(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211089830.7 (22)申请日 2022.09.07 (71)申请人 南京邮电大 学 地址 210003 江苏省南京市 鼓楼区新模范 马路66号 (72)发明人 朱洪波　林松　朱晓荣　 (74)专利代理 机构 南京经纬专利商标代理有限 公司 32200 专利代理师 田凌涛 (51)Int.Cl. H04L 9/40(2022.01) H04L 47/2483(2022.01) H04L 47/50(2022.01) (54)发明名称 一种嵌入式设备业 务识别系统 (57)摘要 本发明公开了一种嵌入式设备业务识别系 统， 该系统具备轻量级的优势， 能够实现对网络 流量进行综合分析， 并进行网络协议实时识别， 进而判断业务类型， 在保证了实时性的同时维持 了较高的正确率， 同时， 在网络流量的采集方面， 采用分流设计， 适应实时网络流量接收对时间的 高要求， 减少CP U的占有率， 该系统既减少了业务 识别对于系统功能的影响， 也 提高了准确率。 权利要求书2页 说明书5页 附图3页 CN 115484087 A 2022.12.16 CN 115484087 A 1.一种嵌入式设备业务识别系统， 其特征在于， 目标通信区域内包括边缘侧设备、 上层 设备， 其中边缘侧设备包括 嵌入式设备， 嵌入式设备包括至少一个网关节点， 各网关节点分 别均包括网卡、 内存、 业务流量采集模块、 业务流量处理模块， 各业务流量处理模块分别与 上层设备通信连接， 上层设备包括业务流量识别模块， 针对待识别网络流量， 实现网络流量 的业务类型识别， 包括如下步骤： S1:分别针对各业务流量采集模块， 业务流量采集模块实时采集网络流量， 并基于预设 时间间隙， 将各预设时间间隙内所采集的网络流量保存为网络流量包， 其中网络流量包的 形式为pcap离线 文件， 同时将所采集的各网络流 量包存储于网关节点的内存中； S2:业务流量处理模块分别将各网络流量包转化为与各网络流量包一一对应的五元组 信息， 并构建用于存 储所有待识别网络流 量包的网络流存 储队列； S3:业务流量识别模块获取网络流存储队列中的待识别网络流量包， 基于深度包检测 技术、 机器学习流特征检测方法， 分别针对网络流存储队列中的各待识别网络流量包的业 务类型进行识别， 并输出 各待识别网络流 量包的业 务类型识别结果； S4:重复步骤S2 ‑步骤S3， 直至完成网络流存储队列中所有的待识别网络流量包的业务 类型的识别。 2.根据权利要求1所述的一种嵌入式设备业务识别系统， 其特征在于， 步骤S1包括如下 步骤S11‑步骤S12： S11： 分别针对各网关节点， 业务流量采集模块采用linux自带的tcpdump程序， 持续监 听网卡的网络流量， 并且每隔预设时间间隙， 将该预设时间间隙内监听到的网络流量保存 为网络流 量包， 其中网络流 量包的形式为pcap离线 文件； S12： 网卡包括网卡接口控制器， 网卡接口控制器调用lipcap库， 基于旁路机制复制网 卡的各网络流量包， 针对复制的网卡的各网络流量包， 对其进 行内核过滤， 并传输至上层设 备。 3.根据权利要求1所述的一种嵌入式设备业务识别系统， 其特征在于， 步骤S2包括如下 步骤S21‑步骤S25： S21： 初始化网关节点的内存； S22： 业务流量处理模块将业务流量采集模块所采集的各网络流量包进行拆包， 分析获 得各网络流量包分别所对应的五元组， 其中各五元组包括网络流量包的源IP地址、 目的IP 地址、 源端口、 目的端口、 包长度； S23： 计算各网络流 量包的五元组的hash值； S24： 构建网络流存储队列， 将各网络流量包及其五元组的hash值存储进网络流存储队 列； S25： 重复步骤S22 ‑步骤S24， 其中业务流量处理模块针对业务流量采集模块所采集的 各网络流量包， 判断该各网络流量包的五元组的hash值是否已存储在网络流存储队列中， 若已经存储在 网络流存储队列中， 则丢弃该各网络流量包， 若没有存储在 网络流存储队列 中， 则将该 各网络流 量包及其五元组的hash值存 储进网络流存 储队列。 4.根据权利要求1所述的一种嵌入式设备业务识别系统， 其特征在于， 步骤S3包括如下 步骤S31‑步骤S34： S31： 业务流量识别模块获取网络流存 储队列中的各网络流 量包；权　利　要　求　书 1/2 页 2 CN 115484087 A 2S32： 基于深度包检测技术， 对网络流存储队列中的各网络流量包进行业务类别的识 别； S33： 若基于深度包检测技术可以识别出该网络流量包的业务类别， 则输出该网络流量 包的业务类型识别结果， 若基于深度包检测技术不能识别出该网络流量包的业务类别， 则 基于机器学习流特征检测方法对该网络流量包进 行业务类别的识别， 并输出该网络流量包 的业务类型识别结果； S34： 重复步骤S31 ‑步骤S33， 直至完成对网络流存储队列中的所有网络流量包的业务 类别的识别。 5.根据权利要求1所述的一种嵌入式设备业务识别系统， 其特征在于， 所述预设时间间 隙为5秒。 6.根据权利要求5所述的一种嵌入式设备业务识别系统， 其特征在于， 基于深度包检测 技术对各网络流量包的业务类别进行识别的过程， 若采用深度包检测技术对各网络流量包 业务类别的识别连续失败3次， 则优先采用机器学习流特征检测方法对网络流量包进行业 务类别的识别， 在识别5秒后， 将业 务类别的识别方法再次改为深度包检测技 术。权　利　要　求　书 2/2 页 3 CN 115484087 A 3