[发明专利]一种识别规则的生成方法、装置和深度包检测设备

说明书

本发明实施例涉及一种识别规则的生成方法、装置和深度包检测设备，该生成方法包括：提取出用户代理字符串信息；根据所述用户代理字符串信息，确定用户代理向量特征；对每个用户代理向量特征进行词频值统计，再按照用户代理向量特征的词频值进行排序，得到统计结果；根据所述统计结果生成识别规则，所述识别规则包括无效的用户代理向量特征的识别规则和/或有效的用户代理向量特征的识别规则。

技术领域

本发明实施例涉及通信技术领域，具体涉及一种识别规则的生成方法、装置和深度包检测设备。

背景技术

随着移动互联网的快速发展，运营商能够获取愈来愈海量的包流量数据。深度包检测技术(Deep Packet Inspection，DPI)的地位在运营商中逐步上升。DPI是一种基于应用层的流量监测和控制技术，当包数据经过支持DPI技术的设备时，该设备通过读入包的数据对OSI(Open System Interconnect，开放式系统互联)网络七层协议进行解析，从而获取有价值的信息，如：应用业务识别，网络流量控制等。

DPI业务识别技术通过解析实际网络中流量包，分析IP地址、端口、负载数据等信息，为每一个包进行业务类别的预测，如图1所示。

DPI业务识别目前较为流行的方式是通过人工梳理出各个应用协议的规则库，保存在数据库中。当待预测数据包输入后，直接在规律库中进行匹配，得到最终的业务识别信息。

然而，随着海量应用的出现，人工提取特征效率越来越低下。运营商开始通过统计方法和机器学习来自动提取DPI业务规则，从效率和准确率上取得了有效的提升，基本已替代人工梳理规则库的方式。如图2所示。

针对DPI业务识别方案，目前可实施的大多数是基于可解协议进行的，HTTP协议占90％以上，所以HTTP协议的数据包的业务识别准确率尤为重要。常用方式之一为根据五元组信息对数据包进行业务识别，该五元组信息包括：源IP、目的IP、源端口、目的端口和协议类型。

然而由于目前应用的爆炸式增长，使得服务器地址和端口一直在不断变化，根据已有数据的五元组信息作为特征，并不能完全识别新的数据包的五元组特征，导致匹配失败。

发明内容

本发明实施例的一个目的在于提供一种识别规则的生成方法、装置和深度包检测设备，解决基于数据包的五元组信息进行业务识别造成的覆盖范围较小以及准确性较差的问题。

依据本发明的第一个方面，提供了一种识别规则的生成方法，所述生成方法包括：

提取出用户代理字符串信息；

根据所述用户代理字符串信息，确定用户代理向量特征；

对每个用户代理向量特征进行词频值统计，再按照用户代理向量特征的词频值进行排序，得到统计结果；

根据所述统计结果生成识别规则，所述识别规则包括无效的用户代理向量特征的识别规则和/或有效的用户代理向量特征的识别规则。

可选地，对每个用户代理向量特征进行词频值统计，再按照用户代理向量特征的词频值进行排序，得到统计结果，包括：

对每个用户代理向量特征进行词频值统计；

删除词频值小于词频阈值的用户代理向量特征；

按照词频值由高至低对多个用户代理向量特征进行排序，得到统计结果。

可选地，根据所述统计结果生成识别规则，所述识别规则包括无效的用户代理向量特征的识别规则和/或有效的用户代理向量特征的识别规则，包括：

根据所述统计结果中相邻两个用户代理向量特征的词频值，依次计算所述统计结果中每个用户代理向量特征的差分变化率；

确定最大的差分变化率对应的第一用户代理向量特征；