据实际经验值,记录在预 先配置的流量模板中的。例如,当基于实际的经验值,获知流量行为特征A与应用类型A之 间具有对应关系时,则可W在预先配置的流量模板记录流量行为特征A与应用类型A之间 的对应关系。
[0033] 其中,用户自定义的流量模板是指应用识别装置接收到的用户配置的流量模板, 该用户自定义的流量模板记录的流量行为特征与应用类型的对应关系为用户基于实际需 要设置的。例如,用户根据实际识别效果和网络情况,认为流量行为特征C与应用类型C之 间具有对应关系时,则可W在用户自定义的流量模板记录流量行为特征C与应用类型C之 间的对应关系。
[0034] 本发明实施例中,当应用识别装置上同时维护预先配置的流量模板、用户自定义 的流量模板时,则还可W设置用户自定义的流量模板的匹配优先级高于预先配置的流量模 板的匹配优先级。基于此,应用识别装置在用于记录流量行为特征与应用类型的对应关系 的流量模板中查找与流量的流量行为特征匹配的流量行为特征,确定匹配的流量行为特征 对应的应用类型为流量的应用类型的过程,具体包括但不限于如下方式:应用识别装置在 用户自定义的流量模板查找与流量的流量行为特征匹配的流量行为特征,如果用户自定义 的流量模板中存在与流量的流量行为特征对应的应用类型匹配的第一流量行为特征,则确 定第一流量行为特征对应的应用类型为流量的应用类型。如果用户自定义的流量模板中不 存在与流量的流量行为特征匹配的第一流量行为特征,则应用识别装置在预先配置的流量 模板查找与流量的流量行为特征匹配的流量行为特征,如果预先配置的流量模板中存在与 流量的流量行为特征匹配的第二流量行为特征,则确定第二流量行为特征对应的应用类型 为流量的应用类型。步骤105、若流量模板中没有与流量的流量行为特征匹配的流量行为特 征,则应用识别装置输出流量的流量行为特征,W使用户将流量的流量行为特征与应用类 型的对应关系添加到流量模板。
[0035] 例如,当获取到流量的流量行为特征为流量行为特征B,通过流量行为特征B查 询用于记录流量行为特征与应用类型的对应关系的流量模板,无法找到与流量行为特征B 匹配的流量行为特征,那么也就无法确定流量行为特征为流量行为特征B的流量的应用类 型。因此输出流量行为特征B,W使用户通过分析流量行为特征B,在确定该流量行为特征 B对应的应用类型(如应用类型B)后,将流量行为特征B与应用类型B的对应关系添加至 流量模板。
[0036] 在一个例子中,该应用识别装置还可W接收用户输入的流量的流量行为特征与应 用类型的对应关系,并将该流量行为特征与应用类型的对应关系添加到流量模板,具体可 W添加到用户自定义的流量模板。
[0037] 步骤106、应用识别装置根据用户添加到流量模板中的流量行为特征与应用类型 的对应关系确定流量的应用类型。
[003引W下结合具体的应用场景对上述过程进行详细说明。本应用场景下,假设应用识 别装置上当前只维护表1所示的预先配置的流量模板(为描述方便,本例中将预先配置的 流量模板成为流量模板1)。对于能够基于特征库识别出应用类型的流量,则应用识别装置 通过深度解析出流量中的数据报文的报文载荷特征,并基于特征库和报文载荷特征识别出 该流量的应用类型。对于不能够基于特征库识别出应用类型的流量(为描述方便,本例中 将该流量称为流量1),则在预设的时间段N内,应用识别装置抓获流量1中的M个数据报文 (如目的地址相同,且源地址相同的M个数据报文),通过对M个数据报文进行分析,得到流 量1的流量行为特征。假设预设的时间范围为1小时,预设的数据报文获取数量为1000,流 量1所包括的数据报文数为100,且应用识别装置在半小时内就获取了流量1的100个数 据报文,则获取的流量1的M个数据报文,即为获取流量1的100个数据报文。基于该100 个数据报文来分析流量的流量行为特征,包括:流量1对应的报文持续时间、流量1对应的 报文平均转发速率、流量1对应的报文传输字节、流量1对应的目的端口的端口范围、流量 1对应的发起方向等。
[0039] 进一步的,应用识别装置在表1所示的流量模板1中查找与流量1的流量行为特 征匹配的流量行为特征,将匹配的流量行为特征对应的应用类型为流量1的应用类型。
[0040]表1
[0041]
[0043] 例如,当流量1的流量行为特征为;流量对应的报文持续时间为Z(秒),流量对应 的报文平均转发速率为d(pps),流量对应的报文传输字节在k(bytes)与i(bytes)之间, 流量对应的目的端口的端口范围小于端口a,流量对应的发起方向为内网到外网的数据报 文时,基于表1所示的流量模板1,应用识别装置可W得出表1所示的流量模板1中存在与 流量1的流量行为特征匹配的流量行为特征,且该匹配的流量行为特征对应的应用类型为 VPN类型,因此可确定流量1的应用类型为VPN类型。
[0044] 而若表1所示的流量模板1中不存在与流量1的流量行为特征匹配的流量行为特 征时,应用识别装置将流量1的流量行为特征输出,W上报给用户,使用户对流量1的流量 行为特征进行分析,得到流量1的流量行为特征与应用类型的对应关系,并将流量1的流量 行为特征与应用类型的对应关系添加到流量模板中。应用识别装置接收用户输入的流量1 的流量行为特征与应用类型的对应关系,建立用户自定义的流量模板(为描述方便,本例 中将用户自定义的流量模板称为流量模板2),将该流量1的流量行为特征与应用类型的对 应关系添加到流量模板2。应用识别装置便可W在流量模板2中查找到与流量1的流量行 为特征匹配的流量行为特征,并将该匹配的流量行为特征对应的应用类型确定为流量1的 应用类型。
[0045] 另外,在建立流量模板2时,配置流量模板2的匹配优先级高于流量模板2,W使得 应用识别装置在查询流量模板时,先查询流量模板2,若在流量模板2中查找到与流量的流 量行为特征匹配的流量行为特征,则可W不查询流量模板1。例如,后续若再接收到流量1, 就可W先查询流量模板2,由于流量模板2中已经记录了流量1的流量行为特征与应用类型 的对应关系,因此不需要再查询流量模板1,便可W便可W确定出流量1的应用类型,可提 高识别速度。
[0046] 基于上述技术方案,本发明实施例中,应用识别装置确定流量的流量行为特征,并 基于用于记录流量行为特征与应用类型的对应关系的流量模板,确定该流量的应用类型, 在根据流量模板未确定该流量的应用类型时,输出该流量的流量行为特征,W使用户可W 自行更新流量模板中记录的流量行为特征与应用类型的对应关系。上述应用类型识别方式 不需要基于特征库来识别流量的应用类型,相应的,也不需要依赖特征库的升级和规模,对 于独立的校园网、企业网中运行的非热口软件,可W基于流量行为特征确定流量的应用类 型,增强了应用识别装置对于流量的应用类型的识别能力,并为后续限速或者管控处理提 供帮助。
[0047] 基于与上述方法同样的发明构思,本发明实施例中还提供了一种应用识别装置, 如图2所示,所述应用识别装置具体包括:
[0048] 获取模块11,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据 报文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
[0049] 识别模块12,用于利用所述M个数据报文确定所述流量的流量行为特征;
[0050] 查询模块13,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中 查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应 的应用类型为所述流量的应用类型;
[0051] 输出模块14,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量 行为特征时,输出所述流量的流量行为特征,W使用户将所述流量的流量行为特征与应用 类型的对应关系添加到所述流量模板;
[0化2] 确定模块15,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类 型的对应关系确定所述流量的应用类型。
[0化3] 本发明实施例中,所述应用识别装置还包括:
[0054] 维护模块,用于维护预先配置的流量模板,所述预先配置的流量模板内记录初始 配置的流量行为特征与应用类型的对应关系;和/或,维护用户自定义的流量模板,所述用 户自定义的流量模板内记录用户设置的流量行为特征与应用类型的对应关系。
[0055] 所述查询模块13,具体在所述用户自定义的流量模板查找与所述流量的流量行为 特征匹配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为 特征对应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用 类型为所述流量的应用类型;如果所述用户自定义的流量模板中不存在与所述流量的流量 行为特征匹配的第一流量行为特征,则所述应用识别装置在所述预