WO2015165296A1

WO2015165296A1 - 协议类型的识别方法和装置

Info

Publication number: WO2015165296A1
Application number: PCT/CN2015/072529
Authority: WO
Inventors: 潘能毅
Original assignee: 华为技术有限公司
Priority date: 2014-04-29
Filing date: 2015-02-09
Publication date: 2015-11-05
Also published as: US10084713B2; US20170048155A1; CA2947325A1; CN103916294B; CN103916294A; CA2947325C

Abstract

本发明涉及一种协议类型的识别方法和装置。该方法包括：获取用户终端与服务器之间建立的连接上传送的数据报文；查找用户多维信息表中是否存在用户终端对应的用户多维信息，用户多维信息用于表示用户终端当前已建立的所有连接的信息；如果查找到用户终端对应的用户多维信息，则根据所获取的用户多维信息标识的用户终端当前已建立的所有连接的信息，对数据报文所在连接进行基于用户多维信息的协议类型识别；如果没有查找到用户终端对应的用户多维信息，则根据数据报文的报文特征，对数据报文所在连接进行基于数据流的协议类型识别。本发明实现了基于用户多维信息的协议识别，进而实现了基于用户的业务控制。

Description

协议类型的识别方法和装置

技术领域

本发明涉及网络流量管理技术，尤其涉及一种协议类型的识别方法和装置。

背景技术

深度报文检测(Deep Packet Inspect ion，DPI)技术可以深入分析报文来识别报文，DPI除了对报文L2(数据链路层)、L3(网络层)、L4(传输层)的内容进行分析外，还增加了对L7(应用层)内容的分析，能识别各种真实的应用及其内容，，进而用于网络优化和流量控制等应用场景。

在现有技术下，DPI通常基于数据流来识别报文，即DPI以单条数据流为对象来进行处理，对数据流经过流表查找之后，通过使用各种识别方法，例如特征识别、端口分类、统计方法等，对数据流中的报文进行扫描，完成流的识别和分类。每条流的识别都是一个独立的处理过程，识别结果时也以流为单位进行保存。

基于流的识别方法的缺点是：基于流的识别方式在每条流的范围内通过对数据流中的报文内容进行扫描来实现识别和协议分类，没有利用数据流之间的关联性，对数据流识别的性能低并且无法实现基于用户为单位的精准的业务控制。

发明内容

本发明实施例提供了一种协议类型的识别方法和装置，以提高数据流协议识别的效率。

第一方面，本发明实施例提供了一种协议类型的识别方法，所述方法包括：

获取用户终端与服务器之间建立的连接上传送的数据报文；

查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别；

如果没有查找到所述用户终端对应的用户多维信息，则根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。

在第一种可能的实现方式中，所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息包括：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

根据第一方面的第一种可能的实现方式，在第二种可能的实现方式中，在所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息之后，还包括：如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。

结合第一方面，在第三种可能的实现方式中，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

结合第一方面的第三种可能的实现方式，在第四种可能的实现方式中，所述根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别，包括：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。

结合第一方面或者第一方面的第一种至第四种可能的实现方式中的任意一种可能的实现方式，在第五种可能的实现方式中，所述根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后还包括：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。

结合第一方面或者第一方面的第一种至第五种可能的实现方式中的任意一种可能的实现方式，在第六种可能的实现方式中，所述根据所获取的所述用户多维信息标识的用户终端已有连接的协议类型，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后还包括：如果识别成功，则进一步判断所述数据报文是否为通过特征无法识别成功的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户多维信息表中的用户终端已有连接的行为特征信息。

第二方面，本发明实施例还提供了一种协议类型的识别方法，该方法包括：

获取用户终端与服务器之间建立的连接上传送的数据报文；

根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别；

如果基于数据流识别不成功，则查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别。

根据第二方面，在第一种可能的实现方式中，所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息包括：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。。

根据第二方面的第一种可能的实现方式，在第二种可能的实现方式中，在所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息之后，还包括：如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。

结合第二方面，在第三种可能的实现方式中，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

结合第二方面的第三种可能的实现方式，在第四种可能的实现方式中，所述根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别，包括：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。

结合第二方面或者第二方面的第一种至第四种可能的实现方式中的任意一种可能的实现方式，在第五种可能的实现方式中，所述所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后还包括：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。

结合第二方面或者第二方面的第一种至第五种可能的实现方式中的任意一种可能的实现方式，在第六种可能的实现方式中，所述对所述数据报文所在连接进行基于数据流的协议类型识别之后还包括：如果基于所述数据流识别成功，则对所述数据报文进行相应的业务处理。

结合第二方面或者第二方面的第一种至第六种可能的实现方式中的任意一种可能的实现方式，在第七种可能的实现方式中，所述对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后还包括：如果识别成功，则进一步判断所述数据报文是否为通过特征无法识别成功的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户连接数据表中的用户终端已有连接的行为特征信息。

第三方面，本发明实施例提供了一种协议类型的识别装置，所述装置包括：

获取单元，用于获取用户终端与服务器之间建立的连接上传送的数据报文；

查找单元，用于查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

第一处理单元，用于如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别；

第二处理单元，用于如果没有查找到所述用户终端对应的用户多维信息，则根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。

在第一种可能的实现方式中，所述查找单元具体用于：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

根据第三方面的第一种可能的实现方式，在第二种可能的实现方式中，如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息

结合第三方面或者第三方面的第一种、第二种可能的实现方式，在第三种可能的实现方式中，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

结合第三方面的第三种可能的实现方式，在第四种可能的实现方式中，所述第一处理单元具体用于：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。

结合第三方面或者第三方面的第一种至第四种可能的实现方式中的任意一种可能的实现方式，在第五种可能的实现方式中，所述第一处理单元还用于：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。

结合第三方面的或者第三方面的第一种至第五种可能的实现方式中的任意一种可能的实现方式，在第六种可能的实现方式中，所述第一处理单元还用于：如果识别成功，则进一步判断所述数据报文是否为通过特征无法识别成功的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户多维信息表中的用户终端已有连接的行为特征信息。

第四方面，本发明实施例提供了一种协议类型的识别装置，该装置包括：

第一处理单元，用于根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别；

查找单元，用于如果基于数据流识别不成功，则查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

第二处理单元，用于如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别。

根据第四方面，在第一种可能的实现方式中，所述查找单元具体用于：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

根据第四方面的第一种可能的实现方式，在第二种可能的实现方式中，第二处理单元还用于：如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。

结合第四方面，在第三种可能的实现方式中，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

结合第四方面的第三种可能的实现方式，在第四种可能的实现方式中，所述第二处理单元具体用于：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。

结合第四方面或者第四方面的第一种至第四种可能的实现方式中的任意一种可能的实现方式，在第五种可能的实现方式中，所述第二处理单元还用于：如果基于所述用于多维信息识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果。

结合第四方面或者第四方面的第一种至第五种可能的实现方式中的任意一种可能的实现方式，在第六种可能的实现方式中，所述第一处理单元还用于：如果基于所述数据流识别成功，则对所述数据报文进行相应的业务处理。

结合第四方面或者第四方面的第一种至第七种可能的实现方式中的任意一种可能的实现方式，在第八种可能的实现方式中，所述第二处理单元还用于：如果基于所述用户多维信息识别成功，则进一步判断所述数据报文是否为无法通过特征识别的报文，如果是，则进行基于用户的行为识别统计，并且更新用户连接数据表中的用户终端已有连接的行为特征信息。

本发明实施例提供的协议类型的识别方法和装置，通过对接收到的数据报文根据用户终端已有连接的协议类型进行基于用户多维信息的协议类型识别，可以实现以用户为单位的业务控制，并且通过结合基于用户多维信息的协议类型识别和基于数据流的协议类型识别，可以提高DPI系统的识别准确率，提升协议识别性能。

附图说明

图1为本发明实施例提供的一种协议类型的识别方法流程图；

图2为本发明实施例提供的另一协议类型的识别方法流程图；

图3为本发明实施例提供的一种DPI系统模块图；

图4为本发明实施例提供的另一协议类型的识别方法流程图；

图5为本发明实施例提供的另一协议类型的识别方法流程图；

图6为本发明实施例提供的一种协议类型的识别装置示意图；

图7为本发明实施例提供的另一协议类型的识别装置示意图；

图8为本发明实施例提供的一种网络设备示意图；

图9为本发明实施例提供的另一网络设备示意图。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

本发明实施例提供的协议类型的识别方法在实际应用时，作为一种新的协议识别方法可应用于网络优化、应用流量控制等业务场景。当网络设备，如业务网关、路由器等接收到新建的连接的数据报文时，可基于用户多维信息表分析该业务数据报文的协议类型，由此本发明实施例可实现基于用户为单位的业务控制，结合基于用户多维信息的协议类型识别和基于数据流的协议类型识别两种方法，可以提高DPI系统的识别准确率，提升协议识别性能。

其中，本申请文件中提到的五元组中的服务器地址信息可以为数据报文五元组中的源地址信息，也可以为目的地址信息，用户终端向服务器发送的数据报文的五元组的目的地址信息即为五元组中的服务器地址信息，服务器向用户终端发送的数据报文的五元组的源地址信息即为五元组中的服务器地址信息。另外，用户终端具体可以为客户端，或者运行在用户终端中的应用程序。

图1为本发明实施例提供的一种协议类型的识别方法流程图，该实施例的执行主体是网络设备，如业务网关或者路由器，该实施例详细描述了网络设备对接收到的数据报文进行基于用户的协议类型识别的方法，如图所示，该实施例包括以下步骤：

步骤101，获取用户终端与服务器之间建立的连接上传送的数据报文。

网络设备接收到数据流的数据报文后，对报文进行解析，根据报文头部信息，得到对应的五元组信息。其中，五元组信息包括报文的目的IP地址、目的端口号、源IP地址、源端口号、传输层协议号(如传输控制协议(Transmission Control Protocol，TCP)号、用户数据报协议(User Datagram Protocol，UDP)号)，然后根据五元组信息判断数据流对应的连接是否为新建的连接。

优选地，接收到数据报文后，网络设备可查询流表，判断流表中是否存在该业务数据报文的五元组信息对应的连接记录信息，如果是，则判断数据流对应的连接是已有连接，如果否，则判断所述数据流对应的连接为新建的连接。

如果查询流表之后，判断出数据报文所在连接为已有连接，则直接根据所述流表存储的所述该数据报文的五元组信息对应协议类型识别结果以及业务处理方法，即可对所述该数据报文进行相应处理，如流量控制等。需要说明的是，即使数据报文所在连接为已有连接，也可以继续执行步骤102，即对数据报文所在连接进行相应的协议识别。

步骤102，查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息。

所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息包括：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

其中，用户多维信息包括以下信息中的一项或者任意项的组合：用户终端已有连接对应的地址对信息、用户终端已有连接的用户终端地址信息、用户终端曾访问过的服务器地址信息、用户的协议列表信息、用户终端已有连接的行为特征信息；用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

具体地，用户多维信息表中可以包括用户终端曾访问过的服务器地址信息与用户终端已有连接的协议类型的对应关系，和/或用户终端已有连接的源IP地址信息和目的IP地址信息与用户终端已有连接的协议类型的对应关系，和/或用户终端已有连接的用户终端地址信息与用户终端已有连接的协议类型的对应关系，和/或用户终端已有连接的行为特征信息与用户终端已有连接的协议类型的对应关系。

具体地，本发明实施例中，用户终端已有连接对应的地址对信息为已有连接的源IP地址和目的IP地址组成的地址对，用户终端已有连接的用户终端地址信息由已有连接对应的用户终端的IP地址和端口号组成，用户终端曾访问过的服务器地址信息由用户终端曾访问过的服务器的IP地址和端口号组成，用户的协议列表中存储了用户常用的协议记录信息，用户终端已有连接的行为特征信息包括用户常见协议类型对应的协议特征以及用户的行为统计数据。

网络设备判断出用户多维信息表中存在该数据报文所在连接对应的用户终端的用户多维信息之后，即可执行步骤103。

网络设备在查找用户多维信息表中是否存在所述用户终端对应的用户多维信息之后，如果没有在所述用户多维信息表中查找到与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。优选地，可在对该数据报文所在连接的协议类型识别成功后在用户多维信息表中添加该用户的用户多维信息。

步骤103，如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别。

其中，例如对一个报文进行检测，发现它是HTTP协议的消息，那么就认为该报文所属的连接/数据流是HTTP协议的，该连接/数据流中的所有数据报文都是HTTP协议的。因此，本发明实施例中基于用户多维信息识别协议类型的过程即是基于该用户终端已有连接的相关信息识别所接收到的数据报文的协议类型的过程。

基于用户多维信息进行的协议识别方法包括多种独立的识别方法，各种识别方法之间不需要固定的先后顺序。其中，每种独立的识别方法都为基于用户多维信息中的某一维信息进行识别的方法，例如基于服务器地址信息进行的协议识别方法，基于用户终端已有连接的地址对信息进行的协议识别方法，基于用户终端已有连接的用户终端地址信息的协议识别方法，基于用户终端已有连接的特征识别方法，基于用户终端已有连接的特征识别方法等。

具体地，根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别，包括：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。

如果网络设备基于用户多维信息识别出了数据流的协议类型，则更新用户多维信息表中的连接的识别结果。

步骤104，如果没有查找到所述用户终端对应的用户多维信息，则根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。

其中，基于数据流的协议识别，指的是通过对一个数据流内的一个或者多个数据报文进行检测，从而识别出该数据流/连接所使用的协议类型。如果网络设备基于用户多维信息没有识别出数据流的协议类型或者说如果用户多维信息表中不存在该用户的多维信息，则基于数据流进行协议识别，基于流的协议识别方法包括关联识别、端口识别、特征识别、行为识别等方法，识别成功后同样更新用户多维信息表中的连接的识别结果，如果识别不成功则输出识别不成功的识别结果。

由此，本发明实施例提供的协议类型的识别方法和装置，通过对接收到的数据报文根据用户终端已有连接的协议类型进行基于用户多维信息的协议类型识别，可以实现以用户为单位的业务控制，并且通过结合基于用户多维信息的协议类型识别和基于数据流的协议类型识别，可以提高DPI系统的识别准确率，提升协议识别性能。

需要说明的是，网路设备为了实现协议识别功能，可以在设备中布置一个DPI系统，当网络设备接收到数据报文时，DPI系统可以进行相应的报文协议识别。

具体地，DPI系统所包括的内容如图3所示，图3为本发明实施例提供的一种DPI系统模块图，如图所示，DPI系统包括流表301、用户连接管理模块303、用户多维信息表302、协议识别模块304、业务处理模块307。其中，协议识别模块包括基于用户多维信息的协议识别子模块305和基于数据流的协议识别子模块306。其中，基于用户多维信息的协议识别子模块可以使用多种独立的识别方法来识别报文协议类型，如基于服务器地址信息的识别方法、基于已有连接的地址对信息的识别、基于已有连接的用户终端地址信息的识别、基于用户终端的特征识别、基于用户终端的行为识别，这些独立的识别方法也可以结合在一起使用；而基于数据流的协议识别子模块也可以使用多种独立的识别方法来识别报文的协议类型，如关联识别、端口识别、特征识别、行为识别等。在DPI系统运行时，首先在流表中查找以判断该连接是否为新建的连接，然后进入用户连接管理模块，该模块在用户多维信息表中查找到是否存在新建的连接所属的用户记录，如果存在，则基于用户多维信息表中的用户多维信息进行协议识别；如果基于用户多维信息的协议识别成功，更新用户多维信息表然后输出识别结果进入业务处理模块，否则进入基于流的协议识别模块继续识别；如果基于流的协议识别成功，更新用户多维信息表然后输出识别结果进入业务处理。

上述实施例简单描述了DPI系统进行协议识别的过程，下面通过一个详细的实施例描述协议识别过程。

图2为本发明实施例提供的另一协议类型的识别方法流程图，该实施例的执行主体是网络设备，如业务网关或者路由器，其中详细描述了网络设备对接收到的报文进行协议识别的过程。如图所示，该实施例包括以下步骤：

步骤201，接收数据报文。

步骤202，判断该数据报文所在连接是否为新建的连接。

网络设备对接收到的数据报文进行解析，根据报文头部信息，得到对应的五元组信息。其中，五元组信息包括报文的目的IP地址、目的端口号、源IP地址、源端口号、传输层协议号。

具体地，可以在流表中查找是否存在该五元组信息对应的连接记录信息。流表中保存了DPI系统曾检测过的连接的记录信息，流表中可以包括五元组信息、对应连接的识别结果、相应的业务控制策略等。

如果流表中保存了接收到的数据报文对应的五元组信息，则说明该数据报文对应的连接为已有连接，否则说明对应的连接为新建的连接。如果判断为新建的连接，则执行步骤203。

步骤203，判断用户多维信息表中是否存在新建的连接对应的用户多维信息。

具体地，可以查询用户多维信息表，判断用户多维信息表中是否存在五元组信息中用户的地址信息对应的用户多维信息，如果是，则判断用户多维信息表中存在新建的连接对应的用户终端的用户多维信息，如果否，则判断用户多维信息表中不存在新建的连接对应的用户终端的用户多维信息。用户终端的地址信息即为用户终端设备的IP地址信息或者IP地址信息及端口信息。

其中，用户多维信息包括以下信息中的一项或者任意项的组合：用户终端已有连接对应的地址对信息、用户终端已有连接的用户终端地址信息、用户终端曾访问过的服务器地址信息、用户的协议列表信息、用户终端已有连接的行为特征信息。用户多维信息表中除包括用户多维信息之外，还包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

如果用户多维信息表中存在新建的连接对应的用户终端的用户多维信息，执行步骤204，否则执行步骤205。

步骤204，基于用户多维信息进行协议识别。

基于用户多维信息进行的协议识别方法包括多种独立的识别方法，各种识别方法之间不需要固定的先后顺序。其中，每种独立的识别方法都为基于用户多维信息中的某一维信息进行识别的方法，例如基于服务器地址信息进行的协议识别方法，基于用户终端已有连接的地址对信息进行的协议识别方法，基于用户终端已有连接的用户终端地址信息的协议识别方法，基于用户终端已有连接的特征识别方法，基于用户终端已有连接的行为识别方法等。

具体地，基于服务器地址信息进行的协议识别方法具体为：如果一个用户向一个服务器端口发起连接，那么该用户后续向相同的服务器端口发起的连接的协议类型和第一个连接的协议类型肯定是相同的。例如用户用HTTP协议访问了某服务器(如：1.2.3.4:80)，那么该用户后续访问该服务器(1.2.3.4:80)的所有连接的协议类型也都是HTTP的。

具体地，基于用户终端已有连接的地址对信息进行的协议识别方法具体为：如果一个用户向一个服务器发起连接，那么该用户后续向相同的服务器IP地址发起的连接的协议类型和第一个连接的协议类型有可能是相同的。该识别方法在该用户的历史连接中找到和新建的连接的IP地址对(目的IP地址，源IP地址)相同的连接，然后通过简单的判断(例如简单的特征字确认)来确认新建的连接的协议类型是否和历史连接的协议类型相同。

具体地，基于用户终端已有连接的用户终端地址信息的协议识别方法具体为：如果一个用户以相同的(IP:Port)向一个或者多个目的地址发起多个连接，那么这些具有相同的用户终端(IP:Port)的连接的协议类型是相同的。该识别方法在该用户的历史连接中找到和新建的连接的用户终端地址(IP:Port)相同的连接，就可以确认新建的连接的协议类型和历史连接的协议类型相同。

具体地，基于用户的特征识别方法具体为：按用户记录用户常用的协议列表，协议列表的来源包括该用户曾经使用的协议和预先配置的协议列表(例如用户所在地区的热门协议应用)。基于用户的特征识别方法在识别过程中，对用户的常用协议列表中的协议通过扫描协议特征的方法进行识别。

具体地，基于用户的行为识别方法具体为：通过比较用户的报文的用户行为统计数据和用户行为特征集，如果匹配则可以确认当前报文所属的协议。用户行为的统计数据包括报文中二进制数值的统计分布、端口范围、报文长度统计(报文长度范围、报文长度序列、报文长度集合、报文长度平均值、上下行每次交互的报文长度求和)、报文发送频度、报文收发比例以及目的地址的分散程度，等维度。用户行为特征集保存在用户记录中，用户行为特征集的初始内容是预先配置的用户行为特征，并在识别过程中根据该用户的历史连接的行为统计数据来丰富和更新。

如果识别成功，则执行步骤206，否则执行步骤209。

步骤205，在用户多维信息表中添加新用户终端对应的用户多维信息。

如果用户多维信息表中不存在新用户对应的用户多维信息，则在用户多维信息表中添加对应的记录。添加记录后，执行步骤209，即基于数据流对该数据报文进行协议识别。

步骤206，如果识别成功，则判断识别成功的协议报文是否包含无法通过特征识别方法识别的流量。

如果基于用户多维信息成功识别报文协议类型，则进一步判断该识别成功的报文是否包含无法通过特征识别方法识别的流量，例如，如果用户建立的第一个连接是加密连接，无法通过特征识别的方法识别，而是通过“基于数据流的协议识别”中的“行为识别”方法识别的，然后DPI会记录该加密连接的IP、端口等等信息；当该用户建立第二个同样的加密连接时，DPI就能够通过发明的五种方法中的某一种来识别第二个加密连接，此时就会触发该判断，DPI会将第二个加密连接的行为统计数据来更新对应协议的行为特征。

如果是，则执行步骤207，否则执行步骤208。

步骤207，进行基于用户终端的行为识别统计，并更新用户多维信息表中的用户终端已有连接的用户行为特征信息。

由于一个连接本来是需要通过行为特征来识别的，如果不能通过行为特征来识别出来，那么这个连接可以作为对应协议的行为特征的一个样本数据、帮助改进和完善对应协议的行为特征。

步骤208，更新用户多维信息表中该连接对应的识别结果数据。

不管是通过基于流的协议识别方法，还是通过基于用户的协议识别方法，如果成功识别了该连接对应的协议类型，则需要更新用户多维信息表中对应的识别结果数据。可选地，还可以更新流表中该数据流对应的协议识别结果以及业务控制策略等。

步骤209，如果识别不成功，则基于数据流进行协议识别。

如果基于用户的协议识别不成功，则基于数据流进行识别，基于流的协议识别方法包括关联识别、端口识别、特征识别、行为识别等。如果基于流的协议识别成功，则执行步骤208，否则执行步骤210。

步骤210，输出识别结果。

不管是否识别成功，都可输出识别结果，以便根据该识别结果进行相应的业务控制。

本发明实施例还提供了一种协议类型的识别方法，图4为本发明实施例提供的另一协议类型的识别方法流程图，该实施例的执行主体是网络设备，如业务网关或者路由器，该实施例详细描述了网络设备对接收到的数据报文进行基于用户的协议类型识别的方法，如图所示，该实施例包括以下步骤：

步骤401，获取用户终端与服务器之间建立的连接上传送的数据报文。

网络设备接收到数据流的数据报文后，对报文进行解析，根据报文头部信息，得到对应的五元组信息。其中，五元组信息包括报文的目的IP地址、目的端口号、源IP地址、源端口号、TCP号，然后根据五元组信息判断数据流对应的连接是否为新建的连接。

如果查询流表之后，判断出数据报文所在数据流对应的连接为已有连接，则直接根据所述流表存储的所述该数据报文的五元组信息对应协议类型识别结果以及业务处理方法，对所述该数据报文进行相应处理，如流量控制等。需要说明的是，即使数据报文所在连接为已有连接，也可以继续执行步骤402，即对数据报文所在连接进行相应的协议识别。

步骤402，根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。

其中，基于数据流的协议识别方法包括关联识别、端口识别、特征识别、行为识别等方法，识别成功后同样更新用户多维信息表中的连接的识别结果，如果识别不成功则输出识别不成功的识别结果。

步骤403，如果基于数据流识别不成功，则查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息。

查找用户多维信息表中是否存在所述用户终端对应的用户多维信息包括：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

其中，用户多维信息包括以下信息中的一项或者任意项的组合：用户终端已有连接对应的地址对信息、用户终端已有连接的用户终端地址信息、用户终端曾访问过的服务器地址信息、用户的协议列表信息、用户终端已有连接的行为特征信息，用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

网络设备判断出用户多维信息表中存在该数据报文所在连接对应的用户终端的用户多维信息之后，即可执行步骤404。

步骤404，如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别。

由此，本发明实施例实现了基于用户多维信息的协议识别，进而可实现以用户为单位的业务控制，并且可以提高DPI系统的识别准确率，提升协议识别性能。

图4所对应的上述实施例简单描述了DPI系统进行协议识别的过程，下面通过一个详细的实施例描述协议识别过程。

图5为本发明实施例提供的另一协议类型的识别方法流程图，该实施例的执行主体是网络设备，如业务网关或者路由器，其中详细描述了网络设备对接收到的报文进行协议识别的过程。如图所示，该实施例包括以下步骤：

步骤501，接收数据报文。

步骤502，判断该数据报文所在连接是否为新建的连接。

网络设备对接收到的数据报文进行解析，根据报文头部信息，得到对应的五元组信息。其中，五元组信息包括报文的目的IP地址、目的端口号、源IP地址、源端口号、TCP协议号。

具体地，可以在流表中查找是否存在该五元组信息对应的连接记录信息。流表中保存了DPI系统曾检测过的数据流对应连接的记录信息，流表中可以包括五元组信息、对应连接的识别结果、相应的业务控制策略等。

如果流表中保存了接收到的数据报文对应的五元组信息，则说明该数据报文对应的连接为已有连接，否则说明对应的连接为新建的连接。如果判断为新建的连接，则执行步骤503。

步骤503，对数据报文所在连接进行基于数据流的协议类型识别。

步骤504，如果基于数据流识别成功，则对业务报文进行相应的业务处理。

步骤505，如果基于数据流识别不成功，则判断用户多维信息表中是否存在所述数据报文所在连接对应的用户多维信息。

所述判断用户多维信息表中是否存在所述数据报文所在连接对应的用户多维信息包括：根据所述数据报文的五元组信息中用户终端地址信息，判断所述用户多维信息表中是否存在所述用户终端地址信息对应的用户多维信息。

其中，用户多维信息包括以下信息中的一项或者任意项的组合：用户终端已有连接对应的地址对信息、用户终端已有连接的用户终端地址信息、用户终端曾访问过的服务器地址信息、用户的协议列表信息、用户终端已有连接的行为特征信息。

网络设备判断出用户多维信息表中不存在该数据报文所在连接对应的用户终端的用户多维信息之后，可在用户多维信息表中添加该用户的用户多维信息。

如果用户多维信息表中存在新建的连接对应的用户终端的用户多维信息，执行步骤506，否则执行步骤507。

步骤506，基于用户多维信息进行协议识别。

如果识别成功，则执行步骤508，否则执行步骤511，输出识别结果。

步骤507，在用户多维信息表中添加新用户终端对应的用户多维信息。

如果用户连接数据表中不存在新用户对应的用户多维信息，则在用户连接数据表中添加对应的记录。添加记录后，执行步骤509，即基于数据流对该数据报文进行协议识别。

步骤508，如果识别成功，则判断识别成功的协议报文是否包含无法通过特征识别方法识别的流量。

如果基于用户多维信息成功识别报文协议类型，则进一步判断该识别成功的报文是否包含无法通过特征识别方法识别的流量，例如，如果用户建立的第一个连接是加密连接，无法通过特征识别的方法识别，而是通过“基于流的协议识别”中的“行为识别”方法识别的，然后DPI会记录该加密连接的IP、端口等等信息；当该用户建立第二个同样的加密连接时，DPI就能够通过发明的五种方法中的某一种来识别第二个加密连接，此时就会触发该判断，DPI会将第二个加密连接的行为统计数据来更新对应协议的行为特征。

如果是，则执行步骤509，否则执行步骤510。

步骤509，进行基于用户的行为识别统计，并更新用户多维信息表中的用户终端已有连接的用户行为特征信息。

步骤510，更新用户多维信息表中该连接对应的识别结果数据。

步骤511，输出识别结果。

由此，本发明实施例实现了基于用户的协议识别，基于用户的协议识别还可以实现以用户为单位的业务控制。其中，由于基于用户多维信息的协议识别可以只基于报文的IP地址和端口，不对报文进行很深的内容扫描，因此可以显著提升协议识别的性能。

相应地，本发明实施例还提供了一种协议类型的识别装置，图6为本发明实施例提供的一种协议类型的识别装置示意图，如图所示，本实施例包括以下功能单元：

获取单元601，用于获取用户终端与服务器之间建立的连接上传送的数据报文。

网络设备接收到数据流的数据报文后，对报文进行解析，根据报文头部信息，得到对应的五元组信息。其中，五元组信息包括报文的目的IP地址、目的端口号、源IP地址、源端口号、TCP协议号。

优选地，网络设备接收到数据报文后，网络设备可查询流表，判断流表中是否存在该业务数据报文的五元组信息对应的连接记录信息，如果是，则判断数据流对应的连接是已有连接，如果否，则判断所述数据流对应的连接为新建的连接。

如果查询流表之后，判断出数据报文所在数据流对应的连接为已有连接，则直接根据所述流表存储的所述该数据报文的五元组信息对应协议类型识别结果以及业务处理方法，对所述该数据报文进行相应处理，如流量控制等。需要说明的是，即使数据报文所在连接为已有连接，也可以继续由查找单元602执行下面的判断操作，即对数据报文所在连接进行相应的协议识别。

查找单元602，用于查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息。

其中查找单元602具体用于：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

其中，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息。所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

具体地，用户终端已有连接对应的地址对信息为已有连接的源IP地址和目的IP地址组成的地址对，用户终端已有连接的用户终端地址信息由已有连接对应的用户终端的IP地址和端口号组成，用户终端曾访问过的服务器地址信息由用户终端曾访问过的服务器的IP地址和端口号组成，用户的协议列表中存储了用户常用的协议记录信息，用户终端已有连接的行为特征信息包括用户常见协议类型对应的协议特征以及用户的行为统计数据。

第一处理单元603，用于如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别。

第一处理单元603具体用于：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。

所述第一处理单元603还用于：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。

第一处理单元603还用于：如果识别成功，则进一步判断所述数据报文是否为无法通过特征识别的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户连接数据表中的用户终端已有连接的行为特征信息。

第二处理单元604，用于如果没有查找到所述用户终端对应的用户多维信息，则根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。

第二处理单元604还用于：如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。

所述第二处理单元604还用于：如果识别成功，则更新所述用户多维信息表中的识别结果数据，否则输出识别结果。

如果网络设备基于用户多维信息没有识别出数据流的协议类型或者说如果用户多维信息表中不存在该用户的多维信息，则基于数据流进行协议识别，基于流的协议识别方法包括关联识别、端口识别、特征识别、行为识别等方法，识别成功后同样更新用户多维信息表中的连接的识别结果，如果识别不成功则输出识别不成功的识别结果。

相应地，本发明实施例还提供了一种协议类型的识别装置，图7为本发明实施例提供的另一协议类型的识别装置示意图；该装置包括：

获取单元701，用于获取用户终端与服务器之间建立的连接上传送的数据报文。

接收到数据流的数据报文后，对报文进行解析，根据报文头部信息，得到对应的五元组信息。其中，五元组信息包括报文的目的IP地址、目的端口号、源IP地址、源端口号、TCP号，然后根据五元组信息判断数据流对应的连接是否为新建的连接。

如果查询流表之后，判断出数据报文所在数据流对应的连接为已有连接，则直接根据所述流表存储的所述该数据报文的五元组信息对应协议类型识别结果以及业务处理方法，对所述该数据报文进行相应处理，如流量控制等。需要说明的是，即使数据报文所在连接为已有连接，也可以继续由第一处理单元702执行相关的操作，即对数据报文所在连接进行基于数据流的协议识别。

第一处理单元702，用于根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。

第一处理单元702还用于：如果基于所述数据流识别成功，则对所述数据报文进行相应的业务处理。

查找单元703，用于如果基于数据流识别不成功，则查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息。

其中，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息。用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系

查找单元703具体用于：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

第二处理单元704，用于如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别。

第二处理单元704具体用于：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。

第二处理单元704还用于：如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。

第二处理单元704还用于：如果基于所述用于多维信息识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果。

第二处理单元704还用于：如果基于所述用户多维信息识别成功，则进一步判断所述数据报文是否为无法通过特征识别的报文，如果是，则进行基于用户的行为识别统计，并且更新用户连接数据表中的用户终端已有连接的行为特征信息。

相应地，本发明实施例还提供了一种网络设备，图8为本发明实施例提供的一种网络设备示意图，如图所示，该网络设备包括网络接口801、处理器802和存储器803。系统总线804用于连接网络接口801、处理器802和存储器803。

网络接口801用于与用户终端设备、服务器侧设备，以及其他网络设备进行连接。

存储器803可以是永久存储器，例如硬盘驱动器和闪存，存储器803中具有软件模块和设备驱动程序。软件模块能够执行本发明上述方法的各种功能模块；设备驱动程序可以是网络和接口驱动程序。

在启动时，这些软件模块被加载到存储器803中，然后被处理器802访问并执行如下指令：

获取用户终端与服务器之间建立的连接上传送的数据报文；

其中，用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

进一步的，处理器802查找用户多维信息表中是否存在所述用户终端对应的用户多维信息的过程具体包括：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

进一步的，处理器802在所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息之后，还将执行以下指令：如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。

进一步的，处理器802根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别的过程具体为：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。

进一步的，处理器802基于所述用户多维信息，对所述数据报文所在连接进行协议类型识别之后，访问存储器803后，还将执行以下指令：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。

进一步的，处理器802根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后，访问存储器803，并且执行指令：如果识别成功，则更新所述用户多维信息表中的识别结果数据，否则输出识别结果。

进一步的，处理器802根据所获取的所述用户多维信息标识的用户终端已有连接的协议类型，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后，访问存储器803，并且执行指令：如果识别成功，则进一步判断所述数据报文是否为无法通过特征识别的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户连接数据表中的用户终端已有连接的行为特征信息。

由此，本发明实施例提供的网络设备，通过对接收到的数据报文根据用户终端已有连接的协议类型进行基于用户多维信息的协议类型识别，可以实现以用户为单位的业务控制，并且通过结合基于用户多维信息的协议类型识别和基于数据流的协议类型识别，可以提高DPI系统的识别准确率，提升协议识别性能。。

相应地，本发明实施例还提供了一种网络设备，图9为本发明实施例提供的一种网络设备示意图，如图所示，该网络设备包括网络接口901、处理器902和存储器903。系统总线904用于连接网络接口901、处理器902和存储器903。

网络接口901用于与用户终端设备、服务器侧设备，以及其他网络设备进行连接。

存储器903可以是永久存储器，例如硬盘驱动器和闪存，存储器903中具有软件模块和设备驱动程序。软件模块能够执行本发明上述方法的各种功能模块；设备驱动程序可以是网络和接口驱动程序。

在启动时，这些软件模块被加载到存储器903中，然后被处理器902访问并执行如下指令：

获取用户终端与服务器之间建立的连接上传送的数据报文；

其中，用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息。用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。

进一步的，处理器902查找用户多维信息表中是否存在所述用户终端对应的用户多维信息的过程具体包括：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。

进一步的，处理器902在所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息之后，访问存储器903后，还将执行以下指令：如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。

进一步的，处理器902根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别的过程具体为：判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者

进一步的，处理器902根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后，访问存储器903后，还将执行以下指令：如果基于所述用于多维信息识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果。

进一步的，处理器902对所述数据报文所在连接进行基于数据流的协议类型识别之后，访问存储器903，并且执行指令：如果基于所述数据流识别成功，则对所述数据报文进行相应的业务处理。

进一步的，处理器902基于所述用户多维信息，对所述数据报文所在连接进行协议类型识别之后，访问存储器903，并且执行指令：如果基于所述用户多维信息识别成功，则进一步判断所述数据报文是否为无法通过特征识别的报文，如果是，则进行基于用户的行为识别统计，并且更新用户连接数据表中的用户终端已有连接的行为特征信息。

由此，本发明实施例提供的网络设备，通过对接收到的数据报文根据用户终端已有连接的协议类型进行基于用户多维信息的协议类型识别，可以实现以用户为单位的业务控制，并且通过结合基于用户多维信息的协议类型识别和基于数据流的协议类型识别，可以提高DPI系统的识别准确率，提升协议识别性能。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种协议类型的识别方法，其特征在于，所述方法包括：

获取用户终端与服务器之间建立的连接上传送的数据报文；

查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别；

如果没有查找到所述用户终端对应的用户多维信息，则根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。
根据权利要求1所述的协议类型的识别方法，其特征在于，所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息包括：

根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。
根据权利要求2所述的协议类型的识别方法，其特征在于，在所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息之后，还包括：

如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。
根据权利要求1所述的协议类型的识别方法，其特征在于，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；

所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。
根据权利要求4所述的协议类型的识别方法，其特征在于，所述根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别，包括：

判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。
根据权利要求1-5任一项所述的协议类型的识别方法，其特征在于，所述根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后还包括：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。
根据权利要求1-6任一项所述的协议类型的识别方法，其特征在于，所述根据所获取的所述用户多维信息标识的用户终端已有连接的协议类型，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后还包括：如果识别成功，则进一步判断所述数据报文是否为通过特征无法识别成功的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户多维信息表中的用户终端已有连接的行为特征信息。
一种协议类型的识别方法，其特征在于，所述方法包括：

获取用户终端与服务器之间建立的连接上传送的数据报文；

根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别；

如果基于数据流识别不成功，则查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别。
根据权利要求8所述的协议类型的识别方法，其特征在于，所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息包括：

根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。
根据权利要求9所述的协议类型的识别方法，其特征在于，在所述查找用户多维信息表中是否存在所述用户终端对应的用户多维信息之后，还包括：

如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。
根据权利要求8所述的协议类型的识别方法，其特征在于，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；

所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。
根据权利要求11所述的协议类型的识别方法，其特征在于，所述根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别，包括：

判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。
根据权利要求9-12任一项所述的协议类型的识别方法，其特征在于，所述根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后还包括：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。
根据权利要求8-13任一项所述的协议类型的识别方法，其特征在于，所述对所述数据报文所在连接进行基于数据流的协议类型识别之后还包括：如果基于所述数据流识别成功，则对所述数据报文进行相应的业务处理。
根据权利要求8-14任一项所述的协议类型的识别方法，其特征在于，所述对所述数据报文所在连接进行基于用户多维信息的协议类型识别之后还包括：如果识别成功，则进一步判断所述数据报文是否为通过特征无法识别成功的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户连接数据表中的用户终端已有连接的行为特征信息。
一种协议类型的识别装置，其特征在于，所述装置包括：

获取单元，用于获取用户终端与服务器之间建立的连接上传送的数据报文；

查找单元，用于查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

第一处理单元，用于如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别；

第二处理单元，用于如果没有查找到所述用户终端对应的用户多维信息，则根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别。
根据权利要求16所述的协议类型的识别装置，其特征在于，所述查找单元具体用于：根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。
根据权利要求17所述的协议类型的识别装置，其特征在于，所述第二处理单元还用于：

如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。
根据权利要求16所述的协议类型的识别装置，其特征在于，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；

所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。
根据权利要求19所述的协议类型的识别装置，其特征在于，所述第一处理单元具体用于：

判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。
根据权利要16-20任一项所述的协议类型的识别装置，其特征在于，所述第一处理单元还用于：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。
根据权利要求16-21所述的协议类型的识别装置，其特征在于，所述第一处理单元还用于：如果识别成功，则进一步判断所述数据报文是否为通过特征无法识别成功的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户多维信息表中的用户终端已有连接的行为特征信息。
一种协议类型的识别装置，其特征在于，所述装置包括：

获取单元，用于获取用户终端与服务器之间建立的连接上传送的数据报文；

第一处理单元，用于根据所述数据报文的报文特征，对所述数据报文所在连接进行基于数据流的协议类型识别；

查找单元，用于如果基于数据流识别不成功，则查找用户多维信息表中是否存在所述用户终端对应的用户多维信息，所述用户多维信息用于表示用户终端当前已建立的所有连接的信息；

第二处理单元，用于如果查找到所述用户终端对应的用户多维信息，则根据所获取的所述用户多维信息标识的所述用户终端当前已建立的所有连接的信息，对所述数据报文所在连接进行基于用户多维信息的协议类型识别。
根据权利要求23所述的协议类型的识别装置，其特征在于，所述查找单元具体用于：

根据所述数据报文中的用户终端地址信息，查找所述用户多维信息表中是否存在与所述用户终端地址信息对应的用户多维信息。
根据权利要求24所述的协议类型的识别装置，其特征在于，所述第二处理单元还用于：

如果所述用户多维信息表中不存在与所述用户终端对应的用户多维信息，则在所述用户多维信息表中添加所述用户终端对应的用户多维信息。
根据权利要求23所述的协议类型的识别装置，其特征在于，所述用户终端对应的用户多维信息包括以下信息中的至少一项：所述用户终端当前已有连接对应的源IP地址信息和目的IP地址信息、所述用户终端已有连接的用户终端地址信息、所述用户终端曾访问过的服务器地址信息、所述用户终端的协议列表、所述用户终端已有连接的行为特征信息；

所述用户多维信息表中包括所述用户多维信息，以及所述用户多维信息与用户终端已有连接的协议类型的对应关系。
根据权利要求26所述的协议类型的识别装置，其特征在于，所述第二处理单元具体用于：

判断所述数据报文的五元组中的服务器地址信息，是否包含在所述用户多维信息表中存储的所述用户终端曾访问过的服务器地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的服务器地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组中的源IP地址信息和目的IP地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接对应的源IP地址信息和目的IP地址信息中，如果是，则继续判断所述数据报文的特征信息是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的源IP地址信息、目的IP地址信息以及行文特征信息都与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文的五元组信息中的用户终端地址信息，是否包含在所述用户多维信息表中存储的用户终端已有连接的用户终端地址信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的用户终端地址信息与所述数据报文一致的已有连接对应的协议类型；或者

判断所述数据报文以及历史数据报文的行为统计数据，是否包含在所述用户多维信息表中存储的用户终端已有连接的行为特征信息中，如果是，则所述数据报文所在连接的协议类型为所述用户多维信息表中存储的行为特征信息与所述数据报文一致的已有连接对应的协议类型。
根据权利要求23-27任一项所述的协议类型的识别装置，其特征在于，所述第二处理单元还用于：如果识别成功，则更新所述用户多维信息表中的识别结果数据，并且输出识别结果，其中所述识别结果数据为识别出的所述数据报文所在连接的协议类型。
根据权利要求23-28任一项所述的协议类型的识别装置，其特征在于，所述第一处理单元还用于：如果基于所述数据流识别成功，则对所述数据报文进行相应的业务处理。
根据权利要求23-29所述的协议类型的识别装置，其特征在于，所述第二处理单元还用于：如果识别成功，则进一步判断所述数据报文是否为通过特征无法识别成功的报文，如果是，则进行基于用户的行为识别统计，并且更新所述用户连接数据表中的用户终端已有连接的行为特征信息。