CN101741644A - 流量检测方法及装置 - Google Patents
流量检测方法及装置 Download PDFInfo
- Publication number
- CN101741644A CN101741644A CN200910258047A CN200910258047A CN101741644A CN 101741644 A CN101741644 A CN 101741644A CN 200910258047 A CN200910258047 A CN 200910258047A CN 200910258047 A CN200910258047 A CN 200910258047A CN 101741644 A CN101741644 A CN 101741644A
- Authority
- CN
- China
- Prior art keywords
- data flow
- message
- flow
- protocol
- described data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明实施例涉及一种流量检测方法及装置,其中方法包括:对数据流进行特征检测,识别所述数据流的承载协议是否为指定协议;当识别结果为所述数据流的承载协议是指定协议时,查找所述数据流中的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为所述匹配得到的应用类型的流量。本发明实施例采用特征识别完成第一次匹配过程,通过查找数据流中的应用层信息,获取与应用层信息匹配的预先设置的应用类型,识别出数据流为匹配得到的应用类型的流量,完成第二次匹配过程。本实施例不依赖于端口来检测流量,提高了检测流量中的应用类型时的识别正确率,从而提高了网络流量精细化管理中对不同应用类型进行管理的准确性。
Description
技术领域
本发明实施例涉及网络领域,尤其涉及一种流量检测方法及装置。
背景技术
随着以传输控制协议(Transmission Control Protocol,简称:TCP)/因特网协议(Internet Protocol,简称:IP)技术为基础的互联网的快速发展,各种网络新应用层出不穷,其中以端到端(Peer to Peer,简称:P2P)和IP电话(Voice over IP,简称:VoIP)应用最为突出。对于这两种业务,需要一种有效的方法对网络流量进行精细化管理,而流量管理的前提是精准的流量检测。流量检测技术的目的是准确的识别网络中各种应用协议及软件的流量,将网络流量的分类精确到协议级别。
现有技术提供了一种对采用安全套接层(Secure Socket Layer,简称:SSL)协议的应用进行流量检测的方法,该方法也称为基于端口的检测方法,对数据流进行特征字识别;若识别出该数据流采用了SSL协议后,记录该数据流的源端口和目的端口等传输层数据;如该数据流的源端口和目的端口与协议库中保存的某种应用协议或软件的端口匹配,则确定数据流为该应用协议或软件的流量。
但发明人发现,该方法通过匹配传输层数据来识别数据流的应用软件或协议,依赖于端口来检测流量,当应用协议或软件的端口不固定、或不同应用协议或软件使用的端口相同时,采用该方法对P2P和VOIP等业务的网络流量进行检测,识别结果错误的概率较高。
发明内容
本发明实施例提供了一种流量检测方法及装置,用以在检测流量中的应用类型时提高识别正确率,从而提高了网络流量精细化管理中对不同应用类型进行管理的准确性。
本发明实施例提供的流量检测方法,包括:
对数据流进行特征检测,识别所述数据流的承载协议是否为指定协议;
当识别结果为所述数据流的承载协议是指定协议时,查找所述数据流中的应用层信息;
当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为匹配得到的应用类型的流量。
本发明实施例提供的流量检测装置,包括:
特征检测模块,用于对数据流进行特征检测,识别所述数据流的承载协议是否为指定协议;
二次匹配模块,用于当识别出所述数据流的承载协议为指定协议时,查找所述数据流中的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为匹配得到的应用类型的流量。
本发明实施例采用特征识别完成第一次匹配过程,通过查找数据流中的应用层信息,获取与应用层信息匹配的预先设置的应用类型,识别出数据流为匹配得到的应用类型的流量,完成第二次匹配过程。本发明实施例通过应用层的类型信息检测流量中的具体应用,提高了检测流量中的应用类型时的识别正确率,从而提高了网络流量精细化管理中对不同应用类型进行管理的准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一流量检测方法的流程图;
图2为本发明实施例二流量检测方法的流程图;
图3为本发明实施例三流量检测方法的流程图;
图4为本发明实施例五流量检测装置的结构示意图;
图5为本发明实施例六流量检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一流量检测方法的流程图。如图1所示,本实施例包括如下步骤:
步骤101、对数据流进行特征检测,识别数据流的承载协议是否为指定协议;
步骤102、当识别结果为数据流的承载协议是指定协议时,查找数据流中的应用层信息;
步骤103、当查找得到的应用层信息与预先设置的应用类型匹配时,确定数据流为匹配得到的应用类型的流量。
本实施例的执行主体是深度包检测(Deep Packet Inspection,简称:DPI)设备,或者是具有DPI功能的网络设备。对于从网络上获取的数据流,首先采用特征识别进行第一次匹配过程,该第一匹配过程得到的识别结果是数据流的承载协议是否为指定协议,比如是TCP协议,或者是UDP协议,再或者是SSL协议。该识别结果作为中间状态,是第二次匹配过程的触发条件。
第二次匹配过程只对承载协议为指定协议的数据流起作用,比如只对TCP协议承载的数据进行。在这些指定承载协议的数据流中,如果查找到与预先设置的应用类型相匹配的应用层信息时,比如P2P应用层信息或者VOIP应用层信息等等,则可以确定这一数据流为匹配得到的应用类型的流量。
本实施例通过应用层的类型信息检测流量中的应用类型,提高了检测流量中的应用类型时的识别正确率,从而提高了网络流量精细化管理中对不同应用类型进行管理的准确性。
在以下各个实施例中,以检测承载在SSL协议之上的应用软件流量为例进行说明,即指定协议为SSL协议。在详细介绍以下各个实施例之前,首先说明SSL协议连接建立过程。SSL协议建立连接时,首先客户端向服务器端发送“ClientHello”消息,服务器端响应的第一条消息是“ServerHello”消息,这一组交互消息数据用于确认通信双方的加密算法,此时加密密钥还未确立,这组交互消息数据为明文。然后,服务器端向客户端发送“Certificate”消息,用于传递服务器端的证书授权(Certificate Authority,简称:CA)信息,该CA信息中包含服务器身份信息。后续过程中,客户端和服务器端还交互了“ServerHelloDone”消息、“ClientKeyExchange”消息和“Finished”消息,从而完成SSL协议连接建立过程。
图2为本发明实施例二流量检测方法的流程图。在执行本实施例的步骤之前,首先给要检测的数据流分配一个节点,该节点用于保存数据流的五元组信息、识别结果、报文个数、流量大小和二次匹配标记等节点信息。
如图2所示,以数据流的指定协议为SSL为例,本实施例包括如下步骤:
步骤201、传送数据流的报文,对数据流进行特征检测,识别该数据流的承载协议是否为SSL协议。本步骤为第一次匹配过程。
本步骤所检测的报文可以为“ClientHello”消息,即通过在“ClientHello”消息中提取能标识SSL协议的特征字来识别数据流的承载协议是否为SSL协议。
根据SSL报文的格式规定,“ClientHello”消息中能够提取特征字的字段为:握手(handshake)消息类型、SSL协议版本号、消息长度、“ClientHello”消息类型。以VoIP软件Teltel的报文为例,设其“ClientHello”消息中的一段应用层特征字数据为“16 03 01 00 53 01 00”,则其中“16”表示握手消息类型,“03 01”表示SSL协议版本号,“00 53”表示消息长度,“01 00”表示ClientHello”消息类型。如果检测到上述特征字数据,则可以识别数据流的承载协议为SSL协议。
进一步的,由于在数据流的报文中,特征字的字段一般分布在报文的头部或尾部,所以在本步骤中,根据实际情况,可以只对数据流中的报文的头部或尾部进行特征检测;举例来说,可以只检测报文的头部64字节或尾部64字节,即可完成识别。这样,在网络流量较大的时候,大大的提高检测匹配的效率,提升检测设备的性能。
步骤202、当识别结果为数据流的承载协议为SSL协议时,将识别结果保存在该数据流的节点信息中,并将节点信息中的二次匹配标记设置为需要进行二次匹配的标识。
步骤203、传送二次匹配标记为需要进行二次匹配的标识的数据流的报文,查找该数据流报文中的应用层信息。该报文可以为第一次匹配过程检测的报文的后续报文。
本步骤所查找的后续报文可以为“Certificate”消息,查找数据流中的应用层信息可以为:查找数据流中的CA信息中包含的服务器身份信息,也就是说,本步骤查找的应用层信息可以为CA信息中包含的服务器身份信息。
由于包含服务器身份信息的CA信息可能在数据报文负载数据的中间部分出现,所以本步骤中,可以对数据流的报文进行全包检测,查找报文中的应用层信息,而不仅限于头部64字节或尾部64字节。这样有针对性的拓宽了匹配覆盖的范围,提高了识别率。
步骤204、当查找得到的应用层信息与预先设置的应用类型匹配时,确定该数据流为匹配得到的应用类型的流量。
查找得到的应用层信息与预先设置的应用类型匹配是指:查找出与应用层信息匹配的预先设置的应用类型,进一步的,可以查找出与服务器身份信息匹配的预先设置的应用类型。
上述步骤203和204为第二次匹配过程。
如果经过步骤201识别出数据流的承载协议不是SSL协议时,本实施例得出的识别结果为该数据流为其他协议流量。
如果在步骤204中查找得到的应用层信息与预先设置的应用类型不匹配,即没有查找出与应用层信息匹配的预先设置的应用类型,本实施例确定该数据流不是预先设置的应用类型的流量,进一步的,得出的识别结果可以为该数据流为SSL协议流量。
本实施例提供了一种承载在SSL协议之上的应用软件流量的检测方法,其中采用特征识别对“ClientHello”消息进行检测完成第一次匹配过程,通过查找数据流中“Certificate”消息中的服务器身份信息,获取与服务器身份信息匹配的预先设置的应用类型,识别出数据流为匹配得到的应用类型的流量,完成第二次匹配过程。本实施例根据CA信息包含的服务器身份信息来匹配SSL协议的应用类型,不依赖于端口来检测流量,提高了检测流量中的应用类型时的识别正确率,从而提高了网络流量精细化管理中对不同应用类型进行管理的准确性。
图3为本发明实施例三流量检测方法的流程图。本实施例在上述实施例二的基础上,可以预先设定检测的报文的个数,在第一次匹配过程中,对数据流中设定个数的报文进行特征检测,本实施例中该设定个数为第一报文限制个数;在第二次匹配过程中,对数据流中设定个数的报文进行检测,查找报文的应用层信息,本实施例中该设定个数为第二报文限制个数。
如图3所示,本实施例包括如下步骤:
步骤301、从网络中获取数据流之后,依次将该数据流的报文进行传送,并进行特征检测,判断是否得到与数据流的报文匹配的结果,若是,则执行步骤304;否则执行步骤302。
本步骤中,可以首先查询节点信息中的二次匹配标记,如果二次匹配标记为“空”,则将报文继续传送并进行特征检测。
步骤302、判断进行特征检测的该数据流的报文个数是否大于第一报文限制个数,若是,则执行步骤303;否则执行步骤301。
上述步骤301中将数据流的一个报文进行特征检测,步骤302中判断出进行特征检测的报文总数没有超出第一报文限制个数,则跳转步骤301,然后将下一个报文进行特征检测。举例来说,设第一报文限制个数为16。由于本实施例中数据流的报文是依次进行处理的,通过本步骤使得本实施例特征检测只处理该数据流的前16个报文。
步骤303、识别出该数据流的承载协议不是SSL协议,即得到的识别结果为该数据流为非SSL协议流量。
本步骤中,对数据流中设定个数(可以为第一报文限制个数)的报文进行特征检测,没有检测出数据流的承载协议为SSL协议,则确定数据流为非指定协议的流量。
步骤304、进一步识别该数据流的承载协议是否为SSL协议,若是,则执行步骤305;否则执行步骤303。
本步骤的实现方式可以与步骤201相同。
步骤305、将识别结果保存在该数据流的节点信息中,并将节点信息中的二次匹配标记设置为“真”,“真”是需要进行二次匹配的标识。
步骤306、依次传送二次匹配标记为“真”的数据流的报文,该报文为第一次匹配过程检测的报文的后续报文,查找后续报文中的服务器身份信息,并判断是否存在与该服务器身份信息匹配的预先设置的应用类型,若是,执行步骤309;否则执行步骤307。
本步骤中,查询节点信息中的二次匹配标记,二次匹配标记为“真”,所以将后续报文进行传送和处理。
步骤307、判断第二次匹配过程检测的该数据流的后续报文个数是否大于第二报文限制个数,若是,则执行步骤308;否则执行步骤306。
上述步骤306中将一个报文进行二次匹配,步骤307中若判断出二次匹配的报文总数没有超出第二报文限制个数,则跳转步骤306,将下一个报文进行二次匹配。举例来说,设第二报文限制个数为3。对于某一个承载在SSL协议上的应用协议或软件,该应用协议或软件的数据流经二次匹配处理的后续报文个数最多为3个,如果这3个报文均没有匹配成功,则二次匹配处理过程完成,跳转步骤308。
对于不同的应用协议或软件,该预先配置的第二报文限制个数可以不同。
步骤308、识别出该数据流的承载协议是SSL协议,即得到的识别结果为该数据流为SSL协议流量。
本步骤中,通过对第二报文限制个数的报文进行检测,仍没查找到与该数据流服务器身份信息匹配的预先设置的应用类型,即查找得到的应用层信息与预先设置的应用类型不匹配,则确定该数据流不是预先设置的应用类型的流量,进一步的,得出的识别结果为该数据流为SSL协议流量。
本步骤还可以包括:将该数据流的节点信息中的二次匹配标记修改为“假”,该数据流的后续报文不再进行二次匹配过程。
步骤309、识别出该数据流的预先设置的应用类型,确定该数据流为匹配得到的应用类型的流量。
进一步的,由于在数据流的报文中,特征字的字段一般分布在报文的头部或尾部,所以在上述步骤301中,根据实际情况,可以只对数据流中设定个数的报文的头部或尾部进行特征检测;举例来说,可以只检测设定个数的报文的头部64字节或尾部64字节,即可完成识别。也可以对数据流中设定个数(可以为第一报文限制个数)的报文头部或尾部进行特征检测,没有检测出数据流的承载协议为SSL协议,则确定数据流为非指定协议的流量。这样在网络流量较大的时候,可以大大的提高检测匹配的效率,提升检测设备的性能。
由于包含服务器身份信息的CA信息可能在数据报文负载数据的中间部分出现,所以在上述步骤306中,二次匹配处理可以对数据流的设定个数的报文进行全包检测,查找报文中的应用层信息,而不仅限于头部64字节或尾部64字节。这样有针对性的拓宽了匹配覆盖的范围,提高了识别率。
本实施例提供了一种承载在SSL协议之上的应用软件流量的检测方法,其中采用特征识别对“ClientHello”消息进行检测完成第一次匹配过程,通过查找数据流中“Certificate”消息中的服务器身份信息,获取与服务器身份信息匹配的预先设置的应用类型,识别出数据流为匹配得到的应用类型的流量,完成第二次匹配过程。本实施例根据CA信息包含的服务器身份信息来匹配SSL协议的预先设置的应用类型,不依赖于端口来检测流量,提高了检测流量中的应用类型时的识别正确率,从而提高了网络流量精细化管理中对不同应用类型进行管理的准确性。进一步的,本实施例可以根据实际情况合理设定第一次匹配过程和第二次匹配过程中检测报文的个数,提高了处理的灵活性,在第一次匹配过程和第二次匹配过程中不会无限制的对数据流的每个报文都进行处理,提高了检测效率。
在上述实施例二和实施例三中,可以检测客户端发送的“ClientHello”消息完成第一次匹配过程,可以检测服务器端发送的“Certificate”消息完成第二次匹配过程。这两次匹配过程的报文分别来自于数据流的上行和下行,所以上述流量检测为双向数据流检测。
本发明实施例四还可以提供一种流量检测方法,适用于单向(下行)数据流检测。本实施例中,第一次匹配过程中所检测的报文为“ServerHello”消息。“ServerHello”消息中能够提取特征字的字段为:握手(handshake)消息类型、SSL协议版本号、消息长度、“ClientHello”消息类型。通过检测上述特征字的字段,可以识别数据流的承载协议是否为SSL协议。
由于待查找的CA信息可能和“ServerHello”消息在同一个数据报文中,所以在第二次匹配过程中,需要首先查找第一次匹配过程中检测的报文,然后再查找后续报文,也就是说,本实施例中查找的报文包括第一次匹配过程中检测的报文及其后续报文。本实施例的其他流程与上述实施例基本相同,在此不再赘述。
本实施例中,第一次匹配过程和第二次匹配过程中检测的报文均为下行报文,实现了下行单向数据流检测。
本发明实施例不仅限于基于SSL协议的流量检测,同样适用于其他与SSL协议类似的流量检测,例如:对于承载在超文本传输协议(Hyper TextTransfer Protocol,简称:HTTP)之上的应用软件的流量,在第一次匹配过程中,通过匹配HTTP的特征字,识别出数据流的承载协议为HTTP,在第二次匹配过程中,查找数据流中的应用层信息,获取与应用层信息匹配的预先设置的应用类型,识别出数据流为匹配得到的应用类型的流量。
本发明实施例提供的流量检测方法与其他的流量检测方法并不冲突,在某些环境下,可以结合其他的流量检测方法一起使用。
图4为本发明实施例五流量检测装置的结构示意图。如图4所示,本实施例包括:特征检测模块11和二次匹配模块12。其中:
特征检测模块11,用于对数据流进行特征检测,识别数据流的承载协议是否为指定协议;
二次匹配模块12,用于当识别出数据流的承载协议为指定协议时,查找数据流中的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定数据流为匹配得到的应用类型的流量。
对于从网络上获取的数据流,首先特征检测模块11采用特征识别进行第一次匹配过程,该第一匹配过程得到的识别结果是数据流的承载协议是否为指定协议。该识别结果作为中间状态,是第二次匹配过程的触发条件;然后二次匹配模块12对承载协议为指定协议的数据流起作用,查找数据流的报文中的应用层信息;当获取与应用层信息匹配的预先设置的应用类型时,识别出数据流为匹配得到的应用类型的流量。
本实施例采用特征识别完成第一次匹配过程,通过查找数据流中的应用层信息,获取与应用层信息匹配的预先设置的应用类型,识别出数据流为匹配得到的应用类型的流量,完成第二次匹配过程。本实施例不依赖于端口来检测流量,提高了检测流量中的应用类型时的识别正确率,从而提高了网络流量精细化管理中对不同应用类型进行管理的准确性。
图5为本发明实施例六流量检测装置的结构示意图。如图5所示,本实施例在实施例五的基础上,进一步的,特征检测模块11可以用于对数据流的报文的头部或尾部进行特征检测,识别数据流的承载协议是否为指定协议。
二次匹配模块12可以用于当识别出数据流的承载协议为指定协议时,对数据流的报文进行全包检测,查找报文中的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定数据流为匹配得到的应用类型的流量。
特征检测模块11检测的报文的个数可以有所限制,特征检测模块11可以用于对数据流中设定个数的报文进行特征检测,识别数据流的承载协议是否为指定协议;进一步的,特征检测模块11也可以用于对数据流中设定个数的报文的头部或尾部进行特征检测,识别数据流的承载协议是否为指定协议。当特征检测模块11通过对设定个数的报文进行检测,没有检测出数据流的承载协议为指定协议时,识别出数据流为非指定协议的流量。
二次匹配模块12检测的报文的个数可以有所限制,二次匹配模块12可以用于当识别出数据流的承载协议为指定协议时,对数据流中设定个数的报文进行检测,查找报文的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定数据流为匹配得到的应用类型的流量;进一步的,二次匹配模块12也可以用于当识别出数据流的承载协议为指定协议时,对数据流中设定个数的报文进行全包检测,查找报文中的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定数据流为所述匹配得到的应用类型的流量。当二次匹配模块12通过对设定个数的报文进行检测,没有获取与应用层信息匹配的预先设置的应用类型时,识别出数据流不是预先设置的应用类型的流量。
再进一步,二次匹配模块可以用于当识别结果为数据流的承载协议是SSL协议时,查找数据流中的CA信息中包含的服务器身份信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定数据流为所述匹配得到的应用类型的流量。
特征检测模块11和二次匹配模块12的功能可以参见实施例二、三或四。
见图5,本实施例提供的流量检测装置还可以包括实现附加功能的模块,说明如下:
数据流维护模块13,用于在特征检测模块11识别出数据流的承载协议为指定协议时,将数据流的节点信息中的二次匹配标记设置为需要进行二次匹配的标识。
数据获取模块14,用于实时捕获网络上的数据流,并将数据流传送给预处理模块15进行处理;
预处理模块15,用于对数据流中的报文进行分层解析,取出报文的五元组信息和应用层信息,发送给数据流维护模块13进行处理;同时,还可以用于处理分片报文和一些异常报文。数据流维护模块13接收到数据流的报文后,分配一节点给该数据流,该节点用于保存数据流的五元组信息、特征检测模块11和二次匹配模块12返回的识别结果、报文个数、流量大小和二次匹配标记等节点信息;并将报文发送给特征检测模块11或二次匹配模块12。
规则库加载模块16,用于加载特征识别规则库和二次匹配规则库,以供特征检测模块11和二次匹配模块12检测时使用。其中特征识别规则库主要包括第一次匹配过程中的策略信息,如用于第一次匹配的协议规则信息和第一报文限制个数等;二次匹配规则库主要包括第二次匹配过程中的策略信息,如所需查找的应用层信息和第二报文限制个数等。
流信息上报模块17,用于负责整理数据流维护模块13传递的识别结果,并上报识别结果到数据库模块19。
策略接受模块18,用于实时扫描并读取数据库模块19中的策略信息,下发给规则库加载模块16。
数据库模块19,用于存储数据流的识别结果和网页服务器模块20下发的策略信息,并为网页服务器模块20提供数据查询功能。
网页(如WEB)服务器模块20,为管理员使用流量检测装置提供图形界面接口,管理员可以在其提供的WEB页面上配置检测的策略信息,同时WEB页面也可以提供各种丰富的报表,管理员可以随时了解网络流量的检测信息。
本实施例采用特征识别完成第一次匹配过程,通过查找数据流中的应用层信息,获取与应用层信息匹配的预先设置的应用类型,识别出数据流为匹配得到的应用类型的流量,完成第二次匹配过程。本实施例不依赖于端口来检测流量,提高了检测流量中的应用类型时的识别正确率,从而提高了网络流量精细化管理中对不同应用类型进行管理的准确性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤,而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述实施例对本发明实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。
Claims (10)
1.一种流量检测方法,其特征在于包括:
对数据流进行特征检测,识别所述数据流的承载协议是否为指定协议;
当识别结果为所述数据流的承载协议是指定协议时,查找所述数据流中的应用层信息;
当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为匹配得到的应用类型的流量。
2.根据权利要求1所述的流量检测方法,其特征在于,所述对数据流进行特征检测包括:
对数据流中设定个数的报文进行特征检测;
或,对数据流中报文的头部或尾部进行特征检测;
或,对数据流中设定个数的报文的头部或尾部进行特征检测。
3.根据权利要求2所述的流量检测方法,其特征在于,还包括:
当对数据流中设定个数的报文进行特征检测或对数据流中设定个数的报文的头部或尾部进行特征检测,没有检测出所述数据流的承载协议为指定协议时,确定所述数据流为非指定协议的流量。
4.根据权利要求1所述的流量检测方法,其特征在于,所述查找数据流中的应用层信息包括:
对所述数据流中设定个数的报文进行检测,查找所述报文的应用层信息;
或,对所述数据流的报文进行全包检测,查找所述报文中的应用层信息;
或,对所述数据流中设定个数的报文进行全包检测,查找所述报文中的应用层信息。
5.根据权利要求4所述的流量检测方法,其特征在于,还包括:
当查找得到的应用层信息与预先设置的应用类型不匹配时,确定所述数据流不是所述预先设置的应用类型的流量。
6.根据权利要求1所述的流量检测方法,其特征在于,所述当识别结果为所述数据流的承载协议是指定协议时,查找所述数据流中的应用层信息,包括:
当识别结果为所述数据流的承载协议是安全套接层协议时,查找所述数据流中的证书授权信息中包含的服务器身份信息。
7.一种流量检测装置,其特征在于包括:
特征检测模块,用于对数据流进行特征检测,识别所述数据流的承载协议是否为指定协议;
二次匹配模块,用于当识别出所述数据流的承载协议为指定协议时,查找所述数据流中的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为匹配得到的应用类型的流量。
8.根据权利要求7所述的流量检测装置,其特征在于,所述特征检测模块具体用于:
对数据流中设定个数的报文进行特征检测,识别所述数据流的承载协议是否为指定协议;
或,对数据流中报文的头部或尾部进行特征检测,识别所述数据流的承载协议是否为指定协议;
或,对数据流中设定个数的报文的头部或尾部进行特征检测,识别所述数据流的承载协议是否为指定协议。
9.根据权利要求7所述的流量检测装置,其特征在于,所述二次匹配模块具体用于:
当识别出所述数据流的承载协议为指定协议时,对所述数据流中设定个数的报文进行检测,查找所述报文的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为匹配得到的应用类型的流量;
或,当识别出所述数据流的承载协议为指定协议时,对所述数据流的报文进行全包检测,查找所述报文中的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为匹配得到的应用类型的流量;
或,当识别出所述数据流的承载协议为指定协议时,对所述数据流中设定个数的报文进行全包检测,查找所述报文中的应用层信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为匹配得到的应用类型的流量。
10.根据权利要求7所述的流量检测装置,其特征在于,所述二次匹配模块具体用于:
当识别结果为所述数据流的承载协议是安全套接层协议时,查找所述数据流中的证书授权信息中包含的服务器身份信息;当查找得到的应用层信息与预先设置的应用类型匹配时,确定所述数据流为匹配得到的应用类型的流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102580477A CN101741644B (zh) | 2009-12-16 | 2009-12-16 | 流量检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102580477A CN101741644B (zh) | 2009-12-16 | 2009-12-16 | 流量检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101741644A true CN101741644A (zh) | 2010-06-16 |
| CN101741644B CN101741644B (zh) | 2012-05-30 |
Family
ID=42464576
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102580477A Active CN101741644B (zh) | 2009-12-16 | 2009-12-16 | 流量检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101741644B (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546548A (zh) * | 2010-12-22 | 2012-07-04 | 中兴通讯股份有限公司 | 一种分层协议的识别方法和装置 |
| CN102752218A (zh) * | 2012-07-16 | 2012-10-24 | 北京国创富盛通信股份有限公司 | 网络优化系统和网络优化方法 |
| CN102780588A (zh) * | 2012-05-22 | 2012-11-14 | 华为技术有限公司 | 深度报文检测方法、装置、网络设备及系统 |
| CN103152340A (zh) * | 2013-02-28 | 2013-06-12 | 汉柏科技有限公司 | 一种跨资源访问的协议识别方法 |
| CN103166963A (zh) * | 2013-03-05 | 2013-06-19 | 汉柏科技有限公司 | 一种解除封装的协议识别方法及系统 |
| CN103618726A (zh) * | 2013-12-04 | 2014-03-05 | 北京中创信测科技股份有限公司 | 一种基于https协议实现移动数据业务识别的方法 |
| CN103873320A (zh) * | 2013-12-27 | 2014-06-18 | 北京天融信科技有限公司 | 加密流量识别方法及装置 |
| CN104079571A (zh) * | 2014-06-27 | 2014-10-01 | 广州华多网络科技有限公司 | 一种识别Android模拟器的方法及装置 |
| CN104394164A (zh) * | 2014-12-06 | 2015-03-04 | 金琥 | 基于会话和协议识别https端口数据的方法 |
| CN104660592A (zh) * | 2015-02-04 | 2015-05-27 | 北京信安世纪科技有限公司 | 一种基于安全套接层协议特征的负载分发方法 |
| CN106295366A (zh) * | 2016-08-15 | 2017-01-04 | 北京奇虎科技有限公司 | 敏感数据识别方法及装置 |
| CN107707549A (zh) * | 2017-09-30 | 2018-02-16 | 迈普通信技术股份有限公司 | 一种自动提取应用特征的装置及方法 |
| CN107968791A (zh) * | 2017-12-15 | 2018-04-27 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
| CN108270730A (zh) * | 2016-12-30 | 2018-07-10 | 北京飞利信电子技术有限公司 | 一种扩展防火墙的应用层检测方法、装置及电子设备 |
| CN108737407A (zh) * | 2018-05-11 | 2018-11-02 | 北京奇安信科技有限公司 | 一种劫持网络流量的方法及装置 |
| CN108900430A (zh) * | 2018-06-15 | 2018-11-27 | 杭州迪普科技股份有限公司 | 一种网络流量阻断的方法及装置 |
| CN109802924A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| WO2019134240A1 (zh) * | 2018-01-05 | 2019-07-11 | 网宿科技股份有限公司 | 一种多包识别方法、数据包识别方法及流量引导方法 |
| CN110380989A (zh) * | 2019-07-26 | 2019-10-25 | 东南大学 | 网络流量指纹特征二阶段多分类的物联网设备识别方法 |
| CN114338126A (zh) * | 2021-12-24 | 2022-04-12 | 武汉思普崚技术有限公司 | 一种网络应用识别方法和装置 |
| CN115134306A (zh) * | 2022-09-01 | 2022-09-30 | 杭州安恒信息技术股份有限公司 | 一种物联网终端的数据流量检测方法、装置、设备及介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
| CN100493094C (zh) * | 2006-08-25 | 2009-05-27 | 清华大学 | 基于特征码的p2p数据报文检测方法 |
| CN101557329B (zh) * | 2009-05-27 | 2011-05-11 | 杭州迪普科技有限公司 | 一种基于应用层的数据分割方法及装置 |
-
2009
- 2009-12-16 CN CN2009102580477A patent/CN101741644B/zh active Active
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546548B (zh) * | 2010-12-22 | 2015-04-01 | 中兴通讯股份有限公司 | 一种分层协议的识别方法和装置 |
| CN102546548A (zh) * | 2010-12-22 | 2012-07-04 | 中兴通讯股份有限公司 | 一种分层协议的识别方法和装置 |
| CN102780588A (zh) * | 2012-05-22 | 2012-11-14 | 华为技术有限公司 | 深度报文检测方法、装置、网络设备及系统 |
| CN102780588B (zh) * | 2012-05-22 | 2014-12-03 | 华为技术有限公司 | 深度报文检测方法、装置、网络设备及系统 |
| CN102752218A (zh) * | 2012-07-16 | 2012-10-24 | 北京国创富盛通信股份有限公司 | 网络优化系统和网络优化方法 |
| CN103152340A (zh) * | 2013-02-28 | 2013-06-12 | 汉柏科技有限公司 | 一种跨资源访问的协议识别方法 |
| CN103152340B (zh) * | 2013-02-28 | 2015-12-02 | 汉柏科技有限公司 | 一种跨资源访问的协议识别方法 |
| CN103166963A (zh) * | 2013-03-05 | 2013-06-19 | 汉柏科技有限公司 | 一种解除封装的协议识别方法及系统 |
| CN103618726A (zh) * | 2013-12-04 | 2014-03-05 | 北京中创信测科技股份有限公司 | 一种基于https协议实现移动数据业务识别的方法 |
| CN103873320A (zh) * | 2013-12-27 | 2014-06-18 | 北京天融信科技有限公司 | 加密流量识别方法及装置 |
| CN103873320B (zh) * | 2013-12-27 | 2017-06-13 | 北京天融信科技有限公司 | 加密流量识别方法及装置 |
| CN104079571A (zh) * | 2014-06-27 | 2014-10-01 | 广州华多网络科技有限公司 | 一种识别Android模拟器的方法及装置 |
| CN104079571B (zh) * | 2014-06-27 | 2017-09-01 | 广州华多网络科技有限公司 | 一种识别Android模拟器的方法及装置 |
| CN104394164A (zh) * | 2014-12-06 | 2015-03-04 | 金琥 | 基于会话和协议识别https端口数据的方法 |
| CN104660592B (zh) * | 2015-02-04 | 2018-02-02 | 北京信安世纪科技股份有限公司 | 一种基于安全套接层协议特征的负载分发方法 |
| CN104660592A (zh) * | 2015-02-04 | 2015-05-27 | 北京信安世纪科技有限公司 | 一种基于安全套接层协议特征的负载分发方法 |
| CN106295366A (zh) * | 2016-08-15 | 2017-01-04 | 北京奇虎科技有限公司 | 敏感数据识别方法及装置 |
| CN108270730A (zh) * | 2016-12-30 | 2018-07-10 | 北京飞利信电子技术有限公司 | 一种扩展防火墙的应用层检测方法、装置及电子设备 |
| CN107707549B (zh) * | 2017-09-30 | 2020-07-28 | 迈普通信技术股份有限公司 | 一种自动提取应用特征的装置及方法 |
| CN107707549A (zh) * | 2017-09-30 | 2018-02-16 | 迈普通信技术股份有限公司 | 一种自动提取应用特征的装置及方法 |
| US11706254B2 (en) | 2017-11-17 | 2023-07-18 | Huawei Technologies Co., Ltd. | Method and apparatus for identifying encrypted data stream |
| CN109802924B (zh) * | 2017-11-17 | 2022-05-17 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| CN109802924A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 一种识别加密数据流的方法及装置 |
| CN107968791A (zh) * | 2017-12-15 | 2018-04-27 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
| CN107968791B (zh) * | 2017-12-15 | 2021-08-24 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
| WO2019134240A1 (zh) * | 2018-01-05 | 2019-07-11 | 网宿科技股份有限公司 | 一种多包识别方法、数据包识别方法及流量引导方法 |
| US11394652B2 (en) | 2018-01-05 | 2022-07-19 | Wangsu Science & Technology Co., Ltd. | Multi-packet recognition method, data packet recognition method, and traffic redirection method |
| CN108737407A (zh) * | 2018-05-11 | 2018-11-02 | 北京奇安信科技有限公司 | 一种劫持网络流量的方法及装置 |
| CN108900430B (zh) * | 2018-06-15 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种网络流量阻断的方法及装置 |
| CN108900430A (zh) * | 2018-06-15 | 2018-11-27 | 杭州迪普科技股份有限公司 | 一种网络流量阻断的方法及装置 |
| CN110380989A (zh) * | 2019-07-26 | 2019-10-25 | 东南大学 | 网络流量指纹特征二阶段多分类的物联网设备识别方法 |
| CN110380989B (zh) * | 2019-07-26 | 2022-09-02 | 东南大学 | 网络流量指纹特征二阶段多分类的物联网设备识别方法 |
| CN114338126A (zh) * | 2021-12-24 | 2022-04-12 | 武汉思普崚技术有限公司 | 一种网络应用识别方法和装置 |
| CN115134306A (zh) * | 2022-09-01 | 2022-09-30 | 杭州安恒信息技术股份有限公司 | 一种物联网终端的数据流量检测方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101741644B (zh) | 2012-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101741644B (zh) | 流量检测方法及装置 | |
| CN105357082B (zh) | 一种网络流量的识别方法及装置 | |
| US11057289B2 (en) | Mobile application identification in network traffic via a search engine approach | |
| CN112714045B (zh) | 一种基于设备指纹和端口的快速协议识别方法 | |
| CN112822167B (zh) | 异常tls加密流量检测方法与系统 | |
| CN101557329B (zh) | 一种基于应用层的数据分割方法及装置 | |
| CN102724317A (zh) | 一种网络数据流量分类方法和装置 | |
| WO2014187238A1 (zh) | 应用类型识别方法及网络设备 | |
| CN105321108A (zh) | 一种用于在对等网络上创建共享信息列表的系统和方法 | |
| CN102664935B (zh) | 一种web类用户行为和用户信息的关联输出方法及系统 | |
| CN110650128A (zh) | 一种检测以太坊数字货币盗取攻击的系统及方法 | |
| CN108289093A (zh) | App应用特征码库的构建方法及构建系统 | |
| WO2015073755A1 (en) | Generating sequenced instructions for connecting through captive portals | |
| CN110581780B (zh) | 针对web服务器资产的自动识别方法 | |
| CN114826671B (zh) | 一种基于指纹的分层匹配的网络资产识别方法及装置 | |
| CN108055166B (zh) | 一种嵌套的应用层协议的状态机提取系统及其提取方法 | |
| CN110020161B (zh) | 数据处理方法、日志处理方法和终端 | |
| CN113630418B (zh) | 一种网络服务识别方法、装置、设备及介质 | |
| US10419351B1 (en) | System and method for extracting signatures from controlled execution of applications and application codes retrieved from an application source | |
| CN110830416A (zh) | 网络入侵检测方法和装置 | |
| CN101184002A (zh) | 一种点对点流量深度监测方法和设备 | |
| CN108259416B (zh) | 检测恶意网页的方法及相关设备 | |
| CN106911649A (zh) | 一种检测网络攻击的方法和装置 | |
| Lavrenovs et al. | Investigating HTTP response headers for the classification of devices on the Internet | |
| CN111882368A (zh) | 一种在线广告dpi加密埋点及透传跟踪的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20220824 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| TR01 | Transfer of patent right |