專利名稱:局域網(wǎng)http應(yīng)用業(yè)務(wù)分類方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于對局域網(wǎng)環(huán)境中所有的http數(shù)據(jù)報文進行業(yè)務(wù)分類的方法 及系統(tǒng),是一種可用于上網(wǎng)行為監(jiān)控或業(yè)務(wù)審計產(chǎn)品中的方法及系統(tǒng),屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù):
上網(wǎng)行為監(jiān)控系統(tǒng)是目前應(yīng)用日益廣泛的作為網(wǎng)絡(luò)行為監(jiān)控的重要手段,它通過 對實際網(wǎng)絡(luò)當(dāng)中的業(yè)務(wù)進行實時監(jiān)控達(dá)到對于特定安全事件的發(fā)現(xiàn)、網(wǎng)絡(luò)行為的規(guī)范、網(wǎng) 絡(luò)資源的管理等多方面的安全目的,是實現(xiàn)IT監(jiān)控和管理的有效方法。隨著網(wǎng)絡(luò)業(yè)務(wù)的日 益增多,越來越多的應(yīng)用采用標(biāo)準(zhǔn)的http協(xié)議及80端口進行信息交互,比如P2P類應(yīng)用迅 雷、多線程下載工具網(wǎng)絡(luò)螞蟻、網(wǎng)際快車等均支持標(biāo)準(zhǔn)http協(xié)議,并使用標(biāo)準(zhǔn)的80端口。目 前很多的上網(wǎng)行為監(jiān)控產(chǎn)品大多基于端口及對于http協(xié)議的解析進行應(yīng)用分類,當(dāng)面對 大量的http報文,目前的上網(wǎng)行為監(jiān)控及審計系統(tǒng)僅僅依賴于端口或http協(xié)議的解析無 法區(qū)分是由普通的IE瀏覽、另存、或者是網(wǎng)絡(luò)螞蟻等多線程下載甚至是迅雷所觸發(fā)的,僅 僅作為一般的http應(yīng)用上報顯然是不夠準(zhǔn)確的。這給精確的上網(wǎng)行為監(jiān)控及審計帶來的 一定的問題,而且對于后續(xù)的流量控制、業(yè)務(wù)區(qū)分等都帶來的一定程度的麻煩。隨著原來越 多的網(wǎng)絡(luò)業(yè)務(wù)重用80端口并支持http協(xié)議,對其進行準(zhǔn)確的業(yè)務(wù)類型區(qū)分成為當(dāng)前上網(wǎng) 行為監(jiān)控系統(tǒng)及審計系統(tǒng)應(yīng)該具有的功能。因此如何在實際局域網(wǎng)環(huán)境中的http數(shù)據(jù)報 文當(dāng)中進行業(yè)務(wù)類型的區(qū)分決定著對于網(wǎng)絡(luò)行為監(jiān)控的準(zhǔn)確性及網(wǎng)絡(luò)資源管理使用的合 理性。因此有必要發(fā)展一種能夠?qū)崿F(xiàn)對局域網(wǎng)環(huán)境下http應(yīng)用進行準(zhǔn)確區(qū)分的方法和系 統(tǒng)以提高上網(wǎng)行為監(jiān)控系統(tǒng)或?qū)徲嬒到y(tǒng)的準(zhǔn)確性,使得對于上網(wǎng)行為及當(dāng)前網(wǎng)絡(luò)狀況有更 為細(xì)致的把握,保證網(wǎng)絡(luò)資源的最佳利用。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類系統(tǒng)及方法,以對網(wǎng) 絡(luò)報文進行準(zhǔn)確的業(yè)務(wù)分類。為解決上述技術(shù)問題,本發(fā)明提供一種網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類系統(tǒng),該系統(tǒng)包括 依次連接的報文捕獲器、協(xié)議解析器及報文特征篩選器,其中,所述報文捕獲器,用于捕獲網(wǎng)絡(luò)報文;協(xié)議解析器,用于對捕獲的網(wǎng)絡(luò)報文進行協(xié)議解析以及提取相應(yīng)的字段信息,并 將網(wǎng)絡(luò)報文信息及所述字段信息提供給所述報文特征篩選器;所述報文特征篩選器,用于將所述字段信息與預(yù)設(shè)的應(yīng)用業(yè)務(wù)特征信息進行匹 配,以及根據(jù)匹配結(jié)果判斷所述網(wǎng)絡(luò)報文的應(yīng)用業(yè)務(wù)類別。進一步地,所述應(yīng)用業(yè)務(wù)特征信息是多線程字段特征,若所述字段信息與多線程 字段特征相匹配,所述報文特征篩選器判斷所述網(wǎng)絡(luò)報文是多線程類業(yè)務(wù)應(yīng)用,否則判斷 所述網(wǎng)絡(luò)報文是IE單線程類業(yè)務(wù)應(yīng)用。進一步地,所述協(xié)議解析器還用于從接收的網(wǎng)絡(luò)報文中篩選出目的端口為80的http協(xié)議報文,根據(jù)http協(xié)議格式進行報文解析。進一步地,所述系統(tǒng)還包括與所述報文捕獲器相連的流量采集器以及與所述流量 采集器及報文特征篩選器相連的流量模式識別器,所述流量采集器用于根據(jù)所述報文捕獲 器捕獲的網(wǎng)絡(luò)報文產(chǎn)生及保存預(yù)定時間間隔內(nèi)的流量記錄,還用于提供給所述流量模式識 別器;所述報文特征篩選模塊還用于將匹配成功的網(wǎng)絡(luò)報文信息提供給所述流量模式識別 器;所述流量模式識別器用于根據(jù)所述流量記錄分析所述報文特征篩選模塊提供的所述網(wǎng) 絡(luò)報文的流量模式,進一步識別所述網(wǎng)絡(luò)報文的多線程類應(yīng)用業(yè)務(wù)類型。進一步地,所述流量記錄包括源地址、目的地址、源端口、目的端口及協(xié)議類型,所 述流量模式識別器是這樣識別多線程類應(yīng)用業(yè)務(wù)類型的根據(jù)匹配成功的網(wǎng)絡(luò)報文信息的 源地址篩選流量記錄,當(dāng)UDP廣播報文的數(shù)量大于設(shè)定閾值,則判定所述網(wǎng)絡(luò)報文為P2P類 應(yīng)用業(yè)務(wù)類型,否則判定為普通多線程應(yīng)用業(yè)務(wù)類型。未解決上述技術(shù)問題,本發(fā)明還提供一種網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類方法,該方法包 括捕獲網(wǎng)絡(luò)報文并對所述網(wǎng)絡(luò)報文進行協(xié)議解析以及提取相應(yīng)的字段信息;將所述字段信息與預(yù)設(shè)的應(yīng)用業(yè)務(wù)特征信息進行匹配,根據(jù)匹配結(jié)果判斷所述網(wǎng) 絡(luò)報文的應(yīng)用業(yè)務(wù)類別。進一步地,所述應(yīng)用業(yè)務(wù)特征信息是多線程字段特征,若所述字段信息與多線程 字段特征相匹配,則判斷所述網(wǎng)絡(luò)報文是多線程類業(yè)務(wù)應(yīng)用,否則判斷所述網(wǎng)絡(luò)報文是IE 單線程類業(yè)務(wù)應(yīng)用。進一步地,對網(wǎng)絡(luò)報文進行協(xié)議解析前,從捕獲的網(wǎng)絡(luò)報文中篩選出目的端口為 80的http協(xié)議報文,并根據(jù)http協(xié)議格式進行報文解析。進一步地,對所述網(wǎng)絡(luò)報文進行協(xié)議解析的同時,根據(jù)捕獲的所有網(wǎng)絡(luò)報文產(chǎn)生 及保存預(yù)定時間間隔內(nèi)的流量記錄;匹配成功后,根據(jù)所述流量記錄分析匹配成功的網(wǎng)絡(luò) 報文的流量模式,進一步判斷所述網(wǎng)絡(luò)報文的多線程類應(yīng)用業(yè)務(wù)類型。進一步地,所述流量記錄包括源地址、目的地址、源端口、目的端口及協(xié)議類型,所 述流量模式識別器是這樣識別多線程類應(yīng)用業(yè)務(wù)類型的根據(jù)匹配成功的網(wǎng)絡(luò)報文信息的 源地址篩選流量記錄,當(dāng)篩選的流量記錄表明UDP廣播報文的數(shù)量大于設(shè)定閾值時,判定 為P2P類應(yīng)用業(yè)務(wù)類型,否則判定為普通多線程應(yīng)用業(yè)務(wù)類型。本發(fā)明系統(tǒng)和方法利用基于協(xié)議解析的特征匹配方法解決了傳統(tǒng)上網(wǎng)行為監(jiān)控 產(chǎn)品或?qū)徲嫯a(chǎn)品中對于局域網(wǎng)環(huán)境下的http應(yīng)用缺少具體分類帶來的監(jiān)控或?qū)徲嫿Y(jié)果不 夠精確的問題,并結(jié)合流量模式識別技術(shù)實現(xiàn)了對局域網(wǎng)環(huán)境內(nèi)的所有http應(yīng)用的業(yè)務(wù) 細(xì)分,從而有效的區(qū)分IE、多線程下載以及P2P類觸發(fā)的http應(yīng)用,在一定程度上實現(xiàn)了局 域網(wǎng)環(huán)境中對于http應(yīng)用的細(xì)致分類,為用戶或管理人員提供實時準(zhǔn)確的http應(yīng)用分類 信息,有助于管理系統(tǒng)或管理人員對當(dāng)前局域網(wǎng)中http應(yīng)用類別的準(zhǔn)確把握及精確的監(jiān) 控上網(wǎng)行為,具有很好的性能和準(zhǔn)確性,可廣泛應(yīng)用于局域網(wǎng)范圍內(nèi)的上網(wǎng)行為監(jiān)控產(chǎn)品 或?qū)徲嫯a(chǎn)品中。
圖1是本發(fā)明網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類系統(tǒng)的結(jié)構(gòu)示意圖。
5
圖2是本發(fā)明網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類方法的具體實施方式
流程圖。
具體實施例方式如圖1所示,本發(fā)明局域網(wǎng)http應(yīng)用業(yè)務(wù)分類系統(tǒng)包括報文捕獲器、協(xié)議解析器、 流量采集器、報文特征篩選器、流量模式識別器及監(jiān)控裝置,其中,報文捕獲器、協(xié)議解析 器、報文特征篩選器及監(jiān)控裝置依次連接,報文捕獲器與流量采集器相連,流量采集器與報 文捕獲器、報文特征篩選器及監(jiān)控裝置相連接,具體地,報文捕獲器,用于捕獲網(wǎng)絡(luò)報文;協(xié)議解析器,用于對捕獲的網(wǎng)絡(luò)報文進行協(xié)議解析以提取相應(yīng)的字段信息,并將 網(wǎng)絡(luò)報文信息及字段信息提供給報文特征篩選器;在進行協(xié)議解析前,所述協(xié)議解析器從接收的網(wǎng)絡(luò)報文中篩選出目的端口為80 的http協(xié)議報文,然后根據(jù)http協(xié)議格式進行報文解析。流量采集器,用于根據(jù)所述報文捕獲器捕獲的網(wǎng)絡(luò)報文產(chǎn)生及保存預(yù)定時間間隔 內(nèi)的流量記錄,還用于提供給所述流量模式識別器;報文特征篩選器,用于將協(xié)議解析器提供的字段信息與預(yù)設(shè)的應(yīng)用業(yè)務(wù)特征信息 進行匹配,以及根據(jù)匹配結(jié)果初步判斷所述網(wǎng)絡(luò)報文的應(yīng)用業(yè)務(wù)類別;所述應(yīng)用業(yè)務(wù)特征信息是多線程字段特征,若所述字段信息與多線程字段特征相 匹配,所述報文特征篩選器判斷所述網(wǎng)絡(luò)報文是多線程類業(yè)務(wù)應(yīng)用,否則判斷所述網(wǎng)絡(luò)報 文是IE單線程類業(yè)務(wù)應(yīng)用,報文特征篩選器實現(xiàn)了單線程與多線程類業(yè)務(wù)應(yīng)用的區(qū)分。報文特征篩選器,還用于將判斷為IE單線程類業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)報文信息提供給 監(jiān)控裝置,將匹配成功的網(wǎng)絡(luò)報文信息提供給所述流量模式識別器;流量模式識別器,用于根據(jù)所述流量記錄對所述報文特征篩選模塊提供的所述網(wǎng) 絡(luò)報文進行流量模式識別,進一步識別所述網(wǎng)絡(luò)報文的應(yīng)用業(yè)務(wù)類型。流量采集器保存預(yù)定時間間隔(比如5分鐘)內(nèi)的流量記錄,所述流量記錄包括 源地址、目的地址、源端口、目的端口及協(xié)議類型,所述流量模式識別器是這樣識別多線程 類應(yīng)用業(yè)務(wù)類型的根據(jù)匹配成功的網(wǎng)絡(luò)報文信息的源地址篩選流量記錄,當(dāng)UDP廣播報 文的數(shù)量大于設(shè)定閾值,則判定所述網(wǎng)絡(luò)報文為P2P類應(yīng)用業(yè)務(wù)類型,否則判定為普通多 線程應(yīng)用業(yè)務(wù)類型,并將判定結(jié)果提供給監(jiān)控裝置。流量采集器及流量模式識別器使得匹配的多線程類應(yīng)用業(yè)務(wù)的網(wǎng)絡(luò)報文得到了 進一步的、細(xì)化的識別劃分,使得網(wǎng)絡(luò)報文的應(yīng)用業(yè)務(wù)劃分更加精確。監(jiān)控裝置,用于依據(jù)報文特征篩選器及流量模式識別器的輸出結(jié)果進行http業(yè) 務(wù)分類顯示?;谝陨舷到y(tǒng),本發(fā)明局域網(wǎng)http應(yīng)用業(yè)務(wù)分類方法如圖2所示,包括以下步 驟步驟201 報文捕獲器捕獲當(dāng)前局域網(wǎng)環(huán)境內(nèi)的網(wǎng)絡(luò)報文;步驟202 協(xié)議解析器從捕獲的網(wǎng)絡(luò)報文中篩選出目的端口 80的http協(xié)議報文, 并依據(jù)http協(xié)議格式進行報文解析,提取當(dāng)中各字段信息;以下舉例說明例1 :IE觸發(fā)的單線程http應(yīng)用的報文信息
源IP 192. 168. 1. 102,目的 IP 60. 19. 64. 40,源端口 1112 目的端口 80.http報文內(nèi)容解析如下GET/gougou/sprite2. gif HTTP/1. 1Accept :氺/氺Referer http //www. gougou. com/search ? search = % E9 % 87 % 91 % E5 % 88 % 9A % E7% 8B% BC&id = 0Accept-Language :zh_cnAccept-Encoding :gzip, deflateUser-Agent :Mozilla/4. 0 (compatible ;MSIE 6. 0 ;Windows NT 5. 1 ;SVl ;. NET CLR 2. 0. 50727 ; InfoPath. 1)Host :img. gougou. comConnection :Keep_Alive例2 迅雷觸發(fā)的http應(yīng)用解析內(nèi)容如下GET/files/dd6aa97el4dcb028037bd2171bblc579/ %5Bbbs.gogodutch.com % 5D ?? cd 1. rmvb HTTP/1. 1Accept :氺/氺Cache-Control :no~cacheConnection :Keep_AliveHost :www340. megaupload. comPragma :no~cacheRange :bytes = 27852800-27918335User-Agent :Mozilla/4. 0 (compatible ;MSIE 6. 0 ;Windows NT 5. 1 ;SVl ;. NET CLR 1. 1. 4322 ;· NET CLR 2. 0. 50727)。協(xié)議解析器將解析后的字段信息提供給報文特征篩選器進行特征匹配。步驟203 在步驟302進行協(xié)議解析的同時,流量采集器依據(jù)當(dāng)前捕獲的所有數(shù)據(jù) 報文產(chǎn)生及保存預(yù)定時間間隔內(nèi)的流量記錄,以五元組的形式存儲記錄并提供給流量模式 識別器以備進一步的識別;例1的http數(shù)據(jù)報文產(chǎn)生的流量記錄為 步驟204 報文特征篩選器以協(xié)議解析器提供的報文的字段信息為樣本,以方法 字段“get”為模式匹配該數(shù)據(jù)報文http數(shù)據(jù)載荷部分的前4字節(jié),若匹配失敗,則忽略該 報文,對下一 http報文進行相同的篩選;若匹配成功,轉(zhuǎn)步驟305 ;
7
步驟205 報文特征篩選器以“Range :bytes = ”為多線程字段特征對該報文后續(xù) 內(nèi)容進行模式匹配,若匹配失敗,則說明該報文為IE觸發(fā)的單線程http應(yīng)用,將該報文的 信息五元組上報給監(jiān)控裝置;若匹配成功,“Range :bytes =”字段表示該http應(yīng)用為某一 多線程下載或迅雷觸發(fā),則將該報文的信息五元組提供給流量模式識別器進行流量模式識 別;采用以上特征匹配方法,例2所示迅雷觸發(fā)的http應(yīng)用的網(wǎng)絡(luò)報文可以匹配成 功,報文特征篩選器提供給流量模式識別器的信息五元組如下 步驟206 根據(jù)匹配成功的網(wǎng)絡(luò)報文信息的源地址篩選流量記錄,根據(jù)篩選出的 流量記錄表現(xiàn)的流量模式進行多線程應(yīng)用業(yè)務(wù)類型的細(xì)化判定,當(dāng)篩選的流量記錄表明包 含UDP廣播報文,且數(shù)量大于設(shè)定閾值時,判定為P2P類應(yīng)用業(yè)務(wù)類型,否則判定為普通多 線程應(yīng)用業(yè)務(wù)類型。匹配成功后提供的http報文,說明其是某種多線程下載或迅雷所觸發(fā)的http應(yīng) 用。此時我們需要根據(jù)其流量模式對普通的多線程下載和迅雷等P2P類應(yīng)用所觸發(fā)的http 應(yīng)用進行區(qū)分。根據(jù)收到的匹配成功的報文的五元組提取源IP 192. 168. 10. 158 ;然后由流量采 集器提取當(dāng)前采集的所有流量記錄五元組;篩選出所有源IP為192. 168. 10. 158的流量記 錄,并在篩選出的流量記錄當(dāng)中查找是否含有目的IP為255. 255. 255. 255的UDP報文。例 如我們篩選過后的流量記錄為 不失一般性,本實施例中我們設(shè)定閾值為5,當(dāng)篩選過后的流量記錄中,以該IP 192. 168. 10. 158為源IP發(fā)出的UDP廣播報文(目的地址為255. 255. 255. 255)數(shù)量大于5時,判定為迅雷等P2P類應(yīng)用觸發(fā)的http應(yīng)用并上報,否則判定為普通的多線程下載觸發(fā) Whttp應(yīng)用并上報。最后報文特征篩選器及流量模式識別器上報給監(jiān)控裝置的篩選或識別結(jié)果由監(jiān) 控裝置以報文信息五元組的形式提供給用戶或網(wǎng)絡(luò)管理員,其上報結(jié)果如下 管理員或用戶可以依據(jù)各種http應(yīng)用的分類進行后續(xù)連接及流量的跟蹤管理寸。 本發(fā)明系統(tǒng)和方法利用基于協(xié)議解析的特征匹配方法解決了傳統(tǒng)上網(wǎng)行為監(jiān)控 產(chǎn)品或?qū)徲嫯a(chǎn)品中對于局域網(wǎng)環(huán)境下的http應(yīng)用缺少具體分類帶來的監(jiān)控或?qū)徲嫿Y(jié)果不 夠精確的問題,并結(jié)合流量模式識別技術(shù)實現(xiàn)了對局域網(wǎng)環(huán)境內(nèi)的所有http應(yīng)用的業(yè)務(wù) 細(xì)分,從而有效的區(qū)分IE、多線程下載以及P2P類觸發(fā)的http應(yīng)用,在一定程度上實現(xiàn)了局 域網(wǎng)環(huán)境中對于http應(yīng)用的細(xì)致分類,為用戶或管理人員提供實時準(zhǔn)確的http應(yīng)用分類 信息,有助于管理系統(tǒng)或管理人員對當(dāng)前局域網(wǎng)中http應(yīng)用類別的準(zhǔn)確把握及精確的監(jiān) 控上網(wǎng)行為,具有很好的性能和準(zhǔn)確性,可廣泛應(yīng)用于局域網(wǎng)范圍內(nèi)的上網(wǎng)行為監(jiān)控產(chǎn)品 或?qū)徲嫯a(chǎn)品中。
9
權(quán)利要求
一種網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類系統(tǒng),其特征在于該系統(tǒng)包括依次連接的報文捕獲器、協(xié)議解析器及報文特征篩選器,其中,所述報文捕獲器,用于捕獲網(wǎng)絡(luò)報文;協(xié)議解析器,用于對捕獲的網(wǎng)絡(luò)報文進行協(xié)議解析以及提取相應(yīng)的字段信息,并將網(wǎng)絡(luò)報文信息及所述字段信息提供給所述報文特征篩選器;所述報文特征篩選器,用于將所述字段信息與預(yù)設(shè)的應(yīng)用業(yè)務(wù)特征信息進行匹配,以及根據(jù)匹配結(jié)果判斷所述網(wǎng)絡(luò)報文的應(yīng)用業(yè)務(wù)類別。
2.如權(quán)利要求1所述的系統(tǒng),其特征在于所述應(yīng)用業(yè)務(wù)特征信息是多線程字段特征, 若所述字段信息與多線程字段特征相匹配,所述報文特征篩選器判斷所述網(wǎng)絡(luò)報文是多線 程類業(yè)務(wù)應(yīng)用,否則判斷所述網(wǎng)絡(luò)報文是IE單線程類業(yè)務(wù)應(yīng)用。
3.如權(quán)利要求1所述的系統(tǒng),其特征在于所述協(xié)議解析器還用于從接收的網(wǎng)絡(luò)報文 中篩選出目的端口為80的http協(xié)議報文,根據(jù)http協(xié)議格式進行報文解析。
4.如權(quán)利要求2所述的系統(tǒng),其特征在于所述系統(tǒng)還包括與所述報文捕獲器相連的 流量采集器以及與所述流量采集器及報文特征篩選器相連的流量模式識別器,所述流量采 集器用于根據(jù)所述報文捕獲器捕獲的網(wǎng)絡(luò)報文產(chǎn)生及保存預(yù)定時間間隔內(nèi)的流量記錄,還 用于提供給所述流量模式識別器;所述報文特征篩選模塊還用于將匹配成功的網(wǎng)絡(luò)報文信 息提供給所述流量模式識別器;所述流量模式識別器用于根據(jù)所述流量記錄分析所述報文 特征篩選模塊提供的所述網(wǎng)絡(luò)報文的流量模式,進一步識別所述網(wǎng)絡(luò)報文的多線程類應(yīng)用 業(yè)務(wù)類型。
5.如權(quán)利要求4所述的系統(tǒng),其特征在于所述流量記錄包括源地址、目的地址、源端 口、目的端口及協(xié)議類型,所述流量模式識別器是這樣識別多線程類應(yīng)用業(yè)務(wù)類型的根據(jù) 匹配成功的網(wǎng)絡(luò)報文信息的源地址篩選流量記錄,當(dāng)UDP廣播報文的數(shù)量大于設(shè)定閾值, 則判定所述網(wǎng)絡(luò)報文為P2P類應(yīng)用業(yè)務(wù)類型,否則判定為普通多線程應(yīng)用業(yè)務(wù)類型。
6.一種網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類方法,其特征在于,該方法包括捕獲網(wǎng)絡(luò)報文并對所述網(wǎng)絡(luò)報文進行協(xié)議解析以及提取相應(yīng)的字段信息;將所述字段信息與預(yù)設(shè)的應(yīng)用業(yè)務(wù)特征信息進行匹配,根據(jù)匹配結(jié)果判斷所述網(wǎng)絡(luò)報 文的應(yīng)用業(yè)務(wù)類別。
7.如權(quán)利要求6所述的方法,其特征在于所述應(yīng)用業(yè)務(wù)特征信息是多線程字段特征, 若所述字段信息與多線程字段特征相匹配,則判斷所述網(wǎng)絡(luò)報文是多線程類業(yè)務(wù)應(yīng)用,否 則判斷所述網(wǎng)絡(luò)報文是IE單線程類業(yè)務(wù)應(yīng)用。
8.如權(quán)利要求6所述的系統(tǒng),其特征在于對網(wǎng)絡(luò)報文進行協(xié)議解析前,從捕獲的網(wǎng)絡(luò) 報文中篩選出目的端口為80的http協(xié)議報文,并根據(jù)http協(xié)議格式進行報文解析。
9.如權(quán)利要求7所述的系統(tǒng),其特征在于對所述網(wǎng)絡(luò)報文進行協(xié)議解析的同時,根據(jù) 捕獲的所有網(wǎng)絡(luò)報文產(chǎn)生及保存預(yù)定時間間隔內(nèi)的流量記錄;匹配成功后,根據(jù)所述流量 記錄分析匹配成功的網(wǎng)絡(luò)報文的流量模式,進一步判斷所述網(wǎng)絡(luò)報文的多線程類應(yīng)用業(yè)務(wù) 類型。
10.如權(quán)利要求9所述的系統(tǒng),其特征在于所述流量記錄包括源地址、目的地址、源端 口、目的端口及協(xié)議類型,所述流量模式識別器是這樣識別多線程類應(yīng)用業(yè)務(wù)類型的根據(jù) 匹配成功的網(wǎng)絡(luò)報文信息的源地址篩選流量記錄,當(dāng)篩選的流量記錄表明UDP廣播報文的數(shù)量大于設(shè)定閾值時,判定為P2P類應(yīng)用業(yè)務(wù)類型,否則判定為普通多線程應(yīng)用業(yè)務(wù)類型。
全文摘要
本發(fā)明涉及局域網(wǎng)http應(yīng)用業(yè)務(wù)分類方法及系統(tǒng)。本發(fā)明提供一種網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類系統(tǒng),該系統(tǒng)包括依次連接的報文捕獲器、協(xié)議解析器及報文特征篩選器,其中,所述報文捕獲器,用于捕獲網(wǎng)絡(luò)報文;協(xié)議解析器,用于對捕獲的網(wǎng)絡(luò)報文進行協(xié)議解析以及提取相應(yīng)的字段信息,并將網(wǎng)絡(luò)報文信息及所述字段信息提供給所述報文特征篩選器;所述報文特征篩選器,用于將所述字段信息與預(yù)設(shè)的應(yīng)用業(yè)務(wù)特征信息進行匹配,以及根據(jù)匹配結(jié)果判斷所述網(wǎng)絡(luò)報文的應(yīng)用業(yè)務(wù)類別。本發(fā)明網(wǎng)絡(luò)報文應(yīng)用業(yè)務(wù)分類系統(tǒng)及方法,可以對網(wǎng)絡(luò)報文進行準(zhǔn)確的業(yè)務(wù)分類。
文檔編號H04L12/56GK101902484SQ20091008470
公開日2010年12月1日 申請日期2009年5月25日 優(yōu)先權(quán)日2009年5月25日
發(fā)明者孫海波 申請人:北京啟明星辰信息技術(shù)股份有限公司;北京啟明星辰信息安全技術(shù)有限公司