[发明专利]流量检测方法和设备

说明书

技术领域

本发明实施例涉及检测技术领域，尤其涉及一种流量检测方法和设备。 

背景技术

传统的流量和带宽的检测管理是基于开放式系统互联参考模型(OpenSystem Interconnection；简称：OSI)的第二至第四层(L2-L4层)，通过互连网协议(Internet Protocol；简称：IP)包头的五元组信息进行检测分析，通常称为″普通报文检测″，其中IP包头的五元组信息包括源地址、目的地址、源端口、目的端口以及协议类型等信息。″普通报文检测″仅分析IP包的4层以下的内容，根据端口号识别应用类型。当前网络上的一些应用可以采用隐藏或假冒端口号的方式躲避检测和监管，造成仿冒合法报文的数据流侵蚀网络，例如：P2P下载软件大多采用动态协商端口机制，采用L2-L4层的″普通报文检测″无法对P2P流量和带宽进行分析。 

为了对基于开放端口、随机端口或采用加密方式等进行传输的应用类型进行识别分析，现有技术中采用了深度包检测(Deep Packet Inspection；简称：DPI)。DPI技术是一种基于应用层的流量检测和控制技术，针对不同的协议类型，基于DPI技术的应用识别技术可划分为以下三类： 

第一类是基于″特征字″的识别技术：不同的应用特征通常依赖于不同的协议，而不同的协议都有其特殊的″指纹″，这些″指纹″可能是特定的端口、特定的字符串或者特定的比特(bit)序列。 

第二类是应用层网关识别技术：某些业务的控制流和业务流是分离的，业务流没有任何特征。应用层网关需要先识别出控制流，并根据控制流的协议通过特定的应用层网关对其进行解析，从协议内容中识别出相应的业务流。 

第三类是行为模式识别技术：行为模式识别技术基于对终端已经实施的行为进行分析，判断出用户正在进行的动作或者即将实施的动作。 

发明人在实现本发明的过程中至少发现现有技术存在如下问题： 

由于网络中的流量在高峰和低谷存在显著落差，如果按照流量的最高峰部署DPI设备所需的成本高，且在非高峰期大量的处理性能闲置，浪费资源DPI设备的系统资源。 

发明内容

本发明实施例提供的流量检测方法和设备，提高流量检测的能力，节约系统资源。 

本发明实施例提供一种流量检测方法，包括： 

对所有的应用特征信息对应的应用协议进行流量检测； 

当满足应用协议检测切换条件时，对预先生成的排名应用特征库中的应用特征信息所对应的应用协议进行流量检测； 

所述预先生成的排名应用特征库中的应用特征信息为在有效采集时长内，识别流数满足预设条件的应用协议所对应的应用特征信息。 

本发明实施例提供一种流量检测设备，包括： 

检测模块，用于对所有的应用特征信息对应的应用协议进行流量检测； 

切换模块，用于当满足应用协议检测切换条件时，对预先生成的排名应用特征库中的应用特征信息所对应的应用协议进行流量检测；所述预先生成的排名应用特征库中的应用特征信息为在有效采集时长内，识别流数满足预设条件的应用协议所对应的应用特征信息。 

附图说明

本发明实施例的提供的流量检测方法和设备，采用仅包括常用的部分应用协议的应用特征信息的排名应用特征库进行流量检测，可以降低识别流所消耗的资源，可以提高流量检测的能力，节约系统资源。 

图1为本发明实施例一提供的流量检测方法的流程图； 

图2为本发明实施例二提供的流量检测方法的流程图； 

图3为本发明实施例三提供的流量检测设备的结构示意图； 

图4为本发明实施例四提供的流量检测设备的结构示意图。 

具体实施方式

下面结合附图和具体实施例进一步说明本发明实施例的技术方案。 

图1为本发明实施例一提供的流量检测方法的流程图，如图1所示，该流量检测方法包括： 

步骤101、对所有的应用特征信息对应的应用协议进行流量检测。 

在流量检测和控制技术例如DPI技术中，流量检测设备采用完整应用特征库中的应用特征信息对应用协议进行流量检测，完整应用特征库中包括能够识别的所有的应用特征信息。当出现新应用协议时，将新应用协议的应用特征信息更新到完整应用特征库，从而保证完整应用特征库中包括能够识别的所有的应用特征信息。