CN106341285A - 一种流量识别方法及装置 - Google Patents
一种流量识别方法及装置 Download PDFInfo
- Publication number
- CN106341285A CN106341285A CN201611055494.9A CN201611055494A CN106341285A CN 106341285 A CN106341285 A CN 106341285A CN 201611055494 A CN201611055494 A CN 201611055494A CN 106341285 A CN106341285 A CN 106341285A
- Authority
- CN
- China
- Prior art keywords
- rule
- target
- coarseness
- flow
- described target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/32—Specific management aspects for broadband networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明实施例公开了一种流量识别方法及装置,应用于流量识别设备,所述方法包括:确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则;所述粗粒度规则包括:用于识别应用的规则;根据所述目标粗粒度规则,识别所述目标流量对应的应用;确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则;所述细粒度规则包括:用于识别应用行为的规则和/或用于识别发送流量的客户端的规则;根据所述目标细粒度规则,识别所述目标流量对应的应用行为和/或发送所述目标流量的客户端。应用本发明实施例,提高了流量识别效率。
Description
技术领域
本发明涉及数据安全技术领域,特别涉及一种流量识别方法及装置。
背景技术
流量识别是指依据应用行为本身的特征,将承载在同一类型应用协议上的不同应用的不同应用行为区分出来的技术,它是数据深度安全(Deep Security)的基础,是流量识别设备的关键要求。
目前的流量识别主要是:从目标流量中提取用于应用识别、用于应用行为识别以及用于发送流量的客户端识别的特征字符串,根据提取的特征字符串以及预设识别规则库中的同时用于应用识别、应用行为识别以及发送流量的客户端识别的每一规则,识别目标流量对应的应用、应用行为、发送流量的客户端。示例性的,假设预设应用识别规则库包括3个应用、3种客户端和5种应用行为对应的3*3*5=45条规则,其中,每一条规则中都包含三个字符串,一个字符串用于应用匹配、一个字符串用于应用行为匹配、一个字符串用于发送流量的客户端的匹配。以基于AC(Aho-Corasick)-BM(Boyer-Moore)算法识别出目标流量对应的应用的具体应用行为以及发送目标流量的客户端为例,假设先识别应用,再识别发送流量的客户端,再识别应用行为,基于AC-BM算法的算法规则,对于内容不同但种类相同的规则,第一次需要使用AC匹配,后续需要使用BM匹配,因此对于同时用于应用识别、应用行为识别以及发送流量的客户端识别的上述45条规则,先识别应用,再识别发送流量的客户端,再识别应用行为的情况,识别应用需要使用AC匹配,识别发送流量的客户端和识别应用行为需要使用BM匹配,最坏情况需要1次AC匹配(识别应用)+15次BM匹配(识别发送流量的客户端)+5次BM匹配(识别应用行为),最好情况需要1次AC匹配(识别应用)+15次BM匹配(识别发送流量的客户端)+1次BM匹配(识别应用行为),其中AC(Aho-Corasick)为多模式匹配算法,BM(Boyer-Moore)为单模式匹配算法。但在实际应用中,应用、客户端、应用行为均很多,识别规则也很多。识别规则越多,流量识别效率越低。
发明内容
本发明实施例的目的在于提供一种流量识别方法及装置,以提高流量识别效率。
为达到上述目的,本发明实施例公开了一种流量识别方法,所述方法应用于流量识别设备,所述方法包括:
确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则;所述粗粒度规则包括:用于识别应用的规则;
根据所述目标粗粒度规则,识别所述目标流量对应的应用;
确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则;所述细粒度规则包括:用于识别应用行为的规则和/或用于识别发送流量的客户端的规则;
根据所述目标细粒度规则,识别所述目标流量对应的应用行为和/或发送所述目标流量的客户端。
为达到上述目的,本发明实施例还公开了一种流量识别装置,所述装置应用于流量识别设备,所述装置包括:第一确定模块、第一识别模块、第二确定模块和第二识别模块,其中,
所述第一确定模块,用于确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则;所述粗粒度规则包括:用于识别应用的规则;
所述第一识别模块,用于根据所述目标粗粒度规则,识别所述目标流量对应的应用;
所述第二确定模块,用于确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则;所述细粒度规则包括:用于识别应用行为的规则和/或用于识别发送流量的客户端的规则;
所述第二识别模块,用于根据所述目标细粒度规则,识别所述目标流量对应的应用行为和/或发送所述目标流量的客户端。
由上述的技术方案可见,本发明实施例提供了一种流量识别方法及装置,应用于流量识别设备,所述方法包括:确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则;所述粗粒度规则包括:用于识别应用的规则;根据所述目标粗粒度规则,识别所述目标流量对应的应用;确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则;所述细粒度规则包括:用于识别应用行为的规则和/或用于识别发送流量的客户端的规则;根据所述目标细粒度规则,识别所述目标流量对应的应用行为和/或发送所述目标流量的客户端。应用本发明实施例提供的技术方案,提高了流量识别效率。
当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种流量识别方法的流程示意图;
图2为本发明实施例提供的一种流量识别装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术问题,本发明实施例提供了一种流量识别方法及装置。下面首先对本发明实施例所提供的一种流量识别方法进行介绍。
需要说明的是,本发明实施例提供的一种流量识别方法及装置,优选适用于流量识别设备。在实际应用中,该流量识别设备可以是下一代防火墙。其中,下一代防火墙,即Next Generation Firewall,简称NGFW,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。
图1为本发明实施例提供的一种流量识别方法的流程示意图,可以包括:
S101:确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则;所述粗粒度规则包括:用于识别应用的规则;
在实际应用中,在所述目标流量为基于HTTP(HyperText Transfer Protocol,超文本传输协议)协议的流量时,确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则,可以根据所述目标流量的URI(Uniform Resource Identifier,统一资源标识符)字段,确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则。
当目标流量基于不同协议时,用于确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则的字段不同。
示例性的,可以从目标流量中提取用于应用识别的协议字段的值,可以先通过软件应用协议对目标流量进行解析,解析出各个协议字段,然后再提取用于应用识别的协议字段的值。根据提取的用于应用识别的协议字段的值,确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则。
S102:根据所述目标粗粒度规则,识别所述目标流量对应的应用;
S103:确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则;所述细粒度规则包括:用于识别应用行为的规则和/或用于识别发送流量的客户端的规则;
在实际应用中,在所述目标流量为基于HTTP协议的流量时,确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则,可以根据所述目标流量的body字段和/或header-useragent字段,确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则。
当目标流量基于不同协议时,用于确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则的字段不同。
示例性的,可以从目标流量中提取用于应用行为识别的协议字段的值和/或用于发送流量的客户端识别的值,可以先通过软件应用协议对目标流量进行解析,解析出各个协议字段,然后再提取用于应用行为识别的协议字段的值和/或用于发送流量的客户端识别的值。根据提取的用于应用行为识别的协议字段的值和/或用于发送流量的客户端识别的值,确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则。
S104:根据所述目标细粒度规则,识别所述目标流量对应的应用行为和/或发送所述目标流量的客户端。
示例性的,下面以背景技术中包括3个应用、3种客户端和5种应用行为对应的45条规则为例进行说明,其中,45条规则中每一条规则中都包含三个字符串,一个字符串用于应用匹配、一个字符串用于应用行为匹配、一个字符串用于发送流量的客户端的匹配。
在先识别应用,再识别发送流量的客户端,再识别应用行为的情况下,则根据上述的45条规则生成用于识别应用的粗粒度规则,则粗粒度规则有3条;再生成用于识别发送流量的客户端和识别应用行为的细粒度规则,则每条粗粒度规则对应15条细粒度规则,其中,粗粒度规则也可以被称为Base级规则,细粒度规则也可以被称为Detail级规则。
基于上述粗粒度规则和细粒度规则,现有技术最好情况下1次匹配即可识别出应用,最坏情况下需要31次匹配,因为对于某一应用都对应15条识别规则,15条识别规则中有一条识别规则匹配都可识别出这个应用,最好情况下从45条识别规则中取出1条识别规则就有可能匹配到,仅1次匹配即可;最坏情况下从45条识别规则中取出30条识别规则都未匹配到,再取出1条识别规则才能匹配到,需要31次匹配,其中这30条识别规则为对应另外两个应用的识别规则。平均匹配次数为16。
而应用本发明实施例,生成的用于应用识别的粗粒度规则仅为3条。最好情况下1次匹配即可识别出应用,最坏情况下需要3次匹配,平均匹配次数为2。可见,基于本发明实施例提供的流量识别方法,减少了匹配次数,提高了应用识别效率。
确定与目标流量匹配的粗粒度规则与现有技术确定与流量匹配的规则过程相同,本发明实施例在此不对其进行赘述。
在实际应用中,生成的粗粒度规则的规则名称可以为应用标识,该应用标识可以为应用ID(IDentity,身份标识号码),也可以为应用名称。当确定出与目标流量匹配的粗粒度规则时,可以根据与目标流量匹配的粗粒度规则的规则名称,识别出目标流量对应的应用标识,进而根据应用标识可以确定出目标流量对应的应用。
在先识别应用,再识别发送流量的客户端,再识别应用行为且基于AC-BM算法识别目标流量的情况下,基于AC-BM算法的算法规则,对于内容不同但种类相同的规则,第一次需要使用AC匹配,后续需要使用BM匹配,对于种类不同的规则,需要使用AC匹配。因此识别出目标流量对应的应用的具体应用行为以及发送目标流量的客户端,识别应用对应粗粒度规则,因此需要使用AC匹配,识别发送流量的客户端和应用行为对应细粒度规则,因此识别发送流量的客户端需要使用AC匹配,识别应用行为需要使用BM匹配;则最坏情况下需要1次AC匹配(识别应用)+1次AC匹配(发送流量的客户端识别)+5次BM匹配(识别应用行为)=2次AC匹配+5次BM匹配。可见,识别出目标流量对应的应用的具体应用行为以及发送目标流量的客户端,本发明实施例最坏的情况也比现有技术最好情况,匹配效率高,因此,可以提高目标流量对应的客户端的应用行为的识别效率。
在先识别应用,再识别发送流量的客户端,不考虑识别应用行为且基于AC-BM算法识别目标流量的情况下,基于AC-BM算法的算法规则,对于内容不同但种类相同的规则,第一次需要使用AC匹配,后续需要使用BM匹配,因此对于现有技术识别出目标流量对应的应用以及发送目标流量的客户端,先识别应用,再识别发送流量的客户端的情况,识别应用需要使用AC匹配,识别发送流量的客户端需要使用BM匹配,最好情况下需要1次AC匹配(识别应用)+1次BM匹配(识别发送目标流量的客户端)。而应用本发明实施例,基于AC-BM算法的算法规则,对于内容不同但种类相同的规则,第一次需要使用AC匹配,后续需要使用BM匹配,对于种类不同的规则,需要使用AC匹配。因此识别出目标流量对应的应用以及发送目标流量的客户端,识别应用对应粗粒度规则,因此需要使用AC匹配,识别发送流量的客户端对应细粒度规则,因此识别发送流量的客户端也需要使用AC匹配;则最坏情况下需要1次AC匹配(识别应用)+1次AC匹配(识别发送目标流量的客户端)。可见,识别出目标流量对应的应用以及发送目标流量的客户端,本发明实施例最坏的情况也比现有技术最好情况,匹配效率高,因此,可以提高识别目标流量对应的应用以及发送目标流量的客户端的效率。
在先识别应用,再识别应用行为,不考虑识别发送流量的客户端且基于AC-BM算法识别目标流量的情况下,基于AC-BM算法的算法规则,对于内容不同但种类相同的规则,第一次需要使用AC匹配,后续需要使用BM匹配,因此对于现有技术识别出目标流量对应的应用的应用行为,先识别应用,再识别应用行为的情况,识别应用需要使用AC匹配,识别应用行为需要使用BM匹配,最好情况下需要1次AC匹配(识别应用)+1次BM匹配(识别应用行为)。而应用本发明实施例,基于AC-BM算法的算法规则,对于内容不同但种类相同的规则,第一次需要使用AC匹配,后续需要使用BM匹配,对于种类不同的规则,需要使用AC匹配。因此识别出目标流量对应的应用的应用行为,识别应用对应粗粒度规则,因此需要使用AC匹配,识别应用行为对应细粒度规则,因此识别应用行为也需要使用AC匹配;则最坏情况下需要1次AC匹配(识别应用)+1次AC匹配(识别应用行为)。可见,识别出目标流量对应的应用的应用行为,本发明实施例最坏的情况也比现有技术最好情况,匹配效率高,因此,可以提高目标流量对应的应用的应用行为的识别效率。
确定与目标流量匹配的细粒度规则与现有技术确定与流量匹配的规则过程相同,本发明实施例在此不对其进行赘述。
在实际应用中,生成的细粒度规则的规则名称可以为客户端标识和应用行为标识,标识可以为ID(IDentity,身份标识号码),也可以为名称。当确定出与目标流量匹配的细粒度规则时,可以根据与目标流量匹配的细粒度规则的规则名称,识别出目标流量对应的客户端标识和应用行为标识,进而根据客户端标识和应用行为标识,可以识别出目标流量对应的应用行为和发送所述目标流量的客户端。
需要说明的是,本发明实施例并不对应用行为进行限定,任何可能的应用行为都可以应用于本申请中,比如:登录(login)行为、发表(deliver)行为、转发(relay)行为、评论(comment)行为、刷新(refresh)行为、提交(submit)行为、上传(upload)行为等等。
需要说明的是,本发明实施例并不对发送流量的客户端进行限定,任何可能的客户端都可以应用于本申请中,比如:iOS操作系统(iOS是由苹果公司开发的手持设备操作系统)、安卓操作系统(Android系统是一种基于Linux的自由及开放源代码的操作系统)、Windows Phone操作系统(Windows Phone是微软公司发布的一款手机操作系统)的客户端,还可以比如Windows XP操作系统、Windows7操作系统、Windows8操作系统、Windows10操作系统、Linux操作系统、Unix操作系统的客户端等等。
在实际应用中,在S103之前,可以加载各粗粒度规则对应的细粒度规则。
示例性的,以上述的3个应用、3种客户端、5种应用行为为例,可以将3个应用中每个应用对应的粗粒度规则对应的细粒度规则全部进行加载。
在实际应用中,在S103之前,可以加载所述目标粗粒度规则对应的细粒度规则。
示例性的,以上述的3个应用、3种客户端、5种应用行为为例,假设3个应用分别为应用A、应用B、应用C,确定出的目标粗粒度规则为应用B对应的粗粒度规则,则仅需加载应用B对应的粗粒度规则对应的细粒度规则,无需加载应用A和应用C对应的粗粒度规则对应的细粒度规则。进一步提高了流量的识别效率,并且减少了内存空间的占用。
需要说明的是,上述以AC-BM算法以及3个应用、3种客户端、5种应用行为为例进行说明,仅为本发明的一具体实例,并不构成对本发明的限定。
应用本发明图1所示实施例,提高了流量识别效率。
与上述的方法实施例相对应,本发明实施例还提供一种流量识别装置。
图2为本发明实施例提供的一种流量识别装置的结构示意图,可以包括:第一确定模块201、第一识别模块202、第二确定模块203和第二识别模块204,其中,
第一确定模块201,用于确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则;所述粗粒度规则包括:用于识别应用的规则;
在所述目标流量为基于HTTP协议的流量时,本发明实施例所示的第一确定模块201,具体可以用于:
根据所述目标流量的URI字段,确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则。
第一识别模块202,用于根据所述目标粗粒度规则,识别所述目标流量对应的应用;
第二确定模块203,用于确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则;所述细粒度规则包括:用于识别应用行为的规则和/或用于识别发送流量的客户端的规则;
在所述目标流量为基于HTTP协议的流量时,本发明实施例所示的第二确定模块203,具体可以用于:
根据所述目标流量的body字段和/或header-useragent字段,确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则。
第二识别模块204,用于根据所述目标细粒度规则,识别所述目标流量对应的应用行为和/或发送所述目标流量的客户端。
在本发明的另一实施例中,本发明实施例提供的一种流量识别装置,还可以包括:第一加载模块(图中未示出),用于加载各粗粒度规则对应的细粒度规则。
在本发明的再一实施例中,本发明实施例提供的一种流量识别装置,还可以包括:第二加载模块(图中未示出),用于加载所述目标粗粒度规则对应的细粒度规则。
应用本发明图2所示实施例,提高了流量识别效率。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种流量识别方法,其特征在于,所述方法应用于流量识别设备,所述方法包括:
确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则;所述粗粒度规则包括:用于识别应用的规则;
根据所述目标粗粒度规则,识别所述目标流量对应的应用;
确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则;所述细粒度规则包括:用于识别应用行为的规则和/或用于识别发送流量的客户端的规则;
根据所述目标细粒度规则,识别所述目标流量对应的应用行为和/或发送所述目标流量的客户端。
2.根据权利要求1所述的方法,其特征在于,在所述确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则之前,所述方法还包括:
加载各粗粒度规则对应的细粒度规则。
3.根据权利要求1所述的方法,其特征在于,在所述确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则之前,所述方法还包括:
加载所述目标粗粒度规则对应的细粒度规则。
4.根据权利要求1所述的方法,其特征在于,在所述目标流量为基于HTTP协议的流量时,所述确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则,具体包括:
根据所述目标流量的URI字段,确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则。
5.根据权利要求1所述的方法,其特征在于,在所述目标流量为基于HTTP协议的流量时,所述确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则,具体包括:
根据所述目标流量的body字段和/或header-useragent字段,确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则。
6.一种流量识别装置,其特征在于,所述装置应用于流量识别设备,所述装置包括:第一确定模块、第一识别模块、第二确定模块和第二识别模块,其中,
所述第一确定模块,用于确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则;所述粗粒度规则包括:用于识别应用的规则;
所述第一识别模块,用于根据所述目标粗粒度规则,识别所述目标流量对应的应用;
所述第二确定模块,用于确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则;所述细粒度规则包括:用于识别应用行为的规则和/或用于识别发送流量的客户端的规则;
所述第二识别模块,用于根据所述目标细粒度规则,识别所述目标流量对应的应用行为和/或发送所述目标流量的客户端。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:第一加载模块,用于加载各粗粒度规则对应的细粒度规则。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:第二加载模块,用于加载所述目标粗粒度规则对应的细粒度规则。
9.根据权利要求6所述的装置,其特征在于,在所述目标流量为基于HTTP协议的流量时,所述第一确定模块,具体用于:
根据所述目标流量的URI字段,确定预设的粗粒度规则中与目标流量匹配的目标粗粒度规则。
10.根据权利要求6所述的装置,其特征在于,在所述目标流量为基于HTTP协议的流量时,所述第二确定模块,具体用于:
根据所述目标流量的body字段和/或header-useragent字段,确定所述目标粗粒度规则对应的细粒度规则中与所述目标流量匹配的目标细粒度规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611055494.9A CN106341285A (zh) | 2016-11-25 | 2016-11-25 | 一种流量识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611055494.9A CN106341285A (zh) | 2016-11-25 | 2016-11-25 | 一种流量识别方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106341285A true CN106341285A (zh) | 2017-01-18 |
Family
ID=57841729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611055494.9A Pending CN106341285A (zh) | 2016-11-25 | 2016-11-25 | 一种流量识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106341285A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109040074A (zh) * | 2018-08-07 | 2018-12-18 | 武汉思普崚技术有限公司 | 一种分析应用流量的方法及装置 |
CN109412898A (zh) * | 2018-11-16 | 2019-03-01 | 网宿科技股份有限公司 | 特征数据库生成方法和装置及对应的流量分拣方法和装置 |
CN109560978A (zh) * | 2017-09-26 | 2019-04-02 | 华为技术有限公司 | 网络流量检测方法、装置及系统和计算机可读存储介质 |
CN109922048A (zh) * | 2019-01-31 | 2019-06-21 | 国网山西省电力公司长治供电公司 | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 |
CN111698730A (zh) * | 2019-03-15 | 2020-09-22 | 阿里巴巴集团控股有限公司 | 流量控制方法、操作系统、端设备及分布式系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562560A (zh) * | 2008-04-18 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种通用流量控制方法及系统 |
CN102394827A (zh) * | 2011-11-09 | 2012-03-28 | 浙江万里学院 | 互联网流量分级分类方法 |
US20130173779A1 (en) * | 2011-12-30 | 2013-07-04 | F5 Networks, Inc. | Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof |
CN104320358A (zh) * | 2014-09-28 | 2015-01-28 | 国家电网公司 | 一种电力通信网中的QoS业务控制方法 |
CN105162626A (zh) * | 2015-08-20 | 2015-12-16 | 西安工程大学 | 基于众核处理器的网络流量深度识别系统及识别方法 |
-
2016
- 2016-11-25 CN CN201611055494.9A patent/CN106341285A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562560A (zh) * | 2008-04-18 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种通用流量控制方法及系统 |
CN102394827A (zh) * | 2011-11-09 | 2012-03-28 | 浙江万里学院 | 互联网流量分级分类方法 |
US20130173779A1 (en) * | 2011-12-30 | 2013-07-04 | F5 Networks, Inc. | Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof |
CN104320358A (zh) * | 2014-09-28 | 2015-01-28 | 国家电网公司 | 一种电力通信网中的QoS业务控制方法 |
CN105162626A (zh) * | 2015-08-20 | 2015-12-16 | 西安工程大学 | 基于众核处理器的网络流量深度识别系统及识别方法 |
Non-Patent Citations (2)
Title |
---|
戴斌: "基于移动数据业务的DPI系统的研究及应用", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
林冠洲: "网络流量识别关键技术研究", 《中国优秀博士学位论文全文数据库(电子期刊)》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109560978A (zh) * | 2017-09-26 | 2019-04-02 | 华为技术有限公司 | 网络流量检测方法、装置及系统和计算机可读存储介质 |
CN109560978B (zh) * | 2017-09-26 | 2020-11-06 | 华为技术有限公司 | 网络流量检测方法、装置及系统和计算机可读存储介质 |
CN109040074A (zh) * | 2018-08-07 | 2018-12-18 | 武汉思普崚技术有限公司 | 一种分析应用流量的方法及装置 |
CN109412898A (zh) * | 2018-11-16 | 2019-03-01 | 网宿科技股份有限公司 | 特征数据库生成方法和装置及对应的流量分拣方法和装置 |
CN109412898B (zh) * | 2018-11-16 | 2021-02-02 | 网宿科技股份有限公司 | 特征数据库生成方法和装置及对应的流量分拣方法和装置 |
CN109922048A (zh) * | 2019-01-31 | 2019-06-21 | 国网山西省电力公司长治供电公司 | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 |
CN109922048B (zh) * | 2019-01-31 | 2022-04-19 | 国网山西省电力公司长治供电公司 | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 |
CN111698730A (zh) * | 2019-03-15 | 2020-09-22 | 阿里巴巴集团控股有限公司 | 流量控制方法、操作系统、端设备及分布式系统 |
CN111698730B (zh) * | 2019-03-15 | 2023-11-21 | 斑马智行网络(香港)有限公司 | 流量控制方法、操作系统、端设备及分布式系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106341285A (zh) | 一种流量识别方法及装置 | |
CN105306534B (zh) | 一种基于开放平台的信息校验方法和开放平台 | |
US20060112422A1 (en) | Data transfer using hyper-text transfer protocol (HTTP) query strings | |
US9542864B2 (en) | Methods and apparatus for digital steganography | |
US20160149907A1 (en) | Biometric-based wireless device association | |
CN111382985B (zh) | 待办消息集成推送系统和工作方法 | |
CN109344611B (zh) | 应用的访问控制方法、终端设备及介质 | |
CN109242405B (zh) | 政务处理方法及装置、计算机设备与可读存储介质 | |
CN102426580A (zh) | 检测潜在的欺诈在线用户活动 | |
CN109698809A (zh) | 一种账号异常登录的识别方法及装置 | |
CN105577602A (zh) | 基于开放的应用程序编程接口的数据推送方法和装置 | |
CN104038490B (zh) | 一种通信安全校验方法及其装置 | |
CN108650289B (zh) | 一种基于区块链的管理数据的方法和装置 | |
CN106453321A (zh) | 一种认证服务器、系统和方法及待认证终端 | |
CN109429517A (zh) | 在数据库表、文本文件和数据馈送中对文本和指纹识别进行加盐 | |
CN110120928A (zh) | 一种身份认证的方法、装置、服务器及计算机可读介质 | |
CN102769629B (zh) | 客户端密码存储方法及服务系统 | |
CN104935548A (zh) | 基于智能纹身设备的身份验证方法、装置及系统 | |
CN106789069A (zh) | 一种零知识身份认证方法 | |
CN105450592A (zh) | 安全校验方法、装置、服务器及终端 | |
US20170244753A1 (en) | Establishing a secure data exchange channel | |
CN109327475B (zh) | 一种多层身份认证方法、装置、设备及存储介质 | |
CN109743306B (zh) | 一种账号安全性评估方法、系统、设备及介质 | |
CN110399360A (zh) | 字典表的设置方法及装置、存储介质、电子装置 | |
Doosti et al. | On the connection between quantum pseudorandomness and quantum hardware assumptions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
CB02 | Change of applicant information | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170118 |
|
RJ01 | Rejection of invention patent application after publication |