CN101771697B - 基于模式匹配方式的网络数据流识别方法 - Google Patents
基于模式匹配方式的网络数据流识别方法 Download PDFInfo
- Publication number
- CN101771697B CN101771697B CN2010100136287A CN201010013628A CN101771697B CN 101771697 B CN101771697 B CN 101771697B CN 2010100136287 A CN2010100136287 A CN 2010100136287A CN 201010013628 A CN201010013628 A CN 201010013628A CN 101771697 B CN101771697 B CN 101771697B
- Authority
- CN
- China
- Prior art keywords
- stream
- state
- character
- flow
- finite
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种基于模式匹配技术的网络数据流识别方法,主要解决现有各种数据流识别方法存在的无法协同工作、且更新过程复杂的缺点。其实现步骤包括:用正则文法设定流模式;对于任意一种类型的网络数据流,用流模式描述其特征;从每一个流模式中生成一个解析树,从解析树中构造一个有限状态自动机;将捕获的网络数据流送入任意一种类型的流模式对应的有限状态自动机中,使有限状态自动机的状态随每个数据包而变化,得到判定结果。本发明具有识别准确率高、方便更新的优点,适用于在各类网络安全、网络监控以及负载均衡等设备中实现的网络数据流识别的功能。
Description
技术领域
本发明属于网络技术领域,涉及流量监控与管理,尤其是一种基于模式匹配方式的网络数据流识别方法,可用于各类网络安全、网络监控以及负载均衡等设备中实现对网络数据流的识别和分类。
背景技术
随着信息技术的飞速发展,互联网已成为人类社会最重要的信息基础设施,成为人们日常工作生活中不可或缺的一部分。为了提供良好的网络环境和网络服务,网络管理员或网络服务提供者ISP需要对网络的稳定性和安全性进行管理与监控,而数据流识别正是网络监控与管理的基础和前提。能够准确地识别网络上的各种数据流,对于服务质量控制QoS、入侵检测、边界防护、流量控制、计费管理以及用户行为分析等都有着重要的意义。
传统的数据流识别方法依赖于将网络协议与由IANA指定的端口号进行映射,从而识别不同的数据流。这种基于包头信息的方法简单高效,直到现在还在很多场合中应用。但是由于新出现的协议,尤其是联网游戏大多不在IANA中注册其端口号,导致这种方法能够识别的协议所占的比重越来越少。而且一些网络攻击和新型应用,比如P2P开始采用动态的端口号,并经常利用其他协议的端口号来伪装自己,这些都导致了基于端口号等包头信息匹配的数据流分析方法受到了很大的阻碍。
为了解决基于包头信息的数据流识别所存在的问题,近年来提出了基于载荷的数据流识别技术。基于载荷的数据流识别技术将分析对象从端口号等包头信息扩展到数据包的载荷部分。通过预先对协议工作过程的分析,找出其载荷中有代表性的“指纹”特征,并在识别的时候对该“指纹”进行全报文匹配。使用基于载荷的数据流识别技术可以有效解决包头匹配方法遇到的问题,实现更加准确可靠的数据流识别。目前这种识别方式已经成为应用最为广泛的数据流识别方式之一。然而这种基于载荷的识别方法也存在不少缺点和局限性,主要体现在:(1)时空复杂度很高,工作效率低,给网络带来大量的时延,显著降低带宽;(2)只能识别已知特征的数据流,无法区分未知的数据流(3)对于加密的数据流无法识别。
目前,基于数据流统计特征的算法逐渐成为了研究的热点。基于数据流统计特征的算法是用一些数据流的统计信息,如ip包的大小、流的长度、ip包的总个数等,作为进行分类的依据,通常这种算法总是与机器学习的方法结合到一起。此算法无需知道协议的具体细节,便可以有效的将网络数据流分为传统数据流、流媒体、P2P数据流、游戏数据流、网络存储数据流这几大类,从而达到对相应类型的网络数据流进行管理的目的。但是这项方法并不成熟,到目前为止只能达到粗分类,而且实现起来也更加复杂。
综上所述,现有的各种数据流分析方法各自有着显著的优缺点,且都不能满足现今数据流分析的需要。另外,基于载荷的数据流识别技术和基于数据流统计特征的算法的实现较为复杂,只能应用于特定的场合,无法做到灵活的通用配置,在具有新特征的网络数据流出现时,往往需要重新编程才能实现对这些数据流的识别。
发明内容
本发明的目的在于克服上述现有技术的不足,提出一种基于模式匹配方式的网络数据流识别方法,以提高识别效果,简化更新和配置方式,使用户只需根据新数据流的特征就可将其从网络数据流中识别出来。
实现本发明目的技术方案是:通过定义规范的语法和语义,对网络数据流的各种特征进行描述,使得任意具有共同特征的网络数据流都可以无歧义的用一个流模式表示出来,并针对这种流模式进行统一的解析和处理,生成对应的有限状态自动机,从而将对网络数据流的识别过程描述为有限状态自动机中状态的迁移,其步骤包括如下:
(1)用正则文法设定流模式,该流模式是由表示单个数据包特征的流字符和表示流字符之间关系的流操作符组合成的元字符序列;
(2)对于任意一种类型的网络数据流,用所述流模式描述其特征;
(3)从每一个流模式中用Lex、Yacc、Flex或Bison这类工具生成一个解析树,从该解析树中通过Glushkov算法构造一个有限状态自动机,用该有限状态自动机表示对流模式描述的网络数据流的识别;
(4)将捕获的网络数据流送入任意一种类型的流模式对应的有限状态自动机中,将每个数据包按照流字符的特征信息定义转化为一个“流元”,当流元同条件流字符相匹配时,转移条件生效,有限状态自动机的当前状态从源状态转移到目的状态,若有限状态自动机到达终止状态,则判定该数据流符合相应流模式描述的特征;若有限状态自动机未到达终止状态,则判定该数据流不符合相应流模式描述的特征。
2.根据权利要求1所述的网络数据流识别方法,其中步骤(1)所述的流字符,由下列的几类特征信息中的一个或多个构成:
数据包的包头信息,包括IP地址、端口号、TCP旗标信息中的一个或多个;
数据包的载荷信息;
数据包的统计信息,包括数据包方向、数据包长度和数据包频度信息中的一个或多个。
3.根据权利要求1所述的网络数据流识别方法,其中步骤(1)所述的流操作符,它们之间按照如下优先级递减顺序排列:
用来强制调整优先级的括号操作符;
用来表示流字符重复零次或多次的星操作符;
用来表示流字符重复次数限定的大括号操作符,该操作符中包含了重复次数限定的上界和下界;
用来表示流字符重复零次或一次的问号操作符;
用来表示流字符重复一次或多次的加号操作符;
用来表示流字符“或”关系的选择操作符;
用来表示流字符“与”关系的连接操作符。
4.根据权利要求1所述的网络数据流识别方法,其中步骤(1)所述的流模式是通过XML语言进行描述。
5.根据权利要求1所述的网络数据流识别方法,其中步骤(3)所述的解析树是一种树型数据结构,每个流模式对应唯一的一个解析树,每个解析树对应唯一的一个流模式;解析树的叶子节点对应流字符;解析树的非叶子节点对应流操作符。
6.根据权利要求1所述的网络数据流识别方法,其中步骤(3)所述的有限状态自动机包括状态集合和转移集合,该状态集合包括有限状态自动机中所有的状态,并且含有一个初始状态和至少一个终止状态;该转移集合,包含所有的条件流字符,每个转移表示从一个源状态到另一个目的状态的跳转。
本发明具有如下优点:
本发明的流模式由于根据正则文法生成,因而具有规范的语法和统一的解析识别;同时由于用XML来描述流模式,故配置灵活,更新方便;此外由于用有限状态自动机来对流元进行匹配,所以能实现更灵敏的关联分析。总之,流模式融合了基于包头信息、基于载荷信息和基于统计信息等各种识别方法,效果上等同于使这些识别方法共同作用于对任意一种特定网络数据流的识别上,使其协同工作,优势互补,从而达到更加准确的识别效果。本发明提出的基于模式匹配技术的网络数据流识别方法可以应用到网络安全、网络监控以及负载均衡等系统和设备上。
附图说明
图1为本发明基于模式匹配技术的网络数据流识别方法流程图;
图2为本发明实施例设定的解析树示意图;
图3为本发明实施例设定的有限状态自动机示意图。
具体实施方式
为了使本领域的一般技术人员能够清楚理解本发明的技术方案,现结合附图做进一步详尽的说明。
参照图1,本发明的基于模式匹配技术的网络数据流识别方法,包括如下步骤:
步骤1,用正则文法设定流模式。
该流模式是由表示单个数据包特征的流字符和表示流字符之间关系的流操作符组合成的元字符序列。
该流字符由下列的几类特征信息中的一个或多个构成:
数据包的包头信息,包括IP地址、端口号、TCP旗标信息中的一个或多个;
数据包的载荷信息;
数据包的统计信息,包括数据包方向、数据包长度和数据包频度信息中的一个或多个。
该流操作符之间按照优先级递减顺序排列如下:
用来强制调整优先级的括号操作符;
用来表示流字符重复零次或多次的星操作符;
用来表示流字符重复次数限定的大括号操作符,该操作符中包含了重复次数限定的上界和下界;
用来表示流字符重复零次或一次的问号操作符;
用来表示流字符重复一次或多次的加号操作符;
用来表示流字符“或”关系的选择操作符;
用来表示流字符“与”关系的连接操作符。
该正则文法是指,流字符与流操作符组合成的序列是流模式,或者单个的流字符也是流模式。
步骤2,对于任意一种类型的网络数据流,用所述流模式描述其特征。
流模式遵循正则文法的语法,通过XML语言进行描述,本领域的一般技术人员通过DTD(Document Type Definition,文档类型定义)可以直接获知其对应的XML的格式和定义方式,流模式的DTD定义如下:
<!DOCTYPE mode[
<!ELEMENT mode(element+)>
<!ELEMENT element((#PCDATA|iterator)|(head?,content?,statistic?)>
<!ELEMENT iterator(lower,upper)>
<!ELEMENT lower(#PCDATA)>
<!ELEMENT upper(#PCDATA)>
<!ELEMENT head(tcp|udp)>
<!ELEMENT tcp(sip?,udp?,sport?,dport?,flag?)>
<!ELEMENT udp(sip?,udp?,sport?,dport?)>
<!ELEMENT content(#PCDATA?)>
<!ELEMENT statistic(dir?,len?,iat?)>
<!ELEMENT sip(#PCDATA)>
<!ELEMENT dip(#PCDATA)>
<!ELEMENT sport(#PCDATA)>
<!ELEMENT dport(#PCDATA)>
<!ELEMENT dir(#PCDATA)>
<!ELEMENT len(#PCDATA)>
<!ELEMENT iat(#PCDATA)>
<!ATTLIST element type_id(operation|word)#REQUIRED>]>其中每一个元素的含义如下所示:
mode:标记一个完整的流模式,该流模式由一个或多个元字符组成;
element:标记一个元字符,element含有属性type_id,当type_id的值为“operation”时,该元字符表示一个流操作符;当type_id的值为“word”时,该元字符表示一个流字符;
对于流操作符,其元素内容为#PCDATA或iterator,具体表示方式如下:
对于括号操作符,#PCDATA的内容为“(”或“)”;
对于星操作符,#PCDATA的内容为“*”;
对于大括号操作符,用iterator表示,iterator的子元素lower表示重复次数的下界,子元素upper表示重复次数的上界;
对于问号操作符,#PCDATA的内容为“?”;
对于加号操作符,#PCDATA的内容为“+”;
对于选择操作符,#PCDATA的内容为“|”;
对于连接操作符,#PCDATA的内容为“.”;
对于流字符,其子元素包含:
head:元素element的子元素,表示数据包头信息;
tcp:元素head的子元素,表示数据包的传输层协议为TCP;
udp:元素head的子元素,表示数据包的传输层协议为UDP;
sip:元素tcp或元素udp的子元素,表示数据包的源IP;
dip:元素tcp或元素udp的子元素,表示数据包的目的IP;
sport:元素tcp或元素udp的子元素,表示数据包的源端口;
dport:元素tcp或元素udp的子元素,表示数据包的目的端;
flag:元素tcp的子元素,表示数据包的TCP旗标;
content:元素element的子元素,表示数据包载荷特征信息,其载荷内容
#PCDATA用正则表达式表示;
statistic:元素element的子元素,表示数据包的统计特征信息;
dir:元素statistic的子元素,表示数据包传输方向;
len:元素statistic的子元素,表示数据包长度;
iat:元素statistic的子元素,数据包到达频率信息;
利用上述流模式及其XML格式的DTD说明,本领域的一般技术人员能够将具有共同特征的的网络数据流用一个XML格式的流模式无歧义的表示出来。可参见本发明的实施例,以进一步理解如何用流模式来表示网络数据流特征。
步骤3,从每一个流模式中对应生成一个有限状态自动机,用该有限状态自动机表示对流模式描述的网络数据流的识别。
3A)从流模式中生成解析树
通过使用Lex、Yacc、Flex或Bison这类工具,按照正则文法生成能够表示流模式的解析树,实质上是把易于人类理解的XML格式的流模式解析为易于计算机程序理解的树形结构,从而简化生成有限状态自动机的实现方法。树形结构是计算机程序设计中一类非常重要的数据结构,其元素节点之间存在明显的分支和层次关系,可以用来描述现实中的抽象逻辑关系。
解析树就是一种树型数据结构,解析树的叶子节点对应流字符;解析树的非叶子节点对应流操作符。如不同的流模式通过流操作符的连接构成新的流模式一样,不同的解析树通过非叶子结点的连接构成新的解析树。每个流模式对应唯一的一个解析树,每个解析树对应唯一的一个流模式。
本领域的一般技术人员使用Lex、Yacc、Flex或Bison这类工具能够实现流模式的解析,即将XML格式的流模式转化为对应的解析树。
3B)从解析树中通过Glushkov算法构造有限状态自动机
有限状态自动机包括状态集合和转移集合,该状态集合包括有限状态自动机中所有的状态,并且含有一个初始状态和至少一个终止状态;该转移集合,包含所有的条件流字符,每个转移表示从一个源状态到另一个目的状态的跳转。
步骤4,将捕获的网络数据流送入任意一种类型的流模式对应的有限状态自动机中,使有限状态自动机的状态随每个数据包而变化,若有限状态自动机到达终止状态,则判定该数据流符合相应流模式描述的特征;若有限状态自动机未到达终止状态,则判定该数据流不符合相应流模式描述的特征。
下面以实现HTTP协议数据流的识别为例,具体说明本发明的基于模式匹配方式的网络数据流识别方法。
不失一般性,设定HTTP协议的工作方式为:服务器工作在TCP80端口,且按照“请求-应答”的方式工作,每次交互过程都是由客户端向服务器发送GET或POST请求,服务器随后返回响应数据;当响应数据的长度超过1460字节时,会分割成几个TCP数据报发送;同一个流中可能包含一次或多次交互。在此设定下,HTTP协议的数据流表现出如下特征:
1)以载荷中含“GET”或“POST”、目的端口为80的TCP数据包开头;
2)后面紧跟一个载荷中含有“HTTP”、源端口为80的TCP数据包;
3)若特征2)中的数据包的长度为1460,则该数据包后面再跟着零个或多个长度为1460、源端口为80的TCP数据包;
4)在特征3)中所述的数据包后面再跟着零个或一个源端口为80的TCP数据包;
5)以上特征数据包在整个网络数据流中按1)至4)的顺序重复一次或多次。
根据上述HTTP协议数据流的特征,采用本发明的基于模式匹配方式的网络数据流识别方法的优选实现步骤如下:
第1步,将HTTP协议数据流描述为如下的流模式:
| <mode><element type_id=″operation″>(</element><element type_id=″word″><head><tcp><dport>80</dport></tcp></head><content>GET|POST</content></element><element type_id=″operation″></element><element type_id=″operation″>(</element><element type_id=″word″><head><tcp><sport>80</sport></tcp></head><content>HTTP</content></element><element type_id=″operation″>| |
| </element><element type_id=″operation″>(</element><element type_id=″word″><head><tcp><sport>80</sport></tcp></head><content>HTTP</content><statistic><len>1460</len></statistic></element><element type_id=″operation″></element><element type_id=″word″><head><tcp><sport>80</sport></tcp></head><statistic><len>1460</len></statistic></element><element type_id=″operation″>* |
| </element><element type_id=″operation″></element><element type_id=″word″><head><tcp><sport>80</sport></tcp></head></element><element type_id=″operation″>?</element><element type_id=″operation″>)</element><element type_id=″operation″>)</element><element type_id=″operation″>)</element><element type_id=″operation″>+</element></mode> |
该模式按正则文法可简写为
word1⊙
word2
word3 ⊙ word4
⊙ word5
其中:
word1表示流字符
<element type_id=″word″>
<head>
<tcp>
<dport>80</dport>
</tcp>
</head>
<content>GET|POST</content>
</element>
word2表示流字符
<element type_id=″word″>
<head>
<tcp>
<sport>80</sport>
</tcp>
</head>
<content>HTTP</content>
</element>
word3表示流字符
<element type_id=″word″>
<head>
<tcp>
<sport>80</sport>
</tcp>
</head>
<content>HTTP</content>
<statistic>
<len>1460</len>
</statistic>
</element>
word4表示流字符
<element type_id=″word″>
<head>
<tcp>
<sport>80</sport>
</tcp>
</head>
<statistic>
<len>1460</len>
</statistic>
</element>
word5表示流字符
<element type_id=″word″>
<head>
<tcp>
<sport>80</sport>
</tcp>
</head>
</element>
第2步,将上述流模式转化为有限状态自动机,优选的,采用如下步骤实现:
首先,使用Lex、Yacc、Flex或Bison这类工具将该描述HTTP协议数据流的流模式转化为解析树,得到的解析树如图2所示;
其次,应用Glushkov算法,从上述解析树中构造有限状态自动机,得到的有限状态自动机如图3所示,其中状态0为初始状态,状态2、3、4和5为终止状态。
第3步,将捕获的网络数据流送入HTTP协议数据流的流模式所对应的有限状态自动机中,将每个数据包按照HTTP流字符的特征信息定义转化为一个简单易读的“流元”,若HTTP流字符与流元的所有对应特征的值都匹配,则发生状态转移;若HTTP流字符与流元对应特征的值只要有一个不匹配,则不发生状态转移。例如,当前状态为0状态,条件流字符为word1,只有当流元的特征“dport”等于“80”,且特征“content”的字符串值能匹配正则表达式“GET|POST”时,当前状态才从0状态转移到1状态。所以,有限状态自动机的状态随每个数据包而变化,若有限状态自动机到达终止状态,则判定该数据流符合相应流模式描述的特征;若有限状态自动机未到达终止状态,则判定该数据流不符合相应流模式描述的特征。
Claims (3)
1.一种基于模式匹配方式的网络数据流识别方法,包括如下步骤:
(1)用正则文法设定流模式,该流模式是由表示单个数据包特征的流字符和表示流字符之间关系的流操作符组合成的元字符序列;
(2)对于任意一种类型的网络数据流,用所述流模式描述其特征;
(3)从每一个流模式中用Lex、Yacc、Flex或Bison工具生成一个解析树,从该解析树中通过Glushkov算法构造一个有限状态自动机,用该有限状态自动机表示对流模式描述的网络数据流的识别;
(4)将捕获的网络数据流送入任意一种类型的流模式对应的有限状态自动机中,将每个数据包按照流字符的特征信息定义转化为一个“流元”,当流元同条件流字符相匹配时,转移条件生效,有限状态自动机的当前状态从源状态转移到目的状态,若有限状态自动机到达终止状态,则判定该数据流符合相应流模式描述的特征;若有限状态自动机未到达终止状态,则判定该数据流不符合相应流模式描述的特征;
所述的流字符,由下列的几类特征信息中的一个或多个构成:
数据包的包头信息,包括IP地址、端口号、TCP旗标信息中的一个或多个;
数据包的载荷信息;
数据包的统计信息,包括数据包方向、数据包长度和数据包频度信息中的一个或多个;
所述的流操作符,它们之间按照如下优先级递减顺序排列:
用来强制调整优先级的括号操作符;
用来表示流字符重复零次或多次的星操作符;
用来表示流字符重复次数限定的大括号操作符,该操作符中包含了重复次数限定的上界和下界;
用来表示流字符重复零次或一次的问号操作符;
用来表示流字符重复一次或多次的加号操作符;
用来表示流字符“或”关系的选择操作符;
用来表示流字符“与”关系的连接操作符;
所述的解析树,它是一种树型数据结构,每个流模式对应唯一的一个解析树,每个解析树对应唯一的一个流模式;解析树的叶子节点对应流字符;解析树的非叶子节点对应流操作符。
2.根据权利要求1所述的网络数据流识别方法,其中步骤(1)所述的流模式是通过XML语言进行描述。
3.根据权利要求1所述的网络数据流识别方法,其中步骤(3)所述的有限状态自动机包括状态集合和转移集合,该状态集合包括有限状态自动机中所有的状态,并且含有一个初始状态和至少一个终止状态;该转移集合,包含所有的条件流字符,每个转移表示从一个源状态到另一个目的状态的跳转。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100136287A CN101771697B (zh) | 2010-01-20 | 2010-01-20 | 基于模式匹配方式的网络数据流识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100136287A CN101771697B (zh) | 2010-01-20 | 2010-01-20 | 基于模式匹配方式的网络数据流识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101771697A CN101771697A (zh) | 2010-07-07 |
| CN101771697B true CN101771697B (zh) | 2012-08-08 |
Family
ID=42504288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010100136287A Active CN101771697B (zh) | 2010-01-20 | 2010-01-20 | 基于模式匹配方式的网络数据流识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101771697B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475653A (zh) * | 2013-09-05 | 2013-12-25 | 北京科能腾达信息技术股份有限公司 | 网络数据包的检测方法 |
| CN106131242B (zh) * | 2016-08-17 | 2020-04-28 | 郑州埃文计算机科技有限公司 | 一种ip应用场景的分类方法 |
| CN113905106A (zh) * | 2021-09-30 | 2022-01-07 | 上海浦东发展银行股份有限公司 | 一种报文解析方法、装置、设备及存储介质 |
| WO2023115367A1 (zh) * | 2021-12-22 | 2023-06-29 | 北京大学深圳研究生院 | 一种多协议数据传输方法及装置、网络和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0833478A2 (en) * | 1996-09-25 | 1998-04-01 | Matsushita Electric Industrial Co., Ltd. | Pattern matching apparatus |
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
-
2010
- 2010-01-20 CN CN2010100136287A patent/CN101771697B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0833478A2 (en) * | 1996-09-25 | 1998-04-01 | Matsushita Electric Industrial Co., Ltd. | Pattern matching apparatus |
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| Zhu Hui等.A Stream Pattern Matching Method for Traffic Analysis.《中国通信》.2010,86-93. * |
| 王彦平.面向流量分析的流模式匹配技术.《中国优秀硕士学位论文全文数据库 信息科技辑》.2010,I139-47. * |
| 莫灿.面向流量识别的流模式自动生成技术.《中国优秀硕士学位论文全文数据库 信息科技辑》.2011,I139-29. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101771697A (zh) | 2010-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2607603C (en) | Distributed traffic analysis | |
| CN103873320B (zh) | 加密流量识别方法及装置 | |
| US7570661B2 (en) | Script-based parser | |
| CN101176306B (zh) | 通信业务分析系统以及检查网络通信业务流的方法 | |
| CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
| CN102307123B (zh) | 基于传输层流量特征的nat流量识别方法 | |
| CN105162626B (zh) | 基于众核处理器的网络流量深度识别系统及识别方法 | |
| CN102739457B (zh) | 一种基于dpi和svm技术的网络流量识别方法 | |
| CN101442489A (zh) | 基于特征库的流量识别方法 | |
| CN102315974A (zh) | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 | |
| CN101771697B (zh) | 基于模式匹配方式的网络数据流识别方法 | |
| CN102571946B (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
| CN104994016A (zh) | 用于分组分类的方法和装置 | |
| CN108647043A (zh) | 一种命令行输入的实现方法及系统 | |
| CN106550241A (zh) | 视频业务识别系统及虚拟化部署方法 | |
| CN103765821B (zh) | 从ip网络流过的数据流中提取数据的方法和设备 | |
| CN109088756B (zh) | 一种基于网络设备识别的网络拓扑补全方法 | |
| CN105071991B (zh) | 多个防火墙的ip连通性的测试方法 | |
| CN101127690A (zh) | 一种下一代网络业务流量识别方法 | |
| CN107347085A (zh) | 一种信息获取方法和装置 | |
| CN108989301A (zh) | 一种多索引的网络流量数据索引方法、设备及存储介质 | |
| CN102185758A (zh) | 一种基于阿瑞斯报文特征字的协议识别方法 | |
| Li et al. | MP-ROOM: Optimal matching on multiple PDUs for fine-grained traffic identification | |
| CN112532519A (zh) | 一种采用BGP Flow Specification略控制数据流量行为的方法 | |
| Ando et al. | L7 packet switch: packet switch applying regular expression to packet payload |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |