| 发明名称 | 基于报文采样和应用签名的互联网应用流量识别方法 | ||
| 摘要 | 本发明涉及一种基于报文采样和应用签名的互联网应用流量识别方法,该方法由如下步骤构成:报文采样捕捉:按照采样策略和采样率捕捉报文,解码:对报文进行解码,分析出报文的流信息和应用数据,流分类:根据报文的流信息查找和维护流状态表,流状态判别:如果流分类查找出的流状态项的应用类型为未知则进行签名匹配,签名匹配:根据应用签名库对报文的应用数据进行匹配,如果匹配成功,则更新流状态项中的应用类型,并输出该数据流的流信息和应用类型。该方法识别准确度高、处理效率高、可扩展性好,可实现性强,既能应用于报文处理,又能应用于流数据分析,既可以实现在网络设备中,也可以实现在网络分析系统中。 | ||
| 申请公布号 | CN101184000A | 申请公布日期 | 2008.05.21 |
| 申请号 | CN200710179536.4 | 申请日期 | 2007.12.14 |
| 申请人 | 北京交通大学 | 发明人 | 郭振滨;孙研彦;裘正定 |
| 分类号 | H04L12/26(2006.01);H04L12/56(2006.01);H04L9/32(2006.01) | 主分类号 | H04L12/26(2006.01) |
| 代理机构 | 北京正理专利代理有限公司 | 代理人 | 张占榜 |
| 主权项 | 1.一种基于报文采样和应用签名的互联网应用流量识别方法,其特征在于:该方法由如下步骤构成:报文采样捕捉:运用IETF的PSAMP工作组定义的一系列报文采样方法,当有网络报文到达时,根据一定的采样策略按照采样率来捕捉报文,报文采样捕捉的控制参数包括采样率和采样策略;解码:对捕捉到的报文进行解码分析,最终分析出报文的流信息和应用数据,解码完成以下几项工作:1、从IP层头部中分析出传输层协议类型、源地址和目的地址,2、当为TCP报文时从TCP层头部中分析出源端口号和目的端口号,3、当为UDP报文时从UDP层头部中分析出源端口号和目的端口号,4、分析出应用数据;流分类:根据解码分析出的报文的流信息对流状态表进行处理,其中流状态表存储着每个网络数据流的流信息、最后活动时间和应用类型,流分类的控制参数包括数据流不活动时间阈值,流分类主要完成以下几项功能:1、根据报文的流信息从流状态表中快速查找报文对应的流状态项,2、如果查找成功,更新流状态项中的最后活动时间,3、如果查找失败,跟据报文的流信息创建流状态项插入到表中,其中流状态项的流信息为报文的流信息、应用类型为未知、最后活动时间为报文的捕捉时间,4、对状态表进行检查,删除超过数据流不活动时间阈值而没有被更新的流状态项;流状态判别:对流分类查找到或新创建的流状态项进行处理,当该流状态项中的应用类型为未知时则进行签名匹配,否则不进行其它处理;签名匹配:根据应用签名库对报文的应用数据进行处理,如果应用数据中含有签名库中的签名,则更新流状态项中的应用类型,并输出该网络数据流的流信息和应用类型。 | ||
| 地址 | 100044北京市海淀区上园村3号 | ||