專利名稱:用于內(nèi)容類型分類的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)系統(tǒng)和計算機(jī)網(wǎng)絡(luò)��,尤其涉及用于對計算機(jī)和網(wǎng)絡(luò)流量分類的系統(tǒng)和方法。
背景技術(shù):
很多數(shù)據(jù)處理系統(tǒng)在對數(shù)據(jù)進(jìn)行進(jìn)一步處理之前都需要判斷數(shù)據(jù)內(nèi)容類型���。例如����,諸如反病毒系統(tǒng)和反垃圾郵件系統(tǒng)的惡意內(nèi)容檢測系統(tǒng)中�����,通常需要在進(jìn)行惡意內(nèi)容掃描之前對接收的數(shù)據(jù)進(jìn)行分類�����。入侵檢測/防護(hù)系統(tǒng)�����、基于應(yīng)用層的流量控制設(shè)備或者負(fù)載平衡設(shè)備�、IM代理以及程序加速器也需要對數(shù)據(jù)進(jìn)行分類。如果數(shù)據(jù)被分類為skype數(shù)據(jù)����,那么內(nèi)容檢測模塊將應(yīng)用一套算法對數(shù)據(jù)進(jìn)行惡意內(nèi)容掃描��。另一方面����,如果數(shù)據(jù)被分類為bittorrent數(shù)據(jù)��,那么內(nèi)容檢測模塊將應(yīng)用一套不同的算法對數(shù)據(jù)進(jìn)行惡意內(nèi)容掃描��。因此���,在掃描數(shù)據(jù)之前判斷數(shù)據(jù)內(nèi)容類型是很重要的步驟����。
現(xiàn)有系統(tǒng)通過數(shù)據(jù)傳輸使用端口的端口號來判斷內(nèi)容類型��。例如,用于HTTP協(xié)議的公知端口是“80”����,用于SMTP協(xié)議的公知端口是“25”,以及用于POP3協(xié)議的公知端口是“110”�����。在這種系統(tǒng)中�����,特定類型的數(shù)據(jù)使用專用的端口傳輸����。因此�����,通過判斷數(shù)據(jù)傳輸使用端口的端口號�,以及知道與該端口號關(guān)聯(lián)的內(nèi)容類型�����,系統(tǒng)就可以判斷數(shù)據(jù)內(nèi)容類型�����。然而���,這種方法的局限是一個端口只能傳輸一種類型數(shù)據(jù)��。很多情況下����,用戶希望能允許一個端口傳輸不止一種類型的數(shù)據(jù)�。如果通過一個不是該數(shù)據(jù)類型專用的端口傳輸數(shù)據(jù)(比如端口允許傳輸不止一種類型的數(shù)據(jù))����,現(xiàn)有系統(tǒng)就不能判斷內(nèi)容類型。
而且�����,一些類型的數(shù)據(jù)�,比如IM數(shù)據(jù)和P2P數(shù)據(jù)�����,不能通過某一特定端口傳輸,而是通過不同的端口來傳輸��。這種情況下���,現(xiàn)有系統(tǒng)就不能使用端口號來對IM數(shù)據(jù)和P2P數(shù)據(jù)進(jìn)行分類。
發(fā)明內(nèi)容
根據(jù)一些實施例��,一種用于判斷內(nèi)容類型的方法,包括接收第一數(shù)據(jù)包�����,判斷第一數(shù)據(jù)包或者與第一數(shù)據(jù)包相關(guān)的會話的分類狀態(tài),接收第二數(shù)據(jù)包���,并根據(jù)至少部分已判斷的狀態(tài)判斷第二數(shù)據(jù)包的內(nèi)容類型����。上述說明中使用的���,所述“第一數(shù)據(jù)包”指會話中任何一個數(shù)據(jù)包(比如它可以是會話中第一個��、第二個���、第三個�����、第四個等等數(shù)據(jù)包),并不特指會話中的第一個數(shù)據(jù)包(雖然它可以指的是會話中的第一個數(shù)據(jù)包)。類似地,上述說明中使用的�,所述“第二數(shù)據(jù)包”指會話中不同于第一數(shù)據(jù)包的任何一個數(shù)據(jù)包(比如它可以是會話中第一個��、第二個��、第三個����、第四個等等數(shù)據(jù)包)�。
根據(jù)其他實施例��,一種計算機(jī)產(chǎn)品包括計算機(jī)可讀介質(zhì),該計算機(jī)可讀介質(zhì)中存儲了一套指令�����,運行這些指令將執(zhí)行操作處理��,該處理包括接收第一數(shù)據(jù)包����,判斷第一數(shù)據(jù)包或者與第一數(shù)據(jù)包相關(guān)的會話的分類狀態(tài)�����,接收第二數(shù)據(jù)包�,并根據(jù)至少部分已判斷的狀態(tài)判斷第二數(shù)據(jù)包的內(nèi)容類型。
根據(jù)其他實施例��,一種用于判斷內(nèi)容類型的系統(tǒng)�����,包括用于接收第一數(shù)據(jù)包和第二數(shù)據(jù)包的設(shè)備�,用于判斷第一數(shù)據(jù)包或者與第一數(shù)據(jù)包相關(guān)的會話的分類狀態(tài)的設(shè)備���,以及用于根據(jù)至少部分已判斷的狀態(tài)判斷第二數(shù)據(jù)包的內(nèi)容類型的設(shè)備�����。
根據(jù)其他實施例,一種用于判斷內(nèi)容類型的方法��,包括接收與會話相關(guān)的數(shù)據(jù)包����,判斷會話或者與會話相關(guān)的其他數(shù)據(jù)包的內(nèi)容類型是否已經(jīng)判斷�,并根據(jù)至少部分來自判斷操作的結(jié)果對該數(shù)據(jù)包的內(nèi)容類型進(jìn)行分類���。
根據(jù)其他實施例�����,一種計算機(jī)產(chǎn)品����,包括計算機(jī)可讀介質(zhì)���,該計算機(jī)可讀介質(zhì)存儲了一套指令�,運行這些指令將執(zhí)行操作處理,該處理包括接收與會話相關(guān)的數(shù)據(jù)包�,判斷會話或者與會話相關(guān)的其他數(shù)據(jù)包的內(nèi)容類型是否已經(jīng)判斷����,并根據(jù)至少部分來自判斷操作的結(jié)果對該數(shù)據(jù)包的內(nèi)容類型進(jìn)行分類����。
根據(jù)其他實施例����,一種用于判斷內(nèi)容類型的系統(tǒng)��,包括用于接收與會話相關(guān)的數(shù)據(jù)包的設(shè)備,用于判斷會話或者與會話相關(guān)的其他數(shù)據(jù)包的內(nèi)容類型是否已經(jīng)判斷的設(shè)備�����,以及用于根據(jù)至少部分來自判斷操作的結(jié)果對該數(shù)據(jù)包的內(nèi)容類型進(jìn)行分類的設(shè)備��。
根據(jù)其他實施例�,用于判斷內(nèi)容類型的方法包括從第一端口接收第一數(shù)據(jù)包�����,第一端口用于接收至少兩種類型的內(nèi)容����,以及判斷第一數(shù)據(jù)包或者與第一數(shù)據(jù)包相關(guān)的會話的內(nèi)容類型����。
根據(jù)其他實施例,計算機(jī)產(chǎn)品包括計算機(jī)可讀介質(zhì)��,該計算機(jī)可讀介質(zhì)存儲了一套指令���,運行這些指令執(zhí)行操作處理����,該處理包括從第一端口接收第一數(shù)據(jù)包,第一端口用于接收至少兩種類型的內(nèi)容���,以及判斷第一數(shù)據(jù)包或者與第一數(shù)據(jù)包相關(guān)的會話的內(nèi)容類型。
根據(jù)其他實施例,用于判斷內(nèi)容類型的系統(tǒng)包括用于從第一端口接收第一數(shù)據(jù)包的設(shè)備����,第一端口用于接收至少兩種類型的內(nèi)容,以及用于判斷第一數(shù)據(jù)包或者與第一數(shù)據(jù)包相關(guān)的會話的內(nèi)容類型的設(shè)備��。
根據(jù)其他實施例����,用于判斷內(nèi)容類型的方法包括接收與會話相關(guān)的數(shù)據(jù)包���,以及判斷該數(shù)據(jù)包或者該會話的分類狀態(tài)。
根據(jù)其他實施例��,計算機(jī)產(chǎn)品包括計算機(jī)可讀介質(zhì),該計算機(jī)可讀介質(zhì)存儲了一套指令����,運行這些指令執(zhí)行操作處理,該處理包括接收與會話相關(guān)的數(shù)據(jù)包,以及判斷該數(shù)據(jù)包或者該會話的分類狀態(tài)�。
根據(jù)其他實施例�,用于判斷內(nèi)容類型的系統(tǒng)包括用于接收與會話相關(guān)的數(shù)據(jù)包的設(shè)備���,以及用于判斷該數(shù)據(jù)包或者該會話的分類狀態(tài)的設(shè)備�。
通過閱讀隨后優(yōu)選實施例的詳細(xì)說明,本發(fā)明的其他方面和特性將是顯而易見的����,這些優(yōu)選實施例用于解釋但不限制本發(fā)明。
附圖描述了各種實施例的設(shè)計和應(yīng)用����,其中相似的組件使用相同的編號注明。參照具體實施例將進(jìn)行更加具體的描述�,這些實施例將在附圖中示出��。應(yīng)該理解,這些附圖并不用于限制本發(fā)明范圍,下面將通過附圖詳細(xì)描述和解釋這些實施例的附加特征和細(xì)節(jié)�����。
圖1是根據(jù)本發(fā)明實施例包含用于分類數(shù)據(jù)的模塊的系統(tǒng)的框圖����;圖2是根據(jù)本發(fā)明實施例用于分類數(shù)據(jù)的方法示意圖����;圖3A至圖3I是根據(jù)本發(fā)明實施例用于判斷內(nèi)容類型的標(biāo)準(zhǔn)的示例圖����;圖4是根據(jù)本發(fā)明實施例,使用圖2的方法得到的結(jié)果的示例圖�;圖5是實現(xiàn)上述實施例的計算機(jī)硬件系統(tǒng)的框圖�。
具體實施例方式
下面參照附圖介紹各種實施例�����。應(yīng)該注意的是�,附圖并沒有按照比例繪制�,而且相似結(jié)構(gòu)或者功能的組件在全部圖中使用相同的編號注明��。也應(yīng)該注意的是,附圖僅僅用于幫助具體實施例的說明���,而不用于詳盡說明本發(fā)明的所有實施例�����,也不用于限制本發(fā)明的范圍���。另外�����,所述實施例不需要具有所示發(fā)明的所有方面或者優(yōu)點����。與具體實施例相關(guān)的所述方面或者優(yōu)點并不限于該實施例,也可以在其他任何���,甚至為示出的實施例中實現(xiàn)���。
圖1所示為系統(tǒng)100的框圖�,包括數(shù)據(jù)分類模塊110�,用于根據(jù)實施例對數(shù)據(jù)的內(nèi)容類型進(jìn)行分類���。發(fā)送端102向模塊110發(fā)送與網(wǎng)絡(luò)流量內(nèi)容相關(guān)的數(shù)據(jù)�����。模塊110接收傳輸?shù)臄?shù)據(jù),判斷網(wǎng)絡(luò)流量數(shù)據(jù)所屬的內(nèi)容類型(比如對數(shù)據(jù)進(jìn)行分類)�����,并生成結(jié)果�,比如消息,并將該消息發(fā)送到接收端104����。發(fā)送到接收端104的消息通知接收端104接收的數(shù)據(jù)所屬的內(nèi)容類型�。如上述說明中所用,所述“接收端”不應(yīng)該限于自然人接收者,而且可以包括服務(wù)器或者其他類型可以接收信息的設(shè)備��。例如�,在一些實施例中���,接收端104是諸如反病毒模塊的惡意內(nèi)容檢測模塊���,該模塊根據(jù)模塊110判斷的內(nèi)容類型檢測惡意內(nèi)容。同樣,如上述說明中所用���,所述“發(fā)送端”不應(yīng)該限于自然人發(fā)送端,而且可以包括服務(wù)器或者其他類型可以傳輸信息的設(shè)備。
在一些實施例中��,模塊110可以使用軟件實現(xiàn)�。比如���,模塊110可以用加載到用戶計算機(jī)��、服務(wù)器或者諸如磁盤或CD-ROM的其他類型存儲器中的軟件來實現(xiàn)��。在一些情況下����,模塊110可以通過web應(yīng)用程序來實現(xiàn)��。在其他實施例中,模塊110可以使用硬件來實現(xiàn)���。例如��,在一些實施例中�,模塊110包括專用集成電路(Application-Specific Integrated Circuit����,ASIC),比如半定制ASIC處理器或者可編程ASIC處理器�����。各種ASIC����,如邁克.J.S.史密斯所著,Addison-Wesley出版社出版的《Application-Specific Integrated Circuits》(1997年6月第一版)中描述的有關(guān)專用集成電路信息����,是電路設(shè)計領(lǐng)域中公知的�����,因此本文不做詳細(xì)說明。在其他實施例中�,模塊110可以是能夠執(zhí)行上述功能的任何電路設(shè)備。例如���,在可選實施例中��,模塊110可以包括通用處理器���,比如奔騰處理器��。在其他實施例中���,模塊110可以通過軟件和硬件結(jié)合的方式來實現(xiàn)�。在一些實施例中�,模塊110可以作為防火墻�����、防火墻的組件或者通過配置與防火墻連接的組件來實現(xiàn)��。
圖2所示為根據(jù)實施例��,用于分類數(shù)據(jù)的方法200�。首先����,模塊110接收數(shù)據(jù)包形式的網(wǎng)絡(luò)流量數(shù)據(jù)(步驟202)然后����,模塊110判斷接收包為會話S(步驟204)��。會話是兩個通信端點之間的交互或者一系列的交互��。可以使用各種技術(shù)判斷會話��。例如,模塊110通過配置可以判斷一個或者多個源IP地址�、目標(biāo)IP地址���、源端口、目標(biāo)端口和協(xié)議�����,從而判斷接收包的會話�。判斷會話的技術(shù)是本領(lǐng)域內(nèi)公知的����,本文中不再詳細(xì)描述����。
然后����,模塊110判斷會話S(以及與會話S相關(guān)的數(shù)據(jù)包)的內(nèi)容類型是否已經(jīng)判斷(步驟205)����。在所示實例中���,模塊110處理的每個會話(比如會話S)都會自動分配一個分類初始狀態(tài)��,“未知”(例如內(nèi)容類型被初始判斷為“未知”)���。這種情況下���,在步驟205中�,模塊110判斷會話S除“未知”之外的內(nèi)容類型�����。如果已經(jīng)判斷會話S除“未知”類型之外的內(nèi)容類型��,然后模塊110將數(shù)據(jù)包分類為與已分類的會話S相同的類型,并且該方法返回到步驟202處理其他數(shù)據(jù)包��,如果有的話(步驟206)�����。在一些實施例中,對數(shù)據(jù)包進(jìn)行分類(判斷數(shù)據(jù)包內(nèi)容類型)可以通過關(guān)聯(lián)數(shù)據(jù)包和已分類的會話S來實現(xiàn)�。
另一方面�,如果會話S的內(nèi)容類型(除“未知”類型外)沒有預(yù)先判斷����,那么模塊110就分析接收包以判斷內(nèi)容類型(步驟207)。如果已經(jīng)判斷接收包的內(nèi)容類型(除“未知”類型外)��,然后模塊110就將接收包(或者與其相關(guān)的會話S)分類為已判斷內(nèi)容類型(步驟208)。如果還有其他數(shù)據(jù)包����,那么模塊110就接收其他數(shù)據(jù)包,并重復(fù)操作200處理其他數(shù)據(jù)包�����。
或者���,如果在步驟207之后,內(nèi)容類型仍然是“未知”(比如因為數(shù)據(jù)包的分析結(jié)果提供了不確定的結(jié)果),那么模塊110就接收與相同會話S相關(guān)的其他數(shù)據(jù)包��,并分析其他數(shù)據(jù)包以判斷會話S中傳輸?shù)臄?shù)據(jù)內(nèi)容類型(重復(fù)步驟202-207�����,或者步驟202和207),直到判斷會話S為除“未知”之外的內(nèi)容類型�����。
如上述實施例所示����,在步驟202中模塊110接收數(shù)據(jù)包�����,在步驟207中分析數(shù)據(jù)包�����,以及重復(fù)這兩個步驟直至確定傳輸數(shù)據(jù)包的會話內(nèi)容類型����。模塊110可以判斷的內(nèi)容類型的示例包括skype����、gnutella、kazaa��、edonkey����、bittorrent��、aim、yahoo、msn����、icq���、qq��、http��、smtp、pop3����、imap����、ftp��、bo2k����、bo���、tfn�、tfn2k、ldap�、radius、ms�、rpc��、snmp、mssql、mysql和oracle����。可以使用各種技術(shù)分析接收包以判斷會話中傳輸?shù)臄?shù)據(jù)包內(nèi)容類型���。例如����,模塊110通過配置可以檢測數(shù)據(jù)包的一項或者多項特性�,如數(shù)據(jù)包容量、接收該數(shù)據(jù)包端口的端口號����、傳輸數(shù)據(jù)包中是否使用了代理��、數(shù)據(jù)包傳輸?shù)姆较?如從客戶端到服務(wù)器或者從服務(wù)器到客戶端)����、字符串模式、數(shù)據(jù)包的排序和/或其他協(xié)議特性。
下面介紹幾種用于分析數(shù)據(jù)包以判斷內(nèi)容類型的技術(shù)示例�����。然而,應(yīng)該理解的是����,模塊110并不限于使用本文中所述示例����,模塊110可以使用其他算法�、技術(shù)或者標(biāo)準(zhǔn)以執(zhí)行本文中所述的功能。圖3A所示為用于判斷常規(guī)端口傳輸?shù)臄?shù)據(jù)包是否是skype數(shù)據(jù)的標(biāo)準(zhǔn)示例����。如示例所示,模塊110通過配置可以檢測從客戶端向服務(wù)器傳輸?shù)牡谝粩?shù)據(jù)包�,并判斷第一數(shù)據(jù)包是否有規(guī)定的數(shù)據(jù)包容量(示例中規(guī)定數(shù)據(jù)包容量=14)。如果有效負(fù)載容量與規(guī)定的數(shù)據(jù)包容量相匹配�,那么模塊110就確定該會話是skype類型的候選。然而��,由于結(jié)果還沒有確定�,模塊110仍然將會話分類為“未知”。然后模塊110判斷從服務(wù)器到客戶端的第二數(shù)據(jù)包的有效負(fù)載容量�,并判斷該容量是否滿足規(guī)定的標(biāo)準(zhǔn)(在示例中規(guī)定標(biāo)準(zhǔn)是28-36)��。如果不匹配(如第二數(shù)據(jù)包容量與規(guī)定容量標(biāo)準(zhǔn)不匹配)���,那么模塊110就確定該會話不是skype類型����,而且在相同會話中接收的任何其他數(shù)據(jù)包都不被認(rèn)為是skype類型����。然而,如果匹配的話����,模塊110仍然將會話判斷為skype類型候選,并保持分類狀態(tài)為“未知”���。然后模塊110判斷從客戶端到服務(wù)器的第三數(shù)據(jù)包的有效負(fù)載容量����,并判斷數(shù)據(jù)包容量是否與規(guī)定容量標(biāo)準(zhǔn)(在示例中規(guī)定容量標(biāo)準(zhǔn)=14)相匹配�����。如果匹配的話�,那么模塊110就確定該會話中傳輸?shù)臄?shù)據(jù)包是skype數(shù)據(jù)。
圖3B所示為用于判斷在http端口中傳輸?shù)臄?shù)據(jù)是否是skype數(shù)據(jù)的標(biāo)準(zhǔn)的示例�����。圖3C所示為用于判斷在ssl端口中傳輸?shù)臄?shù)據(jù)是否是skype數(shù)據(jù)的標(biāo)準(zhǔn)的示例���。圖3D所示為用于判斷UDP流量數(shù)據(jù)是否是skype數(shù)據(jù)的標(biāo)準(zhǔn)的示例�����。
圖3E所示為用于識別Yahoo���!信使流量(通過常規(guī)Yahoo登錄)的標(biāo)準(zhǔn)的示例����。在這種情況下���,模塊110并不去判斷數(shù)據(jù)包的容量�����,而是通過配置檢測內(nèi)容和字符串模式�����。如示例中所示����,兩個數(shù)據(jù)包用于判斷流量數(shù)據(jù)是Yahoo����!信使流量���。圖3F所示為用于識別Yahoo����!信息流量(通過http代理)的標(biāo)準(zhǔn)的示例。如示例中所示���,三個數(shù)據(jù)包用于判斷流量數(shù)據(jù)是Yahoo�!信使流量����。
圖3G所示為用于判斷msn信使的標(biāo)準(zhǔn)的示例。在這種情況下����,模塊110通過配置檢測有效負(fù)載中的有效負(fù)載容量和模式。如示例中所示��,六個數(shù)據(jù)包用于判斷流量數(shù)據(jù)是msn信使流量��。
圖3H所示為用于判斷bittorrent數(shù)據(jù)的標(biāo)準(zhǔn)的示例�����。如示例中所示��,兩個數(shù)據(jù)包用于判斷流量數(shù)據(jù)是bittorrent數(shù)據(jù)�����。
圖3I所示為用于判斷kazaa數(shù)據(jù)的標(biāo)準(zhǔn)的示例。如示例中所示�����,兩個數(shù)據(jù)包用于判斷流量數(shù)據(jù)是kazaa流量����。
如上述示例所示,對會話中不止一個數(shù)據(jù)包進(jìn)行檢測的優(yōu)點就是增加了準(zhǔn)確性����,并減少了誤測。
應(yīng)該注意的是�����,模塊110并不限于使用上述示例中的標(biāo)準(zhǔn)���,在其他實施例中模塊110可以使用其他標(biāo)準(zhǔn)判斷內(nèi)容類型�����。在一些實施例中,提供了用戶界面,從而允許管理員選擇用于判斷內(nèi)容類型的標(biāo)準(zhǔn)或者參數(shù)��。例如���,模塊110可以允許管理員輸入數(shù)據(jù)包容量��、端口號�����、規(guī)定字符串模式�、分類符以及用于判斷內(nèi)容類型的其他參數(shù)���。在一些實施例中��,用戶界面也允許管理員創(chuàng)建自定義標(biāo)準(zhǔn)以檢測特定內(nèi)容類型�����。
圖4所示為使用圖2中程序200得到的結(jié)果的示例��。模塊110接收數(shù)據(jù)包P11(步驟202)之后��,模塊110判斷數(shù)據(jù)包P11與會話S1相關(guān)(步驟204)��。數(shù)據(jù)包P11是會話S1中的第一數(shù)據(jù)包�,沒有被預(yù)先分類。模塊110處理數(shù)據(jù)包P11并試圖判斷內(nèi)容類型(例如試圖分類會話/數(shù)據(jù)包)(步驟207)�����。在示例中����,對數(shù)據(jù)包P11的分析顯示數(shù)據(jù)包P11可能是內(nèi)容類型T1、T2和T3中的一種����,從而提供了一種不確定的結(jié)果。因此����,會話S1的內(nèi)容類型仍然是“未知”(比如分類狀態(tài)為“未知”同時T1、T2和T3作為可能選項)����。
然后模塊110接收另一個數(shù)據(jù)包P12(步驟202),并判斷數(shù)據(jù)包P12與相同的會話S1相關(guān)(步驟204)����。模塊110判斷會話S1并為分類(步驟205),并處理數(shù)據(jù)包P12����,試圖判斷其內(nèi)容類型(步驟207)。在示例中����,對數(shù)據(jù)包P12的分析顯示會話S1中傳輸?shù)臄?shù)據(jù)不屬于T2內(nèi)容類型(比如P12的數(shù)據(jù)包容量與類型T2的規(guī)定標(biāo)準(zhǔn)不相匹配),因此����,可能是剩下的兩種內(nèi)容類型T1和T3中的一種。因為內(nèi)容類型判斷是不確定的���,因此會話S1的內(nèi)容類型仍然是“未知”(比如分類狀態(tài)是“未知”同時T1和T3作為可能選項)��。
然后模塊110接收另一個數(shù)據(jù)包P13(步驟202)����,并判斷數(shù)據(jù)包P13與同樣的會話S1相關(guān)(步驟204)�����。模塊110判斷會話S1并為分類�����,并處理數(shù)據(jù)包P13,試圖判斷其內(nèi)容類型�����。在示例中��,對數(shù)據(jù)包P13的分析顯示會話S1傳輸?shù)臄?shù)據(jù)是T3內(nèi)容類型����。因此,模塊110將會話S1(以及與其相關(guān)的數(shù)據(jù))內(nèi)容類型分為T3(步驟208)����。這種情況下,會話S1的分類狀態(tài)從“未知”變?yōu)椤耙逊诸悺?����,并且分類的?nèi)容類型是T3����。
然后模塊110接收另一個數(shù)據(jù)包P14(步驟202),并判斷數(shù)據(jù)包P14與相同的會話S相關(guān)(步驟204)�����。模塊110判斷會話S1已經(jīng)分類(步驟205),因此���,將數(shù)據(jù)包P14分類為T3類型(步驟206)。如示例中所示�,在會話S1分類之后,所有后續(xù)接收的數(shù)據(jù)包(如數(shù)據(jù)包P14和P15)都將被模塊110分類為T3類型����,并且模塊110不需要分析這些后續(xù)數(shù)據(jù)包(步驟207)。在其他實施例中����,模塊110可以通過配置在會話已分類之后檢查一個或者多個其他數(shù)據(jù)包。這樣做的好處是增加了分類步驟的準(zhǔn)確性,從而防止錯誤分類。
在某些情況下��,根據(jù)判斷內(nèi)容類型的所用的標(biāo)準(zhǔn)�����,模塊110可以做到使用一個數(shù)據(jù)包對會話進(jìn)行分類���。如圖4所示����,模塊110接收數(shù)據(jù)包P21(步驟202)之后�,模塊110判斷數(shù)據(jù)包P21與會話S2相關(guān)(步驟204)。因為數(shù)據(jù)包P21是會話S2中的第一數(shù)據(jù)包�,因此會話S2并未分類。模塊110處理數(shù)據(jù)包P21并試圖判斷其內(nèi)容類型(比如試圖分類會話/數(shù)據(jù)包)(步驟207)�����。在示例中����,對數(shù)據(jù)包P21的分析顯示會話S2中傳輸?shù)臄?shù)據(jù)是內(nèi)容類型T2。因此����,模塊110將會話S2(以及其相關(guān)數(shù)據(jù))內(nèi)容類型分類為T2類型(步驟208)。這種情況下���,會話S2的分類狀態(tài)從“未知”變?yōu)椤耙逊诸悺?,所分?nèi)容類型為T2���。
然后模塊110接收另一個數(shù)據(jù)包P22(步驟202)���,并且判斷數(shù)據(jù)包P22與相同的會話S2相關(guān)(步驟204)��。模塊110判斷會話S2已經(jīng)分類(步驟205)�,因此將數(shù)據(jù)包P22分類為T2類型(步驟206)����。如示例中所示�,會話S2分類之后,所有后續(xù)接收的數(shù)據(jù)包(比如數(shù)據(jù)包P22和P23)都將被模塊110分類為T2類型�,并且模塊110不需要分析這些后續(xù)數(shù)據(jù)包(如步驟207中)。在其他實施例中����,模塊110通過配置在會話已經(jīng)分類之后可以檢查一個或者多個其他數(shù)據(jù)包。這樣做的好處是增加了分類步驟的準(zhǔn)確性��,從而防止錯誤分類�。
如上述示例中所示,模塊110判斷會話的內(nèi)容類型之后���,相同會話中接收的任何其他數(shù)據(jù)包都將被分類為相同的內(nèi)容類型(步驟206)�。這種情況下,除了判斷會話與后續(xù)數(shù)據(jù)包相關(guān)����,模塊110不需要分析這些后續(xù)數(shù)據(jù)包。這種技術(shù)的優(yōu)勢在于可以不用消耗很多資源對相同會話中隨后接收的數(shù)據(jù)包進(jìn)行分類�。而且,如上述示例中所示�����,如果模塊110判斷會話不屬于某種內(nèi)容類型�,那么該內(nèi)容類型將從該會話的候選選項中排除。這種技術(shù)允許模塊110更有效地對會話進(jìn)行分類(因此在后續(xù)處理中僅僅考慮剩余候選選項)�����。
在本文所述的任何實施例中��,模塊110通過配置可以接收與不止一個會話(如S1���、S2)相關(guān)的數(shù)據(jù)包����。在這種情況下���,模塊110可以包括多個處理模塊����,用于處理與相同會話相關(guān)的數(shù)據(jù)包。
而且���,在一些實施例中����,模塊110可以包括用于接收數(shù)據(jù)包的多個端口��,其中每個端口通過配置可以接收多種數(shù)據(jù)�。使用上述內(nèi)容類型檢測技術(shù)的優(yōu)勢在于�����,模塊110不使用接收數(shù)據(jù)包端口的端口號分析數(shù)據(jù)包以判斷內(nèi)容類型��。反過來�����,允許模塊110的一個端口接收多種類型的數(shù)據(jù)���。在其他實施例中��,模塊110中的一個或者多個端口通過配置可以接收一種類型數(shù)據(jù)���。這種情況下����,分配用來接收一種類型數(shù)據(jù)的端口����,可以用來接收具有通過分析數(shù)據(jù)包相對較難檢測的類型的數(shù)據(jù)。例如��,如果模塊110中端口R1分配用來接收T1類型的數(shù)據(jù)��,而端口R2通過配置用來接收任何類型的數(shù)據(jù)�,那么從端口R1接收的數(shù)據(jù)將被自動分類為T1類型,而端口R2接收的數(shù)據(jù)將使用圖2中方法200進(jìn)行處理�����。在進(jìn)一步實施例中��,模塊110的一個端口可以分配用來接收不止一種規(guī)定類型的數(shù)據(jù)�����。例如,模塊110的端口R3可以分配用來接收T2�����、T4和T5類型的數(shù)據(jù)���。這種情況下�,端口R3接收的數(shù)據(jù)將被模塊110使用圖2中程序200進(jìn)行分析�,同時T2、T4和T5作為候選選項(例如其他類型T1�、T3自動排除作為候選選項)。這種技術(shù)的好處是改善了模塊110的處理時間�����。
在其他實施例中����,除了判斷會話中傳輸數(shù)據(jù)的內(nèi)容類型����,模塊110通過配置可以根據(jù)已判斷的內(nèi)容類型進(jìn)一步處理數(shù)據(jù)�����。例如���,在一些實施例中,模塊110通過配置可以根據(jù)已判斷的內(nèi)容類型進(jìn)行內(nèi)容過濾�、反病毒檢測或者其他入侵檢測。許多入侵檢測方案都需要在應(yīng)用某種入侵檢測算法之前判斷內(nèi)容類型����。例如,如果模塊110判斷所接收的數(shù)據(jù)屬于內(nèi)容類型T1�,然后模塊110應(yīng)用入侵檢測算法A1、A3和A4對數(shù)據(jù)進(jìn)行掃描����。另一方面,例如���,如果模塊110判斷所接收的數(shù)據(jù)屬于內(nèi)容類型T2�����,然后模塊110應(yīng)用入侵檢測算法A2�、A4和A6。
而且��,在進(jìn)一步實施例中��,除了判斷會話中傳輸數(shù)據(jù)的內(nèi)容類型����,模塊110通過配置可以根據(jù)已判斷的內(nèi)容類型控制網(wǎng)絡(luò)流量傳輸。例如���,模塊110通過配置可以屏蔽HTTP請求���,從而防止不良內(nèi)容,比如包含不良內(nèi)容的網(wǎng)頁傳輸?shù)浇邮斩?04�����。在其他情況下�,模塊110可以根據(jù)已判斷的網(wǎng)絡(luò)流量內(nèi)容特性丟棄網(wǎng)絡(luò)流量內(nèi)容,或者修改網(wǎng)絡(luò)流量內(nèi)容��,從而只允許部分內(nèi)容傳送到接收端104�。在一個應(yīng)用程序中�����,模塊110可以用于識別IM會話或者P2P會話(在傳統(tǒng)系統(tǒng)中,這兩種會話可以進(jìn)入任意端口)�。這種情況下,模塊110可以建立IM會話或者P2P會話代理��,并且監(jiān)視和/或控制會話內(nèi)容���。
計算機(jī)架構(gòu)如上所述��,模塊110可以通過使用軟件����、硬件或者軟硬件結(jié)合的方式來實現(xiàn)�。然而,本領(lǐng)域的技術(shù)人員應(yīng)該知道�����,計算機(jī)系統(tǒng)也可以用于實現(xiàn)模塊110���,從而執(zhí)行上述功能�����。圖5所示為實現(xiàn)方法200實施例的計算機(jī)系統(tǒng)500的實施例的框圖�。計算機(jī)系統(tǒng)500包括用于交互信息的總線502或者其他通信裝置,以及與總線502相連用于信息處理的處理器504����。計算機(jī)系統(tǒng)500還包括主存儲器506,比如隨機(jī)訪問存儲器(RAM)或者其他動態(tài)存儲設(shè)備�,與總線502相連用于存儲處理器504執(zhí)行的信息和指令。主存儲器506也可以用于存儲處理器504執(zhí)行指令過程中的臨時變量或者其他中間信息���。計算機(jī)系統(tǒng)500進(jìn)一步包括與總線502相連的只讀存儲器(ROM)508或者其他靜態(tài)存儲設(shè)備��,用于存儲處理器504的靜態(tài)信息和指令�。與總線502相連的數(shù)據(jù)存儲設(shè)備510����,比如磁盤或者光盤,用于存儲信息和指令��。
計算機(jī)系統(tǒng)500通過總線502與諸如陰極射線管(CRT)的顯示器512相連�,用于向用戶(比如接收端104)顯示信息。輸入設(shè)備514包括文字?jǐn)?shù)字和其他鍵����,與總線502相連用于與處理器504通信和進(jìn)行命令選擇�。另一種用戶輸入設(shè)備為光標(biāo)控制516�����,比如鼠標(biāo)����、軌跡球或者光標(biāo)方向鍵�����,用于與處理器504通信和進(jìn)行命令選擇以及控制光標(biāo)在顯示器512上的移動�����。這種輸入設(shè)備典型地具有兩維自由度�����,第一軸(如x)和第二軸(如y)��,能夠允許設(shè)備在平面內(nèi)定位����。
計算機(jī)系統(tǒng)500可以用于處理網(wǎng)絡(luò)流量內(nèi)容��。根據(jù)本發(fā)明實施例��,計算機(jī)系統(tǒng)500通過響應(yīng)處理器504執(zhí)行存儲在主存儲器506中的一項或者多項指令的一個或者多個序列����,提供這種用途�。這些指令可以從其他計算機(jī)可讀介質(zhì),比如存儲設(shè)備510��,讀入主存儲器506中��。主存儲器506中的指令序列的執(zhí)行使處理器504執(zhí)行上述處理步驟����。多處理配置中的一個或者多個處理器可以用于執(zhí)行主存儲器506中的指令序列。在另一個實施例中�����,硬線電路可以用于替換或者與軟件指令組合來實現(xiàn)上述實施例��。這樣�����,上述實施例不限于任何硬線電路與軟件的具體組合。
上述使用的所述“計算機(jī)可讀介質(zhì)”是指任何用于向處理器504提供所執(zhí)行指令的介質(zhì)�����。這種介質(zhì)有很多形式�,包括但不限于��,非易失性介質(zhì)��、易失性介質(zhì)和傳輸介質(zhì)��。非易失性介質(zhì)包括�,例如,諸如存儲設(shè)備510的光盤或者磁盤���。易失性介質(zhì)包括動態(tài)存儲器���,比如主存儲器506。傳輸介質(zhì)包括同軸光纜�����、銅線和光纖,包括組成總線502的線纜���。傳輸介質(zhì)也可以是聲波或者光波的形式���,比如無線或者紅外數(shù)據(jù)通信產(chǎn)生的波。
計算機(jī)可讀介質(zhì)的一般形式包括���,例如��,軟盤���、軟碟、硬盤���、磁帶或者任何其他磁性介質(zhì)�����,CD-ROM��,任何其他光學(xué)介質(zhì)�����,打孔卡片���、紙帶���,任何其他有孔的物理介質(zhì),RAM��、PROM和EPROM�����、FLASH-EPROM�,任何其他記憶片或者卡盤��,如上所述的載波或者任何其他計算機(jī)可讀的介質(zhì)��。
各種形式的計算機(jī)可讀介質(zhì)可以承載處理器504執(zhí)行的一項或者多項指令的一個或者多個序列�����。例如�����,指令最初存儲在遠(yuǎn)程計算機(jī)磁盤中。遠(yuǎn)程計算機(jī)可以下載指令到其動態(tài)內(nèi)存中并使用調(diào)制解調(diào)器通過電話線發(fā)送指令���。計算機(jī)系統(tǒng)500的本地調(diào)制解調(diào)器可以接收電話線上的數(shù)據(jù)并使用紅外轉(zhuǎn)換器將數(shù)據(jù)轉(zhuǎn)換成紅外信號�����。與總線502相連的紅外監(jiān)測器可以接收紅外信號加載的數(shù)據(jù)并將數(shù)據(jù)置于總線502上�?����?偩€502將數(shù)據(jù)傳輸?shù)街鞔鎯ζ?06�,處理器504從主存儲器506獲取指令并執(zhí)行。主存儲器506接收的指令可能隨意地在處理器504執(zhí)行之前或者之后存儲在存儲設(shè)備510中��。
計算機(jī)系統(tǒng)500還包括與總線502相連的通信接口518���。通信接口518提供與連接到本地網(wǎng)絡(luò)522的網(wǎng)絡(luò)鏈路520的雙向數(shù)據(jù)通信���。例如,通信接口518可以是提供到相應(yīng)類型電話線的數(shù)據(jù)通信連接的綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)卡或者調(diào)制解調(diào)器�。另外的示例中,通信接口518可以是提供到兼容局域網(wǎng)的數(shù)據(jù)通信連接的局域網(wǎng)(LAN)卡��。也可以應(yīng)用無線鏈路。在上述任何應(yīng)用中�����,通信接口518發(fā)送和接收載有表示各種類型信息的數(shù)據(jù)流的電子����、電磁或者光信號。
網(wǎng)絡(luò)鏈路520典型地通過一個或者多個網(wǎng)絡(luò)提供到其他設(shè)備的數(shù)據(jù)通信�����。例如���,網(wǎng)絡(luò)鏈路520可以通過本地網(wǎng)絡(luò)522提供到主機(jī)524的連接。網(wǎng)絡(luò)鏈路520也可以在設(shè)備526和通信接口518之間傳輸數(shù)據(jù)�����。網(wǎng)絡(luò)鏈路520傳輸?shù)臄?shù)據(jù)流包括電子����、電磁或者光信號。通過各種網(wǎng)絡(luò)的信號以及網(wǎng)絡(luò)鏈路520上的和通過通信接口518的信號���,加載有進(jìn)出計算機(jī)系統(tǒng)500的數(shù)據(jù)����,這是載波傳輸信息的示范形式。計算機(jī)系統(tǒng)500可以通過網(wǎng)絡(luò)����、網(wǎng)絡(luò)鏈路520以及通信接口518發(fā)送消息和接收數(shù)據(jù),包括程序代碼���。雖然示出了網(wǎng)絡(luò)鏈路520�,但是在另一個實施例中��,通信接口518可以提供連接到多個網(wǎng)絡(luò)的鏈路���,每個鏈路連接到一個或者多個本地網(wǎng)絡(luò)����。在一些實施例中�,計算機(jī)系統(tǒng)500可以從一個網(wǎng)絡(luò)接收數(shù)據(jù)并發(fā)送該數(shù)據(jù)到另一個網(wǎng)絡(luò)。計算機(jī)系統(tǒng)500可以在向另一個網(wǎng)絡(luò)傳輸該數(shù)據(jù)之前處理和/或修改該數(shù)據(jù)�����。
雖然示出并描述了具體實施例,但是應(yīng)該理解�,這些優(yōu)選實施例并不用于限制本發(fā)明,而且在不背離本發(fā)明精神及其實質(zhì)的情況下�����,熟悉本領(lǐng)域的普通技術(shù)人員當(dāng)可根據(jù)本發(fā)明做出各種改變和變形����。例如,在其他實施例中����,模塊110執(zhí)行的一項或者多項功能可以通過使用一個或者多個處理又或者一個或者多個軟件來實現(xiàn)。而且�,在另外的實施例中,可以組合處理程序200的兩個或者更多步驟�����。在其他實施例中�����,處理程序200的任何步驟可以進(jìn)一步分解為多個子步驟����。在進(jìn)一步實施例中,模塊100不需要執(zhí)行處理程序200的所有步驟�����。從而�����,說明和附圖用于解釋本發(fā)明����,而不是限制本發(fā)明。本發(fā)明旨在涵蓋在權(quán)利要求定義的本發(fā)明精神及其實質(zhì)的情況下�,變形、修改和具有同等功能的實施例�。
權(quán)利要求
1.一種判斷網(wǎng)絡(luò)內(nèi)容類型的方法,包括接收第一數(shù)據(jù)包���;判斷所述第一數(shù)據(jù)包或者與所述第一數(shù)據(jù)包相關(guān)的會話的分類狀態(tài)��;接收第二數(shù)據(jù)包��;和根據(jù)至少部分已判斷的狀態(tài)判斷所述第二數(shù)據(jù)包的內(nèi)容類型�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述分類狀態(tài)包括未知狀態(tài)。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,使用所述第一和第二數(shù)據(jù)包判斷所述第二數(shù)據(jù)包的內(nèi)容類型���。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述分類狀態(tài)顯示所述第一數(shù)據(jù)包或者所述會話所屬的內(nèi)容類型�。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,通過關(guān)聯(lián)所述第二數(shù)據(jù)包和所述會話來判斷所述第二數(shù)據(jù)包的所述內(nèi)容類型����。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述分類狀態(tài)顯示所述第一數(shù)據(jù)包或者所述會話沒有被識別為另一個內(nèi)容類型����。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于���,通過排除所述第二數(shù)據(jù)包的其他候選內(nèi)容類型來判斷所述第二數(shù)據(jù)包的所述內(nèi)容類型����。
8.根據(jù)權(quán)利要求1所述的方法����,其特征在于,從用于接收至少兩種類型內(nèi)容的端口接收所述第一數(shù)據(jù)包��。
9.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述第二數(shù)據(jù)包是與所述會話相關(guān)的。
10.一種計算機(jī)產(chǎn)品包括計算機(jī)可讀介質(zhì)�,所述計算機(jī)可讀介質(zhì)存儲了一套指令,運行這些指令將執(zhí)行操作處理�����,所述處理包括接收第一數(shù)據(jù)包�����;判斷所述第一數(shù)據(jù)包或者與所述第一數(shù)據(jù)包相關(guān)的會話的分類狀態(tài)����;接收第二數(shù)據(jù)包;和根據(jù)至少部分已判斷的狀態(tài)判斷所述第二數(shù)據(jù)包的內(nèi)容類型�����。
11.一種用于判斷內(nèi)容類型的系統(tǒng)����,包括用于接收第一數(shù)據(jù)包和第二數(shù)據(jù)包的設(shè)備;用于判斷所述第一數(shù)據(jù)包或者與所述第一數(shù)據(jù)包相關(guān)的會話的分類狀態(tài)的設(shè)備����;用于根據(jù)至少部分已判斷的狀態(tài)判斷所述第二數(shù)據(jù)包內(nèi)容類型的設(shè)備���。
12.一種用于判斷內(nèi)容類型的方法,包括接收與會話相關(guān)的數(shù)據(jù)包���;判斷所述會話或者與所述會話相關(guān)的另一個數(shù)據(jù)包的內(nèi)容類型是否已經(jīng)確定;根據(jù)至少部分所述判斷操作的結(jié)果對所述數(shù)據(jù)包內(nèi)容類型進(jìn)行分類����。
13.根據(jù)權(quán)利要求12所述的方法,其特征在于�����,所述會話或者其他數(shù)據(jù)包的所述內(nèi)容類型已經(jīng)確定�����。
14.根據(jù)權(quán)利要求13所述的方法����,其特征在于,所述會話或者其他數(shù)據(jù)包的所述內(nèi)容類型未被確定��,那么所述方法進(jìn)一步包括接收一個或者更多其他數(shù)據(jù)包���。
15.根據(jù)權(quán)利要求14所述的方法���,其特征在于��,分類所述數(shù)據(jù)包的所述操作包括分析所述一個或者更多其他數(shù)據(jù)包中的一個����,以判斷該數(shù)據(jù)包是否滿足規(guī)定標(biāo)準(zhǔn)�。
16.一種計算機(jī)產(chǎn)品包括計算機(jī)可讀介質(zhì),所述計算機(jī)可讀介質(zhì)存儲了一套指令�����,運行這些執(zhí)行將執(zhí)行操作處理�����,所述處理包括接收與會話相關(guān)的數(shù)據(jù)包����;判斷所述會話或者與所述會話相關(guān)的另一個數(shù)據(jù)包的內(nèi)容類型是否已經(jīng)確定;根據(jù)至少部分所述判斷操作的結(jié)果對所述數(shù)據(jù)包內(nèi)容類型進(jìn)行分類�����。
17.一種用于判斷內(nèi)容類型的系統(tǒng),包括用于接收與會話相關(guān)的數(shù)據(jù)包的設(shè)備���;用于判斷所述會話或者與所述會話相關(guān)的另一個數(shù)據(jù)包的內(nèi)容類型是否已經(jīng)判斷的設(shè)備����;和用于根據(jù)至少部分所述判斷操作的結(jié)果對所述數(shù)據(jù)包內(nèi)容類型進(jìn)行分類的設(shè)備�����。
18.一種用于判斷內(nèi)容類型的方法���,包括從第一端口接收第一數(shù)據(jù)包,所述第一端口用于接收至少兩種類型內(nèi)容�����;和判斷所述第一數(shù)據(jù)包或者與所述第一數(shù)據(jù)包相關(guān)的會話的內(nèi)容類型����。
19.根據(jù)權(quán)利要求18所述的方法,其特征在于���,判斷所述內(nèi)容類型將不使用與所述第一端口相關(guān)的端口號�。
20.根據(jù)權(quán)利要求18所述的方法,其特征在于�,通過分析所述第一數(shù)據(jù)包判斷所述內(nèi)容類型。
21.根據(jù)權(quán)利要求20所述的方法���,其特征在于��,所述分析所述第一數(shù)據(jù)包的操作包括判斷與所述第一數(shù)據(jù)包相關(guān)的特性��,所述特性選自包括字符串模式��、會話標(biāo)識符�、數(shù)據(jù)包容量和端口號的組��。
22.根據(jù)權(quán)利要求18所述的方法��,進(jìn)一步包括接收第二數(shù)據(jù)包����,其特征在于,通過使用所述第一和第二數(shù)據(jù)包判斷所述內(nèi)容類型����。
23.根據(jù)權(quán)利要求22所述的方法,其特征在于,判斷所述內(nèi)容類型的方法包括判斷所述第一數(shù)據(jù)包的特性是否與第一標(biāo)準(zhǔn)相匹配�;和判斷所述第二數(shù)據(jù)包的特性是否與第二標(biāo)準(zhǔn)相匹配。
24.一種計算機(jī)產(chǎn)品包括計算機(jī)可讀介質(zhì)�����,所述計算機(jī)可讀介質(zhì)存儲了一套指令���,運行這些指令將執(zhí)行操作處理�����,所述處理包括從第一端口接收第一數(shù)據(jù)包,所述第一端口用于接收至少兩種類型數(shù)據(jù)���;和判斷所述第一數(shù)據(jù)包或者與所述第一數(shù)據(jù)包相關(guān)的會話的內(nèi)容類型�。
25.一種用于判斷內(nèi)容類型的系統(tǒng)��,包括用于從第一端口接收第一數(shù)據(jù)包的設(shè)備����,所述第一端口用于接收至少兩種類型數(shù)據(jù);和用于判斷所述第一數(shù)據(jù)包或者與所述第一數(shù)據(jù)包相關(guān)的會話的內(nèi)容類型的設(shè)備��。
26.一種用于判斷內(nèi)容類型的方法,包括接收與會話相關(guān)的數(shù)據(jù)包���;和判斷所述數(shù)據(jù)包或者所述會話的分類狀態(tài)���。
27.根據(jù)權(quán)利要求26所述的方法,其特征在于���,所述分類狀態(tài)表示所述數(shù)據(jù)包或者所述會話已經(jīng)被分類����。
28.根據(jù)權(quán)利要求26所述的方法�,其特征在于,所述分類狀態(tài)表示所述數(shù)據(jù)包或者所述會話不屬于第一內(nèi)容類型���。
29.根據(jù)權(quán)利要求28所述的方法�����,其特征在于��,所述分類狀態(tài)進(jìn)一步表示兩種或者更多內(nèi)容類型作為分類所述數(shù)據(jù)包或者所述會話的候選選項�。
30.根據(jù)權(quán)利要求26所述的方法�����,其特征在于,所述分類狀態(tài)表示兩種或者更多內(nèi)容類型作為分類所述數(shù)據(jù)包或者所述會話的候選選項��。
31.一種計算機(jī)產(chǎn)品包括計算機(jī)可讀介質(zhì)����,所述計算機(jī)可讀介質(zhì)存儲了一套指令,運行這些指令執(zhí)行操作處理��,所述處理包括接收與會話相關(guān)的數(shù)據(jù)包�����;和判斷所述數(shù)據(jù)包或者所述會話的分類狀態(tài)���。
32.一種用于判斷內(nèi)容類型的系統(tǒng),包括用于接收與會話相關(guān)的數(shù)據(jù)包的設(shè)備�;和用于判斷所述數(shù)據(jù)包或者所述會話的分類狀態(tài)的設(shè)備。
全文摘要
一種用于判斷內(nèi)容類型的方法���,包括接收第一數(shù)據(jù)包�,判斷該第一數(shù)據(jù)包或者與該第一數(shù)據(jù)包相關(guān)的會話的分類狀態(tài)���,接收第二數(shù)據(jù)包���,以及根據(jù)至少部分已判斷的狀態(tài)判斷該第二數(shù)據(jù)包的內(nèi)容類型���。一種用于判斷內(nèi)容類型的方法包括接收與會話相關(guān)的數(shù)據(jù)包,判斷該會話或者與該會話相關(guān)的另一個數(shù)據(jù)包的內(nèi)容類型是否已判斷�,以及根據(jù)至少部分該判斷操作的結(jié)果分類該數(shù)據(jù)包內(nèi)容類型。一種用于判斷內(nèi)容類型的方法包括從第一端口接收第一數(shù)據(jù)包��,該第一端口用于接收至少兩種類型內(nèi)容�����,以及判斷該第一數(shù)據(jù)包或者與該第一數(shù)據(jù)包相關(guān)的會話的內(nèi)容類型�����。一種用于判斷內(nèi)容類型的方法包括接收與會話相關(guān)的數(shù)據(jù)包����,以及判斷該數(shù)據(jù)包或者該會話的分類狀態(tài)。
文檔編號H04L29/06GK101014016SQ20071008027
公開日2007年8月8日 申請日期2007年2月15日 優(yōu)先權(quán)日2006年2月16日
發(fā)明者魏少紅, 陳忠強(qiáng), 吳坪, 段剛 申請人:飛塔信息科技(北京)有限公司