一种基于下载资源名称的网络流量管控方法
【技术领域】
[0001]本发明属于网络应用流量识别与分类技术领域,特别是涉及一种基于下载资源名称的网络流量管控方法。
【背景技术】
[0002]随着互联网技术的迅猛发展,网络已经成为人们生活中不可分割的组成部分。随着P2P等网络技术的出现,同时也带来了网络安全、带宽占用、内容计费、信息安全等一系列新的课题。出于对网络流量的管理,流量识别技术目前开始处于十分重要的位置,其是网络中内容过滤、流量分析、带宽管理、安全通信及互联网监管和运维等多方面的基础。所谓的流量识别是指利用流以及流中报文的某些信息(例如:协议特征、指纹、签名等)将网络上的流划分为既定的若干类别(例如:各种应用类型的流)的技术;其中流是指在某一段固定时间间隔内通过网络上的一个观测点的IP(Internet Protocol,网络互联协议)报文的集合,这些报文具有相同的五元组(源IP、源端口、目的IP、目的端口和协议类型)标识;其中一个流属于流量的一部分。
[0003]目前流量识别的方式主要包括:基于端口映射的流量识别方式、基于IP地址的流量识别方式、基于DPI (Deep Packet Inspect1n,深度包检测)的流量识别方式和基于DFI (Deep Flow Inspect1n,深度流检测)的流量识别方式。目前各大网络设备生产商所推出的流量识别技术或产品大多使用了深度包检测技术(DPI),除了在性能和精度上有所差别外,其技术本质是相同的。
[0004]目前DPI的识别结果粒度过粗,都是限于应用级的,例如使用迅雷软件下载一部电影《红星闪闪》,各大设备厂商都会对当前流量识别为“迅雷下载”,不会识别为《红星闪闪》。当前情况首先会导致用户无法获取网络中下载流量的具体信息,无法对海量数据进行统计。其次假如用户对公司网络设置了流量控制策略,用户无法针对资源的类别或者关键字进行下载管理,因此网络流控设备对于下载流量的监控受到很大的限制。
【发明内容】
[0005]有鉴于此,本发明提供了一种基于下载资源名称的网络流量管控方法,具有针对下载流量识别细化的功能,将识别粒度的精细度加大,可以使用户对下载流量的审计和管控更加精细,对下载流量有更深层次的信息提取。
[0006]为了解决上述技术问题,本发明的技术方案为:该方法采用网络流控设备B对于客户端A从下载资源服务器C下载资源行为进行管控,包括如下步骤:
[0007]步骤1、接收请求报文:客户端A通过通过网络流控设备B向下载资源服务器C发送超文本传输协议HTTP请求报文,并以获取GET的方式向下载资源服务器C进行数据请求;HTTP请求报文中包括下载资源链接;
[0008]步骤2:识别HTTP请求报文中的下载资源链接:网络流控设备B对送进来的HTTP请求报文进行识别;网络流控设备B中设置一个下载链接特征库,该特征库中包含多个下载链接的特征;通过特征库中的特征识别请求报文中的下载资源链接;若该HTTP请求报文符合上述特征库中特征,即为识别出了下载资源链接,跳至步骤3,否则继续对后续HTTP请求报文进行识别。
[0009]特征是用于标识下载资源的信息。
[0010]步骤3、当网络流控设备B成功识别HTTP请求报文属于下载资源链接时,提取下载资源元信息,其中提取下载资源元信息包括提取下载资源的名称和下载资源的类型。
[0011]然后通过签名库中签名对请求报文进行解析,并提取下载资源名称;签名中包括名称字段、标记值以及资源值。
[0012]名称指示自定义签名名称,标记值对应特征库中的特征;资源值对应下载资源的起始息和名称。
[0013]步骤4、后端设备利用下载资源名称,将提取的下载资源,以日志的形式输出到网络流控设备的界面中,并对下载资源名称检测,若该下载资源的名称中包含不允许下载的关键字,则停止下载。
[0014]进一步地,特征库中每个特征对应一个标识ID,对下载资源链接进行标识ID的标记,用于标示和区分下载链接。
[0015]有益效果:
[0016](I)本发明提供了更细粒度的识别结果,当使用迅雷软件下载一部电影《红星闪闪》,采用本发明方案可以识别为《红星闪闪》,而不仅仅是“迅雷下载”。那么,有了本发明的识别结果就可以在网络流量管控中,对海量数据进行更有针对性的统计,设置以下载资源名称为目标的流量控制策略,从而使得用户能够针对资源关键字进行下载管理,例如禁止用户下载特定名称的资源,从而大大拓宽了网络流控设备对于下载流量的监控功能。
[0017](2)本发明通过签名对请求报文进行解析,签名解析可读性高,易于读者理解,且解析速度快,便于快速提取出需要的资源名称信息。
[0018]本发明识别精细度高、可实现性强,可作为网络流控设备功能实现,可用于策略中的网络应用控制,并可进行网络应用时监控。
【附图说明】
[0019]图1为本发明实施例下载流量设备的应用场景;
[0020]图2为本发明实施例下载流量的识别方法流程图;
[0021]图3为本发明实施例下载流量的识别设备结构图。
【具体实施方式】
[0022]下面结合附图并举实施例,对本发明进行详细描述。
[0023]图1为本发明实施例下载流量识别设备的应用场景。如图1所示,客户端A通过网络流量监控设备B访问远程服务器C。C为下载资源服务器,它不断的监听来自A客户端的请求。一旦连接建立起来,客户端A就会向下载资源服务器C发出下载资源的请求报文,下载资源服务器C接着就返回数据作为响应。最后,连接就被释放。
[0024]网络流控设备B转发并监控客户端A和下载资源服务器C之间交互的信息。通过客户端A向下载资源服务器C发出的请求报文来识别出此条链接为下载资源链接。
[0025]图2为本发明实施例中基于下载资源名称的网络流量识别方法的流程图。该方法包括步骤1-3。此部分以在百度下吧中下载QQ2013为例。
[0026]步骤1:接收请求报文。
[0027]在步骤I中,当用户通过客户端A的浏览器点击百度下吧中QQ2013的下载链接时,客户端A会通过网络流控设备B向百度服务器发送HTTP请求报文。客户端A通过网络流控设备B向下载资源服务器C发送的HTTP请求报文如下:
[0028]GET/ sw-search-sp / gaosu / 20 14_03_13_16/bindl / 1 2 3 5 0 /QQ2013SP6.2288047051.exe HTTP/1.1
[0029]Host:dlsw.baidu.com
[0030]User-Agent:Mozilla/5.0 (Windows NT 6.1 ;W0W64 ; r v:24.0)Gecko/20100101Firefox/24.0
[0031]Accept:text/html,applicat1n/xhtml+xml,applicat1n/xml ;q = 0.9,*/* ;q=0.8
[0032]Accept-Language:zh_en,zh ;q = 0.8,en_us ;q = 0.5,en ;q = 0.3
[0033]Accept-Encoding:gzip,deflate
[0034]请求方式是以“GET”的方式向下载资源服务器C进行数据请求,服务器地址为“dlsw.baidu.com”,iVsw-search-sp/gaosu/2014—03—13—16/bindl/12350/,,是一个相对地址,代表存储下载资源的文件夹。“QQ2013SP6.2288047051.exe”就是用户下载的具体资源名称,这是一个QQ的可执行程序文件。
[0035]步骤2:识别请求报文中的下载资源链接。
[0036]在步骤2中,网络流控设备B将会对送进来的请求报文进行识别。具体识别时,在网络流控设备B中设置一个特征库,该特征库中包含多个特征。通过特征库中的特征识别请求报文中的下载资源链接。特征是用于标识下载资源的信息,通过对不同应用的下载资源请求报文的分析,可以获得相应特征信息。不同应用对应的特征不同。例如QQ、迅雷就采用了不同的特征信息来表示报文属于下载连接请求报文。
[0037]在实际中,在特征码识别的基础上,还可以加入DPI识别,从而实现应用层面的流量识别。DPI识别在本处不做过多陈述。
[0038]以HTTP请求报文为例,例如特征库中有一个如下特征:
[0039]Name:baidu_xiaba:
[0040]Signature-1:BigEndian:4:String: ”.e