[发明专利]一种基于DNS和包长组合的应用识别方法

权利要求书

1.一种基于DNS和包长组合的应用识别方法，其特征在于，包括如下步骤：

（S10）当终端通过某应用与外网建立网络连接时，在网络设备中创建对应的连接跟踪表，用以分配每个经过该连接的数据包，形成相应的连接记录项；

（S20）通过快速查找表对所述连接跟踪表进行特征匹配，若匹配成功，命中快速查找表内已有的记录，则完成识别，否则进行下一步；

（S30）通过DNS检测模块判断该连接是否命中DNS应用识别库，若命中，则标记该连接完成识别，否则进行下一步；

（S40）通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配，判断是否命中包长应用识别库，若命中，则匹配成功，标记该连接完成识别，否则识别失败，不再匹配；

所述步骤（S40）中，依次对同一会话序列中的每个所述数据包进行匹配，其具体过程如下：

（S41）获取当前数据包传输的方向；

（S42）将该数据包的负载长度作为对象通过包长检测模块进行匹配，筛选出命中的应用识别号，若未命中，则标记该方向检测结束，反之则记录命中的应用识别号形成命中记录表，并进入步骤（S43）；

（S43）将当前命中记录表与本方向上此前的命中记录表取交集，获得命中交集表，若存在本方向的上一次命中交集表，所述当前命中记录表与本方向上一次的命中交集表取交集；若当前命中记录表为本方向第一次记录，则将该命中记录表作为命中交集表；

（S44）判断命中交集表是否为空，若是，则标记该方向检测结束，否则进入步骤（S45）；

（S45）判断该数据包是否为叶子节点，若是，则将该命中交集表作为本方向记录表并进入步骤（S46），否则跳转到步骤（S41）对下一个数据包进行匹配；

（S46）再按步骤（S41）～（S45）的方法获取该会话序列中其方向与所述本方向记录表相对的反方向记录表，若获得，则进入步骤（S47），反之则未命中包长应用识别库，识别失败；

（S47）对所述本方向记录表和反方向记录表取交集，若为空，则未命中包长应用识别库，识别失败，反之则命中包长应用识别库，完成识别，记录相应的应用识别号；

其中，所述叶子节点是指该会话序列中每一个方向上的最后一个数据包；

所述快速查找表、DNS应用识别库和包长应用识别库存储于网络设备中。

2.根据权利要求1所述的一种基于DNS和包长组合的应用识别方法，其特征在于，还包括：

（S50）将所有完成识别的连接及其特征加入快速查找表中缓存。

3.根据权利要求1所述的一种基于DNS和包长组合的应用识别方法，其特征在于，所述步骤（S10）中连接跟踪表记录的特征包括该连接的状态、地址和端口，以及该连接所采用的协议。

4.根据权利要求1所述的一种基于DNS和包长组合的应用识别方法，其特征在于，所述快速查找表的老化基于时长或/和命中次数。

5.根据权利要求1所述的一种基于DNS和包长组合的应用识别方法，其特征在于，所述DNS应用识别库和包长应用识别库均由云服务器定期更新。

6.根据权利要求1~5任一项所述的一种基于DNS和包长组合的应用识别方法，其特征在于，所述步骤（S30）中判断是否命中的方法如下：

（S31）所述DNS应用识别库内预先存储有域名与应用的对应表信息，根据建立该网络连接时的DNS响应报文中携带的IP地址与域名的对应表信息，获得并存储该IP地址、域名和应用的三元对应表；

（S32）判断该连接的目的IP地址是否存在于所述三元对应表，若是，则命中，由此获得该连接对应的域名以及对应的应用，否则未命中。

7.根据权利要求1~5任一项所述的一种基于DNS和包长组合的应用识别方法，其特征在于，所述步骤（S42）中，当匹配命中有应用识别号时还通过DPI检测模块对该数据包负载进行深度报文检测，若DPI未命中，则标记该方向检测结束，反之则记录命中的应用识别号形成命中记录表。