[发明专利]基于网络流量统计信息的快速网包分类方法

摘要

本发明涉及一种基于网络流量统计信息的快速网包分类方法，属于网络流量过滤和监控技术领域。根据分类规则集确定包头各个域的空间划分及其规则映射表，建立地址查找表、端口查找表和规则查找表；记录网包包头在各个域空间划分中出现的次数并计算先验分布；根据先验分布建立各个域的字母搜索树；根据字母搜索树及查找表对接收的网包包头进行连续匹配；在更新时刻重新计算先验分布并更新字母搜索树，继续对接收的网络流量进行匹配。本方法从网包分类的两个不同层面使用了分类规则集以及网络流量的启发信息，增强了分类方法的适应性，提高了平均分类效率。本发明查找速度快、可适应性强，能够在多种平台上实现，适用于高性能网络流量的过滤和监控。

主权项

1、一种基于网络流量统计信息的快速网包分类方法，其特征在于该方法包括以下各步骤：(1)根据用户预先设定的网包分类规则集，分别确定网包包头的源网络层地址、目的网络层地址、源传输层端口、目的传输层端口四个域在各自全空间中的空间划分，为四个域分别建立空间划分与网包分类规则之间的第一、第二、第三、第四规则映射表；(2)以源网络层地址的空间划分序号SIP1～SIPu为列，以目的网络层地址的空间划分序号DIP1～DIPv为行，建立地址查找表，根据上述第一和第二规则映射表，分别将与源网络层地址的每个空间划分SIPa相对应的规则映射和与目的网络层地址的每个空间划分DIPb相对应的规则映射做“位与”运算，其中1≤a≤u，1≤b≤v，对运算所得的每个非重复的规则映射按出现的先后进行编号，得到地址编号AST1～ASTp，并将编号1～p写入以SIPa为列、以DIPb为行的地址查找表中的相应单元中，同时建立地址编号AST1～ASTp与网包分类规则之间的第五规则映射表；(3)以源传输层端口的空间划分序号SP1～SPm为列，以目的传输层端口的空间划分序号DP1～DPn为行建立端口查找表，根据上述第三和第四规则映射表，分别将与源传输层端口的每个空间划分SPc相对应的规则映射和与目的传输层端口的每个空间划分DPd相对应的规则映射做“位与”运算，其中1≤c≤m，1≤d≤n，对运算所得的每个非重复的规则映射按出现的先后进行编号，得到端口编号PST1～PSTq，并将编号1～q写入以SPc为列、以DPd为行的端口查找表的单元中，同时建立端口编号PST1～PSTq与网包分类规则之间的第六规则映射表；(4)以地址查找表中的地址编号AST1～ASTp为列，以端口查找表中的端口编号PST1～PSTq为行，建立规则查找表，根据上述第五和第六规则映射表，分别将与地址查找表中的每个地址编号ASTe相对应的规则映射和与端口查找表中的每个端口编号PSTf相对应的规则映射做“位与”运算，其中1≤e≤p，1≤f≤q，从右至左在运算所得的每个的规则映射中查找第一个为1的比特位的序号，将该序号写入以ASTe为列、以PSTf为行的端口查找表的单元中，该序号为匹配的优先级最高的规则序号，删除第一至第六规则映射表；(5)根据用户设定的采样间隔，记录网络流量中输入的网包包头在各个域的空间划分中出现的次数，并在更新时刻对各个域的统计信息做归一化处理，从而得到各个域在空间划分中的先验分布；(6)根据各个域在空间划分中的先验分布，利用字母搜索树分别建立一棵空间搜索树；(7)对接收到的网包进行规则匹配：根据网包包头的源/目的网络层地址，源/目的传输层端口四个域，利用四个域的字母搜索树分别确定网包包头四个域所在的空间划分的序号；利用源/目的网络层地址的空间划分序号，检索地址查找表，同时利用源/目的传输层端口的空间序号检索端口查找表；利用检索地址查找表得到的地址编号以及检索端口查找表得到的端口编号检索规则查找表，得到最终匹配的网包分类规则序号，并根据此序号指示的规则对网包进行放行或者阻止操作；(8)重复步骤(7)，对网络流量中的网包进行连续匹配，并根据用户预先设定的更新频率，在更新时刻到来时，重新执行步骤(5)～(8)。