[发明专利]特征码失效检测方法及系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种特征码失效检测方法及系统。

背景技术

近年来，互联网技术的高速发展使得广域网上承载的应用种类和应用量在不断增加，例如网页浏览、网络游戏、视频会议、VOIP(Voice Over Internet Protocol，网络电话)、电子邮件、P2P(Peer-to-Peer，点对点)应用等等。而企业、网吧、学校等接入广域网的链路出口带宽往往是有限的，为了合理、有效地分配这有限的广域网链路带宽，优先保证关键应用的正常运作，广域网接入网关设备通常需要将其承载的应用数据流分门别类，进而根据应用优先级来进行QOS(Quality of Service，服务质量)控制，最终实现优先保证关键应用带宽需求的目的。因此数据流应用协议的识别成了如今网关设备一项不可或缺的重要功能。

应用识别是指对网络中的数据流量进行分析，从而识别出数据流的应用协议类型的一种技术。传统的应用识别采用的是端口识别，这种识别能达到较高的性能，但是现在大量的应用层协议为了避免识别，逃避防火墙的检查，不再使用固定端口进行通信，比如BitTorrent、eMule等P2P协议，其采用动态端口进行通信，越来越多诸如此类协议的产生，使得端口识别已无能无力，并且端口识别通常有较高的误判率，因此近年来很多的研究工作都致力于开发新的方法来识别应用层协议，DPI技术便是目前应用极为广泛的一种应用识别技术。

深度包检测(DPI)技术在分析数据包头的基础上，增加了对应用层数据的分析，当IP数据包、TCP或UDP数据流经过基于DPI技术的网络设备时，DPI引擎通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行分析，从而识别出IP包的应用层协议。针对不同的协议类型，DPI识别技术可划分为基于“特征码”的识别技术，应用层网关识别技术和行为模式识别技术，其中，基于“特征码”的识别技术是最为常用的一种。当基于应用协议的“特征码”进行DPI识别时，“特征码”的准确率决定了DPI识别的准确率。而通常情况下，应用协议的“特征码”有可能因为软件的更新换代而发生变化，如果DPI设备不能及时更新该应用协议的特征码，就会导致该应用的数据流无法识别或识别不全。

现有技术中，通常由DPI设备的维护人员(通常是DPI设备的厂商)定期以手工的方式验证应用协议的特征码是否发生变化。这种方法会给维护人员带来很大的工作量，而且效率很低下，如果验证不够及时的话，就会使得特征码的更新不够及时，最终影响到DPI识别的准确率。

发明内容

针对上述缺陷，本发明提供一种特征码失效检测方法及系统，以实现准确、高效的特征码有效性自动检测。

本发明提供一种特征码失效检测方法，其特征在于，包括：

步骤S1，DPI设备基于应用协议的特征码对数据流进行DPI识别，生成识别结果统计信息表；

步骤S2，所述DPI设备将所述识别结果统计信息表发送至服务器；

步骤S3，所述服务器对预定时段内获取的所述识别结果统计信息表进行分析，获取所述应用协议的可识别率的下降参数并判断所述下降参数是否达到预定标准，若达到，则获知所述应用协议的特征码失效。

根据本发明的另一方面，还提供一种特征码失效检测系统，包括服务器和与所述服务器连接的多个DPI设备，其中：

所述DPI设备用于基于应用协议的特征码对数据流进行DPI识别，生成识别结果统计信息表，并将所述识别结果统计信息表发送至服务器；

所述服务器用于对预定时段内获取的所述识别结果统计信息表进行分析，获取所述应用协议的可识别率的下降参数并判断所述下降参数是否达到预定标准，若达到，则获知所述应用协议的特征码失效。

根据本发明的特征码失效检测方法及系统，通过由DPI设备生成识别结果统计信息表，并由服务器定期对与其连接的所有DPI设备的识别结果统计信息表进行整合处理，以根据预定标准来判断各种应用协议的特征码是否已失效，能够及时、有效地对特征码是否失效进行自动检测，从而确保DPI识别的准确率。

附图说明

图1为应用本发明特征码失效检测方法的网络架构图。

图2为本发明特征码失效检测方法的流程图。

图3为流量曲线图的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图，对本发明的技术方案进行清楚、完整地描述。