專利名稱::一種實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng)、方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)
技術(shù)領(lǐng)域:
,特別是一種實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng)、方法及設(shè)備。
背景技術(shù):
:隨著Internet的普及,用戶對(duì)于通信業(yè)務(wù)的需求不斷提升,人們已經(jīng)不再僅僅滿足于上網(wǎng)瀏覽網(wǎng)頁(yè)這類簡(jiǎn)單的互聯(lián)網(wǎng)應(yīng)用,而是希望享受更高速、更豐富的多媒體應(yīng)用,例如語(yǔ)音IP(VoIP,VoiceoverIP、視頻電話、視頻會(huì)議、視頻點(diǎn)播(VOD,VideoonDemand)、交互式網(wǎng)絡(luò)電視(IPTV)等應(yīng)用;另一方面,主流的固定網(wǎng)絡(luò)運(yùn)營(yíng)商也正面臨著傳統(tǒng)語(yǔ)音業(yè)務(wù)日趨貶值的挑戰(zhàn),從而希望充分利用網(wǎng)絡(luò)資源,找到新的業(yè)務(wù)增長(zhǎng)點(diǎn),增加業(yè)務(wù)收入,降低運(yùn)營(yíng)成本。然而,隨著近年來(lái)大批新的網(wǎng)絡(luò)應(yīng)用的出現(xiàn),對(duì)于傳統(tǒng)業(yè)務(wù)和網(wǎng)絡(luò)的沖擊也與日俱增,其中的代表有點(diǎn)到點(diǎn)文件共享軟件(P2P軟件),如BT下載(基于BitTorrent協(xié)議的高效P2P文件分享下載)、電驢下載(eDonkey)等文件共享軟件;即時(shí)通訊軟件,如MSN(微軟公司推出的即時(shí)消息軟件)、QQ(騰訊公司開(kāi)發(fā)的及時(shí)消息軟件)等;VoIP軟件,如Skype(免費(fèi)語(yǔ)音通訊軟件)等。根據(jù)調(diào)查顯示,當(dāng)前網(wǎng)絡(luò)流量中有很大一部分來(lái)自于P2P應(yīng)用,而這些P2P應(yīng)用又無(wú)法很好地管理,給現(xiàn)有網(wǎng)絡(luò)帶來(lái)了較大沖擊。此外,運(yùn)營(yíng)商也希望不斷引入新的業(yè)務(wù)類型,提高運(yùn)營(yíng)收益。因此,如何管理現(xiàn)有網(wǎng)絡(luò)業(yè)務(wù)流量和保證新業(yè)務(wù)的服務(wù)質(zhì)量就成為當(dāng)前和下一代網(wǎng)絡(luò)需要考慮的關(guān)鍵因素。?;谏鲜霰尘?,業(yè)務(wù)感知技術(shù)得到了越來(lái)越多的重視。所謂業(yè)務(wù)感知,是指區(qū)分網(wǎng)絡(luò)中不同業(yè)務(wù)流的技術(shù)。這里所說(shuō)的業(yè)務(wù)流指的是具體的網(wǎng)絡(luò)應(yīng)用程序所對(duì)應(yīng)的數(shù)據(jù)流。感知網(wǎng)絡(luò)中各種業(yè)務(wù)流,對(duì)網(wǎng)絡(luò)的管理、計(jì)費(fèi)、安全、服務(wù)質(zhì)量(QoS,QualityofService)保證等都具有至關(guān)重要的意義1)業(yè)務(wù)感知是實(shí)施網(wǎng)絡(luò)QoS策略和安全策略的基礎(chǔ);2)業(yè)務(wù)管理模型可以根據(jù)業(yè)務(wù)感知的結(jié)果提供差異化服務(wù)供用戶選擇;3)業(yè)務(wù)感知技術(shù)是資源調(diào)度的前提,通過(guò)業(yè)務(wù)感知技術(shù),業(yè)務(wù)管理系統(tǒng)可以準(zhǔn)確及時(shí)地獲取網(wǎng)絡(luò)能力基線和資源需求基線,實(shí)現(xiàn)動(dòng)態(tài)靈活的資源調(diào)度。目前實(shí)現(xiàn)業(yè)務(wù)感知的技術(shù)主要有基于五元組檢測(cè)的流分類方法、深度包檢測(cè)技術(shù)、基于流的行為特性的識(shí)別技術(shù)。其中,基于五元組檢測(cè)的流分類方法對(duì)數(shù)據(jù)包進(jìn)行分析,解析出其五元組數(shù)據(jù)(源IP地址、源端口、目的IP地址、目的端口、協(xié)議號(hào)),然后根據(jù)該五元組數(shù)據(jù)同已有的應(yīng)用類型進(jìn)行比較,判斷其屬于哪種應(yīng)用。例如,傳統(tǒng)的Web服務(wù)通常使用80(或者8080)端口作為自己的服務(wù)端口,因此通過(guò)比較端口號(hào),可以知道業(yè)務(wù)流中的數(shù)據(jù)包屬于何種網(wǎng)絡(luò)應(yīng)用,這種方案策略簡(jiǎn)單,易于實(shí)施,對(duì)設(shè)備處理能力要求低,然而只適用于檢測(cè)傳統(tǒng)的具有固定端口號(hào)的網(wǎng)絡(luò)應(yīng)用(如Web服務(wù)、FTP服務(wù)等),如果新的業(yè)務(wù)類型(如P2P)采用了隨機(jī)的或協(xié)商確定的端口號(hào),這種辦法就無(wú)能為力了。在五元組檢測(cè)方法的基礎(chǔ)上,深度包檢測(cè)方法更進(jìn)一步,試圖對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行解析,然后將獲取的關(guān)鍵字同已知的應(yīng)用類型所使用的關(guān)鍵字進(jìn)行匹配,從而識(shí)別業(yè)務(wù)類型。圖2描述了一種使用深度包檢測(cè)方法識(shí)別Kazaa應(yīng)用(一種用于共享文件的P2P軟件)的方法,其中TCP協(xié)議的載荷部分包含了Kazaa定義的協(xié)議內(nèi)容,通過(guò)對(duì)Kazaa協(xié)議的分析,可以提煉出匹配關(guān)鍵字,如“HTTP”和“Kazaa”等;然后利用深度包檢測(cè)方法將這些關(guān)鍵字同數(shù)據(jù)包中的TCP載荷內(nèi)容進(jìn)行匹配,如果匹配結(jié)果滿足條件,則可認(rèn)為該數(shù)據(jù)包屬于Kazaa應(yīng)用。然而,深度包檢測(cè)方法存在很多不足首先,這種方法理論上要對(duì)每個(gè)數(shù)據(jù)包的凈荷(數(shù)據(jù)包中攜帶的有效數(shù)據(jù))進(jìn)行分析,若數(shù)據(jù)量較大,則要求硬件處理能力很高,策略也會(huì)相當(dāng)復(fù)雜;其次,檢測(cè)數(shù)據(jù)包的內(nèi)容部分也會(huì)涉及到隱私保護(hù)的問(wèn)題;再次,一旦應(yīng)用程序?qū)?shù)據(jù)凈荷進(jìn)行了加密,該方法就不能奏效了;最后,深度包檢測(cè)方法靈活性差,如果應(yīng)用程序使用的協(xié)議發(fā)生改變或出現(xiàn)新的業(yè)務(wù)類型,就需要更改匹配規(guī)則。與上述兩種方法有些不同,現(xiàn)有基于流行為特性的識(shí)別技術(shù)力圖通過(guò)對(duì)業(yè)務(wù)流中的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和特征分析,提煉出特定的流特征模式進(jìn)行識(shí)別。以P2P應(yīng)用為例,由于P2P應(yīng)用基本上采取分布式網(wǎng)絡(luò)結(jié)構(gòu),可以將網(wǎng)絡(luò)傳播直徑作為判斷依據(jù),(網(wǎng)絡(luò)傳播直徑例如圖1所示,A向B發(fā)起連接請(qǐng)求,B向C發(fā)起連接請(qǐng)求,C又向D發(fā)起連接請(qǐng)求,則傳播路徑為A->B->C->D,網(wǎng)絡(luò)直徑為3),根據(jù)這個(gè)特征,可以監(jiān)測(cè)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)流,近似計(jì)算出網(wǎng)絡(luò)傳播直徑,當(dāng)其大于某個(gè)設(shè)定好的閥值(比如2)時(shí),就認(rèn)為這個(gè)數(shù)據(jù)流的應(yīng)用類型為P2P應(yīng)用。這種方法對(duì)協(xié)議變化不敏感,能夠識(shí)別出加密數(shù)據(jù)流或新的數(shù)據(jù)流類型,然而該方法只能識(shí)別出流的大致類型(比如Web、P2P等),很難確定屬于何種特定應(yīng)用,比如能夠識(shí)別出是P2P數(shù)據(jù)流,但是無(wú)法識(shí)別其采用了何種協(xié)議即具體的業(yè)務(wù)類型,如無(wú)法區(qū)分是BT下載還是電驢下載。
發(fā)明內(nèi)容由于上述現(xiàn)有技術(shù)無(wú)法快速高效地實(shí)現(xiàn)業(yè)務(wù)感知并識(shí)別發(fā)現(xiàn)新的業(yè)務(wù)類型,因此,本發(fā)明的主要目的在于提供一種實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng)、方法及設(shè)備,不僅能夠快速地識(shí)別已知的業(yè)務(wù)類型,也能夠靈活、高效地識(shí)別出新的業(yè)務(wù)類型。本發(fā)明提供的一種實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng)是這樣實(shí)現(xiàn)的一種實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng),包括數(shù)據(jù)包特性提取模塊,用來(lái)解析輸入的數(shù)據(jù)包流并從數(shù)據(jù)包中提取流的特征數(shù)據(jù);數(shù)據(jù)提取策略庫(kù),用來(lái)為數(shù)據(jù)包特性提取模塊提供數(shù)據(jù)提取策略;流模型實(shí)例構(gòu)建模塊,用來(lái)根據(jù)數(shù)據(jù)包特性提取模塊輸出的流特性參數(shù)建立流模型實(shí)例的集合;識(shí)別策略庫(kù),用來(lái)為綜合業(yè)務(wù)感知模塊提供識(shí)別策略,從綜合業(yè)務(wù)感知模塊中獲取并保存新的識(shí)別策略;綜合業(yè)務(wù)感知模塊,用來(lái)對(duì)流模型實(shí)例集合進(jìn)行分析,判斷流模型實(shí)例是否和已有的識(shí)別策略相匹配,若匹配,則輸出體現(xiàn)業(yè)務(wù)類型的識(shí)別結(jié)果;若不匹配,則生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。其中,還包括策略映射模塊,其功能在于根據(jù)綜合業(yè)務(wù)感知模塊輸出的識(shí)別結(jié)果,獲取數(shù)據(jù)流對(duì)應(yīng)的業(yè)務(wù)類型,并建立業(yè)務(wù)類型和對(duì)應(yīng)的網(wǎng)絡(luò)應(yīng)用策略之間的映射。其中,所述的數(shù)據(jù)提取策略、識(shí)別策略,為用形式語(yǔ)言描述的數(shù)據(jù)提取策略、識(shí)別策略。其中,所述的流特征數(shù)據(jù)至少包括源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)、數(shù)據(jù)包大小、數(shù)據(jù)包數(shù)目、流的持續(xù)時(shí)間或流量之一。其中,所述的綜合業(yè)務(wù)感知模塊,包括快速識(shí)別模塊,其功能在于根據(jù)已有的識(shí)別策略,用快速識(shí)別方法對(duì)流模型實(shí)例進(jìn)行識(shí)別處理,并輸出識(shí)別結(jié)果;機(jī)器學(xué)習(xí)模塊,其功能在于對(duì)快速識(shí)別模塊無(wú)法識(shí)別的流模型實(shí)例,使用機(jī)器學(xué)習(xí)的方法進(jìn)行分析,將分析結(jié)果同已有的識(shí)別策略進(jìn)行匹配,若能夠匹配,則輸出識(shí)別結(jié)果;否則,生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。其中,所述的快速識(shí)別方法包括五元組檢測(cè)方法、物理端口檢測(cè)方法或有限數(shù)據(jù)包檢測(cè)方法。本發(fā)明提供的一種實(shí)現(xiàn)業(yè)務(wù)感知的方法是這樣實(shí)現(xiàn)的設(shè)立識(shí)別策略庫(kù),動(dòng)態(tài)地生成或調(diào)整識(shí)別策略;還包括步驟A)提取流特征數(shù)據(jù);B)構(gòu)建流模型實(shí)例的集合;C)對(duì)流模型實(shí)例進(jìn)行感知,輸出識(shí)別結(jié)果。優(yōu)選地,還包括D)建立業(yè)務(wù)類型和網(wǎng)絡(luò)應(yīng)用策略之間的映射。其中,所述的步驟A為根據(jù)輸入的數(shù)據(jù)流,從數(shù)據(jù)提取策略庫(kù)中調(diào)取相應(yīng)的數(shù)據(jù)提取策略,根據(jù)該數(shù)據(jù)提取策略從輸入的數(shù)據(jù)包流中提取流特征數(shù)據(jù)。其中,所述的步驟B為根據(jù)預(yù)先定義的流模型描述,結(jié)合輸入的流特征數(shù)據(jù),構(gòu)建成流模型實(shí)例的集合。其中,所述的步驟C為綜合業(yè)務(wù)感知模塊根據(jù)已有的識(shí)別策略,對(duì)輸入的流模型實(shí)例進(jìn)行感知,輸出識(shí)別結(jié)果。其中,當(dāng)綜合業(yè)務(wù)感知模塊包括快速識(shí)別模塊和機(jī)器學(xué)習(xí)模塊時(shí),所述的步驟C包括C1)快速識(shí)別模塊采用快速識(shí)別方法對(duì)輸入的流模型實(shí)例進(jìn)行匹配處理;C2)對(duì)于快速識(shí)別模塊無(wú)法識(shí)別的流模型實(shí)例,機(jī)器學(xué)習(xí)模塊采用機(jī)器學(xué)習(xí)的方法進(jìn)行分析,將分析結(jié)果同已有的識(shí)別策略進(jìn)行匹配,若匹配,則輸出對(duì)應(yīng)的識(shí)別結(jié)果;否則,生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。其中,步驟C1中所述的匹配處理為對(duì)流模型實(shí)例進(jìn)行分析,將流模型實(shí)例和已有的識(shí)別策略進(jìn)行匹配,若匹配,則輸出相應(yīng)的識(shí)別結(jié)果;否則進(jìn)入機(jī)器學(xué)習(xí)模塊處理。本發(fā)明提供的一種實(shí)現(xiàn)業(yè)務(wù)感知的設(shè)備是這樣實(shí)現(xiàn)的一種實(shí)現(xiàn)業(yè)務(wù)感知的設(shè)備,包括快速識(shí)別模塊,用于根據(jù)已有的識(shí)別策略,采用快速識(shí)別方法對(duì)輸入的流模型實(shí)例進(jìn)行分析識(shí)別,輸出識(shí)別結(jié)果;機(jī)器學(xué)習(xí)模塊,用于對(duì)快速識(shí)別模塊無(wú)法識(shí)別的流模型實(shí)例,使用機(jī)器學(xué)習(xí)的方法進(jìn)行分析,將分析結(jié)果與已有的識(shí)別策略相匹配,如果能夠匹配,則輸出相應(yīng)的識(shí)別結(jié)果;否則,生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。其中,所述的快速識(shí)別方法,包括五元組檢測(cè)方法、物理端口檢測(cè)方法或有限數(shù)據(jù)包檢測(cè)方法。本發(fā)明的有益效果是1、由于設(shè)置了數(shù)據(jù)提取策略庫(kù),可以針對(duì)不同數(shù)據(jù)源的數(shù)據(jù)采用不同的數(shù)據(jù)提取策略,更具針對(duì)性和靈活性;2、由于引入了數(shù)據(jù)提取策略,這樣就可以根據(jù)實(shí)際需求,從數(shù)據(jù)包中提取業(yè)務(wù)感知所需要的參數(shù),而且參數(shù)范圍不僅可以包括傳統(tǒng)的五元組參數(shù),還可以包括數(shù)據(jù)包大小、包數(shù)目等其他參數(shù),通過(guò)對(duì)這些參數(shù)進(jìn)行組合分析,可以得到相關(guān)業(yè)務(wù)應(yīng)用數(shù)據(jù)流的更多信息。因此,有效彌補(bǔ)了傳統(tǒng)五元組檢測(cè)、物理端口號(hào)檢測(cè)、流行為特性識(shí)別等方法的弊端,不僅能夠識(shí)別出流的一般性類型,更能識(shí)別出具體的應(yīng)用協(xié)議,從而確定具體的業(yè)務(wù)類型。3、由于構(gòu)建了流模型實(shí)例集合,起到了對(duì)數(shù)據(jù)包特性參數(shù)進(jìn)行預(yù)處理的作用,可以為不同的業(yè)務(wù)類型建立對(duì)應(yīng)的數(shù)據(jù)結(jié)構(gòu),這樣,有利于業(yè)務(wù)類型的快速識(shí)別;4、由于采用了快速識(shí)別和機(jī)器學(xué)習(xí)相結(jié)合的綜合感知方法,既可以快速高效地識(shí)別傳統(tǒng)業(yè)務(wù)類型,又可以動(dòng)態(tài)的學(xué)習(xí)識(shí)別新的業(yè)務(wù)類型,從而成功避免了五元組檢測(cè)等簡(jiǎn)單檢測(cè)方法不能動(dòng)態(tài)識(shí)別新業(yè)務(wù)類型的弊端;5、由于在機(jī)器學(xué)習(xí)之前,首先進(jìn)行快速識(shí)別,這樣就減少了后續(xù)進(jìn)行機(jī)器學(xué)習(xí)的數(shù)據(jù)流,大大降低了對(duì)于硬件處理能力的需求;6、由于無(wú)需對(duì)每個(gè)數(shù)據(jù)包的凈荷進(jìn)行解析,因此不會(huì)涉及用戶隱私等法律問(wèn)題;7、由于采用了靈活的機(jī)器學(xué)習(xí)技術(shù),針對(duì)端口號(hào)隨機(jī)分配或協(xié)商分配的數(shù)據(jù)流,以及凈荷被加密的數(shù)據(jù)流,也同樣能夠高效地識(shí)別出對(duì)應(yīng)的業(yè)務(wù)類型;8、由于在識(shí)別的過(guò)程中,可以動(dòng)態(tài)地學(xué)習(xí)并生成新的識(shí)別策略,因此,整個(gè)綜合業(yè)務(wù)感知模塊構(gòu)成了一個(gè)自學(xué)習(xí)系統(tǒng),無(wú)需頻繁的人工設(shè)定,具有優(yōu)秀的智能性和自動(dòng)性;9、由于可以根據(jù)網(wǎng)絡(luò)狀況等實(shí)際需求動(dòng)態(tài)地生成或調(diào)整匹配策略,因此具有較強(qiáng)的靈活性,可以較好地適應(yīng)不同的網(wǎng)絡(luò)情況。10、由于綜合了現(xiàn)有業(yè)務(wù)感知技術(shù)的優(yōu)點(diǎn),并作出了進(jìn)一步優(yōu)化,因此,本發(fā)明完全可以適用于現(xiàn)有感知技術(shù)所應(yīng)用的各種場(chǎng)合,更具適應(yīng)性和健壯性。圖1是現(xiàn)有技術(shù)中深度包探測(cè)方法示意圖;圖2是現(xiàn)有技術(shù)中流行為特性識(shí)別方法示意圖;圖3是本發(fā)明的系統(tǒng)示意圖;圖4是本發(fā)明中流模型實(shí)例的數(shù)據(jù)結(jié)構(gòu)示意圖;圖5是Web應(yīng)用模型示意圖;圖6是本發(fā)明系統(tǒng)中快速識(shí)別模塊和機(jī)器學(xué)習(xí)模塊的工作流程示意圖;圖7是4類不同應(yīng)用數(shù)據(jù)流的數(shù)據(jù)包大小和時(shí)間的分布關(guān)系示意圖;圖8是本發(fā)明的方法示意圖;圖9是本發(fā)明的設(shè)備示意圖。具體實(shí)施例方式請(qǐng)參閱圖3,在本發(fā)明所述系統(tǒng)的具體實(shí)施方式中,包括數(shù)據(jù)提取策略庫(kù),數(shù)據(jù)包特性提取模塊,流模型實(shí)例構(gòu)建模塊,綜合業(yè)務(wù)感知模塊,識(shí)別策略庫(kù),策略映射模塊。通過(guò)對(duì)輸入的數(shù)據(jù)流進(jìn)行一系列處理,感知出數(shù)據(jù)流所對(duì)應(yīng)的業(yè)務(wù)類型。這里所述的感知就是指對(duì)特定數(shù)據(jù)流進(jìn)行的分析識(shí)別等處理,從而判斷出特定數(shù)據(jù)流所對(duì)應(yīng)的業(yè)務(wù)類型。所述數(shù)據(jù)特性提取模塊的功能是負(fù)責(zé)解析數(shù)據(jù)包流,并根據(jù)數(shù)據(jù)提取策略提取數(shù)據(jù)流的特征數(shù)據(jù),即流特性參數(shù)。數(shù)據(jù)包特性提取模塊的輸入為分組網(wǎng)絡(luò)中交換機(jī)、路由器、防火墻設(shè)備、網(wǎng)關(guān)等設(shè)備的數(shù)據(jù)包流,輸出為反映流特性的參數(shù)集合。提取的流特征數(shù)據(jù)可以包括五元組參數(shù)(源、目的IP、源、目的端口號(hào)、協(xié)議);數(shù)據(jù)包的最小尺寸、最大尺寸、平均尺寸、數(shù)量、數(shù)據(jù)包到達(dá)的間隔時(shí)間、數(shù)據(jù)包分片等;數(shù)據(jù)流的持續(xù)時(shí)間;交互模式和批量傳輸模式下傳輸?shù)臄?shù)據(jù)量;連接處于空閑模式、交互模式和批量傳輸模式下所花費(fèi)的時(shí)間。所述數(shù)據(jù)提取策略庫(kù)由具體的數(shù)據(jù)提取策略構(gòu)成,數(shù)據(jù)提取策略描述了如何從分散的數(shù)據(jù)包中提取所需的流特性參數(shù),包括參數(shù)的個(gè)數(shù),范圍和類型等。在本實(shí)施方式中可以采用可擴(kuò)展標(biāo)識(shí)語(yǔ)言(XML,ExtensibleMarkupLanguage)描述數(shù)據(jù)提取策略,例如可以采用以下形式進(jìn)行描述<?xmlversion=″1.0″?>……<Sample_Strategy><SrcIP><minOccurs>131.107.1.1</minOccurs><maxOccurs>131.107.1.10</maxOccurs></SrcIP><DstIP>157.60.15</DstIP><SrcPort><minOccurs>1024</minOccurs><maxOccurs>8000</maxOccurs></SrcPort><DstPort>80</DstPort><Protocol>TCP</Protocol><PacketSize><minOccurs>512</minOccurs><maxOccurs>1024</maxOccurs></PacketSize>……</Sample_Strategy>該XML片斷描述了一種數(shù)據(jù)提取策略,其含義為數(shù)據(jù)包的源IP地址位于131.107.1.1到131.107.1.10間,目的IP地址為157.60.1.5,源端口位于1024到8000間,目的端口為80,協(xié)議為TCP,包尺寸位于512到1024字節(jié)間等。需要說(shuō)明的是,在本發(fā)明的實(shí)際應(yīng)用過(guò)程中,也可以用ASN.1(AbstractSyntaxNotationOne)等其他形式語(yǔ)言描述數(shù)據(jù)提取策略。數(shù)據(jù)策略提取庫(kù)中包含多種數(shù)據(jù)提取策略,針對(duì)不同的數(shù)據(jù)源,可以分別提供相應(yīng)的數(shù)據(jù)提取策略,由數(shù)據(jù)包特性提取模塊對(duì)相應(yīng)數(shù)據(jù)源的數(shù)據(jù)包進(jìn)行處理,提取所需的流特性參數(shù)。這樣就提高了特征數(shù)據(jù)提取的靈活性和效率。在本發(fā)明的實(shí)際應(yīng)用過(guò)程中,用戶可以通過(guò)修改提取策略描述動(dòng)態(tài)地改變提取數(shù)據(jù)包特性參數(shù)的規(guī)則。所述流模型實(shí)例構(gòu)建模塊的功能是根據(jù)流特征數(shù)據(jù)建立流模型實(shí)例的集合。流模型是對(duì)業(yè)務(wù)流抽象的描述,其定義了流的構(gòu)成和特征。流模型實(shí)例是根據(jù)數(shù)據(jù)包特性提取模塊輸出的流特性參數(shù),所構(gòu)建成的符合流模型描述的數(shù)據(jù)結(jié)構(gòu)。在本具體實(shí)施方式中,流模型采用以下形式Flow∷={SrcIP(STRING),--源IP地址,字符串形式DstIP(STRING),--目的IP地址,字符串形式SrcPort(INTEGER),--源端口號(hào),整數(shù)形式DstPort(INTEGER),--目的端口號(hào),整數(shù)形式Protocol(ENUM),--使用的協(xié)議,枚舉類型,如TCP,UDP等。PacketSize(INTEGER),--平均包大小,整數(shù)類型PacketNum(INTEGER),--包數(shù)目,整數(shù)類型Traffic(INTEGER),--流量,整數(shù)類型Time(TIME),--持續(xù)時(shí)間,時(shí)間類型PhysicalPort(IDENTIFIER)--物理端口號(hào),標(biāo)識(shí)符類型…--其它標(biāo)識(shí)流的參數(shù)}根據(jù)流模型描述,流模型實(shí)例構(gòu)建模塊根據(jù)流特征數(shù)據(jù)構(gòu)建出流模型的實(shí)例。在IPv4中,每個(gè)流的實(shí)例可以通過(guò)IP地址和端口號(hào)相互區(qū)分,IPv6中除了采用IP地址和端口號(hào)進(jìn)行區(qū)分外,對(duì)于某些應(yīng)用還可以采用流標(biāo)簽(FlowLabel)進(jìn)行區(qū)分。該構(gòu)建流模型實(shí)例集合的過(guò)程是一個(gè)將雜亂的數(shù)據(jù)包映射為邏輯流的過(guò)程,也是將提取的數(shù)據(jù)進(jìn)行初步分類的過(guò)程,以便于后續(xù)的業(yè)務(wù)感知模塊對(duì)流的數(shù)據(jù)進(jìn)行處理和識(shí)別。本具體實(shí)施方式采用附圖4所示的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)流實(shí)例,該數(shù)據(jù)結(jié)構(gòu)用類似哈希表(HashTable)的形式記錄流實(shí)例的集合,對(duì)應(yīng)每個(gè)流的表項(xiàng)包含一個(gè)唯一的標(biāo)識(shí)符或鍵值用來(lái)區(qū)分不同的流并且可以快速的定位流。系統(tǒng)通過(guò)分析數(shù)據(jù)包的數(shù)據(jù)動(dòng)態(tài)地構(gòu)建和維護(hù)該表,當(dāng)發(fā)現(xiàn)一個(gè)表中沒(méi)有的鍵值時(shí),可以構(gòu)建一個(gè)新的表項(xiàng),根據(jù)流模型的描述和提取的數(shù)據(jù)包的特性參數(shù)填寫(xiě)表中的屬性值;若一段時(shí)間內(nèi)沒(méi)有相關(guān)流的數(shù)據(jù)包,可以刪除相應(yīng)表項(xiàng)。需要說(shuō)明的是,在本發(fā)明系統(tǒng)的其他具體實(shí)施方式中,流模型以及流實(shí)例的數(shù)據(jù)結(jié)構(gòu)可以采用其他實(shí)現(xiàn)類似功能的方式。所述識(shí)別策略庫(kù)用來(lái)向綜合業(yè)務(wù)感知模塊提供歸納好的、用某種形式化語(yǔ)言描述的識(shí)別策略。一種識(shí)別策略是某種網(wǎng)絡(luò)應(yīng)用模式區(qū)別于其它網(wǎng)絡(luò)應(yīng)用模式的特征的一種形式化描述。這些策略可以來(lái)自于對(duì)現(xiàn)有網(wǎng)絡(luò)應(yīng)用模式的分析及歸納,也可以來(lái)自于綜合業(yè)務(wù)感知模塊對(duì)新的網(wǎng)絡(luò)應(yīng)用進(jìn)行機(jī)器學(xué)習(xí)而歸納出的新的識(shí)別策略。同時(shí),識(shí)別策略中還包含了匹配精度,用來(lái)判斷某個(gè)業(yè)務(wù)流是否同已有的網(wǎng)絡(luò)應(yīng)用模式相吻合,匹配精度可以由用戶根據(jù)實(shí)際需求動(dòng)態(tài)調(diào)整。附圖5顯示了一種典型的Web應(yīng)用模式。其中主機(jī)A為Web服務(wù)器,主機(jī)B、C為Web客戶端,通過(guò)InternetExplorer等瀏覽器和主機(jī)A通信。可以從該模型中得到Web應(yīng)用區(qū)別于其他網(wǎng)絡(luò)應(yīng)用的一些特征(1)采用TCP協(xié)議;(2)其數(shù)據(jù)流的源IP地址和端口為Web服務(wù)器的IP地址和端口號(hào)80(HTTP協(xié)議)或443(HTTPS協(xié)議),目的IP地址和端口為Web客戶端主機(jī)的IP地址和無(wú)規(guī)律的端口號(hào)(客戶端端口號(hào)一般由主機(jī)創(chuàng)建TCP連接時(shí)隨機(jī)分配);(3)一個(gè)Web服務(wù)器會(huì)同時(shí)和多個(gè)客戶端進(jìn)行通信,客戶端的端口號(hào)往往互不相同(因?yàn)槎丝谔?hào)是隨機(jī)分配的)。針對(duì)該應(yīng)用模式,可以提取出Web服務(wù)器的數(shù)據(jù)流模式并采用XML語(yǔ)言描述該模式<?xmlversion=″1.0″?>……<WebServer_Flow><SrcPort>--源端口號(hào)<Value>80</Value><Value>443</Value></SrcPort><DstDiffPort_Num>--具有不同端口號(hào)的目標(biāo)連接數(shù)<Value>5</Value></DstDiffPort_Num><Protocol>--使用的協(xié)議<Value>TCP</Value></Protocol>……</WebServer_Flow>在該描述中,Web務(wù)器數(shù)據(jù)流的特征包括(1)源IP端口號(hào)為80或443之一;(2)源IP地址相同,具有不同的端口的目標(biāo)連接數(shù)大于等于5;(3)使用協(xié)議為TCP。業(yè)務(wù)感知模塊首先解析該XML描述加載識(shí)別策略,然后根據(jù)識(shí)別策略所描述的模式對(duì)流實(shí)例數(shù)據(jù)進(jìn)行分析,并將分析結(jié)果與識(shí)別策略進(jìn)行匹配。如果發(fā)現(xiàn)某個(gè)流滿足Web服務(wù)流識(shí)別策略匹配精度的要求,則認(rèn)為此數(shù)據(jù)流為Web服務(wù)流。此處的匹配精度由用戶定義,可以通過(guò)調(diào)整匹配模型中參數(shù)的閾值來(lái)動(dòng)態(tài)調(diào)整匹配精度,以適合網(wǎng)絡(luò)的實(shí)際情況;如在上述的XML描述中,不同的IP/端口的目標(biāo)連接數(shù)就是一個(gè)可以調(diào)整的閾值。對(duì)于新的網(wǎng)絡(luò)應(yīng)用模式,如果其屬于某種已知的應(yīng)用類型,則不需要定義新的匹配策略。例如需要識(shí)別一種新的P2P應(yīng)用,但這種新的P2P應(yīng)用的數(shù)據(jù)流模式可由現(xiàn)有的P2P匹配規(guī)則描述,則不需定義新的匹配策略;如果將要識(shí)別網(wǎng)絡(luò)應(yīng)用模式是全新的,則需要定義新的識(shí)別策略并加入到識(shí)別策略庫(kù)中或修改已有的識(shí)別策略。需要說(shuō)明的是本實(shí)施方式中采用XML語(yǔ)言描述識(shí)別策略,在本發(fā)明所述系統(tǒng)的其他實(shí)施方式中,可以采用ASN.1(AbstractSyntaxNotationOne)等其他形式語(yǔ)言描述識(shí)別策略,同時(shí)Web應(yīng)用模式也可以表示為其他類似形式。所述綜合業(yè)務(wù)感知模塊為本發(fā)明系統(tǒng)中的核心模塊,該模塊根據(jù)上述策略識(shí)別庫(kù)中的提供的識(shí)別策略對(duì)流模型實(shí)例進(jìn)行識(shí)別,從而輸出識(shí)別結(jié)果;同時(shí),對(duì)于無(wú)法識(shí)別的流模型實(shí)例,通過(guò)機(jī)器學(xué)習(xí),歸納出新的識(shí)別策略,并將新的識(shí)別策略加入到識(shí)別策略庫(kù)中,用來(lái)識(shí)別新的流模型。綜合業(yè)務(wù)感知模塊可以進(jìn)一步分為兩個(gè)模塊快速識(shí)別模塊和機(jī)器學(xué)習(xí)模塊。請(qǐng)參閱圖6,該圖描述了快速識(shí)別模塊和機(jī)器學(xué)習(xí)模塊的工作流程首先,待識(shí)別的流實(shí)例集合進(jìn)入快速識(shí)別模塊進(jìn)行處理,根據(jù)識(shí)別策略識(shí)別出容易識(shí)別的流,輸出識(shí)別結(jié)果;其次,快速識(shí)別模塊無(wú)法識(shí)別的流進(jìn)入機(jī)器學(xué)習(xí)模塊,機(jī)器學(xué)習(xí)模塊對(duì)這些流進(jìn)行分析歸納,然后和已有的識(shí)別策略進(jìn)行比較,若符合既定的匹配精度,則認(rèn)為匹配,輸出識(shí)別結(jié)果;若不符合既定的匹配精度,則認(rèn)為不匹配,則生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。下面對(duì)快速識(shí)別模塊和機(jī)器學(xué)習(xí)模塊做進(jìn)一步解釋快速識(shí)別模塊采用傳統(tǒng)的五元組檢測(cè)、物理端口檢測(cè)或有限數(shù)據(jù)包檢測(cè)(只檢測(cè)數(shù)據(jù)包載荷的少量部分)等比較簡(jiǎn)單快速的方法對(duì)流模型實(shí)例構(gòu)建模塊生成的流實(shí)例進(jìn)行分析并和識(shí)別策略匹配。其中,有限數(shù)據(jù)包檢測(cè)是指不對(duì)數(shù)據(jù)包的全部?jī)艉蛇M(jìn)行檢查,而只檢查其中一部分的深度包檢測(cè)技術(shù)。目前很多應(yīng)用程序通過(guò)分析其應(yīng)用層協(xié)議可以得知對(duì)應(yīng)的類型,而應(yīng)用層協(xié)議不少情況下又可以通過(guò)分析凈荷數(shù)據(jù)的某一部分字節(jié)得到(如應(yīng)用層協(xié)議首部一般都位于實(shí)際用戶數(shù)據(jù)的前面),這種情況下就沒(méi)有必要對(duì)所有的凈荷數(shù)據(jù)進(jìn)行分析,從而大大減少了計(jì)算量。一些傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)流,如Web、FTP等能夠從端口號(hào)等參數(shù)上很容易地區(qū)分出來(lái),因此可以在快速識(shí)別模塊中就將這些流的數(shù)據(jù)從總的數(shù)據(jù)集合中分離出去。使用快速識(shí)別模塊的目的是對(duì)容易識(shí)別的流進(jìn)行高效地識(shí)別,起到一個(gè)預(yù)處理的作用,減少后續(xù)進(jìn)入機(jī)器學(xué)習(xí)模塊的數(shù)據(jù)。機(jī)器學(xué)習(xí)模塊通常采用分類、聚類等復(fù)雜識(shí)別算法,相對(duì)效率較低,減少機(jī)器學(xué)習(xí)模塊處理的數(shù)據(jù)可以極大地減少總體識(shí)別時(shí)間。機(jī)器學(xué)習(xí)模塊采用機(jī)器學(xué)習(xí)的方法對(duì)快速識(shí)別模塊無(wú)法識(shí)別的流進(jìn)行分析歸納,然后和已有的識(shí)別策略進(jìn)行比較,判斷是否匹配,若匹配,則輸出識(shí)別結(jié)果;若已有的識(shí)別策略無(wú)法與之相匹配,則生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。本實(shí)施方式采用的機(jī)器學(xué)習(xí)技術(shù)可以是分類學(xué)習(xí)、關(guān)聯(lián)學(xué)習(xí)、聚類或數(shù)值預(yù)測(cè)等,具體介紹如下1)分類學(xué)習(xí)(classificationlearning)采用某個(gè)已分類的樣本集合表示學(xué)習(xí)方案,并從該樣本集合中學(xué)習(xí)到對(duì)未來(lái)樣本進(jìn)行分類的方法。2)關(guān)聯(lián)學(xué)習(xí)(associationlearning)不僅僅是為了預(yù)測(cè)一個(gè)特定的類型,而是尋找樣本集合數(shù)據(jù)之間的關(guān)聯(lián)。3)聚類(clustering)尋找能夠組合在一起的樣本,并按照組合進(jìn)行分類。4)數(shù)值預(yù)測(cè)(numericprediction)預(yù)測(cè)數(shù)值量而不是離散類。機(jī)器學(xué)習(xí)的輸入是一個(gè)數(shù)據(jù)實(shí)例集合,由機(jī)器學(xué)習(xí)方案進(jìn)行分類、關(guān)聯(lián)或聚類。這些輸入被稱為實(shí)例(Instance),每個(gè)實(shí)例都是被用來(lái)學(xué)習(xí)的單一的、獨(dú)立的樣本。每個(gè)單一、獨(dú)立的實(shí)例是由一組固定的預(yù)定義的特征或?qū)傩?attribute)值作為輸入。數(shù)據(jù)挖掘的輸出為學(xué)習(xí)到的數(shù)據(jù)中的結(jié)構(gòu)形式。這些輸出形式包括決策表(decisiontable)采用和輸入同樣形式的比較簡(jiǎn)單的輸出規(guī)則。決策樹(shù)(decisiontree)采用樹(shù)形結(jié)構(gòu)對(duì)學(xué)習(xí)結(jié)果進(jìn)行輸出。決策樹(shù)的節(jié)點(diǎn)包含了對(duì)某個(gè)特定屬性的測(cè)試;葉節(jié)點(diǎn)對(duì)所有到達(dá)葉節(jié)點(diǎn)的實(shí)例給出一個(gè)或一組分類,或是一個(gè)包括了所有可能分類的概率分布。分類規(guī)則(classificationrules)取代決策樹(shù)的一種方法。在該方法中,一個(gè)規(guī)則的前提或先決條件是一系列的測(cè)試,而結(jié)論則給出適合與規(guī)則覆蓋實(shí)例的一個(gè)或多個(gè)分類,或是給出實(shí)例在所有類上的概率分布。關(guān)聯(lián)規(guī)則(associationrule)能夠預(yù)測(cè)任何屬性和屬性的組合而不僅僅是類。關(guān)聯(lián)規(guī)則不像分類規(guī)則那樣被組合成一個(gè)規(guī)則來(lái)使用,不同關(guān)聯(lián)規(guī)則揭示出規(guī)則集的不同規(guī)律,通常用來(lái)預(yù)測(cè)不同的事物。一個(gè)關(guān)聯(lián)規(guī)則的覆蓋量為關(guān)聯(lián)規(guī)則能夠正確預(yù)測(cè)的實(shí)例數(shù)量,稱為支持(support),正確率稱為置信度(confidence),為將正確預(yù)測(cè)的實(shí)例數(shù)量表示為它在關(guān)聯(lián)規(guī)則應(yīng)用所涉及的全部實(shí)例中占據(jù)的比例。包含例外的規(guī)則為分類規(guī)則的擴(kuò)展,允許規(guī)則包含例外。它是現(xiàn)有的規(guī)則上使用例外表達(dá)法遞增地修改規(guī)則集,而不需要重新建立整個(gè)規(guī)則集。包含關(guān)系的規(guī)則前面的規(guī)則假設(shè)了規(guī)則中的條件涉及一個(gè)屬性值和一個(gè)常量的測(cè)試,這類規(guī)則稱為命題。包含關(guān)系的規(guī)則能夠描述樣本之間的關(guān)系,在一些情況下比命題規(guī)則具有更直觀和簡(jiǎn)練的描述?;趯?shí)例的表達(dá)(instance-basedlearning)基于實(shí)例的表達(dá)保存實(shí)例本身,并將未知的新實(shí)例與現(xiàn)有的已知的實(shí)例聯(lián)系起來(lái)進(jìn)行操作。這種方法直接在樣本上工作,而不是建立規(guī)則。該方法是懶散的,盡可能延緩實(shí)質(zhì)性工作,而其它方法是急切的,只要發(fā)現(xiàn)數(shù)據(jù)就產(chǎn)生一個(gè)歸納。聚類通過(guò)機(jī)器學(xué)習(xí)到的是聚類而不是一個(gè)分類器,輸出可以采用一個(gè)顯示實(shí)例如何落入聚類的圖形形式。聚類之后常伴隨著推導(dǎo)出一個(gè)決策樹(shù)或規(guī)則集的步驟,從而將每個(gè)實(shí)例分配到其所屬的聚類。作為一種優(yōu)選的實(shí)施方案,在本實(shí)施方式中,機(jī)器學(xué)習(xí)的過(guò)程具體為流實(shí)例的集合作為輸入到機(jī)器學(xué)習(xí)模塊的樣本集合,每一個(gè)流實(shí)例可以看作是一個(gè)學(xué)習(xí)的實(shí)例,而構(gòu)成流的參數(shù),如源、目的IP地址,源、目的端口號(hào),協(xié)議,包尺寸等,作為機(jī)器學(xué)習(xí)的屬性集合;識(shí)別策略作為定義好的規(guī)則集;機(jī)器學(xué)習(xí)模塊采用某種算法對(duì)流實(shí)例的集合進(jìn)行學(xué)習(xí)并輸出學(xué)習(xí)結(jié)果,該學(xué)習(xí)結(jié)果的形式反映了流實(shí)例集合內(nèi)部的模式;機(jī)器學(xué)習(xí)模塊進(jìn)而根據(jù)該學(xué)習(xí)結(jié)果同已有的識(shí)別策略進(jìn)行匹配,并判斷是否符合預(yù)先設(shè)定的匹配精度,如果符合,則認(rèn)為該流實(shí)例的集合屬于識(shí)別策略對(duì)應(yīng)的業(yè)務(wù)流類型,輸出識(shí)別結(jié)果;如果不符合,則為對(duì)應(yīng)的網(wǎng)絡(luò)應(yīng)用模式生成新的識(shí)別策略并存入策略識(shí)別庫(kù),輸出對(duì)應(yīng)的識(shí)別結(jié)果。在這里需要指出的是,所述匹配精度可以根據(jù)需求動(dòng)態(tài)設(shè)定。在本實(shí)施方式中,機(jī)器學(xué)習(xí)模塊可以采用期望-最大化(EM,Expectation-Maximization,)算法對(duì)流實(shí)例集合的屬性集進(jìn)行處理,其學(xué)習(xí)目的是將流實(shí)例分為不同的聚類(cluster)??梢哉J(rèn)為一個(gè)聚類中的流實(shí)例彼此具有某些相似度,而這些相似度是由流內(nèi)部或流之間有關(guān)數(shù)據(jù)分布的潛在規(guī)則決定的,如不同應(yīng)用的業(yè)務(wù)流的IP地址分布、端口號(hào)分布以及數(shù)據(jù)包的大小等參數(shù)都能夠體現(xiàn)這些規(guī)則。圖7描述了4類不同應(yīng)用數(shù)據(jù)流的數(shù)據(jù)包大小和時(shí)間的分布關(guān)系,其中橫軸為時(shí)間,縱軸為數(shù)據(jù)包的大小,深色數(shù)據(jù)點(diǎn)為客戶端到服務(wù)器的數(shù)據(jù)包,淺色數(shù)據(jù)點(diǎn)為服務(wù)器到客戶端的數(shù)據(jù)包。可以看出,這4類應(yīng)用的分布存在著顯著的差異,這些差異可以作為對(duì)不同應(yīng)用的流進(jìn)行聚類分析的基礎(chǔ)。通過(guò)將聚類的特性和已知的應(yīng)用業(yè)務(wù)流特性進(jìn)行對(duì)比,可以識(shí)別出聚類的類型,從而也就知道了構(gòu)成聚類的流的類型。EM算法是一種基于概率的聚類方法,這類方法采用了統(tǒng)計(jì)學(xué)的方法對(duì)實(shí)例進(jìn)行聚類分析。從概率的角度來(lái)看,聚類需要解決的問(wèn)題是如何在給定數(shù)據(jù)中找到最有可能的聚類,而我們很難從有限數(shù)量的實(shí)例集合完全推導(dǎo)出某個(gè)結(jié)論,因此實(shí)例無(wú)法被絕對(duì)地分到某個(gè)聚類,只能認(rèn)為實(shí)例以一定的可能性屬于某個(gè)聚類。統(tǒng)計(jì)聚類的基礎(chǔ)是建立在有限混合(finitemixture)的統(tǒng)計(jì)模型之上的?;旌鲜侵赣胟個(gè)概率分布代表k個(gè)聚類,對(duì)于某個(gè)具體實(shí)例,每個(gè)分布給出假設(shè)其屬于這個(gè)聚類,實(shí)例具有某種系列屬性值的概率。每個(gè)聚類具有不同的分布,任何具體實(shí)例屬于且只屬于一個(gè)聚類,但是未知的。而且每個(gè)聚類不具有同等可能性,存在某種反映其相對(duì)總體數(shù)量的概率分布。EM算法可以發(fā)現(xiàn)混合模型中概率分布參數(shù)的最大似然估計(jì)。EM算法對(duì)每個(gè)聚類的模型參數(shù)進(jìn)行初始的猜測(cè),并迭代地進(jìn)行兩個(gè)步驟的處理以達(dá)到似然最大化。在第一步,計(jì)算聚類概率(即“期望的”類值),這個(gè)步驟是期望;第二步,計(jì)算分布參數(shù),即對(duì)給定數(shù)據(jù)的分布進(jìn)行似然“最大化”處理。迭代結(jié)束的條件是對(duì)數(shù)似然(log-likehood)的增值可以忽略不計(jì)。EM算法雖然能保證收斂于某個(gè)最大值,但可能是局部最大值而非全局最大值,因此必須使用不同的初始猜測(cè)參數(shù)值重復(fù)幾次,選擇總體對(duì)數(shù)似然值最大的聚類劃分。需要說(shuō)明的是,在本發(fā)明所述系統(tǒng)的其他實(shí)施方式中,除了EM算法,機(jī)器學(xué)習(xí)模塊還可以采用多種機(jī)器學(xué)習(xí)方法對(duì)流數(shù)據(jù)進(jìn)行學(xué)習(xí)。機(jī)器學(xué)習(xí)模塊輸出的識(shí)別結(jié)果可以是流實(shí)例中的數(shù)據(jù)包到業(yè)務(wù)類型的一個(gè)映射。如識(shí)別結(jié)果可以是流實(shí)例中的一個(gè)標(biāo)記,該標(biāo)記記錄了流實(shí)例的業(yè)務(wù)類型。策略映射模塊通過(guò)讀取該標(biāo)記可以得知對(duì)應(yīng)的數(shù)據(jù)包所屬的業(yè)務(wù)類型,從而可以對(duì)數(shù)據(jù)包進(jìn)行進(jìn)一步的相應(yīng)處理。策略映射模塊該模塊根據(jù)綜合業(yè)務(wù)感知模塊輸出的識(shí)別結(jié)果得知對(duì)應(yīng)的數(shù)據(jù)包所屬的業(yè)務(wù)類型,進(jìn)而建立業(yè)務(wù)類型和具體的網(wǎng)絡(luò)應(yīng)用策略之間的映射。策略映射模塊可以將業(yè)務(wù)類型映射到QoS、流管理、入侵檢測(cè)等應(yīng)用策略,再由對(duì)應(yīng)的應(yīng)用策略模塊實(shí)現(xiàn)網(wǎng)絡(luò)流量管理,入侵檢測(cè)等功能。例如可以將映射結(jié)果輸入到網(wǎng)絡(luò)設(shè)備的QoS模塊中,QoS模塊可以根據(jù)這個(gè)映射關(guān)系對(duì)不同類別的流提供有差別的QoS服務(wù)。請(qǐng)參閱圖8,本發(fā)明方法的具體實(shí)施例方式在系統(tǒng)中設(shè)立識(shí)別策略庫(kù),識(shí)別策略可以來(lái)自于對(duì)現(xiàn)有網(wǎng)絡(luò)應(yīng)用模式的分析及歸納,也可以來(lái)自于綜合業(yè)務(wù)感知模塊對(duì)新的網(wǎng)絡(luò)應(yīng)用進(jìn)行機(jī)器學(xué)習(xí)而歸納出的新的識(shí)別策略;還包括以下步驟A)數(shù)據(jù)包特性提取模塊根據(jù)輸入的數(shù)據(jù)包流,從數(shù)據(jù)提取策略庫(kù)中調(diào)用相應(yīng)的數(shù)據(jù)提取策略,根據(jù)該數(shù)據(jù)提取策略從輸入的數(shù)據(jù)包流中提取流特征數(shù)據(jù);B)流模型實(shí)例構(gòu)建模塊根據(jù)預(yù)先定義的流模型描述,結(jié)合輸入的流特征數(shù)據(jù),構(gòu)建流模型實(shí)例的集合;C)綜合業(yè)務(wù)感知模塊根據(jù)已有的識(shí)別策略,對(duì)輸入的流模型實(shí)例進(jìn)行感知,輸出識(shí)別結(jié)果。到這一步,本發(fā)明方法的目的已經(jīng)實(shí)現(xiàn),優(yōu)選地,還可以進(jìn)一步包括D)策略映射模塊根據(jù)輸入的識(shí)別結(jié)果,建立業(yè)務(wù)類型與網(wǎng)絡(luò)應(yīng)用策略之間的映射;從而,應(yīng)用策略模塊根據(jù)映射結(jié)果為業(yè)務(wù)流提供相應(yīng)的服務(wù)。當(dāng)綜合業(yè)務(wù)感知模塊包括快速識(shí)別模塊和機(jī)器學(xué)習(xí)模塊時(shí),步驟C可以具體包括C1)快速識(shí)別模塊先采用快速識(shí)別方法對(duì)輸入的流模型實(shí)例進(jìn)行匹配處理,輸出識(shí)別結(jié)果;C2)對(duì)于快速識(shí)別模塊無(wú)法識(shí)別的流模型實(shí)例,機(jī)器學(xué)習(xí)模塊采用機(jī)器學(xué)習(xí)的方法進(jìn)行分析,然后,將分析結(jié)果同已有的識(shí)別策略進(jìn)行匹配,若匹配,則輸出對(duì)應(yīng)的識(shí)別結(jié)果;否則,生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。在這里,步驟C1中采用的快速識(shí)別方法包括五元組檢測(cè)、物理端口檢測(cè)或有限數(shù)據(jù)包檢測(cè)等簡(jiǎn)單的識(shí)別方法,算法簡(jiǎn)單、效率較高,可以對(duì)容易識(shí)別的流進(jìn)行高效識(shí)別,起到預(yù)處理的作用,從而大大減少了后續(xù)進(jìn)入機(jī)器學(xué)習(xí)模塊的數(shù)據(jù)流。C1中所述的匹配處理具體為對(duì)流模型實(shí)例進(jìn)行分析,并根據(jù)預(yù)先設(shè)定的匹配精度將流模型實(shí)例和已有的識(shí)別策略進(jìn)行匹配,若匹配,則輸出相應(yīng)的識(shí)別結(jié)果;否則進(jìn)入機(jī)器學(xué)習(xí)模塊處理。步驟C2中采用的機(jī)器學(xué)習(xí)方法包括分類學(xué)習(xí)、關(guān)聯(lián)學(xué)習(xí)、聚類、數(shù)值預(yù)測(cè)等方法中的一種或多種,本方法實(shí)施方式中特別采用了期望-最大化的算法進(jìn)行機(jī)器學(xué)習(xí)。學(xué)習(xí)結(jié)果可以采用的形式包括決策表、決策樹(shù)、分類規(guī)則、關(guān)聯(lián)規(guī)則、包含例外的規(guī)則、包含關(guān)系的規(guī)則、基于實(shí)例的表達(dá)、聚類等。需要特別指出的是所述的匹配精度是可以根據(jù)實(shí)際需求動(dòng)態(tài)設(shè)定的,從而實(shí)現(xiàn)了更大的靈活性和適應(yīng)性,可以有效彌補(bǔ)深度檢測(cè)等方法的不足。請(qǐng)參閱附圖9,本發(fā)明所述實(shí)現(xiàn)業(yè)務(wù)感知的設(shè)備具體包括快速識(shí)別模塊,用于對(duì)輸入的流模型實(shí)例進(jìn)行快速識(shí)別,識(shí)別出傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用模式所對(duì)應(yīng)的流實(shí)例,輸出識(shí)別結(jié)果,從而將這些流實(shí)例對(duì)應(yīng)的數(shù)據(jù)包從總的數(shù)據(jù)包集合中快速分離;機(jī)器學(xué)習(xí)模塊,用于對(duì)快速識(shí)別模塊無(wú)法識(shí)別的流實(shí)例進(jìn)行機(jī)器學(xué)習(xí),將學(xué)習(xí)結(jié)果與識(shí)別策略庫(kù)中的識(shí)別策略相匹配,如果能夠匹配,則輸出相應(yīng)的識(shí)別結(jié)果;否則,生成新的識(shí)別策略,保存到識(shí)別策略庫(kù)中,并輸出識(shí)別結(jié)果。其中,快速識(shí)別模塊可以采用傳統(tǒng)的五元組檢測(cè)、物理端口檢測(cè)或有限數(shù)據(jù)包檢測(cè)等方法。機(jī)器學(xué)習(xí)模塊進(jìn)行機(jī)器學(xué)習(xí)時(shí)使用的方法包括分類學(xué)習(xí)、關(guān)聯(lián)學(xué)習(xí)、聚類或數(shù)值預(yù)測(cè)方法。輸出的學(xué)習(xí)結(jié)果可以采用的形式包括決策表、決策樹(shù)、分類規(guī)則、關(guān)聯(lián)規(guī)則、包含例外的規(guī)則、包含關(guān)系的規(guī)則、基于實(shí)例的規(guī)則、基于實(shí)例的表達(dá)或聚類。以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1.一種實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng),其特征在于,該系統(tǒng)包括數(shù)據(jù)包特性提取模塊,解析輸入的數(shù)據(jù)包流并從數(shù)據(jù)包中提取流的特征數(shù)據(jù);數(shù)據(jù)提取策略庫(kù),為數(shù)據(jù)包特性提取模塊提供數(shù)據(jù)提取策略;流模型實(shí)例構(gòu)建模塊,根據(jù)數(shù)據(jù)包特性提取模塊輸出的流特性參數(shù)建立流模型實(shí)例的集合;識(shí)別策略庫(kù),為綜合業(yè)務(wù)感知模塊提供識(shí)別策略,從綜合業(yè)務(wù)感知模塊中獲取并保存新的識(shí)別策略;綜合業(yè)務(wù)感知模塊,用來(lái)對(duì)流模型實(shí)例集合進(jìn)行分析,判斷流模型實(shí)例是否和已有的識(shí)別策略相匹配,若匹配,則輸出體現(xiàn)業(yè)務(wù)類型的識(shí)別結(jié)果;若不匹配,則生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。2.如權(quán)利要求1所述的實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng),其特征在于,還包括策略映射模塊,其功能在于根據(jù)綜合業(yè)務(wù)感知模塊輸出的識(shí)別結(jié)果,獲取數(shù)據(jù)流對(duì)應(yīng)的業(yè)務(wù)類型,并建立業(yè)務(wù)類型和對(duì)應(yīng)的網(wǎng)絡(luò)應(yīng)用策略之間的映射。3.如權(quán)利要求1所述的實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng),其特征在于,所述的數(shù)據(jù)提取策略、識(shí)別策略,為用形式語(yǔ)言描述的數(shù)據(jù)提取策略、識(shí)別策略。4.如權(quán)利要求1所述的實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng),其特征在于,所述的流特征數(shù)據(jù)至少包括源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)、數(shù)據(jù)包大小、數(shù)據(jù)包數(shù)目、流的持續(xù)時(shí)間或流量之一。5.如權(quán)利要求1所述的實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng),其特征在于,所述的綜合業(yè)務(wù)感知模塊,包括快速識(shí)別模塊,其功能在于根據(jù)已有的識(shí)別策略,用快速識(shí)別方法對(duì)流模型實(shí)例進(jìn)行識(shí)別處理,并輸出識(shí)別結(jié)果;機(jī)器學(xué)習(xí)模塊,其功能在于對(duì)快速識(shí)別模塊無(wú)法識(shí)別的流模型實(shí)例,使用機(jī)器學(xué)習(xí)的方法進(jìn)行分析,將分析結(jié)果同已有的識(shí)別策略進(jìn)行匹配,若能夠匹配,則輸出識(shí)別結(jié)果;否則,生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。6.如權(quán)利要求5所述的實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng),其特征在于,所述的快速識(shí)別方法包括五元組檢測(cè)方法、物理端口檢測(cè)方法或有限數(shù)據(jù)包檢測(cè)方法。7.一種實(shí)現(xiàn)業(yè)務(wù)感知的方法,其特征在于,設(shè)立識(shí)別策略庫(kù),動(dòng)態(tài)地生成或調(diào)整識(shí)別策略;還包括步驟A)提取流特征數(shù)據(jù);B)構(gòu)建流模型實(shí)例的集合;C)對(duì)流模型實(shí)例進(jìn)行感知,輸出識(shí)別結(jié)果。8.如權(quán)利要求7所述的實(shí)現(xiàn)業(yè)務(wù)感知的方法,其特征在于,還包括D)建立業(yè)務(wù)類型和網(wǎng)絡(luò)應(yīng)用策略之間的映射。9.如權(quán)利要求7所述的實(shí)現(xiàn)業(yè)務(wù)感知的方法,其特征在于,所述的步驟A為根據(jù)輸入的數(shù)據(jù)流,從數(shù)據(jù)提取策略庫(kù)中調(diào)取相應(yīng)的數(shù)據(jù)提取策略,根據(jù)該數(shù)據(jù)提取策略從輸入的數(shù)據(jù)包流中提取流特征數(shù)據(jù)。10.如權(quán)利要求7所述的實(shí)現(xiàn)業(yè)務(wù)感知的方法,其特征在于,所述的步驟B為根據(jù)預(yù)先定義的流模型描述,結(jié)合輸入的流特征數(shù)據(jù),構(gòu)建成流模型實(shí)例的集合。11.如權(quán)利要求7所述的實(shí)現(xiàn)業(yè)務(wù)感知的方法,其特征在于,所述的步驟C為綜合業(yè)務(wù)感知模塊根據(jù)已有的識(shí)別策略,對(duì)輸入的流模型實(shí)例進(jìn)行感知,輸出識(shí)別結(jié)果。12.如權(quán)利要求11所述的實(shí)現(xiàn)業(yè)務(wù)感知的方法,其特征在于,當(dāng)綜合業(yè)務(wù)感知模塊包括快速識(shí)別模塊和機(jī)器學(xué)習(xí)模塊時(shí),所述的步驟C包括C1)快速識(shí)別模塊采用快速識(shí)別方法對(duì)輸入的流模型實(shí)例進(jìn)行匹配處理;C2)對(duì)于快速識(shí)別模塊無(wú)法識(shí)別的流模型實(shí)例,機(jī)器學(xué)習(xí)模塊采用機(jī)器學(xué)習(xí)的方法進(jìn)行分析,將分析結(jié)果同已有的識(shí)別策略進(jìn)行匹配,若匹配,則輸出對(duì)應(yīng)的識(shí)別結(jié)果;否則,生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。13.如權(quán)利要求12所述的實(shí)現(xiàn)業(yè)務(wù)感知的方法,其特征在于,步驟C1中所述的匹配處理為對(duì)流模型實(shí)例進(jìn)行分析,將流模型實(shí)例和已有的識(shí)別策略進(jìn)行匹配,若匹配,則輸出相應(yīng)的識(shí)別結(jié)果;否則進(jìn)入機(jī)器學(xué)習(xí)模塊處理。14.一種實(shí)現(xiàn)業(yè)務(wù)感知的設(shè)備,其特征在于,包括快速識(shí)別模塊,用于根據(jù)已有的識(shí)別策略,采用快速識(shí)別方法對(duì)輸入的流模型實(shí)例進(jìn)行分析識(shí)別,輸出識(shí)別結(jié)果;機(jī)器學(xué)習(xí)模塊,用于對(duì)快速識(shí)別模塊無(wú)法識(shí)別的流模型實(shí)例,使用機(jī)器學(xué)習(xí)的方法進(jìn)行分析,將分析結(jié)果與已有的識(shí)別策略相匹配,如果能夠匹配,則輸出相應(yīng)的識(shí)別結(jié)果;否則,生成新的識(shí)別策略,并輸出識(shí)別結(jié)果。15.如權(quán)利要求14所述的實(shí)現(xiàn)業(yè)務(wù)感知的設(shè)備,其特征在于,所述的快速識(shí)別方法,包括五元組檢測(cè)方法、物理端口檢測(cè)方法或有限數(shù)據(jù)包檢測(cè)方法。全文摘要本發(fā)明公開(kāi)了一種實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng)、方法及設(shè)備,該實(shí)現(xiàn)業(yè)務(wù)感知的系統(tǒng)包括數(shù)據(jù)提取策略庫(kù),用來(lái)提供數(shù)據(jù)提取策略;數(shù)據(jù)包特性提取模塊,用來(lái)提取流的特征數(shù)據(jù);流模型實(shí)例構(gòu)建模塊,用來(lái)根據(jù)數(shù)據(jù)包特性提取模塊輸出的流特性參數(shù)建立流模型實(shí)例的集合;識(shí)別策略庫(kù),用來(lái)為綜合業(yè)務(wù)感知模塊提供識(shí)別策略;綜合業(yè)務(wù)感知模塊,用來(lái)對(duì)流模型實(shí)例進(jìn)行感知。該實(shí)現(xiàn)業(yè)務(wù)感知的方法包括提取流特征數(shù)據(jù);構(gòu)建流模型實(shí)例的集合;對(duì)流模型實(shí)例進(jìn)行感知,輸出識(shí)別結(jié)果。該實(shí)現(xiàn)業(yè)務(wù)感知的設(shè)備包括快速識(shí)別模塊,用于對(duì)流模型實(shí)例進(jìn)行快速識(shí)別;機(jī)器學(xué)習(xí)模塊,用于對(duì)快速識(shí)別模塊無(wú)法識(shí)別的流模型實(shí)例作進(jìn)一步處理,輸出識(shí)別結(jié)果。文檔編號(hào)H04L12/24GK1997007SQ200610063019公開(kāi)日2007年7月11日申請(qǐng)日期2006年9月30日優(yōu)先權(quán)日2006年9月30日發(fā)明者劉源,董沛影申請(qǐng)人:華為技術(shù)有限公司