[发明专利]一种应用流量识别方法及其系统

说明书

技术领域

本发明涉及计算机网络流量监测和性能分析，特别涉及一种在实际网络环境中依据关联特征识别应用流量的方法。

背景技术

流量识别是网络流量可管可控的基础，提高流量识别的准确性对提高网络管理监控的有效性十分重要。传统的流量识别方法有依据固定端口识别的方法、基于数据包内容特征识别的方法、基于流传输行为特征识别的方法等，但随着网络应用的发展，网络流量日益复杂，给流量识别带来了挑战。

传统的流量识别方法无论是依据端口识别还是基于数据包内容特征识别，都是基于单一特征的识别，随着网络流量的日益复杂，单一特征已经不能满足识别的需要，很多应用流量依据某一个单一特征不能识别，但依据多个单一特征的固定关联关系可以识别，针对这类应用流量的识别，本发明提出了一种依据关联特征识别应用流量的方法。

发明内容

本发明所要解决的技术问题在于提供一种应用流量识别方法及其系统，以解决现有技术中存在的复杂应用流量中依靠单一特征无法识别流量的问题。

为达上述目的，本发明提供了一种应用流量识别方法，其特征在于，所述方法基于关联型识别规则进行流量识别，所述方法包括：

关联型识别规则生成步骤：提取应用流量的单一特征，并根据所述单一特征之间的关联关系，生成关联型识别规则，存入识别规则库；

关联型识别规则匹配步骤：同时匹配所述单一特征和所述关联型识别规则，以进行应用流量的识别。

上述应用流量识别方法，其特征在于，所述关联型识别规则包括：数据包内容特征与包长特征的关联特征、数据包内容特征之间的关联特征、多个数据包的包长特征的关联特征和多个数据包内容特征的关联特征。

上述应用流量识别方法，其特征在于，所述关联型识别规则生成步骤还包括：

数据包内容与包长特征规则生成步骤：针对应用流量分别生成数据包内容和数据包包长的单一特征，并生成所述数据包内容特征与数据包包长特征之间的关联型识别规则。

上述应用流量识别方法，其特征在于，所述关联型识别规则生成步骤还包括：

数据包内容特征规则生成步骤：针对应用流量生成存在关联关系的单一数据包各个内容特征的单一特征，并生成所述单一数据包各个内容特征之间的关联型识别规则。

上述应用流量识别方法，其特征在于，所述关联型识别规则生成步骤还包括：

多个数据包包长特征规则生成步骤：针对应用流量生成存在关联关系的各个数据包包长特征的单一特征，并生成所述各个数据包包长特征之间的关联型识别规则。

上述应用流量识别方法，其特征在于，所述关联型识别规则生成步骤还包括：

多个数据包内容特征规则生成步骤：针对应用流量生成存在关联关系的多个数据包内容特征的单一特征，并生成所述多个数据包内容特征之间的关联型识别规则。

上述应用流量识别方法，其特征在于，所述关联规则匹配步骤还包括：

数据包内容与包长特征匹配步骤：在流量识别时，针对应用流量同时匹配数据包内容和数据包包长的单一特征和数据包内容特征与数据包包长特征之间的关联型识别规则。

上述应用流量识别方法，其特征在于，所述关联规则匹配步骤还包括：

数据包内容特征匹配步骤：在流量识别时，针对应用流量同时匹配单一数据包存在关联关系的各个内容特征的单一特征和各个内容特征之间的关联型识别规则。

上述应用流量识别方法，其特征在于，所述关联规则匹配步骤还包括：

多个数据包包长特征匹配步骤：在流量识别时，针对应用流量同时匹配存在关联关系的各个数据包包长特征的单一特征和各个数据包包长特征之间的关联型识别规则。

上述应用流量识别方法，其特征在于，所述关联规则匹配步骤还包括：

多个数据包内容特征匹配步骤：在流量识别时，针对应用流量同时匹配存在关联关系的各个数据包内容特征的单一特征和各个数据包内容特征之间的关联型识别规则。

本发明还一种应用流量识别系统，采用如权利要求1-10中任一项所述的应用流量识别方法，其特征在于，所述系统包括：

关联型识别规则生成模块：提取应用流量的单一特征，并根据所述单一特征之间的关联关系，生成关联型识别规则，存入识别规则库；

关联型识别规则匹配模块：同时匹配所述单一特征和所述关联型识别规则，以进行应用流量的识别。

上述应用流量识别系统，其特征在于，所述关联型识别规则包括：数据包内容特征与包长特征的关联特征、数据包内容特征之间的关联特征、多个数据包的包长特征的关联特征和多个数据包内容特征的关联特征。