CN105245551A - 一种基于dns和包长组合的应用识别方法 - Google Patents
一种基于dns和包长组合的应用识别方法 Download PDFInfo
- Publication number
- CN105245551A CN105245551A CN201510739124.6A CN201510739124A CN105245551A CN 105245551 A CN105245551 A CN 105245551A CN 201510739124 A CN201510739124 A CN 201510739124A CN 105245551 A CN105245551 A CN 105245551A
- Authority
- CN
- China
- Prior art keywords
- identification
- hit
- application
- dns
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于DNS和包长组合的应用识别方法,包括(S10)在网络设备中创建对应网络连接的连接跟踪表;(S20)通过快速查找表对所述连接跟踪表进行特征匹配,若匹配成功则完成识别,否则继续;(S30)通过DNS检测模块判断该连接是否命中DNS应用识别库,若命中则标记该连接完成识别,否则继续;(S40)通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配,若匹配成功,则标记该连接完成识别,否则不再匹配,结束。本发明通过连接跟踪表的特征来识别相应的应用,利用DNS识别和数据包包长识别相结合的方式,还引入DPI检测,大大提高了对终端应用识别的效率,有效地降低了识别误判率,提高了应用识别的实时性序。
Description
技术领域
本发明涉及网络应用技术领域,具体地讲,是涉及一种基于DNS和包长组合的应用识别方法。
背景技术
目前,基于网络的终端应用程序越来越多,当用户在同一终端上同时开启多种应用程序时,如何对各种网络应用程序有效地分配网络带宽,保障各种网络应用程序高效正常地运行成了一种新的用户需求。要想实现这种用户需求的首先任务是在网络中识别这些应用程序,因此快速准确地识别应用程序至关重要。
当前存在的网路应用识别方法主要为端口识别技术和基于报文内容的深度识别技术:
端口识别技术是通过分析网络数据包的端口信息来分析HTTP协议,因此端口识别技术只能对基础的基于http协议的应用进行识别,而现在很多的应用都是采用了P2P协议,其所要占用的通信端口都是不确定的、动态变更的,端口识别技术在此就显得无能为力了,无法实现对这些应用的识别,如此导致其在基于互联网层面上对各种应用的识别率非常低,误判率高;
基于报文内容的深度识别技术耗费时间比较长,其在每次建立新连接时都需要对报文内容进行深度识别,识别计算量大,导致其识别效率低下,无法满足对实时性要求高的应用场景。
综上所述,现有技术中的应用识别方法存在识别率低、误判率高、实时性低的缺点。
发明内容
为克服现有技术中的上述问题,本发明提供一种构思新颖、设计巧妙、能够快速准确地对应用识别的基于DNS和包长组合的应用识别方法。
为了实现上述目的,本发明采用的技术方案如下:
一种基于DNS和包长组合的应用识别方法,包括如下步骤:
(S10)当终端通过某应用与外网建立网络连接时,在网络设备中创建对应的连接跟踪表,用以分配每个经过该连接的数据包,形成相应的连接记录项;
(S20)通过快速查找表对所述连接跟踪表进行特征匹配,若匹配成功,命中快速查找表内已有的记录,则完成识别,否则进行下一步;
(S30)通过DNS检测模块判断该连接是否命中DNS应用识别库,若命中,则标记该连接完成识别,否则进行下一步;
(S40)通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配,判断是否命中包长应用识别库,若命中,则匹配成功,标记该连接完成识别,否则识别失败,不再匹配;
其中,所述快速查找表、DNS应用识别库和包长应用识别库存储于网络设备中。DNS(DomainNameSystem,域名系统)。
进一步地,为了提高识别速度,该基于DNS和包长组合的应用识别方法,还包括:
(S50)将所有完成识别的连接及其特征加入快速查找表中缓存。
具体地,所述步骤(S10)中连接跟踪表记录的特征包括该连接的状态、地址和端口,以及该连接所采用的协议。
为了保证快速查找表的匹配速度,所述快速查找表的老化基于时长或者命中次数。所述基于时长有两种方式,其一是快速查找表中保存的特征数据信息在一设定时间内没有命中则失效,其二是将快速查找表内信息按命中时间排序,当快速查找表的储存容量达上限又有新的特征信息加入时,排序最末即未命中时间最久的信息失效;所述基于命中次数有两种方式,其一是快速查找表中保存的特征数据信息超过命中次数阀值则失效,其二是将快速查找表内信息按命中次数高低排序,当快速查找表的储存容量达上限又有新的特征信息加入时,排序最末即命中次数最少的信息失效。为了更合理更有效地利用快速查找表,优选采用基于时长和命中次数相结合的方式。
为了实现DNS识别,所述步骤(S30)中判断是否命中的方法如下:
(S31)所述DNS应用识别库内预先存储有域名与应用的对应表信息,根据建立该网络连接时的DNS响应报文中携带的IP地址与域名的对应表信息,获得并存储该IP地址、域名和应用的三元对应表;
(S32)判断该连接的目的IP地址是否存在于所述三元对应表,若是,则命中,由此获得该连接对应的域名以及对应的应用,否则未命中。
为了保持识别的准确性和及时性,所述DNS应用识别库和包长应用识别库均由云服务器定期更新。
为了进一步提高应用识别的准确度,所述步骤(S40)中,依次对同一会话序列中的每个所述数据包进行匹配,其具体过程如下:
(S41)获取当前数据包传输的方向;
(S42)将该数据包的负载长度作为对象通过包长检测模块进行匹配,筛选出命中的应用识别号,若未命中,则标记该方向检测结束,反之则记录命中的应用识别号形成命中记录表,并进入步骤(S43);
(S43)将当前命中记录表与本方向上此前的命中记录表取交集,获得命中交集表,若存在本方向的上一次命中交集表,所述当前命中记录表与本方向上一次的命中交集表取交集;若当前命中记录表为本方向第一次记录,则将该命中记录表作为命中交集表;
(S44)判断命中交集表是否为空,若是,则标记该方向检测结束,否则进入步骤(S45);
(S45)判断该数据包是否为叶子节点,若是,则将该命中交集表作为本方向记录表并进入步骤(S46),否则跳转到步骤(S41)对下一个数据包进行匹配;
(S46)再按步骤(S41)~(S45)的方法获取该会话序列中其方向与所述本方向记录表相对的反方向记录表,若获得,则进入步骤(S47),反之则未命中包长应用识别库,识别失败;
(S47)对所述本方向记录表和反方向记录表取交集,若为空,则未命中包长应用识别库,识别失败,反之则命中包长应用识别库,完成识别,记录相应的应用识别号;
其中,所述叶子节点是指该会话序列中每一个方向上的最后一个数据包,所述应用识别号是网络设备内部对各应用预设的身份编码。
为进一步提高包长检测的准确度,所述步骤(S42)中,当匹配命中有应用识别号时还通过DPI检测模块对该数据包负载进行深度报文检测,若DPI未命中,则标记该方向检测结束,反之则记录命中的应用识别号形成命中记录表。
DPI(DeepPacketInspection,深度包检测),DPI技术是现有较为成熟的技术,本发明中不再赘述。
更进一步地,为考虑到一些特殊情况的筛选,所述步骤(S42)或(S44)中,当标记该方向检测结束时,跳转到步骤:(S48)判断包长检测模块是否设置有单方向识别模块,若是,则进入步骤(S49),否则识别失败;
(S49)获取反方向的数据包,并按步骤(S41)~(S45)的方法对所述反方向的数据包进行匹配,若获得对应的反方向记录表,则识别成功,记录相应的应用识别号,反之则识别失败;
其中,所述单方向识别模块是指仅判断会话序列中一个方向的数据包即确定唯一应用识别号的模块。
更进一步地,所述步骤(S45)中,在确定本方向记录表之后,在进入步骤(S46)之前,插入对本方向数据包进行单方向识别的判断:跳转到步骤(S48’)判断包长检测模块是否设置有单方向识别模块,若是,则通过单方向识别模块确定应用识别号,完成识别,记录相应的应用识别号,否则进入步骤(S46)。
具体地,所述步骤(S42)中,包长检测模块将数据包负载长度对比包长应用识别库判断是否命中来进行匹配筛选。
为了加快识别速度,对于TCP协议,忽略syn报文的检测,对于TCP和UCP协议,忽略负载长度为0的数据包检查。
与现有技术相比,本发明具有以下有益效果:
(1)本发明通过终端联网时在中间网络设备上创建的连接跟踪表来识别相应的应用,并利用DNS识别和数据包包长及DPI识别相结合的方式,提前排除干扰因素,大大提高了对终端应用识别的效率,而且由于设置有多层过滤筛选,有效地降低了识别误判率,提高了应用识别的实时性,其识别速度快,识别准确,具有广泛的应用前景,适合推广应用,并且在终端应用程序更新后,还能够有效识别新版本的应用程序。
(2)本发明通过识别成功后对快速查找表的刷新机制来提高后续对应用的识别速度,并为保持可靠的识别速度和准确度,对快速查找表进行了容量限制以及设置了老化规则,避免快速查找表因存储数据量过大而导致匹配缓慢以及因特征失效导致误识别的问题。
(3)本发明利用云端收集各种应用的特征,用于更新DNS应用识别库和包长应用识别库,以便于快速对连接进行识别。
(4)本发明在包长检测模块上附属DPI检测模块,在对数据包特征检测时利用多层筛选设置,可靠地对数据包特征进行识别,保证最后可以获得唯一的结果,并通过单方向识别模块的设置,提高了在一些特殊情况下对应用的识别,进一步提高了识别准确度。
附图说明
图1为本发明的整体流程示意图。
图2为本发明中步骤(S40)的基本实现流程示意图。
图3为本发明中步骤(S40)带有DPI检测的流程示意图。
图4为本发明中步骤(S40)的另一种实现流程示意图。
图5为本发明中步骤(S40)的另一种实现流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
实施例
如图1至图5所示,该基于DNS和包长组合的应用识别方法,包括如下步骤:
(S10)当终端通过某应用与外网建立网络连接时,在网络设备中创建对应的连接跟踪表,用以分配每个经过该连接的数据包,形成相应的连接记录项;所述连接跟踪表记录的特征包括该连接的状态、地址和端口,以及该连接所采用的协议,其中地址包括源地址、目的地址,端口包括源端口、目的端口,协议包括TCP协议、UDP协议、P2P协议等。
(S20)通过快速查找表对所述连接跟踪表进行特征匹配,若匹配成功,命中快速查找表内已有的记录,则完成识别,否则进入步骤(S30);其中,所述快速查找表通常是由检测模块动态创建并存储于网络设备中。
为了保证快速查找表的匹配速度,所述快速查找表的老化基于时长或者命中次数。所述基于时长有两种方式,其一是快速查找表中保存的特征数据信息在一设定时间内没有命中则失效,其二是将快速查找表内信息按命中时间排序,当快速查找表的储存容量达上限又有新的特征信息加入时,排序最末即未命中时间最久的信息失效;所述基于命中次数是指将快速查找表内信息按命中次数高低排序,当快速查找表的储存容量达上限又有新的特征信息加入时,排序最末即命中次数最少的信息失效。
(S30)通过DNS检测模块判断该连接是否命中DNS应用识别库,若命中,则标记该连接完成识别,否则进入步骤(S40);具体方法如下:
(S31)所述DNS应用识别库内预先存储有域名与应用的对应表信息,根据建立该网络连接时的DNS响应报文中携带的IP地址与域名的对应表信息,获得并存储该IP地址、域名和应用的三元对应表;
(S32)判断该连接的目的IP地址是否存在于所述三元对应表,若是,则命中,由此获得该连接对应的域名以及对应的应用,否则未命中。
为了保持识别的准确性和及时性,所述DNS应用识别库存储于网络设备中并由云服务器定期更新。
(S40)通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配,判断是否命中包长应用识别库,若命中,则匹配成功,标记该连接完成识别,否则识别失败,不再匹配;该步骤中,依次对同一会话序列中的每个所述数据包进行匹配,如图2,其具体过程如下:
(S41)获取当前数据包传输的方向;
(S42)将该数据包的负载长度作为对象通过包长检测模块进行匹配,筛选出命中的应用识别号,若未命中,则标记该方向检测结束,反之则记录命中的应用识别号形成命中记录表,并进入步骤(S43);所述包长检测模块将数据包负载长度对比包长应用识别库判断是否命中来进行匹配筛选,包长应用识别库存储于网络设备中并由云服务器定期更新;
(S43)将当前命中记录表与本方向上此前的命中记录表取交集,获得命中交集表,若存在本方向的上一次命中交集表,所述当前命中记录表与本方向上一次的命中交集表取交集;若当前命中记录表为本方向第一次记录,则将该命中记录表作为命中交集表;
(S44)判断命中交集表是否为空,若是,则标记该方向检测结束,否则进入步骤(S45);
(S45)判断该数据包是否为叶子节点,若是,则将该命中交集表作为本方向记录表并进入步骤(S46),否则跳转到步骤(S41)对下一个数据包进行匹配;
(S46)再按步骤(S41)~(S45)的方法获取该会话序列中其方向与所述本方向记录表相对的反方向记录表,若获得,则进入步骤(S47),反之则未命中包长应用识别库,识别失败;
此处值得说明的是,在一些情况下,一个会话序列中的多个连续的数据包有可能是正反方向交替存在,此时根据硬件处理能力有两种处理方式,一种是正反双线并行处理方式,即在检测连续的多个数据包时对正反两个方向分别设置一个独立进程,在步骤(S41)中获取了其方向后将其调入相应的进程去处理,另一种是单线处理反向缓存方式,即设定步骤(S41)中第一次确定的方向为正方向,当后续检测到反方向时将其相关信息在设备中缓存,待正方向检测完成后再对反方向数据包依次进行检测;
(S47)对所述本方向记录表和反方向记录表取交集,若为空,则未命中包长应用识别库,识别失败,反之则命中包长应用识别库,完成识别,记录相应的应用识别号;
其中,所述叶子节点是指该会话序列中每一个方向上的最后一个数据包,所述应用识别号是网络设备内部对各应用预设的身份编码。
如图3所示,为进一步提高包长检测的准确度,所述步骤(S42)中,当匹配命中有应用识别号时还通过DPI检测模块对该数据包负载进行深度报文检测,若DPI未命中,则标记该方向检测结束,反之则记录命中的应用识别号形成命中记录表。
DPI(DeepPacketInspection,深度包检测),DPI技术是现有较为成熟的技术,本发明中不再赘述。
如图4所示,在另一个实施方式中,为考虑到一些特殊情况的筛选,所述步骤(S42)或(S44)中,当标记该方向检测结束时,跳转到步骤:(S48)判断包长检测模块是否设置有单方向识别模块,若是,则进入步骤(S49),否则识别失败;
(S49)获取反方向的数据包,并按步骤(S41)~(S45)的方法对所述反方向的数据包进行匹配(图示中以S41’~S45’表示),若获得对应的反方向记录表,则识别成功,记录相应的应用识别号,反之则识别失败;
其中,所述单方向识别模块是指仅判断会话序列中一个方向的数据包即确定唯一应用识别号的模块。
如图5所示,在另一个实施方式中,所述步骤(S45)中,在确定本方向记录表之后,在进入步骤(S46)之前,插入对本方向数据包进行单方向识别的判断:跳转到步骤(S48’)判断包长检测模块是否设置有单方向识别模块,若是,则通过单方向识别模块确定应用识别号,完成识别,记录相应的应用识别号,否则进入步骤(S46)。
值得说明的是,图3至图5所示的两种实施方式可合并在一个检测流程中,进一步提高识别准确度。
(S50)将所有完成识别的连接及其特征加入快速查找表中缓存。
为了加快识别速度,对于TCP协议,忽略syn报文的检测,对于TCP和UCP协议,忽略负载长度为0的数据包检查。
对于包长检测的具体实现过程,本发明通过以下实例来具体阐述,表1所示为网络设备预先存储的所述包长应用识别库的局部。
表1
假设某个应用的一条tcp连接会话序列为正向(67,86,72),反向(80,85),其识别过程如下:
当正向第一个负载为67的数据包到达设备时,匹配筛选出应用识别号为100、200、300的结果,将其记录入命中记录表中,作为命中交集表①;
当正向第二个负载为68的数据包到达设备时,匹配筛选出应用识别号为100、200、400的结果,将其记录入命中记录表中,并与命中交集表①取交集,获得记录有应用识别号100、200的命中交集表②;
当正向第三个负载为72的数据包到达设备时,匹配筛选出应用识别号为200的结果,将其记录入命中记录表中,并与命中交集表②取交集,获得记录有应用识别号200的命中交集表③;
此时第三个数据包为叶子节点,将命中交集表③作为正方向记录表(本方向记录表),同时正向识别结束。
此时若进行单方向识别,则可确定应用识别号200的应用为当前使用应用;若不进行当方向识别,则还需反方向识别确定,该反方向识别过程与上述正向识别过程相同,可确定出含有应用识别号200的反方向记录表。
将正反方向记录表取交集,即可确定应用识别号200的应用为当前使用应用。
上述实施例仅为本发明的优选实施例,并非对本发明保护范围的限制,但凡采用本发明的设计原理,以及在此基础上进行非创造性劳动而作出的变化,均应属于本发明的保护范围之内。
Claims (10)
1.一种基于DNS和包长组合的应用识别方法,其特征在于,包括如下步骤:
(S10)当终端通过某应用与外网建立网络连接时,在网络设备中创建对应的连接跟踪表,用以分配每个经过该连接的数据包,形成相应的连接记录项;
(S20)通过快速查找表对所述连接跟踪表进行特征匹配,若匹配成功,命中快速查找表内已有的记录,则完成识别,否则进行下一步;
(S30)通过DNS检测模块判断该连接是否命中DNS应用识别库,若命中,则标记该连接完成识别,否则进行下一步;
(S40)通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配,判断是否命中包长应用识别库,若命中,则匹配成功,标记该连接完成识别,否则识别失败,不再匹配;
其中,所述快速查找表、DNS应用识别库和包长应用识别库存储于网络设备中。
2.根据权利要求1所述的一种基于DNS和包长组合的应用识别方法,其特征在于,还包括:
(S50)将所有完成识别的连接及其特征加入快速查找表中缓存。
3.根据权利要求1所述的一种基于DNS和包长组合的应用识别方法,其特征在于,所述步骤(S10)中连接跟踪表记录的特征包括该连接的状态、地址和端口,以及该连接所采用的协议。
4.根据权利要求1所述的一种基于DNS和包长组合的应用识别方法,其特征在于,所述快速查找表的老化基于时长或/和命中次数。
5.根据权利要求1所述的一种基于DNS和包长组合的应用识别方法,其特征在于,所述DNS应用识别库和包长应用识别库均由云服务器定期更新。
6.根据权利要求1~5任一项所述的一种基于DNS和包长组合的应用识别方法,其特征在于,所述步骤(S30)中判断是否命中的方法如下:
(S31)所述DNS应用识别库内预先存储有域名与应用的对应表信息,根据建立该网络连接时的DNS响应报文中携带的IP地址与域名的对应表信息,获得并存储该IP地址、域名和应用的三元对应表;
(S32)判断该连接的目的IP地址是否存在于所述三元对应表,若是,则命中,由此获得该连接对应的域名以及对应的应用,否则未命中。
7.根据权利要求1~5任一项所述的一种基于DNS和包长组合的应用识别方法,其特征在于,所述步骤(S40)中,依次对同一会话序列中的每个所述数据包进行匹配,其具体过程如下:
(S41)获取当前数据包传输的方向;
(S42)将该数据包的负载长度作为对象通过包长检测模块进行匹配,筛选出命中的应用识别号,若未命中,则标记该方向检测结束,反之则记录命中的应用识别号形成命中记录表,并进入步骤(S43);
(S43)将当前命中记录表与本方向上此前的命中记录表取交集,获得命中交集表,若存在本方向的上一次命中交集表,所述当前命中记录表与本方向上一次的命中交集表取交集;若当前命中记录表为本方向第一次记录,则将该命中记录表作为命中交集表;
(S44)判断命中交集表是否为空,若是,则标记该方向检测结束,否则进入步骤(S45);
(S45)判断该数据包是否为叶子节点,若是,则将该命中交集表作为本方向记录表并进入步骤(S46),否则跳转到步骤(S41)对下一个数据包进行匹配;
(S46)再按步骤(S41)~(S45)的方法获取该会话序列中其方向与所述本方向记录表相对的反方向记录表,若获得,则进入步骤(S47),反之则未命中包长应用识别库,识别失败;
(S47)对所述本方向记录表和反方向记录表取交集,若为空,则未命中包长应用识别库,识别失败,反之则命中包长应用识别库,完成识别,记录相应的应用识别号;
其中,所述叶子节点是指该会话序列中每一个方向上的最后一个数据包。
8.根据权利要求7所述的一种基于DNS和包长组合的应用识别方法,其特征在于,所述步骤(S42)中,当匹配命中有应用识别号时还通过DPI检测模块对该数据包负载进行深度报文检测,若DPI未命中,则标记该方向检测结束,反之则记录命中的应用识别号形成命中记录表。
9.根据权利要求7所述的一种基于DNS和包长组合的应用识别方法,其特征在于,所述步骤(S42)或(S44)中,当标记该方向检测结束时,跳转到步骤:(S48)判断包长检测模块是否设置有单方向识别模块,若是,则进入步骤(S49),否则识别失败;
(S49)获取反方向的数据包,并按步骤(S41)~(S45)的方法对所述反方向的数据包进行匹配,若获得对应的反方向记录表,则识别成功,记录相应的应用识别号,反之则识别失败;
其中,所述单方向识别模块是指仅判断会话序列中一个方向的数据包即确定唯一应用识别号的模块。
10.根据权利要求7所述的一种基于DNS和包长组合的应用识别方法,其特征在于,所述步骤(S45)中,在确定本方向记录表之后,在进入步骤(S46)之前,插入对本方向数据包进行单方向识别的判断:跳转到步骤(S48’)判断包长检测模块是否设置有单方向识别模块,若是,则通过单方向识别模块确定应用识别号,完成识别,记录相应的应用识别号,否则进入步骤(S46)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510739124.6A CN105245551B (zh) | 2015-11-04 | 2015-11-04 | 一种基于dns和包长组合的应用识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510739124.6A CN105245551B (zh) | 2015-11-04 | 2015-11-04 | 一种基于dns和包长组合的应用识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105245551A true CN105245551A (zh) | 2016-01-13 |
| CN105245551B CN105245551B (zh) | 2018-11-02 |
Family
ID=55043051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510739124.6A Expired - Fee Related CN105245551B (zh) | 2015-11-04 | 2015-11-04 | 一种基于dns和包长组合的应用识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105245551B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108011826A (zh) * | 2017-12-01 | 2018-05-08 | 锐捷网络股份有限公司 | 路由方法、路由设备、通信系统及存储介质 |
| CN109218127A (zh) * | 2018-07-06 | 2019-01-15 | Oppo(重庆)智能科技有限公司 | 数据处理方法、装置以及移动终端 |
| CN110768875A (zh) * | 2019-12-27 | 2020-02-07 | 北京安博通科技股份有限公司 | 一种基于dns学习的应用识别方法及系统 |
| CN111143743A (zh) * | 2019-12-26 | 2020-05-12 | 杭州迪普科技股份有限公司 | 一种自动扩充应用识别库的方法及装置 |
| CN111917663A (zh) * | 2020-06-16 | 2020-11-10 | 深圳市风云实业有限公司 | 一种hsr重复报文过滤表哈希桶满覆盖方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282331A (zh) * | 2008-05-09 | 2008-10-08 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
| CN101505276A (zh) * | 2009-03-23 | 2009-08-12 | 杭州华三通信技术有限公司 | 网络应用流量识别方法和装置及网络应用流量管理设备 |
| US20100138920A1 (en) * | 2008-12-03 | 2010-06-03 | Electronics And Telecommunications Research Institute | Method and system for detecting and responding to harmful traffic |
| CN103873320A (zh) * | 2013-12-27 | 2014-06-18 | 北京天融信科技有限公司 | 加密流量识别方法及装置 |
-
2015
- 2015-11-04 CN CN201510739124.6A patent/CN105245551B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282331A (zh) * | 2008-05-09 | 2008-10-08 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
| US20100138920A1 (en) * | 2008-12-03 | 2010-06-03 | Electronics And Telecommunications Research Institute | Method and system for detecting and responding to harmful traffic |
| CN101505276A (zh) * | 2009-03-23 | 2009-08-12 | 杭州华三通信技术有限公司 | 网络应用流量识别方法和装置及网络应用流量管理设备 |
| CN103873320A (zh) * | 2013-12-27 | 2014-06-18 | 北京天融信科技有限公司 | 加密流量识别方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108011826A (zh) * | 2017-12-01 | 2018-05-08 | 锐捷网络股份有限公司 | 路由方法、路由设备、通信系统及存储介质 |
| CN109218127A (zh) * | 2018-07-06 | 2019-01-15 | Oppo(重庆)智能科技有限公司 | 数据处理方法、装置以及移动终端 |
| CN109218127B (zh) * | 2018-07-06 | 2021-05-07 | Oppo(重庆)智能科技有限公司 | 数据处理方法、装置以及移动终端 |
| CN111143743A (zh) * | 2019-12-26 | 2020-05-12 | 杭州迪普科技股份有限公司 | 一种自动扩充应用识别库的方法及装置 |
| CN111143743B (zh) * | 2019-12-26 | 2023-09-26 | 杭州迪普科技股份有限公司 | 一种自动扩充应用识别库的方法及装置 |
| CN110768875A (zh) * | 2019-12-27 | 2020-02-07 | 北京安博通科技股份有限公司 | 一种基于dns学习的应用识别方法及系统 |
| CN111917663A (zh) * | 2020-06-16 | 2020-11-10 | 深圳市风云实业有限公司 | 一种hsr重复报文过滤表哈希桶满覆盖方法 |
| CN111917663B (zh) * | 2020-06-16 | 2022-11-04 | 深圳市风云实业有限公司 | 一种hsr重复报文过滤表哈希桶满覆盖方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105245551B (zh) | 2018-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105245551A (zh) | 一种基于dns和包长组合的应用识别方法 | |
| KR102047585B1 (ko) | 프록시 ip 어드레스를 식별하는 방법 및 장치 | |
| US9596286B2 (en) | Method to process HTTP header with hardware assistance | |
| KR101451478B1 (ko) | 백-투-백 사용자 에이전트(b2bua) 환경에서의 sip 전환 | |
| CN101557329B (zh) | 一种基于应用层的数据分割方法及装置 | |
| US20120099597A1 (en) | Method and device for detecting a packet | |
| CN110808879B (zh) | 一种协议识别方法、装置、设备及可读存储介质 | |
| CN106330584B (zh) | 一种业务流的识别方法及识别装置 | |
| CN102724317A (zh) | 一种网络数据流量分类方法和装置 | |
| CN109104395B (zh) | 互联网资产扫描发现与服务识别的方法和装置 | |
| CN112995352B (zh) | 基于流量分析的IPv6网络空间测绘系统及测绘方法 | |
| WO2014094441A1 (zh) | 病毒检测方法及设备 | |
| US9866639B2 (en) | Communication apparatus, information processor, communication method, and computer-readable storage medium | |
| CN107612890A (zh) | 一种网络监测方法及系统 | |
| CN108667732A (zh) | 一种报文转发方法及装置 | |
| CN105227348A (zh) | 一种基于ip五元组的哈希存储方法 | |
| CN102571946A (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
| CN101582897A (zh) | 一种深度报文检测方法和装置 | |
| CN108616488A (zh) | 一种攻击的防御方法及防御设备 | |
| CN112511454A (zh) | 一种网络质量的探测方法、系统及装置 | |
| CN111756713A (zh) | 网络攻击识别方法、装置、计算机设备及介质 | |
| CN104243225A (zh) | 一种基于深度包检测的流量识别方法 | |
| CN113242260A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
| CN101854366A (zh) | 一种对等网络流量识别的方法及装置 | |
| CN104253712B (zh) | 一种利用深度包检测技术进行p2p网络识别的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181102 Termination date: 20211104 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |