專利名稱：一種應(yīng)用識別方法及其設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù)，尤其涉及應(yīng)用識別技術(shù)。
背景技術(shù)：
應(yīng)用識別是指依據(jù)應(yīng)用本身的特征，將承載在同一類型應(yīng)用協(xié)議上的不同應(yīng)用區(qū)分出來。目前，各類新的應(yīng)用層出不窮，極大的滿足了人們對內(nèi)容的需求，與此同時也帶來了新的更加復(fù)雜的安全風(fēng)險。對于一些非法的、未受控的應(yīng)用必須識別并加以控制，否則他們將利用網(wǎng)絡(luò)這一“封閉管道”擠占合法應(yīng)用帶寬，同時還會影響員工的工作效率?，F(xiàn)階段，采用端口方式進行應(yīng)用協(xié)議識別是最常用手段。但隨著各種網(wǎng)絡(luò)應(yīng)用的逐步豐富，這種基于端口來識別報文所屬協(xié)議類型的方法暴露出很大不足。因此開發(fā)了 DPI (Deep Packet Inspection，深度包檢測)和 DFI (De印 Flow Inspection，深度流檢測) 兩種技術(shù)。DPI技術(shù)是在分析報文頭的基礎(chǔ)上，結(jié)合不同應(yīng)用協(xié)議的“指紋”而綜合判斷出相應(yīng)應(yīng)用。DFI技術(shù)是基于一種流量行為的應(yīng)用識別技術(shù)，原理是不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同，基于此種不同可識別出相應(yīng)應(yīng)用。DPI技術(shù)基于特征匹配技術(shù)來實現(xiàn)，因此可準(zhǔn)確識別到具體應(yīng)用，其識別率較高， 通常識別率可達到90%以上。然而，雖然通常情況下不同應(yīng)用具有不同的“指紋”特征，但是在某些情況下，不同應(yīng)用可能具有非常相似的“指紋”特征，如某些“指紋”較短，此種情況下很可能會產(chǎn)生誤報。因此，DPI技術(shù)并不能準(zhǔn)確地識別出所有應(yīng)用。DFI技術(shù)基于網(wǎng)絡(luò)層、傳輸層信息、業(yè)務(wù)流持續(xù)時間、字節(jié)長度分布等參數(shù)進行統(tǒng)計分析而實現(xiàn)應(yīng)用識別。DFI技術(shù)對計算要求低，并且對新應(yīng)用支持效率高。然而，DFI無法很精準(zhǔn)地識別出具體應(yīng)用，如P2P加密類應(yīng)用等。此外，對于不同的應(yīng)用類型，由于可能存在較為相近的流量特征，因此采用DFI技術(shù)誤報率相對較高，如NAT之后的流量與P2P流量具有較大的相似性，因此采用DFI技術(shù)很可能會誤報，DFI識別準(zhǔn)確率在70% -80%左右。綜上所述，雖然目前有很多應(yīng)用識別方法，然而無論采用哪種方法，這些方法都在一定程度上存在誤識別率。因此，現(xiàn)有的任何一種應(yīng)用識別方法都在一定程度上存在誤識別率，進而很可能將用戶的關(guān)鍵流量誤識別，如果基于此種識別結(jié)果而被相應(yīng)策略封堵或者流控，就會極大降低用戶的滿意度。

發(fā)明內(nèi)容
本發(fā)明提供了一種能解決以上問題的應(yīng)用識別方法及其設(shè)備。在第一方面，本發(fā)明提供了一種應(yīng)用識別設(shè)備。該應(yīng)用識別設(shè)備接收來自用戶終端的數(shù)據(jù)流量，并根據(jù)該數(shù)據(jù)流量識別出相應(yīng)應(yīng)用。該應(yīng)用識別設(shè)備包括應(yīng)用分類模塊和策略模塊。該應(yīng)用分類模塊接收來自用戶終端的數(shù)據(jù)流量，并采用多種不同識別能力的模塊依次對該數(shù)據(jù)流量進行應(yīng)用識別，以便其中一個模塊識別出相應(yīng)應(yīng)用。該策略模塊接收來自所述應(yīng)用分類模塊的數(shù)據(jù)流量，并根據(jù)所述識別出應(yīng)用的模塊的識別能力級別，對該數(shù)據(jù)流量采用相應(yīng)級別的控制策略。在第二方面，本發(fā)明提供了一種應(yīng)用識別方法。該方法接收來自用戶終端的數(shù)據(jù)流量，采用多個不同識別能力的模塊依次對該數(shù)據(jù)流量進行應(yīng)用識別，以便其中一個模塊識別出相應(yīng)應(yīng)用。然后根據(jù)所述識別出應(yīng)用的模塊的識別能力級別，對所述數(shù)據(jù)流量采用相應(yīng)級別的控制策略。本發(fā)明采用分級方式識別應(yīng)用，并根據(jù)不同級別的識別采用相應(yīng)級別的策略，從而極大的提高了應(yīng)用識別準(zhǔn)確率，同時降低了誤識別率。因此，本發(fā)明提高了執(zhí)行效率，并且提升了用戶體驗。


下面將參照附圖對本發(fā)明的具體實施方案進行更詳細的說明，在附圖中圖1是本發(fā)明一個實施例的應(yīng)用識別系統(tǒng)示意圖；圖2是本發(fā)明一個實施例的應(yīng)用識別設(shè)備框圖。
具體實施例方式圖1是本發(fā)明一個實施例的應(yīng)用識別系統(tǒng)示意圖。該系統(tǒng)包括應(yīng)用識別設(shè)備120
和多個終端設(shè)備，該應(yīng)用識別設(shè)備120用于獲取各用戶終端(終端1、終端2，......終端
η)發(fā)送的數(shù)據(jù)流量，并對該數(shù)據(jù)流量采用分級識別方式，識別具體應(yīng)用，并根據(jù)該不同級別的識別而采用相應(yīng)級別的策略。其中，所識別出的應(yīng)用如聊天、論壇發(fā)帖、下載數(shù)據(jù)、登錄郵箱等等應(yīng)用。一個例子中，該分級識別為，先采用識別率最高的第一識別模塊識別數(shù)據(jù)流量，以得到相應(yīng)應(yīng)用；如果該第一識別模塊沒有識別出相應(yīng)應(yīng)用，則再采用識別率略低的第二識別模塊繼續(xù)識別；如果該第二識別模塊仍無法識別出應(yīng)用，則采用識別率更低的第三識別模塊進行識別，以此類推。另一個例子中，若由上述第一識別模塊識別出相應(yīng)應(yīng)用，則采用阻塞、流控、查詢?nèi)N策略對該數(shù)據(jù)流量進行控制；若由上述第二識別模塊識別出具體應(yīng)用，則采用流控、查詢兩種策略對該數(shù)據(jù)流量進行控制；若由上述第三識別模塊識別出具體應(yīng)用，則采用查詢策略。需要說明的是，該應(yīng)用識別設(shè)備120可以是一個獨立的設(shè)備，也可以以一個模塊形式存在于網(wǎng)關(guān)、上網(wǎng)行為管理等網(wǎng)絡(luò)設(shè)備中。圖2是本發(fā)明一個實施例的應(yīng)用識別設(shè)備框圖。該應(yīng)用識別設(shè)備120包括應(yīng)用分類模塊210和策略模塊220。其中，該應(yīng)用分類模塊210包括DPI模塊211、DFI模塊212、 FFC模塊213 ；該策略模塊220包括阻塞模塊221、流控模塊222、查詢模塊223。該DPI模塊211基于特征匹配技術(shù)來識別應(yīng)用，其識別能力相對于DFI模塊212 和FFC模塊213來說最強，通常能夠識別到具體的應(yīng)用。該DPI模塊211可采用現(xiàn)有的 DPI (Deep Packet Inspection，深度包檢測)技術(shù)。該DFI模塊212基于流量行為深度識別應(yīng)用，如通過對業(yè)務(wù)流持續(xù)時間、字節(jié)長
4度分布等參數(shù)進行統(tǒng)計分析，根據(jù)該分析結(jié)果來識別出相應(yīng)應(yīng)用。該DFI模塊212識別能力相對于DPI模塊211、FCC模塊213來說介于兩者之間。該DFI模塊212可采用現(xiàn)有的 DFI (Deep Flow Inspection，深度流檢測)技術(shù)。該FFC (flow feature classification，流特征分類)模塊213基于流量特征來識別連接，如通過正反向數(shù)據(jù)量的比值、數(shù)據(jù)包長的中位數(shù)等參數(shù)來識別連接。該FFC模塊 213相對于DPI模塊211、DFI模塊212來說，識別能力最弱。雖然DPI模塊211識別能力比DFI模塊212識別能力強，但是在某些情況下，DPI 模塊211無法識別出的應(yīng)用反而由DFI模塊212可以識別出。例如，若數(shù)據(jù)包是經(jīng)過加密傳輸?shù)?，則采用DPI模塊211就無法識別出應(yīng)用，而DFI模塊212卻能夠識別出應(yīng)用。因為應(yīng)用流的狀態(tài)行為特征不會因加密而發(fā)生根本改變。同樣，在有些情況下DPI模塊211和 DFI模塊212無法識別的應(yīng)用，F(xiàn)FC模塊213卻能夠識別出。下面詳細闡述分級識別方式及相應(yīng)分級控制策略。DPI模塊211接收來自用戶終端的數(shù)據(jù)流量，并通過深入讀取數(shù)據(jù)包載荷內(nèi)容來識別應(yīng)用。如果該DPI模塊211識別出具體應(yīng)用，則該DPI模塊211在該數(shù)據(jù)流量所屬連接上標(biāo)記“高置信度”，并將該已標(biāo)記“高置信度”連接的數(shù)據(jù)流量以及由該DPI模塊211所識別的結(jié)果發(fā)送至策略模塊220。該策略模塊220依據(jù)所標(biāo)記的“高置信度”，其將來自用戶終端的數(shù)據(jù)流量發(fā)送至阻塞模塊221。該阻塞模塊221根據(jù)DPI模塊211所識別出的結(jié)果，以及根據(jù)該阻塞模塊 221中的內(nèi)置策略，對來自用戶終端的數(shù)據(jù)流量進行阻塞分析，即判定是否對該數(shù)據(jù)流量進行阻塞，從而對該數(shù)據(jù)流量進行阻塞或者不阻塞。其中，該阻塞模塊221的內(nèi)置策略可配置。舉例如，若阻塞模塊221中的內(nèi)置策略為對“聊天”、“論壇發(fā)帖”應(yīng)用進行阻塞。 因此當(dāng)DPI模塊211識別結(jié)果為來自用戶終端的數(shù)據(jù)流量的應(yīng)用是“聊天”時，則阻塞模塊 221對該數(shù)據(jù)流量進行阻塞。當(dāng)DPI模塊211識別出該數(shù)據(jù)流量的應(yīng)用是“下載”時，則該阻塞模塊221不對該數(shù)據(jù)流量進行阻塞。此時該阻塞模塊221將該數(shù)據(jù)流量以及DPI模塊 211所識別出的結(jié)果發(fā)送至流控模塊222。該流控模塊222根據(jù)來自該阻塞模塊221的DPI模塊211所識別出的結(jié)果，以及根據(jù)該流控模塊222中的內(nèi)置策略，對來自該阻塞模塊221的數(shù)據(jù)流量進行流控分析，即判定是否對該數(shù)據(jù)流量進行流控，從而對該數(shù)據(jù)流量進行流控或者不流控。 舉例如，若流控模塊222中的內(nèi)置策略為當(dāng)下載流量大于256KBps時，對數(shù)據(jù)流量進行流控。因此當(dāng)所識別出的應(yīng)用是“下載數(shù)據(jù)”，且下載流量大于256KBps時，則該流控模塊222對該數(shù)據(jù)流量進行流控，將該下載流量控制在256KBps以內(nèi)。當(dāng)所識別出的應(yīng)用并非“下載數(shù)據(jù)”，或者當(dāng)數(shù)據(jù)流量小于256KBps時，則該流控模塊222將其接收到的數(shù)據(jù)流量以及由DPI模塊211所識別出的結(jié)果發(fā)送至查詢模塊223。該查詢模塊223基于用戶的選擇為用戶提供查詢功能，舉例如，為用戶提供識別結(jié)果、連接五元組(包括源IP地址、源端口、目的IP地址、目的端口、傳輸層協(xié)議號)、歷史日志等。較佳地，該查詢模塊223可通過柱狀圖、餅狀圖、走勢圖等圖表等方式為用戶提供相關(guān)信息。如果DPI模塊211沒有識別出應(yīng)用，既識別失敗，則其將數(shù)據(jù)流量發(fā)送至DFI模塊212，由該DFI模塊212繼續(xù)識別該數(shù)據(jù)流量以得到相應(yīng)應(yīng)用。如果該DFI模塊212能夠識別出相應(yīng)應(yīng)用，其在該數(shù)據(jù)流量所屬連接上標(biāo)記“中置信度”，并將該已標(biāo)記“中置信度”的數(shù)據(jù)流量以及該DFI模塊212所識別出的結(jié)果發(fā)送至策略模塊220。該策略模塊220依據(jù)所標(biāo)記的“中置信度”，將來自DPI模塊211的數(shù)據(jù)流量發(fā)送至流控模塊222。該流控模塊222根據(jù)DFI模塊212的識別結(jié)果，以及根據(jù)該流控模塊222 中的內(nèi)置策略，對該數(shù)據(jù)流量進行流控分析，即判定是否對該數(shù)據(jù)流量進行流控，從而對該數(shù)據(jù)流量進行流控或者不流控。其中，該流控模塊222的內(nèi)置策略可配置。具體流控方式參加前文對該流控模塊222所進行的闡述，在此不再贅述。該數(shù)據(jù)流量經(jīng)過該流控模塊222后，該流控模塊222將該已流控的數(shù)據(jù)流量(若需要流控)或者未流控的數(shù)據(jù)流量(若不需要流控)，以及DFI模塊212所識別出的結(jié)果發(fā)送至查詢模塊223，該查詢模塊223依據(jù)用戶選擇，提供查詢功能。如提供識別結(jié)果、連接五元組(包括源IP地址、源端口、目的IP地址、目的端口、傳輸層協(xié)議號)、歷史日志等。 較佳地，該查詢模塊223可通過柱狀圖、餅狀圖、走勢圖等圖表等方式提供相關(guān)信息查詢。如果DFI模塊212沒有識別出應(yīng)用，既識別失敗，則其將數(shù)據(jù)流量發(fā)送至FFC模塊 213，由該FFC模塊213繼續(xù)識別該數(shù)據(jù)流量以得到相應(yīng)應(yīng)用。如果該FFC模塊213能夠識別出相應(yīng)應(yīng)用，則其在該數(shù)據(jù)流量所屬連接上標(biāo)記“低置信度”，并將該已標(biāo)記“低置信度” 的數(shù)據(jù)流量以及該FFC模塊213所識別出的結(jié)果發(fā)送至策略模塊220。該策略模塊220依據(jù)所標(biāo)記的“低置信度”，將該數(shù)據(jù)流量發(fā)送至查詢模塊223。該查詢模塊223基于用戶的選擇為用戶提供信息查詢，如提供識別結(jié)果、連接五元組(包括源 IP地址、源端口、目的IP地址、目的端口、傳輸層協(xié)議號)、歷史日志等。較佳地，該查詢模塊223可通過柱狀圖、餅狀圖、走勢圖等圖表等方式提供相關(guān)信息查詢。綜上，本實施例對數(shù)據(jù)流量進行分級識別以及分級策略控制的方式是，先由識別能力強的模塊對數(shù)據(jù)流量進行識別，若識別成功，則采用與該模塊相應(yīng)的策略對數(shù)據(jù)流量進行控制；若識別失敗，再由識別能力弱的模塊對該數(shù)據(jù)流量繼續(xù)識別；若識別成功，則采用與該模塊相應(yīng)的策略對數(shù)據(jù)流量進行控制；以此類推。需要說明的是，本發(fā)明的分等級識別應(yīng)用，不限于先經(jīng)DPI模塊再經(jīng)DFI模塊最后由FFC模塊來識別，也可以先由DFI模塊再由DPI模塊最后由FFC模塊來識別，還可以先由 DPI模塊再由FFC模塊最后由DFI模塊來識別等多種分級識別方式。并且本發(fā)明也不限于以上三種識別模塊，其可以采用任意多種識別模塊來實現(xiàn)分等級識別。顯而易見，在不偏離本發(fā)明的真實精神和范圍的前提下，在此描述的本發(fā)明可以有許多變化。因此，所有對于本領(lǐng)域技術(shù)人員來說顯而易見的改變，都應(yīng)包括在本權(quán)利要求書所涵蓋的范圍之內(nèi)。本發(fā)明所要求保護的范圍僅由所述的權(quán)利要求書進行限定。
權(quán)利要求
1.一種應(yīng)用識別設(shè)備，其中，該設(shè)備接收來自用戶終端的數(shù)據(jù)流量，并根據(jù)該數(shù)據(jù)流量識別出相應(yīng)應(yīng)用，其特征在于，包括應(yīng)用分類模塊，接收來自用戶終端的數(shù)據(jù)流量，并采用多種不同識別能力的模塊依次對該數(shù)據(jù)流量進行應(yīng)用識別，以便其中一個模塊識別出相應(yīng)應(yīng)用；策略模塊，接收來自所述應(yīng)用分類模塊的數(shù)據(jù)流量，并根據(jù)所述識別出應(yīng)用的模塊的識別能力級別，對該數(shù)據(jù)流量采用相應(yīng)級別的控制策略。
2.如權(quán)利要求1所述的一種應(yīng)用識別設(shè)備，其特征在于，所述應(yīng)用分類模塊包括DPI模塊、DFI模塊、FFC模塊中的兩個或三個。
3.如權(quán)利要求2所述的一種應(yīng)用識別設(shè)備，其特征在于，所述DPI模塊與所述DFI模塊相連，所述DFI模塊與所述FFC模塊相連；且所述應(yīng)用分類模塊對所述數(shù)據(jù)流量進行識別的方式是，先由所述DPI模塊進行應(yīng)用識別，若識別失敗，則由所述DFI模塊進行應(yīng)用識別，若又識別失敗，則由所述FFC模塊進行應(yīng)用識別。
4.如權(quán)利要求2所述的一種應(yīng)用識別設(shè)備，其特征在于，所述策略模塊包括阻塞模塊、 流控模塊、查詢模塊中一個或多個。
5.如權(quán)利要求4所述的一種應(yīng)用識別設(shè)備，其特征在于，在由所述DPI模塊識別出應(yīng)用時，所述策略模塊采用的控制策略是，先經(jīng)所述阻塞模塊，再經(jīng)所述流控模塊，最后經(jīng)所述查詢模塊。
6.如權(quán)利要求4所述的一種應(yīng)用識別設(shè)備，其特征在于，在由所述DFI模塊識別出應(yīng)用時，所述策略模塊采用的控制策略是，先經(jīng)所述流控模塊，再經(jīng)所述查詢模塊。
7.如權(quán)利要求4所述的一種應(yīng)用識別設(shè)備，其特征在于，在由所述FFC模塊識別出應(yīng)用時，所述策略模塊采用的控制策略是所述查詢模塊。
8.一種應(yīng)用識別方法，其特征在于，包括接收來自用戶終端的數(shù)據(jù)流量，采用多個不同識別能力的模塊依次對該數(shù)據(jù)流量進行應(yīng)用識別，以便其中一個模塊識別出相應(yīng)應(yīng)用；根據(jù)所述識別出應(yīng)用的模塊的識別能力級別，對所述數(shù)據(jù)流量采用相應(yīng)級別的控制策略。
9.如權(quán)利要求8所述的一種應(yīng)用識別方法，其特征在于，所述識別步驟包括，先由識別能力強的模塊對數(shù)據(jù)流量進行識別，若識別失敗，則由識別能力弱的模塊對該數(shù)據(jù)流量繼續(xù)識別。
10.如權(quán)利要求8所述的一種應(yīng)用識別方法，其特征在于，所述識別步驟包括，由DPI模塊識別所述數(shù)據(jù)流量，若識別失敗，則由DFI模塊識別所述數(shù)據(jù)流量，若又識別失敗，則由 FFC模塊識別所述數(shù)據(jù)流量。
11.如權(quán)利要求10所述的一種應(yīng)用識別方法，其特征在于，在由所述DPI模塊識別出應(yīng)用時，則對該數(shù)據(jù)流量依次進行阻塞、流控、查詢控制策略。
12.如權(quán)利要求10所述的一種應(yīng)用識別方法，其特征在于，在由所述DFI模塊識別出應(yīng)用時，則對該數(shù)據(jù)流量依次進行流控、查詢控制策略。
13.如權(quán)利要求10所述的一種應(yīng)用識別方法，其特征在于，在由所述FFC模塊識別出應(yīng)用時，則對該數(shù)據(jù)流量進行查詢控制策略。
全文摘要
本發(fā)明涉及一種應(yīng)用識別方法及其設(shè)備。本發(fā)明提供了一種應(yīng)用識別設(shè)備。該應(yīng)用識別設(shè)備接收來自用戶終端的數(shù)據(jù)流量，并根據(jù)該數(shù)據(jù)流量識別出相應(yīng)應(yīng)用。該應(yīng)用識別設(shè)備包括應(yīng)用分類模塊和策略模塊。該應(yīng)用分類模塊接收來自用戶終端的數(shù)據(jù)流量，并采用多種不同識別能力的模塊依次對該數(shù)據(jù)流量進行應(yīng)用識別，以便其中一個模塊識別出相應(yīng)應(yīng)用。該策略模塊接收來自所述應(yīng)用分類模塊的數(shù)據(jù)流量，并根據(jù)所述識別出應(yīng)用的模塊的識別能力級別，對該數(shù)據(jù)流量采用相應(yīng)級別的控制策略。本發(fā)明通過本發(fā)明提高了執(zhí)行效率，并且提升了用戶體驗，能夠應(yīng)用于網(wǎng)絡(luò)行為管理中。
文檔編號H04L12/56GK102201982SQ20111011040
公開日2011年9月28日 申請日期2011年4月29日 優(yōu)先權(quán)日2011年4月29日
發(fā)明者劉林, 梁志勇, 陳鑫 申請人:北京網(wǎng)康科技有限公司