專(zhuān)利名稱(chēng):基于dpi的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)領(lǐng)域�����,特別是涉及一種基于深度包檢測(cè)(Deep Packet Inspection�,簡(jiǎn)稱(chēng)為DPI)的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法及裝置��。
背景技術(shù):
目前��,在互聯(lián)網(wǎng)(Internet)業(yè)務(wù)中,業(yè)務(wù)是基于傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(Transmission Control Protocol/Internet Protocol,簡(jiǎn)稱(chēng)為 TCP/IP)的。傳統(tǒng)的業(yè)務(wù)識(shí)別方法是基于網(wǎng)絡(luò)層國(guó)際互聯(lián)網(wǎng)協(xié)議(Internet Protocol,簡(jiǎn)稱(chēng)為IP)的源地址����、目標(biāo)地址和協(xié)議類(lèi)型及傳輸層的源端口和目標(biāo)端口的組合來(lái)完成的��,包括傳輸控制協(xié)議(Transmission Control Protocol,簡(jiǎn)稱(chēng)為 TCP)或用戶(hù)數(shù)據(jù)包協(xié)議(User Datagram Protocol,簡(jiǎn)稱(chēng)為UDP)兩種�����。例如,會(huì)話中目的端口為80的TCP流可以認(rèn)為是超文本傳輸協(xié)議(HyperText Transfer Protocol,簡(jiǎn)稱(chēng)為HTTP),而目的端口為21的TCP流則可以認(rèn)為是文件傳輸協(xié)議(File Transfer Protocol�,簡(jiǎn)稱(chēng)為FTP);而傳統(tǒng)的DPI是在此基礎(chǔ)上進(jìn)行應(yīng)用層的字符串特征匹配,如果能夠匹配到某種協(xié)議的明文特征字符串����,則認(rèn)為該會(huì)話屬于某種業(yè)務(wù)。例如���,BT協(xié)議的握手報(bào)文中應(yīng)用層以字符串“0xl3BitTorrent protocol” 開(kāi)始。對(duì)于具有明確明文載荷特征的TCP或UDP報(bào)文,這種DPI有較高的識(shí)別率和準(zhǔn)確率�。
隨著互聯(lián)網(wǎng)的發(fā)展��,各種私有協(xié)議和加密協(xié)議不斷涌現(xiàn),完全基于字符串匹配的 DPI就很難識(shí)別出這些協(xié)議報(bào)文。但這些協(xié)議(特別是加密協(xié)議、點(diǎn)對(duì)點(diǎn)(Peer-To-Peer���, 簡(jiǎn)稱(chēng)為P2P類(lèi)的協(xié)議)通常應(yīng)用廣泛并占據(jù)了網(wǎng)絡(luò)中的大部分帶寬�,導(dǎo)致網(wǎng)絡(luò)擁塞,影響了其他用戶(hù)的正常業(yè)務(wù)��,例如��,HTTP����、郵件(MAIL)�、FTP等業(yè)務(wù)。因此,如果沒(méi)有較好的技術(shù)來(lái)識(shí)別并控制這些協(xié)議�,將會(huì)對(duì)網(wǎng)絡(luò)的健康發(fā)展造成巨大的危害。
以SKYPE協(xié)議為例�����,SKYPE是一種分布式網(wǎng)絡(luò)�����,SKYPE協(xié)議采用了先進(jìn)的P2P技術(shù)���、 數(shù)據(jù)加密技術(shù)和壓縮算法,保證任意兩個(gè)SKYPE用戶(hù)可以使用最小的寬帶來(lái)傳輸優(yōu)質(zhì)的語(yǔ)音數(shù)據(jù)��。SKYPE用戶(hù)在登陸或通信的過(guò)程中,并不直接登陸到SKYPE服務(wù)器上�,而是登陸到某個(gè)超級(jí)結(jié)點(diǎn)��,并通過(guò)超級(jí)結(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文從而完成與SKYPE服務(wù)器或其他SKEYP用戶(hù)之間的通信�。這種方式可以很容易穿透防火墻����,只要防火墻開(kāi)通了 80或443端口���,SKYPE用戶(hù)就可以穿透防火墻��,與防火墻外邊的用戶(hù)進(jìn)行通信����。但是����,如果要把80或443端口也給關(guān)閉了,那就會(huì)影響到網(wǎng)絡(luò)中其他合法用戶(hù)的正常上網(wǎng)。
現(xiàn)有的DPI技術(shù)中,除了對(duì)SKYPE極小的一部分?jǐn)?shù)據(jù)流可以直接分析出來(lái)外,絕大部分SKYPE會(huì)話都無(wú)法識(shí)別出來(lái)�����,而隨著網(wǎng)絡(luò)業(yè)務(wù)的高速發(fā)展����,運(yùn)營(yíng)商對(duì)DPI設(shè)備功能的要求也越來(lái)越高�。發(fā)明內(nèi)容
本發(fā)明提供一種基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法及裝置��,以解決現(xiàn)有技術(shù)中傳統(tǒng)的DPI技術(shù)無(wú)法識(shí)別非公有協(xié)議報(bào)文的問(wèn)題�。
本發(fā)明提供一種基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法��,包括
步驟1,接收業(yè)務(wù)報(bào)文,將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的會(huì)話記錄表中的會(huì)話記錄進(jìn)行匹配,如果會(huì)話信息與某一條會(huì)話記錄匹配成功,則從會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型,如果未能從會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�,則執(zhí)行步驟2,如果未匹配成功,則根據(jù)會(huì)話信息在會(huì)話記錄表中創(chuàng)建相應(yīng)的會(huì)話記錄�����,并執(zhí)行步驟2 ���;
步驟2�,將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配, 如果會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功,則從關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型��,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�����,如果匹配不成功���,則執(zhí)行步驟3 ;
步驟3�,對(duì)業(yè)務(wù)報(bào)文的會(huì)話信息進(jìn)行深層載荷分析,獲取業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型。
本發(fā)明還提供了一種基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別裝置�,包括
會(huì)話記錄匹配模塊�����,用于接收業(yè)務(wù)報(bào)文����,將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的會(huì)話記錄表中的會(huì)話記錄進(jìn)行匹配���,如果會(huì)話信息與某一條會(huì)話記錄匹配成功����,則從會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�����,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型,如果未能從會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,則調(diào)用關(guān)聯(lián)記錄匹配模塊��,如果未匹配成功���,則根據(jù)會(huì)話信息在會(huì)話記錄表中創(chuàng)建相應(yīng)的會(huì)話記錄,并調(diào)用關(guān)聯(lián)記錄匹配模塊�����;關(guān)聯(lián)記錄匹配模塊����,用于將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配����,如果會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功���,則從關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型��,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�����,如果匹配不成功,則調(diào)用深層載荷分析��;
深層載荷分析,用于對(duì)業(yè)務(wù)報(bào)文的會(huì)話信息進(jìn)行深層載荷分析,獲取業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�����。
本發(fā)明有益效果如下
通過(guò)將業(yè)務(wù)報(bào)文的會(huì)話信息與會(huì)話記錄表和關(guān)聯(lián)記錄表進(jìn)行匹配來(lái)快速識(shí)別報(bào)文的業(yè)務(wù)類(lèi)型,在匹配不成功的情況下再進(jìn)行載荷深度分析獲取業(yè)務(wù)類(lèi)型���,解決了現(xiàn)有技術(shù)中傳統(tǒng)的DPI技術(shù)無(wú)法識(shí)別非公有協(xié)議報(bào)文的問(wèn)題,能夠快速��、高效�、準(zhǔn)確地識(shí)別當(dāng)前會(huì)話的業(yè)務(wù) 類(lèi)型�����。
圖1是本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法的流程圖2是本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法的詳細(xì)處理的流程圖3是本發(fā)明實(shí)施例的載荷深層處理的流程圖4是本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別裝置的結(jié)構(gòu)示意圖�。
具體實(shí)施方式
為了解決現(xiàn)有技術(shù)中傳統(tǒng)的DPI技術(shù)無(wú)法識(shí)別非公有協(xié)議報(bào)文的問(wèn)題�����,本發(fā)明提供了一種基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法及裝置��,在本發(fā)明實(shí)施例的技術(shù)方案中,根據(jù)協(xié)議的業(yè)務(wù)流量模型��,在已經(jīng)識(shí)別的會(huì)話基礎(chǔ)上����,動(dòng)態(tài)設(shè)置會(huì)話記錄表���、以及一個(gè)或多個(gè)N 組的關(guān)聯(lián)器(即,關(guān)聯(lián)記錄表)�,當(dāng)該協(xié)議會(huì)話的后續(xù)報(bào)文再進(jìn)入到DPI系統(tǒng)時(shí),根據(jù)會(huì)話記錄表和N組關(guān)聯(lián)器的查詢(xún)結(jié)果,可以快速���、高效�、準(zhǔn)確地識(shí)別當(dāng)前會(huì)話的業(yè)務(wù)類(lèi)型���。也就是說(shuō),通過(guò)對(duì)非公有協(xié)議(私有協(xié)議及加密協(xié)議)極小一部分?jǐn)?shù)據(jù)流的識(shí)別和匹配,設(shè)置與用戶(hù)相關(guān)的會(huì)話記錄表,以及五元組關(guān)聯(lián)器����、四元組關(guān)聯(lián)器及三元組關(guān)聯(lián)器�����,可以在載荷沒(méi)有明文特征的情況下識(shí)別出非公有協(xié)議業(yè)務(wù)的會(huì)話����。以下結(jié)合附圖以及實(shí)施例�����,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明�。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明�,并不限定本發(fā)明。
方法實(shí)施例
根據(jù)本發(fā)明的實(shí)施例,提供了一種基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法���,圖1是本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法的流程圖,如圖1所示�,根據(jù)本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法包括如下處理
步驟101���,接收業(yè)務(wù)報(bào)文���,將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的會(huì)話記錄表中的會(huì)話記錄進(jìn)行匹配�����,如果會(huì)話信息與某一條會(huì)話記錄匹配成功����,則從會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�����,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�,如果未能從會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�,則執(zhí)行步驟102�����,如果未匹配成功,則根據(jù)會(huì)話信息在會(huì)話記錄表中創(chuàng)建相應(yīng)的會(huì)話記錄�����,并執(zhí)行步驟102 ;
其中�����,會(huì)話信息包括用戶(hù)網(wǎng)絡(luò)協(xié)議IP地址、用戶(hù)端口號(hào)����、網(wǎng)絡(luò)IP地址���、網(wǎng)絡(luò)端口號(hào)�、以及協(xié)議類(lèi)型��;會(huì)話記錄包括用戶(hù)IP地址�����、用戶(hù)端口號(hào)��、網(wǎng)絡(luò)IP地址、網(wǎng)絡(luò)端口號(hào)、以及協(xié)議類(lèi)型;
例如�����,當(dāng)用戶(hù)開(kāi)始進(jìn)行業(yè)務(wù)時(shí),DPI系統(tǒng)收到該項(xiàng)業(yè)務(wù)的業(yè)務(wù)初始會(huì)話報(bào)文Al,根據(jù)Al的五元組信息(上述會(huì)話信息)查詢(xún)會(huì)話記錄表,并根據(jù)查詢(xún)結(jié)果(開(kāi)始會(huì)話記錄表是可以沒(méi)有記錄的)創(chuàng)建該業(yè)務(wù)的會(huì)話記錄�����。
當(dāng)下一個(gè)業(yè)務(wù)報(bào)文A2到達(dá)時(shí)����,根據(jù)A2的五元組信息查詢(xún)會(huì)話記錄表�,根據(jù)查詢(xún)的結(jié)果可知當(dāng)前的業(yè)務(wù)類(lèi)型為A�。因?yàn)樵摃?huì)話已經(jīng)被識(shí)別,因此�,無(wú)需再查詢(xún)關(guān)聯(lián)器或進(jìn)行更深層次地分析�,直接將A作為該會(huì)話的業(yè)務(wù)結(jié)果返回�����。
步驟102�����,將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配�,如果會(huì)話信息與某一 條關(guān)聯(lián)記錄匹配成功,則從關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型���,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型���,如果匹配不成功�����,則執(zhí)行步驟103 ���;
其中,關(guān)聯(lián)記錄表包括五元組關(guān)聯(lián)記錄表���、四元組關(guān)聯(lián)記錄表、和/或三元組關(guān)聯(lián)記錄表����,其中���,五元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括用戶(hù)IP地址、用戶(hù)端口號(hào)���、網(wǎng)絡(luò)IP 地址、網(wǎng)絡(luò)端口號(hào)���、以及協(xié)議類(lèi)型�;四元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括用戶(hù)IP地址����、用戶(hù)端口號(hào)�、網(wǎng)絡(luò)IP地址�、以及協(xié)議類(lèi)型;三元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括用戶(hù)IP地址、用戶(hù)端口號(hào)、以及協(xié)議類(lèi)型。
在步驟102中����,如果會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功�,則從關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型之后,還需要包括將業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型插人保存到會(huì)話記錄表中�,并將業(yè)務(wù)類(lèi)型與相應(yīng)的會(huì)話記錄設(shè)置對(duì)應(yīng)關(guān)系����。
在步驟102中��,將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配具體包括將業(yè)務(wù)報(bào)文的會(huì)話信息依次與五元組關(guān)聯(lián)記錄表、四元組關(guān)聯(lián)記錄表和三元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配�,也就是說(shuō)����,首先對(duì)五元組關(guān)聯(lián)器查詢(xún)�����,如果能夠查詢(xún)成功,則以查詢(xún)到業(yè)務(wù)類(lèi)型作為當(dāng)前會(huì)話的業(yè)務(wù)類(lèi)型���;如果查詢(xún)不成功�,則繼續(xù)查詢(xún)四元組關(guān)聯(lián)器��,并按此方法查詢(xún)?nèi)M關(guān)聯(lián)器����;如果業(yè)務(wù)報(bào)文的會(huì)話信息與某一關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄匹配成功,則不再繼續(xù)與后續(xù)關(guān)聯(lián)記錄表進(jìn)行匹配��。
例如����,如果DPI系統(tǒng)并未能知曉當(dāng)前Al報(bào)文的業(yè)務(wù)類(lèi)型,因此需要查詢(xún)各種關(guān)聯(lián)器���。首先查詢(xún)五元組關(guān)聯(lián)器����,查詢(xún)不成功后����,再查詢(xún)四元組關(guān)聯(lián)器���,再查詢(xún)不成功則進(jìn)行三元組關(guān)聯(lián)器的查詢(xún)��;
步驟103��,對(duì)業(yè)務(wù)報(bào)文的會(huì)話信息進(jìn)行深層載荷分析����,獲取業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型。
執(zhí)行步驟103之后���,可以進(jìn)行如下處理
將業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到會(huì)話記錄表中����,并將業(yè)務(wù)類(lèi)型與相應(yīng)的會(huì)話記錄設(shè)置對(duì)應(yīng)關(guān)系。
根據(jù)業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型獲取該業(yè)務(wù)的網(wǎng)絡(luò)流量模型,并根據(jù)網(wǎng)·絡(luò)流量模型在關(guān)聯(lián)記錄表中創(chuàng)建相應(yīng)的關(guān)聯(lián)記錄���;將業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到關(guān)聯(lián)記錄表中,并將創(chuàng)建的關(guān)聯(lián)記錄與業(yè)務(wù)類(lèi)型設(shè)置對(duì)應(yīng)關(guān)系���。
舉例說(shuō)明����,當(dāng)前Al報(bào)文的業(yè)務(wù)類(lèi)型未知����,并對(duì)Al報(bào)文的載荷進(jìn)行更進(jìn)一步地深度分析和處理���,確定當(dāng)前Al報(bào)文被識(shí)別為業(yè)務(wù)類(lèi)型A����,已知該業(yè)務(wù)類(lèi)型為一種P2P業(yè)務(wù)�����,根據(jù)事先對(duì)該業(yè)務(wù)的分析可以得知該業(yè)務(wù)在運(yùn)行的過(guò)程中會(huì)發(fā)起大量具有如下特征的數(shù)據(jù)流1、流的創(chuàng)建都是在短時(shí)間內(nèi)完成����;2����、用戶(hù)端口和協(xié)議號(hào)與當(dāng)前會(huì)話的用戶(hù)端口和協(xié)議號(hào)保持一致或可以通過(guò)一定的規(guī)則轉(zhuǎn)換獲得。根據(jù)該業(yè)務(wù)的網(wǎng)絡(luò)流量模型可知應(yīng)該設(shè)置三元組關(guān)聯(lián)器�����,即將當(dāng)前會(huì)話的協(xié)議類(lèi)型、用戶(hù)地址和用戶(hù)端口作為一條記錄保存到三元組關(guān)聯(lián)器表中�。
當(dāng)該業(yè)務(wù)的一個(gè)新會(huì)話報(bào)文Al'到達(dá)時(shí)����,根據(jù)Al'的五元組信息查詢(xún)會(huì)話表��,根據(jù)查詢(xún)的結(jié)果可知需要?jiǎng)?chuàng)建該會(huì)話記錄。因會(huì)話尚未匹配,則首先查詢(xún)五元組關(guān)聯(lián)器,查詢(xún)失敗后�����,再查詢(xún)四元組關(guān)聯(lián)器,依然未能查詢(xún)到可以匹配的四元組關(guān)聯(lián)器記錄��;最后以當(dāng)前會(huì)話的協(xié)議類(lèi)型���、用戶(hù)IP地址和用戶(hù)端口號(hào)查詢(xún)?nèi)M關(guān)聯(lián)器�,查詢(xún)到滿(mǎn)足條件的記錄, 根據(jù)三元組關(guān)聯(lián)器的信息可知當(dāng)前報(bào)文Al'所在的會(huì)話對(duì)應(yīng)業(yè)務(wù)類(lèi)型A。根據(jù)查詢(xún)結(jié)果, 首先將當(dāng)前業(yè)務(wù)類(lèi)型保存到會(huì)話記錄表中,以后該會(huì)話后續(xù)報(bào)文到達(dá)時(shí)可快速地匹配���;最后將當(dāng)前匹配結(jié)果返回���,不再進(jìn)行更深層載荷分析和處理�。
在本發(fā)明實(shí)施例中����,會(huì)話記錄和N元組關(guān)聯(lián)器的關(guān)聯(lián)記錄都是有生存期的��,不能永遠(yuǎn)存在記錄表中�����,否則記錄表就會(huì)很快被插滿(mǎn),從而影響到后續(xù)業(yè)務(wù)報(bào)文的識(shí)別。因此記錄表中的數(shù)據(jù)就需要老化����,數(shù)據(jù)既不能老化太快���,也不能老化太慢���,太快就會(huì)導(dǎo)致后續(xù)的報(bào)文查詢(xún)之前的匹配結(jié)果不成功,影響到報(bào)文的識(shí)別����;太慢會(huì)導(dǎo)致記錄表會(huì)被插滿(mǎn),從而影響到新會(huì)話的識(shí)別和關(guān)聯(lián)器的設(shè)置���。為了解決上述問(wèn)題����,需要對(duì)會(huì)話記錄和各種關(guān)聯(lián)器記錄進(jìn)行老化,具體進(jìn)行如下處理1、在與會(huì)話記錄表中的會(huì)話記錄匹配成功或與關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄匹配成功的情況下��,更新會(huì)話記錄或關(guān)聯(lián)記錄的最后訪問(wèn)時(shí)間���;也就是說(shuō)���,當(dāng)會(huì)話記錄查詢(xún)成功或關(guān)聯(lián)器查詢(xún)成功后,需要更新當(dāng)前查詢(xún)匹配成功記錄的時(shí)間戳值�����;2����、 以預(yù)訂周期掃描會(huì)話記錄表和關(guān)聯(lián)記錄表;3��、獲取會(huì)話記錄表中各條會(huì)話記錄以及關(guān)聯(lián)記錄表中各條關(guān)聯(lián)記錄的最后訪問(wèn)時(shí)間����,分別將最后訪問(wèn)時(shí)間與當(dāng)前時(shí)間進(jìn)行比較���,判斷是否超過(guò)老化時(shí)長(zhǎng)����,如果超時(shí)�,則將相應(yīng)的會(huì)話記錄或關(guān)聯(lián)記錄刪除����。其中��,上述各種參數(shù)����,例如老化時(shí)長(zhǎng)���、掃描周期等都可以根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)調(diào)整�����。
此外���,需要說(shuō)明的是��,在本發(fā)明實(shí)施例中�,會(huì)話記錄表的容量及各個(gè)關(guān)聯(lián)記錄表 (關(guān)聯(lián)器)的容量可以根據(jù)實(shí)際情況進(jìn)行調(diào)整。
本發(fā)明實(shí)施例的技術(shù)方案為了對(duì)一些私有協(xié)議或加密協(xié)議(例如����,P2P類(lèi)協(xié)議)進(jìn)行識(shí)別�����,引入了關(guān)聯(lián)器的概念�。在DPI識(shí)別過(guò)程中�,根據(jù)對(duì)會(huì)話現(xiàn)有部分會(huì)話的分析和處理����,得出當(dāng)前會(huì)話屬于某一種業(yè)務(wù),再根據(jù)這種業(yè)務(wù)的網(wǎng)絡(luò)業(yè)務(wù)流量模型�,設(shè)置一個(gè)或多個(gè) N元組關(guān)聯(lián)器,當(dāng)業(yè)務(wù)后續(xù)的報(bào)文達(dá)到時(shí),直接查詢(xún)關(guān)聯(lián)器匹配,而無(wú)需再進(jìn)行深層的載荷分析。與現(xiàn)有技術(shù)相比����,本發(fā)明實(shí)施例的技術(shù)方案分析了在DPI識(shí)別過(guò)程中�����,用戶(hù)在實(shí)際業(yè)務(wù)使用當(dāng)中可能發(fā)生的各種情況。無(wú)論業(yè)務(wù)如何演變����,技術(shù)如何發(fā)展,基于網(wǎng)絡(luò)業(yè)務(wù)流量模型的DPI系統(tǒng)總能根據(jù)現(xiàn)有的識(shí)別技術(shù)在識(shí)別出業(yè)務(wù)的部分流量后�,根據(jù)業(yè)務(wù)流量模型的原理識(shí)別出該業(yè)務(wù)的后續(xù)會(huì)話���。
以下結(jié)合附圖�����,對(duì)本發(fā)明實(shí)施例的上述技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。
圖2是本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法的詳細(xì)處理的流程圖, 如圖2所示,包括如下處理
步驟201���,收到報(bào)文后�����,根據(jù)當(dāng)前報(bào)文的五元組信息在會(huì)話記錄表中查詢(xún)��;其中, 用戶(hù)地址是需要根據(jù)報(bào)文的上下行來(lái)確定如果當(dāng)前報(bào)文是上行報(bào)文時(shí)����,則IP報(bào)文中的源 IP地址為用戶(hù)地址�,否則目的地址為用戶(hù)地址����。如果當(dāng)前報(bào)文所在的會(huì)話并不存在于會(huì)話記錄表中���,則根據(jù)當(dāng)前五元組信息創(chuàng)建該會(huì)話記錄��,該會(huì)話記錄包括用戶(hù)IP地址��、網(wǎng)絡(luò)IP 地址����、用戶(hù)端口號(hào)���、網(wǎng)絡(luò)端口號(hào)和協(xié)議類(lèi)型�;
步驟201��,判斷當(dāng)前報(bào)文會(huì)話識(shí)別情況,如果當(dāng)前會(huì)話在此之前已經(jīng)被識(shí)別����,則執(zhí)行步驟207 ;否則需要作進(jìn)一步地分析��,執(zhí)行步驟203 ;
步驟203��,根據(jù)當(dāng)前會(huì)話的五元組信息查詢(xún)五元組關(guān)聯(lián)器���,如果查詢(xún)成功�,則以查詢(xún)到的業(yè)務(wù)ID作為當(dāng)前會(huì)話的識(shí)別結(jié)果,并執(zhí)行步驟206 ;否則繼續(xù)執(zhí)行步驟204 ���;
步驟204,根據(jù)當(dāng)前會(huì)話的四元組信息查詢(xún)四元組關(guān)聯(lián)器����,包括用戶(hù)IP地址、用戶(hù)端口號(hào)�、網(wǎng)絡(luò)IP地址及協(xié)議類(lèi)型。如果查詢(xún)成功�,則以查詢(xún)到的業(yè)務(wù)ID作為當(dāng)前會(huì)話的識(shí)別結(jié)果�����,并執(zhí)行步驟206 ;否則繼續(xù)執(zhí)行步驟205 ��;
步驟205,根據(jù)當(dāng)前會(huì)話的三元組信息查詢(xún)?nèi)M關(guān)聯(lián)器�,包括用戶(hù)IP地址����、用戶(hù)端口號(hào)���、協(xié)議類(lèi)型。如果查 詢(xún)成功�,則以查詢(xún)到的業(yè)務(wù)ID作為當(dāng)前會(huì)話的識(shí)別結(jié)果���,并執(zhí)行步驟206 ;否則繼續(xù)執(zhí)行步驟208 �;
步驟206�����,根據(jù)當(dāng)前N(N為3���、4��、5)組關(guān)聯(lián)器的查詢(xún)結(jié)果���,設(shè)置當(dāng)前會(huì)話的業(yè)務(wù)類(lèi)型��,以便進(jìn)行后續(xù)會(huì)話的處理��;
步驟207,根據(jù)當(dāng)前會(huì)話的識(shí)別結(jié)果���,設(shè)置DPI的返回結(jié)果�,以便DPI調(diào)用者使用����;
步驟208��,將當(dāng)前報(bào)文進(jìn)行更深層載荷分析和處理�����,分析當(dāng)前報(bào)文七層的載荷內(nèi)容,確定當(dāng)前會(huì)話所屬的業(yè)務(wù)類(lèi)型;處理完畢后執(zhí)行步驟209 �;
步驟209��,將當(dāng)前報(bào)文的DPI識(shí)別結(jié)果返回�。
圖3是本發(fā)明實(shí)施例的載荷深層處理的流程圖��,主要是完成報(bào)文載荷的識(shí)別���,根據(jù)報(bào)文載荷內(nèi)容判斷當(dāng)前報(bào)文是由何種業(yè)務(wù)所產(chǎn)生���,并根據(jù)當(dāng)前業(yè)務(wù)的網(wǎng)絡(luò)業(yè)務(wù)流量模型設(shè)置一個(gè)或多個(gè)N元組關(guān)聯(lián)器。具體包括如下步驟
步驟301,進(jìn)行報(bào)文七層載荷分析,例如�,協(xié)議特征的匹配,需要說(shuō)明的是,在此步驟中,有可能是單個(gè)報(bào)文匹配,也有可能是多個(gè)報(bào)文在一起共同完成協(xié)議特征的匹配�����;
步驟302,根據(jù)當(dāng)前載荷的深度分析后�����,判斷當(dāng)前會(huì)話是否匹配成功��。如果未能匹配成功,則執(zhí)行步驟309 ;
步驟303,根據(jù)當(dāng)前識(shí)別業(yè)務(wù)類(lèi)型的網(wǎng)絡(luò)業(yè)務(wù)流量模型特征����,判斷當(dāng)前會(huì)話是否需要設(shè)置五元組關(guān)聯(lián)器���。通常五元組關(guān)聯(lián)器的設(shè)置需要在DPI系統(tǒng)正常啟動(dòng)時(shí)配置完成�����。例如���,實(shí)時(shí)流傳輸協(xié)議(Real Time Streaming Protocol,簡(jiǎn)稱(chēng)為RTSP)控制面協(xié)商媒體面會(huì)話后�,需要設(shè)置實(shí)時(shí)傳送協(xié)議(Real-time Transport Protocol,簡(jiǎn)稱(chēng)為RTP)�����、RTP控制協(xié)議(RTP Control Protocol����,簡(jiǎn)稱(chēng)為RTCP)或RDT的五元組關(guān)聯(lián)器���。如果需要設(shè)置五元組關(guān)聯(lián)器則執(zhí)行步驟306�,否則執(zhí)行步驟304 �;
步驟304�����,根據(jù)當(dāng)前識(shí)別業(yè)務(wù)類(lèi)型的網(wǎng)絡(luò)業(yè)務(wù)流量模型特征,判斷當(dāng)前會(huì)話是否需要設(shè)置四元組關(guān)聯(lián)器�����。通常四元組關(guān)聯(lián)器的設(shè)置需要在DPI系統(tǒng)正常啟動(dòng)時(shí)配置完成���。例如�,文件傳輸協(xié)議(File Transfer Protocol��,簡(jiǎn)稱(chēng)為FTP)控制面協(xié)商媒體面會(huì)話后,需要設(shè)置FTP數(shù)據(jù)(DATA)的四元組關(guān)聯(lián)器。如果需要設(shè)置四元組關(guān)聯(lián)器則執(zhí)行步驟307,否則執(zhí)行步驟305 ;
步驟305�����,根據(jù)當(dāng)前識(shí)別業(yè)務(wù)類(lèi)型的網(wǎng)絡(luò)業(yè)務(wù)流量模型特征,判斷當(dāng)前會(huì)話是否需要設(shè)置三元組關(guān)聯(lián)器。通常三元組關(guān)聯(lián)器的設(shè)置需要在DPI系統(tǒng)正常啟動(dòng)時(shí)配置完成。例如�,點(diǎn)對(duì)點(diǎn)(Point to Point,簡(jiǎn)稱(chēng)為P2P)類(lèi)的SKYPE協(xié)議���,該協(xié)議在登陸過(guò)程中會(huì)發(fā)起數(shù)十個(gè)甚至上百個(gè)網(wǎng)絡(luò)連接���,這些網(wǎng)絡(luò)連接的共同點(diǎn)是用戶(hù)端的端口號(hào)��、協(xié)議類(lèi)型相同��,網(wǎng)絡(luò) IP地址和網(wǎng)絡(luò)端口號(hào)不同,而用戶(hù)端的端口號(hào)可以通過(guò)識(shí)別SKYPE會(huì)話的某一個(gè)流得出�����。 因此�,DPI系統(tǒng)在識(shí)別出該會(huì)話后設(shè)置一個(gè)三元組關(guān)聯(lián)器,從而達(dá)到將其他SKYPE會(huì)話匹配的目的�。如果需要設(shè)置三元組關(guān)聯(lián)器則執(zhí)行步驟308��,否則執(zhí)行步驟309 �����;
步驟306�,提取需要設(shè)置五元組關(guān)聯(lián)器的信息�,信息來(lái)源不局限于當(dāng)前會(huì)話的五元組信息,可能來(lái)源于當(dāng)前報(bào)文載荷中的數(shù)據(jù)等����,需要根據(jù)協(xié)議具體分析。設(shè)置完成后,執(zhí)行步驟304 ����;
步驟307��,提取需要設(shè)置四元組關(guān)聯(lián)器的信息�����,信息來(lái)源不局限于當(dāng)前會(huì)話的五元組信息����,可能來(lái)源于當(dāng)前報(bào)文載荷中的數(shù)據(jù)等����,需要根據(jù)協(xié)議具體分析。設(shè)置完成后����,執(zhí)行步驟305 �����;
步驟308���,提取需要設(shè)置三元組關(guān)聯(lián)器的信息�,信息來(lái)源不局限于當(dāng)前會(huì)話的五元組信息,可能來(lái)源于當(dāng)前報(bào)文載荷中的數(shù)據(jù)等�,需要根據(jù)協(xié)議具體分析�����。設(shè)置完成后����,執(zhí)行步驟309 �����;
步驟309�����,將當(dāng)前報(bào)文的DPI識(shí)別結(jié)果返回����。
借助于本發(fā)明實(shí)施例的技術(shù)方案�����,通過(guò)引入關(guān)聯(lián)器的概念�����,在識(shí)別出業(yè)務(wù)的部分會(huì)話后�����,根據(jù)當(dāng)前識(shí)別協(xié)議的網(wǎng)絡(luò)業(yè)務(wù)流量模型�,設(shè)置一種或多種N元組關(guān)聯(lián)器����,可以快速���、高效及準(zhǔn)確地匹配出該業(yè)務(wù)的后續(xù)會(huì)話�。特別是對(duì)一些私有協(xié)議及加密的協(xié)議效果明顯。
裝置實(shí)施例
根據(jù)本發(fā)明的實(shí)施例�����,提供了一種基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別裝置����,圖4是本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別裝置的結(jié)構(gòu)示意圖�,如圖4所示���,根據(jù)本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別裝置包括會(huì)話記錄匹配模塊40、關(guān)聯(lián)記錄匹配模塊42、 以及深層載荷分析模塊44�����,以下對(duì)本發(fā)明實(shí)施例的各個(gè)模塊進(jìn)行詳細(xì)的說(shuō)明����。
會(huì)話記錄匹配模塊40�����,用于接收業(yè)務(wù)報(bào)文����,將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的會(huì)話記錄表中的會(huì)話記錄進(jìn)行匹配��,如果會(huì)話信息與某一條會(huì)話記錄匹配成功����,則從會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�,如果未能從所述會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�,則調(diào)用關(guān)聯(lián)記錄匹配模塊42,如果未匹配成功���,則根據(jù)會(huì)話信息在會(huì)話記錄表中創(chuàng)建相應(yīng)的會(huì)話記錄��,并調(diào)用關(guān)聯(lián)記錄匹配模塊42 ;
其中,會(huì)話信息包括用戶(hù)網(wǎng)絡(luò)協(xié)議IP地址�、用戶(hù)端口號(hào)����、網(wǎng)絡(luò)IP地址���、網(wǎng)絡(luò)端口號(hào)�����、以及協(xié)議類(lèi)型;會(huì)話記錄包括用戶(hù)IP地址�、用戶(hù)端口號(hào)、網(wǎng)絡(luò)IP地址、網(wǎng)絡(luò)端口號(hào)���、以及協(xié)議類(lèi)型�;
例如����,當(dāng)用戶(hù)開(kāi)始進(jìn)行業(yè)務(wù)時(shí),會(huì)話記錄匹配模塊40收到該項(xiàng)業(yè)務(wù)的業(yè)務(wù)初始會(huì)話報(bào)文Al����,根據(jù)Al的五元組信息(上述會(huì)話信息)查詢(xún)會(huì)話記錄表��,并根據(jù)查詢(xún)結(jié)果(開(kāi)始會(huì)話記錄表是可以沒(méi)有記錄的)創(chuàng)建該業(yè)務(wù)的會(huì)話記錄�。
當(dāng)下一個(gè)業(yè)務(wù)報(bào)文A2到達(dá)時(shí)�,會(huì)話記錄匹配模塊40根據(jù)A2的五元組信息查詢(xún)會(huì)話記錄表���,根據(jù)查詢(xún)的結(jié)果可知當(dāng)前的業(yè)務(wù)類(lèi)型為A。因?yàn)樵摃?huì)話已經(jīng)被識(shí)別,因此,無(wú)需再查詢(xún)關(guān)聯(lián)器或進(jìn)行更深層次地分析�����,直接將A作為該會(huì)話的業(yè)務(wù)結(jié)果返回�����。
關(guān)聯(lián)記錄匹配模塊42����,用于將業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配�,如果會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功����,則從關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型���,作為業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型���,如果匹配不成功,則調(diào)用深層載荷分析模塊44 ;
其中,關(guān)聯(lián)記錄表包括五元組關(guān)聯(lián)記錄表���、四元組關(guān)聯(lián)記錄表��、和/或三元組關(guān)聯(lián)記錄表,其中�,五元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括用戶(hù)IP地址�、用戶(hù)端口號(hào)、網(wǎng)絡(luò)IP 地址、網(wǎng)絡(luò)端口號(hào)���、以及協(xié)議類(lèi)型�;四元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括用戶(hù)IP地址��、用戶(hù)端口號(hào)���、網(wǎng)絡(luò)IP地址��、以及協(xié)議類(lèi)型;三元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括用戶(hù)IP地址�、用戶(hù)端口號(hào)、以及協(xié)議類(lèi)型�����。
關(guān)聯(lián)記錄匹配模塊42進(jìn)一步用于在會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功的情況下���,將業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到會(huì)話記錄表中���,并將業(yè)務(wù)類(lèi)型與相應(yīng)的會(huì)話記錄設(shè)置對(duì)應(yīng)關(guān)系;
關(guān)聯(lián)記錄匹配模塊42具體用于將業(yè)務(wù)報(bào)文的會(huì)話信息依次與五元組關(guān)聯(lián)記錄表��、四元組關(guān)聯(lián)記錄表、和三元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配����,也就是說(shuō)��,首先對(duì)五元組關(guān)聯(lián)器查詢(xún)����,如果能夠查詢(xún)成功���,則以查詢(xún)到業(yè)務(wù)類(lèi)型作為當(dāng)前會(huì)話的業(yè)務(wù)類(lèi)型�����;如果查詢(xún)不成功,則繼續(xù)查詢(xún)四元組關(guān)聯(lián)器,并按此方法查詢(xún)?nèi)M關(guān)聯(lián)器���;如果業(yè)務(wù)報(bào)文的會(huì)話信息與某一關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄匹配成功,則不再繼續(xù)與后續(xù)關(guān)聯(lián)記錄表進(jìn)行匹配����。
例如,如果并未能知曉當(dāng)前Al報(bào)文的業(yè)務(wù)類(lèi)型,因此關(guān)聯(lián)記錄匹配模塊42需要查詢(xún)各種關(guān)聯(lián)器�����。首先查詢(xún)五元組關(guān)聯(lián)器,查詢(xún)不成功后��,再查詢(xún)四元組關(guān)聯(lián)器����,再查詢(xún)不成功則進(jìn)行三元組關(guān)聯(lián)器的查詢(xún)����;
深層載荷分析模塊44,用于對(duì)業(yè)務(wù)報(bào)文的會(huì)話信息進(jìn)行深層載荷分析,獲取業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�。
深層載荷分析模塊44進(jìn)一步用于在獲取業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型之后��,將業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型插人保存到會(huì)話記錄表中��,并將業(yè)務(wù)類(lèi)型與相應(yīng)的會(huì)話記錄設(shè)置對(duì)應(yīng)關(guān)系�����;根據(jù)業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型獲取該業(yè)務(wù)的網(wǎng)絡(luò)流量模型�,并根據(jù)網(wǎng)絡(luò)流量模型在關(guān)聯(lián)記錄表中創(chuàng)建相應(yīng)的關(guān)聯(lián)記錄;將業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到關(guān)聯(lián)記錄表中,并將創(chuàng)建的關(guān)聯(lián)記錄與業(yè)務(wù)類(lèi)型設(shè)置對(duì)應(yīng)關(guān)系����。
舉例說(shuō)明,當(dāng)前Al報(bào)文的業(yè)務(wù)類(lèi)型未知,并對(duì)Al報(bào)文的載荷進(jìn)行更進(jìn)一步地深度分析和處理,確定當(dāng)前Al報(bào)文被識(shí)別為業(yè)務(wù)類(lèi)型A,已知該業(yè)務(wù)類(lèi)型為一種P2P業(yè)務(wù),根據(jù)事先對(duì)該業(yè)務(wù)的分析可以得知該業(yè)務(wù)在運(yùn)行的過(guò)程中會(huì)發(fā)起大量具有如下特征的數(shù)據(jù)流1、流的創(chuàng)建都是在短時(shí)間內(nèi)完成����;2�����、用戶(hù)端口和協(xié)議號(hào)與當(dāng)前會(huì)話的用戶(hù)端口和協(xié)議號(hào)保持一致或可以通過(guò)一定的規(guī)則轉(zhuǎn)換獲得。根據(jù)該業(yè)務(wù)的網(wǎng)絡(luò)流量模型可知應(yīng)該設(shè)置三元組關(guān)聯(lián)器,即將當(dāng)前會(huì)話的協(xié)議類(lèi)型、用戶(hù)地址和用戶(hù)端口作為一條記錄保存到三元組關(guān)聯(lián)器表中。
當(dāng)該業(yè)務(wù)的一個(gè)新會(huì)話報(bào)文Al'到達(dá)時(shí)�����,根據(jù)Al'的五元組信息查詢(xún)會(huì)話表,根據(jù)查詢(xún)的結(jié)果可知需要?jiǎng)?chuàng)建該會(huì)話記錄��。因會(huì)話尚未匹配,則首先查詢(xún)五元組關(guān)聯(lián)器�����,查詢(xún)失敗后��,再查詢(xún)四元組關(guān)聯(lián)器��,依然未能查詢(xún)到可以匹配的四元組關(guān)聯(lián)器記錄;最后以當(dāng)前會(huì)話的協(xié)議類(lèi)型、用戶(hù)IP地址和用戶(hù)端口號(hào)查詢(xún)?nèi)M關(guān)聯(lián)器����,查詢(xún)到滿(mǎn)足條件的記錄�, 根據(jù)三元組關(guān)聯(lián)器的信息可知當(dāng)前報(bào)文Al'所在的會(huì)話對(duì)應(yīng)業(yè)務(wù)類(lèi)型A。根據(jù)查詢(xún)結(jié)果, 首先將當(dāng)前業(yè)務(wù)類(lèi)型保存到會(huì)話記錄表中,以后該會(huì)話后續(xù)報(bào)文到達(dá)時(shí)可快速地匹配�����;最后將當(dāng)前匹配結(jié)果返回,不再進(jìn)行更深層載荷分析和處理�。
在本發(fā)明實(shí)施 例中��,會(huì)話記錄和N元組關(guān)聯(lián)器的關(guān)聯(lián)記錄都是有生存期的�,不能永遠(yuǎn)存在記錄表中���,否則記錄表就會(huì)很快被插滿(mǎn)����,從而影響到后續(xù)業(yè)務(wù)報(bào)文的識(shí)別。因此記錄表中的數(shù)據(jù)就需要老化,數(shù)據(jù)既不能老化太快�,也不能老化太慢�����,太快就會(huì)導(dǎo)致后續(xù)的報(bào)文查詢(xún)之前的匹配結(jié)果不成功����,影響到報(bào)文的識(shí)別;太慢會(huì)導(dǎo)致記錄表會(huì)被插滿(mǎn)���,從而影響到新會(huì)話的識(shí)別和關(guān)聯(lián)器的設(shè)置。為了解決上述問(wèn)題���,需要對(duì)會(huì)話記錄和各種關(guān)聯(lián)器記錄進(jìn)行老化�,上述裝置還包括
老化刪除模塊���,用于在會(huì)話記錄匹配模塊40匹配成功或與關(guān)聯(lián)記錄匹配模塊42 匹配成功的情況下�����,更新相應(yīng)的會(huì)話記錄或相應(yīng)的關(guān)聯(lián)記錄的最后訪問(wèn)時(shí)間�����;也就是說(shuō),當(dāng)會(huì)話記錄查詢(xún)成功或關(guān)聯(lián)器查詢(xún)成功后,需要更新當(dāng)前查詢(xún)匹配成功記錄的時(shí)間戳值����;以預(yù)訂周期掃描會(huì)話記錄表和關(guān)聯(lián)記錄表;獲取會(huì)話記錄表中各條會(huì)話記錄以及關(guān)聯(lián)記錄表中各條關(guān)聯(lián)記錄的最后訪問(wèn)時(shí)間�����,分別將最后訪問(wèn)時(shí)間與當(dāng)前時(shí)間進(jìn)行比較�,判斷是否超過(guò)老化時(shí)長(zhǎng)�����,如果超時(shí),則將相應(yīng)的會(huì)話記錄或關(guān)聯(lián)記錄刪除。其中�,上述各種參數(shù)���,例如老化時(shí)長(zhǎng)����、掃描周期等都可以根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)調(diào)整�。
此外����,需要說(shuō)明的是����,在本發(fā)明實(shí)施例中���,會(huì)話記錄表的容量及各個(gè)關(guān)聯(lián)記錄表 (關(guān)聯(lián)器)的容量可以根據(jù)實(shí)際情況進(jìn)行調(diào)整。
本發(fā)明實(shí)施例的技術(shù)方案為了對(duì)一些私有協(xié)議或加密協(xié)議(例如,P2P類(lèi)協(xié)議) 進(jìn)行識(shí)別,引入了關(guān)聯(lián)器的概念��。在DPI識(shí)別過(guò)程中����,根據(jù)對(duì)會(huì)話現(xiàn)有部分會(huì)話的分析和處理,得出當(dāng)前會(huì)話屬于某一種業(yè)務(wù)��,再根據(jù)這種業(yè)務(wù)的網(wǎng)絡(luò)業(yè)務(wù)流量模型,設(shè)置一個(gè)或多個(gè) N元組關(guān)聯(lián)器�,當(dāng)業(yè)務(wù)后續(xù)的報(bào)文達(dá)到時(shí)��,直接查詢(xún)關(guān)聯(lián)器匹配�����,而無(wú)需再進(jìn)行深層的載荷分析��。與現(xiàn)有技術(shù)相比���,本發(fā)明實(shí)施例的技術(shù)方案分析了在DPI識(shí)別過(guò)程中��,用戶(hù)在實(shí)際業(yè)務(wù)使用當(dāng)中可能發(fā)生的各種情況。無(wú)論業(yè)務(wù)如何演變��,技術(shù)如何發(fā)展,基于網(wǎng)絡(luò)業(yè)務(wù)流量模型的DPI系統(tǒng)總能根據(jù)現(xiàn)有的識(shí)別技術(shù)在識(shí)別出業(yè)務(wù)的部分流量后�,根據(jù)業(yè)務(wù)流量模型的原理識(shí)別出該業(yè)務(wù)的后續(xù)會(huì)話��。
以下結(jié)合附圖,對(duì)本發(fā)明實(shí)施例的上述技術(shù)方案進(jìn)行詳細(xì)說(shuō)明����。
圖2是本發(fā)明實(shí)施例的基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法的詳細(xì)處理的流程圖�����, 如圖2所示,包括如下處理
步驟201,收到報(bào)文后���,根據(jù)當(dāng)前報(bào)文的五元組信息在會(huì)話記錄表中查詢(xún);其中����, 用戶(hù)地址是需要根據(jù)報(bào)文的上下行來(lái)確定如果當(dāng)前報(bào)文是上行報(bào)文時(shí)��,則IP報(bào)文中的源 IP地址為用戶(hù)地址���,否則目的地址為用戶(hù)地址�����。如果當(dāng)前報(bào)文所在的會(huì)話并不存在于會(huì)話記錄表中��,則根據(jù)當(dāng)前五元組信息創(chuàng)建該會(huì)話記錄����,該會(huì)話記錄包括用戶(hù)IP地址�、網(wǎng)絡(luò)IP 地址��、用戶(hù)端口號(hào)、網(wǎng)絡(luò)端口號(hào)和協(xié)議類(lèi)型����;
步驟202,判斷當(dāng)前報(bào)文會(huì)話識(shí)別情況,如果當(dāng)前會(huì)話在此之前已經(jīng)被識(shí)別�����,則執(zhí)行步驟207 ;否則需要作進(jìn)一步地分析,執(zhí)行步驟203 �;
步驟203,根據(jù)當(dāng)前會(huì)話的五元組信息查詢(xún)五元組關(guān)聯(lián)器����,如果查詢(xún)成功,則以查詢(xún)到的業(yè)務(wù)ID作為當(dāng)前會(huì)話的識(shí)別結(jié)果,并執(zhí)行步驟206 ;否則繼續(xù)執(zhí)行步驟204 ;
步驟204�����,根據(jù)當(dāng)前會(huì)話的四元組信息查詢(xún)四元組關(guān)聯(lián)器���,包括用戶(hù)IP地址����、用戶(hù)端口號(hào)、網(wǎng)絡(luò)IP地址及協(xié)議類(lèi)型。如果查詢(xún)成功��,則以查詢(xún)到的業(yè)務(wù)ID作為當(dāng)前會(huì)話的識(shí)別結(jié)果�����,并執(zhí)行步驟206 ;否則繼續(xù)執(zhí)行步驟205 �;
步驟205,根據(jù)當(dāng)前會(huì)話的三元組信息查詢(xún)?nèi)M關(guān)聯(lián)器��,包括用戶(hù)IP地址、用戶(hù)端口號(hào)����、協(xié)議類(lèi)型��。如果查詢(xún)成功���,則以查詢(xún)到的業(yè)務(wù)ID作為當(dāng)前會(huì)話的識(shí)別結(jié)果�,并執(zhí)行步驟206 ;否則繼續(xù)執(zhí)行步驟208 ;
步驟206���,根據(jù)當(dāng)前N(N為3、4、5)組關(guān)聯(lián)器的查詢(xún)結(jié)果�,設(shè)置當(dāng)前會(huì)話的業(yè)務(wù)類(lèi)型���,以便進(jìn)行后續(xù)會(huì)話的處理��;
步驟207��,根據(jù)當(dāng)前會(huì)話的識(shí)別結(jié)果��,設(shè)置DPI的返回結(jié)果����,以便DPI調(diào)用者使用����;
步驟208��,將當(dāng)前報(bào)文進(jìn)行更深層載荷分析和處理,分析當(dāng)前報(bào)文七層的載荷內(nèi)容����,確定當(dāng)前會(huì)話所屬的業(yè)務(wù)類(lèi)型����;處理完畢后執(zhí)行步驟209 �����;
步驟209����,將當(dāng)前報(bào)文的DPI識(shí)別結(jié)果返回。
圖3是本發(fā)明實(shí)施例的載荷深層處理的流程圖��,主要是完成報(bào)文載荷的識(shí)別�����,根據(jù)報(bào)文載荷內(nèi)容判斷當(dāng)前報(bào)文是由 何種業(yè)務(wù)所產(chǎn)生��,并根據(jù)當(dāng)前業(yè)務(wù)的網(wǎng)絡(luò)業(yè)務(wù)流量模型設(shè)置一個(gè)或多個(gè)N元組關(guān)聯(lián)器。具體包括如下步驟
步驟301�����,進(jìn)行報(bào)文七層載荷分析��,例如���,協(xié)議特征的匹配��,需要說(shuō)明的是,在此步驟中�����,有可能是單個(gè)報(bào)文匹配�����,也有可能是多個(gè)報(bào)文在一起共同完成協(xié)議特征的匹配�;
步驟302,根據(jù)當(dāng)前載荷的深度分析后����,判斷當(dāng)前會(huì)話是否匹配成功��。如果未能匹配成功�����,則執(zhí)行步驟309 ���;
步驟303,根據(jù)當(dāng)前識(shí)別業(yè)務(wù)類(lèi)型的網(wǎng)絡(luò)業(yè)務(wù)流量模型特征�,判斷當(dāng)前會(huì)話是否需要設(shè)置五元組關(guān)聯(lián)器�����。通常五元組關(guān)聯(lián)器的設(shè)置需要在DPI系統(tǒng)正常啟動(dòng)時(shí)配置完成�����。例如�����,實(shí)時(shí)流傳輸協(xié)議(Real Time Streaming Protocol,簡(jiǎn)稱(chēng)為RTSP)控制面協(xié)商媒體面會(huì)話后����,需要設(shè)置實(shí)時(shí)傳送協(xié)議(Real-time Transport Protocol,簡(jiǎn)稱(chēng)為RTP)��、RTP控制協(xié)議(RTP Control Protocol���,簡(jiǎn)稱(chēng)為RTCP)或RDT的五元組關(guān)聯(lián)器��。如果需要設(shè)置五元組關(guān)聯(lián)器則執(zhí)行步驟306��,否則執(zhí)行步驟304 ;
步驟304,根據(jù)當(dāng)前識(shí)別業(yè)務(wù)類(lèi)型的網(wǎng)絡(luò)業(yè)務(wù)流量模型特征,判斷當(dāng)前會(huì)話是否需要設(shè)置四元組關(guān)聯(lián)器��。通常四元組關(guān)聯(lián)器的設(shè)置需要在DPI系統(tǒng)正常啟動(dòng)時(shí)配置完成。例如��,文件傳輸協(xié)議(File Transfer Protocol,簡(jiǎn)稱(chēng)為FTP)控制面協(xié)商媒體面會(huì)話后,需要設(shè)置FTP數(shù)據(jù)(DATA)的四元組關(guān)聯(lián)器。如果需要設(shè)置四元組關(guān)聯(lián)器則執(zhí)行步驟307�����,否則執(zhí)行步驟305 ;
步驟305�,根據(jù)當(dāng)前識(shí)別業(yè)務(wù)類(lèi)型的網(wǎng)絡(luò)業(yè)務(wù)流量模型特征�,判斷當(dāng)前會(huì)話是否需要設(shè)置三元組關(guān)聯(lián)器。通常三元組關(guān)聯(lián)器的設(shè)置需要在DPI系統(tǒng)正常啟動(dòng)時(shí)配置完成。例如�,點(diǎn)對(duì)點(diǎn)(Point to Point,簡(jiǎn)稱(chēng)為P2P)類(lèi)的SKYPE協(xié)議���,該協(xié)議在登陸過(guò)程中會(huì)發(fā)起數(shù)十個(gè)甚至上百個(gè)網(wǎng)絡(luò)連接,這些網(wǎng)絡(luò)連接的共同點(diǎn)是用戶(hù)端的端口號(hào)�、協(xié)議類(lèi)型相同����,網(wǎng)絡(luò) IP地址和網(wǎng)絡(luò)端口號(hào)不同�,而用戶(hù)端的端口號(hào)可以通過(guò)識(shí)別SKYPE會(huì)話的某一個(gè)流得出����。 因此�,DPI系統(tǒng)在識(shí)別出該會(huì)話后設(shè)置一個(gè)三元組關(guān)聯(lián)器��,從而達(dá)到將其他SKYPE會(huì)話匹配的目的���。如果需要設(shè)置三元組關(guān)聯(lián)器則執(zhí)行步驟308��,否則執(zhí)行步驟309 ;
步驟306,提取需要設(shè)置五元組關(guān)聯(lián)器的信息�,信息來(lái)源不局限于當(dāng)前會(huì)話的五元組信息���,可能來(lái)源于當(dāng)前報(bào)文載荷中的數(shù)據(jù)等,需要根據(jù)協(xié)議具體分析。設(shè)置完成后,執(zhí)行步驟304 �����;
步驟307��,提取需要設(shè)置四元組關(guān)聯(lián)器的信息�,信息來(lái)源不局限于當(dāng)前會(huì)話的五元組信息����,可能來(lái)源于當(dāng)前報(bào)文載荷中的數(shù)據(jù)等���,需要根據(jù)協(xié)議具體分析��。設(shè)置完成后�,執(zhí)行步驟305 �;
步驟308��,提取需要設(shè)置三元組關(guān)聯(lián)器的信息��,信息來(lái)源不局限于當(dāng)前會(huì)話的五元組信息,可能來(lái)源于當(dāng)前報(bào)文載荷中的數(shù)據(jù)等�,需要根據(jù)協(xié)議具體分析。設(shè)置完成后,執(zhí)行步驟309 ;
步驟309,將當(dāng)前報(bào)文的DPI識(shí)別結(jié)果返回。
通過(guò)將業(yè)務(wù)報(bào)文的會(huì)話信息與會(huì)話記錄表和關(guān)聯(lián)記錄表進(jìn)行匹配來(lái)快速識(shí)別報(bào)文的業(yè)務(wù)類(lèi)型,在匹配不成功的情況下再進(jìn)行載荷深度分析獲取業(yè)務(wù)類(lèi)型���,解決了現(xiàn)有技術(shù)中傳統(tǒng)的DPI技術(shù)無(wú)法識(shí)別非公有協(xié)議報(bào)文的問(wèn)題��,能夠快速��、高效、準(zhǔn)確地識(shí)別當(dāng)前會(huì)話的業(yè)務(wù)類(lèi)型。
盡管為示例目的����,已經(jīng)公開(kāi)了本發(fā)明的優(yōu)選實(shí)施例,本領(lǐng)域的技術(shù)人員將意識(shí)到各種改進(jìn)、增加和取代也 是可能的�,因此�,本發(fā)明的范圍應(yīng)當(dāng)不限于上述實(shí)施例�����。
權(quán)利要求
1.一種基于深度包檢測(cè)DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法,其特征在于����,包括步驟1�����,接收業(yè)務(wù)報(bào)文����,將所述業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的會(huì)話記錄表中的會(huì)話記錄進(jìn)行匹配�����,如果所述會(huì)話信息與某一條會(huì)話記錄匹配成功����,則從所述會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,作為所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型,如果未能從所述會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,則執(zhí)行步驟2��,如果未匹配成功�,則根據(jù)所述會(huì)話信息在所述會(huì)話記錄表中創(chuàng)建相應(yīng)的會(huì)話記錄�,并執(zhí)行步驟2 ����;步驟2����,將所述業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配��, 如果所述會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功�,則從所述關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型��,作為所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�����,如果匹配不成功,則執(zhí)行步驟3 ;步驟3,對(duì)所述業(yè)務(wù)報(bào)文的會(huì)話信息進(jìn)行深層載荷分析���,獲取所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�����。
2.如權(quán)利要求1所述的方法,其特征在于,在所述步驟2中�����,如果所述會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功����,則從所述關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,作為所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型之后,所述方法還包括將所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到所述會(huì)話記錄表中,并將所述業(yè)務(wù)類(lèi)型與相應(yīng)的會(huì)話記錄設(shè)置對(duì)應(yīng)關(guān)系�����。
3.如權(quán)利要求1或2所述的方法,其特征在于�,執(zhí)行所述步驟3之后���,所述方法還包括: 將所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到所述會(huì)話記錄表中��,并將所述業(yè)務(wù)類(lèi)型與相應(yīng)的會(huì)話記錄設(shè)置對(duì)應(yīng)關(guān)系����。
4.如權(quán)利要求3所述的方法,其特征在于�����,執(zhí)行所述步驟3之后��,所述方法還包括根據(jù)所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型獲取該業(yè)務(wù)的網(wǎng)絡(luò)流量模型,并根據(jù)所述網(wǎng)絡(luò)流量模型在關(guān)聯(lián)記錄表中創(chuàng)建相應(yīng)的關(guān)聯(lián)記錄�;將所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到所述關(guān)聯(lián)記錄表中,并將創(chuàng)建的所述關(guān)聯(lián)記錄與所述業(yè)務(wù)類(lèi)型設(shè)置對(duì)應(yīng)關(guān)系�。
5.如權(quán)利要求1所述的方法����,其特征在于��,所述會(huì)話信息包括用戶(hù)網(wǎng)絡(luò)協(xié)議IP地址����、用戶(hù)端□號(hào)���、網(wǎng)絡(luò)IP地址���、網(wǎng)絡(luò)端□號(hào)�、以及協(xié)議類(lèi)型�;所述會(huì)話記錄包括所述用戶(hù)IP地址��、所述用戶(hù)端口號(hào)、所述網(wǎng)絡(luò)IP地址��、所述網(wǎng)絡(luò)端口號(hào)����、以及所述協(xié)議類(lèi)型;所述關(guān)聯(lián)記錄表包括五元組關(guān)聯(lián)記錄表����、四元組關(guān)聯(lián)記錄表�、和/或三元組關(guān)聯(lián)記錄表,其中,所述五元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括所述用戶(hù)IP地址�、所述用戶(hù)端口號(hào)、 所述網(wǎng)絡(luò)IP地址��、所述網(wǎng)絡(luò)端口號(hào)、以及所述協(xié)議類(lèi)型����;所述四元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括所述用戶(hù)IP地址���、所述用戶(hù)端口號(hào)、所述網(wǎng)絡(luò)IP地址�、以及所述協(xié)議類(lèi)型;所述三元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括所述用戶(hù)IP地址、所述用戶(hù)端口號(hào)、以及所述協(xié)議類(lèi)型����。
6.如權(quán)利要求5所述的方法,其特征在于,所述步驟2中,將所述業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配具體包括將所述業(yè)務(wù)報(bào)文的會(huì)話信息依次與所述五元組關(guān)聯(lián)記錄表、所述四元組關(guān)聯(lián)記錄表�、 和所述三元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配���,如果所述業(yè)務(wù)報(bào)文的會(huì)話信息與某一關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄匹配成功����,則不再繼續(xù)與后續(xù)關(guān)聯(lián)記錄表進(jìn)行匹配���。
7.如權(quán)利要求1所述的方法��,其特征在于,所述方法還包括在與所述會(huì)話記錄表中的會(huì)話記錄匹配成功或與所述關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄匹配成功的情況下��,更新所述會(huì)話記錄或所述關(guān)聯(lián)記錄的最后訪問(wèn)時(shí)間�����;以預(yù)訂周期掃描所述會(huì)話記錄表和所述關(guān)聯(lián)記錄表���;獲取所述會(huì)話記錄表中各條會(huì)話記錄以及所述關(guān)聯(lián)記錄表中各條關(guān)聯(lián)記錄的最后訪問(wèn)時(shí)間���,分別將所述最后訪問(wèn)時(shí)間與當(dāng)前時(shí)間進(jìn)行比較�����,判斷是否超時(shí)����,如果超時(shí)���,則將相應(yīng)的會(huì)話記錄或關(guān)聯(lián)記錄刪除���。
8.一種基于深度包檢測(cè)DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別裝置�,其特征在于,包括會(huì)話記錄匹配模塊�����,用于接收業(yè)務(wù)報(bào)文,將所述業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的會(huì)話記錄表中的會(huì)話記錄進(jìn)行匹配����,如果所述會(huì)話信息與某一條會(huì)話記錄匹配成功�����,則從所述會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,作為所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�����,如果未能從所述會(huì)話記錄表中獲取與該會(huì)話記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�,則調(diào)用關(guān)聯(lián)記錄匹配模塊,如果未匹配成功����,則根據(jù)所述會(huì)話信息在所述會(huì)話記錄表中創(chuàng)建相應(yīng)的會(huì)話記錄�,并調(diào)用所述關(guān)聯(lián)記錄匹配模塊����;,所述關(guān)聯(lián)記錄匹配模塊�,用于將所述業(yè)務(wù)報(bào)文的會(huì)話信息與預(yù)先設(shè)置的關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配�,如果所述會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功,則從所述關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�,作為所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型���,如果匹配不成功�,則調(diào)用深層載荷分析模塊��;所述深層載荷分析模塊�,用于對(duì)所述業(yè)務(wù)報(bào)文的會(huì)話信息進(jìn)行深層載荷分析,獲取所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型�。
9.如權(quán)利要求8所述的裝置���,其特征在于,所述關(guān)聯(lián)記錄匹配模塊進(jìn)一步用于在所述會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功的情況下�����,將所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到所述會(huì)話記錄表中,并將所述業(yè)務(wù)類(lèi)型與相應(yīng)的會(huì)話記錄設(shè)置對(duì)應(yīng)關(guān)系;所述深層載荷分析模塊進(jìn)一步用于在獲取所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型之后�����,將所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到所述會(huì)話記錄表中����,并將所述業(yè)務(wù)類(lèi)型與相應(yīng)的會(huì)話記錄設(shè)置對(duì)應(yīng)關(guān)系��;根據(jù)所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型獲取該業(yè)務(wù)的網(wǎng)絡(luò)流量模型,并根據(jù)所述網(wǎng)絡(luò)流量模型在關(guān)聯(lián)記錄表中創(chuàng)建相應(yīng)的關(guān)聯(lián)記錄�;將所述業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型保存到所述關(guān)聯(lián)記錄表中,并將創(chuàng)建的所述關(guān)聯(lián)記錄與所述業(yè)務(wù)類(lèi)型設(shè)置對(duì)應(yīng)關(guān)系����。
10.如權(quán)利要求8所述的裝置��,其特征在于,所述會(huì)話信息包括用戶(hù)網(wǎng)絡(luò)協(xié)議IP地址���、用戶(hù)端口號(hào)��、網(wǎng)絡(luò)IP地址、網(wǎng)絡(luò)端口號(hào)、以及協(xié)議類(lèi)型�;所述會(huì)話記錄包括所述用戶(hù)IP地址��、所述用戶(hù)端口號(hào)����、所述網(wǎng)絡(luò)IP地址��、所述網(wǎng)絡(luò)端口號(hào)���、以及所述協(xié)議類(lèi)型����;所述關(guān)聯(lián)記錄表包括五元組關(guān)聯(lián)記錄表����、四元組關(guān)聯(lián)記錄表、和/或三元組關(guān)聯(lián)記錄表,其中�����,所述五元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括所述用戶(hù)IP地址�����、所述用戶(hù)端口號(hào)�����、 所述網(wǎng)絡(luò)IP地址�����、所述網(wǎng)絡(luò)端口號(hào)、以及所述協(xié)議類(lèi)型���;所述四元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括所述用戶(hù)IP地址�、所述用戶(hù)端口號(hào)、所述網(wǎng)絡(luò)IP地址、以及所述協(xié)議類(lèi)型��;所述三元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄包括所述用戶(hù)IP地址��、所述用戶(hù)端口號(hào)、以及所述協(xié)議類(lèi)型����。
11.如權(quán)利要求10所述的裝置�����,其特征在于����,所述關(guān)聯(lián)記錄匹配模塊具體用于將所述業(yè)務(wù)報(bào)文的會(huì)話信息依次與所述五元組關(guān)聯(lián)記錄表���、所述四元組關(guān)聯(lián)記錄表�����、和所述三元組關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配,如果所述業(yè)務(wù)報(bào)文的會(huì)話信息與某一關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄匹配成功,則不再繼續(xù)與后續(xù)關(guān)聯(lián)記錄表進(jìn)行匹配�����。
12.如權(quán)利要求8所述的裝置���,其特征在于,所述裝置還包括老化刪除模塊����,用于在所述會(huì)話記錄匹配模塊匹配成功或與所述關(guān)聯(lián)記錄匹配模塊匹配成功的情況下,更新相應(yīng)的會(huì)話記錄或相應(yīng)的關(guān)聯(lián)記錄的最后訪問(wèn)時(shí)間;以預(yù)訂周期掃描所述會(huì)話記錄表和所述關(guān)聯(lián)記錄表��;獲取所述會(huì)話記錄表中各條會(huì)話記錄以及所述關(guān)聯(lián)記錄表中各條關(guān)聯(lián)記錄的最后訪問(wèn)時(shí)間,分別將所述最后訪問(wèn)時(shí)間與當(dāng)前時(shí)間進(jìn)行比較�, 判斷是否超時(shí),如果超時(shí)�,則將相應(yīng)的會(huì)話記錄或關(guān)聯(lián)記錄刪除�����。
全文摘要
本發(fā)明公開(kāi)了一種基于DPI的報(bào)文業(yè)務(wù)類(lèi)型識(shí)別方法�。該方法包括步驟1,將業(yè)務(wù)報(bào)文的會(huì)話信息與會(huì)話記錄表中的會(huì)話記錄進(jìn)行匹配�,如果會(huì)話信息與某一條會(huì)話記錄匹配成功�����,則從會(huì)話記錄表中獲取相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�,如果未能從會(huì)話記錄表中獲取相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型,則執(zhí)行步驟2,如果未匹配成功�����,則在會(huì)話記錄表中創(chuàng)建相應(yīng)的會(huì)話記錄��,并執(zhí)行步驟2���;步驟2����,將業(yè)務(wù)報(bào)文的會(huì)話信息與關(guān)聯(lián)記錄表中的關(guān)聯(lián)記錄進(jìn)行匹配���,如果會(huì)話信息與某一條關(guān)聯(lián)記錄匹配成功,則從關(guān)聯(lián)記錄表中獲取與該關(guān)聯(lián)記錄相對(duì)應(yīng)的業(yè)務(wù)類(lèi)型�,如果匹配不成功��,則執(zhí)行步驟3;步驟3,對(duì)業(yè)務(wù)報(bào)文的會(huì)話信息進(jìn)行深層載荷分析�,獲取業(yè)務(wù)報(bào)文的業(yè)務(wù)類(lèi)型���。
文檔編號(hào)H04L29/08GK103023670SQ20111027827
公開(kāi)日2013年4月3日 申請(qǐng)日期2011年9月20日 優(yōu)先權(quán)日2011年9月20日
發(fā)明者汪長(zhǎng)勤, 孫宏躍, 李華光, 宋科 申請(qǐng)人:中興通訊股份有限公司