微信流量分类模型及其业务识别算法研究摘要：以微信流量模型和业务识别为主要研究内容，首先分析了微信流量的特点，即脉冲式长连接的方式并提出了分类的模型；其次，在分类模型的基础上分析了微信的协议特征，通过匹配有效载荷识别出微信流；同时提出了进一步识别出微信流量的算法以及细粒度分类微信子业务；最后，进行了实验分类微信流，以98%的分类准确度识别出52%的微信子业务。关键词：QoS；流量分类；协议特征；深包检测；细粒度分类中图分类号：TN911734；TM417文献标识码：A文章编号：10047373X(2016)15?0028?04Abstract：TakingtheWeChattrafficmodelandbusinessidentificationasthemainresearchcontents，thecharacteristic(pulsedlongconnection)ofWeChattrafficisanalyzed,andtheclassificationmodelisputforward.Onthebasisoftheclassificationmodel，theprotocolfeatureofWeChatisanalyzed,andtheWeChattrafficisidentifiedaccuratelybymatchingtheeffectiveload.AnalgorithmtoidentifytheWeChattrafficfutherispoposedtoclassifytheWeChatsub?businesswithfinegrit.TheexperimentwasperformedtoclassifytheWeChattraffic.Thealgorithmcanidentify52%WeChatsub?businesswith98%classificationaccuracy.Keywords:QoS；trafficclassification；protocolfeature；deeppacketdetection；finegritclassification随着计算机技术与互联网技术的不断发展，新的应用模式与应用需求不断涌现，网络流量的增长变得多样化给互联网管理和运营带来巨大的压力和挑战，网络流量分类作为一种认识网络流量，优化流量是一项必不可少的方式［1］。对网络流量进行合理的分类可以使服务提供商识别网络中的流量，并根据流量的特性规划网络，从而提供更合适的QoS服务。其次，网络流量安全也是信息安全的一项重大主题，随着安全的重要性不断提高，网络流量分类是入侵检测的核心，如果能在流量到达目的地之前就进行拦截，能极大地提高网络的安全性及网络性能，营造更好的互联网安全平台。1基于微信流量的分类模型目前对微信的流量识别方式较少，有些是基于深包检测的研究方法［2］，但这些方法缺乏系统化的流量分类方法，在现有的深包检测的基础上，进一步对微信流量分类细化，提出了一种基于层次化的微信流量分类模型能广泛用于类似微信的基于DPI的分类方法中［3］。1.1流量模式分析从协议的角度上分析，微信流量是不具备加密性的，但可能存在一些重要的数据在网络传输前就进行过本地的加密。进一步，微信是基于一个主TCP连接发生的，在进入微信的同时，会开启一个客户端到服务器的TCP握手，当用户发生操作行为时，会在TCP连接中传输数据；当TCP连接传送完成时，也不会立刻关闭这个连接，由于微信业务的实时性，会有可能不断地发生更新，如果立即关闭TCP，很可能又需要再次开启，为了节省握手的资源消耗，微信采取了心跳包的方式，图1简要介绍了微信的大致通信机制。1.2基于DPI的微信流量的分类模型基于上述微信的特点，提出了一种层次化的基于DPI的微信识别方法对微信流量进行识别研究。基于层次化的模型有如下好处：首先，层次化的结构是一种自上而下的结构，逐步细化求精的过程，轮廓分明；其次，基于层次化的结构易于管理和维护，一旦其中某一环发生了问题，可以立刻追踪到所归属的层次进行改进或者发现问题；最后，层次化的结构有及时反馈的扩展功能［4］。(1)深包检测原理。微信流量分类使用的主要技术是基于正则表达式的DPI匹配技术对微信流量进行识别。首先，通过对微信流量的统计分析，得到微信的正则表达式特征，然后根据该正则表达式对微信流量进行匹配实验结果表明，基于DPI的匹配技术在微信流量分类上具有较高的匹配度和识别度。(2)微信流量分类模型。基于DPI的方法是通过分析捕获网络包的内容，通过签名的分类方法对网络流识别的一种流量分类方法，它强调了流的隐私性和加密性，如果流量是隐私或加密的流，则DPI的方法不可行。一般地，对于流中的有效载荷，其方法是通过流量的各个阶段分析流量特征的正则表达式，从而得出适合准确鉴别的流量特征。图2提出了基于层次化的流量分类结...