[发明专利]应用流量特征库的建立方法和装置、网络设备

说明书

技术领域

本发明涉及网络通信技术，具体涉及一种应用流量特征库的建立方法和装置、网络设备。

背景技术

随着计算机和网络技术迅猛发展，人们已经越来越多的依靠互联网进行信息的交流，准确识别出互联网上每个数据流所使用的协议，对网络规划、网络问题检测、网络使用情况报告、提高网络服务质量、检测网络异常流量、研究区分服务、按不同业务进行流量计费等等都有极大的帮助。

目前有许多的网络安全产品，比如入侵检测系统、软件防火墙、电子邮件监控系统等，这些系统或软件需要对网络上的流量内容进行监控或者还原，就必须要清楚地识别传输的数据包的类型，而要到达这个目的，就必须能对协议进行识别。当前互联网主干带宽已有了巨大的提升，在这样高速高带宽的网络上每分钟的流量是相当巨大的。如何处理数量庞大且不断增长的网络流量，进行准确有效的协议识别是亟待解决的问题。

近年来，应用层协议的形式与种类都较过去更加复杂，传统协议的流量在总流量中的比重越来越少。相反，点对点协议（P2P，Point to Point Protocol）、流媒体、网络游戏等新应用协议不断涌现，并且已经占据了网络流量的60%以上。更重要的是，这些新协议的规范往往不公开并且不遵守默认固定端口的约定。因此，如何能够正确的识别这些复杂的协议也是现在协议识别必须解决的问题。

传统的IP包流量识别和服务质量（QoS，Quality of Service）控制技术，仅对互联网协议（IP，Internet Protocol）包头中的“5Tuples”,即“五元组”信息进行分析，来确定当前流量的基本信息，传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障的，但其仅仅分析IP包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能真正判断流量中的应用类型，更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。深度包检测（DPI，Deep Packet Inspection）技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术，当IP数据包、传输控制协议（TCP，Transportation Control Protocol）或用户数据报协议（UDP，User Data Protocol）数据流经过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。

传统的DPI技术，需要大量的提取每种协议的特征字符串，以保证应用协议识别的准确性。而目前大多数特征提取只是依靠人工分析，只能发现部分明显的协议特征，不能保证协议的完整性，从而影响了特征库的全面性和准确性。

并且，目前网络上的流量应用类别数以万千，各种应用以飞快的速度在增长，网络应用的更新周期也很频繁。仅依靠人工来进行应用流量特征库的提取、更新，需要投入大量的人力和精力。

可见，在现有的应用层协议识别技术中，存在应用流量特征库的内容不全面、不准确，通过人工方式建立应用流量特征库繁琐复杂低效的问题。

发明内容

有鉴于此，本发明实施例提供了一种应用流量特征库的建立方法和装置、网络设备，用以解决现有技术中应用流量特征库的内容不全面、不准确，通过人工方式建立应用流量特征库繁琐复杂低效的问题。

本发明实施例技术方案如下：

一种应用流量特征库的建立方法，包括：对网络上的应用流量进行预定K次的数据包提取，并分别将每次所提取的数据包中握手报文后的预定M个有效载荷报文按序保存为一组数据包，得到K组数据包；在K组数据包中任意相同序号的K个数据包中，比较判断具有相同的连续字节的数据包占该K个数据包的比率大于或等于预定的第一比率的情况下，确定该相同的连续字节为所述应用流量的特征项；其中，所述特征项包括至少两个字节；在应用流量特征库中对应保存所述应用流量的标识和所述应用流量的特征项。