一种基于深度包检测的流量识别方法
【专利摘要】一种基于深度包检测的流量识别方法,首先判断接收到的报文中的TCP端口号是否大于第一阈值,若大于第一阈值则使用DPI技术进行判断,否则则使用TCP连接信息进行判断。通过应用以上技术,能够使得在流量识别中更加准确、快捷的得到识别结果,并且在识别流程上也大幅优化,能够更容易的在现有设备中实现。
【专利说明】一种基于深度包检测的流量识别方法
【技术领域】
[0001]本发明涉及通信【技术领域】,尤其涉及一种深度包检测的方法。
【背景技术】
[0002]随着近年来基于P2P (peer to peer)流量模型的新型网络应用的不断发展,网络带宽资源的消耗速度不断加快,网上传统业务也受到了越来越大的冲击和影响。P2P本身是一种很好的技术,有广阔的使用前景,但同时P2P也是一种杀伤力很强的技术。目前,基于P2P的应用多为带宽耗尽型的下载业务,使得原本富裕的接入、汇聚和骨干带宽资源被消耗殆尽,网络链路经常处于满负荷状态,导致网络服务质量恶化(丢包率、时延及抖动大大增加),使部分对端到端QoS (quality of service)要求较高的语音、视频、游戏类业务的发展受到很大影响,同时挤占了传统互联网应用的带宽资源。如何有效控制此类低价值业务流量对带宽的侵蚀,解决骨干网增量不增收的现状,是摆在运营商面前的一个现实问题。
[0003]深度包检测(DPI)技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。深度包检测法就是基于这种原理,通过检测各种P2P应用协议使用的固定特征字来识别各种P2P应用。
[0004]使用DPI技术能带来以下好处:
a)检测准确率比基于端口和流量模式的方法高,端口的变化不会影响检测率。
[0005]b)能够检测使用最广泛的P2P应用。
[0006]c)适合流量的精确检测。
[0007]发明人在实现实际使用DPI技术时,发现现有技术至少存在如下缺点: a)无法识别新出现的、经加密的P2P应用,会出现漏判。
[0008]b)协议分析和特征搜寻需要投入大量人力及时间。
[0009]c)难以获取加密协议的特征。
[0010]d)特征的选择对检测性能有很大影响。
[0011]e)系统检测模块需不定期地进行升级。
[0012]f)查看应用层的内容涉及隐私的问题。
[0013]g)对检测设备的处理能力要求较高。
【发明内容】
[0014]本发明提供了一种利用DPI技术进行TCP流量识别的方法,包括:
步骤202、接收TCP连接报文,所述报文中包括网络控制数据和用户发送的数据;
步骤204、识别报文中包括的源端的端口号,对端口号进行判断;
步骤206、若端口号大于预设的第一阈值则跳转到步骤212,否则进入步骤208 ;
步骤208、对报文进行DPI处理,提取报文中的字符串,将字符串经过由I个哈希函数构成的Bloom Filter,进行粗匹配,若匹配成功则直接报告匹配结果,进入步骤210 ;若匹配不成功,贝1J进入细匹配,将字符串经过由η个哈希函数构成的Bloom Filter,其中η为自然数且η>1,获得匹配结果,进入步骤210 ;
步骤210、所述匹配结果进行分析,若是异常结果则对异常进行上报,进入步骤214 ;若非异常结果则不进行上报,进入步骤214 ;
步骤212、对TCP连接信息进行分析,若在一定的时间内TCP的连接数大于第二阈值且该一定的时间内最大连接数和最小连接数差值高于第三阈值,则判断流量异常,对异常进行上报,进入步骤214 ;否则不上报异常,进入步骤214 ;
步骤214、流量识别结束。
[0015]本发明中,通过首先判断端口号,再进行有针对性的识别的方式,有效的区别了不同情况下的流量识别方式。并且,通过Bloom Filter实现了 DPI的处理,精确的获取处理结果。同时,通过判断TCP连接的特征更加便捷的实现了流量的识别。通过应用以上技术,能够使得在流量识别中更加准确、快捷的得到识别结果,并且在识别流程上也大幅优化,能够更容易的在现有设备中实现。
【专利附图】
【附图说明】
[0016]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
[0017]显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明实施一的流程图。
【具体实施方式】
[0019]为使本发明的目的、技术方案及优点更加清楚明白,以下将通过具体实施例和相关附图,对本发明作进一步详细说明。
[0020]实施例一
本发明实施例一提供了一种利用DPI技术进行TCP流量识别的方法,包括:
步骤202、接收TCP连接报文,所述报文中包括网络控制数据和用户发送的数据;
步骤204、识别报文中包括的源端的端口号,对端口号进行判断;
步骤206、若端口号大于预设的第一阈值则跳转到步骤212,否则进入步骤208 ;
步骤208、对报文进行DPI处理,提取报文中的字符串,将字符串经过由I个哈希函数构成的Bloom Filter,进行粗匹配,若匹配成功则直接报告匹配结果,进入步骤210 ;若匹配不成功,贝1J进入细匹配,将字符串经过由η个哈希函数构成的Bloom Filter,其中η>1,获得匹配结果,进入步骤210 ;
步骤210、对所述匹配结果进行分析,若是异常结果则对异常进行上报,进入步骤214 ;若非异常结果则不进行上报,进入步骤214 ;
步骤212、对TCP连接信息进行分析,若在一定的时间内TCP的连接数大于第二阈值且连接数的变化率高于第三阈值,则判断流量异常,对异常进行上报,进入步骤214 ;否则不上报异常,进入步骤214; 步骤214、流量识别结束。
[0021]实施例二
在实施例一的步骤214完成后,继续进行步骤216、将异常的报文的特征进行存储,以参照该特征对后续报文进行识别,所述特征包括以下至少一项:所述TCP连接的五元组、所述匹配结果。
[0022]实施例三
在实施例二的参照该特征对后续报文进行识别中,具体为:根据异常报文所在的TCP的源IP地址和目的IP地址识别发送异常报文的通信双方,对于该通信双方的所有端口上发送的数据进行DPI处理,获取匹配结果,并进行分析,上报异常结果。
[0023]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。
[0024]上列较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种利用DPI技术进行TCP流量识别的方法,其特征在于,包括: 步骤202、接收TCP连接报文,所述报文中包括网络控制数据和用户发送的数据; 步骤204、识别报文中包括的源端的端口号,对端口号进行判断; 步骤206、若端口号大于预设的第一阈值则跳转到步骤212,否则进入步骤208 ; 步骤208、对报文进行DPI处理,提取报文中的字符串,将字符串经过由I个哈希函数构成的Bloom Filter,进行粗匹配,若匹配成功则直接报告匹配结果,进入步骤210 ;若匹配不成功,贝1J进入细匹配,将字符串经过由η个哈希函数构成的Bloom Filter,其中η>1,获得匹配结果,进入步骤210 ; 步骤210、所述匹配结果进行分析,若是异常结果则对异常进行上报,进入步骤214 ;若非异常结果则不进行上报,进入步骤214 ; 步骤212、对TCP连接信息进行分析,若在一定的时间内TCP的连接数大于第二阈值且连接数的变化率高于第三阈值,则判断流量异常,对异常进行上报,进入步骤214;否则不上报异常,进入步骤214; 步骤214、流量识别结束。
2.根据权利要求1所述的方法,其特征在于,在步骤214之后,还包括: 步骤216、将异常的报文的特征进行存储,以参照该特征对后续报文进行识别,所述特征包括以下至少一项:所述TCP连接的五元组、所述匹配结果。
【文档编号】H04L12/801GK104243225SQ201310243498
【公开日】2014年12月24日 申请日期:2013年6月19日 优先权日:2013年6月19日
【发明者】不公告发明人 申请人:北京思普崚技术有限公司