随着网络技术的发展与进步,网络接入速率不断提高,用户越来越多,终端功能也日益强大,在三网大融合的背景下,IP网上承载的业务越来越丰富,其中既有正常业务也夹杂着各种各样的非法业务。运营商希望区分业务类别进行差异化服务,限制非法业务,企业希望对网络提高管控能力,更有效地利用有限带宽。而无论是对用户提供差异化个性服务还是管控IP网络上的各种威胁,对具体网络业务的精确识别都是前提条件。本文以实现对网络上各种业务的精确识别,解决网络带宽急剧消耗、网络病毒肆虐、非法业务泛滥等问题为目标,深入分析了现有的业务识别技术。在网络受到的管控力度越来越强的背景下,动态端口、修改数据包、加密数据流等反识别技术层出不穷,致使业务识别的难度越来越大。为解决现有技术存在的问题,本文对业务识别的核心技术进行了深入研究,包括NAT (Network Address Translation)主机的识别和P2P流量的识别,主要贡献如下：(1)为识别NAT后的非法主机,本文提出了一种基于支持向量机的远程NAT主机检测算法。算法首先提取网络数据的特征属性表示成向量形式,然后基于主机活跃性筛选特征向量,最后利用支持向量机分析筛选出的数据。该算法可以在不主动发出任何探测数据的情况下,远程区分出普通主机与NAT后的多台主机,不需要依赖任何特殊数据包的任何特殊字段,故不易失效。实验表明,该算法的平均准确率超过80%。(2)上述算法仅能区别普通主机与NAT设备,为了精确估算NAT设备后的主机数,本文对基于SVM的NAT检测算法进行改进,利用DAGSVM提出了进一步的分析技术。文中通过分析数据流的线性特征,修改DAGSVM的判定流程,提出了基于特定流量模型的主机数估算方法,该方法可以通过有限的训练集,估算含有多于训练集主机数的数据。其中,流量模型的选取基于文中提出的三个条件,其结果是较优的。最终的实验结果表明,该算法的准确率与现有算法持平,但识别时不需要发出探测数据,不依赖于特殊的数据包头,具有适用范围广、不易失效的优点。(3)加密P2P流量的识别是流量识别中的难点,本文为解决此问题研究了P2P流量的自相似性。不同于以往研究,本文关注的是单个协议行为的自相似性,而不是宏观上流量的自相似性。文中定义了行为尺度的概念,并在行为尺度上分析了常见的P2P应用,明确了其应用层数据的自相似性,且在时间尺度与行为尺度的比较中,发现P2P的应用层流量在行为尺度上的自相似性表现得更加明显与稳定。最终把行为尺度上的自相似性应用到业务识别方面,提出了一种新的P2P流量识别算法。该算法通过计算网络流量不同行为尺度下的容量维,再辅以主动系数来识别P2P流量。实验结果证明该算法在区别https与加密的BT、eMule流量方面的准确率高于同类算法。(4)基于现有业务识别技术和本人的研究成果,提出了一套综合的业务识别与控制系统。系统通过整合NAT识别算法与P2P识别算法,利用信息互通的机制,在一定程度上解决了NAT流量和P2P流量识别相互影响的问题,进一步提高了识别精度。系统的混合部署策略吸取了直路和旁路部署方式的优点,实时分析与离线分析并举的方式,降低了对系统的性能要求,同时保留了类似直路设备的控制优势,在保证对整体网络安全稳定性影响较小的情况下,不失强大的分析能力；结合直接丢包与发送干扰包的阻断方式,最大限度地保证了对网络的控制力,同时减少了由控制网络流量而引发的垃圾流量。在具体业务的识别方面,系统综合了多种识别技术,根据识别场景和部署位置合理组合具体技术,在保证系统性能的前提下尽量提高业务识别的准确率。