技術領域

本發明涉及網絡業務識別技術領域，具體涉及一種非對稱路由環境下單邊HTTP下行流量的分析。

背景技術

DPI(Deep Packet Investigate)深度包檢測技術，是一種基于應用層的流量檢測技術，當數據流通過基于DPI技術的網絡系統時，該系統通過深入讀取數據包載荷的內容來對OSI七層協議中的應用層信息進行分析，從而可以識別出用戶的訪問行為、訪問的數據等。

理想情況下(對稱路由)，用戶發送的請求報文和服務器返回給用戶的響應報文會走相同的網絡路徑，也就是說，DPI設備可以同時捕獲到用戶的上下行流量，獲取到完整的報文。這種情況下，非常有利于分析人員及DPI設備去識別出用戶的訪問行為。

隨著DPI設備部署的環境越來越復雜，發現非對稱環境下(用戶請求的報文和服務器響應的報文只有一邊流經DPI設備)的流量越來越越多，而只有單邊流量會急劇降低DPI設備的分析能力。

HTTP(HyperText Transport Protocol)是超文本傳輸協議的縮寫，它用于傳送WWW方式的數據，關于HTTP協議的詳細內容請參考RFC2616。HTTP協議采用了請求/響應模型。客戶端向服務器發送一個請求，請求頭包含請求的方法、URL、協議版本、以及包含請求修飾符、客戶信息和內容的類似于MIME的消息結構。服務器以一個狀態行作為響應，響應的內容包括消息協議的版本，成功或者錯誤編碼加上包含服務器信息、實體元信息以及可能的實體內容。

本方法就是針對這種因非對稱路由環境而產生的單向下行的HTTP流量，于只有下行流量，獲取不到用戶訪問的URI信息。雖然我們不知道用戶具體訪問了那個頁面，但我們可以獲取到服務器對應的IP地址和端口。而通過HTTP協議訪問這個IP地址和端口：即為訪問這個網站的首頁，一般網站在其首頁都會有明顯的版權保護及視覺標識自己的網站，通過分析這些內容，很容易確定這個網站的具體分類信息，從而提高DPI設備的分析能力。

發明內容

本發明提供了一種分析因非對稱路由環境而產生的單邊下行Http流量的方法和系統，以解決現有技術中DPI設備分析能力低的問題。

為解決上述問題，本發明的一種分析因非對稱路由環境而產生的單邊上行未知流量的方法，其特征在于包括以下步驟：

步驟101，從不能識別的單向未知流量中提取未知的服務器端IP地址及對應端口號,

步驟102，反饋這些IP地址及端口號到爬蟲模塊，

步驟103，使用爬蟲對提取的IP和端口進行爬取，

步驟104，判斷爬蟲是否爬取到頁面，如果是，進入步驟105；否則，由于爬取不到頁面，無法確定該IP及端口屬于那個應用的服務器的IP和端口，

步驟105，使用現有的協議庫及引擎，對這些http頁面進行分析識別，

步驟106，判斷能否識別，即判斷http頁面能否識別為某個應用，如果可以，則直接進入步驟108；否則，進入步驟107，

步驟107，在http頁面不能識別為某個應用時，需要協議分析人員對爬取的http頁面進行分析，以確定該頁面所屬應用，

步驟108，在確定http頁面所屬應用后，將該IP、端口、協議作為該應用特征更新至規則庫中。

優選的，所述步驟107中不能識別某個應用的情形包括規則庫沒有覆蓋到該應用，或者雖然覆蓋到了該應用，但規則有遺漏。

優選的，所述步驟107中的分析包括將分析出的規則特征也需更新到規則庫中。

優選的，所述協議包括tcp/udp協議。

此外，本發明還提供了一種因非對稱路由環境而產生的單邊上行未知流量的系統，其特征在于包括：

信息提取模塊，從不能識別的單向未知流量中提取未知的服務器端IP地址及對應端口號,

信息反饋模塊，反饋這些IP地址及端口號到爬蟲模塊，

爬蟲模塊，使用爬蟲對提取的IP和端口進行爬取，

頁面判斷模塊，判斷爬蟲是否爬取到頁面，如果是，則由分析識別模塊使用現有的協議庫及引擎，對這些http頁面進行分析識別；否則，由于爬取不到頁面，無法確定該IP及端口屬于那個應用的服務器的IP和端口，

應用判斷模塊，判斷能否分析識別這些頁面，即判斷http頁面能否識別為某個應用，如果可以，則由特征更新模塊將該IP、端口、協議作為該應用特征更新至規則庫中，否則在http頁面不能識別為某個應用時，需要協議分析人員對爬取的http頁面進行分析，以確定該頁面所屬應用，