一种应用类型的确定方法和装置的制造方法
一种应用类型的确定方法和装置的制造方法
【技术领域】
[0001] 本发明设及通信技术领域,尤其设及一种应用类型的确定方法和装置。
【背景技术】
[0002] 随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式。各种网 络应用层出不穷,安全威胁和网络滥用也与日俱增,给网络监管机构对各种网络流量进行 深度识别提出了新的要求。
[0003] 目前对流量进行识别与检测的技术包括;DPI值eepPacketInspection,深层数 据包检测)技术。DPI技术主要通过对数据报文的负载进行特征匹配来识别数据报文的应 用类型,即该数据报文所属流量的应用类型。
[0004] 在上述识别方式中,需要基于特征库来进行应用类型的识别,特征库的大小、新 旧、权威性,决定着识别的准确性。目前特征库的提取和开发,是W网络上的热口软件为 目标,但对于一些较为独立的校园网、企业网,其运行着各自的非热口软件,设及流媒体、 P2P(Peer-t〇-Peer,点对点技术)、文件传输、即时聊天等多种应用类型,然而特征库的开发 分析并未设及该些校园网、企业网内的非热口软件,从而导致无法基于特征库识别出流量 的应用类型。
【发明内容】
[0005] 本发明实施例提供一种应用类型的确定方法,所述方法包括W下步骤:
[0006] 应用识别装置获取同一流量中的M个数据报文,其中M小于或等于预设的数据报 文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0007] 所述应用识别装置利用所述M个数据报文确定所述流量的流量行为特征;
[000引所述应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板 中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对 应的应用类型为所述流量的应用类型;
[0009] 若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则所述 应用识别装置输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用 类型的对应关系添加到所述流量模板;
[0010] 所述应用识别装置根据用户添加到所述流量模板中的所述流量行为特征与应用 类型的对应关系确定所述流量的应用类型。
[0011] 本发明实施例提供一种应用识别装置,所述应用识别装置具体包括:
[0012] 获取模块,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据报 文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0013] 识别模块,用于利用所述M个数据报文确定所述流量的流量行为特征;
[0014] 查询模块,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中查 找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的 应用类型为所述流量的应用类型;
[0015]输出模块,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量行 为特征时,输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用类 型的对应关系添加到所述流量模板;
[0016]确定模块,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类型 的对应关系确定所述流量的应用类型。
[0017]基于上述技术方案,本发明实施例中,应用识别装置确定流量的流量行为特征,并 基于用于记录流量行为特征与应用类型的对应关系的流量模板,确定该流量的应用类型, 在根据流量模板未确定该流量的应用类型时,输出该流量的流量行为特征,W使用户可W 自行更新流量模板中记录的流量行为特征与应用类型的对应关系。上述应用类型识别方式 不需要基于特征库来识别流量的应用类型,相应的,也不需要依赖特征库的升级和规模,对 于独立的校园网、企业网中运行的非热口软件,可W基于流量行为特征确定流量的应用类 型,增强了应用识别装置对于流量的应用类型的识别能力,并为后续限速或者管控处理提 供帮助。
【附图说明】
[0018] 图1是本发明实施例提供的一种应用类型的确定方法流程示意图;
[0019] 图2是本发明实施例提供的一种应用识别装置的结构示意图。
【具体实施方式】
[0020] 针对现有技术中存在的问题,本发明实施例提供一种应用类型的确定方法,该方 法可W应用于应用识别装置。如图1所示,图1为本发明实施例提供的一种应用类型的确 定方法流程示意图。
[0021] 该应用类型的确定方法具体可W包括W下步骤:
[0022] 步骤101,应用识别装置获取同一流量中的M个数据报文,其中M小于预设的数据 报文获取数量,且获取M个数据报文的时间处于预设的时间范围内。
[0023]具体的,考虑到实际情况W及应用识别装置的性能和资源消耗,预先设置有预设 的数据报文获取数量,W及预设的时间范围内,其中,预设的数据报文获取数量已经可W覆 盖绝大多数流量所包括的数据报文数量,同样的,预设的时间范围也已经可W足够获取绝 大多数流量中的所有数据报文,例如第一流量的数据报文数量共100个,预设的数据报文 获取数量为1000,在此情况下,就只需要获取100个流量1的数据报文即可。而若是当某 些特殊的流量(例如命名为第二流量)的数据报文数量超过了预设的数据报文获取数量, 例如为1001,则只获取第二流量的1000个数据报文;同理,考虑到应用识别装置不能一直 处于运行状态,例如设置预设的时间为1小时,针对于第一流量,若是在1小时内(例如30 分钟)就获取到100个流量1的数据报文,则在获取到第100个数据报文时就中止获取的 操作,即M为100,而若是到1小时的时间到时时,才获取到90个流量1的数据不再继续获 取第一流量的数据报文,即M为90 ;再W第二流量为例来进行说明,若在1小时的时间到时 时,才获取到990个第二流量的数据报文,则不再获取第二流量的数据报文,利用获取到的 990个第二流量的数据报文来代表第二流量,即M为990,也即获取的数据报文的数量受到 预设的时间范围和预设的数据报文获取数量w及流量本身所包括的数据报文数量的同时 限制。
[0024] 步骤102、应用识别装置利用M个数据报文确定流量的流量行为特征;
[0025] 本发明实施例中,流量的流量行为特征具体包括但不限于W下之一或者任意组 合;流量对应的报文持续时间、流量对应的报文平均转发速率、流量对应的报文传输字节、 流量对应的目的端口的端口范围、流量的发起方向等特征信息。
[0026] 其中,流量对应的报文持续时间为获取流量的M个数据报文的时间;流量对应的 报文传输字节为流量的M个数据报文所传输的字节的和;流量对应的报文平均转发速率为 流量的M个数据报文的所传输的比特数的和除W获取该M个数据报文的时间;流量对应的 目的端口的范围为流量的M个数据报文的目的端口的范围;流量的发起方向为流量的M个 数据报文的发起方向。
[0027] 在本步骤101和步骤102中,应用识别装置可W获取针对同一流量中的M个数据 报文,并对该M个数据报文进行分析,依照分析结果,可W得到该M个数据报文所在流量对 应的流量行为特征。其中,获取针对同一流量中的M个数据报文的方式具体可W包括但不 限于;获取目的IP地址相同且源IP地址相同的M个数据报文作为针对同一流量的M个数 据报文。
[002引步骤103、判断流量模板中是否有与流量的流量行为特征匹配的流量行为特征。具 体的,若有,则执行步骤104 ;若没有,则执行步骤105。
[0029] 步骤104,应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量 模板中查找与流量的流量行为特征匹配的流量行为特征,确定匹配的流量行为特征对应的 应用类型为流量的应用类型。
[0030] 本发明实施例中,应用类型具体包括但不限于;HTTP(HyperTextTransfer Protocol,超文本传输协议)类型、Web(网页)类型、VPN(Vi;rtualPrivateNetwork,虚拟 专用网络)类型、游戏类型、流媒体类型、P2P(Peer-to-Peer,点对点)类型、NAT(Network AcMressTranslation,网络地址转换)类型。
[0031] 本发明实施例中,应用识别装置上可W维护预先配置的流量模板,且该预先配置 的流量模板用于记录初始配置的流量行为特征与应用类型的对应关系;和/或,该应用识 别装置上可W维护用户自定义的流量模板,且该用户自定义的流量模板用于记录用户设置 的流量行为特征与应用类型的对应关系。
[0032] 其中,预先配置的流量模板是指初始配置在应用识别装置上的流量模板,该预先 配置的流量模板记录的流量行为特征与应用类型的对应关系为根 据实际经验值,记录在预 先配置的流量模板中的。例如,当基于实际的经验值,获知流量行为特征A与应用类型A之 间具有对应关系时,则可W在预先配置的流量模板记录流量行为特征A与应用类型A之间 的对应关系。
[0033] 其中,用户自定义的流量模板是指应用识别装置接收到的用户配置的流量模板, 该用户自定义的流量模板记录的流量行为特征与应用类型的对应关系为用户基于实际需 要设置的。例如,用户根据实际识别效果和网络情况,认为流量行为特征C与应用类型C之 间具有对应关系时,则可W在用户自定义的流量模板记录流量行为特征C与应用类型C之 间的对应关系。
[0034] 本发明实施例中,当应用识别装置上同时维护预先配置的流量模板、用户自定义 的流量模板时,则还可W设置用户自定义的流量模板的匹配优先级高于预先配置的流量模 板的匹配优先级。基于此,应用识别装置在用于记录流量行为特征与应用类型的对应关系 的流量模板中查找与流量的流量行为特征匹配的流量行为特征,确定匹配的流量行为特征 对应的应用类型为流量的应用类型的过程,具体包括但不限于如下方式:应用识别装置在 用户自定义的流量模板查找与流量的流量行为特征匹配的流量行为特征,如果用户自定义 的流量模板中存在与流量的流量行为特征对应的应用类型匹配的第一流量行为特征,则确 定第一流量行为特征对应的应用类型为流量的应用类型。如果用户自定义的流量模板中不 存在与流量的流量行为特征匹配的第一流量行为特征,则应用识别装置在预先配置的流量 模板查找与流量的流量行为特征匹配的流量行为特征,如果预先配置的流量模板中存在与 流量的流量行为特征匹配的第二流量行为特征,则确定第二流量行为特征对应的应用类型 为流量的应用类型。步骤105、若流量模板中没有与流量的流量行为特征匹配的流量行为特 征,则应用识别装置输出流量的流量行为特征,W使用户将流量的流量行为特征与应用类 型的对应关系添加到流量模板。
[0035] 例如,当获取到流量的流量行为特征为流量行为特征B,通过流量行为特征B查 询用于记录流量行为特征与应用类型的对应关系的流量模板,无法找到与流量行为特征B 匹配的流量行为特征,那么也就无法确定流量行为特征为流量行为特征B的流量的应用类 型。因此输出流量行为特征B,W使用户通过分析流量行为特征B,在确定该流量行为特征 B对应的应用类型(如应用类型B)后,将流量行为特征B与应用类型B的对应关系添加至 流量模板。
[0036] 在一个例子中,该应用识别装置还可W接收用户输入的流量的流量行为特征与应 用类型的对应关系,并将该流量行为特征与应用类型的对应关系添加到流量模板,具体可 W添加到用户自定义的流量模板。
[0037] 步骤106、应用识别装置根据用户添加到流量模板中的流量行为特征与应用类型 的对应关系确定流量的应用类型。
[003引W下结合具体的应用场景对上述过程进行详细说明。本应用场景下,假设应用识 别装置上当前只维护表1所示的预先配置的流量模板(为描述方便,本例中将预先配置的 流量模板成为流量模板1)。对于能够基于特征库识别出应用类型的流量,则应用识别装置 通过深度解析出流量中的数据报文的报文载荷特征,并基于特征库和报文载荷特征识别出 该流量的应用类型。对于不能够基于特征库识别出应用类型的流量(为描述方便,本例中 将该流量称为流量1),则在预设的时间段N内,应用识别装置抓获流量1中的M个数据报文 (如目的地址相同,且源地址相同的M个数据报文),通过对M个数据报文进行分析,得到流 量1的流量行为特征。假设预设的时间范围为1小时,预设的数据报文获取数量为1000,流 量1所包括的数据报文数为100,且应用识别装置在半小时内就获取了流量1的100个数 据报文,则获取的流量1的M个数据报文,即为获取流量1的100个数据报文。基于该100 个数据报文来分析流量的流量行为特征,包括:流量1对应的报文持续时间、流量1对应的 报文平均转发速率、流量1对应的报文传输字节、流量1对应的目的端口的端口范围、流量 1对应的发起方向等。
[0039] 进一步的,应用识别装置在表1所示的流量模板1中查找与流量1的流量行为特 征匹配的流量行为特征,将匹配的流量行为特征对应的应用类型为流量1的应用类型。
[0040]表1
[0041]
[0043] 例如,当流量1的流量行为特征为;流量对应的报文持续时间为Z(秒),流量对应 的报文平均转发速率为d(pps),流量对应的报文传输字节在k(bytes)与i(bytes)之间, 流量对应的目的端口的端口范围小于端口a,流量对应的发起方向为内网到外网的数据报 文时,基于表1所示的流量模板1,应用识别装置可W得出表1所示的流量模板1中存在与 流量1的流量行为特征匹配的流量行为特征,且该匹配的流量行为特征对应的应用类型为 VPN类型,因此可确定流量1的应用类型为VPN类型。
[0044] 而若表1所示的流量模板1中不存在与流量1的流量行为特征匹配的流量行为特 征时,应用识别装置将流量1的流量行为特征输出,W上报给用户,使用户对流量1的流量 行为特征进行分析,得到流量1的流量行为特征与应用类型的对应关系,并将流量1的流量 行为特征与应用类型的对应关系添加到流量模板中。应用识别装置接收用户输入的流量1 的流量行为特征与应用类型的对应关系,建立用户自定义的流量模板(为描述方便,本例 中将用户自定义的流量模板称为流量模板2),将该流量1的流量行为特征与应用类型的对 应关系添加到流量模板2。应用识别装置便可W在流量模板2中查找到与流量1的流量行 为特征匹配的流量行为特征,并将该匹配的流量行为特征对应的应用类型确定为流量1的 应用类型。
[0045] 另外,在建立流量模板2时,配置流量模板2的匹配优先级高于流量模板2,W使得 应用识别装置在查询流量模板时,先查询流量模板2,若在流量模板2中查找到与流量的流 量行为特征匹配的流量行为特征,则可W不查询流量模板1。例如,后续若再接收到流量1, 就可W先查询流量模板2,由于流量模板2中已经记录了流量1的流量行为特征与应用类型 的对应关系,因此不需要再查询流量模板1,便可W便可W确定出流量1的应用类型,可提 高识别速度。
[0046] 基于上述技术方案,本发明实施例中,应用识别装置确定流量的流量行为特征,并 基于用于记录流量行为特征与应用类型的对应关系的流量模板,确定该流量的应用类型, 在根据流量模板未确定该流量的应用类型时,输出该流量的流量行为特征,W使用户可W 自行更新流量模板中记录的流量行为特征与应用类型的对应关系。上述应用类型识别方式 不需要基于特征库来识别流量的应用类型,相应的,也不需要依赖特征库的升级和规模,对 于独立的校园网、企业网中运行的非热口软件,可W基于流量行为特征确定流量的应用类 型,增强了应用识别装置对于流量的应用类型的识别能力,并为后续限速或者管控处理提 供帮助。
[0047] 基于与上述方法同样的发明构思,本发明实施例中还提供了一种应用识别装置, 如图2所示,所述应用识别装置具体包括:
[0048] 获取模块11,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据 报文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0049] 识别模块12,用于利用所述M个数据报文确定所述流量的流量行为特征;
[0050] 查询模块13,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中 查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应 的应用类型为所述流量的应用类型;
[0051] 输出模块14,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量 行为特征时,输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用 类型的对应关系添加到所述流量模板;
[0化2] 确定模块15,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类 型的对应关系确定所述流量的应用类型。
[0化3] 本发明实施例中,所述应用识别装置还包括:
[0054] 维护模块,用于维护预先配置的流量模板,所述预先配置的流量模板内记录初始 配置的流量行为特征与应用类型的对应关系;和/或,维护用户自定义的流量模板,所述用 户自定义的流量模板内记录用户设置的流量行为特征与应用类型的对应关系。
[0055] 所述查询模块13,具体在所述用户自定义的流量模板查找与所述流量的流量行为 特征匹配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为 特征对应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用 类型为所述流量的应用类型;如果所述用户自定义的流量模板中不存在与所述流量的流量 行为特征匹配的第一流量行为特征,则所述应用识别装置在所述预 先配置的流量模板查找 与所述流量的流量行为特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与 所述流量的流量行为特征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的 应用类型为所述流量的应用类型。
[0化6] 所述输出模块14还用于:
[0057] 接收用户输入的所述流量的流量行为特征与应用类型的对应关系,并将所述用户 输入的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自定义的流量模 板。
[0化引本发明实施例中,所述流量的流量行为特征具体包括W下之一或者任意组合:所 述流量对应的报文持续时间、所述流量对应的报文平均转发速率、所述流量对应的报文传 输字节、所述流量对应的目的端口的端口范围、所述流量的发起方向。进一步的,所述应用 类型包括:超文本传输协议HTTP类型、网页Web类型、虚拟专用网络VPN类型、游戏类型、流 媒体类型、点对点P2P类型、网络地址转换NAT类型。
[0059] 其中,本发明装置的各个模块可W集成于一体,也可W分离部署。上述模块可化合 并为一个模块,也可W进一步拆分成多个子模块。
[0060] 通过W上的实施方式的描述,本领域的技术人员可W清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现,当然也可W通过硬件,但很多情况下前者是更 佳的实施方式。基于该样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的 部分可软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若 干指令用W使得一台计算机设备(可W是个人计算机,服务器,或者网络设备等)执行本发 明各个实施例所述的方法。本领域技术人员可W理解附图只是一个优选实施例的示意图, 附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可W理解实施例中 的装置中的模块可W按照实施例描述进行分布于实施例的装置中,也可W进行相应变化位 于不同于本实施例的一个或多个装置中。上述实施例的模块可W合并为一个模块,也可W 进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。W 上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人 员能思之的变化都应落入本发明的保护范围。
【主权项】
1. 一种应用类型的确定方法,其特征在于,所述方法包括以下步骤: 应用识别装置获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获 取数量,且获取M个数据报文的时间处于预设的时间范围内; 所述应用识别装置利用所述M个数据报文确定所述流量的流量行为特征; 所述应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板中查 找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的 应用类型为所述流量的应用类型; 若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则所述应用 识别装置输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型 的对应关系添加到所述流量模板; 所述应用识别装置根据用户添加到所述流量模板中的所述流量行为特征与应用类型 的对应关系确定所述流量的应用类型。2. 如权利要求1所述的方法,其特征在于,所述方法进一步包括: 所述应用识别装置维护预先配置的流量模板,所述预先配置的流量模板内记录了初始 配置的流量行为特征与应用类型的对应关系;和/或 所述应用识别装置维护用户自定义的流量模板,所述用户自定义的流量模板内记录了 用户设置的流量行为特征与应用类型的对应关系。3. 如权利要求2所述的方法,其特征在于,所述应用识别装置在用于记录流量行为特 征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为 特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型,具体包括: 所述应用识别装置在所述用户自定义的流量模板查找与所述流量的流量行为特征匹 配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为特征对 应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用类型为 所述流量的应用类型; 如果所述用户自定义的流量模板中不存在与所述流量的流量行为特征匹配的第一流 量行为特征,则所述应用识别装置在所述预先配置的流量模板查找与所述流量的流量行为 特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与所述流量的流量行为特 征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的应用类型为所述流量的 应用类型。4. 根据权利要求2所述的方法,其特征在于,在所述应用识别装置根据用户添加到所 述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型之前, 所述方法还包括: 所述应用识别装置接收用户输入的所述流量的流量行为特征与应用类型的对应关系, 并将所述用户输入的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自 定义的流量模板。5. 如权利要求1-4任一项所述的方法,其特征在于,所述流量的流量行为特征具体包 括以下之一或者任意组合:所述流量对应的报文持续时间、所述流量对应的报文平均转发 速率、所述流量对应的报文传输字节、所述流量对应的目的端口的端口范围、所述流量的发 起方向。6. -种应用识别装置,其特征在于,所述应用识别装置具体包括: 获取模块,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获 取数量,且获取M个数据报文的时间处于预设的时间范围内; 识别模块,用于利用所述M个数据报文确定所述流量的流量行为特征; 查询模块,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与 所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用 类型为所述流量的应用类型; 输出模块,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特 征时,输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的 对应关系添加到所述流量模板; 确定模块,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对 应关系确定所述流量的应用类型。7. 如权利要求6所述的应用识别装置,其特征在于,还包括: 维护模块,用于维护预先配置的流量模板,所述预先配置的流量模板内记录初始配置 的流量行为特征与应用类型的对应关系;和/或,维护用户自定义的流量模板,所述用户自 定义的流量模板内记录用户设置的流量行为特征与应用类型的对应关系。8. 如权利要求7所述的应用识别装置,其特征在于, 所述查询模块,具体用于在所述用户自定义的流量模板查找与所述流量的流量行为特 征匹配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为特 征对应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用类 型为所述流量的应用类型; 如果所述用户自定义的流量模板中不存在与所述流量的流量行为特征匹配的第一流 量行为特征,则所述应用识别装置在所述预先配置的流量模板查找与所述流量的流量行为 特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与所述流量的流量行为特 征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的应用类型为所述流量的 应用类型。9. 根据权利要求7所述的应用识别装置,其特征在于,所述输出模块还用于: 接收用户输入的所述流量的流量行为特征与应用类型的对应关系,并将所述用户输入 的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自定义的流量模板。10. 如权利要求6-9任一项所述应用识别装置,其特征在于,所述流量的流量行为特征 具体包括以下之一或者任意组合:所述流量对应的报文持续时间、所述流量对应的报文平 均转发速率、所述流量对应的报文传输字节、所述流量对应的目的端口的端口范围、所述流 量的发起方向。
【专利摘要】本发明公开了一种应用类型的确定方法和装置,该方法包括:应用识别装置获取同一流量中的M个数据报文;利用所述M个数据报文确定所述流量的流量行为特征;在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型;若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的对应关系添加到所述流量模板;根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型。
【IPC分类】H04L12/801, H04L12/859
【公开号】CN104901897
【申请号】CN201510272541
【发明人】梁力文
【申请人】杭州华三通信技术有限公司
【公开日】2015年9月9日
【申请日】2015年5月26日
【技术领域】
[0001] 本发明设及通信技术领域,尤其设及一种应用类型的确定方法和装置。
【背景技术】
[0002] 随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式。各种网 络应用层出不穷,安全威胁和网络滥用也与日俱增,给网络监管机构对各种网络流量进行 深度识别提出了新的要求。
[0003] 目前对流量进行识别与检测的技术包括;DPI值eepPacketInspection,深层数 据包检测)技术。DPI技术主要通过对数据报文的负载进行特征匹配来识别数据报文的应 用类型,即该数据报文所属流量的应用类型。
[0004] 在上述识别方式中,需要基于特征库来进行应用类型的识别,特征库的大小、新 旧、权威性,决定着识别的准确性。目前特征库的提取和开发,是W网络上的热口软件为 目标,但对于一些较为独立的校园网、企业网,其运行着各自的非热口软件,设及流媒体、 P2P(Peer-t〇-Peer,点对点技术)、文件传输、即时聊天等多种应用类型,然而特征库的开发 分析并未设及该些校园网、企业网内的非热口软件,从而导致无法基于特征库识别出流量 的应用类型。
【发明内容】
[0005] 本发明实施例提供一种应用类型的确定方法,所述方法包括W下步骤:
[0006] 应用识别装置获取同一流量中的M个数据报文,其中M小于或等于预设的数据报 文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0007] 所述应用识别装置利用所述M个数据报文确定所述流量的流量行为特征;
[000引所述应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板 中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对 应的应用类型为所述流量的应用类型;
[0009] 若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则所述 应用识别装置输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用 类型的对应关系添加到所述流量模板;
[0010] 所述应用识别装置根据用户添加到所述流量模板中的所述流量行为特征与应用 类型的对应关系确定所述流量的应用类型。
[0011] 本发明实施例提供一种应用识别装置,所述应用识别装置具体包括:
[0012] 获取模块,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据报 文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0013] 识别模块,用于利用所述M个数据报文确定所述流量的流量行为特征;
[0014] 查询模块,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中查 找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的 应用类型为所述流量的应用类型;
[0015]输出模块,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量行 为特征时,输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用类 型的对应关系添加到所述流量模板;
[0016]确定模块,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类型 的对应关系确定所述流量的应用类型。
[0017]基于上述技术方案,本发明实施例中,应用识别装置确定流量的流量行为特征,并 基于用于记录流量行为特征与应用类型的对应关系的流量模板,确定该流量的应用类型, 在根据流量模板未确定该流量的应用类型时,输出该流量的流量行为特征,W使用户可W 自行更新流量模板中记录的流量行为特征与应用类型的对应关系。上述应用类型识别方式 不需要基于特征库来识别流量的应用类型,相应的,也不需要依赖特征库的升级和规模,对 于独立的校园网、企业网中运行的非热口软件,可W基于流量行为特征确定流量的应用类 型,增强了应用识别装置对于流量的应用类型的识别能力,并为后续限速或者管控处理提 供帮助。
【附图说明】
[0018] 图1是本发明实施例提供的一种应用类型的确定方法流程示意图;
[0019] 图2是本发明实施例提供的一种应用识别装置的结构示意图。
【具体实施方式】
[0020] 针对现有技术中存在的问题,本发明实施例提供一种应用类型的确定方法,该方 法可W应用于应用识别装置。如图1所示,图1为本发明实施例提供的一种应用类型的确 定方法流程示意图。
[0021] 该应用类型的确定方法具体可W包括W下步骤:
[0022] 步骤101,应用识别装置获取同一流量中的M个数据报文,其中M小于预设的数据 报文获取数量,且获取M个数据报文的时间处于预设的时间范围内。
[0023]具体的,考虑到实际情况W及应用识别装置的性能和资源消耗,预先设置有预设 的数据报文获取数量,W及预设的时间范围内,其中,预设的数据报文获取数量已经可W覆 盖绝大多数流量所包括的数据报文数量,同样的,预设的时间范围也已经可W足够获取绝 大多数流量中的所有数据报文,例如第一流量的数据报文数量共100个,预设的数据报文 获取数量为1000,在此情况下,就只需要获取100个流量1的数据报文即可。而若是当某 些特殊的流量(例如命名为第二流量)的数据报文数量超过了预设的数据报文获取数量, 例如为1001,则只获取第二流量的1000个数据报文;同理,考虑到应用识别装置不能一直 处于运行状态,例如设置预设的时间为1小时,针对于第一流量,若是在1小时内(例如30 分钟)就获取到100个流量1的数据报文,则在获取到第100个数据报文时就中止获取的 操作,即M为100,而若是到1小时的时间到时时,才获取到90个流量1的数据不再继续获 取第一流量的数据报文,即M为90 ;再W第二流量为例来进行说明,若在1小时的时间到时 时,才获取到990个第二流量的数据报文,则不再获取第二流量的数据报文,利用获取到的 990个第二流量的数据报文来代表第二流量,即M为990,也即获取的数据报文的数量受到 预设的时间范围和预设的数据报文获取数量w及流量本身所包括的数据报文数量的同时 限制。
[0024] 步骤102、应用识别装置利用M个数据报文确定流量的流量行为特征;
[0025] 本发明实施例中,流量的流量行为特征具体包括但不限于W下之一或者任意组 合;流量对应的报文持续时间、流量对应的报文平均转发速率、流量对应的报文传输字节、 流量对应的目的端口的端口范围、流量的发起方向等特征信息。
[0026] 其中,流量对应的报文持续时间为获取流量的M个数据报文的时间;流量对应的 报文传输字节为流量的M个数据报文所传输的字节的和;流量对应的报文平均转发速率为 流量的M个数据报文的所传输的比特数的和除W获取该M个数据报文的时间;流量对应的 目的端口的范围为流量的M个数据报文的目的端口的范围;流量的发起方向为流量的M个 数据报文的发起方向。
[0027] 在本步骤101和步骤102中,应用识别装置可W获取针对同一流量中的M个数据 报文,并对该M个数据报文进行分析,依照分析结果,可W得到该M个数据报文所在流量对 应的流量行为特征。其中,获取针对同一流量中的M个数据报文的方式具体可W包括但不 限于;获取目的IP地址相同且源IP地址相同的M个数据报文作为针对同一流量的M个数 据报文。
[002引步骤103、判断流量模板中是否有与流量的流量行为特征匹配的流量行为特征。具 体的,若有,则执行步骤104 ;若没有,则执行步骤105。
[0029] 步骤104,应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量 模板中查找与流量的流量行为特征匹配的流量行为特征,确定匹配的流量行为特征对应的 应用类型为流量的应用类型。
[0030] 本发明实施例中,应用类型具体包括但不限于;HTTP(HyperTextTransfer Protocol,超文本传输协议)类型、Web(网页)类型、VPN(Vi;rtualPrivateNetwork,虚拟 专用网络)类型、游戏类型、流媒体类型、P2P(Peer-to-Peer,点对点)类型、NAT(Network AcMressTranslation,网络地址转换)类型。
[0031] 本发明实施例中,应用识别装置上可W维护预先配置的流量模板,且该预先配置 的流量模板用于记录初始配置的流量行为特征与应用类型的对应关系;和/或,该应用识 别装置上可W维护用户自定义的流量模板,且该用户自定义的流量模板用于记录用户设置 的流量行为特征与应用类型的对应关系。
[0032] 其中,预先配置的流量模板是指初始配置在应用识别装置上的流量模板,该预先 配置的流量模板记录的流量行为特征与应用类型的对应关系为根 据实际经验值,记录在预 先配置的流量模板中的。例如,当基于实际的经验值,获知流量行为特征A与应用类型A之 间具有对应关系时,则可W在预先配置的流量模板记录流量行为特征A与应用类型A之间 的对应关系。
[0033] 其中,用户自定义的流量模板是指应用识别装置接收到的用户配置的流量模板, 该用户自定义的流量模板记录的流量行为特征与应用类型的对应关系为用户基于实际需 要设置的。例如,用户根据实际识别效果和网络情况,认为流量行为特征C与应用类型C之 间具有对应关系时,则可W在用户自定义的流量模板记录流量行为特征C与应用类型C之 间的对应关系。
[0034] 本发明实施例中,当应用识别装置上同时维护预先配置的流量模板、用户自定义 的流量模板时,则还可W设置用户自定义的流量模板的匹配优先级高于预先配置的流量模 板的匹配优先级。基于此,应用识别装置在用于记录流量行为特征与应用类型的对应关系 的流量模板中查找与流量的流量行为特征匹配的流量行为特征,确定匹配的流量行为特征 对应的应用类型为流量的应用类型的过程,具体包括但不限于如下方式:应用识别装置在 用户自定义的流量模板查找与流量的流量行为特征匹配的流量行为特征,如果用户自定义 的流量模板中存在与流量的流量行为特征对应的应用类型匹配的第一流量行为特征,则确 定第一流量行为特征对应的应用类型为流量的应用类型。如果用户自定义的流量模板中不 存在与流量的流量行为特征匹配的第一流量行为特征,则应用识别装置在预先配置的流量 模板查找与流量的流量行为特征匹配的流量行为特征,如果预先配置的流量模板中存在与 流量的流量行为特征匹配的第二流量行为特征,则确定第二流量行为特征对应的应用类型 为流量的应用类型。步骤105、若流量模板中没有与流量的流量行为特征匹配的流量行为特 征,则应用识别装置输出流量的流量行为特征,W使用户将流量的流量行为特征与应用类 型的对应关系添加到流量模板。
[0035] 例如,当获取到流量的流量行为特征为流量行为特征B,通过流量行为特征B查 询用于记录流量行为特征与应用类型的对应关系的流量模板,无法找到与流量行为特征B 匹配的流量行为特征,那么也就无法确定流量行为特征为流量行为特征B的流量的应用类 型。因此输出流量行为特征B,W使用户通过分析流量行为特征B,在确定该流量行为特征 B对应的应用类型(如应用类型B)后,将流量行为特征B与应用类型B的对应关系添加至 流量模板。
[0036] 在一个例子中,该应用识别装置还可W接收用户输入的流量的流量行为特征与应 用类型的对应关系,并将该流量行为特征与应用类型的对应关系添加到流量模板,具体可 W添加到用户自定义的流量模板。
[0037] 步骤106、应用识别装置根据用户添加到流量模板中的流量行为特征与应用类型 的对应关系确定流量的应用类型。
[003引W下结合具体的应用场景对上述过程进行详细说明。本应用场景下,假设应用识 别装置上当前只维护表1所示的预先配置的流量模板(为描述方便,本例中将预先配置的 流量模板成为流量模板1)。对于能够基于特征库识别出应用类型的流量,则应用识别装置 通过深度解析出流量中的数据报文的报文载荷特征,并基于特征库和报文载荷特征识别出 该流量的应用类型。对于不能够基于特征库识别出应用类型的流量(为描述方便,本例中 将该流量称为流量1),则在预设的时间段N内,应用识别装置抓获流量1中的M个数据报文 (如目的地址相同,且源地址相同的M个数据报文),通过对M个数据报文进行分析,得到流 量1的流量行为特征。假设预设的时间范围为1小时,预设的数据报文获取数量为1000,流 量1所包括的数据报文数为100,且应用识别装置在半小时内就获取了流量1的100个数 据报文,则获取的流量1的M个数据报文,即为获取流量1的100个数据报文。基于该100 个数据报文来分析流量的流量行为特征,包括:流量1对应的报文持续时间、流量1对应的 报文平均转发速率、流量1对应的报文传输字节、流量1对应的目的端口的端口范围、流量 1对应的发起方向等。
[0039] 进一步的,应用识别装置在表1所示的流量模板1中查找与流量1的流量行为特 征匹配的流量行为特征,将匹配的流量行为特征对应的应用类型为流量1的应用类型。
[0040]表1
[0041]
[0043] 例如,当流量1的流量行为特征为;流量对应的报文持续时间为Z(秒),流量对应 的报文平均转发速率为d(pps),流量对应的报文传输字节在k(bytes)与i(bytes)之间, 流量对应的目的端口的端口范围小于端口a,流量对应的发起方向为内网到外网的数据报 文时,基于表1所示的流量模板1,应用识别装置可W得出表1所示的流量模板1中存在与 流量1的流量行为特征匹配的流量行为特征,且该匹配的流量行为特征对应的应用类型为 VPN类型,因此可确定流量1的应用类型为VPN类型。
[0044] 而若表1所示的流量模板1中不存在与流量1的流量行为特征匹配的流量行为特 征时,应用识别装置将流量1的流量行为特征输出,W上报给用户,使用户对流量1的流量 行为特征进行分析,得到流量1的流量行为特征与应用类型的对应关系,并将流量1的流量 行为特征与应用类型的对应关系添加到流量模板中。应用识别装置接收用户输入的流量1 的流量行为特征与应用类型的对应关系,建立用户自定义的流量模板(为描述方便,本例 中将用户自定义的流量模板称为流量模板2),将该流量1的流量行为特征与应用类型的对 应关系添加到流量模板2。应用识别装置便可W在流量模板2中查找到与流量1的流量行 为特征匹配的流量行为特征,并将该匹配的流量行为特征对应的应用类型确定为流量1的 应用类型。
[0045] 另外,在建立流量模板2时,配置流量模板2的匹配优先级高于流量模板2,W使得 应用识别装置在查询流量模板时,先查询流量模板2,若在流量模板2中查找到与流量的流 量行为特征匹配的流量行为特征,则可W不查询流量模板1。例如,后续若再接收到流量1, 就可W先查询流量模板2,由于流量模板2中已经记录了流量1的流量行为特征与应用类型 的对应关系,因此不需要再查询流量模板1,便可W便可W确定出流量1的应用类型,可提 高识别速度。
[0046] 基于上述技术方案,本发明实施例中,应用识别装置确定流量的流量行为特征,并 基于用于记录流量行为特征与应用类型的对应关系的流量模板,确定该流量的应用类型, 在根据流量模板未确定该流量的应用类型时,输出该流量的流量行为特征,W使用户可W 自行更新流量模板中记录的流量行为特征与应用类型的对应关系。上述应用类型识别方式 不需要基于特征库来识别流量的应用类型,相应的,也不需要依赖特征库的升级和规模,对 于独立的校园网、企业网中运行的非热口软件,可W基于流量行为特征确定流量的应用类 型,增强了应用识别装置对于流量的应用类型的识别能力,并为后续限速或者管控处理提 供帮助。
[0047] 基于与上述方法同样的发明构思,本发明实施例中还提供了一种应用识别装置, 如图2所示,所述应用识别装置具体包括:
[0048] 获取模块11,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据 报文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0049] 识别模块12,用于利用所述M个数据报文确定所述流量的流量行为特征;
[0050] 查询模块13,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中 查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应 的应用类型为所述流量的应用类型;
[0051] 输出模块14,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量 行为特征时,输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用 类型的对应关系添加到所述流量模板;
[0化2] 确定模块15,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类 型的对应关系确定所述流量的应用类型。
[0化3] 本发明实施例中,所述应用识别装置还包括:
[0054] 维护模块,用于维护预先配置的流量模板,所述预先配置的流量模板内记录初始 配置的流量行为特征与应用类型的对应关系;和/或,维护用户自定义的流量模板,所述用 户自定义的流量模板内记录用户设置的流量行为特征与应用类型的对应关系。
[0055] 所述查询模块13,具体在所述用户自定义的流量模板查找与所述流量的流量行为 特征匹配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为 特征对应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用 类型为所述流量的应用类型;如果所述用户自定义的流量模板中不存在与所述流量的流量 行为特征匹配的第一流量行为特征,则所述应用识别装置在所述预 先配置的流量模板查找 与所述流量的流量行为特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与 所述流量的流量行为特征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的 应用类型为所述流量的应用类型。
[0化6] 所述输出模块14还用于:
[0057] 接收用户输入的所述流量的流量行为特征与应用类型的对应关系,并将所述用户 输入的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自定义的流量模 板。
[0化引本发明实施例中,所述流量的流量行为特征具体包括W下之一或者任意组合:所 述流量对应的报文持续时间、所述流量对应的报文平均转发速率、所述流量对应的报文传 输字节、所述流量对应的目的端口的端口范围、所述流量的发起方向。进一步的,所述应用 类型包括:超文本传输协议HTTP类型、网页Web类型、虚拟专用网络VPN类型、游戏类型、流 媒体类型、点对点P2P类型、网络地址转换NAT类型。
[0059] 其中,本发明装置的各个模块可W集成于一体,也可W分离部署。上述模块可化合 并为一个模块,也可W进一步拆分成多个子模块。
[0060] 通过W上的实施方式的描述,本领域的技术人员可W清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现,当然也可W通过硬件,但很多情况下前者是更 佳的实施方式。基于该样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的 部分可软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若 干指令用W使得一台计算机设备(可W是个人计算机,服务器,或者网络设备等)执行本发 明各个实施例所述的方法。本领域技术人员可W理解附图只是一个优选实施例的示意图, 附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可W理解实施例中 的装置中的模块可W按照实施例描述进行分布于实施例的装置中,也可W进行相应变化位 于不同于本实施例的一个或多个装置中。上述实施例的模块可W合并为一个模块,也可W 进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。W 上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人 员能思之的变化都应落入本发明的保护范围。
【主权项】
1. 一种应用类型的确定方法,其特征在于,所述方法包括以下步骤: 应用识别装置获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获 取数量,且获取M个数据报文的时间处于预设的时间范围内; 所述应用识别装置利用所述M个数据报文确定所述流量的流量行为特征; 所述应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板中查 找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的 应用类型为所述流量的应用类型; 若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则所述应用 识别装置输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型 的对应关系添加到所述流量模板; 所述应用识别装置根据用户添加到所述流量模板中的所述流量行为特征与应用类型 的对应关系确定所述流量的应用类型。2. 如权利要求1所述的方法,其特征在于,所述方法进一步包括: 所述应用识别装置维护预先配置的流量模板,所述预先配置的流量模板内记录了初始 配置的流量行为特征与应用类型的对应关系;和/或 所述应用识别装置维护用户自定义的流量模板,所述用户自定义的流量模板内记录了 用户设置的流量行为特征与应用类型的对应关系。3. 如权利要求2所述的方法,其特征在于,所述应用识别装置在用于记录流量行为特 征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为 特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型,具体包括: 所述应用识别装置在所述用户自定义的流量模板查找与所述流量的流量行为特征匹 配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为特征对 应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用类型为 所述流量的应用类型; 如果所述用户自定义的流量模板中不存在与所述流量的流量行为特征匹配的第一流 量行为特征,则所述应用识别装置在所述预先配置的流量模板查找与所述流量的流量行为 特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与所述流量的流量行为特 征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的应用类型为所述流量的 应用类型。4. 根据权利要求2所述的方法,其特征在于,在所述应用识别装置根据用户添加到所 述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型之前, 所述方法还包括: 所述应用识别装置接收用户输入的所述流量的流量行为特征与应用类型的对应关系, 并将所述用户输入的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自 定义的流量模板。5. 如权利要求1-4任一项所述的方法,其特征在于,所述流量的流量行为特征具体包 括以下之一或者任意组合:所述流量对应的报文持续时间、所述流量对应的报文平均转发 速率、所述流量对应的报文传输字节、所述流量对应的目的端口的端口范围、所述流量的发 起方向。6. -种应用识别装置,其特征在于,所述应用识别装置具体包括: 获取模块,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获 取数量,且获取M个数据报文的时间处于预设的时间范围内; 识别模块,用于利用所述M个数据报文确定所述流量的流量行为特征; 查询模块,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与 所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用 类型为所述流量的应用类型; 输出模块,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特 征时,输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的 对应关系添加到所述流量模板; 确定模块,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对 应关系确定所述流量的应用类型。7. 如权利要求6所述的应用识别装置,其特征在于,还包括: 维护模块,用于维护预先配置的流量模板,所述预先配置的流量模板内记录初始配置 的流量行为特征与应用类型的对应关系;和/或,维护用户自定义的流量模板,所述用户自 定义的流量模板内记录用户设置的流量行为特征与应用类型的对应关系。8. 如权利要求7所述的应用识别装置,其特征在于, 所述查询模块,具体用于在所述用户自定义的流量模板查找与所述流量的流量行为特 征匹配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为特 征对应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用类 型为所述流量的应用类型; 如果所述用户自定义的流量模板中不存在与所述流量的流量行为特征匹配的第一流 量行为特征,则所述应用识别装置在所述预先配置的流量模板查找与所述流量的流量行为 特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与所述流量的流量行为特 征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的应用类型为所述流量的 应用类型。9. 根据权利要求7所述的应用识别装置,其特征在于,所述输出模块还用于: 接收用户输入的所述流量的流量行为特征与应用类型的对应关系,并将所述用户输入 的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自定义的流量模板。10. 如权利要求6-9任一项所述应用识别装置,其特征在于,所述流量的流量行为特征 具体包括以下之一或者任意组合:所述流量对应的报文持续时间、所述流量对应的报文平 均转发速率、所述流量对应的报文传输字节、所述流量对应的目的端口的端口范围、所述流 量的发起方向。
【专利摘要】本发明公开了一种应用类型的确定方法和装置,该方法包括:应用识别装置获取同一流量中的M个数据报文;利用所述M个数据报文确定所述流量的流量行为特征;在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型;若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的对应关系添加到所述流量模板;根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型。
【IPC分类】H04L12/801, H04L12/859
【公开号】CN104901897
【申请号】CN201510272541
【发明人】梁力文
【申请人】杭州华三通信技术有限公司
【公开日】2015年9月9日
【申请日】2015年5月26日
最新回复(0)