专利名称:网络行为主动分析诊断方法
技术领域:
本发明涉及一种网络行为主动分析诊断方法,适用于开放的网络应用 场景。
背景技术:
目前的网络协议识别技术大都脱离了传统的"五元组"匹配,建立在应用层内容的分析基础上。而应用层分析中应用最普遍的,就是DPI (Deep Packetlnspection,深度包检测)和DFI (Deep Flow Inspection,深度流检 测)这两种技术。DPI技术在分析包头的基础上,增加了对应用层的分析,是一种基于 应用层报文的流量检测和识别技术,当网络数据报流经运用DPI设备时, 设备自动按照7层协议进行拆分,并在应用层根据不同的协议采取不同的 处理方法,除了一般的分析外,部分协议需要DPI设备自身维护简化的协 议状态机来进行应用识别和流量检测。按照这种思路,DPI技术分为两类一是特征字符串的识别技术不同的协议适用不同的交互方式,这些 方式一般都有其特性,早期的协议一般使用特定的端口,部分协议也使用 固定的命令字或自己规定的交互方式,这些都可以在数据通讯报文中找到 对应的特征。基于特征字符串的识别技术,基本思想建立在基于这些特征, 寻找处理报文和特征的对应关系,从而达到识别应用进行控制的目的。二是基于应用交互的识别技术 一部分协议使用了控制信道和数据信道结合的方式,即数据报文和控制报文分离,这时候就需要将控制报文和 数据报文结合起来才能找到对应的关系。有一些不能简单的从一两个报文中找到对应关系,但是可以从数据的交互中找到一些特征,比如长度,对 应关系的固定变化等,也可以进行识别。DFI是一种基于应用类型特征的识别技术,不同的应用在网络行为上体现出不同的特征。例如, 一般的p2p都有数据报文长度较长,会话时间 长,频率高等特征。DFI通过建立应用特征模型,分析数据流的报文长度, 传输速率、包传输的时间频率特征等关系来查找。通过和DFI模型的比较 来判断是什么应用。目前同类的融合性网关产品大都具有网络行为的控制和分析功能,都 使用了DFI和DPI的技术,都可以分析出上百种应用并进行控制。产品在 竞争时,也都将协议数量作为一个十分重要的指标进行比较。但是,该方 法有一个缺陷,就是该方式依赖于被动的采集数据进行分析,这种被动式 的方法有一个显著的缺陷无论以何种方式进行升级维护,总是存在滞后 性。当今新的网络应用层出不穷,被动的维护方法无法快速适应现实需求, 所以需要建立在主动方式上的协议分析技术。发明内容本发明的目的是克服现有技术存在的不足,提供一种网络行为主动分 析诊断方法。本发明的目的通过以下技术方案来实现网络行为主动分析诊断方法,特点是包括以下步骤——① 报文初步检测,将报文和已知协议库进行匹配,剔除已知的协议报 文;只需要对未识别的协议进行分析,如果需要,还可以采取抽样方式分析一部分;② 未知报文协议分析对未知的报文,指定端口、 Ip、时段信息,将报文提取到协议自动分析流程进行分析;对未知协议进行分类,对特定对象发起的未知协议数据进行分析;③ 分析结果输出,自动协议分析流程对指定报文进行DPI和DFI模型的创建,并将分析结果输出。进一步地,上述的网络行为主动分析诊断方法,其中,自动协议分析流程对指定报文进行DPI和DFI模型的创建,即进入DPI和DFI模式匹配 流程,对于特征字符串或特征流量进行建模;对于特征字符串,进行模式 匹配学习,对于特征字符串进行分析归类,如果可以提取出字符串特征, 则协议学习完毕,加入协议分析库中;对于特征字符串无法分析的情况, 进入网络行为分析模块,对包的大小和传输特征进行提取,分析统计特征, 分析完毕,加入网络行为分析库。本发明技术方案突出的实质性特点和显著的进步主要体现在-本发明结合了当前的协议识别的主流技术,并将被动的协议识别技术 和主动的协议分析技术结合起来,更好的适应网络应用发展的要求。基于 本发明方法可对未知的协议进行分析判断,结合在现有的协议分析模型上 是一个有益的补充,可以对突发的网络情况和新出现的网络应用以及用户 感兴趣的其他网络行为进行主动分析诊断,避免了被动跟踪的滞后性。
下面结合附图对本发明技术方案作进一步说明 图h主动协议分析报文处理的流程示意图。 图中各附图标记的含义见下表附图 标记含义附图 标记含义^返含义1报文11基本协议分析主动协议分析 单元12自动DPI分析13自动DFI分析14分析结果输出具体实施方式
本发明主动协议分析模块包括基本协议分析、未知报文协议分析、分析结果输出三大步骤。经过基本协议分析分析过的报文,如果没有识别为 已知应用,可以有选择性的将报文发送到未知报文分析模±央,报文分析模 块寻找报文中的协议特征并将结果返回。对网络数据自动分析的方法,可以主动的分析特定的协议数据,并提 供相应的分析结果。详细的过程是首先,报文初步检测,将报文和已知 协议库进行匹配,剔除已知的协议报文;只需要对未识别的协议进行分析, 如果需要,还可以采取抽样方式分析一部分;继而,未知报文协议分析 对未知的报文,指定端口、 Ip、时段信息,将报文提取到协议自动分析流 程进行分析;对未知协议进行分类,对特定对象发起的未知协议数据进行 分析;最后,分析结果输出,自动协议分析流程对指定报文进行DPI和 DFI模型的创建,并将分析结果输出;其中,自动协议分析流程对指定报 文进行DPI和DFI模型的创建,即进入DPI和DFI模式匹配流程,对于特 征字符串或特征流量进行建模;对于特征字符串,进行模式匹配学习,对 于特征字符串进行分析归类,如果可以提取出字符串特征,则协议学习完 毕,加入协议分析库中;对于特征字符串无法分析的情况,进入网络行为 分析模块,对包的大小和传输特征进行提取,分析统计特征,分析完毕, 加入网络行为分析库。是一个动态扩充的库,对不需要分析的已知协议可 以做到自过滤。是一个收敛的过程,当分析的协议越全面,则分析的工作 量越小,结果越准确。图1示意了一个简要的报文处理路径,网络报文1通过基础网络协议 分析ll进行预判,对于未知的报文,根据用户感兴趣的主机、端口、或时 段等条件指定报文进入主动协议分析单元3进行自动分析,其中包括自动 DPI分析12和自动DFI分析13,主动DPI根据协议寻找特征字符串,DFI 模型寻找流特征;然后在分析结果输出14部分对结果进行合法性判断, 如果符合协议分析的要求并且和现有的协议分析库没有明显的冲突的话 作为分析结果发布,该结果可以实时使用,直接判断是否达到识别诊断的目的。本发明对应用协议进行动态的分析和控制的方式,结合主动的协议的 特征提取和行为统计分析的结果,动态的对当前网络行为的异常行为进行 诊断和控制。基于本发明方法可对未知的协议进行分析判断,结合在现有的协议分 析模型上是一个有益的补充,可以对突发的网络情况和新出现的网络应用 以及用户感兴趣的其他网络行为进行主动分析诊断,避免了被动跟踪的滞 后性。以上仅是本发明的具体应用范例,对本发明的保护范围不构成任何限 制。凡采用等同变换或者等效替换而形成的技术方案,均落在本发明权利 保护范围之内。
权利要求
1.网络行为主动分析诊断方法,其特征在于包括以下步骤——①报文初步检测,将报文和已知协议库进行匹配,剔除已知的协议报文;②未知报文协议分析对未知的报文,指定端口、Ip、时段信息,将报文提取到协议自动分析流程进行分析;③分析结果输出,自动协议分析流程对指定报文进行DPI和DFI模型的创建,并将分析结果输出。
2. 根据权利要求l所述的网络行为主动分析诊断方法,其特征在于 步骤③自动协议分析流程对指定报文进行DPI和DFI模型的创建,即进入 DPI和DFI模式匹配流程,对于特征字符串或特征流量进行建模;对于特 征字符串,进行模式匹配学习,对于特征字符串进行分析归类,如果提取 出字符串特征,则协议学习完毕,加入协议分析库中;对于特征字符串无 法分析的情况,进入网络行为分析模块,对包的大小和传输特征进行提取, 分析统计特征,分析完毕,加入网络行为分析库
全文摘要
本发明提供一种网络行为主动分析诊断方法,首先,报文初步检测,将报文和已知协议库进行匹配,剔除已知的协议报文;继而,未知报文协议分析对未知的报文,指定端口、Ip、时段信息,将报文提取到协议自动分析流程进行分析;最后,分析结果输出,自动协议分析流程对指定报文进行DPI和DFI模型的创建,并将分析结果输出。基于本发明方法可对未知的协议进行分析判断,结合在现有的协议分析模型上是一个有益的补充,可以对突发的网络情况和新出现的网络应用以及用户感兴趣的其他网络行为进行主动分析诊断,避免了被动跟踪的滞后性。
文档编号H04L12/56GK101605067SQ20091003151
公开日2009年12月16日 申请日期2009年4月22日 优先权日2009年4月22日
发明者刘继明, 晖 谢, 鋆 钱 申请人:网经科技(苏州)有限公司