CN103179123A - 一种基于行为特征的复用协议识别方法及系统 - Google Patents
一种基于行为特征的复用协议识别方法及系统 Download PDFInfo
- Publication number
- CN103179123A CN103179123A CN2013100970268A CN201310097026A CN103179123A CN 103179123 A CN103179123 A CN 103179123A CN 2013100970268 A CN2013100970268 A CN 2013100970268A CN 201310097026 A CN201310097026 A CN 201310097026A CN 103179123 A CN103179123 A CN 103179123A
- Authority
- CN
- China
- Prior art keywords
- behavior
- protocol
- real
- time
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
本发明提供一种基于行为特征的复用协议识别方法及系统,该方法包括:获取并分析多个具体协议应用的报文,确定所述多个具体协议应用的复用协议的种类;获取复用协议的报文,提取所述复用协议的共有特征和私有特征,编译形成特征库并加载;扫描主机产生的连接流量,若发现连接匹配命中私有特征,则记录该行为,设定超时时间;若发现连接匹配命中共有特征,则查询所述主机是否有所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在所述实时行为,则识别为所述实时行为的对应协议,否则继续扫描。通过本发明能够有效识别复用协议下各个具体协议,提高了协议识别的精度。
Description
技术领域
本发明涉及互联网应用技术领域,特别涉及一种基于行为特征识别复用协议的方法及系统。
背景技术
最初的协议识别是对单个报文内容的识别,此种识别方法通过扫描报文内容,进行特征串字符匹配,命中某种协议预设的特征串后识别为该种协议,此种方法识别准确率高,但是不能处理加密协议。为了识别加密协议,出现了模糊识别,此种方法为对连接进行识别,主要利用了统计方法构建模型,统计对象包括:IP地址、端口、报文长度序列和报文时间戳序列等,然后对统计特征进行匹配连接,不需对报文内容进行识别。
在现在的互联网领域里,同一家企业旗下出现多种产品,处于开发的便捷性和维护的复杂度考虑,多个产品复用了同一套通信协议,比如说迅雷公司旗下的迅雷和迅雷看看。对于这种情况,一般的协议识别产品不能准确识别一条连接属于哪种具体协议。
发明内容
(一)所要解决的技术问题
本发明的目的为提供一种基于行为特征的复用协议识别方法,通过本发明解决了复用协议中具体协议的识别问题。
(二)技术方案
本发明提供一种基于行为特征的复用协议识别方法,该方法包括步骤:
S1、获取并分析多个具体协议应用的报文,确定所述多个具体协议应用的复用协议的种类;
S2、获取复用协议的报文,提取所述复用协议的共有特征和私有特征,编译形成特征库并加载;
S3、扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定所述行为的时间限制;
若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。
其中,所述步骤S1具体包括:随机抓取多个具体协议应用的报文并进行分析,若所述报文存在相同的报文特征值,则确定所述多个具体协议应用使用了同一套协议规范。
其中,步骤S3中所述查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为进一步包括:
若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为,否则查询所述主机是否存在记录行为。
本发明还提供一种基于行为特征的复用协议识别系统,该系统包括:
特征库形成模块,用于获取复用协议的报文,并所述提取复用协议的共有特征规则和私有特征规则,并编译形成特征库;
协议识别模块,与特征库形成模块连接,扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定超时时间;
若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。
(三)有益效果
本发明提出了一种基于行为特征的复用协议识别方法及系统,与传统的协议识别方法相比,本发明利用历史行为和实时行为的查询能够有效完成复用协议下各个具体协议的识别,从而补充了现有的协议识别方法,提高了协议识别的精度,进而更精确对这些复用协议进行统计和控制。
附图说明
图1为本发明所提供方法的步骤流程图;
图2为本发明系统的连接方框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
一般情况下,一台主机上同时运行的类似软件的数目很少,通常情况下就是一种,比如运行了QQ视频,可能就没有运行QQ音乐,利用这种现象,发明了一种利用行为特征识别复用协议的方法。行为特征包括历史行为特征和实时行为特征:历史行为特征是指曾在这台主机上发生过的动作,实时行为特征是指现在这台主机上发生的动作。本发明综合了历史行为特征和实时行为特征,具体步骤如图1所示:
S1、分析多个具体协议应用的报文,确定所述多个具体协议应用的复用协议的种类;
以QQ音乐和QQ视频这两种应用为例,随机抓取这两种应用的连接数据包进行报文分析,若这两种报文的存在相同的报文特征值,则确定这两种应用使用了同一套协议规范;
S2、获取复用协议的报文,提取所述复用协议的共有特征和私有特征,编译形成特征库并加载;
抓取QQ音乐和QQ视频的报文获取复用协议规范,提取复用协议中两种应用共同的特征即共有特征;同时区分所述复用协议规范中哪些行为是独有的,比如说QQ音乐会连接腾讯的音乐点播服务器,而QQ视频会连接腾讯的视频点播服务器,分别提取这些特征,即私有特征;将QQ音乐和QQ视频的共有特征规则和私有特征规则编译成特征库并加载。
S3、监控主机发送的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定超时时间;
若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否有所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在所述实时行为,则识别为所述实时行为的对应协议,否则继续扫描。
其中,若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为,否则查询所述主机是否存在记录行为。
扫描主机产生的流量,这里主机即发生QQ音乐或者QQ视频流量的计算机,基于特征库,如果发现连接的流量匹配命中QQ音乐私有特征,则记录“访问QQ音乐服务器”的行为,此行为即为历史行为,如果发现连接的流量匹配命中QQ视频私有特征,则记录“访问QQ视频服务器”的行为,并设定所述的历史行为的时间限制;时间限制是指这个行为可信任的时间,超过这个时间我们就不信任这个已经发生过的行为,在实现层,可认为是记录保存的期限,超过这个期限,所述历史行为将被删除。这里的匹配使用常见字符串匹配算法即可实现。
扫描主机产生的流量,如果发现连接的流量匹配命中所述QQ音乐和QQ视频共有的特征,由于所述QQ音乐和QQ视频的复用协议包含前后的时间关系,不需要为数据提供实时特征传送服务,查询该主机的历史行为,是否有“访问QQ音乐服务器”的历史行为或者“访问QQ视频服务器”的历史行为,如果有则将该连接识别为“QQ音乐”协议或者“QQ视频”协议;否,则继续查询。
但如果复用协议是为数据提供具有实时特征传送服务的协议,一般这类协议有一个共同的特征:一个会话包括几种不同功能的流,比如最常见的SIP协议和H.323协议,他们的会话中都会包含控制流和数据流,数据流一般使用RTP协议进行传输数据,因此,一条独立的RTP流是不能判断这条流是属于SIP协议还是H.323协议,这时需要查询实时行为,查看当时是否有SIP协议或者H.323协议同时存在,如果有SIP协议或者H.323协议同时存在,则识别为SIP协议或H.323协议。
同时本发明还提供一种基于行为特征的复用协议识别系统,该系统如图2所示包括:
特征库形成模块,用于获取复用协议的报文,并所述提取复用协议的共有特征规则和私有特征规则,并编译形成特征库;
协议识别模块,与特征库形成模块连接,扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定超时时间;
若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (4)
1.一种基于行为特征的复用协议识别方法,其特征在于,该方法包括步骤:
S1、获取并分析多个具体协议应用的报文,确定所述多个具体协议应用的复用协议的种类;
S2、获取复用协议的报文,提取所述复用协议的共有特征和私有特征,编译形成特征库并加载;
S3、扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定所述行为的时间限制;
若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。
2.如权利要求1所述方法,其特征在于,所述步骤S1具体包括:随机抓取多个具体协议应用的报文并进行分析,若所述报文存在相同的报文特征值,则确定所述多个具体协议应用使用了同一套协议规范。
3.如权利要求1所述方法,其特征在于,步骤S3中所述查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为进一步包括:
若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为,否则查询所述主机是否存在记录行为。
4.一种基于行为特征的复用协议识别系统,其特征在于,该系统包括:
特征库形成模块,用于获取复用协议的报文,并所述提取复用协议的共有特征规则和私有特征规则,并编译形成特征库;
协议识别模块,与特征库形成模块连接,扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定超时时间;
若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310097026.8A CN103179123B (zh) | 2013-03-25 | 2013-03-25 | 一种基于行为特征的复用协议识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310097026.8A CN103179123B (zh) | 2013-03-25 | 2013-03-25 | 一种基于行为特征的复用协议识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103179123A true CN103179123A (zh) | 2013-06-26 |
| CN103179123B CN103179123B (zh) | 2016-06-08 |
Family
ID=48638746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310097026.8A Expired - Fee Related CN103179123B (zh) | 2013-03-25 | 2013-03-25 | 一种基于行为特征的复用协议识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103179123B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
| CN101605126A (zh) * | 2008-06-11 | 2009-12-16 | 中国科学院计算技术研究所 | 一种多协议数据分类识别的方法和系统 |
| CN102025739A (zh) * | 2010-12-14 | 2011-04-20 | 汉柏科技有限公司 | 基于主机行为的多维度协议识别方法 |
-
2013
- 2013-03-25 CN CN201310097026.8A patent/CN103179123B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
| CN101605126A (zh) * | 2008-06-11 | 2009-12-16 | 中国科学院计算技术研究所 | 一种多协议数据分类识别的方法和系统 |
| CN102025739A (zh) * | 2010-12-14 | 2011-04-20 | 汉柏科技有限公司 | 基于主机行为的多维度协议识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103179123B (zh) | 2016-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Qin et al. | Robust application identification methods for P2P and VoIP traffic classification in backbone networks | |
| CN106528619B (zh) | 一种基于关键字段的交换机日志快速聚合方法 | |
| US20080144655A1 (en) | Systems, methods, and computer program products for passively transforming internet protocol (IP) network traffic | |
| US20130282890A1 (en) | In-stream collection of analytics information in a content delivery system | |
| CN103780610A (zh) | 基于协议特征的网络数据恢复方法 | |
| CN105138709B (zh) | 一种基于物理内存分析的远程取证系统 | |
| CN107800565A (zh) | 巡检方法、装置、系统、计算机设备和存储介质 | |
| CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
| CN102752216B (zh) | 一种识别动态特征应用流量的方法 | |
| CN102664935A (zh) | 一种web类用户行为和用户信息的关联输出方法及系统 | |
| CN104252458A (zh) | 数据分析方法和装置 | |
| CN107465690A (zh) | 一种基于流量分析的被动式异常端口实时检测方法及系统 | |
| CN104243237A (zh) | P2p流检测方法和设备 | |
| CN103491107A (zh) | 基于网络数据流簇聚类的木马通信特征快速提取方法 | |
| CN102571946A (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
| CN102624878A (zh) | 基于dns协议识别p2p协议的方法及系统 | |
| CN101094234A (zh) | 一种基于行为特征的p2p协议精确识别方法及系统 | |
| CN109607341B (zh) | 基于区块链的电梯运转信息管理系统 | |
| CN106227102B (zh) | 一种数据采集扩展系统及其数据采集方法 | |
| CN102984242B (zh) | 一种应用协议的自动识别方法和装置 | |
| CN110708341B (zh) | 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统 | |
| CN103957119A (zh) | 一种采用mib文件对网络设备进行管理的方法及浏览器 | |
| CN101984635B (zh) | P2p协议流量识别方法及系统 | |
| CN103179123A (zh) | 一种基于行为特征的复用协议识别方法及系统 | |
| US9742641B2 (en) | System and method for identifying real users behind application servers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160608 Termination date: 20180325 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |