技術領域

本發明具體涉及一種規則遺漏導致的未知流量分析方法。

背景技術

在網絡流量分析優化與控制系統中，要想達到網絡優化的目的，需要精確識別網絡流量。精準的應用識別，可以大大提高產品的性能和可靠性。

未知流量的產生，主要有如下幾個方面：漏規則，即具體應用規則覆蓋不全；應用未分析，協議庫不支持；現網環境復雜，如存在非對稱環境。

傳統的協議分析流程，一般都是抓取某個應用的數據包，然后進行特征分析和提取工作。抓取數據包過程中，需要協議分析人員手動點擊應用的各個操作按鈕，盡管協議分析人員會盡可能觸發所有的場景，但難免會有所遺漏，這就會導致某些場景的流量分析不到，從而產生漏規則。另外，某一應用有所更新，增加或修改了某些功能，也會導致規則遺漏。遺漏規則，這是傳統協議分析方法固有的缺陷。

要提高現網的整體識別率，關鍵是找到相對知名的應用，做到對該應用的識別達到一定的程度(比如98％以上)。一個比較流行的知名應用，運營該應用的公司不會讓多個應用運行在一個服務器上，也就是說，一個服務器的IP唯一對應著一個應用，這是本方法的重要依據。我們統計出未知流量占比比較高的一些服務器IP，既然占比比較高，這些IP對應的應用也應是比較知名的。然后在現網上根據服務器IP進行抓包，這樣抓取的流量用戶覆蓋廣、操作類型多，基本不會有特征流量的遺漏。之后再對抓取的數據包進行分析：比如，對于某一IP的數據包，其中部分流量我們可以識別為某個應用，那么我們可以大膽推測該IP就是這個應用的，而未識別的流量是由于分析人員覆蓋場景不夠導致漏識別的。這時，我們再從該IP的未識別流量中提取規則特征更新到特征庫中去。

發明內容

本發明主要針對第一種情況對協議分析流程和方法進行改進。應用在現網未知流量占比比較大、協議特征規則有遺漏的場景。作為傳統協議分析方法的補充，用于補充遺漏的規則特征。

為了解決現有技術中的上述問題，提出一種規則遺漏導致的未知流量分析方法，其中，其分析時將抓包從客戶端移到服務器端，使在短時間內能夠抓取多種操作類型、多種復雜網絡環境、多用戶的數據包，進而提高分析效率以及現網設備的識別率，所述方法具體包括：

步驟101，更新規則庫到所述現網設備，進行現網設備識別情況的多次測試；

步驟102，對現網設備未知流量進行統計，得出未知流量占比最高的服務器；

步驟103，在現網設備中，對上述未知流量占比最高的服務器進行服務器端抓包，上、下行包都包括，進而獲取樣本；

步驟104，對所獲取的樣本使用現有規則庫進行測試分析，得到樣本的識別情況；

步驟105，比較已識別部分樣本和未識別部分樣本所屬的服務器信息，對于服務器IP及端口都相同的樣本，由已識別部分樣本確定未識別部分樣本所屬應用與其相同；

步驟106，提取該未識別部分樣本的規則特征；并將此規則特征增加到上述已識別部分樣本的規則特征中；

步驟107，將分析得到的規則特征更新到現網設備的規則庫中，重復步驟101－步驟107，直到識別率達標。

通過本發明，提高現網流量的整體識別率、同時在服務器端抓包，極大地提供了協議的分析效率及抓包的多樣性。

附圖說明

圖1是本發明的未知流量分析流程圖。

具體實施方式

本方法主要包含以下步驟：現網設備(規則庫動態更新)；對未知流量進行統計，得出流量占比最高的Top N服務器；對Top N服務器進行抓包；對獲取的樣本使用現有規則庫進行測試，得到樣本的識別情況；對于服務器IP及端口都相同的流量，由已識別部分確定未識別部分流量所屬應用；提取該未識別部分流量的規則特征；將分析得到的規則更新到現網設備

下面結合附圖對本發明做進一步詳細說明。

參見圖1，本方法提出的協議分析方法步驟：

步驟101，更新規則庫到現網設備，進行識別情況的測試，測試時間要足夠長；

步驟102，對未知流量進行統計，得出流量占比最高的Top N服務器；

步驟103，在現網中，對Top N服務器進行抓包，上下行都要；

步驟104，對所獲取的樣本使用現有規則庫進行測試分析，得到樣本的識別情況；