一种基于DFI和DPI的网络流量管控方法及管控系统技术方案

本发明专利技术公开一种基于DFI和DPI的网络流量管控方法及管控系统，涉及网络数据传输技术领域，用于减小网络流量的识别负担，提高网络流量的识别稳定性及其识别效率。该网络流量管控方法包括：获取网络流量的业务识别信息，并根据业务识别信息制定流量识别控制策略；按照流量识别控制策略配置样本模块，且控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别；DFI识别单元和/或DPI识别单元获得网络流量识别结果，并将网络流量识别结果存储至数据交换模块；数据交换模块将网络流量识别结果反馈至流量识别控制模块。本发明专利技术提供的基于DFI和DPI的网络流量管控方法及管控系统用于网络流量识别。

A network traffic control method based on DFI and DPI and its management and control system

The invention discloses a network traffic control and control system based on DFI and DPI, which involves the field of network data transmission technology, which is used to reduce the identification burden of network traffic, improve the recognition stability and recognition efficiency of network traffic. The network traffic control methods include: obtaining traffic identification information of network traffic, making traffic identification control strategy according to business identification information, configuring sample modules according to traffic identification control strategy, and controlling DFI identification unit and / or DPI identification unit for network traffic detection and recognition; DFI identification unit and / or DPI recognition. The network traffic recognition results are obtained and the network traffic recognition results are stored to the data exchange module, and the data exchange module feedback the network traffic recognition results to the flow recognition control module. The invention provides a network flow control method and a management and control system based on DFI and DPI for network traffic identification.

【技术实现步骤摘要】
一种基于DFI和DPI的网络流量管控方法及管控系统
本专利技术涉及网络数据传输
，尤其涉及一种基于DFI和DPI的网络流量管控方法及管控系统。
技术介绍
深度/动态流识别(Deep/DynamicFlowInspection,以下简称为DFI)和深度包识别(DeepPacketInspection，以下简称为DPI)属于两种不同的识别技术。其中，DFI用于根据不同业务类型流量对应的特征识别各种业务类型，而DPI用于深入识别数据包的内容及其有效负载。现有基于DFI和DPI的网络流量识别技术中，DFI样本模块和DPI样本模块独立设置；DFI识别单元通过获取网络流量的业务特征和DFI样本模块的DFI样本特征，并将二者进行比较，能够实现DFI识别单元对网络流量的DFI识别；DPI识别单元通过深入重组网络流量的应用层特征以及获取DPI样本模块的DPI样本特征，并将二者进行特征字匹配，能够实现DPI识别单元对网络流量的DPI识别。然而，由于DFI识别单元和DPI识别单元之间不存在相应的协调控制机制，当使用现有基于DFI和DPI的网络流量识别技术时，容易出现同一网络流量被DFI识别单元和DPI识别单元分别识别的现象，或者无需DPI识别单元识别的网络流量又被DPI识别单元识别的现象等，导致网络流量的识别进程中存在有冗余的识别进程，这样不仅降低了网络流量的识别效率，也会增加网络流量的识别负担，进而影响到网络流量的识别稳定性。
技术实现思路
本专利技术的目的在于提供一种基于DFI和DPI的网络流量管控方法及管控系统，用于减小网络流量的识别负担，提高网络流量的识别稳定性及其识别效率。为了实现上述目的，本专利技术提供如下技术方案：一种基于DFI和DPI的网络流量管控方法，包括：步骤1，流量识别控制模块获取网络流量的业务识别信息，并根据业务识别信息制定流量识别控制策略；步骤2，流量识别控制模块按照流量识别控制策略配置样本模块，且按照流量识别控制策略控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别；步骤3，DFI识别单元和/或DPI识别单元获得网络流量识别结果，并将网络流量识别结果存储至数据交换模块；步骤4，数据交换模块将网络流量识别结果反馈至流量识别控制模块。与现有技术相比，本专利技术提供的基于DFI和DPI的网络流量管控方法具有以下有益效果：在本专利技术提供的基于DFI和DPI的网络流量管控方法中，流量识别控制模块通过获取网络流量的业务识别信息，可以根据业务识别信息制定出流量识别控制策略；然后，按照该流量识别控制策略，流量识别控制模块能够配置样本模块，即对样本模块中的样本进行调配，以便在后续DFI识别单元和/或DPI识别单元对网络流量进行检测识别的过程中，减少DFI识别单元和/或DPI识别单元从样本模块中获取样本特征的时间，从而提高网络流量的识别效率。而且，按照该流量识别控制策略，流量识别控制模块还能够控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别，使得网络流量能够有针对性的被DFI识别单元和/或DPI识别单元检测识别，实现了流量识别控制模块对DFI识别单元和/或DPI识别单元的智能控制，从而避免在网络流量的识别进程中产生冗余的识别进程，能够减小网络流量的识别负担，从而提高网络流量的识别稳定性。本专利技术还提供了一种基于DFI和DPI的网络流量管控系统，包括流量识别控制模块以及分别与流量识别控制模块信号连接的样本模块、DFI识别单元、DPI识别单元和数据交换模块；其中，DFI识别单元还分别与样本模块和数据交换模块信号连接，DPI识别单元还分别与样本模块和数据交换模块信号连接；流量识别控制模块用于获取网络流量的业务识别信息，并根据业务识别信息制定流量识别控制策略；还用于根据流量识别控制策略配置样本模块，以及控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别；DFI识别单元和/或DPI识别单元用于根据流量识别控制模块的控制指令，对网络流量进行检测识别，获得网络流量识别结果；数据交换模块用于存储网络流量识别结果，以及将网络流量识别结果反馈至流量识别控制模块。与现有技术相比，本专利技术提供的基于DFI和DPI的网络流量管控系统所能实现的有益效果，与上述技术方案提供的基于DFI和DPI的网络流量管控方法所能达到的有益效果相同，在此不做赘述。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本专利技术的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1为本专利技术实施例提供的基于DFI和DPI的网络流量管控方法的流程图；图2为本专利技术实施例提供的基于DFI和DPI的网络流量管控系统的结构示意图一；图3为本专利技术实施例提供的基于DFI和DPI的网络流量管控系统的结构示意图二。附图标记：1-流量识别控制模块，2-样本模块，3-DFI识别单元，31-DFI分类训练模块，32-DFI流量检测模块，4-DPI识别单元，41-DPI分类训练模块，42-DPI流量检测模块，5-数据交换模块，6-GGSN，7-SGSN，8-PDN。具体实施方式为便于理解，下面结合说明书附图，对本专利技术实施例提供的基于DFI和DPI的网络流量管控方法及管控系统进行详细描述。请参阅图1，本专利技术实施例提供的基于DFI和DPI的网络流量管控方法包括：步骤S1，流量识别控制模块获取网络流量的业务识别信息，且根据业务识别信息制定流量识别控制策略。上述网络流量的业务识别信息可以根据实际需要自行设定，通常包括有网络流量的识别类型、识别需求和识别目的等。流量识别控制模块在获取网络流量的业务识别信息后，对该网络流量的业务识别信息进行解析，能够针对该网络流量制定出合理的流量识别控制策略。步骤S2，流量识别控制模块按照流量识别控制策略配置样本模块，且按照流量识别控制策略控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别。上述DFI识别单元和DPI识别单元共用同一样本模块；流量识别控制策略中制定的用于检测识别对应网络流量的识别单元，具体可以为DFI识别单元或DPI识别单元中任一种，也可以为DFI识别单元和DPI识别单元两种。步骤S3，DFI识别单元和/或DPI识别单元获得网络流量识别结果，并将网络流量识别结果存储至数据交换模块；步骤S4，数据交换模块将网络流量识别结果反馈至流量识别控制模块。在本专利技术实施例提供的基于DFI和DPI的网络流量管控方法中，流量识别控制模块通过获取网络流量的业务识别信息，可以根据业务识别信息制定出流量识别控制策略；然后，按照该流量识别控制策略，流量识别控制模块能够配置样本模块，即对样本模块中的样本进行调配，以便在后续DFI识别单元和/或DPI识别单元对网络流量进行检测识别的过程中，减少DFI识别单元和/或DPI识别单元从样本模块中获取样本特征的时间，从而提高网络流量的识别效率。而且，按照该流量识别控制策略，流量识别控制模块还能够控制DFI识别单元和/或DPI识别单元对网络流量进行检测识别，使得网络流量能够有针对性的被DFI识别单元和/或DPI识别单元检测识别，实现了流量识别控制模块对DFI识别单元和/或DPI识别单元的智能控制，从而避免在网络流量的识别进程中产生冗余的识别进程，能够减小网络流量的识本文档来自技高网...

【技术保护点】
1.一种基于深度/动态流识别DFI和深度包识别DPI的网络流量管控方法，其特征在于，包括：步骤1，流量识别控制模块获取网络流量的业务识别信息，并根据所述业务识别信息制定流量识别控制策略；步骤2，所述流量识别控制模块按照所述流量识别控制策略配置样本模块，且按照所述流量识别控制策略控制DFI识别单元和/或DPI识别单元对所述网络流量进行检测识别；步骤3，所述DFI识别单元和/或所述DPI识别单元获得网络流量识别结果，并将所述网络流量识别结果存储至数据交换模块；步骤4，所述数据交换模块将所述网络流量识别结果反馈至所述流量识别控制模块。

【技术特征摘要】
1.一种基于深度/动态流识别DFI和深度包识别DPI的网络流量管控方法，其特征在于，包括：步骤1，流量识别控制模块获取网络流量的业务识别信息，并根据所述业务识别信息制定流量识别控制策略；步骤2，所述流量识别控制模块按照所述流量识别控制策略配置样本模块，且按照所述流量识别控制策略控制DFI识别单元和/或DPI识别单元对所述网络流量进行检测识别；步骤3，所述DFI识别单元和/或所述DPI识别单元获得网络流量识别结果，并将所述网络流量识别结果存储至数据交换模块；步骤4，所述数据交换模块将所述网络流量识别结果反馈至所述流量识别控制模块。2.根据权利要求1所述的基于DFI和DPI的网络流量管控方法，其特征在于，步骤3中，所述DFI识别单元和/或所述DPI识别单元获得的网络流量识别结果包括：所述流量识别控制模块按照所述流量识别控制策略，控制所述DFI识别单元对所述网络流量进行检测识别时，所述DFI识别单元获得的DFI识别结果；或，所述流量识别控制模块按照所述流量识别控制策略，控制所述DPI识别单元对所述网络流量进行检测识别时，所述DPI识别单元获得的DPI识别结果；或，所述流量识别控制模块按照所述流量识别控制策略，依序控制所述DFI识别单元和所述DPI识别单元对所述网络流量进行检测识别时，所述DFI识别单元获得的DFI识别结果，以及所述DPI识别单元获得的DPI识别结果。3.根据权利要求2所述的基于DFI和DPI的网络流量管控方法，其特征在于，所述DFI识别单元包括DFI分类训练模块和DFI流量检测模块，所述DFI分类训练模块分别与所述流量识别控制模块、所述样本模块和所述DFI流量检测模块信号连接，所述DFI流量检测模块分别与所述流量识别控制模块和所述数据交换模块信号连接；所述流量识别控制模块按照所述流量识别控制策略，控制所述DFI识别单元对所述网络流量进行检测识别，包括：所述流量识别控制模块按照所述流量识别控制策略，依序启动所述DFI分类训练模块和所述DFI流量检测模块；所述DFI分类训练模块从所述样本模块中调取DFI样本特征，构建DFI识别模型；所述DFI流量检测模块对所述网络流量和所述DFI识别模型进行特征比较，获得DFI识别结果。4.根据权利要求2所述的基于DFI和DPI的网络流量管控方法，其特征在于，所述DPI识别单元包括DPI分类训练模块和DPI流量检测模块，所述DPI分类训练模块分别与所述流量识别控制模块、所述样本模块和所述DPI流量检测模块信号连...

【专利技术属性】
技术研发人员：龚子丹，李延斌，马瑞涛，穆佳，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京,11