CN102045363A - 网络流量特征识别规则的建立方法、识别控制方法及装置 - Google Patents

网络流量特征识别规则的建立方法、识别控制方法及装置 Download PDF

Info

Publication number
CN102045363A
CN102045363A CN2010106197617A CN201010619761A CN102045363A CN 102045363 A CN102045363 A CN 102045363A CN 2010106197617 A CN2010106197617 A CN 2010106197617A CN 201010619761 A CN201010619761 A CN 201010619761A CN 102045363 A CN102045363 A CN 102045363A
Authority
CN
China
Prior art keywords
network traffics
characteristic
sample
server
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010106197617A
Other languages
English (en)
Other versions
CN102045363B (zh
Inventor
钱晓斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Huawei Technology Co Ltd
Original Assignee
Huawei Symantec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Symantec Technologies Co Ltd filed Critical Huawei Symantec Technologies Co Ltd
Priority to CN201010619761.7A priority Critical patent/CN102045363B/zh
Publication of CN102045363A publication Critical patent/CN102045363A/zh
Application granted granted Critical
Publication of CN102045363B publication Critical patent/CN102045363B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络流量特征识别规则的建立方法,包括:分析中心服务器接收网络流量样本,获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,当所述流量特征包含的特征参量达到相应阈值时,确定该网络流量属于所述相应阈值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则,将所述特征识别规则下发给网络流量设备。采用本发明实施例方法,分析中心服务器无需预先安装并运行产生该网络流量的应用软件,就可以提取网络流量的流量特征,建立特征识别规则,通过将动态更新的特征识别规则下发给网络流量设备,可以持续提高网络流量设备对网络流量的分析识别及控制能力。

Description

网络流量特征识别规则的建立方法、识别控制方法及装置
技术领域
本发明涉及网络技术领域,具体涉及一种网络流量特征识别规则的建立方法、识别控制方法及装置。
背景技术
基于流(Flow)的Flow分析技术是目前主流的网络流量分析技术,主要包括NetFlow、sFlow、cFlow和NetStream四种。
NetFlow是当今应用最为广泛的流量分析技术。NetFlow能够采集开放式系统互联(Open System Interconnect,OSI)参考模型中第2到4层网络流量的信息,包括源IP地址、目的IP地址、源端口、目的端口、IP层协议类型等,可以回答有关IP流量方面的问题,比如谁在什么时间、在什么地方、使用何种协议、访问谁、具体的流量是多少等。但是,NetFlow仅对网络流量中的IP包头进行分析,不能真正判断网络流量中的应用类型。其它sFlow、cFlow和NetStream与NetFlow类似,也是基于OSI参考模型中第2到4层的网络流量分析技术。
深度包检测(Deep Packet Inspection,DPI)技术在分析IP包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术,可以提取OSI参考模型中第2到7层网络流量的信息,能够识别大部分网络流量的应用协议类型,再根据预设的策略对网络流量进行控制。现有的DPI技术所识别的应用协议类型包括大类名称,例如即时通讯(Instant Messaging,IM)、P2P(Peer-to-Peer)等,和小类名称,例如skype、MSN(Windows Live Messenger)、emule、edonkey等,可以按照应用协议类型的大类名称和小类名称制定策略,控制网络流量。
基于DPI技术的管理系统需要维护一个特征数据库,当网络流量经过时,通过将解包后的网络流量应用信息与特征数据库进行比较来确定网络流量的应用协议类型;而对于特征数据库中没有相关数据的未知网络流量,就无法分析确定网络流量的应用协议类型,此时就要更新特征数据库。
现有的DPI技术更新特征数据库,建立应用协议特征识别规则的方法是:首先安装与应用协议对应的应用软件并运行该应用软件产生网络流量,然后提取该网络流量的特征,得到应用协议与网络流量特征的对应关系从而形成应用协议特征识别规则,添加到特征数据库中。当网络流量经过时,提取该网络流量的特征,并与特征数据库中的应用协议特征识别规则对比,从而识别出该网络流量的应用协议类型,还可以识别出产生该网络流量的应用软件的名称。
可见,对于未知的网络流量,现有的DPI技术无法对其进行有效分析和控制;并且,在不知道产生该网络流量的应用软件时,也不能建立应用协议特征识别规则以更新特征数据库。从而,当网络中未知流量占比较高时,基于DPI技术的管理系统的分析和控制能力会明显降低。
发明内容
本发明实施例提供一种网络流量特征识别规则的建立方法、识别控制方法及装置。
一种网络流量特征识别规则的建立方法,包括:
分析中心服务器接收网络流量样本;
获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中,所述流量特征包括:标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个;
当所述流量特征包含的特征参量达到相应阈值时,确定该网络流量属于所述相应阈值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则;
将所述特征识别规则下发给网络流量设备。
一种网络流量识别控制方法,包括:
采集网络流量样本;
根据预设的特征提取方式提取采集到的网络流量样本的流量特征;
根据特征识别规则对采集到的网络流量样本的流量特征进行识别,获得所述网络流量样本的类别,所述特征识别规则从分析中心服务器获得;
根据所述类别获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作;
当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器。
一种分析中心服务器,包括:
样本库单元,用于接收网络流量样本;
分析引擎单元,用于获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中,所述流量特征包括:标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个;
应用知识库单元,用于当所述流量特征包含的各个特征参量达到相应阈值时,确定该网络流量属于所述相应阀值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则,将所述特征识别规则下发给网络流量设备。
一种网络流量设备,包括:分析单元,分别与所述分析单元连接的采样单元、控制单元和知识库管理单元,以及与所述控制单元连接的策略单元;
所述知识库管理单元,用于从分析中心服务器获取网络流量的特征识别规则;
所述采样单元,用于采集网络流量样本,当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器;
所述分析单元,用于根据预设的特征提取方式提取采集到的网络流量样本的流量特征,并根据特征识别规则对采集到的网络流量样本进行识别,获得所述网络流量样本的类别;
所述控制单元,用于根据所述类别从所述策略单元中获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作。
采用本发明实施例提供的网络流量特征识别规则的建立方法,分析中心服务器提取网络流量的流量特征后,可以按照流量特征的各个特征参量与阈值的比较建立特征识别规则,用于对网络流量进行分类;从而解决了现有技术中需要预先安装并运行产生该网络流量的应用软件,才能建立相应的特征识别的规则的问题,通过将动态更新的特征识别规则下发给网络流量设备,可以持续提高网络流量设备对网络流量的分析识别及控制能力。
附图说明
图1是本发明提供的网络流量特征识别规则的建立方法实施例的示意图;
图2是本发明提供的网络流量识别控制方法实施例的示意图;
图3是本发明提供的分析中心服务器实施例的示意图;
图4是本发明提供的网络流量设备实施例的示意图;
图5是本发明方法实施例中Appflow流量特征的格式的示意图;
图6是本发明提供的网络流量控制系统实施例的示意图。
具体实施方式
本发明实施例提供一种网络流量特征识别规则的建立方法和一种网络流量识别控制方法。本发明实施例还提供相应的装置。以下分别进行详细说明。
请参考图1,本发明实施例提供一种网络流量特征识别规则的建立方法,应用于分析中心服务器。该分析中心服务器与网络流量设备远程连接,可用于对网络流量设备遇到的未知网络流量进行流量特征提取。该方法包括:
101、分析中心服务器接收网络流量样本。
分析中心服务器接收的未知网络流量样本可以是网络流量设备上传的,也可以是用户上传的。
102、获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中,所述流量特征包括:标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个。
所述流量特征包括:标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个。
对于载荷数据是相对于需要提取的特征而言的,例如,对于所述流量特征属于会话层、表示层、应用层的字段,需要获取会话层、表示层、应用层的数据,而这部分数据对应于传输层报文的载荷数据。
流量特征提取方式由人工预先设置,分析中心服务器可以按照该特征提取方式直接对网络流量的报文数据等进行挖掘提取出有用的信息,例如:预设提取安全特征和内容特征,以判断该流量是否属于加密视频流量。在某些情况下,例如根据预设的特征提取方式不能提取到有效地流量特征时,可以采取人工分析或者与人工分析相结合的方式,提取未知网络流量样本的流量特征。
103、当流量特征包含的各个特征参量达到相应阈值时,确定该网络流量属于所述相应阀值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则。
分析中心服务器可以设定各种阈值对网络流量进行特征刻画,建立特征识别规则。流量特征包含多个特征参量,可以为每个特征参量设定一个或者一组阈值,当一个或者多个特征参量达到相应的阈值时,就可以确定该网络流量属于相应的类别。可以定义各种适于实际的类别,而不必仅仅按照应用协议的大类或者小类名称对网络流量进行分类。例如,可以设置一个带宽占用阈值,在带宽占用值超多该带宽占用阈值时,将该网络流量分入带宽消耗类别。
104、将特征识别规则下发给网络流量设备。
该特征识别规则用于下发给网络流量设备,使网络流量设备可以按照特征识别规则识别网络流量。
在一个实施例中,步骤102中预设的特征提取方式可以是:
a、提取所述网络流量样本的源IP地址、目的IP地址、源端口、目的端口、IP层协议类型。
可以采用现有的NetFlow分析技术提取对应于OSI参考模型中第2到4层网络流量的信息,提取到的NetFlow特征包括源IP地址、目的IP地址、源端口、目的端口、IP层协议类型等。
b、根据所述源IP地址和与目的IP地址,结合已知的第三方数据库提取用户属性,所述第三方数据库中保存有用户属性与IP地址的对应关系。
用户属性可以包括用户名、手机号、用户ID、组织机构属性、地理区域属性等特征中的至少一个。往往在第三方的数据库中会保存有源IP地址与用户属性的对应关系列表等,可以通过获取的源IP地址从已知的第三方数据库中提取用户属性。
c、从所述网络流量样本包含的传输控制协议TCP的协议栈指纹,或者超文本传输协议HTTP和文件传输协议FTP的版本字段,或者报文数据包含的关键字段中,提取终端与服务器应用环境属性。
终端与服务器应用环境属性包括终端与服务器采用的软件的类型与版本,例如终端采用的操作系统、浏览器等软件的类型及版本,以及服务器采用的操作系统等软件的类型及其版本等。网络流量包含的传输控制协议(TransmissionControl Protocol,TCP)的协议栈指纹包括一些独一无二的特性,通过这些特征,可以准确定位操作系统类型及其版本。也可以利用网络流量中包含的已知协议例如超文本传输协议(HyperText Transfer Protocol,HTTP)和文件传输协议(File Transfer Protocol,FTP)的版本字段来获取终端与服务器应用环境属性。还可以直接从网络流量的报文数据包含的各种信息例如关键字段等以获取终端与服务器应用环境属性。
d、将所述网络流量样本包含的报文数据与预先建立的应用报文数据库进行比较,以从所述应用报文数据库保存的报文数据与标识特征的对应关系中,提取标识特征。
可以预先建立一个应用报文数据库,其中保存有各种常用的应用报文数据及其标识特征。将网络流量样本与该应用报文数据库进行对比可以获取大部分网络流量的标识特征,标识特征包括应用协议的类型、名称及版本号等。还可以直接从网络流量的报文数据中包含的各种信息例如关键字段等以获取标识特征。
e、从所述未知网络流量样本中提取基本特征、行为特征、安全特征和内容特征。
可以直接从网络流量的报文数据包含的各种信息例如关键字段以获取基本特征、行为特征、安全特征和内容特征等。其中,基本特征可以包括:连接数统计、端口号域值范围、是否使用动态端口等;行为特征可以包括:客户端与服务器端的连接交互方式、带宽消耗规律、是否传输文件、是否传输音频、是否传输视频等;安全特征包括:是否加密传输、是否压缩传输、是否有其它逃避识别的特性等;内容特征包括:传输的文件名、文件性质、文件内容等,其中文件内容可以是普通文件、音频、视频、图片、脚本、可执行二进制文件等。
提取了上述各种流量特征后,就可以生成特定格式的流量特征,本发明中将该特定格式的流量特征称为Appflow流量特征。请参考图5,Appflow流量特征包括:Appflow版本号、Netflow特征和应用层特征,其中应用层特征包括用户属性、终端与服务器端应用属性和应用流量属性,应用流量属性又包括标识特征、基本特征、行为特征、安全特征和内容特征。Appflow流量特征包括了采用上述提取方法能够提取到的未知网络流量的尽量多的各种特征,从而方便识别该未知网络流量的类别,方便对该未知网络流量进行精细的控制。可以解决现有技术中,当用户不熟悉某大类或者某小类的网络流量的详细特征时,就不能制定适当的控制策略的问题。
在一个实施例中,步骤103中将特征识别规则下发给所述网络流量设备的步骤具体可以是包括:
将建立好的特征识别规则存储在分析中心服务器的应用知识库中;
在收到网络流量设备发送的更新请求时,将所述应用知识库中的特征识别规则下发给所述网络流量设备。
在其它实施例中,分析中心服务器也可以定期发送更新的特征识别规则给各个网络流量设备。
应用知识库是分析中心服务器上的一个数据库,存储所有建立好的特征识别规则。各个网络流量设备可以将其本地知识库和分析中心服务器上的应用知识库进行比较,判断版本是否相同,在版本不同时发送更新请求给分析中心服务器。分析中心服务器收到更新请求,就会将网络流量设备的本地知识库中缺少的特征识别规则下发给网络流量设备。
采用本发明实施例提供的网络流量特征识别规则的建立方法,分析中心服务器提取网络流量的流量特征后,可以按照流量特征的各个特征参量与阈值比较建立特征识别规则,用于对网络流量进行分类,解决了现有技术中需要预先安装并运行产生该网络流量的应用软件,才能建立相应的特征识别的规则的问题,通过将动态更新的特征识别规则下发给网络流量设备,可以持续提高网络流量设备对网络流量的分析识别及控制能力;还可以定义各种适于实际的类别,而不必仅仅按照应用协议的大类或者小类名称对网络流量进行分类。
请参考图2,本发明实施例还提供一种网络流量识别控制方法,应用于网络流量设备;该网络流量设备可以采用透明方式、路由方式、或者前两者的混合方式直路部署在网络中,也可以旁路部署在网络中;并且网络流量设备与中心分析服务器远程连接;其中,直路部署是指网络流量设备作为中转站,参与网络流量的接收和转发,旁路部署是指网络流量设备仅获取复制的网络流量,不参与网络流量的转发。该方法包括以下步骤:
201、网络流量设备采集网络流量样本。
202、根据预设的特征提取方式提取采集到的网络流量样本的流量特征。
所述流量特征包括用户属性、终端与服务器端应用属性和应用流量属性,所述应用流量属性包括标识特征、基本特征、行为特征、安全特征和内容特征。
本步骤中,按照预设的特征提取方式提取网络流量样本的流量特征,以便于识别该网络流量,提取到的流量特征愈多,则网络流量的可识别性就愈强。
203、根据所述特征识别规则对采集到的网络流量样本的流量特征进行识别,获得所述网络流量样本的类别,所述特征识别规则从分析中心服务器获得。
将采集到的流量特征与本地知识库中的特征识别规则进行对比,就可以识别出该网络流量样本的类别。并且可以根据特征识别规则输出特征格式的流量特征,即Appflow流量特征。
特征识别规则是分析中心服务器建立的,对应于各个类别的网络流量,随着处理的网络流量类别的增加,特征识别规则也在不断的增加。网络流量设备可以接收分析中心服务器定期下发的特征识别规则;也可以在需要时或者定期向分析中心服务器发送更新请求,接收所述分析中心服务器在收到更新请求后下发的特征识别规则。例如,网络流量设备可以定期将其本地知识库和分析中心服务器上的应用知识库进行比较,判断版本是否相同,在版本不同时发送更新请求给分析中心服务器;分析中心服务器收到更新请求,就会将网络流量设备中缺少的特征识别规则下发给网络流量设备。网络流量设备将收到的特征识别规则保存在本地知识库中。
204、根据所述类别获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作。
控制策略是用户预先建立的,可以为每个类别的网络流量建立一种控制策略。网络流量设备在识别出网络流量的类别后,就可以根据该类别获取相应的控制策略,并按照该控制策略对该网络流量执行相应的操作,例如:阻断、放行、限流、干扰、审计等。
若本地存储中已有该类别网络流量的控制策略,则可以从本地存储中查询并获取预设的控制策略;若本地存储中没有该类别网络流量的控制策略,则可以将所述能够识别的网络流量样本的流量特征及类别输出到显示装置,供用户分析以制定控制策略,再接收用户输入的用于控制所述能够识别的网络流量的控制策略,并存储所述控制策略。
205、当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器。
对于不能识别的网络流量样本,网络流量设备可以将该不能识别的网络流量上传给分析中心服务器,由该分析中心服务器对其进行分类,建立特征识别规则,请求接收分析中心服务器的该特征识别规则,以对后续同样的网络流量进行识别。
在一个实施例中,步骤202中预设的特征提取方式可以与上一实施例所述的特征提取方式相同,包括所述步骤a、b、c、d、e,此处不再详述。
需要说明的是,特定格式的Appflow流量特征,如图5所示,包括:Appflow版本号、Netflow特征和应用层特征,其中应用层特征包括用户属性、终端与服务器端应用环境属性和应用流量属性,应用流量属性又包括标识特征、基本特征、行为特征、安全特征和内容特征。具体如下:
[1]名称:AppFlow
[2]版本头格式
[3]NetFlow特征:为OSI参考模型中第2-4层特征,遵守IP数据流信息输出(IP Flow Information Export,IPFIX)定义(兼容NetFlow格式)
[4]应用层特征,如下:
[4.1]用户属性:可以包括用户名、手机号、用户ID、组织机构属性、地理区域属性等特征,例如:格式可以为{用户标识符(user identifier,UID)=V,用户名称=V,用户位置(Location)=V,…}
[4.2]终端与服务器端应用环境属性:可以包括终端采用的操作系统、浏览器等软件的类型及版本,以及服务器采用的操作系统等软件的类型及其版本等,例如:格式可以为{操作系统(Operating System,OS)类型=V,OS版本号=V,…}
[4.3]应用流量属性:可以按响应时序排列,还可把应用端的连接关系表达出来,如下所示:
标识特征:{应用协议类型=V,应用协议名称=V,应用协议版本号=V,…}
基本特征:{连接数=V,端口号域值=V,动态端口=V,…}
行为特征:{动态端口=V,连接交互模式=V,带宽消耗倾向=V,文件传输=V,语音传输=V,视频传输=V,…}
安全特征:{加密=V,压缩=V,逃避识别=V,…}
内容特征:{文件=V,图像=V,视频=V,…}
Appflow流量特征包括了采用上述提取方法能够提取到的未知网络流量的尽量多的各种特征,从而方便识别该未知网络流量的类别,方便对该未知网络流量进行精细的控制。
在一个实施例中,步骤201之前还包括:
建立网络流量的流表和/或会话表,并利用所述流表和/或会话表采网络流量样本。
可以为网络流量建立流表和/或会话表,并添加流和/或会话标识,以方便网络流量进行采样。
在该实施例的基础上,在为网络流量建立流表和/或会话表之前还可以包括一个预处理步骤,包括对网络流量进行IP报文分片重组和TCP流重组,以方便建立流表和/或会话表。
采用本发明实施例提供的网络流量识别控制方法,提取网络流量的流量特征后,可以按照特征识别规则识别其类别,该类别可以是特征识别规则定义的各种类别,而解决了现有技术中网络流量仅能按照应用协议的大类或者小类名称进行分类的局限,从而可以实现对网络流量的精细化控制;并且由于能够将不能识别的网络流量发给分析中心服务器并获取分析中心服务器下发的特征识别规则,从而可以持续提高对网络流量的识别和控制能力。
在一个应用场景中,假定出现了一种新的软件,采用的应用协议类型是在P2P基础上的改进。则按照现有技术,由于该新的软件的网络流量的协议类型不同于现有的P2P,则不能识别该网络流量;而采用本发明实施例的技术方案,不必局限于识别协议类型,可以按照其具体的流量特征进行分类识别,从而识别出该网络流量属于带宽消耗类别,进而对其进行相应的流量控制。
请参考图3,本发明实施例还提供一种分析中心服务器,包括:分析引擎单元302,以及分别与分析引擎单元302连接的样本库单元301和应用知识库单元303。其中:
样本库单元301,用于接收网络流量样本。
分析引擎单元302,用于获取网络流量样本的载荷数据,从载荷数据中提取流量特征,其中,流量特征包括:标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个。
应用知识库单元303,用于当所述流量特征包含的各个特征参量达到相应阈值时,确定该网络流量属于所述相应阀值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则,并将所述特征识别规则下发给所述网络流量设备。
在一个实施例中,所述应用知识库单元303进一步包括:
存储单元,用于存储所述特征识别规则;
接收发送单元,用于接收所述网络流量设备发送的更新请求,将存储的特征识别规则下发给所述网络流量设备。
本发明实施例提供的分析中心服务器,提取未知网络流量的流量特征后,可以按照流量特征的各个特征参量与阈值的比较建立特征识别规则,用于对网络流量进行分类,解决了现有技术中需要预先安装并运行产生该网络流量的应用软件,才能建立相应的特征识别的规则的问题,通过将动态更新的特征识别规则下发给网络流量设备,可以持续提高网络流量设备对网络流量的分析识别及控制能力;还可以定义各种适于实际的类别,而不必仅仅按照应用协议的大类或者小类名称对网络流量进行分类。
请参考图4,本发明实施例还提供一种网络流量设备,包括:分析单元401,分别与所述分析单元401连接的采样单元402、控制单元403和知识库管理单元404,以及与所述控制单元403连接的策略单元405。其中:
所述知识库管理单元404,用于从分析中心服务器获取网络流量的特征识别规则。
所述采样单元402,用于采集网络流量样本,当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器;。
所述分析单元401,用于根据预设的特征提取方式提取采集到的网络流量样本的流量特征,并根据特征识别规则对采集到的网络流量样本进行识别,获取所述网络流量样本的类别。其中,所述流量特征包括:应用环境属性、标识特征、基本特征、行为特征、安全特征和内容特征。
所述控制单元403,用于根据所述类别从所述策略单元405中获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作。
在一个实施例中,采样单元402,具体用于接收网络流量,建立网络流量的流表和/或会话表,并利用所述流表和/或会话表采集网络流量样本。其中,建立网络流量的流表和/或会话表,并添加流和/或会话标识,是为了方便对网络流量进行采样。
在该实施例的基础上,网络流量设备还可以包括一个预处理单元,用于对网络流量进行IP报文分片重组和TCP流重组,以方便建立流表和/或会话表。
在一个实施例中,所述分析单元401包括一个加载于其上的本地知识库,所有的特征识别模块都存储在该本地知识库中。
在一个实施例中,所述知识库管理单元404进一步包括:
发送接收单元,用于向分析中心服务器发送更新请求,并接收所述分析中心服务器下发的特征识别规则。
具体的,知识库管理单元404可以周期性查看本地知识库与分析中心服务器的应用知识库的版本差异,在版本有差异时,同步两个知识库,即:向分析中心服务器发送更新请求,并将接收到的特征识别规则存储在本地知识库中,完成本地知识库的同步更新。知识库管理单元404还可以用于对本地知识库做完整性校验,以保证本地知识库的安全。
该网络流量设备可以采用透明方式、路由方式、或者前两者的混合方式直路部署在网络中,也可以旁路部署在网络中;并且网络流量设备与中心分析服务器远程连接;其中,直路部署是指网络流量设备作为中转站,参与网络流量的接收和转发,旁路部署是指网络流量设备仅获取复制的网络流量,不参与网络流量的转发。
具体的,该网络流量设备具体部署于网络中的网关位置,所包含的各个单元可以部署于同一台物理设备上,也可以分布式部署于多台物理设备上。在流量控制场合,可以独立采用本发明实施例的网络流量设备;也可以将本发明实施例提供的网络流量设备与现有的网络流量设备串接部署,对现有的网络流量设备未能识别的网络流量进一步识别;还可以将提取生成的Appflow流量特征输出该第三方设备。
本发明实施例提供的网络流量设备,提取网络流量的流量特征后,可以按照特征识别规则识别其类别,该类别可以是特征识别规则定义的各种类别,而解决了现有技术中网络流量仅能按照应用协议的大类或者小类名称进行分类的局限,从而可以实现对网络流量的精细化控制;并且由于能够将不能识别的网络流量发给分析中心服务器并获取分析中心服务器下发的特征识别规则,从而可以持续提高对网络流量的识别和控制能力。
请参考图6,本发明实施例提供一种网络流量控制系统,包括:分析中心服务器601和通过网络与该分析中心服务器601连接的多个网络流量设备602。
分析中心服务器601,用于接收网络流量样本;获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中,所述流量特征包括:标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个,当所述流量特征包含的各个特征参量达到相应阈值时,确定该网络流量属于所述相应阀值对应的类别,并将所述特征识别规则下发给所述网络流量设备。
网络流量设备602,用于采集网络流量样本;根据预设的特征提取方式提取采集到的网络流量样本的流量特征,根据所述特征识别规则对采集到的网络流量样本的流量特征进行识别,获得所述网络流量样本的类别,所述特征识别规则从分析中心服务器获得;根据所述类别获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作;当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器。
所述流量特征包括用户属性、终端与服务器端应用属性和应用流量属性,所述应用流量属性包括标识特征、基本特征、行为特征、安全特征和内容特征。
本发明实施例提供的网络流量控制系统,可以按照流量特征的各个特征参量与阈值的比较建立特征识别规则,用于对网络流量进行分类,解决了现有技术中需要预先安装并运行产生该网络流量的应用软件,才能建立相应的特征识别的规则的问题;可以按照特征识别规则识别网络流量类别,该类别可以是特征识别规则定义的各种类别,解决了现有技术中网络流量仅能按照应用协议的大类或者小类名称进行分类的局限,从而可以实现对网络流量的精细化控制。
采用本发明实施例提供的技术方案:
分析中心服务器无需预先安装并运行产生该网络流量的应用软件就可以提取网络流量特征并建立特征识别规则,可以定义各种适于实际的类别,而不必仅仅按照应用协议的大类或者小类名称进行分类。
网络流量设备可以将未知网络流量发给分析中心服务器,获取分析中心服务器分析后下发的特征识别规则,实时更新本地的特征识别规则,因而,可以持续提高网络流量设备对网络流量的识别控制能力;多台网络流量设备在连接一台分析中心服务器时,还可以共享分析中心服务器的应用知识库。
提供了一种可以兼容Netflow与IPFIX的,描述OSI参考模型中第2到7层网络流量信息的Appflow流量特征格式,描述了用户属性、终端与服务器端应用属性和应用流量属性等多种特征,从而用户可以对网络流量制定更详细的控制策略,进行更精细的控制。
本以上对本发明实施例所提供的网络流量特征识别规则的建立方法、网络流量识别控制方法以及分析中心服务器和网络流量设备以及网络流量控制系统进行了详细介绍,本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,不应理解为对本发明的限制。

Claims (9)

1.一种网络流量特征识别规则的建立方法,其特征在于,包括:
分析中心服务器接收网络流量样本;
获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中,所述流量特征包括:标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个;
当所述流量特征包含的特征参量达到相应阈值时,确定该网络流量属于所述相应阈值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则;
将所述特征识别规则下发给网络流量设备。
2.根据权利要求1所述的方法,其特征在于,所述获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,包括:
从所述网络流量样本包含的传输控制协议TCP/IP的协议栈指纹,或者超文本传输协议HTTP或文件传输协议FTP的服务器端与客户端软件版本字段,或者报文数据包含的关键字段中,提取终端与服务器应用环境属性,所述终端与服务器应用环境属性包括终端与服务器采用的软件的类型与版本;
将所述网络流量样本包含的报文数据与预先建立的应用报文数据库进行比较,以从所述应用报文数据库保存的报文数据与标识特征的对应关系中,提取标识特征;
从所述网络流量样本中提取基本特征、行为特征、安全特征和内容特征。
3.根据权利要求1所述的方法,其特征在于,所述将所述特征识别规则下发给所述网络流量设备包括:
将所述特征识别规则存储在分析中心服务器的应用知识库中;
在收到所述网络流量设备发送的更新请求时,将所述应用知识库中的特征识别规则下发给所述网络流量设备。
4.一种网络流量识别控制方法,其特征在于,包括:
采集网络流量样本;
根据预设的特征提取方式提取采集到的网络流量样本的流量特征;
根据特征识别规则对采集到的网络流量样本的流量特征进行识别,获得所述网络流量样本的类别,所述特征识别规则从分析中心服务器获得;
根据所述类别获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作;
当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括获取特征识别规则的步骤,具体为:
向分析中心服务器发送更新请求;
接收所述分析中心服务器下发的特征识别规则。
6.根据权利要求4所述的方法,其特征在于,所述根据预设的特征提取方式提取采集到的网络流量样本的流量特征包括:
提取所述网络流量样本的源IP地址、目的IP地址、源端口、目的端口、IP层协议类型;
根据所述源IP地址与目的IP地址,结合已知的第三方数据库提取用户属性,所述第三方数据库中保存有用户属性与IP地址的对应关系,所述用户属性包括用户名、手机号、用户ID、组织机构属性、地理区域属性中的至少一个;
从所述网络流量样本包含的传输控制协议TCP/IP的协议栈指纹,或者超文本传输协议HTTP或文件传输协议FTP的服务器端与客户端软件版本字段,或者报文数据包含的关键字段中,提取终端与服务器应用环境属性,所述终端与服务器应用环境属性包括终端与服务器采用的软件的类型与版本;
将所述网络流量样本包含的报文数据与预先建立的应用报文数据库进行比较,以从所述应用报文数据库保存的的报文数据与标识特征的对应关系中,提取标识特征;
从所述未知网络流量样本的报文数据中提取基本特征、行为特征、安全特征和内容特征。
7.根据权利要求4所述的方法,其特征在于,所述采集网络流量样本包括:
建立网络流量的流表和/或会话表,利用所述流表和/或会话表采集网络流量样本。
8.一种分析中心服务器,其特征在于,包括:
样本库单元,用于接收网络流量样本;
分析引擎单元,用于获取所述网络流量样本的载荷数据,从所述载荷数据中提取流量特征,其中,所述流量特征包括:标识特征、基本特征、行为特征、安全特征和内容特征中的至少一个;
应用知识库单元,用于当所述流量特征包含的各个特征参量达到相应阈值时,确定该网络流量属于所述相应阀值对应的类别,将所述流量特征与类别对应存储,以生成特征识别规则,将所述特征识别规则下发给网络流量设备。
9.一种网络流量设备,其特征在于,包括:分析单元,分别与所述分析单元连接的采样单元、控制单元和知识库管理单元,以及与所述控制单元连接的策略单元;
所述知识库管理单元,用于从分析中心服务器获取网络流量的特征识别规则;
所述采样单元,用于采集网络流量样本,当根据特征识别规则不能对采集到的网络流量样本的流量特征进行识别时,将所述网络流量样本上传给分析中心服务器;
所述分析单元,用于根据预设的特征提取方式提取采集到的网络流量样本的流量特征,并根据特征识别规则对采集到的网络流量样本进行识别,获得所述网络流量样本的类别;
所述控制单元,用于根据所述类别从所述策略单元中获取预设的控制策略,并根据所述控制策略对所述网络流量进行相应操作。
CN201010619761.7A 2010-12-31 2010-12-31 网络流量特征识别规则的建立方法、识别控制方法及装置 Active CN102045363B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010619761.7A CN102045363B (zh) 2010-12-31 2010-12-31 网络流量特征识别规则的建立方法、识别控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010619761.7A CN102045363B (zh) 2010-12-31 2010-12-31 网络流量特征识别规则的建立方法、识别控制方法及装置

Publications (2)

Publication Number Publication Date
CN102045363A true CN102045363A (zh) 2011-05-04
CN102045363B CN102045363B (zh) 2013-10-09

Family

ID=43911133

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010619761.7A Active CN102045363B (zh) 2010-12-31 2010-12-31 网络流量特征识别规则的建立方法、识别控制方法及装置

Country Status (1)

Country Link
CN (1) CN102045363B (zh)

Cited By (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102209032A (zh) * 2011-05-24 2011-10-05 北京网康科技有限公司 一种用户自定义的应用识别方法及其设备
CN102299863A (zh) * 2011-09-27 2011-12-28 北京网康科技有限公司 一种网络流量聚类的方法及其设备
CN102420701A (zh) * 2011-11-28 2012-04-18 北京邮电大学 一种互联网业务流特征的提取方法
CN102752216A (zh) * 2012-07-13 2012-10-24 中国科学院计算技术研究所 一种识别动态特征应用流量的方法
CN102833327A (zh) * 2012-08-16 2012-12-19 瑞斯康达科技发展股份有限公司 基于http的客户端类型的识别方法和装置
CN102932555A (zh) * 2012-12-03 2013-02-13 南京安讯科技有限责任公司 一种快速识别手机客户端软件的方法和系统
CN102938739A (zh) * 2012-11-26 2013-02-20 华为技术有限公司 深度报文检查方法与装置
CN102984242A (zh) * 2012-11-20 2013-03-20 杭州迪普科技有限公司 一种应用协议的自动识别方法和装置
CN103227756A (zh) * 2013-04-17 2013-07-31 华为技术有限公司 在线协议优化方法和装置
CN103259713A (zh) * 2013-04-15 2013-08-21 海信集团有限公司 消息交互系统及方法
CN103297440A (zh) * 2013-06-24 2013-09-11 北京星网锐捷网络技术有限公司 应用流量特征库的建立方法和装置、网络设备
CN103701709A (zh) * 2013-12-13 2014-04-02 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN103873356A (zh) * 2012-12-11 2014-06-18 中国电信股份有限公司 基于家庭网关的应用识别方法、系统和家庭网关
CN103916289A (zh) * 2014-03-21 2014-07-09 烽火通信科技股份有限公司 Ipfix输出器中的报文筛选装置及方法
CN104184723A (zh) * 2014-07-28 2014-12-03 华为技术有限公司 一种应用程序识别方法、装置和网络设备
WO2015039474A1 (zh) * 2013-09-23 2015-03-26 中兴通讯股份有限公司 一种深度包检测控制方法及装置、存储介质
CN104618132A (zh) * 2014-12-16 2015-05-13 北京神州绿盟信息安全科技股份有限公司 一种应用程序识别规则生成方法和装置
CN104796282A (zh) * 2015-03-12 2015-07-22 南京邮电大学 一种面向深度包检测产品的评估系统及评估方法
CN104901897A (zh) * 2015-05-26 2015-09-09 杭州华三通信技术有限公司 一种应用类型的确定方法和装置
CN104994056A (zh) * 2015-05-11 2015-10-21 中国电力科学研究院 一种电力信息网络中流量识别模型的动态更新方法
CN105577706A (zh) * 2016-03-23 2016-05-11 绵阳博凡科技有限公司 一种网络安全防御系统和方法
CN105824835A (zh) * 2015-01-07 2016-08-03 北京艾力泰尔信息技术有限公司 自学习式遥测数据识别方法
CN105959173A (zh) * 2016-04-05 2016-09-21 王攀 一种基于dpi的固定宽带互联网流量中提取手机号码的方法v1.0
WO2016184163A1 (zh) * 2015-05-18 2016-11-24 中兴通讯股份有限公司 Dpi规则的生成方法及装置
CN106209505A (zh) * 2016-06-29 2016-12-07 北京网康科技有限公司 一种应用识别装置及方法、防火墙、服务器
CN106506507A (zh) * 2016-11-16 2017-03-15 杭州华三通信技术有限公司 一种流量检测规则的生成方法及装置
CN106535274A (zh) * 2015-09-14 2017-03-22 中国移动通信集团公司 一种实现动态网络连接的方法及系统
CN106559281A (zh) * 2015-09-29 2017-04-05 中国电信股份有限公司 生成应用特征库的方法和装置、虚拟机、及终端
WO2017101693A1 (zh) * 2015-12-18 2017-06-22 北京神州绿盟信息安全科技股份有限公司 一种基于Skype不同功能通信流的识别方法及装置
CN108289093A (zh) * 2017-12-29 2018-07-17 北京拓明科技有限公司 App应用特征码库的构建方法及构建系统
CN108696389A (zh) * 2018-04-24 2018-10-23 国家电网公司信息通信分公司 一种基于海量数据的网络流量及协议报文分析平台
CN108737291A (zh) * 2018-05-09 2018-11-02 北京建筑大学 一种网络流量表示的方法及装置
CN108881392A (zh) * 2018-05-22 2018-11-23 中国联合网络通信集团有限公司 业务特征数据库的更新方法及装置
CN108900374A (zh) * 2018-06-22 2018-11-27 网宿科技股份有限公司 一种应用于dpi设备的数据处理方法和装置
CN109272005A (zh) * 2017-07-17 2019-01-25 中国移动通信有限公司研究院 一种识别规则的生成方法、装置和深度包检测设备
CN109450895A (zh) * 2018-11-07 2019-03-08 北京锐安科技有限公司 一种流量识别方法、装置、服务器及存储介质
CN109587028A (zh) * 2018-11-29 2019-04-05 麒麟合盛网络技术股份有限公司 一种控制客户端流量的方法和装置
CN109756512A (zh) * 2019-02-14 2019-05-14 深信服科技股份有限公司 一种流量应用识别方法、装置、设备及存储介质
CN109873734A (zh) * 2018-01-11 2019-06-11 贵州白山云科技股份有限公司 一种底层数据监控方法、介质、设备及装置
CN110995742A (zh) * 2019-12-17 2020-04-10 北京网太科技发展有限公司 一种基于流量行为的网络路由协议防护方法与系统
CN111371649A (zh) * 2020-03-03 2020-07-03 恒为科技(上海)股份有限公司 一种深度包检测方法及装置
CN111565311A (zh) * 2020-04-29 2020-08-21 杭州迪普科技股份有限公司 网络流量特征生成方法及装置
WO2020207205A1 (zh) * 2019-04-08 2020-10-15 Oppo广东移动通信有限公司 一种数据识别的方法及终端
CN111835541A (zh) * 2019-04-18 2020-10-27 华为技术有限公司 一种模型老化检测方法、装置、设备及系统
CN112118268A (zh) * 2020-09-28 2020-12-22 北京嘀嘀无限科技发展有限公司 一种网络流量判定方法和系统
CN112187652A (zh) * 2020-09-28 2021-01-05 北京嘀嘀无限科技发展有限公司 一种特征判定规则建立以及网络流量判定方法和系统
CN112187653A (zh) * 2020-09-28 2021-01-05 北京嘀嘀无限科技发展有限公司 一种网络流量判定方法和系统
CN112653588A (zh) * 2020-07-10 2021-04-13 深圳市唯特视科技有限公司 自适应网络流量采集方法、系统、电子设备及存储介质
CN112751781A (zh) * 2019-10-31 2021-05-04 阿里巴巴集团控股有限公司 流量数据的处理方法、装置、设备及计算机存储介质
CN113067743A (zh) * 2020-01-02 2021-07-02 中国移动通信有限公司研究院 流规则提取方法、装置、系统及存储介质
CN113242205A (zh) * 2021-03-19 2021-08-10 武汉绿色网络信息服务有限责任公司 网络流量分类控制方法、装置、服务器及存储介质
CN113949568A (zh) * 2021-10-18 2022-01-18 安天科技集团股份有限公司 中间件识别方法、装置、计算设备及存储介质
CN114077625A (zh) * 2020-08-20 2022-02-22 华为技术有限公司 数据类型的确定方法、装置、设备及存储介质
CN114172728A (zh) * 2021-12-08 2022-03-11 恒安嘉新(北京)科技股份公司 一种网络流量的识别方法、装置、设备及介质
WO2022078042A1 (zh) * 2020-10-12 2022-04-21 中兴通讯股份有限公司 流量细分识别方法、系统、电子设备和存储介质
CN114520774A (zh) * 2021-12-28 2022-05-20 武汉虹旭信息技术有限责任公司 基于智能合约的深度报文检测方法及装置
CN115277106A (zh) * 2022-06-30 2022-11-01 北京安博通科技股份有限公司 一种网络设备的用户识别方法及系统
WO2022257885A1 (zh) * 2021-06-10 2022-12-15 维沃移动通信有限公司 流量特征分析结果的获取方法、装置及网络侧设备
CN117938542A (zh) * 2024-03-19 2024-04-26 北京微步在线科技有限公司 一种网络流量数据的方向确定方法、装置、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101505276A (zh) * 2009-03-23 2009-08-12 杭州华三通信技术有限公司 网络应用流量识别方法和装置及网络应用流量管理设备
CN101741908A (zh) * 2009-12-25 2010-06-16 青岛朗讯科技通讯设备有限公司 一种应用层协议特征的识别方法
CN101841440A (zh) * 2010-04-30 2010-09-22 南京邮电大学 基于支持向量机与深层包检测的对等网络流量识别方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101505276A (zh) * 2009-03-23 2009-08-12 杭州华三通信技术有限公司 网络应用流量识别方法和装置及网络应用流量管理设备
CN101741908A (zh) * 2009-12-25 2010-06-16 青岛朗讯科技通讯设备有限公司 一种应用层协议特征的识别方法
CN101841440A (zh) * 2010-04-30 2010-09-22 南京邮电大学 基于支持向量机与深层包检测的对等网络流量识别方法

Cited By (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102209032A (zh) * 2011-05-24 2011-10-05 北京网康科技有限公司 一种用户自定义的应用识别方法及其设备
CN102299863A (zh) * 2011-09-27 2011-12-28 北京网康科技有限公司 一种网络流量聚类的方法及其设备
CN102420701A (zh) * 2011-11-28 2012-04-18 北京邮电大学 一种互联网业务流特征的提取方法
CN102420701B (zh) * 2011-11-28 2014-03-19 北京邮电大学 一种互联网业务流特征的提取方法
CN102752216A (zh) * 2012-07-13 2012-10-24 中国科学院计算技术研究所 一种识别动态特征应用流量的方法
CN102752216B (zh) * 2012-07-13 2015-11-04 中国科学院计算技术研究所 一种识别动态特征应用流量的方法
CN102833327A (zh) * 2012-08-16 2012-12-19 瑞斯康达科技发展股份有限公司 基于http的客户端类型的识别方法和装置
CN102833327B (zh) * 2012-08-16 2016-03-02 瑞斯康达科技发展股份有限公司 基于http的客户端类型的识别方法和装置
CN102984242B (zh) * 2012-11-20 2015-10-14 杭州迪普科技有限公司 一种应用协议的自动识别方法和装置
CN102984242A (zh) * 2012-11-20 2013-03-20 杭州迪普科技有限公司 一种应用协议的自动识别方法和装置
CN102938739A (zh) * 2012-11-26 2013-02-20 华为技术有限公司 深度报文检查方法与装置
CN102932555A (zh) * 2012-12-03 2013-02-13 南京安讯科技有限责任公司 一种快速识别手机客户端软件的方法和系统
CN103873356A (zh) * 2012-12-11 2014-06-18 中国电信股份有限公司 基于家庭网关的应用识别方法、系统和家庭网关
CN103873356B (zh) * 2012-12-11 2018-02-02 中国电信股份有限公司 基于家庭网关的应用识别方法、系统和家庭网关
CN103259713B (zh) * 2013-04-15 2016-06-01 海信集团有限公司 消息交互系统及方法
CN103259713A (zh) * 2013-04-15 2013-08-21 海信集团有限公司 消息交互系统及方法
CN103227756A (zh) * 2013-04-17 2013-07-31 华为技术有限公司 在线协议优化方法和装置
CN103297440B (zh) * 2013-06-24 2016-06-29 北京星网锐捷网络技术有限公司 应用流量特征库的建立方法和装置、网络设备
CN103297440A (zh) * 2013-06-24 2013-09-11 北京星网锐捷网络技术有限公司 应用流量特征库的建立方法和装置、网络设备
WO2015039474A1 (zh) * 2013-09-23 2015-03-26 中兴通讯股份有限公司 一种深度包检测控制方法及装置、存储介质
US10003614B2 (en) 2013-09-23 2018-06-19 Zte Corporation Method, device, and storage medium for deep packet inspection control
CN103701709B (zh) * 2013-12-13 2015-07-01 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN103701709A (zh) * 2013-12-13 2014-04-02 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN103916289B (zh) * 2014-03-21 2017-04-12 烽火通信科技股份有限公司 Ipfix输出器中的报文筛选装置及方法
CN103916289A (zh) * 2014-03-21 2014-07-09 烽火通信科技股份有限公司 Ipfix输出器中的报文筛选装置及方法
CN104184723B (zh) * 2014-07-28 2018-05-29 华为技术有限公司 一种应用程序识别方法、装置和网络设备
CN104184723A (zh) * 2014-07-28 2014-12-03 华为技术有限公司 一种应用程序识别方法、装置和网络设备
CN104618132A (zh) * 2014-12-16 2015-05-13 北京神州绿盟信息安全科技股份有限公司 一种应用程序识别规则生成方法和装置
CN104618132B (zh) * 2014-12-16 2018-02-16 北京神州绿盟信息安全科技股份有限公司 一种应用程序识别规则生成方法和装置
CN105824835A (zh) * 2015-01-07 2016-08-03 北京艾力泰尔信息技术有限公司 自学习式遥测数据识别方法
CN104796282A (zh) * 2015-03-12 2015-07-22 南京邮电大学 一种面向深度包检测产品的评估系统及评估方法
CN104994056A (zh) * 2015-05-11 2015-10-21 中国电力科学研究院 一种电力信息网络中流量识别模型的动态更新方法
CN104994056B (zh) * 2015-05-11 2018-01-19 中国电力科学研究院 一种电力信息网络中流量识别模型的动态更新方法
CN106301825B (zh) * 2015-05-18 2020-10-16 南京中兴新软件有限责任公司 Dpi规则的生成方法及装置
WO2016184163A1 (zh) * 2015-05-18 2016-11-24 中兴通讯股份有限公司 Dpi规则的生成方法及装置
CN106301825A (zh) * 2015-05-18 2017-01-04 中兴通讯股份有限公司 Dpi规则的生成方法及装置
CN104901897A (zh) * 2015-05-26 2015-09-09 杭州华三通信技术有限公司 一种应用类型的确定方法和装置
CN106535274A (zh) * 2015-09-14 2017-03-22 中国移动通信集团公司 一种实现动态网络连接的方法及系统
CN106559281A (zh) * 2015-09-29 2017-04-05 中国电信股份有限公司 生成应用特征库的方法和装置、虚拟机、及终端
WO2017101693A1 (zh) * 2015-12-18 2017-06-22 北京神州绿盟信息安全科技股份有限公司 一种基于Skype不同功能通信流的识别方法及装置
CN105577706A (zh) * 2016-03-23 2016-05-11 绵阳博凡科技有限公司 一种网络安全防御系统和方法
CN105959173A (zh) * 2016-04-05 2016-09-21 王攀 一种基于dpi的固定宽带互联网流量中提取手机号码的方法v1.0
CN106209505A (zh) * 2016-06-29 2016-12-07 北京网康科技有限公司 一种应用识别装置及方法、防火墙、服务器
CN106506507A (zh) * 2016-11-16 2017-03-15 杭州华三通信技术有限公司 一种流量检测规则的生成方法及装置
CN106506507B (zh) * 2016-11-16 2020-08-14 新华三技术有限公司 一种流量检测规则的生成方法及装置
CN109272005B (zh) * 2017-07-17 2020-08-28 中国移动通信有限公司研究院 一种识别规则的生成方法、装置和深度包检测设备
CN109272005A (zh) * 2017-07-17 2019-01-25 中国移动通信有限公司研究院 一种识别规则的生成方法、装置和深度包检测设备
CN108289093A (zh) * 2017-12-29 2018-07-17 北京拓明科技有限公司 App应用特征码库的构建方法及构建系统
CN108289093B (zh) * 2017-12-29 2021-09-17 北京拓明科技有限公司 App应用特征码库的构建方法及构建系统
CN109873734A (zh) * 2018-01-11 2019-06-11 贵州白山云科技股份有限公司 一种底层数据监控方法、介质、设备及装置
CN108696389A (zh) * 2018-04-24 2018-10-23 国家电网公司信息通信分公司 一种基于海量数据的网络流量及协议报文分析平台
CN108696389B (zh) * 2018-04-24 2020-01-03 国家电网有限公司信息通信分公司 一种基于海量数据的网络流量及协议报文分析平台
CN108737291A (zh) * 2018-05-09 2018-11-02 北京建筑大学 一种网络流量表示的方法及装置
CN108881392A (zh) * 2018-05-22 2018-11-23 中国联合网络通信集团有限公司 业务特征数据库的更新方法及装置
CN108900374A (zh) * 2018-06-22 2018-11-27 网宿科技股份有限公司 一种应用于dpi设备的数据处理方法和装置
CN109450895B (zh) * 2018-11-07 2021-07-02 北京锐安科技有限公司 一种流量识别方法、装置、服务器及存储介质
CN109450895A (zh) * 2018-11-07 2019-03-08 北京锐安科技有限公司 一种流量识别方法、装置、服务器及存储介质
CN109587028A (zh) * 2018-11-29 2019-04-05 麒麟合盛网络技术股份有限公司 一种控制客户端流量的方法和装置
CN109756512A (zh) * 2019-02-14 2019-05-14 深信服科技股份有限公司 一种流量应用识别方法、装置、设备及存储介质
CN109756512B (zh) * 2019-02-14 2021-08-13 深信服科技股份有限公司 一种流量应用识别方法、装置、设备及存储介质
WO2020207205A1 (zh) * 2019-04-08 2020-10-15 Oppo广东移动通信有限公司 一种数据识别的方法及终端
CN111835541A (zh) * 2019-04-18 2020-10-27 华为技术有限公司 一种模型老化检测方法、装置、设备及系统
CN112751781B (zh) * 2019-10-31 2024-09-13 阿里巴巴集团控股有限公司 流量数据的处理方法、装置、设备及计算机存储介质
CN112751781A (zh) * 2019-10-31 2021-05-04 阿里巴巴集团控股有限公司 流量数据的处理方法、装置、设备及计算机存储介质
CN110995742B (zh) * 2019-12-17 2022-03-29 北京网太科技发展有限公司 一种基于流量行为的网络路由协议防护方法与系统
CN110995742A (zh) * 2019-12-17 2020-04-10 北京网太科技发展有限公司 一种基于流量行为的网络路由协议防护方法与系统
CN113067743A (zh) * 2020-01-02 2021-07-02 中国移动通信有限公司研究院 流规则提取方法、装置、系统及存储介质
CN111371649A (zh) * 2020-03-03 2020-07-03 恒为科技(上海)股份有限公司 一种深度包检测方法及装置
CN111565311A (zh) * 2020-04-29 2020-08-21 杭州迪普科技股份有限公司 网络流量特征生成方法及装置
CN112653588A (zh) * 2020-07-10 2021-04-13 深圳市唯特视科技有限公司 自适应网络流量采集方法、系统、电子设备及存储介质
CN114077625A (zh) * 2020-08-20 2022-02-22 华为技术有限公司 数据类型的确定方法、装置、设备及存储介质
CN112187653A (zh) * 2020-09-28 2021-01-05 北京嘀嘀无限科技发展有限公司 一种网络流量判定方法和系统
CN112187652A (zh) * 2020-09-28 2021-01-05 北京嘀嘀无限科技发展有限公司 一种特征判定规则建立以及网络流量判定方法和系统
CN112118268A (zh) * 2020-09-28 2020-12-22 北京嘀嘀无限科技发展有限公司 一种网络流量判定方法和系统
CN112187653B (zh) * 2020-09-28 2022-03-25 北京嘀嘀无限科技发展有限公司 一种网络流量判定方法和系统
WO2022078042A1 (zh) * 2020-10-12 2022-04-21 中兴通讯股份有限公司 流量细分识别方法、系统、电子设备和存储介质
CN113242205A (zh) * 2021-03-19 2021-08-10 武汉绿色网络信息服务有限责任公司 网络流量分类控制方法、装置、服务器及存储介质
WO2022257885A1 (zh) * 2021-06-10 2022-12-15 维沃移动通信有限公司 流量特征分析结果的获取方法、装置及网络侧设备
CN113949568B (zh) * 2021-10-18 2023-11-10 安天科技集团股份有限公司 中间件识别方法、装置、计算设备及存储介质
CN113949568A (zh) * 2021-10-18 2022-01-18 安天科技集团股份有限公司 中间件识别方法、装置、计算设备及存储介质
CN114172728A (zh) * 2021-12-08 2022-03-11 恒安嘉新(北京)科技股份公司 一种网络流量的识别方法、装置、设备及介质
CN114172728B (zh) * 2021-12-08 2024-04-26 恒安嘉新(北京)科技股份公司 一种网络流量的识别方法、装置、设备及介质
CN114520774A (zh) * 2021-12-28 2022-05-20 武汉虹旭信息技术有限责任公司 基于智能合约的深度报文检测方法及装置
CN114520774B (zh) * 2021-12-28 2024-02-23 武汉虹旭信息技术有限责任公司 基于智能合约的深度报文检测方法及装置
CN115277106A (zh) * 2022-06-30 2022-11-01 北京安博通科技股份有限公司 一种网络设备的用户识别方法及系统
CN115277106B (zh) * 2022-06-30 2024-03-19 北京安博通科技股份有限公司 一种网络设备的用户识别方法及系统
CN117938542A (zh) * 2024-03-19 2024-04-26 北京微步在线科技有限公司 一种网络流量数据的方向确定方法、装置、设备及介质
CN117938542B (zh) * 2024-03-19 2024-05-17 北京微步在线科技有限公司 一种网络流量数据的方向确定方法、装置、设备及介质

Also Published As

Publication number Publication date
CN102045363B (zh) 2013-10-09

Similar Documents

Publication Publication Date Title
CN102045363B (zh) 网络流量特征识别规则的建立方法、识别控制方法及装置
CN106815112B (zh) 一种基于深度包检测的海量数据监控系统及方法
Dewes et al. An analysis of Internet chat systems
US11218382B2 (en) Quality of service monitoring method, device, and system
EP2556632B1 (en) Real-time adaptive processing of network data packets for analysis
CN102292933B (zh) 用于监视经由基于分组的网络提供的业务的系统与方法
US8102879B2 (en) Application layer metrics monitoring
CN101567811B (zh) 基于BitTorrent的主动式特定信息传播监测方法
CN102739457B (zh) 一种基于dpi和svm技术的网络流量识别方法
CN103139315A (zh) 一种适用于家庭网关的应用层协议解析方法
CN102780779A (zh) 一种园区网出口p2p流量优化方法、装置及网关设备
Krawiec et al. DASCo: dynamic adaptive streaming over CoAP
Gutterman et al. Requet: Real-time QoE metric detection for encrypted YouTube traffic
EP2053783A1 (en) Method and system for identifying VoIP traffic in networks
CN106535240A (zh) 基于云平台的移动app集中性能分析方法
CN115499230A (zh) 网络攻击检测方法和装置、设备及存储介质
CN102271331B (zh) 一种检测业务提供商sp站点可靠性的方法及系统
Freire et al. Detecting VoIP calls hidden in web traffic
CN105991353A (zh) 故障定位的方法和装置
Freire et al. On metrics to distinguish skype flows from http traffic
CN107948022A (zh) 一种对等网络流量的识别方法及识别装置
CN109120742B (zh) 一种基于udp的配电网终端数据采集方法和装置
Cuadra‐Sanchez et al. A novel blind traffic analysis technique for detection of WhatsApp VoIP calls
Bujlow et al. A method for evaluation of quality of service in computer networks
CN113949576B (zh) 一种基于混合泄露信息的零网通信流量的检测方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Applicant after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Applicant before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd.

COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGY CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD.

C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220901

Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041

Patentee after: Chengdu Huawei Technologies Co.,Ltd.

Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China

Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

TR01 Transfer of patent right