CN103297270A - 应用类型识别方法及网络设备 - Google Patents

应用类型识别方法及网络设备 Download PDF

Info

Publication number
CN103297270A
CN103297270A CN2013101985612A CN201310198561A CN103297270A CN 103297270 A CN103297270 A CN 103297270A CN 2013101985612 A CN2013101985612 A CN 2013101985612A CN 201310198561 A CN201310198561 A CN 201310198561A CN 103297270 A CN103297270 A CN 103297270A
Authority
CN
China
Prior art keywords
server
message
application
data message
address information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2013101985612A
Other languages
English (en)
Inventor
陈浩
都林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN2013101985612A priority Critical patent/CN103297270A/zh
Publication of CN103297270A publication Critical patent/CN103297270A/zh
Priority to PCT/CN2014/076914 priority patent/WO2014187238A1/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了应用类型识别方法及网络设备,所述方法包括:从接收到的数据流的第一数据报文中提取第一服务器地址信息;将第一服务器地址信息与服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系;当从服务器应用信息中匹配到第一服务器地址信息时,将与第一服务器地址信息对应的应用类型识别为所述数据流的应用类型。本发明实施例中通过建立服务器应用信息,从而在接收到数据报文时,无需进行关键字提取和规则匹配,而是通过将数据报文的服务器地址信息与服务器应用信息进行匹配,从而快速识别出数据报文所属数据流的应用类型,提高了报文的应用类型识别效率。

Description

应用类型识别方法及网络设备
技术领域
本发明涉及网络通信技术领域,特别涉及应用类型识别方法及网络设备。
背景技术
深度包检测(Deep Packet Inspection,DPI)技术是一种基于应用层的流量检测和控制技术,网络设备可以通过DPI技术对互联网协议(Internet Protocol,IP)报文进行协议识别,IP报文通常由IP五元组和应用层数据组成,网络设备可以对五元组中的源IP地址、目的IP地址、源端口号、目的端口号、传输层协议等进行检测和分析,并且可以对IP报文的应用层数据进行分析,从而识别出IP报文的具体应用。
现有技术中,在对报文的应用进行识别时,需要从报文的应用层数据中提取关键字信息,将该关键字信息与规则数据库中的规则进行匹配,并根据匹配结果识别报文的应用。但是,由于规则数据库中记录的规则数量庞大,且关键字信息匹配过程中需要运行匹配算法,因此处理过程较慢,并且将耗费大量处理资源,从而导致应用类型识别效率不高。
发明内容
本发明实施例中提供了应用类型识别方法及网络设备,以解决现有技术中应用层协议类型识别效率不高的问题。
为了解决上述技术问题,本发明实施例公开了如下技术方案:
第一方面,提供一种应用类型识别方法,所述方法包括:
从接收到的数据流的第一数据报文中提取第一服务器地址信息;
将所述第一服务器地址信息与服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系;
当从所述服务器应用信息中匹配到所述第一服务器地址信息时,将与所述第一服务器地址信息对应的应用类型识别为所述数据流的应用类型。
结合第一方面,在第一方面的第一种可能的实现方式中,所述从接收到的数据流的第一数据报文中提取第一服务器地址信息之前,所述方法还包括:
通过对不同数据流的数据报文进行识别,获得所述服务器应用信息;
将所述服务器应用信息保存到服务器信息数据库。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述通过对不同数据流的数据报文进行识别,获得所述服务器应用信息,包括:
确定接收到传输控制协议TCP数据报文;
当所述TCP数据报文的应用层协议为超文本传输协议HTTP,且所述TCP数据报文中包含统一资源定位符URL地址时,识别所述TCP数据报文为访问网络WEB服务器的WEB应用报文;
获取所述TCP数据报文的目的地址作为服务器地址信息;以及
分析所述URL地址获得与所述URL地址对应的WEB服务器的应用类型。
结合第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述方法还包括:
当未从所述服务器应用信息中匹配到所述第一服务器地址信息时,通过对所述第一数据报文所属数据流的后续报文进行识别,获得第一服务器应用信息;
将所述第一服务器应用信息保存到所述服务器信息数据库。
结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,或第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述从接收到的数据流的第一数据报文中提取第一服务器地址信息,具体为:从接收到的数据流的第一数据报文的五元组信息中提取所述第一数据报文的目的互联网协议IP地址和目的端口号。
第二方面,提供一种网络设备,所述网络设备包括:
提取单元,用于从接收到的数据流的第一数据报文中提取第一服务器地址信息;
匹配单元,用于将所述提取单元提取的所述第一服务器地址信息与服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系;
识别单元,用于当所述匹配单元从所述服务器应用信息中匹配到所述第一服务器地址信息时,将与所述第一服务器地址信息对应的应用类型识别为所述数据流的应用类型。
结合第二方面,在第二方面的第一种可能的实现方式中,所述装置还包括:
获得单元,用于通过对不同数据流的数据报文进行识别,获得所述服务器应用信息;
保存单元,用于将所述获得单元获得的服务器应用信息保存到服务器信息数据库。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述获得单元包括:
TCP数据报文确定子单元,用于确定接收到TCP数据报文;
WEB应用报文识别子单元,用于当所述TCP数据报文的应用层协议为HTTP,且所述TCP数据报文中包含URL地址时,识别所述TCP数据报文为访问WEB服务器的WEB应用报文;
地址信息获取子单元,用于获取所述TCP数据报文的目的地址作为服务器地址信息;
应用类型分析子单元,用于分析所述URL地址获得与所述URL地址对应的WEB服务器的应用类型。
结合第二方面的第一种可能的实现方式,或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述获得单元,还用于当所述匹配单元未从所述服务器应用信息中匹配到所述第一服务器地址信息时,通过对所述第一数据报文所属数据流的后续报文进行识别,获得第一服务器应用信息;
所述保存单元,还用于将所述获得单元获得的所述第一服务器应用信息保存到所述服务器信息数据库。
结合第二方面,或第二方面的第一种可能的实现方式,或第二方面的第二种可能的实现方式,或第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述提取单元,具体用于从接收到的数据流的第一数据报文的五元组信息中提取所述第一数据报文的目的IP地址和目的端口号。
第三方面,提供一种网络设备,所述网络设备包括:总线,以及通过所述总线连接的存储器、网络接口和处理器,其中,
所述存储器,用于保存服务器应用信息;
所述网络接口,用于接收数据流的第一数据报文;
所述处理器,用于从所述第一数据报文中提取第一服务器地址信息,将所述第一服务器地址信息与所述服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系,当从所述服务器应用信息中匹配到所述第一服务器地址信息时,将与所述第一服务器地址信息对应的应用类型识别为所述数据流的应用类型。
结合第三方面,在第三方面的第一种可能的实现方式中,所述处理器,还用于通过对不同数据流的数据报文进行识别,获得服务器应用信息,并将所述服务器应用信息保存到所述存储器中的服务器信息数据库。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述处理器,具体用于确定接收到TCP数据报文,当所述TCP数据报文的应用层协议为HTTP,且所述TCP数据报文中包含URL地址时,识别所述TCP数据报文为访问WEB服务器的WEB应用报文,获取所述TCP数据报文的目的地址作为服务器地址信息,并分析所述URL地址获得与所述URL地址对应的WEB服务器的应用类型。
结合第三方面的第一种可能的实现方式,或第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述处理器,还用于当未从所述服务器应用信息中匹配到所述第一服务器地址信息时,通过对所述第一数据报文所属数据流的后续报文进行识别,获得第一服务器应用信息,并将所述第一服务器应用信息保存到所述服务器信息数据库。
结合第三方面,或第三方面的第一种可能的实现方式,或第三方面的第二种可能的实现方式,或第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,所述处理器,具体用于从所述第一数据报文的五元组信息中提取所述第一数据报文的目的IP地址和目的端口号。
本发明实施例中,从接收到的数据流的第一数据报文中提取第一服务器地址信息,将第一服务器地址信息与服务器应用信息进行匹配,当从服务器应用信息中匹配到第一服务器地址信息时,将与第一服务器地址信息对应的应用类型识别为数据流的应用类型。本发明实施例中通过建立服务器应用信息,从而在接收到数据报文时,无需进行关键字提取和规则匹配,而是通过将数据报文的服务器地址信息与服务器应用信息进行匹配,从而快速识别出数据报文所属数据流的应用类型,提高了报文的应用类型识别效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1A为本发明实施例的应用场景示意图;
图1B为本发明应用类型识别方法的一个实施例流程图;
图2为本发明应用类型识别方法的另一个实施例流程图;
图3为本发明应用类型识别方法的另一个实施例流程图;
图4为本发明网络设备的一个实施例框图;
图5为本发明网络设备的另一个实施例框图;
图6为本发明网络设备的另一个实施例框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图1A,为本发明实施例的应用场景示意图:
图1A中,终端通过网络接入网络设备,网络设备与服务器相连。其中,终端可以具体为个人电脑、手机登;网络设备可以具体为网关设备、路由设备、防火墙设备等;服务器可以具体为WEB应用服务器。本实施例中,网络设备可以通过数据库保存服务器地址信息与应用类型的对应关系,当终端需要访问服务器上的应用时,向网络设备发送数据流,网络设备可以将数据流报文中的服务器地址信息与数据库进行匹配,直接识别该数据流的应用类型,即获得该数据流所要访问服务器上应用的应用类型。
参见图1B,为本发明应用类型识别方法的一个实施例流程图,该实施例从网络设备侧描述了数据报文的应用进行识别的过程:
步骤101:从接收到的数据流的第一数据报文中提取第一服务器地址信息。
本实施例中,数据流的每个数据报文都携带五元组信息,五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号、传输层协议,传输层协议主要包括传输控制协议(Transmission Control Protocol,TCP)和用户数据报协议(User DatagramProtocol,UDP)。本实施例中,接收数据报文的网络设备可以具体指网关设备、路由设备、防火墙设备等。
其中,网络设备可以从接收到的第一数据报文的五元组信息中提取该第一数据报文的目的IP地址和目的端口号,将提取的上述信息作为第一服务器地址信息。本实施例中数据流的第一数据报文可以是该数据流的首报文,也可以是属于该数据流的除首报文之外的其他数据报文。
步骤102:将第一服务器地址信息与服务器应用信息进行匹配,该服务器应用信息中保存了服务器地址信息与应用类型的对应关系。
本发明实施例中,服务器应用信息可以是网络设备在对第一数据报文进行识别前,通过对多个访问不同WEB服务器的数据报文进行识别后获得的信息。服务器应用信息保存了服务器地址信息与应用类型的对应关系,其中,服务器地址信息可以包括WEB服务器的IP地址和端口号,应用类型主要指WEB服务器可以提供的应用的种类,例如,视频应用、社交应用、对等(Peer to Peer,P2P)服务应用等。本实施例通过建立服务器应用信息,可以对访问WEB服务器的WEB应用报文所属数据流的应用类型进行快速匹配识别。
步骤103:当从服务器应用信息中匹配到第一服务器地址信息时,将与第一服务器地址信息对应的应用类型识别为第一数据报文所属数据流的应用类型。
本实施例中,由于服务器应用信息中保存了服务器地址信息与应用类型的对应关系,因此当从服务器应用信息中找到第一数据报文的第一服务器地址信息时,与该第一服务器地址信息对应的应用类型即可直接识别为第一数据报文所属数据流的应用类型。
由上述实施例可见,该实施例中通过建立服务器应用信息,从而在接收到数据报文时,无需进行关键字提取和规则匹配,而是通过将数据报文的服务器地址信息与服务器应用信息进行匹配,从而快速识别出数据报文所属数据流的应用类型,提高了报文的应用类型识别效率。
参见图2,为本发明应用类型识别方法的另一个实施例流程图,该实施例详细描述了在对数据报文进行应用类型识别前,建立服务器应用信息的过程:
步骤201:确定接收到TCP数据报文。
本实施例中,每个数据报文都携带五元组信息,五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号、传输层协议,传输层协议主要包括TCP和UDP。本实施例中,接收数据报文的网络设备可以具体指网关设备、路由设备、防火墙设备等。网络设备接收到每个数据报文时,可以根据该数据报文的五元组信息中的传输层协议确定是否接收到TCP数据报文。本实施例中,由于每个数据流的首报文中一般不包含应用数据,因此在对该数据流的应用进行识别时,确定接收到的TCP数据报文通常为该数据流的首报文的后续报文。
步骤202:判断TCP数据报文是否为WEB应用报文,若是,则执行步骤203;否则,结束当前流程。
当网络设备识别出TCP数据报文后,进一步识别TCP数据报文是否为WEB应用报文。识别WEB应用报文的条件可以包括:TCP数据报文的应用层协议为超文本传输协议(Hypertext Transfer Protocol,HTTP),且该TCP数据报文中包含统一资源定位符(Uniform Resource Locator,URL)地址时,可以识别该TCP数据报文为访问WEB服务器的WEB应用报文。
步骤203:获取该TCP数据报文的目的地址作为服务器地址信息。
当识别出TCP数据报文为WEB应用报文时,说明该TCP数据报文所要访问的目的设备为WEB服务器,此时网络设备从该TCP数据报文的五元组信息中提取目的IP地址和目的端口号,该目的IP地址和目的端口号即为WEB服务器的服务器地址信息。
步骤204:分析TCP数据报文的URL地址获得与该URL地址对应的WEB服务器的应用类型。
URL地址即为网页地址,TCP数据报文的URL地址反映了该TCP数据报文所要访问的WEB服务器上的应用所在的网页地址,通过分析该网页地址可以获得WEB服务器的应用类型,应用类型可以包括视频应用、社交应用、对等服务应用等。例如,TCP数据报文的URL地址为“www.tv.***.com”,则通过分析该URL地址中包含的关键字“tv”,可以确定该TCP数据报文所要访问的WEB服务器上应用的应用类型为视频应用。本实施例中,一个WEB服务器具有一个IP地址,一个WEB服务器上包含的应用可以不止一种,每一种应用可以对应一个端口号,即一个IP地址和一个端口号可以对应一个WEB服务器上的一种应用。
步骤205:将服务器地址信息与应用类型的对应关系作为服务器应用信息保存到服务器信息数据库,结束当前流程。
将步骤203中获得的WEB服务器的服务器地址信息与该WEB服务器的应用类型之间的对应关系保存到服务器信息数据库,对于后续访问同一WEB服务器的数据报文,通过查找该服务器信息数据库,即可快速识别出该数据报文所属数据流的应用类型。
由上述实施例可见,该实施例通过识别WEB应用报文,建立服务器应用信息,以便网络设备对后续接收到的数据报文的WEB应用进行快速识别,从而可以提高报文的应用类型识别效率。
参见图3,为本发明应用类型识别方法的另一个实施例流程图,该实施例基于图2所示实施例保存的服务器应用信息,对接收到的数据报文的应用进行识别:
步骤301:网络设备接收数据流的第一数据报文。
本实施例中,接收数据报文的网络设备可以具体指网关设备、路由设备、防火墙设备等。优选的,数据流的第一数据报文可以是该数据流的首报文。
步骤302:从第一数据报文的五元组信息中提取目的IP地址和目的端口号。
本实施例中,每个数据报文都携带五元组信息,五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号、传输层协议,传输层协议主要包括TCP和UDP。其中,网络设备可以从第一数据报文的五元组信息中提取该第一数据报文的目的IP地址和目的端口号,将提取的上述信息作为第一数据报文的第一服务器地址信息。
步骤303:将目的IP地址和目的端口号与服务器信息数据库中保存的服务器应用信息进行匹配。
由前述图2示出的实施例可知,在服务器信息数据库的服务器应用信息中,保存了服务器地址信息与应用类型的对应关系。本实施例中,将步骤302中提取的第一数据报文的目的IP地址和目的端口号与保存的服务器应用信息进行匹配,以便判断是否能够从服务器应用信息的服务器地址信息中查找到该目的IP地址和目的端口号。
步骤304:判断是否从服务器应用信息中匹配到目的IP地址和目的端口号,若是,则执行步骤305;否则,执行步骤306。
步骤305:将与目的IP地址和目的端口号对应的应用类型识别为第一数据报文所属数据流的应用类型,结束当前流程。
当从服务器应用信息中匹配到第一数据报文的目的IP地址和目的端口号时,直接将与该目的IP地址和目的端口号对应的应用类型识别为第一数据报文所属数据流的应用类型。
步骤306:判断第一数据报文所属数据流的后续报文是否为WEB应用报文,若是,则执行步骤307;否则,结束当前流程。
当从服务器应用信息中未匹配到第一数据报文的目的IP地址和目的端口号时,说明该第一数据报文所属数据流为网络设备未识别过的数据流,此时网络设备接收到该数据流的后续报文后,判断该后续报文是否为WEB应用报文,以便进一步识别该数据流的应用。
其中,识别WEB应用报文的条件可以包括:TCP数据报文的应用层协议为HTTP,且该TCP数据报文中包含URL地址时,可以识别该TCP数据报文为访问WEB服务器的WEB应用报文。
步骤307:分析后续报文中包含的URL地址对应的WEB服务器的应用类型。
当识别出后续报文为WEB应用报文时,说明该第一数据报文所属数据流所要访问的目的设备为WEB服务器,则该后续报文的目的IP地址和目的端口号即为WEB服务器的服务器地址信息;并且,通过分析该URL可以获得WEB服务器的应用类型,应用类型可以包括视频应用、社交应用、对等服务应用等。本步骤中对后续报文的识别过程可以参见图2实施例的描述,即将该第一数据报文所属数据流作为新的数据流进行应用类型识别,并保存识别结果,具体过程不再赘述。
当识别出后续报文不是WEB应用报文时,则网络设备可以按照现有技术中的识别方式对第一数据报文所属数据流的应用进行识别,对此本实施例不再赘述。
步骤308:将后续报文的目的IP地址和目的端口号与该应用类型的对应关系作为服务器应用信息保存到服务器信息数据库,结束当前流程。
将步骤307中获得的WEB服务器的服务器地址信息与该WEB服务器的应用类型之间的对应关系保存到服务器信息数据库,当后续网络设备接收到与该第一数据报文所属数据流的应用一样的数据流的数据报文时,网络设备通过查找该服务器信息数据库,即可快速识别出该数据流的应用类型。
由上述实施例可见,该实施例中通过建立服务器应用信息,从而在接收到数据报文时,无需进行关键字提取和规则匹配,而是通过将数据报文的服务器地址信息与服务器应用信息进行匹配,从而快速识别出数据报文所属数据流的应用类型,提高了报文的应用类型识别效率。
与本发明应用类型识别方法的实施例相对应,本发明还提供了执行该应用类型识别方法的网络设备的实施例。
参见图4,为本发明网络设备的一个实施例框图:
该网络设备包括:提取单元410、匹配单元420和识别单元430。
其中,提取单元410,用于从接收到的数据流的第一数据报文中提取第一服务器地址信息;
匹配单元420,用于将所述提取单元410提取的所述第一服务器地址信息与服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系;
识别单元430,用于当所述匹配单元420从所述服务器应用信息中匹配到所述第一服务器地址信息时,将与所述第一服务器地址信息对应的应用类型识别为所述数据流的应用类型。
可选的,所述提取单元410,可以具体用于从接收到的第一数据报文的五元组信息中提取所述第一数据报文的目的IP地址和目的端口号。
参见图5,为本发明网络设备的另一个实施例框图:
该网络设备包括:获得单元510、保存单元520、提取单元530、匹配单元540和识别单元550。
其中,获得单元510,用于通过对不同数据流的数据报文进行识别,获得所述服务器应用信息;
保存单元520,用于将所述获得单元510获得的服务器应用信息保存到服务器信息数据库;
提取单元530,用于从接收到的数据流的第一数据报文中提取第一服务器地址信息;
匹配单元540,用于将所述提取单元530提取的所述第一服务器地址信息与服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系;
识别单元550,用于当所述匹配单元540从所述服务器应用信息中匹配到所述第一服务器地址信息时,将与所述第一服务器地址信息对应的应用类型识别为所述第一数据报文所属数据流的应用类型。
在一个可选的实现方式中:
所述获得单元510可以包括(图5中未示出):TCP数据报文确定子单元,用于确定接收到TCP数据报文;WEB应用报文识别子单元,用于当所述TCP数据报文的应用层协议为HTTP,且所述TCP数据报文中包含URL地址时,识别所述TCP数据报文为访问WEB服务器的WEB应用报文;地址信息获取子单元,用于获取所述TCP数据报文的目的地址作为服务器地址信息;应用类型分析子单元,用于分析所述URL地址获得与所述URL地址对应的WEB服务器的应用类型。
在另一个可选的实现方式中:
所述获得单元510,还可以用于当所述匹配单元未从所述服务器应用信息中匹配到所述第一服务器地址信息时,通过对所述第一数据报文所属数据流的后续报文进行识别,获得第一服务器应用信息;
所述保存单元520,还可以用于将所述获得单元510获得的所述第一服务器应用信息保存到所述服务器信息数据库。
在另一个可选的实现方式中:
所述提取单元530,可以具体用于从接收到的数据流的第一数据报文的五元组信息中提取所述第一数据报文的目的IP地址和目的端口号。
参见图6,为本发明网络设备的另一个实施例框图:
该网络设备包括:总线610,以及通过所述总线610连接的存储器620、网络接口630和处理器640。
其中,所述存储器620,用于保存服务器应用信息;
所述网络接口630,用于接收数据流的第一数据报文;
所述处理器640,用于从所述第一数据报文中提取第一服务器地址信息,将所述第一服务器地址信息与所述服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系,当从所述服务器应用信息中匹配到所述第一服务器地址信息时,将与所述第一服务器地址信息对应的应用类型识别为所述数据流的应用类型。
在一个可选的实现方式中:
所述处理器640,还可以用于通过对不同数据流的数据报文进行识别,获得服务器应用信息,并将所述服务器应用信息保存到所述存储器中的服务器信息数据库。
在另一个可选的实现方式中:
所述处理器640,可以具体用于确定接收到TCP数据报文,当所述TCP数据报文的应用层协议为HTTP,且所述TCP数据报文中包含URL地址时,识别所述TCP数据报文为访问WEB服务器的WEB应用报文,获取所述TCP数据报文的目的地址作为服务器地址信息,并分析所述URL地址获得与所述URL地址对应的WEB服务器的应用类型。
在另一个可选的实现方式中:
所述处理器640,还可以用于当未从所述服务器应用信息中匹配到所述第一服务器地址信息时,通过对所述第一数据报文所属数据流的后续报文进行识别,获得第一服务器应用信息,并将所述第一服务器应用信息保存到所述服务器信息数据库。
在另一个可选的实现方式中:
所述处理器640,可以具体用于从所述第一数据报文的五元组信息中提取所述第一数据报文的目的IP地址和目的端口号。
由上述实施例可见,从接收到的数据流的第一数据报文中提取第一服务器地址信息,将第一服务器地址信息与服务器应用信息进行匹配,当从服务器应用信息中匹配到第一服务器地址信息时,将与第一服务器地址信息对应的应用类型识别为第一数据报文所属数据流的应用类型。本发明实施例中通过建立服务器应用信息,从而在接收到数据报文时,无需进行关键字提取和规则匹配,而是通过将数据报文的服务器地址信息与服务器应用信息进行匹配,从而快速识别出数据报文所属数据流的应用类型,提高了报文的应用类型识别效率。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种应用类型识别方法,其特征在于,所述方法包括:
从接收到的数据流的第一数据报文中提取第一服务器地址信息;
将所述第一服务器地址信息与服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系;
当从所述服务器应用信息中匹配到所述第一服务器地址信息时,将与所述第一服务器地址信息对应的应用类型识别为所述数据流的应用类型。
2.根据权利要求1所述的方法,其特征在于,所述从接收到的数据流的第一数据报文中提取第一服务器地址信息之前,所述方法还包括:
通过对不同数据流的数据报文进行识别,获得所述服务器应用信息;
将所述服务器应用信息保存到服务器信息数据库。
3.根据权利要求2所述的方法,其特征在于,所述通过对不同数据流的数据报文进行识别,获得所述服务器应用信息,包括:
确定接收到传输控制协议TCP数据报文;
当所述TCP数据报文的应用层协议为超文本传输协议HTTP,且所述TCP数据报文中包含统一资源定位符URL地址时,识别所述TCP数据报文为访问网络WEB服务器的WEB应用报文;
获取所述TCP数据报文的目的地址作为服务器地址信息;以及
分析所述URL地址获得与所述URL地址对应的WEB服务器的应用类型。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
当未从所述服务器应用信息中匹配到所述第一服务器地址信息时,通过对所述第一数据报文所属数据流的后续报文进行识别,获得第一服务器应用信息;
将所述第一服务器应用信息保存到所述服务器信息数据库。
5.根据权利要求1至4任意一项所述的方法,其特征在于,所述从接收到的数据流的第一数据报文中提取第一服务器地址信息,具体为:从接收到的数据流的第一数据报文的五元组信息中提取所述第一数据报文的目的互联网协议IP地址和目的端口号。
6.一种网络设备,其特征在于,所述网络设备包括:
提取单元,用于从接收到的数据流的第一数据报文中提取第一服务器地址信息;
匹配单元,用于将所述提取单元提取的所述第一服务器地址信息与服务器应用信息进行匹配,所述服务器应用信息中保存了服务器地址信息与应用类型的对应关系;
识别单元,用于当所述匹配单元从所述服务器应用信息中匹配到所述第一服务器地址信息时,将与所述第一服务器地址信息对应的应用类型识别为所述数据流的应用类型。
7.根据权利要求6所述的网络设备,其特征在于,所述装置还包括:
获得单元,用于通过对不同数据流的数据报文进行识别,获得所述服务器应用信息;
保存单元,用于将所述获得单元获得的服务器应用信息保存到服务器信息数据库。
8.根据权利要求7所述的网络设备,其特征在于,所述获得单元包括:
TCP数据报文确定子单元,用于确定接收到TCP数据报文;
WEB应用报文识别子单元,用于当所述TCP数据报文的应用层协议为HTTP,且所述TCP数据报文中包含URL地址时,识别所述TCP数据报文为访问WEB服务器的WEB应用报文;
地址信息获取子单元,用于获取所述TCP数据报文的目的地址作为服务器地址信息;
应用类型分析子单元,用于分析所述URL地址获得与所述URL地址对应的WEB服务器的应用类型。
9.根据权利要求7或8所述的网络设备,其特征在于,
所述获得单元,还用于当所述匹配单元未从所述服务器应用信息中匹配到所述第一服务器地址信息时,通过对所述第一数据报文所属数据流的后续报文进行识别,获得第一服务器应用信息;
所述保存单元,还用于将所述获得单元获得的所述第一服务器应用信息保存到所述服务器信息数据库。
10.根据权利要求6至9任意一项所述的网络设备,其特征在于,
所述提取单元,具体用于从接收到的数据流的第一数据报文的五元组信息中提取所述第一数据报文的目的IP地址和目的端口号。
CN2013101985612A 2013-05-24 2013-05-24 应用类型识别方法及网络设备 Pending CN103297270A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2013101985612A CN103297270A (zh) 2013-05-24 2013-05-24 应用类型识别方法及网络设备
PCT/CN2014/076914 WO2014187238A1 (zh) 2013-05-24 2014-05-07 应用类型识别方法及网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2013101985612A CN103297270A (zh) 2013-05-24 2013-05-24 应用类型识别方法及网络设备

Publications (1)

Publication Number Publication Date
CN103297270A true CN103297270A (zh) 2013-09-11

Family

ID=49097618

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2013101985612A Pending CN103297270A (zh) 2013-05-24 2013-05-24 应用类型识别方法及网络设备

Country Status (2)

Country Link
CN (1) CN103297270A (zh)
WO (1) WO2014187238A1 (zh)

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103701809A (zh) * 2013-12-27 2014-04-02 山石网科通信技术有限公司 应用的识别方法和装置
WO2014187238A1 (zh) * 2013-05-24 2014-11-27 华为技术有限公司 应用类型识别方法及网络设备
WO2015165296A1 (zh) * 2014-04-29 2015-11-05 华为技术有限公司 协议类型的识别方法和装置
CN105227599A (zh) * 2014-06-12 2016-01-06 腾讯科技(深圳)有限公司 Web应用的识别方法和装置
CN105592137A (zh) * 2015-10-14 2016-05-18 杭州华三通信技术有限公司 一种应用类型的识别方法和装置
CN105939287A (zh) * 2016-05-23 2016-09-14 杭州迪普科技有限公司 处理报文的方法及装置
CN106254384A (zh) * 2016-09-14 2016-12-21 杭州华三通信技术有限公司 一种服务访问方法及装置
CN106330768A (zh) * 2016-08-31 2017-01-11 成都飞鱼星科技股份有限公司 一种基于云计算的应用识别方法
CN106506400A (zh) * 2016-11-04 2017-03-15 锐捷网络股份有限公司 一种数据流识别方法及出口设备
CN107222369A (zh) * 2017-07-07 2017-09-29 北京小米移动软件有限公司 应用程序的识别方法、装置、交换装置和存储介质
CN107547437A (zh) * 2017-05-11 2018-01-05 新华三信息安全技术有限公司 应用识别方法及装置
CN107707549A (zh) * 2017-09-30 2018-02-16 迈普通信技术股份有限公司 一种自动提取应用特征的装置及方法
CN107787003A (zh) * 2016-08-24 2018-03-09 中兴通讯股份有限公司 一种流量检测的方法和装置
CN107864127A (zh) * 2017-10-30 2018-03-30 北京神州绿盟信息安全科技股份有限公司 一种应用程序的识别方法及装置
CN108063692A (zh) * 2016-11-08 2018-05-22 中国移动通信有限公司研究院 流量识别方法及装置
CN108282414A (zh) * 2017-12-29 2018-07-13 网宿科技股份有限公司 一种数据流的引导方法、服务器和系统
CN108418758A (zh) * 2018-01-05 2018-08-17 网宿科技股份有限公司 一种单包识别方法及流量引导方法
CN108900374A (zh) * 2018-06-22 2018-11-27 网宿科技股份有限公司 一种应用于dpi设备的数据处理方法和装置
CN109067762A (zh) * 2018-08-29 2018-12-21 深信服科技股份有限公司 一种物联网设备的识别方法、装置及设备
CN110808921A (zh) * 2019-11-05 2020-02-18 赵宇飞 应用识别方法、系统及网络设备
CN111143743A (zh) * 2019-12-26 2020-05-12 杭州迪普科技股份有限公司 一种自动扩充应用识别库的方法及装置
CN111177595A (zh) * 2019-12-20 2020-05-19 杭州九略智能科技有限公司 一种针对http协议模板化提取资产信息的方法
CN111404768A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种dpi识别的实现方法及设备
CN111953552A (zh) * 2019-05-14 2020-11-17 华为技术有限公司 数据流的分类方法和报文转发设备
CN112564991A (zh) * 2019-09-10 2021-03-26 华为技术有限公司 应用识别方法、装置及存储介质
CN112653740A (zh) * 2020-12-11 2021-04-13 北京金山云网络技术有限公司 支持quic连接迁移的负载均衡方法、装置及计算机产品
CN114979073A (zh) * 2021-08-30 2022-08-30 中移互联网有限公司 地址信息获取系统、方法、电子设备及存储介质
CN115801916A (zh) * 2021-09-08 2023-03-14 中国移动通信集团山东有限公司 一种流量识别方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183988A (zh) * 2007-11-19 2008-05-21 华为技术有限公司 一种识别报文对应的业务类型的方法及其装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202652B (zh) * 2006-12-15 2011-05-04 北京大学 网络应用流量分类识别装置及其方法
US7706267B2 (en) * 2007-03-06 2010-04-27 Hewlett-Packard Development Company, L.P. Network service monitoring
CN102195882B (zh) * 2011-05-18 2016-04-06 深信服网络科技(深圳)有限公司 根据数据流应用类型选路的方法及装置
CN103297270A (zh) * 2013-05-24 2013-09-11 华为技术有限公司 应用类型识别方法及网络设备

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183988A (zh) * 2007-11-19 2008-05-21 华为技术有限公司 一种识别报文对应的业务类型的方法及其装置

Cited By (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014187238A1 (zh) * 2013-05-24 2014-11-27 华为技术有限公司 应用类型识别方法及网络设备
CN103701809A (zh) * 2013-12-27 2014-04-02 山石网科通信技术有限公司 应用的识别方法和装置
US10084713B2 (en) 2014-04-29 2018-09-25 Huawei Technologies Co., Ltd. Protocol type identification method and apparatus
WO2015165296A1 (zh) * 2014-04-29 2015-11-05 华为技术有限公司 协议类型的识别方法和装置
CN105227599A (zh) * 2014-06-12 2016-01-06 腾讯科技(深圳)有限公司 Web应用的识别方法和装置
CN105227599B (zh) * 2014-06-12 2017-12-26 腾讯科技(深圳)有限公司 Web应用的识别方法和装置
CN105592137A (zh) * 2015-10-14 2016-05-18 杭州华三通信技术有限公司 一种应用类型的识别方法和装置
CN105592137B (zh) * 2015-10-14 2019-04-09 新华三技术有限公司 一种应用类型的识别方法和装置
CN105939287A (zh) * 2016-05-23 2016-09-14 杭州迪普科技有限公司 处理报文的方法及装置
CN107787003A (zh) * 2016-08-24 2018-03-09 中兴通讯股份有限公司 一种流量检测的方法和装置
CN106330768A (zh) * 2016-08-31 2017-01-11 成都飞鱼星科技股份有限公司 一种基于云计算的应用识别方法
CN106330768B (zh) * 2016-08-31 2019-04-12 成都飞鱼星科技股份有限公司 一种基于云计算的应用识别方法
CN106254384B (zh) * 2016-09-14 2019-12-06 新华三技术有限公司 一种服务访问方法及装置
CN106254384A (zh) * 2016-09-14 2016-12-21 杭州华三通信技术有限公司 一种服务访问方法及装置
CN106506400B (zh) * 2016-11-04 2019-12-06 锐捷网络股份有限公司 一种数据流识别方法及出口设备
CN106506400A (zh) * 2016-11-04 2017-03-15 锐捷网络股份有限公司 一种数据流识别方法及出口设备
CN108063692B (zh) * 2016-11-08 2019-11-26 中国移动通信有限公司研究院 流量识别方法及装置
CN108063692A (zh) * 2016-11-08 2018-05-22 中国移动通信有限公司研究院 流量识别方法及装置
CN107547437A (zh) * 2017-05-11 2018-01-05 新华三信息安全技术有限公司 应用识别方法及装置
CN107222369A (zh) * 2017-07-07 2017-09-29 北京小米移动软件有限公司 应用程序的识别方法、装置、交换装置和存储介质
CN107707549A (zh) * 2017-09-30 2018-02-16 迈普通信技术股份有限公司 一种自动提取应用特征的装置及方法
CN107864127B (zh) * 2017-10-30 2020-07-10 北京神州绿盟信息安全科技股份有限公司 一种应用程序的识别方法及装置
CN107864127A (zh) * 2017-10-30 2018-03-30 北京神州绿盟信息安全科技股份有限公司 一种应用程序的识别方法及装置
CN108282414A (zh) * 2017-12-29 2018-07-13 网宿科技股份有限公司 一种数据流的引导方法、服务器和系统
WO2019127895A1 (zh) * 2017-12-29 2019-07-04 网宿科技股份有限公司 一种数据流的引导方法、服务器和系统
CN108418758B (zh) * 2018-01-05 2021-01-29 网宿科技股份有限公司 一种单包识别方法及流量引导方法
CN108418758A (zh) * 2018-01-05 2018-08-17 网宿科技股份有限公司 一种单包识别方法及流量引导方法
CN108900374B (zh) * 2018-06-22 2021-05-25 网宿科技股份有限公司 一种应用于dpi设备的数据处理方法和装置
CN108900374A (zh) * 2018-06-22 2018-11-27 网宿科技股份有限公司 一种应用于dpi设备的数据处理方法和装置
CN109067762B (zh) * 2018-08-29 2020-10-27 深信服科技股份有限公司 一种物联网设备的识别方法、装置及设备
CN109067762A (zh) * 2018-08-29 2018-12-21 深信服科技股份有限公司 一种物联网设备的识别方法、装置及设备
CN111404768A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种dpi识别的实现方法及设备
US12003609B2 (en) 2019-05-14 2024-06-04 Huawei Technologies Co., Ltd. Data flow classification method and packet forwarding device
CN111953552B (zh) * 2019-05-14 2022-12-13 华为技术有限公司 数据流的分类方法和报文转发设备
CN111953552A (zh) * 2019-05-14 2020-11-17 华为技术有限公司 数据流的分类方法和报文转发设备
CN112564991A (zh) * 2019-09-10 2021-03-26 华为技术有限公司 应用识别方法、装置及存储介质
CN110808921B (zh) * 2019-11-05 2023-01-03 赵宇飞 应用识别方法、系统及网络设备
CN110808921A (zh) * 2019-11-05 2020-02-18 赵宇飞 应用识别方法、系统及网络设备
CN111177595B (zh) * 2019-12-20 2024-04-05 杭州九略智能科技有限公司 一种针对http协议模板化提取资产信息的方法
CN111177595A (zh) * 2019-12-20 2020-05-19 杭州九略智能科技有限公司 一种针对http协议模板化提取资产信息的方法
CN111143743A (zh) * 2019-12-26 2020-05-12 杭州迪普科技股份有限公司 一种自动扩充应用识别库的方法及装置
CN112653740A (zh) * 2020-12-11 2021-04-13 北京金山云网络技术有限公司 支持quic连接迁移的负载均衡方法、装置及计算机产品
CN114979073A (zh) * 2021-08-30 2022-08-30 中移互联网有限公司 地址信息获取系统、方法、电子设备及存储介质
CN114979073B (zh) * 2021-08-30 2023-09-05 中移互联网有限公司 地址信息获取系统、方法、电子设备及存储介质
CN115801916A (zh) * 2021-09-08 2023-03-14 中国移动通信集团山东有限公司 一种流量识别方法及装置

Also Published As

Publication number Publication date
WO2014187238A1 (zh) 2014-11-27

Similar Documents

Publication Publication Date Title
CN103297270A (zh) 应用类型识别方法及网络设备
US10348631B2 (en) Processing packet header with hardware assistance
CN110213212B (zh) 一种设备的分类方法和装置
CN101741644B (zh) 流量检测方法及装置
US20230224232A1 (en) System and method for extracting identifiers from traffic of an unknown protocol
WO2015165296A1 (zh) 协议类型的识别方法和装置
WO2017071179A1 (zh) 基于流量分析识别用户行为对象的方法和装置
WO2015021873A1 (en) Method, platform server, and system of data pushing
EP3128713B1 (en) Page push method and system
CN103535011A (zh) 内容分发网络cdn路由方法、设备和系统
CN104994016A (zh) 用于分组分类的方法和装置
CN103763125A (zh) 运营商网络实际用户数的统计方法和装置
CN112565229B (zh) 隐蔽通道检测方法及装置
CN104506450A (zh) 媒体资源反馈方法及装置
CN113825129A (zh) 一种5g网络环境下工业互联网资产测绘方法
CN103152387B (zh) 一种获取http用户行为轨迹的装置与方法
CN104518968A (zh) 一种报文处理的方法和透明代理服务器
CN104184723A (zh) 一种应用程序识别方法、装置和网络设备
WO2020019524A1 (zh) 数据处理方法及装置
CN101621504A (zh) 深度报文检测方法和系统
CN103036789B (zh) 报文发送方法、装置和网络出口设备
CN105991353A (zh) 故障定位的方法和装置
CN113055420B (zh) Https业务识别方法、装置及计算设备
CN114760216B (zh) 一种扫描探测事件确定方法、装置及电子设备
CN105703930A (zh) 基于应用的会话日志处理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20130911