[发明专利]一种基于蚁群寻优及分层DPI的网络流量检测方法

说明书

技术领域

本发明是一种互联网网络流量智能检测的方法，更具体的说，涉及一种采用蚁群算法进行寻优并采用分层DPI检测的互联网网络流量检测方法。

背景技术

在日益复杂的网络环境下，网络恶意数据流、不正当的应用数据等都给用户带来了不利的影响，网络中的恶意攻击会使一定范围内的网络状况变得糟糕，严重影响正常的网络应用；而不正常的应用数据(如企业局域网内的娱乐应用数据等)会一定程度上影响正常业务应用数据的通信。因此网络管理人员期望能够以一定的方法实现对一定范围内的网络数据进行检测和监控，如屏蔽异常流量、控制非业务数据以及定向数据跳转等。

目前，互联网网络流量检测及控制有以下几种方式：

1.纯手工方式:即在一定现实条件达到时，如特定时间点的到来或时间段的结束，切断或恢复一定范围内的网络连接，从而实现对网络流量的截断和放行。此方法虽然能够完全实现网络流量的截断和放行，但是不适用于对部分网络流量的控制，不适合大量类型网络流量的监控。

2.限制源IP地址及端口方式：即对特定源IP地址及特定源端口网络数据的阻截，如需要在一定网络范围内限定web服务时，可以限定该网络范围内传输端口为80的网络数据流。该方法能实现网络流量黑、白名单机制，但对于未知网络流量及海量源IP及端口的限定而言显得不切实际。

3.通过网络流量特征行为提取，并加以智能学习算法实现对网络流量的分类检测和限制，该方法能够实现对各种网络流量的检测，但智能学习时却面临着一定程度的误检和误测，不能实现对所有网络数据的准确检测和分类。

4.采用深度数据包检测技术(全称Deep Packet Inspection，简称DPI)方式：是一种基于应用层的流量检测和控制技术，当网络数据流通过基于DPI技术的网络流量管理系统时，该系统通过深入读取IP包载荷的内容来对开放式系统互联(全称Open System Interconnect，简称OSI)七层协议中的应用层信息进行重组，从而得到整个应用程序的内容。基于完备的DPI技术可以实现对所有网络数据的检测和控制，采用该方法能够达到较为理想的检测准确率，但是DPI的过程复杂度较高，全面DPI的实施将降低整个网络数据的流通性，一定程度上会妨碍各类应用实时性的保证，并且对于流控需求较为简单的场景下，显得过于费时费力。

因此，互联网络流量智能检测领域，需要一种互联网网络流量检测方法，使得不同应用场景下、不同应用类型的网络数据能够实施不同深度的网络数据包检测，并且网络数据包都能够根据自身的应用场景及应用类型所要求的DPI深度选择合适的DPI层次，从而减轻整个系统的性能负担，适宜广泛应用。

发明内容

本发明就是为了解决粉互联网流量检测不能根据不同应用场景实施不同深度的网络数据包检测的问题，提供一种基于蚁群寻优及分层DPI的网络流量检测方法，本发明的技术方案如下：

一种基于蚁群寻优及分层DPI的网络流量检测方法，其特征在于，包含：

步骤1：根据网络流量检测及控制的强度需求，将DPI层级划分为多个检测层级；

步骤2：遵循蚁群算法，把所获取的网络数据包按划分的DPI层级进行网络数据包层级寻优；具体为:接收到的网络数据包会去检测是否有相同网络数据包留下的“信息素”；若有，则继续判断是否按照已留下的“信息素”选择层级，若是，则按照已留下的“信息素”选择DPI层级进行相应的DPI检测，并留下自己的“信息素”，若不按照已留下的“信息素”选择层级，则随机选择任意一层DPI层级进行相应的检测，并留下自己的“信息素”；若未检测到相同网络数据包留下的“信息素”，则随机选择任一层DPI层进行相应的检测，并留下自己的“信息素”；

步骤3：根据每个网络数据包的选择层级实施具体层级的DPI流量检测。

如上的一种基于蚁群寻优及分层DPI的网络流量检测方法，其中，该步骤1中，所述多个检测层级为PI层、初级DPI层、中级DPI层及高级DPI层。

如上的一种基于蚁群寻优及分层DPI的网络流量检测方法，其中，该步骤2中，所述网络数据包包含信息素。

如上的一种基于蚁群寻优及分层DPI的网络流量检测方法，其中，该信息素包含IP地址、源端口和数据包。

如上的一种基于蚁群寻优及分层DPI的网络流量检测方法，其中，该步骤3中，所述DPI流量检测包含基于“特征字”的识别技术、应用网关识别技术和行为模式识别技术中至少一种技术。

本发明的有益效果是：