专利名称:基于主机行为的多维度协议识别方法
技术领域:
本发明涉及互联网应用技术领域,特别涉及一种基于主机行为的多维度协议识 别方法。
背景技术:
随着以TCP/IP技术为基础的互联网的快速发展,网络结构逐渐从传统的客户端 /服务器(C/S)模式转向端到端(P2P)模式,网络应用逐渐从网页浏览、电子邮件、文字 聊天转变为文件下载、高清晰音频视频,带宽资源日渐紧张。而且,以迅雷和电驴为代 表的P2P下载占用了大量网络带宽,导致网络拥塞,大大降低了网络性能,妨碍了正常 的网络业务开展和关健应用,严重影响了用户正常的Web,E-mail等应用。同时,这些 P2P下载可以穿透现有防火墙和安全代理,通过并不安全的网络环境获得应用于电影、音 乐、游戏等各种应用程序,使得病毒得以躲过安全审查入侵内部网络,造成严重的内部 网络安全隐患。这些P2P下载工具使用第四代P2P协议,即私有协议和伪装协议相结合的混合下 载方式,且采用伪装技术企图逃避ISP (IntemetService Provider,互联网服务提供商)的监 管,比如使用http和ftp这些传统协议进行下载,这种伪装的下载方式对协议识别工作提 出了非常严峻的挑战。目前,对于迅雷等下载工具伪装http的连接,一般仅能从http头部字段中提取客 户端及浏览器信息作为特征进行识别,但是这种识别方法的误识别概率高,且更新周期 短,很难长期有效。不能高效率地完成对迅雷等P2P下载的识别,进而无法实现对网络 流量的控制。
发明内容
(一)要解决的技术问题本发明要解决的技术问题是,针对上述缺陷,如何提供一种基于主机行为的多 维度协议识别方法,能够高效率地完成对迅雷等P2P下载工具的伪装协议的识别,进而 实现对网络流量的控制。( 二 )技术方案为解决上述技术问题,本发明提供了一种基于主机行为的多维度协议识别方 法,所述方法包括步骤A 预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范 围;步骤B 检测所有连接中是否含有端到端P2P下载工具的私有协议,如果有, 则确定主机;否则,判定所有连接中不含有任何P2P下载工具的伪装协议;步骤C:在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行 为维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P 下载工具的伪装协议;否则,判定该主机的连接中不含有所述P2P下载工具的伪装协 议。优选地,步骤A中所述主机行为维度包括时间差、端口差和载荷差。优选地,步骤A中所述主机行为维度的取值范围包括时间差取值范围、端口 差取值范围和载荷差取值范围。优选地,步骤C中该主机中所述P2P下载工具在各个主机行为维度的取值范围 分别与预定的各个主机行为维度的取值范围相匹配包括所述P2P下载工具的伪装协议 与所述P2P下载工具的私有协议创建连接的时间差取值范围与预定的时间差取值范围相 匹配,所述P2P下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的端口差取 值范围与预定的端口差取值范围相匹配,以及所述P2P下载工具的伪装协议连接与所述 P2P下载工具的私有协议连接的载荷差取值范围与预定的载荷差取值范围相匹配。优选地,步骤B中所述P2P下载工具包括迅雷和电驴。优选地,所述P2P下载工具的伪装协议包括超文本传输协议http、文件传输协 议ftp或加密协议。(三)有益效果本发明提出了一种基于主机行为的多维度协议识别方法,与传统协议识别方法 不同,其更多地从统计学角度提取特征,通过预先设定用于协议识别的主机行为维度和 各个主机行为维度的取值范围;检测所有连接中含有P2P下载工具的私有协议后确定主 机;在预定时间段内监控并记录该主机中所述P2P下载工具的伪装协议在各个主机行 为维度的取值范围,如果该主机中所述P2P下载工具的伪装协议在各个主机行为维度的 取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含 有所述P2P下载工具的伪装协议,在分析混合协议、加密协议方面,体现了较高的优越 性,能够高效率地完成对迅雷等P2P下载工具的伪装协议的识别,进而实现对网络流量 的控制。
图1本发明实施例的基于主机行为的多维度协议识别方法的流程图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实 施例用于说明本发明,但不用来限制本发明的范围。行为识别技术属于混合识别技术,本发明利用该技术基于主机行为有效组合了 报文分析、流分析的技术,达到识别迅雷等P2P下载工具的伪装协议的目的。局部性原理是计算机领域的重要思想,其包括两种不同类型的局部性时间局 部性(Temporal Locality),表示如果一个信息项正在被访问,那么在近期它很可能还会被 再次访问,程序循环、堆栈等是产生时间局部性的原因;空间局部性(Spatial Locality), 表示在最近的将来将用到的信息很可能与现在正在使用的信息在空间地址上是临近的, 指令的顺序执行、数组的连续存放等是产生空间局部性的原因。
本发明所述的基于主机行为的多维度协议识别方法利用了上述局部性原理中的 时间局部性和空间局部性。例如,在本发明中,时间局部性对应于连接的创建时间,即 伪装协议和私有协议连接的创建时间差,空间局部性对应于连接的端口、载荷,即伪装 协议和私有协议连接的端口差、载荷差等。图1本发明实施例的基于主机行为的多维度协议识别方法的流程图;参见图1, 所述方法包括步骤A 预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范 围;在本步骤中,可以选择任意个主机行为维度,例如,所述主机行为维度可以包 括时间差、端口差和载荷差,并设定各个主机行为维度的取值范围,例如时间差取值 范围、端口差取值范围和载荷差取值范围,所述各个主机行为维度的取值范围可以根据 实际工作需要来确定;步骤B:检测所有连接中是否含有P2P下载工具的私有协议,如果有,则确定 主机;否则,判定所有连接中不含有任何P2P下载工具的伪装协议;在本步骤中,可以通过现有的报文分析等方法检测所有连接中是否含有P2P下 载工具的私有协议,其并不是本发明的重点,在此不再详述。在本步骤中,所述P2P下载工具包括迅雷和电驴等;所述P2P下载工具的伪装 协议包括超文本传输协议(http)、文件传输协议(ftp)或加密协议等;步骤C 在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行 为维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分 别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P 下载工具的伪装协议;否则,判定该主机的连接中不含有所述P2P下载工具的伪装协 议;在本步骤中,该主机中所述P2P下载工具在各个主机行为维度的取值范围分别 与预定的各个主机行为维度的取值范围相匹配包括所述P2P下载工具的伪装协议与 所述P2P下载工具的私有协议创建连接的时间差取值范围与预定的时间差取值范围相匹 配,所述P2P下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的端口差取值 范围与预定的端口差取值范围相匹配,以及所述P2P下载工具的伪装协议连接与所述P2P 下载工具的私有协议连接的载荷差取值范围与预定的载荷差取值范围相匹配。综上所述,本发明提供了一种基于主机行为的多维度协议识别方法,与传统协 议识别方法不同,其更多地从统计学角度提取特征,通过预先设定用于协议识别的主机 行为维度和各个主机行为维度的取值范围;检测所有连接中含有P2P下载工具的私有协 议后确定主机;在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行为 维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别 与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下 载工具的伪装协议,在分析混合协议、加密协议方面,体现了较高的优越性,能够高效 率地完成对迅雷等P2P下载工具的伪装协议的识别,进而实现对网络流量的控制。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普 通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
权利要求
1.一种基于主机行为的多维度协议识别方法,其特征在于,所述方法包括步骤A:预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范围;步骤B:检测所有连接中是否含有端到端P2P下载工具的私有协议,如果有,则确 定主机;否则,判定所有连接中不含有任何P2P下载工具的伪装协议;步骤C 在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行为维 度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与 预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下载 工具的伪装协议;否则,判定该主机的连接中不含有所述P2P下载工具的伪装协议。
2.根据权利要求1所述的权利要求,其特征在于,步骤A中所述主机行为维度包括 时间差、端口差和载荷差。
3.根据权利要求2所述的权利要求,其特征在于,步骤A中所述主机行为维度的取值 范围包括时间差取值范围、端口差取值范围和载荷差取值范围。
4.根据权利要求3所述的权利要求,其特征在于,步骤C中该主机中所述P2P下载工 具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配包 括所述P2P下载工具的伪装协议与所述P2P下载工具的私有协议创建连接的时间差取 值范围与预定的时间差取值范围相匹配,所述P2P下载工具的伪装协议连接与所述P2P下 载工具的私有协议连接的端口差取值范围与预定的端口差取值范围相匹配,以及所述P2P 下载工具的伪装协议连接与所述P2P下载工具的私有协议连接的载荷差取值范围与预定 的载荷差取值范围相匹配。
5.根据权利要求1-4中任一项所述的权利要求,其特征在于,步骤B中所述P2P下 载工具包括迅雷和电驴。
6.根据权利要求1-4中任一项所述的权利要求,其特征在于,所述P2P下载工具的伪 装协议包括超文本传输协议http、文件传输协议ftp或加密协议。
全文摘要
本发明公开了一种基于主机行为的多维度协议识别方法,所述方法包括步骤A预先设定用于协议识别的主机行为维度和各个主机行为维度的取值范围;步骤B检测所有连接中含有端到端P2P下载工具的私有协议后确定主机;步骤C在预定时间段内监控并记录该主机中所述P2P下载工具在各个主机行为维度的取值范围,如果该主机中所述P2P下载工具在各个主机行为维度的取值范围分别与预定的各个主机行为维度的取值范围相匹配,则判定该主机的连接中含有所述P2P下载工具的伪装协议;否则,判定该主机的连接中不含有所述P2P下载工具的伪装协议。应用本发明的方法,能够高效率地完成对迅雷等P2P下载工具的伪装协议的识别,进而实现对网络流量的控制。
文档编号H04L29/08GK102025739SQ201010586958
公开日2011年4月20日 申请日期2010年12月14日 优先权日2010年12月14日
发明者王博, 董健, 董茂培 申请人:汉柏科技有限公司