WO2022078104A1

WO2022078104A1 - 网络流量分析方法、装置、电子设备和存储介质

Info

Publication number: WO2022078104A1
Application number: PCT/CN2021/116357
Authority: WO
Inventors: 闫小龙; 万月亮; 火一莽
Original assignee: 北京锐安科技有限公司
Priority date: 2020-10-16
Filing date: 2021-09-03
Publication date: 2022-04-21
Also published as: CN112272123B; CN112272123A

Abstract

本申请公开了一种网络流量分析方法。所述网络流量分析方法包括：接收批量的数据报文和批量需进行网络流量分析的五元组规则，其中，所述五元组规则是至少一个深度报文检测DPI业务卡基于接收的所述数据报文所生成的；基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加标识字符后的目标数据报文输出给至少一个DPI业务卡，以使所述至少一个DPI业务卡对添加标识字符后的目标数据报文进行处理。

Description

网络流量分析方法、装置、电子设备和存储介质

本申请要求在2020年10月16日提交中国专利局、申请号为202011112363.6的中国专利申请的优先权，该申请的全部内容通过引用结合在本申请中。

技术领域

本申请涉及数据传输技术，例如涉及一种网络流量分析方法、装置、电子设备和存储介质。

背景技术

随着全球大数据以及人工智能技术的高速发展，对于网络性能需求越来越高，从原来的百兆、千兆的吞吐量迅速增长到现在的10吉字节(Gigabyte，G)、25G甚至100G、200G等等吞吐量，如何高效处理高吞吐量的数据是亟待解决的问题。

相关技术中，对网络流量的分析是依据网络流量分析深度报文检测(Deep Packet Inspection，DPI)系统来实现，在该系统中存在多个DPI业务卡，当接收到网络流量分析任务时，多个DPI业务卡对分配的网络流量分析任务进行分析，分析涉及域名系统(Domain Name System，DNS)域名解析、记录互联网协议(Internet Protocol，IP)地址表、五元组规则匹配、宽带号规则匹配、宽带号和五元组的对应关系维护、统一资源定位系统(Uniform Resource Locator，URL)解析和规则匹配等，需要进行报文内容解析，并做大量运算。

上述的多个DPI业务卡当对一个网络流量分析任务进行处理时，需要进行上述所有的分析工作，这种方式对于少量的网络流量分析任务可很好实施，但对于大量网络流量分析任务，由于多个DPI业务卡的处理能力有限，则需要部署更多的DPI业务卡，但机框业务卡槽位数目有限，不可能一直线性扩大网络流量分析系统，这样就无法对大量的网络流量分析任务进行处理。

发明内容

本申请提供一种网络流量分析方法、装置、电子设备和存储介质，以实现高效对大量网络流量进行分析。

提供了一种网络流量分析方法，该方法应用于加速卡，包括：

接收批量的数据报文和批量需进行网络流量分析的五元组规则，其中，所述五元组规则是至少一个DPI业务卡基于接收的所述数据报文所生成的；

基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；

基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加标识字符后的目标数据报文输出给至少一个DPI业务卡，以使所述至少一个DPI业务卡对添加标识字符后的目标数据报文进行处理。

还提供了一种网络流量分析方法，该方法应用于DPI业务卡，包括：

接收批量的数据报文，对所述批量的数据报文进行解析，获取所述批量的数据报文的DNS域名、会话信息和IP地址；

基于所述DNS域名、会话信息和IP地址，确定所述批量的数据报文对应的五元组规则，并将所述五元组规则发送至加速卡中，以使所述加速卡基于所述五元组规则，在数据报文中添加标识字符。

还提供了一种网络流量分析系统，该系统包括：加速卡，以及与所述加速卡物理连接的至少一个DPI业务卡；

所述加速卡，设置为接收批量的数据报文和批量需进行网络流量分析的五元组规则；基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加标识字符后的目标数据报文输出给至少一个DPI业务卡；

所述至少一个DPI业务卡，设置为生成批量的数据报文对应的五元组规则，将批量的数据报文对应的五元组规则发送至所述加速卡，以及接收加速卡发送的添加标识字符后的数据报文，识别所述数据报文中的标识字符，并对具有标识字符的数据报文进行处理。

还提供了一种网络流量分析装置，该装置设置于加速卡中，包括：

信息接收模块，设置为接收批量的数据报文和批量需进行网络流量分析的五元组规则，其中，所述五元组规则是DPI业务卡基于接收的所述数据报文所生成的；

目标数据报文确定模块，设置为基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；

标识字符添加模块，设置为基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加标识字符后的目标数据报文输出给至少一个DPI业务卡，以使所述至少一个DPI业务卡对添加标识字符后的目标数据报文进行处理。

还提供了一种网络流量分析装置，该装置设置于至少一个DPI业务卡中，包括：

解析模块，设置为接收批量的数据报文，对批量所述数据报文进行解析，获取批量所述数据报文的DNS域名、会话信息和IP地址；

五元组规则确定模块，设置为基于所述DNS域名、会话信息和IP地址，确定批量所述数据报文对应的五元组规则，并将所述五元组规则发送至加速卡中，以使所述加速卡对所述五元组规则进行匹配，以及基于所述五元组规则，在数据报文中添加标识字符。

还提供了一种电子设备，该电子设备包括：

一个或多个处理器；

存储装置，设置为存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现申请实施例中任一所述的网络流量分析方法。

还提供了一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行本申请实施例中任一所述的网络流量分析方法。

附图说明

图1是本申请实施例一中的网络流量分析方法的流程图；

图2是本申请实施例一中的网络流量分析的执行示意图；

图3是本申请实施例一中的本申请的网络流量分析的执行示意图；

图4是本申请实施例二中的网络流量分析方法的流程图；

图5是本申请实施例三中的网络流量分析系统的结构示意图；

图6是本申请实施例四中的网络流量分析装置的结构示意图；

图7是本申请实施例五中的网络流量分析装置的结构示意图；

图8是本申请实施例六中的一种电子设备的结构示意图。

具体实施方式

下面结合附图和实施例对本申请进行说明。此处所描述的实施例仅仅用于解释本申请，而非对本申请的限定。为了便于描述，附图中仅示出了与本申请相关的部分而非全部结构。

实施例一

图1为本申请实施例一提供的网络流量分析方法的流程图，本实施例应用于加速卡，可适用于对大量网络流量进行分析的情况，该方法可以由网络流量分析装置来执行，该网络流量分析装置可以由软件和/或硬件来实现，该网络流量分析装置可以配置在电子计算设备上，包括如下步骤。

S110、接收批量的数据报文和批量需进行网络流量分析的五元组规则，其中，五元组规则是至少一个DPI业务卡基于接收的数据报文所生成的。

示例性的，加速卡接收批量的数据报文，在数据报文中包括该数据报文的五元组信息。

加速卡还接收至少一个DPI业务卡发送的需进行网络流量分析的五元组规则，这里的五元组规则是至少一个DPI业务卡基于接收的数据报文所生成的。

这里的五元组规则可以是一个DPI业务卡发送的批量的五元组规则，也可以是多个DPI业务卡发送的批量的五元组规则。

要对哪些数据报文进行网络流量分析，这个指令是至少一个DPI业务卡发送给加速卡的，是通过至少一个DPI业务卡发送的需进行网络流量分析的五元组规则来告知加速卡的。

S120、基于数据报文和五元组规则，确定需添加标识字符的目标数据报文。

示例性的，目标数据报文可以是需要进行添加标识字符的数据报文。因为当加速卡接收到数据报文后，有些报文是不需后续的DPI业务卡进行后续的网络流量分析的，可以是后续的至少一个DPI业务卡不对该报文进行后续的网络流量分析，将需进行后续网络流量分析的数据报文作为目标数据报文。

可选的，在数据报文中包括该数据报文的五元组信息(第二五元组信息)。在五元组规则中也包含有要进行网络流量分析的数据报文的五元组信息(第一五元组信息)。

可选的，所述基于数据报文和五元组规则，确定需添加标识字符的目标数据报文，可以是：提取数据报文中的第二五元组信息，以及五元组规则中的第一五元组信息；比对第一五元组信息和第二五元组信息，若比对成功，则将第二五元组信息所对应的数据报文作为需添加标识字符的目标数据报文。

示例性的，这里的第一五元组信息可以是加速卡接收的数据报文中包含的数据报文的五元组信息。

这里的第二五元组信息可以是加速卡接收的至少一个DPI业务卡发送的五元组规则中包含的需DPI业务卡进行后续的网络流量分析的数据报文的五元组信息。

当加速卡接收到数据报文和五元组规则后，分别从数据报文中提取第二五元组信息，从五元组规则中提取第一五元组信息，比对第一五元组信息和第二五元组信息，若第一五元组信息和第二五元组信息一致，则说明加速卡接收的数据报文为需要添加标识字符的数据报文，即目标数据报文。

在实现第一五元组信息和第二五元组信息比对时，可分别采用哈希表结构和三态内容寻址存储器(ternary content addressable memory，tcam)模块实现，利用哈希表结构实现和利用tcam模块实现比对均属于相关技术，这里不做说明。采用何种方式来实现第一五元组信息和第二五元组信息的比对，可根据用户需求自行设定，这里不做限定。

本申请实施例的加速卡对于哈希表结构的查询、更新等操作进行了优化，处理效率更高，该加速卡的存储的规则容量也较大。

利用一个单独的加速卡来完成网络流量分析中的五元组规则匹配和掩码五元组规则匹配的过程，节省了后续DPI业务卡的处理过程，提高了数据报文的网络流量分析的效率。

参考图2的网络流量分析的执行示意图，当接收到批量的数据报文后，将批量的数据报文分发给至少一个DPI业务卡(例如，可以平均分配数据报文，也可以不平均分配数据报文，这里不做限定)，至少一个DPI业务卡根据接收到的数据报文，与该DPI业务卡要进行网络流量分析的五元组规则中的五元组信息进行匹配，匹配成功后，再对匹配成功的数据报文进行后续的处理分析。这样每个DPI业务卡都要执行一遍网络流量分析的整个操作过程，包括五元组规则匹配和掩码五元组规则匹配的过程，以及后续的处理分析过程，这样每个DPI业务卡的处理能力有限，且当需要进行网络流量分析的数据报文的数据量巨大时，由于卡槽数量的限制，也无法增加DPI业务卡的数量，进而影响数据报文的处理效率。

参考图3的本申请的网络流量分析的执行示意图，当接收到批量的数据报文后，将批量的数据报文发送给加速卡，加速卡根据接收到的数据报文，与后面至少一个DPI业务卡要进行网络流量分析的五元组规则中的五元组信息进行匹配，匹配成功后，再将匹配成功的数据报文发送给至少一个DPI业务卡进行后续的处理分析过程。

本申请实施例中的至少一个DPI业务卡在接收到五元组规则匹配成功的数据报文后进行的后续网络流量分析过程不是本申请的核心要点，在本申请实施例中不做介绍。

S130、基于五元组规则，对目标数据报文添加标识字符，并将添加标识字符后的目标数据报文输出给至少一个DPI业务卡，以使至少一个DPI业务卡对添加标识字符后的目标数据报文进行处理。

示例性的，当确定了目标数据报文后，根据五元组规则中的预设的特定会话信息，可对目标数据报文添加标识字符，该标识字符用于使DPI业务卡识别出来后续要进行网络流量分析的是哪些数据报文。

当对目标数据报文添加标识字符后，将添加了标识字符的目标数据报文发送给至少一个DPI业务卡，以使至少一个DPI业务卡可识别该标识字符，并对添加有标识字符的目标数据报文进行后续的分析处理。

在将添加了标识字符的目标数据报文发送给至少一个DPI业务卡时，同时也会将未添加标识字符的数据报文发送给至少一个DPI业务卡，当至少一个DPI业务卡接收到数据报文后，可识别数据报文中的标识字符，对具有标识字符的目标数据报文进行后续的分析处理，而不分析处理未有标识字符的数据报文。

至少一个DPI业务卡在向加速卡发送五元组规则时，可携带有至少一个DPI业务卡的业务卡ID，这样以便后续可将目标数据报文发送给对应的DPI业务卡。至少一个DPI业务卡在接收目标数据报文时，也可以是任意接收，这里不做限定。

可选的，所述基于五元组规则和目标数据报文，对目标数据报文添加标识字符，可以是：将五元组规则中的预设特定会话信息作为尾标添加至目标数据报文的尾部；在尾标的开始位置和尾标的末尾位置分别添加起止标识字符。

示例性的，在五元组规则中包含有预设特定会话信息。该预设特定会话信息可以是预先设置的，以便于添加标识字符。

将五元组规则中的预设特定会话信息作为尾标添加至目标数据报文的尾部，即将预设特定会话信息添加到目标数据报文的尾部，在该尾部的开始位置和末尾位置分别对应添加起止标识字符。这样即可实现对目标数据报文添加标识字符的目的。

这样在后续需DPI业务卡进行网络流量分析的数据报文中添加标识字符，以便DPI业务卡可识别出需进行后续网络流量分析的数据报文，以对该数据报文进行后续的网络流量分析，提高了数据报文进行网络流量分析的效率。

本申请实施例的技术方案，通过接收批量的数据报文和批量需进行网络流量分析的五元组规则，基于数据报文和五元组规则，确定需添加标识字符的目标数据报文，基于五元组规则，对目标数据报文添加标识字符，并将添加标识字符后的目标数据报文输出给至少一个DPI业务卡，以使至少一个DPI业务卡对添加标识字符后的目标数据报文进行处理，这样利用一个单独的加速卡来完成网络流量分析中的五元组规则匹配和掩码五元组规则匹配的过程，节省了后续至少一个DPI业务卡的处理过程，提高了对大量数据报文的网络流量分析的效率。

实施例二

图4为本申请实施例二提供的网络流量分析方法的流程图，本申请实施例应用于至少一个DPI业务卡，可与上述实施例中多个可选方案可以结合。本申请实施例可适用于对大量网络流量进行分析的情况，该方法可以由网络流量分析装置来执行，该网络流量分析装置可以由软件和/或硬件来实现，该网络流量分析装置可以配置在电子计算设备上，包括如下步骤。

如图4所示，本申请实施例的方法包括如下步骤。

S210、接收批量的数据报文，对批量的数据报文进行解析，获取批量的数据报文的DNS域名、会话信息和IP地址。

示例性的，至少一个DPI业务卡接收批量的数据报文，对每个数据报文进行解析，可得到每个数据报文的DNS域名、会话信息和IP地址。

S220、基于DNS域名、会话信息和IP地址，确定批量的数据报文对应的五元组规则，并将五元组规则发送至加速卡中，以使加速卡基于五元组规则，在数据报文中添加标识字符。

示例性的，根据解析出的每个数据报文的DNS域名、会话信息和IP地址，可确定每个数据报文对应的五元组规则，根据每个数据报文的DNS域名、会话信息和IP地址，确定每个数据报文对应的五元组规则属于相关技术，这里不做描述。

当确定了批量的数据报文的五元组规则后，将批量的数据报文的五元组规则发送至加速卡中，在五元组规则中包含预设特定会话信息，以使加速卡对五元组规则进行匹配，以及基于五元组规则中的预设特定会话信息，在需添加标识字符的数据报文中添加标识字符，并对接收的加速卡发送的添加了标识字符后的数据报文进行处理。

加速卡对五元组规则进行匹配，以及根据五元组规则，在需进行网络流量分析的数据报文中添加标识字符的过程与上述实施例一中的一致，这里不做描述。

通过对接收的数据报文进行解析，得到数据报文对应的五元组规则，以便后续DPI业务卡可基于该五元组规则中的预设特定会话信息来识别出要进行后续网络流量分析的数据报文。

可选的，在所述将五元组规则发送至加速卡中后，所述方法还包括：接收加速卡返回的数据报文，并识别数据报文中的标识字符，对具有标识字符的所述数据报文进行处理。

示例性的，DPI业务卡在接收到加速卡发送的数据报文后，识别数据报文中的标识字符，并对具有标识字符的数据报文进行处理。

这样DPI业务卡可识别标识字符，并对具有标识字符的数据报文进行后续的网络流量分析过程，就不需执行加速卡所执行的网络流量分析过程，这样缓解了至少一个DPI业务卡的压力，不需部署较多的DPI业务卡，达到了高效对大量网络流量进行分析的效果。

本申请实施例的技术方案，通过对接收的数据报文进行解析，得到数据报文对应的五元组规则，同时DPI业务卡可识别出具有标识字符的数据报文，并对具有标识字符的数据报文进行后续的网络流量分析过程，就不需进行加速卡所进行的网络流量分析过程，这样缓解了至少一个DPI业务卡的压力，不需部署较多的DPI业务卡，达到了高效对大量网络流量进行分析的效果。

实施例三

图5为本申请实施例三提供的网络流量分析系统的结构示意图，如图5所示，该系统包括加速卡31，以及与加速卡31物理连接的至少一个DPI业务卡32。

加速卡31，设置为接收批量的数据报文和批量需进行网络流量分析的五元组规则；基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加标识字符后的目标数据报文输出给至少一个DPI业务卡32；

至少一个DPI业务卡32，设置为生成批量的数据报文对应的五元组规则，将批量的数据报文对应的五元组规则发送至所述加速卡，以及接收加速卡发送的添加标识字符后的数据报文，识别所述数据报文中的标识字符，并对具有标识字符的数据报文进行处理。

至少一个DPI业务卡是设置为接收批量的数据报文，对批量所述数据报文进行解析，获取所述批量的数据报文的DNS域名、会话信息和IP地址；基于所述DNS域名、会话信息和IP地址，确定所述批量的数据报文对应的五元组规则。

本申请实施例中的加速卡和至少一个DPI业务卡均插在机框的卡槽中。

本申请实施例所提供的网络流量分析系统可执行本申请任意实施例所提供的网络流量分析方法，具备执行方法相应的功能模块和效果。

实施例四

图6为本申请实施例四提供的网络流量分析装置的结构示意图，本申请实施例的网络流量分析装置与上述实施例一中的网络流量分析方法相对应，该装置设置于加速卡中，如图6所示，该装置包括：信息接收模块41、目标数据报文确定模块42和标识字符添加模块43。

其中，信息接收模块41，设置为接收批量的数据报文和批量需进行网络流量分析的五元组规则，其中，所述五元组规则是DPI业务卡基于接收的所述数据报文所生成的；

目标数据报文确定模块42，设置为基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；

标识字符添加模块43，设置为基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加标识字符后的目标数据报文输出给至少一个DPI业务卡，以使所述至少一个DPI业务卡对添加标识字符后的目标数据报文进行处理。

可选的，所述五元组规则包括：第一五元组信息，所述数据报文中包括：所述数据报文对应的第二五元组信息。

在上述实施例的技术方案的基础上，目标数据报文确定模块42是设置为：

提取所述数据报文中的第二五元组信息，以及所述五元组规则中的第一五元组信息；比对所述第一五元组信息和所述第二五元组信息，若比对成功，则将所述第二五元组信息所对应的数据报文作为需添加标识字符的目标数据报文。

可选的，所述五元组规则中还包括：预设特定会话信息。

在上述实施例的技术方案的基础上，标识字符添加模块43包括：

信息添加单元，设置为将所述五元组规则中的预设特定会话信息作为尾标添加至所述目标数据报文的尾部；

起止标识字符添加单元，设置为在所述尾标的开始位置和所述尾标的末尾位置分别添加起止标识字符。

本申请实施例所提供的网络流量分析装置可执行本申请实施例一所提供的网络流量分析方法，具备执行方法相应的功能模块和效果。

实施例五

图7为本申请实施例五提供的网络流量分析装置的结构示意图，本申请实施例的网络流量分析装置与上述实施例二中的网络流量分析方法相对应，该装置设置于至少一个DPI业务卡中，如图7所示，该装置包括：解析模块51和五元组规则确定模块52。

其中，解析模块51，设置为接收批量的数据报文，对所述批量的数据报文进行解析，获取所述批量的数据报文的DNS域名、会话信息和IP地址；

五元组规则确定模块52，设置为基于所述DNS域名、会话信息和IP地址，确定所述批量的数据报文对应的五元组规则，并将所述五元组规则发送至加速卡中，以使所述加速卡对所述五元组规则进行匹配，以及基于所述五元组规则，在数据报文中添加标识字符。

在上述实施例的技术方案的基础上，该装置还包括：

标识字符识别模块，设置为接收加速卡返回的数据报文，并识别所述数据报文中的标识字符，对具有所述标识字符的所述数据报文进行处理。

本申请实施例所提供的网络流量分析装置可执行本申请实施例二所提供的网络流量分析方法，具备执行方法相应的功能模块和效果。

实施例六

图8为本申请实施例六提供的一种电子设备的结构示意图，如图8所示，该电子设备包括处理器70、存储器71、输入装置72和输出装置73；电子设备中处理器70的数量可以是一个或多个，图8中以一个处理器70为例；电子设备中的处理器70、存储器71、输入装置72和输出装置73可以通过总线或其他方式连接，图8中以通过总线连接为例。

存储器71作为一种计算机可读存储介质，可设置为存储软件程序、计算机可执行程序以及模块，如本申请实施例中的网络流量分析方法对应的程序指令/模块(例如，信息接收模块41、目标数据报文确定模块42和标识字符添加模块43，和/或，解析模块51和五元组规则确定模块52)。处理器70通过运行存储在存储器71中的软件程序、指令以及模块，从而执行电子设备的多种功能应用以及数据处理，即实现上述的网络流量分析方法。

存储器71可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器71可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器71可包括相对于处理器70远程设置的存储器，这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置72可设置为接收输入的数字或字符信息，以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置73可包括显示屏等显示设备。

实施例七

本申请实施例七还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种网络流量分析方法。

本申请实施例所提供的一种包含计算机可执行指令的存储介质，计算机可执行指令不限于如上所述的方法操作，还可以执行本申请任意实施例所提供的网络流量分析方法中的相关操作。

本申请可借助软件及通用硬件来实现，也可以通过硬件实现。本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、闪存(FLASH)、硬盘或光盘等，包括多个指令用以使得一台计算机电子设备(可以是个人计算机，服务器，或者网络设备等)执行本申请多个实施例所述的方法。

上述网络流量分析装置的实施例中，所包括的多个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，多个功能单元的名称也只是为了便于相互区分，并不用于限制本申请的保护范围。

Claims

一种网络流量分析方法，应用于加速卡，包括：

接收批量的数据报文和批量需进行网络流量分析的五元组规则，其中，所述五元组规则是至少一个深度报文检测DPI业务卡基于接收的所述数据报文所生成的；

基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；

基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加所述标识字符后的目标数据报文输出给所述至少一个DPI业务卡，以使所述至少一个DPI业务卡对添加所述标识字符后的目标数据报文进行处理。
根据权利要求1所述的方法，其中，所述五元组规则包括：第一五元组信息，所述数据报文中包括：所述数据报文对应的第二五元组信息；

所述基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文，包括：

提取所述数据报文中的第二五元组信息，以及所述五元组规则中的第一五元组信息；

比对所述第一五元组信息和所述第二五元组信息，在比对成功的情况下，将所述第二五元组信息所对应的数据报文作为所述需添加标识字符的目标数据报文。
根据权利要求1所述的方法，其中，所述五元组规则中包括：预设特定会话信息；

所述基于所述五元组规则，对所述目标数据报文添加标识字符，包括：

将所述五元组规则中的预设特定会话信息作为尾标添加至所述目标数据报文的尾部；

在所述尾标的开始位置和所述尾标的末尾位置分别添加起止标识字符。
一种网络流量分析方法，应用于深度报文检测DPI业务卡，包括：

接收批量的数据报文，对所述批量的数据报文进行解析，获取所述批量的数据报文的域名系统DNS域名、会话信息和互联网协议IP地址；

基于所述DNS域名、所述会话信息和所述IP地址，确定所述批量的数据报文对应的五元组规则，并将所述五元组规则发送至加速卡中，以使所述加速卡基于所述五元组规则，在数据报文中添加标识字符。
根据权利要求4所述的方法，其中，在所述将所述五元组规则发送至加速卡中后，所述方法还包括：

接收所述加速卡返回的数据报文，并识别所述数据报文中的标识字符，对具有所述标识字符的所述数据报文进行处理。
一种网络流量分析系统，包括：加速卡，以及与所述加速卡物理连接的至少一个深度报文检测DPI业务卡；

所述加速卡，设置为接收批量的数据报文和批量需进行网络流量分析的五元组规则；基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加所述标识字符后的目标数据报文输出给所述至少一个DPI业务卡；

所述至少一个DPI业务卡，设置为生成批量的数据报文对应的五元组规则，将所述批量的数据报文对应的五元组规则发送至所述加速卡，以及接收所述加速卡发送的添加所述标识字符后的数据报文，识别所述数据报文中的标识字符，并对具有所述标识字符的数据报文进行处理。
一种网络流量分析装置，包括：

信息接收模块，设置为接收批量的数据报文和批量需进行网络流量分析的五元组规则，其中，所述五元组规则是至少一个深度报文检测DPI业务卡基于接收的所述数据报文所生成的；

目标数据报文确定模块，设置为基于所述数据报文和所述五元组规则，确定需添加标识字符的目标数据报文；

标识字符添加模块，设置为基于所述五元组规则，对所述目标数据报文添加标识字符，并将添加所述标识字符后的目标数据报文输出给所述至少一个DPI业务卡，以使所述至少一个DPI业务卡对添加所述标识字符后的目标数据报文进行处理。
一种网络流量分析装置，包括：

解析模块，设置为接收批量的数据报文，对所述批量的数据报文进行解析，获取所述批量的数据报文的域名系统DNS域名、会话信息和互联网协议IP地址；

五元组规则确定模块，设置为基于所述DNS域名、所述会话信息和所述IP地址，确定所述批量的数据报文对应的五元组规则，并将所述五元组规则发送至加速卡中，以使所述加速卡对所述五元组规则进行匹配，以及基于所述五元组规则，在数据报文中添加标识字符。
一种电子设备，包括：

一个或多个处理器；

存储装置，设置为存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现以下至少之一：如权利要求1-3中任一项所述的网络流量分析方法，或，如权利要求4-5中任一项所述的网络流量分析方法。
一种包含计算机可执行指令的存储介质，其中，所述计算机可执行指令在由计算机处理器执行时用于执行以下至少之一：如权利要求1-3中任一项所述的网络流量分析方法，或，如权利要求4-5中任一项所述的网络流量分析方法。