CN110417801B - 服务端识别方法和装置、设备及存储介质 - Google Patents
服务端识别方法和装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110417801B CN110417801B CN201910719969.7A CN201910719969A CN110417801B CN 110417801 B CN110417801 B CN 110417801B CN 201910719969 A CN201910719969 A CN 201910719969A CN 110417801 B CN110417801 B CN 110417801B
- Authority
- CN
- China
- Prior art keywords
- port number
- address
- data packet
- server
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种服务端识别方法和装置、设备及存储介质,其中方法包括:接收网络会话过程中的当前数据包,由当前数据包中获取相应的数据包类型、端口号和IP地址;根据数据包类型和端口号中的至少一种信息,对当前数据包的服务端进行识别;在根据数据包类型和端口号中的至少一种信息对当前数据包的服务端不能进行有效识别时,根据端口号和IP地址的当前命中次数进行服务端的识别;其中,当前命中次数通过对端口号和IP地址的出现次数进行计数得到。其通过采用机器学习手段,结合多种识别机制对服务端进行识别判断,同时对每种识别机制进行优先级顺序的排序,有效提高了服务端识别的准确率。
Description
技术领域
本公开涉及计算机网络技术领域,尤其涉及一种服务端识别方法和装置、设备及存储介质。
背景技术
随着网络技术的不断发展,越来越多的应用依赖于网络对外提供服务。网络安全、应用性能、网络性能、隐患分析都离不开对网络数据流的分析。网络数据流分析的第一步,需要识别网络通讯的服务端,也就是在通讯双方,谁作为服务端,谁作为客户端。准确的服务端识别能力,对于网络安全、性能分析都是非常重要的一环。在相关技术中,都是通过比较简单的方式来进行服务端的判断识别,这就使得网络分析的准确性不高。
发明内容
有鉴于此,本公开提出了一种服务端识别方法和装置、设备及存储介质,可以有效提高服务端识别的准确率。
根据本公开的一方面,提供了一种服务端识别方法,包括:
接收网络会话过程中的当前数据包,由所述当前数据包中获取相应的数据包类型、端口号和IP地址;
根据所述数据包类型和所述端口号中的至少一种信息,对所述当前数据包的服务端进行识别;
在根据所述数据包类型和所述端口号中的至少一种信息对所述当前数据包的服务端不能进行有效识别时,根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别;
其中,所述当前命中次数通过对所述端口号和所述IP地址的出现次数进行计数得到。
在一种可能的实现方式中,根据所述数据包类型和所述端口号中的至少一种信息,对所述当前数据包的服务端进行识别,包括:
判断所述数据包类型是否为SYN包或SYNACK包,并在所述数据包类型为SYN包或SYNACK包时,根据所述数据包类型对所述服务端进行识别;
判断所述端口号是否为预设端口,在所述端口号为预设端口时,根据所述端口号对所述服务端进行识别。
在一种可能的实现方式中,根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别,包括:
在根据所述数据包类型和所述端口号中的至少一种信息对所述当前数据包的服务端不能进行有效识别时,由建立的确信表中查找所述端口号和所述IP地址;
其中,所述确信表中记录有已确定为服务端的端口号和IP地址,已确定为服务端的端口号和IP地址通过当前命中次数大于或等于预设次数来表征;
在所述确信表中查找到所述端口号和所述IP地址时,将所述端口号和所述IP地址所对应的端口识别为所述服务端。
在一种可能的实现方式中,根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别,还包括:
在所述确信表中未查找到所述端口号和所述IP地址时,由建立的疑似表中查找所述端口号和所述IP地址;其中,所述疑似表中记录有当前命中次数小于所述预设次数的端口号和IP地址;
在所述疑似表中未查找到所述端口号和所述IP地址时,将所述端口号和所述IP地址记录到所述疑似表中,并对所述端口号和所述IP地址进行计数;
在所述疑似表中查找到所述端口号和所述IP地址时,对所述端口号和所述IP地址进行计数,并判断计数后的所述端口号和所述IP地址的当前命中次数是否累计达到所述预设次数;
在所述端口号和所述IP地址的当前命中次数达到所述预设次数时,将所述端口号和所述IP地址记录到所述确信表中,并将所述端口号和所述IP地址所对应的端口识别为所述服务端。
在一种可能的实现方式中,还包括:
由建立的应用表中查找所述端口号和所述IP地址;其中,所述应用表中记录有自定义应用的端口号和IP地址;
在所述应用表中查找到所述端口号和所述IP地址时,直接将所述端口号和所述IP地址所对应的端口识别为所述服务端。
在一种可能的实现方式中,在根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别过程中未识别到所述服务端时,还包括:
根据所述端口号的大小进行所述服务端的识别。
相应的,基于同一发明构思,本公开还提供了一种服务端识别装置,包括接收获取模块、第一识别模块和第二识别模块;
所述接收获取模块,被配置为接收网络会话过程中的当前数据包,由所述当前数据包中获取相应的数据包类型、端口号和IP地址;
所述第一识别模块,被配置为根据所述数据包类型和所述端口号中的至少一种信息,对所述当前数据包的服务端进行识别;
所述第二识别模块,被配置为在所述第一识别模块根据所述数据包类型和所述端口号中的至少一种信息对所述当前数据包的服务端不能进行有效识别时,根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别;
其中,所述当前命中次数通过对所述端口号和所述IP地址的出现次数进行计数得到。
在一种可能的实现方式中,所述第二识别模块包括查找子模块和识别子模块;
所述查找子模块,被配置为在所述第一识别模块根据所述数据包类型和所述端口号中的至少一种信息对所述当前数据包的服务端不能进行有效识别时,由建立的确信表中查找所述端口号和所述IP地址;
其中,所述确信表中记录有已确定为服务端的端口号和IP地址,已确定为服务端的端口号和IP地址通过当前命中次数大于或等于预设次数来表征;
所述识别子模块,被配置为在所述确信表中查找到所述端口号和所述IP地址时,将所述端口号和所述IP地址所对应的端口识别为所述服务端。
另外,根据本公开的另一方面,还提供了一种服务端识别设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现前面任一所述的方法。
进一步的,根据本公开的另一方面,还提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现前面任一所述的方法。
本公开实施例的服务端识别方法,在接收到网络会话中的当前数据包后,由当前数据包中获取相应的数据包类型、端口号和IP地址,并根据数据包类型和端口号中的至少一种信息,对当前数据包的服务端进行识别,并在根据数据包类型和端口号中的至少一种信息仍不能有效识别出服务端时,再根据端口号和IP地址的当前命中次数进行服务端的识别,从而使得在服务端识别过程中能够综合多项信息,结合多种识别机制来实现服务端的识别。相较于相关技术中单纯采用一种识别机制的方式,有效提高了服务端识别的准确率。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出本公开实施例的服务端识别方法的流程图;
图2示出本公开另一实施例的服务端识别方法的流程图;
图3示出本公开实施例的服务端识别装置的框图;
图4示出本公开实施例的服务端识别设备的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出根据本公开一实施例的服务端识别方法的流程图。如图1所示,该服务端识别方法包括:步骤S100,接收网络会话过程中的当前数据包,由当前数据包中获取相应的数据包类型、端口号和IP地址。此处,本领域技术人员可以理解的是,在网络会话过程中所传输的数据包中可以包含有数据包类型信息、端口信息和IP地址信息。
其中,端口信息通常包括源端口(即,发送端的端口)和目的端口(即,接收端的端口)。IP地址与端口对应,包括源端口的IP和目的端口的IP。即,在该步骤中获取到的端口信息可以包括源端口信息和目的端口信息,IP地址信息则相应包括源IP地址信息和目的IP地址信息。
进而执行步骤S200,根据数据包类型和端口号中的至少一种信息,对当前数据包的服务端进行识别。
其中,在根据数据包类型和端口号中的至少一种信息对当前数据包的服务端不能进行有效识别时,也就是说,在根据数据包类型和端口号中的至少一种信息仍不能识别出当前数据包的服务端时,还可以包括步骤S300,根据端口号和IP地址的当前命中次数进行服务端的识别。此处,应当指出的是,端口号和IP地址的当前命中次数可以通过对端口号和IP地址的出现次数进行计数来得到。
即,在当前网络会话和后续网络会话过程中,每接收到一个数据包,由接收到的数据包中获取端口号和IP地址后,即可对获取到的该端口号和IP地址在当前出现的次数进行计数,从而得到端口号和IP地址的当前命中次数。
由此,本公开实施例的服务端识别方法,在接收到网络会话中的当前数据包后,由当前数据包中获取相应的数据包类型、端口号和IP地址,并根据数据包类型和端口号中的至少一种信息,对当前数据包的服务端进行识别,并在根据数据包类型和端口号中的至少一种信息仍不能有效识别出服务端时,再根据端口号和IP地址的当前命中次数进行服务端的识别,从而使得在服务端识别过程中能够综合多项信息,结合多种识别机制来实现服务端的识别。相较于相关技术中单纯采用一种识别机制的方式,有效提高了服务端识别的准确率。
同时,本公开实施例的服务端识别方法,在根据数据包类型和端口号中的至少一种信息仍不能有效识别出服务端时,根据端口号和IP地址的当前命中次数进行识别,当前命中次数则通过对端口号和IP地址在网络会话过程中所出现的次数进行统计计数来实现,从而使得本公开实施例的服务端识别方法,在结合多种识别机制进行服务端识别过程中,还能够采用机器学习手段,来实现服务端的综合判断识别,这也就更进一步地提高了服务端识别的准确率。
在一种可能的实现方式中,步骤S200,根据数据包类型和端口号中的至少一种信息,对当前数据包的服务端进行识别时,可以包括:判断数据包类型是否为SYN包或SYNACK包,并在判断出数据包类型为SYN包或SYNACK包时,根据数据包类型对服务端进行识别的步骤,以及判断端口号是否为预设端口,在端口号为预设端口时,根据端口号对服务端进行识别的步骤。
也就是说,在本公开实施例的服务端识别方法中,根据数据包类型和端口号中的至少一种信息对当前数据包的服务端进行识别,可以基于数据包是否为SYN包或SYNACK包来进行识别,也可以基于端口号是否为预设端口来进行识别,还可以将上述两种方式相结合(即,基于数据包类型和端口号两种信息综合判断)来进行识别。
举例来说,参阅图2,在一种可能的实现方式中,根据数据包类型和端口号中的至少一种信息对当前数据包的服务端进行识别可以包括:
步骤S210,判断数据包类型是否为SYN包或SYNACK包,在判断出数据包类型为SYN包或SYNACK包时,则可根据数据包类型对服务端进行识别,从而得到相应的识别结果。
具体的,在判断出数据包类型为SYN包时,即可通过SYN包确定服务端。即,SYN包的目的IP和端口即为服务端的IP和端口,因此可直接将SYN包中的目的IP和端口识别为服务端。在判断出数据包类型为SYNACK包时,即可通过SYNACK包确定服务端。即,SUNACK包的源IP和端口即为服务端的IP和端口,因此可直接将SYNACK包中的源IP和端口识别为服务端。
在判断出数据包类型既不是SYN包,也不是SYNACK包时,此时根据数据包类型不能进行服务端的有效识别,因此可通过步骤S220,判断端口号是否为预设端口。此处,需要说明的是,预设端口指的是常见的只作为服务端的知名端口,如:21、22、23、53、80、443、445等。
也就是说,通过步骤S220,判断当前数据包中的端口号(即,源端口号和目的端口号)是否为知名端口。在端口号为知名端口时,则可直接将该端口号所对应的端口识别为服务端。在端口号不是知名端口时,则表明根据数据包类型和端口号均不能进行有效识别出服务端,因此此时可执行步骤S300,根据端口号和IP地址的当前命中次数进行服务端的识别。
其中,需要说明的是,在本公开实施例的服务端识别方法中,根据端口号和IP地址的当前命中次数进行服务端的识别时,可以通过建立确信表,由确信表中查找的方式进行。即,通过建立确信表,在确信表中记录有已确定为服务端的端口号和IP地址。其中,已确定为服务端的端口号和IP地址通过当前命中次数大于或等于预设次数来表征。
即,参阅图2,在根据数据包类型和端口号中的至少一种信息对当前数据包的服务端不能进行有效识别时,可首先通过步骤S310,由建立的确信表中查找端口号和IP地址,判断当前数据包中的端口号和IP地址是否在确信表中。在判断出当前数据包中的端口号和IP地址在确信表中时,由于确信表中记录的是已被确定为服务端的端口号和IP地址,因此此时可直接得到识别结果,将该端口号和IP地址识别为服务端。
通过建立确信表,确信表中记录已被确定为服务端的端口号和IP地址,其中,所记录的已被确定为服务端的端口号和IP地址通过其命中次数大于或等于预设次数来表征。从而在根据端口号和IP地址的当前命中次数进行服务端的识别时,只需有确信表中进行相应的数据查找即可,操作简单,易于实现。
此处,需要指出的是,在由确信表中进行端口号和IP地址的查找时,只要有一项信息在确信表中有记录即可进行服务端的有效识别。也就是说,只要端口号和IP地址中的任一项在确信表中有记录,即可将该端口号或IP地址识别为服务端。
进一步的,在根据端口号和IP地址的当前命中次数进行服务端的识别时,还可以包括以下步骤:
即,在确信表中未查找到端口号和IP地址时,可通过步骤S320,由建立的疑似表中查找端口号和IP地址,判断当前数据包中的端口号和IP地址是否在疑似表中。其中,需要说明的是,疑似表中记录有当前命中次数小于预设次数的端口号和IP地址。
在疑似表中未查找到当前数据包的端口号和IP地址时,即,该端口号和IP地址既没有记录在疑似表中,也没有记录在确信表中,这就表明当前数据包的端口号和IP地址为第一次出现,因此可通过步骤S330,直接将该端口号和IP地址记录到疑似表中,并进行计数。
在疑似表中查找到当前数据包的端口号和IP地址时,表明该端口号和IP地址不是第一次出现,因此此时可通过步骤S340,对该端口号和IP地址进行计数,并判断计数之后记录在疑似表中的端口号和IP地址的当前命中次数是否累计达到预设次数。在端口号和IP地址的当前命中次数达到预设次数时,则通过步骤S350,将该端口号和IP地址迁移至确信表中,并在疑似表中删除该端口号和IP地址的记录。
在端口号和IP地址的当前命中次数未达到预设次数时,则直接通过步骤S330,将记录在疑似表中的该端口号和IP地址进行相应的计数,从而实现对端口号的IP地址的出现次数的统计。
也就是说,本公开实施例的服务端识别方法,通过建立疑似表,由疑似表将根据数据包类型和端口号中的至少一种信息不能有效识别出服务端的端口号和IP地址记录下来,并在后续会话中再次出现(即,再次命中)的端口号和IP地址进行计数,同时建立确信表,将疑似表中计数(即,当前命中次数)达到预设次数的端口号和IP地址记录保存,以实现对已确定为服务端的端口号和IP地址的记录。从而,在根据端口号和IP地址的当前命中次数进行服务端的识别时,只需通过查找确信表和疑似表中所分别记录的数据即可。识别逻辑简单,易于实现。
其中,需要指出的是,预设次数的取值可以根据实际情况进行灵活设置。一般来说,预设次数的取值范围可以设置为:N≥3。其中,N为预设次数。
更进一步地,在本公开实施例的服务端识别方法中,在通过上述步骤,根据端口号和IP地址的当前命中次数进行服务端的识别过程中未识别到服务端时,还可以包括以下步骤:
即,步骤S400,由建立的应用表中查找端口号和IP地址,判断当前数据包的端口号和IP地址是否记录在应用表中。其中,需要说明的是,应用表中记录有自定义应用的端口号和IP地址。本领域技术人员可以理解的是,自定义应用的端口号和IP地址指的是用户手工定义应用的IP端口,网络分析工具将被定义为应用的IP端口识别为服务端。
由此,在判断出当前数据包的端口号和IP地址记录在应用表中时,表明该端口号和IP地址为用户手工定义为应用配置的端口和IP。因此,可直接将该端口号和IP地址对应的额端口识别为服务端。
另外,在一种可能的实现方式中,在通过上述方式均不能有效识别服务端时,还可以根据端口号的大小进行服务端的识别。即,参阅图2,可通过步骤S500,判断端口号是否为小端口,在判断出端口号为小端口时,即可将该端口号对应的端口识别为服务端。
其中,本领域技术人员可以理解,在上述实施例的服务端识别方法中,端口号的大小可以采用本领域常规技术手段进行划分。即,大端口和小端口的划分可以采用本领域技术人员所公知的方式进行划分,此处不对其进行限定。
由此,本公开实施例的服务端识别方法,通过采用机器学习手段,结合多种识别机制对服务端进行识别判断,同时对每种识别机制进行优先级顺序的排序,从而使得最终得到的识别结果的准确率能够达到99.99%。并且,还能够同时支持TCP和UDP协议的服务端识别,这也就有效提高了服务端识别方法的适用性。
另外,基于前面任一所述的服务端识别方法,本公开还提供了一种服务端识别装置。由于本公开提供的服务端识别方法的原理与本公开的服务端识别装置的工作原理相同或相似,因此重复之处不再赘述。
参阅图3,在本公开实施例的服务端识别装置100中,包括接收获取模块110、第一识别模块120和第二识别模块130。其中,接收获取模块110,被配置为接收网络会话过程中的当前数据包,由当前数据包中获取相应的数据包类型、端口号和IP地址。第一识别模块120,被配置为根据数据包类型和端口号中的至少一种信息,对当前数据包的服务端进行识别。第二识别模块130,被配置为在第一识别模块120根据数据包类型和端口号中的至少一种信息对当前数据包的服务端不能进行有效识别时,根据端口号和IP地址的当前命中次数进行服务端的识别。其中,需要说明的是,当前命中次数通过对端口号和IP地址的出现次数进行计数得到。
在一种可能的实现方式中,第二识别模块130包括查找子模块和识别子模块(图中未示出)。其中,查找子模块,被配置为在第一识别模块120根据数据包类型和端口号中的至少一种信息对当前数据包的服务端不能进行有效识别时,由建立的确信表中查找端口号和IP地址。
此处,应当指出的是,确信表中记录有已确定为服务端的端口号和IP地址,已确定为服务端的端口号和IP地址通过当前命中次数大于或等于预设次数来表征。识别子模块,被配置为在确信表中查找到端口号和IP地址时,将端口号和IP地址所对应的端口识别为服务端。
更进一步地,根据本公开的另一方面,还提供了一种服务端识别设备200。参阅图4,本公开实施例服务端识别设备200包括处理器210以及用于存储处理器210可执行指令的存储器220。其中,处理器210被配置为执行可执行指令时实现前面任一所述的服务端识别方法。
此处,应当指出的是,处理器210的个数可以为一个或多个。同时,在本公开实施例的服务端识别设备200中,还可以包括输入装置230和输出装置240。其中,处理器210、存储器220、输入装置230和输出装置240之间可以通过总线连接,也可以通过其他方式连接,此处不进行具体限定。
存储器220作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的服务端识别方法所对应的程序或模块。处理器210通过运行存储在存储器220中的软件程序或模块,从而执行服务端识别设备200的各种功能应用及数据处理。
输入装置230可用于接收输入的数字或信号。其中,信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置240可以包括显示屏等显示设备。
根据本公开的另一方面,还提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,计算机程序指令被处理器210执行时实现前面任一所述的服务端识别方法。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (8)
1.一种服务端识别方法,其特征在于,包括:
接收网络会话过程中的当前数据包,由所述当前数据包中获取相应的数据包类型、端口号和IP地址;
根据所述数据包类型和所述端口号中的至少一种信息,对所述当前数据包的服务端进行识别;
在根据所述数据包类型和所述端口号中的至少一种信息对所述当前数据包的服务端不能进行有效识别时,根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别;
其中,所述当前命中次数通过对所述端口号和所述IP地址的出现次数进行计数得到;
其中,根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别,包括:
在根据所述数据包类型和所述端口号中的至少一种信息对所述当前数据包的服务端不能进行有效识别时,由建立的确信表中查找所述端口号和所述IP地址;
其中,所述确信表中记录有已确定为服务端的端口号和IP地址,已确定为服务端的端口号和IP地址通过当前命中次数大于或等于预设次数来表征;
在所述确信表中查找到所述端口号和所述IP地址时,将所述端口号和所述IP地址所对应的端口识别为所述服务端;
其中,所述预设次数的取值范围为:N≥3,N为所述预设次数。
2.根据权利要求1所述的方法,其特征在于,根据所述数据包类型和所述端口号中的至少一种信息,对所述当前数据包的服务端进行识别,包括:
判断所述数据包类型是否为SYN包或SYNACK包,并在所述数据包类型为SYN包或SYNACK包时,根据所述数据包类型对所述服务端进行识别;
判断所述端口号是否为预设端口,在所述端口号为预设端口时,根据所述端口号对所述服务端进行识别。
3.根据权利要求1所述的方法,其特征在于,根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别,还包括:
在所述确信表中未查找到所述端口号和所述IP地址时,由建立的疑似表中查找所述端口号和所述IP地址;其中,所述疑似表中记录有当前命中次数小于所述预设次数的端口号和IP地址;
在所述疑似表中未查找到所述端口号和所述IP地址时,将所述端口号和所述IP地址记录到所述疑似表中,并对所述端口号和所述IP地址进行计数;
在所述疑似表中查找到所述端口号和所述IP地址时,对所述端口号和所述IP地址进行计数,并判断计数后的所述端口号和所述IP地址的当前命中次数是否累计达到所述预设次数;
在所述端口号和所述IP地址的当前命中次数达到所述预设次数时,将所述端口号和所述IP地址记录到所述确信表中,并将所述端口号和所述IP地址所对应的端口识别为所述服务端。
4.根据权利要求1所述的方法,其特征在于,还包括:
由建立的应用表中查找所述端口号和所述IP地址;其中,所述应用表中记录有自定义应用的端口号和IP地址;
在所述应用表中查找到所述端口号和所述IP地址时,直接将所述端口号和所述IP地址所对应的端口识别为所述服务端。
5.根据权利要求1至4任一项所述的方法,其特征在于,在根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别过程中未识别到所述服务端时,还包括:
根据所述端口号的大小进行所述服务端的识别。
6.一种服务端识别装置,其特征在于,包括接收获取模块、第一识别模块和第二识别模块;
所述接收获取模块,被配置为接收网络会话过程中的当前数据包,由所述当前数据包中获取相应的数据包类型、端口号和IP地址;
所述第一识别模块,被配置为根据所述数据包类型和所述端口号中的至少一种信息,对所述当前数据包的服务端进行识别;
所述第二识别模块,被配置为在所述第一识别模块根据所述数据包类型和所述端口号中的至少一种信息对所述当前数据包的服务端不能进行有效识别时,根据所述端口号和所述IP地址的当前命中次数进行所述服务端的识别;
其中,所述当前命中次数通过对所述端口号和所述IP地址的出现次数进行计数得到;
其中,所述第二识别模块包括查找子模块和识别子模块;
所述查找子模块,被配置为在所述第一识别模块根据所述数据包类型和所述端口号中的至少一种信息对所述当前数据包的服务端不能进行有效识别时,由建立的确信表中查找所述端口号和所述IP地址;
其中,所述确信表中记录有已确定为服务端的端口号和IP地址,已确定为服务端的端口号和IP地址通过当前命中次数大于或等于预设次数来表征;
所述识别子模块,被配置为在所述确信表中查找到所述端口号和所述IP地址时,将所述端口号和所述IP地址所对应的端口识别为所述服务端;
其中,所述预设次数的取值范围为:N≥3,N为所述预设次数。
7.一种服务端识别设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现权利要求1至5中任意一项所述的方法。
8.一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其特征在于,所述计算机程序指令被处理器执行时实现权利要求1至5中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910719969.7A CN110417801B (zh) | 2019-08-06 | 2019-08-06 | 服务端识别方法和装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910719969.7A CN110417801B (zh) | 2019-08-06 | 2019-08-06 | 服务端识别方法和装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110417801A CN110417801A (zh) | 2019-11-05 |
| CN110417801B true CN110417801B (zh) | 2022-02-01 |
Family
ID=68365994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910719969.7A Active CN110417801B (zh) | 2019-08-06 | 2019-08-06 | 服务端识别方法和装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417801B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929458B (zh) * | 2019-12-06 | 2023-04-07 | 中国电信股份有限公司 | App应用的服务端地址确定方法、装置以及存储介质 |
| CN113438267B (zh) * | 2020-03-23 | 2023-02-28 | 华为技术有限公司 | 一种分析流数据的方法与设备 |
| CN111741142A (zh) * | 2020-06-19 | 2020-10-02 | 南昌黑鲨科技有限公司 | 一种高频ip地址获取方法、系统、存储介质及终端设备 |
| CN113542035A (zh) * | 2021-08-04 | 2021-10-22 | 四川英得赛克科技有限公司 | 一种服务端口识别方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753639A (zh) * | 2009-12-11 | 2010-06-23 | 东南大学 | 基于流量通信模式的服务角色识别方法 |
| CN101795214A (zh) * | 2010-01-22 | 2010-08-04 | 华中科技大学 | 一种大流量环境下基于行为的p2p检测方法 |
| CN102523314A (zh) * | 2010-12-16 | 2012-06-27 | 微软公司 | 识别高效的目标服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106992885B (zh) * | 2017-03-28 | 2020-07-24 | 联想(北京)有限公司 | 一种服务器系统中识别设备的方法及服务器系统 |
-
2019
- 2019-08-06 CN CN201910719969.7A patent/CN110417801B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753639A (zh) * | 2009-12-11 | 2010-06-23 | 东南大学 | 基于流量通信模式的服务角色识别方法 |
| CN101795214A (zh) * | 2010-01-22 | 2010-08-04 | 华中科技大学 | 一种大流量环境下基于行为的p2p检测方法 |
| CN102523314A (zh) * | 2010-12-16 | 2012-06-27 | 微软公司 | 识别高效的目标服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 基于服务角色的P2P节点识别方法研究;刘峰;《中国博士学位论文全文数据库 信息科技辑》;20101115;I139-8 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110417801A (zh) | 2019-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417801B (zh) | 服务端识别方法和装置、设备及存储介质 | |
| US9088481B2 (en) | Web transaction analysis | |
| US8493871B2 (en) | End-to end analysis of transactions in networks with traffic-altering devices | |
| CN110839017B (zh) | 代理ip地址识别方法、装置、电子设备及存储介质 | |
| CN110300065B (zh) | 一种基于软件定义网络的应用流量识别方法及系统 | |
| CN105939231B (zh) | 共享接入检测方法和共享接入检测装置 | |
| CN106330944A (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| CN108234345B (zh) | 一种终端网络应用的流量特征识别方法、装置和系统 | |
| CN103916294A (zh) | 协议类型的识别方法和装置 | |
| CN110460488B (zh) | 业务流识别方法和装置、模型生成方法和装置 | |
| CN113825129A (zh) | 一种5g网络环境下工业互联网资产测绘方法 | |
| CN111726258A (zh) | 网络性能检测方法及相关装置 | |
| US9807204B2 (en) | Optimized message processing | |
| CN113098911B (zh) | 一种多段链接网络的实时分析方法及旁路抓包系统 | |
| CN112637223B (zh) | 应用协议识别方法、装置、计算机设备和存储介质 | |
| CN110417748A (zh) | 一种攻击检测方法及装置 | |
| CN107404456A (zh) | 错误定位方法及装置 | |
| CN113395367B (zh) | Https业务识别方法、装置、存储介质及电子设备 | |
| CN111064729B (zh) | 报文的处理方法及装置、存储介质和电子装置 | |
| US7301910B2 (en) | Methods and systems for automated analysis of signaling link utilization | |
| CN112769635A (zh) | 多粒度特征解析的服务识别方法及装置 | |
| CN109361674A (zh) | 旁路接入的流式数据检测方法、装置以及电子设备 | |
| CN113890858A (zh) | Pmtu的探测方法及装置 | |
| CN105991373A (zh) | 一种应用协议识别方法及装置 | |
| CN113923270B (zh) | 一种报文的处理方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |