CN101202652A - 网络应用流量分类识别装置及其方法 - Google Patents
网络应用流量分类识别装置及其方法 Download PDFInfo
- Publication number
- CN101202652A CN101202652A CNA2006101652968A CN200610165296A CN101202652A CN 101202652 A CN101202652 A CN 101202652A CN A2006101652968 A CNA2006101652968 A CN A2006101652968A CN 200610165296 A CN200610165296 A CN 200610165296A CN 101202652 A CN101202652 A CN 101202652A
- Authority
- CN
- China
- Prior art keywords
- flow
- application
- network
- address
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
一种网络应用流量分类识别装置,包括:动态流分类装置,以报文包含的IP五元组信息为键值建立散列表,利用散列表检索网络流表;(地址,端口)对匹配装置,通过检索地址对信息表来对收到的报文进行匹配;服务端口匹配装置,通过检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配装置,针对流的前M个报文,统计流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配装置,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策装置,综合分析判别网络流所属的应用类型或应用协议;网络拓扑探测装置,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。
Description
技术领域
本发明涉及网络应用流量分类识别装置及其方法,特别涉及计算机网络和数据通信领域的网络应用流量分类识别装置及其方法。
背景技术
网络应用流量分类识别是许多核心网络业务的关键共性技术。它将汇聚流量中属于不同应用类型或应用协议的流量区分出来,以便系统分别进行处理。以网络监测为例,人们需要从流量中采集和记录特定应用的信息,了解应用的实际状况并研究其对网络的影响,以指导对网络和互联网的规划、配置与管理。再如,区分服务(Diffserv)通过建立从应用类型到服务类型的映射关系,为不同应用类型的网络流量提供不同的服务保证。而对于入侵检测/入侵防御系统来说,应用协议异常检测和高效的攻击特征码检测都是以细粒度的、精确的应用协议识别为前提的。
近年来随着互联网和网络应用的飞速发展,特别是对等(Peer-to-Peer,简称P2P)网络、层叠网络、匿名网络等新兴网络技术的出现和普及,传统的网络应用流量分类识别技术面临日趋严峻的挑战,基于服务端口或者协议特征码的单一技术手段已经不能满足业务的需要,主要表现在:(1)由于可供注册的TCP/UDP端口数目有限,大量新兴应用协议不再注册缺省服务端口;(2)出于安全性和灵活性的考虑,许多应用协议采用了动态端口协商或者自定义端口注册机制;(3)为了穿越防火墙,一些应用协议会占用某些其他协议(如HTTP协议)的常用服务端口(如TCP 80端口)进行通信;(4)应用协议越来越多、越来越复杂,许多私有协议没有公开完整的协议规范,协议特征码的提取变得非常困难;(5)一些应用协议为了通信安全采用了净荷加密技术,已经难以基于协议特征码进行识别。
因此,需要一种综合多种技术手段、高效、精确、实用的网络应用流量分类识别的装置和方法,以实现对流量的实时高精确度的应用感知和分类控制。
发明内容
本发明的目的在于提供一种网络应用流量分类识别装置及其方法,该方法能够综合不同应用协议的特点区分出不同应用的类型。
本发明的网络应用流量分类识别装置的特征在于,包括:动态流分类装置,在该装置中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;<地址,端口>对匹配装置,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;服务端口匹配装置,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配装置,针对流的前M个报文,统计此网络流以及<源IP,目的IP>地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配装置,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策装置,从流记录表项中读取缓存的中间结果并与各匹配装置得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;网络拓扑探测装置,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。
本发明的网络应用流量分类识别装置的特征还在于,所述网络流表用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。
本发明的网络应用流量分类识别装置的特征还在于,所述网络拓扑信息表用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。
本发明的网络应用流量分类识别装置的特征还在于,所述地址对信息表用于记录<源IP,目的IP>地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞。
本发明的网络应用流量分类识别装置的特征还在于,所述流量/行为特征模式库,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息。
本发明的网络应用流量分类识别装置的特征还在于,所述协议特征码库,用于记录各种应用协议的特征码串及匹配度等信息。
本发明的网络应用流量分类识别方法的特征在于,包括:动态流分类步骤,在该步骤中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;判断报文在流中的次序是否超出预定窗口的步骤,在该步骤中判断该报文是否可知;<地址,端口>对匹配步骤,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;服务端口匹配步骤,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配步骤,针对流的前M个报文,统计此网络流以及<源IP,目的IP>地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配步骤,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策步骤,从流记录表项中读取缓存的中间结果并与各匹配步骤得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;网络拓扑探测步骤,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。
本发明的网络应用流量分类识别方法的特征还在于,所述网络流表用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。
本发明的网络应用流量分类识别方法的特征还在于,所述网络拓扑信息表用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。
本发明的网络应用流量分类识别方法的特征还在于,所述地址对信息表用于记录<源IP,目的IP>地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞。
本发明的网络应用流量分类识别方法的特征还在于,所述流量/行为特征模式库,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息。
本发明的网络应用流量分类识别方法的特征还在于,所述协议特征码库,用于记录各种应用协议的特征码串及匹配度等信息。
本发明的网络应用流量分类识别装置综合了多种技术手段、高效、精确、实用,实现了对流量的实时高精确度的应用感知和分类控制。
附图说明
图1是本发明的网络应用流量分类识别装置的结构示意图。
图2是本发明的网络应用流量分类识别方法的一个实施例。
具体实施方式
本发明的网络应用流量分类识别装置包括:动态流分类装置1,在该装置中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;<地址,端口>对匹配装置3,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;服务端口匹配装置4,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;流量/行为特征匹配装置5,针对流的前M个报文,统计此网络流以及<源IP,目的IP>地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;协议特征码匹配装置6,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;决策装置7,从流记录表项中读取缓存的中间结果并与各匹配装置得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;网络拓扑探测装置2,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。
在动态流分类装置1中维护有网络流表11,该网络流表11用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞;在网络拓扑探测装置2中维护有网络拓扑信息表21,该网络拓扑信息表21用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞;在服务端口匹配装置4中维护有服务端口表41,该服务端口表41用于记录特定应用协议所采用的缺省端口及匹配度等信息,采用线性表方式进行组织,表项与端口号一一对应;在<地址,端口>对匹配装置3中维护有地址对信息表31,用于记录<源IP,目的IP>地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞;在流量/行为特征匹配装置5中维护有流量/行为特征模式库51,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息;在协议特征码匹配装置6中维护有协议特征码库61,用于记录各种应用协议的特征码串及匹配度等信息。
本发明的网络应用流量分类识别的方法,包括:动态流分类步骤S10,在该步骤中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表; 判断报文在流中的次序是否超出预定窗口的步骤S18,在该步骤中判断该报文是否可知;<地址,端口>对匹配步骤S20,该步骤将报文中的<源IP地址,源端口>对、<目的IP地址,目的端口>对分别与网络拓扑信息表中的<地址,端口>对进行匹配,得到对应的应用类型/应用协议以及匹配度信息;服务端口匹配步骤S30,将报文的源端口和目的端口分别与服务端口表中的TCP/UDP端口进行匹配,得到对应的应用类型/应用协议以及匹配度信息;流量/行为特征匹配步骤S40,该步骤针对流的前M个报文统计每条流以及<源IP,目的IP>地址对的流量特征与行为特征信息,如报文大小分布、报文到达间隔分布、连接次数、文件传输行为等等,并与流量/行为特征模式库中的模式进行匹配,得到对应的应用类型/应用协议以及匹配度信息;协议特征码匹配步骤S50,该步骤针对流的前N个报文将报文净荷与协议特征码库中的应用协议特征码进行匹配,得到对应的应用协议以及匹配度信息;决策步骤S60,对<地址,端口>对匹配装置、服务端口匹配装置、流量/行为特征匹配装置和协议特征码匹配装置输出的应用类型/应用协议和匹配度信息进行综合分析,最终确定网络流所属的应用类型或应用协议,并将其连同报文的<目的IP地址,端口>信息一起交给<地址,端口>对匹配装置对网络拓扑信息表进行动态更新;网络拓扑探测步骤S70,针对不同的应用服务主动搜索当前活跃节点(如eDonkey服务器、Gnutella超级节点),记录节点的<IP地址,TCP/UDP侦听端口>对(以下简称<地址,端口>对)、应用类型/应用协议等信息并交给<地址,端口>对匹配装置添加到网络拓扑信息表中。
[实施例]
网络流表11采用散列表方式进行组织,采用链表方式解决散列碰撞,其中流记录表项的结构如下表所示:
网络拓扑信息表21,用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞,其中<地址,端口>表项的结构如下表所示:
| 数据信息(按照存储顺序排 | 长度 | 含义 |
| 列) | (位) | |
| <地址,端口>对(ipport) | 64 | IP地址、TCP/UDP端口 |
| 应用类型/应用协议信息(appinfo) | 32 | 应用类型/应用协议 |
| 匹配度(weight) | 32 | 匹配度 |
服务端口表41,用于记录特定应用协议所采用的缺省端口及匹配度等信息,采用线性表方式进行组织,表项与端口号一一对应,表项的结构如下表所示:
地址对信息表31,用于记录<源IP,目的IP>地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞,其中<源IP,目的IP>表项的结构如下表所示;
| 数据信息(按照存储顺序排列) | 长度(位) | 含义 |
| 源IP(sip) | 32 | 源IP地址 |
| 目的IP(dip) | 8 | 目的IP地址 |
| 流量与行为特征(features) | 不定 | 若干流量特征统计值、行为特征统计值 |
流量/行为特征模式库51,记录各种应用类型或者应用协议的流量/行为特征模式以及匹配度等信息。一条流量/行为特征模式的结构如下所示:
| 数据信息(按照存储顺序排列) | 长度(位) | 含义 |
| 流量/行为特征模式(pattern) | 不定 | <a1,a2,...,an> |
| 应用类型/应用协议信息(appinfo) | 32 | 应用类型/应用协议 |
| 匹配度(weight) | 32 | 匹配度 |
协议特征码库61,记录各种应用协议的特征码串及匹配度等信息。一条协议特征码的结构如下表所示:
| 数据信息(按照存储顺序排列) | 长度(位) | 含义 |
| 协议特征码(signature) | 不定 | |
| 应用类型/应用协议信息(appinfo) | 32 | 应用类型/应用协议 |
| 匹配度(weight) | 32 | 匹配度 |
动态流量分类装置1根据报文包含的IP五元组信息查询网络流表11,确定报文所属的网络流,并根据当前分类识别的状态把流的首报文交给<地址,端口>对匹配装置3和服务端口匹配装置4进行处理,把流的前M个报文交给流量/行为特征匹配装置5进行处理,把流的前N个报文交给协议特征码匹配装置6进行处理。网络拓扑探测装置2针对不同的应用服务主动搜索当前活跃节点,将节点的IP地址、TCP/UDP侦听端口、应用类型/应用协议等信息交给<地址,端口>对匹配装置3,添加到地址对信息表31中。<地址,端口>对匹配装置3将报文中的<源IP地址,源端口>对、<目的IP地址,目的端口>对分别和地址对信息表31中的<地址,端口>对数据进行匹配,得到对应的应用类型/应用协议以及匹配度信息。服务端口匹配装置4将报文中的源端口和目的端口值分别与服务端口表41中的端口数据进行匹配,得到对应的应用类型/应用协议以及匹配度信息。流量/行为特征匹配装置5对针对流的前M个报文统计每条流以及<源IP,目的IP>地址对的流量特征与行为特征信息--统计值分别保存在网络流表11的features字段和地址对信息表31中,并将统计结果与流量/行为特征模式库51中的模式进行匹配,得到对应的应用类型/应用协议以及匹配度信息;协议特征码匹配装置6针对流的前N个报文将报文净荷的前L个字节与协议特征码库61中的协议特征码进行匹配,得到对应的应用协议以及匹配度信息。决策装置7对<地址,端口>对匹配装置3、服务端口匹配装置4、流量/行为特征匹配装置5、协议特征码匹配装置6输出的应用类型/应用协议和匹配度信息进行综合分析,最终确定网络流所属的应用类型或应用协议,并将其连同报文的<目的IP地址,端口>信息一起交给<地址,端口>对匹配装置3对地址对信息表31进行动态更新。
在本发明的网络应用流量分类识别的方法包括如下步骤:
1)动态流分类步骤S10,在该步骤中以报文包含的IP五元组信息为键值代入散列函数H1,计算得到索引值i。函数H1典型的计算公式为:
i=(sIP+dIP+sPort+dPort+Protocol)%CTSize,
其中CTSize为网络流表11的散列表长。
根据索引值i找到网络流表11中对应的散列表项E,将报文的键值依次与散列表项所指链表中各流记录的键值进行比较,如果找到键值相等的流记录,则确定了报文属于该记录对应的流;否则新建流记录表项,把其中应用类型/应用协议、中间结果、流量与行为特征信息等字段清空;查看流记录表项中的应用类型/应用协议信息是否为空S15,如果不为空,则表明流所属的应用类型或应用协议已知,结束所有操作;否则说明流所属的应用类型/应用协议还没有确定,则判断报文在流中的次序是否超出预定窗口max(M,N)S18,如果超出预定窗口max(M,N),则将流记录表项的应用类型/应用协议字段的值置为“不可知”,结束,如果没有超出预定窗口max(M,N)则按照后述的S20~S60步骤判断流量类型;
2)<地址,端口>对匹配步骤S20,以报文的<源地址sIP,源端口sPort>对、<目的地址dIP,目的端口dPort>对作为键值代入散列函数H3计算得索引k;散列函数H3的典型计算公式为
k=(sIP+sPort)%IPPortSize或k=(dIP+dPort)%
IPPortSize,
其中IPPortSize为网络拓扑信息表21的散列表长,典型取值为65536。
根据索引号k在网络拓扑信息表21中找到对应的散列表项,将报文的键值依次与散列表项所指链表中各<地址,端口>对键值进行比较。如果找到键值相等的记录,则匹配成功,将匹配结果<appinfo2,weight2>交给决策装置7,前进到决策步骤S60;
3)服务端口匹配步骤S30,将报文的源端口sPort和目的端口dPort作为键值代入散列函数H2计算得索引j;散列函数H2的典型计算公式为:
j=sPort%SvrPortSize或j=dPort%SvrPortSize,
其中SvrPortSize为服务端口表41表长,取值为65536。
根据索引号j在服务端口表41中找到对应的散列表项,如果散列表项的应用类型/应用协议信息字段不为空,则匹配成功,将匹配结果<appinfo1,weight1>交给决策装置7,前进到决策步骤S60;
4)流量/行为特征匹配步骤S40,针对流的前M个报文,统计此网络流以及<源IP,目的IP>地址对的流量特征和行为特征,分别保存到网络流表11的features字段和地址对信息表31中,将得到的n个统计值组成一个特征向量<a1,a2,...,an>,与流量/行为特征模式库51中的模式进行匹配。如果找到匹配的模式,则将得到的结果<appinfo3,weight3>交给决策装置7,前进到决策步骤S60;
5)协议特征码匹配步骤S50,将报文净荷的前L个字节与协议特征码库61中的协议特征码进行匹配,如果找到匹配的协议特征码,则将得到的结果<appinfo4,weight4>交给决策装置7,前进到决策步骤S60;
6)决策步骤S60,从流记录表项中读取缓存的中间结果cache1~cache4,并与步骤S30~S60得到的有效输出结果一起进行综合分析,判别能否最终确定网络流所属的应用类型或应用协议,本实例采用如下判别方法:将上述结果中同一应用类型/应用协议的匹配度进行累加,选出匹配度最高的应用类型/应用协议,如果其匹配度大于等于设定的阈值,则将此应用类型/应用协议信息作为结果输出,保存到网络流表11的应用类型/应用协议信息字段中,并将其连同报文的<目的IP地址,端口>信息一起交给<地址,端口>对匹配装置3,对地址对信息表31进行动态更新;否则,将步骤S20~S50得到的有效输出结果作为中间结果,保存到流记录表项的cache1~cache4中,等待下一个报文到达时从步骤S10开始继续进行应用分类识别。
7)网络拓扑探测步骤S70,针对不同的应用服务,主动搜索当前活跃节点,将节点的IP地址、TCP/UDP侦听端口、应用类型/应用协议等信息交给<地址,端口>对匹配装置3,对地址对信息表31进行动态更新;
本发明已经在申请人研制的应用安全网关和P2P监测系统中试应用,取得了很好的效果,应用分类识别精确度高、各项指标优异,实现了本发明的目的。本发明具有很好的实用性和推广应用前景。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于具体实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (12)
1.一种网络应用流量分类识别装置,其特征在于,包括:
动态流分类装置,在该装置中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;
<地址,端口>对匹配装置,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;
服务端口匹配装置,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;
流量/行为特征匹配装置,针对流的前M个报文,统计此网络流以及<源IP,目的IP>地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;
协议特征码匹配装置,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;
决策装置,从流记录表项中读取缓存的中间结果并与各匹配装置得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;
网络拓扑探测装置,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。
2.如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述网络流表用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。
3.如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述网络拓扑信息表用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。
4.如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述地址对信息表用于记录<源IP,目的IP>地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞。
5.如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述流量/行为特征模式库,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息。
6.如权利要求1所述的网络应用流量分类识别装置,其特征在于,所述协议特征码库,用于记录各种应用协议的特征码串及匹配度等信息。
7.一种网络应用流量分类识别方法,其特征在于,包括:
动态流分类步骤,在该步骤中以报文包含的IP五元组信息为键值建立散列表,利用该散列表检索网络流表;
判断报文在流中的次序是否超出预定窗口的步骤,在该步骤中判断该报文是否可知;
<地址,端口>对匹配步骤,以报文的<源地址,源端口>对、<目的地址,目的端口>对作为键值建立散列表,利用该散列表检索地址对信息表来对收到的报文进行匹配;
服务端口匹配步骤,将报文的源端口和目的端口作为键值建立散列表,利用该散列表检索服务端口表来对收到的报文进行匹配;
流量/行为特征匹配步骤,针对流的前M个报文,统计此网络流以及<源IP,目的IP>地址对的流量特征和行为特征,并与流量/行为特征模式库中的信息进行匹配;
协议特征码匹配步骤,将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配;
决策步骤,从流记录表项中读取缓存的中间结果并与各匹配步骤得到的有效输出结果一起进行综合分析,判别网络流所属的应用类型或应用协议;
网络拓扑探测步骤,针对不同的应用服务,搜索当前活跃节点,用节点信息动态更新地址对信息表。
8.如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述网络流表用于记录网络流的IP五元组、应用类型/应用协议、中间结果、流量与行为特征、状态等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。
9.如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述网络拓扑信息表用于记录<地址,端口>对及其所对应的应用类型/应用协议、匹配度等信息,采用散列表方式进行组织,采用链表方式解决散列碰撞。
10.如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述地址对信息表用于记录<源IP,目的IP>地址对的流量特征与行为特征,采用散列表方式进行组织,采用链表方式解决散列碰撞。
11.如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述流量/行为特征模式库,用于记录各种应用类型或者应用协议的流量与行为特征模式以及匹配度等信息。
12.如权利要求7所述的网络应用流量分类识别方法,其特征在于,所述协议特征码库,用于记录各种应用协议的特征码串及匹配度等信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101652968A CN101202652B (zh) | 2006-12-15 | 2006-12-15 | 网络应用流量分类识别装置及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101652968A CN101202652B (zh) | 2006-12-15 | 2006-12-15 | 网络应用流量分类识别装置及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101202652A true CN101202652A (zh) | 2008-06-18 |
| CN101202652B CN101202652B (zh) | 2011-05-04 |
Family
ID=39517634
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101652968A Expired - Fee Related CN101202652B (zh) | 2006-12-15 | 2006-12-15 | 网络应用流量分类识别装置及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101202652B (zh) |
Cited By (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009067915A1 (fr) * | 2007-11-19 | 2009-06-04 | Chengdu Huawei Symantec Technologies, Co., Ltd. | Procede d'identification d'un type de service correspondant a un message et dispositif associe |
| CN101783816A (zh) * | 2010-03-22 | 2010-07-21 | 杭州华三通信技术有限公司 | 一种下载流量控制方法和设备 |
| CN101388848B (zh) * | 2008-10-13 | 2010-12-22 | 北京航空航天大学 | 网络处理器结合通用处理器的流量识别方法 |
| CN102006588A (zh) * | 2010-12-28 | 2011-04-06 | 北京安天电子设备有限公司 | 智能手机网络行为监控的方法和系统 |
| CN102025636A (zh) * | 2010-12-09 | 2011-04-20 | 北京星网锐捷网络技术有限公司 | 报文特征处理方法、装置及网络设备 |
| WO2011060732A1 (zh) * | 2009-11-19 | 2011-05-26 | 华为技术有限公司 | 报文检测方法及装置 |
| CN101340449B (zh) * | 2008-08-15 | 2011-09-14 | 宇龙计算机通信科技(深圳)有限公司 | 移动终端及获得上网信息的方法 |
| CN102201937A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
| CN102273139A (zh) * | 2008-12-30 | 2011-12-07 | 惠普开发有限公司 | 存储网络流信息 |
| CN102315974A (zh) * | 2011-10-17 | 2012-01-11 | 北京邮电大学 | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 |
| CN102325078A (zh) * | 2011-06-28 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 应用识别方法及设备 |
| CN101741608B (zh) * | 2008-11-10 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 一种基于流量特征的p2p应用识别系统及方法 |
| CN102664773A (zh) * | 2012-05-22 | 2012-09-12 | 中国人民解放军信息工程大学 | 一种网络流量的探测方法和探测装置 |
| CN102752216A (zh) * | 2012-07-13 | 2012-10-24 | 中国科学院计算技术研究所 | 一种识别动态特征应用流量的方法 |
| CN103220329A (zh) * | 2013-03-07 | 2013-07-24 | 汉柏科技有限公司 | 基于协议内容识别和行为识别的p2p协议识别方法 |
| CN101902484B (zh) * | 2009-05-25 | 2013-11-13 | 北京启明星辰信息技术股份有限公司 | 局域网http应用业务分类方法及系统 |
| CN103548323A (zh) * | 2012-02-03 | 2014-01-29 | 华为技术有限公司 | 流识别的方法、设备和系统 |
| WO2014029098A1 (zh) * | 2012-08-23 | 2014-02-27 | 华为技术有限公司 | 一种报文控制方法和装置 |
| CN103716187A (zh) * | 2013-12-20 | 2014-04-09 | 新浪网技术(中国)有限公司 | 网络拓扑结构确定方法和系统 |
| CN103763194A (zh) * | 2013-12-31 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种报文转发方法及装置 |
| CN103916294A (zh) * | 2014-04-29 | 2014-07-09 | 华为技术有限公司 | 协议类型的识别方法和装置 |
| CN104125105A (zh) * | 2014-08-14 | 2014-10-29 | 北京锐安科技有限公司 | 对互联网应用场所分类的方法和装置 |
| WO2014187238A1 (zh) * | 2013-05-24 | 2014-11-27 | 华为技术有限公司 | 应用类型识别方法及网络设备 |
| CN104394032A (zh) * | 2014-11-24 | 2015-03-04 | 北京美琦华悦通讯科技有限公司 | 实现ott应用流量特征快速鉴别的系统及方法 |
| CN101425876B (zh) * | 2008-12-16 | 2015-04-22 | 北京中创信测科技股份有限公司 | 通信协议破译方法和装置 |
| CN104579805A (zh) * | 2013-10-12 | 2015-04-29 | 郑州冰川网络技术有限公司 | 一种新的网络流量识别方法 |
| CN105187436A (zh) * | 2015-09-25 | 2015-12-23 | 中国航天科工集团第二研究院七〇六所 | 一种基于散列表的包过滤主机网络控制方法 |
| CN105592137A (zh) * | 2015-10-14 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种应用类型的识别方法和装置 |
| WO2016092350A1 (en) * | 2014-12-10 | 2016-06-16 | Pismo Labs Technology Ltd. | Methods and systems for processing messages at a network node |
| CN105812188A (zh) * | 2016-04-25 | 2016-07-27 | 北京网康科技有限公司 | 流量识别方法及装置 |
| TWI569606B (zh) * | 2015-07-21 | 2017-02-01 | 黃能富 | 網路資料辨識與管理系統及其方法 |
| CN106559281A (zh) * | 2015-09-29 | 2017-04-05 | 中国电信股份有限公司 | 生成应用特征库的方法和装置、虚拟机、及终端 |
| CN102811162B (zh) * | 2011-06-03 | 2017-05-03 | 空气磁体公司 | 用于有效率的网络流数据分析的方法和装置 |
| CN107005478A (zh) * | 2014-12-09 | 2017-08-01 | 华为技术有限公司 | 一种自适应流表的处理方法及装置 |
| CN107430660A (zh) * | 2015-03-18 | 2017-12-01 | 高通股份有限公司 | 用于表征设备行为的自动化匿名众包的方法和系统 |
| CN107612906A (zh) * | 2017-09-15 | 2018-01-19 | 南京安讯科技有限责任公司 | 一种精确识别跨报文协议特征的方法 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
| CN108234345A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团湖北有限公司 | 一种终端网络应用的流量特征识别方法、装置和系统 |
| CN109728977A (zh) * | 2019-01-14 | 2019-05-07 | 电子科技大学 | Jap匿名流量检测方法及系统 |
| CN109905486A (zh) * | 2019-03-18 | 2019-06-18 | 杭州迪普科技股份有限公司 | 一种应用程序识别展示方法和装置 |
| CN109995605A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种流量识别方法及装置、以及计算机可读存储介质 |
| CN110149248A (zh) * | 2019-06-06 | 2019-08-20 | 杭州商湾网络科技有限公司 | 一种快速统计分析路由器流量的方法 |
| US10749829B2 (en) | 2014-12-10 | 2020-08-18 | Pismo Labs Technology Limited | Methods and systems for processing messages at a multi-SIM network node |
| CN111865823A (zh) * | 2020-06-24 | 2020-10-30 | 东南大学 | 一种轻量化以太坊加密流量识别方法 |
| CN112751812A (zh) * | 2019-10-31 | 2021-05-04 | 北京京东振世信息技术有限公司 | 应用协议自适配的方法和装置 |
| CN113271263A (zh) * | 2020-02-17 | 2021-08-17 | 华为技术服务有限公司 | 一种数据处理方法及其设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6925085B1 (en) * | 2000-06-07 | 2005-08-02 | Advanced Micro Devices, Inc. | Packet classification using hash key signatures generated from interrupted hash function |
| CN100466594C (zh) * | 2004-10-09 | 2009-03-04 | 华为技术有限公司 | 一种对报文进行分类处理的方法 |
| CN1852297B (zh) * | 2005-11-11 | 2010-05-12 | 华为技术有限公司 | 网络数据流识别系统及方法 |
-
2006
- 2006-12-15 CN CN2006101652968A patent/CN101202652B/zh not_active Expired - Fee Related
Cited By (73)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009067915A1 (fr) * | 2007-11-19 | 2009-06-04 | Chengdu Huawei Symantec Technologies, Co., Ltd. | Procede d'identification d'un type de service correspondant a un message et dispositif associe |
| CN101340449B (zh) * | 2008-08-15 | 2011-09-14 | 宇龙计算机通信科技(深圳)有限公司 | 移动终端及获得上网信息的方法 |
| CN101388848B (zh) * | 2008-10-13 | 2010-12-22 | 北京航空航天大学 | 网络处理器结合通用处理器的流量识别方法 |
| CN101741608B (zh) * | 2008-11-10 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 一种基于流量特征的p2p应用识别系统及方法 |
| CN101425876B (zh) * | 2008-12-16 | 2015-04-22 | 北京中创信测科技股份有限公司 | 通信协议破译方法和装置 |
| CN102273139A (zh) * | 2008-12-30 | 2011-12-07 | 惠普开发有限公司 | 存储网络流信息 |
| CN102273139B (zh) * | 2008-12-30 | 2015-04-15 | 惠普开发有限公司 | 存储网络流信息 |
| CN101902484B (zh) * | 2009-05-25 | 2013-11-13 | 北京启明星辰信息技术股份有限公司 | 局域网http应用业务分类方法及系统 |
| WO2011060732A1 (zh) * | 2009-11-19 | 2011-05-26 | 华为技术有限公司 | 报文检测方法及装置 |
| EP2434689A1 (en) * | 2009-11-19 | 2012-03-28 | Huawei Technologies Co., Ltd. | Method and apparatus for detecting message |
| EP2434689A4 (en) * | 2009-11-19 | 2012-05-16 | Huawei Tech Co Ltd | METHOD AND DEVICE FOR RECOGNIZING MESSAGES |
| CN101783816B (zh) * | 2010-03-22 | 2013-04-17 | 杭州华三通信技术有限公司 | 一种下载流量控制方法和设备 |
| CN101783816A (zh) * | 2010-03-22 | 2010-07-21 | 杭州华三通信技术有限公司 | 一种下载流量控制方法和设备 |
| CN102025636B (zh) * | 2010-12-09 | 2012-09-05 | 北京星网锐捷网络技术有限公司 | 报文特征处理方法、装置及网络设备 |
| CN102025636A (zh) * | 2010-12-09 | 2011-04-20 | 北京星网锐捷网络技术有限公司 | 报文特征处理方法、装置及网络设备 |
| CN102006588A (zh) * | 2010-12-28 | 2011-04-06 | 北京安天电子设备有限公司 | 智能手机网络行为监控的方法和系统 |
| CN102811162B (zh) * | 2011-06-03 | 2017-05-03 | 空气磁体公司 | 用于有效率的网络流数据分析的方法和装置 |
| CN102201937A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
| CN102201937B (zh) * | 2011-06-13 | 2013-10-23 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
| CN102325078A (zh) * | 2011-06-28 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 应用识别方法及设备 |
| CN102325078B (zh) * | 2011-06-28 | 2014-04-02 | 北京星网锐捷网络技术有限公司 | 应用识别方法及设备 |
| CN102315974B (zh) * | 2011-10-17 | 2014-08-27 | 北京邮电大学 | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 |
| CN102315974A (zh) * | 2011-10-17 | 2012-01-11 | 北京邮电大学 | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 |
| CN103548323A (zh) * | 2012-02-03 | 2014-01-29 | 华为技术有限公司 | 流识别的方法、设备和系统 |
| CN103548323B (zh) * | 2012-02-03 | 2017-02-01 | 华为技术有限公司 | 流识别的方法、设备和系统 |
| CN102664773A (zh) * | 2012-05-22 | 2012-09-12 | 中国人民解放军信息工程大学 | 一种网络流量的探测方法和探测装置 |
| CN102752216A (zh) * | 2012-07-13 | 2012-10-24 | 中国科学院计算技术研究所 | 一种识别动态特征应用流量的方法 |
| CN102752216B (zh) * | 2012-07-13 | 2015-11-04 | 中国科学院计算技术研究所 | 一种识别动态特征应用流量的方法 |
| WO2014029098A1 (zh) * | 2012-08-23 | 2014-02-27 | 华为技术有限公司 | 一种报文控制方法和装置 |
| CN103220329B (zh) * | 2013-03-07 | 2017-02-08 | 汉柏科技有限公司 | 基于协议内容识别和行为识别的p2p协议识别方法 |
| CN103220329A (zh) * | 2013-03-07 | 2013-07-24 | 汉柏科技有限公司 | 基于协议内容识别和行为识别的p2p协议识别方法 |
| WO2014187238A1 (zh) * | 2013-05-24 | 2014-11-27 | 华为技术有限公司 | 应用类型识别方法及网络设备 |
| CN104579805A (zh) * | 2013-10-12 | 2015-04-29 | 郑州冰川网络技术有限公司 | 一种新的网络流量识别方法 |
| CN103716187B (zh) * | 2013-12-20 | 2017-03-29 | 新浪网技术(中国)有限公司 | 网络拓扑结构确定方法和系统 |
| CN103716187A (zh) * | 2013-12-20 | 2014-04-09 | 新浪网技术(中国)有限公司 | 网络拓扑结构确定方法和系统 |
| CN103763194A (zh) * | 2013-12-31 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种报文转发方法及装置 |
| CN103763194B (zh) * | 2013-12-31 | 2017-08-22 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| US10084713B2 (en) | 2014-04-29 | 2018-09-25 | Huawei Technologies Co., Ltd. | Protocol type identification method and apparatus |
| CN103916294A (zh) * | 2014-04-29 | 2014-07-09 | 华为技术有限公司 | 协议类型的识别方法和装置 |
| CN103916294B (zh) * | 2014-04-29 | 2018-05-04 | 华为技术有限公司 | 协议类型的识别方法和装置 |
| CN104125105B (zh) * | 2014-08-14 | 2017-07-18 | 北京锐安科技有限公司 | 对互联网应用场所分类的方法和装置 |
| CN104125105A (zh) * | 2014-08-14 | 2014-10-29 | 北京锐安科技有限公司 | 对互联网应用场所分类的方法和装置 |
| CN104394032A (zh) * | 2014-11-24 | 2015-03-04 | 北京美琦华悦通讯科技有限公司 | 实现ott应用流量特征快速鉴别的系统及方法 |
| CN107005478B (zh) * | 2014-12-09 | 2020-05-08 | 华为技术有限公司 | 一种自适应流表的处理方法及装置 |
| US10485015B2 (en) | 2014-12-09 | 2019-11-19 | Huawei Technologies Co., Ltd. | Method and apparatus for processing adaptive flow table |
| CN107005478A (zh) * | 2014-12-09 | 2017-08-01 | 华为技术有限公司 | 一种自适应流表的处理方法及装置 |
| US9699627B2 (en) | 2014-12-10 | 2017-07-04 | Pismo Labs Technology Limited | Methods and systems for processing messages at a network node |
| GB2537949B (en) * | 2014-12-10 | 2021-02-24 | Pismo Labs Technology Ltd | Methods and systems for processing messages at a network node |
| US10749829B2 (en) | 2014-12-10 | 2020-08-18 | Pismo Labs Technology Limited | Methods and systems for processing messages at a multi-SIM network node |
| GB2537949A (en) * | 2014-12-10 | 2016-11-02 | Pismo Labs Technology Ltd | Methods and systems for processing messages at a network node |
| WO2016092350A1 (en) * | 2014-12-10 | 2016-06-16 | Pismo Labs Technology Ltd. | Methods and systems for processing messages at a network node |
| CN107430660A (zh) * | 2015-03-18 | 2017-12-01 | 高通股份有限公司 | 用于表征设备行为的自动化匿名众包的方法和系统 |
| TWI569606B (zh) * | 2015-07-21 | 2017-02-01 | 黃能富 | 網路資料辨識與管理系統及其方法 |
| CN105187436A (zh) * | 2015-09-25 | 2015-12-23 | 中国航天科工集团第二研究院七〇六所 | 一种基于散列表的包过滤主机网络控制方法 |
| CN105187436B (zh) * | 2015-09-25 | 2019-03-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于散列表的包过滤主机网络控制方法 |
| CN106559281A (zh) * | 2015-09-29 | 2017-04-05 | 中国电信股份有限公司 | 生成应用特征库的方法和装置、虚拟机、及终端 |
| CN105592137A (zh) * | 2015-10-14 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种应用类型的识别方法和装置 |
| CN105592137B (zh) * | 2015-10-14 | 2019-04-09 | 新华三技术有限公司 | 一种应用类型的识别方法和装置 |
| CN105812188A (zh) * | 2016-04-25 | 2016-07-27 | 北京网康科技有限公司 | 流量识别方法及装置 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
| CN108234345B (zh) * | 2016-12-21 | 2021-11-30 | 中国移动通信集团湖北有限公司 | 一种终端网络应用的流量特征识别方法、装置和系统 |
| CN108234345A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团湖北有限公司 | 一种终端网络应用的流量特征识别方法、装置和系统 |
| CN107612906A (zh) * | 2017-09-15 | 2018-01-19 | 南京安讯科技有限责任公司 | 一种精确识别跨报文协议特征的方法 |
| CN109995605A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种流量识别方法及装置、以及计算机可读存储介质 |
| CN109728977A (zh) * | 2019-01-14 | 2019-05-07 | 电子科技大学 | Jap匿名流量检测方法及系统 |
| CN109905486A (zh) * | 2019-03-18 | 2019-06-18 | 杭州迪普科技股份有限公司 | 一种应用程序识别展示方法和装置 |
| CN109905486B (zh) * | 2019-03-18 | 2021-09-21 | 杭州迪普科技股份有限公司 | 一种应用程序识别展示方法和装置 |
| CN110149248A (zh) * | 2019-06-06 | 2019-08-20 | 杭州商湾网络科技有限公司 | 一种快速统计分析路由器流量的方法 |
| CN112751812A (zh) * | 2019-10-31 | 2021-05-04 | 北京京东振世信息技术有限公司 | 应用协议自适配的方法和装置 |
| CN113271263A (zh) * | 2020-02-17 | 2021-08-17 | 华为技术服务有限公司 | 一种数据处理方法及其设备 |
| WO2021164340A1 (zh) * | 2020-02-17 | 2021-08-26 | 华为技术有限公司 | 一种数据处理方法及其设备 |
| CN113271263B (zh) * | 2020-02-17 | 2023-01-06 | 华为技术服务有限公司 | 一种数据处理方法及其设备 |
| CN111865823A (zh) * | 2020-06-24 | 2020-10-30 | 东南大学 | 一种轻量化以太坊加密流量识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101202652B (zh) | 2011-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101202652B (zh) | 网络应用流量分类识别装置及其方法 | |
| Gogoi et al. | MLH-IDS: a multi-level hybrid intrusion detection method | |
| US20220174008A1 (en) | System and method for identifying devices behind network address translators | |
| KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
| KR100997182B1 (ko) | 플로우 정보 제한장치 및 방법 | |
| WO2020209085A1 (ja) | 登録システム、登録方法及び登録プログラム | |
| CN109040130B (zh) | 基于属性关系图的主机网络行为模式度量方法 | |
| CN112600792B (zh) | 一种物联网设备的异常行为检测方法及系统 | |
| Kostas et al. | IoTDevID: A behavior-based device identification method for the IoT | |
| CN111953552B (zh) | 数据流的分类方法和报文转发设备 | |
| TW201906375A (zh) | 巨網路流量偵測方法與軟體定義網路交換器 | |
| CN108965248A (zh) | 一种基于流量分析的p2p僵尸网络检测系统及方法 | |
| CN110071934B (zh) | 用于网络异常检测的局部敏感性计数摘要方法及系统 | |
| CN113706100B (zh) | 配电网物联终端设备实时探测识别方法与系统 | |
| US11303736B2 (en) | System and method for identifying devices behind network address translators based on TCP timestamps | |
| Ubik et al. | Evaluating application-layer classification using a Machine Learning technique over different high speed networks | |
| CN111835681A (zh) | 一种大规模流量异常主机检测方法和装置 | |
| CN106790175B (zh) | 一种蠕虫事件的检测方法及装置 | |
| CN106972968B (zh) | 一种基于交叉熵联合马氏距离的网络异常流量检测方法 | |
| Tang et al. | AKN-FGD: adaptive kohonen network based fine-grained detection of ldos attacks | |
| JP6970344B2 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| CN101854366B (zh) | 一种对等网络流量识别的方法及装置 | |
| CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
| CN108366048B (zh) | 一种基于无监督学习的网络入侵检测方法 | |
| CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110504 Termination date: 20141215 |
|
| EXPY | Termination of patent right or utility model |