專利名稱:基于特征庫(kù)的流量識(shí)別方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在通信網(wǎng)絡(luò)中精確流量識(shí)別的方法����,尤其涉及一 種針對(duì)通信網(wǎng)絡(luò)中應(yīng)用特征經(jīng)常變化的特點(diǎn)��,靈活利用應(yīng)用特征庫(kù)實(shí) 現(xiàn)精確流量識(shí)別方法�。屬于網(wǎng)絡(luò)協(xié)議分析技術(shù)領(lǐng)域。
背景技術(shù):
隨著Internet帶寬的增加���,網(wǎng)絡(luò)的應(yīng)用種類越來多����。新業(yè)務(wù)的 出現(xiàn),極大地促進(jìn)了網(wǎng)絡(luò)的發(fā)展����,但同時(shí)也改變了已有的網(wǎng)絡(luò)流量模 型,給網(wǎng)絡(luò)管理���、流量監(jiān)測(cè)提出了新的挑戰(zhàn)。對(duì)于流量識(shí)別方法的研 究���,有助于幫助管理員了解網(wǎng)絡(luò)中承栽的流量分布情況����,進(jìn)一步了解 應(yīng)用流量的增長(zhǎng)對(duì)網(wǎng)絡(luò)性能的影響����,協(xié)助更好地對(duì)網(wǎng)絡(luò)進(jìn)行規(guī)劃設(shè) 計(jì)。同時(shí)���,可以探索對(duì)不同業(yè)務(wù)的QoS需求以及新的計(jì)費(fèi)模式.
當(dāng)前Internet中的流量依據(jù)應(yīng)用的不同可以分成不同類別�,如 表1所示
表l Internet應(yīng)用分類
應(yīng)用分類應(yīng)用舉例
網(wǎng)頁(yè)瀏覽HTTP
下載FTP
流媒體RTP
VoIPSIP、 H. 323
P2PBT��、 eDonkey
網(wǎng)絡(luò)游戲WOW
電子郵件SMTP�、 P0P3
即時(shí)通訊QQ、 MSN
流量識(shí)別����,就是將數(shù)據(jù)包與產(chǎn)生該數(shù)據(jù)包的應(yīng)用對(duì)應(yīng)起來的過 程。現(xiàn)有技術(shù)中的流量識(shí)別方法�����,根據(jù)識(shí)別所依據(jù)信息的不同可分為
三種其一是基于端口的流量識(shí)別方法�、其二是基于特征的流量識(shí)別 方法、其三是基于協(xié)議流程分析的流量識(shí)別方法��?���;诙丝诘牧髁孔R(shí)別方法是最簡(jiǎn)單的流量識(shí)別方法,其原理是檢 查報(bào)文分組的傳輸信息��,如果端口號(hào)與某些特定的端口號(hào)匹配���,則該 報(bào)文即為該應(yīng)用流量分組����,可以按照預(yù)設(shè)的動(dòng)作對(duì)其進(jìn)行處理。特定
的端口號(hào)主要是IANA分配的一些著名端口(wel卜knownport ),如21 (FTP)���、 23 ( Telnet )�����、 25 ( SMTP )��、 110 ( POP )�����、 80 ( HTTP )。這種 方法筒單����,開銷很小,易實(shí)現(xiàn)�、但最大的缺點(diǎn)是不準(zhǔn)確,尤其是對(duì)一 些新的應(yīng)用���,如P2P�����、流媒體等應(yīng)用��。這些新應(yīng)用為了能夠穿透防火 墻�,防止被阻斷,通常不采用靜態(tài)的端口��,而是動(dòng)態(tài)分配端口��。
基于特征的流量識(shí)別方法是根據(jù)不同應(yīng)用表現(xiàn)的不同特征 (Signature)來識(shí)別數(shù)據(jù)包所對(duì)應(yīng)的應(yīng)用����。特征可以是報(bào)文中的特 征字符串,也可以是應(yīng)用行為特征�����,或者是一些統(tǒng)計(jì)特性�����。
特征字符串識(shí)別是通過檢查分組內(nèi)部攜帶的負(fù)載信息進(jìn)行分組 識(shí)別的方法�����。即對(duì)常見的網(wǎng)絡(luò)用協(xié)議的特征進(jìn)行分析,提取特征信息�, 根據(jù)特征信息對(duì)報(bào)文進(jìn)行模式匹配對(duì)比,從而判斷出該報(bào)文是否屬于 某一類網(wǎng)絡(luò)應(yīng)用�����。對(duì)于私有協(xié)議�,可以采用逆向工程的方法。
應(yīng)用行為特征識(shí)別則主要用于識(shí)別P2P和流媒體等新應(yīng)用�,例 如,通過觀察源和目的IP地址的連接模式��,可以發(fā)現(xiàn)一些模式是P2P 所獨(dú)有的�����,由此可以將P2P流量識(shí)別出來�。大約2/3的P2P協(xié)議同時(shí) 使用TCP和UDP協(xié)議���,而其他應(yīng)用中同時(shí)使用兩種協(xié)議的僅僅包括 NetBIOS����、視頻等少數(shù)應(yīng)用。另外�����,當(dāng)某一P2P主機(jī)和其它主機(jī)建立 連接時(shí)��,對(duì)端口而言�,與其建立連接的IP地址數(shù)目就等于與其建立 連接的不同端口數(shù)目。對(duì)這兩種特殊模式的掃描追蹤����,就能識(shí)別出 P2P應(yīng)用。
相對(duì)于端口識(shí)別和特征字符串識(shí)別��,應(yīng)用行為特征的識(shí)別需M 更多的分析����。只有在系統(tǒng)收集到了足夠的數(shù)據(jù),經(jīng)過了很長(zhǎng)時(shí)間的智 能模型建立����,才能非常有效的進(jìn)行識(shí)別。
基于統(tǒng)計(jì)特性的識(shí)別方法在實(shí)時(shí)流量識(shí)別應(yīng)用存在困難�。
根據(jù)特征分析識(shí)別方法的問題是擴(kuò)展性差,需要大量的事前分析 來確定排他特征���。
對(duì)于一些新業(yè)務(wù)�����,如流媒體應(yīng)用�����,還可以采用基于協(xié)議流程分析 的流量識(shí)別方法�。 一般一個(gè)完整的流程會(huì)涉及到多個(gè)會(huì)話,即控制會(huì)話和動(dòng)態(tài)會(huì)話�。 一個(gè)會(huì)話(Session)是指用戶間的數(shù)據(jù)交換過程。 通過控制會(huì)話建立連接�����、協(xié)商數(shù)據(jù)傳輸參數(shù)��、啟動(dòng)和撤銷傳輸�����。不同 于使用固定端口或默認(rèn)端口的應(yīng)用����,動(dòng)態(tài)會(huì)話的端口 、協(xié)i義信息是在 控制會(huì)話中動(dòng)態(tài)協(xié)商的���。協(xié)議流程分析方法是才艮據(jù)構(gòu)成一次應(yīng)用的多 個(gè)會(huì)話之間的關(guān)聯(lián)關(guān)系��,從控制會(huì)話中提取動(dòng)態(tài)會(huì)話信息�,根據(jù)這些 信息來識(shí)別該應(yīng)用涉及的動(dòng)態(tài)會(huì)話��。
基于協(xié)議流程分析的識(shí)別方法�����,對(duì)控制協(xié)議的識(shí)別效率和準(zhǔn)確率 直接影響到最終的識(shí)別效果�����。
流量識(shí)別技術(shù)有如下要求
>準(zhǔn)確�����,需要將誤報(bào)和漏報(bào)降低到一個(gè)可接受的限度��。 >盡早識(shí)別����,識(shí)別是對(duì)新業(yè)務(wù)進(jìn)行分析����、控制的基礎(chǔ)���,因此要盡 早識(shí)別流量所屬的應(yīng)用類型���。最理想的識(shí)別方法是在收到該 應(yīng)用的第一個(gè)數(shù)據(jù)包就識(shí)別出該數(shù)據(jù)包所在流的應(yīng)用類型。 >可擴(kuò)展�,能夠?qū)Ω咚冁溌飞狭髁窟M(jìn)行快速識(shí)別。 >健壯�,在網(wǎng)絡(luò)不穩(wěn)定的情況下(路由不對(duì)稱、丟包�、包亂序等)
仍能夠做到比較準(zhǔn)確的識(shí)別。 >性能��,在線速的情況下滿足流量識(shí)別的功能需求�,同時(shí)對(duì)業(yè)務(wù)
沒有丟包、延遲等影響�����。 如何在上述這幾個(gè)要求之間做到有效的權(quán)衡是流量識(shí)別方法研 究要解決的問題���。
基于端口的流量識(shí)別方法簡(jiǎn)單但準(zhǔn)確性不高��;基于流量特征識(shí)別 方法由于需要對(duì)報(bào)文內(nèi)部數(shù)據(jù)進(jìn)行全面的檢查分析���,實(shí)現(xiàn)效率較低, 影響業(yè)務(wù)性能����。基于協(xié)議流程分析的識(shí)別方法在擴(kuò)展性和時(shí)效性等方 面也存在不足��。
發(fā)明內(nèi)容
本發(fā)明的目的是為了克服現(xiàn)有技術(shù)中基于端口的流量識(shí)別方法 存在的簡(jiǎn)單而又準(zhǔn)確性不高的缺點(diǎn)����,基于流量特征識(shí)別方法存在的由 于需要對(duì)報(bào)文內(nèi)部數(shù)據(jù)進(jìn)行全面的檢查分析,實(shí)現(xiàn)效率較低�����、影響業(yè) 務(wù)性能的缺點(diǎn)����,基于協(xié)議流程分析的識(shí)別方法存在的在擴(kuò)展性和時(shí)效 性等方面存在的缺點(diǎn),提供一種針對(duì)通信網(wǎng)絡(luò)中應(yīng)用特征經(jīng)常變化的特點(diǎn)�����,基于特征庫(kù)的流量識(shí)別方法。
本發(fā)明的基于特征庫(kù)的流量識(shí)別方法是通過以下技術(shù)方案實(shí)現(xiàn)
的
本發(fā)明的基于特征庫(kù)的流量識(shí)別方法���,包括如下步驟 步驟l:將各種網(wǎng)絡(luò)應(yīng)用的特征生成為特定格式的特征庫(kù)�;
步驟2:將所迷特征庫(kù)加載到支持快速內(nèi)容查找的協(xié)處理器中���;
步驟3:在流量識(shí)別時(shí)按照M (會(huì)話是指用戶間的數(shù)據(jù)交換過 程)對(duì)流量中的報(bào)文進(jìn)行特征匹配���,匹配成功的會(huì)話被標(biāo)記成特征所 對(duì)應(yīng)的網(wǎng)絡(luò)應(yīng)用;
步驟4:管理員通過管理界面對(duì)特征庫(kù)中的特征進(jìn)行增刪改查���, 對(duì)特征的更新在管理員確認(rèn)后會(huì)立即加載到支持快速內(nèi)容查找的協(xié) 處理器中����。
而且�����,所述步驟1包括
步驟101:將各種網(wǎng)絡(luò)應(yīng)用的特征按照特定格式編輯成一個(gè)可讀 的特征文件���,對(duì)于每種應(yīng)用���, 一般包括如下信息應(yīng)用名稱��,便于使 用者查看�;應(yīng)用ID���,便于系統(tǒng)檢索;特征值描述����,每種應(yīng)用可以有 多個(gè)特征值描述, 一個(gè)特征值描述包括協(xié)議類型�、特征字符串、特 征字符串位置湘對(duì)于報(bào)文頭或尾的偏移)����、特征掩碼(表示特征字符 串中的某些字符可以為任意字符)。
每種應(yīng)用可以編輯的特征值描述的個(gè)數(shù)以及整個(gè)特征庫(kù)可以容 納的應(yīng)用數(shù)目一般情況下取決于采用的快速內(nèi)容查找協(xié)處理器的規(guī) 格����,
步驟102:將編輯好的特征文件進(jìn)行預(yù)編譯,生成特征庫(kù)文件�, 所述特征庫(kù)文件用于在系統(tǒng)初始化時(shí)加栽到快速內(nèi)容查找協(xié)處理器中。
而且��,所述步驟2包括
步驟201:從存儲(chǔ)單元中讀取預(yù)編譯后的特征庫(kù)文件�; 步驟202:將特征庫(kù)文件寫入快速內(nèi)容查找協(xié)處理器的特征值映 射表中�,形成應(yīng)用特征庫(kù)���,特征匹配的結(jié)果被同時(shí)存儲(chǔ)在系統(tǒng)的常規(guī)內(nèi)存的一個(gè)表中��,這個(gè)表被稱作結(jié)果表��,其中的表項(xiàng)就包含有相應(yīng)應(yīng)
用的ID等信息��。
快速內(nèi)容查找協(xié)處理器可采用三重內(nèi)容可尋址存儲(chǔ)器(TCAM)���,這 是一種較通用的硬件查找技術(shù),其芯片采用內(nèi)部并行技術(shù)����,可以獲得 0 (1)的查找復(fù)雜度(如果算法的執(zhí)行時(shí)間不隨著問題規(guī)模n的增加而 增長(zhǎng),即使算法中有上千條語(yǔ)句��,其執(zhí)行時(shí)間也不過是一個(gè)較大的常 數(shù)���。此類算法的時(shí)間復(fù)雜度是0(1)����。),與其它技術(shù)相比���,TCAM的技 術(shù)優(yōu)勢(shì)在于查找速度快��、實(shí)現(xiàn)筒單�����。
而且�,所述步驟3包括
步驟301:所述步驟3中的報(bào)文為帶有有效載荷(有效載荷通常 是指跟在IP報(bào)頭后面的數(shù)據(jù))的報(bào)文���,對(duì)所述帶有有效栽荷的報(bào)文 進(jìn)行預(yù)處理,截取其有效栽荷的特定部分��,組織成供特征庫(kù)匹配使用 的查找關(guān)鍵字����;
步驟302:用快速內(nèi)容查找協(xié)處理器的特征映射表訪問接口,發(fā) 出查詢請(qǐng)求�。由于快速內(nèi)容查找協(xié)處理器的查找速度很快,因此�����,幾 乎在沒有等待的情況下得到查詢請(qǐng)求結(jié)果,如是查詢命中(即找到了 匹配項(xiàng))�����,這個(gè)結(jié)果是一個(gè)常規(guī)內(nèi)存地址��,其實(shí)也就是結(jié)果表的一個(gè) 表項(xiàng)的地址��,訪問這個(gè)地址可以得到報(bào)文對(duì)應(yīng)的網(wǎng)絡(luò)應(yīng)用的ID;如 果沒有命中(即未找到匹配項(xiàng))����,則表示查詢失敗,該^L文應(yīng)用未知�����。
由于一種網(wǎng)絡(luò)應(yīng)用協(xié)議可以配置多條特征值描述��,并且這些特征 可以在快速內(nèi)容查找協(xié)處理器中并發(fā)地進(jìn)行匹配�����,因此本發(fā)明不僅在 效提高了流量識(shí)別的準(zhǔn)確性���,而且也有效提高了流量識(shí)別的性能���,
而且�,所述步驟4中管理員通過管理界面瀏覽特征庫(kù)中的每一個(gè) 應(yīng)用��。
而且����,所述步驟4中管理員通過管理界面修改應(yīng)用名稱。 而且�,所述步驟4中管理員通過管理界面添加或刪除應(yīng)用。 而且���,所述步驟4中管理員通過管理界面編輯已有的任何特征 字符串及添加或刪除特征字符串�����。
所有對(duì)于特征庫(kù)的修改,在管理員確認(rèn)后都會(huì)實(shí)時(shí)加載到快速內(nèi)容查找協(xié)處理器中����,從而在流量識(shí)別的擴(kuò)展性上獲得有效提高。
當(dāng)一個(gè)會(huì)話已經(jīng)被識(shí)別為某個(gè)應(yīng)用之后��,管理員對(duì)于特征庫(kù)的 任何操作都不會(huì)改變此流量識(shí)別的結(jié)果�����,也就是說。特征庫(kù)的變化只 會(huì)對(duì)在變化之后發(fā)生的會(huì)話有效�。
特定格式是符合XML語(yǔ)言(Extensible Markup Language,翻 譯為可擴(kuò)展標(biāo)記語(yǔ)言。XML不同于標(biāo)記預(yù)定義的標(biāo)記語(yǔ)言如HTML,是 一種可以由使用者自由定義標(biāo)記的標(biāo)記語(yǔ)言)格式的特征定義��, 一般 格式如下 <Signature>
(application name-"第一個(gè)網(wǎng)絡(luò)應(yīng)用名稱"id-"第一個(gè)網(wǎng)絡(luò)應(yīng)用 ID">
<sig protocol-"第一個(gè)特征的協(xié)議類型"offset-"第一個(gè)特征的特 征字符串位置"value- "第一個(gè)特征的特征字符串"mask^'第一個(gè)特 征的特征字符串掩碼"/〉
<sig protocol-"最后一個(gè)特征的協(xié)議類型"offset-"最后一個(gè)特征 的特征字符串位置"value- "最后一個(gè)特征的特征字符串"mask-" 最后一個(gè)特征的特征字符串掩碼"/> </application>
Application name-"最后一個(gè)網(wǎng)絡(luò)應(yīng)用名稱"id-"最后一個(gè)網(wǎng)絡(luò)應(yīng) 用ID">
<sig protocol-"第一個(gè)特征的協(xié)議類型"offset-"第一個(gè)特征的特 征字符串位置"value- "第一個(gè)特征的特征字符串"mask-"第一個(gè)特 征的特征字符串掩碼"/>
<sig protocol-"最后一個(gè)特征的協(xié)議類型"offset-"最后一個(gè)特征 的特征字符串位置"value- "最后一個(gè)特征的特征字符串"mask-" 最后一個(gè)特征的特征字符串掩碼"/></application> </Signature>
本發(fā)明相對(duì)現(xiàn)有技術(shù)具有的有益效果
1 �����、本發(fā)明的基于特征庫(kù)的流量識(shí)別方法由于一種網(wǎng)絡(luò)應(yīng)用協(xié)議 可以配置多條特征值描述���,并且這些特征可以在快速內(nèi)容查找協(xié)處理 器中并發(fā)地進(jìn)行匹配�����,因此不僅有效提高了流量識(shí)別的準(zhǔn)確性��,而且 也有效提高了流量識(shí)別的性能�。
2�、本發(fā)明的基于特征庫(kù)的流量識(shí)別方法,管理員通過管理界面�, 可以瀏覽特征庫(kù)中的每一個(gè)應(yīng)用,可以#~改應(yīng)用的名稱�,可以添加或 者刪除應(yīng)用�,對(duì)于特征庫(kù)中的一個(gè)應(yīng)用��,管理員可以編輯已有的任何 特征字符串�����,可以添加或者刪除特征字符串�����,所有對(duì)于特征庫(kù)的修改�����, 在管理員確認(rèn)后都會(huì)實(shí)時(shí)加載到快速內(nèi)容查找協(xié)處理器中�����,從而在流 量識(shí)別的擴(kuò)展性上獲得有效提高���。
圖1為本發(fā)明的基于特征庫(kù)的流量識(shí)別方法流程圖。
具體實(shí)施例方式
為了使本領(lǐng)域的一般技術(shù)人員能夠清楚理解本發(fā)明的技術(shù)方 案���,現(xiàn)結(jié)合附圖作進(jìn)一步詳盡地說明
本發(fā)明的基于特征庫(kù)的流量識(shí)別方法�,如圖l所示,包括如下步
驟
步驟l:將各種網(wǎng)絡(luò)應(yīng)用的特征生成為特定格式的特征庫(kù)��; 步驟2:將所述特征庫(kù)加載到支持快速內(nèi)容查找的協(xié)處理器中��; 步驟3:在流量識(shí)別時(shí)按照會(huì)話(會(huì)話是指用戶間的數(shù)據(jù)交換過
程)對(duì)流量的報(bào)文進(jìn)行特征匹配��,匹配成功的會(huì)話凈皮標(biāo)記成相應(yīng)的網(wǎng)
絡(luò)應(yīng)用����;
步驟4:管理員通過管理界面對(duì)特征庫(kù)中的特征進(jìn)行增刪改查,對(duì)特征的更新在管理員確認(rèn)后會(huì)立即加栽到支持快速內(nèi)容查找的協(xié) 處理器中�����。
進(jìn)一步��,所述步驟l包括
步驟101:將各種網(wǎng)絡(luò)應(yīng)用的特征按照特定格式編輯成一個(gè)可讀 的特征文件�����;
步驟102:將編輯好的特征文件進(jìn)行預(yù)編譯�����,生成特征庫(kù)文件��, 所述特征庫(kù)文件用于在系統(tǒng)初始化時(shí)加栽到快速內(nèi)容查找協(xié)處理器 中。
進(jìn)一步���,所述步驟2包括
步驟201:從存儲(chǔ)單元中讀取預(yù)編譯后的特征庫(kù)文件���; 步驟202:通過訪問接口將特征庫(kù)文件寫入快速內(nèi)容查找協(xié)處理 器的特征值映射表中,形成應(yīng)用特征庫(kù)����。 進(jìn)一步,所述步驟3包括
步驟301:所述步驟3中的報(bào)文為帶有有效載荷(有效載荷通常 是指跟在IP報(bào)頭后面的數(shù)據(jù))的報(bào)文�,對(duì)所述帶有有效載荷的報(bào)文 進(jìn)行預(yù)處理,截取其有效載荷的特定部分�����,組織成供特征庫(kù)匹配使用 的查找關(guān)鍵字���;
步驟302:用快速內(nèi)容查找協(xié)處理器的特征映射表訪問接口�,發(fā) 出查詢請(qǐng)求����。
進(jìn)一步����,所述步驟4中管理員通過管理界面瀏覽特征庫(kù)中的每一 個(gè)應(yīng)用�����。
進(jìn)一步����,所述步驟4中管理員通過管理界面修改應(yīng)用名稱����。 進(jìn)一步,所述步驟4中管理員通過管理界面添加或刪除應(yīng)用���。 進(jìn)一步��,所述步驟4中管理員通過管理界面編輯已有的任何特征
字符串及添加或刪除特征字符串�����。
實(shí)施例
下面以識(shí)別BitTorrent網(wǎng)絡(luò)應(yīng)用為例說明基于特征庫(kù)的流量識(shí) 別的具體步驟�。
步驟101:將BitTorrent網(wǎng)絡(luò)應(yīng)用的特征按照特定格式編輯成一個(gè)可讀的特征文件sig. xml�����,格式如下
<Signature>
-application name="bittoirent" id="l">
<sig protocol-"tcp', o泡et-"OO" vahie="00 01 02 03 04 05 06 07 08 09 OA OB 0C OD OE OF" mask-"OO 01 02 (B 04 05 06 07 08 09 OAOBOCODOEOF"/>
<sig protocol-"udp" offset-"OO" value="00 01 02 03 04 05 06 07 08 09 OA OB OC OD OE OF" mask="00 01 02 03 04 05 06 07 08 09 OAQBOCQDOEOF�,/>
</application> </Signature>
步驟102:將編輯好的特征文件sig.xml進(jìn)行預(yù)編譯,生成特征 庫(kù)文件sig. bin,所述特征庫(kù)文件用于在系統(tǒng)初始化時(shí)加載到快速內(nèi) 容查找協(xié)處理器中����。
進(jìn)一步,所述步驟2包括
步驟201:從存儲(chǔ)單元中讀取預(yù)編譯后的特征庫(kù)文件sig. bin; 步驟202:通過訪問接口將特征庫(kù)文件sig. bin寫入快速內(nèi)容查 找協(xié)處理器的特征值映射表sig-team—info中��,形成應(yīng)用特征庫(kù)���。 進(jìn)一步�,所述步驟3包括
步驟301:所述步驟3中的報(bào)文為帶有有效栽荷(有效載荷通常 是指跟在IP報(bào)頭后面的數(shù)據(jù))的報(bào)文�����,對(duì)所述帶有有效載荷的報(bào)文 進(jìn)行預(yù)處理�,截取其有效載荷的特定部分:起始為有效載荷第O字節(jié), 截取長(zhǎng)度為16字節(jié)�,組織成供特征庫(kù)匹配使用的查找關(guān)鍵字 search—keyj
步驟302 :用快速內(nèi)容查找協(xié)處理器的特征映射表sig-tcam—info訪問接口 ,發(fā)出查詢請(qǐng)求。如果search—key與特征 庫(kù)中BitTorrent的某一個(gè)特征字符串匹配���,則該報(bào)文所在的會(huì)話就 -故標(biāo)記為BitTorrent網(wǎng)絡(luò)應(yīng)用���;
進(jìn)一步�����,所述步驟4中管理員通過管理界面瀏覽特征庫(kù)中的 BitTorrent應(yīng)用。
進(jìn)一步�����,所述步驟4中管理員通過管理界面修改BitTorrent應(yīng) 用名稱�。
進(jìn)一步,所述步驟4中管理員通過管理界面添加或刪除 BitTorrent應(yīng)用���。
進(jìn)一步�,所述步驟4中管理員通過管理界面編輯BitTorrent應(yīng) 用的已有的任何特征字符串及添加或刪除其特征字符串��。
權(quán)利要求
1��、一種基于特征庫(kù)的流量識(shí)別方法�����,其特征在于��,包括如下步驟步驟1將各種網(wǎng)絡(luò)應(yīng)用的特征生成為特定格式的特征庫(kù);步驟2將所述特征庫(kù)加載到支持快速內(nèi)容查找的協(xié)處理器中�����;步驟3按照會(huì)話對(duì)流量的報(bào)文進(jìn)行特征匹配�����,匹配成功的會(huì)話被標(biāo)記成特征所對(duì)應(yīng)的網(wǎng)絡(luò)應(yīng)用�����;步驟4管理員通過管理界面對(duì)特征庫(kù)中的特征進(jìn)行增刪改查����。
2、 根據(jù)權(quán)利要求1所述的基于特征庫(kù)的流量識(shí)別方法�,其特 征在于,所述步驟l包括步驟101:將各種網(wǎng)絡(luò)應(yīng)用的特征按照特定格式編輯成一個(gè)可讀 的特征文件�����;步驟102:將編輯好的特征文件進(jìn)行預(yù)編譯���,生成特征庫(kù)文件��, 所述特征庫(kù)文件用于在系統(tǒng)初始化時(shí)加載到快速內(nèi)容查找協(xié)處理器 中�����。
3��、 根據(jù)權(quán)利要求1所述的基于特征庫(kù)的流量識(shí)別方法�,其特 征在于�,所述步驟2包括步驟201:從存儲(chǔ)單元中讀取預(yù)編譯后的特征庫(kù)文件; 步驟202:通過訪問接口將特征庫(kù)文件寫入快速內(nèi)容查找協(xié)處理 器的特征值映射表中�,形成應(yīng)用特征庫(kù)。
4���、 根據(jù)權(quán)利要求1所述的基于特征庫(kù)的流量識(shí)別方法�����,其特 征在于��,所述步驟3包括步驟301:所述步驟3中的報(bào)文為帶有有效載荷的報(bào)文���,對(duì)所述帶有有效載荷的報(bào)文進(jìn)行預(yù)處理,截取其有效載荷的特定部分�����,組織 成供特征庫(kù)匹配使用的查找關(guān)鍵字;步驟302:用快速內(nèi)容查找協(xié)處理器的特征映射表訪問接口��,發(fā)出查詢請(qǐng)求����。
5、 根據(jù)權(quán)利要求1所述的基于特征庫(kù)的流量識(shí)別方法�����,其特 征在于���,所述步驟4中管理員通過管理界面瀏覽特征庫(kù)中的每一個(gè)應(yīng) 用����。
6�����、 才艮據(jù)權(quán)利要求1所述的基于特征庫(kù)的流量識(shí)別方法���,其特 征在于����,所述步驟4中管理員通過管理界面修改應(yīng)用名稱。
7���、 根據(jù)權(quán)利要求1所述的基于特征庫(kù)的流量識(shí)別方法�,其特 征在于���,所述步驟4中管理員通過管理界面添加或刪除應(yīng)用��。
8�����、 根據(jù)權(quán)利要求1所述的基于特征庫(kù)的流量識(shí)別方法,其特 征在于�����,所述步驟4中管理員通過管理界面編輯已有的任何特征字符 串及添加或刪除特征字符串�����。
全文摘要
一種基于特征庫(kù)的流量識(shí)別方法��,包括如下步驟特征庫(kù)生成;初始化特征庫(kù)加載���;特征庫(kù)流量識(shí)別��;特征庫(kù)在線維護(hù)����。本發(fā)明的基于特征庫(kù)的流量識(shí)別方法由于一種網(wǎng)絡(luò)應(yīng)用協(xié)議可以配置多條特征值描述����,并且這些特征可以在快速內(nèi)容查找協(xié)處理器中并發(fā)地進(jìn)行匹配,因此不僅有效提高了流量識(shí)別的準(zhǔn)確性��,而且也有效提高了流量識(shí)別的性能�����。管理員通過管理界面�����,可以瀏覽特征庫(kù)中的每一個(gè)應(yīng)用�、修改應(yīng)用的名稱、添加或者刪除應(yīng)用��,對(duì)于特征庫(kù)中的一個(gè)應(yīng)用,管理員可以編輯已有的任何特征字符串����,可以添加或者刪除特征字符串,所有對(duì)于特征庫(kù)的修改��,在管理員確認(rèn)后都會(huì)實(shí)時(shí)加載到快速內(nèi)容查找協(xié)處理器中�,從而在流量識(shí)別的擴(kuò)展性上獲得有效提高。
文檔編號(hào)H04L12/56GK101442489SQ20081024113
公開日2009年5月27日 申請(qǐng)日期2008年12月30日 優(yōu)先權(quán)日2008年12月30日
發(fā)明者凡 鄧 申請(qǐng)人:北京暢訊信通科技有限公司