[发明专利]一种基于DFI和DPI的网络流量管控方法及管控系统

说明书

本发明公开一种基于DFI和DPI的网络流量管控方法及管控系统，涉及网络数据传输技术领域，用于减小网络流量的识别负担，提高网络流量的识别稳定性及其识别效率。该网络流量管控方法包括：获取网络流量的业务识别信息，并根据业务识别信息制定流量识别控制策略；按照流量识别控制策略配置样本模块，且控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别；DFI识别单元和/或DPI识别单元获得网络流量识别结果，并将网络流量识别结果存储至数据交换模块；数据交换模块将网络流量识别结果反馈至流量识别控制模块。本发明提供的基于DFI和DPI的网络流量管控方法及管控系统用于网络流量识别。

技术领域

本发明涉及网络数据传输技术领域，尤其涉及一种基于DFI和DPI的网络流量管控方法及管控系统。

背景技术

深度/动态流识别(Deep/Dynamic Flow Inspection,以下简称为DFI)和深度包识别(Deep Packet Inspection，以下简称为DPI)属于两种不同的识别技术。其中，DFI用于根据不同业务类型流量对应的特征识别各种业务类型，而DPI用于深入识别数据包的内容及其有效负载。

现有基于DFI和DPI的网络流量识别技术中，DFI样本模块和DPI样本模块独立设置；DFI识别单元通过获取网络流量的业务特征和DFI样本模块的DFI样本特征，并将二者进行比较，能够实现DFI识别单元对网络流量的DFI识别；DPI识别单元通过深入重组网络流量的应用层特征以及获取DPI样本模块的DPI样本特征，并将二者进行特征字匹配，能够实现DPI识别单元对网络流量的DPI识别。

然而，由于DFI识别单元和DPI识别单元之间不存在相应的协调控制机制，当使用现有基于DFI和DPI的网络流量识别技术时，容易出现同一网络流量被DFI识别单元和DPI识别单元分别识别的现象，或者无需DPI识别单元识别的网络流量又被DPI识别单元识别的现象等，导致网络流量的识别进程中存在有冗余的识别进程，这样不仅降低了网络流量的识别效率，也会增加网络流量的识别负担，进而影响到网络流量的识别稳定性。

发明内容

本发明的目的在于提供一种基于DFI和DPI的网络流量管控方法及管控系统，用于减小网络流量的识别负担，提高网络流量的识别稳定性及其识别效率。

为了实现上述目的，本发明提供如下技术方案：

一种基于DFI和DPI的网络流量管控方法，包括：

步骤1，流量识别控制模块获取网络流量的业务识别信息，并根据业务识别信息制定流量识别控制策略；

步骤2，流量识别控制模块按照流量识别控制策略配置样本模块，且按照流量识别控制策略控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别；

步骤3，DFI识别单元和/或DPI识别单元获得网络流量识别结果，并将网络流量识别结果存储至数据交换模块；

步骤4，数据交换模块将网络流量识别结果反馈至流量识别控制模块。

与现有技术相比，本发明提供的基于DFI和DPI的网络流量管控方法具有以下有益效果：