CN104243225B - 一种基于深度包检测的流量识别方法 - Google Patents
一种基于深度包检测的流量识别方法 Download PDFInfo
- Publication number
- CN104243225B CN104243225B CN201310243498.XA CN201310243498A CN104243225B CN 104243225 B CN104243225 B CN 104243225B CN 201310243498 A CN201310243498 A CN 201310243498A CN 104243225 B CN104243225 B CN 104243225B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- message
- tcp
- threshold
- matching result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于深度包检测的流量识别方法,首先判断接收到的报文中的TCP端口号是否大于第一阈值,若大于第一阈值则使用DPI技术进行判断,否则则使用TCP连接信息进行判断。通过应用以上技术,能够使得在流量识别中更加准确、快捷的得到识别结果,并且在识别流程上也大幅优化,能够更容易的在现有设备中实现。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种深度包检测的方法。
背景技术
随着近年来基于P2P(peer to peer)流量模型的新型网络应用的不断发展,网络带宽资源的消耗速度不断加快,网上传统业务也受到了越来越大的冲击和影响。P2P本身是一种很好的技术,有广阔的使用前景,但同时P2P也是一种杀伤力很强的技术。目前,基于P2P的应用多为带宽耗尽型的下载业务,使得原本富裕的接入、汇聚和骨干带宽资源被消耗殆尽,网络链路经常处于满负荷状态,导致网络服务质量恶化(丢包率、时延及抖动大大增加),使部分对端到端QoS(quality of service)要求较高的语音、视频、游戏类业务的发展受到很大影响,同时挤占了传统互联网应用的带宽资源。如何有效控制此类低价值业务流量对带宽的侵蚀,解决骨干网增量不增收的现状,是摆在运营商面前的一个现实问题。
深度包检测(DPI)技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。深度包检测法就是基于这种原理,通过检测各种P2P 应用协议使用的固定特征字来识别各种 P2P应用。
使用DPI技术能带来以下好处:
a) 检测准确率比基于端口和流量模式的方法高, 端口的变化不会影响检测率。
b) 能够检测使用最广泛的 P2P 应用。
c) 适合流量的精确检测。
发明人在实现实际使用DPI技术时,发现现有技术至少存在如下缺点:
a) 无法识别新出现的、经加密的 P2P 应用, 会出现漏判。
b) 协议分析和特征搜寻需要投入大量人力及时间。
c) 难以获取加密协议的特征。
d) 特征的选择对检测性能有很大影响。
e) 系统检测模块需不定期地进行升级。
f) 查看应用层的内容涉及隐私的问题。
g) 对检测设备的处理能力要求较高。
发明内容
本发明提供了一种利用DPI技术进行TCP流量识别的方法,包括:
步骤202、接收TCP连接报文,所述报文中包括网络控制数据和用户发送的数据;
步骤204、识别报文中包括的源端的端口号,对端口号进行判断;
步骤206、若端口号大于预设的第一阈值则跳转到步骤212,否则进入步骤208;
步骤208、对报文进行DPI处理,提取报文中的字符串,将字符串经过由1个哈希函数构成的Bloom Filter,进行粗匹配,若匹配成功则直接报告匹配结果,进入步骤210;若匹配不成功,则进入细匹配,将字符串经过由n个哈希函数构成的Bloom Filter,其中n为自然数且n>1,获得匹配结果,进入步骤210;
步骤210、所述匹配结果进行分析,若是异常结果则对异常进行上报,进入步骤214;若非异常结果则不进行上报,进入步骤214;
步骤212、对TCP连接信息进行分析,若在一定的时间内TCP的连接数大于第二阈值且该一定的时间内最大连接数和最小连接数差值高于第三阈值,则判断流量异常,对异常进行上报,进入步骤214;否则不上报异常,进入步骤214;
步骤214、流量识别结束。
本发明中,通过首先判断端口号,再进行有针对性的识别的方式,有效的区别了不同情况下的流量识别方式。并且,通过Bloom Filter实现了DPI的处理,精确的获取处理结果。同时,通过判断TCP连接的特征更加便捷的实现了流量的识别。通过应用以上技术,能够使得在流量识别中更加准确、快捷的得到识别结果,并且在识别流程上也大幅优化,能够更容易的在现有设备中实现。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施一的流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下将通过具体实施例和相关附图,对本发明作进一步详细说明。
实施例一
本发明实施例一提供了一种利用DPI技术进行TCP流量识别的方法,包括:
步骤202、接收TCP连接报文,所述报文中包括网络控制数据和用户发送的数据;
步骤204、识别报文中包括的源端的端口号,对端口号进行判断;
步骤206、若端口号大于预设的第一阈值则跳转到步骤212,否则进入步骤208;
步骤208、对报文进行DPI处理,提取报文中的字符串,将字符串经过由1个哈希函数构成的Bloom Filter,进行粗匹配,若匹配成功则直接报告匹配结果,进入步骤210;若匹配不成功,则进入细匹配,将字符串经过由n个哈希函数构成的Bloom Filter,其中n>1,获得匹配结果,进入步骤210;
步骤210、对所述匹配结果进行分析,若是异常结果则对异常进行上报,进入步骤214;若非异常结果则不进行上报,进入步骤214;
步骤212、对TCP连接信息进行分析,若在一定的时间内TCP的连接数大于第二阈值且连接数的变化率高于第三阈值,则判断流量异常,对异常进行上报,进入步骤214;否则不上报异常,进入步骤214;
步骤214、流量识别结束。
实施例二
在实施例一的步骤214完成后,继续进行步骤216、将异常的报文的特征进行存储,以参照该特征对后续报文进行识别,所述特征包括以下至少一项:所述TCP连接的五元组、所述匹配结果。
实施例三
在实施例二的参照该特征对后续报文进行识别中,具体为:根据异常报文所在的TCP的源IP地址和目的IP地址识别发送异常报文的通信双方,对于该通信双方的所有端口上发送的数据进行DPI处理,获取匹配结果,并进行分析,上报异常结果。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
上列较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种利用DPI技术进行TCP流量识别的方法,其特征在于,包括:
步骤202、接收TCP连接报文,所述报文中包括网络控制数据和用户发送的数据;
步骤204、识别报文中包括的源端的端口号,对端口号进行判断;
步骤206、若端口号大于预设的第一阈值则跳转到步骤212,否则进入步骤208;
步骤208、对报文进行DPI处理,提取报文中的字符串,将字符串经过由1个哈希函数构成的Bloom Filter,进行粗匹配,获得匹配结果,进入步骤210;
步骤210、所述匹配结果进行分析,若是异常结果则对异常进行上报,进入步骤214;若非异常结果则不进行上报,进入步骤214;
步骤212、对TCP连接信息进行分析,若在一定的时间内TCP的连接数大于第二阈值且连接数的变化率高于第三阈值,则判断流量异常,对异常进行上报,进入步骤214;否则不上报异常,进入步骤214;
步骤214、流量识别结束。
2.根据权利要求1所述的方法,其特征在于,在步骤214之后,还包括:
步骤216、将异常的报文的特征进行存储,以参照该特征对后续报文进行识别,所述特征包括以下至少一项:所述TCP连接的五元组、所述匹配结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310243498.XA CN104243225B (zh) | 2013-06-19 | 2013-06-19 | 一种基于深度包检测的流量识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310243498.XA CN104243225B (zh) | 2013-06-19 | 2013-06-19 | 一种基于深度包检测的流量识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104243225A CN104243225A (zh) | 2014-12-24 |
| CN104243225B true CN104243225B (zh) | 2017-08-08 |
Family
ID=52230623
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310243498.XA Active CN104243225B (zh) | 2013-06-19 | 2013-06-19 | 一种基于深度包检测的流量识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243225B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099822A (zh) * | 2015-08-04 | 2015-11-25 | 北京瑞汛世纪科技有限公司 | 一种测量网络性能的方法和物理机 |
| CN107426049A (zh) * | 2017-05-16 | 2017-12-01 | 国家计算机网络与信息安全管理中心 | 一种网络流量精确检测方法、设备及存储介质 |
| CN108683678A (zh) * | 2018-05-28 | 2018-10-19 | 北京天地和兴科技有限公司 | 一种基于行为协同感知模型的异常行为预测方法 |
| CN111404768A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种dpi识别的实现方法及设备 |
| CN109905486B (zh) * | 2019-03-18 | 2021-09-21 | 杭州迪普科技股份有限公司 | 一种应用程序识别展示方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383829A (zh) * | 2008-10-17 | 2009-03-11 | 杭州华三通信技术有限公司 | 一种流识别方法及带宽管理设备 |
| CN101645803A (zh) * | 2008-08-05 | 2010-02-10 | 中兴通讯股份有限公司 | 点对点业务的识别方法和互联网业务识别系统 |
| CN101854366A (zh) * | 2010-06-10 | 2010-10-06 | 中兴通讯股份有限公司 | 一种对等网络流量识别的方法及装置 |
| CN102035750A (zh) * | 2010-12-31 | 2011-04-27 | 杭州华三通信技术有限公司 | 点对点流量识别方法及装置 |
| CN102148854A (zh) * | 2010-10-19 | 2011-08-10 | 华为数字技术有限公司 | 对等节点共享流量识别方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9026644B2 (en) * | 2011-03-10 | 2015-05-05 | Verizon Patent And Licensing Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
-
2013
- 2013-06-19 CN CN201310243498.XA patent/CN104243225B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645803A (zh) * | 2008-08-05 | 2010-02-10 | 中兴通讯股份有限公司 | 点对点业务的识别方法和互联网业务识别系统 |
| CN101383829A (zh) * | 2008-10-17 | 2009-03-11 | 杭州华三通信技术有限公司 | 一种流识别方法及带宽管理设备 |
| CN101854366A (zh) * | 2010-06-10 | 2010-10-06 | 中兴通讯股份有限公司 | 一种对等网络流量识别的方法及装置 |
| CN102148854A (zh) * | 2010-10-19 | 2011-08-10 | 华为数字技术有限公司 | 对等节点共享流量识别方法和装置 |
| CN102035750A (zh) * | 2010-12-31 | 2011-04-27 | 杭州华三通信技术有限公司 | 点对点流量识别方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| Bloomfilter的研究和应用;池静 等;《河北建筑科技学院学报》;20031231;第20卷(第4期);正文第59-61页 * |
| 基于Bloom Filter的大规模异常TCP连接参数再现方法;龚俭 等;《软件学报》;20060331;第17卷(第3期);正文第434-443页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104243225A (zh) | 2014-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104243225B (zh) | 一种基于深度包检测的流量识别方法 | |
| US11425047B2 (en) | Traffic analysis method, common service traffic attribution method, and corresponding computer system | |
| TW536890B (en) | Scalable real-time quality of service monitoring and analysis of service dependent subscriber satisfaction in IP networks | |
| EP2434689B1 (en) | Method and apparatus for detecting message | |
| CN103905261B (zh) | 协议特征库在线更新方法及系统 | |
| WO2017000750A1 (zh) | 测量终端上运行的业务的质量的方法、设备及系统 | |
| US20150326486A1 (en) | Application identification in records of network flows | |
| CN106416171A (zh) | 一种特征信息分析方法及装置 | |
| CN114009089A (zh) | 在通信网络中估计时延敏感业务流的质量度量 | |
| CN112769633B (zh) | 一种代理流量检测方法、装置、电子设备及可读存储介质 | |
| CN112822167A (zh) | 异常tls加密流量检测方法与系统 | |
| Yan et al. | Identifying wechat red packets and fund transfers via analyzing encrypted network traffic | |
| WO2015081693A1 (zh) | 一种网络共享用户识别方法及装置 | |
| CN103096356A (zh) | 无线网络性能的分析方法 | |
| WO2020135429A1 (zh) | 流量的分析、检测方法及装置 | |
| JP2017098907A (ja) | トラフィック解析システムおよびトラフィック解析方法 | |
| CN104253712B (zh) | 一种利用深度包检测技术进行p2p网络识别的方法 | |
| CN106789728A (zh) | 一种基于NetFPGA的VoIP流量实时识别方法 | |
| CN109474623B (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
| CN105245551A (zh) | 一种基于dns和包长组合的应用识别方法 | |
| JP2007228217A (ja) | トラフィック判定装置、トラフィック判定方法、及びそのプログラム | |
| CN101854366A (zh) | 一种对等网络流量识别的方法及装置 | |
| CN110166518B (zh) | 会话信息的传输方法、装置、存储介质及电子装置 | |
| CN104253786B (zh) | 一种基于正则表达式的深度包检测方法 | |
| CN110138682A (zh) | 一种流量识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100094, Beijing, Haidian District Zhongguancun software park on the two phase, building 15, Zhongxing building, three floor Applicant after: BEIJING SAPLING TECHNOLOGY Co.,Ltd. Address before: 100084 No. 2 building, No. 1, Nongda South Road, Beijing, Haidian District, B-604 Applicant before: BEIJING SAPLING TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20141224 Assignee: CHINA TECHNOLOGY EXCHANGE Co.,Ltd. Assignor: BEIJING SAPLING TECHNOLOGY Co.,Ltd. Contract record no.: X2023110000029 Denomination of invention: A Traffic Identification Method Based on Deep Packet Detection Granted publication date: 20170808 License type: Exclusive License Record date: 20230317 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Traffic Identification Method Based on Deep Packet Detection Effective date of registration: 20230323 Granted publication date: 20170808 Pledgee: CHINA TECHNOLOGY EXCHANGE Co.,Ltd. Pledgor: BEIJING SAPLING TECHNOLOGY Co.,Ltd. Registration number: Y2023110000115 |