CN101026502B - 宽带网络综合性能管理平台 - Google Patents
宽带网络综合性能管理平台 Download PDFInfo
- Publication number
- CN101026502B CN101026502B CN2007100652518A CN200710065251A CN101026502B CN 101026502 B CN101026502 B CN 101026502B CN 2007100652518 A CN2007100652518 A CN 2007100652518A CN 200710065251 A CN200710065251 A CN 200710065251A CN 101026502 B CN101026502 B CN 101026502B
- Authority
- CN
- China
- Prior art keywords
- service
- data
- type
- business
- internet data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种宽带网络综合性能管理平台,是将互联网数据业务进行分类,提取每一类数据业务的特征样本空间并制定每一种特征样本空间的权重比例,这些数据形成业务特征数据库,并建立所述业务特征数据库的业务识别数学模型;进行业务识别时,将未知类型的互联网数据业务通过数学模型与业务特征数据库中的数据业务类别进行比对,得到未知类型的互联网数据业务所属的类别。本发明基于数学建模理论,解决了当前网络应用业务飞速发展更新频繁情况下识别新业务难的问题,数学模型参数简单,实施方便,不需要庞大的业务识别特征库,降低了对信息安全产品硬件处理能力的要求。
Description
技术领域
本发明涉及计算机互联网的信息安全技术领域,尤其涉及一种基于数学建模理论的应用于宽带网络流量管理设备的宽带网络综合性能管理平台。
背景技术
随着互联网和计算机的飞速发展,越来越多的互联网数据业务为人们的工作、生活和娱乐带来了便利。由于网络本身具有传播光广、更新快的特点,这就给与互联网相关的产品提出了很高更新要求。目前在防火墙、入侵检测、宽带流量管理等产品中,都要求能够对通信网络中运行的应用业务进行准确识别,从而能够对这些业务进行合理化的管理控制。业务识别作为管理控制的基础和前提,已经成为此类互联网产品的生命线,是信息安全中最基础、最关键、最核心的技术之一,具有特别重要的意义。
目前使用最广泛的业务识别方法可以分成如下几类:
1、基于TCP/IP协议的识别——利用IP协议栈中的协议字段,识别简单的网络协议,比如ICMP、ARP、IP等;
2、基于端口的协议识别——在TCP和UDP协议中,采用了端口作为某种协议的标识符,比如SMTP、POP3协议等;
3、基于特征码信息的协议识别——在报文净荷中某些协议使用了特征码,作为该应用业务的标识符,比如BitTorrent使用了“PSProtocol”作为标识符。
目前以上三种识别方法在网络安全产品中得到了普遍综合使用,成为当前使用最广泛的业务识别技术。但是这三种技术都存在一个致命缺陷,就是它们都只能识别已知的网络应用业务,无法识别未知的新业务。而在互联网技术飞速发展的今天,几乎每时每刻都会有新的业务被创造出来,特别是当前方兴未艾的“点对点传输”(即P2P技术)的出现,促使大量基于P2P技术的应用业务的诞生。同时,基于HTTP业务的承载应用也越来越多,几乎所有的Web Service业务、XML技术、中间件都使用了HTTP作为其承载协议。而网络攻击行为更是花样百出,黑客横行网络世界,对正常的通信业务造成了巨大的威胁。
以上三种盛行的网络行为——P2P技术、WEB应用、网络攻击,都有一个共同的特征,就是新应用业务出现的频率极高,更新很快。这种情况下,如果单纯依靠传统的业务识别办法,一方面安全设备厂商需要投入难以估计的人力物力,对新出现的业务进行跟踪分析,时刻更新,即便如此也无法跟上新业务出现的速度;另一方面,将会造成网络安全设备的业务特征库极度膨胀,性能劣化,最终不堪重负,无法处理海量的网络信息。
因此,必须寻求一种新的技术,用于解决繁多的新业务的识别问题。本发明就是为了满足这样一种需求,即采用一套统一的技术手段,根据不同的业务大类,创建不同的数学模型,采用模型匹配的办法,来解决新业务识别问题。
发明内容
为了解决现有技术存在的问题,本发明提供了一种基于数学建模理论的应用于宽带网络流量管理设备的宽带网络综合性能管理平台,可轻松实现新应用业务的识别。
本发明所述的宽带网络综合性能管理平台,是将互联网数据业务进行分类,具有相同业务特征的互联网数据业务划分为一类,提取每一类数据业务的特征样本空间并制定每一种特征样本空间的权重比例,这些数据形成业务特征数据库,并建立所述业务特征数据库的业务识别数学模型;进行业务识别时,将未知类型的互联网数据业务通过所述数学模型与所述业务特征数据库中的数据业务类别进行比对,得到所述未知类型的互联网数据业务所属的类别。
所述数据模型为:
其中pi为某一种数据业务的特征样本空间,wi为所述特征样本空间的权重比例,P为属于所述数据业务的概率,N是自然数。
将未知类型的互联网数据业务分别通过所述数学模型与所述业务特征数据库中的不同数据业务类别进行比对,得到不同的概率P,其中概率最大的就是所述未知类型的互联网数据业务所述的类别。
所述特征样本空间包括并发连接数、业务响应时间、通信连接成功失败状态以及用户交互情况。
与现有技术相比,本发明的有益效果是:本发明基于数学建模理论,解决了当前网络应用业务飞速发展更新频繁情况下识别新业务难的问题,无需添加额外的硬件,也无需升级设备软件就可以实现新业务的识别;其数学模型参数简单,实施方便,不需要庞大的业务识别特征库,降低了对信息安全产品硬件处理能力的要求,节约了大量不必要的硬件和软件方便开支。
附图说明
图1是目前信息安全产品对新业务进行识别的通用处理模型;
图2是目前业务识别采用的处理流程;
图3是宽带网络综合性能管理平台进行业务识别时的处理流程。
具体实施方式
现结合附图及实施例对本发明作进一步详细说明。信息安全产品首先必须识别出网络报文的业务类型,才能对报文采取相应的控制措施。因此,高效、准确的业务识别就成了整个安全控制体系的关键。而业务识别耗费的CPU、内存等硬件处理资源,一般情况会占据至少50%以上。因此提高设备的处理能力,简化算法的复杂度,关键就在于业务识别引擎的优化上。
图1是目前信息安全产品对新业务进行识别的通用处理模型。参考图1,在传统信息安全产品中,每出现一种新的业务,需要对这种业务加以判断,进行协议分析,制定对应的业务特征库。通常首先将未知类型业务的报文数据放入入端口报文缓冲队列101,然后进行报文业务类型识别102。对于此未知类型业务进行特征数据采集,与系统数据库中的数据进行比对,如果没有发现匹配的类型,则判定该未知类型的业务为新业务,将采集的业务特征数据保存在业务类型特征数据库103中,并制定相应的网络安全管理策略,然后才可以将此业务的报文放入出端口报文缓冲队列。显然,这种方法灵活性很差,针对每一种业务都需要进行如上的步骤,哪怕未知类型的业务只是对目前已知的一种业务的简单更新(比如:BitTorrent业务的特征码由“PSProtocol”变成了“BitTorrentProtocol”),这种传统的识别方法也不能够识别出来,还需要为这种简单的变化重新建立数据档案,增加其数据信息,更新原有的数据库。
图2目前业务识别采用的处理流程。参考图2,在这种传统的识别模式下,每当有报文进入安全设备之后,就需要逐一与业务特征数据库中的数据进行匹配比对。其中,1、2、3......N-1、N表示系统中的特征数据库。如果业务特征数据库中已经有N种业务的数据,按照数据结构查找算法,其比较查找次数平均为N/2次。而当前互联网业务的数量,已经发展到了数万种之多,假定N=50000,那么对于未知的数据业务需要进行25000次的查找,这个工作量无疑是非常大的,这对系统硬件和软件的处理能力、负荷能力提出了非常高的要求。
图3是宽带网络综合性能管理平台进行业务识别时的处理流程。参考图3,采用本发明的方法,会首将互联网数据业务进行分类,具有相同业务特征的互联网数据业务划分为一类。根据工程实施中的经验,目前网络业务按照大类来分一般不超过15种,包括P2P类业务、WEB业务、病毒、攻击、木马类、办公应用类等。提取每一类数据业务的特征样本空间并制定每一种特征样本空间的权重比例,这些数据形成业务特征数据库,并建立所述业务特征数据库的业务识别数学模型。这样一共建立M1~Mm共m种数学模型即可。进行业务识别时,将未知类型的互联网数据业务通过所述数学模型M1~Mm与所述业务特征数据库中的数据业务类别进行比对,得到所述未知类型的互联网数据业务所属的类别。
具体的说,对于一种互联网业务类型,提取其特征样本空间p,比如并发连接数、业务响应时间、通信连接成功失败状态、用户交互情况等。然后制定每一种样本空间的权重比例w。根据如下业务识别数学模型:
计算本次通信属于哪一种业务类型的概率P。
比较属于各种业务类型概率Pi,根据如下公式计算出概率最大者P:
P=MAX(Pi)
则P所对应的业务类型就是此次通信报文所属的业务类型。
下面就以P2P业务为例,阐述本发明所述的基于数学建模进行业务识别的方法:
设P2P业务的样本空间如下:
并发连接数为p1,占权重为w1;
连接成功率为p2,占权重为w2;
单位时间内新建连接数为p3,占权重为w3;
连接主机数目为p4,占权重为w4;
连接数据量为p5,占权重为w5。
则P2P业务识别模型构建为:
当一种新的P2P业务出现时,报文与上述P2P模型进行匹配之后,就能够直接识别出其业务类型为P2P,继而宽带流量管理设备,或者防火墙,就能够启用P2P的控制策略(如带宽限制),对该新的业务进行管理控制。
以上所述实施方式仅为本发明的优选实施例,本发明不限于上述实施例,对于本领域一般技术人员而言,在不背离本发明的使用材料、工艺选择和安装原理的前提下对它所做的任何显而易见的改动,都属于本发明的构思和所附权利要求的保护范围。
Claims (2)
1.一种识别未知类型的互联网数据业务的方法,其特征在于:该方法使用业务特征数据库和根据业务特征数据库建立的业务识别数学模型,所述业务特征数据库是将互联网数据业务进行分类;
将具有相同业务特征的互联网数据业务划分为一类,提取获取的每一类数据业务的特征样本空间并制定每一种特征样本空间的权重比例,这些数据形成业务特征数据库;
进行业务识别时,将未知类型的互联网数据业务通过所述业务识别数学模型与所述业务特征数据库中的不同数据业务类别进行比对,得到不同的概率P,概率最大的就是所述未知类型的互联网数据业务所属的类别;其中,所述业务识别数学模型为:
pi为某一种数据业务的特征样本空间,wi为所述特征样本空间的权重比例,P为属于所述数据业务的概率,N是自然数。
2.根据权利要求1所述的一种识别未知类型的互联网数据业务的方法,其特征在于,所述特征样本空间包括并发连接数、业务响应时间、通信连接成功失败状态以及用户交互情况。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100652518A CN101026502B (zh) | 2007-04-09 | 2007-04-09 | 宽带网络综合性能管理平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100652518A CN101026502B (zh) | 2007-04-09 | 2007-04-09 | 宽带网络综合性能管理平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101026502A CN101026502A (zh) | 2007-08-29 |
| CN101026502B true CN101026502B (zh) | 2012-05-30 |
Family
ID=38744440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100652518A Expired - Fee Related CN101026502B (zh) | 2007-04-09 | 2007-04-09 | 宽带网络综合性能管理平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101026502B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399708B (zh) * | 2007-09-28 | 2012-04-04 | 华为技术有限公司 | 一种建立网络性能模型的方法和设备 |
| CN101425936B (zh) * | 2007-10-30 | 2011-08-31 | 北京启明星辰信息技术股份有限公司 | 基于异常度量的宏观网络安全状态评估方法 |
| CN107360247B (zh) * | 2014-01-20 | 2019-02-26 | 华为技术有限公司 | 处理业务的方法和网络设备 |
| CN107872522A (zh) * | 2017-11-03 | 2018-04-03 | 国网浙江省电力公司电力科学研究院 | 一种基于特征库的多业务识别方法 |
| CN109951347B (zh) * | 2017-12-21 | 2021-11-19 | 华为技术有限公司 | 业务识别方法、装置及网络设备 |
| CN111224890A (zh) * | 2019-11-08 | 2020-06-02 | 北京浪潮数据技术有限公司 | 一种云平台的流量分类方法、系统及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744573A (zh) * | 2005-08-30 | 2006-03-08 | 杭州华为三康技术有限公司 | 业务流的识别方法 |
| CN1852297A (zh) * | 2005-11-11 | 2006-10-25 | 华为技术有限公司 | 网络数据流识别系统及方法 |
| CN1885856A (zh) * | 2005-06-20 | 2006-12-27 | 华为技术有限公司 | 在网络中识别rtp媒体流的实现方法 |
-
2007
- 2007-04-09 CN CN2007100652518A patent/CN101026502B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885856A (zh) * | 2005-06-20 | 2006-12-27 | 华为技术有限公司 | 在网络中识别rtp媒体流的实现方法 |
| CN1744573A (zh) * | 2005-08-30 | 2006-03-08 | 杭州华为三康技术有限公司 | 业务流的识别方法 |
| CN1852297A (zh) * | 2005-11-11 | 2006-10-25 | 华为技术有限公司 | 网络数据流识别系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101026502A (zh) | 2007-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101026502B (zh) | 宽带网络综合性能管理平台 | |
| CN109547409B (zh) | 一种用于对工业网络传输协议进行解析的方法及系统 | |
| CN105022960B (zh) | 基于网络流量的多特征移动终端恶意软件检测方法及系统 | |
| Lerche et al. | Industry adoption of the Internet of Things: A constrained application protocol survey | |
| CN111818052A (zh) | 基于cnn-lstm的工控协议同源攻击检测方法 | |
| CN100553206C (zh) | 基于报文采样和应用签名的互联网应用流量识别方法 | |
| CN102045220A (zh) | 木马监控审计方法及系统 | |
| Huang et al. | Reliability evaluation of wireless sensor networks using logistic regression | |
| CN101452469A (zh) | 基于攻击模式的软件安全缺陷库系统及其管理方法 | |
| CN112333211B (zh) | 一种基于机器学习的工控行为检测方法和系统 | |
| CN101360090B (zh) | 应用层协议识别方法 | |
| Xiao et al. | Novel dynamic multiple classification system for network traffic | |
| CN116055448A (zh) | 一种电力作业的标识数据管理平台 | |
| Kim et al. | Field classification-based novel fuzzing case generation for ICS protocols | |
| Xie et al. | Traffic analysis for 5G network slice based on machine learning | |
| CN109657892A (zh) | 基于数据分析的机器行为识别方法、装置、设备和介质 | |
| CN115952455A (zh) | 样本数据生成方法、模型训练方法及设备指纹分类方法 | |
| CN108055166A (zh) | 一种嵌套的应用层协议的状态机提取系统及其提取方法 | |
| Rajesh et al. | Evaluation of machine learning algorithms for detection of malicious traffic in scada network | |
| CN100493001C (zh) | G比特流率下多粒度的网络自动聚类方法 | |
| Yu | Research on cloud computing in the key technologies of railway intelligent operation and maintenance sharing platform | |
| CN113365291A (zh) | 基于物联网管理平台的数据处理系统、方法及装置 | |
| Abd-Elmagid et al. | Distribution of AoI in EH-powered multi-source systems with source-aware packet management | |
| CN109922087A (zh) | 工控协议的解析方法、装置、系统及计算机存储介质 | |
| CN102196440A (zh) | 网络审计和入侵检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120530 Termination date: 20200409 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |