CN117579525A - 一种网络协议特征识别系统 - Google Patents

一种网络协议特征识别系统 Download PDF

Info

Publication number
CN117579525A
CN117579525A CN202311543921.8A CN202311543921A CN117579525A CN 117579525 A CN117579525 A CN 117579525A CN 202311543921 A CN202311543921 A CN 202311543921A CN 117579525 A CN117579525 A CN 117579525A
Authority
CN
China
Prior art keywords
analysis
network protocol
nat type
feature
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311543921.8A
Other languages
English (en)
Inventor
李非
肖杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Sicun Communication Technology Co ltd
Original Assignee
Beijing Sicun Communication Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Sicun Communication Technology Co ltd filed Critical Beijing Sicun Communication Technology Co ltd
Priority to CN202311543921.8A priority Critical patent/CN117579525A/zh
Publication of CN117579525A publication Critical patent/CN117579525A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/164Adaptation or special uses of UDP protocol

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种网络协议特征识别系统,尤其涉及计算机网络技术技术领域,包括,样本获取模块,用以获取样本用户进行网络数据传输时的数据;探测分析模块,用以对NAT类型进行分析;报文分析模块,用以对网络协议和连接耗时进行分析;数据构建模块,用以建立数据矩阵,并对数据矩阵进行存储;特征分析模块,用以对特征数据集进行分析和调整;资源获取模块,用以获取用户进行网络传输时的系统资源信息;用户分析模块,用以根据系统资源信息对传输特征进行分析;网络识别模块,用以对NAT类型和网络协议进行识别,还用以对特征数据集进行分析。本发明解决了对NAT类型和网络协议分析效率低,分析不准确的问题。

Description

一种网络协议特征识别系统
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种网络协议特征识别系统。
背景技术
随着网络技术的不断发展,人们可以利用网络实现数据传输、远程控制等操作,在进行数据传输时,需要针对不同的网络协议类型进行传输分析。
中国专利公开号:CN110971487A公开了一种网络协议识别方法及装置,包括:基于数据平面开发套件,从网卡获取数据包;判断数据包的传输层的协议类型,确定传输层的协议类型是TCP或UDP;若是TCP,则基于Hyperscan引擎的流模式扫描数据包,识别数据包采用的运行于TCP协议之上的协议;若是UDP,则基于Hyperscan引擎的块模式扫描数据包,识别数据包采用的运行于UDP协议之上的协议。该发明实现了对通过对协议类型的分析以快速识别出网络协议,未实现对网络结构以及用户传输信息的综合分析,存在对NAT类型和网络协议分析效率低,分析不准确的问题。
发明内容
为此,本发明提供一种网络协议特征识别系统,用以克服现有技术中对NAT类型和网络协议分析效率低,分析不准确的问题。
为实现上述目标,本发明提供一种网络协议特征识别系统,包括:
样本获取模块,用以获取样本用户进行网络数据传输时的样本用户i p地址、报文信息、探测信息和返回探测信息;
探测分析模块,用以向传输目标发送探测信息,并根据探测信息和返回探测信息对NAT类型进行分析;
报文分析模块,用以根据报文信息对网络协议和连接耗时进行分析;
数据构建模块,用以根据根据NAT类型、网络协议、报文信息和连接耗时建立数据矩阵,并对数据矩阵进行存储;
特征分析模块,用以根据已存储的数据矩阵对特征数据集进行分析,还用以根据报文信息对源端口进行监听,以得到源端口监听状态,并根据源端口监听状态对特征数据集的分析过程进行调整,还用以根据特征数据集中的样本数量对特征数据集的调整过程进行优化;
资源获取模块,用以获取待识别用户进行网络传输时的系统资源信息;
用户分析模块,用以根据系统资源信息对待识别用户的传输特征进行分析;
网络识别模块,用以将传输特征与特征数据集进行匹配,并在匹配成功时对待识别用户进行NAT类型识别和网络协议识别,在匹配失败时将待识别用户作为样本用户重新对特征数据集进行分析,以分析出当前分析待识别用户的NAT类型和网络协议。
进一步地,所述所述探测分析模块设有探测发送单元,其用以根据迭代次数向传输目标发送探测信息,其中:
当i=0时,所述探测发送单元向传输目标发送公网探测包;
当i=1时,所述探测发送单元向传输目标发送换址探测包;
当i=2时,所述探测发送单元向传输目标发送返还探测包;
所述探测分析模块还设有第一解析单元,其用以根据返回探测信息和样本用户ip地址对NAT类型进行分析,其中:
当返回探测信息中的目标i p地址和样本用户i p地址相同时,所述第一解析单元判定NAT类型为无NAT;
当返回探测信息中的目标i p地址和样本用户i p地址不同时,所述第一解析单元判定NAT类型为未知NAT;
所述探测分析模块还设有第二解析单元,其用以根据返回探测信息的数量对NAT类型进行分析,其中:
当返回探测信息的数量为2时,所述第二解析单元判定NAT类型为全锥型;
当返回探测信息的数量为1时,所述第二解析单元判定NAT类型为未知类型;
所述探测分析模块还设有第三解析单元,其用以将公网探测包中的目标端口和第二个返回探测信息的源端口进行比对,并根据比对结果对NAT类型进行分析,其中:
当公网探测包中的目标端口和第二个返回探测信息的源端口相同时,所述第三解析单元判定NAT类型为锥型;
当公网探测包中的目标端口和第二个返回探测信息的源端口不同时,所述第三解析单元判定NAT类型为对称型;
所述探测分析模块还设有探测迭代单元,其用以根据NAT类型对向传输目标发送探测信息进行迭代操作,其中:
当NAT类型为未知类型时,所述探测迭代单元对向传输目标发送探测信息进行迭代操作;
当NAT类型为无NAT或全锥型或锥型或对称型时,所述探测迭代单元不对向传输目标发送探测信息进行迭代操作。
进一步地,所述报文分析模块设有协议分析单元,其用以根据报文信息对网络协议进行分析,其中:
当报文信息中的包头结构大小为8字节时,所述协议分析单元判定网络协议为UDP协议;
当报文信息中的包头结构大小为20或40或60或80字节时,所述协议分析单元判定网络协议为TCP协议。
进一步地,所述报文分析模块还设有耗时分析单元,其用以根据报文信息中包头结构的内容对连接耗时进行分析,所述耗时分析单元将首次向传输目标发送的报文信息的包头结构中的SYN=1到接收到传输目标发送的报文信息的包头结构中的SYN=1和ACK=1所用的时间作为连接耗时。
进一步地,所述数据构建模块根据根据NAT类型、网络协议、报文信息和连接耗时建立数据矩阵,数据矩阵记做M[6],其中,M[1]=a,其表示NAT类型,当a=1时,NAT类型为无NAT,当a=2时,NAT类型为全锥形,当a=3时,NAT类型为锥形,当a=4时,NAT类型为对称型,M[2]=b,其表示网络协议,当b=-1时,网络协议为UDP协议,当b=1时,网络协议为TCP协议,M[3]=c,其表示报文信息的数量,M[4]=d,其表示连接耗时,M[5]=e,其表示报文信息中数据的大小,M[6]=f,其表示报文信息的包头结构中的窗口大小。
进一步地,所述特征分析模块设有特征分析单元,其用以根据已存储的数据矩阵对特征数据进行分析,所述特征分析单元通过特征提取公式对特征数据进行分析,所述特征提取公式如下:
G(a×b)=logd×c(e/f+1)
其中,G(a×b)表示特征数据。
进一步地,所述特征分析模块还设有分析调整单元,其用以根据源端口监听状态对特征数据的分析过程进行调整,其中:
当源端口监听状态为LISTENING时,所述分析调整单元判定已内网穿透,对特征数据的分析过程进行调整,调整后的特征数据为G1(a×b),设定G1(a×b)=G(a×b)/loge/f(d×c+1);
当源端口监听状态不为LISTENING时,所述分析调整单元判定未内网穿透,不对特征数据的分析过程进行调整。
进一步地,所述特征分析模块还设有分析优化单元,其用以将特征数据集中的特征数据的数量与数量阈值进行比对,并根据比对结果对特征数据的调整过程进行优化,其中:
当N1≤n时,所述分析优化单元判定数量不符合阈值,不对特征数据的调整过程进行优化;
当N1>n时,所述分析优化单元判定数量符合阈值,对特征数据的调整过程进行优化,优化后的特征数据为G2(a×b),设定G2(a×b)=G1(a×b)×l ognN1。
进一步地,所述用户分析模块根据系统资源信息通过传输特征分析公式计算传输特征,所述用户分析模块设有传输特征分析公式如下:
H=l ogT(Y/T)
其中,T表示传输时间,Y表示传输量。
进一步地,所述网络识别模块将传输特征和特征数据集进行匹配,其中:
当存在H=G(a×b)时,所述网络识别模块判定匹配成功,识别待识别用户的NAT类型和网络协议为匹配成功的特征数据对应的NAT类型和网络协议;
当不存在H=G(a×b)时,所述网络识别模块判定匹配失败,将待识别用户作为样本用户以对特征数据集进行分析。
与现有技术相比,本发明的有益效果在于,通过所述样本获取模块对样本用户i p地址,报文信息、探测信息和返回探测信息的获取,以提高数据获取的准确性,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述探测分析模块对探测信息的发送,以对NAT类型进行分析,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述报文分析模块对报文信息的分析,以分析出网络协议和连接耗时,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述数据构建模块对NAT类型、网络协议、报文信息和连接耗时的分析,以建立数据矩阵,用数据矩阵表示并存储样本用户的数据,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述特征分析模块对已存储的数据矩阵的分析,以对特征数据集进行分析,用特征数据集表示各样本用户的网络协议特征,增加系统数据分析的多样性,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述资源获取模块对系统资源信息的获取,以提高数据获取的准确度,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述用户分析模块对系统资源信息的分析,以分析出传输特征,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述网络识别模块对传输特征与特征数据集的匹配,以对NAT类型和网络协议进行识别,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通所述网络识别模块对传输特征与特征数据集的匹配,以将待识别用户作为样本用户,增加系统分析样本数据的数量,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度。
附图说明
图1为本实施例网络协议特征识别系统的结构框图;
图2为本实施例探测分析模块的结构框图;
图3为本实施例报文分析模块的结构框图;
图4为本实施例特征分析模块的结构框图。
具体实施方式
为了使本发明的目标和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,其为本实施例一种网络协议特征识别系统,包括:
样本获取模块,用以获取样本用户进行网络数据传输时的样本用户i p地址、报文信息、探测信息和返回探测信息,所述报文信息指由包头结构和数据组成的网络数据传输时产生的报文信息,所述探测信息包括公网探测包、换址探测包和返还探测包,所述探测信息和返回探测信息为UDP包,其由源i p地址、源端口、目标i p地址、目标端口组成和请求信息组成,所述公网探测包的请求信息为申请将传输目标收到的源i p地址和源端口发送回样本用户,所述换址探测包的请求信息为申请传输目标使用与换址探测包中目标i p地址不同且目标端口不同的i p地址和端口将返回探测信息发送回样本用户,所述返还探测包的目标i p地址和目标端口应与公网探测包的目标i p地址和目标端口不同,所述返还探测包的请求信息为将传输目标收到的源i p地址和源端口发送回样本用户,所述样本用户i p地址,报文信息、探测信息和返回探测信息的获取方式为通过网络数据获取;
探测分析模块,用以向传输目标发送探测信息,并根据探测信息和返回探测信息对NAT类型进行分析,探测分析模块与所述样本获取模块连接;
报文分析模块,用以根据报文信息对网络协议和连接耗时进行分析,所述网络协议包括TCP协议和UDP协议,报文分析模块与所述样本获取模块连接;
数据构建模块,用以根据根据NAT类型、网络协议、报文信息和连接耗时建立数据矩阵,并对数据矩阵进行存储,数据构建模块与所述探测分析模块和报文分析模块连接;
特征分析模块,用以根据已存储的数据矩阵对特征数据集进行分析,还用以根据报文信息对源端口进行监听,以得到源端口监听状态,并根据源端口监听状态对特征数据集的分析过程进行调整,还用以根据特征数据集中的样本数量对特征数据集的调整过程进行优化,特征分析模块与所述数据构建模块连接;
资源获取模块,用以获取待识别用户进行网络传输时的系统资源信息,资源获取模块与所述特征分析模块连接,所述系统资源信息包括传输量和传输时间,所述系统资源信息的获取方式为通过网络抓包获取;
用户分析模块,用以根据系统资源信息对待识别用户的传输特征进行分析,用户分析模块与所述资源获取模块连接;
网络识别模块,用以将传输特征与特征数据集进行匹配,并在匹配成功时对待识别用户进行NAT类型识别和网络协议识别,在匹配失败时将待识别用户作为样本用户重新对特征数据集进行分析,以分析出当前分析待识别用户的NAT类型和网络协议,网络识别模块与所述用户分析模块连接。
请参阅图2所示,所述探测分析模块包括:
探测发送单元,用以根据迭代次数向传输目标发送探测信息;
第一解析单元,用以在迭代次数为0时,根据返回探测信息和样本用户i p地址对NAT类型进行分析,第一解析单元与所述探测发送单元连接;
第二解析单元,用以在迭代次数为1时,根据返回探测信息对NAT类型进行分析,第二解析单元与所述第一解析单元连接;
第三解析单元,用以在迭代次数为2时,根据探测信息和返回探测信息对NAT类型进行分析,第三解析单元与所述第二解析单元连接;
探测迭代单元,用以根据NAT类型对向传输目标发送探测信息进行迭代操作,探测迭代单元与所述第三解析单元连接。
请参阅图3所示,所述报文分析模块包括:
协议分析单元,用以根据报文信息对网络协议进行分析;
耗时分析单元,用以在网络协议为TCP协议时,根据报文信息对连接耗时进行分析,耗时分析单元与所述协议分析单元连接。
请参阅图4所示,所述特征分析模块包括:
特征分析单元,用以根据已存储的数据矩阵对特征数据进行分析,并将特征数据的集合作为特征数据集;
端口监听单元,用以根据报文信息对源端口进行监听,以得到源端口监听状态,端口监听单元与所述特征分析单元连接;
分析调整单元,用以根据源端口监听状态对特征数据的分析过程进行调整,分析调整单元与所述端口监听单元连接;
分析优化单元,用以根据特征数据集中的特征数据的数量对特征数据的调整过程进行优化,分析优化单元与所述分析调整单元连接。
具体而言,本实施例中通过所述样本获取模块对样本用户i p地址,报文信息、探测信息和返回探测信息的获取,以提高数据获取的准确性,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述探测分析模块对探测信息的发送,以对NAT类型进行分析,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述报文分析模块对报文信息的分析,以分析出网络协议和连接耗时,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述数据构建模块对NAT类型、网络协议、报文信息和连接耗时的分析,以建立数据矩阵,用数据矩阵表示并存储样本用户的数据,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述特征分析模块对已存储的数据矩阵的分析,以对特征数据集进行分析,用特征数据集表示各样本用户的网络协议特征,增加系统数据分析的多样性,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述资源获取模块对系统资源信息的获取,以提高数据获取的准确度,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述用户分析模块对系统资源信息的分析,以分析出传输特征,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通过所述网络识别模块对传输特征与特征数据集的匹配,以对NAT类型和网络协议进行识别,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度,通所述网络识别模块对传输特征与特征数据集的匹配,以将待识别用户作为样本用户,增加系统分析样本数据的数量,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度。
具体而言,本实施例中所述探测发送单元根据迭代次数向传输目标发送探测信息,其中:
当i=0时,所述探测发送单元向传输目标发送公网探测包;
当i=1时,所述探测发送单元向传输目标发送换址探测包;
当i=2时,所述探测发送单元向传输目标发送返还探测包;
其中,i表示迭代次数。
具体而言,本实施例中通过所述探测发送单元对迭代次数的分析,以向传输目标发送探测信息,发送不同的探测信息,以增加系统分析的多样性,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度。
具体而言,本实施例中所述第一解析单元根据返回探测信息和样本用户i p地址对NAT类型进行分析,其中:
当返回探测信息中的目标i p地址和样本用户i p地址相同时,所述第一解析单元判定NAT类型为无NAT;
当返回探测信息中的目标i p地址和样本用户i p地址不同时,所述第一解析单元判定NAT类型为未知NAT。
具体而言,本实施例中所述第二解析单元根据返回探测信息的数量对NAT类型进行分析,其中:
当返回探测信息的数量为2时,所述第二解析单元判定NAT类型为全锥型;
当返回探测信息的数量为1时,所述第二解析单元判定NAT类型为未知类型。
具体而言,本实施例中所述第三解析单元将公网探测包中的目标端口和第二个返回探测信息的源端口进行比对,并根据比对结果对NAT类型进行分析,其中:
当公网探测包中的目标端口和第二个返回探测信息的源端口相同时,所述第三解析单元判定NAT类型为锥型;
当公网探测包中的目标端口和第二个返回探测信息的源端口不同时,所述第三解析单元判定NAT类型为对称型。
具体而言,通过所述第一解析单元、第二解析单元和第三解析单元对探测信息和返回探测信息的分析,以分析出NAT类型,从而提高系统对NAT类型的分析效率,提高分析的准确度。
具体而言,本实施例中所述探测迭代单元根据NAT类型对向传输目标发送探测信息进行迭代操作,其中:
当NAT类型为未知类型时,所述探测迭代单元对向传输目标发送探测信息进行迭代操作;
当NAT类型为无NAT或全锥型或锥型或对称型时,所述探测迭代单元不对向传输目标发送探测信息进行迭代操作。
具体而言,本实施例中所述协议分析单元根据报文信息对网络协议进行分析,其中:
当报文信息中的包头结构大小为8字节时,所述协议分析单元判定网络协议为UDP协议;
当报文信息中的包头结构大小为20或40或60或80字节时,所述协议分析单元判定网络协议为TCP协议。
具体而言,本实施例中通过所述协议分析单元对报文信息的分析,以分析出网络协议,从而提高系统对网络协议的分析效率,提高分析的准确度。
具体而言,本实施例中所述耗时分析单元根据报文信息中包头结构的内容对连接耗时进行分析,所述耗时分析单元将首次向传输目标发送的报文信息的包头结构中的SYN=1到接收到传输目标发送的报文信息的包头结构中的SYN=1和ACK=1所用的时间作为连接耗时。
具体而言,本实施例中通过所述耗时分析单元对报文信息的分析,以分析出报文信息交互中标志位的变化,从而分析出连接耗时,进而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度。
具体而言,本实施例中所述数据构建模块根据根据NAT类型、网络协议、报文信息和连接耗时建立数据矩阵,数据矩阵记做M[6],其中,M[1]=a,其表示NAT类型,当a=1时,NAT类型为无NAT,当a=2时,NAT类型为全锥形,当a=3时,NAT类型为锥形,当a=4时,NAT类型为对称型,M[2]=b,其表示网络协议,当b=-1时,网络协议为UDP协议,当b=1时,网络协议为TCP协议,M[3]=c,其表示报文信息的数量,M[4]=d,其表示连接耗时,M[5]=e,其表示报文信息中数据的大小,M[6]=f,其表示报文信息的包头结构中的窗口大小。
具体而言,本实施例中所述特征分析单元根据已存储的数据矩阵对特征数据进行分析,所述特征分析单元通过特征提取公式对特征数据进行分析,所述特征提取公式如下:
G(a×b)=logd×c(e/f+1)
其中,G(a×b)表示特征数据。
具体而言,本实施例中通过所述特征分析单元对已存储的数据矩阵的分析,以分析出特征数据,使特征数据与数据矩阵中存储的各样本数据相关,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度。
可以理解的是,本实施例中所述端口监听单元对报文信息中的源端口进行端口监听操作,本实施例中不对端口监听操作作具体限定,本领域技术人员可自由设置,如可使用Windows系统中的命令“netstat-an|findstr‘报文信息中的源端口’”对报文信息中的源端口进行端口监听操作,以得到源端口监听状态。
具体而言,本实施例中所述分析调整单元根据源端口监听状态对特征数据的分析过程进行调整,其中:
当源端口监听状态为LISTENING时,所述分析调整单元判定已内网穿透,对特征数据的分析过程进行调整,调整后的特征数据为G1(a×b),设定G1(a×b)=G(a×b)/loge/f(d×c+1);
当源端口监听状态不为LISTENING时,所述分析调整单元判定未内网穿透,不对特征数据的分析过程进行调整。
具体而言,本实施例中通过所述分析调整单元对源端口监听状态的分析,以对特征数据的分析过程进行调整,使特征数据与网络中是否存在内网穿透相关,降低已内网穿透的网络中数据交互次数对特征数据的影响,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度。
具体而言,本实施例中所述分析优化单元将特征数据集中的特征数据的数量与数量阈值进行比对,并根据比对结果对特征数据的调整过程进行优化,其中:
当N1≤n时,所述分析优化单元判定数量不符合阈值,不对特征数据的调整过程进行优化;
当N1>n时,所述分析优化单元判定数量符合阈值,对特征数据的调整过程进行优化,优化后的特征数据为G2(a×b),设定G2(a×b)=G1(a×b)×lognN1;
其中,N1表示特征数据集中的特征数据的数量,n表示数量阈值,其取值范围为100≤n≤300。可以理解的是,本实施例中不对数量阈值的取值作具体限定,本领域技术人员可自由设置,只需满足对特征数据的优化即可,数量阈值的最佳取值范围为:n=200。
具体而言,本实施例中通过所述分析优化单元对特征数据的数量的分析,以对特征数据的调整过程进行优化,增加特征数据集中的样本数量,增加系统分析数据的多样性,从而提高系统对NAT类型和网络协议的分析效率,提高分析的准确度。
具体而言,本实施例中所述用户分析模块根据系统资源信息通过传输特征分析公式计算传输特征,所述用户分析模块设有传输特征分析公式如下:
H=l ogT(Y/T)
其中,T表示传输时间,Y表示传输量。
具体而言,本实施例中所述网络识别模块将传输特征和特征数据集进行匹配,其中:
当存在H=G(a×b)时,所述网络识别模块判定匹配成功,识别待识别用户的NAT类型和网络协议为匹配成功的特征数据对应的NAT类型和网络协议;
当不存在H=G(a×b)时,所述网络识别模块判定匹配失败,将待识别用户作为样本用户以对特征数据集进行分析。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

Claims (10)

1.一种网络协议特征识别系统,其特征在于,包括:
样本获取模块,用以获取样本用户进行网络数据传输时的样本用户ip地址、报文信息、探测信息和返回探测信息;
探测分析模块,用以向传输目标发送探测信息,并根据探测信息和返回探测信息对NAT类型进行分析;
报文分析模块,用以根据报文信息对网络协议和连接耗时进行分析;
数据构建模块,用以根据根据NAT类型、网络协议、报文信息和连接耗时建立数据矩阵,并对数据矩阵进行存储;
特征分析模块,用以根据已存储的数据矩阵对特征数据集进行分析,还用以根据报文信息对源端口进行监听,以得到源端口监听状态,并根据源端口监听状态对特征数据集的分析过程进行调整,还用以根据特征数据集中的样本数量对特征数据集的调整过程进行优化;
资源获取模块,用以获取待识别用户进行网络传输时的系统资源信息;
用户分析模块,用以根据系统资源信息对待识别用户的传输特征进行分析;
网络识别模块,用以将传输特征与特征数据集进行匹配,并在匹配成功时对待识别用户进行NAT类型识别和网络协议识别,在匹配失败时将待识别用户作为样本用户重新对特征数据集进行分析,以分析出当前分析待识别用户的NAT类型和网络协议。
2.根据权利要求1所述的网络协议特征识别系统,其特征在于,所述所述探测分析模块设有探测发送单元,其用以根据迭代次数向传输目标发送探测信息,其中:
当i=0时,所述探测发送单元向传输目标发送公网探测包;
当i=1时,所述探测发送单元向传输目标发送换址探测包;
当i=2时,所述探测发送单元向传输目标发送返还探测包;
所述探测分析模块还设有第一解析单元,其用以根据返回探测信息和样本用户ip地址对NAT类型进行分析,其中:
当返回探测信息中的目标ip地址和样本用户ip地址相同时,所述第一解析单元判定NAT类型为无NAT;
当返回探测信息中的目标ip地址和样本用户ip地址不同时,所述第一解析单元判定NAT类型为未知NAT;
所述探测分析模块还设有第二解析单元,其用以根据返回探测信息的数量对NAT类型进行分析,其中:
当返回探测信息的数量为2时,所述第二解析单元判定NAT类型为全锥型;
当返回探测信息的数量为1时,所述第二解析单元判定NAT类型为未知类型;
所述探测分析模块还设有第三解析单元,其用以将公网探测包中的目标端口和第二个返回探测信息的源端口进行比对,并根据比对结果对NAT类型进行分析,其中:
当公网探测包中的目标端口和第二个返回探测信息的源端口相同时,所述第三解析单元判定NAT类型为锥型;
当公网探测包中的目标端口和第二个返回探测信息的源端口不同时,所述第三解析单元判定NAT类型为对称型;
所述探测分析模块还设有探测迭代单元,其用以根据NAT类型对向传输目标发送探测信息进行迭代操作,其中:
当NAT类型为未知类型时,所述探测迭代单元对向传输目标发送探测信息进行迭代操作;
当NAT类型为无NAT或全锥型或锥型或对称型时,所述探测迭代单元不对向传输目标发送探测信息进行迭代操作。
3.根据权利要求1所述的网络协议特征识别系统,其特征在于,所述报文分析模块设有协议分析单元,其用以根据报文信息对网络协议进行分析,其中:
当报文信息中的包头结构大小为8字节时,所述协议分析单元判定网络协议为UDP协议;
当报文信息中的包头结构大小为20或40或60或80字节时,所述协议分析单元判定网络协议为TCP协议。
4.根据权利要求3所述的网络协议特征识别系统,其特征在于,所述报文分析模块还设有耗时分析单元,其用以根据报文信息中包头结构的内容对连接耗时进行分析,所述耗时分析单元将首次向传输目标发送的报文信息的包头结构中的SYN=1到接收到传输目标发送的报文信息的包头结构中的SYN=1和ACK=1所用的时间作为连接耗时。
5.根据权利要求2或4所述的网络协议特征识别系统,其特征在于,所述数据构建模块根据根据NAT类型、网络协议、报文信息和连接耗时建立数据矩阵,数据矩阵记做M[6],其中,M[1]=a,其表示NAT类型,当a=1时,NAT类型为无NAT,当a=2时,NAT类型为全锥形,当a=3时,NAT类型为锥形,当a=4时,NAT类型为对称型,M[2]=b,其表示网络协议,当b=-1时,网络协议为UDP协议,当b=1时,网络协议为TCP协议,M[3]=c,其表示报文信息的数量,M[4]=d,其表示连接耗时,M[5]=e,其表示报文信息中数据的大小,M[6]=f,其表示报文信息的包头结构中的窗口大小。
6.根据权利要求5所述的网络协议特征识别系统,其特征在于,所述特征分析模块设有特征分析单元,其用以根据已存储的数据矩阵对特征数据进行分析,所述特征分析单元通过特征提取公式对特征数据进行分析,所述特征提取公式如下:
G(a×b)=logd×c(e/f+1)
其中,G(a×b)表示特征数据。
7.根据权利要求6所述的网络协议特征识别系统,其特征在于,所述特征分析模块还设有分析调整单元,其用以根据源端口监听状态对特征数据的分析过程进行调整,其中:
当源端口监听状态为LISTENING时,所述分析调整单元判定已内网穿透,对特征数据的分析过程进行调整,调整后的特征数据为G1(a×b),设定G1(a×b)=G(a×b)/loge/f(d×c+1);
当源端口监听状态不为LISTENING时,所述分析调整单元判定未内网穿透,不对特征数据的分析过程进行调整。
8.根据权利要求7所述的网络协议特征识别系统,其特征在于,所述特征分析模块还设有分析优化单元,其用以将特征数据集中的特征数据的数量与数量阈值进行比对,并根据比对结果对特征数据的调整过程进行优化,其中:
当N1≤n时,所述分析优化单元判定数量不符合阈值,不对特征数据的调整过程进行优化;
当N1>n时,所述分析优化单元判定数量符合阈值,对特征数据的调整过程进行优化,优化后的特征数据为G2(a×b),设定G2(a×b)=G1(a×b)×lognN1。
9.根据权利要求1所述的网络协议特征识别系统,其特征在于,所述用户分析模块根据系统资源信息通过传输特征分析公式计算传输特征,所述用户分析模块设有传输特征分析公式如下:
H=logT(Y/T)
其中,T表示传输时间,Y表示传输量。
10.根据权利要求9所述的网络协议特征识别系统,其特征在于,所述网络识别模块将传输特征和特征数据集进行匹配,其中:
当存在H=G(a×b)时,所述网络识别模块判定匹配成功,识别待识别用户的NAT类型和网络协议为匹配成功的特征数据对应的NAT类型和网络协议;
当不存在H=G(a×b)时,所述网络识别模块判定匹配失败,将待识别用户作为样本用户以对特征数据集进行分析。
CN202311543921.8A 2023-11-20 2023-11-20 一种网络协议特征识别系统 Pending CN117579525A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311543921.8A CN117579525A (zh) 2023-11-20 2023-11-20 一种网络协议特征识别系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311543921.8A CN117579525A (zh) 2023-11-20 2023-11-20 一种网络协议特征识别系统

Publications (1)

Publication Number Publication Date
CN117579525A true CN117579525A (zh) 2024-02-20

Family

ID=89891219

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311543921.8A Pending CN117579525A (zh) 2023-11-20 2023-11-20 一种网络协议特征识别系统

Country Status (1)

Country Link
CN (1) CN117579525A (zh)

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902484A (zh) * 2009-05-25 2010-12-01 北京启明星辰信息技术股份有限公司 局域网http应用业务分类方法及系统
US20110078315A1 (en) * 2009-09-30 2011-03-31 Brother Kogyo Kabushiki Kaisha Communication system, communication control device and communication control method
CN102025567A (zh) * 2010-12-13 2011-04-20 成都市华为赛门铁克科技有限公司 一种共享接入检测方法以及相关装置
CN102195977A (zh) * 2011-04-13 2011-09-21 北京恒光创新科技股份有限公司 一种网络协议识别方法及装置
CN102307123A (zh) * 2011-09-06 2012-01-04 电子科技大学 基于传输层流量特征的nat流量识别方法
CN102546625A (zh) * 2011-12-31 2012-07-04 深圳市永达电子股份有限公司 半监督聚类集成的协议识别系统
CN102546548A (zh) * 2010-12-22 2012-07-04 中兴通讯股份有限公司 一种分层协议的识别方法和装置
CN105721570A (zh) * 2016-02-04 2016-06-29 福建星网锐捷通讯股份有限公司 数据点对点传输方法及装置
CN112235436A (zh) * 2020-10-23 2021-01-15 新华三信息安全技术有限公司 网络地址转换规则匹配方法及设备
CN112822204A (zh) * 2021-01-28 2021-05-18 深信服科技股份有限公司 一种nat的检测方法、装置、设备及介质
CN114389792A (zh) * 2022-03-22 2022-04-22 合肥全息网御科技有限公司 一种web日志nat前后关联方法及系统
CN114553749A (zh) * 2022-02-18 2022-05-27 科来网络技术股份有限公司 私有协议分析方法、装置、计算机设备及可读存储介质
CN114884918A (zh) * 2022-05-20 2022-08-09 深圳铸泰科技有限公司 一种基于ip标识号的nat设备识别方法及系统
WO2023130901A1 (zh) * 2022-01-05 2023-07-13 西安西电捷通无线网络通信股份有限公司 一种网络节点间nat探测方法、装置、设备及存储介质

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902484A (zh) * 2009-05-25 2010-12-01 北京启明星辰信息技术股份有限公司 局域网http应用业务分类方法及系统
US20110078315A1 (en) * 2009-09-30 2011-03-31 Brother Kogyo Kabushiki Kaisha Communication system, communication control device and communication control method
CN102025567A (zh) * 2010-12-13 2011-04-20 成都市华为赛门铁克科技有限公司 一种共享接入检测方法以及相关装置
CN102546548A (zh) * 2010-12-22 2012-07-04 中兴通讯股份有限公司 一种分层协议的识别方法和装置
CN102195977A (zh) * 2011-04-13 2011-09-21 北京恒光创新科技股份有限公司 一种网络协议识别方法及装置
CN102307123A (zh) * 2011-09-06 2012-01-04 电子科技大学 基于传输层流量特征的nat流量识别方法
CN102546625A (zh) * 2011-12-31 2012-07-04 深圳市永达电子股份有限公司 半监督聚类集成的协议识别系统
CN105721570A (zh) * 2016-02-04 2016-06-29 福建星网锐捷通讯股份有限公司 数据点对点传输方法及装置
CN112235436A (zh) * 2020-10-23 2021-01-15 新华三信息安全技术有限公司 网络地址转换规则匹配方法及设备
CN112822204A (zh) * 2021-01-28 2021-05-18 深信服科技股份有限公司 一种nat的检测方法、装置、设备及介质
WO2023130901A1 (zh) * 2022-01-05 2023-07-13 西安西电捷通无线网络通信股份有限公司 一种网络节点间nat探测方法、装置、设备及存储介质
CN114553749A (zh) * 2022-02-18 2022-05-27 科来网络技术股份有限公司 私有协议分析方法、装置、计算机设备及可读存储介质
CN114389792A (zh) * 2022-03-22 2022-04-22 合肥全息网御科技有限公司 一种web日志nat前后关联方法及系统
CN114884918A (zh) * 2022-05-20 2022-08-09 深圳铸泰科技有限公司 一种基于ip标识号的nat设备识别方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
宫博;王汝传;: "基于会话的局域网P2P流量识别方法的研究", 计算机技术与发展, no. 03, 10 March 2010 (2010-03-10), pages 11 - 14 *
李广华;朱志祥;李振兴;: "NAT技术基本原理及其在实际中的应用", 西安邮电学院学报, no. 01, 10 January 2009 (2009-01-10), pages 97 - 101 *
李斌;: "网络流量分类及其现状研究", 广西教育, no. 39, 20 October 2013 (2013-10-20), pages 192 - 194 *

Similar Documents

Publication Publication Date Title
CN110113345B (zh) 一种基于物联网流量的资产自动发现的方法
KR101888831B1 (ko) 디바이스 정보 수집 장치 및 그 방법
US8204933B2 (en) Systems and methods for content type classification
US20120090027A1 (en) Apparatus and method for detecting abnormal host based on session monitoring
CN109450733B (zh) 一种基于机器学习的网络终端设备识别方法及系统
US8433821B2 (en) Communication system, terminal device and communication control device
US8369245B2 (en) Communication apparatus having network interfaces and responding to device search, communication method, and storage medium
TWI580226B (zh) 決定最大分段大小値之方法
CN116070218B (zh) 工业资产的探测方法、终端设备及存储介质
CN117579525A (zh) 一种网络协议特征识别系统
CN102546548B (zh) 一种分层协议的识别方法和装置
CN109120604B (zh) 一种基于包排序ip隐通道的数据校验方法
US7385930B2 (en) Packet discard point probing method and device
CN110166477A (zh) 一种基于UDP协议的无人机Wi-Fi图传信号检测方法
CN114173428B (zh) 一种提高多链路设备数据传输速度的方法
US8811233B2 (en) Topology detection method and topology detection apparatus
CN111866216B (zh) 基于无线网络接入点的nat设备检测方法及系统
KR20060059493A (ko) Ip 네트워크 환경에서의 트래픽 분석장치
KR20170077308A (ko) 네트워크 트래픽 관리장치 및 관리방법
CN101616164B (zh) 一种传输报文的方法和装置
CN116915653B (zh) 一种基于网络地址转换的设备数量检测方法及系统
CN117579344B (zh) 一种网络结构特征异常检测系统
CN110891073B (zh) 一种用于移动通信核心网的多协议栈通信方法
CN112449224B (zh) 一种语音控制智能电视的方法、系统及存储介质
CN116915476A (zh) 一种主机操作系统的指纹识别方法、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination