[发明专利]用于分组分类的方法和装置

说明书

本公开的方面提供了一种用于分组分类的方法和装置。该方法包括：在网络设备的计算机存储器中，存储针对网络应用的分组流的特征签名。所述特征签名包括在针对网络应用的分组流中的两个或更多分组的两个或更多分组属性的模式。然后，该方法包括：在网络设备处接收网络分组的流，识别网络分组的流中的一个或多个分组流，在分组处理器处处理分组，以获得在相应的分组流中的分组的分组属性，以及在分组流中的分组的分组属性与给定网络应用的特征签名相匹配时，将分组流识别为与给定网络应用相关联。

引用并入

本公开要求在2014年1月14日提交的、题为“Packet Capture by Size in aPacket Processor”的第61/927,266号美国临时申请的权益，其整体以引用的方式并入于此。

背景技术

这里提供的背景技术描述是为了一般性地呈现本公开的上下文的目的。当前指定的发明人的工作(到在此背景技术部分描述的工作的程度)以及在提交时可能以其他方式不适合作为现有技术的本描述的诸多方面，既并非明确地也并非隐含地被承认为是本公开的现有技术。

在各种场景中，网络设备基于层7分类来对分组采取动作。在一个示例中，网络设备接收分组，并且执行深度分组有效载荷检查，以搜索分组中的特定字符串，从而确定所述分组所关联的网络应用，并且然后根据网络应用的策略对分组采取动作。

发明内容

本公开的方面提供了一种用于分组分类的方法。该方法包括：在网络设备的计算机存储器中，存储针对网络应用的分组流的特征签名。分组流包括两个或更多分组，并且特征签名包括在针对网络应用的分组流中的两个或更多分组属性的模式。然后，该方法包括：在网络设备处，接收网络分组的流；识别网络分组的流中的一个或多个分组流；在分组处理器处，处理分组，以获得相应的分组流中的分组的分组属性；以及，在分组流中的分组的分组属性与给定网络应用的特征签名相对应时，将分组流识别为与给定网络应用相关联。

根据本公开的一个方面，该方法包括：从分组流中的分组的首部提取一个或多个分组属性。在一个示例中，该方法包括：对分组的首部进行位屏蔽(bit masking)以提取分组的有效载荷大小。在另一示例中，该方法包括：对分组的首部进行位屏蔽以提取分组的总长度以及一个或多个首部长度，以及通过从总长度减去首部长度来计算有效载荷大小。

在一个实施例中，该方法包括：在网络设备的计算机存储器中存储以下各项中的至少一项：在接收到具有特定有效载荷大小的分组时的时间的模式，以及分组流中的索引的模式，在索引处的分组具有特定有效载荷大小。在另一实施例中，该方法包括：在网络设备的计算机存储器中存储指定以下各项的两个或更多分组属性的模式的特征签名：具有特定有效载荷大小的分组的字节速率、具有特定大小的分组在时域中的到达速率、具有特定大小的分组在位置域中的到达速率、具有特定大小的分组之间的到达间隔时间、具有特定大小的分组之间的到达间隔间隙、有效载荷大小、分组速率、字节速率、到达间隔时间、分组数目。

根据本公开的一个方面，该方法包括：根据基于分组属性、通过分支决策序列而进行最终决策的决策树，将分组流识别为与给定网络应用相关联。在一个示例中，该方法包括：构建基于分组属性、通过分支决策序列而将特征签名与网络应用相关联的决策树。

本公开的方面提供了一种网络设备，所述网络设备包括存储器、端口以及分组处理器。所述存储器被配置为存储针对网络应用的分组流的特征签名，分组流包括两个或更多分组，并且特征签名包括在针对网络应用的分组流中的两个或更多分组的两个或更多分组属性的模式。所述端口被配置为接收分组的流。所述分组处理器被配置为识别网络分组的流中的一个或多个分组流，处理分组以获得相应的分组流中的分组的分组属性，并且在分组流中的分组的分组属性与给定网络应用的特征签名相对应时，将分组流识别为与给定网络应用相关联。

附图说明