本发明专利技术属于互联网网络流量智能检测领域,提供一种基于蚁群寻优及分层DPI的网络流量检测方法,其特征在于,包含:步骤1:根据网络流量检测及控制的强度需求,将DPI层级划分为多个检测层级;步骤2:遵循蚁群算法,把所获取的网络数据包按划分的DPI层级进行网络数据包层级寻优;步骤3:根据每个网络数据包的选择层级实施具体层级的DPI流量检测。本发明专利技术采用改进蚁群算法的网络数据包检测层级寻优技术,使得不同应用场景下、不同应用类型的网络数据能够实施不同深度的网络数据包检测,并且网络数据包都能够根据自身的应用场景及应用类型所要求的DPI深度选择合适的DPI层次,从而减轻整个系统的性能负担,适宜广泛应用。
【技术实现步骤摘要】
一种基于蚁群寻优及分层DPI的网络流量检测方法
本专利技术是一种互联网网络流量智能检测的方法,更具体的说,涉及一种采用蚁群算法进行寻优并采用分层DPI检测的互联网网络流量检测方法。
技术介绍
在日益复杂的网络环境下,网络恶意数据流、不正当的应用数据等都给用户带来了不利的影响,网络中的恶意攻击会使一定范围内的网络状况变得糟糕,严重影响正常的网络应用;而不正常的应用数据(如企业局域网内的娱乐应用数据等)会一定程度上影响正常业务应用数据的通信。因此网络管理人员期望能够以一定的方法实现对一定范围内的网络数据进行检测和监控,如屏蔽异常流量、控制非业务数据以及定向数据跳转等。目前,互联网网络流量检测及控制有以下几种方式:1.纯手工方式:即在一定现实条件达到时,如特定时间点的到来或时间段的结束,切断或恢复一定范围内的网络连接,从而实现对网络流量的截断和放行。此方法虽然能够完全实现网络流量的截断和放行,但是不适用于对部分网络流量的控制,不适合大量类型网络流量的监控。2.限制源IP地址及端口方式:即对特定源IP地址及特定源端口网络数据的阻截,如需要在一定网络范围内限定web服务时,可以限定该网络范围内传输端口为80的网络数据流。该方法能实现网络流量黑、白名单机制,但对于未知网络流量及海量源IP及端口的限定而言显得不切实际。3.通过网络流量特征行为提取,并加以智能学习算法实现对网络流量的分类检测和限制,该方法能够实现对各种网络流量的检测,但智能学习时却面临着一定程度的误检和误测,不能实现对所有网络数据的准确检测和分类。4.采用深度数据包检测技术(全称DeepPacketInspection,简称DPI)方式:是一种基于应用层的流量检测和控制技术,当网络数据流通过基于DPI技术的网络流量管理系统时,该系统通过深入读取IP包载荷的内容来对开放式系统互联(全称OpenSystemInterconnect,简称OSI)七层协议中的应用层信息进行重组,从而得到整个应用程序的内容。基于完备的DPI技术可以实现对所有网络数据的检测和控制,采用该方法能够达到较为理想的检测准确率,但是DPI的过程复杂度较高,全面DPI的实施将降低整个网络数据的流通性,一定程度上会妨碍各类应用实时性的保证,并且对于流控需求较为简单的场景下,显得过于费时费力。因此,互联网络流量智能检测领域,需要一种互联网网络流量检测方法,使得不同应用场景下、不同应用类型的网络数据能够实施不同深度的网络数据包检测,并且网络数据包都能够根据自身的应用场景及应用类型所要求的DPI深度选择合适的DPI层次,从而减轻整个系统的性能负担,适宜广泛应用。
技术实现思路
本专利技术就是为了解决粉互联网流量检测不能根据不同应用场景实施不同深度的网络数据包检测的问题,提供一种基于蚁群寻优及分层DPI的网络流量检测方法,本专利技术的技术方案如下:一种基于蚁群寻优及分层DPI的网络流量检测方法,其特征在于,包含:步骤1:根据网络流量检测及控制的强度需求,将DPI层级划分为多个检测层级;步骤2:遵循蚁群算法,把所获取的网络数据包按划分的DPI层级进行网络数据包层级寻优;具体为:接收到的网络数据包会去检测是否有相同网络数据包留下的“信息素”;若有,则继续判断是否按照已留下的“信息素”选择层级,若是,则按照已留下的“信息素”选择DPI层级进行相应的DPI检测,并留下自己的“信息素”,若不按照已留下的“信息素”选择层级,则随机选择任意一层DPI层级进行相应的检测,并留下自己的“信息素”;若未检测到相同网络数据包留下的“信息素”,则随机选择任一层DPI层进行相应的检测,并留下自己的“信息素”;步骤3:根据每个网络数据包的选择层级实施具体层级的DPI流量检测。如上的一种基于蚁群寻优及分层DPI的网络流量检测方法,其中,该步骤1中,所述多个检测层级为PI层、初级DPI层、中级DPI层及高级DPI层。如上的一种基于蚁群寻优及分层DPI的网络流量检测方法,其中,该步骤2中,所述网络数据包包含信息素。如上的一种基于蚁群寻优及分层DPI的网络流量检测方法,其中,该信息素包含IP地址、源端口和数据包。如上的一种基于蚁群寻优及分层DPI的网络流量检测方法,其中,该步骤3中,所述DPI流量检测包含基于“特征字”的识别技术、应用网关识别技术和行为模式识别技术中至少一种技术。本专利技术的有益效果是:1.本专利技术使得不同应用场景下、不同应用类型的网络数据能够实施不同深度的网络数据包检测,从而避免简单数据包检测需求时采取完备DPI所带来的资源浪费及效率低下的问题。2.本专利技术提出的基于蚁群算法的寻优方法使得每个要进行分层DPI的网络数据包都能够根据自身的应用场景及应用类型所要求的DPI深度选择合适的DPI层次,从而减轻整个系统的性能负担。3.本专利技术提出了一种蚁群算法中的多维“信息素”结构,使得“信息素”不仅能表征数据包的层级选择结果,而且能表征数据包的来源类型,使得蚁群算法更好地应用在一次多项选择层级寻优过程中。附图说明下面结合附图和具体实施方式来详细说明本专利技术:图1为本专利技术基于蚁群寻优及分层DPI的网络流量检测方法的流程图。图2为本专利技术基于蚁群寻优及分层DPI的网络流量检测方法步骤2中利用蚁群算法进行数据包寻优的流程图。图3为本专利技术基于蚁群寻优及分层DPI的网络流量检测方法步骤2中蚁群算法用于常规路径寻优的示意图。图4为本专利技术基于蚁群寻优及分层DPI的网络流量检测方法步骤2中蚁群算法用于一次多项路径寻优的示意图。图5为本专利技术基于蚁群寻优及分层DPI的网络流量检测方法步骤2中应用蚁群算法进行DPI层次寻优过程的示意图。具体实施方式为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本专利技术。图1为本专利技术基于蚁群寻优及分层DPI的网络流量检测方法的流程图。步骤1:根据网络流量检测及控制的强度需求,将DPI层级划分为不同数量的层级。本专利技术设计了层次化的数据包检测技术,其核心思想是简单的数据包检测需求采取简单的检测深度,复杂的数据包检测需求采取复杂的检测深度。针对不同应用场景、不同上层应用类型等情形,用户可设定不同数量与检测深度的层级。本实施例中将DPI层级划分为4个不同的层级:PI层、初级DPI层、中级DPI层及高级DPI层。PI层:只检测网络数据包中属于网络层中的网络套接字(socket),即只检测源、目的IP地址,该层级的包检测可以应用于常规应用数据截获以及防止对特殊地址应用的攻击等;初级DPI层:检测传输层的应用协议类型,如检测属于传输控制协议(全称TransmissionControlProtocol,简称TCP)应用或用户数据包协议(全称UserDatagramProtocol,简称UDP)应用等,同时检测传输层的应用端口类型,该层级检测可以应用于防范常规端口攻击以及对常规应用的限制等;同时通过对TCP报文段首部特殊字段的检测(如窗口字段等)来进行网络流量特征提取,从而防范针对TCP应用的分布式拒绝服务攻击(全称DistributedDenialofservice,简称DDOS)等行为;中级DPI层:检测应用层的协议数据特征,该层主要用于区分各种类型的应用数据类型,如用于区分DNS应用、FTP应用本文档来自技高网...
【技术保护点】
一种基于蚁群寻优及分层DPI的网络流量检测方法,其特征在于,包含:步骤1:根据网络流量检测及控制的强度需求,将DPI层级划分为多个检测层级;步骤2:遵循蚁群算法,把所获取的网络数据包按划分的DPI层级进行网络数据包层级寻优;步骤3:根据每个网络数据包的选择层级实施具体层级的DPI流量检测。
【技术特征摘要】
1.一种基于蚁群寻优及分层DPI的网络流量检测方法,其特征在于,包含:步骤1:根据网络流量检测及控制的强度需求,将DPI层级划分为多个检测层级;步骤2:遵循蚁群算法,把所获取的网络数据包按划分的DPI层级进行网络数据包层级寻优;具体为:接收到的网络数据包会去检测是否有相同网络数据包留下的“信息素”;若有,则继续判断是否按照已留下的“信息素”选择层级,若是,则按照已留下的“信息素”选择DPI层级进行相应的DPI检测,并留下自己的“信息素”,若不按照已留下的“信息素”选择层级,则随机选择任意一层DPI层级进行相应的检测,并留下自己的“信息素”;若未检测到相同网络数据包留下的“信息素”,则随机选择任一层DPI层进行相应的检测,并留下自己的“信息素”;步骤3:根据每个网络数据包的选择层级实施具体层级的DPI流量检测。2.如权利要求1所述的一...
【专利技术属性】
技术研发人员:韩东明,黄碗明,陈静,
申请(专利权)人:上海戴德网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。