判斷該數(shù)據(jù)報文所在連接是否為新建的連接��。
[0142]網(wǎng)絡(luò)設(shè)備對接收到的數(shù)據(jù)報文進行解析���,根據(jù)報文頭部信息���,得到對應(yīng)的五元組信息�����。其中,五元組信息包括報文的目的IP地址���、目的端口號���、源IP地址、源端口號�、TCP協(xié)議號。
[0143]具體地���,可以在流表中查找是否存在該五元組信息對應(yīng)的連接記錄信息���。流表中保存了 DPI系統(tǒng)曾檢測過的數(shù)據(jù)流對應(yīng)連接的記錄信息,流表中可以包括五元組信息��、對應(yīng)連接的識別結(jié)果�、相應(yīng)的業(yè)務(wù)控制策略等。
[0144]如果流表中保存了接收到的數(shù)據(jù)報文對應(yīng)的五元組信息���,則說明該數(shù)據(jù)報文對應(yīng)的連接為已有連接�����,否則說明對應(yīng)的連接為新建的連接��。如果判斷為新建的連接�����,則執(zhí)行步驟 503����。
[0145]步驟503,對數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別����。
[0146]其中,基于數(shù)據(jù)流的協(xié)議識別方法包括關(guān)聯(lián)識別�、端口識別、特征識別�����、行為識別等方法�,識別成功后同樣更新用戶多維信息表中的連接的識別結(jié)果��,如果識別不成功則輸出識別不成功的識別結(jié)果��。[0147]步驟504�����,如果基于數(shù)據(jù)流識別成功,則對業(yè)務(wù)報文進行相應(yīng)的業(yè)務(wù)處理�。
[0148]步驟505,如果基于數(shù)據(jù)流識別不成功�,則判斷用戶多維信息表中是否存在所述數(shù)據(jù)報文所在連接對應(yīng)的用戶多維信息。
[0149]所述判斷用戶多維信息表中是否存在所述數(shù)據(jù)報文所在連接對應(yīng)的用戶多維信息包括:根據(jù)所述數(shù)據(jù)報文的五元組信息中用戶終端地址信息����,判斷所述用戶多維信息表中是否存在所述用戶終端地址信息對應(yīng)的用戶多維信息。
[0150]其中�,用戶多維信息包括以下信息中的一項或者任意項的組合:用戶終端已有連接對應(yīng)的地址對信息、用戶終端已有連接的用戶終端地址信息���、用戶終端曾訪問過的服務(wù)器地址信息���、用戶的協(xié)議列表信息、用戶終端已有連接的行為特征信息�����。
[0151]具體地,本發(fā)明實施例中�����,用戶終端已有連接對應(yīng)的地址對信息為已有連接的源IP地址和目的IP地址組成的地址對����,用戶終端已有連接的用戶終端地址信息由已有連接對應(yīng)的用戶終端的IP地址和端口號組成,用戶終端曾訪問過的服務(wù)器地址信息由用戶終端曾訪問過的服務(wù)器的IP地址和端口號組成���,用戶的協(xié)議列表中存儲了用戶常用的協(xié)議記錄信息�,用戶終端已有連接的行為特征信息包括用戶常見協(xié)議類型對應(yīng)的協(xié)議特征以及用戶的行為統(tǒng)計數(shù)據(jù)�。
[0152]網(wǎng)絡(luò)設(shè)備判斷出用戶多維信息表中不存在該數(shù)據(jù)報文所在連接對應(yīng)的用戶終端的用戶多維信息之后,可在用戶多維信息表中添加該用戶的用戶多維信息�。
[0153]如果用戶多維信息表中存在新建的連接對應(yīng)的用戶終端的用戶多維信息,執(zhí)行步驟506��,否則執(zhí)行步驟507��。
[0154]步驟506�,基于用戶多維信息進行協(xié)議識別。
[0155]基于用戶多維信息進行的協(xié)議識別方法包括多種獨立的識別方法��,各種識別方法之間不需要固定的先后順序。其中�,每種獨立的識別方法都為基于用戶多維信息中的某一維信息進行識別的方法,例如基于服務(wù)器地址信息進行的協(xié)議識別方法��,基于用戶終端已有連接的地址對信息進行的協(xié)議識別方法���,基于用戶終端已有連接的用戶終端地址信息的協(xié)議識別方法���,基于用戶終端已有連接的特征識別方法,基于用戶終端已有連接的行為識別方法等���。
[0156]具體地,基于服務(wù)器地址信息進行的協(xié)議識別方法具體為:如果一個用戶向一個服務(wù)器端口發(fā)起連接����,那么該用戶后續(xù)向相同的服務(wù)器端口發(fā)起的連接的協(xié)議類型和第一個連接的協(xié)議類型肯定是相同的。例如用戶用HTTP協(xié)議訪問了某服務(wù)器(如:1.2.3.4:80)�����,那么該用戶后續(xù)訪問該服務(wù)器(1.2.3.4:80)的所有連接的協(xié)議類型也都是HTTP的��。
[0157]具體地�,基于用戶終端已有連接的地址對信息進行的協(xié)議識別方法具體為:如果一個用戶向一個服務(wù)器發(fā)起連接���,那么該用戶后續(xù)向相同的服務(wù)器IP地址發(fā)起的連接的協(xié)議類型和第一個連接的協(xié)議類型有可能是相同的。該識別方法在該用戶的歷史連接中找到和新建的連接的IP地址對(目的IP地址�,源IP地址)相同的連接,然后通過簡單的判斷(例如簡單的特征字確認(rèn))來確認(rèn)新建的連接的協(xié)議類型是否和歷史連接的協(xié)議類型相同����。
[0158]具體地,基于用戶終端已有連接的用戶終端地址信息的協(xié)議識別方法具體為:如果一個用戶以相同的(IP:Por t)向一個或者多個目的地址發(fā)起多個連接��,那么這些具有相同的用戶終端(IP:Por t)的連接的協(xié)議類型是相同的��。該識別方法在該用戶的歷史連接中找到和新建的連接的用戶終端地址(IP =Port)相同的連接����,就可以確認(rèn)新建的連接的協(xié)議類型和歷史連接的協(xié)議類型相同。
[0159]具體地����,基于用戶的特征識別方法具體為:按用戶記錄用戶常用的協(xié)議列表,協(xié)議列表的來源包括該用戶曾經(jīng)使用的協(xié)議和預(yù)先配置的協(xié)議列表(例如用戶所在地區(qū)的熱門協(xié)議應(yīng)用)����。基于用戶的特征識別方法在識別過程中,對用戶的常用協(xié)議列表中的協(xié)議通過掃描協(xié)議特征的方法進行識別�。
[0160]具體地�����,基于用戶的行為識別方法具體為:通過比較用戶的報文的用戶行為統(tǒng)計數(shù)據(jù)和用戶行為特征集,如果匹配則可以確認(rèn)當(dāng)前報文所屬的協(xié)議��。用戶行為的統(tǒng)計數(shù)據(jù)包括報文中二進制數(shù)值的統(tǒng)計分布���、端口范圍�����、報文長度統(tǒng)計(報文長度范圍�、報文長度序列�����、報文長度集合、報文長度平均值���、上下行每次交互的報文長度求和)�、報文發(fā)送頻度�����、報文收發(fā)比例以及目的地址的分散程度���,等維度����。用戶行為特征集保存在用戶記錄中���,用戶行為特征集的初始內(nèi)容是預(yù)先配置的用戶行為特征�,并在識別過程中根據(jù)該用戶的歷史連接的行為統(tǒng)計數(shù)據(jù)來豐富和更新�����。
[0161]如果識別成功�,則執(zhí)行步驟508�����,否則執(zhí)行步驟511,輸出識別結(jié)果����。
[0162]步驟507,在用戶多維信息表中添加新用戶終端對應(yīng)的用戶多維信息�。
[0163]如果用戶連接數(shù)據(jù)表中不存在新用戶對應(yīng)的用戶多維信息�,則在用戶連接數(shù)據(jù)表中添加對應(yīng)的記錄。添加記錄后��,執(zhí)行步驟509��,即基于數(shù)據(jù)流對該數(shù)據(jù)報文進行協(xié)議識別�。
[0164]步驟508,如果識別成功�����,則判斷識別成功的協(xié)議報文是否包含無法通過特征識別方法識別的流量��。
[0165]如果基于用戶多維信息成功識別報文協(xié)議類型����,則進一步判斷該識別成功的報文是否包含無法通過特征識別方法識別的流量,例如��,如果用戶建立的第一個連接是加密連接���,無法通過特征識別的方法識別�,而是通過“基于流的協(xié)議識別”中的“行為識別”方法識別的,然后DPI會記錄該加密連接的IP�����、端口等等信息�;當(dāng)該用戶建立第二個同樣的加密連接時,DPI就能夠通過發(fā)明的五種方法中的某一種來識別第二個加密連接�����,此時就會觸發(fā)該判斷��,DPI會將第二個加密連接的行為統(tǒng)計數(shù)據(jù)來更新對應(yīng)協(xié)議的行為特征�����。
[0166]如果是����,則執(zhí)行步驟509,否則執(zhí)行步驟510����。
[0167]步驟509�����,進行基于用戶的行為識別統(tǒng)計�����,并更新用戶多維信息表中的用戶終端已有連接的用戶行為特征信息�����。
[0168]由于一個連接本來是需要通過行為特征來識別的,如果不能通過行為特征來識別出來���,那么這個連接可以作為對應(yīng)協(xié)議的行為特征的一個樣本數(shù)據(jù)�、幫助改進和完善對應(yīng)協(xié)議的行為特征���。
[0169]步驟510���,更新用戶多維信息表中該連接對應(yīng)的識別結(jié)果數(shù)據(jù)。
[0170]不管是通過基于流的協(xié)議識別方法��,還是通過基于用戶的協(xié)議識別方法,如果成功識別了該連接對應(yīng)的協(xié)議類型�����,則需要更新用戶多維信息表中對應(yīng)的識別結(jié)果數(shù)據(jù)�����?����?蛇x地�����,還可以更新流表中該數(shù)據(jù)流對應(yīng)的協(xié)議識別結(jié)果以及業(yè)務(wù)控制策略等�。
[0171]步驟511,輸出識別結(jié)果����。
[0172]不管是否識別成功,都可輸出識別結(jié)果��,以便根據(jù)該識別結(jié)果進行相應(yīng)的業(yè)務(wù)控制���。
[0173]由此�,本發(fā)明實施例實現(xiàn)了基于用戶的協(xié)議識別,基于用戶的協(xié)議識別還可以實現(xiàn)以用戶為單位的業(yè)務(wù)控制��。其中���,由于基于用戶多維信息的協(xié)議識別可以只基于報文的IP地址和端口���,不對報文進行很深的內(nèi)容掃描,因此可以顯著提升協(xié)議識別的性能��。
[0174]相應(yīng)地���,本發(fā)明實施例還提供了一種協(xié)議類型的識別裝置,圖6為本發(fā)明實施例提供的一種協(xié)議類型的識別裝置示意圖�,如圖所示,本實施例包括以下功能單元:
[0175]獲取單元601����,用于獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文。
[0176]網(wǎng)絡(luò)設(shè)備接收到數(shù)據(jù)流的數(shù)據(jù)報文后��,對報文進行解析�����,根據(jù)報文頭部信息,得到對應(yīng)的五元組信息�����。其中���,五元組信息包括報文的目的IP地址���、目的端口號、源IP地址���、源端口號�、TCP協(xié)議號���。
[0177]優(yōu)選地���,網(wǎng)絡(luò)設(shè)備接收到數(shù)據(jù)報文后,網(wǎng)絡(luò)設(shè)備可查詢流表�����,判斷流表中是否存在該業(yè)務(wù)數(shù)據(jù)報文的五元組信息對應(yīng)的連接記錄信息,如果是����,則判斷數(shù)據(jù)流對應(yīng)的連接是已有連接,如果否����,則判斷所述數(shù)據(jù)流對應(yīng)的連接為新建的連接。
[0178]如果查詢流表之后����,判斷出數(shù)據(jù)報文所在數(shù)據(jù)流對應(yīng)的連接為已有連接,則直接根據(jù)所述流表存儲的所述該數(shù)據(jù)報文的五元組信息對應(yīng)協(xié)議類型識別結(jié)果以及業(yè)務(wù)處理方法��,對所述該數(shù)據(jù)報文進行相應(yīng)處理��,如流量控制等��。需要說明的是����,即使數(shù)據(jù)報文所在連接為已有連接���,也可以繼續(xù)由查找單元602執(zhí)行下面的判斷操作��,即對數(shù)據(jù)報文所在連接進行相應(yīng)的協(xié)議識別����。
[0179]查找單元602,用于查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息�����,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息�。
[0180]其中查找單元602具體用于:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息��。
[0181]其中���,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息�����、所述用戶終端已有連接的用戶終端地址信息����、所述用戶終端曾訪問過的服務(wù)器地址信息�����、所述用戶終端的協(xié)議列表、所述用戶終端已有連接的行為特征信息�。所述用戶多維信息表中包括所述用戶多維信息,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系����。
[0182]具體地,用戶終端已有連接對應(yīng)的地址對信息為已有連接的源IP地址和目的IP地址組成的地址對���,用戶終端已有連接的用戶終端地址信息由已有連接對應(yīng)的用戶終端的IP地址和端口號組成�,用戶終端曾訪問過的服務(wù)器地址信息由用戶終端曾訪問過的服務(wù)器的IP地址和端口號組成�,用戶的協(xié)議列表中存儲了用戶常用的協(xié)議記錄信息,用戶終端已有連接的行為特征信息包括用戶常見協(xié)議類型對應(yīng)的協(xié)議特征以及用戶的行為統(tǒng)計數(shù)據(jù)�����。
[0183]第一處理單元603����,用于如果查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息��,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別��。
[0184]基于用戶多維信息進行的協(xié)議識別方法包括多種獨立的識別方法�����,各種識別方法之間不需要固定的先后順序���。其中��,每種獨立的識別方法都為基于用戶多維信息中的某一維信息進行識別的方法���,例如基于服務(wù)器地址信息進行的協(xié)議識別方法,基于用戶終端已有連接的地址對信息進行的協(xié)議識別方法���,基于用戶終端已有連接的用戶終端地址信息的協(xié)議識別方法��,基于用戶終端已有連接的特征識別方法�,基于用戶終端已有連接的特征識別方法等��。[0185]第一處理單元603具體用于:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息���,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中���,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中�����,如果是��,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中��,如果是��,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息�、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息�����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中��,如果是��,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中��,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��。
[0186]所述第一處理單元603還用于:如果識別成功�����,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)����,并且輸出識別結(jié)果,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型��。
[0187]第一處理單元603還用于:如果識別成功��,則進一步判斷所述數(shù)據(jù)報文是否為無法通過特征識別的報文����,如果是,則進行基于用戶的行為識別統(tǒng)計�,并且更新所述用戶連接數(shù)據(jù)表中的用戶終端已有連接的行為特征信息。
[0188]第二處理單元604����,用于如果沒有查找到所述用戶終端對應(yīng)的用戶多維信息��,則根據(jù)所述數(shù)據(jù)報文的報文特征����,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別�����。
[0189]第二處理單元604還用于:如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息��,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息���。
[0190]所述第二處理單元604還用于:如果識別成功����,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)�,否則輸出識別結(jié)果。
[0191]如果網(wǎng)絡(luò)設(shè)備基于用戶多維信息沒有識別出數(shù)據(jù)流的協(xié)議類型或者說如果用戶多維信息表中不存在該用戶的多維信息����,則基于數(shù)據(jù)流進行協(xié)議識別,基于流的協(xié)議識別方法包括關(guān)聯(lián)識別����、端口識別����、特征識別�����、行為識別等方法���,識別成功后同樣更新用戶多維信息表中的連接的識別結(jié)果,如果識別不成功則輸出識別不成功的識別結(jié)果�����。
[0192]由此�,本發(fā)明實施例提供的協(xié)議類型的識別方法和裝置,通過對接收到的數(shù)據(jù)報文根據(jù)用戶終端已有連接的協(xié)議類型進行基于用戶多維信息的協(xié)議類型識別���,可以實現(xiàn)以用戶為單位的業(yè)務(wù)控制�,并且通過結(jié)合基于用戶多維信息的協(xié)議類型識別和基于數(shù)據(jù)流的協(xié)議類型識別���,可以提高DPI系統(tǒng)的識別準(zhǔn)確率�,提升協(xié)議識別性能。
[0193]相應(yīng)地���,本發(fā)明實施例還提供了一種協(xié)議類型的識別裝置�,圖7為本發(fā)明實施例提供的另一協(xié)議類型的識別裝置示意圖����;該裝置包括:
[0194]獲取單元701,用于獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文�����。[0195]接收到數(shù)據(jù)流的數(shù)據(jù)報文后�,對報文進行解析,根據(jù)報文頭部信息�,得到對應(yīng)的五元組信息。其中����,五元組信息包括報文的目的IP地址、目的端口號���、源IP地址����、源端口號、TCP號�����,然后根據(jù)五元組信息判斷數(shù)據(jù)流對應(yīng)的連接是否為新建的連接�����。
[0196]優(yōu)選地�����,接收到數(shù)據(jù)報文后�����,網(wǎng)絡(luò)設(shè)備可查詢流表���,判斷流表中是否存在該業(yè)務(wù)數(shù)據(jù)報文的五元組信息對應(yīng)的連接記錄信息,如果是�����,則判斷數(shù)據(jù)流對應(yīng)的連接是已有連接����,如果否��,則判斷所述數(shù)據(jù)流對應(yīng)的連接為新建的連接����。
[0197]如果查詢流表之后���,判斷出數(shù)據(jù)報文所在數(shù)據(jù)流對應(yīng)的連接為已有連接����,則直接根據(jù)所述流表存儲的所述該數(shù)據(jù)報文的五元組信息對應(yīng)協(xié)議類型識別結(jié)果以及業(yè)務(wù)處理方法�����,對所述該數(shù)據(jù)報文進行相應(yīng)處理���,如流量控制等����。需要說明的是����,即使數(shù)據(jù)報文所在連接為已有連接�,也可以繼續(xù)由第一處理單元702執(zhí)行相關(guān)的操作�����,即對數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議識別�����。
[0198]第一處理單元702�,用于根據(jù)所述數(shù)據(jù)報文的報文特征,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別��。
[0199]其中���,基于數(shù)據(jù)流的協(xié)議識別方法包括關(guān)聯(lián)識別、端口識別���、特征識別�、行為識別等方法����,識別成功后同樣更新用戶多維信息表中的連接的識別結(jié)果,如果識別不成功則輸出識別不成功的識別結(jié)果�����。
[0200]第一處理單元702還用于:如果基于所述數(shù)據(jù)流識別成功,則對所述數(shù)據(jù)報文進行相應(yīng)的業(yè)務(wù)處理��。
[0201]查找單元703�����,用于如果基于數(shù)據(jù)流識別不成功��,則查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息��,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息��。
[0202]其中����,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息、所述用戶終端已有連接的用戶終端地址信息���、所述用戶終端曾訪問過的服務(wù)器地址信息�、所述用戶終端的協(xié)議列表���、所述用戶終端已有連接的行為特征信息�。用戶多維信息表中包括所述用戶多維信息,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系
[0203]查找單元703具體用于:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息���,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息�����。
[0204]第二處理單元704�,用于如果查找到所述用戶終端對應(yīng)的用戶多維信息���,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息�,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別��。
[0205]第二處理單元704具體用于:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息����,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中,如果是��,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�����,如果是�����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息����、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中�,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中����,如果是���,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型。
[0206]第二處理單元704還用于:如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息���,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息���。
[0207]第二處理單元704還用于:如果基于所述用于多維信息識別成功,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)���,并且輸出識別結(jié)果��。
[0208]第二處理單元704還用于:如果基于所述用戶多維信息識別成功����,則進一步判斷所述數(shù)據(jù)報文是否為無法通過特征識別的報文�����,如果是�,則進行基于用戶的行為識別統(tǒng)計,并且更新用戶連接數(shù)據(jù)表中的用戶終端已有連接的行為特征信息��。
[0209]由此�,本發(fā)明實施例實現(xiàn)了基于用戶多維信息的協(xié)議識別,進而可實現(xiàn)以用戶為單位的業(yè)務(wù)控制�,并且可以提高DPI系統(tǒng)的識別準(zhǔn)確率,提升協(xié)議識別性能�。
[0210]相應(yīng)地,本發(fā)明實施例還提供了一種網(wǎng)絡(luò)設(shè)備�,圖8為本發(fā)明實施例提供的一種網(wǎng)絡(luò)設(shè)備示意圖,如圖所示����,該網(wǎng)絡(luò)設(shè)備包括網(wǎng)絡(luò)接口 801、處理器802和存儲器803�����。系統(tǒng)總線804用于連接網(wǎng)絡(luò)接口 801��、處理器802和存儲器803���。
[0211]網(wǎng)絡(luò)接口 801用于與用戶終端設(shè)備�、服務(wù)器側(cè)設(shè)備��,以及其他網(wǎng)絡(luò)設(shè)備進行連接���。
[0212]存儲器803可以是永久存儲器�����,例如硬盤驅(qū)動器和閃存�����,存儲器803中具有軟件模塊和設(shè)備驅(qū)動程序�����。軟件模塊能夠執(zhí)行本發(fā)明上述方法的各種功能模塊��;設(shè)備驅(qū)動程序可以是網(wǎng)絡(luò)和接口驅(qū)動程序�。
[0213]在啟動時,這些軟件模塊被加載到存儲器803中�,然后被處理器802訪問并執(zhí)行如下指令:
[0214]獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文;
[0215]查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息���,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息����;
[0216]如果查找到所述用戶終端對應(yīng)的用戶多維信息�����,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別�����;
[0217]如果沒有查找到所述用戶終端對應(yīng)的用戶多維信息����,則根據(jù)所述數(shù)據(jù)報文的報文特征����,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別。
[0218]其中�,用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息、所述用戶終端已有連接的用戶終端地址信息��、所述用戶終端曾訪問過的服務(wù)器地址信息��、所述用戶終端的協(xié)議列表�����、所述用戶終端已有連接的行為特征信息�;所述用戶多維信息表中包括所述用戶多維信息,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系�。[0219]進一步的���,處理器802查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息的過程具體包括:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息�����。
[0220]進一步的�,處理器802在所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息之后,還將執(zhí)行以下指令:如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息��,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息�。
[0221]進一步的,處理器802根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息�,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別的過程具體為:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中����,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者
[0222]判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中��,如果是,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中���,如果是����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息�、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者
[0223]判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息���,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中,如果是��,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者
[0224]判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù),是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中���,如果是�����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�。
[0225]進一步的�,處理器802基于所述用戶多維信息�,對所述數(shù)據(jù)報文所在連接進行協(xié)議類型識別之后�,訪問存儲器803后,還將執(zhí)行以下指令:如果識別成功���,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)����,并且輸出識別結(jié)果�,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型。
[0226]進一步的�����,處理器802根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息���,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后��,訪問存儲器803���,并且執(zhí)行指令:如果識別成功,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)���,否則輸出識別結(jié)果�。
[0227]進一步的,處理器802根據(jù)所獲取的所述用戶多維信息標(biāo)識的用戶終端已有連接的協(xié)議類型���,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后��,訪問存儲器803�����,并且執(zhí)行指令:如果識別成功��,則進一步判斷所述數(shù)據(jù)報文是否為無法通過特征識別的報文,如果是�,則進行基于用戶的行為識別統(tǒng)計,并且更新所述用戶連接數(shù)據(jù)表中的用戶終端已有連接的行為特征信息����。
[0228]由此,本發(fā)明實施例提供的網(wǎng)絡(luò)設(shè)備�����,通過對接收到的數(shù)據(jù)報文根據(jù)用戶終端已有連接的協(xié)議類型進行基于用戶多維信息的協(xié)議類型識別����,可以實現(xiàn)以用戶為單位的業(yè)務(wù)控制��,并且通過結(jié)合基于用戶多維信息的協(xié)議類型識別和基于數(shù)據(jù)流的協(xié)議類型識別����,可以提高DPI系統(tǒng)的識別準(zhǔn)確率�,提升協(xié)議識別性能。。
[0229]相應(yīng)地,本發(fā)明實施例還提供了一種網(wǎng)絡(luò)設(shè)備�,圖9為本發(fā)明實施例提供的一種網(wǎng)絡(luò)設(shè)備示意圖,如圖所示���,該網(wǎng)絡(luò)設(shè)備包括網(wǎng)絡(luò)接口 901、處理器902和存儲器903��。系統(tǒng)總線904用于連接網(wǎng)絡(luò)接口 901��、處理器902和存儲器903����。
[0230]網(wǎng)絡(luò)接口 901用于與用戶終端設(shè)備、服務(wù)器側(cè)設(shè)備�����,以及其他網(wǎng)絡(luò)設(shè)備進行連接。[0231 ] 存儲器903可以是永久存儲器��,例如硬盤驅(qū)動器和閃存���,存儲器903中具有軟件模塊和設(shè)備驅(qū)動程序�����。軟件模塊能夠執(zhí)行本發(fā)明上述方法的各種功能模塊�;設(shè)備驅(qū)動程序可以是網(wǎng)絡(luò)和接口驅(qū)動程序�����。
[0232]在啟動時��,這些軟件模塊被加載到存儲器903中�,然后被處理器902訪問并執(zhí)行如下指令:
[0233]獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文�;
[0234]根據(jù)所述數(shù)據(jù)報文的報文特征,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別�����;
[0235]如果基于數(shù)據(jù)流識別不成功���,則查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息���,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息��;
[0236]如果查找到所述用戶終端對應(yīng)的用戶多維信息���,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別�。
[0237]其中,用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息�、所述用戶終端已有連接的用戶終端地址信息、所述用戶終端曾訪問過的服務(wù)器地址信息�����、所述用戶終端的協(xié)議列表��、所述用戶終端已有連接的行為特征信息����。用戶多維信息表中包括所述用戶多維信息,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系�。
[0238]進一步的,處理器902查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息的過程具體包括:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息�����,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息。
[0239]進一步的�,處理器902在所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息之后,訪問存儲器903后�����,還將執(zhí)行以下指令:如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息�,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息。
[0240]進一步的��,處理器902根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別的過程具體為:判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中�,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者
[0241]判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息�,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中�����,如果是,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�����,如果是����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者
[0242]判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中�,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�����;或者
[0243]判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)�,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中,如果是��,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��。
[0244]進一步的����,處理器902根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息�����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后��,訪問存儲器903后���,還將執(zhí)行以下指令:如果基于所述用于多維信息識別成功,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)�����,并且輸出識別結(jié)果�。
[0245]進一步的,處理器902對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別之后����,訪問存儲器903,并且執(zhí)行指令:如果基于所述數(shù)據(jù)流識別成功��,則對所述數(shù)據(jù)報文進行相應(yīng)的業(yè)務(wù)處理���。
[0246]進一步的��,處理器902基于所述用戶多維信息����,對所述數(shù)據(jù)報文所在連接進行協(xié)議類型識別之后�����,訪問存儲器903�,并且執(zhí)行指令:如果基于所述用戶多維信息識別成功,則進一步判斷所述數(shù)據(jù)報文是否為無法通過特征識別的報文��,如果是�,則進行基于用戶的行為識別統(tǒng)計,并且更新用戶連接數(shù)據(jù)表中的用戶終端已有連接的行為特征信息����。
[0247]由此,本發(fā)明實施例提供的網(wǎng)絡(luò)設(shè)備�����,通過對接收到的數(shù)據(jù)報文根據(jù)用戶終端已有連接的協(xié)議類型進行基于用戶多維信息的協(xié)議類型識別���,可以實現(xiàn)以用戶為單位的業(yè)務(wù)控制�����,并且通過結(jié)合基于用戶多維信息的協(xié)議類型識別和基于數(shù)據(jù)流的協(xié)議類型識別���,可以提高DPI系統(tǒng)的識別準(zhǔn)確率�,提升協(xié)議識別性能����。
[0248]專業(yè)人員應(yīng)該還可以進一步意識到,結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟����,能夠以電子硬件、計算機軟件或者二者的結(jié)合來實現(xiàn)����,為了清楚地說明硬件和軟件的可互換性,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟�����。這些功能究竟以硬件還是軟件方式來執(zhí)行�����,取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能�,但是這種實現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。
[0249]結(jié)合本文中所公開的實施例描述的方法或算法的步驟可以用硬件�、處理器執(zhí)行的軟件模塊��,或者二者的結(jié)合來實施��。軟件模塊可以置于隨機存儲器(RAM)�、內(nèi)存、只讀存儲器(ROM)��、電可編程ROM���、電可擦除可編程ROM�、寄存器����、硬盤、可移動磁盤�����、CD-ROM、或【技術(shù)領(lǐng)域】內(nèi)所公知的任意其它形式的存儲介質(zhì)中��。
[0250]以上所述的【具體實施方式】���,對本發(fā)明的目的�����、技術(shù)方案和有益效果進行了進一步詳細說明�����,所應(yīng)理解的是�����,以上所述僅為本發(fā)明的【具體實施方式】而已����,并不用于限定本發(fā)明的保護范圍�,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改���、等同替換��、改進等����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種協(xié)議類型的識別方法����,其特征在于,所述方法包括: 獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文���; 查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息����; 如果查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息�����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別����; 如果沒有查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所述數(shù)據(jù)報文的報文特征���,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別�。
2.根據(jù)權(quán)利要求1所述的協(xié)議類型的識別方法,其特征在于����,所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息包括: 根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息��。
3.根據(jù)權(quán)利要求2所述的協(xié)議類型的識別方法�����,其特征在于����,在所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息之后,還包括: 如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息�����,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息���。
4.根據(jù)權(quán)利要求1所述的協(xié)議類型的識別方法�,其特征在于�,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息��、所述用戶終端已有連接的用戶終端地址信息����、所述用戶終端曾訪問過的服務(wù)器地址信息����、所述用戶終端的協(xié)議列表、所述用戶終端已有連接的行為特征信息���; 所述用戶多維信息表中包括所述用戶多維信息�,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系���。
5.根據(jù)權(quán)利要求4所述的協(xié)議類型的識別方法,其特征在于����,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別����,包括: 判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中����,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者 判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中,如果是��,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�����,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息��、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者 判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中����,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�;或者 判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù),是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中��,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型。
6.根據(jù)權(quán)利要求1-5任一項所述的協(xié)議類型的識別方法���,其特征在于�,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息��,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后還包括:如果識別成功���,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)��,并且輸出識別結(jié)果����,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型�。
7.根據(jù)權(quán)利要求1-6任一項所述的協(xié)議類型的識別方法��,其特征在于����,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的用戶終端已有連接的協(xié)議類型�,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后還包括:如果識別成功�,則進一步判斷所述數(shù)據(jù)報文是否為通過特征無法識別成功的報文,如果是����,則進行基于用戶的行為識別統(tǒng)計,并且更新所述用戶多維信息表中的用戶終端已有連接的行為特征信息�����。
8.一種協(xié)議類型的識別方法��,其特征在于��,所述方法包括: 獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文����; 根據(jù)所述數(shù)據(jù)報文的報文特征,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別����; 如果基于數(shù)據(jù)流識別不成功,則查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息��; 如果查找到所述用戶終端對應(yīng)的用戶多維信息����,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別��。
9.根據(jù)權(quán)利要求8所述的協(xié)議類型的識別方法�,其特征在于,所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息包括: 根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息�����,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息�。
10.根據(jù)權(quán)利要求9所述的協(xié)議類型的識別方法,其特征在于��,在所述查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息之后����,還包括: 如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息��。
11.根據(jù)權(quán)利要求8所述的協(xié)議類型的識別方法���,其特征在于�����,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息�����、所述用戶終端已有連接的用戶終端地址信息����、所述用戶終端曾訪問過的服務(wù)器地址信息�、所述用戶終端的協(xié)議列表、所述用戶終端已有連接的行為特征信息�����; 所述用戶多維信息表中包括所述用戶多維信息�,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系。
12.根據(jù)權(quán)利要求11所述的協(xié)議類型的識別方法��,其特征在于�,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別���,包括: 判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息�����,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中����,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者 判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中����,如果是,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�����,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者 判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中�����,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型����;或者 判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù),是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中���,如果是�����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�。
13.根據(jù)權(quán)利要求9-12任一項所述的協(xié)議類型的識別方法��,其特征在于��,所述根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息����,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后還包括:如果識別成功��,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)�����,并且輸出識別結(jié)果��,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型��。
14.根據(jù)權(quán)利要求8-13任一項所述的協(xié)議類型的識別方法����,其特征在于��,所述對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別之后還包括:如果基于所述數(shù)據(jù)流識別成功�,則對所述數(shù)據(jù)報文進行相應(yīng)的業(yè)務(wù)處理。
15.根據(jù)權(quán)利要求8-14任一項所述的協(xié)議類型的識別方法��,其特征在于�����,所述對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別之后還包括:如果識別成功����,則進一步判斷所述數(shù)據(jù)報文是否為通過特征無法識別成功的報文��,如果是����,則進行基于用戶的行為識別統(tǒng)計�����,并且更新所述用戶連接數(shù)據(jù)表中的用戶終端已有連接的行為特征信息����。
16.一種協(xié)議類型的識別裝置���,其特征在于�,所述裝置包括: 獲取單元��,用于獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文����; 查找單元,用于查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息�����,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息; 第一處理單元 ����,用于如果查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息��,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別��; 第二處理單元���,用于如果沒有查找到所述用戶終端對應(yīng)的用戶多維信息���,則根據(jù)所述數(shù)據(jù)報文的報文特征,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別���。
17.根據(jù)權(quán)利要求16所述的協(xié)議類型的識別裝置���,其特征在于,所述查找單元具體用于:根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息����,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息。
18.根據(jù)權(quán)利要求17所述的協(xié)議類型的識別裝置����,其特征在于��,所述第二處理單元還用于: 如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息�,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息��。
19.根據(jù)權(quán)利要求16所述的協(xié)議類型的識別裝置�,其特征在于,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息�����、所述用戶終端已有連接的用戶終端地址信息�����、所述用戶終端曾訪問過的服務(wù)器地址信息���、所述用戶終端的協(xié)議列表、所述用戶終端已有連接的行為特征信息��; 所述用戶多維信息表中包括所述用戶多維信息�����,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系。
20.根據(jù)權(quán)利要求19所述的協(xié)議類型的識別裝置����,其特征在于,所述第一處理單元具體用于: 判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息�,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中,如果是���,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型���;或者 判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中�����,如果是�����,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中�����,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息��、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者 判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中,如果是�,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者 判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)����,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中,如果是����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��。
21.根據(jù)權(quán)利要16-20任一項所述的協(xié)議類型的識別裝置�����,其特征在于��,所述第一處理單元還用于:如果識別成功,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)��,并且輸出識別結(jié)果����,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型。
22.根據(jù)權(quán)利要求16-21所述的協(xié)議類型的識別裝置����,其特征在于,所述第一處理單元還用于:如果識別成功����,則進一步判斷所述數(shù)據(jù)報文是否為通過特征無法識別成功的報文,如果是����,則進行基于用戶的行為識別統(tǒng)計,并且更新所述用戶多維信息表中的用戶終端已有連接的行為特征信息�。
23.一種協(xié)議類型的識別裝置,其特征在于���,所述裝置包括: 獲取單元���,用于獲取用戶終端與服務(wù)器之間建立的連接上傳送的數(shù)據(jù)報文�����; 第一處理單元����,用于根據(jù)所述數(shù)據(jù)報文的報文特征�����,對所述數(shù)據(jù)報文所在連接進行基于數(shù)據(jù)流的協(xié)議類型識別����; 查找單元,用于如果基于數(shù)據(jù)流識別不成功�,則查找用戶多維信息表中是否存在所述用戶終端對應(yīng)的用戶多維信息,所述用戶多維信息用于表示用戶終端當(dāng)前已建立的所有連接的信息��; 第二處理單元���,用于如果查找到所述用戶終端對應(yīng)的用戶多維信息,則根據(jù)所獲取的所述用戶多維信息標(biāo)識的所述用戶終端當(dāng)前已建立的所有連接的信息���,對所述數(shù)據(jù)報文所在連接進行基于用戶多維信息的協(xié)議類型識別��。
24.根據(jù)權(quán)利要求23所述的協(xié)議類型的識別裝置��,其特征在于�����,所述查找單元具體用于: 根據(jù)所述數(shù)據(jù)報文中的用戶終端地址信息�,查找所述用戶多維信息表中是否存在與所述用戶終端地址信息對應(yīng)的用戶多維信息。
25.根據(jù)權(quán)利要求24所述的協(xié)議類型的識別裝置���,其特征在于�,所述第二處理單元還用于: 如果所述用戶多維信息表中不存在與所述用戶終端對應(yīng)的用戶多維信息�,則在所述用戶多維信息表中添加所述用戶終端對應(yīng)的用戶多維信息。
26.根據(jù)權(quán)利要求23所述的協(xié)議類型的識別裝置���,其特征在于��,所述用戶終端對應(yīng)的用戶多維信息包括以下信息中的至少一項:所述用戶終端當(dāng)前已有連接對應(yīng)的源IP地址信息和目的IP地址信息�、所述用戶終端已有連接的用戶終端地址信息��、所述用戶終端曾訪問過的服務(wù)器地址信息���、所述用戶終端的協(xié)議列表����、所述用戶終端已有連接的行為特征信息; 所述用戶多維信息表中包括所述用戶多維信息����,以及所述用戶多維信息與用戶終端已有連接的協(xié)議類型的對應(yīng)關(guān)系。
27.根據(jù)權(quán)利要求26所述的協(xié)議類型的識別裝置�����,其特征在于����,所述第二處理單元具體用于: 判斷所述數(shù)據(jù)報文的五元組中的服務(wù)器地址信息,是否包含在所述用戶多維信息表中存儲的所述用戶終端曾訪問過的服務(wù)器地址信息中��,如果是�����,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的服務(wù)器地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者 判斷所述數(shù)據(jù)報文的五元組中的源IP地址信息和目的IP地址信息�,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接對應(yīng)的源IP地址信息和目的IP地址信息中,如果是���,則繼續(xù)判斷所述數(shù)據(jù)報文的特征信息是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中���,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的源IP地址信息����、目的IP地址信息以及行文特征信息都與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型;或者 判斷所述數(shù)據(jù)報文的五元組信息中的用戶終端地址信息���,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的用戶終端地址信息中���,如果是,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的用戶終端地址信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型��;或者 判斷所述數(shù)據(jù)報文以及歷史數(shù)據(jù)報文的行為統(tǒng)計數(shù)據(jù)��,是否包含在所述用戶多維信息表中存儲的用戶終端已有連接的行為特征信息中��,如果是��,則所述數(shù)據(jù)報文所在連接的協(xié)議類型為所述用戶多維信息表中存儲的行為特征信息與所述數(shù)據(jù)報文一致的已有連接對應(yīng)的協(xié)議類型�����。
28.根據(jù)權(quán)利要求23-27任一項所述的協(xié)議類型的識別裝置,其特征在于�����,所述第二處理單元還用于:如果識別成功���,則更新所述用戶多維信息表中的識別結(jié)果數(shù)據(jù)�����,并且輸出識別結(jié)果�����,其中所述識別結(jié)果數(shù)據(jù)為識別出的所述數(shù)據(jù)報文所在連接的協(xié)議類型�。
29.根據(jù)權(quán)利要求23-28任一項所述的協(xié)議類型的識別裝置���,其特征在于�����,所述第一處理單元還用于:如果基于所述數(shù)據(jù)流識別成功����,則對所述數(shù)據(jù)報文進行相應(yīng)的業(yè)務(wù)處理。
30.根據(jù)權(quán)利要求23-29所述的協(xié)議類型的識別裝置��,其特征在于����,所述第二處理單元還用于:如果識別成功�����,則進一步判斷所述數(shù)據(jù)報文是否為通過特征無法識別成功的報文���,如果是�����,則進行基于用戶的行為識別統(tǒng)計����,并且更新所述用戶連接數(shù)據(jù)表中的用戶終端已有連接的行為特征信息���。
【文檔編號】H04L29/06GK103916294SQ201410177705
【公開日】2014年7月9日 申請日期:2014年4月29日 優(yōu)先權(quán)日:2014年4月29日
【發(fā)明者】潘能毅 申請人:華為技術(shù)有限公司