[发明专利]一种网络数据流量分类方法和装置

说明书

技术领域

本发明涉及通信领域，尤其涉及一种网络数据流分类方法和装置。

背景技术

目前，因特网（Internet）应用的数据流分类是一个被普遍关心的问题。其原因在于，首相，当网络运营商了解到他们运营的网络上正传送着什么类型的数据时，他们可以制订计划、预算和提案。网络运营商和网络用户也一直都对那些能够识别不正常网络数据流并能有效阻止恶意攻击的系统很感兴趣。其次，这些指导信息和实际的应用分类可以被用来对网络进行建模，即，对数据流的类别和用户组成等信息的建模。第三，就像电话公司必须提供用户使用电话的截取信息一样，一些国家的政府也正在阐明因特网服务提供商（Internet Service Provider，ISP）在网络上的“合法侦听”义务，截取特定时间、特定人物的网络使用的截取信息给政府，预计有这种需求的政府和部门会变得越来越多。最后，数据流分类技术可以应用于网络入侵检测系统的核心部件中，区分恶意流量和正常流量。

现有技术提供的一种识别网络数据流类型的方法主要是通过探测数据包所使用的知名端口来进行，即，通过分析各个数据包的头部信息，然后将特定的端口与特定的应用相关联来识别流量。具体地，一个流量分类器只要在网络环境下查找包含同步消息（SYN消息）的TCP数据包便可以知道一个新的客户端-服务器连接中哪一方是服务器端。接着，确定TCP同步消息包的目的端口号（该端口号在互联网地址指派机构的注册端口号中有所定义），根据这个端口的定义就知道这个数据流所属的应用，UDP也可以用相似的方法确定应用。

由于现在越来越多的服务已不再使用知名端口，它们并没有在互联网地址指派机构注册过端口号，例如，诸如BitTorrent和eMule等基于点对点技术的应用就没有注册过端口号。另一方面，一个应用可能使用并非知名端口来绕过操作系统的访问控制，例如，无权限用户在类似unix系统上可能被迫运行非80端口的超文本传送协议（Hypertext Transfer Protocol，HTTP）服务。再者，在一些特定应用中，例如，被动模式的文件传输协议（File Transfer Protocol，FTP）应用和RealMedia应用等，所使用的端口号不是固定的而是动态获取的，这也给基于端口的网络数据流分类方法造成了很大的障碍。

因此，上述现有技术提供的基于知名端口的网络数据流分类方法，对网络数据流的业务类型进行分类的准确度并不高，这种方法面临越来越跟不上现实要求的困境。

发明内容

本发明实施例提供一种网络数据流分类方法和装置，以提高对网络上数据业务流进行分类时的准确性。

本发明实施例提供一种网络数据流分类方法，所述方法包括：将当前数据流的至少一个特征与数据流特征库保存的类型已识别数据流的特征进行匹配；若匹配失败，则结合数据流拓扑特征信息，采用启发式规则对所述当前数据流的类型再次识别，所述数据流拓扑特征信息根据类型已识别数据流和/或类型未识别数据流生成。

可选地，在所述将当前数据流的至少一个特征与数据流特征库保存的类型已识别数据流的特征进行匹配之后，所述方法还包括：若匹配成功，则对所述匹配成功的当前数据流的类型进行标记；或者，若将当前数据流的至少一个特征与数据流特征库保存的类型已识别数据流的特征进行匹配失败，则所述方法进一步包括：对所述匹配失败的当前数据流维持待分类状态。

可选地，所述方法进一步包括：根据所述匹配失败或匹配成功的当前数据流更新所述数据流拓扑特征信息。

可选地，所述数据流拓扑特征信息包括类型已识别数据流的目的IP地址和目的端口地址；所述结合数据流拓扑特征信息，采用启发式规则对所述当前数据流的类型再次识别包括：将所述当前数据流的目的IP地址和目的端口地址分别与所述数据流拓扑特征信息中类型已识别数据流的目的IP地址和目的端口地址匹配，若匹配成功，则判断所述当前数据流与所述类型已识别数据流为同种类型的数据流。

可选地，所述数据流拓扑特征信息包括类型已识别数据流的源IP地址和目的IP地址；所述结合数据流拓扑特征信息，采用启发式规则对所述当前数据流的类型再次识别包括：将所述当前数据流的源IP地址和目的IP地址分别与所述数据流拓扑特征信息中类型已识别数据流的源IP地址和目的IP地址匹配，若匹配成功，则判断所述当前数据流与所述类型已识别数据流为同种类型的数据流。