CN101605132B - 一种网络数据流识别方法 - Google Patents
一种网络数据流识别方法 Download PDFInfo
- Publication number
- CN101605132B CN101605132B CN2009101086723A CN200910108672A CN101605132B CN 101605132 B CN101605132 B CN 101605132B CN 2009101086723 A CN2009101086723 A CN 2009101086723A CN 200910108672 A CN200910108672 A CN 200910108672A CN 101605132 B CN101605132 B CN 101605132B
- Authority
- CN
- China
- Prior art keywords
- session
- data stream
- network data
- identification
- recognition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络数据流识别方法,包括识别建立会话所属节点的识别状态;在所述识别状态基础上,分优先级特征识别所述节点的后续会话并更新所述识别状态。这种网络数据流识别方法,综合当前用户所产生数据流的组成结构,依据会话内和会话间的相关性,进行会话预测和弱规则匹配,提高了识别效率和未知会话识别率。
Description
技术领域
本发明涉及网络数据流鉴别,具体涉及一种可广泛应用于应用防火墙、入侵检测(IPS/IDS)、UTM、流控、流量优化等需要进行网络应用数据流识别的设备中网络数据流识别方法。
背景技术
网络数据流识别,就是对网络数据流所含信息量的充分利用,达到将其按所属应用协议进行分类标识,实现审计/控制/管理的目的。
数据流本身所含信息包括:源/目标地址,端口,协议号,这些基本的3层协议5元组特征,以及7层的数据内容,会话时长,会话流量,会话包间时延等等;在此基础上,本文提出了会话内前后数据包之间相关性和会话间相关性两个概念,并据此对传统的应用识别方法进行扩展。
目前防火墙,IPS/IDS,流量控制/流量优化等设备对于网络数据流的识别仅限于3层协议特征和7层数据的数字签证,一般的数字签证就是搜集应用数据流的特征码,在设备上对所有网络数据流进行特征匹配,匹配状态只能由一个集合转换到其子集,而无法在多个集合之间进行有状态记忆地自由切换,其行为类似于杀毒软件的扫描过程,以数据内容特征为例,具体如图1所示,集合=>子集:网络数据流实际上就是一连串的数据包,这串数据包又可分为收发两个方向,即:数据包是被会话“串起来”进行传输,所以数据包必须在会话的逻辑内维持一定的顺序,正向:A后面是B,C,D...。逆向:A’,B’,C’...。;会话内数据包之间的相关性可以体现在:如果A包含特征S1,A’或是后续B/B’...包含特征S2,则可以说:会话具有S1特征,并且后续包具有S2特征,则该会话为应用X,这样就可将分散在各个数据包中的特征值聚合起来。一方面可提供更加丰富的特征选择,其次还可以实现同一会话,不同识别结果的状态转换,从而达到细化应用识别结果的目的,比如:迅雷是一款基于HTTP协议的下载工具,但其对HTTP协议做了”私有化”的扩展,根据签证S1能确定当前数据流是HTTP协议,而通过后面的数据特征S2,S3...方可进一步可将其识别为迅雷所发起的“私有”HTTP协议。这就是已知的集合到其子集的转换。然而不同于存储在本地磁盘的文件,网络数据流因其传输过程中的编码,封装,甚至是加密处理,使其具有更多的不确定性。如:应用软件都有其私有协议,对私有协议的分析和跟踪属“黑盒”操作,当应用软件发生版本更新,原有的特征值就可能失效,需要更新识别特征值,且某些私有协议为了躲避识别和受控制,进行了特殊的伪装或加密处理,这样就进一步加大了仅仅通过特征值来识别的难度,也提升了错误识别的风险。所以单纯依赖数字签证的传统方法存在规则维护代价高,运算效率低,识别率低,识别精确度/细粒度不够等问题。
发明内容
本发明需要解决的技术问题是,如何提供一种网络数据流识别方法,能较传统方法提高识别效率和精确度。
本发明技术问题这样解决,构建一种网络数据流识别方法,其特征在于,包括以下步骤:
1.1)识别建立会话所属节点的识别状态;
1.2)在所述识别状态基础上,分优先级识别所述节点的后续会话并更新所述识别状态;所述分优先级识别包括:最先匹配与所述识别状态相关、在任何状态下都起作用的强限定条件的规则集;其次再匹配与所述识别状态不相关、在任何状态下都起作用的强限定条件的规则集;最后匹配与所述识别状态相关、仅在特定状态下起作用的弱限定条件的规则集;其中:若在先匹配成功,则不进行后续匹配。
按照本发明提供的网络数据流识别方法,所述识别包括但不限制于行为特征识别和数据内容特征识别。
按照本发明提供的网络数据流识别方法,所述识别状态在建立或更新后设定时间内有效,否则失效。
按照本发明提供的网络数据流识别方法,所述分优先级识别包括首先匹配与所述识别状态相关的规则集。
按照本发明提供的网络数据流识别方法,该方法还包括:在与所述识别状态相关、仅在特定状态下起作用的弱限定条件的规则集匹配成功后,判断识别结果的可靠性。
按照本发明提供的网络数据流识别方法,所述弱限定条件包括特定状态识别信息。
按照本发明提供的网络数据流识别方法,所述节点是用户或服务器。
本发明提供的网络数据流识别方法,通过对识别状态的记录和更新,综合当前用户所产生数据流的组成结构,依据会话内和会话间的相关性,进行会话预测或弱规则匹配,达到提高应用识别效率和未知会话识别率目的。
附图说明
下面结合附图和具体实施例进一步对本发明进行详细说明。
图1是传统网络数据流识别示例流程示意图;
图2是本发明网络数据流识别方法流程示意图;
图3是本发明方法中规则间关联性示意图;
图4是本发明方法应用一流程示意图;
图5是本发明方法应用二流程示意图;
图4是本发明方法应用三流程示意图。
具体实施方式
首先,说明本发明方法:
如图2所示,在本发明网络数据流识别方法中,节点(包括用户和服务器)除采用传统普通规则集进行匹配外,还采用已知应用相关规则集进行优先匹配和采用相关弱规则进行补充匹配。
如图3所示,在本发明网络数据流识别方法中,依赖于应用A识别状态识别规则的特殊规则可以完成同一会话识别状态间的迁移,识别A应用识别状态的普通规则及其特殊规则统称A应用的相关规则集A{...},而依赖应用A识别状态全部规则集的“弱规则集a{...}”,就是根据节点已知存在应用A,来猜测此节点相关的未知会话是否为A应用的匹配条件集。它们之间相互依附,例如:对该会话使用弱规则集a{...}匹配的前提是:1.该会话前几包数据进行A应用的相关规则集A{...}匹配后无法识别。2.肯定该会话所属节点,在这段时间内已存在应用A的会话。其中:“弱”规则就是一些更为简单的限定条件,但使用它们的前提是,确定节点当前一段时间内的数据流含有他们所依赖的已知应用。如:已知节点N1是服务S1的服务器,那么和S1相关的“弱”规则就可定义为:“与已知S1的会话具有相同目的IP&PORT”,这样一来,到N1无法精确定义的会话,都可根据这条弱规则来定义成S1的会话。
第二步,以数据内容特征识别为例,说明本发明应用:
(一)有状态的集合<=>集合:
某些协议会出现复杂的状态转换,基于传统的数字签证利用上面所描述的集合到子集单向转换就很难实现对其识别/控制。在基于会话内数据包相关性的考虑之后,就可以完成识别结果的状态转换,从而对其不同状态使用不同的控制策略。例如:MSN传文件时偶尔存在的一种转换过程,如图4所示,在“MSN消息”的识别状态基础上识别“MSN传文件”状态,当传文件过程结束后又可回到MSN发消息状态。
(二)智能有据推理和应用版本更新自动适应:
同种应用一般存在多种类型的会话,某些是容易识别,另一些可能较难识别,仅有为数不多的几个特征,这些特征如果直接使用,存在较高的误判风险,不使用就无法识别该会话,一定程度造成特征资源未被充分利用。
首先:会话预测与弱规则匹配,可以用来预测某用户这段时间内可能产生的会话类型,大多数应用会产生很多会话,如果能根据已知某一个会话断定此用户在使用该应用,那么来自于此用户的其它会话可以优先匹配和该应用相关的识别规则,以提高效率和减少误判;如图5所示,这一特性也可用来提高单个应用含多种复杂会话时的应用识别率,假如通过前面的数字签证+会话内部相关性已确定某个用户U1在某个时间段T1内,存在应用A的会话s1,而已知A存在其它会话s2,s3...,且s2的特征较”弱”,不便于直接识别。而在已知s1存在的前提下,s2的”弱”特征就可仅用于对用户U1的其它未知会话(包含s2,s3...)进行识别了,从而极大地提高了应用识别率。
(三)应用服务器的识别:
如图6所示,通过前面的数字签证+内部相关性能确定出应用A多个版本中,某一版本的会话s1,记录下其服务器地址ip1,端口号p1,p2...,如果应用A的s1属于Client/Server或P2SP中的P2S类型会话;那么内网中其它用户使用A应用的其它版本,会话到该ip1,ip2...的未知会话就可以进行应用A其它版本的”弱”特征会话s2,s3,...匹配。甚至相同地址和端口号这一特征即可直接确定该会话所属应用类型。
比如:QQ具有2006,07,08...等多个版本,但是只需要识别出任意一个版本,即可取得一份QQ的服务器地址&端口列表,其它到该服务器&端口的会话可优先匹配QQ相关规则,而未知的会话,也可通过这份服务器地址列表与弱规则匹配来做进一步确认。
最后,说明本发明的具体实现:
第一步:实现一个数值签证鉴别功能模块,对数据流按照规则进行模式匹配,如:匹配数据包内偏移多少字节后,取当前值等于xxx,或是数据包内某个范围内搜索能够得到xxxxxx...,或是数据包倒数多少字节等于xxxx;最简单的实现就是使用多模式匹配的方式直接进行数据流搜索。
第二步:实现一个或是利用现有的会话跟踪系统,记录下每个会话的识别状态,每个数据包通过之后,根据匹配的结果,更新会话识别状态。
第三步:实现一个基于用户的可快速检索库(基于ip的hash表),将能被再次利用的识别结果保存起来;
比如:已知用户U1存在应用A1,则将U1存起来,后续对于U1的新建连接优先匹配在U1处已存在并可预测的规则集合;对于因特征不明显,而未能识别的会话可使用与A1相关的”弱”规则继续匹配;以上对于U1应用A1所存的信息具有时间T1的有效性限制,当超过T1而无A1的数据活动后,该存储节点将被清除。
再如:有QQ服务器Server1被记录下来后,其它到该服务器的未知会话都可以优先使用QQ的”弱”规则继续匹配了,一般而言服务器识别结果的超时时间T2都比较长。
最后一步,就是需要人工参与的规则制定了,规则包括数字签证的匹配条件,包含传统规则和本发明弱规则,传统规则中多条规则配合实现会话内的相关性利用,会话内的识别状态转换,以及规则的识别结果可指定:源地址是否做会话间相关性的源地址记录,或目标服务器记录。并同时制定另一些依赖这些识别结果的“弱”规则。
以上所述仅为本发明的较佳实施例,凡依本发明权利要求范围所做的均等变化与修饰,皆应属本发明权利要求的涵盖范围。
Claims (6)
1.一种网络数据流识别方法,其特征在于,包括以下步骤:
1.1)识别建立会话所属节点的识别状态;
1.2)在所述识别状态基础上,分优先级识别所述节点的后续会话并更新所述识别状态;所述分优先级识别包括:最先匹配与所述识别状态相关、在任何状态下都起作用的强限定条件的规则集;其次再匹配与所述识别状态不相关、在任何状态下都起作用的强限定条件的规则集;最后匹配与所述识别状态相关、仅在特定状态下起作用的弱限定条件的规则集;其中:
若在先匹配成功,则不进行后续匹配。
2.根据权利要求1所述网络数据流识别方法,其特征在于,所述识别是数据内容特征识别或行为特征识别。
3.根据权利要求1所述网络数据流识别方法,其特征在于,所述识别状态在建立或更新后设定时间内有效,否则失效。
4.根据权利要求1所述网络数据流识别方法,其特征在于,该方法还包括:在与所述识别状态相关、仅在特定状态下起作用的弱限定条件的规则集匹配成功后,判断识别结果的可靠性。
5.根据权利要求4所述网络数据流识别方法,其特征在于,所述弱限定条件包括特定状态识别信息。
6.根据权利要求1所述网络数据流识别方法,其特征在于,所述节点是用户或服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101086723A CN101605132B (zh) | 2009-07-13 | 2009-07-13 | 一种网络数据流识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101086723A CN101605132B (zh) | 2009-07-13 | 2009-07-13 | 一种网络数据流识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101605132A CN101605132A (zh) | 2009-12-16 |
CN101605132B true CN101605132B (zh) | 2012-07-04 |
Family
ID=41470686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101086723A Active CN101605132B (zh) | 2009-07-13 | 2009-07-13 | 一种网络数据流识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101605132B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111400B (zh) * | 2010-12-07 | 2014-07-09 | 华为数字技术(成都)有限公司 | 一种木马检测方法、装置及系统 |
EP2811691B1 (en) | 2012-10-12 | 2016-09-14 | Huawei Technologies Co., Ltd. | Method and device for synchronizing network data flow detection status |
CN102982110B (zh) * | 2012-11-08 | 2015-04-01 | 中国科学院自动化研究所 | 在物理空间上提取网络空间热点事件信息的方法 |
CN106790068B (zh) * | 2016-12-21 | 2019-08-06 | 西安兖矿科技研发设计有限公司 | 一种用于加速工控防火墙规则匹配的方法 |
CN108173825B (zh) * | 2017-12-21 | 2021-01-01 | 奇安信科技集团股份有限公司 | 一种网络流量审计方法及装置 |
CN108377223B (zh) * | 2018-01-05 | 2019-12-06 | 网宿科技股份有限公司 | 一种多包识别方法、数据包识别方法及流量引导方法 |
CN112291797B (zh) * | 2019-07-11 | 2022-08-30 | 中国移动通信集团湖南有限公司 | 一种数据的处理方法、装置及电子设备 |
CN111611572B (zh) * | 2020-06-28 | 2022-11-22 | 支付宝(杭州)信息技术有限公司 | 一种基于人脸认证的实名认证方法及装置 |
CN112437022B (zh) * | 2020-11-11 | 2023-05-19 | 中国科学技术大学先进技术研究院 | 网络流量识别方法、设备及计算机存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1929472A (zh) * | 2005-09-06 | 2007-03-14 | 飞塔信息科技(北京)有限公司 | 数据网络中管理数据传输的方法、系统、信号及介质 |
-
2009
- 2009-07-13 CN CN2009101086723A patent/CN101605132B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1929472A (zh) * | 2005-09-06 | 2007-03-14 | 飞塔信息科技(北京)有限公司 | 数据网络中管理数据传输的方法、系统、信号及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101605132A (zh) | 2009-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101605132B (zh) | 一种网络数据流识别方法 | |
CN110650128B (zh) | 一种检测以太坊数字货币盗取攻击的系统及方法 | |
RU2419986C2 (ru) | Объединение многострочных протокольных вхождений | |
CN105022960A (zh) | 基于网络流量的多特征移动终端恶意软件检测方法及系统 | |
CN101854391B (zh) | 一种基于对等网络的阿瑞斯协议分析系统的实现方法 | |
CN111801925B (zh) | 在网络中传播数据的基于区块链的系统和方法 | |
US20050187946A1 (en) | Data overlay, self-organized metadata overlay, and associated methods | |
CN101237331B (zh) | 话单文件的生成方法、传输方法、系统和装置 | |
CN105321108A (zh) | 一种用于在对等网络上创建共享信息列表的系统和方法 | |
CN1505338A (zh) | 在具有不同地址系统的网络上的用户识别技术 | |
CN103064731A (zh) | 一种提高消息队列系统性能的装置及其方法 | |
CN103997521B (zh) | 一种基于路由器的文件操作方法、装置及路由器 | |
CN111406396A (zh) | 用于诸如区块链网络等网络中的数据传播和通信的计算机实现的系统和方法 | |
CN107800565A (zh) | 巡检方法、装置、系统、计算机设备和存储介质 | |
CN103618652A (zh) | 一种业务数据的审计和深度分析系统及其方法 | |
Nordström et al. | A search-based network architecture for mobile devices | |
CN113949577A (zh) | 一种应用于云服务的数据攻击分析方法及服务器 | |
CN101741745B (zh) | 识别对等网络应用流量的方法及其系统 | |
CN1595890B (zh) | 与预订通知服务的虚拟连接 | |
CN109474691A (zh) | 一种物联网设备识别的方法及装置 | |
CN101753456B (zh) | 一种对等网络流量检测方法及其系统 | |
CN108418871A (zh) | 一种云存储性能优化方法和系统 | |
CN112822208A (zh) | 一种基于区块链的物联网设备识别方法及系统 | |
US9400729B2 (en) | System and method for determining topology of monitored entities | |
CN101827068B (zh) | 一种业务场景还原方法与装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SINFOR Polytron Technologies Inc Address before: 518052 room 410, science and technology innovation center, 1 Qilin Road, Shenzhen, Guangdong, Nanshan District Patentee before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen |
|
CP03 | Change of name, title or address |