[发明专利]基于传输层特征的流量分类方法及装置

说明书

技术领域

本发明涉及互联网应用技术领域，尤其涉及互联网应用中基于传输层特征对流量进行分类的方法及装置。

背景技术

近年来，信息技术取得了突飞猛进式的发展，网络带宽迅速提高，网络容量急剧扩大，各种各样的互联网应用也如雨后春笋般地出现，网络结构从传统的客户/服务器(C/S)、浏览器/服务器(B/S)模式，逐渐转向P2P结构的应用模式。传统的WWW、FTP、MAIL业务虽仍然是不可或缺的互联网应用，但已不再占据互联网的统治地位；语音、视频、网络电视等应用迅速流行，并逐渐成为占用网络带宽的主流应用。这些主流应用不仅占用大量带宽资源，容易引起网络拥塞，增加了运营商的运维成本，而且容易传播计算机病毒，对网络安全构成了严重威胁；又由于网络结构日益复杂，传统的网络管理工具已经无法完成网络分析与管理的工作，网络的安全性、可管理性受到严重挑战。尽管网络管理人员及研究人员等提出了容量规划、流量控制等一系列策略来提高网络的运营效率。然而，无论是根据用户需求对网络资源进行QoS调度，还是根据网络应用的发展趋势对现有网络进行扩容改造，都必须对网络流量中各种应用进行准确的分类与识别。因此流分类技术是许多其他网络管理技术的基础。例如网络管理员需要对各种应用类型进行实时的监控和管理，以分析用户上网行为、流量计费或优化网络等。另外，准确的流分类在网络安全、应用趋势分析等研究领域，也具有极其重要的意义。

流分类技术的目的就是根据一定的策略和规则，识别数据流属于何种应用类型，从而可以确切的掌握网络中实际运行着何种应用程序，从而为管理、完全、研究等网络相关业务提供前提条件。所谓流即数据流，相同的是指即具有相同源IP、源端口、目的IP、目的端口、传输层协议的所有数据包。如何快速、准确地实现流分类，并不是一个简单的任务。传统的流分类方法主要有以下两种：

(1)基于端口号的流分类技术：早期的互联网应用较少，且大多都使用固定端口号(特别是一些常用服务，它们甚至使用静态端口)进行数据传输。例如FTP使用端口号21实现文件传输，Telnet使用端口号23实现远程登录，HTTP使用端口号80实现超文本传输等等。通过截获这些应用产生的数据包，将其中的端口号与应用类型一一对应起来即可识别出其应用类型，准确性、实时性都较高。但目前一方面由于许多互联网应用类型已经不再使用固定的、或可预知的端口号作为其通信端口，所以以前常用的基于端口号的分类方法不再适用，另一方面网络地址转换(NAT，Network Addresses Transformation)技术以及代理技术的运用使端口号无法再作为识别流的有效标识。

(2)基于特征字段的流分类技术：本技术主要应用于识别P2P流。近年来，P2P流占网络总流的比重逐年增加，有很多网络中甚至超过了50％，所以，一旦能准确识别出P2P流，流分类工作就已完成了一大半。主要的实现方案是针对数据流中的TCP流进行了详细分析，在这些数据流的有效载荷中找到了具有代表性的、唯一的特征字段及其位置，然后进一步利用这些特征字段及其位置来判断各数据包是否是P2P流。已经有研究人员总结了当时几种流行P2P协议的特征字段。遗憾的是该实现方案也只能识别特征字段已知的P2P流，不能识别所有流，完整性低。

近年来，人们又提出了基于传输层的新型流分类技术，目前已经有一定研究成果的方案有以下两种：

(1)BLINC(Blind classification)流分类方案：该方案所提首先提出利用主机在传输层表现出的行为模式来实现流分类，该方法又叫BLINC流分类方法，其工作原理如下：首先观察Internet上单个主机的行为特点，例如是否同时与多台主机通信，或者同时扫描另一台主机的多个端口；然后从三个层次对主机行为进行分析，即反映主机连通度的社会层(Social)、反映服务提供者或消费者行为的功能层(Functional)以及表示传输层拓扑连接的应用层(Application)；并将观察到的主机群行为模式与已知的应用特征进行匹配，即根据事先构造好的图表进行匹配。最后，利用由统计数据或凭经验得到的启发式进一步完善算法性能。一方面由于该方案利用了网络应用的行为属性，不仅容易随着网络应用自身的改进而失效，也会因为网络环境的不同而导致分类性能出现显著的变化。又由于其分类模型较为复杂，计算量大，较难直接用作流量分类。