識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法及系統(tǒng)���,所述方法包括:通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型�����;若不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型��,則通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�。通過采用本發(fā)明可以兼顧效率與精確度的識(shí)別流量數(shù)據(jù)的應(yīng)用類型��。
【專利說明】識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域�,更為具體而言,涉及識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法及系統(tǒng)�。
【背景技術(shù)】
[0002]在現(xiàn)有的技術(shù)當(dāng)中,識(shí)別網(wǎng)絡(luò)流量的類別的方法主要包括:基于端口的分類技術(shù)��、基于載荷的分類技術(shù)�����、基于行為的分類技術(shù)��、基于流量統(tǒng)計(jì)特征與機(jī)器學(xué)習(xí)的分類技術(shù)以及基于流量傳播圖的分類技術(shù)。然而����,對(duì)于基于端口的分類方法雖然效率高,但精度差�;基于載荷的分類方法只能識(shí)別明文流量,而不能處理加密流量�����,并且不適合高度網(wǎng)絡(luò)��;基于機(jī)器學(xué)習(xí)的分類方法雖然具有較高的識(shí)別率并能識(shí)別加密流量���,但是其在線識(shí)別時(shí)存在低魯棒性的問題���;基于行為和流量傳播圖的分類方法目前僅限于離線識(shí)別,對(duì)于在線識(shí)別難度很大���。因此���,僅僅使用單一的分類方法無法兼顧效率與精確度。
【發(fā)明內(nèi)容】
[0003]為有效地解決上述技術(shù)問題�,本發(fā)明提供了一種識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法及系統(tǒng)。
[0004]一方面���,本發(fā)明的實(shí)施方式提供了一種識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法�,所述方法包括:
[0005]通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型�;
[0006]若不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型,則通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�。
[0007]另一方面,本發(fā)明的實(shí)施方式提供了一種識(shí)別流量數(shù)據(jù)的應(yīng)用類型的系統(tǒng)��,所述系統(tǒng)包括:
[0008]粗粒度識(shí)別模塊���,用于通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型��;
[0009]細(xì)粒度識(shí)別模塊����,用于當(dāng)所述粗粒度識(shí)別模塊不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí)����,通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型。
[0010]實(shí)施本發(fā)明提供的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法及系統(tǒng)可以兼顧效率與精確度的識(shí)別流量數(shù)據(jù)的應(yīng)用類型�。
【專利附圖】
【附圖說明】
[0011]圖1是根據(jù)本發(fā)明實(shí)施方式的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法的流程圖;
[0012]圖2示出了圖1所示的步驟S120的一種實(shí)施方式��;
[0013]圖3是根據(jù)本發(fā)明實(shí)施方式的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法的另一種實(shí)施方式;
[0014]圖4示出了本發(fā)明實(shí)施方式的數(shù)據(jù)流的一種實(shí)施方式����;
[0015]圖5是根據(jù)本發(fā)明實(shí)施方式的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的系統(tǒng)的結(jié)構(gòu)示意圖;
[0016]圖6示出了圖5所示的細(xì)粒度識(shí)別模塊120的一種實(shí)施方式���;
[0017]圖7是根據(jù)本發(fā)明實(shí)施方式的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的系統(tǒng)的另一種實(shí)施方式���。
【具體實(shí)施方式】
[0018]為使本發(fā)明的實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述。
[0019]圖1是根據(jù)本發(fā)明實(shí)施方式的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法的流程圖�����。參見圖1�,所述方法包括:
[0020]SllO:通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型,若不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型��,則執(zhí)行S120;
[0021]其中�����,在本發(fā)明的實(shí)施方式中,該步驟SllO可以包括�,但不限于:通過基于端口號(hào)的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型。
[0022]S120:通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�。
[0023]在本發(fā)明的一種優(yōu)選的實(shí)施方式中�,所述方法還可以包括:若通過所述細(xì)粒度的分類方法識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型,則根據(jù)識(shí)別結(jié)果提取所述流量數(shù)據(jù)的端口號(hào)以及應(yīng)用類型的對(duì)應(yīng)關(guān)系�����;并將所述提取出的端口號(hào)以及應(yīng)用類型的對(duì)應(yīng)關(guān)系反饋至所述基于端口號(hào)的分類方法�����。從而提高所述基于端口號(hào)的分類方法的識(shí)別精度��。
[0024]如圖2所示�,在本發(fā)明的實(shí)施方式中,該步驟S120可以包括:
[0025]S121:通過基于載荷的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型��,若通過所述基于載荷的分類方法識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型�����,則執(zhí)行S122����,若通過所述基于載荷的分類方法不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型���,則執(zhí)行S123 ;
[0026]其中�����,所述基于載荷的分類方法可以包括�����,但不限于:基于精確特征的方法以及基于正則表達(dá)式的方法���。
[0027]S122:判斷所述應(yīng)用類型是否為加密協(xié)議(例如SSL(Secure Sockets Layer,安全套接層)/SSH(Secure Shell,安全外殼協(xié)議)等)���,若是,則執(zhí)行S123 ;
[0028]S123:通過機(jī)器學(xué)習(xí)的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型����。從而提高了識(shí)別應(yīng)用類型的精確度。
[0029]如圖3所示����,在本發(fā)明的一種優(yōu)選的實(shí)施方式中����,所述方法可以包括:
[0030]S110’:通過基于端口號(hào)的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型�,若不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型,則執(zhí)行S121’ �;
[0031]S121’至S123’:同上述S121至S123,在此不再贅述����;
[0032]S130’:通過基于行為和流量傳播圖的方法對(duì)所述流量數(shù)據(jù)進(jìn)行識(shí)別�����,若通過該基于行為和流量傳播圖的方法識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型����,則執(zhí)行S140’ ;
[0033]S140’:提取所述流量數(shù)據(jù)的端口號(hào)�、載荷、流特征��;
[0034]S150’:將所述提取出的端口號(hào)����、載荷�����、流特征分別反饋給所述基于端口號(hào)的分類方法��、基于載荷的分類方法���、機(jī)器學(xué)習(xí)的分類方法。從而通過該基于行為和流量傳播圖的方法的反饋�����,能夠提高所述基于端口號(hào)的分類方法��、基于載荷的分類方法�����、機(jī)器學(xué)習(xí)的分類方法的識(shí)別精度��。
[0035]同時(shí)���,在本發(fā)明的實(shí)施方式中��,可以以會(huì)話為單位對(duì)流量數(shù)據(jù)進(jìn)行識(shí)別����,因此,所述方法在執(zhí)行步驟Si 10’前還可以包括:
[0036]篩選傳輸層協(xié)議為TCP (Transmiss1n Control Protocol,傳輸控制協(xié)議)或UDP(User Datagram Protocol,用戶數(shù)據(jù)包協(xié)議)的流量數(shù)據(jù)�;
[0037]根據(jù)五元組將所述篩選出的流量數(shù)據(jù)整合為會(huì)話,其中所述會(huì)話包括含有相同的五元組的流量數(shù)據(jù)�����;
[0038]根據(jù)所述會(huì)話的五元組建立對(duì)應(yīng)的哈希值�����;
[0039]提取所述會(huì)話的端口號(hào)�、載荷��、流特征��;
[0040]將所述提取的端口號(hào)����、載荷、流特征與所述哈希值對(duì)應(yīng)地存儲(chǔ)到流表中����。
[0041]以下結(jié)合具體的例子對(duì)本發(fā)明的實(shí)施方式進(jìn)行說明�。
[0042]如圖4所示��,本發(fā)明的實(shí)施方式涉及鏈路層�、網(wǎng)絡(luò)層、傳輸層以及應(yīng)用層����。其中從鏈路層到傳輸層的過程為:按照鏈路層協(xié)議號(hào)過濾以太網(wǎng)數(shù)據(jù)包,其他類型的數(shù)據(jù)包指進(jìn)行基礎(chǔ)的統(tǒng)計(jì)���;按照網(wǎng)絡(luò)層協(xié)議號(hào)過濾IP (Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)(v4, v6)數(shù)據(jù)包�,其它類型的數(shù)據(jù)只進(jìn)行基礎(chǔ)的統(tǒng)計(jì)���;按照傳輸層協(xié)議號(hào)過濾TCP和UDP數(shù)據(jù)包�����,其它類型的數(shù)據(jù)只進(jìn)行基礎(chǔ)的統(tǒng)計(jì)��;針對(duì)TCP和UDP數(shù)據(jù)包���,利用五元組(源IP、目的IP、源端口�、目的端口、傳輸層協(xié)議)創(chuàng)建哈希值����,該哈希值映射相同五元組的對(duì)應(yīng)會(huì)話(會(huì)話指在一定的持續(xù)時(shí)間內(nèi)包含相同五元組的所有數(shù)據(jù)包的集合);提取會(huì)話的端口號(hào)�����、載荷以及流特征�����,并與哈希值對(duì)應(yīng)地存儲(chǔ)在流表中���。針對(duì)每一次會(huì)話����,采用混合的分類方法識(shí)別應(yīng)用類型��,具體地可以通過以下方式實(shí)現(xiàn):
[0043]線上階段:
[0044]1����、根據(jù)端口號(hào)與應(yīng)用的對(duì)應(yīng)關(guān)系表進(jìn)行粗粒度識(shí)別(通過端口號(hào)與應(yīng)用的對(duì)應(yīng)關(guān)系能夠快速地識(shí)別出大部分流量數(shù)據(jù)的應(yīng)用類型),若能夠識(shí)別����,則進(jìn)入步驟7,否則進(jìn)入步驟2 ��;
[0045]2�����、采用基于精確特征的方法進(jìn)行細(xì)識(shí)別�,若能夠識(shí)別,則進(jìn)入步驟4�����,否則進(jìn)入步驟3;
[0046]3�、采用基于正則表達(dá)式的方法進(jìn)行細(xì)識(shí)別,若能夠識(shí)別�����,則進(jìn)入步驟4����,否則進(jìn)入步驟5 ;
[0047]4��、如果識(shí)別結(jié)果為SSL/SSH����,則進(jìn)入步驟5����,否則進(jìn)入步驟7 ;
[0048]5���、采用機(jī)器學(xué)習(xí)的方法識(shí)別加密流量�����,若能夠識(shí)別則進(jìn)入步驟6����,否則進(jìn)行步驟7 �����;
[0049]線下階段:
[0050]6�、根據(jù)識(shí)別結(jié)果提取端口號(hào)與應(yīng)用的對(duì)應(yīng)關(guān)系�,反饋給端口與應(yīng)用的對(duì)應(yīng)關(guān)系表進(jìn)行特征豐富���,進(jìn)入步驟8;
[0051]7、采用基于行為和流量傳播圖的方法對(duì)流量進(jìn)行識(shí)別����,如果能夠識(shí)別則提取相應(yīng)的端口特征、載荷特征和流特征并反饋給線上分類方法�,否則進(jìn)入步驟8 ;從而通過線下階段基于行為和流量傳播圖的方法的反饋,能夠提高線上階段的各分類方法的識(shí)別精度�。
[0052]8、針對(duì)識(shí)別的結(jié)果進(jìn)行統(tǒng)計(jì),統(tǒng)計(jì)結(jié)果存儲(chǔ)到RRD (Round Robin Data, 一種存儲(chǔ)數(shù)據(jù)的方式)數(shù)據(jù)文件中����,可供周期性的展示。
[0053]上述充分結(jié)合了已有的傳統(tǒng)分類方法的優(yōu)勢(shì)�����,能夠?qū)崿F(xiàn)在高度鏈路下的快速��、精確地識(shí)別流量數(shù)據(jù)的應(yīng)用類型�����。
[0054]圖5是根據(jù)本發(fā)明實(shí)施方式的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的系統(tǒng)100的結(jié)構(gòu)示意圖�,參見圖5����,所述系統(tǒng)100包括:
[0055]粗粒度識(shí)別模塊110���,用于通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型�����;
[0056]其中,在本發(fā)明的實(shí)施方式中�����,該粗粒度識(shí)別模塊110可以包括����,但不限于:端口號(hào)識(shí)別單元�,用于通過基于端口號(hào)的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型�。
[0057]細(xì)粒度識(shí)別模塊120,用于當(dāng)所述粗粒度識(shí)別模塊110不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí)�����,通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型。
[0058]在本發(fā)明的一種優(yōu)選的實(shí)施方式中�,該系統(tǒng)100還可以包括:
[0059]第一提取模塊���,用于當(dāng)所述細(xì)粒度識(shí)別模塊識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí),根據(jù)所述細(xì)粒度識(shí)別模塊的識(shí)別結(jié)果提取所述流量數(shù)據(jù)的端口號(hào)以及應(yīng)用類型的對(duì)應(yīng)關(guān)系;
[0060]第一反饋模塊����,用于將所述第一提取模塊所提取出的端口號(hào)以及應(yīng)用類型的對(duì)應(yīng)關(guān)系反饋至所述基于端口號(hào)的分類方法����。
[0061]如圖6所示,在本發(fā)明的實(shí)施方式中�����,該細(xì)粒度識(shí)別模塊120可以包括:
[0062]載荷識(shí)別單元121,用于通過基于載荷的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型��,其中����,所述基于載荷的分類方法例如可以包括:基于精確特征的方法以及基于正則表達(dá)式的方法。
[0063]機(jī)器學(xué)習(xí)識(shí)別單元122�����,用于當(dāng)所述載荷識(shí)別單元121不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí),通過機(jī)器學(xué)習(xí)的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�����。
[0064]判斷單元123��,用于當(dāng)所述載荷識(shí)別單元121識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí)�����,判斷所述應(yīng)用類型是否為加密協(xié)議�。
[0065]圖7是根據(jù)本發(fā)明實(shí)施方式的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的系統(tǒng)100’的另一種實(shí)施方式。參見圖7�,該系統(tǒng)100’包括:
[0066]粗粒度識(shí)別模塊110’����,同上所述的粗粒度識(shí)別模塊110,在此不再贅述�����,其中該粗粒度識(shí)別模塊110’包括:端口號(hào)識(shí)別單元111’,用于通過基于端口號(hào)的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型����。
[0067]細(xì)粒度識(shí)別模塊120’,同上所述的粗粒度識(shí)別模塊120�,在此不再贅述,其中該細(xì)粒度識(shí)別模塊120’包括:載荷識(shí)別單元121’�、機(jī)器學(xué)習(xí)識(shí)別單元122’、判斷單元123’�����,分別同上所述的載荷識(shí)別單元121���、機(jī)器學(xué)習(xí)識(shí)別單元122�����、判斷單元123����,在此不再贅述;
[0068]行為及流量傳播圖模塊130’�,用于通過基于行為和流量傳播圖的方法對(duì)所述流量數(shù)據(jù)進(jìn)行識(shí)別;
[0069]第二提取模塊140’�����,用于當(dāng)所述行為及流量傳播圖模塊130’識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí)�����,提取所述流量數(shù)據(jù)的端口號(hào)、載荷��、流特征��;
[0070]第二反饋模塊150’,用于將所述第二提取模塊140’所提取出的端口號(hào)����、載荷�����、流特征分別反饋給所述基于端口號(hào)的分類方法、基于載荷的分類方法���、機(jī)器學(xué)習(xí)的分類方法��。
[0071]同時(shí),在本發(fā)明的實(shí)施方式中�����,可以以會(huì)話為單位對(duì)流量數(shù)據(jù)進(jìn)行識(shí)別����,因此��,所述系統(tǒng)100’還可以包括以下模塊:
[0072]篩選模塊,用于篩選傳輸層協(xié)議為TCP或UDP的流量數(shù)據(jù)���;
[0073]整合模塊,用于根據(jù)五元組將所述篩選模塊所篩選出的流量數(shù)據(jù)整合為會(huì)話�����,其中所述會(huì)話包括含有相同的五元組的流量數(shù)據(jù)��;
[0074]哈希值建立模塊,用于根據(jù)所述整合模塊所整合出的會(huì)話的五元組建立對(duì)應(yīng)的哈希值�����;
[0075]第三提取模塊�,用于提取所述整合模塊所整合出的會(huì)話的端口號(hào)、載荷��、流特征�����;
[0076]存儲(chǔ)模塊�����,用于將所述第三提取模塊所提取出的端口號(hào)、載荷�����、流特征與所述哈希值建立模塊所建立的哈希值對(duì)應(yīng)地存儲(chǔ)到流表中����。
[0077]實(shí)施本發(fā)明提供的識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法及系統(tǒng)可以兼顧效率與精確度的識(shí)別流量數(shù)據(jù)的應(yīng)用類型�。
[0078]通過以上的實(shí)施方式的描述���,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件結(jié)合硬件平臺(tái)的方式來實(shí)現(xiàn)�����,當(dāng)然也可以全部通過硬件來實(shí)施����。基于這樣的理解����,本發(fā)明的技術(shù)方案對(duì)【背景技術(shù)】做出貢獻(xiàn)的全部或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中�����,如R0M/RAM����、磁碟、光盤等�,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器����,智能手機(jī)或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。
[0079]本發(fā)明說明書中使用的術(shù)語和措辭僅僅為了舉例說明����,并不意味構(gòu)成限定�����。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,在不脫離所公開的實(shí)施方式的基本原理的前提下��,對(duì)上述實(shí)施方式中的各細(xì)節(jié)可進(jìn)行各種變化�����。因此�����,本發(fā)明的范圍只由權(quán)利要求確定�,在權(quán)利要求中��,除非另有說明�����,所有的術(shù)語應(yīng)按最寬泛合理的意思進(jìn)行理解���。
【權(quán)利要求】
1.一種識(shí)別流量數(shù)據(jù)的應(yīng)用類型的方法,其特征在于��,所述方法包括: 通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型��; 若不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型,則通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�����。
2.如權(quán)利要求1所述的方法��,其特征在于,通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型包括: 通過基于端口號(hào)的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型����。
3.如權(quán)利要求2所述方法���,其特征在于,所述方法還包括: 若通過所述細(xì)粒度的分類方法識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型���,則根據(jù)識(shí)別結(jié)果提取所述流量數(shù)據(jù)的端口號(hào)以及應(yīng)用類型的對(duì)應(yīng)關(guān)系; 將所述提取出的端口號(hào)以及應(yīng)用類型的對(duì)應(yīng)關(guān)系反饋至所述基于端口號(hào)的分類方法��。
4.如權(quán)利要求1?3中任意一項(xiàng)所述的方法�,其特征在于�,通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型包括: 通過基于載荷的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�����。
5.如權(quán)利要求4所述的方法�����,其特征在于�,通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型還包括: 若通過所述基于載荷的分類方法不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型���,則通過機(jī)器學(xué)習(xí)的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�����。
6.如權(quán)利要求5所述的方法�,其特征在于�����,通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型還包括: 若通過所述基于載荷的分類方法識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型,則判斷所述應(yīng)用類型是否為加密協(xié)議�����; 若是���,則執(zhí)行所述通過機(jī)器學(xué)習(xí)的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�����。
7.如權(quán)利要求4所述的方法��,其特征在于, 所述基于載荷的分類方法包括:基于精確特征的方法以及基于正則表達(dá)式的方法。
8.如權(quán)利要求5?7中任意一項(xiàng)所述的方法����,其特征在于���,所述方法還包括: 在執(zhí)行所述通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型后����,通過基于行為和流量傳播圖的方法對(duì)所述流量數(shù)據(jù)進(jìn)行識(shí)別�; 若通過所述基于行為和流量傳播圖的方法識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型,則提取所述流量數(shù)據(jù)的端口號(hào)�、載荷、流特征��; 將所述提取出的端口號(hào)�、載荷、流特征分別反饋給所述基于端口號(hào)的分類方法�����、基于載荷的分類方法��、機(jī)器學(xué)習(xí)的分類方法�。
9.如權(quán)利要求5?7中任意一項(xiàng)所述的方法,其特征在于�,所述方法還包括: 在執(zhí)行所述通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型前�����,篩選傳輸層協(xié)議為TCP或UDP的流量數(shù)據(jù); 根據(jù)五元組將所述篩選出的流量數(shù)據(jù)整合為會(huì)話���,其中所述會(huì)話包括含有相同的五元組的流量數(shù)據(jù); 根據(jù)所述會(huì)話的五元組建立對(duì)應(yīng)的哈希值��; 提取所述會(huì)話的端口號(hào)��、載荷�、流特征�; 將所述提取的端口號(hào)��、載荷�����、流特征與所述哈希值對(duì)應(yīng)地存儲(chǔ)到流表中�。
10.一種識(shí)別流量數(shù)據(jù)的應(yīng)用類型的系統(tǒng)��,其特征在于�����,所述系統(tǒng)包括: 粗粒度識(shí)別模塊����,用于通過粗粒度的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型; 細(xì)粒度識(shí)別模塊��,用于當(dāng)所述粗粒度識(shí)別模塊不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí)�����,通過細(xì)粒度的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型��。
11.如權(quán)利要求10所述的系統(tǒng)�����,其特征在于��,所述粗粒度識(shí)別模塊包括: 端口號(hào)識(shí)別單元,用于通過基于端口號(hào)的分類方法識(shí)別流量數(shù)據(jù)的應(yīng)用類型����。
12.如權(quán)利要求11所述的系統(tǒng),其特征在于����,所述系統(tǒng)還包括: 第一提取模塊���,用于當(dāng)所述細(xì)粒度識(shí)別模塊識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí)�,根據(jù)所述細(xì)粒度識(shí)別模塊的識(shí)別結(jié)果提取所述流量數(shù)據(jù)的端口號(hào)以及應(yīng)用類型的對(duì)應(yīng)關(guān)系���; 第一反饋模塊��,用于將所述第一提取模塊所提取出的端口號(hào)以及應(yīng)用類型的對(duì)應(yīng)關(guān)系反饋至所述基于端口號(hào)的分類方法���。
13.如權(quán)利要求10?12所述的系統(tǒng),其特征在于�����,所述細(xì)粒度識(shí)別模塊包括: 載荷識(shí)別單元��,用于通過基于載荷的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型。
14.如權(quán)利要求13所述的系統(tǒng)�,其特征在于,所述細(xì)粒度識(shí)別模塊還包括: 機(jī)器學(xué)習(xí)識(shí)別單元����,用于當(dāng)所述載荷識(shí)別單元不能識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí),通過機(jī)器學(xué)習(xí)的分類方法識(shí)別所述流量數(shù)據(jù)的應(yīng)用類型�����。
15.如權(quán)利要求14所述的系統(tǒng)����,其特征在于,所述細(xì)粒度識(shí)別模塊還包括: 判斷單元�����,用于當(dāng)所述載荷識(shí)別單元識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí)����,判斷所述應(yīng)用類型是否為加密協(xié)議。
16.如權(quán)利要求13所述的系統(tǒng)�����,其特征在于, 所述基于載荷的分類方法包括:基于精確特征的方法以及基于正則表達(dá)式的方法�����。
17.如權(quán)利要求14?16中任意一項(xiàng)所述的系統(tǒng)����,其特征在于,所述系統(tǒng)還包括: 行為及流量傳播圖模塊�����,用于通過基于行為和流量傳播圖的方法對(duì)所述流量數(shù)據(jù)進(jìn)行識(shí)別����; 第二提取模塊��,用于當(dāng)所述行為及流量傳播圖模塊識(shí)別出所述流量數(shù)據(jù)的應(yīng)用類型時(shí)���,提取所述流量數(shù)據(jù)的端口號(hào)���、載荷、流特征�; 第二反饋模塊�,用于將所述第二提取模塊所提取出的端口號(hào)�、載荷、流特征分別反饋給所述基于端口號(hào)的分類方法��、基于載荷的分類方法���、機(jī)器學(xué)習(xí)的分類方法���。
18.如權(quán)利要求14?16所述的系統(tǒng),其特征在于���,所述系統(tǒng)還包括: 篩選模塊�����,用于篩選傳輸層協(xié)議為TCP或UDP的流量數(shù)據(jù)���; 整合模塊,用于根據(jù)五元組將所述篩選模塊所篩選出的流量數(shù)據(jù)整合為會(huì)話���,其中所述會(huì)話包括含有相同的五元組的流量數(shù)據(jù)���; 哈希值建立模塊��,用于根據(jù)所述整合模塊所整合出的會(huì)話的五元組建立對(duì)應(yīng)的哈希值����; 第三提取模塊�����,用于提取所述整合模塊所整合出的會(huì)話的端口號(hào)��、載荷��、流特征����; 存儲(chǔ)模塊�����,用于將所述第三提取模塊所提取出的端口號(hào)�����、載荷�����、流特征與所述哈希值建立模塊所建立的哈希值對(duì)應(yīng)地存儲(chǔ)到流表中。
【文檔編號(hào)】H04L12/26GK104468273SQ201410767463
【公開日】2015年3月25日 申請(qǐng)日期:2014年12月12日 優(yōu)先權(quán)日:2014年12月12日
【發(fā)明者】董輝, 胡曉赟, 陳云飛, 熊亞軍 申請(qǐng)人:北京百度網(wǎng)訊科技有限公司