CN112954027B - 一种网络服务特征确定方法及装置 - Google Patents
一种网络服务特征确定方法及装置 Download PDFInfo
- Publication number
- CN112954027B CN112954027B CN202110127586.8A CN202110127586A CN112954027B CN 112954027 B CN112954027 B CN 112954027B CN 202110127586 A CN202110127586 A CN 202110127586A CN 112954027 B CN112954027 B CN 112954027B
- Authority
- CN
- China
- Prior art keywords
- network service
- message
- messages
- feature
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2408—Traffic characterised by specific attributes, e.g. priority or QoS for supporting different services, e.g. a differentiated services [DiffServ] type of service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书提供一种网络服务特征确定方法,特征需求方先利用报文统计工具将HTTP报文及HTTPS报文筛选出来并展示,使得特征需求方可直接查看HTTP报文及HTTPS报文。特征需求方根据显示的HTTP报文及HTTPS报文,确定出可能用于表征目标网络服务的多个候选网络服务特征,然后利用报文统计工具,将每个候选网络服务特征与筛选出的报文进行匹配,得到每个候选网络服务特征匹配到的报文。报文统计工具根据每个候选网络服务特征的匹配结果,得到每个候选网络特征的对应的数量分析结果,并将数据分析结果展示给特征需求方。
Description
技术领域
本说明书涉及计算机领域,尤其涉及一种网络服务特征确定方法及装置。
背景技术
企业在发现某网络服务具有风险时,会限制所辖终端获取该网络服务。一般情况下,终端设备在获取某网络服务时,会产生一些报文,这些报文中的多数报文,往往都会包含有一些特定字符串、比特序列等,可作为该网络服务对应的网络服务特征,用于表征该网络服务,因此,在限制所辖终端获取某网络服务时,可以根据该网络服务对应的网络服务特征,对所辖设备的所有报文进行识别,将识别出的报文进行阻断,从而限制所辖终端获取该网络服务。
现有技术中,通常需要技术人员从大量报文中找到网络服务对应的网络服务特征,这很依赖于技术人员的记忆,技术人员需要根据记忆分析各个报文之间可能存在的关系,报文中特定协议字段与网络服务之间的联系等,因此,在确定网络服务对应的网络服务特征时,效率比较低。
发明内容
为克服上述效率低的问题,本说明书提供了一种网络服务特征确定方法及装置。
一种网络服务特征确定方法,应用于报文统计工具,所述方法包括:
获取样本报文流;所述样本报文流为终端使用目标网络服务所产生的历史报文流;
从所述样本报文流中,根据HTTP及HTTPS的协议特征,提取出全部的HTTP报文、以及HTTPS报文,并展示,以便特征需求方根据展示内容确定多个候选网络服务特征;
基于各候选网络服务特征与各提取出的报文,进行统计分析,将分析结果提供给特征需求方,以便特征需求方根据所述分析结果,确定至少一个选定网络服务特征,进而基于所述至少一个选定网络服务特征,配置针对所述目标网络服务的报文流阻断策略;
所述分析结果包括如下至少一种:
每个候选网络服务特征对应的报文数量;每个候选网络服务特征在各提取出的报文中出现的频率;每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比。
还提供了一种网络服务特征确定装置,应用于报文统计工具,所述装置包括:
报文流获取装置,用于获取样本报文流;所述样本报文流为终端使用目标网络服务所产生的历史报文流;
报文过滤装置,用于从所述样本报文流中,根据HTTP、HTTPS的协议特征,提取出全部的HTTP报文、以及HTTPS报文,并展示,以便特征需求方根据展示内容确定多个候选网络服务特征;
统计分析装置,基于各候选网络服务特征与各提取出的报文,进行统计分析,将分析结果提供给特征需求方,以便特征需求方根据所述分析结果,确定至少一个选定网络服务特征,进而基于所述至少一个选定网络服务特征,配置针对所述目标网络服务的报文流阻断策略;
所述分析结果包括如下至少一种:
每个候选网络服务特征对应的报文数量;每个候选网络服务特征在各提取出的报文中出现的频率;每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比。
本说明书实施例的技术方案,特征需求方(如技术人员)先利用报文统计工具将HTTP报文及HTTPS报文筛选出来并展示,使得特征需求方可直接查看HTTP报文及HTTPS报文。特征需求方根据显示的HTTP报文及HTTPS报文,确定出可能用于表征目标网络服务的多个候选网络服务特征,然后利用报文统计工具,将每个候选网络服务特征与筛选出的报文进行匹配,得到每个候选网络服务特征匹配到的报文。报文统计工具根据每个候选网络服务特征的匹配结果,得到每个候选网络特征的对应的数量分析结果,并将数据分析结果展示给特征需求方,其中,数量分析结果包括以下至少一种:每个候选网络服务特征对应的报文数量;每个候选网络服务特征在各提取出的报文中出现的频率;每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比。特征需求方根据数量分析结果,结合实际经验,分析并选出选定网络服务特征。
通过本说明书实施例的技术方案,由于报文统计工具已根据HTTP以及HTTPS的协议特征,将HTTP报文与HTTPS报文提取出来,特征需求方在查看报文内容时,无须再查看哪些报文使用了HTTP、HTTPS,提高了特征需求方查看报文时的效率。特征需求方确定候选网络服务特征后,利用报文统计工具得到每个候选网络服务特征对应的数量分析结果,特征需求方可根据数量分析结果,并结合实际经验,从各个候选网络服务特征中选出较为合适的选定网络服务特征,减少了特征需求方对各个候选网络服务特征的数量分析工作,加快了特征需求方确定网络服务特征的速度,即,提高了特征需求方在确定网络服务特征时的效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书示出的一种网络服务特征确定方法流程示意图。
图2是本说明书示出的一种候选网络服务特征分析结果展示形式的示意图。
图3是本说明书示出的一种网络服务特征确定方法具体流程示意图。
图4是本说明书示出的一种网络服务特征确定装置示意图。
图5是本说明书示出的一种计算机设备硬件结构示意图。
具体实施方式
实际应用中,企业在发现某网络服务具有风险后,会利用一个或多个终端使用该网络服务,进而获取终端在使用该网络服务时的报文流,作为样本报文流。报文流中包含各种协议报文,其中,包含有关该网络服务信息的报文大多数为超文本传输协议(HypertextTransfer Protocol,HTTP)报文及超文本传输安全协议(Hyper Text Transfer Protocolover SecureSocket Layer,HTTPS),因此,技术人员在查看报文流中的各个报文时,既要查看每个报文是否使用的了HTTP或HTTPS,还要查看报文内容有哪些,并比对各个报文中皆出现哪些特征(如字符串或比特序列),判断各个特征之间是否有联系,哪个特征出现的次数更多等,进而确定哪个特征适合作为该网络服务的网络服务特征。
这种实现方式很依赖于技术人员的记忆力,费时也费力,使得在确定网络服务对应的网络服务特征时,效率较低。
基于此,本说明提供了一种网络服务特征确定方法,特征需求方(如技术人员)先利用报文统计工具将HTTP报文及HTTPS报文筛选出来并展示,使得特征需求方可直接查看HTTP报文及HTTPS报文。特征需求方根据显示的HTTP报文及HTTPS报文,确定出可能用于表征目标网络服务的多个候选网络服务特征,然后利用报文统计工具,将每个候选网络服务特征与筛选出的报文进行匹配,得到每个候选网络服务特征匹配到的报文。报文统计工具根据每个候选网络服务特征的匹配结果,得到每个候选网络特征的对应的数量分析结果,并将数据分析结果展示给特征需求方,其中,数量分析结果包括以下至少一种:每个候选网络服务特征对应的报文数量;每个候选网络服务特征在各提取出的报文中出现的频率;每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比。特征需求方根据数量分析结果,结合实际经验,分析并选出选定网络服务特征。
利用本说明提供的网络服务特征确定方法,由于报文统计工具已根据HTTP以及HTTPS的协议特征,将HTTP报文与HTTPS报文提取出来,特征需求方在查看报文内容时,无须再查看哪些报文使用了HTTP、HTTPS,提高了特征需求方查看报文时的效率。特征需求方确定候选网络服务特征后,利用报文统计工具得到每个候选网络服务特征对应的数量分析结果,特征需求方可根据数量分析结果,并结合实际经验,从各个候选网络服务特征中选出较为合适的选定网络服务特征,减少了特征需求方对各个候选网络服务特征的数量分析工作,加快了特征需求方确定网络服务特征的速度,即,提高了特征需求方在确定网络服务特征时的效率。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
接下来对本说明书实施例进行详细说明。
本说明的实施例可在任一计算机设备上实现,也可调用具有计算能力的云服务,还可以是几个计算机设备组成的计算机组,即,满足本实施例所需的计算资源即可。
如图1所示,图1是本说明书根据一示例性实施例示出的网络服务特征确定方法的流程示意图,包括以下步骤:
步骤102、获取样本报文流。
其中,样本报文流为终端只用目标网络服务所产生的历史报文流。报文流可以通过报文抓起工具直接进行抓取,或者之前获取的,被保存为pcap文件的,还可以通过终端必经的报文转发设备,对终端转发的及转发至终端的报文进行备份等。
目标网络服务可以是安装在终端上的客户端对应的网络服务,如微信、QQ等对应的网络服务,也可以是通过网页直接获取的网络服务,如论坛、博客等。
步骤104、从样本报文流中,提取出全部的HTTP报文及HTTPS报文,并展示。
样本报文流中有各种协议的报文,如用户数据报协议(User Datagram Protocol,UDP)报文、传输控制协议(Transmission Control Protocol,TCP)报文、域名系统(DomainName System,DNS)报文、文件传输协议报文(File Transfer Protocol,FTP)报文、因特网控制协议(Internet Control Message Protocol,ICMP)报文、因特网组管理协议(Internet Group Management Protocol,IGMP)报文等,这其中包含一些与网络服务本身关系不大的报文,如DNS报文,主要用于域名转换。大部分与网络服务有关的报文为HTTP报文及HTTPS报文,因此,可利用报文统计工具将HTTP报文及HTTPS报文筛选出来。
其中,从样本报文流中提取HTTP报文及HTTPS报文时,报文统计工具可以匹配method字段,每个HTTP报文以及每个HTTPS报文都包含有method字段,其他协议特征并没有,因此,只要在报文中有method字段,确定该报文为HTTP报文或者HTTPS报文。
特征需求方根据展示的HTTP报文及HTTPS报文,结合实际经验,确定出多个可能用于表征网络服务的候选网络服务特征,例如,报文头部的域名都包含字符串“baidu.com”,那么便可将字符串“baidu.com”作为一个候选网络服务特征。
其中,候选网络服务特征可以是字符串,如上述的“baidu.com”。
也可以是比特序列,例如某报文首部20字节为“1f 98 ca 50 a3 e6 0a c4 74 47e4 f7 80 12 39 08 5c d4 00 00”,其中,序列“1f 98 ca 50 a3”出现多次,对应的比特序列为“0001 1111 1001 1000 1100 1010 0101 0000 1010 0100”。
还可以是正则表达式,例如候选网络服务特征对应的正则表达式为“abc{2,4}”,那么匹配的字符串为“abcc、abccc或abcccc”。
在确候选网络服务特征时,最少为四个字节,网络服务特征的字节过少,器对网络服务的表征能力会相对较差。
实际应用中,提取到HTTP报文及HTTPS报文后,根据不同的网络属性(网络地址与端口),将提取出的全部HTTP报文及HTTPS报文进行分组显示,如此,可以便于特征需求方查看报文的网络地址与端口的分布情况,进而判断该网络服务是否具有通用的特征,例如,终端在使用git服务进行下载,发现TCP报文的端口号皆为9418,那么,可以推测git服务使用的是固定端口协议,可用端口号作为git服务的一个网络服务特征。
还可以将每个HTTP报文及HTTPS报文的数据包大小显示出来,便于特征需求方根据数据包的大小推断该网络服务拆分数据时的习惯等。
此外,还可根据报文的IP头部的protocol字段,将网络服务的其他全部协议特征报文展示出来,特征需求方根据全部其他协议报文,推断所述目标网络服务对应的属性,例如,用户数据报协议UDP报文,如此,一方面方便特征需求方在其他协议报文中查找其他相关信息,例如,网络服务使用的网络地址都为IPv4等,另一方面,根据使用的协议,推断网络服务的网络行为特征,例如,交互的数据较少时,使用的是UDP协议等。进而特征需求方在确定候选网络服务特征时,考量多方因素,找到的候选网络服务特征可能更具有表征能力。
步骤106、基于各候选网络服务特征与各HTTP报文及HTTPS报文,进行统计分析,将分析结果提供给特征需求方。
特征需求方确定出多个候选网络服务后,可以利用报文统计工具,针对每个候选网络服务特征与提取出的HTTP报文及HTTPS报文进行匹配,并进行数量统计,得到每个网络服务特征匹配到的HTTP报文及HTTPS报文分析结果,其中,分析结果可以是:每个候选网络服务特征对应的报文数量;每个候选网络服务特征在各HTTP报文及HTTPS报文中出现的频率;每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比。其中,每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比是指,若样本报文流的总大小为100MB,某候选网络服务特征对应的报文的总大小为80MB,那么该候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比为80%。
实际应用中,并不一定是对应报文数量越多的候选网络服务特征更具有代表性,例如该网络服务为视频服务,因此报文数量不多,但报文总大小占比大,期间会有小广告无数次弹出,其对应的报文数量多,但对应的报文总大小占比小,因此,特征需求方根据需要选取分析结果。
特征需求根据分析结果,可以得到每个候选网络服务特征的匹配情况,即,哪个候选网络服务匹配到的报文数量更多一些,哪个候选网络服务匹配到的报文数量少一些,哪个候选网络服务匹配到的报文数量及大小占比大一些,进而结合实际经验,选出最为合适的选定网络服务特征。
选出合适的选定网络服务特征后,即可根据选定网络服务特征,配置针对所述网络服务的报文流阻断策略。当然,在选定网络服务特征后,还可对选定网络服务特征进行测试,包括对目标网络服务的阻断情况,以及是否对其他网络应用有影响,若测试不合格,则可再次利用报文统计工具,选出新的选定网络服务特征。
其中,上述对分析结果进行展示,可以是表格的方式,也可以为柱状图、饼状图的形式,如图2所示,以使特征需求方在查看每个候选网络服务特征的数量统计时,更加方便。
在一个或多个实施例中,还可分析各个候选网络服务特征之间的重合度,即,多个候选网络服务特征出现在同一报文中的占比。例如,候选网络服务特征1为“xyzz”,候选网络服务特征2为“aabc”,特征需求方可利用报文统计工具,筛选出同时匹配“xyzz”与“aabc”的HTTP报文及HTTPS报文,并得出同时满足候选网络服务特征1与候选网络服务特征2的报文的数据分析,特征需求方根据数据分析结果,确定候选网络服务特征1与候选网络服务特征2之间的关联程度,进而分析是否联合候选网络服务特征1与候选网络服务特征2具有更好的表征能力。
在一个或多个实施例中,特征需求方在确定候选网络服务特征没有思路时,还可根据默认的匹配方式进行匹配显示,例如,读取每个报文中的域名,多用途互联网邮件扩展类型(Multipurpose Internet Mail Extensions,MIME)等,按照域名或MIME类型对应的报文数量多少排序,将报文按照域名或MIME类型进行分组显示,特征需求方根据默认匹配方式显示的报文,结合实际经验,进而确定候选网络服务特征。
具体的,默认匹配方式为根据域名匹配,可获取每个报文中的域名,数量最多的为www.dingtalk.com,次之的为www.taobao.com,因此,在展示时,根据域名,显示每个域名对应的报文以及域名对应的报文数量。
如图3所示,在一个或多个实施例中,报文统计工具读取每个报文中的IP地址、端口号、协议,并将IP地址、端口号、协议相同的报文作为同一组展示,技术人员根据显示的每组IP地址、端口号、协议对应的报文进行统计,判断目标网络服务是否具有较显而易见的特征。例如,大多数报文皆为同一端口号,则该网络服务可能为使用了固定端口协议,即,端口号可能可以作为该网络服务的网络服务特征。
对于特征不明显的网络服务,特征需求方可对显示的报文进一步分析,例如每个协议对应报文的数量,多数报文的负载部分(数据部分)皆出现某个字符串或比特序列,例如皆出现字符串“xxx.com”,那么可将字符串“xxx.com”作为目标网络服务的一个候选网络服务特征。
特征需求方先根据HTTP及HTTPS的协议特征,提取出所有的HTTP报文及HTTPS报文,筛选出n个报文,假设特征需求方发现很多HTTP报文及HTTPS报文皆包含有特征dingtalk.com或特征taobao.com,因此,可先匹配第一个候选网络服务特征dingtalk.com(或taobao.com),筛选出m个报文,根据筛选结果,确定dingtalk.com(或taobao.com)对应的数据分析结果。然后将筛选出的m个报文匹配第二个候选网络服务特征taobao.com(或dingtalk.com),得到两个候选网络服务特征同时匹配同一报文的报文数量,从而分析两个候选网络服务特征之间的关联度。
在一个或多个实施例中,特征需求方还可根据特征库(网络服务特征与网络服务之间的对应关系),查看终端使用目标网络服务(待确定网络服务特征的网络服务)时的报文流中,确定各个网络服务之间是否具有联系,例如,淘宝与钉钉的报文流中可能皆具有阿里相关的特征,因此,在确定淘宝对应的网络服务特征时,注意与钉钉区别,避免确定的网络服务特征阻断其他网络服务对应的报文。如上述的dingtalk.com与taobao.com,阻断特征dingtalk.com对应的报文时,可能阻断包含taobao.com特征的报文,进而影响淘宝的使用。
本说明还提供了一种网络服务特征确定装置,如图4所示,应用于报文统计工具,所述装置包括:
报文流获取装置,用于获取样本报文流;所述样本报文流为终端使用目标网络服务所产生的历史报文流;
报文过滤装置,用于从所述样本报文流中,根据HTTP、HTTPS的协议特征,提取出全部的HTTP报文、以及HTTPS报文,并展示,以便特征需求方根据展示内容确定多个候选网络服务特征;
统计分析装置,基于各候选网络服务特征与各提取出的报文,进行统计分析,将分析结果提供给特征需求方,以便特征需求方根据所述分析结果,确定至少一个选定网络服务特征,进而基于所述至少一个选定网络服务特征,配置针对所述目标网络服务的报文流阻断策略;
所述分析结果包括如下至少一种:
每个候选网络服务特征对应的报文数量;每个候选网络服务特征在各提取出的报文中出现的频率;每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比。
其中,所述报文过滤装置还可具体用于:
从所述样本报文流中,提取出全部的HTTP报文、以及HTTPS报文,并根据不同的网络属性,将提取出的全部报文进行分组显示,以便特征需求方根据展示内容确定多个候选网络服务特征;所述网络属性包括网络地址与端口。
所述全部其他协议特征报文至少包括用户数据报协议UDP报文或传输控制协议TCP报文。
所述网络服务特征确定装置还可包括:
其他协议报文提取装置,用于从所述样本报文流中,提取出除HTTP报文、以及HTTPS报文之外的全部其他协议特征报文,并展示;
特征需求方根据展示内容确定多个候选网络服务特征,包括:
特征需求方根据全部其他协议特征报文,推断所述目标网络服务对应的属性;
特征需求方基于所述属性,分析所述全部HTTP报文、以及HTTPS报文,确定多个候选网络服务特征。
本说明书网络服务特征确定方法的实施例可以应用在计算机设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在文件处理的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本说明书实施例的装置所在计算机设备的一种硬件结构图,除了图4所示的处理器1010、存储器1020、输入/输出接口1030、以及通信接口1040之外,实施例中装置所在的设备,通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
相应的,本说明书还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器被配置为执行上述任一方法。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行上述任一方法。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的单元或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种网络服务特征确定方法,其特征在于,应用于报文统计工具,所述方法包括:
获取样本报文流;所述样本报文流为终端使用目标网络服务所产生的历史报文流;
从所述样本报文流中,根据超文本传输协议HTTP、超文本传输安全协议HTTPS的协议特征,提取出全部的HTTP报文、以及HTTPS报文,并展示,以便特征需求方根据展示内容确定多个候选网络服务特征;
基于各候选网络服务特征与各提取出的报文,进行统计分析,将分析结果提供给特征需求方,以便特征需求方根据所述分析结果,确定至少一个选定网络服务特征,进而基于所述至少一个选定网络服务特征,配置针对所述目标网络服务的报文流阻断策略;
所述分析结果包括如下至少一种:
每个候选网络服务特征对应的报文数量;每个候选网络服务特征在各提取出的报文中出现的频率;每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比。
2.如权利要求1所述的方法,其特征在于,展示提取出全部报文,包括:
根据不同的网络属性,将提取出的全部报文进行分组显示;所述网络属性包括网络地址与端口。
3.如权利要求1所述的方法,其特征在于,还包括:
从所述样本报文流中,提取出除HTTP报文、以及HTTPS报文之外的全部其他协议特征报文,并展示;
特征需求方根据展示内容确定多个候选网络服务特征,包括:
特征需求方根据全部其他协议特征报文,推断所述目标网络服务对应的属性;
特征需求方基于所述属性,分析所述全部HTTP报文、以及HTTPS报文,确定多个候选网络服务特征。
4.如权利要求3所述的方法,其特征在于,所述全部其他协议特征报文至少包括用户数据报协议UDP报文或传输控制协议TCP报文。
5.如权利要求1所述的方法,其特征在于,所述多个候选网络服务特征包括如下至少一种:
字符串、比特序列、正则表达式。
6.一种网络服务特征确定装置,其特征在于,应用于报文统计工具,所述装置包括:
报文流获取装置,用于获取样本报文流;所述样本报文流为终端使用目标网络服务所产生的历史报文流;
报文过滤装置,用于从所述样本报文流中,根据HTTP、HTTPS的协议特征,提取出全部的HTTP报文、以及HTTPS报文,并展示,以便特征需求方根据展示内容确定多个候选网络服务特征;
统计分析装置,基于各候选网络服务特征与各提取出的报文,进行统计分析,将分析结果提供给特征需求方,以便特征需求方根据所述分析结果,确定至少一个选定网络服务特征,进而基于所述至少一个选定网络服务特征,配置针对所述目标网络服务的报文流阻断策略;
所述分析结果包括如下至少一种:
每个候选网络服务特征对应的报文数量;每个候选网络服务特征在各提取出的报文中出现的频率;每个候选网络服务特征对应的报文的总大小相对于所有样本报文流的总大小的占比。
7.如权利要求6所述的装置,其特征在于,所述报文过滤装置具体用于:
从所述样本报文流中,提取出全部的HTTP报文、以及HTTPS报文,并根据不同的网络属性,将提取出的全部报文进行分组显示,以便特征需求方根据展示内容确定多个候选网络服务特征;所述网络属性包括网络地址与端口。
8.如权利要求6所述的装置,其特征在于,还包括:
其他协议报文提取装置,用于从所述样本报文流中,提取出除HTTP报文、以及HTTPS报文之外的全部其他协议特征报文,并展示;
特征需求方根据展示内容确定多个候选网络服务特征,包括:
特征需求方根据全部其他协议特征报文,推断所述目标网络服务对应的属性;
特征需求方基于所述属性,分析所述全部HTTP报文、以及HTTPS报文,确定多个候选网络服务特征。
9.如权利要求8所述的装置,其特征在于,所述全部其他协议特征报文至少包括用户数据报协议UDP报文或传输控制协议TCP报文。
10.如权利要求6所述的装置,其特征在于,所述多个候选网络服务特征包括如下至少一种:
字符串、比特序列、正则表达式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110127586.8A CN112954027B (zh) | 2021-01-29 | 2021-01-29 | 一种网络服务特征确定方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110127586.8A CN112954027B (zh) | 2021-01-29 | 2021-01-29 | 一种网络服务特征确定方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112954027A CN112954027A (zh) | 2021-06-11 |
CN112954027B true CN112954027B (zh) | 2022-11-25 |
Family
ID=76239825
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110127586.8A Active CN112954027B (zh) | 2021-01-29 | 2021-01-29 | 一种网络服务特征确定方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112954027B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302436A (zh) * | 2016-08-11 | 2017-01-04 | 广州华多网络科技有限公司 | 一种攻击报文特征的自主发现方法、装置和设备 |
CN110287699A (zh) * | 2019-06-12 | 2019-09-27 | 杭州迪普科技股份有限公司 | 应用程序的特征提取方法和装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101170515B (zh) * | 2007-12-04 | 2010-10-13 | 华为技术有限公司 | 一种处理报文的方法、系统和网关设备 |
CN108737327B (zh) * | 2017-04-14 | 2021-11-16 | 阿里巴巴集团控股有限公司 | 拦截恶意网站的方法、装置、系统和存储器 |
CN108512720B (zh) * | 2018-03-02 | 2021-01-26 | 杭州迪普科技股份有限公司 | 一种网站流量的统计方法及装置 |
CN108900430B (zh) * | 2018-06-15 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种网络流量阻断的方法及装置 |
CN110677396A (zh) * | 2019-09-16 | 2020-01-10 | 杭州迪普科技股份有限公司 | 一种安全策略配置方法和装置 |
CN111163184B (zh) * | 2019-12-25 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种报文特征的提取方法和装置 |
-
2021
- 2021-01-29 CN CN202110127586.8A patent/CN112954027B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302436A (zh) * | 2016-08-11 | 2017-01-04 | 广州华多网络科技有限公司 | 一种攻击报文特征的自主发现方法、装置和设备 |
CN110287699A (zh) * | 2019-06-12 | 2019-09-27 | 杭州迪普科技股份有限公司 | 应用程序的特征提取方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112954027A (zh) | 2021-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11936764B1 (en) | Generating event streams based on application-layer events captured by remote capture agents | |
US9686157B2 (en) | Real-time adaptive processing of network data packets for analysis | |
US9686173B1 (en) | Unsupervised methodology to unveil content delivery network structures | |
US10659335B1 (en) | Contextual analyses of network traffic | |
Mistry et al. | Network traffic measurement and analysis | |
CN111953552B (zh) | 数据流的分类方法和报文转发设备 | |
US20100290353A1 (en) | Apparatus and method for classifying network packet data | |
US9917747B2 (en) | Problem detection in a distributed digital network through distributed packet analysis | |
CN107948022B (zh) | 一种对等网络流量的识别方法及识别装置 | |
US10419351B1 (en) | System and method for extracting signatures from controlled execution of applications and application codes retrieved from an application source | |
CN112954027B (zh) | 一种网络服务特征确定方法及装置 | |
Velea et al. | Feature extraction and visualization for network pcapng traces | |
CN111181811A (zh) | 统计方法、装置、电子设备及介质 | |
Boillat et al. | A Tool for Visualization and Analysis of Distributed Denial-of-Service (DDoS) Attacks | |
US20130282760A1 (en) | Apparatus and Method for Random Database Sampling with Repeatable Results | |
CN108881181A (zh) | 一种报文的过滤方法及装置 | |
CN111163184B (zh) | 一种报文特征的提取方法和装置 | |
CN114553546A (zh) | 基于网络应用的报文抓取的方法和装置 | |
CN114328190B (zh) | 一种自动拆分ips事件的方法、系统及服务器 | |
CN117834213A (zh) | 一种家宽用户的pcdn违法账号的检测方法及装置 | |
US10819716B1 (en) | Contextual analyses of network traffic | |
Vermeulen | Improved algorithms for capturing Internet maps | |
US20230169338A1 (en) | Methods for training and using an artificial neural network to identify a property value, and system thereof | |
CN111049944B (zh) | 一种id发现方法和装置 | |
Torres et al. | Strategies for automatic labelling of web traffic traces |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |