网络应用流量分类识别装置及其方法

摘要

一种网络应用流量分类识别装置，包括：动态流分类装置，以报文包含的IP五元组信息为键值建立散列表，利用散列表检索网络流表；<地址，端口>对匹配装置，通过检索地址对信息表来对收到的报文进行匹配；服务端口匹配装置，通过检索服务端口表来对收到的报文进行匹配；流量/行为特征匹配装置，针对流的前M个报文，统计流量特征和行为特征，并与流量/行为特征模式库中的信息进行匹配；协议特征码匹配装置，将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配；决策装置，综合分析判别网络流所属的应用类型或应用协议；网络拓扑探测装置，针对不同的应用服务，搜索当前活跃节点，用节点信息动态更新地址对信息表。

主权项

一种网络应用流量分类识别装置，其特征在于，包括：动态流分类装置，在该装置中以报文包含的IP五元组信息为键值代入散列函数H1，计算得到索引值i，根据索引值i找到网络流表中对应的散列表项，将报文的键值依次与散列表项所指链表中各流记录的键值比较；若找到键值相等的流记录，则该报文属于该记录对应的流；否则新建流记录表项，清空应用类型或应用协议信息、中间结果和流量与行为特征信息；查看流记录表项中的应用类型或应用协议信息是否为空，若不为空，则流所属的应用类型或应用协议已知；否则将流的首报文输入<地址，端口>对匹配装置和服务端口匹配装置，流的前M个报文输入流量/行为特征匹配装置，流的前N个报文输入协议特征匹配装置；<地址，端口>对匹配装置，以报文的<源地址，源端口>对或<目的地址，目的端口>对作为键值建立散列表，利用该散列表检索网络拓扑信息表来对收到的报文进行匹配；服务端口匹配装置，将报文的源端口和目的端口作为键值建立散列表，利用该散列表检索服务端口表来对收到的报文进行匹配；流量/行为特征匹配装置，针对流的前M个报文，统计此网络流以及<源IP，目的IP>地址对的流量特征和行为特征，并与流量/行为特征模式库中的信息进行匹配；协议特征码匹配装置，针对流的前N个报文，将报文净荷的前L个字节与协议特征码库中的协议特征码进行匹配；决策装置，从流记录表项中读取缓存的中间结果，并将其与各匹配装置得到的有效输出结果中同一应用类型或应用协议的匹配度进行累加，通过判断所述应用类型或应用协议的最高匹配度是否大于等于设定阈值，判别网络流所属的应用类型或应用协议：若匹配度大于等于设定阈值，则保存该匹配度到网络流表的应用类型或应用协议信息字段中；若匹配度小于设定阈值，则保存各匹配装置得到的有效输出结果到流记录表项的cache1 至cache4中，用于下一报文到达时的分类识别；网络拓扑探测装置，针对不同的应用服务，搜索当前活跃节点，用节点信息动态更新网络拓扑信息表。