本发明专利技术涉及一种应用识别方法及其设备。本发明专利技术提供了一种应用识别设备。该应用识别设备接收来自用户终端的数据流量,并根据该数据流量识别出相应应用。该应用识别设备包括应用分类模块和策略模块。该应用分类模块接收来自用户终端的数据流量,并采用多种不同识别能力的模块依次对该数据流量进行应用识别,以便其中一个模块识别出相应应用。该策略模块接收来自所述应用分类模块的数据流量,并根据所述识别出应用的模块的识别能力级别,对该数据流量采用相应级别的控制策略。本发明专利技术通过本发明专利技术提高了执行效率,并且提升了用户体验,能够应用于网络行为管理中。
【技术实现步骤摘要】
本专利技术涉及计算机网络技术,尤其涉及应用识别技术。
技术介绍
应用识别是指依据应用本身的特征,将承载在同一类型应用协议上的不同应用区分出来。目前,各类新的应用层出不穷,极大的满足了人们对内容的需求,与此同时也带来了新的更加复杂的安全风险。对于一些非法的、未受控的应用必须识别并加以控制,否则他们将利用网络这一“封闭管道”挤占合法应用带宽,同时还会影响员工的工作效率。现阶段,采用端口方式进行应用协议识别是最常用手段。但随着各种网络应用的逐步丰富,这种基于端口来识别报文所属协议类型的方法暴露出很大不足。因此开发了 DPI (Deep Packet Inspection,深度包检测)和 DFI (De印 Flow Inspection,深度流检测) 两种技术。DPI技术是在分析报文头的基础上,结合不同应用协议的“指纹”而综合判断出相应应用。DFI技术是基于一种流量行为的应用识别技术,原理是不同的应用类型体现在会话连接或数据流上的状态各有不同,基于此种不同可识别出相应应用。DPI技术基于特征匹配技术来实现,因此可准确识别到具体应用,其识别率较高, 通常识别率可达到90%以上。然而,虽然通常情况下不同应用具有不同的“指纹”特征,但是在某些情况下,不同应用可能具有非常相似的“指纹”特征,如某些“指纹”较短,此种情况下很可能会产生误报。因此,DPI技术并不能准确地识别出所有应用。DFI技术基于网络层、传输层信息、业务流持续时间、字节长度分布等参数进行统计分析而实现应用识别。DFI技术对计算要求低,并且对新应用支持效率高。然而,DFI无法很精准地识别出具体应用,如P2P加密类应用等。此外,对于不同的应用类型,由于可能存在较为相近的流量特征,因此采用DFI技术误报率相对较高,如NAT之后的流量与P2P流量具有较大的相似性,因此采用DFI技术很可能会误报,DFI识别准确率在70% -80%左右。综上所述,虽然目前有很多应用识别方法,然而无论采用哪种方法,这些方法都在一定程度上存在误识别率。因此,现有的任何一种应用识别方法都在一定程度上存在误识别率,进而很可能将用户的关键流量误识别,如果基于此种识别结果而被相应策略封堵或者流控,就会极大降低用户的满意度。
技术实现思路
本专利技术提供了一种能解决以上问题的应用识别方法及其设备。在第一方面,本专利技术提供了一种应用识别设备。该应用识别设备接收来自用户终端的数据流量,并根据该数据流量识别出相应应用。该应用识别设备包括应用分类模块和策略模块。该应用分类模块接收来自用户终端的数据流量,并采用多种不同识别能力的模块依次对该数据流量进行应用识别,以便其中一个模块识别出相应应用。该策略模块接收来自所述应用分类模块的数据流量,并根据所述识别出应用的模块的识别能力级别,对该数据流量采用相应级别的控制策略。在第二方面,本专利技术提供了一种应用识别方法。该方法接收来自用户终端的数据流量,采用多个不同识别能力的模块依次对该数据流量进行应用识别,以便其中一个模块识别出相应应用。然后根据所述识别出应用的模块的识别能力级别,对所述数据流量采用相应级别的控制策略。本专利技术采用分级方式识别应用,并根据不同级别的识别采用相应级别的策略,从而极大的提高了应用识别准确率,同时降低了误识别率。因此,本专利技术提高了执行效率,并且提升了用户体验。附图说明下面将参照附图对本专利技术的具体实施方案进行更详细的说明,在附图中图1是本专利技术一个实施例的应用识别系统示意图;图2是本专利技术一个实施例的应用识别设备框图。具体实施例方式图1是本专利技术一个实施例的应用识别系统示意图。该系统包括应用识别设备120和多个终端设备,该应用识别设备120用于获取各用户终端(终端1、终端2,......终端η)发送的数据流量,并对该数据流量采用分级识别方式,识别具体应用,并根据该不同级别的识别而采用相应级别的策略。其中,所识别出的应用如聊天、论坛发帖、下载数据、登录邮箱等等应用。一个例子中,该分级识别为,先采用识别率最高的第一识别模块识别数据流量,以得到相应应用;如果该第一识别模块没有识别出相应应用,则再采用识别率略低的第二识别模块继续识别;如果该第二识别模块仍无法识别出应用,则采用识别率更低的第三识别模块进行识别,以此类推。另一个例子中,若由上述第一识别模块识别出相应应用,则采用阻塞、流控、查询三种策略对该数据流量进行控制;若由上述第二识别模块识别出具体应用,则采用流控、查询两种策略对该数据流量进行控制;若由上述第三识别模块识别出具体应用,则采用查询策略。需要说明的是,该应用识别设备120可以是一个独立的设备,也可以以一个模块形式存在于网关、上网行为管理等网络设备中。图2是本专利技术一个实施例的应用识别设备框图。该应用识别设备120包括应用分类模块210和策略模块220。其中,该应用分类模块210包括DPI模块211、DFI模块212、 FFC模块213 ;该策略模块220包括阻塞模块221、流控模块222、查询模块223。该DPI模块211基于特征匹配技术来识别应用,其识别能力相对于DFI模块212 和FFC模块213来说最强,通常能够识别到具体的应用。该DPI模块211可采用现有的 DPI (Deep Packet Inspection,深度包检测)技术。该DFI模块212基于流量行为深度识别应用,如通过对业务流持续时间、字节长4度分布等参数进行统计分析,根据该分析结果来识别出相应应用。该DFI模块212识别能力相对于DPI模块211、FCC模块213来说介于两者之间。该DFI模块212可采用现有的 DFI (Deep Flow Inspection,深度流检测)技术。该FFC (flow feature classification,流特征分类)模块213基于流量特征来识别连接,如通过正反向数据量的比值、数据包长的中位数等参数来识别连接。该FFC模块 213相对于DPI模块211、DFI模块212来说,识别能力最弱。虽然DPI模块211识别能力比DFI模块212识别能力强,但是在某些情况下,DPI 模块211无法识别出的应用反而由DFI模块212可以识别出。例如,若数据包是经过加密传输的,则采用DPI模块211就无法识别出应用,而DFI模块212却能够识别出应用。因为应用流的状态行为特征不会因加密而发生根本改变。同样,在有些情况下DPI模块211和 DFI模块212无法识别的应用,FFC模块213却能够识别出。下面详细阐述分级识别方式及相应分级控制策略。DPI模块211接收来自用户终端的数据流量,并通过深入读取数据包载荷内容来识别应用。如果该DPI模块211识别出具体应用,则该DPI模块211在该数据流量所属连接上标记“高置信度”,并将该已标记“高置信度”连接的数据流量以及由该DPI模块211所识别的结果发送至策略模块220。该策略模块220依据所标记的“高置信度”,其将来自用户终端的数据流量发送至阻塞模块221。该阻塞模块221根据DPI模块211所识别出的结果,以及根据该阻塞模块 221中的内置策略,对来自用户终端的数据流量进行阻塞分析,即判定是否对该数据流量进行阻塞,从而对该数据流量进行阻塞或者不阻塞。其中,该阻塞模块221的内置策略可配置。举例如,若本文档来自技高网...
【技术保护点】
1.一种应用识别设备,其中,该设备接收来自用户终端的数据流量,并根据该数据流量识别出相应应用,其特征在于,包括:应用分类模块,接收来自用户终端的数据流量,并采用多种不同识别能力的模块依次对该数据流量进行应用识别,以便其中一个模块识别出相应应用;策略模块,接收来自所述应用分类模块的数据流量,并根据所述识别出应用的模块的识别能力级别,对该数据流量采用相应级别的控制策略。
【技术特征摘要】
1.一种应用识别设备,其中,该设备接收来自用户终端的数据流量,并根据该数据流量识别出相应应用,其特征在于,包括应用分类模块,接收来自用户终端的数据流量,并采用多种不同识别能力的模块依次对该数据流量进行应用识别,以便其中一个模块识别出相应应用;策略模块,接收来自所述应用分类模块的数据流量,并根据所述识别出应用的模块的识别能力级别,对该数据流量采用相应级别的控制策略。2.如权利要求1所述的一种应用识别设备,其特征在于,所述应用分类模块包括DPI模块、DFI模块、FFC模块中的两个或三个。3.如权利要求2所述的一种应用识别设备,其特征在于,所述DPI模块与所述DFI模块相连,所述DFI模块与所述FFC模块相连;且所述应用分类模块对所述数据流量进行识别的方式是,先由所述DPI模块进行应用识别,若识别失败,则由所述DFI模块进行应用识别,若又识别失败,则由所述FFC模块进行应用识别。4.如权利要求2所述的一种应用识别设备,其特征在于,所述策略模块包括阻塞模块、 流控模块、查询模块中一个或多个。5.如权利要求4所述的一种应用识别设备,其特征在于,在由所述DPI模块识别出应用时,所述策略模块采用的控制策略是,先经所述阻塞模块,再经所述流控模块,最后经所述查询模块。6.如权利要求4所述的一种应用识别设备,其特征在于,在由所述DFI模块识别出应用时,所述策略...
【专利技术属性】
技术研发人员:刘林,陈鑫,梁志勇,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。