CN109951347B - 业务识别方法、装置及网络设备 - Google Patents

Abstract

本申请公开了一种业务识别方法、装置及网络设备，涉及通信网络技术领域。该方法应用于网络设备，以解决现有技术中根据业务报文的解析结果确定待识别业务的业务类型的效率较低的问题而发明。该方法包括：网络设备接收业务报文并识别属于同一终端的业务报文；网络设备根据终端的会话信息以及业务报文的报文信息确定业务流量特征；其中，业务流量特征包括以下至少一种：会话持续时长、会话并发数、流量速率、流量速率稳定度、报文收发频率、报文数量、报文长度以及请求报文和应答报文的往返时延；网络设备根据业务流量特征，确定待识别业务的业务类型。

Description

业务识别方法、装置及网络设备

技术领域

本申请涉及通信网络技术领域，尤其涉及一种业务识别方法、装置及网络设备。

背景技术

在家庭网络等小型局域网中，包含多种类型的终端，这些终端通过网关等网络设备接入业务网络，访问各种业务。不同类型的业务要求的服务质量不同，例如：语音业务和游戏业务对时延要求较高，视频业务对时延和丢包要求均较高。在网络资源有限时，网络设备需要识别业务类型并优先保证关键业务的服务质量。

目前，终端可在其发送的报文中增加业务识别信息，如在报文中携带特定虚拟局域网(Virtual Local Area Network，VLAN)标识以表示业务类型，网络设备可根据该特定VLAN标识识别业务类型。然而，有些终端不支持在报文中携带上述业务识别信息，则该方法无法适用于这类终端。

除了在报文中增加专门的业务识别信息，网络设备还可解析业务报文的封装信息来识别业务类型。其中，该封装信息包括端口信息、源地址、目的地址以及应用协议等。然而，这种通过解析报文识别业务类型的方法，识别业务类型的效率较低，主要体现在以下方面：1、对于新增的业务类型，需要手工配置甚至升级网络设备以使得网络设备具备解析新类型的业务的能力。2、无法解析采用加密或私有协议传输的业务报文。3、若存在业务通过端口信息伪装成超文本传输协议(Hyper Text Transfer Protocol,HTTP)业务，则网络设备除了解析端口信息外，还需要深入分析应用层协议和配置，加大识别和配置难度。4、业务识别的准确性较低。例如：对于支持视频点播(Video On Demand，VOD)和网页浏览的网页，由于VOD点播和网页浏览业务的目的地址相同，而错误的把VOD点播业务识别为网页浏览业务。

发明内容

本申请实施例提供一种业务识别方法、装置及网络设备，以解决现有技术中根据报文解析结果识别业务类型的效率较低的技术问题。

为达到上述目的，本申请的实施例提供如下技术方案：

第一方面，提供一种业务识别方法，该方法应用于网络设备，该方法包括：网络设备接收业务报文并识别属于同一终端的业务报文，然后根据终端的会话信息以及业务报文的报文信息确定业务流量特征。之后，网络设备根据该业务流量特征，确定待识别业务的业务类型。

其中，业务流量特征包括以下至少一种：会话持续时长、会话并发数、流量速率、流量速率稳定度、报文收发频率、报文数量、报文长度以及请求报文和应答报文的往返时延。

示例性地，会话是指终端与业务网络之间的通信连接，会话并发数是指同一终端与业务网络之间存在的连接的数量，可以包括上行会话并发数和下行会话并发数。会话持续时长为会话开始时间到会话结束时间之间的时间长度。

示例性地，流量是指终端与业务网络之间传输的数据量，可以用字节(Byte)数、比特(Bit)数等指标衡量，流量速率是指终端在指定时间段内接收或发送的业务报文的数据量，包括上行流量速率和下行流量速率，可以使用单位时间内接收或发送的字节数、比特数来衡量。流量速率稳定度是指流量速率的稳定程度，例如可以使用指定时间段内多个时间点测得的流量速率的方差来衡量。

示例性地，报文是指终端与业务网络之间传输的数据包。报文数量可以包括上行大包报文数量、下行大包报文数量、上行小包报文数量、下行小包报文数量和收发的所有报文的总数量。报文长度是指业务报文的大小，通常用字节数、比特数来衡量。相应地，第一报文占比为下行大包报文数量与下行报文总数量的比值，第二报文占比为下行小包报文数量与下行报文总数量的比值。其中，大包报文通常可以为报文长度大于第一报文长度阈值的报文，小包报文可以为报文长度小于第二报文长度阈值的报文，且第二报文长度阈值小于第一报文长度阈值。报文收发频率是指指定时间内接收和/或发送的报文数量。例如可以通过单位时间内收发的报文的个数来衡量。往返时延是指从终端发送业务请求报文到终端收到该业务请求报文的应答报文之间的时间延迟。

可选的，业务流量特征还包括业务发生时段，如凌晨、上午、中午、下午和傍晚等。还包括终端的历史常用业务类型，如用户经常使用某一终端打网络游戏或BT下载，那么该终端对应的历史常用业务类型包括网络游戏和BT下载。业务流量特征还包括业务发生地点，如家庭和诸如网吧、学校等公用小型局域网。

上述业务识别方法中，网络设备能够根据终端的会话信息和业务报文的报文信息分析确定该终端当前访问的业务的流量特征，然后网络设备可根据业务流量特征确定待识别业务的业务类型。可见，网络设备不需要对业务报文进行复杂解析，能够提高业务识别的效率，主要体现在以下方面：1、对于新增业务，并不需要升级网络设备，以具备解析该新增业务所采用的新的网络传输协议的能力，只需要对该新增业务建立相对简单的业务流量分析模型即可完成该新增业务的识别，且可以降低小型局域网的部署成本。2、对于采用加密或私有协议封装的业务报文，网络设备也不需要根据该加密或私有协议解析业务报文，即可识别业务的流量特征并确定待识别业务的业务类型。3、对于通过端口信息伪装为HTTP协议报文的其他业务报文，不需要对该业务报文作诸如应用层封装信息解析等复杂的解析步骤，即可识别业务的流量特征并确定待识别业务的业务类型。4、对于目的地址相同的VOD业务和网页浏览业务，也可以通过流量特征加以识别而避免误判。此外，该方法不要求终端具备在报文中携带业务识别信息的能力，因此，该方法能够适用于任意类型的终端。

在一种可能的设计中，网络设备根据业务流量特征，确定待识别业务的业务类型，包括：网络设备获取预设业务类型对应的流量分析模型，流量分析模型包括业务流量特征的判定条件和每个判定条件对应的权重。然后，对于流量分析模型中的每个判定条件，若业务流量特征满足判定条件，则网络设备确定判定条件对应的分值为第一分值；若业务流量特征不满足判定条件，则网络设备确定判定条件对应的分值为第二分值。之后，网络设备根据流量分析模型中的每个判定条件对应的权重和分值，计算流量分析模型对应的总分值，并根据流量分析模型对应的总分值确定待识别业务的业务类型。

其中，流量分析模型对应的总分值可以按照如下公式计算：

其中，S_i为第i个流量分析模型的总分值，s_i,j为第i个流量分析模型中第j个判定条件的分值，α_i,j为第i个流量分析模型中第j个判定条件的权重，1≤i≤M，1≤j≤N，M和N均为大于等于2的自然数。

可选的，上述方法可应用在判定待识别业务的业务类型是否为某一预设业务类型的场景。该预设业务类型可以为用户或网络管理人员所关心的业务类型。网络设备存储该业务类型对应的流量分析模型。相应的，网络设备根据流量分析模型对应的总分值确定待识别业务的业务类型，包括：若流量分析模型对应的总分值大于预设分值阈值，则网络设备确定待识别业务的业务类型为该流量分析模型对应的业务类型。

可选的，上述方法可应用在判定待识别业务是否为多个预设业务类型中的任意一个业务的场景。网络设备存储有多个业务类型对应的流量分析模型。相应的，网络设备获取预设业务类型对应的流量分析模型，包括：网络设备获取至少两个预设业务类型对应的流量分析模型；其中，预设业务类型与流量分析模型一一对应。相应的，网络设备根据流量分析模型对应的总分值确定待识别业务的业务类型，包括：网络设备确定待识别业务的业务类型为总分值最大的流量分析模型对应的预设业务类型。

常见的业务类型包括：比特洪流(Bit Torrent，BT)下载、视频点播(Video OnDemand，VOD)业务、语音业务和网络游戏业务。

BT下载业务具备下行流量速率较大但稳定度较差、上行流量速率较小、上行会话数较多、会话持续时长较长的特点。因此，示例性的，BT下载业务对应的流量分析模型中的判定条件包括：下行流量速率大于预设的第一速率阈值，且上行会话并发数大于预设的会话数阈值；会话持续时长大于预设的时长阈值；下行流量速率稳定度的数值大于预设的稳定度阈值；上行流量速率小于预设的第二速率阈值。其中，第二速率阈值小于第一速率阈值。例如，第一速率阈值通常设置为一个较大值，例如10Mbps(Mega bit per second)，第二速率阈值通常设置为一个较小值，例如200kbps(kilo bit per second)。

可选的，为了进一步提高识别BT下载业务的准确性，BT下载业务对应的流量分析模型中的判定条件还包括以下至少一种：业务发生时段为凌晨时段，终端的历史常用业务类型包括BT下载。

VOD业务通常具有下行流量速率较大且稳定、上行流量速率较小、上行会话数较少、会话持续时长较长和下行报文长度较大的报文在所有业务报文中的占比较高的的特点。因此，示例性的，VOD业务对应的流量分析模型的判定条件包括：下行流量速率大于预设的第一速率阈值，且上行会话并发数小于预设的会话数阈值；第一报文占比大于预设的大包占比阈值；上行流量速率小于预设的第二速率阈值；会话持续时长大于预设的时长阈值；下行流量速率稳定度的数值小于预设的稳定度阈值。其中，第一报文占比为下行大包报文数量与下行报文总数量的比值。

可选地，为了进一步提高识别VOD业务的准确性，VOD业务对应的流量分析模型中的判定条件还包括：业务发生时段为晚上时段。

语音业务具有上下行流量均较小且下行小包占比较大、上行报文发送频率较高、实时性较强且下行速率稳定的特点。因此，示例性的，语音业务对应的流量分析模型的判定条件包括：上行报文发送频率大于预设的频率阈值；下行流量速率小于预设的第三速率阈值，且第二报文占比大于预设的第二报文占比阈值；往返时延的数值小于预设的时延阈值；上行会话并发数小于预设的会话数阈值；下行流量速率稳定度的数值小于预设的稳定度阈值。其中，第三速率阈值小于第一速率阈值，第二报文占比为下行小包报文数量与下行报文总数量的比值。

网络游戏业务通常具有上下行流量速率较小且上行报文发送频率较低、实时性较强、上行会话并发数较少的特点。因此，示例性的，网络游戏业务对应的流量分析模型的判定条件包括：下行流量速率小于预设的第三速率阈值，且第二报文占比大于预设的第二报文占比阈值；上行报文发送频率小于预设的频率阈值；往返时延的数值小于预设的时延阈值；上行会话并发数小于预设的会话数阈值；下行流量速率稳定度的数值小于预设的稳定度阈值；其中，第三速率阈值小于第一速率阈值，第二报文占比为下行小包报文数量与下行报文总数量的比值。

可选地，为了进一步提高识别网络游戏业务的准确性，网络游戏业务对应的流量分析模型的判定条件还包括如下条件中的至少一个：业务发生地点为公用小型局域网、终端的历史常用业务类型包括网络游戏。

第二方面，提供一种业务识别装置，该装置应用于网络设备，该装置包括：接收模块，用于接收业务报文并识别属于同一终端的业务报文。处理模块，用于根据终端的会话信息以及业务报文的报文信息确定业务流量特征；其中，业务流量特征包括以下至少一种：会话持续时长、会话并发数、流量速率、流量速率稳定度、报文收发频率、报文数量、报文长度以及请求报文和应答报文的往返时延。处理模块，还用于根据业务流量特征，确定待识别业务的业务类型。

在一种可能的设计中，处理模块，还用于获取预设业务类型对应的流量分析模型，并针对流量分析模型中的每个判定条件的判定结果确定该判定条件对应的分值。例如，若业务流量特征满足判定条件，则确定判定条件对应的分值为第一分值。又例如，若业务流量特征不满足判定条件，则确定判定条件对应的分值为第二分值。然后，处理模块，根据流量分析模型中的每个判定条件对应的权重和分值，计算流量分析模型对应的总分值，并根据流量分析模型对应的总分值确定待识别业务的业务类型。

其中，流量分析模型包括业务流量特征的判定条件和每个判定条件对应的权重，且第二分值小于第一分值，流量分析模型对应的总分值按照如下公式计算：

其中，S_i为第i个流量分析模型的总分值，s_i,j为第i个流量分析模型中第j个判定条件的分值，α_i,j为第i个流量分析模型中第j个判定条件的权重，1≤i≤M，1≤j≤N，M和N均为大于等于2的自然数。

可选的，处理模块，还用于若流量分析模型对应的总分值大于预设分值阈值，则确定待识别业务的业务类型为流量分析模型对应的业务类型。

可选的，处理模块，还用于获取至少两个预设业务类型对应的流量分析模型，以及确定待识别业务的业务类型为总分值最大的流量分析模型对应的预设业务类型。其中，预设业务类型与流量分析模型一一对应。

第三方面，提供一种网络设备，该网络设备包括：处理器、通信接口和存储器；其中，存储器用于存储计算机执行指令，当网络设备运行时，处理器执行存储器存储的计算机执行指令，以使网络设备执行如第一方面及其任一种可能的实现方式所述的业务识别方法。

第四方面，提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当指令在网络设备上运行时，使得网络设备执行如第一方面及其任一种可能的实现方式所述的业务识别方法。

第五方面，提供一种包含指令的计算机程序产品，当其在网络设备上运行时，使得网络设备执行如第一方面及其任一种可能的实现方式所述的的业务识别方法。

本申请的实施例中，上述网络设备内各个单元模块的名称对设备本身不构成限定，在实际实现中，这些单元模块可以以其他名称出现。只要各个单元模块的功能和本申请的实施例类似，即属于本申请权利要求及其等同技术的范围之内。

附图说明

图1为本申请的实施例提供的业务识别方法、装置及网络设备所应用的通信网络的结构示意图；

图2为本申请的实施例提供的一种网络设备的结构示意图；

图3为本申请的实施例提供的一种业务识别方法的流程示意图；

图4为本申请的实施例提供的另一种业务识别方法的流程示意图；

图5为本申请的实施例提供的另一种业务识别方法的流程示意图；

图6为本申请的实施例提供的另一种业务识别方法的流程示意图；

图7为本申请的实施例提供的一种业务类型识别装置的结构示意图。

具体实施方式

下面结合附图对本申请实施例提供的业务类型识别方法、装置及网络设备进行详细地描述。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，或者用于区别对同一对象的不同处理，而不是用于描述对象的特定顺序。

此外，本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本申请实施例提供的业务类型识别方法、装置及网络设备可以应用于小型局域网中，该小型局域网主要用于为小型局域网内的用户提供网络服务。示例性的，该小型局域网可以为家用局域网，也可以是部署在网吧、学校等较小区域内的公用小型局域网。下面以家庭网络为例进行说明。

如图1所示，家庭网络10包括：家庭网关11和多个可通过该家庭网关11访问外部业务网络的终端12-16。其中，家庭网关11可以是光网络终端(Optical Network Terminal，ONT)、小型路由器等网络设备。终端12为模拟电话机，终端13为连接有机顶盒(set topbox，STB，图1中未示出)的电视机，终端14为笔记本电脑，终端15平板电脑，终端16为台式个人电脑(Personal Computer，PC)。此外，终端还可以是手机、蜂窝电话、无绳电话、会话发起协议(session initiation protocol，SIP)电话、智能电话、无线本地环路(wirelesslocal loop，WLL)站、个人数字助理(personal digital assistant，PDA)、手持式通信设备、手持式计算设备、卫星无线设备、无线调制解调器卡、用户驻地设备(Customer PremiseEquipment，CPE)和/或用于通过该家庭网关11与外部业务网络通信的其它设备。

在如图1所示的家庭网络10中，多个家庭成员可能同时使用多个终端同时接入业务网络，接收不同类型的网络服务。例如，家庭成员A通过连接有STB的电视机13收看VOD网站提供的视频节目，家庭成员B使用普通老式电话机(Plain Old Telephone，POT)12通话，家庭成员C使用PC机16玩网络游戏，家庭成员D使用笔记本电脑14通过BT下载方式下载电影。其中，不同类型的业务对服务质量的要求不同。例如，语音业务(通话)和网络游戏要求时延较小，VOD业务要求时延和丢包率均较小。当网络资源不能满足上述所有业务的质量要求时，家庭网关11需要识别出不同类型业务的优先级，并优先保障高优先级业务的服务质量。例如，当上述所有业务要求的最低网络带宽已经超出运营商为该家庭网络配置的网络带宽时，需要优先保障语音业务、VOD业务和网络游戏业务的的服务质量。

图2为本申请实施例提供的一种网络设备的组成示意图，该网络设备可以为如图1所示家庭网关11等小型网络设备。如图2所示，网络设备可以包括至少一个处理器21、通信接口22、存储器23和总线44。

下面结合图2对网络设备的各个构成部件进行具体的介绍：

处理器21是网络设备的控制中心，可以是一个处理器，也可以是多个处理元件的统称。在具体的实现中，作为一种实施例，处理器21可以包括一个或多个中央处理单元(Central Processing Unit，CPU)，例如图2中所示的CPU0和CPU1。处理器21也可以是专用集成电路(Application Specific Integrated Circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个数字信号处理器(Digital SignalProcessor，DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，FPGA)组成的集成电路集合。

其中，以处理器21是一个或多个CPU为例，处理器21可以通过运行或执行存储在网络设备中的存储器23内的软件程序，以及调用存储在存储器23内的数据，执行网络设备的各种功能。

在具体实现中，作为一种实施例，网络设备可以包括多个处理器，例如图2中所示的2个处理器21。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在本申请实施例中处理器21主要用于获取属于同一终端的业务报文和该终端的会话信息，并根据业务报文和会话信息获取待识别业务的业务流量特征，进而根据业务流量特征确定待识别业务的业务类型。

存储器23可以是只读存储器(Read-Only Memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(Random Access Memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器23可以是独立存在，通过总线44与处理器21相连接。存储器23也可以和处理器21集成在一起。

其中，所述存储器23可以包括程序存储区，用于存储执行本申请方案的程序指令，并由处理器21来控制执行。此外，存储器23还可以包括数据存储区，用于缓存接收到的业务报文，以及执行本申请实施例提供的业务识别方法过程中产生的中间数据。

通信接口22，用于与其他设备或通信网络通信，如以太网，无线接入网(RadioAccess Network，RAN)，无线局域网(Wireless Local Area Networks，WLAN)等。通信接口22可以包括接收单元实现接收功能，以及发送单元实现发送功能。在本申请实施例中通信接口主要用于收发业务报文。

总线44，可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互连(Peripheral Component Interconnect，PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图2中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

图2中示出的设备结构并不构成对网络设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

本申请实施例提供一种业务识别方法，该方法可以应用于图1所示的局域网以及图2所示的网络设备中。如图3所示，该方法包括S201-S203：

S301、网络设备接收业务报文并识别属于同一终端的业务报文。

其中，网络设备可以通过如图2所示通信接口22执行S301。

实际应用中，网络设备可以根据上行业务报文携带的源端口标识、源媒体接入控制(Midia Access Control，MAC)地址等信息识别属于同一终端的上行业务报文。或者，网络设备还可以根据下行业务报文携带的目的端口标识、目的MAC地址等信息识别属于同一终端的下行业务报文。

需要说明的是，上行业务报文为终端通过网络设备向外部业务网络发送的报文，例如业务请求报文。下行业务报文为终端通过网络设备接收的、来自外部业务网络的报文，例如外部业务网络中的服务器发送的信令报文和数据报文。

S302、网络设备根据终端的会话信息以及业务报文的报文信息确定业务流量特征。

其中，S302可以由如图2所示的处理器21执行。

业务流量特征包括以下至少一种：会话持续时长、会话并发数、流量速率、流量速率稳定度、报文收发频率、报文数量、报文长度以及请求报文和应答报文的往返时延。

示例性地，会话是指终端与业务网络之间的通信连接，会话并发数是指同一终端与业务网络之间存在的连接的数量，可以包括上行会话并发数和下行会话并发数。会话持续时长为会话开始时间到会话结束时间之间的时间长度。会话开始时间可以为终端向业务网络中的网络设备或终端发送会话建立请求报文的时间，会话结束时间可以为该终端接收到的结束该会话的协议报文或最后一个承载业务数据的数据报文的时间。

示例性地，流量是指终端与业务网络之间传输的数据量，可以用字节(Byte)数、比特(Bit)数等指标衡量，流量速率是指终端在指定时间段内接收或发送的业务报文的数据量，包括上行流量速率和下行流量速率，可以使用单位时间内接收或发送的字节数、比特数来衡量。流量速率稳定度是指流量速率的稳定程度，例如可以使用指定时间段内多个时间点测得的流量速率的方差来衡量。

示例性地，报文是指终端与业务网络之间传输的数据包，包括信令报文和数据报文。报文数量可以包括上行大包报文数量、下行大包报文数量、上行小包报文数量、下行小包报文数量和收发的所有报文的总数量。报文长度是指业务报文的大小，通常用字节数、比特数来衡量。相应地，第一报文占比为下行大包报文数量与下行报文总数量的比值，第二报文占比为下行小包报文数量与下行报文总数量的比值。其中，大包报文通常可以为报文长度大于第一报文长度阈值的报文，小包报文可以为报文长度小于第二报文长度阈值的报文，且第二报文长度阈值小于第一报文长度阈值。报文收发频率是指指定时间内接收和/或发送的报文数量。例如可以使用单位时间内收发的报文的个数来衡量。往返时延是指从终端发送业务请求报文到终端收到该业务请求报文的应答报文之间的时间延迟。

此外，业务流量特征还包括业务发生时段、业务发生地点和终端的历史常用业务类型中的至少一个。其中，业务发生时段可以为一天中的不同时段，如凌晨、上午、中午、下午和晚上等。终端的历史常用业务类型为该终端过去一段时间内使用次数较多或使用时长较长的业务类型。例如，若用户经常使用某一终端打网络游戏或BT下载，则该终端对应的历史常用业务类型包括网络游戏和BT下载。业务发生地点通常可以包括家庭，以及诸如网吧、学校等公用小型局域网。

S303、网络设备根据业务流量特征，确定待识别业务的业务类型。

其中，网络设备可以通过如图2所示的处理器21执行S303。

在一种可能的设计中，如图4所示，图3中的S303网络设备根据业务流量特征，确定待识别业务的业务类型包括图4中的S401-S406：

S401、网络设备获取预设业务类型对应的流量分析模型。

其中，流量分析模型包括业务流量特征的判定条件和每个判定条件对应的权重。权重用于表示该预设业务类型满足对应的判定条件的概率。

实际应用中，预设业务类型可以为已上线业务类型，也可以为未上线的业务类型，包括但不限于语音业务、VOD业务、网络游戏业务、BT下载业务、网页浏览业务。

可以理解，上述流量分析模型可以存储在网络设备本地配置的流量分析模型配置文件中，也可以内嵌在执行本申请实施例提供的识别业务类型的方法的程序代码中，本申请实施例对此不作限制。

对于每种预设业务类型，可以预设多个流量分析模型，以便根据实际情况选取。每个预设流量分析模型通常包括多个判定条件，以及判定条件对应的权重。其中，权重表示当待识别业务的流量特征满足判定条件时，待识别业务为流量分析模型对应的预设业务类型的概率。例如，优先级较高的判定条件，在使用该判定条件判定待识别业务是否为业务流量特征模型对应的预设业务类型时，具有较高的区分度。换句话说，若优先级较高的判定条件得到满足，则待识别业务为该业务流量特征模型对应的预设业务类型的概率较高。因此，根据判定条件的优先级为判定条件配置对应的权重，有利于提高识别业务类型的准确度。

如表1A所示，BT下载业务对应的流量分析模型中的判定条件包括判定条件1-4，以及每个判定条件对应的权重。其中，判定条件1的优先级最高，判定条件2-4的优先级较低。因此，为判定条件1配置的权重为0.5，大于为判定条件2-4配置的权重0.1。

表1A

在表1A的基础上，为了进一步提高识别BT下载业务的准确性，可选地，BT下载业务对应的流量分析模型中的判定条件还包括如表1B所示的判定条件5和6中的至少一种。

表1B

为了提高判定条件的可区分度，从而进一步提高业务识别的准确度，结合表1B，如表1C和表1D所示，对于每个判定条件，还可以配置该判定条件满足时的第一分值。需要说明的是，不同判定条件对应第一分值的取值可以相同，也可以不同。

例如，如表1C所示，所有判定条件对应的第一分值均配置为100。

表1C

可选地，为了提高判定条件的可区分度，从而进一步提高业务识别的准确度，可以为判定条件配置与该判定条件的优先级正相关的第一分值。例如，结合表1B，如表1D所示，判定条件1对应的第一分值为100，大于判定条件2-4对应的第一分值20。

表1D

进一步地，为了提高判定条件的可区分度，从而进一步提高业务识别的准确度，除判定条件，以及判定条件对应的权重和该判定条件满足时的第一分值外，业务流量分析模型还可以包括判定条件不满足时配置的第二分值。其中，第二分值通常小于第一分值。例如，可以将第一分值配置为第二分值的大于等于2的倍数，也可以将第二分值配置为0。例如，结合表1D，如表1E所示，对于BT下载业务对应的业务流量分析模型，判定条件1满足时配置的第一分值100，大于该判定条件不满足时配置的第二分值0。

表1E

需要说明的是，当高优先级判定条件不满足时，待识别业务的业务类型为该业务流量分析模型对应的预设业务类型的概率较小，换句话说，待识别业务的业务类型为该业务流量分析模型对应的预设业务类型之外的其他业务类型的概率较大。因此，为了提高判定条件的可区分度，从而进一步提高业务识别的准确度，可选地，可以为高优先级判定条件不满足时配置较小的第二分值，且为低优先级判定条件不满足时配置较大的第二分值，以提高业务识别的准确度。

例如，结合表1B，如表1F所示，判定条件1的优先级较高，而判定条件5的优先级较低。因此，当判定条件1和判定条件5均不满足时，为判定条件1配置的第二分值为0，小于为判定条件5配置的第二分值1。

表1F

需要说明的是，上述表1A-1E中判定条件，以及判定条件对应的权重、第一分值和第二分值，可以根据实际情况设置或调整。例如，可以事先统计各种业务类型的业务流量特征，然后根据不同业务类型对应的业务流量特征的区分度，分别为每种业务类型设置对应的判定条件、每个判定条件对应的权重、第一分值和第二分值的取值。

示例性地，表2-4依次给出了VOD业务、语音业务和网络游戏业务3种预设业务类型对应的业务流量分析模型。与BT下载业务对应的业务流量特征分析模型相同，每个业务流量分析模型也包括与该预设业务类型对应的多个判定条件，以及判定条件对应的权重、第一分值和第二分值。可以理解，对于表2-4对应的业务流量特征分析模型，可以采用与BT下载业务对应的业务流量特征分析模型相同的方法，根据实际情况设置或调整判定条件、每个判定条件对应的权重、第一分值和第二分值。

如表2所示，VOD业务对应的流量分析模型的判定条件包括如表2所示的判定条件1-5：下行流量速率大于预设的第一速率阈值，且上行会话并发数小于预设的会话数阈值；第一报文占比大于预设的第一报文占比阈值；其中，第一报文占比为下行大包报文数量与下行报文总数量的比值；上行流量速率小于预设的第二速率阈值；会话持续时长大于预设的时长阈值；下行流量速率稳定度的数值小于预设的稳定度阈值。由于现有网络中上行流量速率通常小于下行流量速率，可以将第二速率阈值设置为小于第一速率阈值的数值。

此外，业务流量特征还包括业务发生时段。可选地，为了进一步提高识别VOD业务的准确性，VOD业务对应的流量分析模型的判定条件还包括如表2所示的判定条件6：业务发生时段为晚上时段。其中，晚上时段可以设置为19：00-23:00。

表2

如表3所示，语音业务对应的流量分析模型的判定条件包括如表3所示的判定条件1-5：上行报文发送频率大于预设的频率阈值；下行流量速率小于预设的第三速率阈值，且第二报文占比大于预设的第二报文占比阈值；往返时延的数值小于预设的时延阈值；上行会话并发数小于预设的会话数阈值；下行流量速率稳定度的数值小于预设的稳定度阈值。其中，第三速率阈值小于第一速率阈值，第二报文占比为下行小包报文数量与下行报文总数量的比值。

表3

如表4所示，网络游戏业务对应的流量分析模型的判定条件包括如表4所示的判定条件1-5：下行流量速率小于预设的第三速率阈值，且第二报文占比大于预设的第二报文占比阈值；上行报文发送频率小于预设的频率阈值；往返时延的数值小于预设的时延阈值；上行会话并发数小于预设的会话数阈值；下行流量速率稳定度的数值小于预设的稳定度阈值。其中，第三速率阈值小于第一速率阈值，第二报文占比为下行小包报文数量与下行报文总数量的比值。

此外，业务流量特征还包括业务发生地点和终端的历史常用业务类型。因此，可选地，为了进一步提高识别网络游戏业务的准确性，网络游戏业务对应的流量分析模型的判定条件还包括如表4所示的判定条件6和7中的至少一个：业务发生地点为商用小型局域网；终端的历史常用业务类型包括网络游戏。

表4

S402、对于流量分析模型中的每个判定条件，判断业务流量特征是否满足该判定条件。

若业务流量特征满足该判定条件，网络设备则执行下述步骤S403。若业务流量特征不满足该判定条件，网络设备则执行下述步骤S404。

S403、网络设备确定该判定条件对应的分值为第一分值。

S404、网络设备确定该判定条件对应的分值为第二分值。

S405、网络设备根据流量分析模型中的每个判定条件对应的权重和分值，计算流量分析模型对应的总分值。

其中，流量分析模型对应的总分值按照如下公式计算：

其中，S_i为第i个流量分析模型的总分值，s_i,j为第i个流量分析模型中第j个判定条件的分值，α_i,j为第i个流量分析模型中第j个判定条件的权重，1≤i≤M，1≤j≤N，M和N均为大于等于2的自然数。

例如，若终端的流量特征满足如表1E所示的全部判定条件，则BT下载业务流量分析模型的总分值为S_i＝0.5×100+0.1×20+0.1×20+0.1×20+0.05×5+0.05×5＝56.5，若终端的流量特征均不满足如表1所示的全部判定条件时，则BT下载业务流量分析模型的总分值为S_i＝0.5×0+0.1×0+0.1×0+0.1×0+0.05×1+0.05×1＝0.1。

实际应用中，可以使用如表1E中所示的权重取值较大的判定条件进行判定，也可以如表1E所示，使用全部判定条件进行判定，本申请实施例不作限制。

S406、网络设备根据流量分析模型对应的总分值确定待识别业务的业务类型。

可选地，在只需要识别待识别业务是否为某个预设业务类型的情况下，网络设备本地可以只存储该预设业务类型对应的业务流量分析模型，如图5所示，图4中的S406可以实现为图5中的S501：

S501、若流量分析模型对应的总分值大于预设分值阈值，则网络设备确定待识别业务的业务类型为流量分析模型对应的业务类型。

其中，预设分值阈值可以根据实际情况设置或调整，且可以为不同的预设业务类型对应的业务流量分析模型设置相同或不同的分值阈值。例如，可以为如表1-4所示的BT下载业务流量分析模型、VOD业务流量分析模型、语音业务流量分析模型和网络游戏业务流量分析模型配置设置的分值阈值依次配置为50、16、26和26(权重取值大于0.1的判定条件对应的第一分值与权重的乘积之和)。

示例性地，若终端的业务流量特征满足如表1E所示的判定条件1-4，则该终端的总分值为56，大于BT下载业务对应的流量分析模型的分值阈值50，则网络设备据此判定该待识别业务的业务类型为BT下载业务。

示例性地，若终端的业务流量特征不满足如表4所示的判定条件1-5，则该业务流量分析模型的总分值为1.5，小于网络游戏业务对应的流量分析模型的分值阈值26，则网络设备据此判定该待识别业务的业务类型不是网络游戏业务。

需要说明的是，由于只有一个预设业务流量分析模型，待识别业务的判定结果只能为：待识别业务的业务类型是或不是该业务流量分析模型对应的预设业务类型。

可选地，在网络设备本地存储有多个业务流量分析模型时，网络设备可以判定待识别业务是否为多个预设业务类型中的一个的情况下，如图6所示，图4中的S401包括图6中的S601：

S601、网络设备获取至少两个预设业务类型对应的流量分析模型。

其中，预设业务类型与流量分析模型一一对应，且获取的流量分析模型可以根据实际情况选择。例如，机顶盒通常不支持语音业务。因此，当终端为机顶盒时，网络设备获取的流量分析模型可以不包括表3所示的流量分析模型。

相应地，S406“网络设备根据流量分析模型对应的总分值确定待识别业务的业务类型”，包括S602：

S602、网络设备确定待识别业务的业务类型为总分值最大的流量分析模型对应的预设业务类型。

具体地，网络设备假定该待识别业务的业务类型为S601中获取的每个流量分析模型对应的预设业务类型，并按照S405所述的方法，计算流量分析模型的总分值，选取总分值最大的流量分析模型对应的预设业务类型，作为待识别业务的业务类型。

示例性地，如表5所示，若终端的流量特征满足如表1E所示的判定条件1-4、如表2所示的判定条件2-4和如表4所示的判定条件2，则表1-4中每个流量分析模型的总分值依次为56、12、0和8，则判定该待识别业务的业务类型为总分值最大的流量分析模型对应的BT下载业务。

表5

流量分析模型	总分值	满足的判定条件
			BT下载业务	56	1、2、3、4
VOD业务	12	2、3、4
			语音业务	0	无
网络游戏业务	8	2

根据本申请实施例提供的业务识别方法，网络设备能够根据终端的会话信息和业务报文的报文信息分析确定该终端当前访问的业务的流量特征，然后网络设备可根据业务流量特征确定待识别业务的业务类型。可见，网络设备不需要对业务报文进行复杂解析，能够提高业务识别的效率，主要体现在以下方面：1、对于新增业务，并不需要升级网络设备，以具备解析该新增业务所采用的新的网络传输协议的能力，只需要对该新增业务建立相对简单的业务流量分析模型即可完成该新增业务的识别，且可以降低小型局域网的部署成本。2、对于采用加密或私有协议封装的业务报文，网络设备也不需要根据该加密或私有协议解析业务报文，即可识别业务的流量特征并确定待识别业务的业务类型。3、对于通过端口信息伪装为HTTP协议报文的其他业务报文，不需要对该业务报文作诸如应用层封装信息解析等复杂的解析步骤，即可识别业务的流量特征并确定待识别业务的业务类型。4、对于目的地址相同的VOD业务和网页浏览业务，也可以通过流量特征加以识别而避免误判。此外，该方法不要求终端具备在报文中携带业务识别信息的能力，因此，该方法能够适用于任意类型的终端。

本申请实施例可以根据上述方法示例对识别业务类型的装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图7示出了上述实施例中所涉及的业务识别装置的一种可能的结构示意图。如图7所示，业务识别装置70可以应用于如图1所示的家庭网关11等小型网络设备。所述装置70包括：处理模块71和接收模块72。

其中，处理模块71，用于对装置70的动作进行控制管理。例如，处理模块71用于支持装置70执行图3中的S302和S303，和/或用于本文所描述的技术方案的其它步骤。接收模块72，用于支持装置70与家庭网络中的终端或外部业务网络之间的通信。例如，支持连接有机顶盒的电视机13与外部业务网络中的VOD服务器之间的通信。此外，所述装置70还包括存储模块73，用于存储相关指令和业务报文。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到图7所示装置70中对应功能模块的功能描述，在此不再赘述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (18)

1.一种业务识别方法，其特征在于，应用于网络设备，所述方法包括：

所述网络设备接收业务报文并识别属于同一终端的业务报文；

所述网络设备根据所述终端的会话信息以及业务报文的报文信息确定业务流量特征；其中，所述业务流量特征包括以下至少一种：会话持续时长、会话并发数、流量速率、流量速率稳定度、报文收发频率、报文数量以及请求报文和应答报文的往返时延；

所述网络设备根据所述业务流量特征，确定待识别业务的业务类型，包括：

所述网络设备获取预设业务类型对应的流量分析模型；其中，所述流量分析模型包括业务流量特征的判定条件和每个判定条件对应的权重；

对于所述流量分析模型中的每个判定条件，若所述业务流量特征满足所述判定条件，则所述网络设备确定所述判定条件对应的分值为第一分值；

若所述业务流量特征不满足所述判定条件，则所述网络设备确定所述判定条件对应的分值为第二分值；

所述网络设备根据所述流量分析模型中的每个判定条件对应的权重和分值，按照如下公式计算所述流量分析模型对应的总分值：

其中，S_i为第i个流量分析模型的总分值，s_i,j为第i个流量分析模型中第j个判定条件的分值，α_i,j为第i个流量分析模型中第j个判定条件的权重，1≤i≤M，1≤j≤N，M和N均为大于等于2的自然数；

所述网络设备根据所述流量分析模型对应的总分值确定所述待识别业务的业务类型，包括：

若所述流量分析模型对应的总分值大于预设分值阈值，则所述网络设备确定待识别业务的业务类型为所述流量分析模型对应的业务类型；

或者，所述网络设备获取至少两个预设业务类型对应的流量分析模型；其中，所述预设业务类型与所述流量分析模型一一对应；所述网络设备确定所述待识别业务的业务类型为总分值最大的流量分析模型对应的预设业务类型。

2.根据权利要求1所述的方法，其特征在于，所述流量速率包括下行流量速率和上行流量速率，所述会话并发数包括上行会话并发数，所述流量速率稳定度包括下行流量速率稳定度；

所述业务类型包括比特洪流BT下载；所述BT下载业务对应的流量分析模型中的判定条件包括：

所述下行流量速率大于预设的第一速率阈值，且所述上行会话并发数大于预设的会话数阈值；

所述会话持续时长大于预设的时长阈值；

所述下行流量速率稳定度的数值大于预设的稳定度阈值；

所述上行流量速率小于预设的第二速率阈值；其中，所述第二速率阈值小于所述第一速率阈值。

3.根据权利要求2所述的方法，其特征在于，所述业务流量特征还包括业务发生时段和所述终端的历史常用业务类型；

所述BT下载业务对应的流量分析模型中的判定条件还包括以下至少一种：

所述业务发生时段为凌晨时段；

所述终端的历史常用业务类型包括BT下载。

4.根据权利要求1所述的方法，其特征在于，所述流量速率包括下行流量速率和上行流量速率，所述会话并发数包括上行会话并发数，所述流量速率稳定度包括下行流量速率稳定度，所述报文数量包括下行大包报文数量和下行报文总数量，所述下行大包报文为报文长度大于预设的第一报文长度阈值的下行报文；

所述业务类型包括视频点播VOD业务，所述VOD业务对应的流量分析模型的判定条件包括：

所述下行流量速率大于预设的第一速率阈值，且所述上行会话并发数小于预设的会话数阈值；

第一报文占比大于预设的第一报文占比阈值；其中，所述第一报文占比为所述下行大包报文数量与所述下行报文总数量的比值；

所述上行流量速率小于预设的第二速率阈值；其中，所述第二速率阈值小于所述第一速率阈值；

所述会话持续时长大于预设的时长阈值；

所述下行流量速率稳定度的数值小于预设的稳定度阈值。

5.根据权利要求4所述的方法，其特征在于，所述业务流量特征还包括业务发生时段，所述VOD业务对应的流量分析模型的判定条件还包括：所述业务发生时段为晚上时段。

6.根据权利要求1所述的方法，其特征在于，所述报文收发频率包括上行报文发送频率，所述流量速率包括下行流量速率和上行流量速率，所述会话并发数包括上行会话并发数，所述流量速率稳定度包括下行流量速率稳定度，所述报文数量包括下行小包报文数量和下行报文总数量；所述下行小包报文为报文长度小于预设的第二报文长度阈值的下行报文；其中，所述第二报文长度阈值小于第一报文长度阈值；

所述业务类型包括语音业务，所述语音业务对应的流量分析模型的判定条件包括：

所述上行报文发送频率大于预设的频率阈值；

所述下行流量速率小于预设的第三速率阈值，且第二报文占比大于预设的第二报文占比阈值；其中，所述第二报文占比为所述下行小包报文数量与所述下行报文总数量的比值；

所述往返时延的数值小于预设的时延阈值；

所述上行会话并发数小于预设的会话数阈值；

所述下行流量速率稳定度的数值小于预设的稳定度阈值。

7.根据权利要求1所述的方法，其特征在于，所述流量速率包括下行流量速率和上行流量速率，所述报文收发频率包括上行报文发送频率，所述会话并发数包括上行会话并发数，所述流量速率稳定度包括下行流量速率稳定度，下行报文数量包括下行小包报文数量和下行报文总数量，所述下行小包报文为报文长度小于预设的第二报文长度阈值的下行报文；

所述业务类型包括网络游戏，所述网络游戏业务对应的流量分析模型的判定条件包括：

所述下行流量速率小于预设的第三速率阈值，且第二报文占比大于预设的第二报文占比阈值；其中，所述第二报文占比为所述下行小包报文数量与所述下行报文总数量的比值；

所述上行报文发送频率小于预设的频率阈值；

所述往返时延的数值小于预设的时延阈值；

所述上行会话并发数小于预设的会话数阈值；

所述下行流量速率稳定度的数值小于预设的稳定度阈值。

8.根据权利要求7所述的方法，其特征在于，所述业务流量特征还包括业务发生地点和终端的历史常用业务类型；所述网络游戏业务对应的流量分析模型的判定条件还包括如下条件中的至少一个：

所述业务发生地点为公用小型局域网；

所述终端的历史常用业务类型包括网络游戏。

9.一种业务识别装置，其特征在于，应用于网络设备，所述装置包括：

接收模块，用于接收业务报文并识别属于同一终端的业务报文；

处理模块，用于根据所述终端的会话信息以及业务报文的报文信息确定业务流量特征；其中，所述业务流量特征包括以下至少一种：会话持续时长、会话并发数、流量速率、流量速率稳定度、报文收发频率、报文数量以及请求报文和应答报文的往返时延；所述处理模块，还用于根据所述业务流量特征，确定待识别业务的业务类型，包括：

所述处理模块，还用于获取预设业务类型对应的流量分析模型；其中，所述流量分析模型包括业务流量特征的判定条件和每个判定条件对应的权重；

所述处理模块，还用于对于所述流量分析模型中的每个判定条件，若所述业务流量特征满足所述判定条件，则确定所述判定条件对应的分值为第一分值；

所述处理模块，还用于若所述业务流量特征不满足所述判定条件，则确定所述判定条件对应的分值为第二分值；

所述处理模块，还用于根据所述流量分析模型中的每个判定条件对应的权重和分值，分别按照如下公式计算所述流量分析模型对应的总分值：

其中，S_i为第i个流量分析模型的总分值，s_i,j为第i个流量分析模型中第j个判定条件的分值，α_i,j为第i个流量分析模型中第j个判定条件的权重，1≤i≤M，1≤j≤N，M和N均为大于等于2的自然数；

所述处理模块，还用于若所述流量分析模型对应的总分值大于预设分值阈值，则确定待识别业务的业务类型为所述流量分析模型对应的业务类型；

或者，所述处理模块，还用于获取至少两个预设业务类型对应的流量分析模型；其中，所述预设业务类型与所述流量分析模型一一对应；所述处理模块，还用于确定所述待识别业务的业务类型为总分值最大的流量分析模型对应的预设业务类型。

10.根据权利要求9所述的装置，其特征在于，所述流量速率包括下行流量速率和上行流量速率，所述会话并发数包括上行会话并发数，所述流量速率稳定度包括下行流量速率稳定度；

所述业务类型包括比特洪流BT下载；所述BT下载业务对应的流量分析模型中的判定条件包括：

所述下行流量速率大于预设的第一速率阈值，且所述上行会话并发数大于预设的会话数阈值；

所述会话持续时长大于预设的时长阈值；

所述下行流量速率稳定度的数值大于预设的稳定度阈值；

所述上行流量速率小于预设的第二速率阈值；其中，所述第二速率阈值小于所述第一速率阈值。

11.根据权利要求10所述的装置，其特征在于，所述业务流量特征还包括业务发生时段和终端的历史常用业务类型；

所述BT下载业务对应的流量分析模型中的判定条件还包括以下至少一种：

所述业务发生时段为凌晨时段；

所述终端的历史常用业务类型包括BT下载。

12.根据权利要求9所述的装置，其特征在于，所述流量速率包括下行流量速率和上行流量速率，所述会话并发数包括上行会话并发数，所述流量速率稳定度包括下行流量速率稳定度，所述报文数量包括下行大包报文数量和下行报文总数量，所述下行大包报文为报文长度大于预设的第一报文长度阈值的下行报文；

所述业务类型包括视频点播VOD业务，所述VOD业务对应的流量分析模型的判定条件包括：

所述下行流量速率大于预设的第一速率阈值，且所述上行会话并发数小于预设的会话数阈值；

第一报文占比大于预设的第一报文占比阈值；其中，所述第一报文占比为所述下行大包报文数量与所述下行报文总数量的比值；

所述上行流量速率小于预设的第二速率阈值；其中，所述第二速率阈值小于所述第一速率阈值；

所述会话持续时长大于预设的时长阈值；

所述下行流量速率稳定度的数值小于预设的稳定度阈值。

13.根据权利要求12所述的装置，其特征在于，所述业务流量特征还包括业务发生时段，所述VOD业务对应的流量分析模型的判定条件还包括：所述业务发生时段为晚上时段。

14.根据权利要求9所述的装置，其特征在于，所述报文收发频率包括上行报文发送频率，所述流量速率包括下行流量速率和上行流量速率，所述会话并发数包括上行会话并发数，所述流量速率稳定度包括下行流量速率稳定度，所述报文数量包括下行小包报文数量和下行报文总数量；所述下行小包报文为报文长度小于预设的第二报文长度阈值的下行报文；

所述业务类型包括语音业务，所述语音业务对应的流量分析模型的判定条件包括：

所述上行报文发送频率大于预设的频率阈值；

所述下行流量速率小于预设的第三速率阈值，且第二报文占比大于预设的第二报文占比阈值；其中，所述第二报文占比为所述下行小包报文数量与所述下行报文总数量的比值，所述第三速率阈值小于第一速率阈值；

所述往返时延的数值小于预设的时延阈值；

所述上行会话并发数小于预设的会话数阈值；

所述下行流量速率稳定度的数值小于预设的稳定度阈值。

15.根据权利要求9所述的装置，其特征在于，所述流量速率包括下行流量速率和上行流量速率，所述报文收发频率包括上行报文发送频率，所述会话并发数包括上行会话并发数，所述流量速率稳定度包括下行流量速率稳定度，下行报文数量包括下行小包报文数量和下行报文总数量，所述下行小包报文为报文长度小于预设的第二报文长度阈值的下行报文；

所述业务类型包括网络游戏，所述网络游戏业务对应的流量分析模型的判定条件包括：

所述下行流量速率小于预设的第三速率阈值，且第二报文占比大于预设的第二报文占比阈值；其中，所述第二报文占比为所述下行小包报文数量与所述下行报文总数量的比值；

所述上行报文发送频率小于预设的频率阈值；

所述往返时延的数值小于预设的时延阈值；

所述上行会话并发数小于预设的会话数阈值；

所述下行流量速率稳定度的数值小于预设的稳定度阈值。

16.根据权利要求15所述的装置，其特征在于，所述业务流量特征还包括业务发生地点和终端的历史常用业务类型；所述网络游戏业务对应的流量分析模型的判定条件还包括如下条件中的至少一个：

所述业务发生地点为公用小型局域网；

所述终端的历史常用业务类型包括网络游戏。

17.一种网络设备，其特征在于，所述网络设备包括：处理器、通信接口和存储器；其中，

所述存储器用于存储计算机执行指令，当所述网络设备运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述网络设备执行如权利要求1-8任一项所述的业务识别方法。

18.一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在网络设备上运行时，使得所述网络设备执行如权利要求1至8任一项所述的业务识别方法。

Images