[发明专利]一种基于5G移动网络流量分析的应用识别方法和系统

说明书

本发明公开了一种基于5G移动网络流量分析的应用识别方法和系统。本方法为：1)数据采集模块采集5G移动网络流量并将其发送给DPI识别模块；2)DPI识别模块对数据链路层和网络层进行拆包，获取五元组以及时间戳信息，然后根据五元组以及时间戳信息对数据包进行分类合并成流；然后根据每一流中数据包的明文特征判断该流对应的应用层协议；3)DFI识别模块从网络流量数据包中提取流量的多粒度级别特征，包括流特征、数据包特征、主机行为特征、TCP头部特征、IP头部特征；然后对得到的多粒度级别特征进行过滤；4)DFI识别模块根据过滤后的流的特征利用基于结构数据依赖的DBSCAN方法识别该流所属应用。

技术领域

本发明属于移动通信领域，特别涉及一种5G移动网络流量分析的应用识别方法和系统。

背景技术

近年来，随着互联网技术以及移动通信技术的不断发展，网络流量成爆发式增长，尤其是5G通信技术的发展，手机用户贡献了大量移动通信数据流量和互联网流量。随着网民对上网需求的不断变化，商业环境催生了大量的新型业务。新型业务大都是由流媒体、P2P、网络游戏所构成，在给人们带来生活的便利和多样性的同时，也为网络安全带来了巨大的挑战。

传统的端口识别方式，指利用IP流量的端口号完成识别，其前提是流量为TCP(Transmission Control Protocol，传输控制协议)和UDP(User Datagram Protocol，用户数据报协议)类型的报文。常规的TCP和UDP通过报头的16位端口号来区分不同的应用进程，端口号范围0～65535，其中1～256为常用端口号，任何基于TCP/IP实现所提供的服务都采用1～1023之间的某一个端口号。例如，HTTP(Hyper Text Transfer Protocol，超文本传输协议)采用80号端口，SSH(Secure Shell，安全外壳协议)采用22号端口，DNS(Domain NameSystem，域名系统)采用53号端口，Telnet(远程终端协议)采用23号端口，FTP(FileTransfer Protocol，文件传输协议)采用20/21号端口，SNMP(Simple Network ManagementProtocol，简单网络管理协议)采用161号端口等，大多数端口号不作为特定协议使用，而是在流量转发进行交互时使用，端口识别技术只检查数据包端口号，根据端口号与应用协议的映射完成应用的识别，对于大多数未定义的端口号则无法识别出具体应用。

深度包检测技术(DPI，Deep Packet Inspection)是在传统IP数据包检测技术之上增加了对应用层数据的应用协议识别，数据包内容检测与深度解码。根据协议特征签名，对数据包的应用层数据进行深度分析，识别出相应的协议和应用，如HTTP协议中，可以根据HTTP报文的请求/响应行、请求/响应头、请求/响应正文中的字段和字符与特征库中的特征信息进行匹配，从而精确识别具体应用。DPI识别过程中可以结合数据包的首部信息，识别更多的协议类型，很多数据包包头没有明显特征，也可以通过DPI技术识别出来。DPI多用于网络应用层协议的识别，也可以识别四层到七层的流量特征，精度高。

深度/动态流检测(DFI，Deep/Dynamic Flow Inspection)是一种基于网络流量行为的应用识别技术，由于不同的应用在数据流或连接会话上的行为特征存在差异，例如语音流量的数据流的包长通常相对固定，一般处于130～220byte之间，通常情况下网络连接速率较低，约为20至84kbit/s，会话持续时间相对较长；而P2P(Peer to Peer)应用的数据流包长大都在450byte以上，下载时间长、连接速率更高，传输协议通常为可靠的TCP协议等。DFI不需要访问应用层信息，只需要统计分析流的特征，如流中的数据包长度、接入/接出连接比值、上行/下行流量的比值等，基于这一系列流量的行为特征，通常采用有监督的机器学习方法建立网络流量判别模型，从而识别应用类型。

DFI方法中经常采用无监督学习的方法来对数据包或流进行聚类，常用的无监督机器学习方法，如k-means、DBSCAN等聚类算法，通常采用基于距离的相异性度量方式。