随着互联网和宽带技术的迅猛发展,互联网应用层出不穷。智能手机、平板电脑等智能终端与丰富的互联网应用相融合加快了移动互联网的发展速度,以社交类应用、购物类应用、视频类应用、手机游戏、位置服务等为代表的移动互联网业务在生活中被广泛地使用,使得智能终端接入互联网的速度呈现爆炸式增长。互联网持续高速增长的网络流量,对运营商现有的网络服务和质量带来了极大冲击,运营商需要监控和管理日益增长的易占带宽的多媒体流量,减少网络拥堵,提高用户体验度。对于企业来说,网络应用(尤其是即时聊天软件、云盘类软件)的增多和智能终端广泛地应用到企业办公环境中,企业信息安全风险日趋严峻,尤其是近几年针对应用层的攻击事件越来越多,传统的基于IP、端口的检测方式已经很难识别出黑客的攻击流量。因此,如何在确保企业业务正常运行的前提下实现对异常攻击流量的有效监控,成为企业实施流量监控时亟待解决的问题。本文对现有的基于应用层的网络流量识别与控制技术进行了研究和分析,针对现有的流量识别与控制系统中应用识别效率较低、应用特征描述和匹配算法不适应日趋复杂的网络应用等问题,设计一种基于深度包检测技术(Deep Packet Inspection, DPI)的流量识别与控制系统。与传统的基于端口和IP协议的识别方式不同,本系统增加对应用层内容的检测,并能够执行访问控制策略,对相关网络应用特定功能进行监测和控制,满足用户特定业务场景下的安全需求。本文主要工作归纳如下：1、设计了基于DPI的流量识别与控制系统的架构,阐述了网络数据预处理模块、流量识别模块、流量控制模块、数据库模块、特征库解析模块以及前台模块的功能。2、根据应用层内容的特点,从单个数据包、多个数据包等方面定位应用特征,设计了一种利用精确字符串与正则表达式来描述应用层内容特征的特征库结构,提高了应用识别和特征匹配效率。3、根据实际网络中协议流量的分布情况,针对现有的确定型有限状态自动机(Deterministic Finite Automata, DFA)分组匹配算法,本文提出了一种基于正则表达式的DFA分组匹配算法,精确协议分组规则,提高了匹配效率。4、论述了基于DPI的流量识别与控制系统的实现过程,对其功能进行了测试,并从吞吐量、支持的协议数量、健壮性三个方面分析系统的性能。