CN101184089A - 一种基于端口与内容混杂检测的协议识别方法 - Google Patents
一种基于端口与内容混杂检测的协议识别方法 Download PDFInfo
- Publication number
- CN101184089A CN101184089A CNA2007101602501A CN200710160250A CN101184089A CN 101184089 A CN101184089 A CN 101184089A CN A2007101602501 A CNA2007101602501 A CN A2007101602501A CN 200710160250 A CN200710160250 A CN 200710160250A CN 101184089 A CN101184089 A CN 101184089A
- Authority
- CN
- China
- Prior art keywords
- port
- rule
- content
- datagram
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000001514 detection method Methods 0.000 title claims abstract description 18
- 230000005540 biological transmission Effects 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 18
- 230000008878 coupling Effects 0.000 claims description 9
- 238000010168 coupling process Methods 0.000 claims description 9
- 238000005859 coupling reaction Methods 0.000 claims description 9
- 238000007493 shaping process Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 6
- 239000000203 mixture Substances 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 6
- 230000007246 mechanism Effects 0.000 abstract description 5
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000012937 correction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- UPLPHRJJTCUQAY-WIRWPRASSA-N 2,3-thioepoxy madol Chemical compound C([C@@H]1CC2)[C@@H]3S[C@@H]3C[C@]1(C)[C@@H]1[C@@H]2[C@@H]2CC[C@](C)(O)[C@@]2(C)CC1 UPLPHRJJTCUQAY-WIRWPRASSA-N 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种基于端口与内容混杂检测的协议识别方法,该方法在以端口为基准进行协议识别的基础上,引入了内容检查机制,能够对传输数据报中的内容进行分析和匹配,从而判断该数据报的协议类型。而且,本方法还加入了一个与端口绑定的内容匹配规则,该规则与端口识别联合工作,在端口判断完成之后马上进行绑定的内容匹配。这样不但能够提高协议识别能力,还能有效的提高识别速度。本方法在内容识别方面,分别采用头部匹配、尾部匹配和任意匹配三种特征匹配规则类型,这样能够适应各种数据报的应用情况。本发明提供一种能满足动态端口的识别要求、提高识别效果的一种基于端口与内容混杂检测的协议识别方法。
Description
技术领域
本发明属于协议识别方法领域,尤其涉及一种基于端口检测的协议识别方法。
背景技术
网络已成为人们工作、生活中不可或缺的部分,发挥着越来越重要的作用。网络迅猛发展,网络质量的要求也越来越高。速度快,稳定高效,信息安全,是理想的网络环境。在政府、军队和商业领域,更需要有一个安全、高效的网络,来保证各项关键业务的顺利进行。但是,我们在网络应用中经常碰到的是:病毒肆虐,导致网络瘫痪;黑客的恶意入侵,造成重要数据丢失;垃圾邮件满天飞,影响了正常数据的接收;未授权访问,导致敏感信息、技术资料和商业机密的泄漏。网管人员面对高速无形的信息传递,缺乏有效的掌控手段。
为了能够适应高速变化的网络流量控制,很多厂商和研究机构都推出了各自的流量分析软件,可以根据网络数据报来分析出其中所采用的协议类型。并在此基础上进行统计和分析,帮助网络管理人员把握网络运行特征,调整网络工作状态,优化网络传输效率,查找网络安全隐患。现有的协议识别方法都是基于端口的识别方法。端口识别法是根据TCP数据包或UDP数据包首部的源端口号或目的端口号识别一些常见业务的流量,如HTTP,SMTP,Telnet,HTTPS等。
TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型,是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为:应用层:应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。传输层:在此层中,它提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收。互连网络层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP)。网络接口层:对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、Serial Line等)来传送数据。
TCP和UDP服务通常有一个客户/服务器的关系,例如,一个Telnet服务进程开始在系统上处于空闲状态,等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息,服务进程读出信息并发出响应,客户程序读出响应并向用户报告。因而,这个连接是双工的,可以用来进行读写。TCP或UDP连接唯一地使用每个信息中的如下四项进行确认:发送包的IP地址、接收包的IP地址、源系统上的连接的端口、目的系统上的连接的端口。
端口是一个软件结构,被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口,例如,SMTP使用25、Xwindows使用6000。这些端口号是“广为人知”的,因为在建立与特定的主机或服务的连接时,需要这些地址和目的地址进行通讯。
现有的流量分析软件都采用了基于端口检测的协议识别方法,即以检测到的端口不同来判断该数据流属于哪种传输或应用协议。现在的网络中大量存在着小范围的局域网,因此NAT网关可能会导致各种应用协议的端口在传输过程中发生变化,从而影响协议识别的精度。而且,各种防火墙也会修改各种应用协议的端口,基于端口的协议识别方法同样不适合这种场合。随着Internet的发展,各种新兴的网络协议层出不穷,以P2P为代表的应用协议在设计的时候就没有固定的端口,而是采用动态端口的构架,这就使得基于端口的协议识别方法不能满足现有的识别要求。
发明内容
为了克服已有的基于端口检测协议识别方法的不能满足动态端口的识别要求、识别效果较差的不足,本发明提供一种能满足动态端口的识别要求、提高识别效果的一种基于端口与内容混杂检测的协议识别方法。
本发明解决其技术问题所采用的技术方案是:
一种基于端口与内容混杂检测的协议识别方法,所述的方法主要包括以下步骤:
(1)将端口表载入内存:将与各个协议对应的TCP协议端口和UDP协议端口载入进内存中,这样在以后的匹配过程中仅需要在内存中进行端口查找操作,能有效的提高查找速度;
(2)将内容匹配规则载入内存:将所有的内容匹配规则载入进内存中,并且把规则分为三类,分别是头部匹配规则、尾部匹配规则和任意匹配规则;在以后的匹配过程中,可以从内存中快速的检索各个匹配规则,而且还可以根据分类的不同查找所需的规则;
(3)捕获网卡数据报:从网卡驱动中不停的捕获原始的TCP协议和UDP协议数据报;
(4)提取数据报的源端口与目的端口:把从网卡中捕获到的原始数据报进行分解,将TCP协议或UDP协议头部的源端口与目的端口提取出来;
(5)从端口表中查找匹配端口:以提取到的源端口和目的端口为标准,在端口表中查找与之相同的端口项;如果存在相同的端口项,则进一步进行与端口绑定的内容识别,提高识别率。如果没有找到相同的端口项,则表示无法用端口来识别该协议,因此直接进行内容识别,至(7);
(6)进行与端口绑定的内容识别:
(6.1)检索每个与端口对应的内容匹配规则:在内存中遍历每个与端口绑定的内容匹配规则;这些内容匹配规则都采用简单的匹配方法,因为这个识别过程是作为端口识别成功后的一个补充,对端口识别结果进行纠错或进一步确认,因此不需要进行完整的内容识别,而是对数据报负载中的特征数据进行比对,如果比对成功则表示该规则成功匹配;
(6.2)在数据报中匹配该规则:把数据报中的负载数据提取出来,将与该端口绑定的内容识别规则进行匹配,如果匹配成功,则识别该协议成功,回复至(3);
(7)检索数据报头部匹配规则:将数据报负载的头部数据提取出来,与规则库中头部匹配规则一一比对,如果匹配成功,则协议识别成功,回复至(3);
(8)检索数据报尾部匹配规则:将数据报负载的尾部数据提取出来,与规则库中尾部匹配规则一一比对,如果匹配成功,则协议识别成功,回复至(3);
(9)检索数据报任意匹配规则:将规则库中的任意匹配规则在数据报负载的任意位置进行比对,如果存在匹配成功的规则,则协议识别成功,回复至(3);
(10)识别失败:如果无论是端口识别过程、内容识别过程,还是端口与内容混杂识别过程都不能识别该协议,则表示该协议目前还不能进行自动识别,需要进行人工分析,添加相应的识别规则。在相关日志中记录该数据报,回复至(3)。
作为优选的一种方案:在所述的(4)中,源端口与目的端口的数据存储是网络存储格式的十六位无符号整形,将其前后两个字节交换位置来转换成本地格式的十六位无符号整形。
本发明的技术构思为:在现有的以端口为基准进行协议识别的基础上,引入了内容检查机制,能够对传输数据报中的内容进行分析和匹配,从而判断该数据报的协议类型。现有的基于端口检测的协议识别方法在协议识别过程中,以检测到的端口不同来判断该数据流是属于哪种传输或应用协议的。但是,现在的网络中大量存在着小范围的局域网,因此存在于这些局域网中的各个NAT网关都很可能会导致各种应用协议的端口在传输过程中发生变化,直接影响协议识别的正确性。而且,大量部署的各类防火墙也会修改各种应用协议的端口,基于端口的协议识别方法同样不适合这种场合。随着Internet的发展,各种新兴的网络协议层出不穷,以P2P为代表的应用协议在设计的时候就没有固定的端口,而是采用动态端口的构架,这就使得基于端口的协议识别方法不能满足现有的识别要求。
本发明提出了一种基于端口与内容混杂检测的协议识别方法。该方法在以端口为基准进行协议识别的基础上,引入了内容检查机制,能够对传输数据报中的内容进行分析和匹配,从而判断该数据报的协议类型。而且,本方法还加入了一个与端口绑定的内容匹配规则,该规则与端口识别联合工作,在端口判断完成之后马上进行绑定的内容匹配。这样不但能够提高协议识别能力,还能有效的提高识别速度。本方法在内容识别方面,分别采用头部匹配、尾部匹配和任意匹配三种特征匹配规则类型,这样能够适应各种数据报的应用情况。使用本方法提出的基于端口与内容混杂检测的协议识别方法,不但能够极大的提高协议识别的正确性和有效性,还能够适应各种采用动态端口机制的新兴的应用协议,而且还能使协议识别适应各种由于网关和防火墙导致的端口变更情况。
本发明的有益效果主要表现在:1、端口与内容进行绑定识别,在基本不影响识别速度的情况下提高协议识别效果;2、采用全方位的内容识别规则,能够对数据报负载进行完备的分析。
附图说明
图1是一种基于端口与内容混杂检测的协议识别方法的流程图。
图2是基于端口与内容混杂检测的协议识别软件的结构图。
具体实施方式
下面结合附图对本发明作进一步描述。
一种基于端口与内容混杂检测的协议识别方法,所述的方法主要包括以下步骤:
(1)将端口表载入内存:将与各个协议对应的TCP协议端口和UDP协议端口载入进内存中,这样在以后的匹配过程中仅需要在内存中进行端口查找操作,能有效的提高查找速度;
(2)将内容匹配规则载入内存:将所有的内容匹配规则载入进内存中,并且把规则分为三类,分别是头部匹配规则、尾部匹配规则和任意匹配规则;在以后的匹配过程中,可以从内存中快速的检索各个匹配规则,而且还可以根据分类的不同查找所需的规则;
(3)捕获网卡数据报:从网卡驱动中不停的捕获原始的TCP协议和UDP协议数据报;
(4)提取数据报的源端口与目的端口:把从网卡中捕获到的原始数据报进行分解,将TCP协议或UDP协议头部的源端口与目的端口提取出来;源端口与目的端口的数据存储是网络存储格式的十六位无符号整形,将其前后两个字节交换位置来转换成本地格式的十六位无符号整形;
(5)从端口表中查找匹配端口:以提取到的源端口和目的端口为标准,在端口表中查找与之相同的端口项;如果存在相同的端口项,则进一步进行与端口绑定的内容识别,提高识别率。如果没有找到相同的端口项,则表示无法用端口来识别该协议,因此直接进行内容识别,至(7);
(6)进行与端口绑定的内容识别:
(6.1)检索每个与端口对应的内容匹配规则:在内存中遍历每个与端口绑定的内容匹配规则;这些内容匹配规则都采用简单的匹配方法,因为这个识别过程是作为端口识别成功后的一个补充,对端口识别结果进行纠错或进一步确认,因此不需要进行完整的内容识别,而是对数据报负载中的特征数据进行比对,如果比对成功则表示该规则成功匹配;
(6.2)在数据报中匹配该规则:把数据报中的负载数据提取出来,将与该端口绑定的内容识别规则进行匹配,如果匹配成功,则识别该协议成功,回复至(3);
(7)检索数据报头部匹配规则:将数据报负载的头部数据提取出来,与规则库中头部匹配规则一一比对,如果匹配成功,则协议识别成功,回复至(3);
(8)检索数据报尾部匹配规则:将数据报负载的尾部数据提取出来,与规则库中尾部匹配规则一一比对,如果匹配成功,则协议识别成功,回复至(3);
(9)检索数据报任意匹配规则:将规则库中的任意匹配规则在数据报负载的任意位置进行比对,如果存在匹配成功的规则,则协议识别成功,回复至(3);
(10)识别失败:如果无论是端口识别过程、内容识别过程,还是端口与内容混杂识别过程都不能识别该协议,则表示该协议目前还不能进行自动识别,需要进行人工分析,添加相应的识别规则。在相关日志中记录该数据报,回复至(3)。
参照图1,本实施例的一种基于端口与内容混杂检测的协议识别方法,包括以下步骤:
第一步:将与各个协议对应的TCP协议端口和UDP协议端口载入进内存中。
第二步:将所有的内容匹配规则载入进内存中,并且把规则分为三类,分别是头部匹配规则、尾部匹配规则和任意匹配规则。
第三步:从网卡驱动中不停的捕获原始的TCP协议和UDP协议数据报。
第四步:把从网卡中捕获到的原始数据报进行分解,将TCP协议或UDP协议头部的源端口与目的端口提取出来。这两个端口的数据存储是网络存储格式的十六位无符号整形,需要将其前后两个字节交换位置来转换成本地格式的十六位无符号整形。
第五步:以提取到的源端口和目的端口为标准,在端口表中查找与之相同的端口项。
第六步:如果存在相同的端口项,则进一步进行与端口绑定的内容识别。如果没有找到相同的端口项,则表示无法用端口来识别该协议,直接进行内容识别,跳转至第十步。
第七步:在内存中遍历每个与端口绑定的内容匹配规则,是对数据报负载中的特征数据进行比对。
第八步:把数据报中的负载数据提取出来,将与该端口绑定的内容识别规则进行匹配。
第九步:如果与该端口绑定的内容识别规则匹配成功,则识别该协议成功,跳转至第十七步。
第十步:将数据报负载的头部数据提取出来,与规则库中头部匹配规则一一比对。
第十一步:如果匹配成功,则协议识别成功,跳转至第十七步。
第十二步:将数据报负载的尾部数据提取出来,与规则库中尾部匹配规则一一比对。
第十三步:如果匹配成功,则协议识别成功,跳转至第十七步。
第十四步:将规则库中的任意匹配规则在数据报负载的任意位置进行比对。
第十五步:如果存在匹配成功的规则,则协议识别成功,跳转至第十七步。
第十六步:该协议目前还不能进行自动识别,需要进行人工分析,添加相应的识别规则。在相关日志中记录该数据报,并跳转至第三步。
第十七步:协议识别成功,循环至第三步,进行下一个数据报的协议识别。
参照图2,应用本方法实现的基于端口与内容混杂检测的协议识别软件,主要包括:网络监听模块和数据报识别模块。
所述的网络监听模块包括:
(1)网络数据帧捕获模块:用于从网络适配器硬件直接抓取原始网络数据帧,给分析软件提供原始数据。
(2)TCP协议头提取模块:分析提取到的原始数据,从中提取TCP协议头,并获得所需的流信息。
(3)UDP协议头提取模块:分析提取到的原始数据,从中提取UDP协议头,并获得所需的流信息。
所述的数据报识别模块包括:
(1)规则库维护模块:存储、载入和编辑内容识别规则库,规则分类包括头部匹配规则、尾部匹配规则和任意匹配规则。
(2)端口识别模块:将从TCP协议头和UDP协议头中提取的端口信息在端口维护表中进行搜索,查找对应的端口。
(3)内容识别模块:以规则表中的内容匹配规则为基础,在数据报负载数据中匹配每个规则,查找匹配成功的规则。
(4)与端口绑定的内容识别模块:在端口识别模块识别之后,用与端口绑定的内容识别规则进行二次识别,验证端口识别效果。
(5)端口表维护模块:存储、载入和编辑端口表。
Claims (2)
1.一种基于端口与内容混杂检测的协议识别方法,其特征在于:所述的方法主要包括以下步骤:
(1)、将端口表载入内存:将与各个协议对应的TCP协议端口和UDP协议端口载入进内存中;
(2)、将内容匹配规则载入内存:将所有的内容匹配规则载入进内存中,并且把规则分为三类,分别是头部匹配规则、尾部匹配规则和任意匹配规则;
(3)、捕获网卡数据报:从网卡驱动中不停的捕获原始的TCP协议和UDP协议数据报;
(4)、提取数据报的源端口与目的端口:把从网卡中捕获到的原始数据报进行分解,将TCP协议或UDP协议头部的源端口与目的端口提取出来;
(5)从端口表中查找匹配端口:以提取到的源端口和目的端口为标准,在端口表中查找与之相同的端口项;如果存在相同的端口项,则进一步进行与端口绑定的内容识别;如果没有找到相同的端口项,则进行内容识别,至(7);
(6)、进行与端口绑定的内容识别:
(6.1)、检索每个与端口对应的内容匹配规则:在内存中遍历每个与端口绑定的内容匹配规则;对数据报负载中的特征数据进行比对,如果比对成功则表示该规则成功匹配;
(6.2)、在数据报中匹配该规则:把数据报中的负载数据提取出来,将与该端口绑定的内容识别规则进行匹配,如果匹配成功,则识别该协议成功,回复至(3)。
(7)、检索数据报头部匹配规则:将数据报负载的头部数据提取出来,与规则库中头部匹配规则一一比对,如果匹配成功,则协议识别成功,回复至(3);
(8)、检索数据报尾部匹配规则:将数据报负载的尾部数据提取出来,与规则库中尾部匹配规则一一比对,如果匹配成功,则协议识别成功,回复至(3);
(9)、检索数据报任意匹配规则:将规则库中的任意匹配规则在数据报负载的任意位置进行比对,如果存在匹配成功的规则,则协议识别成功,回复至(3);
(10)识别失败:如果无论是端口识别过程、内容识别过程,还是端口与内容混杂识别过程都不能识别该协议,则判定该协议目前还不能进行自动识别,需要进行人工分析,添加相应的识别规则;在相关日志中记录该数据报,回复至(3)。
2.如权利要求1所述的一种基于端口与内容混杂检测的协议识别方法,其特征在于:在所述的(4)中,源端口与目的端口的数据存储是网络存储格式的十六位无符号整形,将其前后两个字节交换位置来转换成本地格式的十六位无符号整形。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101602501A CN101184089A (zh) | 2007-12-14 | 2007-12-14 | 一种基于端口与内容混杂检测的协议识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101602501A CN101184089A (zh) | 2007-12-14 | 2007-12-14 | 一种基于端口与内容混杂检测的协议识别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101184089A true CN101184089A (zh) | 2008-05-21 |
Family
ID=39449171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101602501A Pending CN101184089A (zh) | 2007-12-14 | 2007-12-14 | 一种基于端口与内容混杂检测的协议识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101184089A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
| WO2011143817A1 (zh) * | 2010-05-19 | 2011-11-24 | 阿尔卡特朗讯 | 应用协议识别方法及装置 |
| CN101494663B (zh) * | 2009-01-23 | 2012-05-23 | 北京网御星云信息技术有限公司 | 基于对等网络的主动识别方法及设备 |
| CN102497296A (zh) * | 2011-12-13 | 2012-06-13 | 曙光信息产业(北京)有限公司 | 一种网卡收发包正常性测试方法 |
| US8782068B2 (en) | 2009-12-10 | 2014-07-15 | Huawei Technologies Co., Ltd. | Method, apparatus and system for protocol identification |
| CN106878102A (zh) * | 2016-12-23 | 2017-06-20 | 中国科学院信息工程研究所 | 一种基于网络流量多字段识别的人流量检测方法及系统 |
| CN109035914A (zh) * | 2018-08-20 | 2018-12-18 | 广东小天才科技有限公司 | 一种基于智能台灯的学习方法及智能台灯 |
| CN113242250A (zh) * | 2021-05-19 | 2021-08-10 | 苏州瑞立思科技有限公司 | 一种多路复用协议及传输方法 |
-
2007
- 2007-12-14 CN CNA2007101602501A patent/CN101184089A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101494663B (zh) * | 2009-01-23 | 2012-05-23 | 北京网御星云信息技术有限公司 | 基于对等网络的主动识别方法及设备 |
| CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
| US8782068B2 (en) | 2009-12-10 | 2014-07-15 | Huawei Technologies Co., Ltd. | Method, apparatus and system for protocol identification |
| CN102835090B (zh) * | 2010-05-19 | 2015-12-09 | 阿尔卡特朗讯 | 应用协议识别方法及装置 |
| WO2011143817A1 (zh) * | 2010-05-19 | 2011-11-24 | 阿尔卡特朗讯 | 应用协议识别方法及装置 |
| CN102835090A (zh) * | 2010-05-19 | 2012-12-19 | 阿尔卡特朗讯 | 应用协议识别方法及装置 |
| JP2013526804A (ja) * | 2010-05-19 | 2013-06-24 | アルカテル−ルーセント | アプリケーションプロトコルを識別するための方法および装置 |
| US9031959B2 (en) | 2010-05-19 | 2015-05-12 | Alcatel Lucent | Method and apparatus for identifying application protocol |
| CN102497296A (zh) * | 2011-12-13 | 2012-06-13 | 曙光信息产业(北京)有限公司 | 一种网卡收发包正常性测试方法 |
| CN106878102A (zh) * | 2016-12-23 | 2017-06-20 | 中国科学院信息工程研究所 | 一种基于网络流量多字段识别的人流量检测方法及系统 |
| CN106878102B (zh) * | 2016-12-23 | 2020-05-22 | 中国科学院信息工程研究所 | 一种基于网络流量多字段识别的人流量检测方法及系统 |
| CN109035914A (zh) * | 2018-08-20 | 2018-12-18 | 广东小天才科技有限公司 | 一种基于智能台灯的学习方法及智能台灯 |
| CN109035914B (zh) * | 2018-08-20 | 2020-12-25 | 广东小天才科技有限公司 | 一种基于智能台灯的学习方法及智能台灯 |
| CN113242250A (zh) * | 2021-05-19 | 2021-08-10 | 苏州瑞立思科技有限公司 | 一种多路复用协议及传输方法 |
| CN113242250B (zh) * | 2021-05-19 | 2023-10-24 | 苏州瑞立思科技有限公司 | 一种多路复用协议及传输方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101184089A (zh) | 一种基于端口与内容混杂检测的协议识别方法 | |
| US7555774B2 (en) | Inline intrusion detection using a single physical port | |
| CN100370788C (zh) | 在网络环境仿真中采用虚拟网卡实现数据通信的方法 | |
| CN101193064A (zh) | 用于计算机联网的系统和方法 | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| CN102148854B (zh) | 对等节点共享流量识别方法和装置 | |
| CN101707617A (zh) | 报文过滤方法、装置及网络设备 | |
| CN103166866A (zh) | 生成表项的方法、接收报文的方法及相应装置和系统 | |
| CN101325554B (zh) | 一种路由创建方法、转发芯片及三层交换机 | |
| CN101599897B (zh) | 一种基于应用层检测的对等网络流量控制方法 | |
| US10802937B2 (en) | High order layer intrusion detection using neural networks | |
| CN110336896A (zh) | 一种局域网设备类型识别方法 | |
| CN109756475B (zh) | 一种单向网络中数据传输方法及装置 | |
| CN107666486A (zh) | 一种基于报文协议特征的网络数据流恢复方法及系统 | |
| CN101360090B (zh) | 应用层协议识别方法 | |
| CN104660730B (zh) | 服务端与远端单元的通讯方法及其系统 | |
| CN101635720A (zh) | 一种未知流量过滤方法和一种带宽管理设备 | |
| US7991008B2 (en) | Method for identifying the transmission control protocol stack of a connection | |
| CN101753456B (zh) | 一种对等网络流量检测方法及其系统 | |
| US20040148417A1 (en) | Method and system for distinguishing higher layer protocols of the internet traffic | |
| CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
| CN101969478A (zh) | 一种智能dns报文处理方法及处理装置 | |
| CN103036789A (zh) | 报文发送方法、装置和网络出口设备 | |
| CN106789878A (zh) | 一种面向大流量环境的文件还原系统以及方法 | |
| CN114338244B (zh) | 设备网络行为分类记录方法、装置及回溯举证方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080521 |