识别出的所述待识别数据网络协议。
[0241] 识别结果存储单元7,用于保存所述通过校验单元6校验的待识别数据的IP端口 和网络协议。
[0242] 预识别单元8,用于当有新的待识别数据时,根据新的待识别数据的IP端口,在所 述识别结果存储单元7中匹配查找新的待识别数据的IP端口,对其进行预识别,查找匹配 成功则直接确定与该IP端口相应的网络协议为所述新待识别数据的网络协议。
[0243] 虽然本发明所揭露的实施方式如上,然而所述的内容并非用以直接限定本发明的 保护范围。任何本发明所属技术领域中技术人员,在不脱离本发明所揭露的精神和范围的 前提下,可以在实施的形式上及细节上作些许的更动。本发明的保护范围,仍须以所附的权 利要求书所界定的范围为准。
【主权项】
1. 一种网络协议识别方法,其特征在于,所述方法包括: 将相同IP端口的码流数据进行比对,获得各网络协议中固定的特征信息; 依照各网络协议中所述特征信息出现的次序将所述特征信息存入协议知识库; 将所述协议知识库存储的特征信息构建决策树,所述决策树中的叶子节点标识该叶子 节点所在分支的网络协议; 根据所述决策树各节点和各节点分支标识的信息,对待识别数据进行协议识别; 根据识别到达的叶子节点确定所述待识别数据的网络协议。2. 根据权利要求1所述的方法,其特征在于,所述方法还包括: 若识别不能到达叶子节点,则将与该待识别数据相同IP端口的数据码流进行比对,获 取该IP端口数据码流中确定的特征信息,将新的所述特征信息更新至所述协议知识库并 根据所述更新的协议知识库更新所述决策树。3. 根据权利要求2所述的方法,其特征在于,所述方法还包括: 根据所述协议知识库中存储的网络协议特征信息校验所述决策树识别出的所述待识 别数据网络协议,校验通过则本次协议识别完成。4. 根据权利要求3所述的方法,其特征在于,所述方法还包括: 将所述通过校验的待识别数据的IP端口和与该IP端口对应的网络协议存储存储结 构,当有新的待识别数据时,先在所述存储结构中匹配查找新的待识别数据的IP端口,查 找匹配成功则直接确定与该IP端口相应的网络协议为所述新待识别数据的网络协议。5. 根据权利要求1至4中任一所述的方法,其特征在于,所述将相同IP端口的码流数 据进行比对,获得各网络协议中确定的特征信息的方法具体为: 使用特征向量标识所述码流数据比对过程中保持不变数据,依次序记录所述保持不变 的数据和该数据的起始位置,并将所述各起始位置和从所述各起始位置开始保持不变的数 据标记为该IP端口网络协议固定的特征信息。6. 根据权利要求5所述的方法,其特征在于,所述依照各网络协议中所述特征信息出 现的次序将所述特征信息存入协议知识库的方法具体为: 创建所述协议知识库,将所述各网络协议中出现次序相同的特征信息存入以顺序标识 命名的特征字段列中,每个网络协议中的所有特征信息依次序存入相同的行中。7. 根据权利要求6所述的方法,其特征在于,所述将所述协议知识库存储的特征信息 构建决策树的方法具体为: 计算各特征字段的增益,并获得各特征字段所包含的特征信息子集数量; 根据所述各特征字段增益由大到小确定决策树中父节点和子节点,根据所述各特征字 段所包含的特征信息子集数量确定该节点的分支; 从所述决策树的根节点通过一条分支路径到达的叶子节点为包含这条分支路径上所 有特征信息的网络协议。8. 根据权利要求7所述的方法,其特征在于,根据所述决策树各节点和各节点分支标 识的信息,对待识别数据进行协议识别的方法具体为: 接收待识别数据,根据所述决策树中根节点分支所指示的特征信息与所述待识别数据 中相应位置的数据进行比对; 根据所述比对结果为特征信息一致的分支获得下一个节点,并根据该节点分支所指示 的特征信息继续与所述待识别数据中相应位置的数据进行比对。9. 根据权利要求8所述的方法,其特征在于,所述使用特征向量标识所述码流数据比 对过程中保持不变数据,依次序记录所述保持不变的数据和该数据的起始位置的方法具体 为: 分别创建码流数组和与所述码流数组对应的特征向量数组,所述特征向量数组各位置 的初始值均设置为固定标识,所述码流数组初始存储当前码流数据; 根据所述特征向量的固定标识位置信息,对待比对码流数据和所述当前码流数据的相 应位置进行一致性比对; 记录比对过程中保持不变数据和该数据的起始位置,并根据比对过程中不一致的位置 信息将所述特征向量数组中的相应位置更新为变化标识,将所述待比对码流数据更新至所 述码流数组。10. 根据权利要求9所述的方法,其特征在于,所述计算各特征字段增益的方法具体 为: 计算所述协议知识库中所有特征字段的先验熵; 计算所述协议知识库中每个特征字段的后验熵; 获取所述先验熵与所述每个特征字段后验熵的差值,即为所述各特征字段的增益。11. 一种网络协议识别装置,其特征在于,所述装置包括: 特征信息获取单元,用于将相同IP端口的码流数据进行比对,获得各网络协议中确定 的特征信息; 协议知识库,用于依照所述各特征信息出现的次序,存储所述特征信息获取单元获取 的各网络协议中所述特征信息; 决策树构建单元,用于将所述协议知识库存储的特征信息构建决策树,所述决策树中 的叶子节点标识该叶子节点所在分支的网络协议; 协议识别单元,用于根据所述决策树构建单元构建的决策树中各节点和各节点分支标 识的信息,对待识别数据进行协议识别,根据识别到达的叶子节点确定所述待识别数据的 网络协议。12. 根据权利要求11所述的装置,其特征在于,所述装置还包括自学习单元: 若所述协议识别单元对待识别数据的协议识别不能到达叶子节点,则所述特征信息获 取单元将与该待识别数据相同IP端口的数据码流进行比对,获取该IP端口数据码流中确 定的特征信息; 自学习单元,用于进行协议特征自学习,将所述特征信息获取单元获取的新所述特征 信息更新至所述协议知识库并根据所述更新的协议知识库更新所述决策树。13. 根据权利要求12所述的装置,其特征在于,所述装置还包括: 校验单元,用于根据所述协议知识库中存储的网络协议特征信息校验通过所述协议识 别单元识别出的所述待识别数据网络协议。14. 根据权利要求13所述的装置,其特征在于,所述装置还包括: 识别结果存储单元,用于保存所述通过校验单元校验的待识别数据的IP端口和网络 协议; 预识别单元,用于当有新的待识别数据时,根据新的待识别数据的IP端口,在所述识 别结果存储单元中匹配查找新的待识别数据的IP端口,对其进行预识别,查找匹配成功则 直接确定与该IP端口相应的网络协议为所述新待识别数据的网络协议。15. 根据权利要求11至14中任一所述的方法,其特征在于,所述特征信息获取单元进 一步包括: 码流数组,用于存储各IP端口的当前码流数据; 特征向量数组,用于存储与所述码流数组IP端口对应的特征向量,各位置初始值均设 置为固定标识; 数据比对和特征信息获取模块,用于将码流数组中的当前码流数据和待比对数据进行 逐位置比对,获取比对后确定的信息为特征信息; 更新模块,用于根据所述数据比对和特征信息获取模块比对过程中不一致的位置信息 将所述特征向量数组中的相应位置更新为变化标识,将所述待比对码流数据更新至所述码 流数组。16. 根据权利要求15所述的装置,其特征在于: 所述协议知识库将所述各网络协议中出现次序相同的特征信息存入以顺序标识命名 的特征字段列中,每个网络协议中的所有特征信息依次序存入相同的行中。17. 根据权利要求16所述的装置,其特征在于,所述决策树构建单元进一步包括: 计算模块,用于获得所述协议知识库中各特征字段所包含的特征信息子集数量,并计 算各特征字段的增益; 树构建模块,用于依照以下规则构建决策树,根据所述计算模块计算的各特征字段增 益由大到小确定决策树中父节点和子节点,根据所述各特征字段所包含的特征信息子集数 量确定该节点的分支,从所述决策树的根节点通过一条分支路径到达的叶子节点为包含这 条分支路径上所有特征信息的网络协议。18. 根据权利要求17所述的装置,其特征在于,所述协议识别单元进行网络协议识别 的方法具体为: 接收待识别数据,依照所述决策树中根节点分支所指示的特征信息对所述待识别数据 进行比对; 根据所述比对结果为特征信息一致的分支获得下一个节点,并根据该节点分支所指示 的特征信息继续对所述待识别数据进行比对。19. 根据权利要求18所述的装置,其特征在于,所述计算模块计算各特征字段增益的 方法具体为: 计算所述协议知识库中所有特征字段的先验熵; 计算所述协议知识库中每个特征字段的后验熵; 获取所述先验熵与所述每个特征字段后验熵的差值,即为所述各特征字段的增益。
【专利摘要】本发明公开一种网络协议识别方法,将相同IP端口的码流数据进行比对,获得各网络协议中固定的特征信息;依照各网络协议中所述特征信息出现的次序将所述特征信息存入协议知识库;将所述协议知识库存储的特征信息构建决策树,所述决策树中的叶子节点标识该叶子节点所在分支的网络协议;根据所述决策树各节点和各节点分支标识的信息,对待识别数据进行协议识别;根据识别到达的叶子节点确定所述待识别数据的网络协议,使用本发明可快速识别码流数据的网络协议。本发明还公开一种网络协议识别装置。
【IPC分类】H04L29/06, G06F17/30
【公开号】CN105282123
【申请号】CN201410355849
【发明人】周春楠, 刘凌, 郭波, 杨宁怿, 赵贵阳, 张雪山, 刘玉莲
【申请人】亿阳安全技术有限公司
【公开日】2016年1月27日
【申请日】2014年7月24日