[发明专利]基于模式匹配方式的网络数据流识别方法

说明书

技术领域

本发明属于网络技术领域，涉及流量监控与管理，尤其是一种基于模式匹配方式 的网络数据流识别方法，可用于各类网络安全、网络监控以及负载均衡等设备中实现 对网络数据流的识别和分类。

背景技术

随着信息技术的飞速发展，互联网已成为人类社会最重要的信息基础设施，成为 人们日常工作生活中不可或缺的一部分。为了提供良好的网络环境和网络服务，网络 管理员或网络服务提供者ISP需要对网络的稳定性和安全性进行管理与监控，而数据 流识别正是网络监控与管理的基础和前提。能够准确地识别网络上的各种数据流，对 于服务质量控制QoS、入侵检测、边界防护、流量控制、计费管理以及用户行为分析 等都有着重要的意义。

传统的数据流识别方法依赖于将网络协议与由IANA指定的端口号进行映射，从而 识别不同的数据流。这种基于包头信息的方法简单高效，直到现在还在很多场合中应 用。但是由于新出现的协议，尤其是联网游戏大多不在IANA中注册其端口号，导致 这种方法能够识别的协议所占的比重越来越少。而且一些网络攻击和新型应用，比如 P2P开始采用动态的端口号，并经常利用其他协议的端口号来伪装自己，这些都导致 了基于端口号等包头信息匹配的数据流分析方法受到了很大的阻碍。

为了解决基于包头信息的数据流识别所存在的问题，近年来提出了基于载荷的数 据流识别技术。基于载荷的数据流识别技术将分析对象从端口号等包头信息扩展到数 据包的载荷部分。通过预先对协议工作过程的分析，找出其载荷中有代表性的“指 纹”特征，并在识别的时候对该“指纹”进行全报文匹配。使用基于载荷的数据流识 别技术可以有效解决包头匹配方法遇到的问题，实现更加准确可靠的数据流识别。目 前这种识别方式已经成为应用最为广泛的数据流识别方式之一。然而这种基于载荷的 识别方法也存在不少缺点和局限性，主要体现在：(1)时空复杂度很高，工作效率低， 给网络带来大量的时延，显著降低带宽；(2)只能识别已知特征的数据流，无法区分 未知的数据流(3)对于加密的数据流无法识别。

目前，基于数据流统计特征的算法逐渐成为了研究的热点。基于数据流统计特征 的算法是用一些数据流的统计信息，如ip包的大小、流的长度、ip包的总个数等， 作为进行分类的依据，通常这种算法总是与机器学习的方法结合到一起。此算法无需 知道协议的具体细节，便可以有效的将网络数据流分为传统数据流、流媒体、P2P数 据流、游戏数据流、网络存储数据流这几大类，从而达到对相应类型的网络数据流进 行管理的目的。但是这项方法并不成熟，到目前为止只能达到粗分类，而且实现起来 也更加复杂。

综上所述，现有的各种数据流分析方法各自有着显著的优缺点，且都不能满足现 今数据流分析的需要。另外，基于载荷的数据流识别技术和基于数据流统计特征的算 法的实现较为复杂，只能应用于特定的场合，无法做到灵活的通用配置，在具有新特 征的网络数据流出现时，往往需要重新编程才能实现对这些数据流的识别。

发明内容

本发明的目的在于克服上述现有技术的不足，提出一种基于模式匹配方式的网络 数据流识别方法，以提高识别效果，简化更新和配置方式，使用户只需根据新数据流 的特征就可将其从网络数据流中识别出来。

实现本发明目的技术方案是：通过定义规范的语法和语义，对网络数据流的各种 特征进行描述，使得任意具有共同特征的网络数据流都可以无歧义的用一个流模式表 示出来，并针对这种流模式进行统一的解析和处理，生成对应的有限状态自动机，从 而将对网络数据流的识别过程描述为有限状态自动机中状态的迁移，其步骤包括如 下：

(1)用正则文法设定流模式，该流模式是由表示单个数据包特征的流字符和表示 流字符之间关系的流操作符组合成的元字符序列；

(2)对于任意一种类型的网络数据流，用所述流模式描述其特征；

(3)从每一个流模式中用Lex、Yacc、Flex或Bison这类工具生成一个解析树， 从该解析树中通过Glushkov算法构造一个有限状态自动机，用该有限状态自动机表 示对流模式描述的网络数据流的识别；