專利名稱:流量檢測方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及檢測技術(shù)領(lǐng)域��,尤其涉及一種流量檢測方法和設(shè)備����。
背景技術(shù):
傳統(tǒng)的流量和帶寬的檢測管理是基于開放式系統(tǒng)互聯(lián)參考模型(Open System Interconnection;簡稱OSI)的第二至第四層(L2-L4層),通過互連 網(wǎng)協(xié)議(Internet Protocol;簡稱IP)包頭的五元組信息進(jìn)行檢測分析���,通常 稱為"普通報(bào)文檢測"��,其中IP包頭的五元組信息包括源地址、目的地址����、源端 口 、目的端口以及協(xié)議類型等信息�����。"普通報(bào)文檢測"僅分析IP包的4層以下的 內(nèi)容����,根據(jù)端口號識別應(yīng)用類型。當(dāng)前網(wǎng)絡(luò)上的一些應(yīng)用可以采用隱藏或假 冒端口號的方式躲避檢測和監(jiān)管�,造成仿冒合法報(bào)文的數(shù)據(jù)流侵蝕網(wǎng)絡(luò),例 如P2P下載軟件大多采用動(dòng)態(tài)協(xié)商端口機(jī)制�����,采用L2-L4層的"普通報(bào)文檢測 "無法對P2P流量和帶寬進(jìn)行分析。
為了對基于開放端口 �����、隨機(jī)端口或采用加密方式等進(jìn)行傳輸?shù)膽?yīng)用類型 進(jìn)行識別分析���,現(xiàn)有技術(shù)中采用了深度包檢測(Deep Packet Inspection;簡稱 DPI) ��。 DPI技術(shù)是一種基于應(yīng)用層的流量檢測和控制技術(shù)���,針對不同的協(xié)議 類型,基于DPI技術(shù)的應(yīng)用識別技術(shù)可劃分為以下三類
第一類是基于"特征字"的識別技術(shù)不同的應(yīng)用特征通常依賴于不同的 協(xié)議���,而不同的協(xié)議都有其特殊的"指纟文���、這些"指纟丈"可能是特定的端口、特 定的字符串或者特定的比特(bit)序列�。
第二類是應(yīng)用層網(wǎng)關(guān)識別技術(shù)某些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的, 業(yè)務(wù)流沒有任何特征�����。應(yīng)用層網(wǎng)關(guān)需要先識別出控制流��,并根據(jù)控制流的協(xié) 議通過特定的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行解析,從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流����。
5第三類是行為模式識別技術(shù)行為模式識別技術(shù)基于對終端已經(jīng)實(shí)施的 行為進(jìn)行分析,判斷出用戶正在進(jìn)行的動(dòng)作或者即將實(shí)施的動(dòng)作�。 發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中至少發(fā)現(xiàn)現(xiàn)有技術(shù)存在如下問題 由于網(wǎng)絡(luò)中的流量在高峰和低谷存在顯著落差,如果按照流量的最高峰 部署DPI設(shè)備所需的成本高�����,且在非高峰期大量的處理性能閑置�,浪費(fèi)資源 DPI設(shè)備的系統(tǒng)資源�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供的流量檢測方法和設(shè)備���,提高流量檢測的能力��,節(jié)約 系統(tǒng)資源���。
本發(fā)明實(shí)施例提供一種流量^r測方法,包括 對所有的應(yīng)用特征信息對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量4全測���; 當(dāng)滿足應(yīng)用協(xié)議檢測切換條件時(shí)�����,對預(yù)先生成的排名應(yīng)用特征庫中的應(yīng) 用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測���。 本發(fā)明實(shí)施例提供一種流量檢測設(shè)備����,包括
檢測模塊�����,用于對所有的應(yīng)用特征信息對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測�; 切換模塊,用于當(dāng)滿足應(yīng)用協(xié)議檢測切換條件時(shí)�,對預(yù)先生成的排名應(yīng)
用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)i義進(jìn)行流量4企測。
本發(fā)明實(shí)施例的提供的流量檢測方法和設(shè)備��,采用僅包括常用的部分應(yīng)
用協(xié)議的應(yīng)用特征信息的排名應(yīng)用特征庫進(jìn)行流量檢測�,可以降低識別流所
消耗的資源,可以提高流量檢測的能力����,節(jié)約系統(tǒng)資源����。
圖1為本發(fā)明實(shí)施例一提供的流量檢測方法的流程圖��; 圖2為本發(fā)明實(shí)施例二提供的流量檢測方法的流程圖���; 圖3為本發(fā)明實(shí)施例三提供的流量檢測設(shè)備的結(jié)構(gòu)示意圖�����;圖4為本發(fā)明實(shí)施例四提供的流量檢測設(shè)備的結(jié)構(gòu)示意圖����。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施例進(jìn)一步說明本發(fā)明實(shí)施例的技術(shù)方案����。 圖1為本發(fā)明實(shí)施例一提供的流量檢測方法的流程圖���,如圖l所示���,該
流量4企測方法包括
步驟101、對所有的應(yīng)用特征信息對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量4全測。 在流量檢測和控制技術(shù)例如DPI技術(shù)中����,流量檢測設(shè)備采用完整應(yīng)用特 征庫中的應(yīng)用特征信息對應(yīng)用協(xié)議進(jìn)行流量^f企測,完整應(yīng)用特征庫中包括能 夠識別的所有的應(yīng)用特征信息�����。當(dāng)出現(xiàn)新應(yīng)用協(xié)議時(shí)�����,將新應(yīng)用協(xié)議的應(yīng)用 特征信息更新到完整應(yīng)用特征庫�,從而保證完整應(yīng)用特征庫中包括能夠識別 的所有的應(yīng)用特征信息。
步驟102���、當(dāng)滿足應(yīng)用協(xié)議檢測切換條件時(shí)����,對預(yù)先生成的排名應(yīng)用特 征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測�。
流量檢測設(shè)備可以預(yù)先生成排名應(yīng)用特征庫,預(yù)先生成的排名應(yīng)用特征 庫中的應(yīng)用特征信息為在有效采集時(shí)長內(nèi)��,識別流數(shù)滿足預(yù)設(shè)條件的應(yīng)用協(xié) 議所對應(yīng)的應(yīng)用特征信息���。具體地��,可以預(yù)先設(shè)置生成排名應(yīng)用特征庫的采 集時(shí)間段����,其中采集時(shí)間段可以選取流量檢測設(shè)備較為繁忙的時(shí)段,例如 "18:00 24:00"共六小時(shí)����,設(shè)置在這六小時(shí)之中所需的有效采集時(shí)長例如 "2小時(shí)",還可以預(yù)先設(shè)置有效識別流數(shù)例如"1000"���、選擇名次例如 "300"�。排名應(yīng)用特征庫中可以包括在設(shè)置的采集時(shí)間段內(nèi)�,當(dāng)持續(xù)采集 時(shí)間大于或等于設(shè)置的所述有效釆集時(shí)長時(shí),對采集到的各種應(yīng)用協(xié)議的識 別流數(shù)按照從大到小的順序進(jìn)行排名��,滿足排名在設(shè)置的選擇名次之前���、且 識別流數(shù)大于設(shè)置的有效識別流數(shù)的應(yīng)用協(xié)議所對應(yīng)的應(yīng)用特征信息��。例如 在采集時(shí)間段"18:00 24:00"內(nèi),采集應(yīng)用協(xié)議相關(guān)信息的持續(xù)采集時(shí)間為 "2小時(shí)15分鐘"����,大于有效采集時(shí)長"2小時(shí)"��,則此次采集有效�����,對采集到的各種應(yīng)用協(xié)議的識別流數(shù)按照從大到小的順序進(jìn)行排名����;排名在設(shè)置 的選擇名次"300"之前(可以包括"300"),且識別流數(shù)大于設(shè)置的有效 識別流數(shù)"1000"的應(yīng)用協(xié)議的應(yīng)用特征信息�,滿足生成排名應(yīng)用特征庫的 條件。假設(shè)排名在選擇名次第"300"名的應(yīng)用協(xié)議為TCP����,識別流數(shù)是"1030" 大于有效識別流數(shù)"1000",可以提取排名在前"300"(包括"300")的 所有應(yīng)用協(xié)議的應(yīng)用特征信息生成排名應(yīng)用特征庫。
其中識別流數(shù)中的"流"是指一個(gè)包括五元組信息的IP包頭的信息流��, 五元組信息包括源地址�、目的地址、源端口�����、目的端口以及協(xié)議類型等信息����, 其中協(xié)議類型例如TCP����、 UDP��、 ICMP等����。識別流凄t就是指對于每一種應(yīng)用 協(xié)議,檢測識別出的包括五元組信息的IP包頭的信息流的數(shù)目�。
在設(shè)置的采集時(shí)間段內(nèi)滿足的有效采集時(shí)長、選擇名次和有效識別流數(shù) 的條件�����,可以生成排名應(yīng)用特征庫�。排名應(yīng)用特征庫可以每天重新生成,也 可以設(shè)置更新周期���,根據(jù)更新周期進(jìn)行周期性的重新采集����、生成排名應(yīng)用特 征庫�����。此外�����,當(dāng)完整應(yīng)用特征庫更新例如完整應(yīng)用特征庫中有新的應(yīng)用協(xié) 議時(shí)���,原有的排名應(yīng)用翁:據(jù)庫可刪除�����,并且當(dāng)采集時(shí)間_��,殳開始時(shí)��,可以按照 上述的生成排名應(yīng)用特征庫的方法�,重新采集并生成所述排名應(yīng)用特征庫�。
一般情況下,流量檢測設(shè)備采用完整應(yīng)用特征庫進(jìn)行流量檢測���。當(dāng)滿足 應(yīng)用協(xié)議檢測切換條件時(shí)���,切換到預(yù)先生成的排名應(yīng)用特征庫進(jìn)行流量檢測�����。 流量檢測設(shè)備可以預(yù)先設(shè)置從完整應(yīng)用特征庫向排名應(yīng)用特征庫切換的切換 條件���,切換條件可以考慮包速率、CPU占用率����、內(nèi)存占用率、流量或保持時(shí) 間等��。例如當(dāng)檢測到的應(yīng)用協(xié)議的總流量大于設(shè)置的流量切換閾值���,且持 續(xù)的時(shí)間大于設(shè)定的保持時(shí)間時(shí)����,切換到預(yù)先生成的排名應(yīng)用特征庫���,對預(yù) 先生成的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢 測��;或�����,當(dāng)檢測到的應(yīng)用協(xié)議的包速率大于設(shè)置的包速率切換閾值���,且持續(xù) 的時(shí)間大于設(shè)定的保持時(shí)間時(shí),切換到預(yù)先生成的排名應(yīng)用特征庫�,對預(yù)先 生成的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量4企測;或�,當(dāng)檢測到的應(yīng)用協(xié)議在流量檢測設(shè)備中的CPU占用率大于設(shè)置的CPU
占用率切換閾值,且持續(xù)的時(shí)間大于設(shè)定的保持時(shí)間時(shí)��,切換到預(yù)先生成的 排名應(yīng)用特征庫�����,對預(yù)先生成的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的
應(yīng)用協(xié)議進(jìn)行流量檢測����;或,當(dāng)檢測到的應(yīng)用協(xié)議在流量檢測設(shè)備中的內(nèi)存 占用率大于設(shè)置的內(nèi)存占用率切換閾值��,且持續(xù)的時(shí)間大于設(shè)定的保持時(shí)間 時(shí)�����,切換到預(yù)先生成的排名應(yīng)用特征庫����,對預(yù)先生成的排名應(yīng)用特征庫中的 應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量片企測�����。例如完整應(yīng)用特征庫中包 括"1000"個(gè)需要檢測的應(yīng)用協(xié)議的特征����。如果流量檢測設(shè)備采用完整應(yīng)用 特征庫能夠;險(xiǎn)測到的流量最大約為"420M����,,��,則可以將流量切換閾值設(shè)置為 "420M"���,將保持時(shí)間設(shè)置為"5分鐘"����。當(dāng)流量檢測設(shè)備的總流量大于"420M" 時(shí)����,且持續(xù)的時(shí)間大于"5分鐘,,�,可以切換到排名應(yīng)用特征庫,此時(shí)只需 檢測排名在前"300"的應(yīng)用協(xié)議的流量��,能夠檢測到的流量最大約為"500M"�����。 以上只是對切換條件進(jìn)行舉例說明��,切換條件可以根據(jù)具體情況設(shè)置�,在此 不——列舉���。
此外����,如果流量檢測設(shè)備采用排名應(yīng)用特征庫中包括的應(yīng)用特征信息進(jìn) 行檢測時(shí)��,檢測到的包速率�、CPU占用率、內(nèi)存占用率�����、流量或保持時(shí)間等 切換條件發(fā)生了變化,可能需要再切換到完整應(yīng)用特征庫進(jìn)行流量檢測����。例 如若檢測到的應(yīng)用協(xié)議的總流量小于或等于流量切換閾值,且持續(xù)的時(shí)間 大于設(shè)定的保持時(shí)間�����,切換到所述完整應(yīng)用特征庫進(jìn)行流量4企測����。例如流 量切換閾值設(shè)置為"420M",保持時(shí)間設(shè)置為"5分鐘",當(dāng)流量檢測設(shè)備 的總流量小于或等于"420M"�����,且持續(xù)的時(shí)間大于"5分鐘"時(shí)��,可以切換 回完整應(yīng)用特征庫進(jìn)行流量檢測����。
因此,如果排名在前"300"的應(yīng)用協(xié)議的總流量占所有應(yīng)用協(xié)議的總流 量的99%,以300條最常用的應(yīng)用協(xié)議的特4正進(jìn)行流量^r測���,則識別的流量 的能力會提高15%到20%,約提高80M到100M,按流量檢測設(shè)備使用完整 應(yīng)用特征庫的流量4全測能力為"420M"計(jì)算�,則使用排名應(yīng)用特征庫的流量
9檢測能力可以提高到"500M"。如果流量檢測設(shè)備目前需要檢測的總流量達(dá) 到"488M"�,流量4企測設(shè)備采用排名應(yīng)用特征庫進(jìn)行流量4企測時(shí),只會降低 1%的流識別率(從69°/���。下降到68%),可是別"500M"���,實(shí)際識別"483M" 的流量;而流量檢測設(shè)備采用排名應(yīng)用特征庫進(jìn)行流量檢測時(shí)���,共識別 "420M"的流量����;相當(dāng)于以5M的未識別流量換取"80M"的流量沖全測能力���, 以及"63M"的識別流量。
本實(shí)施例采用常用的部分應(yīng)用協(xié)議的應(yīng)用特征信息生成排名應(yīng)用特征 庫�����,根據(jù)排名應(yīng)用特征庫進(jìn)行流量檢測��,可以降低4企測流量所消耗的資源����, 在不增加部署成本的情況下�,可以提高流量^r測的能力�����,節(jié)約系統(tǒng)資源���。
圖2為本發(fā)明實(shí)施例二提供的流量檢測方法的流程圖�,如圖2所示��,在 本發(fā)明實(shí)施例一的基礎(chǔ)上�����,該流量檢測方法具體包括以下步驟
步驟200��、流量檢測設(shè)備接收后臺服務(wù)器周期性下發(fā)的配置信息���,在未 達(dá)到切換條件時(shí)采用完整應(yīng)用特征庫進(jìn)行流量^r測�����。在達(dá)到切換條件��,但沒 有排名應(yīng)用特征庫的時(shí)候也還是采用完整的應(yīng)用特征庫進(jìn)行流量檢測��。其中 配置信息中可以包括設(shè)置的采集時(shí)間段��、有效采集時(shí)長���、有效識別流數(shù)�����、選 擇名次���、切換條件等。
步驟201���、流量檢測設(shè)備讀取上次刷新時(shí)間��,從后臺服務(wù)器獲取完整應(yīng) 用特征庫的最新版本號,如果完整應(yīng)用特征庫的現(xiàn)有版本號與最新版本號不 一致��,則更新完整應(yīng)用特征庫���;同時(shí)可以在排名應(yīng)用特征庫更新的條件符合 的情況下激活排名應(yīng)用特征庫更新�����。例如如果排名應(yīng)用特征庫的統(tǒng)計(jì)周期 開始���,則開始更新排名應(yīng)用特征庫����。
步驟202��、在設(shè)置的采集時(shí)間段內(nèi)����,當(dāng)持續(xù)采集時(shí)間大于或等于設(shè)置的 所述有效采集時(shí)長時(shí),對采集到的各種應(yīng)用協(xié)議的識別流數(shù)按照從大到小的 順序進(jìn)行排名�;將滿足排名在設(shè)置的選擇名次之前、且識別流數(shù)大于設(shè)置的 有效識別流數(shù)的應(yīng)用協(xié)議所對應(yīng)的應(yīng)用特4i信息生成排名應(yīng)用特征庫���。
步驟203�、與舊的排名應(yīng)用特征庫相對比�����,如果新生成的排名應(yīng)用特征庫與舊的排名應(yīng)用特征庫中的所有應(yīng)用協(xié)議的應(yīng)用特征信息不同��,則用新生 成的排名應(yīng)用特征庫替代舊的排名應(yīng)用特征庫,此時(shí)可以將舊的排名應(yīng)用特
征庫刪除�,"i^f亍步驟204。否則�,沒有生成最新的排名應(yīng)用特征庫,才W亍步驟207�。 步驟204、流量檢測設(shè)備定時(shí)判斷是否從完整應(yīng)用特征庫向排名應(yīng)用特 征庫切換����。
流量檢測設(shè)備切換到排名應(yīng)用特征庫進(jìn)行流量4全測,需要滿足切換條件����, 例如(1)是否成功生成了最新的排名應(yīng)用特征庫;(2);險(xiǎn)測到的流量檢 測設(shè)備的總流量是否大于流量切換閾值�����;(3 )檢測到的流量檢測設(shè)備的總流 量大于流量切換閾值的持續(xù)時(shí)間是否超過了保持時(shí)間����。
如果滿足切換條件,則流量檢測設(shè)備切換到排名應(yīng)用特征庫��,執(zhí)行步驟 205����,否則執(zhí)行步驟207,繼續(xù)使用完整應(yīng)用特征庫進(jìn)行流量檢測�。其中切換 條件除了可以考慮流量是否大于流量切換閎值,也可以考慮包速率����、CPU占 用率、內(nèi)存占用率等的值是否大于某設(shè)定的閾值���,根據(jù)實(shí)際的場景例如固 網(wǎng)���、無線網(wǎng)、各種場景的DPI等可以具體設(shè)定����。具體可以參照本發(fā)明實(shí)施例 一提供的流量檢測方法中的相關(guān)描述。
步驟205�、流量檢測設(shè)備使用排名應(yīng)用特征庫進(jìn)行流量檢測,間隔一段 時(shí)間�����,執(zhí)行步驟206。執(zhí)行步驟206的間隔時(shí)間可以才艮據(jù)需求具體設(shè)定�����。
步驟206����、流量檢測設(shè)備定時(shí)判斷是否從排名應(yīng)用特征庫向完整應(yīng)用特 征庫切換。
如果流量檢測設(shè)備使用排名應(yīng)用特征庫進(jìn)行流量檢測��,在滿足一定條件 時(shí)���,也可以切換回完整應(yīng)用特征庫進(jìn)行流量檢測���。例如當(dāng)檢測到的流量檢 測設(shè)備的總流量小于或等于流量切換閾值、并且持續(xù)時(shí)間超過了設(shè)置的保持 時(shí)間時(shí)�����,流量檢測設(shè)備切換到完整應(yīng)用特征庫進(jìn)行流量檢測����,執(zhí)行步驟207, 否則執(zhí)行步驟205�。
步驟207、流量4企測設(shè)備使用完整應(yīng)用特征庫進(jìn)行流量檢測,間隔一段 時(shí)間�����,執(zhí)行步驟204���。執(zhí)行步驟204的間隔時(shí)間可以才艮據(jù)需求具體設(shè)定。
ii本實(shí)施例在檢測到的總流量較高時(shí)����,釆用僅包括常用的部分應(yīng)用協(xié)議的 應(yīng)用特征信息的排名應(yīng)用特征庫進(jìn)行流量4全測,可以降低識別流所消耗的資
源�����,在不增加部署成本的情況下�,可以提高流量檢測的能力,節(jié)約系統(tǒng)資源����; 并且可以在總流量回落時(shí),可以動(dòng)態(tài)切換到完整應(yīng)用特征庫進(jìn)行流量4企測���, 檢測方式靈活�,適應(yīng)性強(qiáng)。
圖3為本發(fā)明實(shí)施例三提供的流量檢測設(shè)備的結(jié)構(gòu)示意圖����,如圖3所示, 該流量檢測設(shè)備包括檢測模塊31和切換模塊32��。
其中�,檢測模塊31用于對所有的應(yīng)用特征信息對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量 檢測。切換模塊32用于當(dāng)滿足應(yīng)用協(xié)議檢測切換條件時(shí)���,對預(yù)先生成的排名 應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量4企測��。
其中切換條件可以預(yù)先設(shè)置���。具體的流量檢測方法可以參照本發(fā)明實(shí)施 例一的相關(guān)描述。
本實(shí)施例生成^^莫塊將^f吏用率高的部分應(yīng)用協(xié)議的應(yīng)用特征信息生成排名 應(yīng)用特征庫�����,切換模塊在滿足切換條件的情況下切換到排名應(yīng)用特征庫或完 整應(yīng)用特征庫進(jìn)行流量檢測進(jìn)行流量檢測����,可以降低識別流所消耗的資源, 在不增加部署成本的情況下���,提高流量檢測的能力�����,節(jié)約系統(tǒng)資源����。
圖4為本發(fā)明實(shí)施例四提供的流量檢測設(shè)備的結(jié)構(gòu)示意圖���,如圖4所示�, 在本發(fā)明實(shí)施例三的基礎(chǔ)上��,切換模塊32可以包括第一監(jiān)測子模塊320和 第一切換子模塊321��。
其中第一監(jiān)測子模塊320,用于監(jiān)測應(yīng)用協(xié)議的總流量是否大于設(shè)置的 流量切換閾值���,且持續(xù)的時(shí)間是否大于設(shè)定的保持時(shí)間��。第 一切換子模塊321, 用于當(dāng)監(jiān)測到的應(yīng)用協(xié)議的總流量大于設(shè)置的流量切換闊值����,且持續(xù)的時(shí)間 大于設(shè)定的保持時(shí)間時(shí)�����,切換到預(yù)先生成的排名應(yīng)用特征庫,對預(yù)先生成的 排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量4企測�����。
或者切換模塊32可以包括第二監(jiān)測子模塊322和第二切換子模塊323���。 其中第二監(jiān)測子模塊322,用于監(jiān)測應(yīng)用協(xié)議的包速率是否大于設(shè)置的包速率切換閾值����,且持續(xù)的時(shí)間是否大于設(shè)定的保持時(shí)間�。第二切換子模塊323, 用于當(dāng)監(jiān)測到的應(yīng)用協(xié)議的包速率大于設(shè)置的包速率切換閾值,且持續(xù)的時(shí) 間大于設(shè)定的保持時(shí)間時(shí)�,切換到預(yù)先生成的排名應(yīng)用特征庫,對預(yù)先生成 的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測�����。
進(jìn)一步地���,流量檢測設(shè)備還可以包括生成模塊33,用于預(yù)先生成的排 名應(yīng)用特征庫����,所述排名應(yīng)用特征庫中的應(yīng)用特征信息為在有效采集時(shí)長內(nèi), 識別流數(shù)滿足預(yù)設(shè)條件的應(yīng)用協(xié)議所對應(yīng)的應(yīng)用特征信息����。其中生成模塊33 可以包括采集子模塊331、排名子模塊332和生成子模塊333���。
其中�,采集子模塊331,用于在設(shè)置的采集時(shí)間段內(nèi)��,對所有應(yīng)用協(xié)議 的識別流數(shù)進(jìn)行采集�。排名子模塊332,用于當(dāng)持續(xù)采集時(shí)間大于或等于設(shè) 置的所述有效釆集時(shí)長時(shí)��,對采集到的各種應(yīng)用協(xié)議的識別流數(shù)按照從大到 小的順序進(jìn)行排名���。生成子模塊333��,用于根據(jù)滿足排名在設(shè)置的選擇名次 之前�����、且識別流lt大于i更置的有效識別流數(shù)的應(yīng)用協(xié)i義所對應(yīng)的應(yīng)用特征信 息�,生成排名應(yīng)用特征庫�����。
此外,生成模塊33還可以包括更新子模塊334���,用于采集時(shí)間段開始 時(shí)�,重新采集并生成所述排名應(yīng)用特征庫�����。具體地����,預(yù)先設(shè)置生成排名應(yīng)用 特征庫的采集時(shí)間段、有效采集時(shí)長��、有效識別流數(shù)����、選擇名次等信息后, 生成模塊33根據(jù)采集時(shí)間段����、有效采集時(shí)長、有效識別流數(shù)�����、選擇名次等信 息,生成排名應(yīng)用特征庫��,生成排名應(yīng)用特征庫的過程可以為一個(gè)周期性的 過程��,可以預(yù)先設(shè)置一個(gè)更新周期例如一周���,到達(dá)更新周期的時(shí)候���,就可以 重新采集并生成排名應(yīng)用特征庫。此外����,如果完整應(yīng)用特征庫更新���,例如有 新的應(yīng)用協(xié)議的應(yīng)用特征信息時(shí)��,即使沒有到達(dá)更新周期�����,更新子模塊334 也可以采集并獲取排名在選擇名次及其之前的所有應(yīng)用協(xié)議的應(yīng)用特征信 息��,以便生成所述排名應(yīng)用特征庫���。
如果成功生成了排名應(yīng)用特征庫����,并且滿足設(shè)定的切換條件�,切換模塊 32可以決定是采用排名應(yīng)用特征庫還是完整應(yīng)用特征庫進(jìn)行流量沖企測。除前述的切換條件���,其切換條件也可以包括其他的情況����,在實(shí)施例不做限制��,例
如當(dāng)檢測到的應(yīng)用協(xié)議在流量檢測設(shè)備中的CPU占用率大于設(shè)置的CPU 占用率切換闊值�����,且持續(xù)的時(shí)間大于設(shè)定的保持時(shí)間時(shí)�,切換到預(yù)先生成的 排名應(yīng)用特征庫;或者�����,當(dāng)檢測到的應(yīng)用協(xié)議在流量檢測設(shè)備中的內(nèi)存占用 率大于設(shè)置的內(nèi)存占用率切換閾值,且持續(xù)的時(shí)間大于設(shè)定的保持時(shí)間時(shí)�, 切換到預(yù)先生成的排名應(yīng)用特征庫等。
其中生成排名應(yīng)用特征庫�����、根據(jù)切換條件進(jìn)行切換的具體方法���,可以采 用本發(fā)明實(shí)施例一����、二中的相關(guān)描述����。
本實(shí)施例生成模塊的各個(gè)子模塊將使用率高的部分應(yīng)用協(xié)議的應(yīng)用特征 信息生成排名應(yīng)用特征庫,在流量檢測設(shè)備的總流量��、包速率�、CPU占用率 或內(nèi)存占用率過高時(shí)�,在滿足切換條件的情況下第一、第二切換子模塊切換 到排名應(yīng)用特征庫進(jìn)行流量4全測�,在流量檢測設(shè)備的總流量、包速率、CPU 占用率或內(nèi)存占用率回落時(shí)��,在滿足切換條件的情況下�,可以切換回完整應(yīng) 用特征庫進(jìn)行流量檢測,可以降低識別流所消耗的資源��,在不增加部署成本 的情況下����,提高流量檢測的能力,節(jié)約系統(tǒng)資源���,并且切換方式靈活�����、適應(yīng) 性強(qiáng)���。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟 可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計(jì)算機(jī)可讀 取存儲介質(zhì)中�,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟��;而前述 的存儲介質(zhì)包括ROM��、 RAM、 ^茲碟或光盤等各種可以存儲程序代碼的介質(zhì)�����。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案�����,而非對其 限制��;盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明�,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或 者對其中部分技術(shù)特征進(jìn)行等同替換����;而這些修改或者替換,并不使相應(yīng)技
術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍�����。
1權(quán)利要求
1�����、一種流量檢測方法�,其特征在于,包括對所有的應(yīng)用特征信息對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測�;當(dāng)滿足應(yīng)用協(xié)議檢測切換條件時(shí),對預(yù)先生成的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測�。
2、 根據(jù)權(quán)利要求1所述的流量檢測方法�,其特征在于,所述預(yù)先生成的 排名應(yīng)用特征庫中的應(yīng)用特征信息為在有效采集時(shí)長內(nèi)�,識別流數(shù)滿足預(yù)設(shè) 條件的應(yīng)用協(xié)議所對應(yīng)的應(yīng)用特征信息。
3���、 根據(jù)權(quán)利要求2所述的流量檢測方法���,其特征在于,所述識別流數(shù)滿 足預(yù)設(shè)條件的應(yīng)用協(xié)議所對應(yīng)的應(yīng)用特征信息�,包括在設(shè)置的采集時(shí)間段內(nèi),當(dāng)持續(xù)釆集時(shí)間大于或等于設(shè)置的所述有效采 集時(shí)長時(shí)�����,對采集到的各種應(yīng)用協(xié)議的識別流數(shù)按照從大到小的順序進(jìn)行排 名�;滿足排名在設(shè)置的選擇名次之前、且識別流數(shù)大于設(shè)置的有效識別流數(shù) 的應(yīng)用協(xié)議所對應(yīng)的應(yīng)用特征信息�。
4、 根據(jù)權(quán)利要求1所述的流量檢測方法��,其特征在于,所述當(dāng)滿足應(yīng)用 協(xié)議檢測切換條件時(shí)��,對預(yù)先生成的排名應(yīng)用特征庫中的應(yīng)用特征信息所對 應(yīng)的應(yīng)用協(xié)議進(jìn)行流量4企測��,包括當(dāng)檢測到的應(yīng)用協(xié)議的總流量大于設(shè)置的流量切換閾值���,且持續(xù)的時(shí)間 大于設(shè)定的保持時(shí)間時(shí)�,切換到預(yù)先生成的排名應(yīng)用特征庫����,對預(yù)先生成的 排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測;或當(dāng)檢測到的應(yīng)用協(xié)議的包速率大于設(shè)置的包速率切換閾值��,且持續(xù)的時(shí) 間大于設(shè)定的保持時(shí)間時(shí)�,切換到預(yù)先生成的排名應(yīng)用特征庫,對預(yù)先生成 的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測�����。
5��、 根據(jù)權(quán)利要求l-4任一所述的流量檢測方法�,其特征在于,還包括 釆集時(shí)間段開始時(shí)���,重新采集并生成所述排名應(yīng)用特征庫���。
6、 一種流量檢測設(shè)備�,其特征在于,包括檢測模塊�,用于對所有的應(yīng)用特征信息對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測; 切換模塊�,用于當(dāng)滿足應(yīng)用協(xié)議檢測切換條件時(shí),對預(yù)先生成的排名應(yīng) 用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測����。
7、 根據(jù)權(quán)利要求6所述的流量檢測設(shè)備���,其特征在于�,所述切換模塊包括第一監(jiān)測子模塊�����,用于監(jiān)測應(yīng)用協(xié)議的總流量是否大于設(shè)置的流量切換 閾值��,且持續(xù)的時(shí)間是否大于設(shè)定的保持時(shí)間��;第 一切換子模塊,用于當(dāng)監(jiān)測到的應(yīng)用協(xié)議的總流量大于設(shè)置的流量切 換閾值���,且持續(xù)的時(shí)間大于設(shè)定的保持時(shí)間時(shí)�����,切換到預(yù)先生成的排名應(yīng)用 特征庫����,對預(yù)先生成的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議 進(jìn)行流量檢測�����;或者包括第二監(jiān)測子模塊�����,用于監(jiān)測應(yīng)用協(xié)議的包速率是否大于設(shè)置的包速率切 換閾值�,且持續(xù)的時(shí)間是否大于設(shè)定的保持時(shí)間;第二切換子模塊�����,用于當(dāng)監(jiān)測到的應(yīng)用協(xié)議的包速率大于設(shè)置的包速率切換閾值���,且持續(xù)的時(shí)間大于設(shè)定的保持時(shí)間時(shí)��,切換到預(yù)先生成的排名應(yīng) 用特征庫��,對預(yù)先生成的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié) 議進(jìn)行流量4企測��。
8�、 根據(jù)權(quán)利要求6或7所述的流量檢測設(shè)備�,其特征在于,還包括 生成模塊��,用于預(yù)先生成的排名應(yīng)用特征庫���,所述排名應(yīng)用特征庫中的應(yīng)用特征信息為在有效采集時(shí)長內(nèi)��,識別流數(shù)滿足預(yù)設(shè)條件的應(yīng)用協(xié)議所對 應(yīng)的應(yīng)用特4i信息�。
9���、 根據(jù)權(quán)利要求8所述的流量檢測設(shè)備�����,其特征在于�����,所述生成模塊包括采集子模塊����,用于在設(shè)置的采集時(shí)間段內(nèi),對所有應(yīng)用協(xié)議的識別流數(shù) 進(jìn)行采集���;排名子模塊�����,用于當(dāng)持續(xù)采集時(shí)間大于或等于設(shè)置的所述有效采集時(shí)長時(shí)�,對采集到的各種應(yīng)用協(xié)議的識別流數(shù)按照從大到小的順序進(jìn)行排名�;生成子模塊,用于根據(jù)滿足排名在設(shè)置的選擇名次之前����、且識別流數(shù)大 于設(shè)置的有效識別流數(shù)的應(yīng)用協(xié)議所對應(yīng)的應(yīng)用特征信息,生成排名應(yīng)用特 征庫�����。
10、根據(jù)權(quán)利要求8所述的流量檢測設(shè)備���,其特征在于�����,所述生成模塊 還包括更新子模塊��,用于采集時(shí)間段開始時(shí)�,重新采集并生成所述排名應(yīng)用特 征庫����。
全文摘要
本發(fā)明實(shí)施例提供一種流量檢測方法和設(shè)備�,其中該流量檢測方法包括對所有的應(yīng)用特征信息對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測;當(dāng)滿足應(yīng)用協(xié)議檢測切換條件時(shí)�,對預(yù)先生成的排名應(yīng)用特征庫中的應(yīng)用特征信息所對應(yīng)的應(yīng)用協(xié)議進(jìn)行流量檢測。本發(fā)明實(shí)施例采用僅包括常用的部分應(yīng)用協(xié)議的應(yīng)用特征信息的排名應(yīng)用特征庫進(jìn)行流量檢測�����,可以降低識別流所消耗的資源���,在不增加部署成本的情況下���,可以提高流量檢測的能力�,節(jié)約系統(tǒng)資源��。
文檔編號H04L29/06GK101645892SQ20091009158
公開日2010年2月10日 申請日期2009年8月26日 優(yōu)先權(quán)日2009年8月26日
發(fā)明者丁昊凱, 鋒 于, 竟 劉, 楊建平 申請人:成都市華為賽門鐵克科技有限公司