[发明专利]网络流量特征识别规则的建立方法、识别控制方法及装置

说明书

技术领域

本发明涉及网络技术领域，具体涉及一种网络流量特征识别规则的建立方法、识别控制方法及装置。

背景技术

基于流(Flow)的Flow分析技术是目前主流的网络流量分析技术，主要包括NetFlow、sFlow、cFlow和NetStream四种。

NetFlow是当今应用最为广泛的流量分析技术。NetFlow能够采集开放式系统互联(Open System Interconnect，OSI)参考模型中第2到4层网络流量的信息，包括源IP地址、目的IP地址、源端口、目的端口、IP层协议类型等，可以回答有关IP流量方面的问题，比如谁在什么时间、在什么地方、使用何种协议、访问谁、具体的流量是多少等。但是，NetFlow仅对网络流量中的IP包头进行分析，不能真正判断网络流量中的应用类型。其它sFlow、cFlow和NetStream与NetFlow类似，也是基于OSI参考模型中第2到4层的网络流量分析技术。

深度包检测(Deep Packet Inspection，DPI)技术在分析IP包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术，可以提取OSI参考模型中第2到7层网络流量的信息，能够识别大部分网络流量的应用协议类型，再根据预设的策略对网络流量进行控制。现有的DPI技术所识别的应用协议类型包括大类名称，例如即时通讯(Instant Messaging，IM)、P2P(Peer-to-Peer)等，和小类名称，例如skype、MSN(Windows Live Messenger)、emule、edonkey等，可以按照应用协议类型的大类名称和小类名称制定策略，控制网络流量。

基于DPI技术的管理系统需要维护一个特征数据库，当网络流量经过时，通过将解包后的网络流量应用信息与特征数据库进行比较来确定网络流量的应用协议类型；而对于特征数据库中没有相关数据的未知网络流量，就无法分析确定网络流量的应用协议类型，此时就要更新特征数据库。

现有的DPI技术更新特征数据库，建立应用协议特征识别规则的方法是：首先安装与应用协议对应的应用软件并运行该应用软件产生网络流量，然后提取该网络流量的特征，得到应用协议与网络流量特征的对应关系从而形成应用协议特征识别规则，添加到特征数据库中。当网络流量经过时，提取该网络流量的特征，并与特征数据库中的应用协议特征识别规则对比，从而识别出该网络流量的应用协议类型，还可以识别出产生该网络流量的应用软件的名称。

可见，对于未知的网络流量，现有的DPI技术无法对其进行有效分析和控制；并且，在不知道产生该网络流量的应用软件时，也不能建立应用协议特征识别规则以更新特征数据库。从而，当网络中未知流量占比较高时，基于DPI技术的管理系统的分析和控制能力会明显降低。

发明内容

本发明实施例提供一种网络流量特征识别规则的建立方法、识别控制方法及装置。

一种网络流量特征识别规则的建立方法，包括：

分析中心服务器接收网络流量样本；

获取所述网络流量样本的载荷数据，从所述载荷数据中提取流量特征，其中，所述流量特征包括：标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个；

当所述流量特征包含的特征参量达到相应阈值时，确定该网络流量属于所述相应阈值对应的类别，将所述流量特征与类别对应存储，以生成特征识别规则；

将所述特征识别规则下发给网络流量设备。

一种网络流量识别控制方法，包括：

采集网络流量样本；

根据预设的特征提取方式提取采集到的网络流量样本的流量特征；

根据特征识别规则对采集到的网络流量样本的流量特征进行识别，获得所述网络流量样本的类别，所述特征识别规则从分析中心服务器获得；

根据所述类别获取预设的控制策略，并根据所述控制策略对所述网络流量进行相应操作；

当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时，将所述网络流量样本上传给分析中心服务器。

一种分析中心服务器，包括：

样本库单元，用于接收网络流量样本；

分析引擎单元，用于获取所述网络流量样本的载荷数据，从所述载荷数据中提取流量特征，其中，所述流量特征包括：标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个；

应用知识库单元，用于当所述流量特征包含的各个特征参量达到相应阈值时，确定该网络流量属于所述相应阀值对应的类别，将所述流量特征与类别对应存储，以生成特征识别规则，将所述特征识别规则下发给网络流量设备。