[发明专利]DPI和DFI相结合的网络流量分类系统及分类方法

权利要求书

1.DPI和DFI相结合的网络流量分类系统，其特征在于：包括DPI业务识别系统和DFI流量识别系统两个模块结合而成；

所述的DPI业务识别系统中，包括：

A.流表检测模块，判断当前的数据流是否为已经标记类型的数据流；

B.数据流特征库，存储数据流的特征；

C.流量识别模块，根据数据流特征库中的特征识别网络流量代表的不同业务；

D.协议处理模块，用于对具体业务的处理，以及对网络大类的处理；

所述的DFI流量识别系统中，包括：

E.样本获取模块，用于将DPI能够精确识别的业务的流特征提取出来，分成不同的类别，作为分类器训练模块的训练样本；

F.分类器训练模块，对样本获取模块提供的样本进行训练获得一个训练模型；

G.分类器分类预测模块，根据分类器训练模块获得的模型对其他数据进行分类。

2.一种基于权利要求1所述的DPI和DFI相结合的网络流量分类系统的网络流量分类方法，包括以下步骤：

(a)数据流先经过DPI业务识别系统中的流表检测模块，流表检测模块检测当前数据流是否在流表检测模块维护的状态表中，当该数据流在状态表中，则流表检测模块直接将当前数据流标记以后，发送至协议处理模块；当该数据流不在状态表中，则流表检测模块将该数据流发送至流量识别模块，进入(b)步骤；

(b)流量识别模块检查该数据流是否含有DPI业务识别系统中的数据流特征库中的任意一条特征；当流量识别模块在数据流特征库中识别到与该数据流有匹配的流量特征，则标记当前报文对应的该数据流为特定的数据流，更新流表检测模块中维护的状态表，同时将当前数据流标记以后发送至协议处理模块；当流量识别模块在数据流特征库中没有识别到与该数据流匹配的流量特征，则将该数据流发送至DFI流量识别系统，进入(c)步骤；

(c)流量识别模块将能够识别的数据流发送至DFI流量识别系统中的样本获取模块，样本获取模块在线获得该数据流的样本文件以后，将该样本文件发送至分类器训练模块进行离线训练，获得分类模型，分类器训练模块将此分类模型发送至分类器分类预测模块；分类器分类预测模块根据训练得到的分类模型对(b)步骤中流量识别模块无法识别的数据流进行分类；

(d)分类器分类预测模块将分好类的数据流做好相应标记发送至协议处理模块，协议处理模块根据以上步骤中对数据流的不同标记，分别进行具体业务或者针对不同大类的处理。