[发明专利]报文特征处理方法、装置及网络设备

说明书

技术领域

本发明涉及通信技术，尤其涉及一种报文特征处理方法、装置及网络设备。

背景技术

随着互联网技术的快速发展，在网络上承载的内容越来越丰富，网络服务供应商也向客户提供了越来越多的服务内容，同时，这些服务根据不同的应用进行区分。不同应用所需的资源信息通常不同，这就要求网络设备能够识别出各种应用，为各种应用提供最佳资源，以提高网络设备资源的利用率。

先前常利用端口进行流量识别，即对各种应用的流量进行研究，并归纳出该流量对应的一个或多个固定端口，例如归纳得出酷狗(KuGoo)软件通用的商业端口为7000。当在流量检测过程中发现有流量的端口与已归纳出的端口(例如端口7000)相同，则确定该流量属于与已归纳出的端口相对应的流量，以达到识别应用(例如识别为KuGoo软件应用)的目的。

但是目前很多应用软件已经不再使用固定端口，而是经常动态变化端口或者在软件中设置端口设置功能供用户自行设置端口，甚至有些软件还使用其他业务的固定端口，例如使用端口80，以欺骗流量检测设备。因此，上述基于端口的流量检测方法已经不满足应用识别的需求。而由于不同应用之间的流或报文通常会存在不一样的地方，通过提取不同字段可以识别出不同的应用，用来识别不同应用的该不同字段被称为特征码或关键字，因此，现有技术又提出根据特征码来识别不同应用的技术方案。

目前基于特征码的应用识别方法主要有以下几种：一种是基于报文的深度报文检测(Deep Packet Inspection；简称为：DPI)，该方法主要是通过对报文的四层载荷进行深度分析，提取出其包含的或者出现频率最高的特征字段，再结合一些端口和协议信息来形成一种应用的特征，并将形成的特征存储在特征库中。后续在流量识别过程中，通过提取报文的四层载荷和端口、协议信息在之前存储的特征库中进行匹配，来识别报文所属的应用。通常该方法对特征字段出现位置有着严格的要求。另一种是基于流的深度检测(Deep Flow Inspection；简称为：DFI)，该方法主要是基于不同应用在会话连接或数据流上的状态各不相同，如每个流的平均包长，每个包到达的时间间隔等特征；然后通过对大量的流进行分析形成一个训练集，再由训练集产生一个匹配模型。在后续流量识别过程中，通过对具体的流与之前生成的匹配模型进行匹配来识别流所属的应用。

但是，随着技术的不断更新和网络的逐步发展，软件版本不断升级，例如QQ、迅雷等软件不断出现新版本，不同版本软件对应的特征码往往会发生变化，这样对基于特征码的应用识别来说，会因为特征码的变化而产生识别不准确的问题。为了解决该问题，每次版本升级都需要人工进行一次特征码的重新提取操作，这种维护特征库的工作量极为繁重，并且效率较低。另外，这种做法会使得某一应用所提取的特征越来越多，而特征提取的越多，导致误判的几率就会大大提高，随着软件版本的逐步升级或更新，这种误判几率会大大增加。因此，如何在软件版本不断更新或升级的情况下，实现准确的识别应用类型成为应用识别面临的又一难题。

发明内容

本发明提供一种报文特征处理方法、装置及网络设备，用以在软件版本更新或升级时，准确识别应用报文。

本发明提供一种报文特征处理方法，包括：

获取当前应用报文的载荷信息；

根据所述当前应用报文的载荷信息和预先存储于特征库中的正式匹配特征进行应用识别；

当根据所述正式匹配特征识别出所述当前应用报文的类型时，根据所述当前应用报文的载荷信息和之前指定个数的应用报文的载荷信息，获取第一备份匹配特征并存储，以根据所述第一备份匹配特征进行应用识别。

本发明提供一种报文特征处理装置，包括：

信息获取模块，用于获取当前应用报文的载荷信息；

第一识别模块，用于根据所述当前应用报文的载荷信息和预先存储于特征库中的正式匹配特征进行应用识别；

第一特征获取模块，用于在所述第一识别模块根据所述正式匹配特征识别出所述当前应用报文的类型时，根据所述当前应用报文的载荷信息和之前指定个数的应用报文的载荷信息，获取第一备份匹配特征并存储，以根据所述第一备份匹配特征进行应用识别。

本发明提供一种网络设备，包括本发明提供的任一报文特征处理装置。