一種網(wǎng)絡(luò)流量的識(shí)別方法及裝置制造方法
【專利摘要】本申請(qǐng)?zhí)峁┝艘环N網(wǎng)絡(luò)流量的識(shí)別方法及裝置����,方法包括:對(duì)獲取到的待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別,確定出傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議�,并且,在待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口�,在預(yù)設(shè)流表中查找該IP地址及端口,若查找到���,將該IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用�,若未查找到,將待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與預(yù)設(shè)特征庫中的特征關(guān)鍵詞進(jìn)行匹配���,匹配成功時(shí)����,將特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用����。與現(xiàn)有技術(shù)相比,本申請(qǐng)不僅預(yù)先設(shè)置流表及特征庫��,可以準(zhǔn)確識(shí)別應(yīng)用層協(xié)議��,而且�,流表及特征庫記錄有與應(yīng)用的對(duì)應(yīng)關(guān)系,能夠確定應(yīng)用類型���,識(shí)別結(jié)果更加全面�。
【專利說明】一種網(wǎng)絡(luò)流量的識(shí)別方法及裝置
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及網(wǎng)絡(luò)流量識(shí)別【技術(shù)領(lǐng)域】�����,尤其是一種可以準(zhǔn)確并全面地識(shí)別網(wǎng)絡(luò)流量使用的協(xié)議及應(yīng)用的識(shí)別方法及裝置��。
【背景技術(shù)】
[0002]OSI (Open System Interconnect1n)網(wǎng)絡(luò)協(xié)議包括七層�����,依次為物理層���、數(shù)據(jù)鏈路層�����、網(wǎng)絡(luò)層��、傳輸層�、會(huì)話層����、表示層及應(yīng)用層。其中���,數(shù)據(jù)鏈路層���、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層各自包含多種網(wǎng)絡(luò)協(xié)議�,是網(wǎng)絡(luò)流量分析時(shí)的重要研宄對(duì)象��。具體地����,網(wǎng)絡(luò)流量分析即識(shí)別網(wǎng)絡(luò)數(shù)據(jù)包使用到的網(wǎng)絡(luò)協(xié)議���。
[0003]目前���,網(wǎng)絡(luò)流量的識(shí)別方法是在數(shù)據(jù)包中的某些特定字段中提取字段值,利用國際規(guī)定的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)對(duì)字段值進(jìn)行識(shí)別����,該種識(shí)別方式識(shí)別準(zhǔn)確率低且識(shí)別結(jié)果不全面。
【發(fā)明內(nèi)容】
[0004]有鑒于此��,本發(fā)明提供了一種網(wǎng)絡(luò)流量的識(shí)別方法及裝置��,用以解決現(xiàn)有的識(shí)別方法準(zhǔn)確率低且識(shí)別結(jié)果不全面的技術(shù)問題��。為實(shí)現(xiàn)所述目的����,本發(fā)明提供的技術(shù)方案如下:
[0005]一種網(wǎng)絡(luò)流量的識(shí)別方法,包括:
[0006]獲取待識(shí)別數(shù)據(jù)包�;
[0007]對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別�����,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議;
[0008]在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口 ���;
[0009]在預(yù)設(shè)流表中查找所述IP地址及端口 ���;
[0010]當(dāng)查找到時(shí),將查找到的所述IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用����;
[0011]當(dāng)未查找到時(shí),將所述待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與預(yù)設(shè)特征庫中的特征關(guān)鍵詞進(jìn)行匹配����;
[0012]當(dāng)匹配成功時(shí),將匹配成功的特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用�����。
[0013]優(yōu)選地����,當(dāng)匹配成功時(shí)���,還包括:
[0014]將所述IP地址及端口添加至所述預(yù)設(shè)流表中。
[0015]優(yōu)選地�����,所述對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別���,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議包括:
[0016]利用預(yù)設(shè)協(xié)議樹對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別��,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議�����。
[0017]優(yōu)選地����,所述在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口包括:
[0018]在所述待識(shí)別數(shù)據(jù)包的頭部中提取同一端的IP地址及端口 ���;其中��,所述同一端為發(fā)送端或接收端�����;或�,
[0019]在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及任意一端的端口 ;或�����,
[0020]在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及兩端的端口����。
[0021]本申請(qǐng)還提供了一種網(wǎng)絡(luò)流量的識(shí)別裝置��,包括:
[0022]數(shù)據(jù)包獲取單元�,用于獲取待識(shí)別數(shù)據(jù)包;
[0023]網(wǎng)絡(luò)協(xié)議確定單元����,用于對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議����;
[0024]IP地址端口獲取單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口 �����;
[0025]IP地址端口查找單元,用于在預(yù)設(shè)流表中查找所述IP地址及端口 �;
[0026]第一協(xié)議及應(yīng)用確定單元,用于當(dāng)查找到時(shí)�����,將查找到的所述IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用����;
[0027]負(fù)載數(shù)據(jù)匹配單元,用于當(dāng)未查找到時(shí)����,將所述待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與預(yù)設(shè)特征庫中的特征關(guān)鍵詞進(jìn)行匹配;
[0028]第二協(xié)議及應(yīng)用確定單元�,用于當(dāng)匹配成功時(shí),將匹配成功的特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用����。
[0029]優(yōu)選地,還包括:
[0030]流表添加單元���,用于當(dāng)匹配成功時(shí)����,將所述IP地址及端口添加至所述預(yù)設(shè)流表中。
[0031]優(yōu)選地���,所述網(wǎng)絡(luò)協(xié)議確定單元包括:
[0032]網(wǎng)絡(luò)協(xié)議確定子單元����,利用預(yù)設(shè)協(xié)議樹對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別���,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議���。
[0033]優(yōu)選地�,所述IP地址端口獲取單元包括:
[0034]第一 IP地址端口獲取子單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取同一端的IP地址及端口 �;其中,所述同一端為發(fā)送端或接收端����;
[0035]第二 IP地址端口獲取子單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及任意一端的端口����;
[0036]第三IP地址端口獲取子單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及兩端的端口����。
[0037]本發(fā)明提供了一種網(wǎng)絡(luò)流量的識(shí)別方法及裝置�,該方法包括:對(duì)獲取到的待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別�,可以確定出待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議,另外����,在待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口,并在預(yù)設(shè)流表中查找該IP地址及端口�,當(dāng)查找到時(shí),將該IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議確定為待識(shí)別數(shù)據(jù)包應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議��,并且將該IP地址及端口對(duì)應(yīng)的應(yīng)用確定為待識(shí)別數(shù)據(jù)包應(yīng)用層使用的應(yīng)用類型���,當(dāng)未查找到時(shí)���,將待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與預(yù)設(shè)特征庫中的特征關(guān)鍵詞進(jìn)行匹配,若匹配成功��,則將該特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為該待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用���。與現(xiàn)有技術(shù)相比���,一方面���,本發(fā)明中預(yù)先設(shè)置有流表及特征庫,流表及特征庫是根據(jù)檢測(cè)到的大量數(shù)據(jù)包生成的��,可以真實(shí)反映數(shù)據(jù)包的應(yīng)用層協(xié)議使用的端口��,因此利用流表及特征庫可以準(zhǔn)確識(shí)別應(yīng)用層協(xié)議����,另一方面,流表及特征庫中記錄有與應(yīng)用的對(duì)應(yīng)關(guān)系��,因此能夠確定出待識(shí)別數(shù)據(jù)包使用的應(yīng)用類型��,識(shí)別結(jié)果更加全面�����。
【專利附圖】
【附圖說明】
[0038]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹���,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)提供的附圖獲得其他的附圖�����。
[0039]圖1為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別方法的流程圖�����;
[0040]圖2為本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別方法的流程圖����;
[0041]圖3為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別裝置的結(jié)構(gòu)示意圖;
[0042]圖4為本發(fā)明另一實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別裝置的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0043]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述���,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例��?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。
[0044]參見圖1�����,其示出了本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別方法�,具體包括以下步驟:
[0045]步驟SlOl:獲取待識(shí)別數(shù)據(jù)包。
[0046]本實(shí)施例中�����,首先抓取網(wǎng)絡(luò)中的數(shù)據(jù)包�,將抓取到的數(shù)據(jù)包作為待識(shí)別數(shù)據(jù)包。
[0047]步驟S102:對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別�����,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議��。
[0048]其中�����,待識(shí)別數(shù)據(jù)包包括頭部及負(fù)載兩部分�。通常,從頭部中的字段可以判斷出傳輸層及網(wǎng)絡(luò)層使用的網(wǎng)絡(luò)協(xié)議�����。對(duì)待識(shí)別數(shù)據(jù)包的負(fù)載部分解封裝后����,獲得數(shù)據(jù)幀�����,根據(jù)數(shù)據(jù)幀的幀頭部格式及幀頭部中的類型字段可以判斷出數(shù)據(jù)鏈路層使用的網(wǎng)絡(luò)協(xié)議���。當(dāng)然,還可以是現(xiàn)有技術(shù)中的其他識(shí)別方法�����,本發(fā)明并不做具體限定�����。
[0049]例如�,當(dāng)待識(shí)別數(shù)據(jù)包的版本號(hào)字段為0100時(shí)表明網(wǎng)絡(luò)層使用的是IPV4,版本號(hào)字段為0110時(shí)表明網(wǎng)絡(luò)層使用的是IPV6 ;當(dāng)待識(shí)別數(shù)據(jù)包的協(xié)議字段為6時(shí)���,表明傳輸層使用的是TCP�,協(xié)議字段為17時(shí)���,傳輸層使用的是UDP�����,協(xié)議字段為I時(shí)�,傳輸層使用的是ICMP�����。數(shù)據(jù)鏈路層使用的可能是IEEE802.3或無線傳輸協(xié)議等��。
[0050]步驟S103:在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口��。
[0051]其中���,待識(shí)別數(shù)據(jù)包的頭部中不僅包含端口信息�,還包括IP地址信息?,F(xiàn)有技術(shù)中僅僅提取端口信息,利用單一的端口信息對(duì)應(yīng)用層使用的協(xié)議進(jìn)行識(shí)別����,然而�����,本發(fā)明實(shí)施例不僅提取端口,而且提取IP地址��,利用兩者進(jìn)行判斷,識(shí)別結(jié)果更加全面�����。識(shí)別過程參見下述步驟S104及步驟S105��。
[0052]步驟S104:在預(yù)設(shè)流表中查找所述IP地址及端口���。
[0053]本實(shí)施例中��,預(yù)先設(shè)置有流表�����,流表中存儲(chǔ)有會(huì)話信息-網(wǎng)絡(luò)協(xié)議及應(yīng)用的對(duì)應(yīng)關(guān)系����,即每一個(gè)會(huì)話信息對(duì)應(yīng)一個(gè)網(wǎng)絡(luò)協(xié)議及應(yīng)用����,且不同的會(huì)話信息對(duì)應(yīng)不同的網(wǎng)絡(luò)協(xié)議及應(yīng)用。其中��,網(wǎng)絡(luò)協(xié)議為應(yīng)用層協(xié)議,如HTTP協(xié)議����、FTP協(xié)議或者TELNET協(xié)議等;應(yīng)用指的是具體的應(yīng)用程序����,例如�,百度、新浪�、迅雷、樂視等���。
[0054]流表可以是通過對(duì)大量的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)生成的���,監(jiān)測(cè)過程中記錄數(shù)據(jù)包使用的應(yīng)用以及每一個(gè)應(yīng)用使用的應(yīng)用層層協(xié)議,將應(yīng)用及應(yīng)用層協(xié)議結(jié)合起來�,并記錄應(yīng)用及應(yīng)用層協(xié)議對(duì)應(yīng)的會(huì)話信息。會(huì)話信息指的是IP地址及端口�����。其中�,地址及端口可以是源IP地址、源端口、目標(biāo)IP地址及目標(biāo)端口����。需要說明的是,流表中記錄的對(duì)應(yīng)關(guān)系并非完全依照國際規(guī)定��,是從實(shí)際的通信數(shù)據(jù)包中監(jiān)測(cè)到的�����,因此能真實(shí)反映數(shù)據(jù)包實(shí)際使用的應(yīng)用層協(xié)議及應(yīng)用類型�����。
[0055]需要說明的是�,流表中的會(huì)話信息中包括IP地址,IP地址與應(yīng)用之間可能存在唯一的對(duì)應(yīng)關(guān)系����,例如,新浪網(wǎng)站的IP地址為218.30.13.36��。因此�����,流表中需要記錄IP地址,進(jìn)而在待識(shí)別數(shù)據(jù)包中需要提取IP地址����。
[0056]步驟S105:當(dāng)查找到時(shí),將查找到的所述IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用���。
[0057]其中�����,若在流表中能查找到待識(shí)別數(shù)據(jù)包的IP地址及端口,將查找到的該IP地址及端口對(duì)應(yīng)的數(shù)據(jù)確定為待識(shí)別數(shù)據(jù)包的應(yīng)用層所使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用����。綜合來看,步驟SlOl可以確定出待識(shí)別數(shù)據(jù)包傳輸層及其以下各層的網(wǎng)絡(luò)協(xié)議�,步驟S105可以確定出待識(shí)別數(shù)據(jù)包應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議以及應(yīng)用層具體使用到的應(yīng)用類型。
[0058]步驟S106:當(dāng)未查找到時(shí)���,將所述待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與預(yù)設(shè)特征庫中的特征關(guān)鍵詞進(jìn)行匹配�����;當(dāng)匹配成功時(shí)�����,將匹配成功的特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用�。
[0059]本實(shí)施例中,預(yù)先設(shè)置有特征庫���,該特征庫中預(yù)先存儲(chǔ)有特征關(guān)鍵詞-網(wǎng)絡(luò)協(xié)議及應(yīng)用的對(duì)應(yīng)關(guān)系����,即每組特征關(guān)鍵詞與每一個(gè)網(wǎng)絡(luò)協(xié)議及應(yīng)用對(duì)應(yīng)��,且不同組的特征關(guān)鍵詞與不同的網(wǎng)絡(luò)協(xié)議及應(yīng)用對(duì)應(yīng)���。
[0060]需要說明的是��,一組特征關(guān)鍵詞中可以包括一個(gè)或多個(gè)特征詞��。例如��,特征關(guān)鍵詞包括“GET����、URL�、sina���、HTTP/1.1”,該組特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議為HTTP����,對(duì)應(yīng)的應(yīng)用為新浪。將待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與每組關(guān)鍵詞進(jìn)行匹配�,當(dāng)與某組特征關(guān)鍵詞匹配成功時(shí),則將該組特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為應(yīng)用層的網(wǎng)絡(luò)協(xié)議及應(yīng)用層使用的應(yīng)用類型�。
[0061]可選地,為了提高比對(duì)效率����,并一定將全部的負(fù)載數(shù)據(jù)與特征庫中的特征關(guān)鍵詞進(jìn)行比對(duì)�,可以是負(fù)載數(shù)據(jù)的第一行數(shù)據(jù)。因?yàn)?��,?fù)載數(shù)據(jù)中的第一行往往記錄的是協(xié)議����、域名���、IP地址等���。
[0062]現(xiàn)有技術(shù)中��,識(shí)別應(yīng)用層的協(xié)議時(shí)�����,僅僅使用源端口或者目標(biāo)端口�,即按照國際規(guī)定���,將端口對(duì)應(yīng)的協(xié)議識(shí)別為待識(shí)別數(shù)據(jù)包應(yīng)用層使用的協(xié)議�����。例如����,端口使用的是80端口�,則認(rèn)為應(yīng)用層使用的HTTP協(xié)議,若使用的是20或21端口����,則認(rèn)為應(yīng)用層使用的是FTP協(xié)議。
[0063]然而��,在當(dāng)今的網(wǎng)絡(luò)通信過程中,一部分?jǐn)?shù)據(jù)包并不符合上述國際規(guī)定����。如,為了繞過防火墻���,大量的非HTTP協(xié)議的數(shù)據(jù)包會(huì)使用80端口 �;又如�,為了在同一臺(tái)服務(wù)器上架設(shè)多個(gè)不同的網(wǎng)站,也會(huì)使用8000端口或8080端口發(fā)送HTTP協(xié)議的數(shù)據(jù)包���;再如���,基于P2P協(xié)議的各種應(yīng)用,會(huì)隨機(jī)使用不同的端口��。面對(duì)這些并未按照國際規(guī)定使用端口的情況�����,利用現(xiàn)有技術(shù)中的識(shí)別方法識(shí)別應(yīng)用層協(xié)議����,識(shí)別結(jié)果不準(zhǔn)確。
[0064]并且��,現(xiàn)有技術(shù)中的識(shí)別方法只能確定出應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議�,并不能更具體地確定出使用的哪一種應(yīng)用,識(shí)別結(jié)果不全面�。
[0065]本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別方法,對(duì)獲取到的待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別���,可以確定出待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議�����,并且�,在待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口��,并在預(yù)設(shè)流表中查找該IP地址及端口�����,當(dāng)查找到時(shí)��,將該IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議確定為待識(shí)別數(shù)據(jù)包應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議���,并且將該IP地址及端口對(duì)應(yīng)的應(yīng)用確定為待識(shí)別數(shù)據(jù)包應(yīng)用層使用的應(yīng)用類型��,與現(xiàn)有技術(shù)相比���,一方面��,本實(shí)施例中預(yù)先設(shè)置有流表及特征庫��,是檢測(cè)大量的數(shù)據(jù)包生成的���,可以真實(shí)反映數(shù)據(jù)包的應(yīng)用層協(xié)議使用的端口,因此利用流表及特征庫可以準(zhǔn)確識(shí)別應(yīng)用層協(xié)議���,另一方面����,流表及特征庫中記錄有與應(yīng)用的對(duì)應(yīng)關(guān)系�,因此能夠確定出待識(shí)別數(shù)據(jù)包使用的應(yīng)用類型,識(shí)別結(jié)果更加全面�����。
[0066]另外�����,上述流表可以包括兩個(gè)��,分別為TCP流表及UDP流表��,分別存儲(chǔ)傳輸層為TCP協(xié)議或UDP協(xié)議各自對(duì)應(yīng)的數(shù)據(jù)�����,數(shù)據(jù)即會(huì)話信息-網(wǎng)絡(luò)協(xié)議及應(yīng)用的對(duì)應(yīng)關(guān)系��。
[0067]在實(shí)際的網(wǎng)絡(luò)流量的識(shí)別過程中����,可能由于流表記錄的數(shù)據(jù)量的限制,在流表中無法查找到待識(shí)別數(shù)據(jù)包的IP地址及端口�����,面對(duì)這種情況���,本發(fā)明另一實(shí)施例提供了網(wǎng)絡(luò)流量的識(shí)別方法�����,具體地���,如圖2所示����,該識(shí)別方法在上述實(shí)施例的基礎(chǔ)上�����,還包括:
[0068]步驟S107:將IP地址及端口添加至預(yù)設(shè)流表中�����。
[0069]其中��,當(dāng)待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與特征庫中的特征關(guān)鍵詞比對(duì)成功時(shí)�����,還可以將IP地址及端口添加至預(yù)設(shè)流表中��,這樣��,當(dāng)后續(xù)的數(shù)據(jù)包利用流表進(jìn)行識(shí)別時(shí)���,識(shí)別成功率更高����,從而提高了后續(xù)數(shù)據(jù)包的識(shí)別效率�����。
[0070]在上述實(shí)施例中�����,將待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與每組關(guān)鍵詞進(jìn)行匹配���,當(dāng)未與某組特征關(guān)鍵詞匹配成功時(shí)���,說明匹配失敗,輸出失敗信息���。
[0071]可選地�,上述各個(gè)實(shí)施例中的步驟S102對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別�����,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議的具體實(shí)現(xiàn)方式可以是:
[0072]利用預(yù)設(shè)協(xié)議樹對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議���。
[0073]需要說明的是�����,預(yù)設(shè)協(xié)議樹可以是現(xiàn)有技術(shù)中的任意一種協(xié)議樹�����,該協(xié)議樹包括一個(gè)根節(jié)點(diǎn)及與該根節(jié)點(diǎn)具有一定層次關(guān)系的其他節(jié)點(diǎn)�����,每個(gè)節(jié)點(diǎn)表示一個(gè)協(xié)議���,從根節(jié)點(diǎn)到其他節(jié)點(diǎn)的推導(dǎo)路徑上分別包含若干個(gè)匹配條件,將待識(shí)別數(shù)據(jù)包與協(xié)議樹中確定的匹配條件進(jìn)行匹配����,根據(jù)匹配結(jié)果分層查找對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議。更詳細(xì)的識(shí)別過程可以參照現(xiàn)有技術(shù)中的協(xié)議樹識(shí)別方法��。
[0074]可選地��,上述的步驟S103在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口的具體實(shí)現(xiàn)方式可以是下述三種方式中的任意一種,即:
[0075]在所述待識(shí)別數(shù)據(jù)包的頭部中提取同一端的IP地址及端口 �����;其中����,所述同一端為發(fā)送端或接收端���;或���,在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及任意一端的端口 ;或���,在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及兩端的端口�����。
[0076]其中�,發(fā)送端也就是源端�����,接收端也就是目的端。流表中記錄的會(huì)話信息中包括的是源端IP地址���、源端端口����、目的端IP地址及目的端端口��。因此�����,可以在待識(shí)別數(shù)據(jù)包中提取四個(gè)參數(shù)中的兩個(gè)����、三個(gè)或四個(gè)進(jìn)行識(shí)別。當(dāng)然�����,為了提高識(shí)別準(zhǔn)確度���,在提取兩個(gè)參數(shù)時(shí)���,提取的是同一端的IP地址及端口���,在提取三個(gè)參數(shù)時(shí),提取的是發(fā)送端的IP地址��、接收端的IP地址及任意一端的端口���。
[0077]下面對(duì)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別裝置進(jìn)行介紹�����,需要說明的是,有關(guān)下文的網(wǎng)絡(luò)流量的識(shí)別裝置的說明可參照上文的網(wǎng)絡(luò)流量的識(shí)別方法�����,以下并不做贅述���。
[0078]參照?qǐng)D3�,其示出了本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別裝置的結(jié)構(gòu)�,具體包括:數(shù)據(jù)包獲取單元100、網(wǎng)絡(luò)協(xié)議確定單元200��、IP地址端口獲取單元300��、IP地址端口查找單元400、第一協(xié)議及應(yīng)用確定單元500�����、負(fù)載數(shù)據(jù)匹配單元600及第二協(xié)議及應(yīng)用確定單元700�。其中:
[0079]數(shù)據(jù)包獲取單元100,用于獲取待識(shí)別數(shù)據(jù)包�;
[0080]網(wǎng)絡(luò)協(xié)議確定單元200,用于對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別��,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議�����;
[0081]IP地址端口獲取單元300���,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端P ;
[0082]IP地址端口查找單元400�����,用于在預(yù)設(shè)流表中查找所述IP地址及端口 �;
[0083]第一協(xié)議及應(yīng)用確定單元500�����,用于當(dāng)查找到時(shí),將查找到的所述IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用����。
[0084]負(fù)載數(shù)據(jù)匹配單元600,用于當(dāng)未查找到時(shí)�,將所述待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與預(yù)設(shè)特征庫中的特征關(guān)鍵詞進(jìn)行匹配。
[0085]第二協(xié)議及應(yīng)用確定單元700����,用于當(dāng)匹配成功時(shí),將匹配成功的特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用��。
[0086]本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量的識(shí)別裝置���,網(wǎng)絡(luò)協(xié)議確定單元200對(duì)獲取到的待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別,可以確定出待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議�,并且,IP地址端口獲取單元300在待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口���,IP地址端口查找單元400在預(yù)設(shè)流表中查找該IP地址及端口����,當(dāng)查找到時(shí)�����,第一協(xié)議及應(yīng)用確定單元500將該IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議確定為待識(shí)別數(shù)據(jù)包應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議,并且將該IP地址及端口對(duì)應(yīng)的應(yīng)用確定為待識(shí)別數(shù)據(jù)包應(yīng)用層使用的應(yīng)用類型�����,與現(xiàn)有技術(shù)相比��,一方面���,本實(shí)施例中預(yù)先設(shè)置有流表及特征庫�,是檢測(cè)大量的數(shù)據(jù)包生成的�����,可以真實(shí)反映數(shù)據(jù)包的應(yīng)用層協(xié)議使用的端口�����,因此利用流表及特征庫可以準(zhǔn)確識(shí)別應(yīng)用層協(xié)議��,另一方面���,流表及特征庫中記錄有與應(yīng)用的對(duì)應(yīng)關(guān)系�����,因此能夠確定出待識(shí)別數(shù)據(jù)包使用的應(yīng)用類型�,識(shí)別結(jié)果更加全面。
[0087]可選地�����,如圖4所示���,上述的網(wǎng)絡(luò)流量的識(shí)別裝置還包括:
[0088]流表添加單元800�,用于當(dāng)匹配成功時(shí)���,將所述IP地址及端口添加至所述預(yù)設(shè)流表中����。
[0089]可選地���,所述網(wǎng)絡(luò)協(xié)議確定單元200包括:
[0090]網(wǎng)絡(luò)協(xié)議確定子單元,利用預(yù)設(shè)協(xié)議樹對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別�����,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議。
[0091]可選地�,所述IP地址端口獲取單元300包括:
[0092]第一 IP地址端口獲取子單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取同一端的IP地址及端口 ��;其中��,所述同一端為發(fā)送端或接收端�;
[0093]第二 IP地址端口獲取子單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及任意一端的端口����;
[0094]第三IP地址端口獲取子單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及兩端的端口�����。
[0095]需要說明的是�,本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處�,各個(gè)實(shí)施例之間相同相似的部分互相參見即可。
[0096]還需要說明的是���,在本文中���,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來��,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序��。而且����,術(shù)語“包括”����、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程����、方法、物品或者設(shè)備不僅包括那些要素�,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程���、方法���、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下�����,由語句“包括一個(gè)......”限定的要素�,并不排除在包括上述要素的過程、方法��、物品或者設(shè)備中還存在另外的相同要素���。
[0097]對(duì)所公開的實(shí)施例的上述說明��,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明�����。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的���,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)�����。因此��,本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例��,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)流量的識(shí)別方法���,其特征在于�,包括: 獲取待識(shí)別數(shù)據(jù)包�; 對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議����; 在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口 ; 在預(yù)設(shè)流表中查找所述IP地址及端口 �����; 當(dāng)查找到時(shí)�,將查找到的所述IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用; 當(dāng)未查找到時(shí)��,將所述待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與預(yù)設(shè)特征庫中的特征關(guān)鍵詞進(jìn)行匹配��; 當(dāng)匹配成功時(shí)���,將匹配成功的特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用�。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量的識(shí)別方法�����,其特征在于,當(dāng)匹配成功時(shí)����,還包括: 將所述IP地址及端口添加至所述預(yù)設(shè)流表中���。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量的識(shí)別方法���,其特征在于,所述對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別���,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議包括: 利用預(yù)設(shè)協(xié)議樹對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別���,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量的識(shí)別方法��,其特征在于���,所述在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口包括: 在所述待識(shí)別數(shù)據(jù)包的頭部中提取同一端的IP地址及端口 ����;其中,所述同一端為發(fā)送端或接收端����;或, 在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及任意一端的端口 �;或, 在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及兩端的端口�����。
5.一種網(wǎng)絡(luò)流量的識(shí)別裝置�,其特征在于,包括: 數(shù)據(jù)包獲取單元���,用于獲取待識(shí)別數(shù)據(jù)包���; 網(wǎng)絡(luò)協(xié)議確定單元,用于對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別���,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議���; IP地址端口獲取單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取IP地址及端口 ; IP地址端口查找單元���,用于在預(yù)設(shè)流表中查找所述IP地址及端口 �����; 第一協(xié)議及應(yīng)用確定單元�����,用于當(dāng)查找到時(shí),將查找到的所述IP地址及端口對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用���; 負(fù)載數(shù)據(jù)匹配單元�����,用于當(dāng)未查找到時(shí)��,將所述待識(shí)別數(shù)據(jù)包中的負(fù)載數(shù)據(jù)與預(yù)設(shè)特征庫中的特征關(guān)鍵詞進(jìn)行匹配�; 第二協(xié)議及應(yīng)用確定單元���,用于當(dāng)匹配成功時(shí)����,將匹配成功的特征關(guān)鍵詞對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議及應(yīng)用確定為所述待識(shí)別數(shù)據(jù)包的應(yīng)用層使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)流量的識(shí)別裝置��,其特征在于���,還包括: 流表添加單元��,用于當(dāng)匹配成功時(shí)�,將所述IP地址及端口添加至所述預(yù)設(shè)流表中����。
7.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)流量的識(shí)別裝置,其特征在于���,所述網(wǎng)絡(luò)協(xié)議確定單元包括: 網(wǎng)絡(luò)協(xié)議確定子單元����,利用預(yù)設(shè)協(xié)議樹對(duì)所述待識(shí)別數(shù)據(jù)包的頭部進(jìn)行識(shí)別����,以確定所述待識(shí)別數(shù)據(jù)包的傳輸層及其以下各層分別使用的網(wǎng)絡(luò)協(xié)議。
8.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)流量的識(shí)別裝置����,其特征在于���,所述IP地址端口獲取單元包括: 第一 IP地址端口獲取子單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取同一端的IP地址及端口 �;其中,所述同一端為發(fā)送端或接收端�; 第二 IP地址端口獲取子單元,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及任意一端的端口��; 第三IP地址端口獲取子單元�,用于在所述待識(shí)別數(shù)據(jù)包的頭部中提取兩端的IP地址及兩端的端口。
【文檔編號(hào)】H04L12/801GK104486161SQ201410804491
【公開日】2015年4月1日 申請(qǐng)日期:2014年12月22日 優(yōu)先權(quán)日:2014年12月22日
【發(fā)明者】羅鷹, 伍宏寧, 林康, 侯勇軍 申請(qǐng)人:成都科來軟件有限公司