[发明专利]协议类型的识别方法和装置

说明书

技术领域

本发明涉及网络流量管理技术，尤其涉及一种协议类型的识别方法和装置。

背景技术

深度报文检测(Deep Packet Inspection，DPI)技术可以深入分析报文来识别报文，DPI除了对报文L2(数据链路层)、L3(网络层)、L4(传输层)的内容进行分析外，还增加了对L7(应用层)内容的分析，能识别各种真实的应用及其内容，，进而用于网络优化和流量控制等应用场景。

在现有技术下，DPI通常基于数据流来识别报文，即DPI以单条数据流为对象来进行处理，对数据流经过流表查找之后，通过使用各种识别方法，例如特征识别、端口分类、统计方法等，对数据流中的报文进行扫描，完成流的识别和分类。每条流的识别都是一个独立的处理过程，识别结果时也以流为单位进行保存。

基于流的识别方法的缺点是：基于流的识别方式在每条流的范围内通过对数据流中的报文内容进行扫描来实现识别和协议分类，没有利用数据流之间的关联性，对数据流识别的性能低并且无法实现基于用户为单位的精准的业务控制。

发明内容

本发明实施例提供了一种协议类型的识别方法和装置，以提高数据流协议识别的效率。

第一方面，本发明实施例提供了一种协议类型的识别方法，所述方法包括：

获取用户终端与服务器之间建立的连接上传送的数据报文；

查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别；

如果没有查找到所述用户终端对应的用户多维信息，则根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。

在第一种可能的实现方式中，所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息包括：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

根据第一方面的第一种可能的实现方式，在第二种可能的实现方式中，在所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息之后，还包括：如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。

结合第一方面，在第三种可能的实现方式中，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。