CN102420833A - 一种网络协议识别的方法、装置及其系统 - Google Patents
一种网络协议识别的方法、装置及其系统 Download PDFInfo
- Publication number
- CN102420833A CN102420833A CN2011104446874A CN201110444687A CN102420833A CN 102420833 A CN102420833 A CN 102420833A CN 2011104446874 A CN2011104446874 A CN 2011104446874A CN 201110444687 A CN201110444687 A CN 201110444687A CN 102420833 A CN102420833 A CN 102420833A
- Authority
- CN
- China
- Prior art keywords
- address
- name
- protocol name
- client
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种网络协议识别的方法,包括:获取域名服务器DNS对客户端的响应消息,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。本发明实施例,通过对DNS响应消息的分析,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话与该会话所使用的网络协议之间的对应关系,从而可以迅速、高效地识别出客户端和应用服务器之间当前会话的协议名称。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种网络协议识别的方法、装置及其系统。
背景技术
随着网络技术的迅速发展和各种网络业务应用的普及,网络己成为人们日常工作生活中不可或缺的信息承载工具,同时人们对网络性能的要求也越来越高,在众多影响网络性能的因素中,网络流量是最为重要的因素之一。因此,对网络协议的分析可以为网络的运行和维护提供重要信息,对于网络性能分析、异常监测、链路状态监测、容量规划等发挥着重要作用。随着互联网公司对于上述领域资金和科研的大量投入,使得网络协议识别技术得到了前所未有的迅猛发展。主要技术包括基于端口的网络协议识别技术、非默认端口网络协议识别技术等。基于端口的网络协议识别技术识别思路清晰、程序实现简单,但缺点是准确率较低。非默认端口网络协议识别技术,是基于网络数据包净荷的一种识别方法,旨在通过网络数据包的数据部分来分析并识别出网络协议类型,但是识别过程复杂,效率较低。
发明内容
本发明实施例提供了一种网络协议识别的方法、装置及其系统,可以迅速、高效地识别出网络会话使用的协议。
本发明实施例中提供了一种网络协议识别的方法,包括:
获取域名服务器DNS对客户端的响应消息,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
本发明实施例还提供了一种网络协议识别装置,包括:
消息获取单元,用于获取域名服务器DNS对客户端的响应消息;
协议名称提取单元,用于从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
匹配单元,当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
本发明实施例还提供一种网络系统,包括客户端、应用服务器、域名服务器DNS和网络协议识别装置,其中:
所述客户端,用于向所述域名服务器DNS发送查询所述应用服务器的域名的请求;
所述域名服务器DNS,用于向所述客户端发送包括所述应用服务器的域名查询结果的响应消息;
所述网络协议识别装置,用于获取所述包括所述应用服务器的域名查询结果的响应消息,从所述消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;当后续会话为在客户端IP地址和应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称;
应用服务器,用于向所述客户端提供会话服务。
采用本发明实施例,作为对默认端口识别法和深度包检测(DPI)识别法的辅助识别,通过获取域名服务器DNS对客户端的响应消息,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称,可以迅速、高效地识别出网络会话使用的协议。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一个方法实施例示意图;
图2是本发明实施例的另一个方法实施例示意图;
图3是本发明实施例的一个装置实施例示意图;
图4是本发明实施例的另一个装置实施例示意图;
图5是本发明实施例的一个系统实施例示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例中提供了一种网络协议识别的方法,如图1所示,包括:
S101:获取域名服务器DNS对客户端的响应消息;
具体的,用户需要访问某种网络应用如ABC,用户会先发ABC应用协议的DNS请求到域名服务器DNS,以查询ABC应用服务器的IP地址。该DNS请求消息中会包含ABC应用的域名;
域名服务器DNS收到DNS请求消息后,查询自身系统,并返回对应的DNS应答消息给用户。而该DNS应答消息中会包含ABC应用域名及ABC应用服务器IP地址;
当DNS应答消息经过网络协议识别装置时,网络协议识别装置识别出这是一个DNS消息后,对所述DNS消息进行分析。
S103:从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
具体的,从DNS应答消息中提取出对应的应用协议名ABC、ABC应用服务器的IP地址以及用户的IP地址;
查询应用协议ABC是否在当前网络协议识别装置可识别的协议范围内,若协议ABC在当前网络协议识别装置可识别协议范围内,不需要网络协议识别装置辅助识别,则丢弃本条DNS消息,不必再进行后面的操作;若协议ABC不在当前网络协议识别装置可识别协议范围内,则将应用协议ABC、对应的ABC应用服务器的IP地址、用户IP以及当前的时间,作为识别应用协议ABC的一条规则A,添加到在线DNS动态规则学习库中,规则ID为10001,以供网络协议识别装置识别应用协议ABC使用。动态规则学习库如下图所示:
ID | 协议名 | ClientIP | ServerIP | 规则生效开始时间 |
10001 | ABC | 10.20.30.40 | 20.30.40.50 | 123456.123456 |
10002 | BCD | 10.20.30.41 | 20.30.40.51 | 234567.234567 |
... | ... | ... | ... | ... |
可选的,还可以设置规则A的生命周期,如30秒,若超过超时其生命周期,则从在线DNS动态规则学习库中删除规则A。
S105:当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
具体的,用户收到DNS应答消息后,发起连接ABC应用服务器的数据流,准备进行ABC协议的数据交互;
当用户与ABC应用服务器交互的数据流经过网络协议识别装置时,网络协议识别装置可调用网络协议识别装置的IP匹配引擎模块来进行识别;
例如:当IP匹配引擎模块检测到该流的源目的IP在在线DNS动态规则学习库中存在,对应规则为规则ID为10001,则立刻能识别出该流为应用协议ABC;当用户与ABC应用服务器交互的数据流经过网络协议识别装置时,IP匹配引擎模块检测到该流的IP与在线DNS动态规则学习库中的ABC应用服务器IP列表中的某一IP匹配,则立刻识别出该流为应用协议ABC。
可选的,协议的每个ServerIP都有一定的生命周期,若超过其生命周期则删除对应的ServerIP。若某协议的ServerIP列表为空了,则删除该协议。
可选的,刷新该规则的规则生效开始时间为当前时间,以延长本规则的生命周期。
由于基本每一种网络应用协议都会存在网络服务器及其域名,一般网络软件运行时都会存在DNS查询消息,可能有些软件会在本地保存IP信息,以避免每次运行都发DNS消息,但是在这些软件首次运行时,也是会有DNS查询消息的,只要在网络协议识别装置运行期间有某个用户首次运行该软件,那么网络协议识别装置就可以找到该协议与其服务器IP的对应关系。基于以上考虑,通过网络协议识别装置,可以快速识别出网络协议。
本发明实施例的方法可以是由网络协议识别装置执行的。
本发明实施例,通过对DNS响应消息的分析,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话与该会话所使用的网络协议之间的对应关系,从而可以迅速、高效地识别出客户端和应用服务器之间当前会话的协议名称。
实施例二
本发明实施例中提供了一种网络协议识别的方法,如图2所示,包括:
201:获取域名服务器DNS对客户端的响应消息;
203:从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
具体的,所述从所述消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称包括:
对所述消息中的域名信息和所述当前会话中的明文字符串信息进行分析以确定所述协议名称。
205:当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称;
207:当所述协议名称尚未被识别时,对所述协议名称进行统计排序,以确定出获取次数按从大到小前N个未被识别的协议,所述N为预定阈值;
209:对每一个所述前N个未被识别的协议中的协议名称,抓取该协议名称对应的所述数据流净荷进行特征分析,得到所述协议的特征。
在本实施例中对实施例一进行了改进,以提高性能及识别能力。
例如,可以只记录ServerIP列表,而不再记录ClientIP;还可以增加匹配次数记录,用以表示匹配成功的次数,用以实现当所述协议名称不在所述协议列表中时,对所述协议名称进行统计排序,以确定出获取次数较多的前N位未被识别协议。
在在线DNS动态规则学习库,对在线DNS动态规则表进行如下修改:
可选的,本发明实施例还可以增加对每个通过网络协议识别装置识别的协议的流量统计的步骤,且该统计持续一定时间,如6小时、一天或一周。
通过一定时间的统计后,停止统计,通过排序,可以找出当前网络协议识别装置对该网络未被识别的TopN协议列表,这些协议列表就是当前网络协议识别装置最需要补充识别分析的协议列表,然后再针对性这些未被识别的TopN协议列表进行抓包,抓取所述协议名称对应的所述数据流净荷进行特征分析。
在线抓包阶段:由于在统计阶段已经找出当前网络协议识别装置不能识别的Top N协议,下面通过抓包保存模块来对这些协议进行抓包。
1、标记当前网络协议识别装置未被识别的Top N协议。
2、在现网中引流或是使用其他方法,使现网报文经过网络协议识别装置。
3、再次通过网络协议识别装置辅助网络协议识别装置进行现网协议识别,若识别出某协议且该协议属于当前网络协议识别装置未被识别的Top N协议,则保存该协议的流的前M包数据,因为大多数网络协议的特征字主要位于前100包数据,因此抓取的M可以小于等于100包。若某种协议已经抓取超过一定流量,则不需要再抓取。将这些码流分协议保存起来,并供协议分析人员分析。
将线网络协议识别装置捕抓到的现网数据包供协议分析人员进行分析,分析方法包括但不限于以下方法:
1)报文特征分析,通过对对应同一DNS消息的多条不同IP对的数据码流进行对比分析,找出相同的特征字,即为该协议的通用特征。
2)DNS域名分析,通过对应DNS消息中的域名信息,再结合数据包本身的明文字符串信息,找出该协议对应的软件名,以推测对应的协议名。
3)服务器IP分析,通过收集IP对中的服务端的IP列表,检查这些IP是否在已有的局点抓包中出现,若有出现且对应的流被识别为某种协议,则可推测当前DNS对应的协议名。
4)用户行为分析,包含用户码流行为特征及用户社会行为特征。在协议特征方面,可以通过分析用户的行为特征,包括发包速率及频率、每包大小的范围,发包间隔时间、上下行比例与速率等多种维度,找出该协议的行为特征以指导识别。在协议查找方面,可以结合该用户当时一定时间内运行的协议列表,从用户的兴趣爱好中,推测该未知协议的类型及协议名。如用户当前正在访问一个voip的网站,并运行了迅雷协议下载,可以推测该用户可能会在使用voip软件。可结合多个用户的社会行为特征来确定协议。
本发明实施例中,当所述协议名称尚未被识别时,对所述协议名称进行统计排序,以确定出获取次数按从大到小前N个未被识别的协议,抓取所述协议名称对应的所述数据流净荷进行特征分析,可以有针对性的挑选出网络中使用次数更多的急需识别的网络协议,提高了识别效率,减轻了识别系统负担。
实施例三
本发明实施例中提供了一种网络协议识别装置,如图3所示,包括:
网络协议识别装置300:获取域名服务器DNS对客户端的响应消息,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
消息获取单元301:用于获取域名服务器DNS对客户端的响应消息;
协议名称提取单元303:用于从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
匹配单元305:当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
需要说明的是,本实施例所述的装置可以理解为一个DPI软件功能模块或独立设备,通过该装置进行在线DNS的分析、学习、识别、统计、抓包辅助识别等操作。网络协议识别装置可以串联在网络中,也可以作为旁路设备。用户发出及收到的所有网络数据都会经过在线网络协议识别装置,可以协助DPI快速提升现网中的协议识别覆盖率,并找出网络中流量比例比较大的新协议。
本发明实施例,通过对DNS响应消息的分析,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话与该会话所使用的网络协议之间的对应关系,从而可以迅速、高效地识别出客户端和应用服务器之间当前会话的协议名称。
实施例四
本发明实施例中提供了一种网络协议识别装置,如图4所示,
网络协议识别装置400:获取域名服务器DNS对客户端的响应消息,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
网络协议识别装置400包括:
消息获取单元401:用于获取域名服务器DNS对客户端的响应消息;
协议名称提取单元403:用于从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
匹配单元405:当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称;
判断单元407:用于所述将所述协议名称作为所述后续会话的协议名称以后,判断所述协议名称是否已经被识别;
统计排序单元409:用于当所述协议名称尚未被识别时,对所述协议名称进行统计排序,以确定出获取次数按从大到小前N个未被识别的协议,所述N为预定阈值;
抓取单元411:用于所述确定出次数较多的前N位未被识别协议以后,对每一个所述前N个未被识别的协议中的协议名称,抓取该协议名称对应的所述数据流净荷进行特征分析,得到所述协议的特征。
本发明实施例中,当所述协议名称尚未被识别时,对所述协议名称进行统计排序,以确定出获取次数按从大到小前N个未被识别的协议,抓取所述协议名称对应的所述数据流净荷进行特征分析,可以有针对性的挑选出网络中使用次数更多的急需识别的网络协议,提高了识别效率,减轻了识别系统负担。
实施例五
本发明实施例提供了一种网络系统,如图5所示:
本实施例提供了一种网络系统,包括:
网络协议识别装置501,获取域名服务器DNS对客户端的响应消息,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称;
客户端503,用于向所述域名服务器DNS发送所述应用服务器的域名查询请求;
域名服务器DNS505,用于对所述客户端发送所述应用服务器的域名查询结果的响应消息;
ABC应用服务器507,用于向所述客户端提供应用服务。
本发明实施例,通过对DNS响应消息的分析,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话与该会话所使用的网络协议之间的对应关系,从而可以迅速、高效地识别出客户端和应用服务器之间当前会话的协议名称。
在上述诸实施例中,对于预定阈值的设定,可以在网络建立时设置,也可以在网络建立后由维护人员根据需要随时进行设置,具体设置的方式可以采用本领域技术人员所熟知的任一方式。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,所述通用硬件包括通用集成电路、通用CPU、通用存储器、通用元器件等,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上方法实施例中的各个步骤的顺序可以根据实际应用需要进行调整,各个步骤可以根据实际应用需要进行组合形成新的方案。以上装置实施例中的各个单元、模块可以根据实际应用需要进行划分,或者重新组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准,依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (12)
1.一种网络协议识别的方法,其特征在于,包括:
获取域名服务器DNS对客户端的响应消息,从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
2.如权利要求1所述的方法,其特征在于,所述将所述协议名称作为所述后续会话的协议名称以后,还包括:
当所述协议名称尚未被识别时,对所述协议名称进行统计排序,以确定出获取次数按从大到小前N个未被识别的协议,所述N为预定阈值。
3.如权利要求2所述的方法,其特征在于,所述确定出次数较多的前N位未被识别协议以后,还包括:
对每一个所述前N个未被识别的协议中的协议名称,抓取该协议名称对应的所述数据流净荷进行特征分析,得到所述协议的特征。
4.如权利要求3所述的方法,其特征在于,所述抓取所述协议名称对应的所述数据流净荷进行特征分析包括:
抓取所述数据流净荷的前M个字节进行特征分析,所述M为大于0小于等于100的整数。
5.如权利要求1所述的方法,其特征在于,所述从所述消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称包括:
对所述响应消息中的域名信息和所述当前会话中的明文字符串信息进行分析,以确定所述协议名称。
6.一种网络协议识别装置,其特征在于,包括:
消息获取单元,用于获取域名服务器DNS对客户端的响应消息;
协议名称提取单元,用于从所述响应消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
匹配单元,当后续会话为在所述客户端IP地址和所述应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
7.如权利要求6所述的网络协议识别装置,其特征在于,还包括:
判断单元,用于所述将所述协议名称作为所述后续会话的协议名称以后,判断所述协议名称是否已经被识别;
统计排序单元,用于当所述协议名称尚未被识别时,对所述协议名称进行统计排序,以确定出获取次数按从大到小前N个未被识别的协议,所述N为预定阈值。
8.如权利要求7所述的网络协议识别装置,其特征在于,还包括:
抓取单元,用于所述确定出次数较多的前N位未被识别协议以后,对每一个所述前N个未被识别的协议中的协议名称,抓取该协议名称对应的所述数据流净荷进行特征分析,得到所述协议的特征。
9.如权利要求8所述的网络协议识别装置,其特征在于,所述抓取单元包括:
第一抓取单元,用于抓取所述数据流净荷的前M个字节进行特征分析;
字节数确定单元,用于确定所抓取的所述数据流净荷的字节数,所述M为大于0小于等于100的整数。
10.如权利要求1所述的网络协议识别装置,其特征在于,所述协议名称提取单元包括:
分析单元,用于对所述消息中的域名信息和所述当前会话中的明文字符串信息进行分析;
确定单元,用于根据分析单元对所述消息中的域名信息和所述当前会话中的明文字符串信息进行分析的结果确定所述协议名称。
11.一种网络系统,其特征在于,包括客户端、应用服务器、域名服务器DNS和网络协议识别装置,其中:
所述客户端,用于向所述域名服务器DNS发送查询所述应用服务器的域名的请求;
所述域名服务器DNS,用于向所述客户端发送包括所述应用服务器的域名查询结果的响应消息;
所述网络协议识别装置,用于获取所述包括所述应用服务器的域名查询结果的响应消息,从所述消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;当后续会话为在客户端IP地址和应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称;
应用服务器,用于向所述客户端提供会话服务。
12.如权利要求11所述的网络系统,其特征在于,所述网络协议识别装置包括:
消息获取单元,用于获取域名服务器DNS对客户端的响应消息;
协议名称提取单元,用于从所述消息中获取在客户端IP地址和应用服务器IP地址之间的当前会话所对应的协议名称;
匹配单元,用于当后续会话为在客户端IP地址和应用服务器IP地址之间的会话时,将所述协议名称作为所述后续会话的协议名称。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011104446874A CN102420833A (zh) | 2011-12-27 | 2011-12-27 | 一种网络协议识别的方法、装置及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011104446874A CN102420833A (zh) | 2011-12-27 | 2011-12-27 | 一种网络协议识别的方法、装置及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102420833A true CN102420833A (zh) | 2012-04-18 |
Family
ID=45945068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011104446874A Pending CN102420833A (zh) | 2011-12-27 | 2011-12-27 | 一种网络协议识别的方法、装置及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102420833A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991581A (zh) * | 2015-02-12 | 2016-10-05 | 杭州迪普科技有限公司 | 协议识别方法及装置 |
CN107222343A (zh) * | 2017-06-03 | 2017-09-29 | 中国人民解放军理工大学 | 基于支持向量机的专用网络流分类方法 |
CN111314170A (zh) * | 2020-01-16 | 2020-06-19 | 福建奇点时空数字科技有限公司 | 一种基于连接统计规律分析的特征模糊p2p协议识别方法 |
CN115277877A (zh) * | 2022-09-29 | 2022-11-01 | 图林科技(深圳)有限公司 | 一种兼容多种网络通信的协议会话分配方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040205360A1 (en) * | 2003-04-14 | 2004-10-14 | Norton Marc A. | Methods and systems for intrusion detection |
CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
CN101453424A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种网络信息资源访问控制方法和系统 |
CN101547207A (zh) * | 2009-05-07 | 2009-09-30 | 杭州迪普科技有限公司 | 一种基于应用行为模式的协议识别控制方法和设备 |
CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
CN102075592A (zh) * | 2010-12-30 | 2011-05-25 | 吕晓雯 | 一种筛选dns请求的方法 |
CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
CN102223422A (zh) * | 2011-08-02 | 2011-10-19 | 杭州迪普科技有限公司 | 一种dns报文处理方法及网络安全设备 |
-
2011
- 2011-12-27 CN CN2011104446874A patent/CN102420833A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040205360A1 (en) * | 2003-04-14 | 2004-10-14 | Norton Marc A. | Methods and systems for intrusion detection |
CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
CN101453424A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种网络信息资源访问控制方法和系统 |
CN101547207A (zh) * | 2009-05-07 | 2009-09-30 | 杭州迪普科技有限公司 | 一种基于应用行为模式的协议识别控制方法和设备 |
CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
CN102075592A (zh) * | 2010-12-30 | 2011-05-25 | 吕晓雯 | 一种筛选dns请求的方法 |
CN102223422A (zh) * | 2011-08-02 | 2011-10-19 | 杭州迪普科技有限公司 | 一种dns报文处理方法及网络安全设备 |
Non-Patent Citations (1)
Title |
---|
刘芳 等: "《网络流量监测与控制》", 30 September 2009, 北京邮电大学出版社 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991581A (zh) * | 2015-02-12 | 2016-10-05 | 杭州迪普科技有限公司 | 协议识别方法及装置 |
CN105991581B (zh) * | 2015-02-12 | 2019-01-22 | 杭州迪普科技股份有限公司 | 协议识别方法及装置 |
CN107222343A (zh) * | 2017-06-03 | 2017-09-29 | 中国人民解放军理工大学 | 基于支持向量机的专用网络流分类方法 |
CN111314170A (zh) * | 2020-01-16 | 2020-06-19 | 福建奇点时空数字科技有限公司 | 一种基于连接统计规律分析的特征模糊p2p协议识别方法 |
CN111314170B (zh) * | 2020-01-16 | 2021-12-03 | 福建奇点时空数字科技有限公司 | 一种基于连接统计规律分析的特征模糊p2p协议识别方法 |
CN115277877A (zh) * | 2022-09-29 | 2022-11-01 | 图林科技(深圳)有限公司 | 一种兼容多种网络通信的协议会话分配方法 |
CN115277877B (zh) * | 2022-09-29 | 2023-02-28 | 图林科技(深圳)有限公司 | 一种兼容多种网络通信的协议会话分配方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3496338B1 (en) | Method for identifying application information in network traffic, and apparatus | |
CN101741644B (zh) | 流量检测方法及装置 | |
JP2018531527A6 (ja) | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 | |
CN103297270A (zh) | 应用类型识别方法及网络设备 | |
CN111031017B (zh) | 一种异常业务账号识别方法、装置、服务器及存储介质 | |
WO2017066359A1 (en) | Determining direction of network sessions | |
WO2017000761A1 (zh) | 一种终端设备的特征信息的提取方法及装置 | |
WO2017185912A1 (zh) | 一种基于哈希节点的终端设备信息统计的方法及装置 | |
EP3364627B1 (en) | Adaptive session intelligence extender | |
CN102984269B (zh) | 一种点对点流量识别方法和装置 | |
EP2993854A1 (en) | Connection recovery method, device and system | |
CN107534690A (zh) | 采集域名系统流量 | |
CN102420833A (zh) | 一种网络协议识别的方法、装置及其系统 | |
CN108462615A (zh) | 一种网络用户分组方法和装置 | |
CN112073512A (zh) | 数据处理方法及设备 | |
CN111224894A (zh) | 一种针对iOS设备的流量采集标记方法及系统 | |
CN105099735B (zh) | 一种获取海量详细日志的方法及系统 | |
WO2020019524A1 (zh) | 数据处理方法及装置 | |
US10419351B1 (en) | System and method for extracting signatures from controlled execution of applications and application codes retrieved from an application source | |
CN101184002A (zh) | 一种点对点流量深度监测方法和设备 | |
CN102195816B (zh) | 一种未识别流量信息反馈的方法及其设备 | |
CN111211995B (zh) | 一种字符串匹配库获取网络流量业务分析方法及装置 | |
CN105703930A (zh) | 基于应用的会话日志处理方法及装置 | |
CN111163184B (zh) | 一种报文特征的提取方法和装置 | |
JP2004246751A (ja) | ネットワーク識別方法、コンピュータ装置、コンピュータプログラムおよび記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120418 |