现有技术中， 在对报文的应用进行识别时， 需要从报文的应用层数据中提取关键字 信息， 将该关键字信息与规则数据库中的规则进行匹 配， 并根据匹配结果识别报文的应 用。 但是， 由于规则数据库中记录的规则数量庞大， 且关键字信息匹配过程中需要运行 匹配算法， 因此处理过程较慢， 并且将耗费大量处理资源， 从而导致应用类型识别效率 不高。 发明内容

本发明实施例中提供了应用类型识别方法及网 络设备， 以解决现有技术中应用层协 议类型识别效率不高的问题。

为了解决上述技术问题， 本发明实施例公开了如下技术方案：

第一方面， 提供一种应用类型识别方法， 所述方法包括：

从接收到的数据流的第一数据报文中提取第一 服务器地址信息；

将所述第一服务器地址信息与服务器应用信息 进行匹配，所述服务器应用信息中保 存了服务器地址信息与应用类型的对应关系；

当从所述服务器应用信息中匹配到所述第一服 务器地址信息时，将与所述第一服务 器地址信息对应的应用类型识别为所述数据流 的应用类型。 结合第一方面， 在第一方面的第一种可能的实现方式中， 所述从接收到的数据流的 第一数据报文中提取第一服务器地址信息之前 ， 所述方法还包括：

通过对不同数据流的数据报文进行识别， 获得所述服务器应用信息；

将所述服务器应用信息保存到服务器信息数据 库。

结合第一方面的第一种可能的实现方式， 在第一方面的第二种可能的实现方式中， 所述通过对不同数据流的数据报文进行识别， 获得所述服务器应用信息， 包括：

确定接收到传输控制协议 TCP数据报文；

当所述 TCP数据报文的应用层协议为超文本传输协议 HTTP,且所述 TCP数据报文中 包含统一资源定位符 URL地址时， 识别所述 TCP数据报文为访问网络 WEB服务器的 WEB 应用报文；

获取所述 TCP数据报文的目的地址作为服务器地址信息； 以及

分析所述 URL地址获得与所述 URL地址对应的 WEB服务器的应用类型。

结合第一方面的第一种可能的实现方式， 或第一方面的第二种可能的实现方式， 在 第一方面的第三种可能的实现方式中， 所述方法还包括：

当未从所述服务器应用信息中匹配到所述第一 服务器地址信息时，通过对所述第一 数据报文所属数据流的后续报文进行识别， 获得第一服务器应用信息；

将所述第一服务器应用信息保存到所述服务器 信息数据库。

结合第一方面， 或第一方面的第一种可能的实现方式， 或第一方面的第二种可能的 实现方式， 或第一方面的第三种可能的实现方式， 在第一方面的第四种可能的实现方式 中， 所述从接收到的数据流的第一数据报文中提取 第一服务器地址信息， 具体为： 从接 收到的数据流的第一数据报文的五元组信息中 提取所述第一数据报文的目的互联网协 议 IP地址和目的端口号。

第二方面， 提供一种网络设备， 所述网络设备包括：

提取单元， 用于从接收到的数据流的第一数据报文中提取 第一服务器地址信息； 匹配单元，用于将所述提取单元提取的所述第 一服务器地址信息与服务器应用信息 进行匹配， 所述服务器应用信息中保存了服务器地址信息 与应用类型的对应关系； 识别单元，用于当所述匹配单元从所述服务器 应用信息中匹配到所述第一服务器地 址信息时， 将与所述第一服务器地址信息对应的应用类型 识别为所述数据流的应用类 型。

结合第二方面， 在第二方面的第一种可能的实现方式中， 所述装置还包括： 获得单元，用于通过对不同数据流的数据报文 进行识别，获得所述服务器应用信息； 保存单元， 用于将所述获得单元获得的服务器应用信息保 存到服务器信息数据库。 结合第二方面的第一种可能的实现方式， 在第二方面的第二种可能的实现方式中， 所述获得单元包括：

TCP数据报文确定子单元， 用于确定接收到 TCP数据报文；

WEB应用报文识别子单元， 用于当所述 TCP数据报文的应用层协议为 HTTP, 且所述

TCP数据报文中包含 URL地址时， 识别所述 TCP数据报文为访问 WEB服务器的 WEB应用 报文；

地址信息获取子单元，用于获取所述 TCP数据报文的目的地址作为服务器地址信息; 应用类型分析子单元，用于分析所述 URL地址获得与所述 URL地址对应的 WEB服务 器的应用类型。

结合第二方面的第一种可能的实现方式， 或第二方面的第二种可能的实现方式， 在 第二方面的第三种可能的实现方式中， 所述获得单元， 还用于当所述匹配单元未从所述 服务器应用信息中匹配到所述第一服务器地址 信息时，通过对所述第一数据报文所属数 据流的后续报文进行识别， 获得第一服务器应用信息；

所述保存单元，还用于将所述获得单元获得的 所述第一服务器应用信息保存到所述 服务器信息数据库。

结合第二方面， 或第二方面的第一种可能的实现方式， 或第二方面的第二种可能的 实现方式， 或第二方面的第三种可能的实现方式， 在第二方面的第四种可能的实现方式 中， 所述提取单元， 具体用于从接收到的数据流的第一数据报文的 五元组信息中提取所 述第一数据报文的目的 IP地址和目的端口号。

第三方面， 提供一种网络设备， 所述网络设备包括： 总线， 以及通过所述总线连接 的存储器、 网络接口和处理器， 其中，

所述存储器， 用于保存服务器应用信息；

所述网络接口， 用于接收数据流的第一数据报文；

所述处理器， 用于从所述第一数据报文中提取第一服务器地 址信息， 将所述第一服 务器地址信息与所述服务器应用信息进行匹配 ，所述服务器应用信息中保存了服务器地 址信息与应用类型的对应关系， 当从所述服务器应用信息中匹配到所述第一服 务器地址 信息时， 将与所述第一服务器地址信息对应的应用类型 识别为所述数据流的应用类型。

结合第三方面， 在第三方面的第一种可能的实现方式中， 所述处理器， 还用于通过 对不同数据流的数据报文进行识别， 获得服务器应用信息， 并将所述服务器应用信息保 存到所述存储器中的服务器信息数据库。

结合第三方面的第一种可能的实现方式， 在第三方面的第二种可能的实现方式中， 所述处理器， 具体用于确定接收到 TCP数据报文， 当所述 TCP数据报文的应用层协议为 HTTP, 且所述 TCP数据报文中包含 URL地址时， 识别所述 TCP数据报文为访问 WEB服务 器的 WEB应用报文， 获取所述 TCP数据报文的目的地址作为服务器地址信息， 并分析所 述 URL地址获得与所述 URL地址对应的 WEB服务器的应用类型。

结合第三方面的第一种可能的实现方式， 或第三方面的第二种可能的实现方式， 在 第三方面的第三种可能的实现方式中， 所述处理器， 还用于当未从所述服务器应用信息 中匹配到所述第一服务器地址信息时，通过对 所述第一数据报文所属数据流的后续报文 进行识别， 获得第一服务器应用信息， 并将所述第一服务器应用信息保存到所述服务 器 信息数据库。

结合第三方面， 或第三方面的第一种可能的实现方式， 或第三方面的第二种可能的 实现方式， 或第三方面的第三种可能的实现方式， 在第三方面的第四种可能的实现方式 中， 所述处理器， 具体用于从所述第一数据报文的五元组信息中 提取所述第一数据报文 的目的 IP地址和目的端口号。

本发明实施例中， 从接收到的数据流的第一数据报文中提取第一 服务器地址信 息， 将第一服务器地址信息与服务器应用信息进行 匹配， 当从服务器应用信息中匹 配到第一服务器地址信息时， 将与第一服务器地址信息对应的应用类型识别 为数据 流的应用类型。 本发明实施例中通过建立服务器应用信息， 从而在接收到数据报文 时， 无需进行关键字提取和规则匹配， 而是通过将数据报文的服务器地址信息与服 务器应用信息进行匹配， 从而快速识别出数据报文所属数据流的应用类 型， 提高了 报文的应用类型识别效率。 附图说明 为了更清楚地说明本发明实施例或现有技术中 的技术方案， 下面将对实施例或 现有技术描述中所需要使用的附图作简单地介 绍， 显而易见地， 对于本领域普通技 术人员而言， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附 图。

图 1A为本发明实施例的应用场景示意图； 图 IB为本发明应用类型识别方法的一个实施例流� ��图；

图 2为本发明应用类型识别方法的另一个实施例� �程图；

图 3为本发明应用类型识别方法的另一个实施例� �程图；

图 4为本发明网络设备的一个实施例框图；

图 5为本发明网络设备的另一个实施例框图；

图 6为本发明网络设备的另一个实施例框图。 具体实施方式 为了使本技术领域的人员更好地理解本发明实 施例中的技术方案， 并使本发明 实施例的上述目的、 特征和优点能够更加明显易懂， 下面结合附图对本发明实施例 中技术方案作进一步详细的说明。

参见图 1A， 为本发明实施例的应用场景示意图：

图 1A中， 终端通过网络接入网络设备， 网络设备与服务器相连。 其中， 终端可 以具体为个人电脑、 手机登； 网络设备可以具体为网关设备、 路由设备、 防火墙设 备等； 服务器可以具体为 TOB应用服务器。 本实施例中， 网络设备可以通过数据库 保存服务器地址信息与应用类型的对应关系， 当终端需要访问服务器上的应用时， 向网络设备发送数据流， 网络设备可以将数据流报文中的服务器地址信 息与数据库 进行匹配， 直接识别该数据流的应用类型， 即获得该数据流所要访问服务器上应用 的应用类型。

参见图 1B， 为本发明应用类型识别方法的一个实施例流程 图， 该实施例从网络 设备侧描述了数据报文的应用进行识别的过程 ：

步骤 101 : 从接收到的数据流的第一数据报文中提取第一 服务器地址信息。 本实施例中， 数据流的每个数据报文都携带五元组信息， 五元组信息包括源 IP 地址、 目的 IP地址、 源端口号、 目的端口号、 传输层协议， 传输层协议主要包括传 输控制协议 （Transmi ssion Control Protocol , TCP ) 和用户数据报协议 （User Datagram Protocol , UDP ) 。 本实施例中， 接收数据报文的网络设备可以具体指网 关设备、 路由设备、 防火墙设备等。

其中， 网络设备可以从接收到的第一数据报文的五元 组信息中提取该第一数据 报文的目的 IP地址和目的端口号， 将提取的上述信息作为第一服务器地址信息。 本 实施例中数据流的第一数据报文可以是该数据 流的首报文， 也可以是属于该数据流 的除首报文之外的其他数据报文。

步骤 102 : 将第一服务器地址信息与服务器应用信息进行 匹配， 该服务器应用 信息中保存了服务器地址信息与应用类型的对 应关系。

本发明实施例中， 服务器应用信息可以是网络设备在对第一数据 报文进行识别 前， 通过对多个访问不同 TOB服务器的数据报文进行识别后获得的信息。 服务器应 用信息保存了服务器地址信息与应用类型的对 应关系， 其中， 服务器地址信息可以 包括 TOB服务器的 IP地址和端口号， 应用类型主要指 TOB服务器可以提供的应用的种 类， 例如， 视频应用、 社交应用、 对等 （Peer to Peer, P2P ) 服务应用等。 本实 施例通过建立服务器应用信息， 可以对访问 TOB服务器的 TOB应用报文所属数据流的 应用类型进行快速匹配识别。

步骤 103 : 当从服务器应用信息中匹配到第一服务器地址 信息时， 将与第一服 务器地址信息对应的应用类型识别为第一数据 报文所属数据流的应用类型。

本实施例中， 由于服务器应用信息中保存了服务器地址信息 与应用类型的对应 关系， 因此当从服务器应用信息中找到第一数据报文 的第一服务器地址信息时， 与 该第一服务器地址信息对应的应用类型即可直 接识别为第一数据报文所属数据流 的应用类型。

由上述实施例可见， 该实施例中通过建立服务器应用信息， 从而在接收到数据 报文时， 无需进行关键字提取和规则匹配， 而是通过将数据报文的服务器地址信息 与服务器应用信息进行匹配， 从而快速识别出数据报文所属数据流的应用类 型， 提 高了报文的应用类型识别效率。

参见图 2， 为本发明应用类型识别方法的另一个实施例流 程图， 该实施例详细 描述了在对数据报文进行应用类型识别前， 建立服务器应用信息的过程：

步骤 201 : 确定接收到 TCP数据报文。

本实施例中， 每个数据报文都携带五元组信息， 五元组信息包括源 IP地址、 目 的 IP地址、 源端口号、 目的端口号、 传输层协议， 传输层协议主要包括 TCP和 UDP。 本实施例中， 接收数据报文的网络设备可以具体指网关设备 、 路由设备、 防火墙设 备等。 网络设备接收到每个数据报文时， 可以根据该数据报文的五元组信息中的传 输层协议确定是否接收到 TCP数据报文。 本实施例中， 由于每个数据流的首报文中 一般不包含应用数据， 因此在对该数据流的应用进行识别时， 确定接收到的 TCP数 据报文通常为该数据流的首报文的后续报文。 步骤 202 : 判断 TCP数据报文是否为 TOB应用报文， 若是， 则执行步骤 203 ; 否则， 结束当前流程。

当网络设备识别出 TCP数据报文后， 进一步识别 TCP数据报文是否为 TOB应用报 文。 识别 TOB应用报文的条件可以包括： TCP数据报文的应用层协议为超文本传输协 议 （Hypertext Transfer Protocol , HTTP ) ， 且该 TCP数据报文中包含统一资源定 位符 （Uniform Resource Locator , URL ) 地址时， 可以识别该 TCP数据报文为访问 WEB服务器的 TOB应用报文。

步骤 203 : 获取该 TCP数据报文的目的地址作为服务器地址信息。

当识别出 TCP数据报文为 TOB应用报文时， 说明该 TCP数据报文所要访问的目的 设备为 TOB服务器， 此时网络设备从该 TCP数据报文的五元组信息中提取目的 IP地址 和目的端口号， 该目的 IP地址和目的端口号即为 TOB服务器的服务器地址信息。

步骤 204： 分析 TCP数据报文的 URL地址获得与该 URL地址对应的 TOB服务器的应 用类型。

URL地址即为网页地址， TCP数据报文的 URL地址反映了该 TCP数据报文所要访问 的 TOB服务器上的应用所在的网页地址， 通过分析该网页地址可以获得 TOB服务器的 应用类型， 应用类型可以包括视频应用、 社交应用、 对等服务应用等。 例如， TCP 数据报文的 URL地址为 "www. tv. ***. com" ， 则通过分析该 URL地址中包含的关键字 " tv " ， 可以确定该 TCP数据报文所要访问的 TOB服务器上应用的应用类型为视频应 用。 本实施例中， 一个 TOB服务器具有一个 IP地址， 一个 TOB服务器上包含的应用可 以不止一种， 每一种应用可以对应一个端口号， 即一个 IP地址和一个端口号可以对 应一个 TOB服务器上的一种应用。

步骤 205 : 将服务器地址信息与应用类型的对应关系作为 服务器应用信息保存 到服务器信息数据库， 结束当前流程。

将步骤 203中获得的 TOB服务器的服务器地址信息与该 TOB服务器的应用类型之 间的对应关系保存到服务器信息数据库， 对于后续访问同一 TOB服务器的数据报文， 通过查找该服务器信息数据库， 即可快速识别出该数据报文所属数据流的应用 类 型。

由上述实施例可见， 该实施例通过识别 TOB应用报文， 建立服务器应用信息， 以便网络设备对后续接收到的数据报文的 WEB应用进行快速识别， 从而可以提高报 文的应用类型识别效率。 参见图 3， 为本发明应用类型识别方法的另一个实施例流 程图， 该实施例基于 图 2所示实施例保存的服务器应用信息， 对接收到的数据报文的应用进行识别： 步骤 301 : 网络设备接收数据流的第一数据报文。

本实施例中， 接收数据报文的网络设备可以具体指网关设备 、 路由设备、 防火 墙设备等。 优选的， 数据流的第一数据报文可以是该数据流的首报 文。

步骤 302: 从第一数据报文的五元组信息中提取目的 IP地址和目的端口号。 本实施例中， 每个数据报文都携带五元组信息， 五元组信息包括源 IP地址、 目 的 IP地址、 源端口号、 目的端口号、 传输层协议， 传输层协议主要包括 TCP和 UDP。 其中， 网络设备可以从第一数据报文的五元组信息中 提取该第一数据报文的目的 IP 地址和目的端口号， 将提取的上述信息作为第一数据报文的第一服 务器地址信息。

步骤 303 : 将目的 IP地址和目的端口号与服务器信息数据库中保� ��的服务器应 用信息进行匹配。

由前述图 2示出的实施例可知， 在服务器信息数据库的服务器应用信息中， 保 存了服务器地址信息与应用类型的对应关系。 本实施例中， 将步骤 302中提取的第 一数据报文的目的 IP地址和目的端口号与保存的服务器应用信息� ��行匹配， 以便判 断是否能够从服务器应用信息的服务器地址信 息中查找到该目的 IP地址和目的端 口号。

步骤 304: 判断是否从服务器应用信息中匹配到目的 IP地址和目的端口号， 若 是， 则执行步骤 305 ; 否则， 执行步骤 306。

步骤 305 : 将与目的 IP地址和目的端口号对应的应用类型识别为第� ��数据报文 所属数据流的应用类型， 结束当前流程。

当从服务器应用信息中匹配到第一数据报文的 目的 IP地址和目的端口号时， 直 接将与该目的 IP地址和目的端口号对应的应用类型识别为第� ��数据报文所属数据 流的应用类型。

步骤 306:判断第一数据报文所属数据流的后续报文� �否为 TOB应用报文，若是， 则执行步骤 307 ; 否则， 结束当前流程。

当从服务器应用信息中未匹配到第一数据报文 的目的 IP地址和目的端口号时， 说明该第一数据报文所属数据流为网络设备未 识别过的数据流， 此时网络设备接收 到该数据流的后续报文后， 判断该后续报文是否为 WEB应用报文， 以便进一步识别 该数据流的应用。 其中， 识别 TOB应用报文的条件可以包括： TCP数据报文的应用层协议为 HTTP, 且该 TCP数据报文中包含 URL地址时， 可以识别该 TCP数据报文为访问 TOB服务器的 TOB应用报文。

步骤 307 : 分析后续报文中包含的 URL地址对应的 TOB服务器的应用类型。

当识别出后续报文为 TOB应用报文时， 说明该第一数据报文所属数据流所要访 问的目的设备为 WEB服务器， 则该后续报文的目的 IP地址和目的端口号即为 TOB服务 器的服务器地址信息； 并且， 通过分析该 URL可以获得 TOB服务器的应用类型， 应用 类型可以包括视频应用、 社交应用、 对等服务应用等。 本步骤中对后续报文的识别 过程可以参见图 2实施例的描述， 即将该第一数据报文所属数据流作为新的数据 流 进行应用类型识别， 并保存识别结果， 具体过程不再赘述。

当识别出后续报文不是 WEB应用报文时， 则网络设备可以按照现有技术中的识 别方式对第一数据报文所属数据流的应用进行 识别， 对此本实施例不再赘述。

步骤 308 : 将后续报文的目的 IP地址和目的端口号与该应用类型的对应关系� �� 为服务器应用信息保存到服务器信息数据库， 结束当前流程。

将步骤 307中获得的 TOB服务器的服务器地址信息与该 TOB服务器的应用类型之 间的对应关系保存到服务器信息数据库， 当后续网络设备接收到与该第一数据报文 所属数据流的应用一样的数据流的数据报文时 ， 网络设备通过查找该服务器信息数 据库， 即可快速识别出该数据流的应用类型。

由上述实施例可见， 该实施例中通过建立服务器应用信息， 从而在接收到数据 报文时， 无需进行关键字提取和规则匹配， 而是通过将数据报文的服务器地址信息 与服务器应用信息进行匹配， 从而快速识别出数据报文所属数据流的应用类 型， 提 高了报文的应用类型识别效率。

与本发明应用类型识别方法的实施例相对应， 本发明还提供了执行该应用类型 识别方法的网络设备的实施例。

参见图 4， 为本发明网络设备的一个实施例框图：

该网络设备包括： 提取单元 410、 匹配单元 420和识别单元 430。

其中， 提取单元 410， 用于从接收到的数据流的第一数据报文中提取 第一服务 器地址信息；

匹配单元 420， 用于将所述提取单元 410提取的所述第一服务器地址信息与服务 器应用信息进行匹配， 所述服务器应用信息中保存了服务器地址信息 与应用类型的 对应关系；

识别单元 430， 用于当所述匹配单元 420从所述服务器应用信息中匹配到所述第 一服务器地址信息时， 将与所述第一服务器地址信息对应的应用类型 识别为所述数 据流的应用类型。

可选的， 所述提取单元 410， 可以具体用于从接收到的第一数据报文的五元 组 信息中提取所述第一数据报文的目的 IP地址和目的端口号。

参见图 5， 为本发明网络设备的另一个实施例框图：

该网络设备包括： 获得单元 510、 保存单元 520、 提取单元 530、 匹配单元 540和 识别单元 550。

其中， 获得单元 510， 用于通过对不同数据流的数据报文进行识别， 获得所述 服务器应用信息；

保存单元 520， 用于将所述获得单元 510获得的服务器应用信息保存到服务器信 息数据库；

提取单元 530， 用于从接收到的数据流的第一数据报文中提取 第一服务器地址 信息；

匹配单元 540， 用于将所述提取单元 530提取的所述第一服务器地址信息与服务 器应用信息进行匹配， 所述服务器应用信息中保存了服务器地址信息 与应用类型的 对应关系；

识别单元 550， 用于当所述匹配单元 540从所述服务器应用信息中匹配到所述第 一服务器地址信息时， 将与所述第一服务器地址信息对应的应用类型 识别为所述第 一数据报文所属数据流的应用类型。

在一个可选的实现方式中：

所述获得单元 510可以包括 （图 5中未示出） ： TCP数据报文确定子单元， 用于 确定接收到 TCP数据报文； TOB应用报文识别子单元， 用于当所述 TCP数据报文的应 用层协议为 HTTP , 且所述 TCP数据报文中包含 URL地址时， 识别所述 TCP数据报文为 访问 WEB服务器的 TOB应用报文； 地址信息获取子单元， 用于获取所述 TCP数据报文 的目的地址作为服务器地址信息； 应用类型分析子单元， 用于分析所述 URL地址获 得与所述 URL地址对应的 TOB服务器的应用类型。

在另一个可选的实现方式中：

所述获得单元 510， 还可以用于当所述匹配单元未从所述服务器应 用信息中匹 配到所述第一服务器地址信息时， 通过对所述第一数据报文所属数据流的后续报 文 进行识别， 获得第一服务器应用信息；

所述保存单元 520， 还可以用于将所述获得单元 510获得的所述第一服务器应用 信息保存到所述服务器信息数据库。

在另一个可选的实现方式中：

所述提取单元 530， 可以具体用于从接收到的数据流的第一数据报 文的五元组 信息中提取所述第一数据报文的目的 IP地址和目的端口号。

参见图 6， 为本发明网络设备的另一个实施例框图：

该网络设备包括： 总线 610， 以及通过所述总线 610连接的存储器 620、 网络接 口 630和处理器 640。

其中， 所述存储器 620， 用于保存服务器应用信息；

所述网络接口 630， 用于接收数据流的第一数据报文；

所述处理器 640， 用于从所述第一数据报文中提取第一服务器地 址信息， 将所 述第一服务器地址信息与所述服务器应用信息 进行匹配， 所述服务器应用信息中保 存了服务器地址信息与应用类型的对应关系， 当从所述服务器应用信息中匹配到所 述第一服务器地址信息时， 将与所述第一服务器地址信息对应的应用类型 识别为所 述数据流的应用类型。

在一个可选的实现方式中：

所述处理器 640， 还可以用于通过对不同数据流的数据报文进行 识别， 获得服 务器应用信息， 并将所述服务器应用信息保存到所述存储器中 的服务器信息数据 库。

在另一个可选的实现方式中：

所述处理器 640， 可以具体用于确定接收到 TCP数据报文， 当所述 TCP数据报文 的应用层协议为 HTTP , 且所述 TCP数据报文中包含 URL地址时， 识别所述 TCP数据报 文为访问 TOB服务器的 TOB应用报文， 获取所述 TCP数据报文的目的地址作为服务器 地址信息， 并分析所述 URL地址获得与所述 URL地址对应的 TOB服务器的应用类型。

在另一个可选的实现方式中：

所述处理器 640， 还可以用于当未从所述服务器应用信息中匹配 到所述第一服 务器地址信息时， 通过对所述第一数据报文所属数据流的后续报 文进行识别， 获得 第一服务器应用信息， 并将所述第一服务器应用信息保存到所述服务 器信息数据 库。

在另一个可选的实现方式中：

所述处理器 640， 可以具体用于从所述第一数据报文的五元组信 息中提取所述 第一数据报文的目的 IP地址和目的端口号。

由上述实施例可见， 从接收到的数据流的第一数据报文中提取第一 服务器地址 信息， 将第一服务器地址信息与服务器应用信息进行 匹配， 当从服务器应用信息中 匹配到第一服务器地址信息时， 将与第一服务器地址信息对应的应用类型识别 为第 一数据报文所属数据流的应用类型。 本发明实施例中通过建立服务器应用信息， 从 而在接收到数据报文时， 无需进行关键字提取和规则匹配， 而是通过将数据报文的 服务器地址信息与服务器应用信息进行匹配， 从而快速识别出数据报文所属数据流 的应用类型， 提高了报文的应用类型识别效率。

本领域的技术人员可以清楚地了解到本发明实 施例中的技术可借助软件加必 需的通用硬件平台的方式来实现。 基于这样的理解， 本发明实施例中的技术方案本 质上或者说对现有技术做出贡献的部分可以以 软件产品的形式体现出来， 该计算机 软件产品可以存储在存储介质中， 如 R0M/RAM、 磁碟、 光盘等， 包括若干指令用以 使得一台计算机设备 （可以是个人计算机， 服务器， 或者网络设备等） 执行本发明 各个实施例或者实施例的某些部分所述的方法 。

本说明书中的各个实施例均采用递进的方式描 述， 各个实施例之间相同相似的 部分互相参见即可， 每个实施例重点说明的都是与其他实施例的不 同之处。 尤其， 对于系统实施例而言， 由于其基本相似于方法实施例， 所以描述的比较简单， 相关 之处参见方法实施例的部分说明即可。 以上所述的本发明实施方式， 并不构成对本发明保护范围的限定。 任何在本发 明的精神和原则之内所作的修改、 等同替换和改进等， 均应包含在本发明的保护范 围之内。