CN103763154B - 一种网络流量检测方法 - Google Patents

一种网络流量检测方法 Download PDF

Info

Publication number
CN103763154B
CN103763154B CN201410011840.8A CN201410011840A CN103763154B CN 103763154 B CN103763154 B CN 103763154B CN 201410011840 A CN201410011840 A CN 201410011840A CN 103763154 B CN103763154 B CN 103763154B
Authority
CN
China
Prior art keywords
kernel
bittorrent
flow
hash
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410011840.8A
Other languages
English (en)
Other versions
CN103763154A (zh
Inventor
周国浪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Langchao Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Langchao Electronic Information Industry Co Ltd filed Critical Langchao Electronic Information Industry Co Ltd
Priority to CN201410011840.8A priority Critical patent/CN103763154B/zh
Publication of CN103763154A publication Critical patent/CN103763154A/zh
Application granted granted Critical
Publication of CN103763154B publication Critical patent/CN103763154B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明提供一种网络流量检测方法,其具体实现过程为:识别P2P协议流量;通过算法进行流分类;完成流量统计。该一种网络流量检测方法和现有技术相比,既能够基于一般的传统识别方法识别出一般协议,又能够通过高级的识别方法识别出那些较难识别的网络协议的防火墙构建方法;充分利用其可扩展性,让繁重的捕包和统计工作在内核完成,提高效率;实用性强,易于推广。

Description

_种网络流量检测方法
技术领域
[0001] 本发明涉及计算机通信信息技术,更具体地说是网络流量检测方法。
背景技术
[0002] 现在主流的网络技术是点对点的通信技术,而且最难检测到。目前普通的测量方 法就是基于端口的测量方法。Bittorrent是P2P类协议的代表,国内目前很流行,使用人数 很多。它使用动态端口,同时将本身的流量伪装成为HTTP流量。传统的网络级防火墙(包过 滤)缺少对应用层(0SI模型的第7层)流量的分析,因此无法识别Bittorrent下载的流量。基 于此,本发明提供一种通过应用层匹配来识别P2P流量的方法。
发明内容
[0003] 本发明的技术任务是解决现有技术的不足,提供一种网络流量检测方法。
[0004] 本发明的技术方案是按以下方式实现的,该一种网络流量检测方法,其具体实现 过程为:
[0005] —、识别P 2 P协议流量:从P 2 P应用软件说明书中获取特征码;或通过基于 Netfilter框架自行开发的程序捕获网络数据包,分析出P2P应用软件的特征码;
[0006] 二、通过算法进行流分类:采用哈希表的方法,将TCP流分成Bit torrent流和非 Bittorrent流;当数据包到达后,提取数据包的源ip地址、源端口、目的ip地址和目的端口 作为哈希函数的key,计算该key对应的哈希地址,计算出的哈希地址在哈希表中,贝Ij表明该 数据包所属的Bittorrent流已存在于哈希表中,否则该数据包进行应用层特征匹配;
[0007] 三、完成流量统计:通过提取BitTorrent应用层特征作为BitTorrent流的唯一标 识,利用Linux系统下Netfi Iter的扩展机制实现数据包应用层信息与BitTorrent流特征的 匹配,将TCP流分成BitTorrent流和非BitTorrent流,对BitTorrent流进行实时统计。
[0008] 所述步骤一中通过分析获取特征码的详细过程为:通过sniffer程序捕获P2P应用 软件的网络数据包,再进行手工分析,从中找出特征码。
[0009] 所述步骤三中提取如下特征值识别BitTorrent协议:TCP载荷的第一个字节是19 (0x13);紧接着19个字节为字符串“Bittorrent protocol”。
[0010] 所述步骤三中的数据包应用层信息与BitTorrent流特征匹配的详细过程为:系统 分为用户空间部分和内核部分,内核部分完成P2P流量识别并统计每个P2P连接的包的个 数、大小信息,填充到连接跟踪hash表中;然后通过一种内核与用户空间通信协议,根据流 量测量需求,以一定的时间频率向用户空间返回内核中的流量统计信息,该通信协议是指 将内核中的流量统计信息输出到用户空间,在用户空间处理统计数据,获取所需要的流量 行为参数,并完成应用层特征匹配:
[0011] 1)应用层特征匹配在内核中实现,在内核模块中通过match函数完成;
[0012] 2)应用层特征匹配在用户空间实现,在内核中加入相关的内核模块选项后,在用 户空间进行说明,为该模块提供相关的命令行选项,同时各个扩展模块通过共享库使用一 个版本的iptables,而不必编写相关扩展的特定版本,共享库在装载时被自动调用,共享库 中重要数据结构是:iptables_match,它作为参数传递给register-match (),注册相关的 命令行匹配选项,让iptables识别新的match函数;
[0013] 3)统计功能由Iibiptc完成,Iibiptc是iptables的控制库函数,它提供了一组内 核接口函数,用来管理iptabl es内核模块中的规则,并从内核中取出每条过滤规则的统计 结果。
[0014] 所述流量测量通过基于路由的流量控制器完成,该流量控制器包括队列、分类和 过滤器,其中队列用来实现控制网络的收发速度,通过队列,Linux可以将网络数据包缓存 起来,然后根据用户的设置平滑网络流量,它封装了类和分类器;类用来表示控制策略,即 对不同的ip实行不同的流量控制;过滤器用来将用户划入到具体的控制策略中;其具体测 量过程为:
[0015] 1)建立流量控制器,即顺序建立队列、建立分类、建立过滤器和建立路由,同时对 现有的队列、分类、过滤器和路由进行监视;
[0016] 2)针对网络物理设备绑定一个类基队列;
[0017] 3)在该队列上建立分类;
[0018] 4)为每一分类建立一个基于路由的过滤器;
[0019] 5)最后与过滤器相配合,建立特定的路由表;
[0020] 6)通过输入命令完成流量统计工作和限制工作。
[0021] 本发明与现有技术相比所产生的有益效果是:
[0022] 本发明的一种网络流量检测方法包括P2P协议流量的识别、流分类算法和流量统 计框架的设计,通过检测应用层数据的特征码,并把数据按照特征码划分为不同的数据流 量,并进行分类统计的方法,既能够基于一般的传统识别方法识别出一般协议,又能够通过 高级的识别方法识别出那些较难识别的网络协议的防火墙构建方法;在Netf i I ter框架上 实现P2P流量测量系统,可以充分利用其可扩展性,编写内核模块在内核中实现P2P流量的 高速识别和测量,让繁重的捕包和统计工作在内核完成,提高效率;实用性强,通过用户编 写自己的流量匹配程序,并把本发明给出的算法写进自己的程序中,并编译进内核,再结合 Linux自带的流量测量和控制模块,可以很好的测量用户自己想要测量的网络流量,易于推 广。
附图说明
[0023] 附图1是本发明测量框架示意图。
[0024] 附图2是本法的内核和用户空间通信机制示意图。
具体实施方式
[0025] 下面结合附图对本发明的一种网络流量检测方法作以下详细说明。
[0026] 如附图1、图2所示,本发明提供一种网络流量检测方法,其具体实现过程为:
[0027] —、识别P2P协议流量:如何准确快速地识别P2P网络数据包成为比较困难的问题。 一种比较简单的方法是直接通过已知P2P软件常用端口判定P2P网络流量,但这可能导致使 用其中某端口的其他应用无法正常使用。另外如果P2P应用软件能够动态调整端口,则该方 法就无能为力了。例如BitTorrent通常在6881端口监听,若该端口被占用,则一直尝试到 6889端口。本发明采用归纳各种P2P应用软件的网络数据包特征码的方法加以判定。可以通 过如下2种途径获取特征码:
[0028] 参考相关P2P应用软件规范说明书。
[0029] BitTorrentl,eDonkey和eMule等软件都有详细的规范说明书,分析其说明书就可 以归纳出特征码。
[0030] 类似地,通过学习BitTorrent协议规范说明书,可以分析出BitTorrent特征码。 BitTorrent所使用的对等协议实际由一个握手开始。握手数据包格式为〈pstrlenXpstrX reservedXinfo一1^811>〈。661'_1(1>。其中。81:1'1611值为19,表示。81:1'所代表的协议标识符 “BitTorrent protocol”的长度。8B保留字段reserved当前都置0。对元文件中info信息进 行SHA 1运算后的哈希值长度为20B。而20B的peerjd则为客户端的唯一标识符。接收方也 会对元文件中info信息进行哈希运算。如果运算结果与inf o_hash不同则表示双方想传输 的不是同一文件,所以中断连接;否则在握手之后就是循环的消息流,且每个消息的前面都 有一个数字表示消息长度。由此可以看出,将“BitTorrentprotocol”作为BitTorrent数据 包的特征码,结合TCP协议的特点就可以判断出B i tTorrent协议数据包。
[0031] 实际使用中部分数据包如下所示。
[0032] 1 2 3 4 5 1 ^特征码如下表所示。
Figure CN103763154BD00061
2
Figure CN103763154BD00062
3 通过捕获P2P网络数据包分析对应特征码。 4 有些P2P应用软件虽然较为流行,但并不提供相关的规范说明书。分析并寻找特征 码的过程会比较困难,对此可以通过sniffer程序捕获P2P应用软件的网络数据包,再进行 手工分析,从中找出特征码。本发明利用基于Netfilter框架自行开发的程序捕获网络数据 包,分析出了部分P2P应用软件的特征码。例如,通过分析BitTorrent网络数据包完全可以 得到特征码“Bi tTorrentprotocol”。这也与Bi tTorrent协议规范说明书中的相关内容相互 认证。类似地,可以找到其他P2P软件网络数据包的特征码。 5 二、通过算法进行流分类:在测量方法中采用了基于哈希表的方法,将TCP流分成 Bittorrent流和非Bittorrent流。当数据包到达后,提取数据包的源ip地址、源端口、目的 ip地址和目的端口作为哈希函数的key,计算该key对应的哈希地址。若哈希地址在哈希表 中,则表明该数据包所属的Bittorrent流已存在于哈希表中,否则该数据包进行应用层特 征匹配。
[0038] 流分类中常用的哈希函数有XOR-Fo lding. Lowerl9bits,FNV-XOR等。考虑到流分 类过程是在内核中进行,哈希函数应易于实现,并能充分利用内存空间。结合XOR-Folding 方法,设计了如下的哈希函数来进行B i t torrent流分类,产生16位的哈希值。
Figure CN103763154BD00071
[0039] 设32位源ip地址表示为S1. S2. S3. S4,目的ip地址表示为D1. D2. D3. D4。源端口表示为 Pi. P2,目的端口表示为心.K2,其中Si,Di,Pi,Ki,(i = 1,2,3,4)表示四位二进制数哈希地址的 计算过程:
[0040]
[0041]
[0042]
[0043]
[0044]
[0045] 二、元成沭重统计。
Figure CN103763154BD00072
[0046] 1)设置统计构架:从BitTorrent协议可以看出,每个BitTorrent节点定时通过 HTTP协议将本节点监听端口号上传给Tracker服务器。这样,每个节点修改监听端口号对于 其他节点是透明的,即所谓的动态端口。因此,仅仅通过端口号是不能标识BitTorrent协议 的。本发明测量方法的主要思路是提取BitTorrent应用层特征作为BitTorrent流的唯一标 识,利用Linux系统下Netfi Iter的扩展机制实现数据包应用层信息与BitTorrent流特征的 匹配,将TCP流分成BitTorrent流和非BitTorrent流,对BitTorrent流进行实时统计。
[0047] 通过BitTorrent对等协议以及捕包分析看出:BitTorrent节点之间的连接始终是 以一个固定长度的握手消息开始的,因此提取如下特征值识别BitTorrent协议:
[0048] TCP载荷的第一个字节是19 (0x13)。
[0049] 紧接着19个字节为字符串“Bittorrent protocol”。
[0050] 2)基于应用层特征匹配的实现:在Netfilter框架上实现P2P流量测量系统,可以 充分利用其可扩展性,编写内核模块在内核中实现P2P流量的高速识别和测量,让繁重的捕 包和统计工作在内核完成,提高效率。
[0051] 通过应用层深层扫描数据包,可以准确的识别P2P流量,所以可以设计应用层匹配 模块来作为测量系统的P2P识别模块。如果对到达的数据包逐一进行应用层数据匹配,虽然 这样可以准确的识别到达的每一个P2P数据包(在支持的协议范围内),但是这对流量测量 来说远远不能满足效率要求,因为流量测量要尽可能的减少其对网络性能的影响,繁重的 匹配工作会增加延时、降低吞吐率,因此必须针对流量测量的特点进行改进。由于P2P流量 具有长时间固定连接的特点,所以可以充分利用该特征,引入一种用于高效流量测量的连 接跟踪机制,即发现一条连接的第一个包是P2P数据包后,后面针对该连接的所有数据包都 认定是P2P数据包,而无须进行深层次的应用层匹配,利用这种机制对识别出的P2P连接进 行高效的流量统计。然后通过一种内核一用户空间通信机制,将内核中的流量统计信息输 出到用户空间,在用户空间处理统计数据,获取所需要的流量行为参数。系统的整体框架如 下图。系统分为用户空间部分和内核部分。内核部分完成最重要的P2P流量识别并统计每个 P2P连接的包的个数、大小等信息,填充到连接跟踪hash表中;然后通过一种内核与用户空 间通信协议,根据流量测量需求设计一种通信机制,以一定的时间频率向用户空间返回内 核中的流量统计信息。
[0052]首先,应用层特征匹配在内核中的实现。
[0053] 新的match功能是一个独立的内核模块,使用ipt-register-match 〇将该模块进 行注册。match模块的核心是:ipt-match结构,它作为ipt-register-match 〇的参数注册 到match链表中,从而增加新的规则匹配选项。
[0054] 特征匹配主要由内核模块中match (const struct sk_buff*skb,const struct net_device*in,const struct net_device*out,const void氺match info,int offset, const void*hdr,u_int16_t datalen, int氺hotdrop)函数完成。
[0055] 再者,应用层特征匹配在用户空间的实现。
[0056] 在内核中加入相关的内核模块选项后,必须在用户空间进行说明,为该模块提供 相关的命令行选项。为了使各个扩展模块使用一个版本的iptables,而不必编写相关扩展 的特定版本,采用共享库可以解决该问题。共享库在装载时被自动调用,共享库中重要数据 结构是:iptables_match,它作为参数传递给register-match 〇,注册相关的命令行匹配 选项,让iptables识别新的match。应用层特征匹配模块声明的iptables_match结构如下:
[0057] static struct iptables match P2P= {
[0058] NULL,
[0059] “BT”,//match的名字必须与库函数名相同便于主程序根据match名加载相应//的 动态链接库。
[0060] iptables_version,//版本信息。
[0061] ipt align (sizeof (struct ipt_BT info)) ,//match的数据大小。
[0062] &help,//打印帮助选项大纲。
[0063] &init,//初始化 ipt_entry_match 结构。
[0064] &parSe,//扫描并接收match的命令行参数,正确接收返回非0。
[0065] &final_check,//当命令行参数全部处理完毕后以调用。
[0066] &print,//查询当中表的规则时,显示使用了当前match规则的额外信息。
[0067] &save,//按照parse允许的格式将本match的命令行参数输出到标准输出。
[0068] }
[0069] 最后,统计功能由Iibiptc完成。Iibiptc是iptables的控制库函数,它提供了一组 内核接口函数,用来管理iptables内核模块中的规则。通过调用Iibiptc中ipt_read_ counter ()函数,从内核中取出每条过滤规则的统计结果。
[0070] 该方法虽然能检测出P2P流量,但是前提是这些所测量的数据流中载荷的第一个 字节是19 (0x13)。而且紧接着19个字节为字符串“Bittorrentprotocol”。
[0071] 3)流量测量方法:TC是流量控制器Traffic Control的简称。主要是在输出端口处 建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的ip地址或目的子网的 网络号的流量控制。流量控制器TC,其基本的功能模块为队列、分类和过滤器。Linux内核中 支持的队列有,Class Based Queue,Token Bucket Flow,CSZ,First In First Out, Priority,TEQL,SFQ,ATM,RED。这里讨论的队列与分类都是基于CBQ (Class Based Queue) 的,而过滤器是基于路由(Route)的。
[0072] TC中的队列(queueing discipline):用来实现控制网络的收发速度。通过队列, Linux可以将网络数据包缓存起来,然后根据用户的设置,在尽量不中断连接(如TCP)的前 提下来平滑网络流量。需要注意的是,Linux对接收队列的控制不够好,所以在这里一般只 用发送队列,即“控发不控收”。它封装了其他两个主要TC组件(类和分类器)。内核如果需要 通过某个网络接口发送数据包,它都需要按照为这个接口配置的qdisc (排队规则)把数据 包加入队列。然后,内核会尽可能多地从qdisc里面取出数据包,把它们交给网络适配器驱 动模块。最简单的qdisc是pfifo它不对进入的数据包做任何的处理,数据包采用先入先出 的方式通过队列。不过,它会保存网络接口一时无法处理的数据包。队列规则包括FIFO (先 进先出),RED(随机早期探测),SFQ (随机公平队列)和令牌桶(Token Bucket),类基队列 (CBQ),CBQ是一种超级队列,即它能够包含其它队列(甚至其它CBQ)。
[0073] TC中的Class类:Class用来表示控制策略。很显然,很多时候很可能要对不同的ip 实行不同的流量控制策略,这时候就得用不同的Class来表示不同的控制策略了。
[0074] TC中的过滤器filter规则:filter用来将用户划入到具体的控制策略中(即不同 的Class中)。比如,现在对xxa,xxb两个ip实行不同的控制策略(A,B)。这时,可用filter将 xxa划入到控制策略A,将xxb划入到控制策略B ,filter划分的标志位可用u32打标功能或 iptables的set-mark (大多使用iptables来做标记)功能来实现。
[0075] 目前,TC可以使用的过滤器有:fwmark分类器,U32分类器,基于路由的分类器和 RSVP分类器(分别用于ipV6,ipV4)等;其中,fwmark分类器允许使用Linux Netfilter代码 选择流量,而u32分类器允许选择基于ANY头的流量。需要注意的是filter (过滤器)是在 qdisc内部,它们不能作为主体。
[0076] TC的应用流程是数据包-Mptables (在通过iptables时,iptables根据不同的ip 来设置不同的mark) _>TC (Class) _>TC (queue)。配置和使用流量控制器TC,主要分以下几个 方面:分别为建立队列、建立分类、建立过滤器和建立路由,另外还需要对现有的队列、分 类、过滤器和路由进行监视。
[0077] 其基本使用步骤为:
[0078] 针对网络物理设备(如以太网卡ethO)绑定一个CBQ队列;
[0079] 在该队列上建立分类;
[0080] 为每一分类建立一个基于路由的过滤器;
[0081] 最后与过滤器相配合,建立特定的路由表。
[0082] 前面已经知道iptables中的mark模块可以将mark标记用于给特定的数据包打上 标签,这样就可以配合TC做QOS流量限制或应用策略路由。每一个标示为P2P连接的包被标 记成“Γ,然后再通过TC过滤,使用HTB和过滤,将所有标记为“Γ的包放到每一个设备类中, 通过对这些设备类的限制来达到对P2P连接带宽的限制。
[0083]本发明即为根据网络数据包的特征码编写自己的流量识别规则,然后区别被识别 的流量和被忽略的流量,其中用到的是上面提到过的流分类算法,然后把函数接口挂接到 Netfilter框架的NF_IP_L0CAL_IN钩点。把写好的模块编译进内核,就是把函数名挂接到 i p_i nput. c文件中。然后用户根据自己的需求编写i p tab I e s规则,用来标记自己想要统计 的那部分流量。最后是流量统计模块TC的配置,只需要几行命令行就可以配置想要统计的 流量,并限速。
[0084]以上所述仅为本发明的实施例而已,凡在本发明的精神和原则之内,所作的任何 修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (2)

1. 一种网络流量检测方法,其特征在于其具体实现步骤为: 一、 识别P2P协议流量:从P2P应用软件说明书中获取特征码;或通过基于Netf i I ter框 架自行开发的程序捕获网络数据包,分析出P2P应用软件的特征码; 该步骤一中通过分析获取特征码的详细过程为:通过sniffer程序捕获P2P应用软件的 网络数据包,再进行手工分析,从中找出特征码; 二、 通过算法进行流分类:采用哈希表的方法,将TCP流分成Bittorrent流和非 Bittorrent流;当数据包到达后,提取数据包的源ip地址、源端口、目的ip地址和目的端 口作为哈希函数的key,计算该key对应的哈希地址,计算出的哈希地址在哈希表中,贝Ij表明 该数据包所属的Bittorrent流已存在于哈希表中,否则该数据包进行应用层特征匹配; 且通过哈希函数来进行Bi ttorrent流分类,产生16位的哈希值,该过程为: 设32位源ip地址表示为目的ip地址表示为D^D2H;源端口表示为Pi、 P2;目的端口表示为K1、K2;其中Si,Di,Pi,Ki中的i=l,2,3,4,表示四位二进制数哈希地址的 计算过程: S=Si+S2+S3+S4; D=Dl+D2+D3+D4; Ρ=Ρι+Ρ2; Κ=Κι+Κ2; Addr= (SandOxOF) <<12 + (DandOxOF) <<8+ (PandOxFO) + (KandOxFO) >>4; 三、 完成流量统计:通过提取BitTorrent应用层特征作为BitTorrent流的唯一标识,利 用Linux系统下Netfi Iter的扩展机制实现数据包应用层信息与BitTorrent流特征的匹配, 将TCP流分成BitTorrent流和非BitTorrent流,对BitTorrent流进行实时统计; 所述步骤三中的数据包应用层信息与BitTorrent流特征匹配的详细过程为:系统分为 用户空间部分和内核部分,内核部分完成P2P流量识别并统计每个P2P连接的包的个数、大 小信息,填充到连接跟踪Hash表中;然后通过一种内核与用户空间通信协议,根据流量测量 需求,以一定的时间频率向用户空间返回内核中的流量统计信息,该通信协议是指将内核 中的流量统计信息输出到用户空间,在用户空间处理统计数据,获取所需要的流量行为参 数,并完成应用层特征匹配: 1) 应用层特征匹配在内核中实现,在内核模块中通过match函数完成; 2) 应用层特征匹配在用户空间实现,在内核中加入相关的内核模块选项后,在用户空 间进行说明,为该模块提供相关的命令行选项,同时各个扩展模块通过共享库使用一个版 本的iptables,而不必编写相关扩展的特定版本,共享库在装载时被自动调用,共享库中重 要数据结构是:iptables_match,它作为参数传递给register-match 〇,注册相关的命令 行匹配选项,让iptables识别新的match函数; 3) 统计功能由Iibiptc完成,Iibiptc是iptables的控制库函数,它提供了一组内核 接口函数,用来管理iptabl es内核模块中的规则,并从内核中取出每条过滤规则的统计结 果。
2. 根据权利要求1所述的一种网络流量检测方法,其特征在于:所述流量测量通过基于 路由的流量控制器完成,该流量控制器包括队列、分类和过滤器,其中队列用来实现控制网 络的收发速度,通过队列,Linux将网络数据包缓存起来,然后根据用户的设置平滑网络流 量,它封装了类和分类器;类用来表示控制策略,即对不同的ip实行不同的流量控制;过滤 器用来将用户划入到具体的控制策略中;其具体测量过程为: 1) 建立流量控制器,即顺序建立队列、建立分类、建立过滤器和建立路由,同时对现有 的队列、分类、过滤器和路由进行监视; 2) 针对网络物理设备绑定一个类基队列; 3) 在该队列上建立分类; 4) 为每一分类建立一个基于路由的过滤器; 5) 最后与过滤器相配合,建立特定的路由表; 6) 通过输入命令完成流量统计工作和限制工作。
CN201410011840.8A 2014-01-11 2014-01-11 一种网络流量检测方法 Active CN103763154B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410011840.8A CN103763154B (zh) 2014-01-11 2014-01-11 一种网络流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410011840.8A CN103763154B (zh) 2014-01-11 2014-01-11 一种网络流量检测方法

Publications (2)

Publication Number Publication Date
CN103763154A CN103763154A (zh) 2014-04-30
CN103763154B true CN103763154B (zh) 2018-02-23

Family

ID=50530317

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410011840.8A Active CN103763154B (zh) 2014-01-11 2014-01-11 一种网络流量检测方法

Country Status (1)

Country Link
CN (1) CN103763154B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104581833A (zh) * 2015-01-12 2015-04-29 北京极科极客科技有限公司 一种网络加速的方法
CN106162594B (zh) * 2015-04-20 2020-02-07 Tcl集团股份有限公司 基于IPtables的WIFI热点流量统计方法及系统
CN105978748A (zh) * 2016-04-26 2016-09-28 上海斐讯数据通信技术有限公司 一种基于哈希节点的终端设备信息统计的方法及装置
CN106452856A (zh) * 2016-09-28 2017-02-22 杭州鸿雁智能科技有限公司 流量统计方法及装置和具有流量统计功能的无线接入设备
CN108270730A (zh) * 2016-12-30 2018-07-10 北京飞利信电子技术有限公司 一种扩展防火墙的应用层检测方法、装置及电子设备
CN108304409B (zh) * 2017-01-13 2021-11-16 北京大学 一种基于进位的Sketch数据结构的数据频度估计方法
CN106789728A (zh) * 2017-01-25 2017-05-31 甘肃农业大学 一种基于NetFPGA的VoIP流量实时识别方法
CN107707422A (zh) * 2017-08-24 2018-02-16 四川天邑康和通信股份有限公司 基于onu驱动层快速ack回复的网络测速方法
CN108494616A (zh) * 2018-02-26 2018-09-04 上海康斐信息技术有限公司 一种手机app流量测试方法及系统
CN108718257B (zh) * 2018-05-23 2020-10-20 浙江大学 一种基于网络流量的无线摄像头检测及定位方法
CN110149248B (zh) * 2019-06-06 2020-03-03 杭州商湾网络科技有限公司 一种快速统计分析路由器流量的方法
CN110661684B (zh) * 2019-09-29 2021-06-29 北京浪潮数据技术有限公司 流量统计方法及装置
CN111031567A (zh) * 2020-01-14 2020-04-17 南通先进通信技术研究院有限公司 一种核心网设备的流量统计方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101909077A (zh) * 2010-07-09 2010-12-08 北京邮电大学 一种对等业务的识别方法、装置及接入网
CN102118320A (zh) * 2011-04-18 2011-07-06 北京神州数码思特奇信息技术股份有限公司 一种协议识别和流量控制方法
CN102387045A (zh) * 2011-09-30 2012-03-21 北京信息科技大学 嵌入式p2p流量监控系统及方法
CN102404396A (zh) * 2011-11-14 2012-04-04 北京星网锐捷网络技术有限公司 P2p流量识别方法、装置、设备和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101909077A (zh) * 2010-07-09 2010-12-08 北京邮电大学 一种对等业务的识别方法、装置及接入网
CN102118320A (zh) * 2011-04-18 2011-07-06 北京神州数码思特奇信息技术股份有限公司 一种协议识别和流量控制方法
CN102387045A (zh) * 2011-09-30 2012-03-21 北京信息科技大学 嵌入式p2p流量监控系统及方法
CN102404396A (zh) * 2011-11-14 2012-04-04 北京星网锐捷网络技术有限公司 P2p流量识别方法、装置、设备和系统

Also Published As

Publication number Publication date
CN103763154A (zh) 2014-04-30

Similar Documents

Publication Publication Date Title
CN103763154B (zh) 一种网络流量检测方法
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
US8797901B2 (en) Method and its devices of network TCP traffic online identification using features in the head of the data flow
CN103582512B (zh) 特征提取装置、网络流量识别方法、装置和系统
CN101656677B (zh) 一种报文分流处理方法及装置
CN103262483B (zh) 聚集和估计多个网络接口的带宽的系统和方法
CN102739457B (zh) 一种基于dpi和svm技术的网络流量识别方法
US10237192B2 (en) Apparatus and system for optimizing communication networks
CN106034056A (zh) 一种业务安全分析的方法和系统
CN109962825A (zh) 在一网络中监测传输量的方法及装置
CN107547290A (zh) 流量检测方法和装置
WO2018223825A1 (zh) 数据流的处理方法和设备
CN101599897A (zh) 一种基于应用层检测的对等网络流量控制方法
WO2016054992A1 (zh) 网络数据采集系统及方法
RU2598293C1 (ru) Способ и устройство для передачи стандартных данных конфигурации усовершенствованной системы выбора протокола передачи
CN106789728A (zh) 一种基于NetFPGA的VoIP流量实时识别方法
CN103973598B (zh) 实现网关QoS保障的动态带宽调整系统及方法
CN104038382B (zh) 网络监视系统
CN112956159A (zh) 针对有线网络的主动定向数据平面业务监视
CN101854366A (zh) 一种对等网络流量识别的方法及装置
KR101264951B1 (ko) 단말기를 위한 정보량을 인터셉트하고 분석하는 장치
CN105553792A (zh) 一种家庭网关识别接入设备类型的系统及方法
JP6290849B2 (ja) トラフィック解析システムおよびトラフィック解析方法
WO2018197924A1 (en) Method and system to detect virtual network function (vnf) congestion
Halder et al. Performance analysis of CoAP, 6LoWPAN and RPL routing protocols of IoT using COOJA simulator

Legal Events

Date Code Title Description
PB01 Publication
C06 Publication
SE01 Entry into force of request for substantive examination
C10 Entry into substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20180813

Address after: 250101 S06 tower, 1036, Chao Lu Road, hi tech Zone, Ji'nan, Shandong.

Patentee after: Shandong wave cloud Mdt InfoTech Ltd

Address before: 250014 1036 Shun Ya Road, hi tech Zone, Ji'nan, Shandong.

Patentee before: Langchao Electronic Information Industry Co., Ltd.

TR01 Transfer of patent right
CP03 Change of name, title or address

Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Patentee after: Inspur cloud Information Technology Co., Ltd

Address before: 250101 S06 tower, 1036, Chao Lu Road, hi tech Zone, Ji'nan, Shandong.

Patentee before: SHANDONG LANGCHAO YUNTOU INFORMATION TECHNOLOGY Co.,Ltd.

CP03 Change of name, title or address