一种基于DFI和DPI的网络流量管控方法及管控系统与流程

本发明涉及网络数据传输技术领域，尤其涉及一种基于DFI和DPI的网络流量管控方法及管控系统。

背景技术：

深度/动态流识别(Deep/Dynamic Flow Inspection,以下简称为DFI)和深度包识别(Deep Packet Inspection，以下简称为DPI)属于两种不同的识别技术。其中，DFI用于根据不同业务类型流量对应的特征识别各种业务类型，而DPI用于深入识别数据包的内容及其有效负载。

现有基于DFI和DPI的网络流量识别技术中，DFI样本模块和DPI样本模块独立设置；DFI识别单元通过获取网络流量的业务特征和DFI样本模块的DFI样本特征，并将二者进行比较，能够实现DFI识别单元对网络流量的DFI识别；DPI识别单元通过深入重组网络流量的应用层特征以及获取DPI样本模块的DPI样本特征，并将二者进行特征字匹配，能够实现DPI识别单元对网络流量的DPI识别。

然而，由于DFI识别单元和DPI识别单元之间不存在相应的协调控制机制，当使用现有基于DFI和DPI的网络流量识别技术时，容易出现同一网络流量被DFI识别单元和DPI识别单元分别识别的现象，或者无需DPI识别单元识别的网络流量又被DPI识别单元识别的现象等，导致网络流量的识别进程中存在有冗余的识别进程，这样不仅降低了网络流量的识别效率，也会增加网络流量的识别负担，进而影响到网络流量的识别稳定性。

技术实现要素：

本发明的目的在于提供一种基于DFI和DPI的网络流量管控方法及管控系统，用于减小网络流量的识别负担，提高网络流量的识别稳定性及其识别效率。

为了实现上述目的，本发明提供如下技术方案：

一种基于DFI和DPI的网络流量管控方法，包括：

步骤1，流量识别控制模块获取网络流量的业务识别信息，并根据业务识别信息制定流量识别控制策略；

步骤2，流量识别控制模块按照流量识别控制策略配置样本模块，且按照流量识别控制策略控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别；

步骤3，DFI识别单元和/或DPI识别单元获得网络流量识别结果，并将网络流量识别结果存储至数据交换模块；

步骤4，数据交换模块将网络流量识别结果反馈至流量识别控制模块。

与现有技术相比，本发明提供的基于DFI和DPI的网络流量管控方法具有以下有益效果：

在本发明提供的基于DFI和DPI的网络流量管控方法中，流量识别控制模块通过获取网络流量的业务识别信息，可以根据业务识别信息制定出流量识别控制策略；然后，按照该流量识别控制策略，流量识别控制模块能够配置样本模块，即对样本模块中的样本进行调配，以便在后续DFI识别单元和/或DPI识别单元对网络流量进行检测识别的过程中，减少DFI识别单元和/或DPI识别单元从样本模块中获取样本特征的时间，从而提高网络流量的识别效率。而且，按照该流量识别控制策略，流量识别控制模块还能够控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别，使得网络流量能够有针对性的被DFI识别单元和/或DPI识别单元检测识别，实现了流量识别控制模块对DFI识别单元和/或DPI识别单元的智能控制，从而避免在网络流量的识别进程中产生冗余的识别进程，能够减小网络流量的识别负担，从而提高网络流量的识别稳定性。

本发明还提供了一种基于DFI和DPI的网络流量管控系统，包括流量识别控制模块以及分别与流量识别控制模块信号连接的样本模块、DFI识别单元、DPI识别单元和数据交换模块；其中，DFI识别单元还分别与样本模块和数据交换模块信号连接，DPI识别单元还分别与样本模块和数据交换模块信号连接；

流量识别控制模块用于获取网络流量的业务识别信息，并根据业务识别信息制定流量识别控制策略；还用于根据流量识别控制策略配置样本模块，以及控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别；

DFI识别单元和/或DPI识别单元用于根据流量识别控制模块的控制指令，对网络流量进行检测识别，获得网络流量识别结果；

数据交换模块用于存储网络流量识别结果，以及将网络流量识别结果反馈至流量识别控制模块。

与现有技术相比，本发明提供的基于DFI和DPI的网络流量管控系统所能实现的有益效果，与上述技术方案提供的基于DFI和DPI的网络流量管控方法所能达到的有益效果相同，在此不做赘述。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例提供的基于DFI和DPI的网络流量管控方法的流程图；

图2为本发明实施例提供的基于DFI和DPI的网络流量管控系统的结构示意图一；

图3为本发明实施例提供的基于DFI和DPI的网络流量管控系统的结构示意图二。

附图标记：

1-流量识别控制模块， 2-样本模块，

3-DFI识别单元， 31-DFI分类训练模块，

32-DFI流量检测模块， 4-DPI识别单元，

41-DPI分类训练模块， 42-DPI流量检测模块，

5-数据交换模块， 6-GGSN，

7-SGSN， 8-PDN。

具体实施方式

为便于理解，下面结合说明书附图，对本发明实施例提供的基于DFI和DPI的网络流量管控方法及管控系统进行详细描述。

请参阅图1，本发明实施例提供的基于DFI和DPI的网络流量管控方法包括：

步骤S1，流量识别控制模块获取网络流量的业务识别信息，且根据业务识别信息制定流量识别控制策略。

上述网络流量的业务识别信息可以根据实际需要自行设定，通常包括有网络流量的识别类型、识别需求和识别目的等。流量识别控制模块在获取网络流量的业务识别信息后，对该网络流量的业务识别信息进行解析，能够针对该网络流量制定出合理的流量识别控制策略。

步骤S2，流量识别控制模块按照流量识别控制策略配置样本模块，且按照流量识别控制策略控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别。

上述DFI识别单元和DPI识别单元共用同一样本模块；流量识别控制策略中制定的用于检测识别对应网络流量的识别单元，具体可以为DFI识别单元或DPI识别单元中任一种，也可以为DFI识别单元和DPI识别单元两种。

步骤S3，DFI识别单元和/或DPI识别单元获得网络流量识别结果，并将网络流量识别结果存储至数据交换模块；

步骤S4，数据交换模块将网络流量识别结果反馈至流量识别控制模块。

在本发明实施例提供的基于DFI和DPI的网络流量管控方法中，流量识别控制模块通过获取网络流量的业务识别信息，可以根据业务识别信息制定出流量识别控制策略；然后，按照该流量识别控制策略，流量识别控制模块能够配置样本模块，即对样本模块中的样本进行调配，以便在后续DFI识别单元和/或DPI识别单元对网络流量进行检测识别的过程中，减少DFI识别单元和/或DPI识别单元从样本模块中获取样本特征的时间，从而提高网络流量的识别效率。而且，按照该流量识别控制策略，流量识别控制模块还能够控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别，使得网络流量能够有针对性的被DFI识别单元和/或DPI识别单元检测识别，实现了流量识别控制模块对DFI识别单元和/或DPI识别单元的智能控制，从而避免在网络流量的识别进程中产生冗余的识别进程，能够减小网络流量的识别负担，从而提高网络流量的识别稳定性。

此外，本发明实施例提供的基于DFI和DPI的网络流量管控方法，在获得网络流量识别结果后，利用数据交换模块将其反馈至流量识别控制模块中，还可以使得流量识别控制模块根据该网络流量识别结果动态调整流量识别控制策略，从而提高流量识别控制策略的机动性和准确性，确保网络流量的检测识别能够准确进行。

需要说明的是，在上述实施例中，按照流量识别控制策略控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别时，对应获得的网络流量识别结果可以有多种类型。

示例性的，如果流量识别控制模块按照流量识别控制策略，仅需控制DFI识别单元对网络流量进行检测识别，那么获得的网络流量识别结果为DFI识别结果一种。如果流量识别控制模块按照流量识别控制策略，仅需控制DPI识别单元对网络流量进行检测识别，那么获得的网络流量识别结果为DPI识别结果一种。如果流量识别控制模块按照流量识别控制策略，依序控制DFI识别单元和DPI识别单元对网络流量进行检测识别，那么获得的网络流量识别结果为DFI识别结果和DPI识别结果两种。

值得一提的是，当流量识别控制模块按照流量识别控制策略，依序控制DFI识别单元和DPI识别单元对网络流量进行检测识别时，流量识别控制策略中DFI识别单元和DPI识别单元的识别顺序可以根据实际需要制定。示例性的，如果需要进行网络流量的类型识别以及其中某类网络流量的深度识别时，应先控制DFI识别单元对网络流量进行检测识别，获得比较全面的DFI识别结果；然后，再根据该DFI识别结果，控制DPI识别单元对某一类网络流量进行检测识别，获得比较深入和精确的DPI识别结果；最后，将上述DFI识别结果和DPI识别结果均存储至数据交换模块，以及通过数据交换模块反馈至流量识别控制模块。

上述实施例中提到的DFI识别单元，通常包括DFI分类训练模块和DFI流量检测模块；其中，DFI分类训练模块分别与流量识别控制模块、样本模块和DFI流量检测模块信号连接；DFI流量检测模块分别与流量识别控制模块和数据交换模块信号连接。当流量识别控制模块按照流量识别控制策略，控制DFI识别单元对网络流量进行检测识别时，具体实施如下：

流量识别控制模块按照流量识别控制策略，依序启动DFI分类训练模块和DFI流量检测模块；

DFI分类训练模块从样本模块中调取DFI样本特征，构建DFI识别模型；

DFI流量检测模块对网络流量和DFI识别模型进行特征比较，获得DFI识别结果。

上述实施例中提到的DPI识别单元，通常包括DPI分类训练模块和DPI流量检测模块；其中，DPI分类训练模块分别与流量识别控制模块、样本模块和DPI流量检测模块信号连接；DPI流量检测模块分别与流量识别控制模块和数据交换模块信号连接。当流量识别控制模块按照流量识别控制策略，控制DPI识别单元对网络流量进行检测识别时，具体实施如下：

流量识别控制模块按照流量识别控制策略，依序启动DPI分类训练模块和DPI流量检测模块；

DPI分类训练模块从样本模块中调取DPI样本特征，构建DPI识别模型；

DPI流量检测模块对网络流量和DPI识别模型进行特征字匹配，获得DPI识别结果。

请参阅图2，本发明实施例还提供了一种基于DFI和DPI的网络流量管控系统，用于实施上述实施例所提供的基于DFI和DPI的网络流量管控方法。该基于DFI和DPI的网络流量管控系统包括流量识别控制模块1以及分别与流量识别控制模块1信号连接的样本模块2、DFI识别单元3、DPI识别单元4和数据交换模块5；其中，DFI识别单元3还分别与样本模块2和数据交换模块5信号连接，DPI识别单元4还分别与样本模块2和数据交换模块5信号连接；

流量识别控制模块1用于获取网络流量的业务识别信息，并根据业务识别信息制定流量识别控制策略；流量识别控制模块1还用于按照流量识别控制策略配置样本模块2，以及控制DFI识别单元3和/或DPI识别单元4对网络流量进行检测识别；

DFI识别单元3和/或DPI识别单元4用于根据流量识别控制模块1的控制指令，对网络流量进行检测识别，获得网络流量识别结果；

数据交换模块5用于存储网络流量识别结果，以及将网络流量识别结果反馈至流量识别控制模块1。

本发明实施例提供的基于DFI和DPI的网络流量管控系统，与本发明实施例提供的基于DFI和DPI的网络流量管控方法所能达到的有益效果相同，在此不做赘述。

需要说明的是，请参阅图3，在本实施例中，DFI识别单元3包括DFI分类训练模块31和DFI流量检测模块32；其中，DFI分类训练模块31分别与流量识别控制模块1、样本模块2和DFI流量检测模块32信号连接；DFI流量检测模块32分别与流量识别控制模块1和数据交换模块5信号连接。

具体实施时，流量识别控制模块1按照流量识别控制策略，依序启动DFI分类训练模块31和DFI流量检测模块32；DFI分类训练模块31先从样本模块2中调取DFI样本特征，构建出DFI识别模型；然后，DFI流量检测模块32对网络流量和DFI识别模型进行特征比较，获得DFI识别结果。

请继续参阅图3，在本实施例中，DPI识别单元4包括DPI分类训练模块41和DPI流量检测模块42；其中，DPI分类训练模块41分别与流量识别控制模块1、样本模块2和DPI流量检测模块信号42连接；DPI流量检测模块42分别与流量识别控制模块1和数据交换模块5信号连接。

具体实施时，流量识别控制模块1按照流量识别控制策略，依次启动DPI分类训练模块41和DPI流量检测模块42；DPI分类训练模块41先从样本模块2中调取DPI样本特征，构建出DPI识别模型；然后，DPI流量检测模块42对网络流量和DPI识别模型进行特征字匹配，获得DPI识别结果。

值得一提的是，上述实施例中提供的流量识别控制模块1可以为策略控制和计费PCC模块，或者其他能够制定流量识别控制策略的流量控制设备，本实施例对此不作具体限定。

示例性的，请参阅图3，当流量识别控制模块1为PCC模块时，流量识别控制模块1还可以通过GPRS网关支持节点GGSN6分别与公用数据网PDN8和GPRS业务支持节点SGSN7信号连接，形成PCC网络架构。此外，SGSN 7还可以外接UMTS陆地无线接入网(UMTS Terrestrial Radio Access Network，简称UTRAN)，和/或GSM/EDGE无线接入网(GSM EDGE Radio Access Network，简称GERAN)等。

在上述实施方式的描述中，具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。