专利名称::网络应用流量分类识别装置及其方法
技术领域:
:本发明涉及网络应用流量分类识别装置及其方法,特别涉及计算机网络和数据通信领域的网络应用流量分类识别装置及其方法。
背景技术:
:网络应用流量分类识别是许多核心网络业务的关键共性技术。它将汇聚流量中属于不同应用类型或应用协议的流量区分出来,以便系统分别进行处理。以网络监测为例,人们需要从流量中采集和记录特定应用的信息,了解应用的实际状况并研究其对网络的影响,以指导对网络和互联网的规划、配置与管理。再如,区分服务(Diffserv)通过建立从应用类型到服务类型的映射关系,为不同应用类型的网络流量提供不同的服务保证。而对于入侵检测/入侵防御系统来说,应用协议异常检测和高效的攻击特征码检测都是以细粒度的、精确的应用协议识别为前提的。近年来随着互联网和网络应用的飞速发展,特别是对等(PeeMo-Peer,简称P2P)网络、层叠网络、匿名网络等新兴网络技术的出现和普及,传统的网络应用流量分类识别技术面临日趋严峻的挑战,基于服务端口或者协议特征码的单一技术手段已经不能满足业务的需要,主要表现在(1)由于可供注册的TCP/UDP端口数目有P艮,大量新兴应用协议不再注册缺省服务端口;(2)出于安全性和灵活性的考虑,许多应用协议采用了动态端口协商或者自定义端口注册机制;(3)为了穿越防火墙,一些应用协议会占用某些其他协议(如HTTP协议)的常用服务端口(如TCP80端口)进行通信;(4)应用协议越来越多、越来越复杂,许多私有协议没有公开完整的协议规范,协议特征码的提取变得非常困难;(5)—些应用协议为了通信安全釆用了净荷加密技术,已经难以基于协议特征码进行识别。因此,需要一种综合多种技术手段、高效、精确、实用的网络应用流量分类识别的装置和方法,以实现对流量的实时高精确度的应用感知和分类控制。
发明内容本发明的目的在于提供一种网络应用流量分类识别装置及其方法,该方法能够综合不同应用协议的特点区分出不同应用的类型。本发明的网络应用流量分类识别装置的特征在于,包括动态流分类装置,在该装置中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;<地址,端口>对匹配装置,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;服务端口匹配装置,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配装置,针对流的前M个报文,统计此网络流以及々源IP,目的IP〉地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配装置,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策装置,从流记录表项中读取缓存的中间结果并与各匹配装置得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;网络拓扑探测装置,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。本发明的网络应用流量分类识别装置的特征还在于,所述网络流表用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。本发明的网络应用流量分类识别装置的特征还在于,所述网络拓扑信息表用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。本发明的网络应用流量分类识别装置的特征还在于,所述地址对信息表用于记录〈源IP,目的IP〉地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞。本发明的网络应用流量分类识别装置的特征还在于,所述流量/行为特征模式库,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息。本发明的网络应用流量分类识别装置的特征还在于,所述协议特征码库,用于记录各种应用协议的特征码串及匹配度等信息。本发明的网络应用流量分类识别方法的特征在于,包括动态流分类步骤,在该步骤中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;判断报文在流中的次序是否超出预定窗口的步骤,在该步骤中判断该报文是否可知;<地址,端口>对匹配步骤,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;服务端口匹配步骤,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配步骤,针对流的前M个报文,统计此网络流以及〈源IP,目的IP〉地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配步骤,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策步骤,从流记录表项中读取缓存的中间结果并与各匹配步骤得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;网络拓扑探测步骤,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。本发明的网络应用流量分类识别方法的特征还在于,所述网络流表用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。本发明的网络应用流量分类识别方法的特征还在于,所述网络拓扑信息表用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。本发明的网络应用流量分类识别方法的特征还在于,所述地址对信息表用于记录〈源IP,目的IP〉地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞。本发明的网络应用流量分类识别方法的特征还在于,所述流量/行为特征模式库,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息。本发明的网络应用流量分类识别方法的特征还在于,所述协议特征码库,用于记录各种应用协议的特征码串及匹配度等信息。本发明的网络应用流量分类识别装置综合了多种技术手段、高效、精确、实用,实现了对流量的实时高精确度的应用感知和分类控制。图1是本发明的网络应用流量分类识别装置的结构示意图。图2是本发明的网络应用流量分类识别方法的一个实施例。具体实施例方式本发明的网络应用流量分类识别装置包括动态流分类装置l,在该装置中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;<地址,端口>对匹配装置3,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;服务端口匹配装置4,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配装置5,针对流的前M个报文,统计此网络流以及〈源IP,目的IP〉地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配装置6,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策装置7,从流记录表项中读取缓存的中间结果并与各匹配装置得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;网络拓扑探测装置2,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。在动态流分类装置1中维护有网络流表11,该网络流表11用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞;在网络拓扑探测装置2中维护有网络拓扑信息表21,该网络拓扑信息表21用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞;在服务端口匹配装置4中维护有服务端口表41,该服务端口表41用于记录特定应用协议所采用的缺省端口及匹配度等信息,釆用线性表方式进行组织,表项与端口号一一对应在<地址,端口>对匹配装置3中维护有地址对信息表31,用于记录〈源IP,目的IP〉地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞;在流量/行为特征匹配装置5中维护有流量/行为特征模式库51,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息;在协议特征码匹配装置6中维护有协议特征码库61,用于记录各种应用协议的特征码串及匹配度等信息。本发明的网络应用流量分类识别的方法,包括动态流分类步骤S10,在该步骤中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;判断报文在流中的次序是否超出预定窗口的步骤S18,在该步骤中判断该报文是否可知;<地址,端口>对匹配步骤S20,该步骤将报文中的〈源IP地址,源端口>对、〈目的IP地址,目的端口>对分别与网络拓扑信息表中的<地址,端口〉对进行匹配,得到对应的应用类型/应用协议以及匹配度信息;服务端口匹配步骤S30,将报文的源端口和目的端口分别与服务端口表中的TCP/UDP端口进行匹配,得到对应的应用类型/应用协议以及匹配度信息;流量/行为特征匹配步骤S40,该步骤针对流的前M个报文统计每条流以及<源IP,目的IP〉地址对的流量特征与行为特征信息,如报文大小分布、报文到达间隔分布、连接次数、文件传输行为等等,并与流量/行为特征模式库中的模式进行匹配,得到对应的应用类型/应用协议以及匹配度信息;协议特征码匹配步骤S50,该步骤针对流的前N个报文将报文净荷与协议特征码库中的应用协议特征码进行匹配,得到对应的应用协议以及匹配度信息;决策步骤S60,对<地址,端口>对匹配装置、服务端口匹配装置、流量/行为特征匹配装置和协议特征码匹配装置输出的应用类型/应用协议和匹配度信息进行综合分析,最终确定网络流所属的应用类型或应用协议,并将其连同报文的〈目的IP地址,端口>信息一起交给<地址,端口>对匹配装置对网络拓扑信息表进行动态更新;网络拓扑探测步骤S70,针对不同的应用服务主动搜索当前活跃节点(如eDcmkey服务器、Gnutella超级节点),记录节点的〈IP地址,TCP/UDP侦听端口>对(以下简称<地址,端口>对)、应用类型/应用协议等信息并交给<地址,端口>对匹配装置添加到网络拓扑信息表中。网络流表11采用散列表方式进行组织,采用链表方式解决散列碰撞,其中流记录表项的结构如下表所示<table>complextableseeoriginaldocumentpage10</column></row><table><table>tableseeoriginaldocumentpage11</column></row><table>网络拓扑信息表21,用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞,其中<地址,端口>表项的结构如下表所示数据信息(按照存储顺序排长度含义<table><row><column></column><column>列)</column><column>(位)</column><column></column></row><row><column></column><column><地址,端口>对(ipport)</column><column>64</column><column>IP地址、TCP/UDP端口</column></row><row><column></column><column>应用类型/应用协议信息(appinfo)</column><column>32</column><column>应用类型/应用协议</column></row><row><column></column><column>匹配度(weight)</column><column>32</column><column>匹配度</column></row><table>服务端口表41,用于记录特定应用协议所采用的缺省端口及匹配度等信息,采用线性表方式进行组织,表项与端口号一一对应,表项的结构如下表所示<table>complextableseeoriginaldocumentpage12</column></row><table>地址对信息表31,用于记录〈源IP,目的IP〉地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞,其中〈源IP,目的IP〉表项的结构如下表所示;<table><row><column>数据信息(按照存储顺序排列)</column><column>长度(位)</column><column>含义</column></row><row><column></column><column>源IP(sip)</column><column>32</column><column>源IP地址</column></row><table><table><row><column>目的IP(dip)</column><column>8</column><column>目的IP地址</column></row><row><column>流量与行为1t征(features)</column><column>不定</column><column>若干流量特征统计值、行为特征统计值</column></row><table>流量/行为特征模式库51,记录各种应用类型或者应用协议的流量/行为特征模式以及匹配度等信息。一条流量/行为特征模式的结构如下所示<table><row><column>数据信息(按照存储顺序排列)</column><column>长度(位)</column><column>含义</column></row><row><column>流量/行为特征模式(pattern)</column><column>不定</column><column><a,,a2,,..,an></column></row><row><column>应用类型/应用协议信息(appinfo)</column><column>32</column><column>应用类型/应用协议</column></row><row><column>匹配度(weight)</column><column>32</column><column>匹配度</column></row><table>协议特征码库61,记录各种应用协议的特征码串及匹配度等信息。一条协议特征码的结构如下表所示<table><row><column>数据信息(按照存储顺序排列)</column><column>长度(位)</column><column>含义</column></row><row><column>协议特征码(signature)</column><column>不定</column><column></column></row><row><column>应用类型/应用协议信息(appinfo)</column><column>32</column><column>应用类型/应用协议</column></row><row><column>匹配度(weight)</column><column>32</column><column>匹配度</column></row><table>动态流量分类装置1根据报文包含的IP五元组信息査询网络流表11,确定报文所属的网络流,并根据当前分类识别的状态把流的首报文交给<地址,端口>对匹配装置3和服务端口匹配装置4进行处理,把流的前M个报文交给流量/行为特征匹配装置5进行处理,把流的前N个报文交给协议特征码匹配装置6进行处理。网络拓扑探测装置2针对不同的应用服务主动搜索当前活跃节点,将节点的IP地址、TCP/UDP侦听端口、应用类型/应用协议等信息交给<地址,端口>对匹配装置3,添加到地址对信息表31中。<地址,端口〉对匹配装置3将报文中的々源IP地址,源端口>对、<目的IP地址,目的端口>对分别和地址对信息表31中的<地址,端口>对数据进行匹配,得到对应的应用类型/应用协议以及匹配度信息。服务端口匹配装置4将报文中的源端口和目的端口值分别与服务端口表41中的端口数据进行匹配,得到对应的应用类型/应用协议以及匹配度信息。流量/行为特征匹配装置5对针对流的前M个报文统计每条流以及<源IP,目的IP〉地址对的流量特征与行为特征信息一一统计值分别保存在网络流表11的features字段和地址对信息表31中,并将统计结果与流量/行为特征模式库51中的模式进行匹配,得到对应的应用类型/应用协议以及匹配度信息;协议特征码匹配装置6针对流的前N个报文将报文净荷的前L个字节与协议特征码库61中的协议特征码进行匹配,得到对应的应用协议以及匹配度信息。决策装置7对<地址,端口>对匹配装置3、服务端口匹配装置4、流量/行为特征匹配装置5、协议特征码匹配装置6输出的应用类型/应用协议和匹配度信息进行综合分析,最终确定网络流所属的应用类型或应用协议,并将其连同报文的〈目的IP地址,端口>信息一起交给<地址,端口〉对匹配装置3对地址对信息表31进行动态更新。在本发明的网络应用流量分类识别的方法包括如下步骤1)动态流分类步骤SIO,在该步骤中以报文包含的IP五元组信息为键值代入散列函数Hi,计算得到索引值i。函数H,典型的计算公式为i=(sIP+dIP+sPort+dPort+Protocol)%CTSize,其中CTSize为网络流表11的散列表长。根据索引值i找到网络流表11中对应的散列表项E,将报文的键值依次与散列表项所指链表中各流记录的键值进行比较,如果找到键值相等的流记录,则确定了报文属于该记录对应的流;否则新建流记录表项,把其中应用类型/应用协议、中间结果、流量与行为特征信息等字段清空;査看流记录表项中的应用类型/应用协议信息是否为空S15,如果不为空,则表明流所属的应用类型或应用协议己知,结束所有操作;否则说明流所属的应用类型/应用协议还没有确定,则判断报文在流中的次序是否超出预定窗口max(M,N)S18,如果超出预定窗口max(M,N),则将流记录表项的应用类型/应用协议字段的值置为"不可知",结束,如果没有超出预定窗口max(M,N)则按照后述的S20S60步骤判断流量类型;2)<地址,端口〉对匹配步骤S20,以报文的〈源地址sIP,源端口sPort>对、〈目的地址dlP,目的端口dPort〉对作为键值代入散列函数H3计算得索引k;散列函数H3的典型计算公式为<formula>complexformulaseeoriginaldocumentpage15</formula>,其中IPPortSize为网络拓扑信息表21的散列表长,典型取值为65536。根据索引号k在网络拓扑信息表21中找到对应的散列表项,将报文的键值依次与散列表项所指链表中各<地址,端口>对键值进行比较。如果找到键值相等的记录,则匹配成功,将匹配结果^ppinfo2,weight2〉交给决策装置7,前进到决策步骤S60;3)服务端口匹配步骤S30,将报文的源端口sPort和目的端口dPort作为键值代入散列函数H2计算得索引j;散列函数H2的典型计算公式为<formula>complexformulaseeoriginaldocumentpage15</formula>,其中SvrPortSize为服务端口表41表长,取值为65536。根据索引号j在服务端口表41中找到对应的散列表项,如果散列表项的应用类型/应用协议信息字段不为空,则匹配成功,将匹配结果〈appinfol,weightl〉交给决策装置7,前进到决策步骤S60;4)流量/行为特征匹配步骤S40,针对流的前M个报文,统计此网络流以及〈源IP,目的IP〉地址对的流量特征和行为特征,分别保存到网络流表11的features字段和地址对信息表31中,将得到的n个统计值组成一个特征向量<31,32,...,^>,与流量/行为特征模式库51中的模式进行匹配。如果找到匹配的模式,则将得到的结果〈appinfo3,weight3〉交给决策装置7,前进到决策步骤S60;5)协议特征码匹配步骤S50,将报文净荷的前L个字节与协议特征码库61中的协议特征码进行匹配,如果找到匹配的协议特征码,则将得到的结果〈appinfo4,weight4〉交给决策装置7,前进到决策步骤S60;6)决策步骤S60,从流记录表项中读取缓存的中间结果cachelcache4,并与步骤S30S60得到的有效输出结果一起进行综合分析,判别能否最终确定网络流所属的应用类型或应用协议,本实例采用如下判别方法将上述结果中同一应用类型/应用协议的匹配度进行累加,选出匹配度最高的应用类型/应用协议,如果其匹配度大于等于设定的阈值,则将此应用类型/应用协议信息作为结果输出,保存到网络流表11的应用类型/应用协议信息字段中,并将其连同报文的〈目的IP地址,端口>信息一起交给<地址,端口>对匹配装置3,对地址对信息表31进行动态更新;否则,将步骤S20S50得到的有效输出结果作为中间结果,保存到流记录表项的cachelcache4中,等待下一个报文到达时从步骤S10开始继续进行应用分类识别。7)网络拓扑探测步骤S70,针对不同的应用服务,主动搜索当前活跃节点,将节点的IP地址、TCP/UDP侦听端口、应用类型/应用协议等信息交给<地址,端口>对匹配装置3,对地址对信息表31进行动态更新;本发明已经在申请人研制的应用安全网关和P2P监测系统中试应用,取得了很好的效果,应用分类识别精确度高、各项指标优异,实现了本发明的目的。本发明具有很好的实用性和推广应用前景。尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于具体实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。权利要求1、一种网络应用流量分类识别装置,其特征在于,包括动态流分类装置,在该装置中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;<地址,端口>对匹配装置,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;服务端口匹配装置,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配装置,针对流的前M个报文,统计此网络流以及<源IP,目的IP>地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配装置,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策装置,从流记录表项中读取缓存的中间结果并与各匹配装置得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;网络拓扑探测装置,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。2、如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述网络流表用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。3、如权利要求l所述的网络应用流量分类识别装置,其特征在于,所述网络拓扑信息表用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。4、如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述地址对信息表用于记录<源IP,目的IP〉地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞。5、如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述流量/行为特征模式库,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息。6、如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述协议特征码库,用于记录各种应用协议的特征码串及匹配度等信息。7、一种网络应用流量分类识别方法,其特征在于,包括动态流分类步骤,在该步骤中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;判断报文在流中的次序是否超出预定窗口的步骤,在该步骤中判断该报文是否可知;<地址,端口>对匹配步骤,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;服务端口匹配步骤,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配-,流量/行为特征匹配步骤,针对流的前M个报文,统计此网络流以及<源IP,目的IP〉地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配步骤,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策步骤,从流记录表项中读取缓存的中间结果并与各匹配步骤得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;网络拓扑探测步骤,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。8、如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述网络流表用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。9、如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述网络拓扑信息表用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。10、如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述地址对信息表用于记录<源IP,目的IP〉地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞。11、如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述流量/行为特征模式库,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息。12、如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述协议特征码库,用于记录各种应用协议的特征码串及匹配度等信息。全文摘要一种网络应用流量分类识别装置,包括动态流分类装置,以报文包含的IP五元组信息为键值建立散列表,利用散列表检索网络流表;(地址,端口)对匹配装置,通过检索地址对信息表来对收到的报文进行匹配;服务端口匹配装置,通过检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配装置,针对流的前M个报文,统计流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配装置,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策装置,综合分析判别网络流所属的应用类型或应用协议;网络拓扑探测装置,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。文档编号H04L12/24GK101202652SQ20061016529公开日2008年6月18日申请日期2006年12月15日优先权日2006年12月15日发明者廖唯棨,张建宇,岩朱,彬杨,维邹,明高申请人:北京大学