本发明专利技术公开了一种网络即时通信工具流量识别系统及识别方法,其系统包括:流量识别预处理模块:用于加载正则DFA算法以及将网络即时通信工具的强特征序列转换为正则表达式的形式;UDP网络流识别处理模块:根据正则DFA算法判断出网络即时通信工具的UDP网络流,并写入网络即时通信工具UDP的节点信息表;TCP网络流识别处理模块:根据所述网络即时通信工具UDP的节点信息表,判断出网络即时通信工具的TCP网络流,并写入网络即时通信工具TCP的节点信息表;网络流数据统计模块:用于统计网络即时通信工具UDP的节点信息表和网络即时通信工具TCP的节点信息表中流量数据,并显示。本发明专利技术具有快速识别的特点,非常易于对于网络中网络即时通信工具应用流量的管控和处理。
【技术实现步骤摘要】
本专利技术涉及网络
,特别涉及一种。
技术介绍
在过去的十年时间里,网络即时通信工具作为一种方便、实用的通信工具由于其稳定的通话质量、安全的通信模式,因而获得了全世界范围的普及。在网络管理方面,也迫切需要对网络即时通信工具的网络性能进行优化,以提高互联网用户的体验。因此,研究如何在网络流量中识别和管理网络即时通信工具通信流量,具有很强的学术意义和实用价值,是学术界和工业界的研究热点。然而,网络管理者对于在网络流量中识别网络即时通信工具流量面临着极大的挑战,主要包含以下几点原因1、网络即时通信工具是一个全球性的P2P VoIP网络,其主要构成成分包含普通节点(客户端)、超级节点(SN)以及登录服务器,采用传统流量识别技术的方法已经失效;2、网络即时通信工具具备多样化的通信模式,包括语音通话、即时消息、文件传输和视频会议,同时还可以正常工作在NAT和防火墙后;3、网络即时通信工具采用动态传输端口对数据流进行加密传输,能抵抗窥探等各种非法行为,并加大安全系数,以保护其不被逆向破解。综合以上原因,虽然已有大量的研究人员提出了多种方法来识别网络即时通信工具流量,但不幸的是,这些方法大多属于粗粒度的解决方案,不能很好地识别每一条网络即时通信工具产生的流量,在细粒度识别方面存在缺陷。因此,针对这些问题和需求,迫切需要引入新的思路和方法,来解决网络即时通信工具网络流的识别问题, 并使之更适用于网络管理系统(匪S)。
技术实现思路
(一)要解决的技术问题本专利技术要解决的技术问题是,针对现有技术的不足,提供一种,够有效识别网络即时通信工具在通信过程中产生的所有网络流,且具有准确度高、误报率低、识别快速的特点。(二)技术方案本专利技术提供一种网络即时通信工具流量识别系统,包括流量识别预处理模块、UDP网络流识别处理模块、TCP网络流识别处理模块和网络流数据统计模块,其中流量识别预处理模块,用于加载正则DFA算法以及将网络即时通信工具的强特征序列转换为正则表达式的形式;UDP网络流识别处理模块,根据正则DFA算法判断出网络即时通信工具的UDP网络流,并写入网络即时通信工具m)P的节点信息表;TCP网络流识别处理模块,根据所述网络即时通信工具UDP的节点信息表,判断出网络即时通信工具的TCP网络流,并写入网络即时通信工具TCP的节点信息表;网络流数据统计模块,用于统计网络即时通信工具UDP的节点信息表和网络即时通信工具TCP的节点信息表中流量数据,并显示。 其中,所述网络流量数据统计模块统计出的流量数据包括网络流的大小和数据包的数目。本专利技术还一种网络即时通信工具流量识别方法,包括如下步骤S1:流量识别预处理模块对网络流量处理接口系统加载,用于通过网络流量处理接口建立TCP和UDP流量表;S2 :流量识别预处理模块对加载正则DFA算法以及将网络即时通信工具的强特征序列转换为正则表达式的形式;S3 =UDP网络流识别处理模块根据五元组确定网络流,对每条所述网络流中的每个UDP数据包进行解析,并判断出所述UDP数据包所在的网络流为网络即时通信工具的网络流;S4 =UDP网络流识别处理模块根据S2中的正则DFA算法对S3中的网络即时通信工具网络流进行匹配判断出S3中的五元组网络流是否为网络即时通信工具网络流,如果是则写入网络即时通信工具UDP的节点信息表;S5 =TCP网络流识别处理模块根据TCP服务器列表判断出TCP网络流是否为网络即时通信工具的TCP网络流,如果是则进入S6 ;S6 =TCP网络流识别处理模块根据网络即时通信工具UDP的节点信息表,判断S5中的网络即时通信工具的TCP网络流是否为网络即时通信工具的网络流,如果是则写入网络即时通信工具TCP的节点信息表;S7 :根据S4和S6得到的网络即时通信工具UDP的节点信息表和网络即时通信工具TCP的节点信息表进行统计,统计出流量数据并显示。其中,S3具体包括通过判断UDP数据包的纯载荷长度是否达到指定长度3,如果大于3个字节,则判断此UDP数据包所在的网络流为网络即时通信工具的网络流。其中,S4具体包括提取S2中正则加载的强特征序列转换为的正则表达式的第3个字节位置的字节值,将该字节值带入正则DFA算法进行匹配搜索,如果匹配成功,则证明五元组网络流是网络即时通信工具网络流,并写入网络即时通信工具UDP的节点信息表。其中,S4中的匹配搜索步骤如下S41 :如果属于五元组网络流的首个数据包,则初始化此网络流的DFA状态值为0,此状态值代表正则有限状态机中的状态号,否则读取已保存的此网络流的DFA状态值;S42 :提取UDP数据包载荷中指定位置的字节值,将此字节值与所在网络流的DFA状态值作为形参共同传入DFA状态机进行状态转换,其中DFA状态值代表DFA状态机的指定状态,字节值代表此指定状态要输入的数据,通过这种状态转换,得到此网络流的新的状态值;S43:判断此网络流新的状态值是否属于匹配成功状态,若是则返回匹配成功,若不是则返回新的状态值。其中,S5具体包括S51 :解析TCP网络流中的IP数据包,提取其IP源地址和目的地址;S52 :根据TCP服务器IP列表判断IP源和目的地址是否存在网络即时通信工具通信交互服务器,如果存在,则此网络流为网络即时通信工具的TCP网络流,否则执行S53 ;S53 :进一步通过机器学习的方法判断TCP网络流是否属于网络即时通信工具的TCP网络流。其中,S6具体包括S61 :查询网络即时通信工具UDP的节点信息表,如果IPa已被所述UDP网络流识别处理模块判断为网络即时通信工具节点,则IPa相关的TCP网络流则为网络即时通信工具的TCP网络流,如果IPb已被所述UDP网络流识别处理模块判断为非网络即时通信工具节点,则IPb相关的TCP网络流则确定为非网络即时通信工具的TCP网络流;S62 :如果网络即时通信工具UDP的节点信息表中未能找到IPc的信息,则默认为非网络即时通信工具的TCP网络流。其中,在S7中流量数据包括流量的大小以及数据包数目。(三)有益效果本专利技术的方法可以应用于网络即时通信工具应用的流量识别,由于采用的识别方法是基于强特征序列的,根据实验测试,它的准确率很高、且误报率极低。另外,因为用于网络即时通信工具的强特征序列只需要检测一条网络流的前几个数据包即可,因此具有快速识别的特点,非常易于对于网络中网络即时通信工具应用流量的管控和处理。附图说明图1是本专利技术网络即时 通信工具流量识别方法步骤流程图;图2是本专利技术网络即时通信工具强特征序列正则表达式示意图。具体实施例方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。本专利技术提供一种网络即时通信工具流量识别系统,包括流量识别预处理模块、UDP网络流识别处理模块、TCP网络流识别处理模块和网络流数据统计模块,其中流量识别预处理模块,用于加载正则DFA算法以及将网络即时通信工具的强特征序列转换为正则表达式的形式;UDP网络流识别处理模块,根据正则DFA算法判断出网络即时通信工具的UDP网络流,并写入网络即时通信工具m)P的节点信息表;TCP网络流识别处理模块,根据所述网络即时通信工具UDP的节点信息表,判断出网络即时通信工本文档来自技高网...
【技术保护点】
一种网络即时通信工具流量识别系统,其特征在于,包括:流量识别预处理模块、UDP网络流识别处理模块、TCP网络流识别处理模块和网络流数据统计模块,其中:流量识别预处理模块,用于加载正则DFA算法以及将网络即时通信工具的强特征序列转换为正则表达式的形式;UDP网络流识别处理模块,根据正则DFA算法判断出网络即时通信工具的UDP网络流,并写入网络即时通信工具UDP的节点信息表;TCP网络流识别处理模块,根据所述网络即时通信工具UDP的节点信息表,判断出网络即时通信工具的TCP网络流,并写入网络即时通信工具TCP的节点信息表;网络流数据统计模块,用于统计网络即时通信工具UDP的节点信息表和网络即时通信工具TCP的节点信息表中流量数据,并显示。
【技术特征摘要】
1.一种网络即时通信工具流量识别系统,其特征在于,包括流量识别预处理模块、UDP网络流识别处理模块、TCP网络流识别处理模块和网络流数据统计模块,其中 流量识别预处理模块,用于加载正则DFA算法以及将网络即时通信工具的强特征序列转换为正则表达式的形式; UDP网络流识别处理模块,根据正则DFA算法判断出网络即时通信工具的UDP网络流,并写入网络即时通信工具Μ)Ρ的节点信息表; TCP网络流识别处理模块,根据所述网络即时通信工具UDP的节点信息表,判断出网络即时通信工具的TCP网络流,并写入网络即时通信工具TCP的节点信息表; 网络流数据统计模块,用于统计网络即时通信工具UDP的节点信息表和网络即时通信工具TCP的节点信息表中流量数据,并显示。2.如权利要求1所述的系统,其特征在于,所述网络流量数据统计模块统计出的流量数据包括网络流的大小和数据包的数目。3.—种网络即时通信工具流量识别方法,其特征在于,包括如下步骤 s1:流量识别预处理模块对网络流量处理接口系统加载,用于通过网络流量处理接口建立TCP和UDP流量表; s2:流量识别预处理模块对加载正则DFA算法以及将网络即时通信工具的强特征序列转换为正则表达式的形式; s3=UDP网络流识别处理模块根据五元组确定网络流,对每条所述网络流中的每个UDP数据包进行解析,并判断出所述UDP数据包所在的网络流为网络即时通信工具的网络流; s4=UDP网络流识别处理模块根据S2中的正则DFA算法对S3中的网络即时通信工具网络流进行匹配判断出S3中的五元组网络流是否为网络即时通信工具网络流,如果是则写入网络即时通信工具Μ)Ρ的节点信息表; s5=TCP网络流识别处理模块根据TCP服务器列表判断出TCP网络流是否为网络即时通信工具的TCP网络流,如果是则进入S6 ; s6=TCP网络流识别处理模块根据网络即时通信工具UDP的节点信息表,判断S5中的网络即时通信工具的TCP网络流是否为网络即时通信工具的网络流,如果是则写入网络即时通信工具TCP的节点信息表; s7根据S4和S6得到的网络即时通信工具UDP的节点信息表和网络即时通信工具TCP的节点信息表进行统计,统计出流量数据并显示。4.如权利要求3所述的方法,其特征在于,S3具体包括通过判...
【专利技术属性】
技术研发人员:薛一波,袁振龙,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。