[发明专利]一种分布式传输的网络流量分类系统和方法

说明书

技术领域

本发明涉及网络流量分类系统及分类方法，特别是指一种分布式传输的网络流量分类系统和方法。

背景技术

随着网络应用层业务的高速发展，如何通过技术手段识别出不同的网络数据流量，从而对其进行控制和管理。目前识别网络数据流业务的方法主要有：

基于端口的网络数据流业务识别技术：这种识别技术是通过各种不同的应用在IANA(Internet Assigned Numbers Authority)中注册的不同端口号来进行识别的。例如检测到端口号为80时，则认为该应用代表着普通上网应用。而当前网络上的一些非法应用会采用隐藏或假冒端口号的方式躲避检测和监管，造成仿冒合法报文的数据流侵蚀着网络。比如新型的P2P协议所使用的端口是变化的，因此端口号识别的准确率已经越来越低，该方法已经越来越不适合对现有网络数据流业务的识别。

深度包检测(DPI，Deep Packet Inspection)网络数据流业务识别技术：当碰到某些使用动态端口的新型的协议时，采用基于端口的识别技术就会无能为力。DPI技术除了对4层以下的基础信息进行分析外，还增加了应用层分析，识别各种应用及其内容。就是通过对一系列数据包的应用层负载特征进行分析，找出其应用层的特征字，从而对各种业务进行识别。这种方法在遇到应用层数据加密的时候处理起来就会非常困难。

深度流检测(DFI，Deep Flow Inspection)网络数据流业务识别技术：当DPI识别技术遇到应用层数据加密的时候，就很难通过分析应用层数据的特征来对其进行识别。DFI技术是根据流的特征来对业务进行识别的技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。DFI的特点是对整个数据流的特征进行分析，例如每个流的平均包长，每个包到达的时间间隔等。无须对应用层数据进行检测，因而应用层数据加密与否对这种识别技术来讲没有区别。属于同种类型业务的数据流的特征一般都是非常接近的，例如QQ和MSN这两种IM软件的流量特征可能就非常接近，因此这种方法的缺点是只能对网络流量的几个大类进行区分。例如IM，P2P，WEB等。

然而，上述现有技术中，基于端口识别技术的准确率低，DPI和DFI技术分别存在对应用层数据加密的业务的识别非常困难，以及只能对网络流量进行大类区分的缺陷。

发明内容

有鉴于此，本发明提出了将DPI和DFI相结合的分布式传输的网络流量分类系统和方法，提升网络流量识别分类的准确性和处理速度。

基于上述目的本发明提供的一种分布式传输的网络流量分类系统，包括DPI业务识别系统和DFI流量识别系统；

其中，所述的DPI业务识别系统中，包括：

流表检测模块，用于接收数据流，检测当前数据流是否已经标记；若是，则发送至协议处理模块；否则，流表检测模块将该数据流发送至流量识别模块；

数据流特征库，用于存储数据流的特征；

流量识别模块，用于检查所述数据流是否与数据流特征库中的任意一条流量特征匹配，若是，则根据该匹配的流量特征标记当前数据流发送至所述协议处理模块，更新所述流表检测模块中的所述状态表；否则，将无法识别的数据流发送至DFI流量识别系统的分类器分类预测模块；

协议处理模块，用于根据数据流的不同标记分别按照类别的不同分别进行处理；

所述的DFI流量识别系统中，包括：

分类器分类预测模块，用于根据所述分类模型对所述无法识别的数据流进行分类，将分好类的数据流进行标记后采用并行传输方式将该数据流发送至协议处理模块。

作为一个实施例，所述的DFI流量识别系统中，还包括：样本获取模块，用于将DPI业务识别系统能够精确识别的业务的流特征提取出来，分成不同的类别，作为分类器训练模块的训练样本；还用于在线获取该数据流的样本文件后，将该样本文件发送至分类器训练模块；

分类器训练模块，用于对样本获取模块提供的样本进行训练获得分类模型；

所述的DPI业务识别系统中，所述流量识别模块，还用于将能够识别的数据流发送至样本获取模块。

作为一个实施例，该系统所述DPI业务识别系统连接到基于TCP/IP协议的网络中。

作为一个实施例，该系统所述数据流特征库中包含有分别属于多个网络流量大类的各种不同的业务的应用层特征。

作为一个实施例，该系统所述流表检测模块维护状态表，该状态表中信息包括：源ip地址，目的ip地址，源端口，目的端口，协议号；