[发明专利]DPI设备特征库自动更新方法、系统、DPI设备及云端服务器

说明书

本发明提供一种DPI设备特征库自动更新方法、系统、DPI设备及云端服务器，包括检测目标数据流的源IP地址上是否存在建立了连接的客户端；将目标数据流的四元组信息发送至建立了连接的客户端；接收客户端发送来的所述目标数据流的进程名称；根据客户端发送来的所述进程名称，获取匹配的应用协议；若匹配的应用协议与DPI设备的应用协议识别结果不同，则将目标数据流的应用协议识别结果、四元组信息、进程名称以及目标数据流的前若干个数据报文的完整内容发送至云端服务器；接收云端服务器发送来的应用协议的特征信息，并更新应用协议的特征库。本发明的DPI设备特征库自动更新方法、系统、DPI设备及云端服务器极大地减小了构建和修正DPI特征库的工作量。

技术领域

本发明涉及信息处理的技术领域，特别是涉及一种DPI设备特征库自动更新方法、系统、DPI设备及云端服务器。

背景技术

DPI(Deep Packet Inspection，深度包检测)是一种7层协议分析技术，通过解析应用层数据(包括IP/TCP/UDP报文的头部及载荷的内容)来匹配应用的协议特征，从而确定报文数据流所属应用的一种数据流识别手段。

DPI设备识别出数据流所属的应用后，根据使用场景的需求，可对报文进行精确的选路控制、QOS控制、安全性控制，以及分析统计等操作。这些操作的效果非常依赖DPI识别的准确性。而DPI识别的准确性主要取决于DPI设备中的协议特征库的准确性。

建立较为全面、准确的特征库是一个复杂、庞大的系统工程，且建设周期较长。现有技术中，一般是在实验室环境中逐一提取每个应用的协议特征。由于需要识别的应用协议数量庞大，且不断有新应用出现，所以特征库不可能做到100％的应用协议识别，必然存在未被识别的应用协议。这些未知流量的存在会增加现网运行时的容错成本。通常，针对DPI设备的具体使用场景，重点完善特定场景下的最常见应用的特征库。即便如此，也至少需要识别数百种常见应用才能将容错成本降低到可以接受的程度。

每个应用协议的特征提取过程也都较为繁琐，工作量大。一般而言，包括以下步骤：

(1)在实验室环境下运行需要识别的应用，尽可能全面的使用应用的全部功能，并抓取应用产生的全部数据包。这一过程需要反复多次，获取多份数据包样本。

(2)研发人员比对抓取的数据包，从中分析出特征，并编码为特征库。

(3)得到特征库后，还需要再次重复上述过程，对得到的特征库进行检验，对新发现的未知流量再次提取特征。迭代多次后，才能最终得到一个应用协议的较为全面、准确的特征库。

另外，DPI设备在线运行后，一直没有有效的办法来判断其识别的准确性。因为执行应用的终端和DPI设备是分离的，数据流连接具有时效性，多数连接只存在很短的时间，缺乏可靠的反馈机制。只有当根据识别结果和相应控制策略产生的报文控制动作出现了明显偏差时，维护人员才能意识到出现了识别问题。此时用户业务往往已经受到了影响，而要解决识别问题，需要在实验室环境对相应的应用协议重新提取校对特征库才能解决。这一般都要数天时间，严重影响了用户体验。如果实验室环境没能抓取到现网运行时识别错误的报文，则问题更加难以解决。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种DPI设备特征库自动更新方法、系统、DPI设备及云端服务器，当DPI设备得到的当前应用协议识别结果与经客户端验证的应用协议识别结果不一致时，进行异常数据流相关信息的采集并发送到云端服务器；云端服务器汇总多台DPI设备提交的数据流信息，并基于预设数量的异常数据流相关信息实现应用协议的特征信息的提取，并实时更新应用协议的特征库，从而极大地减小了构建和修正DPI特征库的工作量以及大幅提高了DPI设备的识别准确率。