trados 新手必读和常见问题解决方法_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
trados 新手必读和常见问题解决方法
上传于||文档简介
&&翻​译​同​胞​们​注​意​啦
阅读已结束，如果下载本文需要使用2下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩80页未读，继续阅读
你可能喜欢三星w2014加密设置已经解除，可是点击安全显示的还是加密设备，换不了其他解锁方式，怎么办_百度知道
三星w2014加密设置已经解除，可是点击安全显示的还是加密设备，换不了其他解锁方式，怎么办
我有更好的答案
可以下载软件解锁的
解锁时要下载的
可以恢复出厂设置
第三方有多久
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁红米note3加密加锁开不了机了怎么办_百度知道
红米note3加密加锁开不了机了怎么办
　　可以通过如下方法进行清除手机的加锁：　　1、将手机置于关机状态，然后同时按住音量加和开机键。　　2、直到手机进入recovery模式，然后选择到简体中文-清除数据-清除用户数据。　　3、清除完毕之后即可正常开机。
其他类似问题
为您推荐：
提问者采纳
用电脑连上。使用刷机精灵软件
等手机没电行不行
没关系电脑会自动冲电
不是，我是说等到手机没电了，自动关机
这样行不行
提问者评价
太给力了，你的回答完美地解决了我的问题，非常感谢！
点击忘记密码，弹出小米的账号，是屏幕锁吗？如果是什么地方加密了
反正你采纳别人了，问题解决不解决你也无所谓了，不是就不吧
其他1条回答
关机后，音量上键和电源键同时按进入recovery模式双清
关机后，音量上键，是上键和电源键同时按
我现在都不知道怎么办了，一直在哪开机画面
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁更多频道内容在这里查看
爱奇艺用户将能永久保存播放记录
过滤短视频
暂无长视频（电视剧、纪录片、动漫、综艺、电影）播放记录，
使用您的微博帐号登录，即刻尊享微博用户专属服务。
使用您的QQ帐号登录，即刻尊享QQ用户专属服务。
使用您的人人帐号登录，即刻尊享人人用户专属服务。
按住视频可进行拖动
把视频贴到Blog或BBS
当前浏览器仅支持手动复制代码
视频地址：
flash地址：
html代码：
通用代码：
通用代码可同时支持电脑和移动设备的分享播放
收藏成功，可进入查看所有收藏列表
方式1：用手机看
用爱奇艺APP或微信扫一扫，在手机上继续观看：
Galaxy S4如何取消加密设备？(I9500，I9508)
方式2：一键下载至手机
限爱奇艺安卓6.0以上版本
使用微信扫一扫，扫描左侧二维码，下载爱奇艺移动APP
其他安装方式：手机浏览器输入短链接http://71.am/udn
下载安装包到本机：&&
设备搜寻中...
请确保您要连接的设备（仅限安卓）登录了同一爱奇艺账号 且安装并开启不低于V6.0以上版本的爱奇艺客户端
连接失败！
请确保您要连接的设备（仅限安卓）登录了同一爱奇艺账号 且安装并开启不低于V6.0以上版本的爱奇艺客户端
部安卓（Android）设备，请点击进行选择
请您在手机端下载爱奇艺移动APP（仅支持安卓客户端）
使用微信扫一扫，下载爱奇艺移动APP
其他安装方式：手机浏览器输入短链接http://71.am/udn
下载安装包到本机：&&
爱奇艺云推送
请您在手机端登录爱奇艺移动APP（仅支持安卓客户端）
使用微信扫一扫，下载爱奇艺移动APP
180秒后更新
打开爱奇艺移动APP，点击“我的-扫一扫”，扫描左侧二维码进行登录
没有安装爱奇艺视频最新客户端？
爸爸去哪儿2游戏 立即参与
Galaxy S4如何取消加密设备？(I9500，I9508)
播放量数据：
你可能还想订阅他们：
&正在加载...
您使用浏览器不支持直接复制的功能，建议您使用Ctrl+C或右键全选进行地址复制
安装爱奇艺视频客户端，
马上开始为您下载本片
5秒后自动消失
&li data-elem="tabtitle" data-seq="{{seq}}"& &a href="javascript:void(0);"& &span>{{start}}-{{end}}&/span& &/a& &/li&
&li data-downloadSelect-elem="item" data-downloadSelect-selected="false" data-downloadSelect-tvid="{{tvid}}"& &a href="javascript:void(0);"&{{pd}}&/a&
选择您要下载的《
色情低俗内容
血腥暴力内容
广告或欺诈内容
侵犯了我的权力
还可以输入
您使用浏览器不支持直接复制的功能，建议您使用Ctrl+C或右键全选进行地址复制加密流量识别方法及装置制造方法
加密流量识别方法及装置制造方法
【专利摘要】本发明实施例公开了一种加密流量识别方法及装置，其中方法包括将待识别流与统计规则集合中各条统计规则的深度包检测特征匹配，将匹配到的统计规则生成为统计规则子集；将待识别流与所述统计规则子集中各条统计规则的流统计特征匹配，将匹配到的统计规则生成为统计规则识别集；将所述统计规则识别集中具有最高优先级的统计规则对应的应用类型识别为所述待识别流的应用类型，本发明可以用于加密流量的应用类型识别，且具有在线识别能力和高精准识别率等特性。
【专利说明】加密流量识别方法及装置
【技术领域】
[0001]本发明涉及流量分类与识别【技术领域】，尤其涉及一种加密流量识别方法及装置。【背景技术】
[0002]网络中流量识别处于十分重要的位置，其是网络中内容过滤、流量分析、带宽管理、安全通信及互联网监管和运维等多方面的基础。所谓的流量识别是指利用流以及流中报文的某些信息(例如:协议特征、指纹、签名等)将网络上的流划分为既定的若干类别(例如:各种应用类型的流)的技术；其中流是指在某一段固定时间间隔内通过网络上的一个观测点的IP (Internet Protocol，网络互联协议)报文的集合，这些报文具有相同的五元组(源IP、源端口、目的IP、目的端口和协议类型)标识；其中一个流属于流量的一部分。
[0003]目前流量识别的方式主要包括:基于端口映射的流量识别方式、基于IP地址的流量识别方式、基于DPI (Deep Packet Inspection，深度包检测)的流量识别方式和基于DFI(Deep Flow Inspection,深度流检测)的流量识别方式。
[0004]其中基于端口映射的流量识别方式是将知名端口作为协议特征，例如:HTTP(Hypertext Transfer Protocol,超文本传输协议)和 DNS (Domain Name System,域名系统)的80号和53号端口，P2P (Peer to Peer，对等网络)应用的固定服务端口等，通过截取数据包头的端口信息，检查连接记录是否应用了这些端口，如果可以匹配某个已知端口，则可以直接识别流量。但是，目前网络应用逐渐引入了动态协商端口，或者以HTTP作为应用协议的底层承载协议来穿透防火墙，这些方式均会导致基于端口映射的流量识别方式识别精准性严重的打折。
[0005]其中基于IP地址的流量识别方式是将充当核心服务器角色的网络节点IP作为协议特征，例如:P2P应用的登录服务器、超级节点等，但是该方式只能识别节点与服务器之间的通信，而无法识别对等节点之间的直接通信，同时超级节点具有大量性、动态性和通信强加密性等特性而导致基于IP地址的流量识别方式识别复杂度极高，影响实时性。
[0006]其中基于DPI的流量识别方式是将位置固定或不固定的关键字符串作为应用签名，深入到报文的应用层载荷部分进行内容检测，通过多模式匹配、正则表达式匹配、协议特征包长匹配或进行不同流之间的关联以实现流量识别，这通常需要逐字节扫描才能完成。但是，为了实现安全通信，目前越来越多的应用开始采用协商会话密钥机制进行流量加密，导致协议报文特征被部分或完全隐藏，从而导致基于DPI的流量识别方式对于弱加密应用流量的识别，需消耗大量计算资源进行静态或动态解密以还原协议明文，而对于强加密应用流量则无法识别。
[0007]其中基于DFI的流量识别方式不依赖于报文荷载内容，而是将应用流量行为作为协议特征，并应用启发式算法或统计学习方法进行流量分类。例如:P2P应用启发式识别算法采用传输层连接模式(IP数、端口数、传输协议等)作为P2P流量行为特征；统计
学习方法采用的流量统计特征包括单流层面(包长与包到达时间间隔的均值及方差、传入/传出字节比等)、多流层面(流持续时间、流字节数、流包总数的均值及方法等)和TCP(Transmission Control Protocol,传输控制协议)连接层面(SYN( synchronous,握手信号)包和ACK (确认)包的IP数、端口数及包数等)，并采用机器学习算法，例如:SVM (SupportVector Machine,支持向量机),进行训练和分类。但是,该基于DFI的流量识别方式只适用于识别大类应用，无法精确识别具体应用，而且流统计特征的提取要花费较长时间(甚至持续到流结束)，因此亦不适用于在线流量识别。
【发明内容】
[0008]本发明实施例所要解决的技术问题在于，提供一种加密流量识别方法及装置，具有在线识别能力和闻精准识别率。
[0009]为了解决上述技术问题，本发明实施例提供一种加密流量识别方法，用于将待识别流与统计规则匹配以识别待识别流的应用类型；其中统计规则包括:规则头、深度包检测特征和流统计特征，所述规则头指示了该条统计规则对应的应用类型以及该条统计规则的优先级；
[0010]所述将待识别流与统计规则匹配以识别待识别流的应用类型，包括:
[0011]将待识别流与统计规则集合中各条统计规则的深度包检测特征匹配，将匹配到的统计规则生成为统计规则子集；
[0012]将待识别流与所述统计规则子集中各条统计规则的流统计特征匹配，将匹配到的统计规则生成为统计规则识别集；
[0013]将所述统计规则识别集中具有最高优先级的统计规则对应的应用类型识别为所述待识别流的应用类型。
[0014]优选的，所述统计规则的深度包检测特征包含至少一预过滤子规则和所含的预过滤子规则之间的逻辑关系；
[0015]所述预过滤子规则包括如下至少一项:基于字符串的预过滤子规则、基于协议特征包长的预过滤子规则、基于静态动态解密的预过滤子规则、基于已识别流关联表的预过滤子规则、基于端口的预过滤子规则和基于IP地址的预过滤子规则；
[0016]当所述待识别流与统计规则所含的预过滤子规则相匹配，并且符合所含的预过滤子规则间的逻辑关系时，则所述待识别流与该条统计规则的深度包检测特征匹配。
[0017]优选的，所述流统计特征包含至少一统计模式和所含的统计模式之间的逻辑关系;
[0018]所述统计模式用于指定流的包长分布特征和符合该包长分布特征的期望包计数；
[0019]当所述待识别流中符合统计模式指定的包长分布特征的数据包的个数达到统计模式指定的期望包计数时，则所述待识别流与该统计模式匹配；
[0020]当所述待识别流与统计规则所含的统计模式匹配，并且符合所含的统计模式之间的逻辑关系时，则所述待识别流与该条统计规则的流统计特征匹配。
[0021]优选的，所述包长分布特征包括如下至少一项:数据包在流中的坐标特征、数据包的序列特征和数据包的包长特征；
[0022]所述数据包在流中的坐标特征包括:包方向和包位置，其中包方向包括:对应上行流方向的上行包方向、对应下行流方向的下行包方向和对应双向流方向的无包方向；包位置是指数据包在流方向上出现时的位置编号，包括:单个固定位置、位置离散序列和位置连续区间；
[0023]所述数据包的序列特征包括:连续性和有序性；
[0024]所述数据包的包长特征包括:包长特定值、包长范围和包长变量。
[0025]优选的，所述统计模式包括如下至少一项:包长序列统计模式、包长集合统计模式、包长重复统计模式、位置的方向统计模式、包计数统计模式、包长均值统计模式、包长和值统计模式、轮包长和值统计模式和字节收发比统计模式；
[0026]所述包长序列统计模式指定为:在流方向、包位置上存在具有包长特征的数据包序列，并满足连续性和有序性约束，其中期望包计数指定为具有包长特征的数据包序列长度；
[0027]所述包长集合统计模式指定为:在流方向、包装置上存在期望包计数个数据包，数据包的包长都包含于一个包长特征的集合，并且满足连续性和有序性约束；
[0028]所述包长重复模式指定为:在流方向、包位置上存在期望包计数个数据包，数据包的包长都等于同一个包长特征，并且满足连续性；
[0029]所述位置的方向统计模式指定为:在双向流方向、包位置上的数据包的包方向指定的包方向，期望包计数设定为包位置的个数；
[0030]所述包计数统计模式指定为:在双向流方向、包位置上存在期望包计数个数据包，数据包的包方向都为同一指定的包方向，并且满足连续性；
[0031]所述包长均值统计模式指定为:在流方向、包位置上所有数据包的数据包包长的和值与一包长特征相匹配，期望包计数被设定为包位置的个数；
[0032]所述轮包长和值统计模式指定为:将双向流方向、包位置上的每一次流方向的改变看作新一轮数据包的开始，指定某轮所有数据包的数据包包长的和值与一个包长特征相匹配，期望包计数被设定为所述轮数；
[0033]所述字节收发比统计模式指定为:双向流方向、包位置上的上行流方向字节数与下行流方向字节数的比值与一个包长特征相匹配，期望包计数被设定为位置的个数。
[0034]优选的，所述待识别流为传输控制协议TCP流，所述数据包为带有效负载的数据包，所述加密量识别方法至多对待识别流的前60个带有效负载的数据包进行识别。
[0035]本发明实施例提供了一种加密流量识别装置，包括:统计规则深度包检测特征预过滤模块、统计规则流统计特征匹配模块和流识别结果检测模块；
[0036]其中所述统计规则深度包检测特征预过滤模块，用于将待识别流与统计规则集合中各条统计规则的深度包检测特征匹配，将匹配到的统计规则生成为统计规则子集；
[0037]所述统计规则流统计特征匹配模块，用于将待识别流与所述统计规则子集中各条统计规则的流统计特征匹配，将匹配到的统计规则生成为统计规则识别集；
[0038]所述流识别结果检测模块，用于将所述统计规则识别集中具有最高优先级的统计规则对应的应用类型识别为所述待识别流的应用类型。
[0039]优选的，所述统计规则深度包检测特征预过滤模块，包括:特征基本匹配单元和统计规则预过滤逻辑判别单元；
[0040]所述特征基本匹配单元包括:并行的字符串单模匹配子单元、协议特征包长的预过滤匹配子单元、静态动态解密匹配子单元、已识别流关联表匹配子单元、端口匹配子单元和IP地址匹配子单元；
[0041]所述统计规则预过滤逻辑判别单元，用于对所述特征基本匹配单元中匹配到的子单元之间的逻辑关系进行验证，生成统计规则子集。
[0042]优选的，所述包长分布特征包括如下至少一项:数据包在流中的坐标特征、数据包的序列特征和数据包的包长特征；
[0043]所述数据包在流中的坐标特征包括:对应上行流方向的上行包方向、对应下行流方向的下行包方向和对应双向流方向的无包方向；
[0044]所述数据包的序列特征包括:连续性和有序性；
[0045]所述数据包的包长特征包括:包长特定值、包长范围和包长变量。
[0046]优选的，所述统计规则流统计特征匹配模块包括:统计模式匹配单元和统计模式匹配结果逻辑判别单元；
[0047]所述统计模式匹配单元包括如下至少一项:包长序列统计模式匹配子单元、包长集合统计模式匹配子单元、包长重复统计模式匹配子单元、位置的方向统计模式匹配子单元、包计数统计模式匹配子单元、包长均值统计模式匹配子单元、包长和值统计模式匹配子单元、轮包长和值统计模式匹配子单元和字节收发比统计模式匹配子单元；
[0048]所述统计模式匹配结果逻辑判别单元，用于对统计模式匹配单元匹配到的子单元之间的逻辑关系进行验证，生成所述统计规则识别集。
[0049]优选的，包长序列统计模式指定为:在流方向、包位置上存在具有包长特征的数据包序列，并满足连续性和有序性约束，其中期望包计数指定为具有包长特征的数据包序列长度；
[0050]包长集合统计模式指定为:在流方向、包装置上存在期望包计数个数据包，数据包的包长都包含于一个包长特征的集合，并且满足连续性和有序性约束；
[0051]包长重复模式指定为:在流方向、包位置上存在期望包计数个数据包，数据包的包长都等于同一个包长特征，并且满足连续性；
[0052]位置的方向统计模式指定为:在双向流方向、包位置上的数据包的包方向指定的包方向，期望包计数设定为包位置的个数；
[0053]包计数统计模式指定为:在双向流方向、包位置上存在期望包计数个数据包，数据包的包方向都为同一指定的包方向，并且满足连续性；
[0054]包长均值统计模式指定为:在流方向、包位置上所有数据包的数据包包长的和值与一包长特征相匹配，期望包计数被设定为包位置的个数；
[0055]轮包长和值统计模式指定为:将双向流方向、包位置上的每一次流方向的改变看作新一轮数据包的开始，指定某轮所有数据包的数据包包长的和值与一个包长特征相匹配，期望包计数被设定为所述轮数；
[0056]字节收发比统计模式指定为:双向流方向、包位置上的上行流方向字节数与下行流方向字节数的比值与一个包长特征相匹配，期望包计数被设定为位置的个数。
[0057]优选的，所述待识别流为传输控制协议TCP流，所述数据包为带有效负载的数据包，所述加密量识别装置至多对待识别流的前60个带有效负载的数据包进行识别。
[0058]实施本发明实施例，具有如下有益效果:
[0059]1.本发明实施例提供的坐标特征、序列特征和包长特征等包长分布特征和统计模式满足灵活多样的加密应用流量行为统计规律的描述需求，能捕获各种加密应用独一无二的流量行为特征并加以精确识别。
[0060]2.本发明实施例基于流的确定性抽样进行统计识别模型的验证，无需进行提前训练，且只需统计每条流的前若干个(至多60个)有效负载数据包，故可进行在线识别，并能精确识别具体加密应用类型。
[0061]3.本发明实施例将加密应用流量识别过程划分为深度包检测预过滤和流统计特征匹配两个阶段，首先通过预过滤筛选出了需继续进行统计识别的少数统计规则，同时排除了无关流量，缩小了统计识别流量的范围，从而整体上提升了加密应用流量识别的性能。
[0062]本发明实施例将待识别流与统计规则匹配以识别待识别流的应用类型，其中统计规则包括:规则头、深度包检测特征和流统计特征，规则头指示了该条统计规则对应的应用类型以及该条统计规则的优先级，而将待识别流与统计规则匹配包括:与深度包检测特征的匹配和与流统计特征的匹配；本发明实施例，采用统计规则对待识别流进行识别，具有在线识别能力和高精准识别率的特点，并且适合加密流的应用类型识别。
【专利附图】
【附图说明】
[0063]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0064]图1是加密流量识别方法的第一实施例的流程示意图。
[0065]图2是统计模式匹配的流程示意图。
[0066]图3是加密流量识别方法的第二实施例的流程示意图。
[0067]图4是加密流量识别装置的第一实施例的结构示意图。
[0068]图5是统计规则深度包检测特征预过滤模块I的第一实施例的结构示意图。
[0069]图6是统计规则深度包检测特征预过滤模块I的第二实施例的结构示意图。
[0070]图7是统计规则流统计特征匹配模块2的实施例的结构示意图。
[0071]图8是加密流量识别装置的第二实施例的结构示意图。
【具体实施方式】
[0072]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0073]本发明实施例，主要采用将待识别流与统计规则匹配以识别待识别流的应用类型，其中待识别流主要是针对TCP流。其中统计规则说明和相关概念如下。
[0074]本发明实施例存在许多的统计规则，这些统计规则构成了统计规则集合。其中每条统计规则的结构均包括:规则头、深度包检测特征和流统计特征。
[0075]其中规则头主要用于指示该条统计规则对应的应用类型以及该条统计规则的优先级。[0076]其中，深度包检测特征主要作为流统计特征的预过滤条件或入口条件，其包含至少一预过滤子规则和所含的预过滤子规则之间的逻辑关系。其中，预过滤子规则包括如下至少一项:基于字符串的子规则、基于协议特征包长的子规则、基于静态动态解密的子规贝U、基于已识别流关联表的子规则、基于端口的子规则和基于IP地址的子规。其中，预过滤子规则之间的逻辑关系包括:逻辑全与、逻辑全或、逻辑表达式，其中逻辑表达式由逻辑与、逻辑或、括号和预过滤子规则的编号组成。
[0077]其中，流统计特征包含至少一统计模式和所含的统计模式之间的逻辑关系。其中，统计模式主要指定了流的包长分布特征和符合该包长分布特征的期望包计数。其中统计模式之间的逻辑关系包括:逻辑全与、逻辑全或、逻辑表达式，其中逻辑表达式由逻辑与、逻辑或、括号和统计模式的编号组成。
[0078]其中包长分布特征包括如下至少一项:数据包在流中的坐标特征、数据包的序列特征和数据包的包长特征；其中期望包计数可以为单个固定值或值区间。
[0079]其中数据包在流中的坐标特征包括:包方向和包位置，其中包方向是指数据包在流中出现时所位于的流方向，包括上行包方向、下行包方向或无包方向；其中流方向包括上行流方向、下行流方向和双向流方向；其中，上行流方向是指客户端向服务器发包的流方向，下行流方向是指服务器向客户端发包的流方向，双向流方向是指将上行流方向和下行流方向看作一个方向整体；上行包方向指定为上行流方向，下行包方向指定为下行流方向，无包方向指定为双向流方向。其中，包位置是指数据包在流方向上出现时的位置编号，并且位置编号在流方向上独立进行，包位置包括单个固定位置、位置离散序列和位置连续区间。需要说明的是:统计模式除了可以指定此处的包位置之外，还可指定统计模式变量包位置，其中，统计模式变量包位置为相对于统计模式命中时的包位置之后的偏移位置。统计模式命中在后续说明。
[0080]其中数据包的序列特征包括:连续性和有序性；其中连续性是指某个数据包序列或集合中的数据包在某个流方向、位置连续区间上位置不间断地一一出现；其中有序性是指某个数据包序列或集合中的数据包在某个流方向、包位置(位置离散序列或位置连续区间)上按照指定的先后顺序依次出现。
[0081]其中，数据包的包长特征包括:包长特定值、包长范围和包长变量。其中数据包包长是指带有效负载的数据包的载荷长度，包长特定值是指数据包包长或包长统计量等于某个确定值，包长范围是指数据包包长或包长统计量介于两个包长特定值之间，包长变量是指数据包包长或包长统计量等于某个包位置处的数据包包长。
[0082]其中，统计模式包括如下至少一项:包长序列统计模式、包长集合统计模式、包长重复统计模式、位置的方向统计模式、包计数统计模式、包长均值统计模式、包长和值统计模式、轮包长和值统计模式和字节收发比统计模式。
[0083]其中，包长序列统计模式指定为:在流方向、包位置上存在具有包长特征的数据包序列，并满足连续性和有序性约束，其中期望包计数指定为具有包长特征的数据包序列长度；
[0084]其中，包长集合统计模式指定为:在流方向、包装置上存在期望包计数个数据包，数据包的包长都包含于一个包长特征的集合，并且满足连续性和有序性约束；
[0085]其中，包长重复模式指定为:在流方向、包位置上存在期望包计数个数据包，数据包的包长都等于同一个包长特征，并且满足连续性；
[0086]其中，位置的方向统计模式指定为:在双向流方向、包位置上的数据包的包方向指定的包方向，期望包计数设定为包位置的个数；
[0087]其中，包计数统计模式指定为:在双向流方向、包位置上存在期望包计数个数据包，数据包的包方向都为同一指定的包方向，并且满足连续性；
[0088]其中，包长均值统计模式指定为:在流方向、包位置上所有数据包的数据包包长的和值与一包长特征相匹配，期望包计数被设定为包位置的个数；
[0089]其中，轮包长和值统计模式指定为:将双向流方向、包位置上的每一次流方向的改变看作新一轮数据包的开始，指定某轮所有数据包的数据包包长的和值与一个包长特征相匹配，期望包计数被设定为所述轮数；
[0090]其中，字节收发比统计模式指定为:双向流方向、包位置上的上行流方向字节数与下行流方向字节数的比值与一个包长特征相匹配，期望包计数被设定为位置的个数。
[0091]基于以上认识，如图1所示，是本发明实施例的加密流量识别方法的第一实施例的流程示意图。其包括:
[0092]步骤S11、将待识别流与统计规则集合中各条统计规则的深度包检测特征匹配，将匹配到的统计规则生成为统计规则子集。
[0093]此处，待识别流与统计规则匹配是指:待识别流命中与统计规则的深度包检测特征所含的预过滤子规则，并且命中预过滤子规则间的逻辑关系。
[0094]步骤S12、将待识别流与所述统计规则子集中各条统计规则的流统计特征匹配，将匹配到的统计规则生成为统计规则识别。
[0095]此处，待识别流与统计规则匹配是指:待识别流命中统计规则的统计模式，并且命中统计模式之间的逻辑关系。
[0096]此处，待识别流命中统计模式是指待识别流符合统计模式指定的包长分布特征的数据包的个数达到统计模式指定的期望包计数。
[0097]步骤S13、将统计规则识别集中具有最高优先级的统计规则对应的应用类型识别为待识别流的应用类型。
[0098]此处，按照步骤Sll和步骤S12匹配后，统计规则可能同时命中多个统计规则，那么将具有最高优先级的统计规则对应的应用类型作为待识别流的应用类型。
[0099]本实施例，可以识别加密流量的应用类型，并且具有在线识别能力和高精准识别率的特点。
[0100]图1中步骤S12中涉及的统计模式的匹配可以采用如图2所示的流程，其包括:
[0101]步骤S21、选中统计模式，输入待识别流的数据包的包长、流方向等信息。
[0102]步骤S22、根据当前数据包的包长和当前流方向，判断当前流方向是否与选中的统计模式指定的流方向一致:若不一致，则结束；若一致，则转至步骤S23继续执行。
[0103]步骤S23、根据当前流方向和统计模式的匹配状态，更新统计模式的当前包位置和统计模式变量包位置。
[0104]步骤S24、根据统计模式的当前包位置和当前数据包的包长，提取统计模式指定的包长变量特征对应的包长。
[0105]步骤S25、根据统计模式的当前包位置，判断是否命中统计模式指定的包位置:若没有命中，则结束；若命中，则转至步骤S26继续执行。
[0106]步骤S26、根据统计模式的当前包位置和当前数据包的包长，更新统计模式的当前包长统计量，验证统计模式指定的包长特征、包方向、连续性和有序性等包长分布特征约束。
[0107]步骤S27、根据统计模式的包长分布特征的验证结果，更新统计模式的连续性状态、有序性状态和当前有效包计数。
[0108]步骤S28、根据统计模式指定的包位置、期望包计数、当前包位置和当前有效包计数，判定统计模式的匹配结果。
[0109]步骤S29、更新统计模式的已完成状态、已命中状态等匹配状态，然后结束。
[0110]如图3所示，是本发明实施例的加密流量识别方法的第二实施例的流程示意图。在图3中引入了全局流表、流节点和流统计子节点的概念，其中流节点保存在全局流表中，对应待识别流；流统计子节点保存在流节点中，对应统计规则。具体的，图3包括:
[0111]步骤S31、输入待识别流中的带有效负载数据包相关的包长、载荷、流五元组、流方向等上下文。
[0112]步骤S32、进入应用识别流水线的第一级节。
[0113]此处，统计规则深度包检测预过滤以数据包和统计规则集合为输入对待识别流进行深度包检测预过滤，输出最终命中的统计规则子集。
[0114]若统计规则子集非空，则待识别流需要进行继续执行统计规则流统计特征匹配，处理流程转至应用识别流水线的下一级节点，否则，中止本次识别；
[0115]步骤S33、进入应用识别流水线的第二级节点。
[0116]若存在新命中的统计规则子集，则流统计子节点根据统计规则子集创建对应的流统计子节点并对流统计子节点的统计模式匹配状态进行初始化，多个流统计子节点串接成链表并被保存在全局流表中待识别流对应的流节点中。
[0117]若无新命中的统计规则子集，则遍历当前流统计子节点的链表，对每个流统计子节点将处理流程转至应用识别流水线的四至五节点。
[0118]步骤S34、进入应用识别流水线的第三级节点。
[0119]统计规则流统计特征匹配基于流统计子节点当前统计模式匹配状态对流统计子节点对应的统计规则的流统计特征指定的统计模式进行匹配，并对统计模式匹配状态进行更新，判定流统计子节点识别状态。
[0120]步骤S35、进入应用识别流水线的第四级节点。
[0121]流识别结果检测利用保存在全局流表中的待识别流对应的流节点中的多个流统计子节点的识别状态判定流节点的识别状态和识别结果。
[0122]若至少存在一个流统计子节点的识别状态为已识别，则判定流节点的识别状态为已识别，流节点的识别结果被判定为所有已识别的流统计子节点对应的统计规则子集中优先级最高的统计规则的规则头所指定的加密流量应用的类型，此时，流节点的识别已完成，否则，继续进行识别。
[0123]本实施列，最多只对待识别流的前60个带有效负载的数据包进行识别，若已识别了 60个数据包但仍不存在识别状态为已识别的流统计子节点，则判定流节点的识别状态为已失败。[0124]相应于前述的方法实施例，如图4所示，本发明实施例提供了的加密流量识别装置的实施例的结构示意图。其包括:统计规则深度包检测特征预过滤模块1、统计规则流统计特征匹配模块2和流识别结果检测模块3。
[0125]其中，统计规则深度包检测特征预过滤模块1，用于将待识别流与统计规则集合中各条统计规则的深度包检测特征匹配，将匹配到的统计规则生成为统计规则子集。
[0126]此处，待识别流与统计规则匹配是指:待识别流命中与统计规则的深度包检测特征所含的预过滤子规则，并且命中预过滤子规则间的逻辑关系。
[0127]其中，统计规则流统计特征匹配模块2，用于将待识别流与统计规则子集中各条统计规则的流统计特征匹配，将匹配到的统计规则生成为统计规则识别集。
[0128]此处，待识别流与统计规则匹配是指:待识别流命中统计规则的统计模式，并且命中统计模式之间的逻辑关系之间的逻辑关系。
[0129]此处，待识别流命中统计模式是指待识别流符合统计模式指定的包长分布特征的数据包的个数达到统计模式指定的期望包计数。
[0130]其中，流识别结果检测模块3，用于将统计规则识别集中具有最高优先级的统计规则对应的应用类型识别为所述待识别流的应用类型。
[0131]本实施例，可以识别加密流量的应用类型，并且具有在线识别能力和高精准识别率的特点。
[0132]如图5所示，统计规则深度包检测特征预过滤模块I在一种实施例中包括:特征基本匹配单元11和统计规则预过滤逻辑判别单元12。
[0133]其中，特征基本匹配单元11包括:并行的字符串单模匹配子单元、协议特征包长匹配子单元、静态动态解密匹配子单元、已识别流关联表匹配子单元、端口匹配子单元和IP地址匹配子单元。
[0134]其中，统计规则预过滤逻辑判别单元12，用于对特征基本匹配单元中匹配到的子单元之间的逻辑关系进行验证，以生成统计规则子集。
[0135]具体的，字符串单模匹配子单元在待识别流的数据包应用层载荷中执行位置固定或不定的单个字符串的匹配。
[0136]其中，协议特征包长匹配子单元执行应用流量的协议征包长的验证，协议特征包长是指数据包的某个固定位置的取值与整个数据包包长满足某种确定规律。
[0137]其中，静态动态解密匹配子单元首先利用预设的静态密钥或从数据包的某个固定位置提取的动态密钥并按照预设的解密算法对数据包进行迭代解密获取明文数据，然后执行字符串单模匹配或协议特征包长匹配；其中的解密算法包括按位异或、移位、加减等。
[0138]其中，已识别流关联表匹配子单元基于待识别流的数据包的IP、端口、传输协议利用已识别流关联表执行关联查表匹配，其中，已识别流包括UDP流和TCP流，其中已识别流关联表是由已识别流的IP与端口、IP与传输协议的元组生成的哈希链表。
[0139]其中，端口匹配子单元执行单个端口或端口范围的验证。
[0140]其中，IP地址匹配子单元执行单个IP地址或IP地址范围的验证。
[0141]如图6所示，统计规则深度包检测特征预过滤模块I在另一种实施例中还包括:统计规则字符串多模匹配单元13和统计规则特征综合匹配单元14。
[0142]其中，统计规则字符串多模匹配单元13和统计规则特征综合匹配单元14输入端被配置为并行连接至统计规则深度包检测预过滤模块I的输入端，输出端则分别同时连接至特征基本匹配单元11和统计规则预过滤结果逻辑判别单元12的输入端，其中统计规则预过滤逻辑判别单元12的输出端则连接至统计规则深度包检测预过滤模块I的输出端。
[0143]其中，特征基本匹配单元11被并行配置为字符串单模匹配子单元、协议特征包长匹配子单元、静态动态解密匹配子单元、端口匹配子单元、IP地址匹配子单元和已识流关联表匹配子单元。
[0144]其中，统计规则深度包检测预过滤模块I的工作过程通常可分为预处理和预过滤两个阶段。
[0145]在统计规则深度包检测预过滤模块I的预处理阶段，由外部的统计规则集合预处理控制模块对输入的统计规则集合中的统计规则的深度包检测特征指定的预过滤子规则统一进行预处理，生成如图8所示的深度包检测引擎双核心15的影子匹配核心(即图中的核心2)，即统计规则字符串多模匹配单元13的字符串多模式匹配状态机和统计规则特征综合匹配单元14的特征综合匹配状态机，并执行主匹配核心(即图中的核心I)和影子匹配核心的无缝热切换，影子匹配核心被激活为新的主匹配核心，而原来的主匹配核心转变为新的影子匹配核心处于待命状态。
[0146]其中，字符串多模式匹配状态机由统计规则集合中所有的统计规则的某条具有最长字符串的基于关键字符串的预过滤子规则组成的预过滤子规则集合经过预处理生成。并且，统计规则字符串多模匹配单元13利用字符串多模式匹配状态机执行匹配，并对命中的字符串进行在数据包中的偏移位置约束的验证。
[0147]其中，特征综合匹配状态机由统计规则集合中所有的未加入统计规则字符串多模匹配单元的统计规则的基于关键字符串的预过滤子规则、基于协议特征包长的预过滤子规贝U、基于静态动态解密的预过滤子规则、基于已识流关联表的预过滤子规则、基于端口的预过滤子规则、基于IP地址的预过滤子规则生成，并利用特征基本匹配单元11执行匹配。
[0148]在统计规则深度包检测预过滤模块I的预过滤阶段，统计规则字符串多模匹配单元13和统计规则特征综合匹配单元14以待分类流中的带有效负载的数据包和统计规则集合作为输入，并联合特征基本匹配单元11进行深度包检测预过滤，输出初步命中的统计规则子集和统计规则子集中的统计规则的预过滤子规则的命中状态，然后，统计规则预过滤结果逻辑判别单元12对的统计规则的预过滤子规则之间的逻辑关系进一步进行验证，从而筛选出最终命中的统计规则子集并输出。
[0149]如图7所示，其中统计规则流统计特征匹配模块2包括:统计模式匹配单元21和统计模式匹配结果逻辑判别单元22。
[0150]其中，统计模式匹配单元21的输入端被配置为连接至统计规则流统计特征匹配模块2的输入端，统计模式匹配单元21的输出端被配置为连接至统计模式匹配结果逻辑判别单元22的输入端，统计模式匹配结果逻辑判别单元22的输出端则连接至统计规则流统计特征匹配模块2的输出端。
[0151]其中，统计模式匹配单元402被并行配置为包长序列统计模式匹配子单元、包长集合统计模式匹配子单元、包长重复统计模式匹配子单元、位置的方向统计模式匹配子单元、包计数统计模式匹配子单元、包长均值统计模式匹配子单元、包长和值统计模式匹配子单元、轮包长和值统计模式匹配子单元和字节收发比统计模式匹配子单元。[0152]其中，所述统计规则流统计特征匹配模块2以统计规则深度包检测预过滤模块I筛选出的统计规则作为输入，利用统计模式匹配单元21对统计规则的流统计特征指定的多个统计模式进行匹配，更新统计模式匹配状态，根据统计规则的流统计特征指定的统计模式之间的逻辑关系利用统计模式匹配结果逻辑判别单元22判定统计规则对应的流统计子节点的识别状态并输出。
[0153]如图8所示，是加密流量识别装置的第二实施例的结构示意图。其主要包括:统计规则深度包检测预过滤模块1、统计规则流统计特征匹配模块2、流统计子节点单元4、流识别结果检测模块3。其中，统计规则深度包检测预过滤模块1、统计规则流统计特征匹配模块2、流识别结果检测模块3在前述均有说明，此处重点说明流统计子节点单元4。
[0154]具体的,流统计子节点单元4包括:流统计子节点和流统计子节点的统计模式匹配状态。
[0155]其中，流统计子节点与统计规则深度包检测预过滤模块I命中的统计规则相对应，并且保存在统计规则深度包检测预过滤模块I筛选出的待识别流对应的全局流表中的流节点中。其中同一条待识别流可能会被统计规则深度包检测预过滤模块I多次筛选并命中一条或多条不同的统计规则，属于同一条待识别流的多个流统计子节点串接成单向链表。
[0156]其中，流统计子节点的统计模式匹配状态为流统计子节点对应的统计规则的各个统计模式的中间匹配状态，包括统计模式的当前包位置、当前有效包计数、当前包长统计量、连续性状态、有序性状态、已完成状态、已命中状态、流统计子节点的识别状态，其中，流统计子节点的识别状态包括已识别、已失败和未决状态；其中流统计子节点的统计模式匹配状态由统计规则流统计特征匹配模块2更新。
[0157]其中，统计规则流统计特征匹配模块2利用保存的流统计子节点的统计模式匹配状态和统计模式匹配单元21对流统计子节点对应的统计规则指定的流统计特征包括的多个统计模式进行匹配，更新对应的流统计子节点的统计模式匹配状态，并根据流统计特征指定的统计模式之间的逻辑关系利用统计模式匹配结果逻辑判别单元22判定流统计子节点的识别状态。
[0158]其中，统计模式匹配单元21执行包长序列统计模式、包长集合统计模式、包长重复统计模式、位置的方向统计模式、包计数统计模式、包长均值统计模式、包长和值统计模式、轮包长和值统计模式、字节收发比统计模式的匹配。
[0159]具体的，统计模式匹配单元21根据当前数据包的包长和当前流方向，判断当前流方向是否与统计模式指定的流方向一致；统计模式匹配单元根据当前流方向和引用的统计模式的匹配状态，更新统计模式的当前包位置和统计模式变量包位置；统计模式匹配单元根据统计模式的当前包位置和当前数据包的包长，提取统计模式指定的包长变量特征对应的包长；统计模式匹配单元根据统计模式的当前包位置，判断是否命中统计模式指定的包位置；统计模式匹配单元根据统计模式的当前包位置和当前数据包的包长，更新统计模式的当前包长统计量，验证统计模式指定的所述的包长特征、包方向、连续性和有序性等包长分布特征约束；统计模式匹配单元根据统计模式的包长分布特征的验证结果，更新统计模式的连续性状态、有序性状态和当前有效包计数；统计模式匹配单元根据统计模式指定的包位置、期望包计数、当前包位置和当前有效包计数，判定统计模式的匹配结果并更新统计模式的已完成状态、已命中状态。
[0160]其中，统计模式匹配结果逻辑判别单元22利用流统计子节点的统计模式匹配状态的已完成状态、已命中状态、统计模式之间的逻辑关系和判定流统计子节点的识别状态。其中统计模式匹配结果逻辑判别单元22对被预处理为逆波兰表示法的逻辑表达式进行逻辑运算。
[0161]其中，流识别结果检测模块3利用保存在流节点中的多个流统计子节点的识别状态判定流节点的识别状态和识别结果，决定是否继续遍历流统计子节点链表，其中，流节点的识别状态包括已识别、已失败、未决但无未决的流统计子节点、未决且有未决的流统计子节点。
[0162]其中，流识别结果检测模块3将流节点的识别结果被判定为已识别的流统计子节点对应的统计规则子集中优先级最高的统计规则的规则头所指定的加密流量应用的类型。
[0163]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。
[0164]以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。
【权利要求】
1.一种加密流量识别方法，其特征在于:将待识别流与统计规则匹配以识别待识别流的应用类型；其中统计规则包括:规则头、深度包检测特征和流统计特征，所述规则头指示了该条统计规则对应的应用类型以及该条统计规则的优先级；
所述将待识别流与统计规则匹配以识别待识别流的应用类型，包括:
将待识别流与统计规则集合中各条统计规则的深度包检测特征匹配，将匹配到的统计规则生成为统计规则子集；
将待识别流与所述统计规则子集中各条统计规则的流统计特征匹配，将匹配到的统计规则生成为统计规则识别集；
将所述统计规则识别集中具有最高优先级的统计规则对应的应用类型识别为所述待识别流的应用类型。
2.根据权利要求1所述的加密流量识别方法，其特征在于:所述统计规则的深度包检测特征包含至少一预过滤子规则和所含的预过滤子规则之间的逻辑关系；
所述预过滤子规则包括如下至少一项:基于字符串的预过滤子规则、基于协议特征包长的预过滤子规则、基于静态动态解密的预过滤子规则、基于已识别流关联表的预过滤子规则、基于端口的预过滤子规则和基于IP地址的预过滤子规则；
当所述待识别流与统计规则所含的预过滤子规则相匹配，并且符合所含的预过滤子规则间的逻辑关系时，则所述待识别流与该条统计规则的深度包检测特征匹配。
3.根据权利要求1或2所述的加密流量识别方法，其特征在于:所述流统计特征包含至少一统计模式和所含的统计模式之间的逻辑关系；
所述统计模式用于指定流的包长分布特`征和符合该包长分布特征的期望包计数；当所述待识别流中符合统计模式指定的包长分布特征的数据包的个数达到统计模式指定的期望包计数时，则所述待识别流与该统计模式匹配；
当所述待识别流与统计规则所含的统计模式匹配，并且符合所含的统计模式之间的逻辑关系时，则所述待识别流与该条统计规则的流统计特征匹配。
4.根据权利要求3所述的加密流量识别方法，其特征在于:所述包长分布特征包括如下至少一项:数据包在流中的坐标特征、数据包的序列特征和数据包的包长特征；
所述数据包在流中的坐标特征包括:包方向和包位置，其中包方向包括:对应上行流方向的上行包方向、对应下行流方向的下行包方向和对应双向流方向的无包方向；包位置是指数据包在流方向上出现时的位置编号，包括:单个固定位置、位置离散序列和位置连续区间；
所述数据包的序列特征包括:连续性和有序性；
所述数据包的包长特征包括:包长特定值、包长范围和包长变量。
5.根据权利要求4所述的加密流量识别方法，其特征在于:所述统计模式包括如下至少一项:包长序列统计模式、包长集合统计模式、包长重复统计模式、位置的方向统计模式、包计数统计模式、包长均值统计模式、包长和值统计模式、轮包长和值统计模式和字节收发比统计模式；
所述包长序列统计模式指定为:在流方向、包位置上存在具有包长特征的数据包序列，并满足连续性和有序性约束，其中期望包计数指定为具有包长特征的数据包序列长度；
所述包长集合统计模式指定为:在流方向、包装置上存在期望包计数个数据包，数据包的包长都包含于一个包长特征的集合，并且满足连续性和有序性约束；
所述包长重复模式指定为:在流方向、包位置上存在期望包计数个数据包，数据包的包长都等于同一个包长特征，并且满足连续性；
所述位置的方向统计模式指定为:在双向流方向、包位置上的数据包的包方向指定的包方向，期望包计数设定为包位置的个数；
所述包计数统计模式指定为:在双向流方向、包位置上存在期望包计数个数据包，数据包的包方向都为同一指定的包方向，并且满足连续性；
所述包长均值统计模式指定为:在流方向、包位置上所有数据包的数据包包长的和值与一包长特征相匹配，期望包计数被设定为包位置的个数；
所述轮包长和值统计模式指定为:将双向流方向、包位置上的每一次流方向的改变看作新一轮数据包的开始，指定某轮所有数据包的数据包包长的和值与一个包长特征相匹配，期望包计数被设定为所述轮数；
所述字节收发比统计模式指定为:双向流方向、包位置上的上行流方向字节数与下行流方向字节数的比值与一个包长特征相匹配，期望包计数被设定为位置的个数。
6.根据权利要求3所述的加密流量识别方法，其特征在于:所述待识别流为传输控制协议TCP流，所述数据包为带有效负载的数据包，所述加密量识别方法至多对待识别流的前60个带有效负载的数据包进行识别。
7.一种加密流量识别装置，其特征在于:包括:统计规则深度包检测特征预过滤模块、统计规则流统计特征匹配模块和流识别结果检测模块；
其中所述统计规则深度包检测特征预过滤模块，用于将待识别流与统计规则集合中各条统计规则的深度包检
测特征匹配，将匹配到的统计规则生成为统计规则子集；
所述统计规则流统计特征匹配模块，用于将待识别流与所述统计规则子集中各条统计规则的流统计特征匹配，将匹配到的统计规则生成为统计规则识别集；
所述流识别结果检测模块，用于将所述统计规则识别集中具有最高优先级的统计规则对应的应用类型识别为所述待识别流的应用类型。
8.根据权利要求7所述的加密流量识别装置，其特征在于:所述统计规则深度包检测特征预过滤模块，包括:特征基本匹配单元和统计规则预过滤逻辑判别单元；
所述特征基本匹配单元包括:并行的字符串单模匹配子单元、协议特征包长的预过滤匹配子单元、静态动态解密匹配子单元、已识别流关联表匹配子单元、端口匹配子单元和IP地址匹配子单元；
所述统计规则预过滤逻辑判别单元，用于对所述特征基本匹配单元中匹配到的子单元之间的逻辑关系进行验证，生成统计规则子集。
9.根据权利要求7或8所述的加密流量识别装置，其特征在于:所述包长分布特征包括如下至少一项:数据包在流中的坐标特征、数据包的序列特征和数据包的包长特征；
所述数据包在流中的坐标特征包括:对应上行流方向的上行包方向、对应下行流方向的下行包方向和对应双向流方向的无包方向；
所述数据包的序列特征包括:连续性和有序性；
所述数据包的包长特征包括:包长特定值、包长范围和包长变量。
10.根据权利要求9所述的加密流量识别装置，其特征在于:所述统计规则流统计特征匹配模块包括:统计模式匹配单元和统计模式匹配结果逻辑判别单元；
所述统计模式匹配单元包括如下至少一项:包长序列统计模式匹配子单元、包长集合统计模式匹配子单元、包长重复统计模式匹配子单元、位置的方向统计模式匹配子单元、包计数统计模式匹配子单元、包长均值统计模式匹配子单元、包长和值统计模式匹配子单元、轮包长和值统计模式匹配子单元和字节收发比统计模式匹配子单元；
所述统计模式匹配结果逻辑判别单元，用于对统计模式匹配单元匹配到的子单元之间的逻辑关系进行验证，生成所述统计规则识别集。
11.根据权利要求10所述的加密流量识别装置，其特征在于:包长序列统计模式指定为:在流方向、包位置上存在具有包长特征的数据包序列，并满足连续性和有序性约束，其中期望包计数指定为具有包长特征的数据包序列长度；
包长集合统计模式指定为:在流方向、包装置上存在期望包计数个数据包，数据包的包长都包含于一个包长特征的集合，并且满足连续性和有序性约束；
包长重复模式指定为:在流方向、包位置上存在期望包计数个数据包，数据包的包长都等于同一个包长特征，并且满足连续性；
位置的方向统计模式指定为:在双向流方向、包位置上的数据包的包方向指定的包方向，期望包计数设定为包位置的个数；
包计数统计模式指定为:在双向流方向、包位置上存在期望包计数个数据包，数据包的包方向都为同一指定的包方向，并且满足连续性；
包长均值统计模式指定为:在流方向、包位置上所有数据包的数据包包长的和值与一包长特征相匹配，期望包计数被设定为包位置的个数；
轮包长和值统计模式指定为:将双向流方向、包位置上的每一次流方向的改变看作新一轮数据包的开始，指定某轮所有数`据包的数据包包长的和值与一个包长特征相匹配，期望包计数被设定为所述轮数；
字节收发比统计模式指定为:双向流方向、包位置上的上行流方向字节数与下行流方向字节数的比值与一个包长特征相匹配，期望包计数被设定为位置的个数。
12.根据权利要求7或8所述的密流量识别装置，其特征在于:所述待识别流为传输控制协议TCP流，所述数据包为带有效负载的数据包，所述加密量识别装置至多对待识别流的前60个带有效负载的数据包进行识别。
【文档编号】H04L12/26GKSQ
【公开日】日
申请日期:日
优先权日:日
【发明者】高长喜, 贾艳会
申请人:北京天融信科技有限公司