CN102801634B - 一种三位一体网络流量智能识别方法 - Google Patents
一种三位一体网络流量智能识别方法 Download PDFInfo
- Publication number
- CN102801634B CN102801634B CN201210311834.5A CN201210311834A CN102801634B CN 102801634 B CN102801634 B CN 102801634B CN 201210311834 A CN201210311834 A CN 201210311834A CN 102801634 B CN102801634 B CN 102801634B
- Authority
- CN
- China
- Prior art keywords
- protocol
- identification
- agreement
- data message
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种三位一体网络流量智能识别方法,其首先将离散的网络数据报文根据其所用协议分为具体协议,通用协议以及常用协议;然后,对于具体协议采用特征识别,对于通用协议采用图灵自动机识别,对于常用协议采用端口识别。本发明能够减少对网络数据包的扫描数量,提升协议识别的效率以及提高协议识别的准确率。
Description
技术领域
本发明涉及一种高效准确的网络流量识别方法,属于网络信息安全软件系统领域。
背景技术
一般的网络流量识别采用互联网协议约束的端口或者根据协议总结的正则表达式方式识别网络流量。此类端口识别方法对于一般服务,如互联网的web服务等遵守互联网端口定义标准的服务是有效的,但是对于特意修改端口,如使用非80端口作为web服务的站点等类似情形,就出现了漏判误判,使得这类服务在网络信息安全分析时总是存在漏判的问题。
另外,根据协议总结的正则表达式,有一定的效率,但不是所有的网络协议都能很友好的总结得到满足要求的正则表达式,影响了该方法的使用,其匹配效率也不是很高。
发明内容
为了克服以上缺陷并满足市场的需要,本发明旨在解决网络流量识别时漏判,和识别过程中效率问题。
本发明采取的技术方案是:
一种三位一体网络流量智能识别方法,其首先将网络流量按照源IP地址、源端口、目的IP地址、目的端口、和传输层协议号对离散的网络数据报文进行归类实现链路管理,并将网络应用协议分为三类::具体协议,通用协议以及常用协议;其中具体协议为特定的互联网服务通讯协议,通用协议指通过RFC文档发布的协议,这些协议作为互联网服务的通讯协议,满足协议的原始定义,而不属于具体协议和通用协议的归为常用协议;
其次,按照以下方法对归类的数据报文进行识别:
1)对于具体协议采用特征识别,基于特定的互联网服务通讯协议具有特有协议特征的原理,建立具体协议特征数据库,协议识别时获取数据报文的关键位特征信息并与数据库中的数据进行比较,最终识别协议;
2)对于通用协议采用图灵自动机识别,事先对于归类为通用协议的协议进行分析,总结出能精确识别的正则式,将这些正则式使用图灵机算法,转换成有穷自动机,根据输入得出输出,最终识别协议;
3)对于常用协议采用端口识别,其中对于没有明显协议特征、也不容易总结出正则式的常用协议,使用端口识别;
将以上三种协议识别方法通过策略模式,按照预设的优先级整合成一个识别模块,完成对网络流量的协议识别。
作为以上技术方案的一种改进,其中网络数据报文的归类算法为:
h=((源端口^源IP)^(目标端口^目标IP)^传输协议);
h^=h>>16;
h^=h>>8;
h=h&(size-1),
h即最后的计算结果,
根据计算结果对其采用hash线性树表的方式管理链路,并采用近期最少使用(LRU)算法,将最近访问的网络数据报文哈希值置前,实现快速查找。
本发明的有益效果是:
1.减少对网络数据包的扫描数量:通过链路管理,有效的减少了对网络数据报文的扫描数量。据经验统计,需要扫描的网络数据报文不到整个网络报文的1%。
2.提升协议识别的效率,本发明所提出的方法的时间复杂度都很低,特别是其中对正则式的改进。
3.提高协议识别的准确率,使用本发明所提出的方法能准确识别出网络流量的协议。
具体实施方式
本发明提出一种三位一体智能识别网络流量的过滤方法。具体来说,本发明通过以下方法实现问题的解决:
1、首先,本发明在对网络流量进行智能识别时,先将网络流量按照源IP地址,源端口,目的IP地址,目的端口,和传输层协议号(传输协议五元组)实现链路管理,将离散的网络数据报文实现链路的归类。
其中使用的数据报文链路归类算法,参考Linux内核算法,对算法改造,实现双向流量同一链路管理,减少一次归类运算,一条链路只需要识别前一个或几个报文。
2、三位一体智能识别中的协议识别方法及其原理如下:
A、具体协议特征识别。特定的互联网服务通讯协议,一般都有其特有的协议特征,比如腾讯QQ、Fetion等,对这些协议深入分析获取关键位特征信息并建立相应的数据库,协议识别时比较关键位特征。该识别时间复杂度为O(1)。
B、通用协议使用图灵自动机识别。通用协议指通过RFC文档发布的协议,如http、ftp等协议。使用这些协议作为互联网服务的通讯协议,满足协议的原始定义。对于这些协议统一分析,总结出能精确识别的正则式,将这些正则式使用图灵机算法,转换成有穷自动机,根据输入得出输出,最终识别协议。其时间复杂度O(n),相比正则式时间复杂度O(n*m)效率高。
C、常用协议的端口识别。对于常用协议,没有明显协议特征、也不容易总结出正则式,则可以使用端口识别。一般一类协议都有固定的端口或者端口端,比如telnet、DNS协议。其时间复杂度O(1).
三位一体智能协议识别就是将上面的三种协议识别方法、通过策略模式,按照优先级(依次为A、B、C方法)整合成一个识别模块,完成对网络流量的协议识别,方法C、B、A分别是后者的补充。系统根据识别的结果选择对网络流量过滤处理。
3、A、B、C三种方法都能按需扩充。特别是对方法A的扩充,是的识别的效率和正确率能得到明显的提升。
本发明的实现的关键算法:
链路归类算法:
h=((源端口^源IP)^(目标端口^目标IP)^传输协议);
h^=h>>16;
h^=h>>8;
h=h&(size-1);
h即最后的计算结果。
根据计算结果对其采用hash线性树表的方式管理链路,并采用LRU(近期最少使用)算法,将最近访问的网络数据报文哈希值置前,实现快速查找。
以上所述只是本发明优选的实施方式,其并不构成对本发明保护范围的限制,只要是以基本相同的手段实现本发明的目的都应属于本发明的保护范围。
Claims (1)
1.一种三位一体网络流量智能识别方法,其特征在于:
首先将网络流量按照源IP地址、源端口、目的IP地址、目的端口、和传输层协议号对离散的网络数据报文进行归类实现链路管理,并将网络应用协议分为三类:具体协议,通用协议以及常用协议;其中具体协议为特定的互联网服务通讯协议;通用协议指通过RFC文档发布的协议,这些协议作为互联网服务的通讯协议,满足协议的原始定义;而不属于具体协议和通用协议的网络数据报文归为常用协议;
其次,按照以下方法对归类的网络数据报文进行识别:
1)对于具体协议采用特征识别,基于特定的互联网服务通讯协议具有特有协议特征的原理,建立具体协议特征数据库,协议识别时获取数据报文的关键位特征信息并与数据库中的数据进行比较,最终识别协议;
2)对于通用协议采用图灵自动机识别,事先对于归类为通用协议的协议进行分析,总结出能精确识别的正则式,将这些正则式使用图灵机算法,转换成有穷自动机,根据输入得出输出,最终识别协议;
3)对于常用协议采用端口识别,其中对于没有明显协议特征、也不容易总结出正则式的常用协议,使用端口识别;
将以上三种协议识别方法通过策略模式,按照预设的优先级整合成一个识别模块,完成对网络流量的协议识别;
其中网络数据报文的归类算法为:
h=((源端口^源IP)^(目标端口^目标IP)^传输协议);
h^=h>>16;
h^=h>>8;
h=h&(size-1),
h即最后的计算结果,
根据计算结果对其采用hash线性树表的方式管理链路,并采用近期最少使用算法,将最近访问的网络数据报文哈希值置前,实现快速查找。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210311834.5A CN102801634B (zh) | 2012-08-29 | 2012-08-29 | 一种三位一体网络流量智能识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210311834.5A CN102801634B (zh) | 2012-08-29 | 2012-08-29 | 一种三位一体网络流量智能识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102801634A CN102801634A (zh) | 2012-11-28 |
| CN102801634B true CN102801634B (zh) | 2016-04-27 |
Family
ID=47200602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210311834.5A Expired - Fee Related CN102801634B (zh) | 2012-08-29 | 2012-08-29 | 一种三位一体网络流量智能识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102801634B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610763A (zh) * | 2014-10-31 | 2016-05-25 | 杭州迪普科技有限公司 | 协议识别方法及装置 |
| CN106789416A (zh) * | 2016-12-13 | 2017-05-31 | 中兴软创科技股份有限公司 | 工控系统专用协议识别方法与系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262491A (zh) * | 2008-04-02 | 2008-09-10 | 王京 | 应用层网络分析方法及系统 |
| CN102315974A (zh) * | 2011-10-17 | 2012-01-11 | 北京邮电大学 | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 |
-
2012
- 2012-08-29 CN CN201210311834.5A patent/CN102801634B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262491A (zh) * | 2008-04-02 | 2008-09-10 | 王京 | 应用层网络分析方法及系统 |
| CN102315974A (zh) * | 2011-10-17 | 2012-01-11 | 北京邮电大学 | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102801634A (zh) | 2012-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103312565B (zh) | 一种基于自主学习的对等网络流量识别方法 | |
| CN105282169B (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| US9565120B2 (en) | Method and system for performing distributed deep-packet inspection | |
| CN104618377A (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
| CN104579940B (zh) | 查找访问控制列表的方法及装置 | |
| CN109314664B (zh) | 僵尸主控机发现设备和方法 | |
| CN104348716A (zh) | 一种报文处理方法及设备 | |
| CN104579823A (zh) | 一种基于大数据流的网络流量异常检测系统及方法 | |
| CN103475653A (zh) | 网络数据包的检测方法 | |
| CN110034966B (zh) | 一种基于机器学习的数据流分类方法及系统 | |
| CN107566192B (zh) | 一种异常流量处理方法及网管设备 | |
| CN105051696A (zh) | 用于处理网络元数据的改进的流式处理方法及系统 | |
| CN101800707A (zh) | 建立流转发表项的方法及数据通信设备 | |
| WO2015154484A1 (zh) | 流量数据分类方法及装置 | |
| US20150201047A1 (en) | Block mask register | |
| CN110417729A (zh) | 一种加密流量的服务与应用分类方法及系统 | |
| CN103746919A (zh) | 一种结合多路决策树和哈希表进行网络包快速分类的方法 | |
| CN103763198A (zh) | 一种数据包分类方法 | |
| CN102611706A (zh) | 一种基于半监督学习的网络协议识别方法及系统 | |
| CN104333483A (zh) | 互联网应用流量识别方法、系统及识别装置 | |
| CN110868404A (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
| Luo et al. | SDN/NFV-based security service function tree for cloud | |
| CN102801634B (zh) | 一种三位一体网络流量智能识别方法 | |
| CN104333461A (zh) | 互联网应用流量识别方法、系统及识别装置 | |
| Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160427 Termination date: 20190829 |