专利名称:一种基于行为特征的复用协议识别方法及系统的制作方法
技术领域:
本发明涉及互联网应用技术领域,特别涉及一种基于行为特征识别复用协议的方法及系统。
背景技术:
最初的协议识别是对单个报文内容的识别,此种识别方法通过扫描报文内容,进行特征串字符匹配,命中某种协议预设的特征串后识别为该种协议,此种方法识别准确率高,但是不能处理加密协议。为了识别加密协议,出现了模糊识别,此种方法为对连接进行识别,主要利用了统计方法构建模型,统计对象包括:IP地址、端口、报文长度序列和报文时间戳序列等,然后对统计特征进行匹配连接,不需对报文内容进行识别。在现在的互联网领域里,同一家企业旗下出现多种产品,处于开发的便捷性和维护的复杂度考虑,多个产品复用了同一套通信协议,比如说迅雷公司旗下的迅雷和迅雷看看。对于这种情况,一般的协议识别产品不能准确识别一条连接属于哪种具体协议。
发明内容
(一 )所要解决的技术问题本发明的目的为提供一种基于行为特征的复用协议识别方法,通过本发明解决了复用协议中具体协议的识别问题。( 二 )技术方案本发明提供一种基于行为特征的复用协议识别方法,该方法包括步骤:S1、获取并分析多个具体协议应用的报文,确定所述多个具体协议应用的复用协议的种类;S2、获取复用协议的报文,提取所述复用协议的共有特征和私有特征,编译形成特征库并加载;S3、扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定所述行为的时间限制;若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。其中,所述步骤SI具体包括:随机抓取多个具体协议应用的报文并进行分析,若所述报文存在相同的报文特征值,则确定所述多个具体协议应用使用了同一套协议规范。其中,步骤S3中所述查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为进一步包括:若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为,否则查询所述主机是否存在记录行为。
本发明还提供一种基于行为特征的复用协议识别系统,该系统包括:特征库形成模块,用于获取复用协议的报文,并所述提取复用协议的共有特征规则和私有特征规则,并编译形成特征库;协议识别模块,与特征库形成模块连接,扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定超时时间;若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。(三)有益效果本发明提出了一种基于行为特征的复用协议识别方法及系统,与传统的协议识别方法相比,本发明利用历史行为和实时行为的查询能够有效完成复用协议下各个具体协议的识别,从而补充了现有的协议识别方法,提高了协议识别的精度,进而更精确对这些复用协议进行统计和控制。
图1为本发明所提供方法的步骤流程图;图2为本发明系统的连接方框图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。一般情况下,一台主机上同时运行的类似软件的数目很少,通常情况下就是一种,比如运行了 QQ视频,可能就没有运行QQ音乐,利用这种现象,发明了一种利用行为特征识别复用协议的方法。行为特征包括历史行为特征和实时行为特征:历史行为特征是指曾在这台主机上发生过的动作,实时行为特征是指现在这台主机上发生的动作。本发明综合了历史行为特征和实时行为特征,具体步骤如图1所示:S1、分析多个具体协议应用的报文,确定所述多个具体协议应用的复用协议的种类;以QQ音乐和QQ视频这两种应用为例,随机抓取这两种应用的连接数据包进行报文分析,若这两种报文的存在相同的报文特征值,则确定这两种应用使用了同一套协议规范;S2、获取复用协议的报文,提取所述复用协议的共有特征和私有特征,编译形成特征库并加载;抓取QQ音乐和QQ视频的报文获取复用协议规范,提取复用协议中两种应用共同的特征即共有特征;同时区分所述复用协议规范中哪些行为是独有的,比如说QQ音乐会连接腾讯的音乐点播服务器,而QQ视频会连接腾讯的视频点播服务器,分别提取这些特征,即私有特征;将QQ音乐和QQ视频的共有特征规则和私有特征规则编译成特征库并加载。S3、监控主机发送的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定超时时间;若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否有所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在所述实时行为,则识别为所述实时行为的对应协议,否则继续扫描。其中,若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为,否则查询所述主机是否存在记录行为。扫描主机产生的流量,这里主机即发生QQ音乐或者QQ视频流量的计算机,基于特征库,如果发现连接的流量匹配命中QQ音乐私有特征,则记录“访问QQ音乐服务器”的行为,此行为即为历史行为,如果发现连接的流量匹配命中QQ视频私有特征,则记录“访问QQ视频服务器”的行为,并设定所述的历史行为的时间限制;时间限制是指这个行为可信任的时间,超过这个时间我们就不信任这个已经发生过的行为,在实现层,可认为是记录保存的期限,超过这个期限,所述历史行为将被删除。这里的匹配使用常见字符串匹配算法即可实现。扫描主机产生的流量,如果发现连接的流量匹配命中所述QQ音乐和QQ视频共有的特征,由于所述QQ音乐和QQ视频的复用协议包含前后的时间关系,不需要为数据提供实时特征传送服务,查询该主机的历史行为,是否有“访问QQ音乐服务器”的历史行为或者“访问QQ视频服务器”的历史行为,如果有则将该连接识别为“QQ音乐”协议或者“QQ视频”协议;否,则继续查询。但如果复用协议是为数据提供具有实时特征传送服务的协议,一般这类协议有一个共同的特征:一个会话包括几种不同功能的流,比如最常见的SIP协议和H.323协议,他们的会话中都会包含控制流和数据流,数据流一般使用RTP协议进行传输数据,因此,一条独立的RTP流是不能判断这条流是属于SIP协议还是H.323协议,这时需要查询实时行为,查看当时是否有SIP协议或者H.323协议同时存在,如果有SIP协议或者H.323协议同时存在,则识别为SIP协议或H.323协议。同时本发明还提供一种基于行为特征的复用协议识别系统,该系统如图2所示包括:特征库形成模块,用于获取复用协议的报文,并所述提取复用协议的共有特征规则和私有特征规则,并编译形成特征库;协议识别模块,与特征库形成模块连接,扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定超时时间;若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
权利要求
1.一种基于行为特征的复用协议识别方法,其特征在于,该方法包括步骤: 51、获取并分析多个具体协议应用的报文,确定所述多个具体协议应用的复用协议的种类; 52、获取复用协议的报文,提取所述复用协议的共有特征和私有特征,编译形成特征库并加载; 53、扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定所述行为的时间限制; 若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。
2.如权利要求1所述方法,其特征在于,所述步骤SI具体包括:随机抓取多个具体协议应用的报文并进行分析,若所述报文存在相同的报文特征值,则确定所述多个具体协议应用使用了同一套协议规范。
3.如权利要求1所述方法,其特征在于,步骤S3中所述查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为进一步包括: 若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为,否则查询所述主机是否存在记录行为。
4.一种基于行为特征的复用协议识别系统,其特征在于,该系统包括: 特征库形成模块,用于获取复用协议的报文,并所述提取复用协议的共有特征规则和私有特征规则,并编译形成特征库; 协议识别模块,与特征库形成模块连接,扫描主机产生的连接流量,若发现连接匹配命中所述特征库中的私有特征,则记录该行为,设定超时时间; 若发现连接匹配命中所述特征库中的共有特征,则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在实时行为,则识别所述连接为所述实时行为的对应协议,否则继续扫描。
全文摘要
本发明提供一种基于行为特征的复用协议识别方法及系统,该方法包括获取并分析多个具体协议应用的报文,确定所述多个具体协议应用的复用协议的种类;获取复用协议的报文,提取所述复用协议的共有特征和私有特征,编译形成特征库并加载;扫描主机产生的连接流量,若发现连接匹配命中私有特征,则记录该行为,设定超时时间;若发现连接匹配命中共有特征,则查询所述主机是否有所述记录行为或查询所述主机是否存在实时行为,若存在所述记录行为,则识别所述连接为所述记录行为的对应协议;若存在所述实时行为,则识别为所述实时行为的对应协议,否则继续扫描。通过本发明能够有效识别复用协议下各个具体协议,提高了协议识别的精度。
文档编号H04L29/06GK103179123SQ20131009702
公开日2013年6月26日 申请日期2013年3月25日 优先权日2013年3月25日
发明者董茂培, 陈金达, 杨宇云, 余兆, 许晶, 刘伟, 祝方方 申请人:汉柏科技有限公司