[发明专利]DPI和DFI相结合的网络流量分类系统及分类方法

说明书

技术领域

本发明涉及DPI和DFI相结合的网络流量分类系统及分类方法，属于网络数据传输领域。

背景技术

随着网络应用层出不穷，P2P、网络游戏、IPTV、WEBTV等新兴业务，占用了互联网大部分带宽，以BT和Edonkey为代表的P2P应用已经占据了整个互联网流量的2/3以上，运营商的基础网络建设陷入了“拥塞-扩容-再拥塞”的非正常局面，盈利能力相应降低。无法实现业务识别增加了运营商的运营成本，降低了客户的满意度。于是，如何深度感知网络应用，提供网络业务控制和管理手段，构建可以运营、可以管理的和谐网络，对P2P有效限制，合理引导，化不利为我所用，已经成为电信运营商目前亟需研究的一个热门课题。

基于以上原因，必须通过技术手段识别出不同的网络数据流量，从而可以对其进行控制和管理。

目前识别网络数据流业务的方法主要有以下几种：

(1)基于端口的网络数据流业务识别技术：这种识别技术是通过各种不同的应用在IANA(Internet Assigned Numbers Authority)中注册的不同端口号来进行识别的。例如检测到端口号为80时，则认为该应用代表着普通上网应用。而当前网络上的一些非法应用会采用隐藏或假冒端口号的方式躲避检测和监管，造成仿冒合法报文的数据流侵蚀着网络。比如新型的P2P协议所使用的端口是变化的，因此端口号识别的准确率已经越来越低，该方法已经越来越不适合对现有网络数据流业务的识别。

(2)DPI(Deep Packet Inspection)深度包检测网络数据流业务识别技术：当碰到某些使用动态端口的新型的协议时，采用基于端口的识别技术就会无能为力。DPI技术除了对4层以下的基础信息进行分析外，还增加了应用层分析，识别各种应用及其内容。就是通过对一系列数据包的应用层负载特征进行分析，找出其应用层的特征字，从而对各种业务进行识别。这种方法在遇到应用层数据加密的时候处理起来就会非常困难。

(3)DFI(Deep Flow Inspection)深度流检测网络数据流业务识别技术：当DPI识别技术遇到应用层数据加密的时候，就很难通过分析应用层数据的特征来对其进行识别。DFI技术是根据流的特征来对业务进行识别的技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。DFI的特点是对整个数据流的特征进行分析，例如每个流的平均包长，每个包到达的时间间隔等。无须对应用层数据进行检测，因而应用层数据加密与否对这种识别技术来讲没有区别。属于同种类型业务的数据流的特征一般都是非常接近的，例如QQ和MSN这两种IM软件的流量特征可能就非常接近，因此这种方法的缺点是只能对网络流量的几个大类进行区分。例如IM，P2P，WEB等。

发明内容

发明目的：

本发明要解决的技术问题在于，针对基于端口识别技术的准确率低，DPI和DFI技术分别存在对应用层数据加密的业务的识别非常困难，以及只能对网络流量进行大类区分的缺陷，提出了将DPI和DFI相结合的网络流量分类系统及分类方法。

技术方案：

本发明解决其技术问题所采用的技术方案是：先对网络流量进行大类的区分，然后构造DPI网络数据流业务识别系统，对应用层没有加密的业务进行应用层特征提取，将提取到的特征放入特征库中，然后以DPI能够识别的协议的数据流作为DFI业务识别模块的样本，对DFI进行训练，训练完成以后将DFI模块加在DPI业务识别系统后面，让DPI无法识别的数据流再经过DFI模块的识别，从而对DPI无法识别的数据流进行大类的区分。具体技术方案如下：

本发明的DPI和DFI相结合的网络流量分类系统，包括DPI业务识别系统和DFI流量识别系统两个模块结合而成；

所述的DPI业务识别系统中，包括：

A.流表检测模块，判断当前的数据流是否为已经标记类型的数据流；

B.数据流特征库，存储数据流的特征；

C.流量识别模块，根据数据流特征库中的特征识别网络流量代表的不同业务；

D.协议处理模块，用于对具体业务的处理，以及对网络大类的处理；

所述的DFI流量识别系统中，包括：

E.样本获取模块，用于将DPI能够精确识别的业务的流特征提取出来，分成不同的类别，作为分类器训练模块的训练样本；

F.分类器训练模块，对样本获取模块提供的样本进行训练获得一个训练模型；

G.分类器分类预测模块，根据分类器训练模块获得的模型对其他数据进行分类；

本发明还提供一种基于本发明的网络流量分类方法，包括以下步骤：