CN104901897A - 一种应用类型的确定方法和装置 - Google Patents
一种应用类型的确定方法和装置 Download PDFInfo
- Publication number
- CN104901897A CN104901897A CN201510272541.4A CN201510272541A CN104901897A CN 104901897 A CN104901897 A CN 104901897A CN 201510272541 A CN201510272541 A CN 201510272541A CN 104901897 A CN104901897 A CN 104901897A
- Authority
- CN
- China
- Prior art keywords
- flow
- traffic
- application type
- traffic behavior
- behavior feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种应用类型的确定方法和装置,该方法包括:应用识别装置获取同一流量中的M个数据报文;利用所述M个数据报文确定所述流量的流量行为特征;在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型;若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的对应关系添加到所述流量模板;根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种应用类型的确定方法和装置。
背景技术
随着计算机与网络的普及,信息技术正在改变着、影响着人类的生活方式。各种网络应用层出不穷,安全威胁和网络滥用也与日俱增,给网络监管机构对各种网络流量进行深度识别提出了新的要求。
目前对流量进行识别与检测的技术包括:DPI(Deep Packet Inspection,深层数据包检测)技术。DPI技术主要通过对数据报文的负载进行特征匹配来识别数据报文的应用类型,即该数据报文所属流量的应用类型。
在上述识别方式中,需要基于特征库来进行应用类型的识别,特征库的大小、新旧、权威性,决定着识别的准确性。目前特征库的提取和开发,是以网络上的热门软件为目标,但对于一些较为独立的校园网、企业网,其运行着各自的非热门软件,涉及流媒体、P2P(Peer-to-Peer,点对点技术)、文件传输、即时聊天等多种应用类型,然而特征库的开发分析并未涉及这些校园网、企业网内的非热门软件,从而导致无法基于特征库识别出流量的应用类型。
发明内容
本发明实施例提供一种应用类型的确定方法,所述方法包括以下步骤:
应用识别装置获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
所述应用识别装置利用所述M个数据报文确定所述流量的流量行为特征;
所述应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型;
若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则所述应用识别装置输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的对应关系添加到所述流量模板;
所述应用识别装置根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型。
本发明实施例提供一种应用识别装置,所述应用识别装置具体包括:
获取模块,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
识别模块,用于利用所述M个数据报文确定所述流量的流量行为特征;
查询模块,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型;
输出模块,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征时,输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的对应关系添加到所述流量模板;
确定模块,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型。
基于上述技术方案,本发明实施例中,应用识别装置确定流量的流量行为特征,并基于用于记录流量行为特征与应用类型的对应关系的流量模板,确定该流量的应用类型,在根据流量模板未确定该流量的应用类型时,输出该流量的流量行为特征,以使用户可以自行更新流量模板中记录的流量行为特征与应用类型的对应关系。上述应用类型识别方式不需要基于特征库来识别流量的应用类型,相应的,也不需要依赖特征库的升级和规模,对于独立的校园网、企业网中运行的非热门软件,可以基于流量行为特征确定流量的应用类型,增强了应用识别装置对于流量的应用类型的识别能力,并为后续限速或者管控处理提供帮助。
附图说明
图1是本发明实施例提供的一种应用类型的确定方法流程示意图;
图2是本发明实施例提供的一种应用识别装置的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种应用类型的确定方法,该方法可以应用于应用识别装置。如图1所示,图1为本发明实施例提供的一种应用类型的确定方法流程示意图。
该应用类型的确定方法具体可以包括以下步骤:
步骤101,应用识别装置获取同一流量中的M个数据报文,其中M小于预设的数据报文获取数量,且获取M个数据报文的时间处于预设的时间范围内。
具体的,考虑到实际情况以及应用识别装置的性能和资源消耗,预先设置有预设的数据报文获取数量,以及预设的时间范围内,其中,预设的数据报文获取数量已经可以覆盖绝大多数流量所包括的数据报文数量,同样的,预设的时间范围也已经可以足够获取绝大多数流量中的所有数据报文,例如第一流量的数据报文数量共100个,预设的数据报文获取数量为1000,在此情况下,就只需要获取100个流量1的数据报文即可。而若是当某些特殊的流量(例如命名为第二流量)的数据报文数量超过了预设的数据报文获取数量,例如为1001,则只获取第二流量的1000个数据报文;同理,考虑到应用识别装置不能一直处于运行状态,例如设置预设的时间为1小时,针对于第一流量,若是在1小时内(例如30分钟)就获取到100个流量1的数据报文,则在获取到第100个数据报文时就中止获取的操作,即M为100,而若是到1小时的时间到时时,才获取到90个流量1的数据不再继续获取第一流量的数据报文,即M为90;再以第二流量为例来进行说明,若在1小时的时间到时时,才获取到990个第二流量的数据报文,则不再获取第二流量的数据报文,利用获取到的990个第二流量的数据报文来代表第二流量,即M为990,也即获取的数据报文的数量受到预设的时间范围和预设的数据报文获取数量以及流量本身所包括的数据报文数量的同时限制。
步骤102、应用识别装置利用M个数据报文确定流量的流量行为特征;
本发明实施例中,流量的流量行为特征具体包括但不限于以下之一或者任意组合:流量对应的报文持续时间、流量对应的报文平均转发速率、流量对应的报文传输字节、流量对应的目的端口的端口范围、流量的发起方向等特征信息。
其中,流量对应的报文持续时间为获取流量的M个数据报文的时间;流量对应的报文传输字节为流量的M个数据报文所传输的字节的和;流量对应的报文平均转发速率为流量的M个数据报文的所传输的比特数的和除以获取该M个数据报文的时间;流量对应的目的端口的范围为流量的M个数据报文的目的端口的范围;流量的发起方向为流量的M个数据报文的发起方向。
在本步骤101和步骤102中,应用识别装置可以获取针对同一流量中的M个数据报文,并对该M个数据报文进行分析,依照分析结果,可以得到该M个数据报文所在流量对应的流量行为特征。其中,获取针对同一流量中的M个数据报文的方式具体可以包括但不限于:获取目的IP地址相同且源IP地址相同的M个数据报文作为针对同一流量的M个数据报文。
步骤103、判断流量模板中是否有与流量的流量行为特征匹配的流量行为特征。具体的,若有,则执行步骤104;若没有,则执行步骤105。
步骤104,应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与流量的流量行为特征匹配的流量行为特征,确定匹配的流量行为特征对应的应用类型为流量的应用类型。
本发明实施例中,应用类型具体包括但不限于:HTTP(Hyper Text TransferProtocol,超文本传输协议)类型、Web(网页)类型、VPN(Virtual PrivateNetwork,虚拟专用网络)类型、游戏类型、流媒体类型、P2P(Peer-to-Peer,点对点)类型、NAT(Network Address Translation,网络地址转换)类型。
本发明实施例中,应用识别装置上可以维护预先配置的流量模板,且该预先配置的流量模板用于记录初始配置的流量行为特征与应用类型的对应关系;和/或,该应用识别装置上可以维护用户自定义的流量模板,且该用户自定义的流量模板用于记录用户设置的流量行为特征与应用类型的对应关系。
其中,预先配置的流量模板是指初始配置在应用识别装置上的流量模板,该预先配置的流量模板记录的流量行为特征与应用类型的对应关系为根据实际经验值,记录在预先配置的流量模板中的。例如,当基于实际的经验值,获知流量行为特征A与应用类型A之间具有对应关系时,则可以在预先配置的流量模板记录流量行为特征A与应用类型A之间的对应关系。
其中,用户自定义的流量模板是指应用识别装置接收到的用户配置的流量模板,该用户自定义的流量模板记录的流量行为特征与应用类型的对应关系为用户基于实际需要设置的。例如,用户根据实际识别效果和网络情况,认为流量行为特征C与应用类型C之间具有对应关系时,则可以在用户自定义的流量模板记录流量行为特征C与应用类型C之间的对应关系。
本发明实施例中,当应用识别装置上同时维护预先配置的流量模板、用户自定义的流量模板时,则还可以设置用户自定义的流量模板的匹配优先级高于预先配置的流量模板的匹配优先级。基于此,应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与流量的流量行为特征匹配的流量行为特征,确定匹配的流量行为特征对应的应用类型为流量的应用类型的过程,具体包括但不限于如下方式:应用识别装置在用户自定义的流量模板查找与流量的流量行为特征匹配的流量行为特征,如果用户自定义的流量模板中存在与流量的流量行为特征对应的应用类型匹配的第一流量行为特征,则确定第一流量行为特征对应的应用类型为流量的应用类型。如果用户自定义的流量模板中不存在与流量的流量行为特征匹配的第一流量行为特征,则应用识别装置在预先配置的流量模板查找与流量的流量行为特征匹配的流量行为特征,如果预先配置的流量模板中存在与流量的流量行为特征匹配的第二流量行为特征,则确定第二流量行为特征对应的应用类型为流量的应用类型。步骤105、若流量模板中没有与流量的流量行为特征匹配的流量行为特征,则应用识别装置输出流量的流量行为特征,以使用户将流量的流量行为特征与应用类型的对应关系添加到流量模板。
例如,当获取到流量的流量行为特征为流量行为特征B,通过流量行为特征B查询用于记录流量行为特征与应用类型的对应关系的流量模板,无法找到与流量行为特征B匹配的流量行为特征,那么也就无法确定流量行为特征为流量行为特征B的流量的应用类型。因此输出流量行为特征B,以使用户通过分析流量行为特征B,在确定该流量行为特征B对应的应用类型(如应用类型B)后,将流量行为特征B与应用类型B的对应关系添加至流量模板。
在一个例子中,该应用识别装置还可以接收用户输入的流量的流量行为特征与应用类型的对应关系,并将该流量行为特征与应用类型的对应关系添加到流量模板,具体可以添加到用户自定义的流量模板。
步骤106、应用识别装置根据用户添加到流量模板中的流量行为特征与应用类型的对应关系确定流量的应用类型。
以下结合具体的应用场景对上述过程进行详细说明。本应用场景下,假设应用识别装置上当前只维护表1所示的预先配置的流量模板(为描述方便,本例中将预先配置的流量模板成为流量模板1)。对于能够基于特征库识别出应用类型的流量,则应用识别装置通过深度解析出流量中的数据报文的报文载荷特征,并基于特征库和报文载荷特征识别出该流量的应用类型。对于不能够基于特征库识别出应用类型的流量(为描述方便,本例中将该流量称为流量1),则在预设的时间段N内,应用识别装置抓获流量1中的M个数据报文(如目的地址相同,且源地址相同的M个数据报文),通过对M个数据报文进行分析,得到流量1的流量行为特征。假设预设的时间范围为1小时,预设的数据报文获取数量为1000,流量1所包括的数据报文数为100,且应用识别装置在半小时内就获取了流量1的100个数据报文,则获取的流量1的M个数据报文,即为获取流量1的100个数据报文。基于该100个数据报文来分析流量的流量行为特征,包括:流量1对应的报文持续时间、流量1对应的报文平均转发速率、流量1对应的报文传输字节、流量1对应的目的端口的端口范围、流量1对应的发起方向等。
进一步的,应用识别装置在表1所示的流量模板1中查找与流量1的流量行为特征匹配的流量行为特征,将匹配的流量行为特征对应的应用类型为流量1的应用类型。
表1
例如,当流量1的流量行为特征为:流量对应的报文持续时间为z(秒),流量对应的报文平均转发速率为d(pps),流量对应的报文传输字节在k(bytes)与i(bytes)之间,流量对应的目的端口的端口范围小于端口a,流量对应的发起方向为内网到外网的数据报文时,基于表1所示的流量模板1,应用识别装置可以得出表1所示的流量模板1中存在与流量1的流量行为特征匹配的流量行为特征,且该匹配的流量行为特征对应的应用类型为VPN类型,因此可确定流量1的应用类型为VPN类型。
而若表1所示的流量模板1中不存在与流量1的流量行为特征匹配的流量行为特征时,应用识别装置将流量1的流量行为特征输出,以上报给用户,使用户对流量1的流量行为特征进行分析,得到流量1的流量行为特征与应用类型的对应关系,并将流量1的流量行为特征与应用类型的对应关系添加到流量模板中。应用识别装置接收用户输入的流量1的流量行为特征与应用类型的对应关系,建立用户自定义的流量模板(为描述方便,本例中将用户自定义的流量模板称为流量模板2),将该流量1的流量行为特征与应用类型的对应关系添加到流量模板2。应用识别装置便可以在流量模板2中查找到与流量1的流量行为特征匹配的流量行为特征,并将该匹配的流量行为特征对应的应用类型确定为流量1的应用类型。
另外,在建立流量模板2时,配置流量模板2的匹配优先级高于流量模板2,以使得应用识别装置在查询流量模板时,先查询流量模板2,若在流量模板2中查找到与流量的流量行为特征匹配的流量行为特征,则可以不查询流量模板1。例如,后续若再接收到流量1,就可以先查询流量模板2,由于流量模板2中已经记录了流量1的流量行为特征与应用类型的对应关系,因此不需要再查询流量模板1,便可以便可以确定出流量1的应用类型,可提高识别速度。
基于上述技术方案,本发明实施例中,应用识别装置确定流量的流量行为特征,并基于用于记录流量行为特征与应用类型的对应关系的流量模板,确定该流量的应用类型,在根据流量模板未确定该流量的应用类型时,输出该流量的流量行为特征,以使用户可以自行更新流量模板中记录的流量行为特征与应用类型的对应关系。上述应用类型识别方式不需要基于特征库来识别流量的应用类型,相应的,也不需要依赖特征库的升级和规模,对于独立的校园网、企业网中运行的非热门软件,可以基于流量行为特征确定流量的应用类型,增强了应用识别装置对于流量的应用类型的识别能力,并为后续限速或者管控处理提供帮助。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种应用识别装置,如图2所示,所述应用识别装置具体包括:
获取模块11,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
识别模块12,用于利用所述M个数据报文确定所述流量的流量行为特征;
查询模块13,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型;
输出模块14,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征时,输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的对应关系添加到所述流量模板;
确定模块15,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型。
本发明实施例中,所述应用识别装置还包括:
维护模块,用于维护预先配置的流量模板,所述预先配置的流量模板内记录初始配置的流量行为特征与应用类型的对应关系;和/或,维护用户自定义的流量模板,所述用户自定义的流量模板内记录用户设置的流量行为特征与应用类型的对应关系。
所述查询模块13,具体在所述用户自定义的流量模板查找与所述流量的流量行为特征匹配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为特征对应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用类型为所述流量的应用类型;如果所述用户自定义的流量模板中不存在与所述流量的流量行为特征匹配的第一流量行为特征,则所述应用识别装置在所述预先配置的流量模板查找与所述流量的流量行为特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与所述流量的流量行为特征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的应用类型为所述流量的应用类型。
所述输出模块14还用于:
接收用户输入的所述流量的流量行为特征与应用类型的对应关系,并将所述用户输入的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自定义的流量模板。
本发明实施例中,所述流量的流量行为特征具体包括以下之一或者任意组合:所述流量对应的报文持续时间、所述流量对应的报文平均转发速率、所述流量对应的报文传输字节、所述流量对应的目的端口的端口范围、所述流量的发起方向。进一步的,所述应用类型包括:超文本传输协议HTTP类型、网页Web类型、虚拟专用网络VPN类型、游戏类型、流媒体类型、点对点P2P类型、网络地址转换NAT类型。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种应用类型的确定方法,其特征在于,所述方法包括以下步骤:
应用识别装置获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
所述应用识别装置利用所述M个数据报文确定所述流量的流量行为特征;
所述应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型;
若所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征,则所述应用识别装置输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的对应关系添加到所述流量模板;
所述应用识别装置根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述应用识别装置维护预先配置的流量模板,所述预先配置的流量模板内记录了初始配置的流量行为特征与应用类型的对应关系;和/或
所述应用识别装置维护用户自定义的流量模板,所述用户自定义的流量模板内记录了用户设置的流量行为特征与应用类型的对应关系。
3.如权利要求2所述的方法,其特征在于,所述应用识别装置在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型,具体包括:
所述应用识别装置在所述用户自定义的流量模板查找与所述流量的流量行为特征匹配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为特征对应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用类型为所述流量的应用类型;
如果所述用户自定义的流量模板中不存在与所述流量的流量行为特征匹配的第一流量行为特征,则所述应用识别装置在所述预先配置的流量模板查找与所述流量的流量行为特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与所述流量的流量行为特征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的应用类型为所述流量的应用类型。
4.根据权利要求2所述的方法,其特征在于,在所述应用识别装置根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型之前,所述方法还包括:
所述应用识别装置接收用户输入的所述流量的流量行为特征与应用类型的对应关系,并将所述用户输入的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自定义的流量模板。
5.如权利要求1-4任一项所述的方法,其特征在于,所述流量的流量行为特征具体包括以下之一或者任意组合:所述流量对应的报文持续时间、所述流量对应的报文平均转发速率、所述流量对应的报文传输字节、所述流量对应的目的端口的端口范围、所述流量的发起方向。
6.一种应用识别装置,其特征在于,所述应用识别装置具体包括:
获取模块,用于获取同一流量中的M个数据报文,其中M小于或等于预设的数据报文获取数量,且获取M个数据报文的时间处于预设的时间范围内;
识别模块,用于利用所述M个数据报文确定所述流量的流量行为特征;
查询模块,用于在用于记录流量行为特征与应用类型的对应关系的流量模板中查找与所述流量的流量行为特征匹配的流量行为特征,确定所述匹配的流量行为特征对应的应用类型为所述流量的应用类型;
输出模块,用于当所述流量模板中没有与所述流量的流量行为特征匹配的流量行为特征时,输出所述流量的流量行为特征,以使用户将所述流量的流量行为特征与应用类型的对应关系添加到所述流量模板;
确定模块,用于根据用户添加到所述流量模板中的所述流量行为特征与应用类型的对应关系确定所述流量的应用类型。
7.如权利要求6所述的应用识别装置,其特征在于,还包括:
维护模块,用于维护预先配置的流量模板,所述预先配置的流量模板内记录初始配置的流量行为特征与应用类型的对应关系;和/或,维护用户自定义的流量模板,所述用户自定义的流量模板内记录用户设置的流量行为特征与应用类型的对应关系。
8.如权利要求7所述的应用识别装置,其特征在于,
所述查询模块,具体用于在所述用户自定义的流量模板查找与所述流量的流量行为特征匹配的流量行为特征,如果所述用户自定义的流量模板中存在与所述流量的流量行为特征对应的应用类型匹配的第一流量行为特征,则确定所述第一流量行为特征对应的应用类型为所述流量的应用类型;
如果所述用户自定义的流量模板中不存在与所述流量的流量行为特征匹配的第一流量行为特征,则所述应用识别装置在所述预先配置的流量模板查找与所述流量的流量行为特征匹配的流量行为特征,如果所述预先配置的流量模板中存在与所述流量的流量行为特征匹配的第二流量行为特征,则确定所述第二流量行为特征对应的应用类型为所述流量的应用类型。
9.根据权利要求7所述的应用识别装置,其特征在于,所述输出模块还用于:
接收用户输入的所述流量的流量行为特征与应用类型的对应关系,并将所述用户输入的所述流量的流量行为特征与应用类型的对应关系添加到所述用户自定义的流量模板。
10.如权利要求6-9任一项所述应用识别装置,其特征在于,所述流量的流量行为特征具体包括以下之一或者任意组合:所述流量对应的报文持续时间、所述流量对应的报文平均转发速率、所述流量对应的报文传输字节、所述流量对应的目的端口的端口范围、所述流量的发起方向。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510272541.4A CN104901897A (zh) | 2015-05-26 | 2015-05-26 | 一种应用类型的确定方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510272541.4A CN104901897A (zh) | 2015-05-26 | 2015-05-26 | 一种应用类型的确定方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104901897A true CN104901897A (zh) | 2015-09-09 |
Family
ID=54034297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510272541.4A Pending CN104901897A (zh) | 2015-05-26 | 2015-05-26 | 一种应用类型的确定方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104901897A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591973A (zh) * | 2015-12-31 | 2016-05-18 | 杭州数梦工场科技有限公司 | 应用识别方法及装置 |
| CN105939287A (zh) * | 2016-05-23 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN108243192A (zh) * | 2018-01-11 | 2018-07-03 | 世纪龙信息网络有限责任公司 | 应用访问网络的识别方法和系统 |
| CN110768875A (zh) * | 2019-12-27 | 2020-02-07 | 北京安博通科技股份有限公司 | 一种基于dns学习的应用识别方法及系统 |
| CN110768933A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 一种网络流量应用识别方法、系统及设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459695A (zh) * | 2009-01-09 | 2009-06-17 | 中国人民解放军信息工程大学 | P2p业务识别方法和装置 |
| CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
-
2015
- 2015-05-26 CN CN201510272541.4A patent/CN104901897A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459695A (zh) * | 2009-01-09 | 2009-06-17 | 中国人民解放军信息工程大学 | P2p业务识别方法和装置 |
| CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591973A (zh) * | 2015-12-31 | 2016-05-18 | 杭州数梦工场科技有限公司 | 应用识别方法及装置 |
| CN105591973B (zh) * | 2015-12-31 | 2019-12-20 | 杭州数梦工场科技有限公司 | 应用识别方法及装置 |
| CN105939287A (zh) * | 2016-05-23 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN108243192A (zh) * | 2018-01-11 | 2018-07-03 | 世纪龙信息网络有限责任公司 | 应用访问网络的识别方法和系统 |
| CN108243192B (zh) * | 2018-01-11 | 2020-12-15 | 世纪龙信息网络有限责任公司 | 应用访问网络的识别方法和系统 |
| CN110768933A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 一种网络流量应用识别方法、系统及设备和存储介质 |
| CN110768875A (zh) * | 2019-12-27 | 2020-02-07 | 北京安博通科技股份有限公司 | 一种基于dns学习的应用识别方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Vlăduţu et al. | Internet traffic classification based on flows' statistical properties with machine learning | |
| CN104901897A (zh) | 一种应用类型的确定方法和装置 | |
| US10410128B2 (en) | Method, device, and server for friend recommendation | |
| CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
| Wang et al. | An automatic application signature construction system for unknown traffic | |
| CN103347091A (zh) | 文档注释的共享方法与云端服务器 | |
| CN109359250A (zh) | 统一资源定位符处理方法、装置、服务器及可读存储介质 | |
| CN102647414A (zh) | 协议解析方法、设备及系统 | |
| CN102752216B (zh) | 一种识别动态特征应用流量的方法 | |
| CN107710263A (zh) | 商店访问数据创建和管理 | |
| CN109327479A (zh) | 加密流的识别方法及装置 | |
| CN116458120A (zh) | 保护网络资源免受已知威胁 | |
| JP5696147B2 (ja) | データネットワーク上での複数のフローを備える通信セッションの管理 | |
| CN108055166A (zh) | 一种嵌套的应用层协议的状态机提取系统及其提取方法 | |
| KR101860995B1 (ko) | 사물 기능과 클라우드 서비스를 활용한 자율 서비스 구성 방법 | |
| Li et al. | Cellular smartphone traffic and user behavior analysis | |
| CN106506400B (zh) | 一种数据流识别方法及出口设备 | |
| CN114510615A (zh) | 一种基于图注意力池化网络的细粒度加密网站指纹分类方法和装置 | |
| Chen et al. | Big data generation and acquisition | |
| CN111224891A (zh) | 一种基于动态学习三元组的流量应用识别系统及方法 | |
| US20230353648A1 (en) | Data tracking for data owners | |
| JP2022546879A (ja) | ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法 | |
| CN109388686A (zh) | 一种用户标识方法及装置 | |
| CN103166973A (zh) | 协议识别的方法和装置 | |
| CN107566187B (zh) | 一种sla违例监测方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150909 |