技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種深度包檢測的方法。

背景技術(shù)

隨著近年來基于P2P(peer to peer)流量模型的新型網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)帶寬資源的消耗速度不斷加快，網(wǎng)上傳統(tǒng)業(yè)務(wù)也受到了越來越大的沖擊和影響。P2P本身是一種很好的技術(shù)，有廣闊的使用前景，但同時P2P也是一種殺傷力很強的技術(shù)。目前，基于P2P的應(yīng)用多為帶寬耗盡型的下載業(yè)務(wù)，使得原本富裕的接入、匯聚和骨干帶寬資源被消耗殆盡，網(wǎng)絡(luò)鏈路經(jīng)常處于滿負荷狀態(tài)，導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量惡化(丟包率、時延及抖動大大增加)，使部分對端到端QoS(quality of service)要求較高的語音、視頻、游戲類業(yè)務(wù)的發(fā)展受到很大影響，同時擠占了傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用的帶寬資源。如何有效控制此類低價值業(yè)務(wù)流量對帶寬的侵蝕，解決骨干網(wǎng)增量不增收的現(xiàn)狀，是擺在運營商面前的一個現(xiàn)實問題。

深度包檢測（DPI）技術(shù)是一種基于應(yīng)用層的流量檢測和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對OSI七層協(xié)議中的應(yīng)用層信息進行重組，從而得到整個應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進行整形操作。深度包檢測法就是基于這種原理，通過檢測各種 P2P 應(yīng)用協(xié)議使用的固定特征字來識別各種 P2P應(yīng)用。

使用DPI技術(shù)能帶來以下好處：

a) 檢測準(zhǔn)確率比基于端口和流量模式的方法高， 端口的變化不會影響檢測率。

b) 能夠檢測使用最廣泛的 P2P 應(yīng)用。

c) 適合流量的精確檢測。

發(fā)明人在實現(xiàn)實際使用DPI技術(shù)時，發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在如下缺點：

a) 無法識別新出現(xiàn)的、經(jīng)加密的 P2P 應(yīng)用， 會出現(xiàn)漏判。

b) 協(xié)議分析和特征搜尋需要投入大量人力及時間。

c) 難以獲取加密協(xié)議的特征。

d) 特征的選擇對檢測性能有很大影響。

e) 系統(tǒng)檢測模塊需不定期地進行升級。

f) 查看應(yīng)用層的內(nèi)容涉及隱私的問題。

g) 對檢測設(shè)備的處理能力要求較高。

發(fā)明內(nèi)容

本發(fā)明提供了一種利用DPI技術(shù)進行TCP流量識別的方法，包括：

步驟202、接收TCP連接報文，所述報文中包括網(wǎng)絡(luò)控制數(shù)據(jù)和用戶發(fā)送的數(shù)據(jù)；

步驟204、識別報文中包括的源端的端口號，對端口號進行判斷；

步驟206、若端口號大于預(yù)設(shè)的第一閾值則跳轉(zhuǎn)到步驟212，否則進入步驟208；

步驟208、對報文進行DPI處理，提取報文中的字符串，將字符串經(jīng)過由1個哈希函數(shù)構(gòu)成的Bloom Filter，進行粗匹配，若匹配成功則直接報告匹配結(jié)果，進入步驟210；若匹配不成功，則進入細匹配，將字符串經(jīng)過由n個哈希函數(shù)構(gòu)成的Bloom Filter，其中n為自然數(shù)且n>1，獲得匹配結(jié)果，進入步驟210；

步驟210、所述匹配結(jié)果進行分析，若是異常結(jié)果則對異常進行上報，進入步驟214；若非異常結(jié)果則不進行上報，進入步驟214；

步驟212、對TCP連接信息進行分析，若在一定的時間內(nèi)TCP的連接數(shù)大于第二閾值且該一定的時間內(nèi)最大連接數(shù)和最小連接數(shù)差值高于第三閾值，則判斷流量異常，對異常進行上報，進入步驟214；否則不上報異常，進入步驟214；

步驟214、流量識別結(jié)束。

本發(fā)明中，通過首先判斷端口號，再進行有針對性的識別的方式，有效的區(qū)別了不同情況下的流量識別方式。并且，通過Bloom Filter實現(xiàn)了DPI的處理，精確的獲取處理結(jié)果。同時，通過判斷TCP連接的特征更加便捷的實現(xiàn)了流量的識別。通過應(yīng)用以上技術(shù)，能夠使得在流量識別中更加準(zhǔn)確、快捷的得到識別結(jié)果，并且在識別流程上也大幅優(yōu)化，能夠更容易的在現(xiàn)有設(shè)備中實現(xiàn)。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹。

顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施一的流程圖。

具體實施方式

為使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下將通過具體實施例和相關(guān)附圖，對本發(fā)明作進一步詳細說明。

實施例一