CN105681389B - 一种基于Skype不同功能通信流的识别方法及装置 - Google Patents

一种基于Skype不同功能通信流的识别方法及装置 Download PDF

Info

Publication number
CN105681389B
CN105681389B CN201510958932.1A CN201510958932A CN105681389B CN 105681389 B CN105681389 B CN 105681389B CN 201510958932 A CN201510958932 A CN 201510958932A CN 105681389 B CN105681389 B CN 105681389B
Authority
CN
China
Prior art keywords
transmitting message
detection
skype
message
current sessions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510958932.1A
Other languages
English (en)
Other versions
CN105681389A (zh
Inventor
徐牧池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201510958932.1A priority Critical patent/CN105681389B/zh
Publication of CN105681389A publication Critical patent/CN105681389A/zh
Priority to PCT/CN2016/108441 priority patent/WO2017101693A1/zh
Priority to US16/060,002 priority patent/US20180367461A1/en
Priority to JP2018531242A priority patent/JP2018537921A/ja
Application granted granted Critical
Publication of CN105681389B publication Critical patent/CN105681389B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • H04L65/401Support for services or applications wherein the services involve a main real-time session and one or more additional parallel real-time or time sensitive sessions, e.g. white board sharing or spawning of a subconference
    • H04L65/4015Support for services or applications wherein the services involve a main real-time session and one or more additional parallel real-time or time sensitive sessions, e.g. white board sharing or spawning of a subconference where at least one of the additional parallel sessions is real time or time sensitive, e.g. white board sharing, collaboration or spawning of a subconference
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/75Media network packet handling
    • H04L65/765Media network packet handling intermediate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/10Multimedia information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Abstract

本发明公开了一种基于Skype不同功能通信流的识别方法及装置,该方法包括,获取当前会话中传输报文,并对所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签,否则确定所述传输报文所归属的检测层次,并按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。也就是说,在本发明中,通过递增性识别,解决了耦合性流量无法区分的问题,从而能够识别出Skype的单一功能,可以完成对Skype流量的精细化访问控制。

Description

一种基于Skype不同功能通信流的识别方法及装置
技术领域
本发明涉及通信技术领域,尤其涉及一种基于Skype不同功能通信流的识别方法及装置。
背景技术
Skype是全球最受欢迎的即时通讯软件之一,它可以免费、清晰地与其他用户语音对话,也可以拨打国内国际电话。Skype主要使用p2p网络架构及私有协议通信,对数据也进行了强加密处理,并且Skype的通信过程非常复杂,代码量也很大,所以很难通过逆向工作对其进行源码分析,从而使得到目前为止对于Skype的识别还处于简单识别阶段。
例如,现有识别技术可通过对Skype的登陆过程进行识别,来限制Skype所有功能的使用,或是,对Skype功能的部分流量进行识别,如对于Skype的某些功能产生的通信流所对应的那部分流量进行识别,若超过设定流量阈值则对该部分流量进行部分限流操作。但是,对于Skype的单一功能(如文字聊天、文件传输等),现有识别技术还无法完全识别,原因是Skype的多个主要功能在通信过程中有一部分流量的耦合性较大,现有识别技术难以进行区分,因此也无法针对Skype的单一功能进行限流操作。
也就是说,现有识别技术无法对Skype功能通信流中的耦合性较大的流量进行识别,因此无法对Skype的单一功能进行识别,从而导致无法针对Skype常用功能进行精细限流。
发明内容
本发明实施例提供了一种基于Skype不同功能通信流的识别方法及装置,用以解决现有识别技术无法对Skype功能通信流中的耦合性较大的流量进行识别,因此无法对Skype的单一功能进行识别,从而导致无法针对Skype常用功能进行精细限流的问题。
第一方面,提供了一种基于Skype不同功能通信流的识别方法,所述方法包括:
获取当前会话中传输报文;
对所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签;若所述传输报文未被准确识别,则确定所述传输报文所归属的检测层次;
按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。
结合第一方面,在第一方面的第一种可能的实现方式中,所述方法还包括:
对已标记上相应的功能应用标签的所述当前会话进行限流操作。
结合第一方面,在第一方面的第二种可能的实现方式中,所述对所述传输报文进行初步检测,包括:
利用DPI(Deep Packet Inspection,深度包检测)技术和DFI(Deep/Dynamic FlowInspection,动态流检测)技术对所述传输报文进行初步检测。
结合第一方面,在第一方面的第三种可能的实现方式中,所述确定所述传输报文所归属的检测层次,包括:
确定获取到的所述传输报文在所述当前会话中的位置所对应的数值P,其中,P为正整数;
根据所述传输报文在所述当前会话中的位置所对应的数值P以及预先划分的检测层次,确定所述传输报文所归属的检测层次。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述检测层次至少包括:
疑似Skype会话检测层、文字传输检测层、文件传输检测层和语音视频检测层;
其中,疑似Skype会话检测层的传输报文在所述当前会话中的位置所对应的数值范围为0-P1,文字传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P1-P2,文件传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P3-P4,语音视频检测层的传输报文在所述当前会话中的位置所对应的数值范围为P5-P6,且0<P1<P2,P2<P3<P4,P2<P5<P6。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,当确定所述传输报文所归属的检测层次为所述疑似Skype会话检测层且所述当前会话未被标记上相应的功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,包括:
对所述传输报文进行Skype特征检测。
结合第一方面的第五种可能的实现方式,在第一方面的第六种可能的实现方式中,所述Skype特征至少包括:
会话端口、报文长度、特定位置报文流向或应用层负载。
结合第一方面的第四种可能的实现方式,在第一方面的第七种可能的实现方式中,当确定所述传输报文所归属的检测层次为所述文字传输检测层且所述当前会话已被标记上疑似Skype会话应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,包括:
对所述传输报文进行流量以及Skype文字传输特征检测。
结合第一方面的第四种可能的实现方式,在第一方面的第八种可能的实现方式中,当确定所述传输报文所归属的检测层次为所述文件传输检测层且所述当前会话已被标记上文字传输功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,包括:
对所述传输报文进行流量以及Skype文件传输特征检测。
结合第一方面的第四种可能的实现方式,在第一方面的第九种可能的实现方式中,当确定所述传输报文所归属的检测层次为所述语音视频检测层且所述当前会话已被标记上文字传输功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,包括:
对所述传输报文进行流量以及Skype音视频特征检测。
第二方面,提供了一种基于Skype不同功能通信流的识别装置,所述装置包括:
获取单元,用于获取当前会话中传输报文;
处理单元,用于对获取单元获取到的所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签;若所述传输报文未被准确识别,则确定所述传输报文所归属的检测层次,并按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。
结合第二方面,在第二方面的第一种可能的实现方式中,所述装置还包括限流单元:
所述限流单元,用于对已标记上相应的功能应用标签的所述当前会话进行限流操作。
结合第二方面,在第二方面的第二种可能的实现方式中,所述处理单元,具体用于利用DPI技术和DFI技术对所述传输报文进行初步检测。
结合第二方面,在第二方面的第三种可能的实现方式中,所述处理单元,具体用于确定获取到的所述传输报文在所述当前会话中的位置所对应的数值P,其中,P为正整数,并根据所述传输报文在所述当前会话中的位置所对应的数值P以及预先划分的检测层次,确定所述传输报文所归属的检测层次。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述检测层次至少包括:
疑似Skype会话检测层、文字传输检测层、文件传输检测层和语音视频检测层;
其中,疑似Skype会话检测层的传输报文在所述当前会话中的位置所对应的数值范围为0-P1,文字传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P1-P2,文件传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P3-P4,语音视频检测层的传输报文在所述当前会话中的位置所对应的数值范围为P5-P6,且0<P1<P2,P2<P3<P4,P2<P5<P6。
结合第二方面的第四种可能的实现方式,在第二方面的第五种可能的实现方式中,所述处理单元,具体用于当确定所述传输报文所归属的检测层次为所述疑似Skype会话检测层且所述当前会话未被标记上相应的功能应用标签时,对所述传输报文进行Skype特征检测。
结合第二方面的第五种可能的实现方式,在第二方面的第六种可能的实现方式中,所述Skype特征至少包括:
会话端口、报文长度、特定位置报文流向或应用层负载。
结合第二方面的第四种可能的实现方式,在第二方面的第七种可能的实现方式中,所述处理单元,具体用于当确定所述传输报文所归属的检测层次为所述文字传输检测层且所述当前会话已被标记上疑似Skype会话应用标签时,对所述传输报文进行流量以及Skype文字传输特征检测。
结合第一方面的第四种可能的实现方式,在第一方面的第八种可能的实现方式中,所述处理单元,具体用于当确定所述传输报文所归属的检测层次为所述文件传输检测层且所述当前会话已被标记上文字传输功能应用标签时,对所述传输报文进行流量以及Skype文件传输特征检测。
结合第一方面的第四种可能的实现方式,在第一方面的第九种可能的实现方式中,所述处理单元,具体用于当确定所述传输报文所归属的检测层次为所述语音视频检测层且所述当前会话已被标记上文字传输功能应用标签时,对所述传输报文进行流量以及Skype音视频特征检测。
根据第一~第二方面提供的方法及装置,可获取当前会话中传输报文,并对所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签,否则确定所述传输报文所归属的检测层次,并按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。也就是说,在本发明实施例所述技术方案中,通过递增性识别,解决了耦合性流量无法区分的问题,从而能够识别出Skype的单一功能,可以完成对Skype流量的精细化访问控制,进而可以实现对Skype指定功能的封堵,提高网络带宽,优化办公环境。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为本发明实施例一所述的一种基于Skype不同功能通信流的识别方法的流程示意图;
图2所示为本发明实施例一所述的一种基于Skype不同功能通信流的识别方法的详细流程示意图;
图3所示为本发明实施例二所述的一种基于Skype不同功能通信流的识别装置的详细流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一:
本发明实施例一提供了一种基于Skype不同功能通信流的识别方法,如图1所示,其为本发明实施例一所述的基于Skype不同功能通信流的识别方法的流程示意图,所述方法可包括以下步骤:
步骤101:获取当前会话中传输报文。
步骤102:对所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签;若所述传输报文未被准确识别,则确定所述传输报文所归属的检测层次。
步骤103:按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。
也就是说,在本发明实施例所述技术方案中,通过递增性识别,解决了耦合性流量无法区分的问题,从而能够识别出Skype的单一功能,可以完成对Skype流量的精细化访问控制,进而可以实现对Skype指定功能的封堵,提高网络带宽,优化办公环境。
进一步地,在步骤102中,对所述传输报文进行初步检测,可具体实施为:
利用DPI技术和DFI技术对所述传输报文进行初步检测。
需要说明的是,利用DPI技术和DFI技术的结合,可准确地识别出非耦合性的Skype流量,从而对被准确识别的会话标记上相应的功能应用标签,后续则不会再对该会话进行进一步的检测操作,即非耦合性的Skype流量对应的会话在此步骤可以完成检测。
进一步地,在步骤102中,确定所述传输报文所归属的检测层次,可具体实施为:
确定获取到的所述传输报文在所述当前会话中的位置所对应的数值P,其中,P为正整数;
根据所述传输报文在所述当前会话中的位置所对应的数值P以及预先划分的检测层次,确定所述传输报文所归属的检测层次。
可选地,所述检测层次至少包括:
疑似Skype会话检测层、文字传输检测层、文件传输检测层和语音视频检测层;
其中,疑似Skype会话检测层的传输报文在所述当前会话中的位置所对应的数值范围为0-P1,文字传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P1-P2,文件传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P3-P4,语音视频检测层的传输报文在所述当前会话中的位置所对应的数值范围为P5-P6,且0<P1<P2,P2<P3<P4,P2<P5<P6。
需要说明的是,预先根据传输报文在所述当前会话中的位置所对应的数值范围划分Skype的检测层次可以是通过对传输报文的流量特征分析以及经验值的综合处理来划分的,且在划分Skype的检测层次之后,还可确定每个检测层次内的流量对应的统计阀值,即疑似Skype会话检测层对应的预设流量统计阈值,文字传输检测层对应的第一预设流量统计阈值,文件传输检测层对应的第二预设流量统计阈值,语音视频检测层对应的第三预设流量统计阈值。另外,需要说明的是其中,通常在疑似Skype会话检测时不会做流量统计,因此疑似Skype会话检测层对应的预设流量统计阈值通常为零,其余预设流量统计阈值的计算也是通过对流量的特性分析与经验值的综合处理所得到的,本发明实施例对此不作赘述。
进一步地,针对步骤103,当确定所述传输报文所归属的检测层次为所述疑似Skype会话检测层且所述当前会话未被标记上相应的功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,可具体实施为:
对所述传输报文进行Skype特征检测。
也就是说,在对所述传输报文进行Skype特征检测后,若所述传输报文满足Skype特征,则将所述传输报文所对应的当前会话标记上疑似Skype会话应用标签。
需要说明的是,若确定所述传输报文所归属的检测层次为所述疑似Skype会话检测层,但所述传输报文所对应的当前会话若已被被标记上相应的功能应用标签,则结束该检测流程,维持初步检测中DPI技术和DFI技术对当前会话的检测结果。
可选地,所述Skype特征可至少包括会话端口、报文长度、特定位置报文流向或应用层负载等,本发明实施例对此不作赘述。
具体地,对所述传输报文进行Skype特征检测,可检测所述传输报文所对应的当前会话所占用的会话端口号是否为Skype配置的相应会话端口,或者,Skype传输协议特征码对应的报文的起始位置,是否与Skype配置的相应起始位置相匹配等等,当满足任一个或多个Skype特征时可将所述传输报文所对应的当前会话标记上疑似Skype会话应用标签。
进一步地,针对步骤103,当确定所述传输报文所归属的检测层次为所述文字传输检测层且所述当前会话已被标记上疑似Skype会话应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,可具体实施为:
对所述传输报文进行流量以及Skype文字传输特征检测。
具体地,对所述传输报文进行流量以及Skype文字传输特征检测,可具体实施为:
从所述传输报文中选取具有Skype文字传输特征的第一部分报文进行流量统计,并确定所述第一部分报文的流量统计值,以及,提取所述第一部分报文中的Skype文字传输特征,并进行Skype文字传输特征检测;
将所述第一部分报文的流量统计值与所述文字传输检测层设置的第一预设流量统计阈值进行比较,以及确定所述第一部分报文中的Skype文字传输特征与所述文字传输检测层对应的Skype文字传输特征是否匹配。
之后,若确定所述第一部分报文的流量统计值不小于所述第一预设流量统计阈值且所述第一部分报文中的Skype文字传输特征与所述文字传输检测层对应的Skype文字传输特征相匹配,则将所述传输报文所对应的当前会话标记上文字传输功能应用标签。
需要说明的是,若确定所述传输报文所归属的检测层次为所述初步检测层,但所述传输报文所对应的当前会话若已被标记上疑似Skype会话应用标签,则结束该检测流程,维持疑似Skype会话检测层的检测结果。
另外,需要说明的是,为了使得文字传输检测层的检测更加快捷,在该层检测时除了可同时进行流量检测和Skype文字传输特征检测之外,还可对所述传输报文仅进行流量检测,也就是说,若确定所述第一部分报文的流量统计值不小于所述第一预设流量统计阈值,则可直接将所述传输报文所对应的当前会话标记上文字传输功能应用标签,本发明实施例对此不作赘述。
进一步地,针对步骤103,当确定所述传输报文所归属的检测层次为所述文件传输检测层且所述传输报文所对应的当前会话已被标记上文字传输功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,可具体实施为:
对所述传输报文进行流量以及Skype文件传输特征检测。
具体地,对所述传输报文进行流量以及Skype文件传输特征检测,可具体实施为:
从所述传输报文中选取具有Skype文件传输特征的第二部分报文进行流量统计,并确定所述第二部分报文的流量统计值,以及,提取所述第二部分报文中的Skype文件传输特征,并进行Skype文件传输特征检测;
将所述第二部分报文的流量统计值与所述文件传输检测层设置的第二预设流量统计阈值进行比较,以及确定所述第二部分报文中的Skype文件传输特征与所述文件传输检测层对应的Skype文件传输特征是否匹配。
之后,若确定所述第二部分报文的流量统计值不小于所述第二预设流量统计阈值且所述第二部分报文中的Skype文件传输特征与所述文件传输检测层对应的Skype文件传输特征相匹配,则将所述传输报文所对应的当前会话标记上文件传输功能应用标签;
若所述第二部分报文的流量统计值小于所述第二预设流量统计阈值和/或所述第二部分报文中的Skype文件传输特征与所述文件传输检测层对应的Skype文件传输特征不匹配,并且确定所述传输报文所归属的检测层次为所述语音视频检测层,则提取所述第二部分报文中的Skype音视频特征,并进行相应的Skype音视频特征检测,当所述第二部分报文中的Skype音视频特征与所述语音视频检测层对应的Skype音视频特征相匹配时,将所述传输报文所对应的当前会话标记上语音视频功能应用标签。
也就是说,若确定所述传输报文所对应的当前会话为文件传输功能会话时,则可更新所述传输报文所对应的当前会话的功能应用标签,即将所述传输报文所对应的当前会话在上层文字传输检测层所标记的文字传输功能应用标签更新为文件传输功能应用标签,若不符合文件传输层的检测条件,如所述第二部分报文的流量统计值小于所述第二预设流量统计阈值,则可继续确定所述传输报文所归属的检测层次是否为语音视频检测层,若是,则可检测相关的音视频特征,当满足检测条件时,则可更新所述传输报文所对应的当前会话的功能应用标签,即将所述传输报文所对应的当前会话在上层文字传输检测层所标记的文字传输功能应用标签更新为语音视频功能应用标签。
需要说明的是,若均不符合该检测层次的检测条件,则结束本次检测流程,如,若确定所述传输报文所归属的检测层次为所述文件传输检测层,但所述传输报文所对应的当前会话若未被标记上文字传输功能应用标签,则结束本次检测流程,维持文字传输检测层的检测结果。
另外,需要说明的是,为了使得文件传输检测层的检测更加快捷,在该层检测时除了可同时进行流量检测和Skype文件传输特征检测之外,还可对所述传输报文仅进行流量检测,也就是说,若确定所述第二部分报文的流量统计值不小于所述第二预设流量统计阈值,则可直接将所述传输报文所对应的当前会话标记上文件传输功能应用标签;
若所述第二部分报文的流量统计值小于所述第二预设流量统计阈值且确定所述传输报文所归属的检测层次为所述语音视频检测层,则提取所述第二部分报文中的Skype音视频特征,并进行Skype音视频特征检测,当所述第二部分报文中的Skype音视频特征与所述语音视频检测层对应的Skype音视频特征相匹配时,可将所述传输报文所对应的当前会话标记上语音视频功能应用标签。
进一步地,针对步骤103,当确定所述传输报文所归属的检测层次为所述语音视频检测层且所述当前会话已被标记上文字传输功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,可具体实施为:
对所述传输报文进行流量以及Skype音视频特征检测。
具体地,对所述传输报文进行流量以及Skype音视频特征检测,可具体实施为:
从所述传输报文中选取具有Skype音视频特征的第三部分报文进行流量统计,并确定所述第三部分报文的流量统计值,以及,提取所述第三部分报文中的Skype音视频特征,并进行Skype音视频特征检测;
将所述第三部分报文的流量统计值与所述语音视频检测层设置的第三预设流量统计阈值进行比较,以及确定所述第三部分报文中的Skype音视频特征与所述语音视频检测层对应的Skype音视频特征是否匹配。
之后,若确定所述第三部分报文的流量统计值不小于所述第三预设流量统计阈值且所述第三部分报文中的Skype音视频特征与所述语音视频检测层对应的Skype音视频特征相匹配,则将所述传输报文所对应的当前会话标记上语音视频功能应用标签。
也就是说,若确定所述传输报文所对应的当前会话为语音视频功能会话时,则更新所述传输报文所对应的当前会话的功能应用标签,即将所述传输报文所对应的当前会话在上层文字传输检测层所标记的文字传输功能应用标签更新为语音视频功能应用标签。
需要说明的是,若确定所述传输报文所归属的检测层次为所述语音视频检测层,但所述所对应的当前会话若未被标记上文字传输功能应用标签,则结束该检测流程,维持文字传输检测层的检测结果。
另外,需要说明的是,为了使得语音视频检测层的检测更加快捷,在该层检测时除了可同时进行流量检测和Skype音视频特征检测之外,还可对所述已输报文仅进行流量检测,也就是说,若确定所述第三部分报文的流量统计值不小于所述第三预设流量统计阈值,则可直接将所述传输报文所对应的当前会话标记上语音视频功能应用标签,本发明实施例对此不作赘述。
由上述内容可知本发明实施例所述的识别方法为递增性识别方法,当未标记上上层应用标签时,则结束本次检测流程,维持上层检测结果。也就是说,本发明实施例所述的技术方案,通过使用递增性识别方法,以及结合DPI技术和DFI技术的检测方法,可以解决在Skype识别过程中对耦合性大的流量无法区分的难题,达到对Skype单一功能的精细化识别控制。
进一步地,为了使得本发明实施例所述技术方案更清晰,现以一具体详细流程图对本发明实施例所述的基于Skype不同功能通信流的识别方法进行详细展示,具体可如图2所示。
进一步地,在根据上述流程识别出Skype的单一功能后,如果需要对Skype的单一功能进行限流操作,则所述方法还可包括:
对已标记上相应的功能应用标签的所述当前会话进行限流操作。
可选地,可根据用户的实际需求对已标记上相应的功能应用标签的会话进行限流操作,如在公司的办公环境下,可限制已标记上语音视频功能应用标签的会话的相关操作,从而提高办公环境的网络带宽。
本发明实施例一提供了一种基于Skype不同功能通信流的识别方法,获取当前会话中传输报文,并对所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签,否则确定所述传输报文所归属的检测层次,并按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。也就是说,在本发明实施例所述技术方案中,通过递增性识别,解决了耦合性流量无法区分的问题,从而能够识别出Skype的单一功能,可以完成对Skype流量的精细化访问控制,进而可以实现对Skype指定功能的封堵,提高网络带宽,优化办公环境。
实施例二
基于与本发明实施例一相同的发明构思,本发明实施例二提供了一种基于Skype不同功能通信流的识别装置,所述识别装置的具体实施可参见上述方法实施例一中的相关描述,重复之处不再赘述。具体地,如图3所示,其为所述基于Skype不同功能通信流的识别装置的结构示意图,所述基于Skype不同功能通信流的识别装置具体可包括:
获取单元31,可用于获取当前会话中传输报文;
处理单元32,用于对获取单元31获取到的所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签;若所述传输报文未被准确识别,则确定所述传输报文所归属的检测层次,并按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。
进一步地,所述装置还可包括限流单元33:
所述限流单元33,可用于对已标记上相应的功能应用标签的所述当前会话进行限流操作。
进一步地,所述处理单元32,可具体用于利用DPI技术和DFI技术对所述传输报文进行初步检测。
进一步地,所述处理单元32,可具体用于确定获取到的所述传输报文在所述当前会话中的位置所对应的数值P,其中,P为正整数,并根据所述传输报文在所述当前会话中的位置所对应的数值P以及预先划分的检测层次,确定所述传输报文所归属的检测层次。
可选地,所述检测层次至少包括:
疑似Skype会话检测层、文字传输检测层、文件传输检测层和语音视频检测层;
其中,疑似Skype会话检测层的传输报文在所述当前会话中的位置所对应的数值范围为0-P1,文字传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P1-P2,文件传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P3-P4,语音视频检测层的传输报文在所述当前会话中的位置所对应的数值范围为P5-P6,且0<P1<P2,P2<P3<P4,P2<P5<P6。
需要说明的是,预先根据传输报文个数划分Skype的检测层次可以是通过对传输报文的流量特征分析以及经验值的综合处理来划分的,且在划分Skype的检测层次之后,还可确定每个检测层次内的流量对应的统计阀值,即疑似Skype会话检测层对应的预设流量统计阈值,文字传输检测层对应的第一预设流量统计阈值,文件传输检测层对应的第二预设流量统计阈值,语音视频检测层对应的第三预设流量统计阈值。另外,需要说明的是其中,通常在疑似Skype会话检测时不会做流量统计,因此疑似Skype会话检测层对应的预设流量统计阈值通常为零,其余预设流量统计阈值的计算也是通过对流量的特性分析与经验值的综合处理所得到的,本发明实施例对此不作赘述。
进一步地,所述处理单元32,可具体用于当确定所述传输报文所归属的检测层次为所述疑似Skype会话检测层且所述当前会话未被标记上相应的功能应用标签时,对所述传输报文进行Skype特征检测。
可选地,所述Skype特征可至少包括会话端口、报文长度、特定位置报文流向或应用层负载等,本发明实施例对此不作赘述。
进一步地,所述处理单元32,可具体用于当确定所述传输报文所归属的检测层次为所述文字传输检测层且所述当前会话已被标记上疑似Skype会话应用标签时,对所述传输报文进行流量以及Skype文字传输特征检测。
进一步地,所述处理单元32,可具体用于当确定所述传输报文所归属的检测层次为所述文件传输检测层且所述当前会话已被标记上文字传输功能应用标签时,对所述传输报文进行流量以及Skype文件传输特征检测。
进一步地,所述处理单元32,可具体用于当确定所述传输报文所归属的检测层次为所述语音视频检测层且所述当前会话已被标记上文字传输功能应用标签时,对所述传输报文进行流量以及Skype音视频特征检测。
本发明实施例二提供了一种基于Skype不同功能通信流的识别装置,获取当前会话中传输报文,并对所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签,否则确定所述传输报文所归属的检测层次,并按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。也就是说,在本发明实施例所述技术方案中,通过递增性识别,解决了耦合性流量无法区分的问题,从而能够识别出Skype的单一功能,可以完成对Skype流量的精细化访问控制,进而可以实现对Skype指定功能的封堵,提高网络带宽,优化办公环境。
本领域技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (18)

1.一种基于Skype不同功能通信流的识别方法,其特征在于,包括:
获取当前会话中传输报文;
对所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签;若所述传输报文未被准确识别,则确定所述传输报文所归属的检测层次;
所述确定所述传输报文所归属的检测层次,包括:确定获取到的所述传输报文在所述当前会话中的位置所对应的数值P,其中,P为正整数;根据所述传输报文在所述当前会话中的位置所对应的数值P以及预先划分的检测层次,确定所述传输报文所归属的检测层次;
按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
对已标记上相应的功能应用标签的所述当前会话进行限流操作。
3.如权利要求1所述的方法,其特征在于,所述对所述传输报文进行初步检测,包括:
利用深度包检测DPI技术和动态流检测DFI技术对所述传输报文进行初步检测。
4.如权利要求1所述的方法,其特征在于,所述检测层次至少包括:
疑似Skype会话检测层、文字传输检测层、文件传输检测层和语音视频检测层;
其中,疑似Skype会话检测层的传输报文在所述当前会话中的位置所对应的数值范围为0-P1,文字传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P1-P2,文件传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P3-P4,语音视频检测层的传输报文在所述当前会话中的位置所对应的数值范围为P5-P6,且0<P1<P2,P2<P3<P4,P2<P5<P6。
5.如权利要求4所述的方法,其特征在于,当确定所述传输报文所归属的检测层次为所述疑似Skype会话检测层且所述当前会话未被标记上相应的功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,包括:
对所述传输报文进行Skype特征检测。
6.如权利要求5所述的方法,其特征在于,所述Skype特征至少包括:
会话端口、报文长度、特定位置报文流向或应用层负载。
7.如权利要求4所述的方法,其特征在于,当确定所述传输报文所归属的检测层次为所述文字传输检测层且所述当前会话已被标记上疑似Skype会话应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,包括:
对所述传输报文进行流量以及Skype文字传输特征检测。
8.如权利要求4所述的方法,其特征在于,当确定所述传输报文所归属的检测层次为所述文件传输检测层且所述当前会话已被标记上文字传输功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,包括:
对所述传输报文进行流量以及Skype文件传输特征检测。
9.如权利要求4所述的方法,其特征在于,当确定所述传输报文所归属的检测层次为所述语音视频检测层且所述当前会话已被标记上文字传输功能应用标签时,所述按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,包括:
对所述传输报文进行流量以及Skype音视频特征检测。
10.一种基于Skype不同功能通信流的识别装置,其特征在于,包括:
获取单元,用于获取当前会话中传输报文;
处理单元,用于对获取单元获取到的所述传输报文进行初步检测,若所述传输报文被准确识别,则将所述当前会话标记上相应的功能应用标签;若所述传输报文未被准确识别,则确定所述传输报文所归属的检测层次,并按照所述传输报文所归属的检测层次对应的检测规则对所述传输报文进行检测,并在满足检测条件时,将所述当前会话标记上所述传输报文所归属的检测层次对应的功能应用标签;
所述处理单元,具体用于确定获取到的所述传输报文在所述当前会话中的位置所对应的数值P,其中,P为正整数,并根据所述传输报文在所述当前会话中的位置所对应的数值P以及预先划分的检测层次,确定所述传输报文所归属的检测层次。
11.如权利要求10所述的装置,其特征在于,所述装置还包括限流单元:
所述限流单元,用于对已标记上相应的功能应用标签的所述当前会话进行限流操作。
12.如权利要求10所述的装置,其特征在于,
所述处理单元,具体用于利用深度包检测DPI技术和动态流检测DFI技术对所述传输报文进行初步检测。
13.如权利要求10所述的装置,其特征在于,所述检测层次至少包括:
疑似Skype会话检测层、文字传输检测层、文件传输检测层和语音视频检测层;
其中,疑似Skype会话检测层的传输报文在所述当前会话中的位置所对应的数值范围为0-P1,文字传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P1-P2,文件传输检测层的传输报文在所述当前会话中的位置所对应的数值范围为P3-P4,语音视频检测层的传输报文在所述当前会话中的位置所对应的数值范围为P5-P6,且0<P1<P2,P2<P3<P4,P2<P5<P6。
14.如权利要求13所述的装置,其特征在于,
所述处理单元,具体用于当确定所述传输报文所归属的检测层次为所述疑似Skype会话检测层且所述当前会话未被标记上相应的功能应用标签时,对所述传输报文进行Skype特征检测。
15.如权利要求14所述的装置,其特征在于,所述Skype特征至少包括:
会话端口、报文长度、特定位置报文流向或应用层负载。
16.如权利要求13所述的装置,其特征在于,
所述处理单元,具体用于当确定所述传输报文所归属的检测层次为所述文字传输检测层且所述当前会话已被标记上疑似Skype会话应用标签时,对所述传输报文进行流量以及Skype文字传输特征检测。
17.如权利要求13所述的装置,其特征在于,
所述处理单元,具体用于当确定所述传输报文所归属的检测层次为所述文件传输检测层且所述当前会话已被标记上文字传输功能应用标签时,对所述传输报文进行流量以及Skype文件传输特征检测。
18.如权利要求13所述的装置,其特征在于,
所述处理单元,具体用于当确定所述传输报文所归属的检测层次为所述语音视频检测层且所述当前会话已被标记上文字传输功能应用标签时,对所述传输报文进行流量以及Skype音视频特征检测。
CN201510958932.1A 2015-12-18 2015-12-18 一种基于Skype不同功能通信流的识别方法及装置 Active CN105681389B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201510958932.1A CN105681389B (zh) 2015-12-18 2015-12-18 一种基于Skype不同功能通信流的识别方法及装置
PCT/CN2016/108441 WO2017101693A1 (zh) 2015-12-18 2016-12-02 一种基于Skype不同功能通信流的识别方法及装置
US16/060,002 US20180367461A1 (en) 2015-12-18 2016-12-02 Identification method and device based on communication flows of different functions of skype
JP2018531242A JP2018537921A (ja) 2015-12-18 2016-12-02 Skypeの異なる機能の通信フローに基づく識別方法及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510958932.1A CN105681389B (zh) 2015-12-18 2015-12-18 一种基于Skype不同功能通信流的识别方法及装置

Publications (2)

Publication Number Publication Date
CN105681389A CN105681389A (zh) 2016-06-15
CN105681389B true CN105681389B (zh) 2019-03-26

Family

ID=56189566

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510958932.1A Active CN105681389B (zh) 2015-12-18 2015-12-18 一种基于Skype不同功能通信流的识别方法及装置

Country Status (4)

Country Link
US (1) US20180367461A1 (zh)
JP (1) JP2018537921A (zh)
CN (1) CN105681389B (zh)
WO (1) WO2017101693A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681389B (zh) * 2015-12-18 2019-03-26 北京神州绿盟信息安全科技股份有限公司 一种基于Skype不同功能通信流的识别方法及装置
CN107528767B (zh) * 2016-07-28 2021-05-11 腾讯科技(深圳)有限公司 会话的处理方法和装置
CN110958160B (zh) * 2019-11-25 2021-06-15 睿哲科技股份有限公司 网站检测方法、装置、系统以及计算机可读存储介质
CN112491643B (zh) * 2020-11-11 2022-01-18 北京马赫谷科技有限公司 深度报文检测方法、装置、设备及存储介质
CN115103056B (zh) * 2022-06-15 2024-04-16 北京字跳网络技术有限公司 信息处理方法、装置、电子设备和存储介质
CN115996152B (zh) * 2023-03-23 2023-06-09 北京腾达泰源科技有限公司 安全防护方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1838613A (zh) * 2006-03-24 2006-09-27 南京邮电大学 基于综合统计特征的斯盖普流量识别策略
CN101668034A (zh) * 2009-09-28 2010-03-10 中国人民解放军理工大学指挥自动化学院 实时识别Skype两类语音流的方法
CN104283699A (zh) * 2013-07-01 2015-01-14 中兴通讯股份有限公司 业务类型确定方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2468793T3 (es) * 2010-06-09 2014-06-17 Telefonaktiebolaget L M Ericsson (Publ) Clasificación de tráfico
CN102045363B (zh) * 2010-12-31 2013-10-09 华为数字技术(成都)有限公司 网络流量特征识别规则的建立方法、识别控制方法及装置
CN105681389B (zh) * 2015-12-18 2019-03-26 北京神州绿盟信息安全科技股份有限公司 一种基于Skype不同功能通信流的识别方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1838613A (zh) * 2006-03-24 2006-09-27 南京邮电大学 基于综合统计特征的斯盖普流量识别策略
CN101668034A (zh) * 2009-09-28 2010-03-10 中国人民解放军理工大学指挥自动化学院 实时识别Skype两类语音流的方法
CN104283699A (zh) * 2013-07-01 2015-01-14 中兴通讯股份有限公司 业务类型确定方法和装置

Also Published As

Publication number Publication date
CN105681389A (zh) 2016-06-15
WO2017101693A1 (zh) 2017-06-22
JP2018537921A (ja) 2018-12-20
US20180367461A1 (en) 2018-12-20

Similar Documents

Publication Publication Date Title
CN105681389B (zh) 一种基于Skype不同功能通信流的识别方法及装置
CN106533669B (zh) 设备识别的方法、装置和系统
CN103428261B (zh) 通过硬件辅助处理http报头的方法
CN110519177A (zh) 一种网络流量识别方法及相关设备
CN103795762B (zh) 一种反向代理的测试方法及系统
CN103929411B (zh) 信息显示方法、终端、安全服务器及系统
CN110324210A (zh) 基于icmp协议进行隐蔽信道通信的检测方法及装置
CN108667747A (zh) 网络流应用类型识别的方法、装置及计算机可读存储介质
CN107912084A (zh) 基于路径的数据中断检测
CN105472618B (zh) 伪基站消息识别方法和装置
CN103475537A (zh) 一种报文特征提取方法和装置
CN109962789A (zh) 基于网络数据构建物联网应用标签体系的方法和装置
CN101321097A (zh) 基于净荷深度检测的腾讯网络直播业务识别方法
CN106255082A (zh) 一种垃圾短信的识别方法及系统
CN104184723B (zh) 一种应用程序识别方法、装置和网络设备
CN101582897A (zh) 一种深度报文检测方法和装置
CN107888553A (zh) 一种验证方法、服务器和系统
CN106815734A (zh) 一种信息传输方法及装置
CN107026766A (zh) 一种网络质量的评估检测方法及装置
CN102714652B (zh) 监测数据网络中包括多个数据流的通讯会话
CN111586075A (zh) 基于多尺度流分析技术的隐蔽信道检测方法
CN104243225B (zh) 一种基于深度包检测的流量识别方法
CN101072174A (zh) 基于净荷深度检测和会话关联技术的腾讯语音识别方法
CN109858510A (zh) 一种针对HTTP协议ETag值隐蔽通信的检测方法
Altschaffel et al. Statistical pattern recognition based content analysis on encrypted network: Traffic for the teamviewer application

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.