本申請公開了一種應用識別方法、裝置及存儲介質，屬于通信技術領域。網絡設備對流表進行流行為特征的分析，得到多個服務。由于每個服務由一個IP地址和一個端口標識構成，且一個應用通常可以由一組服務構成，因此，網絡設備根據流表和域名表，對該多個服務進行聚類，得到多個應用類型，每個應用類型包括多個服務，且每個應用類型對應一個應用。進一步地，網絡設備可以確定該多個應用類型中每個應用類型的標簽，通過該標簽可以識別數據流所屬的應用。本申請提供的方法根據流行為特征即可識別數據流所屬的應用，不需要流量特征數據庫。當有新應用出現時，網絡設備根據新應用訪問的服務端的IP地址和端口，對新應用進行識別，提高了應用的識別率。

技術領域

本申請涉及通信技術領域，特別涉及一種應用識別方法、裝置及存儲介質。

背景技術

目前，企業園區等私有網絡可能會因突發流量的出現而帶來擁塞丟包等問題。同時，一些新增未知應用的上線，可能會進一步加劇上述問題。其中，新增未知應用通常為企業的私有應用，因此，如何對企業的私有應用進行識別已經成為企業用戶關注的重要問題之一。

當前，可以采用深度報文解析(deep packet inspection，DPI)技術對應用進行識別。其中，DPI技術主要是對數據流進行深度拆包解析，以提取流量特征，然后將提取的流量特征與存儲的流量特征數據庫中的數據進行匹配，以識別該數據流對應的應用。

由于DPI技術需要維護一個流量特征數據庫，當有新的應用出現時，流量特征數據庫也要人為更新才能具有新應用的識別能力，導致應用的識別率較低。

發明內容

本申請提供了一種應用識別方法、裝置及存儲介質，可以解決相關技術的DPI技術識別應用效率較低問題。所述技術方案如下：

第一方面，提供了一種應用識別方法，所述方法包括：

對多條數據流分別提取特征，得到流表和域名表，所述流表包括多個流表項，所述多個流表中的每個流表項包括五元組和流起始時間，所述域名表包括多個域名表項，所述多個域名表項中的每個域名表項包括源互聯網協議IP地址、目的域名、目的IP地址和域名類型；

根據所述流表進行流行為特征的分析，得到多個服務，每個服務由一個IP地址和一個端口標識構成；

根據所述流表和所述域名表，對所述多個服務進行聚類，得到多個應用類型；

確定所述多個應用類型中每個應用類型對應的標簽，所述標簽用于識別數據流所屬的應用。

一條數據流可以包括一個或多個報文，且該一個或多個報文的五元組相同。換句話說，五元組相同的一個或多個報文可以構成一條數據流。

其中，流表中的五元組包括源IP地址、源端口、目的IP地址、目的端口和協議號。示例性地，假設客戶端當前需要向服務端發送報文，那么，源IP地址和源端口為客戶端的IP地址和端口，目的IP地址和目的端口為服務端的IP地址和端口，協議號為客戶端和服務端通信時所采用的傳輸協議的編號。

每條數據流的流起始時間是每條數據流中的第一個報文的接收時間。但是，每條數據流的第一個報文并不一定是整個數據流的首報文，而是當前提取特征時接收到的報文中的第一個報文。

域名表中的域名類型有兩種形式：A.name和C.name，A.name是將主機名或者域名解析到一個IP地址，C.name是將多個主機名或者域名都可以解析到另一個域名，再由另一個域名解析到一個IP地址，這個IP地址與A.name解析到的IP地址相同。也就是說，多個C.name相當于一個A.name的分支。