CN108206788A - 一种流量的业务识别方法及相关设备 - Google Patents
一种流量的业务识别方法及相关设备 Download PDFInfo
- Publication number
- CN108206788A CN108206788A CN201611167423.8A CN201611167423A CN108206788A CN 108206788 A CN108206788 A CN 108206788A CN 201611167423 A CN201611167423 A CN 201611167423A CN 108206788 A CN108206788 A CN 108206788A
- Authority
- CN
- China
- Prior art keywords
- flow
- dpi equipment
- information
- business
- interactive information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种流量的业务识别方法及相关设备,该方法可包括:若第一DPI设备接收到的第一流量为非对称流量,则所述第一DPI设备判断所述第一流量的协议是否为HTTP;若所述第一流量的协议为HTTP,则所述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别;若所述第一流量的协议不为HTTP,则所述第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。通过上述特征,从而本发明实施例可以实现对非对称流量进行业务识别。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种流量的业务识别方法及相关设备。
背景技术
深度包检测(Deep Packet Inspection,DPI)设备可以增强4至7层协议的处理能力,可按照预先定义的手段对高层信息进行解析和识别,并可以按需对数据流进行干预。其中,DPI设备主要有5个逻辑功能:业务识别、过滤分发、日志、统计和流控,其中,业务识别是所有功能实现的基础。但在实际应用中,经常发生一条流量的上行流量和下行流量经过不同的DPI设备的情况,即该流量为非对称流量。然而,目前对于非对称流量,仅是将非对称流量的xDR记录在xDR服务器中,其中,xDR泛指对移动网络和承载网络中数据流量的关键信息记录,而无法对非对称流量进行业务识别。
发明内容
本发明的目的在于提供一种流量的业务识别方法及相关设备,解决了对非对称流量进行业务识别的问题。
为了达到上述目的,本发明实施例提供一种流量的业务识别方法,包括:
若第一DPI设备接收到的第一流量为非对称流量,则所述第一DPI设备判断所述第一流量的协议是否为超文本传输协议(Hyper Text Transfer Protocol,HTTP);
若所述第一流量的协议为HTTP,则所述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别;
若所述第一流量的协议不为HTTP,则所述第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。
可选的,所述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,包括:
所述第一DPI设备向统一存储分析平台上传所述第一流量的xDR信息,所述xDR信息用于使所述统一存储分析平台将所述第一流量与第二流量进行关联,并由所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量。
可选的,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
可选的,所述第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,包括:
所述第一DPI设备根据预设映射算法查找与所述第一流量对应的第二DPI设备;
所述第一DPI设备向所述第二DPI设备上传所述第一流量的第二交互信息。
可选的,所述第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1,且所述第二交互信息用于使所述第二DPI设备将所述第一流量与第二流量进行关联,并由所述第二DPI设备使用所述第一流量与第二流量的第二交互信息,对所述第一流量与第二流量进行业务识别,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
则所述方法还包括:
所述第一DPI设备接收所述第二DPI设备发送的业务识别结果。
可选的,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
可选的,所述方法还包括:
所述第一DPI设备判断是否接收到所述第一流量对应的第二流量,所述第二流量为上行流量或者下行流量;
若未接收到所述第一流量对应的第二流量,则所述第一DPI设备确定所述第一流量为非对称流量;
若接收到所述第一流量对应的第二流量,则所述第一DPI设备确定所述第一流量为对称流量;
若所述第一流量为对称流量,则所述第一DPI设备对所述第一流量和所述第二流量进行业务识别。
本发明实施例还提供一种流量的业务识别方法,包括:
第二DPI设备接收第一DPI设备发送的第一流量的第二交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为非HTTP;
所述第二DPI设备接收第三DPI设备发送的第二流量的第二交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
所述第二DPI设备将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第二交互信息,对所述第一流量和所述第二流量进行业务识别。
可选的,所述第二DPI设备是所述第一DPI设备根据预设映射算法查找与所述第一流量对应的DPI设备,且所述第二DPI设备还是所述第三DPI设备根据所述预设映射算法查找与所述第二流量对应的DPI设备。
可选的,所述第一流量的第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1;
所述第二流量的第二交互信息包括所述第二流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息;
则所述方法还包括:
所述第二DPI设备向所述第一DPI设备和所述第三DPI设备发送业务识别结果。
可选的,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
本发明实施例还提供一种流量的业务识别方法,包括:
统一存储分析平台接收第一DPI设备发送的第一流量的第一交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为HTTP;
所述统一存储分析平台接收第三DPI设备发送的第二流量的第一交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
所述统一存储分析平台将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别。
可选的,所述第一流量的第一交互信息包括所述第一流量的xDR信息,所述第二流量的第一交互信息包括所述第二流量的xDR信息;
则所述统一存储分析平台使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别,包括:
所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并。
可选的,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
可选的,所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,包括:
若所述第一流量和所述第二流量的xDR信息均存在目标信息,则所述统一存储分析平台识别所述目标信息的优先级别,并选择优先级别高的目标信息进行合并,其中,所述目标信息包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
本发明实施例还提供一种DPI设备,所述DPI设备为第一DPI设备,包括:
第一判断模块,用于若第一深度包检测DPI设备接收到的第一流量为非对称流量,则判断所述第一流量的协议是否为HTTP;
第一上传模块,用于若所述第一流量的协议为HTTP,则向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别;
第二上传模块,用于若所述第一流量的协议不为HTTP,则向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。
可选的,所述第一上传模块用于向统一存储分析平台上传所述第一流量的xDR信息,所述xDR信息用于使所述统一存储分析平台将所述第一流量与第二流量进行关联,并由所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量。
可选的,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
可选的,所述第二上传模块包括:
查找单元,用于根据预设映射算法查找与所述第一流量对应的第二DPI设备;
上传单元,用于向所述第二DPI设备上传所述第一流量的第二交互信息。
可选的,所述第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1,且所述第二交互信息用于使所述第二DPI设备将所述第一流量与第二流量进行关联,并由所述第二DPI设备使用所述第一流量与第二流量的第二交互信息,对所述第一流量与第二流量进行业务识别,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
则所述DPI设备还包括:
接收模块,用于接收所述第二DPI设备发送的业务识别结果。
可选的,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
可选的,所述DPI设备还包括:
第二判断模块,用于判断是否接收到所述第一流量对应的第二流量,所述第二流量为上行流量或者下行流量;
第一确定模块,用于若未接收到所述第一流量对应的第二流量,则确定所述第一流量为非对称流量;
第二确定模块,用于若接收到所述第一流量对应的第二流量,则确定所述第一流量为对称流量;
识别模块,用于若所述第一流量为对称流量,则对所述第一流量和所述第二流量进行业务识别。
本发明实施例还提供一种DPI设备,所述DPI设备为第二DPI设备,包括:
第一接收模块,用于接收第一DPI设备发送的第一流量的第二交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为非HTTP;
第二接收模块,用于接收第三DPI设备发送的第二流量的第二交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
识别模块,用于将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第二交互信息,对所述第一流量和所述第二流量进行业务识别。
可选的,所述第二DPI设备是所述第一DPI设备根据预设映射算法查找与所述第一流量对应的DPI设备,且所述第二DPI设备还是所述第三DPI设备根据所述预设映射算法查找与所述第二流量对应的DPI设备。
可选的,所述第一流量的第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1;
所述第二流量的第二交互信息包括所述第二流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息;
则所述DPI设备还包括:
发送模块,用于向所述第一DPI设备和所述第三DPI设备发送业务识别结果。
可选的,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
本发明实施例还提供一种统一存储分析平台,包括:
第一接收模块,用于接收第一DPI设备发送的第一流量的第一交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为HTTP;
第二接收模块,用于接收第三DPI设备发送的第二流量的第一交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
识别模块,用于将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别。
可选的,所述第一流量的第一交互信息包括所述第一流量的xDR信息,所述第二流量的第一交互信息包括所述第二流量的xDR信息;
则所述识别模块用于将所述第一流量与所述第二流量关联,并将所述第一流量和第二流量的xDR信息进行合并。
可选的,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
可选的,所述识别模块用于将所述第一流量与所述第二流量关联,若所述第一流量和所述第二流量的xDR信息均存在目标信息,则所述统一存储分析平台识别所述目标信息的优先级别,并选择优先级别高的目标信息进行合并,其中,所述目标信息包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例中,若第一DPI设备接收到的第一流量为非对称流量,则所述第一DPI设备判断所述第一流量的协议是否为HTTP;若所述第一流量的协议为HTTP,则所述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别;若所述第一流量的协议不为HTTP,则所述第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。通过上述特征,从而本发明实施例中,可以实现对非对称流量进行业务识别。
附图说明
图1为本发明实施例提供的网络结构示意图;
图2是本发明实施例提供的一种流量的业务识别方法的流程示意图;
图3是本发明实施例提供的另一种流量的业务识别方法的流程示意图;
图4是本发明实施例提供的一业务识别举例示意图;
图5是本发明实施例提供的另一业务识别举例示意图;
图6是本发明实施例提供的统一存储分析平台的举例示意图;
图7是本发明实施例提供的另一种流量的业务识别方法的流程示意图;
图8是本发明实施例提供的另一种流量的业务识别方法的流程示意图;
图9是本发明实施例提供的一种DPI设备的结构示意图;
图10是本发明实施例提供的另一种DPI设备的结构示意图;
图11是本发明实施例提供的另一种DPI设备的结构示意图;
图12是本发明实施例提供的另一种DPI设备的结构示意图;
图13是本发明实施例提供的另一种DPI设备的结构示意图;
图14是本发明实施例提供的另一种DPI设备的结构示意图;
图15是本发明实施例提供的一种统一存储分析平台的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有技术中目前对于非对称流量,仅是将非对称流量的xDR记录在xDR服务器中,而无法对非对称流量进行业务识别的问题,提供一种流量的业务识别方法及相关设备。本发明中若第一DPI设备接收到的第一流量为非对称流量,且协议为HTTP,则向统一存储分析平台上传所述第一流量的第一交互信息,使统一存储分析平台对所述第一流量进行业务识别;若第一流量的协议不为HTTP,则向第一流量对应的第二DPI设备上传第一流量的第二交互信息,使所述第二DPI设备对所述第一流量进行业务识别,从而可以实现对非对称流量进行业务识别。
参见图1,图1为本发明实施例提供的网络结构示意图,如图1所示,包括第一DPI设备11、第二DPI设备12、第三DPI设备13和统一存储分析平台14。其中,本发明实施例中,DPI设备可以是任何能进行DPI检测的设备,且本发明实施例中,DPI设备可以是统一DPI设备,即各DPI设备的策略可以是统一的,且统一DPI设备可以增强4-7层协议的处理能力,以及可以按照预先定义的手段对高层信息进行解析和识别,并按需对数据流进行干预。需要说明的是,在本发明实施例中并不限定各DPI设备的具体类型。上述统一存储分析平台14可以是某一地区统一的存储分析平台,例如:整个国家或者一国家内某一区域。另外,该区域的HTTP的非对称流量均可以上传到该平台进行处理。另外,统一存储分析平台14可以支持同厂家跨机房非对称流量业务识别,以及还可以支持异厂家非对称流量业务识别。需要说明的是,在本发明实施例中并不限定统一存储分析平台14的具体类型。
参见图2,图2是本发明实施例提供的一种流量的业务识别方法的流程示意图,如图2所示,包括以下步骤:
201、若第一DPI设备接收到的第一流量为非对称流量,则所述第一DPI设备判断所述第一流量的协议是否为HTTP,若是,则执行步骤202,若否,则执行步骤203。
本发明实施例中,上述非对称流量可以是上行流量和下行流量经过不同的DPI设备的流量,例如:一流量的上行流量经过第一DPI设备,而该流量的下行流量经过第三DPI设备,则该流量为非对称流量。即上述第一流量为非对称流量时,第一DPI设备只接收到上述第一流量,而第一流量对应的上行流量或者下行流量没有被第一DPI设备接收到。例如:上述第一流量为某会话的上行请求,而第一DPI设备只接收到该会话的上行请求,而该会话的下行响应经过第三DPI设备。
另外,本发明实施例中,将非对称流量划分为两种情况,一种是HTTP协议的非对称流量,另一种是非HTTP协议的非对称流量。另外,对于DPI检测可以分为两种协议,即单向识别的协议和双向识别的协议。其中,单向识别的协议是仅由上行流量或下行流量即可识别出业务的情况,如HTTP协议。双向识别的协议则需将上行流量和下行流量综合在一起完成识别,如P2P协议、Skype协议等。因此,本发明实施例中,HTTP协议的非对称流量为单向识别的协议的非对称流量,而非HTTP协议的非对称流量则包含双向识别的协议的非对称流量。
需要说明的是,本发明实施例中,上述第一流量可以是非对称流量中的上行流量或者下行流量,即上述第一DPI设备可以是接收到非对称流量的上行流量或者下行流量的DPI设备。为了更清楚描述本发明实施例的技术方案,本发明实施例中,采用第一流量和第二流量的方式进行描述,其中,第一流量与第二流量对应,即第一流量和第二流量为同一流量的上行流量和下行流量,例如:第一流量为某上行请求,那么,第二流量则为该上行请求对应的下行响应,或者第二流量为某上行请求,那么,第一流量则为该上行请求对应的下行响应。
202、所述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别。
其中,上述第一交互信息可以是第一DPI设备对上述第一流量进行DPI检测的全部或者部分信息。
通过步骤202可以实现将HTTP协议的非对称流量的第一交互信息上传到统一分析平台,则统一存储分析平台对所述第一流量进行业务识别。由于本发明实施例中,第一DPI设备可以为通信系统中任一DPI设备,则任一DPI设备接收到非对称流量均可以将第一交互信息上传到上述统一存储分析平台。例如:上述第一流量和第二流量为某一会话的上行流量和下行流量,即第一流量与第二流量对应。那么,接收到第二流量的第三DPI设备也会执行步骤201和步骤202,从而将第二流量的第一交互信息上传至上述统一存储分析平台。这样可以实现将非对称流量的上行流量和下行流量的第一交互信息都上传到统一存储分析平台,由统一存储分析平台均可以对其进行业务识别。
需要说明的是,虽然DPI设备可以识别HTTP协议的非对称流量,但其识别出的仅是上行流量或者下行流量的情况,而无法得到上行流量和下行流量的情况。本发明实施例中,由统一分析存储分析平台进行业务识别,从而可以获取更加精确的业务识别结果。
203、第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。
其中,上述第二交互信息可以是第一DPI设备从第一流量中检测到的全部或者部分信息,这里的检测可以是对第一流量进行包解析或者其他检测。
通过步骤203可以实现将非HTTP协议的第一流量的第二交互信息上传到第二DPI设备,而第一流量为非对称流量,那么,该非对称流量的另一流量,即第二流量的第二交互信息也会上传到上述第二DPI设备。例如:第一流量和第二流量为非对称流量的下行流量和上行流量,而第三DPI设备接收到第二流量,从而第三DPI设备也会执行步骤201至步骤203,进而将第二流量的第二交互信息上传到第二DPI设备。从而第二DPI设备会接收到非对称流量的上行流量和下行流量的第二交互信息,从而实现对非对称流量的业务识别。
本发明实施例中,若第一深度包检测DPI设备接收到的第一流量为非对称流量,则所述第一DPI设备判断所述第一流量的协议是否为超文本传输协议HTTP;若所述第一流量的协议为HTTP,则所述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别;若所述第一流量的协议不为HTTP,则所述第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。通过上述特征,从而本发明实施例中,可以实现对非对称流量进行业务识别。
参见图3,图3是本发明实施例提供的另一种流量的业务识别方法的流程示意图,如图3所示,包括以下步骤:
301、若第一深度包检测DPI设备接收到的第一流量为非对称流量,则所述第一DPI设备判断所述第一流量的协议是否为HTTP,若是,则执行步骤302,若否,则执行步骤303。
其中,上述第一DPI设备判断所述第一流量的协议是否为HTTP可以是通过第一流量的xDR信息确定是否为HTTP,例如:根据xDR信息中的五元组信息,其中,五元组信息可以是指源IP、目的IP、源端口、目的端口和协议。或者第一DPI设备还可以对第一流量进行解析,通过解析获取的协议字段或者协议封装类型确定是第一流量的协议是否为HTTP等。需要说明的是,本发明实施例中,对判断是否为HTTP不作限定。
302、第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别。
可选的,上述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,包括:
所述第一DPI设备向统一存储分析平台上传所述第一流量的xDR信息,所述xDR信息用于使所述统一存储分析平台将所述第一流量与第二流量进行关联,并由所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量。
其中,上述xDR信息可以是对移动网络或者承载网络中对第一流量的关键信息记录,例如:xDR信息中可以包括流量日志和流量的业务识别结果等信息。另外,上述第二流量与所述第一流量对应的上行流量或者下行流量,可以理解为,若上述第一流量为上行流量时,则第二流量为第一流量对应的下行流量,反之,第二流量为第一流量对应的上行流量。上述第二流量与第一流量对应可以是,第二流量和第一流量的五元组信息对应,例如:第一流量的源IP、目的IP、源端口和目的端口分别为第二流量的目的IP、源IP、目的端口和源端口,即统一存储分析平台可以根据五元组信息将第一流量和第二流量关联。
当统一存储分析平台接收到第一流量和第二流量的xDR信息,就可以识别出二者对应并关联。且由于第一交互信息为xDR信息,从而统一存储分析平台在进行业务识别时就可以直接将第一流量和第二流量的xDR信息进行合并。而不需要进行额外的分析,就可以得到第一流量和第二流量的业务识别结果,以快速对非对称流量进行业务识别。
该实施方式中,可以实现由统一存储分析平台将HTTP协议非对称流量的上行流量和下行流量的xDR信息进行合并,由于HTTP协议一般可由DPI设备根据上行流量(或下行流量)识别出业务,但其对应的下行流量(或上行流量)识别结果为空或识别的不精确。例如:第一DPI设备只识别出上行流量的识别结果,而下行流量的识别结果为空或识别的不精确;第二DPI设备只识别出下行流量的识别结果,而上行流量的识别结果为空或识别的不精确。这样通过统一存储分析平台进行xDR信息合并,就可以得到对非对称流量的精确业务识别结果。
另外,本发明实施例中,DPI设备可以是将xDR信息通过骨干节点上传至统一存储分析平台。
可选的,该实施方式中,上述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
该实施方式中,可以实现DPI设备向统一存储分析平台上传的xDR信息是精简的xDR信息,以减少传输压力,且还能完成对非对称流量的业务识别。优先的,上述xDR信息可以包含12个字段信息,即xDR ID、协议、源IP、目的IP、源端口、目的端口、开始时间、结束时间、业务大类、业务小类、业务细分和流量大小。
另外,统一存储分析平台在进行xDR信息合并时,若第一流量和第二流量的xDR信息均存在目标信息,则统一存储分析平台可以识别所述目标信息的优先级别,并选择优先级别高的目标信息进行合并,其中,目标信息包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
其中,识别各目标信息的优先级别可以是通过提前规定协议优先级的方式确定各目标信息的优先级别,例如:上述目标信息为业务细分信息,且第一流量的业务细分信息为应用A的业务A,而第二流量的业务细分信息为应用A的业务A的子业务A,则可以确定第二流量的业务细分信息的优先级高于第一流量的业务细分信息,从而在合并时,在第二流量的业务细分信息为准,以提高业务细分信息的精确度,即提高非对称流量的业务识别的精确度。
303、第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。
本发明实施例中,将第一流量的第二交互信息上传第二DPI设备进行业务识别的方式可以定义为流同步的识别方式,因为,通过步骤303可以实现非对称流量的上行流量和下行流量的第二交互信息都是同步至上述第二DPI设备,从而第二DPI设备基于上行流量和下行流量的第二交互信息进行业务识别。
可选的,上述第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,包括:
所述第一DPI设备根据预设映射算法查找与所述第一流量对应的第二DPI设备;
所述第一DPI设备向所述第二DPI设备上传所述第一流量的第二交互信息。
其中,上述预设映射算法可以是一种数据内容与数据存放地址的映射关系,即上述预设映射算法可以理解为流量与DPI设备的映射关系,通过该映射关系可以查找到与上述第一流量对应的第二DPI设备。优先的,上述预设映射算法可以是哈希(HASH)算法,例如:
H=h1×31+h2×31+…+h32×31
n=Mod(H,N)
其中,N表示DPI设备数量,n表示DPI设备编号,0≤n≤(N-1),H为HASH值,hi表示IP地址中第i位对应的ASCII码,Mod表示取余函数。
通过取余函数最后所获得的n即为对应的第二DPI设备的编号,通过此HASH算法,可以将非对称流量的上行流量和下行流量的第二交互信息送往同一编号的上述第二DPI设备,即第一流量对应的DPI设备为上述第二DPI设备,且第二流量对应的DPI设备也为上述第二DPI设备,从而可以准确地将第一流量和第二流量的交互信息都上传至同一DPI设备,以对非对称流量进行业务识别。
另外,由于DPI设备的数目N是可变的,为实现异厂家的非对称流量识别,本发明实施例可以建立统一的HASH表并维护在所有的DPI设备里;该HASH可包含:服务器数量N、设备对应的厂家、服务器对应的编号和IP地址。
需要说明的是,本发明实施例中,预设映射算法不限定是HASH算法,还可以是其他表示流量与DPI设备的映射关系的算法,对此本发明实施例不作限定。另外,本发明实施例中,第二DPI设备并不限定是通过上述预设映射算法确定的DPI设备,例如:第二DPI设备还可以预设定义的其他DPI设备,对此本发明实施例不作限定。
可选的,本发明实施例中,上述第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1,且所述第二交互信息用于使所述第二DPI设备将所述第一流量与第二流量进行关联,并由所述第二DPI设备使用所述第一流量与第二流量的第二交互信息,对所述第一流量与第二流量进行业务识别,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
则所述方法还包括:
所述第一DPI设备接收所述第二DPI设备发送的业务识别结果。
该实施方式中,可以实现通过向第二DPI设备上传第一流量前N个包的关键字节,以及每个包的包长信息,这些交互信息可以保障双向识别协议的业务识别,即第二DPI设备可以根据这些交互信息实现对非对称流量的业务识别。由于该实施方式中,DPI设备只上传到非对称流量的前N个包的关键字节,前N个包中每个包的包长信息,这样可以减少DPI设备之间的信息交互,以减少传输压力。
需要说明的是,本发明实施例中,并不限定第二交互信息为前N个包的关键字节,以及前N个包中每个包的包长信息,例如:第二交互信息还可以包括第一流量的五元组信息,或者其他xDR信息等,对此本发明实施例不作限定。
该实施方式中,当第二DPI设备接收到第一流量和第二流量的上述第二交互信息后,就可以将二者进行关联,其中,关联的方式可以参见上述介绍的统一存储分析平台的将第一流量和第二流量的关联方式,例如:第二DPI设备可以通过五元组信息,将第一流量和第二流量进行关联。关联后,第二DPI设备通过结合第一流量和第二流量的第二交互信息,进行非HTTP协议(含双向识别的协议)的非对称流量的业务识别。以及将业务识别结果返回至第一DPI设备和第三DPI设备,完成业务识别,其中,第三DPI设备为上传第二流量的第二交互信息的DPI设备。其中,上述将业务识别结果返回至第一DPI设备和第三DPI设备也可以称作将业务识别结果回填至第一DPI设备和第三DPI设备。
可选的,上述关键字节包括:
包的第一个关键字节和最后一个关键字节。
该实施方式中,可以实现向第二DPI上传的第二交互信息中前N个包的关键字为前N个包的前后关键字,通过前后关键字实现对非HTTP协议的非对称流量进行业务识别,以进一步减少传输压力。
下面以第一流量为非对称流量的上行流量,第二流量为该非对称流量的下行流量进行举例,如图4所示,第一DPI设备接收上行流量,第三DPI设备接收下行流量,第一DPI设备判断该上行流量为非HTTP协议的非对称流量,且第三DPI设备判断该下行流量为非HTTP协议的非对称流量,从而第一DPI设备和第三DPI设备分别向第二DPI设备上传交互信息;第二DPI设备接收到上行流量和下行流量的交互信息后,就可以基于其交互信息进行业务识别,并将业务识别结果回填至第一DPI设备和第三DPI设备。
可选的,如图3所示,上述方法还包括:
300、所述第一DPI设备判断接收到的所述第一流量是否为非对称流量,若是,则执行步骤301,若否,则可以不处理。
其中,步骤300可以包括:
所述第一DPI设备判断是否接收到所述第一流量对应的第二流量,所述第二流量为上行流量或者下行流量;
若未接收到所述第一流量对应的第二流量,则所述第一DPI设备确定所述第一流量为非对称流量;
若接收到所述第一流量对应的第二流量,则所述第一DPI设备确定所述第一流量为对称流量。
若所述第一流量为对称流量,则所述第一DPI设备可以对所述第一流量和所述第二流量进行业务识别。或者本发明实施例中,所述第一流量为对称流量,则所述第一DPI设备可以不对所述第一流量进行处理。
该实施方式中,可以实现对于非对称流量时,对其进一步区分是否为HTTP协议,若是,则上传到统一存储分析进行业务识别,若为非HTTP协议,则上传至对应的第二DPI设备进行流同步的业务识别。
需要说明的是,本发明实施例中,介绍的多种可选的实施方式中,可以相互结合实现,例如:如图5所示,该举例以第一交互信息为xDR信息,第二交互信息为前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息进行举例说明,包括如下步骤:
501、第一DPI设备判断接收到的第一流量是否为非对称流量,若是,则执行步骤502,若否,则不处理。
502、第一DPI设备判断第一流量的协议是否为HTTP,若是,则执行步骤506,若否,则执行步骤503。
503、第一DPI设备将第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息上传至第二DPI设备。
其中,同理,第一流量对应的第二流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息也上传至第二DPI设备,因为第二DPI设备为第一流量和第二流量通过预设映射算法查找到的DPI设备。
504、第二DPI设备将第一流量和第二流量关联,并对第一流量和第二流量进行业务识别。
其中,这里的关联可以是根据五元组信息进行关联的。
505、第二DPI设备将业务识别结果回填至第一DPI设备和第三DPI设备。
506、第一DPI设备将第一流量的精简xDR信息上传到统一存储分析平台。
同理,第二流量的精简xDR信息上传到统一存储分析平台。
507、统一存储分析平台将第一流量和第二流量关联。
其中,这里的关联可以是根据五元组信息进行关联的。
508、统一存储分析平台将第一流量和第二流量的精简xDR信息合并。
通过上述步骤实现可以将对HTTP协议的非对称流量的上行流量和下行流量上传至统一存储分析平台,由统一存储分析平台进行业务识别,以及将非HTTP协议的非对称流量的上行流量和下行流量上传至对应的第二DPI设备,以实现通过流同步的方式识别业务。优先的,本发明实施例中,统一存储分析平台可以是某一国家的统一存储分析平台,即该国家内由该统一存储分析平台对HTTP协议的非对称流量进行业务识别,以实现支持同厂家跨机房非对称流量业务识别,以及支持异厂家非对称流量业务识别。以中国为例,统一存储分析平台可以如图6所示,各城市的HTTP协议的非对称流量都上传该统一存储分析平台进行业务识别。
本实施例中,在图2所示的实施例的基础上增加了多种可选的实施方式,且都可以实现对非对称流量的业务识别。
参见图7,图7是本发明实施例提供的另一种流量的业务识别方法的流程示意图,如图7所示,包括以下步骤:
701、第二DPI设备接收第一DPI设备发送的第一流量的第二交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为非HTTP;
702、第二DPI设备接收第三DPI设备发送的第二流量的第二交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
703、第二DPI设备将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第二交互信息,对所述第一流量和所述第二流量进行业务识别。
可选的,上述第二DPI设备是所述第一DPI设备根据预设映射算法查找与所述第一流量对应的DPI设备,且所述第二DPI设备还是所述第三DPI设备根据所述预设映射算法查找与所述第二流量对应的DPI设备。
可选的,所述第一流量的第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1;
所述第二流量的第二交互信息包括所述第二流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息;
则所述方法还包括:
所述第二DPI设备向所述第一DPI设备和所述第三DPI设备发送业务识别结果。
可选的,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
需要说明的是,本实施例作为与图2所示的实施例中对应的第二DPI设备的实施方式,其具体的实施方式可以参见图2所示的实施例的相关说明,以为避免重复说明,本实施例不再赘述。本实施例中,同样可以实现对非对称流量进行业务识别。
参见图8,图8是本发明实施例提供的另一种流量的业务识别方法的流程示意图,如图8所示,包括以下步骤:
801、统一存储分析平台接收第一DPI设备发送的第一流量的第一交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为HTTP;
802、统一存储分析平台接收第三DPI设备发送的第二流量的第一交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
803、统一存储分析平台将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别。
可选的,所述第一流量的第一交互信息包括所述第一流量的xDR信息,所述第二流量的第一交互信息包括所述第二流量的xDR信息;
则所述统一存储分析平台使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别,包括:
所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并。
可选的,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
可选的,所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,包括:
若所述第一流量和所述第二流量的xDR信息均存在目标信息,则所述统一存储分析平台识别所述目标信息的优先级别,并选择优先级别高的目标信息进行合并,其中,所述目标信息包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
需要说明的是,本实施例作为与图2所示的实施例中对应的统一存储分析平台的实施方式,其具体的实施方式可以参见图2所示的实施例的相关说明,以为避免重复说明,本实施例不再赘述。本实施例中,同样可以实现对非对称流量进行业务识别。
参见图9,图9是本发明实施例提供的一种DPI设备的结构示意图,该DPI设备为第一DPI设备,如图9所示,DPI设备900包括:
第一判断模块901,用于若第一深度包检测DPI设备接收到的第一流量为非对称流量,则判断所述第一流量的协议是否为HTTP;
第一上传模块902,用于若所述第一流量的协议为HTTP,则向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别;
第二上传模块903,用于若所述第一流量的协议不为HTTP,则向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。
可选的,所述第一上传模块902用于向统一存储分析平台上传所述第一流量的xDR信息,所述xDR信息用于使所述统一存储分析平台将所述第一流量与第二流量进行关联,并由所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量。
可选的,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
可选的,如图10所示,所述第二上传模块903包括:
查找单元9031,用于根据预设映射算法查找与所述第一流量对应的第二DPI设备;
上传单元9032,用于向所述第二DPI设备上传所述第一流量的第二交互信息。
可选的,所述第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1,且所述第二交互信息用于使所述第二DPI设备将所述第一流量与第二流量进行关联,并由所述第二DPI设备使用所述第一流量与第二流量的第二交互信息,对所述第一流量与第二流量进行业务识别,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
则如图11所示,DPI设备900还包括:
接收模块904,用于接收所述第二DPI设备发送的业务识别结果。
可选的,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
可选的,如图12所示,DPI设备900还包括:
第二判断模块905,用于判断是否接收到所述第一流量对应的第二流量,所述第二流量为上行流量或者下行流量;
第一确定模块906,用于若未接收到所述第一流量对应的第二流量,则确定所述第一流量为非对称流量;
第二确定模块907,用于若接收到所述第一流量对应的第二流量,则确定所述第一流量为对称流量;
识别模块908,用于若所述第一流量为对称流量,则对所述第一流量和所述第二流量进行业务识别。
需要说明的是,本实施例中上述DPI设备900可以是本发明实施例中方法实施例中任意实施方式的第一DPI设备,本发明实施例中方法实施例中第一DPI设备的任意实施方式都可以被本实施例中的上述DPI设备900所实现,以及达到相同的有益效果,此处不再赘述。
参见图13,图13是本发明实施例提供的另一种DPI设备的结构示意图,该DPI设备为第二DPI设备。如图13所示,DPI设备1300包括:
第一接收模块1301,用于接收第一DPI设备发送的第一流量的第二交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为非HTTP;
第二接收模块1302,用于接收第三DPI设备发送的第二流量的第二交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
识别模块1303,用于将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第二交互信息,对所述第一流量和所述第二流量进行业务识别。
可选的,所述第二DPI设备是所述第一DPI设备根据预设映射算法查找与所述第一流量对应的DPI设备,且所述第二DPI设备还是所述第三DPI设备根据所述预设映射算法查找与所述第二流量对应的DPI设备。
可选的,所述第一流量的第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1;
所述第二流量的第二交互信息包括所述第二流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息;
则如图14所示,DPI设备1300还包括:
发送模块1304,用于向所述第一DPI设备和所述第三DPI设备发送业务识别结果。
可选的,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
需要说明的是,本实施例中上述DPI设备1300可以是本发明实施例中方法实施例中任意实施方式的第二DPI设备,本发明实施例中方法实施例中第二DPI设备的任意实施方式都可以被本实施例中的上述DPI设备1300所实现,以及达到相同的有益效果,此处不再赘述。
参见图15,图15是本发明实施例提供的一种统一存储分析平台的结构示意图,如图15所示,统一存储分析平台1500包括:
第一接收模块1501,用于接收第一DPI设备发送的第一流量的第一交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为HTTP;
第二接收模块1502,用于接收第三DPI设备发送的第二流量的第一交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
识别模块1503,用于将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别。
可选的,所述第一流量的第一交互信息包括所述第一流量的xDR信息,所述第二流量的第一交互信息包括所述第二流量的xDR信息;
则所述识别模块1503用于将所述第一流量与所述第二流量关联,并将所述第一流量和第二流量的xDR信息进行合并。
可选的,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
可选的,所述识别模块1503用于将所述第一流量与所述第二流量关联,若所述第一流量和所述第二流量的xDR信息均存在目标信息,则所述统一存储分析平台识别所述目标信息的优先级别,并选择优先级别高的目标信息进行合并,其中,所述目标信息包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
需要说明的是,本实施例中上述统一存储分析平台1500可以是本发明实施例中方法实施例中任意实施方式的统一存储分析平台,本发明实施例中方法实施例中统一存储分析平台的任意实施方式都可以被本实施例中的上述统一存储分析平台1500所实现,以及达到相同的有益效果,此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (30)
1.一种流量的业务识别方法,其特征在于,包括:
若第一深度包检测DPI设备接收到的第一流量为非对称流量,则所述第一DPI设备判断所述第一流量的协议是否为超文本传输协议HTTP;
若所述第一流量的协议为HTTP,则所述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别;
若所述第一流量的协议不为HTTP,则所述第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。
2.如权利要求1所述的方法,其特征在于,所述第一DPI设备向统一存储分析平台上传所述第一流量的第一交互信息,包括:
所述第一DPI设备向统一存储分析平台上传所述第一流量的xDR信息,所述xDR信息用于使所述统一存储分析平台将所述第一流量与第二流量进行关联,并由所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量。
3.如权利要求2所述的方法,其特征在于,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
4.如权利要求1-3中任一项所述的方法,其特征在于,所述第一DPI设备向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,包括:
所述第一DPI设备根据预设映射算法查找与所述第一流量对应的第二DPI设备;
所述第一DPI设备向所述第二DPI设备上传所述第一流量的第二交互信息。
5.如权利要求4所述的方法,其特征在于,所述第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1,且所述第二交互信息用于使所述第二DPI设备将所述第一流量与第二流量进行关联,并由所述第二DPI设备使用所述第一流量与第二流量的第二交互信息,对所述第一流量与第二流量进行业务识别,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
则所述方法还包括:
所述第一DPI设备接收所述第二DPI设备发送的业务识别结果。
6.如权利要求5所述的方法,其特征在于,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
7.如权利要求1-3中任一项所述的方法,其特征在于,所述方法还包括:
所述第一DPI设备判断是否接收到所述第一流量对应的第二流量,所述第二流量为上行流量或者下行流量;
若未接收到所述第一流量对应的第二流量,则所述第一DPI设备确定所述第一流量为非对称流量;
若接收到所述第一流量对应的第二流量,则所述第一DPI设备确定所述第一流量为对称流量;
若所述第一流量为对称流量,则所述第一DPI设备对所述第一流量和所述第二流量进行业务识别。
8.一种流量的业务识别方法,其特征在于,包括:
第二DPI设备接收第一DPI设备发送的第一流量的第二交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为非HTTP;
所述第二DPI设备接收第三DPI设备发送的第二流量的第二交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
所述第二DPI设备将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第二交互信息,对所述第一流量和所述第二流量进行业务识别。
9.如权利要求8所述的方法,其特征在于,所述第二DPI设备是所述第一DPI设备根据预设映射算法查找与所述第一流量对应的DPI设备,且所述第二DPI设备还是所述第三DPI设备根据所述预设映射算法查找与所述第二流量对应的DPI设备。
10.如权利要求9所述的方法,其特征在于,所述第一流量的第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1;
所述第二流量的第二交互信息包括所述第二流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息;
则所述方法还包括:
所述第二DPI设备向所述第一DPI设备和所述第三DPI设备发送业务识别结果。
11.如权利要求10所述的方法,其特征在于,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
12.一种流量的业务识别方法,其特征在于,包括:
统一存储分析平台接收第一DPI设备发送的第一流量的第一交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为HTTP;
所述统一存储分析平台接收第三DPI设备发送的第二流量的第一交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
所述统一存储分析平台将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别。
13.如权利要求12所述的方法,其特征在于,所述第一流量的第一交互信息包括所述第一流量的xDR信息,所述第二流量的第一交互信息包括所述第二流量的xDR信息;
则所述统一存储分析平台使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别,包括:
所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并。
14.如权利要求13所述的方法,其特征在于,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
15.如权利要求14所述的方法,其特征在于,所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,包括:
若所述第一流量和所述第二流量的xDR信息均存在目标信息,则所述统一存储分析平台识别所述目标信息的优先级别,并选择优先级别高的目标信息进行合并,其中,所述目标信息包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
16.一种DPI设备,所述DPI设备为第一DPI设备,其特征在于,包括:
第一判断模块,用于若第一深度包检测DPI设备接收到的第一流量为非对称流量,则判断所述第一流量的协议是否为HTTP;
第一上传模块,用于若所述第一流量的协议为HTTP,则向统一存储分析平台上传所述第一流量的第一交互信息,所述第一交互信息用于使所述统一存储分析平台对所述第一流量进行业务识别;
第二上传模块,用于若所述第一流量的协议不为HTTP,则向所述第一流量对应的第二DPI设备上传所述第一流量的第二交互信息,所述第二交互信息用于使所述第二DPI设备对所述第一流量进行业务识别。
17.如权利要求16所述的DPI设备,其特征在于,所述第一上传模块用于向统一存储分析平台上传所述第一流量的xDR信息,所述xDR信息用于使所述统一存储分析平台将所述第一流量与第二流量进行关联,并由所述统一存储分析平台将所述第一流量和第二流量的xDR信息进行合并,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量。
18.如权利要求17所述的DPI设备,其特征在于,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
19.如权利要求16-18中任一项所述的DPI设备,其特征在于,所述第二上传模块包括:
查找单元,用于根据预设映射算法查找与所述第一流量对应的第二DPI设备;
上传单元,用于向所述第二DPI设备上传所述第一流量的第二交互信息。
20.如权利要求19所述的DPI设备,其特征在于,所述第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1,且所述第二交互信息用于使所述第二DPI设备将所述第一流量与第二流量进行关联,并由所述第二DPI设备使用所述第一流量与第二流量的第二交互信息,对所述第一流量与第二流量进行业务识别,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
则所述DPI设备还包括:
接收模块,用于接收所述第二DPI设备发送的业务识别结果。
21.如权利要求20所述的DPI设备,其特征在于,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
22.如权利要求16-18中任一项所述的DPI设备,其特征在于,所述DPI设备还包括:
第二判断模块,用于判断是否接收到所述第一流量对应的第二流量,所述第二流量为上行流量或者下行流量;
第一确定模块,用于若未接收到所述第一流量对应的第二流量,则确定所述第一流量为非对称流量;
第二确定模块,用于若接收到所述第一流量对应的第二流量,则确定所述第一流量为对称流量;
识别模块,用于若所述第一流量为对称流量,则对所述第一流量和所述第二流量进行业务识别。
23.一种DPI设备,所述DPI设备为第二DPI设备,其特征在于,包括:
第一接收模块,用于接收第一DPI设备发送的第一流量的第二交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为非HTTP;
第二接收模块,用于接收第三DPI设备发送的第二流量的第二交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
识别模块,用于将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第二交互信息,对所述第一流量和所述第二流量进行业务识别。
24.如权利要求23所述的DPI设备,其特征在于,所述第二DPI设备是所述第一DPI设备根据预设映射算法查找与所述第一流量对应的DPI设备,且所述第二DPI设备还是所述第三DPI设备根据所述预设映射算法查找与所述第二流量对应的DPI设备。
25.如权利要求24所述的DPI设备,其特征在于,所述第一流量的第二交互信息包括所述第一流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息,所述N为预配置的整数,且大于或者等于1;
所述第二流量的第二交互信息包括所述第二流量的前N个包的关键字节,以及还包括所述前N个包中每个包的包长信息;
则所述DPI设备还包括:
发送模块,用于向所述第一DPI设备和所述第三DPI设备发送业务识别结果。
26.如权利要求25所述的DPI设备,其特征在于,所述关键字节包括:
包的第一个关键字节和最后一个关键字节。
27.一种统一存储分析平台,其特征在于,包括:
第一接收模块,用于接收第一DPI设备发送的第一流量的第一交互信息,其中,所述第一流量为非对称流量,且所述第一流量的协议为HTTP;
第二接收模块,用于接收第三DPI设备发送的第二流量的第一交互信息,其中,所述第二流量为与所述第一流量对应的上行流量或者下行流量;
识别模块,用于将所述第一流量与所述第二流量关联,并使用所述第一流量和所述第二流量的第一交互信息,对所述第一流量和所述第二流量进行业务识别。
28.如权利要求27所述的统一存储分析平台,其特征在于,所述第一流量的第一交互信息包括所述第一流量的xDR信息,所述第二流量的第一交互信息包括所述第二流量的xDR信息;
则所述识别模块用于将所述第一流量与所述第二流量关联,并将所述第一流量和第二流量的xDR信息进行合并。
29.如权利要求28所述的统一存储分析平台,其特征在于,所述xDR信息包括:
xDR标识、协议、源IP、目的IP、源端口和目的端口,以及还包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
30.如权利要求29所述的统一存储分析平台,其特征在于,所述识别模块用于将所述第一流量与所述第二流量关联,若所述第一流量和所述第二流量的xDR信息均存在目标信息,则所述统一存储分析平台识别所述目标信息的优先级别,并选择优先级别高的目标信息进行合并,其中,所述目标信息包括如下至少一项:
开始时间、结束时间、业务大类、业务小类、业务细分信息和流量大小。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611167423.8A CN108206788B (zh) | 2016-12-16 | 2016-12-16 | 一种流量的业务识别方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611167423.8A CN108206788B (zh) | 2016-12-16 | 2016-12-16 | 一种流量的业务识别方法及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108206788A true CN108206788A (zh) | 2018-06-26 |
CN108206788B CN108206788B (zh) | 2021-07-06 |
Family
ID=62601464
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611167423.8A Active CN108206788B (zh) | 2016-12-16 | 2016-12-16 | 一种流量的业务识别方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108206788B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108092852A (zh) * | 2017-12-26 | 2018-05-29 | 北京科来数据分析有限公司 | 一种基于TCP协议的OpenStack流量采集方法 |
CN110166359A (zh) * | 2019-05-27 | 2019-08-23 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
CN110798402A (zh) * | 2019-10-30 | 2020-02-14 | 腾讯科技(深圳)有限公司 | 业务消息处理方法、装置、设备及存储介质 |
CN110855424A (zh) * | 2019-10-12 | 2020-02-28 | 武汉绿色网络信息服务有限责任公司 | 一种DPI领域非对称流量xDR合成的方法和装置 |
CN114710451A (zh) * | 2022-04-08 | 2022-07-05 | 中山大学 | 基于扩展哈希和knn的区块链应用流量识别方法及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101072174A (zh) * | 2007-03-23 | 2007-11-14 | 南京邮电大学 | 基于净荷深度检测和会话关联技术的腾讯语音识别方法 |
CN101505236A (zh) * | 2009-03-12 | 2009-08-12 | 成都市华为赛门铁克科技有限公司 | 一种实现绿色上网的方法和装置 |
CN102025623A (zh) * | 2010-12-07 | 2011-04-20 | 苏州迈科网络安全技术股份有限公司 | 智能化网络流控方法 |
CN103475593A (zh) * | 2013-08-20 | 2013-12-25 | 北京星网锐捷网络技术有限公司 | 数据流的处理方法和装置 |
CN104022920A (zh) * | 2014-06-26 | 2014-09-03 | 重庆重邮汇测通信技术有限公司 | 一种lte网络流量识别系统及方法 |
CN104244035A (zh) * | 2014-08-27 | 2014-12-24 | 南京邮电大学 | 基于多层聚类的网络视频流分类方法 |
CN104320304A (zh) * | 2014-11-04 | 2015-01-28 | 武汉虹信技术服务有限责任公司 | 一种易扩展的多方式融合的核心网用户流量应用识别方法 |
US20150358243A1 (en) * | 2012-11-29 | 2015-12-10 | Juniper Networks, Inc. | External service plane |
CN105530144A (zh) * | 2015-12-16 | 2016-04-27 | 北京浩瀚深度信息技术股份有限公司 | 非对称路由环境中的业务识别方法和系统 |
US20160261497A1 (en) * | 2015-03-06 | 2016-09-08 | Telefonaktiebolaget L M Ericsson (Publ) | Bng / subscriber management integrated, fib based, per subscriber, opt-in opt-out, multi application service chaining solution via subscriber service chaining nexthop and meta ip lookup |
-
2016
- 2016-12-16 CN CN201611167423.8A patent/CN108206788B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101072174A (zh) * | 2007-03-23 | 2007-11-14 | 南京邮电大学 | 基于净荷深度检测和会话关联技术的腾讯语音识别方法 |
CN101505236A (zh) * | 2009-03-12 | 2009-08-12 | 成都市华为赛门铁克科技有限公司 | 一种实现绿色上网的方法和装置 |
CN102025623A (zh) * | 2010-12-07 | 2011-04-20 | 苏州迈科网络安全技术股份有限公司 | 智能化网络流控方法 |
US20150358243A1 (en) * | 2012-11-29 | 2015-12-10 | Juniper Networks, Inc. | External service plane |
CN103475593A (zh) * | 2013-08-20 | 2013-12-25 | 北京星网锐捷网络技术有限公司 | 数据流的处理方法和装置 |
CN104022920A (zh) * | 2014-06-26 | 2014-09-03 | 重庆重邮汇测通信技术有限公司 | 一种lte网络流量识别系统及方法 |
CN104244035A (zh) * | 2014-08-27 | 2014-12-24 | 南京邮电大学 | 基于多层聚类的网络视频流分类方法 |
CN104320304A (zh) * | 2014-11-04 | 2015-01-28 | 武汉虹信技术服务有限责任公司 | 一种易扩展的多方式融合的核心网用户流量应用识别方法 |
US20160261497A1 (en) * | 2015-03-06 | 2016-09-08 | Telefonaktiebolaget L M Ericsson (Publ) | Bng / subscriber management integrated, fib based, per subscriber, opt-in opt-out, multi application service chaining solution via subscriber service chaining nexthop and meta ip lookup |
CN105530144A (zh) * | 2015-12-16 | 2016-04-27 | 北京浩瀚深度信息技术股份有限公司 | 非对称路由环境中的业务识别方法和系统 |
Non-Patent Citations (2)
Title |
---|
GRANT A.JACOBY,SHAWN MOSLEY: "Mobile Security Using Separated Deep Packet Inspection", 《IEEE》 * |
张艳荣,张治中,姜明志,郑小平: "基于DPI的移动分组网络流量分析技术的研究与实现", 《电信科学》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108092852A (zh) * | 2017-12-26 | 2018-05-29 | 北京科来数据分析有限公司 | 一种基于TCP协议的OpenStack流量采集方法 |
CN110166359A (zh) * | 2019-05-27 | 2019-08-23 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
CN110166359B (zh) * | 2019-05-27 | 2022-02-25 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
CN110855424A (zh) * | 2019-10-12 | 2020-02-28 | 武汉绿色网络信息服务有限责任公司 | 一种DPI领域非对称流量xDR合成的方法和装置 |
CN110855424B (zh) * | 2019-10-12 | 2023-04-07 | 武汉绿色网络信息服务有限责任公司 | 一种DPI领域非对称流量xDR合成的方法和装置 |
CN110798402A (zh) * | 2019-10-30 | 2020-02-14 | 腾讯科技(深圳)有限公司 | 业务消息处理方法、装置、设备及存储介质 |
CN110798402B (zh) * | 2019-10-30 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 业务消息处理方法、装置、设备及存储介质 |
CN114710451A (zh) * | 2022-04-08 | 2022-07-05 | 中山大学 | 基于扩展哈希和knn的区块链应用流量识别方法及系统 |
CN114710451B (zh) * | 2022-04-08 | 2023-06-23 | 中山大学 | 基于扩展哈希和knn的区块链应用流量识别方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108206788B (zh) | 2021-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108206788A (zh) | 一种流量的业务识别方法及相关设备 | |
CN105138592B (zh) | 一种基于分布式架构的日志数据存储和检索方法 | |
US20120182891A1 (en) | Packet analysis system and method using hadoop based parallel computation | |
CN104244035B (zh) | 基于多层聚类的网络视频流分类方法 | |
CN105701096A (zh) | 索引生成方法、数据查询方法、装置及系统 | |
CN102075404A (zh) | 一种报文检测方法及装置 | |
CN114006928B (zh) | 一种基于多协议实时通信的物联网数据处理方法 | |
CN103856462B (zh) | 一种会话的管理方法及系统 | |
CN104794170A (zh) | 基于指纹多重哈希布隆过滤器的网络取证内容溯源方法 | |
CN105868169B (zh) | 一种数据采集装置、数据采集方法和系统 | |
CN104378234A (zh) | 跨数据中心的数据传输处理方法及系统 | |
CN105357334B (zh) | 一种基于ipv6地址划分的ipv6地址存储及快速查询方法 | |
CN108989301A (zh) | 一种多索引的网络流量数据索引方法、设备及存储介质 | |
CN102209019A (zh) | 一种基于报文净荷的负载均衡方法和负载均衡设备 | |
CN111224831A (zh) | 用于生成话单的方法和系统 | |
CN106131153B (zh) | 基于智能网关的业务识别方法和装置 | |
CN104901897A (zh) | 一种应用类型的确定方法和装置 | |
Lee et al. | High performance payload signature-based Internet traffic classification system | |
CN106657436B (zh) | 报文处理方法和装置 | |
CN106357448B (zh) | 一种流量监测拓扑生成方法和系统 | |
CN108494875A (zh) | 一种反馈资源文件的方法和装置 | |
CN109428774A (zh) | 一种dpi设备的数据处理方法及相关的dpi设备 | |
CN103957119A (zh) | 一种采用mib文件对网络设备进行管理的方法及浏览器 | |
CN104683241A (zh) | 一种报文检测方法及装置 | |
Wehner et al. | On learning hierarchical embeddings from encrypted network traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |