一种应用类型的确定方法和装置的制造方法
【技术领域】
[0001] 本发明设及通信技术领域,尤其设及一种应用类型的确定方法和装置。
【背景技术】
[0002] 随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式。各种网 络应用层出不穷,安全威胁和网络滥用也与日俱增,给网络监管机构对各种网络流量进行 深度识别提出了新的要求。
[0003] 目前对流量进行识别与检测的技术包括;DPI值eepPacketInspection,深层数 据包检测)技术。DPI技术主要通过对数据报文的负载进行特征匹配来识别数据报文的应 用类型,即该数据报文所属流量的应用类型。
[0004] 在上述识别方式中,需要基于特征库来进行应用类型的识别,特征库的大小、新 旧、权威性,决定着识别的准确性。目前特征库的提取和开发,是W网络上的热口软件为 目标,但对于一些较为独立的校园网、企业网,其运行着各自的非热口软件,设及流媒体、 P2P(Peer-t〇-Peer,点对点技术)、文件传输、即时聊天等多种应用类型,然而特征库的开发 分析并未设及该些校园网、企业网内的非热口软件,从而导致无法基于特征库识别出流量 的应用类型。
【发明内容】
[0005] 本发明实施例提供一种应用类型的确定方法,所述方法包括W下步骤:
[0006] 应用识别装置获取同一流量中的M个数据报文,其中M小于或等于预设的数据报 文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0007] 所述应用识别装置利用所述M个数据报文确定所述流量的流量行为特征;
[000引所述应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板 中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对 应的应用类型为所述流量的应用类型;
[0009] 若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则所述 应用识别装置输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用 类型的对应关系添加到所述流量模板;
[0010] 所述应用识别装置根据用户添加到所述流量模板中的所述流量行为特征与应用 类型的对应关系确定所述流量的应用类型。
[0011] 本发明实施例提供一种应用识别装置,所述应用识别装置具体包括:
[0012] 获取模块,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据报 文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0013] 识别模块,用于利用所述M个数据报文确定所述流量的流量行为特征;
[0014] 查询模块,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中查 找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的 应用类型为所述流量的应用类型;
[0015]输出模块,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量行 为特征时,输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用类 型的对应关系添加到所述流量模板;
[0016]确定模块,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类型 的对应关系确定所述流量的应用类型。
[0017]基于上述技术方案,本发明实施例中,应用识别装置确定流量的流量行为特征,并 基于用于记录流量行为特征与应用类型的对应关系的流量模板,确定该流量的应用类型, 在根据流量模板未确定该流量的应用类型时,输出该流量的流量行为特征,W使用户可W 自行更新流量模板中记录的流量行为特征与应用类型的对应关系。上述应用类型识别方式 不需要基于特征库来识别流量的应用类型,相应的,也不需要依赖特征库的升级和规模,对 于独立的校园网、企业网中运行的非热口软件,可W基于流量行为特征确定流量的应用类 型,增强了应用识别装置对于流量的应用类型的识别能力,并为后续限速或者管控处理提 供帮助。
【附图说明】
[0018] 图1是本发明实施例提供的一种应用类型的确定方法流程示意图;
[0019] 图2是本发明实施例提供的一种应用识别装置的结构示意图。
【具体实施方式】
[0020] 针对现有技术中存在的问题,本发明实施例提供一种应用类型的确定方法,该方 法可W应用于应用识别装置。如图1所示,图1为本发明实施例提供的一种应用类型的确 定方法流程示意图。
[0021] 该应用类型的确定方法具体可W包括W下步骤:
[0022] 步骤101,应用识别装置获取同一流量中的M个数据报文,其中M小于预设的数据 报文获取数量,且获取M个数据报文的时间处于预设的时间范围内。
[0023]具体的,考虑到实际情况W及应用识别装置的性能和资源消耗,预先设置有预设 的数据报文获取数量,W及预设的时间范围内,其中,预设的数据报文获取数量已经可W覆 盖绝大多数流量所包括的数据报文数量,同样的,预设的时间范围也已经可W足够获取绝 大多数流量中的所有数据报文,例如第一流量的数据报文数量共100个,预设的数据报文 获取数量为1000,在此情况下,就只需要获取100个流量1的数据报文即可。而若是当某 些特殊的流量(例如命名为第二流量)的数据报文数量超过了预设的数据报文获取数量, 例如为1001,则只获取第二流量的1000个数据报文;同理,考虑到应用识别装置不能一直 处于运行状态,例如设置预设的时间为1小时,针对于第一流量,若是在1小时内(例如30 分钟)就获取到100个流量1的数据报文,则在获取到第100个数据报文时就中止获取的 操作,即M为100,而若是到1小时的时间到时时,才获取到90个流量1的数据不再继续获 取第一流量的数据报文,即M为90 ;再W第二流量为例来进行说明,若在1小时的时间到时 时,才获取到990个第二流量的数据报文,则不再获取第二流量的数据报文,利用获取到的 990个第二流量的数据报文来代表第二流量,即M为990,也即获取的数据报文的数量受到 预设的时间范围和预设的数据报文获取数量w及流量本身所包括的数据报文数量的同时 限制。
[0024] 步骤102、应用识别装置利用M个数据报文确定流量的流量行为特征;
[0025] 本发明实施例中,流量的流量行为特征具体包括但不限于W下之一或者任意组 合;流量对应的报文持续时间、流量对应的报文平均转发速率、流量对应的报文传输字节、 流量对应的目的端口的端口范围、流量的发起方向等特征信息。
[0026] 其中,流量对应的报文持续时间为获取流量的M个数据报文的时间;流量对应的 报文传输字节为流量的M个数据报文所传输的字节的和;流量对应的报文平均转发速率为 流量的M个数据报文的所传输的比特数的和除W获取该M个数据报文的时间;流量对应的 目的端口的范围为流量的M个数据报文的目的端口的范围;流量的发起方向为流量的M个 数据报文的发起方向。
[0027] 在本步骤101和步骤102中,应用识别装置可W获取针对同一流量中的M个数据 报文,并对该M个数据报文进行分析,依照分析结果,可W得到该M个数据报文所在流量对 应的流量行为特征。其中,获取针对同一流量中的M个数据报文的方式具体可W包括但不 限于;获取目的IP地址相同且源IP地址相同的M个数据报文作为针对同一流量的M个数 据报文。
[002引步骤103、判断流量模板中是否有与流量的流量行为特征匹配的流量行为特征。具 体的,若有,则执行步骤104 ;若没有,则执行步骤105。
[0029] 步骤104,应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量 模板中查找与流量的流量行为特征匹配的流量行为特征,确定匹配的流量行为特征对应的 应用类型为流量的应用类型。
[0030] 本发明实施例中,应用类型具体包括但不限于;HTTP(HyperTextTransfer Protocol,超文本传输协议)类型、Web(网页)类型、VPN(Vi;rtualPrivateNetwork,虚拟 专用网络)类型、游戏类型、流媒体类型、P2P(Peer-to-Peer,点对点)类型、NAT(Network AcMressTranslation,网络地址转换)类型。
[0031] 本发明实施例中,应用识别装置上可W维护预先配置的流量模板,且该预先配置 的流量模板用于记录初始配置的流量行为特征与应用类型的对应关系;和/或,该应用识 别装置上可W维护用户自定义的流量模板,且该用户自定义的流量模板用于记录用户设置 的流量行为特征与应用类型的对应关系。
[0032] 其中,预先配置的流量模板是指初始配置在应用识别装置上的流量模板,该预先 配置的流量模板记录的流量行为特征与应用类型的对应关系为根