技術領域

本發明涉及通信技術，尤其涉及一種報文特征處理方法、裝置及網絡設備。

背景技術

隨著互聯網技術的快速發展，在網絡上承載的內容越來越豐富，網絡服務供應商也向客戶提供了越來越多的服務內容，同時，這些服務根據不同的應用進行區分。不同應用所需的資源信息通常不同，這就要求網絡設備能夠識別出各種應用，為各種應用提供最佳資源，以提高網絡設備資源的利用率。

先前常利用端口進行流量識別，即對各種應用的流量進行研究，并歸納出該流量對應的一個或多個固定端口，例如歸納得出酷狗(KuGoo)軟件通用的商業端口為7000。當在流量檢測過程中發現有流量的端口與已歸納出的端口(例如端口7000)相同，則確定該流量屬于與已歸納出的端口相對應的流量，以達到識別應用(例如識別為KuGoo軟件應用)的目的。

但是目前很多應用軟件已經不再使用固定端口，而是經常動態變化端口或者在軟件中設置端口設置功能供用戶自行設置端口，甚至有些軟件還使用其他業務的固定端口，例如使用端口80，以欺騙流量檢測設備。因此，上述基于端口的流量檢測方法已經不滿足應用識別的需求。而由于不同應用之間的流或報文通常會存在不一樣的地方，通過提取不同字段可以識別出不同的應用，用來識別不同應用的該不同字段被稱為特征碼或關鍵字，因此，現有技術又提出根據特征碼來識別不同應用的技術方案。

目前基于特征碼的應用識別方法主要有以下幾種：一種是基于報文的深度報文檢測(Deep?Packet?Inspection；簡稱為：DPI)，該方法主要是通過對報文的四層載荷進行深度分析，提取出其包含的或者出現頻率最高的特征字段，再結合一些端口和協議信息來形成一種應用的特征，并將形成的特征存儲在特征庫中。后續在流量識別過程中，通過提取報文的四層載荷和端口、協議信息在之前存儲的特征庫中進行匹配，來識別報文所屬的應用。通常該方法對特征字段出現位置有著嚴格的要求。另一種是基于流的深度檢測(Deep?Flow?Inspection；簡稱為：DFI)，該方法主要是基于不同應用在會話連接或數據流上的狀態各不相同，如每個流的平均包長，每個包到達的時間間隔等特征；然后通過對大量的流進行分析形成一個訓練集，再由訓練集產生一個匹配模型。在后續流量識別過程中，通過對具體的流與之前生成的匹配模型進行匹配來識別流所屬的應用。

但是，隨著技術的不斷更新和網絡的逐步發展，軟件版本不斷升級，例如QQ、迅雷等軟件不斷出現新版本，不同版本軟件對應的特征碼往往會發生變化，這樣對基于特征碼的應用識別來說，會因為特征碼的變化而產生識別不準確的問題。為了解決該問題，每次版本升級都需要人工進行一次特征碼的重新提取操作，這種維護特征庫的工作量極為繁重，并且效率較低。另外，這種做法會使得某一應用所提取的特征越來越多，而特征提取的越多，導致誤判的幾率就會大大提高，隨著軟件版本的逐步升級或更新，這種誤判幾率會大大增加。因此，如何在軟件版本不斷更新或升級的情況下，實現準確的識別應用類型成為應用識別面臨的又一難題。

發明內容

本發明提供一種報文特征處理方法、裝置及網絡設備，用以在軟件版本更新或升級時，準確識別應用報文。

本發明提供一種報文特征處理方法，包括：

獲取當前應用報文的載荷信息；

根據所述當前應用報文的載荷信息和預先存儲于特征庫中的正式匹配特征進行應用識別；

當根據所述正式匹配特征識別出所述當前應用報文的類型時，根據所述當前應用報文的載荷信息和之前指定個數的應用報文的載荷信息，獲取第一備份匹配特征并存儲，以根據所述第一備份匹配特征進行應用識別。

本發明提供一種報文特征處理裝置，包括：

信息獲取模塊，用于獲取當前應用報文的載荷信息；

第一識別模塊，用于根據所述當前應用報文的載荷信息和預先存儲于特征庫中的正式匹配特征進行應用識別；

第一特征獲取模塊，用于在所述第一識別模塊根據所述正式匹配特征識別出所述當前應用報文的類型時，根據所述當前應用報文的載荷信息和之前指定個數的應用報文的載荷信息，獲取第一備份匹配特征并存儲，以根據所述第一備份匹配特征進行應用識別。

本發明提供一種網絡設備，包括本發明提供的任一報文特征處理裝置。