[发明专利]互联网应用流量识别方法、系统及识别装置

权利要求书

1.一种互联网应用流量识别方法，其特征在于，该方法包括：

初始化步骤，创建深度包检测处理线程，并申请预设大小的流表内存；

数组搜索树定位步骤，从预先设定的特征码配置文件中读取特征码信息，并根据该特征码信息建立特征码搜索树；

数据报文处理步骤一，对接收的数据报文进行解析，得到该数据报文的通信内容的起始位置地址；

数据报文处理步骤二，根据预先设定的五元组信息建立流表信息，将同属于一个五元组的数据报文合并成一条数据流；

特征码检测步骤一，根据所述特征码搜索树和流表信息，通过单一校验规则，对所述通信内容的起始位置地址开始的信息执行一次报文扫描，搜索匹配的特征码；及

特征码检测步骤二，根据匹配的特征码确定该数据报文所属的应用。

2.根据权利要求1所述的互联网应用流量识别方法，其特征在于，所述单一校验规则为固定位置特征码识别，用于在数据报文的固定位置识别特征码。

3.根据权利要求2所述的互联网应用流量识别方法，其特征在于，如果所述流表信息中的一条数据流的任意一个数据报文被检测出特征，则停止对该条数据流中的剩余数据报文进行检测。

4.根据权利要求2所述的互联网应用流量识别方法，其特征在于，所述特征码检测步骤一包括：

从所述通信内容的起始位置地址开始，获取当前位置对应的单字节ASCII值，将该单字节ASCII值设置为特征码搜索树数组的下标，并根据该下标查找特征码节点指针；

如果该特征码节点指针为空，则判定没有当前位置对应的特征字开头的特征码，直接搜索下一个位置的内容；及

如果该特征码节点指针不为空，则遍历所有特征码节点指针，命中特征码节点后结束扫描。

5.根据权利要求1所述的互联网应用流量识别方法，其特征在于，所述预先设定的特征码配置文件为一个特征码表，该特征码表采用二维数组结构，该二维数组的第一维度为特征码的ASCII字符值，第二维度为特征码起始位置。

6.根据权利要求1所述的互联网应用流量识别方法，其特征在于，所述特征码搜索树以数组形式建立，且所述特征码搜索树末尾附加一串特征码指针，该特征码指针挂接在数组下标为零的特征码搜索树中。

7.根据权利要求1所述的互联网应用流量识别方法，其特征在于，所述流表是以五元组信息为键值的哈希数组，且采用三维数组结构；

通过所述三维数组可以构建流表搜索树，该流表搜索树的内存占用大小=流表的结构大小* 该三维数组第一维度的大小* 第二维度的大小* 第三维度的大小。

8.根据权利要求1所述的互联网应用流量识别方法，其特征在于，该方法还包括如下步骤：

如果一条数据流已经被识别，则设置两个监听计数器确定流表的命中次数。

9.一种互联网应用流量识别系统，其特征在于，该系统包括：

初始化模块，用于创建深度包检测处理线程，并申请预设大小的流表内存；

数组搜索树定位模块，用于从预先设定的特征码配置文件中读取特征码信息，并根据该特征码信息建立特征码搜索树；

数据报文处理模块，用于对接收的数据报文进行解析，得到该数据报文的通信内容的起始位置地址；

所述数据报文处理模块，还用于根据预先设定的五元组信息建立流表信息，将同属于一个五元组的数据报文合并成一条数据流；

特征码检测模块，用于根据所述特征码搜索树和流表信息，通过单一校验规则，对所述通信内容的起始位置地址开始的信息执行一次报文扫描，搜索匹配的特征码；及

所述特征码检测模块，还用于根据匹配的特征码确定该数据报文所属的应用。

10.一种识别装置，其特征在于，该识别装置包括：

存储器；

处理器；以及

一个或多个模块，所述一个或多个模块被存储在所述存储器中并被配置成由所述处理器执行，以完成以下指令：

创建深度包检测处理线程，并申请预设大小的流表内存；

从预先设定的特征码配置文件中读取特征码信息，并根据该特征码信息建立特征码搜索树；

对接收的数据报文进行解析，得到该数据报文的通信内容的起始位置地址；

根据预先设定的五元组信息建立流表信息，将同属于一个五元组的数据报文合并成一条数据流；

根据所述特征码搜索树和流表信息，通过单一校验规则，对所述通信内容的起始位置地址开始的信息执行一次报文扫描，搜索匹配的特征码；及

根据匹配的特征码确定该数据报文所属的应用。