基于下載資源名的流量識別方法和設備、管控方法和設備的制作方法

基于下載資源名的流量識別方法和設備、管控方法和設備的制作方法
【專利摘要】本發明公開了一種基于下載資源名稱的網絡流量識別方法、識別設備、管控方法和管控設備。所述網絡流量識別方法包括接收請求報文；識別所述請求報文中的下載資源鏈接；如果識別成功，則解析所述請求報文，提取下載資源名稱。從網絡流量中提取下載資源名稱，可以進一步根據下載資源名稱進行網絡流量的管理和控制。本發明具有針對下載流量識別細化的功能，將識別粒度的精細度加大，可以使用戶對下載流量的審計和管控更加精細，對下載流量有更深層次的信息提取。
【專利說明】基于下載資源名的流量識別方法和設備、管控方法和設備

【技術領域】
[0001]本發明屬于網絡應用流量識別與分類【技術領域】，特別是涉及一種基于下載資源名稱的網絡流量識別方法、識別設備、管控方法和管控設備。

【背景技術】
[0002]隨著互聯網技術的迅猛發展，網絡已經成為人們生活中不可分割的組成部分。隨著P2P等網絡技術的出現，同時也帶來了網絡安全、帶寬占用、內容計費、信息安全等一系列新的課題。出于對網絡流量的管理，流量識別技術目前開始處于十分重要的位置，其是網絡中內容過濾、流量分析、帶寬管理、安全通信及互聯網監管和運維等多方面的基礎。所謂的流量識別是指利用流以及流中報文的某些信息(例如:協議特征、指紋、簽名等)將網絡上的流劃分為既定的若干類別(例如:各種應用類型的流)的技術；其中流是指在某一段固定時間間隔內通過網絡上的一個觀測點的IP(Internet Protocol,網絡互聯協議)報文的集合，這些報文具有相同的五元組(源IP、源端口、目的IP、目的端口和協議類型)標識；其中一個流屬于流量的一部分。
[0003]目前流量識別的方式主要包括:基于端口映射的流量識別方式、基于IP地址的流量識別方式、基于DPI (Deep Packet Inspect1n,深度包檢測)的流量識別方式和基于DFI (Deep Flow Inspect1n,深度流檢測)的流量識別方式。目前各大網絡設備生產商所推出的流量識別技術或產品大多使用了深度包檢測技術(DPI)，除了在性能和精度上有所差別外，其技術本質是相同的。
[0004]目前DPI的識別結果粒度過粗，都是限于應用級的，例如使用迅雷軟件下載一部電影《紅星閃閃》，各大設備廠商都會對當前流量識別為“迅雷下載”，不會識別為《紅星閃閃》。當前情況首先會導致用戶無法獲取網絡中下載流量的具體信息，無法對海量數據進行統計。其次假如用戶對公司網絡設置了流量控制策略，用戶無法針對資源的類別或者關鍵字進行下載管理，因此網絡流控設備對于下載流量的監控受到很大的限制。


【發明內容】

[0005]有鑒于此，本發明提供了一種基于下載資源名稱的網絡流量識別和管控方案，具有針對下載流量識別細化的功能，將識別粒度的精細度加大，可以使用戶對下載流量的審計和管控更加精細，對下載流量有更深層次的信息提取。
[0006]為了解決上述技術問題，本發明一方面提供了一種網絡流量的識別方法，該方法包括以下步驟:接收請求報文；識別所述請求報文中的下載資源鏈接；如果識別成功，則解析所述請求報文，提取下載資源名稱。還可以進一步提取下載資源類型。
[0007]進一步地，利用上述識別方法從網絡流量中提取了下載資源名稱之后，就可以根據下載資源名稱進行網絡流量的管理和控制。
[0008]本發明第二方面提供了一種網絡流量的識別設備。該設備包括接收單元，用于接收請求報文；識別單元，用于識別所述請求報文中的下載資源鏈接；解析單元，用于解析成功識別出下載資源鏈接的請求報文，從中提取下載資源名稱。還可以進一步提取下載資源類型。
[0009]進一步地，利用上述識別設備從網絡流量中提取了下載資源名稱之后，網絡流量管理單元就可以根據下載資源名稱進行網絡流量的管理和控制。
[0010]有益效果:
[0011](I)本發明提供了更細粒度的識別結果，當使用迅雷軟件下載一部電影《紅星閃閃》，采用本發明方案可以識別為《紅星閃閃》，而不僅僅是“迅雷下載”。那么，有了本發明的識別結果就可以在網絡流量管控中，對海量數據進行更有針對性的統計，設置以下載資源名稱為目標的流量控制策略，從而使得用戶能夠針對資源關鍵字進行下載管理，例如禁止用戶下載特定名稱的資源，從而大大拓寬了網絡流控設備對于下載流量的監控功能。
[0012](2)本發明通過簽名對請求報文進行解析，簽名解析可讀性高，易于讀者理解，且解析速度快，便于快速提取出需要的資源名稱信息。
[0013]本發明識別精細度高、可實現性強，可作為網絡流控設備功能實現，可用于策略中的網絡應用控制，并可進行網絡應用時監控。

【專利附圖】

【附圖說明】
[0014]圖1為本發明實施例下載流量設備的應用場景；
[0015]圖2為本發明實施例下載流量的識別方法流程圖；
[0016]圖3為本發明實施例下載流量的識別設備結構圖。

【具體實施方式】
[0017]下面結合附圖并舉實施例，對本發明進行詳細描述。
[0018]圖1為本發明實施例下載流量識別設備的應用場景。如圖1所示，客戶端A通過網絡流量監控設備B訪問遠程服務器C。C為下載資源服務器，它不斷的監聽來自A客戶端的請求。一旦連接建立起來，客戶端A就會向下載資源服務器C發出下載資源的請求報文，下載資源服務器C接著就返回數據作為響應。最后，連接就被釋放。
[0019]網絡流控設備B轉發并監控客戶端A和下載資源服務器C之間交互的信息。通過客戶端A向下載資源服務器C發出的請求報文來識別出此條鏈接為下載資源鏈接。
[0020]圖2為本發明實施例中基于下載資源名稱的網絡流量識別方法的流程圖。該方法包括步驟1-3。此部分以在百度下吧中下載QQ2013為例。
[0021]步驟1:接收請求報文。
[0022]在步驟I中，當用戶通過客戶端A的瀏覽器點擊百度下吧中QQ2013的下載鏈接時，客戶端A會通過網絡流控設備B向百度服務器發送HTTP請求報文。客戶端A通過網絡流控設備B向下載資源服務器C發送的HTTP請求報文如下:
[0023]GET/ sw-search-sp / gaosu / 2014_03_13_16/bindl / 1 2 3 5 0/QQ2013SP6.2288047051.exe HTTP/1.1
[0024]Host: dlsw.baidu.com
[0025]User-Agent:Mozilla/5.0 (Windows NT 6.1 ； WOff 6 4 ； r v: 2 4.0)Gecko/20100101Firefox/24.0
[0026]Accept:text/html, applicat1n/xhtml+xml, applicat1n/xml ；q = 0.9, */* ；q=0.8
[0027]Accept-Language: zh-cn, zh ；q = 0.8, en_us ；q = 0.5, en ；q = 0.3
[0028]Accept-Encoding:gzip, deflate
[0029]請求方式是以“GET”的方式向下載資源服務器C進行數據請求，服務器地址為“dlsw.baidu.com，，，iVsw-search-sp/gaosu/2014_03_13_16/bindl/12350/，，是一個相對地址，代表存儲下載資源的文件夾。“QQ2013SP6.2288047051.exe”就是用戶下載的具體資源名稱，這是一個QQ的可執行程序文件。
[0030]步驟2:識別所述請求報文中的下載資源鏈接。
[0031]在步驟2中，網絡流控設備B將會對送進來的請求報文進行識別。具體識別時，在網絡流控設備B中設置一個特征庫，該特征庫中包含多個特征。通過特征庫中的特征識別所述請求報文中的下載資源鏈接。特征是用于標識下載資源的信息，通過對不同應用的下載資源請求報文的分析，可以獲得相應特征信息。不同應用對應的特征不同。例如QQ、迅雷就采用了不同的特征信息來表示報文屬于下載連接請求報文。
[0032]在實際中，在特征碼識別的基礎上，還可以加入DPI識別，從而實現應用層面的流量識別。DPI識別在本處不做過多陳述。
[0033]以HTTP請求報文為例，例如特征庫中有一個如下特征:
[0034]Name: baidu_xiaba:
[0035]Signature-1:BigEndian:4: String: ”.exe，，
[0036]Signature-1:BigEndian:20:String: ”Host:dlsw.baidu.com”
[0037]上述特征中，baidu_xiaba代表特征名稱；字段 Signature-1:BigEndian:4:String:”.exe”代表搜索全包(_1)、大字節序(BigEndian)長度為4的字符串exe”;字段Signature-1:BigEndian: 20: String: ” Host: dlsw.baidu.com” 代表搜索全包(-1)、大字節序(BigEndian)長度為 20 的字符串“Host:dlsw.baidu.com”,兩個 Signature 之前是“且”的關系。進入到網絡流控設備B中的流量符合上述特征的話就會認為識別出了下載資源鏈接。步驟2中的HTTP請求報文與上述特征進行對比，完全符合識別條件，故此連接會被識別為下載資源鏈接。
[0038]為了令后端設備能夠獲知流經流量是否為下載資源鏈接，在識別出下載資源鏈接后，還需要在流信息上打上相應標識ID。通過標識ID的標記可以標示是否為下載鏈接，當為不同特征設置不同的標識ID時，還可以區分不同應用的下載鏈接。
[0039]步驟2如果識別出了下載資源鏈接，則會跳至步驟3，否則繼續對后續請求報文進行識別。
[0040]步驟3:解析HTTP請求報文，提取下載資源名稱，進一步地，還可以提取下載資源類型。
[0041]具體地，當網絡流控設備B成功識別HTTP請求報文屬于下載資源鏈接時，提取下載資源元信息，其中提取下載資源元信息包括提取下載資源的名稱和下載資源的類型，針對不同的下載請求，會有不同的提取元信息的邏輯，比如迅雷下載會有迅雷對應的元信息提取邏輯，百度下吧會有百度下吧對應的元信息提取邏輯。
[0042]以百度下吧為例，提取元信息的邏輯為:
[0043]對于普通的HTTP下載，提取元信息的方法會稍微簡單些。當下載連接在步驟2已經識別的時候，就已經可以獲取到了下載資源的類型，因為它匹配特征“Signature-1:BigEndian:4: String: ”.exe””其中“.exe”就是資源的類型。對于普通的HTTP下載，其請求方式之后會伴有下載資源的文件夾和下載資源的文件名稱“/sw-search-sp/gaosu/2014_03_13_16/bindl/12350/QQ2013SP6.2288047051.exe” 根據處理邏輯，首先會從后向前找到最后一個“/”，最后一個“/”之后則為文件名“QQ2013SP6.2288047051.exe”。
[0044]本發明通過簽名庫中簽名對請求報文進行解析，簽名解析可讀性高，易于讀者理解，且解析速度快，便于快速提取出需要的資源名稱信息。本實施例設計了一套簽名基本格式，具體如下:
[0045]: s i gname s i gnature_name
[0046]:mapid ID
[0047]:type:〃filename〃start = 〃*** (對應起始字段)〃end = 〃 (對應結束字段)”
[0048]上述簽名中，字段signature_name代表簽名的名稱。這個名稱可以自行定義。字段“:mapid ID”中ID是一個標記值，用于標記某應用的下載資源連接，對應其特征庫中的標記值。當下載資源鏈接被識別為該標記值時，該簽名就會對該鏈接的請求報文進行解析。字段type:〃filename〃start = 〃**** (對應起始字段)〃end = 〃 (對應結束字段)〃中的type:"filename"代表提取下載資源名稱；字段start = “****(對應起始字段)〃end = 〃(對應結束字段)"代表以某字段(****)開始，以某字段(***)結束，中間截取的信息為下載資源名稱。仍以“/sw-search-sp/gaosu/2014_03_13_16/bindl/12350/QQ2013SP6.2288047051.exe，，為例,type 字段應該寫為 type ,filename^start = "/"end = ”.exe/r/n' 其中，/r/η表示回車符號，或者替換為OdOa。
[0049]上述流程完成了下載資源名稱的提取。
[0050]從網絡流量中提取下載資源名稱后，后端設備就可以利用下載資源名稱進行網絡流量的管理和控制。例如將提取的信息，以日志的形式輸出到網絡流控設備的界面中，或者以下載資源名稱為粒度進行下載統計，或者可以根據提取的下載資源類型和下載資源名稱，對鏈接進行相應的管控措施，例如某些關鍵字的資源不允許下載，或者某種類型的資源不允許下載等。
[0051]圖3為本發明實施例下載資源的識別設備結構圖。所圖所示，該設備包括接收單元、識別單元和解析單元。
[0052]接收單元，用于接收請求報文。當用戶通過客戶端點擊某個下載鏈接時，客戶端會通過網絡流控設備向下載資源服務器發送請求報文，此時，該下載資源識別設備中的接收單元接收請求報文中有關下載資源的鏈接信息。
[0053]識別單元，用于識別該請求報文中的下載資源鏈接。
[0054]具體地，識別單元通過特征庫中的特征識別由接收單元接收的請求報文的下載資源鏈接。特征庫中每個特征對應一個標識ID，對包含下載資源鏈接的請求報文標記相應標識ID，用于標示和區別下載鏈接。
[0055]解析單元，用于解析請求報文，提取下載資源名稱，以及進一步提取下載資源類型。
[0056] 具體地，當識別單元成功識別請求報文的下載資源鏈接時，則由解析單元通過特定的解析邏輯，解析該請求報文，提取下載資源名稱和類型。
[0057]識別設備從網絡流量中提取下載資源名稱后，后端的網絡流量管理單元就可以利用下載資源名稱進行網絡流量的管理和控制。
[0058]綜上所述，以上僅為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。
【權利要求】
1.一種基于下載資源名稱的網絡流量識別方法，其特征在于:包括以下步驟:接收請求報文；識別所述請求報文中的下載資源鏈接；如果識別成功，則解析所述請求報文，提取下載資源名稱。
2.根據權利要求1所述的方法，其特征在于:所述識別所述請求報文中的下載資源鏈接的步驟包括:通過特征庫中的用于表征下載資源的特征識別所述請求報文中的下載資源鏈接。
3.根據權利要求2所述的方法，其特征在于:所述特征庫中每個特征對應一個標識ID，對下載資源鏈接進行標識ID的標記，用于標示和區分下載鏈接。
4.根據權利要求1所述的方法，其特征在于:所述解析所述請求報文，提取下載資源名稱的步驟包括:通過簽名庫中的簽名解析所述請求報文，提取下載資源名稱。
5.一種基于下載資源名稱的網絡流量識別設備，其特征在于:包括:接收單元，用于接收請求報文；識別單元，用于識別所述請求報文中的下載資源鏈接；解析單元，用于解析成功識別出下載資源鏈接的請求報文，從中提取下載資源名稱。
6.根據權利要求5所述的設備，其特征在于:所述識別單元通過特征庫中的用于表征下載資源的特征識別所述請求報文中的下載資源鏈接。
7.根據權利要求6所述的設備，其特征在于:所述特征庫中每個特征對應一個標識ID，對包含下載資源鏈接的請求報文標記相應標識ID，用于標示和區別下載鏈接。
8.根據權利要求5所述的設備，其特征在于:所述解析單元通過簽名庫中的簽名解析所述請求報文，提取下載資源名稱。
9.一種基于下載資源名稱的網絡流量管控方法，其特征在于:采用權利要求1至4任意一項所述的網絡流量識別方法從網絡流量中提取下載資源名稱，根據提取的下載資源名稱進行網絡流量的管理和控制。
10.一種基于下載資源名稱的網絡流量管控設備，其特征在于:包括網絡流量識別單元和網絡流量管理單元； 網絡流量識別單元采用權利要求5至8任意一項所述的網絡流量識別設備從網絡流量中提取下載資源名稱； 網絡流量管理單元利用網絡流量識別單元提取的下載資源名稱進行網絡流量的管理和控制。
【文檔編號】G06F17/30GK104079493SQ201410257677
【公開日】2014年10月1日 申請日期:2014年6月11日 優先權日:2014年6月11日
【發明者】袁媛, 賈艷會, 李城龍, 齊曉璐, 于賀威, 衛冰潔, 曹首峰, 賀龍濤 申請人:國家計算機網絡與信息安全管理中心