CN101505276A - 网络应用流量识别方法和装置及网络应用流量管理设备 - Google Patents
网络应用流量识别方法和装置及网络应用流量管理设备 Download PDFInfo
- Publication number
- CN101505276A CN101505276A CNA2009101196047A CN200910119604A CN101505276A CN 101505276 A CN101505276 A CN 101505276A CN A2009101196047 A CNA2009101196047 A CN A2009101196047A CN 200910119604 A CN200910119604 A CN 200910119604A CN 101505276 A CN101505276 A CN 101505276A
- Authority
- CN
- China
- Prior art keywords
- network application
- characteristic sequence
- sequence template
- bluedrama
- recognition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络应用流量识别方法、网络应用流量识别装置以及一种网络应用流量管理设备。该方法包括:关联已知网络应用的特征序列模板和相应的特定明文特征;以网络会话的源IP为键值,将DPI识别出的特定明文特征关联的特征序列模板记录到第一列表中;以及,对于现有识别技术无法识别的网络会话,记录当前报文的特征信息并在达到预设阈值时,与相应键值下全部特征序列模板进行适配,获得网络应用流量识别结果。通过本发明,能够对DPI识别法无法识别的网络应用流量加以识别,同时提高了识别效率,降低了识别开销,以及降低了识别误报率。
Description
技术领域
本发明涉及通信网络技术领域,尤其涉及一种网络应用流量识别方法和一种网络应用流量识别装置,还涉及一种网络应用流量管理设备。
背景技术
网络应用流量识别是许多核心网络业务的关键共性技术,其将不同应用类型或者应用协议的流量区分出来,以便分别进行处理。
现有的网络应用流量识别技术主要有以下几种:
(1)基于IP/端口的识别技术:根据TCP数据包或UDP数据包包头的源IP地址、目的IP地址或者源端口号、目的端口号识别网络应用流量;
该基于IP/端口的识别术技能够有效识别具有固定通信网络端口号的网络流量,比如早期的Fasttrack使用1214端口进行通信;
但是,该方法对于源IP地址、源端口号、目的IP地址、目的端口号没有特征的网络应用流量,则无法进行识别;比如,采用可变端口或者能够进行端口伪装的网络应用流量;
(2)DPI(Deep Packet Inspection,深层分组检查)识别技术:通过数据包深层扫描,在TCP数据包或UDP数据包负载中查找特定明文特征来识别网络应用流量,该特定明文特征使某一个协议区别于其它协议;
该DPI识别技术对于具有明文特征的网络应用流量,其识别准确度可达95%甚至更高,同时能够很好的识别采用可变端口或者进行端口伪装的网络应用流量;
但是,本方法对于无法从TCP或UDP负载中提取明文特征的网络应用流量无效;比如,由于无法从加密流中提取明文特征,因此本方法无法对加密的网络应用流量进行识别;
(3)基于流统计特征的识别技术:比如,如果用户保持的TCP或UDP连接在一段时间内,其目的端口在1024以上连接数与目的端口在1024以下连接数的比值大于预设阈值,则认为用户正在使用P2P(Peer-to-Peer)软件;再比如,如果用户主机的TCP连接数和UDP流数大于某个设定阈值,也可认为用户正在使用P2P软件;
该基于流统计特征的识别技术主要是针对无法提取明文特征的网络应用流量提出的,但效果不佳,存在较大的误报风险;比如说,本方法很难对P2P流量、游戏流和数据库流加以区分。
可以看出,对于采用可变端口并同时加密的网络应用流量,现有的网络应用流量识别技术无法实现有效的识别;而随着应用软件和协议的不断发展,网络上出现了越来越多的使用基于IP/端口的识别技术和DPI识别技术所无法识别的网络应用流量。其中,加密P2P流量产生的影响最大:其“带宽吞噬”特性造成了网络带宽的巨大消耗,甚至会引起网络拥塞,大大降低网络性能,劣化了网络服务质量,妨碍了正常的网络业务开展和关键应用,严重影响了用户正常的Web、E-mail等应用;同时,由于加密P2P流量无法被有效识别,因此能够轻易穿透现有防火墙和安全代理,使得病毒和恶意代码得以躲过安全审查入侵内部网络,造成极大的安全隐患。
为了克服上述现有技术的缺陷,网络技术人员提出了诸多解决方案。其中,中国专利申请CN200810018164.1“基于传输层特征的P2P网络流量识别方法”提出了这样一种方案:通过提取双向网络流的特征序列并与P2P特征模板库中相同协议类型下的特征序列模板匹配实现P2P网络流量的识别。这一方案虽然能够实现对加密P2P网络流量的识别,但需要对每一网络应用流量都提取N个数据包并遍历P2P特征模板库中所有的特征序列模板加以匹配,因此效率较低,同时也导致了较大的系统开销。
发明内容
本发明的实施例旨在克服上述现有技术的缺陷,提供能够高效、迅速识别网络应用流量的技术方案,同时有效降低系统开销。
为实现上述目的,本发明的实施例提供了一种网络应用流量识别方法,包括关联已知网络应用的特征序列模板和相应的特定明文特征的步骤;以及,对于通过网络应用流量管理设备的任一网络会话执行以下步骤:
步骤S1:采用DPI识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量;其中,如果命中一所述特定明文特征,则以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中,结束识别;
步骤S2:对于前述识别技术无法识别的网络会话,记录当前报文的特征信息;
步骤S3:识别所记录的报文数目是否达到预设的阈值,是则将所述网络会话的源IP和目的IP与所述第一列表中的键值进行适配,提取匹配键值下全部特征序列模板并执行步骤S4;否则步骤S1;
步骤S4:将上述所记录的报文特征信息与所提取的特征序列模板进行适配,如果与一已知网络应用的特征序列模板适配成功,则识别所述网络会话为所述已知网络应用流量,结束识别。
其中,所述当前报文的特征信息可以包括:负载长度特征、方向特征和/或位置特征。
其中,所述步骤S1中采用DPI识别技术对所述网络会话进行识别的步骤可以包括:识别是否命中五层以上的协议明文特征,是则所述网络会话为所识别网络应用流量,并继续执行下述步骤,否则执行步骤S2;识别是否命中特定明文特征,是则以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中,否则结束。
其中,所述步骤S1中将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中的步骤具体可以为:遍历所述第一列表中所述键值下的特征序列模板,如果所述关联的特征序列模板已存在,则不再记录;否则,将所述关联的特征序列模板记录到所述键值下。
其中,还可以包括对所述第一列表表项执行老化处理,删除所述第一列表在预设时间内未被适配成功的特征序列模板。
其中,所述关联已知网络应用的特征序列模板和相应的特定明文特征的步骤可以包括:关联已知网络应用的特征序列模板ID和相应的特定明文特征,并将已知网络应用的特征序列模板存储在特征模板库中;后续需要记录已知网络应用的特征序列模板时,仅需记录所述特征序列模板ID,通过调用特征模板库中的相应特征序列模板实现。
其中,所述步骤S2之前还可以包括:采用基于IP/端口的识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量。
本发明的实施例还提供了一种网络应用流量识别装置,设置于网络应用流量管理设备中,包括:
关联单元,用于关联记录已知网络应用的特征序列模板和相应的特定明文特征;
DPI识别单元,与所述关联单元连接,用于采用DPI识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量并结束识别,其中,如果命中一所述特定明文特征,则触发第一列表记录单元;否则,记录当前报文的特征信息,如果所记录的报文数目未达到预设的阈值则对所述网络会话的后续报文继续进行识别,如果达到预设的阈值则触发特征序列模板提取单元;
第一列表记录单元,与所述DPI识别单元和所述关联单元连接,用于以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到第一列表中;
特征序列模板提取单元,与所述DPI识别单元和所述第一列表连接,用于接受所述DPI识别单元识别失败的触发,将所述网络会话的源IP和目的IP与所述第一列表中的键值进行适配,提取匹配键值下全部的特征序列模板;
特征序列适配单元,与所述特征序列模板提取单元和所述DPI识别单元连接,用于将所述网络会话的报文特征信息与所提取的特征序列模板进行适配,如果与一已知网络应用的特征序列模板适配成功,则识别所述网络会话为所述已知网络应用流量并结束识别。
其中,所述DPI识别单元可以包括:协议明文特征识别模块,用于识别所述网络会话是否命中五层以上的协议明文特征,是则所述网络会话为所识别网络应用流量,并触发特定明文特征识别模块,否则触发报文信息记录模块;报文信息记录模块,用于记录所述当前报文的特征信息,并识别所记录的报文数目是否达到预设的阈值,是则触发所述特征序列模板提取单元,否则指令所述协议明文特征识别模块对所述网络会话的后续报文继续进行识别;特定明文特征识别模块,用于识别所述网络会话是否命中关联单元中的一特定明文特征,是则触发所述第一列表记录单元。
其中,所述当前报文的特征信息可以包括:负载长度特征、方向特征和/或位置特征。
其中,还可以包括第一列表管理单元,设置在所述第一列表记录单元和所述第一列表之间,用于遍历所述第一列表中所述键值下的特征序列模板,如果关联的特征序列模板已存在,则不再记录;否则,将所述关联的特征序列模板记录到所述键值下。
其中,还可以包括第一列表老化单元,与所述第一列表连接,用于对所述第一列表表项执行老化处理,删除所述第一列表在预设时间内未被适配成功的特征序列模板。
其中,还可以包括特征模板库,与所述关联单元连接,用于保存已知网络应用的特征序列模板;所述关联单元中仅关联记录已知网络应用的特征序列模板ID和相应的特定明文特征。
其中,还可以包括IP/端口识别单元,与所述DPI识别单元连接,用于采用基于IP/端口的识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量。
本发明的实施例还提供了一种网络应用流量管理设备,包括网络应用流量处理装置,还设有上面任一所述的网络应用流量识别装置,用于向所述网络应用流量处理装置发送网络应用流量识别结果。
由上述技术方案可知,本发明的实施例基于DPI识别法识别出的特定明文特征,限定了某一IP后续可能产生的网络应用流量,具有以下有益效果:
1、能够对DPI识别技术无法识别的网络应用流量加以识别;
2、无需遍历全部已知网络应用的特征序列模板,而是针对可能使用的特征序列模板加以适配,降低了适配工作量,从而提高了网络应用流量识别的效率,同时降低了系统开销;
3、在可能的范围内进行特征序列识别,有效降低了特征序列识别的误报率。
通过以下参照附图对优选实施例的说明,本发明的上述以及其它目的、特征和优点将更加明显。
附图说明
图1为本发明提供的网络应用流量识别方法一实施例的流程图;
图2为本发明提供的网络应用流量识别方法另一实施例的流程图;
图3为本发明提供的网络应用流量识别装置一实施例的框图;
图4为本发明提供的网络应用流量管理设备一实施例的框图。
具体实施方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只用于举例说明,并不用于限制本发明。
本发明的主要构思在于根据某一IP产生的特定明文特征预测后续可能使用的网络应用流量,来解决现有采用特征序列进行识别时存在的匹配基数大所导致的效率降低、开销较大以及误报率高的问题。下面将详细介绍本发明所提供的网络应用流量识别方案。
本发明提供的网络应用流量识别方法是一种通用的识别方法,主要具有以下特点:
(1)利用了网络应用流量的特征序列进行识别:
本领域技术人员可以了解,对于任何一种网络应用,无论其在网络传输过程中加密与否,其在数据包层面一直存在着可供识别的一些特征,包括:
负载长度特征:即TCP或UDP负载长度为固定值或在指定范围内变化;
方向特征:即报文是从客户端到服务器,还是从服务器到客户端;
位置特征:即该数据包是会话中的第几个数据包;
……;
通过提取一个已知网络应用的一系列数据报文的特征构成一个特征序列模板,就可以作为一网络会话是否为所述已知网络应用的判断依据,这种方案可以简称为特征序列识别法;
当然,上述提出的特征可以根据实际需要组合,比如可以采用负载长度特征和方向特征作为特征构成特征序列模板,也可以采用负载长度特征、方向特征和位置特征共同作为特征构成特征序列模板。只要某网络应用流量能够与已知的特征序列模板匹配,那么该网络应用流量就能被准确识别。
(2)采用对网络应用流量进行预测来缩小特征序列模板的适配范围:
由于已知网络应用的特征序列模板基数庞大,一一适配无疑需要巨大的工作量,从而导致网络应用流量识别的低效率和高消耗;
而在协议分析过程中我们可以发现,由于网络应用需要或者商业需要,任何的网络应用软件,不管在网络传输过程中是否加密或者进行其他的伪装处理,其在启动或者使用过程中都存在相应的、能够通过DPI识别技术检测出特定明文特征的流量;该流量可能为软件启动界面访问固定的一个网址而产生的HTTP流量,比如,当采用迅雷(Thunder)软件进行下载时,会在软件启动时访问迅雷特定URL的HTTP流量,这个访问会话所产生的HTTP流量能够被DPI技术所识别;该流量可能为软件使用过程中进行网站域名查询而产生的、能够被DPI技术所识别的DNS流量;或者,该流量也有可能是其他被DPI技术所识别的、具有特定明文特征的TCP或UDP负载流量;
因此,根据某一IP产生的DPI技术可识别流量判断其正在使用的网络应用,能够推测其后续可能产生的网络应用流量,从而有效缩小特征序列模板的适配范围;
(3)与现有的其他网络应用流量识别技术结合使用:
现有技术中的特征序列识别法都是独立使用,虽然能够从特征序列的角度实现流量的准确识别,但事实上,其中有相当一部分流量可以采用现有的DPI等简单高效的方式实现识别,全部采用特征序列识别法无疑降低了识别效率,也加重了系统开销;
而本发明由于需要DPI技术进行网络应用流量预测,因此可以将特征序列识别法作为DPI识别处理的后续操作,针对DPI识别技术无法识别的网络应用流量进行处理,从而有效缓解上述问题;
下面,就本发明提供的网络应用流量识别方法加以描述,其适用于网络应用流量管理设备。
请结合图1,显示了该网络应用流量识别方法一实施例的流程图,包括以下步骤:
步骤S0:关联已知网络应用的特征序列模板和相应的特定明文特征;
具体的,可以采用脚本或者用户自定义接口的方式来定义已知网络应用的特征序列模板;以及,采用脚本或者用户自定义接口的方式来关联已知网络应用的特征序列模板和相应的特定明文特征;
其中,已知网络应用的特征序列模板和相应的特定明文特征可能是一对一的关联;
但更多情况下,是一对多关联:比如,使用迅雷软件时产生的特定明文特征为访问迅雷特定URL的HTTP流量,但软件使用过程中可能综合使用BT(比特)、迅雷、emule、FTP等多种网络应用,也就是后续可能发生的网络应用流量具有多种可能,分别具有各自的特征序列模板;这种情况下,是将一个特定明文特征与多个网络应用的特征序列模板关联起来;当然,迅雷协议和FTP协议都是明文的,可以通过DPI识别技术识别出来,因此一般仅需要关联加密的BT和emule协议;
或者,是多对一关联:比如,用户可以采用BitTorrent、比特精灵等等不用的应用软件,这些软件在启动之初产生的HTTP流量并不相同,因此能够通过DPI识别技术提取到的特定明文特征也不相同;但这些应用软件所采用的网络应用协议都是BT协议,其特征序列模板一致;这种情况下,是将多个特定明文特征与一个网络应用的特征序列模板关联起来;
较佳的,由于直接关联特征序列模板需要记录的信息较多,因此可以采用关联已知网络应用的特征序列模板ID和相应的特定明文特征,并将已知网络应用的特征序列模板存储在特征模板库中加以替代;后续需要记录已知网络应用的特征序列模板时,仅需记录所述特征序列模板ID,通过调用特征模板库中的相应特征序列模板实现;这样,可以节约系统的空间开销和处理开销;其中,特征序列模板ID可以是该已知网络应用的名称,或者该特征序列模板的编号等等。
在执行完成上述已知网络应用的特征序列模板和相应的特定明文特征关联的步骤之后,就能够基于DPI识别技术识别出的特定明文特征,推测后续网络会话可能采用的网络应用协议;具体的,是对于通过网络应用流量管理设备的任一网络会话执行以下步骤:
步骤S1:采用DPI识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量;其中,如果命中一所述特定明文特征,则以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中,结束识别;
在本步骤S1中,DPI识别技术能够实现以下两方面特征的识别:
一方面,是五层以上协议明文特征;主要包括普通的HTTP流量、DNS流量或者其他TCP或者UDP流量,以及未加密的FTP、BT、emule、Maze等等网络应用协议;上述网络应用协议可以被DPI识别技术正确识别,因此其网络会话流量类型能够被直接确定;
另一方面,是特定明文特征;对于DPI识别技术能够识别出协议明文特征的网络会话,需要进一步判断其是否为一已定义的特定明文特征,如果是,那么说明后续将产生关联的网络应用;举例来说,如果用户访问了比特精灵网站,那么就有可能后续产生BT应用;
在实际应用中,能够识别出协议明文特征的报文,其所属会话的流量类型就可以确定下来,无需进一步的识别处理,因此识别结束;而对于无法识别出协议明文特征的报文,则后续通过步骤S2加以进一步的识别处理。
对上述内容加以总结,本步骤S1可以具体包括:
步骤S11:识别是否命中五层以上的协议明文特征,是则所述网络会话为所识别网络应用流量,并继续执行下述步骤S12;否则说明DPI识别技术无法进行协议明文特征识别,当然也就更加没有进一步识别特定明文特征的可能性,因此转入后续步骤S2的特征序列识别处理;
步骤S12:识别是否命中特定明文特征,是则以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中;否则说明能够识别出协议明文特征的网络会话没有进一步的特定明文特征,由于基于上述识别出的协议明文特征已经能够确定网络应用流量,因此无需进一步的处理,识别结束。
上述采用五元组信息中的源IP作为键值是一种较为常用的选择;但实际应用中所采用的键值可以不局限于此:比如,可以以<源IP、目的IP>为键值进行记录,当后续网络流量具有相同的<源IP、目的IP>或者<目的IP、源IP>时,其可能采用的是该键值下所有的网络应用;但后者由于匹配过于严格,所以有可能导致部分流量的处理跳过。
作为一较佳的实施例,如果在步骤S0中关联的是已知网络应用的特征序列模板ID和特定明文特征,那么第一列表中所记录的就是特征序列模板ID,当后续需要进行特征序列模板匹配时,通过所述特征序列模板ID在特征模板库中调用即可,不再赘述。
进一步的,为了避免重复添加,在某一键值下记录特定明文特征关联的特征序列模板时,需要遍历所述第一列表中所述键值下的特征序列模板,如果所述关联的特征序列模板已存在,则不再记录;否则,将所述关联的特征序列模板记录到所述键值下;
更进一步的,各键值下所记录的网络应用并不一定会发生,举例来说,用户虽然打开了BT软件,但由于没找到想要的文件,因此关闭了BT客户端;或者,用户的BT应用在一段时间后被软件封堵,无法继续下载;等等。由于网络应用流量管理设备无法进行区分,因此只要发生了打开BT软件的行为,就会在相应键值下记录该特定明文特征关联的特征序列模板,但这个流量显然不会发生或者不再继续发生;因此,较佳的实施方式为对第一列表采取老化处理,删除所述第一列表在预设时间内未被适配成功即在一定时间内没有被匹配到的特征序列模板,从而避免相应键值下记录过多的无效特征序列模板。
经过上述步骤S1的处理,可以看出,部分能够被DPI识别技术识别的网络应用流量已经无需进一步的处理,而对于DPI识别技术无法识别的流量,比如加密流量,继续执行:
步骤S2:对于前述识别技术无法识别的网络会话,记录当前报文的特征信息;
其中,当前报文的特征信息可以包括:负载长度特征、方向特征和/或位置特征;当然,根据实际情况,也可以选择其他的特征信息。
步骤S3:识别所记录的报文数目是否达到预设的阈值,是则将所述网络会话的源IP和目的IP与所述第一列表中的键值进行适配,提取匹配键值下全部的特征序列模板,即提取所有可能被采用的网络应用的特征序列模板,然后执行步骤S4;
否则,对所述网络会话的后续报文重新执行步骤S1;
可以看出,如果在记录报文数目没有达到预设的阈值时,识别出第M个报文的协议明文特征,那么网络应用流量识别成功,不会再继续进行后续的处理;
只有当检测报文数目达到预设阈值仍然没有任何一个报文被识别出协议明文特征时,才会触发键值适配的动作;
需要说明的是,阈值是由网络管理人员根据实际情况预先设置的;比如,阈值为30个报文。
步骤S4:将上述所记录的报文特征信息与所提取的特征序列模板进行适配,如果与一已知网络应用的特征序列模板适配成功,则识别所述网络会话为所述已知网络应用流量,结束识别;
有必要指出的是,特征序列模板对应的往往不是一个报文所能包括的信息;以阈值为30个报文为例,本步骤S4就是用所记录的30个报文的特征信息共同与所提取的特征序列模板进行适配,只要一特征序列模板能在三十个报文的全部特征信息中找到对应,那么就认为适配成功;
此外,作为补充说明的是,对于步骤S1和S4识别成功的网络会话,都可以采取进一步的处理动作,比如在相应的会话控制模块上记录识别到的流量类型信息,在此不再赘述。
通过上述步骤S0~S4可以看出,本发明提供的网络应用流量识别方法利用现有的DPI识别技术识别网络应用软件在启动或使用过程中产生的特定HTTP流量、DNS流量或其它具有特定明文特征的TCP或UDP负载流量,推测该源IP后续未知流量可能使用的网络应用协议,从而大大缩小了进行特征序列匹配的范围,有效提高了网络应用流量识别的效率,同时降低了特征序列识别的误报率;
以及,与现有的DPI识别技术相结合,利用系统开销较低的DPI识别技术先行过滤一部分网络应用流量,既实现了对DPI识别技术无法识别的网络应用流量的识别,同时也提高了识别效率,降低了识别开销。
作为一较佳的实施例,本发明所提供的网络应用流量识别方法还可以进一步结合现有的其他识别技术,比如基于IP/端口的识别技术;
具体的,可以在步骤S1执行之前,首先采用基于IP/端口的识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量;但是,无论本步骤识别成功还是失败,都会继续执行步骤S1,通过DPI识别技术进行特定明文特征的识别;
或者,可以在步骤S1执行之后,对于DPI识别技术无法识别的网络流量采用基于IP/端口的识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量,然后结束;否则执行步骤S2,通过有限范围的特征序列识别法进行进一步的处理;
上述特征序列识别法与基于IP/端口的识别技术和DPI识别法结合在一起使用,能够进一步缩小需要进行特征序列识别法进行识别的网络应用流量范围,以及提高网络应用流量管理设备的效率。
为了便于理解,下面以一个具体实施例对本发明提供的网络应用流量识别方法加以描述。
首先,关联已知网络应用的特征序列模板和相应的特定明文特征;具体的,可以包括:
定义各网络应用相应的特定明文特征;
使用脚本或用户自定义接口的方法定义各网络应用流量对应的特征序列模板;
使用脚本或用户自定义接口的方法关联特定明文特征和特征序列模板;
然后,请结合图2,示出了基于IP进行后续流量预测的网络应用流量识别方法后续步骤的流程图,包括以下步骤:
(1)网络应用流量管理设备接收所有通过的网络会话报文;
(2)创建或查找会话管理控制块,用于记录会话五元组信息以及已识别的流量类型;
(3)采用基于IP/端口的识别技术进行网络应用流量识别,识别成功则在会话管理控制块上记录识别结果并进入后续处理,识别不成功则直接进入后续处理;
(4)采用DPI识别法进行网络应用流量识别,包括:
查看是否命中5层以上的协议明文特征,比如HTTP协议、FTP协议、POP3协议以及未加密的BT、Maze、迅雷等协议;
如果是,则识别成功并在会话管理控制块上记录识别结果;然后,查看是否命中了预定义的特定明文特征,是则创建基于该会话源IP的表项,并记录该特定明文特征关联的特征序列模板(为了便于描述,我们称这个用于记录表项的文件为第一列表),结束;
如果否,则进入后续处理;
(5)记录当前报文的特征信息;
(6)识别所记录的报文数目是否达到预设的阈值,是则继续执行,否则对所述网络会话的后续报文重新执行DPI识别;
(7)采用特征序列法进行网络应用流量识别,包括:
基于会话的源IP和目的IP遍历第一列表中的表项键值,确定全部可能使用的网络应用的特征序列模板;
将所记录的报文特征信息与上述特征序列模板进行匹配,匹配成功则表示该会话命中了该特征序列模板对应的网络应用,在会话管理控制块上记录识别结果。
有必要指出的是,有可能存在匹配不成功的情况,比如一种尚未归纳特征序列模板的网络应用协议就无法被匹配成功;这种情况下,网络应用流量识别失败,可以设置相应的警报措施,即如果某一会话在检测了超过预设门限值的报文后仍然没有识别出所属网络应用流量,那么提交报警日志,由网络管理员进行后续处理,比如定义相应的特征序列等;
对于其他识别成功的情况,则由网络应用流量管理设备根据识别出的网络应用流量类型采取相应的限流、阻断、告警等流量管理措施。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,关联已知网络应用的特征序列模板和相应的特定明文特征,并对于通过网络应用流量管理设备的任一网络会话执行如下步骤:
步骤S1:采用DPI识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量;其中,如果命中一所述特定明文特征,则以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中,结束识别;
步骤S2:对于前述识别技术无法识别的网络会话,记录当前报文的特征信息;
步骤S3:识别所记录的报文数目是否达到预设的阈值,是则将所述网络会话的源IP和目的IP与所述第一列表中的键值进行适配,提取匹配键值下全部特征序列模板并执行步骤S4;否则步骤S1;
步骤S4:将上述所记录的报文特征信息与所提取的特征序列模板进行适配,如果与一已知网络应用的特征序列模板适配成功,则识别所述网络会话为所述已知网络应用流量,结束识别;
所述的存储介质包括:ROM/RAM(Read Only Memory/Random-AccessMemory,只读存储器/随机访问内存)、磁碟或者光盘等。
继续,对本发明提供的网络应用流量识别装置加以描述。请结合图3,显示了一网络应用流量识别装置300的实施例框图。
该网络应用流量识别装置300设置于网络应用流量管理设备中,包括:
关联单元301,用于关联记录已知网络应用的特征序列模板和相应的特定明文特征;
DPI识别单元302,与关联单元301连接,用于采用DPI识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量并结束识别;其中,如果命中一所述特定明文特征,则触发第一列表记录单元304;否则,记录当前报文的特征信息,可以包括负载长度特征、方向特征和/或位置特征(也可以包括其他的特征信息),如果所记录的报文数目未达到预设的阈值则对所述网络会话的后续报文继续进行识别,如果达到预设的阈值则触发特征序列模板提取单元305;
第一列表记录单元304,与所述DPI识别单元302和所述关联单元301连接,用于以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到第一列表303中;
特征序列模板提取单元305,与所述DPI识别单元302和所述第一列表303连接,用于接受所述DPI识别单元302识别失败的触发,将所述网络会话的源IP和目的IP与所述第一列表303中的键值进行适配,提取匹配键值下全部的特征序列模板;
特征序列适配单元306,与所述特征序列模板提取单元305和所述DPI识别单元302连接,用于将所述网络会话的报文特征信息与所提取的特征序列模板进行适配,如果与一已知网络应用的特征序列模板适配成功,则识别所述网络会话为所述已知网络应用流量并结束识别;
上述各单元的具体工作方式请参见本发明网络应用流量识别方法的相应步骤。
通过本发明提供的网络应用流量识别装置300,能够基于DPI识别法识别出的特定明文特征,有效缩小可供进行匹配的特征序列模板,从而提高网络应用流量管理设备的识别效率,以及有效降低特征序列识别法的误报率;
以及,结合DPI识别法一起使用,能够缩小进行特征序列识别的网络应用流量,进一步降低了识别工作量;
较佳的,DPI识别单元302包括:
协议明文特征识别模块3021,用于识别所述网络会话是否命中五层以上的协议明文特征,是则所述网络会话为所识别网络应用流量,并触发特定明文特征识别模块3022,否则触发报文信息记录模块3023;
报文信息记录模块3023,用于记录所述当前报文的特征信息,并识别所记录的报文数目是否达到预设的阈值,是则触发所述特征序列模板提取单元305,否则指令所述协议明文特征识别模块3021对所述网络会话的后续报文继续进行识别;
特定明文特征识别模块3022,用于识别所述网络会话是否命中关联单元中的一特定明文特征,是则触发所述第一列表记录单元304;
需要说明的是,协议明文特征识别模块3021与特定明文特征识别模块3022可以合并为一个功能块实现,即同时识别协议明文特征和特定明文特征。
较佳的,为了避免同一键值下特征序列模板的反复记录,该网络应用流量识别装置300还可以包括第一列表管理单元307,设置在所述第一列表记录单元304和所述第一列表303之间,用于遍历所述第一列表303中所述键值下的特征序列模板,如果关联的特征序列模板已存在,则不再记录;否则,将所述关联的特征序列模板记录到所述键值下。
较佳的,为了避免第一列表303中记录过多无效的特征序列模板,该网络应用流量识别装置300还可以包括第一列表老化单元308,与所述第一列表303连接,用于对所述第一列表303表项执行老化处理,删除所述第一列表303在预设时间内未被适配成功的特征序列模板。
较佳的,为了避免特征序列模板的反复记录,该网络应用流量识别装置300还可以包括特征模板库309,与所述关联单元301连接,用于保存已知网络应用的特征序列模板;所述关联单元301中仅关联记录已知网络应用的特征序列模板ID和相应的特定明文特征,在需要特征序列模板时去特征模板库309中调用。
较佳的,还可以进一步结合基于IP/端口的识别技术,以更进一步降低识别工作量;具体的,该网络应用流量识别装置300还可以包括IP/端口识别单元310,与所述DPI识别单元302连接;
其可以设置于所述DPI识别单元302之前,或者可以设置在所述DPI识别单元302与所述特征序列模板提取单元305之间,图3以前一种情况为例:该IP/端口识别单元310采用基于IP/端口的识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量,然后触发DPI识别单元302;识别失败则直接触发DPI识别单元302;
当然,如果IP/端口识别单元310设置在所述DPI识别单元302与所述特征序列模板提取单元305之间,则仅在识别失败的时候触发特征序列模板提取单元305;如果识别成功,就无需进一步的处理。
继续,对本发明提供的网络应用流量管理设备加以描述。请结合图4,显示了一网络应用流量管理设备40的实施例框图。
该网络应用流量管理设备40用于对通过本设备的网络会话加以识别和处理,包括:
上述本发明提供的网络应用流量识别装置400,用于对网络会话流量加以识别,并将识别结果发送给网络应用流量处理装置410;就本发明提供的网络应用流量识别装置400而言,其IP/端口识别单元、DPI识别单元以及特征序列适配单元都有可能输出网络会话识别结果;
网络应用流量处理装置410,用于根据网络应用流量识别结果,对网络应用流量采取限流、阻断、告警等流量管理措施。
虽然已参照几个典型实施例描述了本发明,但应当理解,所用的术语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离发明的精神或实质,所以应当理解,上述实施例不限于任何前述的细节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
Claims (15)
1.一种网络应用流量识别方法,其特征在于,包括关联已知网络应用的特征序列模板和相应的特定明文特征的步骤;以及,对于通过网络应用流量管理设备的任一网络会话执行以下步骤:
步骤S1:采用DPI识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量;其中,如果命中一所述特定明文特征,则以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中,结束识别;
步骤S2:对于前述识别技术无法识别的网络会话,记录当前报文的特征信息;
步骤S3:识别所记录的报文数目是否达到预设的阈值,是则将所述网络会话的源IP和目的IP与所述第一列表中的键值进行适配,提取匹配键值下全部特征序列模板并执行步骤S4;否则步骤S1;
步骤S4:将上述所记录的报文特征信息与所提取的特征序列模板进行适配,如果与一已知网络应用的特征序列模板适配成功,则识别所述网络会话为所述已知网络应用流量,结束识别。
2.根据权利要求1所述的网络应用流量识别方法,其特征在于,所述当前报文的特征信息包括:负载长度特征、方向特征和/或位置特征。
3.根据权利要求1所述的网络应用流量识别方法,其特征在于,所述步骤S1中采用DPI识别技术对所述网络会话进行识别的步骤包括:
识别是否命中五层以上的协议明文特征,是则所述网络会话为所识别网络应用流量,并继续执行下述步骤,否则执行步骤S2;
识别是否命中特定明文特征,是则以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中,否则结束。
4.根据权利要求1-3任一所述的网络应用流量识别方法,其特征在于,所述步骤S1中将所述特定明文特征关联的特征序列模板记录到专门设置的第一列表中的步骤具体为:遍历所述第一列表中所述键值下的特征序列模板,如果所述关联的特征序列模板已存在,则不再记录;否则,将所述关联的特征序列模板记录到所述键值下。
5.根据权利要求1-3任一所述的网络应用流量识别方法,其特征在于,还包括对所述第一列表表项执行老化处理,删除所述第一列表在预设时间内未被适配成功的特征序列模板。
6.根据权利要求1-3任一所述的网络应用流量识别方法,其特征在于,所述关联已知网络应用的特征序列模板和相应的特定明文特征的步骤包括:关联已知网络应用的特征序列模板ID和相应的特定明文特征,并将已知网络应用的特征序列模板存储在特征模板库中;后续需要记录已知网络应用的特征序列模板时,仅需记录所述特征序列模板ID,通过调用特征模板库中的相应特征序列模板实现。
7.根据权利要求1-3任一所述的网络应用流量识别方法,其特征在于,所述步骤S2之前还包括:采用基于IP/端口的识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量。
8.一种网络应用流量识别装置,设置于网络应用流量管理设备中,其特征在于,包括:
关联单元,用于关联记录已知网络应用的特征序列模板和相应的特定明文特征;
DPI识别单元,与所述关联单元连接,用于采用DPI识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量并结束识别,其中,如果命中一所述特定明文特征,则触发第一列表记录单元;否则,记录当前报文的特征信息,如果所记录的报文数目未达到预设的阈值则对所述网络会话的后续报文继续进行识别,如果达到预设的阈值则触发特征序列模板提取单元;
第一列表记录单元,与所述DPI识别单元和所述关联单元连接,用于以所述网络会话的源IP为键值,将所述特定明文特征关联的特征序列模板记录到第一列表中;
特征序列模板提取单元,与所述DPI识别单元和所述第一列表连接,用于接受所述DPI识别单元识别失败的触发,将所述网络会话的源IP和目的IP与所述第一列表中的键值进行适配,提取匹配键值下全部的特征序列模板;
特征序列适配单元,与所述特征序列模板提取单元和所述DPI识别单元连接,用于将所述网络会话的报文特征信息与所提取的特征序列模板进行适配,如果与一已知网络应用的特征序列模板适配成功,则识别所述网络会话为所述已知网络应用流量并结束识别。
9.根据权利要求8所述的网络应用流量识别装置,其特征在于,所述DPI识别单元包括:
协议明文特征识别模块,用于识别所述网络会话是否命中五层以上的协议明文特征,是则所述网络会话为所识别网络应用流量,并触发特定明文特征识别模块,否则触发报文信息记录模块;
报文信息记录模块,用于记录所述当前报文的特征信息,并识别所记录的报文数目是否达到预设的阈值,是则触发所述特征序列模板提取单元,否则指令所述协议明文特征识别模块对所述网络会话的后续报文继续进行识别;
特定明文特征识别模块,用于识别所述网络会话是否命中关联单元中的一特定明文特征,是则触发所述第一列表记录单元。
10.根据权利要求8或9所述的网络应用流量识别装置,其特征在于,所述当前报文的特征信息包括:负载长度特征、方向特征和/或位置特征。
11.根据权利要求8或9所述的网络应用流量识别装置,其特征在于,还包括第一列表管理单元,设置在所述第一列表记录单元和所述第一列表之间,用于遍历所述第一列表中所述键值下的特征序列模板,如果关联的特征序列模板已存在,则不再记录;否则,将所述关联的特征序列模板记录到所述键值下。
12.根据权利要求8或9所述的网络应用流量识别装置,其特征在于,还包括第一列表老化单元,与所述第一列表连接,用于对所述第一列表表项执行老化处理,删除所述第一列表在预设时间内未被适配成功的特征序列模板。
13.根据权利要求8或9所述的网络应用流量识别装置,其特征在于,还包括特征模板库,与所述关联单元连接,用于保存已知网络应用的特征序列模板;所述关联单元中仅关联记录已知网络应用的特征序列模板ID和相应的特定明文特征。
14.根据权利要求8或9所述的网络应用流量识别装置,其特征在于,还包括IP/端口识别单元,与所述DPI识别单元连接,用于采用基于IP/端口的识别技术对所述网络会话进行识别,识别成功则所述网络会话为所识别网络应用流量。
15.一种网络应用流量管理设备,包括网络应用流量处理装置,其特征在于,还设有权利要求8-14任一所述的网络应用流量识别装置,用于向所述网络应用流量处理装置发送网络应用流量识别结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101196047A CN101505276B (zh) | 2009-03-23 | 2009-03-23 | 网络应用流量识别方法和装置及网络应用流量管理设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101196047A CN101505276B (zh) | 2009-03-23 | 2009-03-23 | 网络应用流量识别方法和装置及网络应用流量管理设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101505276A true CN101505276A (zh) | 2009-08-12 |
CN101505276B CN101505276B (zh) | 2011-06-01 |
Family
ID=40977349
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101196047A Expired - Fee Related CN101505276B (zh) | 2009-03-23 | 2009-03-23 | 网络应用流量识别方法和装置及网络应用流量管理设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101505276B (zh) |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045257A (zh) * | 2010-12-22 | 2011-05-04 | 上海亿煌信息技术有限公司 | 一种基于多协议双向单连接的p2p软件识别方法 |
CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
CN102195816A (zh) * | 2011-05-24 | 2011-09-21 | 北京网康科技有限公司 | 一种未识别流量信息反馈的方法及其设备 |
CN102571486A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种基于BoW模型和统计特征的流量识别方法 |
CN102724317A (zh) * | 2012-06-21 | 2012-10-10 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
CN102938764A (zh) * | 2012-11-09 | 2013-02-20 | 北京神州绿盟信息安全科技股份有限公司 | 应用识别处理方法及装置 |
CN103582512A (zh) * | 2013-02-04 | 2014-02-12 | 华为技术有限公司 | 特征提取装置、网络流量识别方法、装置和系统 |
CN104184723A (zh) * | 2014-07-28 | 2014-12-03 | 华为技术有限公司 | 一种应用程序识别方法、装置和网络设备 |
CN104333483A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
CN104994056A (zh) * | 2015-05-11 | 2015-10-21 | 中国电力科学研究院 | 一种电力信息网络中流量识别模型的动态更新方法 |
CN105245551A (zh) * | 2015-11-04 | 2016-01-13 | 深圳市蜂联科技有限公司 | 一种基于dns和包长组合的应用识别方法 |
CN105323117A (zh) * | 2014-08-04 | 2016-02-10 | 中国电信股份有限公司 | 应用识别方法、装置、系统与应用服务器 |
CN105553955A (zh) * | 2015-12-09 | 2016-05-04 | 上海安吉星信息服务有限公司 | 一种数据处理方法及装置 |
CN102045257B (zh) * | 2010-12-22 | 2016-11-30 | 电子科技大学 | 一种基于多协议双向单连接的p2p软件识别方法 |
CN107948022A (zh) * | 2018-01-11 | 2018-04-20 | 北京安博通科技股份有限公司 | 一种对等网络流量的识别方法及识别装置 |
CN108804287A (zh) * | 2018-05-31 | 2018-11-13 | 中国电子科技集团公司电子科学研究院 | 移动应用程序流量的自动获取方法、装置、系统及介质 |
CN109428774A (zh) * | 2017-08-22 | 2019-03-05 | 网宿科技股份有限公司 | 一种dpi设备的数据处理方法及相关的dpi设备 |
WO2019114700A1 (zh) * | 2017-12-15 | 2019-06-20 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机系统 |
CN110768969A (zh) * | 2019-10-14 | 2020-02-07 | 深圳Tcl数字技术有限公司 | 基于网络数据监控的测试方法、装置及可读存储介质 |
CN111143743A (zh) * | 2019-12-26 | 2020-05-12 | 杭州迪普科技股份有限公司 | 一种自动扩充应用识别库的方法及装置 |
CN111464525A (zh) * | 2020-03-30 | 2020-07-28 | 绿盟科技集团股份有限公司 | 一种会话识别方法、装置、控制设备及存储介质 |
CN115618342A (zh) * | 2022-12-19 | 2023-01-17 | 深圳昂楷科技有限公司 | 访问数据库工具名的识别方法、装置、设备及存储介质 |
-
2009
- 2009-03-23 CN CN2009101196047A patent/CN101505276B/zh not_active Expired - Fee Related
Cited By (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045257B (zh) * | 2010-12-22 | 2016-11-30 | 电子科技大学 | 一种基于多协议双向单连接的p2p软件识别方法 |
CN102045257A (zh) * | 2010-12-22 | 2011-05-04 | 上海亿煌信息技术有限公司 | 一种基于多协议双向单连接的p2p软件识别方法 |
CN102045363B (zh) * | 2010-12-31 | 2013-10-09 | 华为数字技术(成都)有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
CN102195816A (zh) * | 2011-05-24 | 2011-09-21 | 北京网康科技有限公司 | 一种未识别流量信息反馈的方法及其设备 |
CN102571486B (zh) * | 2011-12-14 | 2014-08-27 | 上海交通大学 | 一种基于BoW模型和统计特征的流量识别方法 |
CN102571486A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种基于BoW模型和统计特征的流量识别方法 |
CN102724317A (zh) * | 2012-06-21 | 2012-10-10 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
CN102724317B (zh) * | 2012-06-21 | 2016-05-25 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
CN102938764B (zh) * | 2012-11-09 | 2015-05-20 | 北京神州绿盟信息安全科技股份有限公司 | 应用识别处理方法及装置 |
CN102938764A (zh) * | 2012-11-09 | 2013-02-20 | 北京神州绿盟信息安全科技股份有限公司 | 应用识别处理方法及装置 |
CN103582512B (zh) * | 2013-02-04 | 2017-04-19 | 华为技术有限公司 | 特征提取装置、网络流量识别方法、装置和系统 |
WO2014117406A1 (zh) * | 2013-02-04 | 2014-08-07 | 华为技术有限公司 | 特征提取装置、网络流量识别方法、装置和系统 |
CN103582512A (zh) * | 2013-02-04 | 2014-02-12 | 华为技术有限公司 | 特征提取装置、网络流量识别方法、装置和系统 |
CN104184723A (zh) * | 2014-07-28 | 2014-12-03 | 华为技术有限公司 | 一种应用程序识别方法、装置和网络设备 |
CN104184723B (zh) * | 2014-07-28 | 2018-05-29 | 华为技术有限公司 | 一种应用程序识别方法、装置和网络设备 |
CN105323117B (zh) * | 2014-08-04 | 2019-01-01 | 中国电信股份有限公司 | 应用识别方法、装置、系统与应用服务器 |
CN105323117A (zh) * | 2014-08-04 | 2016-02-10 | 中国电信股份有限公司 | 应用识别方法、装置、系统与应用服务器 |
CN104333483A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
CN104994056B (zh) * | 2015-05-11 | 2018-01-19 | 中国电力科学研究院 | 一种电力信息网络中流量识别模型的动态更新方法 |
CN104994056A (zh) * | 2015-05-11 | 2015-10-21 | 中国电力科学研究院 | 一种电力信息网络中流量识别模型的动态更新方法 |
CN105245551A (zh) * | 2015-11-04 | 2016-01-13 | 深圳市蜂联科技有限公司 | 一种基于dns和包长组合的应用识别方法 |
CN105245551B (zh) * | 2015-11-04 | 2018-11-02 | 深圳市蜂联科技有限公司 | 一种基于dns和包长组合的应用识别方法 |
CN105553955A (zh) * | 2015-12-09 | 2016-05-04 | 上海安吉星信息服务有限公司 | 一种数据处理方法及装置 |
CN109428774A (zh) * | 2017-08-22 | 2019-03-05 | 网宿科技股份有限公司 | 一种dpi设备的数据处理方法及相关的dpi设备 |
WO2019114700A1 (zh) * | 2017-12-15 | 2019-06-20 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机系统 |
US11425047B2 (en) | 2017-12-15 | 2022-08-23 | Huawei Technologies Co., Ltd. | Traffic analysis method, common service traffic attribution method, and corresponding computer system |
CN107948022B (zh) * | 2018-01-11 | 2021-04-30 | 北京安博通科技股份有限公司 | 一种对等网络流量的识别方法及识别装置 |
CN107948022A (zh) * | 2018-01-11 | 2018-04-20 | 北京安博通科技股份有限公司 | 一种对等网络流量的识别方法及识别装置 |
CN108804287A (zh) * | 2018-05-31 | 2018-11-13 | 中国电子科技集团公司电子科学研究院 | 移动应用程序流量的自动获取方法、装置、系统及介质 |
CN108804287B (zh) * | 2018-05-31 | 2023-07-21 | 中国电子科技集团公司电子科学研究院 | 移动应用程序流量的自动获取方法、装置、系统及介质 |
CN110768969A (zh) * | 2019-10-14 | 2020-02-07 | 深圳Tcl数字技术有限公司 | 基于网络数据监控的测试方法、装置及可读存储介质 |
CN110768969B (zh) * | 2019-10-14 | 2023-10-17 | 深圳Tcl数字技术有限公司 | 基于网络数据监控的测试方法、装置及可读存储介质 |
CN111143743A (zh) * | 2019-12-26 | 2020-05-12 | 杭州迪普科技股份有限公司 | 一种自动扩充应用识别库的方法及装置 |
CN111464525A (zh) * | 2020-03-30 | 2020-07-28 | 绿盟科技集团股份有限公司 | 一种会话识别方法、装置、控制设备及存储介质 |
CN115618342A (zh) * | 2022-12-19 | 2023-01-17 | 深圳昂楷科技有限公司 | 访问数据库工具名的识别方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101505276B (zh) | 2011-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101505276B (zh) | 网络应用流量识别方法和装置及网络应用流量管理设备 | |
Dong et al. | Your smart home can't keep a secret: Towards automated fingerprinting of iot traffic | |
EP2661049B1 (en) | System and method for malware detection | |
Aiello et al. | DNS tunneling detection through statistical fingerprints of protocol messages and machine learning | |
US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
CN101547207A (zh) | 一种基于应用行为模式的协议识别控制方法和设备 | |
US20120099597A1 (en) | Method and device for detecting a packet | |
CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
Aiello et al. | Basic classifiers for DNS tunneling detection | |
CN109818970B (zh) | 一种数据处理方法及装置 | |
US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
Shahbar et al. | Benchmarking two techniques for Tor classification: Flow level and circuit level classification | |
CN110958233B (zh) | 一种基于深度学习的加密型恶意流量检测系统和方法 | |
CN112565229B (zh) | 隐蔽通道检测方法及装置 | |
Bąk et al. | Application of perfectly undetectable network steganography method for malware hidden communication | |
CN110581780B (zh) | 针对web服务器资产的自动识别方法 | |
Kebande et al. | Functional requirements for adding digital forensic readiness as a security component in IoT environments | |
CN102833255B (zh) | 基于时频分析的Skype语音流提取方法 | |
CN115603939A (zh) | 基于长短期记忆和注意力模型的分布式拒绝服务攻击检测方法 | |
Li et al. | A rules-based intrusion detection and prevention framework against SIP malformed messages attacks | |
Altuncu et al. | Deep learning based DNS tunneling detection and blocking system | |
Li et al. | An efficient intrusion detection and prevention system against SIP malformed messages attacks | |
CN112615713B (zh) | 隐蔽信道的检测方法、装置、可读存储介质及电子设备 | |
CN112134732B (zh) | 一种用于DDoS攻击的取证方法及系统 | |
McDermott et al. | Threat Detection and Analysis in the Internet of Things using Deep Packet Inspection. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110601 Termination date: 20200323 |
|
CF01 | Termination of patent right due to non-payment of annual fee |