CN115277106A - 一种网络设备的用户识别方法及系统 - Google Patents
一种网络设备的用户识别方法及系统 Download PDFInfo
- Publication number
- CN115277106A CN115277106A CN202210772490.1A CN202210772490A CN115277106A CN 115277106 A CN115277106 A CN 115277106A CN 202210772490 A CN202210772490 A CN 202210772490A CN 115277106 A CN115277106 A CN 115277106A
- Authority
- CN
- China
- Prior art keywords
- user
- flow
- network
- extracting
- extraction rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000000605 extraction Methods 0.000 claims abstract description 75
- 238000004458 analytical method Methods 0.000 claims abstract description 51
- 238000005516 engineering process Methods 0.000 claims abstract description 30
- 238000012550 audit Methods 0.000 claims abstract description 12
- 230000006854 communication Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 8
- 230000006399 behavior Effects 0.000 description 23
- 238000007689 inspection Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000007493 shaping process Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
- H04L51/046—Interoperability with other network applications or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
一种网络设备的用户识别方法及系统,包括建立提取规则库,所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则,基于DPI设备解析当前用户终端的网络数据报文,得到解析数据,其中,当流量为加密流量时,采用SSL解密技术,遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段,识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。如此通过DPI技术和SSL解密技术,组合一定的提取规则,实现自动识别真实的用户标识,作为网络设备的用户进行流量审计和安全分析。
Description
技术领域
本申请涉及因特网网络数据分析技术领域,特别涉及一种网络设备的用户识别方法及系统。
背景技术
网络是人类借用计算技术和信息技术进行信息交流和建立人际交互关系等社会活动的主要工具。随着互联网技术的发展,各式各样的社交网络也逐渐热门起来,为了更好的审计网络流量、识别用户行为以及防护安全威胁,网络设备如防火墙、网关、和路由器等往往需要对网络中的用户进行识别和标注。
现有技术公开了通过网络报文解析DPI技术(Deep Packet Inspection,深度包检测技术)获取网络流量的IP地址或MAC地址从而进行用户识别的方法。DPI技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
然而,IP地址或MAC地址实际上代表的为终端而不是用户,MAC地址是网卡的物理地址,通常与终端绑定,IP地址可能是DHCP服务器随机分配的地址,其具有随机性,也可能是与终端强绑定的固定地址,例如,同一个人在手机上上网和在PC端上上网,通过IP或者MAC地址往往识别成两个用户,所以采用上述方法无法精准识别到真实用户身份。
发明内容
本申请提供一种网络设备的用户识别方法及系统,用于解决现有网络用户的真实身份识别不准确的技术问题。
第一方面,本申请提供一种网络设备的用户识别方法,包括:
建立提取规则库,所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则,其中,所述用户行为特征信息包括用户访问网络的即时通信平台,所述提取规则用于提取对应即时通信平台的用户标识;
基于DPI设备解析当前用户终端的网络数据报文,得到解析数据;
遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段;
识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。
在第一方面的一种可实现方式中,所述建立提取规则库,包括:
获取多个即时通信平台对应的历史网络数据报文;
从所述历史网络数据报文中选取包括用户标识的多个特征字段;
根据所述多个特征字段生成多组提取用户标识的提取规则;
根据所述多组提取用户标识的提取规则和对应的即时通信平台名称,建立提取规则库。
在第一方面的一种可实现方式中,所述历史网络数据报文为用户终端中网络应用的流量信息。
在第一方面的一种可实现方式中,所述即时通信平台包括即时通讯工具或社交内容平台,所述用户标识包括即时通讯工具或社交内容平台对应的用户账号。
在第一方面的一种可实现方式中,所述基于DPI设备解析当前用户终端的网络数据报文,包括:
获取当前用户终端的流量信息;
解析所述流量信息中关键词,按照标准协议判断所述网络流量是否为明文流量。
在第一方面的一种可实现方式中,还包括:
如果所述网络流量为明文流量,则基于DPI技术深度解析所述网络流量,得到解析数据;
如果所述网络流量为加密流量,则基于SSL技术,利用中间网络设备解密所述加密流量,以及,将解密后的流量输入DPI设备中,得到解析数据。
在第一方面的一种可实现方式中,所述解析所述流量信息中关键词,按照标准协议判断所述网络流量是否为明文流量,包括:
如果解析到的关键词为TLS字段,则所述网络流量为加密流量;
如果解析到的关键词信息为http超文本字段,则所述网络流量为明文流量。
第二方面,本申请提供一种网络设备的用户识别系统,包括:
建立规则模块,用于建立提取规则库,所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则,其中,所述用户行为特征信息包括用户访问网络的即时通信平台,所述提取规则用于提取对应即时通信平台的用户标识;
解析数据模块,用于基于DPI设备解析当前用户终端的网络数据报文,得到解析数据;
提取规则模块,用于遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段;
识别用户模块,用于识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。
在第二方面的一种可实现方式中,所述建立规则模块包括:
获取数据报文单元,用于获取多个即时通信平台对应的历史网络数据报文;
选取特征字段单元,用于从所述历史网络数据报文中选取包括用户标识的多个特征字段;
生成提取规则单元,用于根据所述多个特征字段生成多组提取用户标识的提取规则;
建立提取规则单元,用于根据所述多组提取用户标识的提取规则和对应的即时通信平台名称,建立提取规则库。
在第二方面的一种可实现方式中,所述解析数据模块包括:
判断单元,用于获取当前用户终端的流量信息,解析所述流量信息中关键词,按照标准协议判断所述网络流量是否为明文流量;
SSL解密模块,用于基于SSL技术,利用中间网络设备解密加密流量,以及,将解密后的流量输入DPI设备中,得到解析数据;
DPI引擎,用于解析明文流量或解密后的流量,得到解析数据。
本申请提供一种网络设备的用户识别方法及系统,所述方法包括建立提取规则库,所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则,基于DPI设备解析当前用户终端的网络数据报文,得到解析数据,遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段,识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。如此,通过提取规则提取即时通信平台的用户标识,以识别真实用户。
由以上技术方案可知,本申请提供一种网络设备的用户识别方法或系统,基于网络设备的DPI引擎可以自动解析数据包特征,不需要额外开发程序或建立用户系统,更为方便;能准确识别真实用户,不与终端绑定,用户更换上网设备也能识别到该用户;数据从流量中被动识别,不需要主动配置或者主动扫描,对网络影响较小;合并同一用户的多个终端的行为,统一进行分析。
附图说明
图1为本申请实施例公开的一种网络设备的用户识别方法的流程示意图;
图2为现有技术公开的使用IP作为用户进行用户行为审计的界面图;
图3为现有技术公开的使用IP作为用户进行用户安全分析的界面图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
以下实施例中所使用的术语只是为了描述特定实施例的目的,而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样,单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式,除非其上下文中明确地有相反指示。还应当理解,在本申请以下各实施例中,“至少一个”、“一个或多个”是指一个、两个或两个以上,“多个”是指两个或者两个以上。术语“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系;例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。
在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
为了更加清楚了解本申请实施例的技术方案,现将本申请实施例中的技术名词做详细描述。
IP:Internet Protocol(网际互连协议)的缩写,是TCP/IP体系中的网络层协议。
MAC:MAC位址,以太网地址(Ethernet Address)或物理地址(Physical Address),它是一个用来确认网络设备位置的位址。
DHCP服务器:DHCP是动态主机配置协议,是一个局域网的网络协议,其指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。担任DHCP服务器的计算机需要安装TCP/IP协议,并为其设置静态IP地址、子网掩码和默认网关等内容。
DPI:即DPI(Deep Packet Inspection)深度包检测技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
单点登录:单点登录(Single Sign On),简称为SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
L1~L7:OSI七层网络模型,L1表示物理层,L2表示数据链路层等,L7表示应用层。
参见图1,本申请实施例提供的一种网络设备的用户识别方法,包括以下步骤S1至步骤S4。
S1、建立提取规则库。
现有技术在上网用户识别时,通常识别的是IP地址或MAC地址,其本质上识别的是用户终端而不是用户。此外,在采用第三方用户认证的识别方法时,需要有一套额外的用户系统,且有登录的动作才能识别为用户,此方法步骤更多更为复杂,APP认证则需要额外开发独立APP,以及使用APP进行认证的操作,也是相对繁琐。
本申请实施例建立提取规则库,用于提取网络流量中的用户标识,该提取规则库包括多个用户行为特征信息和该用户行为特征信息对应的提取规则。用户行为特征信息表示用户对互联网的访问情况,包括用户访问网络的即时通信平台。
可选的,即时通信平台可以是即时通信工具或内容平台等,例如用户终端上的安装的网络应用或者浏览器应用上的某个社交网站。用户可以通过用户终端上的网络应用访问互联网,网络应用包括社交应用等,用户可以通过社交应用登录社交账号访问互联网,也可以通过浏览器应用中的社交网站登录社交账号访问互联网,其他即时通信平台也是如此。
每个即时通信平台都有对应的用户账号,可以将用户账号作为用户标识,该提取规则用于提取对应即时通信平台的用户标识。
本申请实施例建立提取规则库的方法进一步包括:
S101、获取多个即时通信平台对应的历史网络数据报文。
S102、从所述历史网络数据报文中选取包括用户标识的多个特征字段。
S103、根据所述多个特征字段生成多组提取用户标识的提取规则。
S104、根据所述多组提取用户标识的提取规则和对应的即时通信平台名称,建立提取规则库。
通过解析各种历史流量报文,某一些网络应用通常会将用户标识放在请求中,与服务器进行通信。例如,第一网络应用在启动时,会把第一网络应用的登录账号放在请求中,发送到服务器进行一些通信,本申请实施例通过这些报文信息,组合一定的规则以用于提取出用户登录信息,则可以将用户登录账号作为网络设备的用户,进行进一步的安全分析和审计。
示例性地,本申请实施例获取关于第一即时通信平台的第一历史网络数据报文,在该报文中,Http头的Cookie头,包括uin=o{用户账号}特征字段。
示例性地,本申请实施例获取关于第一即时通信平台的第二历史网络数据报文,在该报文中,url中包括vuin={用户账号}特征字段。
示例性地,本申请实施例获取关于第一即时通信平台的第三历史网络数据报文,在该报文中,包括uin={用户账号}特征字段。
同样的某第二即时通信平台启动时,也会发送一些带有用户标识的报文。示例性地,本申请实施例获取关于第二即时通信平台的第四历史网络数据报文,在该报文中,包括wxuin={用户账号}的特征字段。示例性地,本申请实施例获取关于第二即时通信平台的第五历史网络数据报文,在该报文中,包括biz_username={用户账号}的特征字段。
同样的某第三即时通信平台启动时,也会在报文中包含一些邮箱信息。示例性地,本申请实施例获取关于第三即时通信平台的第六历史网络数据报文,可以提取到biz_alias={用户账号}的特征字段字段。
所以,统计分析多个平台的包括用户标识的多个特征字段,尽可能覆盖大多数在网用户,由于这个标识符跟用户真实身份是绑定的,所以无论用户使用哪个终端联网,都可以准确识别为该用户。在收集一系列包括用户标识的特征字段之后,根据多个特征字段生成多组提取用户标识的提取规则,其中,每个即时通信平台可能对应多个特征字段,通过一个即时通信平台的多个特征字段生成一种提取规则,可选的,该提取规则可以是正则表达式或者匹配字符串。
示例性地,如下表1所示的提取规则库。
表1提取规则库
| 即时通信平台 | 提取规则 |
| '第一即时通信平台名称' | r'(?:|v)uin=o?0?(\d+)' |
| '第二即时通信平台名称' | r'pt2gguin=o(\d+)' |
| '第三即时通信平台名称' | r'wxuin=(\d+)' |
| 第四即时通信平台名称 | r'OpenUDID=([^&]+?)(?:&|\s)' |
| '第五即时通信平台名称' | r'appleudid=([^&]+?)(?:&|\s)' |
| '第六即时通信平台名称' | r'UUID=([^&]+?)&' |
| '第七即时通信平台名称' | r'Ios_UID:(.+?)$' |
| '第八即时通信平台名称' | r'device=([^&]+?)(?:&|\s)' |
| '第九即时通信平台名称' | r'imsi=([a-zA-Z0-9]+?)&' |
| '第十即时通信平台名称' | r'imei=([a-zA-Z0-9]+?)&' |
| '第十一即时通信平台名称' | r'"addr":"(.+?)"' |
| '第十二即时通信平台名称' | r'"point":(\{.+?\})' |
| '第十三即时通信平台名称' | r'nick=(.+?)&' |
| '第十四即时通信平台名称' | r'_w_tb_nick=(.+?);' |
| '第十五即时通信平台名称' | r'email=(.+?)&' |
S2、基于DPI设备解析当前用户终端的网络数据报文,得到解析数据。
当前用户终端的网络数据报文可以为用户终端上安装的应用管理软件产生的流量信息,也可以是访问网页的url信息等。在网络设备中布置分析工具,以流处理的方式对网络中的数据流量进行实时分析。对于流量的解析,DPI引擎可以按照标准协议,解析各个网络层级的数据报文,哪些字段是什么功能,哪些字段是有效载荷(Payload),除了支持L2-L4的报文首部解析指纹,DPI还增加L7应用层有效载荷(Payload)的解析,所以使用DPI引擎,可以将报文按照标准协议进行解包识别判断。
基于特征字段的流量识别采用DPI技术对网络流量进行识别,DPI技术主要通过应用层中的特征字段来匹配业务,对网络数据包进行分解,分析网络通信过程中数据包载荷所携带的特征码,根据特征码确定应用程序的类型。因此DPI技术不依赖应用程序的端口设置,对识别很多互联网应用类型具有很高的准确性,但是DPI技术依赖于应用协议的特征字段,对数据包载荷不可见或载荷部分加密的情况需要进一步解密才能深度解析。
可选的,DPI引擎包括判断网络流量是否加密的能力,当网络流量进入DPI引擎,DPI引擎进行解析一部分字段,判断是否加密。对于未加密的明文流量,DPI引擎可以做进一步深度解析,对于加密流量,基于SSL技术,利用中间网络设备解密所述加密流量,以及,将解密后的流量输入DPI设备中,得到解析数据。
在判断网络流量是否为明文流量时,如果解析到的关键词为TLS字段,则所述网络流量为加密流量,如果解析到的关键词信息为http超文本字段,则所述网络流量为明文流量。
示例性地,DPI引擎解析到“TLS 1.2(0x0303)”关键字段,根据TLS标准加密协议,在其协议头部偏移1位是TLS版本号。根据标准协议,0303是TLS1.2版本,说明是加密协议。而对于明文协议,可以直接解析到http超文本协议,例如“Hypertext Transfer Protocol”关键字段。
对于加密流量,需要进入基于SSL技术的解密模块,现在的加密/解密技术主要有三种:对称加密、非对称加密和单向加密。网络访问主要用到的加密方式是非对称加密,它的加密和解密密钥是不同的,比如对一组数字加密,可以用公钥对其加密,再用私钥进行解密,公钥和私钥是配对使用的,常见的非对称加密算法有RSA和DSA,其中RSA既可以用来加密解密,又可以用来实现用户认证,DSA只能用来加密解密。此外,解密模块必须作为中间网络设备,将证书分发给客户端和服务器,得到授权,然后进行解密流量,此过程是协议自行处理的,属于已知技术,有线程的产品和工具可用,本申请实施例在此不再赘述。
S3、遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段。
DPI引擎把网络数据报文深度解析成通用的格式,比如HTTP头的内容,URL的内容,Body的内容等等。利用步骤S1中建立的提取规则库中的提取规则,提取解析数据中的用户特征字段,例如,通过表1中编写的正则表达式,在解析数据的匹配对象中进行匹配,通过这些规则,可以提取到各个即时通信平台的用户账号,该用户账号可以作为用户名的字段,示例性地,使用规则“(?:|v)uin=o?0?(\d+)”可以提取到vuin=2443039009这样的用户特征字段。
S4、识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。
网络设备可以提取并使用用户特征字段中的用户标识符作为用户名,进行用户行为审计和安全分析。例如,当提取到vuin=2443039009这样的用户特征字段后,根据提取规则库的即时通信平台和提取规则的对应关系,确定“2443039009”此为该应用对应的用户账号,且将该用户账号作为用户名,进行用户行为审计和安全分析。
参见图2,为当前网络设备中,使用IP作为用户进行用户行为审计的界面,如果将IP替换为各个即时通信平台的用户账号,就更能体现真实用户行为,同时可以审计到该用户在多个终端的行为。
参见图3,同理在安全分析中,使用IP作为用户进行安全分析,如果将IP替换为各个即时通信平台的用户账号,能体现真实用户的攻击或被攻击情况,更能清晰的定位问题。
本申请实施例第二方面提供一种网络设备的用户识别系统,包括:
建立规则模块,用于建立提取规则库,所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则,其中,所述用户行为特征信息包括用户访问网络的即时通信平台,所述提取规则用于提取对应即时通信平台的用户标识;
解析数据模块,用于基于DPI设备解析当前用户终端的网络数据报文,得到解析数据;
提取规则模块,用于遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段;
识别用户模块,用于识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。
进一步的,所述建立规则模块包括:
获取数据报文单元,用于获取多个即时通信平台对应的历史网络数据报文;
选取特征字段单元,用于从所述历史网络数据报文中选取包括用户标识的多个特征字段;
生成提取规则单元,用于根据所述多个特征字段生成多组提取用户标识的提取规则;
建立提取规则单元,用于根据所述多组提取用户标识的提取规则和对应的即时通信平台名称,建立提取规则库。
进一步的,所述解析数据模块包括:
判断单元,用于获取当前用户终端的流量信息,解析所述流量信息中关键词,按照标准协议判断所述网络流量是否为明文流量;
SSL解密模块,用于基于SSL技术,利用中间网络设备解密加密流量,以及,将解密后的流量输入DPI设备中,得到解析数据;
DPI引擎,用于解析明文流量或解密后的流量,得到解析数据。
本申请实施例提供一种网络设备的用户识别方法及系统,所述方法包括建立提取规则库,所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则,基于DPI设备解析当前用户终端的网络数据报文,得到解析数据,遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段,识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。如此,通过提取规则提取即时通信平台的用户标识,以识别真实用户。
由以上技术方案可知,本申请实施例提供一种网络设备的用户识别方法或系统,通过DPI技术和SSL解密技术,组合一定的识别规则,实现自动识别用户标识,作为网络设备的用户进行流量审计和安全分析;基于网络设备的DPI引擎可以自动解析数据包特征,不需要额外开发程序或建立用户系统,更为方便;能准确识别真实用户,不与终端绑定,用户更换上网设备也能识别到该用户;数据从流量中被动识别,不需要主动配置或者主动扫描,对网络影响较小;合并同一用户的多个终端的行为,统一进行分析。
以上结合具体实施方式和范例性实例对本申请进行了详细说明,不过这些说明并不能理解为对本申请的限制。本领域技术人员理解,在不偏离本申请精神和范围的情况下,可以对本申请技术方案及其实施方式进行多种等价替换、修饰或改进,这些均落入本申请的范围内。本申请的保护范围以所附权利要求为准。
Claims (10)
1.一种网络设备的用户识别方法,其特征在于,包括:
建立提取规则库,所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则,其中,所述用户行为特征信息包括用户访问网络的即时通信平台,所述提取规则用于提取对应即时通信平台的用户标识;
基于DPI设备解析当前用户终端的网络数据报文,得到解析数据;
遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段;
识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。
2.根据权利要求1所述的一种网络设备的用户识别方法,其特征在于,所述建立提取规则库,包括:
获取多个即时通信平台对应的历史网络数据报文;
从所述历史网络数据报文中选取包括用户标识的多个特征字段;
根据所述多个特征字段生成多组提取用户标识的提取规则;
根据所述多组提取用户标识的提取规则和对应的即时通信平台名称,建立提取规则库。
3.根据权利要求2所述的一种网络设备的用户识别方法,其特征在于,所述历史网络数据报文为用户终端中网络应用的流量信息。
4.根据权利要求3所述的一种网络设备的用户识别方法,其特征在于,所述即时通信平台包括即时通讯工具或社交内容平台,所述用户标识包括即时通讯工具或社交内容平台对应的用户账号。
5.根据权利要求3所述的一种网络设备的用户识别方法,其特征在于,所述基于DPI设备解析当前用户终端的网络数据报文,包括:
获取当前用户终端的流量信息;
解析所述流量信息中关键词,按照标准协议判断所述网络流量是否为明文流量。
6.根据权利要求5所述的一种网络设备的用户识别方法,其特征在于,还包括:
如果所述网络流量为明文流量,则基于DPI技术深度解析所述网络流量,得到解析数据;
如果所述网络流量为加密流量,则基于SSL技术,利用中间网络设备解密所述加密流量,以及,将解密后的流量输入DPI设备中,得到解析数据。
7.根据权利要求5所述的一种网络设备的用户识别方法,其特征在于,所述解析所述流量信息中关键词,按照标准协议判断所述网络流量是否为明文流量,包括:
如果解析到的关键词为TLS字段,则所述网络流量为加密流量;
如果解析到的关键词信息为http超文本字段,则所述网络流量为明文流量。
8.一种网络设备的用户识别系统,其特征在于,包括:
建立规则模块,用于建立提取规则库,所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则,其中,所述用户行为特征信息包括用户访问网络的即时通信平台,所述提取规则用于提取对应即时通信平台的用户标识;
解析数据模块,用于基于DPI设备解析当前用户终端的网络数据报文,得到解析数据;
提取规则模块,用于遍历提取规则库中各提取规则,提取所述解析数据中的用户特征字段;
识别用户模块,用于识别所述用户特征字段,得到用户标识符,以及,将所述用户标识符作为用户名进行流量审计和安全分析。
9.根据权利要求8所述的一种网络设备的用户识别系统,其特征在于,所述建立规则模块包括:
获取数据报文单元,用于获取多个即时通信平台对应的历史网络数据报文;
选取特征字段单元,用于从所述历史网络数据报文中选取包括用户标识的多个特征字段;
生成提取规则单元,用于根据所述多个特征字段生成多组提取用户标识的提取规则;
建立提取规则单元,用于根据所述多组提取用户标识的提取规则和对应的即时通信平台名称,建立提取规则库。
10.根据权利要求8所述的一种网络设备的用户识别系统,其特征在于,所述解析数据模块包括:
判断单元,用于获取当前用户终端的流量信息,解析所述流量信息中关键词,按照标准协议判断所述网络流量是否为明文流量;
SSL解密模块,用于基于SSL技术,利用中间网络设备解密加密流量,以及,将解密后的流量输入DPI设备中,得到解析数据;
DPI引擎,用于解析明文流量或解密后的流量,得到解析数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210772490.1A CN115277106B (zh) | 2022-06-30 | 2022-06-30 | 一种网络设备的用户识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210772490.1A CN115277106B (zh) | 2022-06-30 | 2022-06-30 | 一种网络设备的用户识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115277106A true CN115277106A (zh) | 2022-11-01 |
| CN115277106B CN115277106B (zh) | 2024-03-19 |
Family
ID=83762944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210772490.1A Active CN115277106B (zh) | 2022-06-30 | 2022-06-30 | 一种网络设备的用户识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115277106B (zh) |
Citations (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
| CN102710755A (zh) * | 2012-05-18 | 2012-10-03 | 华为技术有限公司 | 终端用户社交网的数据挖掘方法、相关方法、装置和系统 |
| CN103188104A (zh) * | 2011-12-31 | 2013-07-03 | 中国移动通信集团浙江有限公司 | 一种用户行为分析的方法及装置 |
| US20130191890A1 (en) * | 2012-01-21 | 2013-07-25 | Broaddeep (Beijing) Network Technology Co., Ltd | Method and system for user identity recognition based on specific information |
| CN104022920A (zh) * | 2014-06-26 | 2014-09-03 | 重庆重邮汇测通信技术有限公司 | 一种lte网络流量识别系统及方法 |
| CN104052737A (zh) * | 2014-05-19 | 2014-09-17 | 北京网康科技有限公司 | 一种网络数据报文的处理方法及装置 |
| CN104104660A (zh) * | 2013-04-07 | 2014-10-15 | 中国移动通信集团浙江有限公司 | 获取用户数据的方法及系统 |
| US9049117B1 (en) * | 2009-10-21 | 2015-06-02 | Narus, Inc. | System and method for collecting and processing information of an internet user via IP-web correlation |
| CN105162626A (zh) * | 2015-08-20 | 2015-12-16 | 西安工程大学 | 基于众核处理器的网络流量深度识别系统及识别方法 |
| CN105224593A (zh) * | 2015-08-25 | 2016-01-06 | 中国人民解放军信息工程大学 | 一种短暂上网事务中频繁共现账号挖掘方法 |
| CN106998262A (zh) * | 2016-10-10 | 2017-08-01 | 深圳汇网天下科技有限公司 | 一种识别上网用户的系统与方法 |
| CN107547310A (zh) * | 2017-08-24 | 2018-01-05 | 杭州安恒信息技术有限公司 | 一种基于旁路审计设备的用户行为关联分析方法及系统 |
| CN107666404A (zh) * | 2016-07-29 | 2018-02-06 | 中国电信股份有限公司 | 宽带网络用户识别方法和装置 |
| CN107682344A (zh) * | 2017-10-18 | 2018-02-09 | 南京邮数通信息科技有限公司 | 一种基于dpi数据互联网身份识别的id图谱建立方法 |
| CN108024220A (zh) * | 2017-12-15 | 2018-05-11 | 南京邮电大学盐城大数据研究院有限公司 | 一种基于dpi的营销短信定向发送方法及系统 |
| CN109905873A (zh) * | 2019-02-25 | 2019-06-18 | 国家计算机网络与信息安全管理中心 | 一种基于特征标识信息的网络账号关联方法 |
| CN110113358A (zh) * | 2019-05-24 | 2019-08-09 | 全知科技(杭州)有限责任公司 | 一种识别基于单点登录的应用系统的操作账号的方法 |
| CN110943985A (zh) * | 2019-11-26 | 2020-03-31 | 武汉虹信通信技术有限责任公司 | 基于5g移动通信网络的安全审计系统及方法 |
| CN111740923A (zh) * | 2020-06-22 | 2020-10-02 | 北京神州泰岳智能数据技术有限公司 | 应用识别规则的生成方法、装置、电子设备和存储介质 |
| CN111988295A (zh) * | 2020-08-11 | 2020-11-24 | 程星星 | 一种数据库审计方法、装置、web服务器、数据库审计系统和存储介质 |
| CN112583815A (zh) * | 2020-12-07 | 2021-03-30 | 腾讯科技(深圳)有限公司 | 一种操作指令管理方法、装置 |
| CN114024861A (zh) * | 2021-11-15 | 2022-02-08 | 北京天地和兴科技有限公司 | 一种结合内容审计的用户上网行为审计的方法及系统 |
| CN114513562A (zh) * | 2022-01-04 | 2022-05-17 | 烽火通信科技股份有限公司 | 一种用户上网数据溯源标识方法及装置 |
-
2022
- 2022-06-30 CN CN202210772490.1A patent/CN115277106B/zh active Active
Patent Citations (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9049117B1 (en) * | 2009-10-21 | 2015-06-02 | Narus, Inc. | System and method for collecting and processing information of an internet user via IP-web correlation |
| CN102045363A (zh) * | 2010-12-31 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 网络流量特征识别规则的建立方法、识别控制方法及装置 |
| CN103188104A (zh) * | 2011-12-31 | 2013-07-03 | 中国移动通信集团浙江有限公司 | 一种用户行为分析的方法及装置 |
| US20130191890A1 (en) * | 2012-01-21 | 2013-07-25 | Broaddeep (Beijing) Network Technology Co., Ltd | Method and system for user identity recognition based on specific information |
| CN102710755A (zh) * | 2012-05-18 | 2012-10-03 | 华为技术有限公司 | 终端用户社交网的数据挖掘方法、相关方法、装置和系统 |
| CN104104660A (zh) * | 2013-04-07 | 2014-10-15 | 中国移动通信集团浙江有限公司 | 获取用户数据的方法及系统 |
| CN104052737A (zh) * | 2014-05-19 | 2014-09-17 | 北京网康科技有限公司 | 一种网络数据报文的处理方法及装置 |
| CN104022920A (zh) * | 2014-06-26 | 2014-09-03 | 重庆重邮汇测通信技术有限公司 | 一种lte网络流量识别系统及方法 |
| CN105162626A (zh) * | 2015-08-20 | 2015-12-16 | 西安工程大学 | 基于众核处理器的网络流量深度识别系统及识别方法 |
| CN105224593A (zh) * | 2015-08-25 | 2016-01-06 | 中国人民解放军信息工程大学 | 一种短暂上网事务中频繁共现账号挖掘方法 |
| CN107666404A (zh) * | 2016-07-29 | 2018-02-06 | 中国电信股份有限公司 | 宽带网络用户识别方法和装置 |
| CN106998262A (zh) * | 2016-10-10 | 2017-08-01 | 深圳汇网天下科技有限公司 | 一种识别上网用户的系统与方法 |
| CN107547310A (zh) * | 2017-08-24 | 2018-01-05 | 杭州安恒信息技术有限公司 | 一种基于旁路审计设备的用户行为关联分析方法及系统 |
| CN107682344A (zh) * | 2017-10-18 | 2018-02-09 | 南京邮数通信息科技有限公司 | 一种基于dpi数据互联网身份识别的id图谱建立方法 |
| CN108024220A (zh) * | 2017-12-15 | 2018-05-11 | 南京邮电大学盐城大数据研究院有限公司 | 一种基于dpi的营销短信定向发送方法及系统 |
| CN109905873A (zh) * | 2019-02-25 | 2019-06-18 | 国家计算机网络与信息安全管理中心 | 一种基于特征标识信息的网络账号关联方法 |
| CN110113358A (zh) * | 2019-05-24 | 2019-08-09 | 全知科技(杭州)有限责任公司 | 一种识别基于单点登录的应用系统的操作账号的方法 |
| CN110943985A (zh) * | 2019-11-26 | 2020-03-31 | 武汉虹信通信技术有限责任公司 | 基于5g移动通信网络的安全审计系统及方法 |
| CN111740923A (zh) * | 2020-06-22 | 2020-10-02 | 北京神州泰岳智能数据技术有限公司 | 应用识别规则的生成方法、装置、电子设备和存储介质 |
| CN111988295A (zh) * | 2020-08-11 | 2020-11-24 | 程星星 | 一种数据库审计方法、装置、web服务器、数据库审计系统和存储介质 |
| CN112583815A (zh) * | 2020-12-07 | 2021-03-30 | 腾讯科技(深圳)有限公司 | 一种操作指令管理方法、装置 |
| CN114024861A (zh) * | 2021-11-15 | 2022-02-08 | 北京天地和兴科技有限公司 | 一种结合内容审计的用户上网行为审计的方法及系统 |
| CN114513562A (zh) * | 2022-01-04 | 2022-05-17 | 烽火通信科技股份有限公司 | 一种用户上网数据溯源标识方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115277106B (zh) | 2024-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11659385B2 (en) | Method and system for peer-to-peer enforcement | |
| EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
| EP2939454B1 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| US7533409B2 (en) | Methods and systems for firewalling virtual private networks | |
| EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
| EP1775910A1 (en) | Application layer ingress filtering | |
| US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
| US11750646B2 (en) | System and method for decentralized internet traffic filtering policy reporting | |
| JP4692776B2 (ja) | Sipベースのアプリケーションを保護する方法 | |
| CN114866486A (zh) | 一种基于数据包的加密流量分类系统 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| US9112843B2 (en) | Method and system for subscriber to log in internet content provider (ICP) website in identity/location separation network and login device thereof | |
| US11258753B2 (en) | Method for detection of DNS spoofing servers using machine-learning techniques | |
| CN1996960B (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
| CN115277106B (zh) | 一种网络设备的用户识别方法及系统 | |
| Stoecklin et al. | Passive security intelligence to analyze the security risks of mobile/BYOD activities | |
| Castiglione et al. | Device tracking in private networks via napt log analysis | |
| Musthyala et al. | Hacking wireless network credentials by performing phishing attack using Python Scripting | |
| US20230328102A1 (en) | Network security with server name indication | |
| KR100463751B1 (ko) | 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치 | |
| Liubinskii | The Great Firewall’s active probing circumvention technique with port knocking and SDN | |
| Arafat et al. | Study on security issue in open source SIP server | |
| CN108632090B (zh) | 网络管理方法及系统 | |
| UA148416U (uk) | Спосіб ідентифікації онлайн-користувача в мережі мобільного зв'язку на цільових вебсайтах | |
| Zugenmaier | FLASCHE–a mechanism providing anonymity for mobile users |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |