本發明提供一種協議識別的方法、系統和裝置，通過提取流經第一深度數據包檢測設備的第一數據流的第一信息指紋，提取流經第二深度數據包檢測設備的第二數據流的第二信息指紋；將第一信息指紋與第二信息指紋進行匹配；若第一信息指紋與第二信息指紋匹配成功，則根據第一信息指紋與第二信息指紋確定第一協議，將第一協議作為第一數據流和第二數據流的傳輸協議；從而在無需增加硬件分流匯聚設備的情況下實現對DPI設備無法直接識別的協議的識別，并且僅需傳輸數據流的信息指紋用以識別協議，傳輸的數據流量大幅降低，簡化了網絡的拓撲結構，降低了網絡的運維成本。

技術領域

本發明涉及通信技術領域，更具體地，涉及一種協議識別的方法、系統和裝置。

背景技術

深度數據包檢測(Deep Packet Inspection，簡稱為DPI)技術能實現對網絡數據流的數據包進行深層次的檢測，在一般情況下，DPI技術對協議的識別率能達到在95％，對于某些協議，如skype、bittorrent以及edonkey協議，DPI技術并不能對其識別，而必須將上下行方向的數據流關聯起來才能識別；當網絡中一個節點的設備(如路由器)與對端節點的設備(如路由器)存在多條鏈路，并且這些鏈路的路由具有相同的優先級(等價路由)，兩端的路由設備通常會在在這多條物理連接上采用負載分擔的方式進行流量均衡處理；在負載均衡環境下，并不能保證通過同一協議傳輸的上下行方向的數據流總是從同一個DPI設備中經過。當通過同一協議傳輸的上下行方向的數據流分別通過兩個DPI設備時，這兩個DPI設備都無法識別該協議。

目前處理上述問題的方案是使用硬件分流匯聚設備：通過添加硬件分流匯聚和轉發設備等，先將同一負載域內的所有數據流接入到分流匯聚設備進行匯聚，再將匯聚后的數據流轉發給一個DPI設備，由于所有數據流都會流經該DPI設備，因而該DPI設備可以識別出上述需要上下行方向的數據流關聯起來才能識別的協議。

然而，硬件分流匯聚的方案需要把的所有數據流都轉發到一個板卡上匯聚完成后再轉發給后面的DPI設備進行處理，該方案在小流量環境下是適用的，但是在大流量或跨局址環境下會帶來一系列新問題：一是會增加硬件成本：該方案需要增加硬件分流匯聚設備，這些設備投入使用后不僅會占用機房空間，還會持續耗電，而這顯然會大大增加基礎的硬件成本；二是使網絡更加復雜，顯著增加運維成本：由于在大流量環境下，需要多臺分流匯聚的硬件設備進行復雜的流量互相轉發和重新匯聚，最終會形成一個極其復雜的全網狀拓撲，造成了難以運維和進行故障診斷；任何一個端口的故障可能引發全網的數據流同步失敗，而排查工作由于復雜的數據流走向會使得管理員束手無策。

發明內容

為了克服上述問題或者至少部分地解決上述問題，本發明提供一種協議識別的方法、系統和裝置。

根據本發明的一個方面，提供一種協議識別的方法，包括：提取流經第一深度數據包檢測設備的第一數據流的第一信息指紋，提取流經第二深度數據包檢測設備的第二數據流的第二信息指紋；將第一信息指紋與第二信息指紋進行匹配；若第一信息指紋與第二信息指紋匹配成功，則根據第一信息指紋與第二信息指紋確定第一協議，將第一協議作為第一數據流和第二數據流的傳輸協議。

其中，將第一信息指紋與第二信息指紋進行匹配之前，還包括：提取第一數據流的五元組信息；檢測流經第一深度數據包檢測設備的數據流，若存在第三數據流，第三數據流的第三信息指紋與第一數據流的第一信息指紋匹配成功，且第三數據流的五元組信息與第一數據流的五元組信息匹配成功，則根據第一信息指紋與第三信息指紋確定第二協議；將第二協議作為第一數據流和第三數據流的傳輸協議。

其中，將第一信息指紋與第二信息指紋進行匹配之前，還包括：提取第二數據流的五元組信息；檢測流經第二深度數據包檢測設備的數據流，若存在第四數據流，第四數據流的第四信息指紋與第二數據流的第二信息指紋匹配成功，且第四數據流的五元組信息與第二數據流的五元組信息匹配成功，則根據第二信息指紋與第四信息指紋確定第三協議；將第三協議作為第二數據流和第四數據流的傳輸協議。