CN102025739A - 基于主机行为的多维度协议识别方法 - Google Patents
基于主机行为的多维度协议识别方法 Download PDFInfo
- Publication number
- CN102025739A CN102025739A CN2010105869585A CN201010586958A CN102025739A CN 102025739 A CN102025739 A CN 102025739A CN 2010105869585 A CN2010105869585 A CN 2010105869585A CN 201010586958 A CN201010586958 A CN 201010586958A CN 102025739 A CN102025739 A CN 102025739A
- Authority
- CN
- China
- Prior art keywords
- main frame
- span
- download tool
- camouflage
- agreement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于主机行为的多维度协议识别方法,所述方法包括:步骤A:预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范围;步骤B:检测所有连接中含有端到端P2P下载工具的私有协议后确定主机;步骤C:在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行为维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下载工具的伪装协议;否则,判定该主机的连接中不含有所述P2P下载工具的伪装协议。应用本发明的方法,能够高效率地完成对迅雷等P2P下载工具的伪装协议的识别,进而实现对网络流量的控制。
Description
技术领域
本发明涉及互联网应用技术领域,特别涉及一种基于主机行为的多维度协议识别方法。
背景技术
随着以TCP/IP技术为基础的互联网的快速发展,网络结构逐渐从传统的客户端/服务器(C/S)模式转向端到端(P2P)模式,网络应用逐渐从网页浏览、电子邮件、文字聊天转变为文件下载、高清晰音频视频,带宽资源日渐紧张。而且,以迅雷和电驴为代表的P2P下载占用了大量网络带宽,导致网络拥塞,大大降低了网络性能,妨碍了正常的网络业务开展和关健应用,严重影响了用户正常的Web,E-mail等应用。同时,这些P2P下载可以穿透现有防火墙和安全代理,通过并不安全的网络环境获得应用于电影、音乐、游戏等各种应用程序,使得病毒得以躲过安全审查入侵内部网络,造成严重的内部网络安全隐患。
这些P2P下载工具使用第四代P2P协议,即私有协议和伪装协议相结合的混合下载方式,且采用伪装技术企图逃避ISP(InternetService Provider,互联网服务提供商)的监管,比如使用http和ftp这些传统协议进行下载,这种伪装的下载方式对协议识别工作提出了非常严峻的挑战。
目前,对于迅雷等下载工具伪装http的连接,一般仅能从http头部字段中提取客户端及浏览器信息作为特征进行识别,但是这种识别方法的误识别概率高,且更新周期短,很难长期有效。不能高效率地完成对迅雷等P2P下载的识别,进而无法实现对网络流量的控制。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是,针对上述缺陷,如何提供一种基于主机行为的多维度协议识别方法,能够高效率地完成对迅雷等P2P下载工具的伪装协议的识别,进而实现对网络流量的控制。
(二)技术方案
为解决上述技术问题,本发明提供了一种基于主机行为的多维度协议识别方法,所述方法包括:
步骤A:预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范围;
步骤B:检测所有连接中是否含有端到端P2P下载工具的私有协议,如果有,则确定主机;否则,判定所有连接中不含有任何P2P下载工具的伪装协议;
步骤C:在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行为维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下载工具的伪装协议;否则,判定该主机的连接中不含有所述P2P下载工具的伪装协议。
优选地,步骤A中所述主机行为维度包括:时间差、端口差和载荷差。
优选地,步骤A中所述主机行为维度的取值范围包括:时间差取值范围、端口差取值范围和载荷差取值范围。
优选地,步骤C中该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配包括:所述P2P下载工具的伪装协议与所述P2P下载工具的私有协议创建连接的时间差取值范围与预定的时间差取值范围相匹配,所述P2P下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的端口差取值范围与预定的端口差取值范围相匹配,以及所述P2P下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的载荷差取值范围与预定的载荷差取值范围相匹配。
优选地,步骤B中所述P2P下载工具包括迅雷和电驴。
优选地,所述P2P下载工具的伪装协议包括:超文本传输协议http、文件传输协议ftp或加密协议。
(三)有益效果
本发明提出了一种基于主机行为的多维度协议识别方法,与传统协议识别方法不同,其更多地从统计学角度提取特征,通过预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范围;检测所有连接中含有P2P下载工具的私有协议后确定主机;在预定时间段内监控并记录该主机中所述P2P下载工具的伪装协议在各个主机行为维度的取值范围,如果该主机中所述P2P下载工具的伪装协议在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下载工具的伪装协议,在分析混合协议、加密协议方面,体现了较高的优越性,能够高效率地完成对迅雷等P2P下载工具的伪装协议的识别,进而实现对网络流量的控制。
附图说明
图1本发明实施例的基于主机行为的多维度协议识别方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
行为识别技术属于混合识别技术,本发明利用该技术基于主机行为有效组合了报文分析、流分析的技术,达到识别迅雷等P2P下载工具的伪装协议的目的。
局部性原理是计算机领域的重要思想,其包括两种不同类型的局部性:时间局部性(Temporal Locality),表示如果一个信息项正在被访问,那么在近期它很可能还会被再次访问,程序循环、堆栈等是产生时间局部性的原因;空间局部性(Spatial Locality),表示在最近的将来将用到的信息很可能与现在正在使用的信息在空间地址上是临近的,指令的顺序执行、数组的连续存放等是产生空间局部性的原因。
本发明所述的基于主机行为的多维度协议识别方法利用了上述局部性原理中的时间局部性和空间局部性。例如,在本发明中,时间局部性对应于连接的创建时间,即伪装协议和私有协议连接的创建时间差,空间局部性对应于连接的端口、载荷,即伪装协议和私有协议连接的端口差、载荷差等。
图1本发明实施例的基于主机行为的多维度协议识别方法的流程图;参见图1,所述方法包括:
步骤A:预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范围;
在本步骤中,可以选择任意个主机行为维度,例如,所述主机行为维度可以包括:时间差、端口差和载荷差,并设定各个主机行为维度的取值范围,例如时间差取值范围、端口差取值范围和载荷差取值范围,所述各个主机行为维度的取值范围可以根据实际工作需要来确定;
步骤B:检测所有连接中是否含有P2P下载工具的私有协议,如果有,则确定主机;否则,判定所有连接中不含有任何P2P下载工具的伪装协议;
在本步骤中,可以通过现有的报文分析等方法检测所有连接中是否含有P2P下载工具的私有协议,其并不是本发明的重点,在此不再详述。
在本步骤中,所述P2P下载工具包括迅雷和电驴等;所述P2P下载工具的伪装协议包括:超文本传输协议(http)、文件传输协议(ftp)或加密协议等;
步骤C:在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行为维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下载工具的伪装协议;否则,判定该主机的连接中不含有所述P2P下载工具的伪装协议;
在本步骤中,该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配包括:所述P2P下载工具的伪装协议与所述P2P下载工具的私有协议创建连接的时间差取值范围与预定的时间差取值范围相匹配,所述P2P下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的端口差取值范围与预定的端口差取值范围相匹配,以及所述P2P下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的载荷差取值范围与预定的载荷差取值范围相匹配。
综上所述,本发明提供了一种基于主机行为的多维度协议识别方法,与传统协议识别方法不同,其更多地从统计学角度提取特征,通过预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范围;检测所有连接中含有P2P下载工具的私有协议后确定主机;在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行为维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下载工具的伪装协议,在分析混合协议、加密协议方面,体现了较高的优越性,能够高效率地完成对迅雷等P2P下载工具的伪装协议的识别,进而实现对网络流量的控制。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (6)
1.一种基于主机行为的多维度协议识别方法,其特征在于,所述方法包括:
步骤A:预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范围;
步骤B:检测所有连接中是否含有端到端P2P下载工具的私有协议,如果有,则确定主机;否则,判定所有连接中不含有任何P2P下载工具的伪装协议;
步骤C:在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行为维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下载工具的伪装协议;否则,判定该主机的连接中不含有所述P2P下载工具的伪装协议。
2.根据权利要求1所述的权利要求,其特征在于,步骤A中所述主机行为维度包括:时间差、端口差和载荷差。
3.根据权利要求2所述的权利要求,其特征在于,步骤A中所述主机行为维度的取值范围包括:时间差取值范围、端口差取值范围和载荷差取值范围。
4.根据权利要求3所述的权利要求,其特征在于,步骤C中该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配包括:所述P2P下载工具的伪装协议与所述P2P下载工具的私有协议创建连接的时间差取值范围与预定的时间差取值范围相匹配,所述P2P下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的端口差取值范围与预定的端口差取值范围相匹配,以及所述P2P下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的载荷差取值范围与预定的载荷差取值范围相匹配。
5.根据权利要求1-4中任一项所述的权利要求,其特征在于,步骤B中所述P2P下载工具包括迅雷和电驴。
6.根据权利要求1-4中任一项所述的权利要求,其特征在于,所述P2P下载工具的伪装协议包括:超文本传输协议http、文件传输协议ftp或加密协议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010586958 CN102025739B (zh) | 2010-12-14 | 2010-12-14 | 基于主机行为的多维度协议识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010586958 CN102025739B (zh) | 2010-12-14 | 2010-12-14 | 基于主机行为的多维度协议识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102025739A true CN102025739A (zh) | 2011-04-20 |
CN102025739B CN102025739B (zh) | 2013-06-19 |
Family
ID=43866593
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010586958 Expired - Fee Related CN102025739B (zh) | 2010-12-14 | 2010-12-14 | 基于主机行为的多维度协议识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102025739B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102937963A (zh) * | 2011-09-22 | 2013-02-20 | 微软公司 | 使用协议处理程序的模板和服务器内容下载 |
CN103179123A (zh) * | 2013-03-25 | 2013-06-26 | 汉柏科技有限公司 | 一种基于行为特征的复用协议识别方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1750538A (zh) * | 2005-09-29 | 2006-03-22 | 西安交大捷普网络科技有限公司 | 基于p2p高速下载软件产生流量的发现及控制方法 |
CN101068168A (zh) * | 2007-04-23 | 2007-11-07 | 北京启明星辰信息技术有限公司 | 主机入侵检测方法及系统 |
CN101577641A (zh) * | 2008-05-08 | 2009-11-11 | 蔡文喜 | 针对网络p2p应用的mcmpa监控方法 |
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
-
2010
- 2010-12-14 CN CN 201010586958 patent/CN102025739B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1750538A (zh) * | 2005-09-29 | 2006-03-22 | 西安交大捷普网络科技有限公司 | 基于p2p高速下载软件产生流量的发现及控制方法 |
CN101068168A (zh) * | 2007-04-23 | 2007-11-07 | 北京启明星辰信息技术有限公司 | 主机入侵检测方法及系统 |
CN101577641A (zh) * | 2008-05-08 | 2009-11-11 | 蔡文喜 | 针对网络p2p应用的mcmpa监控方法 |
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102937963A (zh) * | 2011-09-22 | 2013-02-20 | 微软公司 | 使用协议处理程序的模板和服务器内容下载 |
CN103179123A (zh) * | 2013-03-25 | 2013-06-26 | 汉柏科技有限公司 | 一种基于行为特征的复用协议识别方法及系统 |
CN103179123B (zh) * | 2013-03-25 | 2016-06-08 | 汉柏科技有限公司 | 一种基于行为特征的复用协议识别方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102025739B (zh) | 2013-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107733851B (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
US20190364067A1 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
EP3855692A1 (en) | Network security monitoring method, network security monitoring device, and system | |
CN106453438B (zh) | 一种网络攻击的识别方法及装置 | |
CN110855661B (zh) | 一种WebShell检测方法、装置、设备及介质 | |
Ellens et al. | Flow-based detection of DNS tunnels | |
CN111147504A (zh) | 威胁检测方法、装置、设备和存储介质 | |
CN104601573B (zh) | 一种Android平台URL访问结果验证方法及装置 | |
CN103297270A (zh) | 应用类型识别方法及网络设备 | |
US20120173712A1 (en) | Method and device for identifying p2p application connections | |
CN109845228A (zh) | 用于实时检测网络黑客攻击的网络流量记录系统及方法 | |
CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
CN103442018A (zh) | Cc攻击的动态防御方法和系统 | |
CN104967628B (zh) | 一种保护web应用安全的诱骗方法 | |
CN107395553B (zh) | 一种网络攻击的检测方法、装置及存储介质 | |
US10848507B1 (en) | Reactive virtual security appliances | |
CN107276979B (zh) | 一种自动检测终端设备内外网互联行为的方法 | |
KR101250899B1 (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
CN105577670A (zh) | 一种撞库攻击的告警系统 | |
CN103905421A (zh) | 一种基于url异构性的可疑事件检测方法及系统 | |
CN101873324B (zh) | 穿越防火墙的方法 | |
CN102025739B (zh) | 基于主机行为的多维度协议识别方法 | |
CN103685298A (zh) | 一种基于深度包检测的ssl中间人攻击发现方法 | |
CN102647404A (zh) | 抵御flood攻击的流汇聚方法及装置 | |
Wang et al. | HTTP-SoLDiER: An HTTP-flooding attack detection scheme with the large deviation principle |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130619 Termination date: 20161214 |
|
CF01 | Termination of patent right due to non-payment of annual fee |