CN107302472A - 基于流形态特征的应用行为识别方法及系统 - Google Patents
基于流形态特征的应用行为识别方法及系统 Download PDFInfo
- Publication number
- CN107302472A CN107302472A CN201710446320.3A CN201710446320A CN107302472A CN 107302472 A CN107302472 A CN 107302472A CN 201710446320 A CN201710446320 A CN 201710446320A CN 107302472 A CN107302472 A CN 107302472A
- Authority
- CN
- China
- Prior art keywords
- stream
- feature
- manifold state
- morphological feature
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
Abstract
本发明揭示了一种基于流形态特征的应用行为识别方法及系统,方法包括首先,建立流形态特征库;其次,监控网络流量并分析和汇总当前网络数据流的流形态特征信息;最后,将汇总后的流形态特征信息与所述流形态特征库进行匹配,若匹配,则将识别出的应用行为产生的数据流信息进行标记。本发明在判断网络应用行为时无需对网络报文进行逐一解析,只需比对网络报文的数据流形态特征即可判断出网络应用行为的类型,识别速度快。
Description
技术领域
本发明涉及一种网络安全技术领域,尤其是涉及一种基于流形态特征的应用行为识别方法及系统。
背景技术
随着互联网的迅速发展,各种新的互联网应用不断涌现,在方便人们生产生活的同时,势必会引入新的,更复杂的安全隐患。因此,对这些互联网应用的深度识别会有助于人们更好的掌控网络的安全,从而对一些非法的、未受控制的应用行为加以控制,避免给工作及生活带来不同程度的影响。
传统的互联网应用行为识别有两种方法,一种是基于端口的应用行为识别,随着各种互联网应用迅猛增长,端口识别的方法应用识别率越来越较低。另一种是通过扫描报文内容进行应用行为识别的方法,此种方法通过扫描报文内容并与预先提取的协议特征库进行比对从而识别应用行为,但是需要对每个数据包进行查看,识别效率较低。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种基于流形态特征的应用行为识别方法及系统,能够快速识别网络应用行为。
为实现上述目的,本发明提出如下技术方案:一种基于流形态的应用行为识别方法,包括如下步骤:
步骤1,建立流形态特征库;
步骤2,监控网络流量并分析和汇总当前网络数据流的流形态特征信息,形成待分析数据流的流形态特征;
步骤3,将待分析数据流的流形态特征与所述流形态特征库进行匹配,若匹配,则将识别出的应用行为将其产生的数据流信息进行标记。
优选地,所述流形态特征库的建立包括如下步骤:
步骤101,建立若干个流形态特征类别;
步骤102,执行网络应用行为,同时采集网络中数据包中出现频率最高的形态特征;
步骤103,判断采集到的形态特征与网络应用自身的形态特征是否相匹配,若匹配,则将所述形态特征分配至相应的流形态特征类别中,形成流形态特征库。
优选地,所述流形态特征包括传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征。
优选地,步骤3中,流形态特征信息与流形态特征库匹配包括如下步骤:
步骤301,判断待分析数据流是否为TCP流,若是,则直接执行步骤302;否则,进一步判断待分析数据流是否为UDP流,若是,则执行步骤302;
步骤302,判断待分析数据流中服务端口范围匹配是否与流形态特征库中服务端口范围相匹配,若是,则执行步骤303;否则,结束匹配;
步骤303,判断待分析数据流中请求流形态特征值是否与流形态特征库中请求流形态特征值相匹配,若是,则执行步骤304;
步骤304,判断判断待分析数据流中应答流形态特征值是否与流形态特征库中应答流形态特征值相匹配,则对识别出的应用行为产生的数据流进行标记。
优选地,所述步骤304还包括,对识别出的网络应用行为进行记录。
一种基于流形态特征的应用行为识别系统,包括流形态特征库单元、流特征信息扫描单元,以及流特征分类匹配单元;
所述流形态特征库单元用于建立流形态特征库;
所述流特征信息扫描单元用于监控网络流量并分析和汇总当前网络中数据流的流形态特征信息,形成待分析数据流的流形态特征;
所述流特征分类匹配单元将待分析数据流的流形态特征信息与所述流形态特征库进行匹配。
优选地,所述流形态特征库单元包括流形态特征提取单元和流形态特征分类单元,所述流形态特征提取单元用于提取网络应用的数据流形态特征,流形态特征分类单元用于验证提取到的数据流形态特征并将其添加至相应的流形态特征分类中。
优选地,所述流特征分类匹配单元包括传输层协议匹配单元、服务端口匹配单元、请求流形态匹配单元、应答流形态匹配单元,传输层协议匹配单元用于匹配传输层协议是否为TCP或者UDP;服务端口匹配单元用于匹配数据传输端口范围;请求流形态匹配单元用于匹配数据流中请求流形态特征值;应答流形态匹配单元用于匹配数据流中应答流形态特征值。
优选地,所述流特征信息扫描单元包括特征扫描模单元,所述特征扫描单元用于对数据流中的数据包进行分析获得形态特征,并将这些形态特征进行汇总。
优选地,所述系统还包括网络行为识别输出单元,所述网络行为识别输出单元用于记录已经识别出的网络中的所有应用行为。
本发明的有益效果是:
与现有技术相比,本发明在判断网络应用行为时无需对网络报文进行逐一解析,只需比对网络报文的数据流形态特征即可判断出网络应用行为的类型,识别速度快。
附图说明
图1是本发明的应用行为识别方法流程图示意图;
图2是本发明的流形态特征库建立方法流程图示意图;
图3是本发明的流形态特征信息与流形态特征库匹配流程图示意图;
图4是本发明的应用行为识别系统结构框图示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
如图1所示,本发明所揭示的一种基于流形态特征的应用行为识别方法,包括如下步骤:
步骤1,建立流形态特征库;
具体的,流形态特征库是网络应用行为流形态特征的集合,其将应用行为的数据包形态特征分为若干个类别,如P2P特征类、网络流媒体特征类、视频网站特征类等。本实施例中,所述流形态特征包括传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征。
其中,如图2所示,所述流形态特征库的建立包括如下步骤:
步骤101,建立若干个流形态特征类别;
步骤102,执行网络应用行为,同时采集网络数据包中出现频率最高的形态特征;
步骤103,判断采集到的形态特征与网络应用自身的形态特征是否相匹配,若匹配,则将所述形态特征分配至相应的流形态特征类别中,形成流形态特征库。
具体的,每个网络应用软件在执行某一行为时都有自己特有的流形态特征,如使用迅雷软件在执行下载时的流形态特征如下:
begin;
name=Thunder;
chn_name=迅雷;
id=3104;
class=common;
proto=17 //传输层协议是UDP;
len=12-120 //仅关注长度为数据12-120的数据包;
max_pkts=30 //每条数据流上最多关注30个数据包;
sport=1025-65535 //源端口范围;
dport=1025-65535 //目的端口范围;
flow_request=8=32:0:0:25:69-120:78-90:89:37:18:13 //从数据流上第8个数据包开始的请求流形态特征;
flow_response=8=75:62:0:82:46-65:12:18:63:68:42 //从数据流上第8个数据包开始的应答流形态特征;
end。
在网络应用软件使用过程中会出现大量的形态特征,其中某一形态特征出现的频率相对其他形态特征出现的频率较高,如使用迅雷下载时,上述形态特征出现的频率最高,通过判断采集到的形态特征与上述特征是否一致,若两者一致,则将迅雷下载归类至P2P特征类。通过不断的采集、分析,归类,最终形成适用于多种网络应用软件的流形态特征库。
步骤2,监控网络流量并分析和汇总当前网络中数据流的流形态特征信息,形成待分析数据流的流形态特征;
具体的,网络应用软件在使用过程中形成数据流,数据流中每个数据包的大小等等不尽相同,因此网络应用软件在使用过程会形成自己特有的流形态特征,如上所述的迅雷软件在下载时会产生自己特有的流形态特征。对数据流中的数据包进行分析获得形态特征,并将这些形态特征进行汇总。由于流形态特征主要关注传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征,因此,根据上述形态特征对当前网络应用数据流信息进行汇总,形成待分析数据流的流形态特征。
步骤3,将待分析数据流的流形态特征与所述流形态特征库进行匹配,若匹配,则将识别出的应用行为产生的数据流进行标记并记录网络应用行为。
具体的,如图3所示,在步骤3中,所述流形态特征信息与流形态特征库匹配包括如下步骤:
步骤301,判断待分析数据流是否为TCP流,若是,则直接执行步骤302;否则,进一步判断待分析数据流是否为UDP流,若是,则执行步骤302,否则,结束匹配;
步骤302,判断待分析数据流中数据端口范围匹配是否与流形态特征库中服务端口范围相匹配,若匹配,则执行步骤303;否则,结束匹配;
步骤303,判断待分析数据流中请求流形态特征值是否与流形态特征库中请求流形态特征值相匹配,若匹配,则执行步骤304,否则,结束匹配;
步骤304,判断待分析数据流中应答流形态特征值是否与流形态特征库中应答流形态特征值相匹配,若匹配,则将识别出的应用行为产生的数据流进行标记。
优选地,在步骤304中还包括对识别出的网络应用行为进行记录,供网络管理员进行查看。
如图4所示,一种基于流形态特征的应用行为识别系统,包括流形态特征库单元、流特征信息扫描单元,以及流特征分类匹配单元。
具体的,流形态特征库单元用于建立流形态特征库,包括流形态特征提取单元和流形态特征分类单元。其中,流形态特征提取单元用于提取网络应用的数据流形态特征,流形态特征分类单元用于验证提取到的数据流形态特征并将其添加至相应的形态特征分类中,进而建立流形态特征库。本实施例中的流形态特征库包括P2P特征类、网络流媒体特征类、视频网站特征类等,每个大类中均包括若干个网络应用行为的流形态特征。
如将迅雷下载行为添加至流形态特征库中,首先要提取迅雷下载行为流形态特征。具体的,启动流形态特征提取单元,并使用迅雷下载行为,一段时间后,流形态特征提取单元根据预制的算法提取出迅雷流形态特征。流形态特征分类单元验证提取到的流形态特征的正确性,若正确,则将其进行分类,将其分类到P2P特征类中。
流特征信息扫描单元用于监控网络流量并获取和汇总当前网络中数据流的流形态特征信息。所述流特征信息扫描单元包括特征扫描模单元。具体的,将系统旁接到用户网络中后,启动流特征信息扫描单元,流特征信息扫描单元依据当前网络中的数据流启动特征扫描单元,所述特征扫描单元对数据流中的数据包进行分析获得形态特征,并将这些形态特征进行汇总。由于流形态特征主要关注传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征,因此,特征扫描单元根据上述形态特征对当前网络应用数据流信息进行汇总,形成待分析数据流的流形态特征。
流特征分类匹配单元将待分析数据流的流形态特征信息与所述流形态特征库进行匹配。所述流特征分类匹配单元包括传输层协议匹配单元、服务端口匹配单元、请求流形态匹配单元、应答流形态匹配单元,传输层协议匹配单元用于匹配传输层协议是否为TCP(Transmission ControlProtocol,传输控制协议)或者UDP(User Datagram Protocol,用户数据报协议);服务端口匹配单元用于匹配数据传输端口范围;请求流形态匹配单元用于匹配数据流中请求流形态特征值;应答流形态匹配单元用于匹配数据流中应答流形态特征值。
具体的,传输层协议匹配单元判断待分析数据流是否为TCP流,若为TCP流,则服务端口匹配单元进一步判断待分析数据流中服务端口范围匹配是否与流形态特征库中服务端口范围相匹配;若匹配,则请求流形态匹配单元进一步判断待分析数据流中请求流形态特征值是否与流形态特征库中请求流形态特征值相匹配;若匹配,应答流形态匹配单元进一步判断待分析数据流中应答流形态特征值是否与流形态特征库中应答流形态特征值相匹配;若匹配,则将识别出的应用行为产生的数据流进行标记,其后续产生的数据包不再进行分析。
本实施例中,所述系统还包括网络行为识别输出单元,所述网络行为识别输出单元用于记录已经识别出的监控网络中的所有应用行为,供网络管理员查看。
本发明在判断网络应用行为时无需对网络报文进行逐包查看,只需比对网络报文的数据流形态特征即可判断出网络应用行为的类型,识别速度块,减少识别引擎的开销。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (10)
1.一种基于流形态特征的应用行为识别方法,其特征在于,包括如下步骤:
步骤1,建立流形态特征库;
步骤2,监控网络流量并分析和汇总当前网络数据流的流形态特征信息,形成待分析数据流的流形态特征;
步骤3,将待分析数据流的流形态特征与所述流形态特征库进行匹配,若匹配,则将识别出的应用行为产生的数据流进行标记。
2.根据权利要求1所述的基于流形态特征的应用行为识别方法,其特征在于,步骤1中,所述流形态特征库的建立包括如下步骤:
步骤101,建立若干个流形态特征类别;
步骤102,执行网络应用行为,同时采集网络数据包中出现频率最高的形态特征;
步骤103,判断采集到的形态特征与网络应用自身的形态特征是否相匹配,若匹配,则将所述形态特征分配至相应的流形态特征类别中,形成流形态特征库。
3.根据权利要求1所述的基于流形态特征的应用行为识别方法,其特征在于,所述流形态特征包括传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征。
4.根据权利要求1所述的基于流形态特征的应用行为识别方法,其特征在于,步骤3中,流形态特征信息与流形态特征库匹配包括如下步骤:
步骤301,判断待分析数据流是否为TCP流,若是,则直接执行步骤302;否则,进一步判断待分析数据流是否为UDP流,若是,则执行步骤302;
步骤302,判断待分析数据流中服务端口范围匹配是否与流形态特征库中服务端口范围相匹配,若匹配,则执行步骤303;
步骤303,判断待分析数据流中请求流形态特征值是否与流形态特征库中请求流形态特征值相匹配,若匹配,则执行步骤304;
步骤304,判断待分析数据流中应答流形态特征值是否与流形态特征库中应答流形态特征值相匹配,若匹配,则将识别出的应用行为产生的数据流进行标记。
5.根据权利要求4所述的基于流形态特征的应用行为识别方法,其特征在于,所述步骤304还包括对识别出的网络应用行为进行记录。
6.一种基于流形态特征的应用行为识别系统,其特征在于,包括流形态特征库单元、流特征信息扫描单元,以及流特征分类匹配单元;
所述流形态特征库单元用于建立流形态特征库;
所述流特征信息扫描单元用于监控网络流量并分析和汇总当前网络中数据流的流形态特征信息,形成待分析数据流的流形态特征信息;
所述流特征分类匹配单元将待分析数据流的流形态特征信息与所述流形态特征库进行匹配。
7.根据权利要求6所述的基于流形态特征的应用行为识别系统,其特征在于,所述流形态特征库单元包括流形态特征提取单元和流形态特征分类单元,所述流形态特征提取单元用于提取网络应用的数据流形态特征,流形态特征分类单元用于验证提取到的数据流形态特征并将其添加至相应的流形态特征分类中。
8.根据权利要求6所述的基于流形态特征的应用行为识别系统,其特征在于,所述流特征分类匹配单元包括传输层协议匹配单元、服务端口匹配单元、请求流形态匹配单元、应答流形态匹配单元,传输层协议匹配单元用于匹配传输层协议是否为TCP或者UDP;服务端口匹配单元用于匹配数据传输端口范围;请求流形态匹配单元用于匹配数据流中请求流形态特征值;应答流形态匹配单元用于匹配数据流中应答流形态特征值。
9.根据权利要求6所述的基于流形态特征的应用行为识别系统,其特征在于,所述流特征信息扫描单元包括特征扫描模单元,所述特征扫描单元用于对数据流中的数据包进行分析获得形态特征,并将这些形态特征进行汇总。
10.根据权利要求6所述的基于流形态特征的应用行为识别系统,其特征在于,所述系统还包括网络行为识别输出单元,所述网络行为识别输出单元用于记录已经识别出的网络中的所有应用行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710446320.3A CN107302472A (zh) | 2017-06-14 | 2017-06-14 | 基于流形态特征的应用行为识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710446320.3A CN107302472A (zh) | 2017-06-14 | 2017-06-14 | 基于流形态特征的应用行为识别方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107302472A true CN107302472A (zh) | 2017-10-27 |
Family
ID=60135373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710446320.3A Pending CN107302472A (zh) | 2017-06-14 | 2017-06-14 | 基于流形态特征的应用行为识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107302472A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645806A (zh) * | 2009-09-04 | 2010-02-10 | 东南大学 | Dpi和dfi相结合的网络流量分类系统及分类方法 |
| CN101741744A (zh) * | 2009-12-17 | 2010-06-16 | 东南大学 | 一种网络流量识别方法 |
| WO2011012004A1 (zh) * | 2009-07-29 | 2011-02-03 | 中兴通讯股份有限公司 | 一种实现网络流量清洗的方法及系统 |
| EP2719123A1 (en) * | 2011-06-07 | 2014-04-16 | Bae Systems Plc | Message interoperability between platforms |
| CN104243237A (zh) * | 2014-09-17 | 2014-12-24 | 杭州华三通信技术有限公司 | P2p流检测方法和设备 |
-
2017
- 2017-06-14 CN CN201710446320.3A patent/CN107302472A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011012004A1 (zh) * | 2009-07-29 | 2011-02-03 | 中兴通讯股份有限公司 | 一种实现网络流量清洗的方法及系统 |
| CN101645806A (zh) * | 2009-09-04 | 2010-02-10 | 东南大学 | Dpi和dfi相结合的网络流量分类系统及分类方法 |
| CN101741744A (zh) * | 2009-12-17 | 2010-06-16 | 东南大学 | 一种网络流量识别方法 |
| EP2719123A1 (en) * | 2011-06-07 | 2014-04-16 | Bae Systems Plc | Message interoperability between platforms |
| CN104243237A (zh) * | 2014-09-17 | 2014-12-24 | 杭州华三通信技术有限公司 | P2p流检测方法和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101645806B (zh) | Dpi和dfi相结合的网络流量分类系统及分类方法 | |
| CN109117634B (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
| CN109379341B (zh) | 一种基于行为分析的反弹型远控木马网络流量检测方法 | |
| CN110391958B (zh) | 一种对网络加密流量自动进行特征提取和识别的方法 | |
| CN101741744B (zh) | 一种网络流量识别方法 | |
| CN103905261B (zh) | 协议特征库在线更新方法及系统 | |
| CN101902484B (zh) | 局域网http应用业务分类方法及系统 | |
| KR20120071122A (ko) | 트래픽 분석 장치 | |
| CN105429950B (zh) | 一种基于动态数据包采样的网络流量识别系统和方法 | |
| CN112491917B (zh) | 一种物联网设备未知漏洞识别方法及装置 | |
| CN106601243A (zh) | 一种视频文件识别方法及装置 | |
| CN111611280A (zh) | 一种基于cnn和sae的加密流量识别方法 | |
| CN114050926A (zh) | 一种数据报文深度检测方法和装置 | |
| CN112235230B (zh) | 一种恶意流量识别方法及系统 | |
| CN104468252A (zh) | 一种基于正迁移学习的智能网络业务识别方法 | |
| CN109275045B (zh) | 基于dfi的移动端加密视频广告流量识别方法 | |
| CN107707549B (zh) | 一种自动提取应用特征的装置及方法 | |
| CN112381119A (zh) | 基于去中心化应用加密流量特征的多场景分类方法及系统 | |
| CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
| CN109660656A (zh) | 一种智能终端应用程序识别方法 | |
| CN111182002A (zh) | 基于http首个问答包聚类分析的僵尸网络检测装置 | |
| CN107302472A (zh) | 基于流形态特征的应用行为识别方法及系统 | |
| CN101296224B (zh) | 一种p2p流量识别系统和方法 | |
| CN111917665A (zh) | 一种终端应用数据流识别方法及系统 | |
| CN114091087B (zh) | 一种基于人工智能算法的加密流量识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171027 |