技術領域

本發明涉及網絡應用流量分類識別裝置及其方法，特別涉及計算機網絡和數據通信領域的網絡應用流量分類識別裝置及其方法。

背景技術

網絡應用流量分類識別是許多核心網絡業務的關鍵共性技術。它將匯聚流量中屬于不同應用類型或應用協議的流量區分出來，以便系統分別進行處理。以網絡監測為例，人們需要從流量中采集和記錄特定應用的信息，了解應用的實際狀況并研究其對網絡的影響，以指導對網絡和互聯網的規劃、配置與管理。再如，區分服務(Diffserv)通過建立從應用類型到服務類型的映射關系，為不同應用類型的網絡流量提供不同的服務保證。而對于入侵檢測/入侵防御系統來說，應用協議異常檢測和高效的攻擊特征碼檢測都是以細粒度的、精確的應用協議識別為前提的。

近年來隨著互聯網和網絡應用的飛速發展，特別是對等(Peer-to-Peer，簡稱P2P)網絡、層疊網絡、匿名網絡等新興網絡技術的出現和普及，傳統的網絡應用流量分類識別技術面臨日趨嚴峻的挑戰，基于服務端口或者協議特征碼的單一技術手段已經不能滿足業務的需要，主要表現在：(1)由于可供注冊的TCP/UDP端口數目有限，大量新興應用協議不再注冊缺省服務端口；(2)出于安全性和靈活性的考慮，許多應用協議采用了動態端口協商或者自定義端口注冊機制；(3)為了穿越防火墻，一些應用協議會占用某些其他協議(如HTTP協議)的常用服務端口(如TCP?80端口)進行通信；(4)應用協議越來越多、越來越復雜，許多私有協議沒有公開完整的協議規范，協議特征碼的提取變得非常困難；(5)一些應用協議為了通信安全采用了凈荷加密技術，已經難以基于協議特征碼進行識別。

因此，需要一種綜合多種技術手段、高效、精確、實用的網絡應用流量分類識別的裝置和方法，以實現對流量的實時高精確度的應用感知和分類控制。

發明內容

本發明的目的在于提供一種網絡應用流量分類識別裝置及其方法，該方法能夠綜合不同應用協議的特點區分出不同應用的類型。

本發明的網絡應用流量分類識別裝置的特征在于，包括：動態流分類裝置，在該裝置中以報文包含的IP五元組信息為鍵值建立散列表，利用該散列表檢索網絡流表；<地址，端口>對匹配裝置，以報文的<源地址，源端口>對、<目的地址，目的端口>對作為鍵值建立散列表，利用該散列表檢索地址對信息表來對收到的報文進行匹配；服務端口匹配裝置，將報文的源端口和目的端口作為鍵值建立散列表，利用該散列表檢索服務端口表來對收到的報文進行匹配；流量/行為特征匹配裝置，針對流的前M個報文，統計此網絡流以及<源IP，目的IP>地址對的流量特征和行為特征，并與流量/行為特征模式庫中的信息進行匹配；協議特征碼匹配裝置，將報文凈荷的前L個字節與協議特征碼庫中的協議特征碼進行匹配；決策裝置，從流記錄表項中讀取緩存的中間結果并與各匹配裝置得到的有效輸出結果一起進行綜合分析，判別網絡流所屬的應用類型或應用協議；網絡拓撲探測裝置，針對不同的應用服務，搜索當前活躍節點，用節點信息動態更新地址對信息表。

本發明的網絡應用流量分類識別裝置的特征還在于，所述網絡流表用于記錄網絡流的IP五元組、應用類型/應用協議、中間結果、流量與行為特征、狀態等信息，采用散列表方式進行組織，采用鏈表方式解決散列碰撞。

本發明的網絡應用流量分類識別裝置的特征還在于，所述網絡拓撲信息表用于記錄<地址，端口>對及其所對應的應用類型/應用協議、匹配度等信息，采用散列表方式進行組織，采用鏈表方式解決散列碰撞。

本發明的網絡應用流量分類識別裝置的特征還在于，所述地址對信息表用于記錄<源IP，目的IP>地址對的流量特征與行為特征，采用散列表方式進行組織，采用鏈表方式解決散列碰撞。

本發明的網絡應用流量分類識別裝置的特征還在于，所述流量/行為特征模式庫，用于記錄各種應用類型或者應用協議的流量與行為特征模式以及匹配度等信息。

本發明的網絡應用流量分類識別裝置的特征還在于，所述協議特征碼庫，用于記錄各種應用協議的特征碼串及匹配度等信息。