WO2016201876A1 - 一种加密流量的业务识别方法、装置和计算机存储介质 - Google Patents
一种加密流量的业务识别方法、装置和计算机存储介质 Download PDFInfo
- Publication number
- WO2016201876A1 WO2016201876A1 PCT/CN2015/094731 CN2015094731W WO2016201876A1 WO 2016201876 A1 WO2016201876 A1 WO 2016201876A1 CN 2015094731 W CN2015094731 W CN 2015094731W WO 2016201876 A1 WO2016201876 A1 WO 2016201876A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- service
- data packets
- encrypted
- encrypted stream
- unrecognizable
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种加密流量的业务识别方法、装置和计算机存储介质。所述方法包括:在加密流量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
Description
本发明涉及通信技术领域,特别是涉及一种加密流量的业务识别方法、装置和计算机存储介质。
随着网络通信技术的发展,互联网信息安全已经成为日益关注的问题,许多应用程序使用加密的方式来保护其数据内容。安全套接层(SSL,Secure Sockets Layer)协议是应用最为广泛的网络数据安全传输协议。例如:从谷歌服务器向外发送信息时,都会采用SSL协议加密的数据流量。
在一些应用场景中,如数据审计,需要对加密流量中的加密流所属的业务进行识别。传统的做法是根据加密流量中加密流的域名特征来识别。但是,在加密流量中经常出现大量域名特征相同、但业务不同的加密流。例如:用户访问谷歌地图的街景功能业务和谷歌地球的街景功能业务,所产生的加密流量的域名特征都为geo0.ggpht.com,因此无法通过域名特征geo0.ggpht.com来识别加密流量属于谷歌地图的街景功能业务或谷歌地球的街景功能业务。
综上所述,目前针对域名特征相同的加密流无法识别其所属的业务。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种加密流量的业务识别方法、装置和计算机存储介质。
为达到上述目的,本发明实施例是通过以下技术方案来解决的。
本发明实施例提供了一种加密流量的业务识别方法,包括:在加密流
量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
其中,根据预先分析获得的每种业务的业务特征,识别所述不可识别加密流所属的业务,包括:在所述不可识别加密流中,提取n个数据包;其中,n>0;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
其中,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
其中,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务,包括:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z>0;在识别所述不可识别加密流所属的业务时,判定所述预设数量的数据包符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
其中,根据所述加密流量中的可识别加密流,识别所述不可识别加密
流所属的业务,包括:在所述加密流量中,提取多个可识别加密流;分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
本发明实施例还提供了一种加密流量的业务识别装置,包括:提取模块,配置为在加密流量中,提取不可识别加密流;识别模块,配置为根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
其中,所述提取模块,还配置为在所述不可识别加密流中,提取n个数据包;其中,n>0;所述识别模块,配置为根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
其中,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
其中,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;所述识别模块,配置为:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z>0;所述识别模块判定所述预设数量的数据包符合所述业务的业务特征的条件包括:所述不可识
别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
其中,所述提取模块,还配置为在所述加密流量中,提取多个可识别加密流;所述识别模块,还配置为分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
本发明实施例又提供了一种计算机存储介质,所述计算机存储介质包括一组指令,当执行所述指令时,引起至少一个处理器执行上述的加密流量的业务识别方法。
本发明实施例有益效果如下:
本发明实施例可以通过大量样本预先获知每种业务的业务特征,并根据每种业务的业务特征来识别加密流量中不可识别加密流所属的业务,本发明实施例还也可以根据能够正常识别出业务的加密流来识别加密流量中不可识别加密流所属的业务,弥补了技术空白。本发明实施例提供的方案能解决现有技术无法识别域名特征相同的加密流所属的业务的问题。
图1是根据本发明一实施例的加密流量的业务识别方法的流程图;
图2是根据本发明一实施例根据业务特征识别加密流所属业务的步骤流程图;
图3是根据本发明一实施例的根据可识别加密流识别不可识别加密流所属业务的步骤流程图;
图4是根据本发明一实施例的根据可识别加密流识别不可识别加密流所属业务的步骤的具体流程图;
图5是根据本发明一实施例的加密流量的业务识别装置的结构图。
在本发明的各种实施例中,针对域名特征相同的加密流量,根据预先分析获得的每种业务的业务特征、或者根据加密流量中的可识别数据流量所属的业务,来识别不可识别数据流量所属的业务,进而弥补了技术空白。
以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
本实施例提供了一种加密流量的业务识别方法。如图1所示,为根据本发明一实施例的加密流量的业务识别方法的流程图。
步骤S110,在加密流量中,提取不可识别加密流。
这里,加密流量为采用SSL协议加密处理后的数据流量。在客户端和服务器建立通信连接之后,抓取数据流量,获取数据流量中的加密流量。
在加密流量中包括多个加密流,加密流分为可识别加密流和不可识别加密流。同一个加密流中的数据包五元组相同,即源端口号、目的端口号、协议号、源IP地址和目的IP地址都相同。
可识别加密流是指加密流中包含业务独有的域名特征,根据加密流中的域名特征,就可以确定该加密流所属的业务。换言之,可识别加密流中的域名特征和业务是一一对应。
不可识别加密流是指加密流中包含多个业务共用的域名特征,根据加密流中的域名特征,只能找到不可识别加密流所属业务的范围,但无法确切的判定该加密流所属的业务。换言之,不可识别加密流中的域名特征和业务具有一对多的特点。
在提取不可识别加密流之前,可以预先设置不可识别加密流域名特征
列表,或者预先设置可识别加密流域名特征列表;在提取不可识别加密流时,根据不可识别加密流域名特征列表或者可识别加密流域名特征列表,来提取不可识别加密流。其中,不可识别加密流域名特征列表中包括多个业务共用的域名特征;可识别加密流域名特征列表中包括业务独有的域名特征。
步骤S120,根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
识别方式1:
业务特征即是业务产生的数据流的特点。进一步地,每种业务的数据流的特点都不相同,例如,业务A的上行数据包较多,业务B的下行数据包较多。通过分析不可识别加密流,可以得出该加密流的特点,进而可以确定加密流属于哪种业务。
每种业务的业务特征包括:业务的加密流的域名特征;在业务的加密流中,m(m>0)个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k。该预设包长范围为经验值或实验获得的值。该m个数据包为加密流中用于数据交互的数据包,m个数据包可以从加密流数据交互部分的第一个数据包开始,直到第m个数据包为止。数量m可以是经验值或实验获得的值。
每种业务的业务特征都可以通过大量的样本分析而获得。进一步地,业务特征中包含的数量范围i、j和k,可以通过对大量样本进行数据训练而获得。
业务特征可以用于判断不可识别加密流是否属于该业务特征对应的业务。进一步地,业务特征可以用于根据不可识别加密流中n个的数据包,来判断该不可识别加密流是否属于该业务特征对应的业务。
在加密流量识别时,在不可识别加密流中,提取n(n>0)个数据包;根据提取的n个数据包,识别不可识别加密流所属的业务;其中,这n个数据包符合所述业务的业务特征。进一步地,在提取的n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,提取的多个用于数据交互的数据包的数量为m个。从不可识别加密流的信令交互部分提取用于建立会话的数据包,从不可识别加密流数据交互部分的第一个数据包开始,提取m个的数据包。例如:如果m=150,则从不可识别加密流数据交互部分的第一个数据包开始,取150个数据包。
识别方式2:
在加密流量中存在部分可识别加密流,可以提取出加密流量中的可识别加密流,分析出该可识别加密流所属的业务,将该可识别加密流所属的业务作为不可识别加密流所属的业务。
进一步地,可识别加密流的数量一般为多个,如果所述可识别加密流的数量为多个、且多个所述可识别加密流分属不同的业务,则计算每种业务对应的可识别加密流的流量总量;将可识别加密流流量总量最多的业务,作为所述不可识别加密流所属的业务。
下面针对根据预先分析获得的每种业务的业务特征,识别不可识别加密流所属的业务进行进一步地说明。本实施例根据提取的n个数据包,识别不可识别加密流所属的业务,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个。
如图2所示,为根据本发明一实施例的根据业务特征识别不可识别加密流所属业务的步骤流程图。识别不可识别加密流所属业务的流程主要包括以下步骤:
步骤S210,根据所述用于建立会话的数据包,提取所述不可识别加密
流的域名特征。
提取用于建立会话的数据包,解析该数据包,在该数据包的载荷中,获取该不可识别加密流的域名特征。
步骤S220,在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y。其中,x≥,y≥0。
在提取出的m个数据包中,既可能包括上行数据包,又可能包括下行数据包,因此,分开计算上行数据包的数量和下行数据包的数量。
步骤S230,在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z。其中,z≥0。
步骤1,对计数器清零,z=0;
步骤2,在提取的m个数据包中,顺序将数据包的包长与预设的包长范围进行比较;
步骤3,若数据包的包长处于预设的包长范围之内,则计数器累加,z=z+1;
步骤4,判断m个数据包是否都比较完成;若是,则输出当前的z值,若否,则执行步骤2,将下一个数据包的包长与预设的包长范围进行比较。
如果数据包的包长处于预设包长范围的其中一个端值上,则依然认为,该数据包的包长处于预设包长范围之内。
步骤S240,判断提取的所述n个数据包是否符合所述业务的业务特征;若是,则执行步骤S250,若否,则执行步骤S260。
业务特征可以用于根据不可识别加密流中的n个数据包,来判断该不可识别加密流是否属于该业务特征对应的业务。
对从不可识别加密流中提取的n个数据包执行步骤S210-S230的处理,将处理结果与业务特征进行比较;如果所述提取的n个数据包所属的不可识别加密流的域名特征与所述业务特征中的域名特征相同;在所述多个用
于数据交互的数据包中,上行数据包的数量x处于所述业务特征中的数量范围i内、或者下行数据包的数量y处于所述业务特征中的数量范围j内;以及,在所述多个用于数据交互的数据包中,处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内;则判定n个数据包符合所述业务的业务特征,否则,判定n个数据包不符合所述业务的业务特征。
进一步地,在上述判断过程中,只要在所述多个用于数据交互的数据包中,有一个方向的数据包(上行数据包或下行数据包)的数量处于相应方向的数量范围(上行数据包数量范围或下行数据包数量范围)之内即可。
步骤S250,判定所述不可识别加密流属于所述业务。
步骤S260,判定所述不可识别加密流为未知加密流。
例如:用户利用客户端浏览谷歌地图搜索路线,但是,谷歌服务器向客户端发送的加密流没有使用能明确确定是谷歌地图的域名特征,而是使用clients5.google.com域名特征,第三方在进行加密流量识别时,基于域名特征clients5.google.com,不能确定加密流量属于谷歌地图。那么,第三方可以预先根据谷歌地图的加密流特点,分析谷歌地图的业务特征,因为,谷歌地图主要是从服务器向客户端发送下行加密流量,因此,经过对大量样本进行训练,可以得到业务特征,如业务特征包括:谷歌地图的域名特征为clients5.google.com;下行数据包的数量范围是[100,130];处于包长范围[1300字节,1400字节]之内的数据包的数量范围为[90,120]。在进行加密流量识别时,第三方可以获取加密流量,针对其中的某个加密流,提取151个数据包,其中,在提取的151个数据包中,用于建立会话的数据包为1个,用于数据交互的数据包为150个;在用于建立会话的数据包中提取该加密流的域名特征;在用于数据交互的150个数据包中,计算这150个数据包上行数据包的数量为30个,下行数据包的数量为120,这150个数据包中,处于包长范围[1300字节,1400字节]之内的数据包的数量为110个,
经比较可以知道,该加密流的150个数据包符合谷歌地图的业务特征,因此,该加密流属于谷歌地图。
下面针对加密流量中的可识别加密流,识别所述不可识别加密流所属的业务进行进一步地说明。如图3所示,为根据本发明一实施例的根据可识别加密流识别不可识别加密流所属业务的步骤流程图。
步骤S310,在所述加密流量中,提取多个可识别加密流。
步骤S320,分别识别每个所述可识别加密流所属的业务。
根据所述可识别加密流的域名特征,确定所述可识别数据包所属的业务。
解析每个可识别加密流中用于建立会话的数据包,在包载荷中提取可识别加密流的域名特征;因为可识别加密流的域名特征和业务是一一对应的,因此,获得可识别加密流的域名特征,即可确定出可识别加密流所属的业务。
步骤S330,判断所述多个可识别加密流是否同属一个业务。若是,则执行步骤S340;若否,则执行步骤S350。
步骤S340,将所述多个可识别加密流所属的业务,作为不可识别加密流所属的业务。
步骤S350,将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务。
换言之,如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
例如:因为,谷歌地图和谷歌地球都有街景视图功能,而且产生的域
名特征都有geo0.ggpht.com,所以,域名特征为geo0.ggpht.com的加密流量就很难区分是来自谷歌地图或谷歌地球。考虑用户的行为,如果用户进入谷歌地图,则必将产生谷歌地图的加密流,如果用户进入谷歌地球,则必将产生谷歌地球的加密流。如果在加密流量中存在谷歌地图或谷歌地球的可识别加密流,可以根据可识别加密流,确定出域名特征为geo0.ggpht.com的不可识别加密流是属于谷歌地图还是谷歌地球。
在加密流量中只存在谷歌地图和/或谷歌地球的数据流的情况下,在判断域名特征为geo0.ggpht.com的不可识别加密流是属于谷歌地图还是谷歌地球时,具体包括如下步骤,如图4所示:
步骤S410,用户浏览谷歌地图或谷歌地球街景,产生加密流量。
这里,加密流量中包含可识别加密流和不可识别加密流。
步骤S420,判断加密流量中是否存在谷歌地图的加密流。若是,则执行步骤S430;若否,则执行步骤S460。
换言之,判断加密流量中是否存在谷歌地图的可识别加密流,若是,则表示存在谷歌地图的加密流,用户浏览了谷歌地图;若否,则表示不存在谷歌地图的加密流,用户未浏览谷歌地图。
步骤S430,判断加密流量中是否存在谷歌地球的加密流。若是,则执行步骤S440;若否,则执行步骤S450。
换言之,判断加密流量中是否存在谷歌地球的可识别加密流。在存在谷歌地图加密流的加密流量中,还要判断用户是否同时浏览了谷歌地图和谷歌地球,因此,还要判断加密流量中是否有谷歌地球的加密流。若是,则表示用户同时浏览了谷歌地图和谷歌地球;若否,则表示用户仅浏览了谷歌地图。
步骤S440,判断谷歌地球的流量是否大于谷歌地图的流量。若是,则执行步骤S460;若否,则执行步骤S450。
步骤S450,判定加密流量中的不可识别加密流属于谷歌地图。
步骤S460,判定加密流量中的不可识别加密流属于谷歌地球。
本发明实施例还提供了一种加密流量的业务识别装置,如图5所示,为根据本发明一实施例的加密流量的业务识别装置的结构图。本实施例所述的装置可以设置在独立于客户端和服务器的设备中,配置为对加密流量进行业务识别。
所述装置包括:
提取模块510,配置为在加密流量中,提取不可识别加密流。
识别模块520,配置为根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
在一个实施例中,所述提取模块510,还配置为在所述不可识别加密流中,提取n个数据包;其中,n>0;所述识别模块520,配置为根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;所述识别模块520具体配置为:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z≥0;所述识别模块520
判定所述n个数据包是否符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
在另一个实施例中,所述提取模块510,还配置为在所述加密流量中,提取多个可识别加密流;所述识别模块520,还配置为分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
实际应用时,所述提取模块510以及识别模块520可由加密流量的业务识别装置中的中央处理器(CPU,Central Processing Unit)、微处理器(MCU,Micro Control Unit)、数字信号处理器(DSP,Digital Signal Processor)或可编程逻辑阵列(FPGA,Field-Programmable Gate Array)实现。
本发明实施例所述的装置的功能已经在图1~4所示的方法实施例中进行了描述,故本实施例的描述中未详尽之处,可以参见前述实施例中的相关说明,在此不做赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序
产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
基于此,本发明实施例还提供了一种计算机存储介质,所述计算机存储介质包括一组指令,当执行所述指令时,引起至少一个处理器执行上述的加密流量的业务识别方法。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (11)
- 一种加密流量的业务识别方法,包括:在加密流量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
- 如权利要求1所述的方法,其中,根据预先分析获得的每种业务的业务特征,识别所述不可识别加密流所属的业务,包括:在所述不可识别加密流中,提取n个数据包;其中,n>0;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
- 如权利要求2所述的方法,其中,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
- 如权利要求3所述的方法,其中,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务,包括:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z≥0;在识别所述不可识别加密流所属的业务时,判定所述n个数据包符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
- 如权利要求1所述的方法,其中,根据所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务,包括:在所述加密流量中,提取多个可识别加密流;分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
- 一种加密流量的业务识别装置,包括:提取模块,配置为在加密流量中,提取不可识别加密流;识别模块,配置为根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
- 如权利要求6所述的装置,其中,所述提取模块,还配置为在所述不可识别加密流中,提取n个数据包; 其中,n>0;所述识别模块,配置为根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。
- 如权利要求7所述的装置,其中,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。
- 如权利要求8所述的装置,其中,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;所述识别模块,配置为:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z≥0;所述识别模块判定所述n个数据包符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所 述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。
- 如权利要求6所述的装置,其中,所述提取模块,还配置为在所述加密流量中,提取多个可识别加密流;所述识别模块,还配置为分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。
- 一种计算机存储介质,所述计算机存储介质包括一组指令,当执行所述指令时,引起至少一个处理器执行如权利要求1至5任一项所述的加密流量的业务识别方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510341136.3 | 2015-06-18 | ||
CN201510341136.3A CN106257867A (zh) | 2015-06-18 | 2015-06-18 | 一种加密流量的业务识别方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2016201876A1 true WO2016201876A1 (zh) | 2016-12-22 |
Family
ID=57544868
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2015/094731 WO2016201876A1 (zh) | 2015-06-18 | 2015-11-16 | 一种加密流量的业务识别方法、装置和计算机存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106257867A (zh) |
WO (1) | WO2016201876A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019114700A1 (zh) * | 2017-12-15 | 2019-06-20 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机系统 |
CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107528837B (zh) * | 2017-08-17 | 2020-06-09 | 深信服科技股份有限公司 | 加密视频识别方法及装置、计算机装置、可读存储介质 |
CN117354182A (zh) * | 2022-06-28 | 2024-01-05 | 中兴通讯股份有限公司 | 业务识别方法、系统、装置、存储介质及程序产品 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1997007A (zh) * | 2006-09-30 | 2007-07-11 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
CN103023670A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
-
2015
- 2015-06-18 CN CN201510341136.3A patent/CN106257867A/zh active Pending
- 2015-11-16 WO PCT/CN2015/094731 patent/WO2016201876A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1997007A (zh) * | 2006-09-30 | 2007-07-11 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
CN103023670A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019114700A1 (zh) * | 2017-12-15 | 2019-06-20 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机系统 |
US11425047B2 (en) | 2017-12-15 | 2022-08-23 | Huawei Technologies Co., Ltd. | Traffic analysis method, common service traffic attribution method, and corresponding computer system |
CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
Also Published As
Publication number | Publication date |
---|---|
CN106257867A (zh) | 2016-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
KR20170060280A (ko) | 탐지 규칙 자동 생성 장치 및 방법 | |
CN112994984B (zh) | 识别协议及内容的方法、存储设备、安全网关、服务器 | |
CN104468507B (zh) | 基于无控制端流量分析的木马检测方法 | |
WO2016201876A1 (zh) | 一种加密流量的业务识别方法、装置和计算机存储介质 | |
Wang et al. | Biprominer: Automatic mining of binary protocol features | |
CN112769633B (zh) | 一种代理流量检测方法、装置、电子设备及可读存储介质 | |
CN109525508B (zh) | 基于流量相似性比对的加密流识别方法、装置及存储介质 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
JP2009017298A (ja) | データ分析装置 | |
WO2015154484A1 (zh) | 流量数据分类方法及装置 | |
US11888874B2 (en) | Label guided unsupervised learning based network-level application signature generation | |
US10855705B2 (en) | Enhanced flow-based computer network threat detection | |
CN114785567A (zh) | 一种流量识别方法、装置、设备及介质 | |
CN111182002A (zh) | 基于http首个问答包聚类分析的僵尸网络检测装置 | |
CN105100246A (zh) | 一种基于下载资源名称的网络流量管控方法 | |
EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
CN104079493A (zh) | 基于下载资源名的流量识别方法和设备、管控方法和设备 | |
CN114117429A (zh) | 一种网络流量的检测方法及装置 | |
Zaki et al. | Grano-GT: A granular ground truth collection tool for encrypted browser-based Internet traffic | |
CN112565179B (zh) | 一种针对加密代理通道内应用层协议的检测方法 | |
CN115632875B (zh) | 一种多特征融合实时分析的恶意流量检测方法及系统 | |
KR101560820B1 (ko) | 시그니처 기반 어플리케이션 식별 장치 및 방법 | |
CN114205095B (zh) | 一种加密恶意流量的检测方法和装置 | |
LI et al. | Automatic protocol format signature construction algorithm based on discrete series protocol message |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 15895443 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 15895443 Country of ref document: EP Kind code of ref document: A1 |