[发明专利]一种分布式传输的网络流量分类系统和方法

权利要求书

1.一种分布式传输的网络流量分类系统，其特征在于，包括DPI业务识别系统和DFI流量识别系统；

其中，所述的DPI业务识别系统中，包括：

流表检测模块，用于接收数据流，检测当前数据流是否已经标记；若是，则发送至协议处理模块；否则，流表检测模块将该数据流发送至流量识别模块；

数据流特征库，用于存储数据流的特征；

流量识别模块，用于检查所述数据流是否与数据流特征库中的任意一条流量特征匹配，若是，则根据该匹配的流量特征标记当前数据流发送至所述协议处理模块，更新所述流表检测模块中的状态表；否则，将无法识别的数据流发送至DFI流量识别系统的分类器分类预测模块；

协议处理模块，用于根据数据流的不同标记分别按照类别的不同分别进行处理；

所述的DFI流量识别系统中，包括：

分类器分类预测模块，用于根据所述分类模型对所述无法识别的数据流进行分类，将分好类的数据流进行标记后采用并行传输方式将该数据流发送至协议处理模块。

2.根据权利要求1所述的系统，其特征在于，所述的DFI流量识别系统中，还包括：样本获取模块，用于将DPI业务识别系统能够精确识别的业务的流特征提取出来，分成不同的类别，作为分类器训练模块的训练样本；还用于在线获取该数据流的样本文件后，将该样本文件发送至分类器训练模块；

分类器训练模块，用于对样本获取模块提供的样本进行训练获得分类模型；

所述的DPI业务识别系统中，所述流量识别模块，还用于将能够识别的数据流发送至样本获取模块。

3.根据权利要求1所述的系统，其特征在于，所述DPI业务识别系统连接到基于TCP/IP协议的网络中。

4.根据权利要求1所述的系统，其特征在于，所述数据流特征库中包含有分别属于多个网络流量大类的各种不同的业务的应用层特征。

5.根据权利要求1所述的系统，其特征在于，所述流表检测模块维护状态表，该状态表中信息包括：源ip地址，目的ip地址，源端口，目的端口，协议号；

所述流量识别模块先对网络数据流应用层数据进行分析，并将其应用层特征与数据流特征库中的特征进行比对，若应用层数据的特征字符串符合数据流特征库中的一个或者多个特征，则流量识别模块将其标记为对应的协议ID，并且将该数据流更新到流表检测模块，若在数据流特征库中不存在与其特征字符串匹配的特征，则流量识别模块不对其进行标记，而将其送入分类器分类预测模块，由分类器分类预测模块对其进行进一步识别。

6.一种分布式传输的网络流量分类方法，其特征在于，应用于深度包检测DPI业务识别系统与深度流检测DFI流量识别系统相结合的系统，所述DPI业务识别系统包括流表检测模块、数据流特征库、流量识别模块、协议处理模块，所述DFI流量识别系统包括样本获取模块、分类器训练模块、分类器分类预测模块，该方法包括以下步骤：

流表检测模块接收数据流，检测当前数据流是否已经标记；若是，则发送至协议处理模块；否则，流表检测模块将该数据流发送至流量识别模块；

流量识别模块用于检查所述数据流是否与数据流特征库中的任意一条流量特征匹配，若是，则根据该匹配的流量特征标记当前数据流发送至所述协议处理模块，更新所述流表检测模块中的状态表；否则，将无法识别的数据流发送至DFI流量识别系统的分类器分类预测模块；

分类器分类预测模块根据所述分类模型对所述无法识别的数据流进行分类，将分好类的数据流进行标记后采用并行传输方式将该数据流发送至协议处理模块；

协议处理模块根据数据流的不同标记分别按照类别的不同分别进行处理。

7.根据权利要求6所述方法，其特征在于，

所述的DFI流量识别系统中还包括：样本获取模块，用于将DPI业务识别系统能够精确识别的业务的流特征提取出来，分成不同的类别，作为分类器训练模块的训练样本；以及，在线获取该数据流的样本文件后，将该样本文件发送至分类器训练模块；

分类器训练模块，用于对样本获取模块提供的样本进行训练获得分类模型；

所述的DPI业务识别系统中，所述流量识别模块将能够识别的数据流发送至样本获取模块。

8.根据权利要求6所述的方法，其特征在于，所述DPI业务识别系统连接到基于TCP/IP协议的网络中。