[发明专利]网络应用流量识别方法和装置及网络应用流量管理设备

说明书

技术领域

本发明涉及通信网络技术领域，尤其涉及一种网络应用流量识别方法和一种网络应用流量识别装置，还涉及一种网络应用流量管理设备。

背景技术

网络应用流量识别是许多核心网络业务的关键共性技术，其将不同应用类型或者应用协议的流量区分出来，以便分别进行处理。

现有的网络应用流量识别技术主要有以下几种：

(1)基于IP/端口的识别技术：根据TCP数据包或UDP数据包包头的源IP地址、目的IP地址或者源端口号、目的端口号识别网络应用流量；

该基于IP/端口的识别术技能够有效识别具有固定通信网络端口号的网络流量，比如早期的Fasttrack使用1214端口进行通信；

但是，该方法对于源IP地址、源端口号、目的IP地址、目的端口号没有特征的网络应用流量，则无法进行识别；比如，采用可变端口或者能够进行端口伪装的网络应用流量；

(2)DPI(Deep Packet Inspection，深层分组检查)识别技术：通过数据包深层扫描，在TCP数据包或UDP数据包负载中查找特定明文特征来识别网络应用流量，该特定明文特征使某一个协议区别于其它协议；

该DPI识别技术对于具有明文特征的网络应用流量，其识别准确度可达95％甚至更高，同时能够很好的识别采用可变端口或者进行端口伪装的网络应用流量；

但是，本方法对于无法从TCP或UDP负载中提取明文特征的网络应用流量无效；比如，由于无法从加密流中提取明文特征，因此本方法无法对加密的网络应用流量进行识别；

(3)基于流统计特征的识别技术：比如，如果用户保持的TCP或UDP连接在一段时间内，其目的端口在1024以上连接数与目的端口在1024以下连接数的比值大于预设阈值，则认为用户正在使用P2P(Peer-to-Peer)软件；再比如，如果用户主机的TCP连接数和UDP流数大于某个设定阈值，也可认为用户正在使用P2P软件；

该基于流统计特征的识别技术主要是针对无法提取明文特征的网络应用流量提出的，但效果不佳，存在较大的误报风险；比如说，本方法很难对P2P流量、游戏流和数据库流加以区分。

可以看出，对于采用可变端口并同时加密的网络应用流量，现有的网络应用流量识别技术无法实现有效的识别；而随着应用软件和协议的不断发展，网络上出现了越来越多的使用基于IP/端口的识别技术和DPI识别技术所无法识别的网络应用流量。其中，加密P2P流量产生的影响最大：其“带宽吞噬”特性造成了网络带宽的巨大消耗，甚至会引起网络拥塞，大大降低网络性能，劣化了网络服务质量，妨碍了正常的网络业务开展和关键应用，严重影响了用户正常的Web、E-mail等应用；同时，由于加密P2P流量无法被有效识别，因此能够轻易穿透现有防火墙和安全代理，使得病毒和恶意代码得以躲过安全审查入侵内部网络，造成极大的安全隐患。

为了克服上述现有技术的缺陷，网络技术人员提出了诸多解决方案。其中，中国专利申请CN200810018164.1“基于传输层特征的P2P网络流量识别方法”提出了这样一种方案：通过提取双向网络流的特征序列并与P2P特征模板库中相同协议类型下的特征序列模板匹配实现P2P网络流量的识别。这一方案虽然能够实现对加密P2P网络流量的识别，但需要对每一网络应用流量都提取N个数据包并遍历P2P特征模板库中所有的特征序列模板加以匹配，因此效率较低，同时也导致了较大的系统开销。

发明内容

本发明的实施例旨在克服上述现有技术的缺陷，提供能够高效、迅速识别网络应用流量的技术方案，同时有效降低系统开销。

为实现上述目的，本发明的实施例提供了一种网络应用流量识别方法，包括关联已知网络应用的特征序列模板和相应的特定明文特征的步骤；以及，对于通过网络应用流量管理设备的任一网络会话执行以下步骤：

步骤S1：采用DPI识别技术对所述网络会话进行识别，识别成功则所述网络会话为所识别网络应用流量；其中，如果命中一所述特定明文特征，则以所述网络会话的源IP为键值，将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中，结束识别；

步骤S2：对于前述识别技术无法识别的网络会话，记录当前报文的特征信息；

步骤S3：识别所记录的报文数目是否达到预设的阈值，是则将所述网络会话的源IP和目的IP与所述第一列表中的键值进行适配，提取匹配键值下全部特征序列模板并执行步骤S4；否则步骤S1；