CN113935431B - 一种多流关联分析识别私有加密数据的方法及系统 - Google Patents

一种多流关联分析识别私有加密数据的方法及系统 Download PDF

Info

Publication number
CN113935431B
CN113935431B CN202111259521.5A CN202111259521A CN113935431B CN 113935431 B CN113935431 B CN 113935431B CN 202111259521 A CN202111259521 A CN 202111259521A CN 113935431 B CN113935431 B CN 113935431B
Authority
CN
China
Prior art keywords
data
private
encrypted data
destination
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111259521.5A
Other languages
English (en)
Other versions
CN113935431A (zh
Inventor
蔡晶晶
陈俊
张雪峰
康传鹏
于秋梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yongxin Fire Eye Technology Co ltd
Yongxin Zhicheng Technology Group Co ltd
Original Assignee
Beijing Yongxin Fire Eye Technology Co ltd
Beijing Yongxin Zhicheng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yongxin Fire Eye Technology Co ltd, Beijing Yongxin Zhicheng Technology Co Ltd filed Critical Beijing Yongxin Fire Eye Technology Co ltd
Priority to CN202111259521.5A priority Critical patent/CN113935431B/zh
Publication of CN113935431A publication Critical patent/CN113935431A/zh
Application granted granted Critical
Publication of CN113935431B publication Critical patent/CN113935431B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种多流关联分析识别私有加密数据的方法及系统,包括一类私有加密数据识别,一类私有加密数据识别过程获得非一类私有加密数据;从非一类私有加密数据中进行二类私有加密数据识别;将识别的一类私有加密数据和二类私有加密数据进行引擎上报;获取非一类私有加密数据,对非一类私有加密数据进行数据流关联分析;预设二类私有加密数据的特征码和端口,通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;匹配特征码和端口,判断第一会话是否属于二类私有加密数据;若属于二类私有加密数据进行后续会话的识别处理。本发明实现对特定私有加密数据的动态分析;识别范围、适用场景更加广泛,提高网络中海量数据的利用率。

Description

一种多流关联分析识别私有加密数据的方法及系统
技术领域
本发明涉及一种多流关联分析识别私有加密数据的方法及系统,属于加密数据处理技术领域。
背景技术
目前,私有加密数据的识别主要有以下方案:
第一、使用特征码识别加密数据。主要是通过判断TCP负载的字节偏移是否为特定的值,如果等于某个值,则认为该数据为加密数据,如果不等于则认为该数据不是加密数据。
第二、使用端口识别加密数据。客户端与服务器进行通信,传递加密信息。在通信建立连接前,服务器需要监听某一个端口,等待客户端的连接。这样,可以使用端口特征识别出加密数据。通常,这些端口不是常用的服务端口(0-1024)。
第三、使用信息熵计算应用到加密数据识别的情况比较少,且识别的时候大多数采用计算方法如下:H(X)=-Σp(x)log p(x),这样能够实现自动化识别加密数据。
现有技术存在以下问题:
基于特征码识别加密数据,没有办法验证软件特征是否准确。由于因特网已经很普及,互联网中产生的流量大,网络数据类型多种多样。所以使用特征码识别加密数据,会导致识别到的数据有误报。
基于端口识别加密数据,与基于特征码识别加密数据存在同样的问题。由于可用的传输层端口只有16位(0-65535),但现在网络上的服务提供者远远超过这个量级,非标准端口的网络服务被经常使用,而且,很多软件服务可以动态修改服务端口,并且每隔一段时间,通过网络发布最新的服务端口,这对基于端口的网络加密数据识别提出了挑战。
现有信息熵计算方法中,信息熵是信息论中用于度量信息量的一个概念。一个系统越是有序,信息熵就越低,则对应的加密后的数据,信息熵值越高,但由于使用了对数函数,在处理大数据时,计算速度慢,影响数据处理速度,无法高效识别加密数据。
发明内容
为此,本发明提供一种多流关联分析识别私有加密数据的方法及系统,适用于网络加密数据的捕获、过滤、识别,基于端口识别网络加密数据,通过结合特征码和多流关联分析技术进行识别;在原有信息熵思想基础上,提出二进制离散法,解决传统基于端口识别、特征码识别加密数据准确率及效率不高的问题。
为了实现上述目的,本发明提供如下技术方案:一种多流关联分析识别私有加密数据的方法,包括一类私有加密数据识别,所述一类私有加密数据识别过程获得非一类私有加密数据;从所述非一类私有加密数据中进行二类私有加密数据识别;将识别的一类私有加密数据和二类私有加密数据进行引擎上报;
所述二类私有加密数据的识别步骤包括:
获取非一类私有加密数据,对所述非一类私有加密数据进行数据流关联分析;
预设二类私有加密数据的特征码和端口,通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;
进行特征码和端口匹配,判断所述第一会话是否属于二类私有加密数据;
若所述第一会话属于二类私有加密数据进行第二会话的识别处理,所述第二会话的识别处理过程中,通过识别第二源IP、第二源端口、第二目的IP、第二目的端口,进行第二会话标识;
将所述第二会话中的第二源IP、第二目的IP和第二目的端口,分别与所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
若第二源IP和第一源IP,第二目的IP和第一目的IP,第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第二会话是否属于二类私有加密数据,若所述第二会话属于二类私有加密数据进行第三会话的识别处理。
作为多流关联分析识别私有加密数据的方法的优选方案,所述一类私有加密数据的识别步骤包括:
获取解析后的待识别数据,预设黑名单IP列表和白名单IP列表;
判断所述待识别数据中的目的IP是否存在于所述黑名单IP列表中:
若所述目的IP存在于所述黑名单IP列表中,将所述待识别数据作为非一类私有加密数据;
若所述目的IP不存在于所述黑名单IP列表中,则判断所述目的IP是否存在于所述白名单IP列表中;
判断所述待识别数据中的目的IP是否存在于所述白名单IP列表中:
若所述目的IP存在于所述白名单IP列表中,将所述待识别数据作为一类私有加密数据并引擎上报;
若所述目的IP不存在于所述白名单IP列表中,则对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度。
作为多流关联分析识别私有加密数据的方法的优选方案,对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度包括:
预设待识别数据的TCP负载的离散程度占比K;
统计0比特出现的次数C0和1比特出现的次数C1
若C0/(C0+C1):C1/(C0+C1)=K,将待识别数据作为疑似一类私有加密数据,并对疑似一类私有加密数据进行解密判断;
若C0/(C0+C1):C1/(C0+C1)≠K,则判断待识别数据不符合一类私有加密数据,将待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
作为多流关联分析识别私有加密数据的方法的优选方案,对疑似一类私有加密数据进行解密判断包括:
结合疑似一类私有加密数据的特征,预设加密算法的解密程序;
对解析的TCP负载内容采用指定加密算法的解密程序进行解密判断;
若解密成功,将对应待识别数据作为一类私有加密数据并引擎上报,并将待识别数据的目的IP加入到白名单IP列表;
若解密失败:将对应待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
作为多流关联分析识别私有加密数据的方法的优选方案,所述第三会话的识别处理过程中,通过识别第三源IP、第三源端口、第三目的IP、第三目的端口,进行第三会话标识;
将所述第三会话中的第三源IP、第三目的IP和第三目的端口,分别与所述第二会话中的第二源IP、第二目的IP和第二目的端口,及所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
若第三源IP、第二源IP和第一源IP,第三目的IP、第二目的IP和第一目的IP,第三目的端口、第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第三会话是否属于二类私有加密数据,若所述第三会话属于二类私有加密数据则引擎上报所述二类私有加密数据。
本发明还提供一种多流关联分析识别私有加密数据的系统,包括一类私有加密数据识别单元、二类私有加密数据识别单元和引擎上报单元;通过所述一类私有加密数据识别单元获得非一类私有加密数据;所述二类私有加密数据识别单元从所述非一类私有加密数据中进行二类私有加密数据识别;所述引擎上报单元将识别的一类私有加密数据和二类私有加密数据进行引擎上报;
所述二类私有加密数据识别单元包括:
非一类私有加密数据输入子单元,用于获取非一类私有加密数据,对所述非一类私有加密数据进行数据流关联分析;
二类私有加密数据预设子单元,用于预设二类私有加密数据的特征码和端口;
第一会话标识子单元,用于通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;
第一会话分析子单元,用于进行特征码和端口匹配,判断所述第一会话是否属于二类私有加密数据;
第二会话标识子单元,用于若所述第一会话属于二类私有加密数据进行第二会话的识别处理,所述第二会话的识别处理过程中,通过识别第二源IP、第二源端口、第二目的IP、第二目的端口,进行第二会话标识;
第一比较子单元,用于将所述第二会话中的第二源IP、第二目的IP和第二目的端口,分别与所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
第二会话分析子单元,用于若第二源IP和第一源IP,第二目的IP和第一目的IP,第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第二会话是否属于二类私有加密数据,若所述第二会话属于二类私有加密数据进行第三会话的识别处理。
作为多流关联分析识别私有加密数据的系统的优选方案,所述一类私有加密数据单元包括:
数据接入子单元,用于获取解析后的待识别数据,预设黑名单IP列表和白名单IP列表;
第一目的IP判断子单元,用于判断所述待识别数据中的目的IP是否存在于所述黑名单IP列表中:
若所述目的IP存在于所述黑名单IP列表中,将所述待识别数据作为非一类私有加密数据;
若所述目的IP不存在于所述黑名单IP列表中,则判断所述目的IP是否存在于所述白名单IP列表中;
第二目的IP判断子单元,用于判断所述待识别数据中的目的IP是否存在于所述白名单IP列表中:
若所述目的IP存在于所述白名单IP列表中,将所述待识别数据作为一类私有加密数据并引擎上报;
若所述目的IP不存在于所述白名单IP列表中,则对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度。
作为多流关联分析识别私有加密数据的系统的优选方案,所述一类私有加密数据单元还包括离散程度判断子单元,所述离散程度判断子单元用于对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度:
所述离散程度判断子单元包括:
离散程度占比预设子单元,用于预设待识别数据的TCP负载的离散程度占比K;
比特统计子单元,用于统计0比特出现的次数C0和1比特出现的次数C1
第一判断处理子单元,用于若C0/(C0+C1):C1/(C0+C1)=K,将待识别数据作为疑似一类私有加密数据,并对疑似一类私有加密数据进行解密判断;
第二判断处理子单元,用于若C0/(C0+C1):C1/(C0+C1)≠K,则判断待识别数据不符合一类私有加密数据,将待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
作为多流关联分析识别私有加密数据的系统的优选方案,所述第一判断处理子单元中,结合疑似一类私有加密数据的特征,预设加密算法的解密程序;
对解析的TCP负载内容采用指定加密算法的解密程序进行解密判断;
若解密成功,将对应待识别数据作为一类私有加密数据并引擎上报,并将待识别数据的目的IP加入到白名单IP列表;
若解密失败:将对应待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
作为多流关联分析识别私有加密数据的系统的优选方案,还包括第三会话标识子单元,用于所述第三会话的识别处理过程中,通过识别第三源IP、第三源端口、第三目的IP、第三目的端口,进行第三会话标识;
第二比较子单元,用于将所述第三会话中的第三源IP、第三目的IP和第三目的端口,分别与所述第二会话中的第二源IP、第二目的IP和第二目的端口,及所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
第三会话分析子单元,用于若第三源IP、第二源IP和第一源IP,第三目的IP、第二目的IP和第一目的IP,第三目的端口、第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第三会话是否属于二类私有加密数据,若所述第三会话属于二类私有加密数据则引擎上报所述二类私有加密数据。
本发明具有如下优点:通过一类私有加密数据识别,一类私有加密数据识别过程获得非一类私有加密数据;从非一类私有加密数据中进行二类私有加密数据识别;将识别的一类私有加密数据和二类私有加密数据进行引擎上报;二类私有加密数据的识别步骤包括:获取非一类私有加密数据,对非一类私有加密数据进行数据流关联分析;预设二类私有加密数据的特征码和端口,通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;进行特征码和端口匹配,判断第一会话是否属于二类私有加密数据;若第一会话属于二类私有加密数据进行第二会话的识别处理,第二会话的识别处理过程中,通过识别第二源IP、第二源端口、第二目的IP、第二目的端口,进行第二会话标识;将第二会话中的第二源IP、第二目的IP和第二目的端口,分别与第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;若第二源IP和第一源IP,第二目的IP和第一目的IP,第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断第二会话是否属于二类私有加密数据,若第二会话属于二类私有加密数据进行第三会话的识别处理。本发明适于网络加密数据的捕获、过滤、识别,解决了目前基于端口识别、特征码识别加密数据准确率不高的问题,可以高效、快速的识别私有加密数据,实现了对特定私有加密数据的动态分析;实现了对两大类私有加密数据的识别,丰富了私有加密数据识别种类,识别范围更加广泛,适用的场景更加广泛,提高了网络中海量数据的利用率,识别更多价值类数据。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例中提供的多流关联分析识别私有加密数据的方法中的一类私有加密数据识别流程图;
图2为本发明实施例中提供的多流关联分析识别私有加密数据的方法流程示意图;
图3为本发明实施例中提供的多流关联分析识别私有加密数据的系统示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要进行说明的是,“一类私有加密数据”,“二类私有加密数据”是指识别出的符合给定特征的私有加密数据的区分定义。
实施例1
本实施例1中,待识别数据的载入过程中,通过千兆(或者万兆网口),配合网卡高速驱动模块进行数据采集。
根据采集的数据,按照TCP/IP的四层协议(以太层、网络层、传输层、应用层)进行解析,得到标准协议字段,将标准协议字段作为比较对象,作为私有协议识别逻辑判断的依据。具体不同层协议解析过程及内容如下:
1)以太层协议分析:
对VLAN协议、PPPOE协议、MPLS协议进行分析,解析用户自定义以太网协议或者给予以太网添加额外的私有协议数据;解析得到mac地址、vlan id、网络层协议id等字段。
2)网络层协议分析:
对IPV4、IPV6、ARP、ICMP协议进行分析,使用插件方式解析非标准传输层协议,解析得到源IP、目的IP、IP头部长度等字段。
3)传输层协议分析:
对TCP、UDP协议分析、TCP重组,解析得到源端口、目的端口、TCP协议的SYN、FIN、TCP负载等标识。
4)应用层协议分析:
对常用的应用层协议:HTTP、HTTPS、DNS、RADIUS、IMAP、GTPC协议分析,解析得到url、host、server_name、域名等;对私有的应用层协议解析,得到私有协议字段。
参见图1,本实施例1中,一类私有加密数据的识别步骤包括:
S01、获取解析后的待识别数据,预设黑名单IP列表和白名单IP列表;
S02、判断所述待识别数据中的目的IP是否存在于所述黑名单IP列表中:
若所述目的IP存在于所述黑名单IP列表中,将所述待识别数据作为非一类私有加密数据;
若所述目的IP不存在于所述黑名单IP列表中,则判断所述目的IP是否存在于所述白名单IP列表中;
S03、判断所述待识别数据中的目的IP是否存在于所述白名单IP列表中:
若所述目的IP存在于所述白名单IP列表中,将所述待识别数据作为一类私有加密数据并引擎上报;
若所述目的IP不存在于所述白名单IP列表中,则对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度。
本实施例中,具体的,基于上述解析的标准协议字段,结合二进制离散方法(数据存储使用二进制存储,私有协议数据经过加密后,0和1的离散程度会呈现高度的相似性,即在某一个区间范围内波动,但不会脱离该区间,基于这类特性,提出一种简便且高效的二进制离散计算方法),构建私有加密协议识别模型,通过私有加密协议识别一类私有加密数据。
具体的,一类私有加密数据识别过程中,预设一个黑名单IP列表,其中,黑名单指已经被信任,存储的目的IP属于国内,普通网站的使用记录,这类数据不会使用私有协议进行数据处理。同时预设一个白名单IP列表,白名单指目的IP属于国外,且使用时有某种特性,可直接判断该数据是通过私有协议进行了处理。
本实施例中,对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度包括:
预设待识别数据的TCP负载的离散程度占比K;
统计0比特出现的次数C0和1比特出现的次数C1
若C0/(C0+C1):C1/(C0+C1)=K,将待识别数据作为疑似一类私有加密数据,并对疑似一类私有加密数据进行解密判断。若C0/(C0+C1):C1/(C0+C1)≠K,则判断待识别数据不符合一类私有加密数据,将待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
具体的,预设待识别数据的TCP负载的离散程度占比为52:48;统计0比特出现的次数C0和1比特出现的次数C1;若C0/(C0+C1):C1/(C0+C1)=52:48,则判断该数据为疑似一类私有加密数据,将对应的待识别数据作为疑似一类私有加密数据,并对疑似一类私有加密数据进行解密判断。若C0/(C0+C1):C1/(C0+C1)≠52:48,则判断待识别数据不符合一类私有加密数据,将待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
本实施例中,对疑似一类私有加密数据进行解密判断包括:结合疑似一类私有加密数据的特征,预设加密算法的解密程序;对解析的TCP负载内容采用指定加密算法的解密程序进行解密判断;若解密成功,将对应待识别数据作为一类私有加密数据并引擎上报,引擎上报为后期的可视化展示提供基础数据源,并将待识别数据的目的IP加入到白名单IP列表。若解密失败:将对应待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
具体的,加密算法及对应的解密程序均采用现有技术中存在的技术方案。其中,常见的加密算法如DES、3DES、DESX、RC4、RC5、RC6和AES。
本实施例中,对一类私有加密数据识别过程中产生的非一类私有加密数据进行进一步分析,采用多流关联分析法(实则是多个会话的关联分析),解析、上报二类私有加密数据。
具体的,会话概念是,针对加密数据,客户端访问互联网产生的数据存在多个会话的情况,其中第一会话主要用于做一些信息交换,后续的会话完成互联网的访问,只有分析多个会话,才能准确解析、识别二类私有加密数据。
参见图2,本发明实施例1提供的一种多流关联分析识别私有加密数据的方法,包括一类私有加密数据识别,所述一类私有加密数据识别过程获得非一类私有加密数据;从所述非一类私有加密数据中进行二类私有加密数据识别;将识别的一类私有加密数据和二类私有加密数据进行引擎上报;
所述二类私有加密数据的识别步骤包括:
S11、获取非一类私有加密数据,对所述非一类私有加密数据进行数据流关联分析;
S12、预设二类私有加密数据的特征码和端口,通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;
S13、进行特征码和端口匹配,判断所述第一会话是否属于二类私有加密数据;
S14、若所述第一会话属于二类私有加密数据进行第二会话的识别处理,所述第二会话的识别处理过程中,通过识别第二源IP、第二源端口、第二目的IP、第二目的端口,进行第二会话标识;
S15、将所述第二会话中的第二源IP、第二目的IP和第二目的端口,分别与所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
S16、若第二源IP和第一源IP,第二目的IP和第一目的IP,第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第二会话是否属于二类私有加密数据,若所述第二会话属于二类私有加密数据进行第三会话的识别处理。
本实施例中,所述第三会话的识别处理过程中,通过识别第三源IP、第三源端口、第三目的IP、第三目的端口,进行第三会话标识;
将所述第三会话中的第三源IP、第三目的IP和第三目的端口,分别与所述第二会话中的第二源IP、第二目的IP和第二目的端口,及所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
若第三源IP、第二源IP和第一源IP,第三目的IP、第二目的IP和第一目的IP,第三目的端口、第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第三会话是否属于二类私有加密数据,若所述第三会话属于二类私有加密数据则引擎上报所述二类私有加密数据。
具体的,对一类私有加密数据和二类私有加密数据则进行引擎上报,为后期的可视化展示提供了基础数据源。
综上所述,本发明通过获取解析后的待识别数据,预设黑名单IP列表和白名单IP列表;判断待识别数据中的目的IP是否存在于黑名单IP列表中:若目的IP存在于黑名单IP列表中,将待识别数据作为非一类私有加密数据;若目的IP不存在于黑名单IP列表中,则判断目的IP是否存在于白名单IP列表中;判断待识别数据中的目的IP是否存在于白名单IP列表中:若目的IP存在于白名单IP列表中,将待识别数据作为一类私有加密数据并引擎上报;若目的IP不存在于白名单IP列表中,则对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度。对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度包括:预设待识别数据的TCP负载的离散程度占比K;统计0比特出现的次数C0和1比特出现的次数C1;若C0/(C0+C1):C1/(C0+C1)=K,将待识别数据作为疑似一类私有加密数据,并对疑似一类私有加密数据进行解密判断。若C0/(C0+C1):C1/(C0+C1)≠K,则判断待识别数据不符合一类私有加密数据,将待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。对疑似一类私有加密数据进行解密判断包括:结合疑似一类私有加密数据的特征,预设加密算法的解密程序;对解析的TCP负载内容采用指定加密算法的解密程序进行解密判断;若解密成功,将对应待识别数据作为一类私有加密数据并引擎上报,引擎上报为后期的可视化展示提供基础数据源,并将待识别数据的目的IP加入到白名单IP列表。若解密失败:将对应待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。同时,获取非一类私有加密数据,对非一类私有加密数据进行数据流关联分析;预设二类私有加密数据的特征码和端口,通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;进行特征码和端口匹配,判断第一会话是否属于二类私有加密数据;若第一会话属于二类私有加密数据进行第二会话的识别处理,第二会话的识别处理过程中,通过识别第二源IP、第二源端口、第二目的IP、第二目的端口,进行第二会话标识;将第二会话中的第二源IP、第二目的IP和第二目的端口,分别与第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;若第二源IP和第一源IP,第二目的IP和第一目的IP,第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断第二会话是否属于二类私有加密数据,若第二会话属于二类私有加密数据进行第三会话的识别处理。本发明适于网络加密数据的捕获、过滤、识别,解决了目前基于端口识别、特征码识别加密数据准确率不高的问题,可以高效、快速的识别私有加密数据,实现了对特定私有加密数据的动态分析;实现了对两大类私有加密数据的识别,丰富了私有加密数据识别种类,识别范围更加广泛,适用的场景更加广泛,提高了网络中海量数据的利用率,识别更多价值类数据。
实施例2
参见图3,本发明实施例2还提供本发明还提供一种多流关联分析识别私有加密数据的系统,包括一类私有加密数据识别单元1、二类私有加密数据识别单元2和引擎上报单元3;通过所述一类私有加密数据识别单元1获得非一类私有加密数据;所述二类私有加密数据识别单元2从所述非一类私有加密数据中进行二类私有加密数据识别;所述引擎上报单元3将识别的一类私有加密数据和二类私有加密数据进行引擎上报;
所述二类私有加密数据识别单元2包括:
非一类私有加密数据输入子单元201,用于获取非一类私有加密数据,对所述非一类私有加密数据进行数据流关联分析;
二类私有加密数据预设子单元202,用于预设二类私有加密数据的特征码和端口;
第一会话标识子单元203,用于通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;
第一会话分析子单元204,用于进行特征码和端口匹配,判断所述第一会话是否属于二类私有加密数据;
第二会话标识子单元205,用于若所述第一会话属于二类私有加密数据进行第二会话的识别处理,所述第二会话的识别处理过程中,通过识别第二源IP、第二源端口、第二目的IP、第二目的端口,进行第二会话标识;
第一比较子单元206,用于将所述第二会话中的第二源IP、第二目的IP和第二目的端口,分别与所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
第二会话分析子单元207,用于若第二源IP和第一源IP,第二目的IP和第一目的IP,第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第二会话是否属于二类私有加密数据,若所述第二会话属于二类私有加密数据进行第三会话的识别处理。
本实施例中,所述一类私有加密数据单元1包括:
数据接入子单元101,用于获取解析后的待识别数据,预设黑名单IP列表和白名单IP列表;
第一目的IP判断子单元102,用于判断所述待识别数据中的目的IP是否存在于所述黑名单IP列表中:
若所述目的IP存在于所述黑名单IP列表中,将所述待识别数据作为非一类私有加密数据;
若所述目的IP不存在于所述黑名单IP列表中,则判断所述目的IP是否存在于所述白名单IP列表中;
第二目的IP判断子单元103,用于判断所述待识别数据中的目的IP是否存在于所述白名单IP列表中:
若所述目的IP存在于所述白名单IP列表中,将所述待识别数据作为一类私有加密数据并引擎上报;
若所述目的IP不存在于所述白名单IP列表中,则对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度。
本实施例中,所述一类私有加密数据单元1还包括离散程度判断子单元104,所述离散程度判断子单元104用于对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度:
所述离散程度判断子单元104包括:
离散程度占比预设子单元1041,用于预设待识别数据的TCP负载的离散程度占比K;
比特统计子单元1042,用于统计0比特出现的次数C0和1比特出现的次数C1
第一判断处理子单元1043,用于若C0/(C0+C1):C1/(C0+C1)=K,将待识别数据作为疑似一类私有加密数据,并对疑似一类私有加密数据进行解密判断;
第二判断处理子单元1044,用于若C0/(C0+C1):C1/(C0+C1)≠K,则判断待识别数据不符合一类私有加密数据,将待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
本实施例中,所述第一判断处理子单元1043中,结合疑似一类私有加密数据的特征,预设加密算法的解密程序;
对解析的TCP负载内容采用指定加密算法的解密程序进行解密判断;
若解密成功,将对应待识别数据作为一类私有加密数据并引擎上报,并将待识别数据的目的IP加入到白名单IP列表;
若解密失败:将对应待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
本实施例中,还包括第三会话标识子单元208,用于所述第三会话的识别处理过程中,通过识别第三源IP、第三源端口、第三目的IP、第三目的端口,进行第三会话标识;
第二比较子单元209,用于将所述第三会话中的第三源IP、第三目的IP和第三目的端口,分别与所述第二会话中的第二源IP、第二目的IP和第二目的端口,及所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
第三会话分析子单元210,用于若第三源IP、第二源IP和第一源IP,第三目的IP、第二目的IP和第一目的IP,第三目的端口、第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第三会话是否属于二类私有加密数据,若所述第三会话属于二类私有加密数据则引擎上报所述二类私有加密数据。
需要说明的是,上述系统各单元之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
实施例3
本发明实施例3提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有多流关联分析识别私有加密数据的方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的多流关联分析识别私有加密数据的方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidState Disk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,包括:存储器和处理器;
所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的多流关联分析识别私有加密数据的方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (10)

1.一种多流关联分析识别私有加密数据的方法,其特征在于,包括一类私有加密数据识别,所述一类私有加密数据识别过程获得非一类私有加密数据;从所述非一类私有加密数据中进行二类私有加密数据识别;将识别的一类私有加密数据和二类私有加密数据进行引擎上报;
所述二类私有加密数据的识别步骤包括:
获取非一类私有加密数据,对所述非一类私有加密数据进行数据流关联分析;
预设二类私有加密数据的特征码和端口,通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;
进行特征码和端口匹配,判断所述第一会话是否属于二类私有加密数据;
若所述第一会话属于二类私有加密数据进行第二会话的识别处理,所述第二会话的识别处理过程中,通过识别第二源IP、第二源端口、第二目的IP、第二目的端口,进行第二会话标识;
将所述第二会话中的第二源IP、第二目的IP和第二目的端口,分别与所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
若第二源IP和第一源IP,第二目的IP和第一目的IP,第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第二会话是否属于二类私有加密数据,若所述第二会话属于二类私有加密数据进行第三会话的识别处理。
2.根据权利要求1所述的一种多流关联分析识别私有加密数据的方法,其特征在于,所述一类私有加密数据的识别步骤包括:
获取解析后的待识别数据,预设黑名单IP列表和白名单IP列表;
判断所述待识别数据中的目的IP是否存在于所述黑名单IP列表中:
若所述目的IP存在于所述黑名单IP列表中,将所述待识别数据作为非一类私有加密数据;
若所述目的IP不存在于所述黑名单IP列表中,则判断所述目的IP是否存在于所述白名单IP列表中;
判断所述待识别数据中的目的IP是否存在于所述白名单IP列表中:
若所述目的IP存在于所述白名单IP列表中,将所述待识别数据作为一类私有加密数据并引擎上报;
若所述目的IP不存在于所述白名单IP列表中,则对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度。
3.根据权利要求2所述的一种多流关联分析识别私有加密数据的方法,其特征在于,对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度包括:
预设待识别数据的TCP负载的离散程度占比K;
统计0比特出现的次数C0和1比特出现的次数C1
若C0/(C0+C1):C1/(C0+C1)=K,将待识别数据作为疑似一类私有加密数据,并对疑似一类私有加密数据进行解密判断;
若C0/(C0+C1):C1/(C0+C1)≠K,则判断待识别数据不符合一类私有加密数据,将待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
4.根据权利要求2所述的一种多流关联分析识别私有加密数据的方法,其特征在于,对疑似一类私有加密数据进行解密判断包括:
结合疑似一类私有加密数据的特征,预设加密算法的解密程序;
对解析的TCP负载内容采用指定加密算法的解密程序进行解密判断;
若解密成功,将对应待识别数据作为一类私有加密数据并引擎上报,并将待识别数据的目的IP加入到白名单IP列表;
若解密失败:将对应待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
5.根据权利要求1所述的一种多流关联分析识别私有加密数据的方法,其特征在于,所述第三会话的识别处理过程中,通过识别第三源IP、第三源端口、第三目的IP、第三目的端口,进行第三会话标识;
将所述第三会话中的第三源IP、第三目的IP和第三目的端口,分别与所述第二会话中的第二源IP、第二目的IP和第二目的端口,及所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
若第三源IP、第二源IP和第一源IP,第三目的IP、第二目的IP和第一目的IP,第三目的端口、第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第三会话是否属于二类私有加密数据,若所述第三会话属于二类私有加密数据则引擎上报所述二类私有加密数据。
6.一种多流关联分析识别私有加密数据的系统,其特征在于,包括一类私有加密数据识别单元、二类私有加密数据识别单元和引擎上报单元;通过所述一类私有加密数据识别单元获得非一类私有加密数据;所述二类私有加密数据识别单元从所述非一类私有加密数据中进行二类私有加密数据识别;所述引擎上报单元将识别的一类私有加密数据和二类私有加密数据进行引擎上报;
所述二类私有加密数据识别单元包括:
非一类私有加密数据输入子单元,用于获取非一类私有加密数据,对所述非一类私有加密数据进行数据流关联分析;
二类私有加密数据预设子单元,用于预设二类私有加密数据的特征码和端口;
第一会话标识子单元,用于通过识别第一源IP、第一源端口、第一目的IP和第一目的端口,进行第一会话标识;
第一会话分析子单元,用于进行特征码和端口匹配,判断所述第一会话是否属于二类私有加密数据;
第二会话标识子单元,用于若所述第一会话属于二类私有加密数据进行第二会话的识别处理,所述第二会话的识别处理过程中,通过识别第二源IP、第二源端口、第二目的IP、第二目的端口,进行第二会话标识;
第一比较子单元,用于将所述第二会话中的第二源IP、第二目的IP和第二目的端口,分别与所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
第二会话分析子单元,用于若第二源IP和第一源IP,第二目的IP和第一目的IP,第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第二会话是否属于二类私有加密数据,若所述第二会话属于二类私有加密数据进行第三会话的识别处理。
7.根据权利要求6所述的一种多流关联分析识别私有加密数据的系统,其特征在于,所述一类私有加密数据单元包括:
数据接入子单元,用于获取解析后的待识别数据,预设黑名单IP列表和白名单IP列表;
第一目的IP判断子单元,用于判断所述待识别数据中的目的IP是否存在于所述黑名单IP列表中:
若所述目的IP存在于所述黑名单IP列表中,将所述待识别数据作为非一类私有加密数据;
若所述目的IP不存在于所述黑名单IP列表中,则判断所述目的IP是否存在于所述白名单IP列表中;
第二目的IP判断子单元,用于判断所述待识别数据中的目的IP是否存在于所述白名单IP列表中:
若所述目的IP存在于所述白名单IP列表中,将所述待识别数据作为一类私有加密数据并引擎上报;
若所述目的IP不存在于所述白名单IP列表中,则对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度。
8.根据权利要求7所述的一种多流关联分析识别私有加密数据的系统,其特征在于,所述一类私有加密数据单元还包括离散程度判断子单元,所述离散程度判断子单元用于对待识别数据的TCP负载进行二进制离散法计算,判断TCP负载的离散程度:
所述离散程度判断子单元包括:
离散程度占比预设子单元,用于预设待识别数据的TCP负载的离散程度占比K;
比特统计子单元,用于统计0比特出现的次数C0和1比特出现的次数C1
第一判断处理子单元,用于若C0/(C0+C1):C1/(C0+C1)=K,将待识别数据作为疑似一类私有加密数据,并对疑似一类私有加密数据进行解密判断;
第二判断处理子单元,用于若C0/(C0+C1):C1/(C0+C1)≠K,则判断待识别数据不符合一类私有加密数据,将待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
9.根据权利要求8所述的一种多流关联分析识别私有加密数据的系统,其特征在于,所述第一判断处理子单元中,结合疑似一类私有加密数据的特征,预设加密算法的解密程序;
对解析的TCP负载内容采用指定加密算法的解密程序进行解密判断;
若解密成功,将对应待识别数据作为一类私有加密数据并引擎上报,并将待识别数据的目的IP加入到白名单IP列表;
若解密失败:将对应待识别数据作为非一类私有加密数据,并将待识别数据的目的IP加入到黑名单IP列表。
10.根据权利要求6所述的一种多流关联分析识别私有加密数据的系统,其特征在于,还包括第三会话标识子单元,用于所述第三会话的识别处理过程中,通过识别第三源IP、第三源端口、第三目的IP、第三目的端口,进行第三会话标识;
第二比较子单元,用于将所述第三会话中的第三源IP、第三目的IP和第三目的端口,分别与所述第二会话中的第二源IP、第二目的IP和第二目的端口,及所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较;
第三会话分析子单元,用于若第三源IP、第二源IP和第一源IP,第三目的IP、第二目的IP和第一目的IP,第三目的端口、第二目的端口和第一目的端口的比较结果均一致,继续进行特征码和端口匹配,判断所述第三会话是否属于二类私有加密数据,若所述第三会话属于二类私有加密数据则引擎上报所述二类私有加密数据。
CN202111259521.5A 2021-10-28 2021-10-28 一种多流关联分析识别私有加密数据的方法及系统 Active CN113935431B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111259521.5A CN113935431B (zh) 2021-10-28 2021-10-28 一种多流关联分析识别私有加密数据的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111259521.5A CN113935431B (zh) 2021-10-28 2021-10-28 一种多流关联分析识别私有加密数据的方法及系统

Publications (2)

Publication Number Publication Date
CN113935431A CN113935431A (zh) 2022-01-14
CN113935431B true CN113935431B (zh) 2022-04-08

Family

ID=79284495

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111259521.5A Active CN113935431B (zh) 2021-10-28 2021-10-28 一种多流关联分析识别私有加密数据的方法及系统

Country Status (1)

Country Link
CN (1) CN113935431B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104333461A (zh) * 2014-10-24 2015-02-04 深圳市傲天通信有限公司 互联网应用流量识别方法、系统及识别装置
CN107181736A (zh) * 2017-04-21 2017-09-19 湖北微源卓越科技有限公司 基于7层应用的网络数据包分类方法及系统
CN107872456A (zh) * 2017-11-09 2018-04-03 深圳市利谱信息技术有限公司 网络入侵防御方法、装置、系统及计算机可读存储介质
CN112511457A (zh) * 2019-09-16 2021-03-16 华为技术有限公司 一种数据流类型识别方法及相关设备
CN113067886A (zh) * 2021-03-30 2021-07-02 深圳红途创程科技有限公司 数据库三层关联审计方法、装置、计算机设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11615382B2 (en) * 2017-12-30 2023-03-28 Xeeda Inc. Devices, systems, and methods for securing and transacting cryptocurrency assets

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104333461A (zh) * 2014-10-24 2015-02-04 深圳市傲天通信有限公司 互联网应用流量识别方法、系统及识别装置
CN107181736A (zh) * 2017-04-21 2017-09-19 湖北微源卓越科技有限公司 基于7层应用的网络数据包分类方法及系统
CN107872456A (zh) * 2017-11-09 2018-04-03 深圳市利谱信息技术有限公司 网络入侵防御方法、装置、系统及计算机可读存储介质
CN112511457A (zh) * 2019-09-16 2021-03-16 华为技术有限公司 一种数据流类型识别方法及相关设备
CN113067886A (zh) * 2021-03-30 2021-07-02 深圳红途创程科技有限公司 数据库三层关联审计方法、装置、计算机设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Constructing universal secure and private data networks across consumer systems;Christopher Whittington et al.;《 2018 IEEE International Conference on Consumer Electronics》;20180329;全文 *
面向物联网应用程序的编码安全研究;李文浩;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20190228;全文 *

Also Published As

Publication number Publication date
CN113935431A (zh) 2022-01-14

Similar Documents

Publication Publication Date Title
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
US7610330B1 (en) Multi-dimensional computation distribution in a packet processing device having multiple processing architecture
JP5883920B2 (ja) パケット重複排除のためのシステムおよび方法
US8613056B2 (en) Extensible authentication and authorization of identities in an application message on a network device
US12095810B2 (en) Generating and analyzing network profile data
US11722587B2 (en) Network recorders with computer data packet truncation
US20130294449A1 (en) Efficient application recognition in network traffic
US20220200910A1 (en) Methods and systems for autonomous rule-based task coordination amongst edge devices
WO2021244449A1 (zh) 一种数据处理方法及装置
US20230188495A1 (en) Systems and Methods of Controlling Internet Access Using Encrypted DNS
TW201737664A (zh) 集群精確限速方法和裝置
US8365045B2 (en) Flow based data packet processing
CN113992410B (zh) 一种私有加密数据识别方法及系统
CN101854366B (zh) 一种对等网络流量识别的方法及装置
CN113935431B (zh) 一种多流关联分析识别私有加密数据的方法及系统
US11271985B2 (en) Method and network node for handling SCTP packets
CN113935430B (zh) 一种多样化识别私有加密数据的方法及系统
CN114499969B (zh) 一种通信报文的处理方法、装置、电子设备及存储介质
US20160112488A1 (en) Providing Information of Data Streams
CN108632197B (zh) 一种内容验证方法及设备
CN110868388B (zh) 用于操作联网设备的系统和方法
US10917502B2 (en) Method for using metadata in internet protocol packets
WO2024119923A1 (zh) 一种应用识别方法以及相关设备
US20230319109A1 (en) Packet Capture Using Fixed Encryption Key
WO2021090353A1 (ja) ネットワーク監視装置およびコネクション計数方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information

Inventor after: Cai Jingjing

Inventor after: Zhang Xuefeng

Inventor after: Chen Jun

Inventor after: Kang Chuanpeng

Inventor after: Yu Qiumei

Inventor before: Cai Jingjing

Inventor before: Chen Jun

Inventor before: Zhang Xuefeng

Inventor before: Kang Chuanpeng

Inventor before: Yu Qiumei

CB03 Change of inventor or designer information
CP01 Change in the name or title of a patent holder

Address after: 100094 building 6, yard 9, FengHao East Road, Haidian District, Beijing

Patentee after: Yongxin Zhicheng Technology Group Co.,Ltd.

Patentee after: Beijing Yongxin fire eye Technology Co.,Ltd.

Address before: 100094 building 6, yard 9, FengHao East Road, Haidian District, Beijing

Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD.

Patentee before: Beijing Yongxin fire eye Technology Co.,Ltd.

CP01 Change in the name or title of a patent holder