一种嵌入式设备业务识别系统技术方案

本发明专利技术公开了一种嵌入式设备业务识别系统，该系统具备轻量级的优势，能够实现对网络流量进行综合分析，并进行网络协议实时识别，进而判断业务类型，在保证了实时性的同时维持了较高的正确率，同时，在网络流量的采集方面，采用分流设计，适应实时网络流量接收对时间的高要求，减少CPU的占有率，该系统既减少了业务识别对于系统功能的影响，也提高了准确率。也提高了准确率。也提高了准确率。

【技术实现步骤摘要】
一种嵌入式设备业务识别系统


[0001]本专利技术涉及移动通信
，具体涉及一种嵌入式设备业务识别系统。

技术介绍

[0002]网络流量识别是分析网络传输内容的主要手段之一，现有网络流量识别方法通常采用端口检测或特征检测记忆信息熵检测。近年来，随着网络应用数量的愈来愈庞大，用户在网上的行为变得复杂多变；同时，网络攻击次数愈发频繁，攻击手段层出不穷，给网络安全带来了极大的隐患。而网络业务识别可以很好的管控用户上网行为并在一定程度上抵御网络攻击，同时，业务识别是网络入侵检测必不可少的一部分。入侵检测作为防御网络攻击，提高网络安全性的一道屏障，正受到人们的重视；而业务识别可以为入侵检测提供判断依据，在入侵检测之前判断业务的种类，对于不合法的业务取缔，对于正常的业务通知系统予以放行。最后，业务识别对于网络容量规划和通信服务质量保障有着重要的作用。分析网络中的业务类型，网络提供者可以由此判断业务带宽的数量级，此外，对于不同的业务有着不同的QOS要求，而网络的服务能力有限，为了保障各种业务的服务质量，就需要设计一定的调度算法，将业务识别应用于系统的QOS保障中，及时发现不同的业务类型，根据其业务类型来提供不同的QOS。
[0003]业务识别除了能够在网络容量规划工程和入侵检测起到重要作用之外，另一个重要的任务是帮助网络运营商识别用户的异常行为，为了保护客户免受内部或外部的威胁，运营商必须跟踪网络上发生的异常。在过去的十年中，互联网上无论是针对个人安全或是国家安全的漏洞和攻击数量已逐渐增加，尤其是近年来国家大力发展互联网+模式，使得互联网与国家基础设施(例如电力、煤气、水、废物处理、铁路等)企业的联系更加密切，这便导致了互联网中的流量组成愈加复杂，如果一旦被攻击，造成的后果将会无法估量。
[0004]现在的业务识别方法大多存在准确率低，实时性较差的难题。无法满足一些高性能系统的技术要求。

技术实现思路

[0005]本专利技术目的：在于提供一种嵌入式设备业务识别系统，将深度包检测技术与机器学习方法相融合的方法，提高嵌入式设备业务识别的准确率和实时性，为后续系统的功能实现提供高可靠、高性能的服务支持。
[0006]为实现以上功能，本专利技术设计一种嵌入式设备业务识别系统，目标通信区域内包括边缘侧设备、上层设备，其中边缘侧设备包括嵌入式设备，嵌入式设备包括至少一个网关节点，各网关节点分别均包括网卡、内存、业务流量采集模块、业务流量处理模块，各业务流量处理模块分别与上层设备通信连接，上层设备包括业务流量识别模块，针对待识别网络流量，实现网络流量的业务类型识别，包括如下步骤：
[0007]S1:分别针对各业务流量采集模块，业务流量采集模块实时采集网络流量，并基于预设时间间隙，将各预设时间间隙内所采集的网络流量保存为网络流量包，其中网络流量
包的形式为pcap离线文件，同时将所采集的各网络流量包存储于网关节点的内存中；
[0008]S2:业务流量处理模块分别将各网络流量包转化为与各网络流量包一一对应的五元组信息，并构建用于存储所有待识别网络流量包的网络流存储队列；
[0009]S3:业务流量识别模块获取网络流存储队列中的待识别网络流量包，基于深度包检测技术、机器学习流特征检测方法，分别针对网络流存储队列中的各待识别网络流量包的业务类型进行识别，并输出各待识别网络流量包的业务类型识别结果；
[0010]S4:重复步骤S2
‑
步骤S3，直至完成网络流存储队列中所有的待识别网络流量包的业务类型的识别。
[0011]作为本专利技术的一种优选技术方案：步骤S1包括如下步骤S11
‑
步骤S12：
[0012]S11：分别针对各网关节点，业务流量采集模块采用linux自带的tcpdump程序，持续监听网卡的网络流量，并且每隔预设时间间隙，将该预设时间间隙内监听到的网络流量保存为网络流量包，其中网络流量包的形式为pcap离线文件；
[0013]S12：网卡包括网卡接口控制器，网卡接口控制器调用lipcap库，基于旁路机制复制网卡的各网络流量包，针对复制的网卡的各网络流量包，对其进行内核过滤，并传输至上层设备。
[0014]作为本专利技术的一种优选技术方案：步骤S2包括如下步骤S21
‑
步骤S25：
[0015]S21：初始化网关节点的内存；
[0016]S22：业务流量处理模块将业务流量采集模块所采集的各网络流量包进行拆包，分析获得各网络流量包分别所对应的五元组，其中各五元组包括网络流量包的源IP地址、目的IP地址、源端口、目的端口、包长度；
[0017]S23：计算各网络流量包的五元组的hash值；
[0018]S24：构建网络流存储队列，将各网络流量包及其五元组的hash值存储进网络流存储队列；
[0019]S25：重复步骤S22
‑
步骤S24，其中业务流量处理模块针对业务流量采集模块所采集的各网络流量包，判断该各网络流量包的五元组的hash值是否已存储在网络流存储队列中，若已经存储在网络流存储队列中，则丢弃该各网络流量包，若没有存储在网络流存储队列中，则将该各网络流量包及其五元组的hash值存储进网络流存储队列。
[0020]作为本专利技术的一种优选技术方案：步骤S3包括如下步骤S31
‑
步骤S34：
[0021]S31：业务流量识别模块获取网络流存储队列中的各网络流量包；
[0022]S32：基于深度包检测技术，对网络流存储队列中的各网络流量包进行业务类别的识别；
[0023]S33：若基于深度包检测技术可以识别出该网络流量包的业务类别，则输出该网络流量包的业务类型识别结果，若基于深度包检测技术不能识别出该网络流量包的业务类别，则基于机器学习流特征检测方法对该网络流量包进行业务类别的识别，并输出该网络流量包的业务类型识别结果；
[0024]S34：重复步骤S31
‑
步骤S33，直至完成对网络流存储队列中的所有网络流量包的业务类别的识别。
[0025]作为本专利技术的一种优选技术方案：所述预设时间间隙为5秒。
[0026]作为本专利技术的一种优选技术方案：基于深度包检测技术对各网络流量包的业务类
别进行识别的过程，若采用深度包检测技术对各网络流量包业务类别的识别连续失败3次，则优先采用机器学习流特征检测方法对网络流量包进行业务类别的识别，在识别5秒后，将业务类别的识别方法再次改为深度包检测技术。
[0027]有益效果：相对于现有技术，本专利技术的优点包括：
[0028](1)本专利技术采用网卡接口控制器对捕获的网络流量包进行复制转发，对系统负担较小，不影响系统正常工作。
[0029](2)本专利技术通过将深度包检测技术和机器学习相结合的形式，有效提高了业务识别的准确率和实时性
[0030](3)本专利技术通过计算hash值和队列存储的方式，有效降低了需要缓存的流量。
附本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种嵌入式设备业务识别系统，其特征在于，目标通信区域内包括边缘侧设备、上层设备，其中边缘侧设备包括嵌入式设备，嵌入式设备包括至少一个网关节点，各网关节点分别均包括网卡、内存、业务流量采集模块、业务流量处理模块，各业务流量处理模块分别与上层设备通信连接，上层设备包括业务流量识别模块，针对待识别网络流量，实现网络流量的业务类型识别，包括如下步骤：S1:分别针对各业务流量采集模块，业务流量采集模块实时采集网络流量，并基于预设时间间隙，将各预设时间间隙内所采集的网络流量保存为网络流量包，其中网络流量包的形式为pcap离线文件，同时将所采集的各网络流量包存储于网关节点的内存中；S2:业务流量处理模块分别将各网络流量包转化为与各网络流量包一一对应的五元组信息，并构建用于存储所有待识别网络流量包的网络流存储队列；S3:业务流量识别模块获取网络流存储队列中的待识别网络流量包，基于深度包检测技术、机器学习流特征检测方法，分别针对网络流存储队列中的各待识别网络流量包的业务类型进行识别，并输出各待识别网络流量包的业务类型识别结果；S4:重复步骤S2
‑
步骤S3，直至完成网络流存储队列中所有的待识别网络流量包的业务类型的识别。2.根据权利要求1所述的一种嵌入式设备业务识别系统，其特征在于，步骤S1包括如下步骤S11
‑
步骤S12：S11：分别针对各网关节点，业务流量采集模块采用linux自带的tcpdump程序，持续监听网卡的网络流量，并且每隔预设时间间隙，将该预设时间间隙内监听到的网络流量保存为网络流量包，其中网络流量包的形式为pcap离线文件；S12：网卡包括网卡接口控制器，网卡接口控制器调用lipcap库，基于旁路机制复制网卡的各网络流量包，针对复制的网卡的各网络流量包，对其进行内核过滤，并传输至上层设备。3.根据权利要求1所述的一种嵌入式设备业务识别系统，其特征在于，步骤S2包括如下步骤S21
‑
步骤S25：S21：初始化网关节点的内存；...

【专利技术属性】
技术研发人员：朱洪波，林松，朱晓荣，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：