CN106257867A - 一种加密流量的业务识别方法和装置 - Google Patents
一种加密流量的业务识别方法和装置 Download PDFInfo
- Publication number
- CN106257867A CN106257867A CN201510341136.3A CN201510341136A CN106257867A CN 106257867 A CN106257867 A CN 106257867A CN 201510341136 A CN201510341136 A CN 201510341136A CN 106257867 A CN106257867 A CN 106257867A
- Authority
- CN
- China
- Prior art keywords
- business
- packet
- encryption
- recognizable
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种加密流量的业务识别方法和装置。所述方法包括:在加密流量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。本发明可以通过大量样本预先获知每种业务的业务特征,并根据每种业务的业务特征来识别加密流量中不可识别加密流所属的业务,本发明还也可以根据能够正常识别出业务的加密流来识别加密流量中不可识别加密流所属的业务,弥补了技术空白。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种加密流量的业务识别方法和装置。
背景技术
随着网络通信技术的发展,互联网信息安全已经成为日益关注的问题,许多应用程序使用加密的方式来保护其数据内容。安全套接层(Secure SocketsLayer,简称SSL)协议是应用最为广泛的网络数据安全传输协议。例如:从谷歌服务器向外发送信息时,都会采用SSL协议加密的数据流量。
在一些应用场景中,如数据审计,需要对加密流量中的加密流所属的业务进行识别。传统的做法是根据加密流量中加密流的域名特征来识别。但是,在加密流量中经常出现大量域名特征相同、但业务不同的加密流。例如:用户访问谷歌地图的街景功能业务和谷歌地球的街景功能业务,所产生的加密流量的域名特征都为geo0.ggpht.com,因此无法通过域名特征geo0.ggpht.com来识别加密流量属于谷歌地图的街景功能业务或谷歌地球的街景功能业务。因此,目前针对域名特征相同的加密流无法识别其所属的业务。
发明内容
本发明提供一种加密流量的业务识别方法和装置,用以解决现有技术无法识别域名特征相同的加密流所属的业务的问题。
针对上述技术问题,本发明是通过以下技术方案来解决的。
本发明提供了一种加密流量的业务识别方法,包括:在加密流量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
其中,根据预先分析获得的每种业务的业务特征,识别所述不可识别加密流所属的业务,包括:在所述不可识别加密流中,提取n个数据包;其中,n>0;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
其中,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
其中,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务,包括:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z>0;在识别所述不可识别加密流所属的业务时,判定所述预设数量的数据包符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
其中,根据所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务,包括:在所述加密流量中,提取多个可识别加密流;分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
本发明还提供了一种加密流量的业务识别装置,包括:提取模块,用于在加密流量中,提取不可识别加密流;识别模块,用于根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
其中,所述提取模块,还用于在所述不可识别加密流中,提取n个数据包;其中,n>0;所述识别模块,用于根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
其中,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
其中,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;所述识别模块,具体用于:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z>0;所述识别模块判定所述预设数量的数据包符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
其中,所述提取模块,还用于在所述加密流量中,提取多个可识别加密流;所述识别模块,还用于分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
本发明有益效果如下:
本发明可以通过大量样本预先获知每种业务的业务特征,并根据每种业务的业务特征来识别加密流量中不可识别加密流所属的业务,本发明还也可以根据能够正常识别出业务的加密流来识别加密流量中不可识别加密流所属的业务,弥补了技术空白。
附图说明
图1是根据本发明一实施例的加密流量的业务识别方法的流程图;
图2是根据本发明一实施例根据业务特征识别加密流所属业务的步骤流程图;
图3是根据本发明一实施例的根据可识别加密流识别不可识别加密流所属业务的步骤流程图;
图4是根据本发明一实施例的根据可识别加密流识别不可识别加密流所属业务的步骤的具体流程图;
图5是根据本发明一实施例的加密流量的业务识别装置的结构图。
具体实施方式
本发明的主要思想在于,针对域名特征相同的加密流量,根据预先分析获得的每种业务的业务特征、或者根据加密流量中的可识别数据流量所属的业务,来识别不可识别数据流量所属的业务,进而弥补了技术空白。
以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
本实施例提供了一种加密流量的业务识别方法。如图1所示,为根据本发明一实施例的加密流量的业务识别方法的流程图。
步骤S110,在加密流量中,提取不可识别加密流。
加密流量为采用SSL协议加密处理后的数据流量。在客户端和服务器建立通信连接之后,抓取数据流量,获取数据流量中的加密流量。
在加密流量中包括多个加密流,加密流分为可识别加密流和不可识别加密流。同一个加密流中的数据包五元组相同,即源端口号、目的端口号、协议号和源、目的IP地址都相同。
可识别加密流是指加密流中包含业务独有的域名特征,根据加密流中的域名特征,就可以确定该加密流所属的业务。换言之,可识别加密流中的域名特征和业务是一一对应。
不可识别加密流是指加密流中包含多个业务共用的域名特征,根据加密流中的域名特征,只能找到不可识别加密流所属业务的范围,但无法确切的判定该加密流所属的业务。换言之,不可识别加密流中的域名特征和业务具有一对多的特点。
在提取不可识别加密流之前,可以预先设置不可识别加密流域名特征列表,或者预先设置可识别加密流域名特征列表;在提取不可识别加密流时,根据不可识别加密流域名特征列表或者可识别加密流域名特征列表,来提取不可识别加密流。其中,不可识别加密流域名特征列表中包括多个业务共用的域名特征;可识别加密流域名特征列表中包括业务独有的域名特征。
步骤S120,根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
识别方式1:
业务特征即是业务产生的数据流的特点。进一步地,每种业务的数据流的特点都不相同,例如,业务A的上行数据包较多,业务B的下行数据包较多。通过分析不可识别加密流,可以得出该加密流的特点,进而可以确定加密流属于哪种业务。
每种业务的业务特征包括:业务的加密流的域名特征;在业务的加密流中,m(m>0)个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k。该预设包长范围为经验值或实验获得的值。该m个数据包为加密流中用于数据交互的数据包,m个数据包可以从加密流数据交互部分的第一个数据包开始,直到第m个数据包为止。数量m可以是经验值或实验获得的值。
每种业务的业务特征都可以通过大量的样本分析而获得。进一步地,业务特征中包含的数量范围i、j和k,可以通过对大量样本进行数据训练而获得。
业务特征可以用于判断不可识别加密流是否属于该业务特征对应的业务。进一步地,业务特征可以用于根据不可识别加密流中n个的数据包,来判断该不可识别加密流是否属于该业务特征对应的业务。
在加密流量识别时,在不可识别加密流中,提取n(n>0)个数据包;根据提取的n个数据包,识别不可识别加密流所属的业务;其中,这n个数据包符合所述业务的业务特征。进一步地,在提取的n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,提取的多个用于数据交互的数据包的数量为m个。从不可识别加密流的信令交互部分提取用于建立会话的数据包,从不可识别加密流数据交互部分的第一个数据包开始,提取m个的数据包。例如:如果m=150,则从不可识别加密流数据交互部分的第一个数据包开始,取150个数据包。
识别方式2:
在加密流量中存在部分可识别加密流,可以提取出加密流量中的可识别加密流,分析出该可识别加密流所属的业务,将该可识别加密流所属的业务作为不可识别加密流所属的业务。
进一步地,可识别加密流的数量一般为多个,如果所述可识别加密流的数量为多个、且多个所述可识别加密流分属不同的业务,则计算每种业务对应的可识别加密流的流量总量;将可识别加密流流量总量最多的业务,作为所述不可识别加密流所属的业务。
下面针对根据预先分析获得的每种业务的业务特征,识别不可识别加密流所属的业务进行进一步地说明。本实施例根据提取的n个数据包,识别不可识别加密流所属的业务,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个。
如图2所示,为根据本发明一实施例的根据业务特征识别不可识别加密流所属业务的步骤流程图。
步骤S210,根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征。
提取用于建立会话的数据包,解析该数据包,在该数据包的载荷中,获取该不可识别加密流的域名特征。
步骤S220,在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y。其中,x≥,y≥0。
在提取出的m个数据包中,既可能包括上行数据包,又可能包括下行数据包,因此,分开计算上行数据包的数量和下行数据包的数量。
步骤S230,在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z。其中,z≥0。
步骤1,对计数器清零,z=0;
步骤2,在提取的m个数据包中,顺序将数据包的包长与预设的包长范围进行比较;
步骤3,若数据包的包长处于预设的包长范围之内,则计数器累加,z=z+1;
步骤4,判断m个数据包是否都比较完成;若是,则输出当前的z值,若否,则执行步骤2,将下一个数据包的包长与预设的包长范围进行比较。
如果数据包的包长处于预设包长范围的其中一个端值上,则依然认为,该数据包的包长处于预设包长范围之内。
步骤S240,判断提取的所述n个数据包是否符合所述业务的业务特征;若是,则执行步骤S250,若否,则执行步骤S260。
业务特征可以用于根据不可识别加密流中的n个数据包,来判断该不可识别加密流是否属于该业务特征对应的业务。
对从不可识别加密流中提取的n个数据包执行步骤S210-S230的处理,将处理结果与业务特征进行比较;如果所述提取的n个数据包所属的不可识别加密流的域名特征与所述业务特征中的域名特征相同;在所述多个用于数据交互的数据包中,上行数据包的数量x处于所述业务特征中的数量范围i内、或者下行数据包的数量y处于所述业务特征中的数量范围j内;以及,在所述多个用于数据交互的数据包中,处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内;则判定n个数据包符合所述业务的业务特征,否则,判定n个数据包不符合所述业务的业务特征。
进一步地,在上述判断过程中,只要在所述多个用于数据交互的数据包中,有一个方向的数据包(上行数据包或下行数据包)的数量处于相应方向的数量范围(上行数据包数量范围或下行数据包数量范围)之内即可。
步骤S250,判定所述不可识别加密流属于所述业务。
步骤S260,判定所述不可识别加密流为未知加密流。
例如:用户利用客户端浏览谷歌地图搜索路线,但是,谷歌服务器向客户端发送的加密流没有使用能明确确定是谷歌地图的域名特征,而是使用clients5.google.com域名特征,第三方在进行加密流量识别时,基于域名特征clients5.google.com,不能确定加密流量属于谷歌地图。那么,第三方可以预先根据谷歌地图的加密流特点,分析谷歌地图的业务特征,因为,谷歌地图主要是从服务器向客户端发送下行加密流量,因此,经过对大量样本进行训练,可以得到业务特征,如业务特征包括:谷歌地图的域名特征为clients5.google.com;下行数据包的数量范围是[100,130];处于包长范围[1300字节,1400字节]之内的数据包的数量范围为[90,120]。在进行加密流量识别时,第三方可以获取加密流量,针对其中的某个加密流,提取151个数据包,其中,在提取的151个数据包中,用于建立会话的数据包为1个,用于数据交互的数据包为150个;在用于建立会话的数据包中提取该加密流的域名特征;在用于数据交互的150个数据包中,计算这150个数据包上行数据包的数量为30个,下行数据包的数量为120,这150个数据包中,处于包长范围[1300字节,1400字节]之内的数据包的数量为110个,经比较可以知道,该加密流的150个数据包符合谷歌地图的业务特征,因此,该加密流属于谷歌地图。
下面针对加密流量中的可识别加密流,识别所述不可识别加密流所属的业务进行进一步地说明。如图3所示,为根据本发明一实施例的根据可识别加密流识别不可识别加密流所属业务的步骤流程图。
步骤S310,在所述加密流量中,提取多个可识别加密流。
步骤S320,分别识别每个所述可识别加密流所属的业务。
根据所述可识别加密流的域名特征,确定所述可识别数据包所属的业务。
解析每个可识别加密流中用于建立会话的数据包,在包载荷中提取可识别加密流的域名特征;因为可识别加密流的域名特征和业务是一一对应的,因此,获得可识别加密流的域名特征,即可确定出可识别加密流所属的业务。
步骤S330,判断所述多个可识别加密流是否同属一个业务。若是,则执行步骤S340;若否,则执行步骤S350。
步骤S340,将所述多个可识别加密流所属的业务,作为不可识别加密流所属的业务。
步骤S350,将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务。
换言之,如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
例如:因为,谷歌地图和谷歌地球都有街景视图功能,而且产生的域名特征都有geo0.ggpht.com,所以,域名特征为geo0.ggpht.com的加密流量就很难区分是来自谷歌地图或谷歌地球。考虑用户的行为,如果用户进入谷歌地图,则必将产生谷歌地图的加密流,如果用户进入谷歌地球,则必将产生谷歌地球的加密流。如果在加密流量中存在谷歌地图或谷歌地球的可识别加密流,可以根据可识别加密流,确定出域名特征为geo0.ggpht.com的不可识别加密流是属于谷歌地图还是谷歌地球。
在加密流量中只存在谷歌地图和/或谷歌地球的数据流的情况下,在判断域名特征为geo0.ggpht.com的不可识别加密流是属于谷歌地图还是谷歌地球时,具体包括如下步骤,如图4所示:
步骤S410,用户浏览谷歌地图或谷歌地球街景,产生加密流量。
加密流量中包含可识别加密流和不可识别加密流。
步骤S420,判断加密流量中是否存在谷歌地图的加密流。若是,则执行步骤S430;若否,则执行步骤S460。
换言之,判断加密流量中是否存在谷歌地图的可识别加密流,若是,则表示存在谷歌地图的加密流,用户浏览了谷歌地图;若否,则表示不存在谷歌地图的加密流,用户未浏览谷歌地图。
步骤S430,判断加密流量中是否存在谷歌地球的加密流。若是,则执行步骤S440;若否,则执行步骤S450。
换言之,判断加密流量中是否存在谷歌地球的可识别加密流。在存在谷歌地图加密流的加密流量中,还要判断用户是否同时浏览了谷歌地图和谷歌地球,因此,还要判断加密流量中是否有谷歌地球的加密流。若是,则表示用户同时浏览了谷歌地图和谷歌地球;若否,则表示用户仅浏览了谷歌地图。
步骤S440,判断谷歌地球的流量是否大于谷歌地图的流量。若是,则执行步骤S460;若否,则执行步骤S450。
步骤S450,判定加密流量中的不可识别加密流属于谷歌地图。
步骤S460,判定加密流量中的不可识别加密流属于谷歌地球。
本发明还提供了一种加密流量的业务识别装置,如图5所示,为根据本发明一实施例的加密流量的业务识别装置的结构图。本实施例所述的装置可以设置在独立于客户端和服务器的设备中,用于对加密流量进行业务识别。
所述装置包括:
提取模块510,用于在加密流量中,提取不可识别加密流。
识别模块520,用于根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
在一个实施例中,所述提取模块510,还用于在所述不可识别加密流中,提取n个数据包;其中,n>0;所述识别模块520,用于根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;所述识别模块520具体用于:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z≥0;所述识别模块520判定所述n个数据包是否符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
在另一个实施例中,所述提取模块510,还用于在所述加密流量中,提取多个可识别加密流;所述识别模块520,还用于分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
本发明所述的装置的功能已经在图1~4所示的方法实施例中进行了描述,故本实施例的描述中未详尽之处,可以参见前述实施例中的相关说明,在此不做赘述。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (10)
1.一种加密流量的业务识别方法,其特征在于,包括:
在加密流量中,提取不可识别加密流;
根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
2.如权利要求1所述的方法,其特征在于,根据预先分析获得的每种业务的业务特征,识别所述不可识别加密流所属的业务,包括:
在所述不可识别加密流中,提取n个数据包;其中,n>0;
根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
3.如权利要求2所述的方法,其特征在于,所述业务特征包括:
业务的加密流的域名特征;
在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;
在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;
其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
4.如权利要求3所述的方法,其特征在于,
在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;
根据提取的所述n个数据包,识别所述不可识别加密流所属的业务,包括:
根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;
在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;
在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z≥0;
在识别所述不可识别加密流所属的业务时,判定所述n个数据包符合所述业务的业务特征的条件包括:
所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;
所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,
所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
5.如权利要求1所述的方法,其特征在于,根据所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务,包括:
在所述加密流量中,提取多个可识别加密流;
分别识别每个所述可识别加密流所属的业务;
如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;
如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
6.一种加密流量的业务识别装置,其特征在于,包括:
提取模块,用于在加密流量中,提取不可识别加密流;
识别模块,用于根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
7.如权利要求6所述的装置,其特征在于,
所述提取模块,还用于在所述不可识别加密流中,提取n个数据包;其中,n>0;
所述识别模块,用于根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
8.如权利要求7所述的装置,其特征在于,所述业务特征包括:
业务的加密流的域名特征;
在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;
在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;
其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
9.如权利要求8所述的装置,其特征在于,
在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;
所述识别模块,具体用于:
根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;
在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;
在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z≥0;
所述识别模块判定所述n个数据包符合所述业务的业务特征的条件包括:
所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;
所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,
所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
10.如权利要求6所述的装置,其特征在于,
所述提取模块,还用于在所述加密流量中,提取多个可识别加密流;
所述识别模块,还用于分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510341136.3A CN106257867A (zh) | 2015-06-18 | 2015-06-18 | 一种加密流量的业务识别方法和装置 |
PCT/CN2015/094731 WO2016201876A1 (zh) | 2015-06-18 | 2015-11-16 | 一种加密流量的业务识别方法、装置和计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510341136.3A CN106257867A (zh) | 2015-06-18 | 2015-06-18 | 一种加密流量的业务识别方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106257867A true CN106257867A (zh) | 2016-12-28 |
Family
ID=57544868
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510341136.3A Pending CN106257867A (zh) | 2015-06-18 | 2015-06-18 | 一种加密流量的业务识别方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106257867A (zh) |
WO (1) | WO2016201876A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107528837A (zh) * | 2017-08-17 | 2017-12-29 | 深信服科技股份有限公司 | 加密视频识别方法及装置、计算机装置、可读存储介质 |
WO2024001557A1 (zh) * | 2022-06-28 | 2024-01-04 | 中兴通讯股份有限公司 | 业务识别方法、系统、装置、存储介质及程序产品 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109936512B (zh) * | 2017-12-15 | 2021-10-01 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机系统 |
CN111277578B (zh) * | 2020-01-14 | 2022-02-22 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100550909C (zh) * | 2006-09-30 | 2009-10-14 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
CN103023670B (zh) * | 2011-09-20 | 2017-09-08 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
-
2015
- 2015-06-18 CN CN201510341136.3A patent/CN106257867A/zh active Pending
- 2015-11-16 WO PCT/CN2015/094731 patent/WO2016201876A1/zh active Application Filing
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107528837A (zh) * | 2017-08-17 | 2017-12-29 | 深信服科技股份有限公司 | 加密视频识别方法及装置、计算机装置、可读存储介质 |
CN107528837B (zh) * | 2017-08-17 | 2020-06-09 | 深信服科技股份有限公司 | 加密视频识别方法及装置、计算机装置、可读存储介质 |
WO2024001557A1 (zh) * | 2022-06-28 | 2024-01-04 | 中兴通讯股份有限公司 | 业务识别方法、系统、装置、存储介质及程序产品 |
Also Published As
Publication number | Publication date |
---|---|
WO2016201876A1 (zh) | 2016-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102035698B (zh) | 基于决策树分类算法的http隧道检测方法 | |
CN101741744B (zh) | 一种网络流量识别方法 | |
CN104244035B (zh) | 基于多层聚类的网络视频流分类方法 | |
Dusi et al. | Quantifying the accuracy of the ground truth associated with Internet traffic traces | |
CN109495317B (zh) | 数据网流量预测方法及装置 | |
CN106464577A (zh) | 网络系统、控制装置、通信装置、通信控制方法以及通信控制程序 | |
CN110012029A (zh) | 一种区分加密和非加密压缩流量的方法和系统 | |
JP2007336512A (ja) | 統計情報収集システム及び統計情報収集装置 | |
CN105787512A (zh) | 基于新型特征选择方法的网络浏览与视频分类方法 | |
CN103067218B (zh) | 一种高速网络数据包内容分析装置 | |
CN102739457A (zh) | 一种基于dpi和svm技术的网络流量识别系统及方法 | |
CN102202064A (zh) | 基于网络数据流分析的木马通信行为特征提取方法 | |
CN106257867A (zh) | 一种加密流量的业务识别方法和装置 | |
CN105281973A (zh) | 一种针对特定网站类别的网页指纹识别方法 | |
CN109151880A (zh) | 基于多层分类器的移动应用流量识别方法 | |
CN110245273B (zh) | 一种获取app业务特征库的方法及相应的装置 | |
WO2020228527A1 (zh) | 数据流的分类方法和报文转发设备 | |
CN106330584A (zh) | 一种业务流的识别方法及识别装置 | |
CN104883363A (zh) | 异常访问行为分析方法及装置 | |
CN102984269B (zh) | 一种点对点流量识别方法和装置 | |
CN106330611A (zh) | 一种基于统计特征分类的匿名协议分类方法 | |
CN104243237A (zh) | P2p流检测方法和设备 | |
CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
CN102143085B (zh) | 一种多维度网络态势感知的方法、设备及系统 | |
CN110493235A (zh) | 一种基于网络流量特征的移动终端恶意软件同步检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161228 |
|
WD01 | Invention patent application deemed withdrawn after publication |