[发明专利]互联网应用流量识别方法、系统及识别装置

说明书

技术领域

本发明涉及数据分析领域，特别涉及一种互联网应用流量识别方法、系统及识别装置。

背景技术

在互联网TCP/IP通信领域，网络管理最在意的是提供流量服务中的哪些流量占比较大，哪些流量会造成管道的拥塞，现有的网管系统中，通过网元的网络流量（Net flow）统计可以知道哪些IP和端口的流量占比，但这远远满足不了网络管理的需求，网络管理员更在意具体是哪些应用（如通信软件等）在占用宝贵的带宽，甚至影响到一些需要保证的优先服务内容。需要对互联网管道流量内容进行识别，就需要使用到DPI（Deep Packet Inspection，深度包检测）技术，而DPI技术中最为关键的是如何使用特征码技术高效、准确识别流量所属应用。

当前的特征码识别一般采用的是正则表达式的匹配方式，正则表达式可以匹配任意长度和位置的信息，使用及管理灵活，缺点是效率低下。互联网应用，特别是移动互联网的到来，互联网应用呈现爆炸式剧增，需要匹配的特征码也越来越多，系统需要对数据报文扫描的次数与特征码的数量成正比，这样就导致了识别效率与特征码的数量成反比下降的趋势。

 

发明内容

鉴于以上内容，本发明提出一种互联网应用流量识别方法、系统及识别装置，通过流表技术和特征码识别技术，一次报文扫描即可检测出数据报文中是否包含已经应用的特征码，从而提高多特征码扫描的识别效率。

一种互联网应用流量识别方法，该方法包括：初始化步骤，创建深度包检测处理线程，并申请预设大小的流表内存；数组搜索树定位步骤，从预先设定的特征码配置文件中读取特征码信息，并根据该特征码信息建立特征码搜索树；数据报文处理步骤一，对接收的数据报文进行解析，得到该数据报文的通信内容的起始位置地址；数据报文处理步骤二，根据预先设定的五元组信息建立流表信息，将同属于一个五元组的数据报文合并成一条数据流；特征码检测步骤一，根据所述特征码搜索树和流表信息，通过单一校验规则，对所述通信内容的起始位置地址开始的信息执行一次报文扫描，搜索匹配的特征码；特征码检测步骤二，根据匹配的特征码确定该数据报文所属的应用。

一种互联网应用流量识别系统，该系统包括：初始化模块，用于创建深度包检测处理线程，并申请预设大小的流表内存；数组搜索树定位模块，用于从预先设定的特征码配置文件中读取特征码信息，并根据该特征码信息建立特征码搜索树；数据报文处理模块，用于对接收的数据报文进行解析，得到该数据报文的通信内容的起始位置地址；所述数据报文处理模块，还用于根据预先设定的五元组信息建立流表信息，将同属于一个五元组的数据报文合并成一条数据流；特征码检测模块，用于根据所述特征码搜索树和流表信息，通过单一校验规则，对所述通信内容的起始位置地址开始的信息执行一次报文扫描，搜索匹配的特征码；所述特征码检测模块，还用于根据匹配的特征码确定该数据报文所属的应用。

一种识别装置，该识别装置包括：存储器；处理器；以及一个或多个模块，所述一个或多个模块被存储在所述存储器中并被配置成由所述处理器执行，以完成以下指令：创建深度包检测处理线程，并申请预设大小的流表内存；从预先设定的特征码配置文件中读取特征码信息，并根据该特征码信息建立特征码搜索树；对接收的数据报文进行解析，得到该数据报文的通信内容的起始位置地址；根据预先设定的五元组信息建立流表信息，将同属于一个五元组的数据报文合并成一条数据流；根据所述特征码搜索树和流表信息，通过单一校验规则，对所述通信内容的起始位置地址开始的信息执行一次报文扫描，搜索匹配的特征码；根据匹配的特征码确定该数据报文所属的应用。

相较于现有技术，本发明所述的互联网应用流量识别方法、系统及识别装置，通过流表技术和特征码识别技术，一次报文扫描即可检测出数据报文中是否包含已经应用的特征码，从而提高多特征码扫描的识别效率，以克服现有技术中多特征码扫描效率低的缺陷。

附图说明

图1是本发明互联网应用流量识别系统的应用环境图；

图2是本发明互联网应用流量识别系统功能模块图；

图3是本发明互联网应用流量识别方法的流程图。

具体实施方式

为便于对本发明的理解，以下先对本实施方式中用到的关键技术进行简要说明。

数组搜索树定位技术：通过数组搜索树技术实现流表、特征码表的快速定位，在本实施方式中，所述数组搜索树以数组方式进行组织，包括流表搜索树和特征码表搜索树。通过使用流表技术，可以组织还原同一会话（session）数据，并减少同一应用的数据冗余检测。通过特征码表技术，可以实现应用的快速匹配。