CN106452954B - Http数据特征分析方法及系统 - Google Patents

Http数据特征分析方法及系统 Download PDF

Info

Publication number
CN106452954B
CN106452954B CN201610866092.0A CN201610866092A CN106452954B CN 106452954 B CN106452954 B CN 106452954B CN 201610866092 A CN201610866092 A CN 201610866092A CN 106452954 B CN106452954 B CN 106452954B
Authority
CN
China
Prior art keywords
data
http
dpi engine
head
pointer structure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610866092.0A
Other languages
English (en)
Other versions
CN106452954A (zh
Inventor
丁增红
周明中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SUZHOU MAIKE NETWORK SAFETY TECHNOLOGY Co Ltd
Original Assignee
SUZHOU MAIKE NETWORK SAFETY TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SUZHOU MAIKE NETWORK SAFETY TECHNOLOGY Co Ltd filed Critical SUZHOU MAIKE NETWORK SAFETY TECHNOLOGY Co Ltd
Priority to CN201610866092.0A priority Critical patent/CN106452954B/zh
Publication of CN106452954A publication Critical patent/CN106452954A/zh
Application granted granted Critical
Publication of CN106452954B publication Critical patent/CN106452954B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/12Protocol engines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明揭示的HTTP数据特征分析方法及系统,通过S1,判断注入的互联网数据是否为HTTP数据;S2,当判断不是HTTP数据时,使所述互联网数据进入DPI引擎进行深度包特征检测;S3,当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部;S4,使体域不做分段解析直接进入所述DPI引擎进行深度包特征检测;S5,使头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部划分成若干指针结构体,按指针结构体独立并行解析,并在匹配到特征指纹库后将与特征指纹库匹配的数据标记为特征指纹所示的应用。本发明能够有效降低对系统资源的强消耗和高依赖性;同时能够有效的覆盖全部数据,特别是HTTP协议数据,降低了特征误判、漏判的风险,提高了应用的识别能力。

Description

HTTP数据特征分析方法及系统
技术领域
本发明涉及数据特征分析方法及系统,尤其是HTTP数据特征分析方法及系统。
背景技术
深度报文检测技术(即Deep Packet Inspection,以下简称DPI),是一种面向应用层分析的流量分析检测技术,DPI技术已成为高端网络设备的标准配置,用于对网络流量的精细化控制和分析。
但是由于硬件性能、功能适配、系统架构等因素的制约,DPI一直无法在为数众多的低端网络设备(如家庭路由、商业WIFI、瘦AP等)中广泛使用,这主要是由于传统DPI技术在进行数据解析时多不关心上层应用的具体数据结构,对于来源数据均从数据的头部开始逐个字节扫描,直到数据结尾或指定的字节数,进而从扫描的数据中判断是否与数据指纹库相匹配,以此获得对来源数据的识别。
而从数据首字节开始扫描,整个过程对系统资源要求高,造成DPI技术只能应用于资源较充裕的大型网络设备,而对如家庭网关、商业WiFi类等小型网络设备无法使用,从而导致面向广大终端用户的高级流量优化和服务提升的缺失,因此有必要实现能适配于低端网络设备的深度报文检测技术。
另外,由于目前互联网数据,特别是移动互联网数据80%以上为基于HTTP协议的应用数据,因此对HTTP协议的深度解析会极大影响DPI的性能消耗及识别能力。
而为了能够实现性能的兼顾,在进行数据扫描时往往无法做到全量数据覆盖,特别是存在HTTP协议数据的无法全覆盖的问题,因此会增加特征误判、漏判的风险,使得应用的识别能力下降。
发明内容
本发明的目的就是为了解决现有技术中存在的上述问题,该项技术主要是利用HTTP协议数据具有严格的格式规范要求以及目前主流互联网应用以其为宿主协议的特性来达到对DPI技术的性能优化及应用识别能力提升的目的,从而提供一种HTTP数据特征分析方法及系统。
本发明的目的将通过以下技术方案得以实现:
HTTP数据特征分析方法,其特征在于:包括如下步骤:
S1,接收注入的互联网数据,判断注入的互联网数据是否为HTTP数据;
S2,当判断注入的互联网数据不是HTTP数据时,使所述互联网数据进入DPI引擎进行深度包特征检测;
S3,当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部;
S4,使体域不做分段解析直接进入所述DPI引擎进行深度包特征检测;
S5,使头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部划分成若干指针结构体,按指针结构体独立并行解析,并在匹配到特征指纹库后,将与特征指纹库匹配的数据标记为特征指纹所示的应用。
优选的,所述的HTTP数据特征分析方法,其中:所述S1步骤包括如下过程:判断接收到的数据流是否为TCP数据,如果是,则检查其目的端口是否为80;如果是,则依据RFC2616标准对应用层数据进行数据包拆解,判断其数据包中是否包含HTTP的请求方法,如果包含,则标记该数据流为HTTP数据流;否则,认定该数据流是非HTTP数据流。
优选的,所述的HTTP数据特征分析方法,其中:在所述S5步骤中所述HTTP_DPI引擎对HTTP头部的解析包括如下过程:
S51,所述HTTP_DPI引擎将HTTP头部中的各个头域独立存储,并给每个头域分配一个指针结构体(数据单元);
S52,所述HTTP_DPI引擎对指针结构体(数据单元)进行扫描,并操作多个指针结构体(数据单元)同时偏移,以对多个头部结构进行并行解析;
S53,将扫描得到的指针结构体(数据单元)的数据与特征指纹库进行匹配查找,若可查询到与该数据相吻合的特征指纹,则定义该指针结构体(数据单元)为特征指纹,若获取的特征指纹可唯一指示一个实际应用时即定义该数据流为所述实际应用;若不能,则等待该数据流其他数据单元的特征指纹,然后合并查找是否存在组合特征;若存在,则该数据流定义为组合特征所示的应用,若不存在,则该数据流定义为未被识别的应用。
优选的,所述的HTTP数据特征分析方法,其中:所述HTTP_DPI引擎的数据匹配算法包括HTTP报文单次扫描多次匹配算法。
优选的,所述的HTTP数据特征分析方法,其中:根据RFC规定,将HTTP数据的头部划分成若干指针结构体,针对每个指针结构体均建立独立的指纹匹配DFA图,将若干指针结构体的指纹匹配DFA图集合形成特征指纹库。
优选的,所述的HTTP数据特征分析方法,其中:所述应用指纹库生成算法包括稀疏矩阵的有限状态机算法。
HTTP数据特征分析系统,包括:DPI引擎及HTTP_DPI引擎,还包括依次通信的互联网数据识别单元、非HTTP数据处理单元、HTTP数据识别单元、体域处理单元及头部处理单元;
所述互联网数据识别单元用于接收注入的互联网数据,并判断注入的互联网数据是否为HTTP数据;
所述非HTTP数据处理单元与所述DPI引擎通信,其用于当判断注入的互联网数据不是HTTP数据时,使注入的互联网数据进入DPI引擎进行深度包特征检测;
所述HTTP数据识别单元用于当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部;
所述体域处理单元与所述DPI引擎通信,期用于使识别出的体域不做分段解析直接进入所述DPI引擎进行深度包特征检测;
所述头部处理单元与所述HTTP_DPI引擎进行通信,其用于使识别出的头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部划分成若干指针结构体,按指针结构体独立并行解析,并在匹配到特征指纹库后,将与特征指纹库匹配的数据标记为特征指纹所示的应用。
本发明技术方案的优点主要体现在:
本发明的方法设计精巧,过程简单,通过算法的改进及识别过程的优化,能够有效降低传统DPI识别技术对系统资源的强消耗和高依赖性;同时能够有效的覆盖全部数据,特别是HTTP协议数据,降低了特征误判、漏判的风险,提高了应用的识别能力。
具体实施方式
本发明揭示的HTTP数据特征分析方法,其特征在于:包括如下步骤:
S1,接收注入的互联网数据,判断注入的互联网数据是否为HTTP数据;
HTTP数据流作为一种常见的应用层数据,具有明显的特征标识,HTTP数据采用目的端口为80的TCP流进行传输,同时根据HTTP RFC的相关规定其数据流分为请求和应答,HTTP请求数据结构分为Head Domain和Body Domain,其中Head Domain中包含HTTP的请求方法、请求URI、请求域名等信息,因此,我们对监控到的TCP数据流进行数据包解析,通过判断其端口、数据结构以判断其是否为HTTP数据。
具体的判断过程如下:判断接收到的数据流是否为TCP数据,如果是,则检查其目的端口是否为80;如果是,则依据RFC 2616标准对应用层数据进行数据包拆解,判断其数据包中是否包含HTTP的请求方法,如果包含,则标记该数据流为HTTP数据流;否则,认定该数据流是非HTTP数据流。
S2,当判断注入的互联网数据不是HTTP数据时,使所述互联网数据进入DPI引擎进行深度包特征检测,此处,所述DPI引擎的工作原理及实现机制非本专利要保护的重点,在此不再赘述;而所述DPI引擎对互联网数据处理后,可能产生两种结果:1.可识别出数据的具体应用,如识别出某互联网数据对应的应用为微信;2.无法识别出互联网数据的具体应用,则以二层数据协议的形式存在。
S3,当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部(头域);此处,HTTP协议的头域(Head Domain)及体域(Body Domain)在RFC 2616中有明确标准规定,此内容为行业规范,非本专利的保护重点,凡是能够实现HTTP数据的体域及头部识别的任何方法都是可行的,在此不再赘述。
S4,使体域不做分段解析直接进入所述DPI引擎进行深度包特征检测。此处HTTP数据中体域的处理方式同DPI引擎的数据处理方法,不再赘述。
S5,使头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部划分成若干指针结构体,按指针结构体独立并行解析,并在匹配到特征指纹库后,将与特征指纹库匹配的数据标记为特征指纹所示的应用。
根据RFC 2616对HTTP协议的定义,HTTP数据的每个头域由域名、冒号(:)和域值三部分组成,以\r\n作为结尾,整个HTTP头以一个空行加\r\n结束;每个域值又可根据不同规范,划分出其数据单元,HTTP_DPI引擎即以每个数据单元为原子,进行数据匹配和偏移。
依据上述原理,所述HTTP_DPI引擎对HTTP头部的解析过程如下:
S51,所述HTTP_DPI引擎将HTTP头部中的各个头域独立存储,并给每个头域分配一个指针结构体(数据单元);
S52,所述HTTP_DPI引擎对指针结构体(数据单元)进行扫描,并操作多个指针结构体同时偏移,其中“偏移”即当扫描某一数据单元首字符不匹配时,立即跳越整个数据单元,进入下个数据单元的扫描匹配,此方法的最大好处在于可以同时并行处理多个数据单元,从而实现以对多个头部结构进行并行解析,执行效率高。
S53,将扫描指针结构体(数据单元)得到的指针结构体(数据单元)的实际数据作为样本,与特征指纹库进行匹配查找,若可查询到与该数据相吻合的特征指纹,则定义该指针结构体(数据单元)为特征指纹,若获取的特征指纹可唯一指示一个实际应用时即定义该数据流为所述实际应用;若不能,则等待该数据流其他数据单元的特征指纹,然后合并查找是否存在组合特征;若存在,则该数据流定义为组合特征所示的应用,若不存在,则该数据流定义为未被识别的应用。
并且,在S5步骤之前还包括S6步骤:根据RFC规定,将HTTP数据的头部划分成若干指针结构体(数据单元),针对每个指针结构体(数据单元)均建立独立的指纹匹配DFA图,所述指纹匹配DFA图是指对每个特征标识建立索引,每个指针结构体的指纹匹配DFA图中的元素组合成每个指针结构体自身的特征指纹,每个指针结构体的指纹匹配DFA可能是某个应用的指纹匹配DFA图,也可能是该应用的指纹匹配DFA图的一个组成部分,若干(可能为一个,也可能为多个)指针结构体的特征指纹组合能够形成某种应用的指纹匹配DFA图,即该应用的特征指纹,将若干指针结构体的指纹匹配DFA图集合形成特征指纹库。
本发明的方法通过算法改进,能够实现100Mbps流量情况下,内存占用小于10M;CPU占用:在15%以下。
其核心算法包含如下:
1、稀疏矩阵有限状态机算法
该项技术主要采用基于稀疏矩阵的有限状态机算法,在充分压缩存储占用的情况下,通过状态关联实现报文特征的一次匹配,保证应用识别的性能不随支持应用数量的增加而线性下降;所述稀疏矩阵的有限状态机算法主要用于所述特征指纹库生成。
2、HTTP报文单次扫描多次匹配算法
鉴于目前绝大部分互联网应用都是基于HTTP的传输方式,引擎设计上采用HTTP报文单次扫描多次匹配的模式,在实现多项功能的同时有效提高引擎的工作效率;所述HTTP报文单次扫描多次匹配算法是所述HTTP_DPI引擎的数据匹配的主要算法。
本发明进一步揭示的HTTP数据特征分析系统,包括:DPI引擎及HTTP_DPI引擎,还包括依次通信的互联网数据识别单元、非HTTP数据处理单元、HTTP数据识别单元、体域处理单元及头部处理单元;
所述互联网数据识别单元用于接收注入的互联网数据,并判断注入的互联网数据是否为HTTP数据;
所述非HTTP数据处理单元与所述DPI引擎通信,其用于当判断注入的互联网数据不是HTTP数据时,使注入的互联网数据进入DPI引擎进行深度包特征检测;
所述HTTP数据识别单元用于当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部;
所述体域处理单元与所述DPI引擎通信,期用于使识别出的体域不做分段解析直接进入所述DPI引擎进行深度包特征检测;
所述头部处理单元与所述HTTP_DPI引擎进行通信,其用于使识别出的头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部划分成若干指针结构体,按指针结构体独立并行解析,并在匹配到特征指纹库后,将与特征指纹库匹配的数据标记为特征指纹所示的应用。
本发明尚有多种实施方式,凡采用等同变换或者等效变换而形成的所有技术方案,均落在本发明的保护范围之内。

Claims (7)

1.HTTP数据特征分析方法,其特征在于,包括如下步骤:
S1,接收注入的互联网数据,判断注入的互联网数据是否为HTTP数据;
S2,当判断注入的互联网数据不是HTTP数据时,使所述互联网数据进入DPI引擎进行深度包特征检测;
S3,当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部;
S4,使体域不做分段解析直接进入所述DPI引擎进行深度包特征检测;
S5,使头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部中的每个头域划分为一个指针结构体,然后针对多个指针结构体进行并行解析,将指针结构体的数据与特征指纹库进行匹配,若匹配到相吻合的特征值问,则标记该数据流为该指纹标识的应用,若不能则通过多个指针结构体的数据进行合并查找、确定该数据流所属应用。
2.根据权利要求1所述的HTTP数据特征分析方法,其特征在于,所述S1步骤包括如下过程:判断接收到的数据流是否为TCP数据,如果是,则检查其目的端口是否为80;如果是,则依据RFC 2616标准对应用层数据进行数据包拆解,判断其数据包中是否包含HTTP的请求方法,如果包含,则标记该数据流为HTTP数据流;否则,认定该数据流是非HTTP数据流。
3.根据权利要求1所述的HTTP数据特征分析方法,其特征在于,在所述S5步骤中所述HTTP_DPI引擎对HTTP头部的解析包括如下过程:
S51,所述HTTP_DPI引擎将HTTP头部中的各个头域独立存储,并给每个头域分配一个指针结构体;
S52,所述HTTP_DPI引擎对指针结构体进行扫描,并操作多个与指针结构体相对应的指针同时偏移,以对多个头部结构进行并行解析;
S53,将扫描得到的指针结构体的数据与特征指纹库进行匹配查找,若可查询到与该数据相吻合的特征指纹,则定义该指针结构体为特征指纹,若获取的特征指纹可唯一指示一个实际应用时即定义该数据流为所述实际应用;若不能,则等待该数据流其他数据单元的特征指纹,然后合并查找是否存在组合特征;若存在,则该数据流定义为组合特征所示的应用,若不存在,则该数据流定义为未被识别的应用。
4.根据权利要求3所述的HTTP数据特征分析方法,其特征在于:所述HTTP_DPI引擎的数据匹配算法包括 HTTP报文单次扫描多次匹配算法。
5.根据权利要求1所述的HTTP数据特征分析方法,其特征在于,在S5步骤之前还包括S6步骤:根据RFC规定,将HTTP数据的头部划分成若干指针结构体,针对每个指针结构体均建立独立的指纹匹配DFA图,将若干指针结构体的指纹匹配DFA图集合形成特征指纹库。
6.根据权利要求5所述的HTTP数据特征分析方法,其特征在于:所述应用指纹库生成算法包括稀疏矩阵的有限状态机算法。
7.HTTP数据特征分析系统,其特征在于,包括:DPI引擎及HTTP_DPI引擎,还包括依次通信的互联网数据识别单元、非HTTP数据处理单元、HTTP数据识别单元、体域处理单元及头部处理单元;
所述互联网数据识别单元用于接收注入的互联网数据,并判断注入的互联网数据是否为HTTP数据;
所述非HTTP数据处理单元与所述DPI引擎通信,其用于当判断注入的互联网数据不是HTTP数据时,使注入的互联网数据进入DPI引擎进行深度包特征检测;
所述HTTP数据识别单元用于当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部;
所述体域处理单元与所述DPI引擎通信,期用于使识别出的体域不做分段解析直接进入所述DPI引擎进行深度包特征检测;
所述头部处理单元与所述HTTP_DPI引擎进行通信,其用于使识别出的头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部中的每个头域划分为一个指针结构体,然后针对多个指针结构体进行并行解析,将指针结构体的数据与特征指纹库进行匹配,若匹配到相吻合的特征值问,则标记该数据流为该指纹标识的应用,若不能则通过多个指针结构体的数据进行合并查找、确定该数据流所属应用。
CN201610866092.0A 2016-09-30 2016-09-30 Http数据特征分析方法及系统 Active CN106452954B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610866092.0A CN106452954B (zh) 2016-09-30 2016-09-30 Http数据特征分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610866092.0A CN106452954B (zh) 2016-09-30 2016-09-30 Http数据特征分析方法及系统

Publications (2)

Publication Number Publication Date
CN106452954A CN106452954A (zh) 2017-02-22
CN106452954B true CN106452954B (zh) 2019-08-27

Family

ID=58171168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610866092.0A Active CN106452954B (zh) 2016-09-30 2016-09-30 Http数据特征分析方法及系统

Country Status (1)

Country Link
CN (1) CN106452954B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108900486B (zh) * 2018-06-19 2020-11-27 杭州默安科技有限公司 一种扫描器指纹识别方法及其系统
CN109936624B (zh) * 2019-01-31 2022-03-18 平安科技(深圳)有限公司 Http请求报文头的适配方法、装置和计算机设备
CN110011860A (zh) * 2019-04-16 2019-07-12 湖南警察学院 基于网络流量分析的安卓应用识别方法
CN111694783B (zh) * 2020-06-11 2021-06-25 福建宏创科技信息有限公司 一种应用于dpi设备的并行数据分析方法和装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102217281A (zh) * 2011-06-13 2011-10-12 华为技术有限公司 协议解析方法及装置
CN102868693A (zh) * 2012-09-17 2013-01-09 苏州迈科网络安全技术股份有限公司 针对http分片请求的url过滤方法及系统
CN102932203A (zh) * 2012-10-31 2013-02-13 东软集团股份有限公司 异构平台间的深度报文检测方法及装置
CN104243237A (zh) * 2014-09-17 2014-12-24 杭州华三通信技术有限公司 P2p流检测方法和设备
CN104780080A (zh) * 2015-04-13 2015-07-15 苏州迈科网络安全技术股份有限公司 深度报文检测方法及系统
US9288290B2 (en) * 2013-12-10 2016-03-15 Cisco Technology, Inc. Interactive dynamic ordering of deep packet inspection rules
CN105847078A (zh) * 2016-03-17 2016-08-10 哈尔滨工程大学 一种基于dpi自学习机制的http流量精细化识别方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102217281A (zh) * 2011-06-13 2011-10-12 华为技术有限公司 协议解析方法及装置
CN102868693A (zh) * 2012-09-17 2013-01-09 苏州迈科网络安全技术股份有限公司 针对http分片请求的url过滤方法及系统
CN102932203A (zh) * 2012-10-31 2013-02-13 东软集团股份有限公司 异构平台间的深度报文检测方法及装置
US9288290B2 (en) * 2013-12-10 2016-03-15 Cisco Technology, Inc. Interactive dynamic ordering of deep packet inspection rules
CN104243237A (zh) * 2014-09-17 2014-12-24 杭州华三通信技术有限公司 P2p流检测方法和设备
CN104780080A (zh) * 2015-04-13 2015-07-15 苏州迈科网络安全技术股份有限公司 深度报文检测方法及系统
CN105847078A (zh) * 2016-03-17 2016-08-10 哈尔滨工程大学 一种基于dpi自学习机制的http流量精细化识别方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"A novel HTTP botnet traffic detection method";Rohit Tyagi;《2015 Annual IEEE India Conference (INDICON)》;20160331;全文 *
张雪梅." 基于TCP/IP模型的网络协议还原技术的研究".《广西轻工业》.2011,全文. *

Also Published As

Publication number Publication date
CN106452954A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
CN106452954B (zh) Http数据特征分析方法及系统
CN111416865B (zh) 一种基于拟态防御的协议代理处理方法及系统
CN107959715B (zh) 基于无线通讯的远程终端信息识别软件方法
CN101938415A (zh) 网络转发设备的快速转发方法
US9246930B2 (en) System and method for pattern matching in a network security device
CN101827084A (zh) 网络设备的高效的应用程序识别
CN103873356B (zh) 基于家庭网关的应用识别方法、系统和家庭网关
WO2012152132A1 (zh) 一种实现应用平台适配的方法和系统
CN103346980B (zh) 一种业务调度方法、装置及网络设备
CN104270302B (zh) 在线订单的传送系统及传送方法
CN103391274B (zh) 一种一体化网络安全管理方法和装置
CN103023779A (zh) 一种数据报文处理方法及装置
CN104333483A (zh) 互联网应用流量识别方法、系统及识别装置
CN105592141B (zh) 一种连接数控制方法及装置
CN104348638A (zh) 识别会话流量的业务类型的方法、系统及设备
CN104333461A (zh) 互联网应用流量识别方法、系统及识别装置
CN101710898B (zh) 一种用于识别应用软件通信协议特征的方法
CN108923974A (zh) 一种物联网资产指纹识别方法及系统
US11258753B2 (en) Method for detection of DNS spoofing servers using machine-learning techniques
CN108989301A (zh) 一种多索引的网络流量数据索引方法、设备及存储介质
CN110519160A (zh) 物联网网关多模块通信方法、装置及计算机可读存储介质
CN101969478A (zh) 一种智能dns报文处理方法及处理装置
CN102185758A (zh) 一种基于阿瑞斯报文特征字的协议识别方法
CN108063692B (zh) 流量识别方法及装置
CN111866995B (zh) 一种基于微信小程序的智能设备配网方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: Room 301-302, 3rd Floor, Tiancheng Information Building, No. 88 South Tiancheng Road, High Speed Rail New City, Xiangcheng District, Suzhou City, Jiangsu Province, 215133

Patentee after: SUZHOU MAXNET NETWORK SAFETY TECHNOLOGY Co.,Ltd.

Address before: 3/F, Mingde Institute, Southeast University, No. 399 Linquan Street, Industrial Park, Suzhou City, Jiangsu Province, 215021

Patentee before: SUZHOU MAXNET NETWORK SAFETY TECHNOLOGY Co.,Ltd.

CP02 Change in the address of a patent holder