[发明专利]一种基于DNS和包长组合的应用识别方法

说明书

本发明公开了一种基于DNS和包长组合的应用识别方法，包括（S10）在网络设备中创建对应网络连接的连接跟踪表；（S20）通过快速查找表对所述连接跟踪表进行特征匹配，若匹配成功则完成识别，否则继续；（S30）通过DNS检测模块判断该连接是否命中DNS应用识别库，若命中则标记该连接完成识别，否则继续；（S40）通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配，若匹配成功，则标记该连接完成识别，否则不再匹配，结束。本发明通过连接跟踪表的特征来识别相应的应用，利用DNS识别和数据包包长识别相结合的方式，还引入DPI检测，大大提高了对终端应用识别的效率，有效地降低了识别误判率，提高了应用识别的实时性序。

技术领域

本发明涉及网络应用技术领域，具体地讲，是涉及一种基于DNS和包长组合的应用识别方法。

背景技术

目前，基于网络的终端应用程序越来越多，当用户在同一终端上同时开启多种应用程序时，如何对各种网络应用程序有效地分配网络带宽，保障各种网络应用程序高效正常地运行成了一种新的用户需求。要想实现这种用户需求的首先任务是在网络中识别这些应用程序，因此快速准确地识别应用程序至关重要。

当前存在的网路应用识别方法主要为端口识别技术和基于报文内容的深度识别技术：

端口识别技术是通过分析网络数据包的端口信息来分析HTTP协议，因此端口识别技术只能对基础的基于http协议的应用进行识别，而现在很多的应用都是采用了P2P协议，其所要占用的通信端口都是不确定的、动态变更的，端口识别技术在此就显得无能为力了，无法实现对这些应用的识别，如此导致其在基于互联网层面上对各种应用的识别率非常低，误判率高；

基于报文内容的深度识别技术耗费时间比较长，其在每次建立新连接时都需要对报文内容进行深度识别，识别计算量大，导致其识别效率低下，无法满足对实时性要求高的应用场景。

综上所述，现有技术中的应用识别方法存在识别率低、误判率高、实时性低的缺点。

发明内容

为克服现有技术中的上述问题，本发明提供一种构思新颖、设计巧妙、能够快速准确地对应用识别的基于DNS和包长组合的应用识别方法。

为了实现上述目的，本发明采用的技术方案如下：

一种基于DNS和包长组合的应用识别方法，包括如下步骤：

（S10）当终端通过某应用与外网建立网络连接时，在网络设备中创建对应的连接跟踪表，用以分配每个经过该连接的数据包，形成相应的连接记录项；

（S20）通过快速查找表对所述连接跟踪表进行特征匹配，若匹配成功，命中快速查找表内已有的记录，则完成识别，否则进行下一步；

（S30）通过DNS检测模块判断该连接是否命中DNS应用识别库，若命中，则标记该连接完成识别，否则进行下一步；

（S40）通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配，判断是否命中包长应用识别库，若命中，则匹配成功，标记该连接完成识别，否则识别失败，不再匹配；

其中，所述快速查找表、DNS应用识别库和包长应用识别库存储于网络设备中。DNS（Domain Name System，域名系统）。

进一步地，为了提高识别速度，该基于DNS和包长组合的应用识别方法，还包括：

（S50）将所有完成识别的连接及其特征加入快速查找表中缓存。

具体地，所述步骤（S10）中连接跟踪表记录的特征包括该连接的状态、地址和端口，以及该连接所采用的协议。