| 发明名称 | 一种易扩展的多方式融合的核心网用户流量应用识别方法 | ||
| 摘要 | 一种易于扩展的多方式融合的核心网用户流量应用识别方法,包括层次化的数据报文解析和识别还原隧道流量;解析管理IP层和传输层协议的五元组信息;根据流节点信息,采用预识别、端口识别、HTTP识别、P2P识别和PA识别方法融合的应用识别方法,获取数据报文及其所属数据流的具体应用信息。各识别方法支持单独扩展,并且将处理逻辑简单,响应速度快的识别方法前置,降低后续复杂方法的识别负荷,提高识别处理效率;HTTP支持二级识别,提升识别的有效性和准确性;同时支持DPI和DFI的识别方式,有效识别加密应用协议和P2P协议数据流。 | ||
| 申请公布号 | CN104320304A | 申请公布日期 | 2015.01.28 |
| 申请号 | CN201410613915.X | 申请日期 | 2014.11.04 |
| 申请人 | 武汉虹信技术服务有限责任公司 | 发明人 | 李磊;罗晓羽;肖伟明;余道敏 |
| 分类号 | H04L12/26(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 武汉科皓知识产权代理事务所(特殊普通合伙) 42222 | 代理人 | 严彦 |
| 主权项 | 一种易于扩展的多方式融合的核心网用户流量应用识别方法,其特征在于:对接收到的数据报文依次进行识别处理,对某数据报文的识别处理包括以下步骤,步骤一,从Ethernet II层开始解析,得到IP层开始的业务数据;步骤二,开始解析IP层和传输层协议,得到数据流五元组信息;步骤三,根据步骤二所得数据流五元组信息,若数据流节点已存在,并且所代表数据流应用类型已识别,则当前识别处理流程结束,其他情况均继续进行应用识别过程,应用识别过程包括依次执行预识别子过程、端口识别子过程、HTTP识别子过程、P2P识别子过程和PA识别子过程,在某个识别子过程识别出具体的协议类型,则当前识别处理流程结束;所述预识别子过程,包括根据数据包信息判断当前流是否匹配已识别出的应用协议的控制流所指定的数据流,若为肯定结果则成功识别出应用类型,则当前识别处理流程结束,若为否定结果则进入后续识别子过程;所述端口识别子过程,包括根据常用端口特征识别协议类型,若成功识别出应用类型则当前识别处理流程结束,若为否定结果则进入后续识别子过程;所述HTTP识别子过程,包括根据HTTP的协议规范,利用HTTP中简单特征进行初级匹配,若匹配失败,则说明该流量为非HTTP业务,进入后续识别子过程;若匹配成功,则说明该流为HTTP业务,进行特征串匹配,匹配成功则得到使用HTTP协议的具体应用类型,识别结束,否则标记为“HTTP协议”,识别结束;所述特征串匹配是根据各类使用HTTP协议的应用的头域特征进行匹配;所述P2P识别子过程,包括针对P2P协议及P2P数据的特性,同时采用DPI和DFI的方式进行识别和统计,当识别为非P2P流时进入后续识别子过程;当识别为P2P流时识别匹配的P2P协议,若成功识别则得到使用P2P协议的具体应用类型,识别结束,否则标记为“P2P协议”,识别结束;所述PA识别子过程,包括根据预先设定的特征规则进行识别。 | ||
| 地址 | 430073 湖北省武汉市武汉东湖新技术开发区东信路5号——烽火光通讯产业大楼4楼 | ||