关联识别表更新方法、关联识别方法、装置及系统的制作方法

文档序号:7886751阅读:108来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:关联识别表更新方法、关联识别方法、装置及系统的制作方法
技术领域
本发明涉及应用识别领域,尤其涉及一种关联识别表更新方法、关联识别方法、装置及系统。
背景技术
随着网络上运行的应用的数量大量增加,区分识别出网络中各流量数据包的所对应的应用类型或者应用层协议,以便对这些流量数据包进行区分服务变得越来越重要。目前,可采用关联识别对网络中各类协议流量数据包进行应用类型或者应用层协议识别,关联识别通过流量数据包的3、4层信息即IP地址信息、Port端口号以及传输层协议来匹配识别流量数据包的应用类型或者应用层协议,该识别方式可简单快速地完成应用类型或者应用层协议的识别。检测设备如DPI (De印Packet Inspection,深度包检测)设备中维护一个关联识别表,该关联识别表包括一个或者多个关联识别表项,每一关联识别表项包括某一应用的IP地址信息、Port端口号、传输层协议以及应用层协议,当流量经过时,通过提取流量数据包的3、4层信息即IP地址信息、Port端口以及传输层协议与所述关联识别表上的信息进行匹配,确定流量数据包对应的应用类型或者应用层协议。现有的对所述关联识别表更新一般需要协议分析人员通过手动录入的方式更新, 例如在某一应用的IP地址发生变化时,协议分析人员需要将所述关联识别表中相应表项中的IP地址信息手动替换成新的IP地址信息,该更新方法耗时耗力,容易出错,且更新不够及时。

发明内容
一方面,本发明实施例提供一种关联识别表更新方法、装置及系统,通过与DNS服务器进行交互来自动完成关联识别表中的IP地址信息的更新。另一方面,本发明实施例提供关联识别方法,提升协议的识别性能。本发明实施例提供一种关联识别表更新方法,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系,所述方法包括当满足更新触发条件时,向域名系统DNS服务器发送查询请求,所述查询请求包含所述域名信息;接收所述DNS服务器返回的与所述查询请求对应的查询响应,所述查询响应包含与所述域名信息对应的IP地址信息;采用所述查询得到的IP地址信息,更新所述关联识别表项中与所述域名信息对应的IP地址信息。相应地,本发明实施例还提供了一种关联识别方法,包括提取流量数据包中的包括IP地址信息、端口号以及传输层协议的匹配信息;将所述匹配信息与关联识别表进行匹配,当所述匹配信息与所述关联识别表中的第三关联识别表项匹配成功时,根据所述第三关联识别表项中包含的域名信息确定所述流量数据包的应用类型;其中,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系,所述关联识别表项中的IP地址信息是根据所述关联识别表项中的域名信息从域名系统DNS服务器中获取得到并用于更新所述关联识别表。相应地,本发明实施例还提供了另一种关联识别方法,包括提取流量数据包中的包括IP地址信息、端口号以及传输层协议的匹配信息;将所述匹配信息与关联识别表进行匹配,当所述匹配信息与所述关联识别表中的第四关联识别表项匹配成功时,输出所述第四关联识别表项中包含的应用层协议,其中所述应用层协议为所述流量数据包的应用层协议;其中,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号、传输层协议和应用层协议之间的对应关系,所述关联识别表项中的IP地址信息是根据所述关联识别表项中的域名信息从域名系统DNS服务器中获取得到并用于更新所述关联识别表。相应地,本发明实施例还提供了一种关联识别表更新装置,包括存储模块,用于存储所述关联识别表,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系;更新请求模块,用于当满足更新触发条件时,向域名系统DNS服务器发送查询请求,所述查询请求包含所述域名信息;更新响应模块,用于接收所述DNS服务器返回的与所述查询请求对应的查询响应,其中,所述查询响应包含与所述域名信息对应的IP地址信息;更新模块,用于采用查询得到的所述IP地址信息,更新所述关联识别表项中与所述域名信息对应的IP地址信息。相应地,本发明实施例还提供了一种通信系统,包括深度报文解析DPI设备,域名系统DNS服务器,其中所述DPI设备用于当满足更新触发条件时,向所述DNS服务器发起查询请求,所述查询请求包含域名信息,所述域名信息为关联识别表中的域名信息,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系;所述DNS服务器用于接收所述查询请求,获取与所述查询请求包含的域名信息对应的IP地址信息,向所述DPI设备返回与所述查询请求对应的查询响应,所述查询响应包含与所述域名信息对应的IP地址信息;所述DPI设备还用于接收所述DNS服务器返回的所述查询响应,并采用所述查询响应包含的IP地址信息,更新所述关联识别表项中与所述域名信息对应的IP地址信息。实施本发明实施例,具有如下有益效果通过与DNS服务器进行交互,查询DNS服务器将域名信息转换为IP地址信息,从而自动完成关联识别表的更新,能够准确、及时地更新关联识别表,并且节约的人工成本, 不影响关联识别,提高了关联识别的效率。以及,通过本发明实施例的关联识别方法,能根据自动更新的关联识别表和流量数据包的IP地址、端口号识别出流量数据包的应用类型或者应用层协议,从而快速、准确、及时地区分应用类型或者应用层协议,提升协议的识别性能。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本发明实施例的通信系统的结构组成示意图;图2是本发明实施例的关联识别表更新装置的结构组成示意图;图3是图2中的更新请求模块的结构组成示意图;图4是图2中的另一种更新请求模块的结构组成示意图;图5是图2中的再一种更新请求模块的结构组成示意图;图6是本发明的通信系统其中一种具体实施例结构组成示意图;图7是本发明的通信系统的另一种具体实施例结构组成示意图;图8是本发明的一种关联识别方法的实施例流程示意图;图9是本发明的另一种关联识别方法的实施例流程示意图;图10是本发明的关联识别表更新方法的第一实施例流程示意图;图11是本发明的关联识别表更新方法的第二实施例流程示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明的通信系统实施例一请参见图1,是本发明实施例的通信系统的结构组成示意图,本实施例中的所述通信系统包括深度报文解析设备DPI设备1,DNS (Domain Name System,域名系统)服务器 2。所述DPI设备1可根据关联识别表进行流量数据包的关联识别,其可内置关联识别表更新装置来进行关联识别表的更新。所述DNS服务器2保存有其所在网络中所有主机的域名信息和对应IP地址信息,并具有将域名转换为IP地址的功能。所述DPI设备1用于当满足更新触发条件时,向所述DNS服务器2发起查询请求, 所述查询请求包含域名信息,所述域名信息为关联识别表中的域名信息,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系。其中,本实施例的所述关联识别表可以为如表1所示的形式表1 IP=120.232.213.89; Port=80; Transport=TCP; ID= Google.-
IP=110.78.21.65; Port=80; Transport=TCP; ID=I 63._每一关联识别表项中包括IP地址信息、端口号Port、传输层协议Transport (如 TCP或UDP)、以及域名信息即表1中的ID。其中,发起关联识别表项更新的方式可包括多种,具体可以为当设置的更新周期到来时,主动地向域名系统DNS服务器2发送查询请求,所述查询请求包含所述关联识别表项中的域名信息,所述查询请求可以携带一个或者多个待更新的关联识别表项的域名信息,也可以直接携带所有关联识别表项的域名信息;或者,在接收到DNS服务器2的携带有域名信息的域名更新通知时,判断所述关联识别表中是否存在包括所述域名更新通知中携带的域名信息的第一关联识别表项,若存在,向域名系统DNS服务器2发送查询请求,所述查询请求中包括所述第一关联识别表项中域名信息;或者,在检测到有新的应用信息加载到所述关联表中时,即检测到所述关联表上存在包括用户协议、端口号以及传输层协议的第二关联识别表项时,向DNS服务器2发送查询请求,所述查询请求中包括所述第二关联识别表项中的域名信息。这里的第二关联识别表项用于表示关联识别表上IP地址信息为空的关联识别表项。所述DNS服务器2用于接收所述查询请求,获取与所述查询请求包含的域名信息对应的IP地址信息,向所述DPI设备1返回与所述查询请求对应的查询响应,所述查询响应包含与所述域名信息对应的IP地址信息。具体的,所述DNS服务器2在接收到所述查询请求后,在其内部查找保存的所述查询请求中携带的域名信息对应IP地址信息,或者,从与其具有通信连接的存储设备(如数据库)中查找保存的所述查询请求中携带的域名信息对应IP地址信息,也可通过与其他 DNS服务交互的方式得到所述查询请求中携带的域名信息对应的IP地址信息。在查找到 IP地址信息后,将查找到的域名信息对应的IP地址信息作为查询响应返回给所述DPI设备
Io所述DPI设备1还用于接收所述DNS服务器返回的所述查询响应,并采用所述查询响应包含的IP地址信息,更新所述关联识别表项中与所述域名信息对应的IP地址信息。
其中,若所述DPI设备1发出的查询请求向DNS服务器2请求查询多个域名信息对应的IP地址信息时,所述DNS服务器2返回的查询响应中也包括多个域名信息及每个域名信息对应的IP地址,所述DPI设备1可根据查询相应的域名信息找到相应关联识别表项, 然后采用查询响应中该域名信息对应的IP地址信息更新相应关联识别表项的原IP地址信息;若所述DPI设备1仅请求查询一个域名信息对应的IP地址信息时,所述DNS服务器2 则可只在所述查询响应中携带查找到的IP地址信息,所述DPI设备1直接将该IP地址信息更新到所述一个域名信息对应的关联识别表项上。另外,在其他实施例中,DNS服务器2可主动向DPI设备1发送域名更新通知,DPI 设备1根据接收到的域名更新通知携带的各个域名信息及其IP地址信息,更新域名信息对应的关联表项上的原IP地址信息。具体的,在一种实现方式下,DNS服务器2还用于向DPI设备1发送域名更新通知;DPI设备1具体用于当所述关联识别表中存在包括收到的域名更新通知中携带的域名信息的第一关联识别表项,向所述DNS服务器2发送查询请求,所述查询请求中包括所述第一关联识别表项中的域名信息;并接收所述DNS服务器2返回的所述查询响应,并采用所述查询响应包含的IP地址信息,更新所述第一关联识别表项中与所述域名信息对应的 IP地址信息。以及,本发明实施例中,DPI设备1还用于提取流量数据包中的包括IP地址信息、端口号以及传输层协议的匹配信息;将所述匹配信息与关联识别表进行匹配,当所述匹配信息与所述关联识别表中的第三关联识别表项匹配成功时,根据所述第三关联识别表项中包含的域名信息(即表1所述的关联识别表中的ID),确定所述流量数据包的应用类型。 需要说明的是,这里的第三关联识别表项为与所述匹配信息匹配的关联表项。以及,本发明实施例中,如果所述关联识别表包括一个或多个关联识别表项,且所述关联识别表项包括域名信息、IP地址信息、端口号、传输层协议和应用层协议之间的对应关系,相应的,DPI设备1还用于提取流量数据包中的包括IP地址信息、端口号以及传输层协议的匹配信息;将所述匹配信息与关联识别表进行匹配,当所述匹配信息与所述关联识别表中的第四关联识别表项匹配成功时,输出所述第四关联识别表项中包含的应用层协议(即表2所述的关联识别表中的I^otocolID中包含的应用层协议I^rotocol),其中所述应用层协议为所述流量数据包的应用层协议。本发明实施例的通信系统中,应当理解的是,在一种实现方式下,所述DPI设备可以为独立的物理装置;在另一种实现方式下,DPI设备可以是具有DPI功能的网元设备,其产品形态可以是路由器,网关设备,网络防火墙设备,或GGSN或PDSN等等;应当理解的是, DPI设备支持独立外置,DPI设备能与现有设备进行对接,或者也可以内置于现网的网元设备上。综上所述,本发明实施例提供的通信系统中,DPI设备1通过与DNS服务器进行交互,通过查询DNS服务器将域名信息转换为IP地址信息,采用查询得到的IP地址信息自动完成关联识别表的更新,使得关联识别表能够准确、及时地更新,节约了人工成本,不影响关联识别,提高了关联识别的效率。进一步的,本发明实施例提供的通信系统中,DPI设备 1能根据IP地址信息、端口号以及传输层协议识别出数据包的应用类型,快速区分应用类型,提升流量数据包的应用类型的识别性能。
另外,所述DPI设备1也可以主动收集网络上的域名信息来加载更新关联识别表。例如,DPI设备1可以主动地通过字符扫描等方式提取应用服务器下发的流量数据包中的域名信息、端口号以及传输层协议,并将这些信息加载到所述关联识别表上,然后通过向DNS服务器2请求查询域名信息对应的IP地址信息的方式完成关联识别表的加载更新。 同时,在后续的关联表更新继续采用上述方式自动实现。在DPI设备1进行关联识别的时候,DPI设备1就可以直接根据最新的关联识别表识别确定出流量数据包对应的具体应用类型。这样,也就实现了所述关联识别表的全自动加载与更新,也不需要通过复杂的字符串扫描来确定流量数据包的应用类型。本发明的通信系统实施例二 本实施例中的通信系统包括图1所示的DPI设备1和DNS服务器2,在本实施例中,所述关联识别表为如表2所示的内容,包括应用层协议,即本实施例中的关联识别表包括域名信息、IP地址信息、端口号、传输层协议和应用层协议之间的对应关系。其中用户协议ftOtocolID是由应用层协议!Protocol和域名信息ID构成。表 2
权利要求
1.一种关联识别表更新方法,其特征在于,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系,所述方法包括当满足更新触发条件时,向域名系统DNS服务器发送查询请求,所述查询请求包含所述域名信息;接收所述DNS服务器返回的与所述查询请求对应的查询响应,所述查询响应包含与所述域名信息对应的IP地址信息;采用所述查询得到的IP地址信息,更新所述关联识别表项中与所述域名信息对应的 IP地址信息。
2.如权利要求1所述的方法,其特征在于,所述当满足更新触发条件时,向域名系统 DNS服务器发送查询请求,包括当更新周期到来时,向所述域名系统DNS服务器发送查询请求,所述查询请求包含所述关联识别表项中的域名信息。
3.如权利要求1所述的方法,其特征在于,所述当满足更新触发条件时,向域名系统 DNS服务器发送查询请求,包括在接收到所述DNS服务器的域名更新通知时,判断所述关联识别表中是否存在包括所述域名更新通知中携带的域名信息的第一关联识别表项;若存在,向所述域名系统DNS服务器发送查询请求,所述查询请求中包括所述第一关联识别表项中的域名信息。
4.如权利要求1所述的方法,其特征在于,所述当满足更新触发条件时,向域名系统 DNS服务器发送查询请求,包括当检测到所述关联识别表中包括第二关联识别表项时,向所述域名系统DNS服务器发送查询请求,所述第二关联识别表项包括域名信息、端口号以及传输层协议,所述查询请求中包括所述第二关联识别表项中的域名信息。
5.如权利要求2至4任一项所述的方法,其特征在于,所述向域名系统DNS服务器发送查询请求,包括根据所述关联识别表项的优先级标签所指示的优先级向所述域名系统DNS服务器发送查询请求。
6.一种关联识别方法,其特征在于,包括提取流量数据包中的包括IP地址信息、端口号以及传输层协议的匹配信息;将所述匹配信息与关联识别表进行匹配,当所述匹配信息与所述关联识别表中的第三关联识别表项匹配成功时,根据所述第三关联识别表项中包含的域名信息确定所述流量数据包的应用类型;其中,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系,所述关联识别表项中的 IP地址信息是根据所述关联识别表项中的域名信息从域名系统DNS服务器中获取得到并用于更新所述关联识别表。
7.一种关联识别方法,其特征在于,包括提取流量数据包中的包括IP地址信息、端口号以及传输层协议的匹配信息;将所述匹配信息与关联识别表进行匹配,当所述匹配信息与所述关联识别表中的第四关联识别表项匹配成功时,输出所述第四关联识别表项中包含的应用层协议,其中所述应用层协议为所述流量数据包的应用层协议;其中,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号、传输层协议和应用层协议之间的对应关系,所述关联识别表项中的IP地址信息是根据所述关联识别表项中的域名信息从域名系统DNS服务器中获取得到并用于更新所述关联识别表。
8.一种关联识别表更新装置,其特征在于,包括存储模块,用于存储所述关联识别表,所述关联识别表包括一个或多个关联识别表项, 所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系;更新请求模块,用于当满足更新触发条件时,向域名系统DNS服务器发送查询请求,所述查询请求包含所述域名信息;更新响应模块,用于接收所述DNS服务器返回的与所述查询请求对应的查询响应,其中,所述查询响应包含与所述域名信息对应的IP地址信息;更新模块,用于采用查询得到的所述IP地址信息,更新所述关联识别表项中与所述域名信息对应的IP地址信息。
9.如权利要求8所述的装置,其特征在于,所述更新请求模块包括 计时单元,用于进行所述关联识别表的更新周期计时;第一请求单元,用于当更新周期到来时,向所述域名系统DNS服务器发送查询请求,所述查询请求包含所述关联识别表项中的域名信息。
10.如权利要求8所述的装置,其特征在于,所述更新请求模块包括判断单元,用于在接收到所述DNS服务器的域名更新通知时,判断所述关联识别表中是否存在包括所述域名更新通知中携带的域名信息的第一关联识别表项;第二请求单元,用于在所述判断单元的判断结果为存在时,向所述域名系统DNS服务器发送查询请求,所述查询请求中包括所述第一关联识别表项中域名信息。
11.如权利要求8所述的装置,其特征在于,所述更新请求模块包括检测单元,用于检测所述关联识别表中是否包括第二关联识别表项,所述第二关联识别表项包括域名信息、端口号以及传输层协议;第三请求单元,用于在所述检测单元的检测结果为所述关联识别表中包括第二关联识别表项时,向域名系统DNS服务器发送查询请求,所述查询请求中包括所述第二关联识别表项中的域名信息。
12.如权利要求9至11任一项所述的装置,其特征在于,所述更新请求模块还包括 优先级检测单元,用于检测为所述关联表的每一关联识别表项设置的优先级标签,确定所述优先级标签所指示的优先级,以便于根据所述确定的优先级向域名系统DNS服务器发送查询请求。
13.—种通信系统,其特征在于,包括深度报文解析DPI设备,域名系统DNS服务器, 其中所述DPI设备用于当满足更新触发条件时,向所述DNS服务器发起查询请求,所述查询请求包含域名信息,所述域名信息为关联识别表中的域名信息,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系;所述DNS服务器用于接收所述查询请求,获取与所述查询请求包含的域名信息对应的 IP地址信息,向所述DPI设备返回与所述查询请求对应的查询响应,所述查询响应包含与所述域名信息对应的IP地址信息;所述DPI设备还用于接收所述DNS服务器返回的所述查询响应,并采用所述查询响应包含的IP地址信息,更新所述关联识别表项中与所述域名信息对应的IP地址信息。
14.如权利要求13所述的系统,其特征在于,所述DNS服务器还用于向所述DPI设备发送域名更新通知;所述DPI设备具体用于当所述关联识别表中存在包括收到的域名更新通知中携带的域名信息的第一关联识别表项,向所述域名系统DNS服务器发送查询请求,所述查询请求中包括所述第一关联识别表项中的域名信息;并接收所述DNS服务器返回的所述查询响应,并采用所述查询响应包含的IP地址信息,更新所述第一关联识别表项中与所述域名信息对应的IP地址信息。
15.如权利要求13或14所述的系统,其特征在于,所述DPI设备还用于提取流量数据包中的包括IP地址信息、端口号以及传输层协议的匹配信息;将所述匹配信息与关联识别表进行匹配,当所述匹配信息与所述关联识别表中的第三关联识别表项匹配成功时,根据所述第三关联识别表项中包含的域名信息,确定所述流量数据包的应用类型。
16.如权利要求13或14所述的系统,其特征在于,所述关联识别表项还包括域名信息、 IP地址信息、端口号、传输层协议和应用层协议之间的对应关系,所述DPI设备还用于提取流量数据包中的包括IP地址信息、端口号以及传输层协议的匹配信息;将所述匹配信息与关联识别表进行匹配,当所述匹配信息与所述关联识别表中的第四关联识别表项匹配成功时,输出所述第四关联识别表项中包含的应用层协议,其中所述应用层协议为所述流量数据包的应用层协议。
全文摘要
本发明实施例公开了一种关联识别表更新方法,所述关联识别表包括一个或多个关联识别表项,所述关联识别表项包括域名信息、IP地址信息、端口号和传输层协议之间的对应关系,所述方法包括当满足更新触发条件时,向域名系统DNS服务器发送查询请求,所述查询请求包含所述域名信息;接收所述DNS服务器返回的与所述查询请求对应的查询响应,所述查询响应包含与所述域名信息对应的IP地址信息;采用所述查询得到的IP地址信息,更新所述关联识别表项中与所述域名信息对应的IP地址信息。本发明可自动完成关联识别表的更新,实现了关联识别表的准确、及时更新,并且节约的人工成本,不影响关联识别,提高了关联识别的效率。
文档编号H04L29/12GK102571956SQ20121000431
公开日2012年7月11日 申请日期2012年1月9日 优先权日2012年1月9日
发明者梁明, 毕世飞 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:梁明;毕世飞
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
无线识别装置相关技术
usb装置无法识别相关技术
装置开停车风险识别相关技术
射频识别装置相关技术
车牌识别装置相关技术
无法配置生物识别装置相关技术
颜色识别装置相关技术
指纹识别装置相关技术
模式识别与装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2