本發明提供一種基于動態數據包采樣的網絡流量識別系統和方法，系統包括網絡流量識別服務器、數據包分析模塊和行為分析模塊；網絡流量識別服務器、數據包分析模塊和行為分析模塊依次單向連接。本發明解決了傳統的網絡流量識別方法面對不斷變化的流量環境無法及時調整識別策略的矛盾，使得在網絡流量識別的過程中，可以通過感知數據包的變化，來調整當前網絡流量識別的策略，是根據首包信息結合協議識別方法來進行識別，還是根據數據包分析結合協議識別方法來進行識別，還是根據網絡行為分析結合協議識別方法來進行識別，根據運行環境變化并自動選擇適合當前流量特征的網絡流量協議識別策略，從而保證在任意流量環境下網絡流量識別的準確率與處理效率。

技術領域

本發明屬于信息安全技術領域，具體涉及一種基于動態數據包采樣的網絡流量識別系統和方法。

背景技術

隨著信息技術特別是互聯網技術的快速發展，網絡應用的數量也在快速的增長。網絡應用的發展給人們的生活帶來了極大的方便，但是網絡應用的復雜性和多樣性也給網絡應用管理、流量控制等帶來巨大的挑戰。為了有效的應對網絡應用快速發展所帶來的挑戰，實時、準確的網絡應用識別研究成為當前網絡管理研究領域的重要研究問題之一。

目前存在的協議識別技術主要存在如下幾種：(1)深度報文檢測技術；(2)多模式匹配方法；(3)正則表達式匹配方法。

深度報文檢測(Deep Packet Inspection簡稱DPI)技術主要相對傳統的基于五元組信息淺層報文檢測技術而言，基于DPI的協議識別技術將檢測深入到應用層負載內容，通過匹配數據包負載內容是否包含協議的特征對流量進行識別，深度包檢測技術能夠識別http偽裝、端口協商和隨機端口下載的P2P流量，具有較好的健壯性。

多模式匹配算法是經典的多模匹配算法。該算法的主要思路是對特征串集合進行預處理，通過算法尋找特征串之間的內部關聯關系，當匹配失效時通過對后綴包含進行處理，直接對下一個待匹配字符進行匹配而不需要在特征串中進行回溯。該算法的核心包括三張表:goto表、failure表和output表。

正則表達式是正則語言的一種描述模型，在用正則表達式進行匹配的算法當中，普遍采用將正則表達式轉換為有窮自動機(FA)的方式。有窮自動機是指一種進行文法識別的邏輯結構，其結構可以采用編程方式實現，與正則表達式作為主要的正則文法描述方式不同，有窮狀態機主要用于的正則文法識別和匹配領域，有窮狀態自動機又分為確定有窮狀態，因此基于正則表達式進行協議識別的方法可以分為基于NFA正則表達式匹配算法和基于DFA正則表達式匹配算法。

在目前現有的協議識別方法中，深度報文檢測雖然有較好的準確性和健壯性，但是其識別速度太慢，無法滿足流量協議進行實時識別的需求，標準的多模式匹配算法雖然具有較高的匹配速度和效率，但是只能對字符串形式的協議特征進行匹配，無法應用于正則表達式協議識別領域，當前普遍使用正則表達式進行協議特征描述，主要采用基于正則表達式匹配的協議識別方法，而采用NFA方式對正則表達式進行識別時間幵銷較高，無法滿足需求；使用DFA識別方式會面臨狀態圖爆炸問題，因此需要對算法進行改進；而目前基于狀態圖進行優化方式很難滿足需求，因此需要結合協議識別中協議特征的特性，對正則表達式匹配算法進行更深入的研究。

結合協議特征的識別方法有如下方法：(1)基于端口的協議識別技術；(2)基于應用層負載簽名特征的協議識別技術；(3)基于流特征的協議識別技術幾個階段。

基于端口的協議識別技術根據常見的網絡應用或者網絡流量使用的固定端口號來識別網絡應用或者協議，但是這種技術無法應對越來越多的采用動態端口的網絡應用。

基于應用層負載簽名的協議識別技術通過識別網絡應用的應用層負載簽名來識別網絡應用或者協議，這種方法克服了動態端口技術給協議識別帶來的困難，但是對部分數據流加密的網絡應用或者協議仍然無法有效識別。