CN101547207A - 一种基于应用行为模式的协议识别控制方法和设备 - Google Patents
一种基于应用行为模式的协议识别控制方法和设备 Download PDFInfo
- Publication number
- CN101547207A CN101547207A CN200910135978A CN200910135978A CN101547207A CN 101547207 A CN101547207 A CN 101547207A CN 200910135978 A CN200910135978 A CN 200910135978A CN 200910135978 A CN200910135978 A CN 200910135978A CN 101547207 A CN101547207 A CN 101547207A
- Authority
- CN
- China
- Prior art keywords
- procotol
- list item
- characteristic sequence
- message characteristic
- current sessions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于应用行为模式的协议识别控制方法,应用于带宽管理设备中,所述方法包括以下步骤:判断当前会话是否具有应用层网络协议产生的特定明文特征;如果所述当前会话不具有特定明文特征,查找预先设置的网络流量与对应的网络协议间的关联IP表项中是否存在与当前会话匹配的报文特征序列,如果匹配,则根据所述IP表项中的报文特征序列与网络协议的对应关系确定所述当前会话正在使用的网络协议。本发明能够迅速、高效地识别出采用端口识别法和DPI识别法无法识别的网络应用流量。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于应用行为模式的协议识别控制方法和设备。
背景技术
目前的网络流量监管和带宽管理设备中,大部分都是使用IP(InternetProtocol,国际互联网协议)/端口识别法、DPI(Deep Packet Inspection,深度包检测)识别法等方法识别网络应用流量并进行对应的管理。其中,IP/端口识别法是根据TCP(Transmission Control Protocol,传输控制协议)或者UDP(User Datagram Protocol,用户数据报协议)数据包首部的源IP地址、源端口号、目的IP地址、目的端口号、协议类型识别网络应用流量。DPI识别法是通过数据包深层扫描,在TCP或UDP数据包负载中查找一个区别于其他协议的特征字符串来识别网络应用流量。
但是随着应用软件和各种协议的不断发展,现有网络上出现了越来越多的使用传统的IP/端口识别法、DPI识别法等方法无法识别的网络应用流量。例如,对于没有源IP地址、源端口号、目的IP地址、目的端口号、协议类型等特征的网络应用流量,传统的IP/端口识别法无法识别。对于TCP或UDP负载具有明文特征的网络应用流量,DPI识别法的准确度可以达到90%以上,但是对于TCP或UDP负载不具有明文特征的网络应用流量,该方法无效,例如,目前市面上的eMule(电骡)、BT等主流P2P(Peer-to-Peer,点对点)应用都已经支持加密传输而不具有明文特征,同时也出现了很多其他的应用软件,其流量同样不具有明文特征。
在这些网络应用流量中,尤其是加密P2P流量对网络流量的监管产生的影响最大。加密P2P流量占用了大量网络带宽,导致网络拥塞,大大降低了网络性能,妨碍了正常的网络业务开展和关键应用,严重影响了用户正常的Web、E-mail等应用。同时,加密P2P流量可以穿透现有防火墙和安全代理,通过并不安全的网络环境获得应用于电影、音乐、游戏等各种应用程序,使得病毒得以躲过安全审查入侵内部网络,造成严重的内部网络安全隐患。针对加密P2P流量,现有技术提出了基于行为特征的识别方法,即在一段时间内,用户保持的TCP或UDP连接中,如果目的端口在1024以上的连接数与目的端口在1024以下的连接数的比值大于阀值,则认为用户正在使用P2P软件。由于基于行为特征为一些常见应用流,如游戏流、数据库流等流量的存在,因此使用该方法识别P2P流量存在较大误报风险。
现有技术中,除了加密P2P流量之外,还有很多其他的使用IP/端口识别法、DPI识别法等方法也同样无法识别的网络应用流量。这些网络应用流量对网络流量监管和带宽管理设备的流量识别和控制功能提出了更高的要求。现有技术中无法快速、高效地识别出加密P2P流量等网络应用流量,进而无法实现对网络应用流量的控制。
发明内容
本发明提供了一种基于应用行为模式的协议识别控制方法和设备,以迅速、高效地识别加密P2P流量等网络应用流量,同时提高网络应用流量的识别率。
本发明提供了一种基于应用行为模式的协议识别控制方法,应用于带宽管理设备中,所述方法包括以下步骤:
判断当前会话是否具有应用层网络协议产生的特定明文特征;
如果所述当前会话不具有特定明文特征,查找预先设置的网络流量与对应的网络协议间的关联IP表项中是否存在与当前会话匹配的报文特征序列,如果匹配,则根据所述IP表项中的报文特征序列与网络协议的对应关系确定所述当前会话正在使用的网络协议。
其中,在查找预先设置的IP表项中是否存在与当前会话匹配的报文特征序列之前,还包括:
根据所述当前会话的源IP地址和目的IP地址确定可能使用的网络协议,具体为:
根据某IP地址产生的特定超文本传输协议HTTP流量、域名系统DNS流量、传输控制协议TCP或用户数据报协议UDP负载具有的明文特征判断正在进行某个网络应用,从而推测所述IP后续产生的未知流量可能使用所述网络协议。
其中,在当前会话的源IP地址和目的IP地址确定可能使用的网络协议之前还包括:
记录所有经过所述带宽管理设备的已知会话的报文特征序列与对应的网络协议间的关系;
生成所述已知会话报文特征序列与所述会话使用网络协议的关联IP表项。
其中,在所述关联IP表项中添加新的所述已知会话报文特征序列与对应的网络协议对应关系之前,还需要:
遍历所述IP表项中的报文特征序列,确定所述IP表项中没有所述会话报文特征序列与网络协议间的对应关系时,将所述报文特征序列添加到所述IP表项中。
其中,之后还包括:
定时删除所述IP表项中预设时间内没有被匹配命中过的会话报文特征序列与网络协议间的对应关系。
其中,所述判断当前会话是否具有特定明文特征,具体是通过使用IP/端口识别法和深度包检测DPI识别法检测判断。
其中,所述会话报文特征序列包括:报文长度、报文方向和报文位置。
本发明还提供了一种带宽管理设备,包括:
判断模块,用于判断当前会话是否具有应用层网络协议产生的特定明文特征,当判断当前会话具有特定的明文特征时,将所述会话中特定明文特征与网络协议间的对应关系发给表项设置模块,否则,则将所述会话发给匹配查找模块;
表项设置模块,与所述判断模块和匹配查找模块连接,用于记录所有经过所述带宽管理设备的已知会话的报文特征序列与网络协议间的对应关系,生成所述报文特征序列与所述会话使用网络协议的关联IP表项;
匹配查找模块,与所述判断模块连接,用于在当前会话不具有特定明文特征时,查找预先设置的IP表项中是否存在与当前会话匹配的报文特征序列,如果匹配,则根据所述IP表项中报文特征序列与网络协议的对应关系确定所述当前会话正在使用的网络协议。
其中,所述表项设置模块,在IP表项中添加新的报文特征序列与网络协议间的对应关系时,还需要遍历所述IP表项中已存储的报文特征序列与网络协议间的关联IP表项,确定所述IP表项中没有所述报文特征序列时,将所述报文特征序列添加到所述IP表项中。
其中,所述表项设置模块定时删除所述IP表项中预设时间内没有被匹配命中过的报文特征序列与网络协议间的对应关系,以避免所述IP表项中存储过多的无效报文特征序列与网络协议间的对应关系。
与现有技术相比,本发明具有以下优点:
本发明中,通过遍历当前会话所有可能使用的未知流量对应的报文特征序列,使用当前会话与每一个未知流量对应的报文特征序列进行比较,当前会话与某一报文特征序列完全匹配,即认为当前会话正在使用该报文特征序列对应的网络协议。因此,本发明能够迅速、高效地识别出采用端口识别法和DPI识别法无法识别的加密P2P流量等网络应用流量。
附图说明
图1是本发明中一种基于应用行为模式的协议识别控制方法流程图;
图2是本发明中另一种基于应用行为模式的协议识别控制方法流程图;
图3是本发明中一种带宽管理设备结构图。
具体实施方式
本发明的核心思想是:对于经过带宽管理设备的所有会话,在使用IP/端口识别法、DPI识别法检测了指定个数的报文后仍不能正确识别其流量类型的,查询基于IP创建的网络流量与对应网络协议的关联表项,遍历当前会话的源IP地址和目的IP地址所有可能使用的网络流量对应的报文特征序列,使用当前会话与每一个网络流量对应的报文特征序列进行比较,当前会话与某一报文特征序列完全匹配,即认为当前会话正在使用该报文特征序列对应的网络协议。
本发明提供了一种基于应用行为模式的协议识别控制方法,应用于带宽管理设备中,具体地,将本方案实现的模块部署在IP/端口识别法、DPI识别法的后面,用于处理现有技术不能正确识别的加密P2P等网络应用流量。利用现有的IP/端口识别法、DPI识别法识别出HTTP(Hypertext Transfer Protocol,超文本传输协议)、FTP(File Transfer Protocol,文件传输协议)、POP3(PostOffice Protocol 3,第三版邮局协议)和其它TCP或UDP负载具有明文特征的网络应用流量,并利用DPI识别法定义网络应用软件在启动或使用过程中产生的特定HTTP流量、DNS(Domain Name System,域名系统)流量或其它TCP或UDP负载具有明文特征的流量,然后根据基于IP创建的网络流量与对应网络协议的关联表项查找当前会话正在使用该报文特征序列对应的网络协议。所述方法如图1所示,包括以下步骤:
步骤101,判断当前会话是否具有应用层及应用层以上的网络协议产生的特定明文特征,如果具有,则将该网络协议产生的特定明文特征与对应的网络流量报文特征序列及源IP地址记录到IP表项中,生成所述报文特征序列与所述会话使用网络协议的对应关系,以确定使用该IP地址发起的后续会话可能使用的网络协议;如果不具有,则转步骤102。其中,报文特征序列包括:报文长度、报文方向和报文位置。
为避免所述IP表项中的报文特征序列重复,进一步地,在将所述网络流量报文特征序列添加到所述IP表项之前,应遍历所述IP表项中的所有报文特征序列,只有在确定所述IP表项中没有所述报文特征序列时,才将所述报文特征序列添加到所述IP表项中。另外,为避免该IP表项中记录过多无效的特征序列,需要定时删除所述IP表项中预设时间内没有被匹配命中过的报文特征序列。
步骤102,如果所述当前会话不具有特定明文特征,根据所述当前会话的源IP地址和目的IP地址确定可能使用的网络协议,具体包括:根据某IP地址产生的特定HTTP流量、DNS流量、TCP或UDP负载具有的明文特征判断正在使用某个网络协议,从而推测所述IP后续产生的未知流量可能使用所述网络协议。
步骤103,查找预先设置的网络流量与对应网络协议的关联IP表项中是否存在与当前会话匹配的报文特征序列,如果匹配,则根据所述IP表项中报文特征序列与网络协议的对应关系确定所述当前会话正在使用的网络协议。
基于上述技术方案,本发明提供了一种基于应用行为模式的协议识别控制方法,如图2所示,包括以下步骤:
步骤201,接收网络上所有经过带宽管理设备的报文。检测报文的L2-L4层报文头部,得到源IP地址、目的IP地址、源端口号、目的端口号及协议类型等信息,对于TCP连接并记录其当前的连接状态。
步骤202,通过IP/端口识别法、DPI识别法识别各种正常上网流量和各网络应用下网络流量产生的特定明文特征与网络协议间的关系。
通过IP/端口识别法及DPI识别法过滤HTTP、FTP、POP3等已识别的流量类型中的正常上网流量,并记录这些正常上网流量在各网络应用中产生的特定明文特征与网络协议间的关系。
其中,DPI识别法:通过数据包深层扫描,在TCP数据包或UDP数据包负载中查找一个区别于其它协议的特征字符串来识别该网络应用协议。具体地,进行层次分析,并对应用层(特征)分析,DPI中所谓“深度”是和普通的L2-L4交换机或路由器的报文分析层次相比较而言,L2-L4交换机/路由器仅分析IP包的层4以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而在DPI方法中,DPI除了对前面的层次分析外,还增加了应用层(特征)分析,识别各种应用,甚至内容的识别;当IP数据包、TCP或UDP数据流通过基于DPI设备时,该设备通过深入读取IP包载荷的内容来对TCP/IP协议中的应用层信息进行分析,从而识别出真正的应用协议类型和特征。
为了准确记录各种网络应用下网络流量与网络协议间的关系,在本步骤中,需要进一步创建会话控制块,通过会话控制块来记录前述各种网络应用下网络流量的报文特征序列与对应的协议类型间的关系。
具体地,通过在会话控制块上记录当前会话的报文方向、报文负载长度及报文位置属性等信息与对应的网络协议间的关系来实现。由于对于任何一个应用协议,无论在网络传输过程中是否加密,应用协议本身总是存在着一些固定的信令交互过程,而这些信令交互过程中具有如下特征:方向特征,表示不同装置之间的报文方向,例如由客户端到服务器或由服务器到客户端;负载长度特征,表示报文负载长度的特性,例如TCP或UDP负载长度为固定值或在指定范围内变化;位置关系特性,表示报文之间的位置关系,例如该报文位于会话中的第几个报文。通过提取一个应用协议中一系列具有以上特征的信令报文构成一个特征序列,可以作为一条未知流量是否正在使用该应用协议的判断依据,该识别方法即为应用行为特征识别法。
步骤203,对上述IP/端口识别法、DPI识别法识别的正常上网流量以外的报文,判断是否命中应用层以上协议明文特征,如果是,说明是未加密的应用层以上上网流量,则转步骤204,否则,说明是经过加密的应用层以上上网流量,转步骤207。
步骤204,对于未加密的应用层以上的上网流量,判断其携带的特定明文特征是否命中会话控制块中记录的某一网络应用流量产生的特定明文特征,如果是,说明该未加密的应用层以上的上网流量为该网络应用,则转步骤205,否则,该未加密的应用层以上的上网流量为未知流量,转步骤206,按照未知流量进行处理。
步骤205,创建基于该会话的源IP网络应用流量与对应网络应用协议的关联表项,以记录该会话的源IP后续产生的未知网络流量可能使用的网络协议类型。其中,应用行为预测过程中,在各种应用协议分析过程中发现由于网络应用或商业需要,任何网络应用软件在启动或使用过程中都会存在HTTP流量(软件启动界面需要访问固定的一个网页,例如eMule在启动之后会直接访问www.verycd.com)、DNS流量(网站域名查询)或其他TCP或UDP负载具有明文特征的流量。因此可以根据某一IP地址产生的特定HTTP流量、DNS流量或其它TCP或UDP负载具有明文特征的流量判断其正在使用某个网络应用,从而推测该IP后续产生的未知流量可能使用的应用软件。这种依靠一个IP地址产生明文特征来预测该地址后续可能使用软件的方法称为应用行为预测,应用行为预测本身并不能进行协议精确识别,只是在应用模式识别法中,为提高应用行为模式识别法的识别率而采用的一种预测辅助手段。
步骤206,流量管理模块进行处理。流量管理模块根据配置规则进行处理。具体为:流量管理模块可以针对每一种流量类型定义限流、阻断、告警或者正常通过等流量管理措施。
步骤207,对于经过加密的应用层以上流量,判断是否达到检测报文个数门限值,如果是,则转步骤208,否则,转步骤206。因为,经过加密的应用层以上流量报文通常需要达到一定数量,如果未达到该数量,则为未知流量,转步骤206进行相关处理。
步骤208,遍历在步骤205中创建的网络应用流量与对应的网络协议的关联IP表项,查找基于该会话的源IP和目的IP所有未知应用流量报文特征序列与当前会话间的匹配关系。具体为:用当前会话的报文特征与步骤205创建的IP表项中记录的可能使用的所有未知网络流量的特征序列进行比较,如果有匹配的,则根据网络应用流量与对应的网络应用协议的关系IP表项,可以判定当前会话所使用的具体协议类型,进而输入到流量管理模块进行相应处理,如果没有匹配的,则当前会话属于其他未知流量,输入到流量管理模块按照未知流量进行处理。
其中,步骤204至步骤206是应用行为预测过程,步骤207至步骤208是应用行为特征识别过程。应用行为特征识别中,不同于现有的IP/端口识别法、DPI识别法,利用了网络应用流量的其它特征进行识别。应用行为特征识别法是一种通用的协议识别方法,只要某网络应用具有应用行为特征识别法中定义的协议特征,该流量就可以被准确识别。
本发明提供了一种带宽管理设备,如图3所示,包括:
判断模块310,用于判断当前会话是否具有应用层网络协议产生的特定明文特征,如果具有的话,则判断模块310将所述网络流量产生的特定明文特征与对应的网络协议类型发给表项设置模块330;如果不具有的话,则将所述未知网络流量发给匹配查找模块320。
表项设置模块330,与判断模块310与匹配查找模块320连接,用于记录所有经过所述带宽管理设备的会话的报文特征序列,生成所述报文特征序列与所述会话使用网络协议的对应关系的IP表项。
为避免重复添加报文特征序列,在添加报文特征序列之前,表项设置模块330还将遍历所述IP表项中的报文特征序列,只有在确定所述IP表项中没有所述报文特征序列时,才将所述报文特征序列添加到所述IP表项中;另外,为避免所述IP表项中存储有过多无效的具体网络应用下的网络流量报文特征序列,将定时删除所述IP表项中预设时间内没有被匹配命中过的报文特征序列。
匹配查找模块320,与判断模块310和表项设置模块330连接,用于当前会话不具有特定明文特征时,查找预先设置模块330中存储的网络应用流量与对应网络协议的关联IP表项中是否存在与当前会话匹配的报文特征序列,如果匹配,则根据所述IP表项中报文特征序列与网络协议的对应关系确定所述当前会话正在使用的网络协议。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1、一种基于应用行为模式的协议识别控制方法,应用于带宽管理设备中,其特征在于,所述方法包括以下步骤:
判断当前会话是否具有应用层网络协议产生的特定明文特征;
如果所述当前会话不具有特定明文特征,查找预先设置的网络流量与对应的网络协议间的关联IP表项中是否存在与当前会话匹配的报文特征序列,如果匹配,则根据所述IP表项中的报文特征序列与网络协议的对应关系确定所述当前会话正在使用的网络协议。
2、如权利要求1所述的方法,其特征在于,在查找预先设置的IP表项中是否存在与当前会话匹配的报文特征序列之前,还包括:
根据所述当前会话的源IP地址和目的IP地址确定可能使用的网络协议,具体为:
根据某IP地址产生的特定超文本传输协议HTTP流量、域名系统DNS流量、传输控制协议TCP或用户数据报协议UDP负载具有的明文特征判断正在进行某个网络应用,从而推测所述IP后续产生的未知流量可能使用所述网络协议。
3、如权利要求2所述的方法,其特征在于,在当前会话的源IP地址和目的IP地址确定可能使用的网络协议之前还包括:
记录所有经过所述带宽管理设备的已知会话的报文特征序列与对应的网络协议间的关系;
生成所述已知会话报文特征序列与所述会话使用网络协议的关联IP表项。
4、如权利要求3所述的方法,其特征在于,在所述关联IP表项中添加新的所述已知会话报文特征序列与对应的网络协议对应关系之前,还需要:
遍历所述IP表项中的报文特征序列,确定所述IP表项中没有所述会话报文特征序列与网络协议间的对应关系时,将所述报文特征序列添加到所述IP表项中。
5、如权利要求3所述的方法,其特征在于,之后还包括:
定时删除所述IP表项中预设时间内没有被匹配命中过的会话报文特征序列与网络协议间的对应关系。
6、如权利要求1至5中任一项所述的方法,其特征在于,所述判断当前会话是否具有特定明文特征,具体是通过使用IP/端口识别法和深度包检测DPI识别法检测判断。
7、如权利要求1至5中任一项所述的方法,其特征在于,所述会话报文特征序列包括:报文长度、报文方向和报文位置。
8、一种带宽管理设备,其特征在于,包括:
判断模块,用于判断当前会话是否具有应用层网络协议产生的特定明文特征,当判断当前会话具有特定的明文特征时,将所述会话中特定明文特征与网络协议间的对应关系发给表项设置模块,否则,则将所述会话发给匹配查找模块;
表项设置模块,与所述判断模块和匹配查找模块连接,用于记录所有经过所述带宽管理设备的已知会话的报文特征序列与网络协议间的对应关系,生成所述报文特征序列与所述会话使用网络协议的关联IP表项;
匹配查找模块,与所述判断模块连接,用于在当前会话不具有特定明文特征时,查找预先设置的IP表项中是否存在与当前会话匹配的报文特征序列,如果匹配,则根据所述IP表项中报文特征序列与网络协议的对应关系确定所述当前会话正在使用的网络协议。
9、如权利要求8所述的带宽管理设备,其特征在于,所述表项设置模块,在IP表项中添加新的报文特征序列与网络协议间的对应关系时,还需要遍历所述IP表项中已存储的报文特征序列与网络协议间的关联IP表项,确定所述IP表项中没有所述报文特征序列时,将所述报文特征序列添加到所述IP表项中。
10、如权利要求8所述的带宽管理设备,其特征在于,所述表项设置模块定时删除所述IP表项中预设时间内没有被匹配命中过的报文特征序列与网络协议间的对应关系,以避免所述IP表项中存储过多的无效报文特征序列与网络协议间的对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910135978A CN101547207A (zh) | 2009-05-07 | 2009-05-07 | 一种基于应用行为模式的协议识别控制方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910135978A CN101547207A (zh) | 2009-05-07 | 2009-05-07 | 一种基于应用行为模式的协议识别控制方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101547207A true CN101547207A (zh) | 2009-09-30 |
Family
ID=41194090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910135978A Pending CN101547207A (zh) | 2009-05-07 | 2009-05-07 | 一种基于应用行为模式的协议识别控制方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101547207A (zh) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010145381A1 (zh) * | 2009-10-22 | 2010-12-23 | 中兴通讯股份有限公司 | 一种业务联动控制系统和方法 |
| CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
| CN102148854A (zh) * | 2010-10-19 | 2011-08-10 | 华为数字技术有限公司 | 对等节点共享流量识别方法和装置 |
| CN102195816A (zh) * | 2011-05-24 | 2011-09-21 | 北京网康科技有限公司 | 一种未识别流量信息反馈的方法及其设备 |
| CN102195882A (zh) * | 2011-05-18 | 2011-09-21 | 深信服网络科技(深圳)有限公司 | 根据数据流应用类型选路的方法及装置 |
| CN102195945A (zh) * | 2010-03-11 | 2011-09-21 | 凹凸电子(武汉)有限公司 | 协议识别方法、装置及系统 |
| CN102394893A (zh) * | 2011-11-23 | 2012-03-28 | Tcl王牌电器(惠州)有限公司 | 检验终端与服务端通讯协议的方法、服务器及系统 |
| CN102420833A (zh) * | 2011-12-27 | 2012-04-18 | 华为技术有限公司 | 一种网络协议识别的方法、装置及其系统 |
| CN102571928A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 根据应用识别选择应用代理的方法及装置 |
| CN102724317A (zh) * | 2012-06-21 | 2012-10-10 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
| CN103281291A (zh) * | 2013-02-19 | 2013-09-04 | 电子科技大学 | 一种基于Hadoop的应用层协议识别方法 |
| CN104125105A (zh) * | 2014-08-14 | 2014-10-29 | 北京锐安科技有限公司 | 对互联网应用场所分类的方法和装置 |
| CN104244217A (zh) * | 2013-06-20 | 2014-12-24 | 中国电信股份有限公司 | 实现用户数据实时同步的方法和系统 |
| CN105429819A (zh) * | 2015-11-04 | 2016-03-23 | 深圳市蜂联科技有限公司 | 一种应用识别的包长检测方法 |
| US9398027B2 (en) | 2011-12-31 | 2016-07-19 | Huawei Technologies Co., Ltd. | Data detecting method and apparatus for firewall |
| CN107276796A (zh) * | 2017-06-07 | 2017-10-20 | 北京潘达互娱科技有限公司 | 一种网络检测方法与装置 |
| CN107547437A (zh) * | 2017-05-11 | 2018-01-05 | 新华三信息安全技术有限公司 | 应用识别方法及装置 |
| CN107864127A (zh) * | 2017-10-30 | 2018-03-30 | 北京神州绿盟信息安全科技股份有限公司 | 一种应用程序的识别方法及装置 |
| CN108833559A (zh) * | 2018-06-25 | 2018-11-16 | 杭州迪普科技股份有限公司 | 一种视频数据的缓存与分发的方法及装置 |
| CN109639593A (zh) * | 2018-12-24 | 2019-04-16 | 南京中孚信息技术有限公司 | 一种深度报文分析系统的升级方法及装置 |
| CN109871948A (zh) * | 2019-03-26 | 2019-06-11 | 中国人民解放军陆军工程大学 | 一种基于二维卷积神经网络的应用层协议识别方法 |
| CN109951430A (zh) * | 2017-12-21 | 2019-06-28 | 中移(杭州)信息技术有限公司 | 一种数据处理方法及装置 |
| CN109995602A (zh) * | 2017-12-29 | 2019-07-09 | 中国移动通信集团设计院有限公司 | 一种协议识别的方法、系统和装置 |
| CN110808879A (zh) * | 2019-11-01 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 一种协议识别方法、装置、设备及可读存储介质 |
| CN111131070A (zh) * | 2019-12-19 | 2020-05-08 | 北京浩瀚深度信息技术股份有限公司 | 一种基于端口时间序列的网络流量分类方法、装置及存储介质 |
| CN111224891A (zh) * | 2019-12-24 | 2020-06-02 | 北京百卓网络技术有限公司 | 一种基于动态学习三元组的流量应用识别系统及方法 |
| CN112398813A (zh) * | 2020-10-23 | 2021-02-23 | 无锡宏创盛安科技有限公司 | 一种交互式应用协议识别方法 |
| CN113242205A (zh) * | 2021-03-19 | 2021-08-10 | 武汉绿色网络信息服务有限责任公司 | 网络流量分类控制方法、装置、服务器及存储介质 |
| CN114465741A (zh) * | 2020-11-09 | 2022-05-10 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
-
2009
- 2009-05-07 CN CN200910135978A patent/CN101547207A/zh active Pending
Cited By (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045131A (zh) * | 2009-10-22 | 2011-05-04 | 中兴通讯股份有限公司 | 一种业务联动控制系统和方法 |
| WO2010145381A1 (zh) * | 2009-10-22 | 2010-12-23 | 中兴通讯股份有限公司 | 一种业务联动控制系统和方法 |
| US9077662B2 (en) | 2009-10-22 | 2015-07-07 | Zte Corporation | Service linkage control system and method |
| CN102045131B (zh) * | 2009-10-22 | 2015-06-10 | 中兴通讯股份有限公司 | 一种业务联动控制系统和方法 |
| CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
| CN102195945A (zh) * | 2010-03-11 | 2011-09-21 | 凹凸电子(武汉)有限公司 | 协议识别方法、装置及系统 |
| CN102148854B (zh) * | 2010-10-19 | 2013-08-28 | 北京华为数字技术有限公司 | 对等节点共享流量识别方法和装置 |
| CN102148854A (zh) * | 2010-10-19 | 2011-08-10 | 华为数字技术有限公司 | 对等节点共享流量识别方法和装置 |
| CN102195882A (zh) * | 2011-05-18 | 2011-09-21 | 深信服网络科技(深圳)有限公司 | 根据数据流应用类型选路的方法及装置 |
| CN102195882B (zh) * | 2011-05-18 | 2016-04-06 | 深信服网络科技(深圳)有限公司 | 根据数据流应用类型选路的方法及装置 |
| CN102195816A (zh) * | 2011-05-24 | 2011-09-21 | 北京网康科技有限公司 | 一种未识别流量信息反馈的方法及其设备 |
| CN102394893B (zh) * | 2011-11-23 | 2014-11-26 | Tcl王牌电器(惠州)有限公司 | 检验终端与服务端通讯协议的方法、服务器及系统 |
| CN102394893A (zh) * | 2011-11-23 | 2012-03-28 | Tcl王牌电器(惠州)有限公司 | 检验终端与服务端通讯协议的方法、服务器及系统 |
| CN102571928B (zh) * | 2011-12-21 | 2014-11-05 | 深信服网络科技(深圳)有限公司 | 根据应用识别选择应用代理的方法及装置 |
| CN102571928A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 根据应用识别选择应用代理的方法及装置 |
| CN102420833A (zh) * | 2011-12-27 | 2012-04-18 | 华为技术有限公司 | 一种网络协议识别的方法、装置及其系统 |
| US9398027B2 (en) | 2011-12-31 | 2016-07-19 | Huawei Technologies Co., Ltd. | Data detecting method and apparatus for firewall |
| CN102724317A (zh) * | 2012-06-21 | 2012-10-10 | 华为技术有限公司 | 一种网络数据流量分类方法和装置 |
| CN103281291A (zh) * | 2013-02-19 | 2013-09-04 | 电子科技大学 | 一种基于Hadoop的应用层协议识别方法 |
| CN103281291B (zh) * | 2013-02-19 | 2016-04-20 | 电子科技大学 | 一种基于Hadoop的应用层协议识别方法 |
| CN104244217B (zh) * | 2013-06-20 | 2017-10-20 | 中国电信股份有限公司 | 实现用户数据实时同步的方法和系统 |
| CN104244217A (zh) * | 2013-06-20 | 2014-12-24 | 中国电信股份有限公司 | 实现用户数据实时同步的方法和系统 |
| CN104125105B (zh) * | 2014-08-14 | 2017-07-18 | 北京锐安科技有限公司 | 对互联网应用场所分类的方法和装置 |
| CN104125105A (zh) * | 2014-08-14 | 2014-10-29 | 北京锐安科技有限公司 | 对互联网应用场所分类的方法和装置 |
| CN105429819B (zh) * | 2015-11-04 | 2018-08-17 | 深圳市蜂联科技有限公司 | 一种应用识别的包长检测方法 |
| CN105429819A (zh) * | 2015-11-04 | 2016-03-23 | 深圳市蜂联科技有限公司 | 一种应用识别的包长检测方法 |
| CN107547437A (zh) * | 2017-05-11 | 2018-01-05 | 新华三信息安全技术有限公司 | 应用识别方法及装置 |
| CN107276796B (zh) * | 2017-06-07 | 2020-03-17 | 北京潘达互娱科技有限公司 | 一种网络检测方法与装置 |
| CN107276796A (zh) * | 2017-06-07 | 2017-10-20 | 北京潘达互娱科技有限公司 | 一种网络检测方法与装置 |
| CN107864127A (zh) * | 2017-10-30 | 2018-03-30 | 北京神州绿盟信息安全科技股份有限公司 | 一种应用程序的识别方法及装置 |
| CN107864127B (zh) * | 2017-10-30 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种应用程序的识别方法及装置 |
| CN109951430B (zh) * | 2017-12-21 | 2021-04-30 | 中移(杭州)信息技术有限公司 | 一种数据处理方法及装置 |
| CN109951430A (zh) * | 2017-12-21 | 2019-06-28 | 中移(杭州)信息技术有限公司 | 一种数据处理方法及装置 |
| CN109995602B (zh) * | 2017-12-29 | 2021-03-16 | 中国移动通信集团设计院有限公司 | 一种协议识别的方法、系统和装置 |
| CN109995602A (zh) * | 2017-12-29 | 2019-07-09 | 中国移动通信集团设计院有限公司 | 一种协议识别的方法、系统和装置 |
| CN108833559B (zh) * | 2018-06-25 | 2020-12-29 | 杭州迪普科技股份有限公司 | 一种视频数据的缓存与分发的方法及装置 |
| CN108833559A (zh) * | 2018-06-25 | 2018-11-16 | 杭州迪普科技股份有限公司 | 一种视频数据的缓存与分发的方法及装置 |
| CN109639593B (zh) * | 2018-12-24 | 2022-08-12 | 南京中孚信息技术有限公司 | 一种深度报文分析系统的升级方法及装置 |
| CN109639593A (zh) * | 2018-12-24 | 2019-04-16 | 南京中孚信息技术有限公司 | 一种深度报文分析系统的升级方法及装置 |
| CN109871948A (zh) * | 2019-03-26 | 2019-06-11 | 中国人民解放军陆军工程大学 | 一种基于二维卷积神经网络的应用层协议识别方法 |
| CN110808879A (zh) * | 2019-11-01 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 一种协议识别方法、装置、设备及可读存储介质 |
| CN110808879B (zh) * | 2019-11-01 | 2021-11-02 | 杭州安恒信息技术股份有限公司 | 一种协议识别方法、装置、设备及可读存储介质 |
| CN111131070A (zh) * | 2019-12-19 | 2020-05-08 | 北京浩瀚深度信息技术股份有限公司 | 一种基于端口时间序列的网络流量分类方法、装置及存储介质 |
| CN111224891A (zh) * | 2019-12-24 | 2020-06-02 | 北京百卓网络技术有限公司 | 一种基于动态学习三元组的流量应用识别系统及方法 |
| CN111224891B (zh) * | 2019-12-24 | 2023-05-09 | 北京百卓网络技术有限公司 | 一种基于动态学习三元组的流量应用识别系统及方法 |
| CN112398813A (zh) * | 2020-10-23 | 2021-02-23 | 无锡宏创盛安科技有限公司 | 一种交互式应用协议识别方法 |
| CN112398813B (zh) * | 2020-10-23 | 2022-05-31 | 无锡宏创盛安科技有限公司 | 一种交互式应用协议识别方法 |
| CN114465741A (zh) * | 2020-11-09 | 2022-05-10 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
| CN114465741B (zh) * | 2020-11-09 | 2023-09-26 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
| CN113242205A (zh) * | 2021-03-19 | 2021-08-10 | 武汉绿色网络信息服务有限责任公司 | 网络流量分类控制方法、装置、服务器及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101547207A (zh) | 一种基于应用行为模式的协议识别控制方法和设备 | |
| US9537887B2 (en) | Method and system for network connection chain traceback using network flow data | |
| Chen et al. | An effective conversation‐based botnet detection method | |
| CN101505276B (zh) | 网络应用流量识别方法和装置及网络应用流量管理设备 | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| Shahbar et al. | Benchmarking two techniques for Tor classification: Flow level and circuit level classification | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| CN101383829B (zh) | 一种流识别方法及带宽管理设备 | |
| JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
| Aiello et al. | Basic classifiers for DNS tunneling detection | |
| US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
| Shahbar et al. | An analysis of Tor pluggable transports under adversarial conditions | |
| Xie et al. | Detecting latent attack behavior from aggregated Web traffic | |
| NL2034989A (en) | Method for detecting network abnormal behavior based on data multi-dimensional entropy fingerprint | |
| KR102149531B1 (ko) | 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법 | |
| Değirmenci et al. | ROSIDS23: Network intrusion detection dataset for robot operating system | |
| CN101854366B (zh) | 一种对等网络流量识别的方法及装置 | |
| CN113037748A (zh) | 一种c&c信道混合检测方法及系统 | |
| Xiao et al. | Automatic protocol reverse engineering using grammatical inference | |
| Freire et al. | On metrics to distinguish skype flows from http traffic | |
| KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| US20200021647A1 (en) | Method of P2P Botnet Detection Based on Netflow Sessions | |
| Lu et al. | Network security situation awareness based on network simulation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090930 |