[发明专利]一种应用识别的包长检测方法

说明书

本发明公开了一种应用识别的包长检测方法，包括从终端建立的网络连接上获取一段由多个数据包构成的会话序列，并对每个数据包进行匹配；判断当前数据包方向；对数据包的负载长度进行匹配；对数据包进行DPI检测；判断单方向规则，最终确定检测结果。本发明对终端联网时创建的网络连接上产生的会话序列进行数据包采集，通过对一个会话序列中的数据包负载长度进行匹配，降低了对联网应用的识别难度，并且在配合DPI检测时可提前排除干扰因素，极大地提高了检测准确度，从而提高了对终端应用识别的效率。

技术领域

本发明涉及网络应用检测技术领域，具体地讲，是涉及一种应用识别的包长检测方法。

背景技术

目前，基于网络的终端应用程序越来越多，当用户在同一终端上同时开启多种应用程序时，如何对各种网络应用程序有效地分配网络带宽，保障各种网络应用程序高效正常地运行成了一种新的用户需求。要想实现这种用户需求的首先任务是在网络中识别这些应用程序，因此快速准确地识别应用程序至关重要。

当前存在的网路应用识别方法主要为端口识别技术和基于报文内容的深度识别技术：

端口识别技术是通过分析网络数据包的端口信息来分析HTTP协议，因此端口识别技术只能对基础的基于http协议的应用进行识别，而现在很多的应用都是采用了P2P协议，其所要占用的通信端口都是不确定的、动态变更的，端口识别技术在此就显得无能为力了，无法实现对这些应用的识别，如此导致其在基于互联网层面上对各种应用的识别率非常低，误判率高；

基于报文内容的深度识别技术耗费时间比较长，其在每次建立新连接时都需要对报文内容进行深度识别，识别计算量大，导致其识别效率低下，无法满足对实时性要求高的应用场景。

综上所述，现有技术中的应用识别方法存在识别率低、误判率高、实时性低的缺点。

发明内容

为克服现有技术中的上述问题，本发明提供一种构思新颖、设计巧妙、能够快速准确地对应用识别的包长检测方法。

为了实现上述目的，本发明采用的技术方案如下：

一种应用识别的包长检测方法，包括如下步骤：

（S10）从终端建立的网络连接上获取一段由多个数据包构成的会话序列，并对每个数据包进行匹配；

（S11）获取当前数据包传输的方向；

（S12）将该数据包的负载长度作为对象通过包长检测模块进行匹配，筛选出命中的应用识别号，若未命中，则标记该方向检测结束，反之则记录命中的应用识别号形成命中记录表，并进入步骤（S13）；

（S13）将当前命中记录表与本方向上此前的命中记录表取交集，获得命中交集表；

（S14）判断所述命中交集表是否为空，若是，则标记该方向检测结束，否则进入步骤（S15）；

（S15）判断该数据包是否为叶子节点，若是，则将该命中交集表作为本方向记录表并进入步骤（S16），否则跳转到步骤（S11）对下一个数据包进行匹配；

（S16）再按步骤（S11）～（S15）的方法获取该会话序列中其方向与所述本方向记录表相对的反方向记录表，若获得，则进入步骤（S17），反之则未命中包长应用识别库，反馈无法识别的检测结果；

（S17）对所述本方向记录表和反方向记录表取交集，若为空，则未命中包长应用识别库，反馈无法识别的检测结果，反之则命中包长应用识别库，记录相应的应用识别号，检测结束。

其中，所述包长检测模块设置于承载所述网络连接的网络设备中，其通过将数据包负载长度对比包长应用识别库判断是否命中来进行匹配。并且，为了保持识别的准确性和及时性，所述包长应用识别库存储于所述网络设备中，并由云服务器定期更新。