CN113630418B - 一种网络服务识别方法、装置、设备及介质 - Google Patents

一种网络服务识别方法、装置、设备及介质 Download PDF

Info

Publication number
CN113630418B
CN113630418B CN202110937906.6A CN202110937906A CN113630418B CN 113630418 B CN113630418 B CN 113630418B CN 202110937906 A CN202110937906 A CN 202110937906A CN 113630418 B CN113630418 B CN 113630418B
Authority
CN
China
Prior art keywords
network service
data packet
target data
session
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110937906.6A
Other languages
English (en)
Other versions
CN113630418A (zh
Inventor
莫晓龙
李乐乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Anheng Information Security Technology Co Ltd
Original Assignee
Hangzhou Anheng Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Anheng Information Security Technology Co Ltd filed Critical Hangzhou Anheng Information Security Technology Co Ltd
Priority to CN202110937906.6A priority Critical patent/CN113630418B/zh
Publication of CN113630418A publication Critical patent/CN113630418A/zh
Application granted granted Critical
Publication of CN113630418B publication Critical patent/CN113630418B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Biology (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络服务识别方法、装置、设备及介质,包括:监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包;基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则;若匹配成功,则输出相应的网络服务识别结果;若匹配失败,则保存所述目标数据包;基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。这样,能够提升网络服务的识别效率。

Description

一种网络服务识别方法、装置、设备及介质
技术领域
本申请涉及网络服务识别技术领域,特别涉及一种网络服务识别方法、装置、设备及介质。
背景技术
网络服务的识别可以用于识别漏洞信息,监视相应网络空间环境等,现有的漏洞扫描器主要通过端口扫描识别网络服务,并通过服务信息进一步识别对应的漏洞,主动扫描的模式具有一定局限性,需要安全人员组织精确满足于目标服务的网络请求,目标端口才会产生应答;
现有的基于流量的入侵检测等系统依靠检测所有的流量,根据特征库中关键字识别流量中的不安全流量以达到检测效果,不但检测时需要检测所有流量,识别效率低,并且需要保存所有未识别服务的所有数据包,且若未识别的同一个服务出现多次,现有入侵检测系统将保存每次的会话内容,面对繁多的可能相同的会话数据,后续人工识别,效率低下。
发明内容
有鉴于此,本申请的目的在于提供一种网络服务识别方法、装置、设备及介质,能够提升网络服务的识别效率。其具体方案如下:
第一方面,本申请公开了一种网络服务识别方法,包括:
监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包;
基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则;
若匹配成功,则输出相应的网络服务识别结果;
若匹配失败,则保存所述目标数据包;
基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。
可选的,所述监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包,包括:
监听网络流量中TCP会话建立后服务端发送给客户端的应答包,或客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包,得到目标数据包;
和/或,监听网络流量中UDP会话建立后客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包,得到目标数据包。
可选的,还包括:
监听TCP三次握手,确定所述TCP会话的服务端和客户端;
和/或,基于所述UDP会话中的第一个数据包确定所述UDP会话的服务端和客户端。
可选的,还包括:
若监听到会话建立后,所述服务端未发送应答包,则删除该会话对应的请求包,并停止对该会话的监听。
可选的,所述基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,包括:
定时的,或者当保存的所述目标数据包达到预设数量时,对当前保存的全部目标数据包进行聚类,得到聚类结果;
基于所述聚类结果确定相应网络服务的规则以得到新的规则。
可选的,若匹配成功,还包括:
基于预设数据处理策略对所述目标数据包进行删除或者保存。
可选的,还包括:
将所述预设规则库导出,以便预设网络服务扫描器基于所述预设规则库进行网络服务识别。
第二方面,本申请公开了一种网络服务识别装置,包括:
网络流量监听模块,用于监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包;
数据包匹配模块,用于基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则;
识别结果输出模块,用于若所述数据包匹配模块匹配成功,则输出相应的网络服务识别结果;
数据保存模块,用于若所述数据包匹配模块匹配失败,则保存所述目标数据包;
规则更新模块,用于基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的网络服务识别方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的网络服务识别方法。
可见,本申请监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包,然后基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则,若匹配成功,则输出相应的网络服务识别结果,若匹配失败,则保存所述目标数据包,基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。也即,本申请实施例监听网络流量中会话建立后的至多前两个数据包,与预设规则库进行匹配,如果匹配成功,则输出相应的网络服务识别结果,若匹配失败,基于保存的数据包确定新的规则,并更新预设规则库,以便后续识别,这样,能够提升网络服务的识别效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种网络服务识别方法流程图;
图2为本申请公开的一种具体的网络服务识别方法流程图;
图3为本申请公开的一种网络服务识别方法流程图;
图4为本申请公开的一种网络服务识别装置结构示意图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有的基于流量的入侵检测等系统依靠检测所有的流量,根据特征库中关键字识别流量中的不安全流量以达到检测效果,不但检测时需要检测所有流量,识别效率低,并且需要保存所有未识别服务的所有数据包,且若未识别的同一个服务出现多次,现有入侵检测系统将保存每次的会话内容,面对繁多的可能相同的会话数据,后续人工识别,效率低下。为此,本申请提供了一种网络服务识别方案,能够提升网络服务的识别效率。
参见图1所示,本申请实施例公开了一种网络服务识别方法,包括:
步骤S11:监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包。
在具体的实施方式中,可以监听TCP三次握手,确定所述TCP会话的服务端和客户端;和/或,基于所述UDP会话中的第一个数据包确定所述UDP会话的服务端和客户端。监听网络流量中TCP会话建立后服务端发送给客户端的应答包,或客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包,得到目标数据包;和/或,监听网络流量中UDP会话建立后客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包,得到目标数据包。
进一步的,若监听到会话建立后,所述服务端未发送应答包,则删除该会话对应的请求包,并停止对该会话的监听。
也即,本申请监听流经的网络流量,监听TCP三次握手和新UDP会话中第一个数据包以确定服务端和客户端;监听会话建立后前两个数据包,若是UDP会话,或者TCP会话中客户端数据先于服务端发送的,保存客户端发送的第一个数据包得到请求包;若是TCP会话中服务器先于客户端发送数据包的,标记请求包为空。保存服务器发送的第一个数据包作为服务器的响应包;若连接建立后因超时或其他原因导致服务端未发送数据,删除对应保存数据,停止对该会话的监听。
步骤S12:基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则。
其中,所述规则可以包括相应网络服务对应的客户端发送数据格式、服务端发送数据格式,以及提取指定关键字的方式。
步骤S13:若匹配成功,则输出相应的网络服务识别结果。
也即,在预设规则库中匹配到相应的规则,数据该规则对应的网络服务识别结果,包括但不限于服务名称、服务版本、实现该服务对应的厂商、产品名称、产品版本、目标设备对应的操作系统、设备类型。
步骤S14:若匹配失败,则保存所述目标数据包。
步骤S15:基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。
在具体的实施方式中,可以定时的,或者当保存的所述目标数据包达到预设数量时,对当前保存的全部目标数据包进行聚类,得到聚类结果;基于所述聚类结果确定相应网络服务的规则以得到新的规则。
其中,所采用的方法包含但不限于K-means分析算法。
在具体的实施方式中,对未识别的服务数据,结合聚类结果,已有规则,及已知真实服务情况进行进一步分析,编辑生成为新的规则。
也即,本申请实施例对于未识别的服务,可以将相应的数据包保存,利用机器学习中的聚类算法进行聚类,将聚类后的结果呈现给安全人员,安全人员分别基于客户端向服务器发送的数据特征及服务器向客户端组织的服务特征定义新的规则。
进一步的,本申请实施例可以将所述预设规则库导出,以便预设网络服务扫描器基于所述预设规则库进行网络服务识别。
具体的,预设网络服务扫描器向目标设备发送数据包,并基于所述预设规则库以及所述目标设备返回的应答包进行网络服务识别。
也即,本申请可以根据需要导出规则库,提供兼容的网络服务扫描器使用。研发人员可定期对聚类效果进行评估,对聚类算法进行改进。
可见,本申请实施例监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包,然后基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则,若匹配成功,则输出相应的网络服务识别结果,若匹配失败,则保存所述目标数据包,基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。也即,本申请实施例监听网络流量中会话建立后的至多前两个数据包,与预设规则库进行匹配,如果匹配成功,则输出相应的网络服务识别结果,若匹配失败,基于保存的数据包确定新的规则,并更新预设规则库,以便后续识别,这样,能够提升网络服务的识别效率。
参见图2所示,本申请实施例公开了一种具体的网络服务识别方法,包括:
步骤S21:监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包。
步骤S22:基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则。
步骤S23:若匹配成功,则输出相应的网络服务识别结果。
步骤S24:基于预设数据处理策略对所述目标数据包进行删除或者保存。
在一种具体的实施方式中,可以判断当前保存的匹配成功的目标数据包的数量是否达到预设数量阈值,若达到,则对所述目标数据包进行删除,否则,对所述目标数据包进行保存。
在另一种具体的实施方式中,可以计算当前目标数据包与已保存的数据包的相似度,若有相似度大于预设相似度阈值,则对所述目标数据包进行保存,否则,对所述目标数据包进行删除。
也即,若匹配成功,则根据配置的策略对数据进行删除或保留用于后续分析。
步骤S25:若匹配失败,则保存所述目标数据包。
步骤S26:基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。
在具体的实施方式中,可以定时的,或者当保存的所述目标数据包达到预设数量时,对当前保存的全部目标数据包进行聚类,得到聚类结果;基于所述聚类结果确定相应网络服务的规则以得到新的规则。可以理解的是,当前保存的目标数据包包括匹配失败的目标数据包以及根据预设数据处理策略保存的目标数据包。
参见图3所示,本申请实施例公开了一种具体的网络服务识别方法流程图。监听流经的网络流量,主要监听TCP三次握手和新UDP会话中第一个数据包以确定服务端;监听会话建立后前两个数据包,若是UDP会话,或者TCP会话中客户端数据先于服务端发送的,保存客户端发送的第一个数据包作为请求数据;若是TCP会话中服务器先于客户端发送数据包的,标记请求数据为空。保存服务器发送的第一个数据包作为服务器响应数据;若连接建立后因超时或其他原因导致服务端未发送数据,删除对应保存数据,停止对该会话的监听;使用现有的规则对请求包和应答包进行匹配,若匹配成功,则根据配置选择对数据进行删除或保留用于后续分析;若匹配失败,则保留数据;定时、定量(未识别服务数据增长量达到一定程度时)进行聚类分析处理,用于进行半自动化地进行分类;所述聚类分析,包含但不限于K-means分析算法。人工参与,对未识别的服务数据,结合聚类结果,已有规则,及已知真实服务情况进行进一步分析,编辑生成为新的规则;可根据需要导出规则库,提供兼容的网络服务扫描器使用;研发人员可定期对聚类效果进行评估,对聚类算法进行改进。
参见图4所示,本申请实施例公开了一种网络服务识别装置,包括:
网络流量监听模块11,用于监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包;
数据包匹配模块12,用于基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则;
识别结果输出模块13,用于若所述数据包匹配模块匹配成功,则输出相应的网络服务识别结果;
数据保存模块14,用于若所述数据包匹配模块匹配失败,则保存所述目标数据包;
规则更新模块15,用于基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。
可见,本申请实施例监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包,然后基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则,若匹配成功,则输出相应的网络服务识别结果,若匹配失败,则保存所述目标数据包,基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库。也即,本申请实施例监听网络流量中会话建立后的至多前两个数据包,与预设规则库进行匹配,如果匹配成功,则输出相应的网络服务识别结果,若匹配失败,基于保存的数据包确定新的规则,并更新预设规则库,以便后续识别,这样,能够提升网络服务的识别效率。
其中,网络流量监听模块11,具体用于监听网络流量中TCP会话建立后服务端发送给客户端的应答包,或客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包,得到目标数据包;和/或,监听网络流量中UDP会话建立后客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包,得到目标数据包。
并且,所述网络流量监听模块11,还用于监听TCP三次握手,确定所述TCP会话的服务端和客户端;和/或,基于所述UDP会话中的第一个数据包确定所述UDP会话的服务端和客户端。
进一步的,所述网络流量监听模块11,还用于若监听到会话建立后,所述服务端未发送应答包,则删除该会话对应的请求包,并停止对该会话的监听。
所述规则更新模块15,具体用于定时的,或者当保存的所述目标数据包达到预设数量时,对当前保存的全部目标数据包进行聚类,得到聚类结果;
基于所述聚类结果确定相应网络服务的规则以得到新的规则。
所述装置还数据处理模块,用于若数据包匹配模块12匹配成功,则基于预设数据处理策略对所述目标数据包进行删除或者保存。
进一步的,所述装置还包括:规则库导出模块,用于将所述预设规则库导出,以便预设网络服务扫描器基于所述预设规则库进行网络服务识别。
参见图5所示,本申请实施例公开了一种电子设备20,包括处理器21和存储器22;其中,所述存储器22,用于保存计算机程序;所述处理器21,用于执行所述计算机程序,前述实施例公开的网络服务识别方法。
关于上述网络服务识别方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
并且,所述存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,存储方式可以是短暂存储或者永久存储。
另外,所述电子设备20还包括电源23、通信接口24、输入输出接口25和通信总线26;其中,所述电源23用于为所述电子设备20上的各硬件设备提供工作电压;所述通信接口24能够为所述电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;所述输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的网络服务识别方法。
关于上述网络服务识别方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种网络服务识别方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (9)

1.一种网络服务识别方法,其特征在于,包括:
监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包;
基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则;所述规则包括相应网络服务对应的客户端发送数据格式、服务端发送数据格式;
若匹配成功,则输出相应的网络服务识别结果;
若匹配失败,则保存所述目标数据包;
基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库;
其中,所述方法还包括:监听TCP三次握手,确定所述TCP会话的服务端和客户端;和/或,基于UDP会话中的第一个数据包确定所述UDP会话的服务端和客户端。
2.根据权利要求1所述的网络服务识别方法,其特征在于,所述监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包,包括:
监听网络流量中TCP会话建立后服务端发送给客户端的应答包,或客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包,得到目标数据包;
和/或,监听网络流量中UDP会话建立后客户端发送给服务端的请求包以及所述服务端发送给所述客户端的应答包,得到目标数据包。
3.根据权利要求2所述的网络服务识别方法,其特征在于,还包括:
若监听到会话建立后,所述服务端未发送应答包,则删除该会话对应的请求包,并停止对该会话的监听。
4.根据权利要求1所述的网络服务识别方法,其特征在于,所述基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,包括:
定时的,或者当保存的所述目标数据包达到预设数量时,对当前保存的全部目标数据包进行聚类,得到聚类结果;
基于所述聚类结果确定相应网络服务的规则以得到新的规则。
5.根据权利要求1所述的网络服务识别方法,其特征在于,若匹配成功,还包括:
基于预设数据处理策略对所述目标数据包进行删除或者保存。
6.根据权利要求1至5任一项所述的网络服务识别方法,其特征在于,还包括:
将所述预设规则库导出,以便预设网络服务扫描器基于所述预设规则库进行网络服务识别。
7.一种网络服务识别装置,其特征在于,包括:
网络流量监听模块,用于监听网络流量中会话建立后的前一个或两个数据包,得到目标数据包;
数据包匹配模块,用于基于预设规则库对所述目标数据包进行匹配;所述预设规则库包括各网络服务对应的规则;所述规则包括相应网络服务对应的客户端发送数据格式、服务端发送数据格式;
识别结果输出模块,用于若所述数据包匹配模块匹配成功,则输出相应的网络服务识别结果;
数据保存模块,用于若所述数据包匹配模块匹配失败,则保存所述目标数据包;
规则更新模块,用于基于保存的所述目标数据包确定相应网络服务的规则以得到新的规则,并将所述新的规则添加至所述预设规则库;
所述网络流量监听模块,还用于监听TCP三次握手,确定所述TCP会话的服务端和客户端;和/或,基于UDP会话中的第一个数据包确定所述UDP会话的服务端和客户端。
8.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至6任一项所述的网络服务识别方法。
9.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的网络服务识别方法。
CN202110937906.6A 2021-08-16 2021-08-16 一种网络服务识别方法、装置、设备及介质 Active CN113630418B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110937906.6A CN113630418B (zh) 2021-08-16 2021-08-16 一种网络服务识别方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110937906.6A CN113630418B (zh) 2021-08-16 2021-08-16 一种网络服务识别方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN113630418A CN113630418A (zh) 2021-11-09
CN113630418B true CN113630418B (zh) 2023-07-28

Family

ID=78385762

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110937906.6A Active CN113630418B (zh) 2021-08-16 2021-08-16 一种网络服务识别方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN113630418B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115037698B (zh) * 2022-05-30 2024-01-02 天翼云科技有限公司 一种数据识别方法、装置及电子设备
CN114838456A (zh) * 2022-07-04 2022-08-02 浙江大学滨海产业技术研究院 基于动态规则和异步计算的多空调设备预警系统及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107547213A (zh) * 2016-06-29 2018-01-05 中兴通讯股份有限公司 一种业务规则的识别方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7774456B1 (en) * 2004-02-27 2010-08-10 Packeteer, Inc. Methods, apparatuses and systems facilitating classification of web services network traffic
CN105007282B (zh) * 2015-08-10 2018-08-10 济南大学 面向网络服务提供商的恶意软件网络行为检测方法及系统
CN114422451A (zh) * 2018-05-22 2022-04-29 华为技术有限公司 一种网络流量识别方法及相关设备
CN111694638A (zh) * 2020-05-28 2020-09-22 中国平安人寿保险股份有限公司 规则包加载方法、规则包执行方法及终端设备

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107547213A (zh) * 2016-06-29 2018-01-05 中兴通讯股份有限公司 一种业务规则的识别方法及装置

Also Published As

Publication number Publication date
CN113630418A (zh) 2021-11-09

Similar Documents

Publication Publication Date Title
CN113630418B (zh) 一种网络服务识别方法、装置、设备及介质
US20170111272A1 (en) Determining Direction of Network Sessions
CN109462590B (zh) 一种基于模糊测试的未知协议逆向分析方法
WO2021169275A1 (zh) Sdn 网络设备访问方法、装置、计算机设备及存储介质
CN112052227A (zh) 数据变更日志的处理方法、装置和电子设备
CN111901317B (zh) 一种访问控制策略处理方法、系统和设备
CN114553730B (zh) 一种应用识别方法、装置、电子设备及存储介质
CN110619022B (zh) 基于区块链网络的节点检测方法、装置、设备及存储介质
CN113839882B (zh) 一种报文流分流方法及装置
CN109286684B (zh) 一种通信连接的处理方法、装置、代理服务器及存储介质
CN110362993A (zh) 恶意进程识别方法、终端、服务器、系统及存储介质
CN111224891B (zh) 一种基于动态学习三元组的流量应用识别系统及方法
CN111064729B (zh) 报文的处理方法及装置、存储介质和电子装置
CN112637223A (zh) 应用协议识别方法、装置、计算机设备和存储介质
CN107948022B (zh) 一种对等网络流量的识别方法及识别装置
CN110768870A (zh) 一种智能专线的质量监控方法和装置
CN113141376B (zh) 一种恶意ip扫描检测方法、装置、电子设备及存储介质
CN111010362A (zh) 一种异常主机的监控方法及装置
CN112543186B (zh) 一种网络行为检测方法、装置、存储介质及电子设备
CN106254375B (zh) 一种无线热点设备的识别方法及装置
US10257093B2 (en) Information processing device, method, and medium
CN107306202B (zh) 一种网络管理方法、服务器、客户端及系统
CN110868358B (zh) 一种基于应用识别自学习的数据包处理方法和装置
CN114640522B (zh) 防火墙安全策略的处理方法、装置、设备及存储介质
CN113179225B (zh) 子路由的应用识别与处理方法、系统、存储介质及计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant