專利名稱:基于主機(jī)行為的多維度協(xié)議識別方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)應(yīng)用技術(shù)領(lǐng)域,特別涉及一種基于主機(jī)行為的多維度協(xié)議識 別方法。
背景技術(shù):
隨著以TCP/IP技術(shù)為基礎(chǔ)的互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)結(jié)構(gòu)逐漸從傳統(tǒng)的客戶端 /服務(wù)器(C/S)模式轉(zhuǎn)向端到端(P2P)模式,網(wǎng)絡(luò)應(yīng)用逐漸從網(wǎng)頁瀏覽、電子郵件、文字 聊天轉(zhuǎn)變?yōu)槲募螺d、高清晰音頻視頻,帶寬資源日漸緊張。而且,以迅雷和電驢為代 表的P2P下載占用了大量網(wǎng)絡(luò)帶寬,導(dǎo)致網(wǎng)絡(luò)擁塞,大大降低了網(wǎng)絡(luò)性能,妨礙了正常 的網(wǎng)絡(luò)業(yè)務(wù)開展和關(guān)健應(yīng)用,嚴(yán)重影響了用戶正常的Web,E-mail等應(yīng)用。同時,這些 P2P下載可以穿透現(xiàn)有防火墻和安全代理,通過并不安全的網(wǎng)絡(luò)環(huán)境獲得應(yīng)用于電影、音 樂、游戲等各種應(yīng)用程序,使得病毒得以躲過安全審查入侵內(nèi)部網(wǎng)絡(luò),造成嚴(yán)重的內(nèi)部 網(wǎng)絡(luò)安全隱患。這些P2P下載工具使用第四代P2P協(xié)議,即私有協(xié)議和偽裝協(xié)議相結(jié)合的混合下 載方式,且采用偽裝技術(shù)企圖逃避ISP (IntemetService Provider,互聯(lián)網(wǎng)服務(wù)提供商)的監(jiān) 管,比如使用http和ftp這些傳統(tǒng)協(xié)議進(jìn)行下載,這種偽裝的下載方式對協(xié)議識別工作提 出了非常嚴(yán)峻的挑戰(zhàn)。目前,對于迅雷等下載工具偽裝http的連接,一般僅能從http頭部字段中提取客 戶端及瀏覽器信息作為特征進(jìn)行識別,但是這種識別方法的誤識別概率高,且更新周期 短,很難長期有效。不能高效率地完成對迅雷等P2P下載的識別,進(jìn)而無法實(shí)現(xiàn)對網(wǎng)絡(luò) 流量的控制。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問題本發(fā)明要解決的技術(shù)問題是,針對上述缺陷,如何提供一種基于主機(jī)行為的多 維度協(xié)議識別方法,能夠高效率地完成對迅雷等P2P下載工具的偽裝協(xié)議的識別,進(jìn)而 實(shí)現(xiàn)對網(wǎng)絡(luò)流量的控制。( 二 )技術(shù)方案為解決上述技術(shù)問題,本發(fā)明提供了一種基于主機(jī)行為的多維度協(xié)議識別方 法,所述方法包括步驟A 預(yù)先設(shè)定用于協(xié)議識別的主機(jī)行為維度和各個主機(jī)行為維度的取值范 圍;步驟B 檢測所有連接中是否含有端到端P2P下載工具的私有協(xié)議,如果有, 則確定主機(jī);否則,判定所有連接中不含有任何P2P下載工具的偽裝協(xié)議;步驟C:在預(yù)定時間段內(nèi)監(jiān)控并記錄該主機(jī)中所述P2P下載工具在各個主機(jī)行 為維度的取值范圍,如果該主機(jī)中所述P2P下載工具在各個主機(jī)行為維度的取值范圍分別與預(yù)定的各個主機(jī)行為維度的取值范圍相匹配,則判定該主機(jī)的連接中含有所述P2P 下載工具的偽裝協(xié)議;否則,判定該主機(jī)的連接中不含有所述P2P下載工具的偽裝協(xié) 議。優(yōu)選地,步驟A中所述主機(jī)行為維度包括時間差、端口差和載荷差。優(yōu)選地,步驟A中所述主機(jī)行為維度的取值范圍包括時間差取值范圍、端口 差取值范圍和載荷差取值范圍。優(yōu)選地,步驟C中該主機(jī)中所述P2P下載工具在各個主機(jī)行為維度的取值范圍 分別與預(yù)定的各個主機(jī)行為維度的取值范圍相匹配包括所述P2P下載工具的偽裝協(xié)議 與所述P2P下載工具的私有協(xié)議創(chuàng)建連接的時間差取值范圍與預(yù)定的時間差取值范圍相 匹配,所述P2P下載工具的偽裝協(xié)議連接與所述P2P下載工具的私有協(xié)議連接的端口差取 值范圍與預(yù)定的端口差取值范圍相匹配,以及所述P2P下載工具的偽裝協(xié)議連接與所述 P2P下載工具的私有協(xié)議連接的載荷差取值范圍與預(yù)定的載荷差取值范圍相匹配。優(yōu)選地,步驟B中所述P2P下載工具包括迅雷和電驢。優(yōu)選地,所述P2P下載工具的偽裝協(xié)議包括超文本傳輸協(xié)議http、文件傳輸協(xié) 議ftp或加密協(xié)議。(三)有益效果本發(fā)明提出了一種基于主機(jī)行為的多維度協(xié)議識別方法,與傳統(tǒng)協(xié)議識別方法 不同,其更多地從統(tǒng)計(jì)學(xué)角度提取特征,通過預(yù)先設(shè)定用于協(xié)議識別的主機(jī)行為維度和 各個主機(jī)行為維度的取值范圍;檢測所有連接中含有P2P下載工具的私有協(xié)議后確定主 機(jī);在預(yù)定時間段內(nèi)監(jiān)控并記錄該主機(jī)中所述P2P下載工具的偽裝協(xié)議在各個主機(jī)行 為維度的取值范圍,如果該主機(jī)中所述P2P下載工具的偽裝協(xié)議在各個主機(jī)行為維度的 取值范圍分別與預(yù)定的各個主機(jī)行為維度的取值范圍相匹配,則判定該主機(jī)的連接中含 有所述P2P下載工具的偽裝協(xié)議,在分析混合協(xié)議、加密協(xié)議方面,體現(xiàn)了較高的優(yōu)越 性,能夠高效率地完成對迅雷等P2P下載工具的偽裝協(xié)議的識別,進(jìn)而實(shí)現(xiàn)對網(wǎng)絡(luò)流量 的控制。
圖1本發(fā)明實(shí)施例的基于主機(jī)行為的多維度協(xié)議識別方法的流程圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例,對本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)描述。以下實(shí) 施例用于說明本發(fā)明,但不用來限制本發(fā)明的范圍。行為識別技術(shù)屬于混合識別技術(shù),本發(fā)明利用該技術(shù)基于主機(jī)行為有效組合了 報文分析、流分析的技術(shù),達(dá)到識別迅雷等P2P下載工具的偽裝協(xié)議的目的。局部性原理是計(jì)算機(jī)領(lǐng)域的重要思想,其包括兩種不同類型的局部性時間局 部性(Temporal Locality),表示如果一個信息項(xiàng)正在被訪問,那么在近期它很可能還會被 再次訪問,程序循環(huán)、堆棧等是產(chǎn)生時間局部性的原因;空間局部性(Spatial Locality), 表示在最近的將來將用到的信息很可能與現(xiàn)在正在使用的信息在空間地址上是臨近的, 指令的順序執(zhí)行、數(shù)組的連續(xù)存放等是產(chǎn)生空間局部性的原因。
本發(fā)明所述的基于主機(jī)行為的多維度協(xié)議識別方法利用了上述局部性原理中的 時間局部性和空間局部性。例如,在本發(fā)明中,時間局部性對應(yīng)于連接的創(chuàng)建時間,即 偽裝協(xié)議和私有協(xié)議連接的創(chuàng)建時間差,空間局部性對應(yīng)于連接的端口、載荷,即偽裝 協(xié)議和私有協(xié)議連接的端口差、載荷差等。圖1本發(fā)明實(shí)施例的基于主機(jī)行為的多維度協(xié)議識別方法的流程圖;參見圖1, 所述方法包括步驟A 預(yù)先設(shè)定用于協(xié)議識別的主機(jī)行為維度和各個主機(jī)行為維度的取值范 圍;在本步驟中,可以選擇任意個主機(jī)行為維度,例如,所述主機(jī)行為維度可以包 括時間差、端口差和載荷差,并設(shè)定各個主機(jī)行為維度的取值范圍,例如時間差取值 范圍、端口差取值范圍和載荷差取值范圍,所述各個主機(jī)行為維度的取值范圍可以根據(jù) 實(shí)際工作需要來確定;步驟B:檢測所有連接中是否含有P2P下載工具的私有協(xié)議,如果有,則確定 主機(jī);否則,判定所有連接中不含有任何P2P下載工具的偽裝協(xié)議;在本步驟中,可以通過現(xiàn)有的報文分析等方法檢測所有連接中是否含有P2P下 載工具的私有協(xié)議,其并不是本發(fā)明的重點(diǎn),在此不再詳述。在本步驟中,所述P2P下載工具包括迅雷和電驢等;所述P2P下載工具的偽裝 協(xié)議包括超文本傳輸協(xié)議(http)、文件傳輸協(xié)議(ftp)或加密協(xié)議等;步驟C 在預(yù)定時間段內(nèi)監(jiān)控并記錄該主機(jī)中所述P2P下載工具在各個主機(jī)行 為維度的取值范圍,如果該主機(jī)中所述P2P下載工具在各個主機(jī)行為維度的取值范圍分 別與預(yù)定的各個主機(jī)行為維度的取值范圍相匹配,則判定該主機(jī)的連接中含有所述P2P 下載工具的偽裝協(xié)議;否則,判定該主機(jī)的連接中不含有所述P2P下載工具的偽裝協(xié) 議;在本步驟中,該主機(jī)中所述P2P下載工具在各個主機(jī)行為維度的取值范圍分別 與預(yù)定的各個主機(jī)行為維度的取值范圍相匹配包括所述P2P下載工具的偽裝協(xié)議與 所述P2P下載工具的私有協(xié)議創(chuàng)建連接的時間差取值范圍與預(yù)定的時間差取值范圍相匹 配,所述P2P下載工具的偽裝協(xié)議連接與所述P2P下載工具的私有協(xié)議連接的端口差取值 范圍與預(yù)定的端口差取值范圍相匹配,以及所述P2P下載工具的偽裝協(xié)議連接與所述P2P 下載工具的私有協(xié)議連接的載荷差取值范圍與預(yù)定的載荷差取值范圍相匹配。綜上所述,本發(fā)明提供了一種基于主機(jī)行為的多維度協(xié)議識別方法,與傳統(tǒng)協(xié) 議識別方法不同,其更多地從統(tǒng)計(jì)學(xué)角度提取特征,通過預(yù)先設(shè)定用于協(xié)議識別的主機(jī) 行為維度和各個主機(jī)行為維度的取值范圍;檢測所有連接中含有P2P下載工具的私有協(xié) 議后確定主機(jī);在預(yù)定時間段內(nèi)監(jiān)控并記錄該主機(jī)中所述P2P下載工具在各個主機(jī)行為 維度的取值范圍,如果該主機(jī)中所述P2P下載工具在各個主機(jī)行為維度的取值范圍分別 與預(yù)定的各個主機(jī)行為維度的取值范圍相匹配,則判定該主機(jī)的連接中含有所述P2P下 載工具的偽裝協(xié)議,在分析混合協(xié)議、加密協(xié)議方面,體現(xiàn)了較高的優(yōu)越性,能夠高效 率地完成對迅雷等P2P下載工具的偽裝協(xié)議的識別,進(jìn)而實(shí)現(xiàn)對網(wǎng)絡(luò)流量的控制。以上實(shí)施方式僅用于說明本發(fā)明,而并非對本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普 通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
1.一種基于主機(jī)行為的多維度協(xié)議識別方法,其特征在于,所述方法包括步驟A:預(yù)先設(shè)定用于協(xié)議識別的主機(jī)行為維度和各個主機(jī)行為維度的取值范圍;步驟B:檢測所有連接中是否含有端到端P2P下載工具的私有協(xié)議,如果有,則確 定主機(jī);否則,判定所有連接中不含有任何P2P下載工具的偽裝協(xié)議;步驟C 在預(yù)定時間段內(nèi)監(jiān)控并記錄該主機(jī)中所述P2P下載工具在各個主機(jī)行為維 度的取值范圍,如果該主機(jī)中所述P2P下載工具在各個主機(jī)行為維度的取值范圍分別與 預(yù)定的各個主機(jī)行為維度的取值范圍相匹配,則判定該主機(jī)的連接中含有所述P2P下載 工具的偽裝協(xié)議;否則,判定該主機(jī)的連接中不含有所述P2P下載工具的偽裝協(xié)議。
2.根據(jù)權(quán)利要求1所述的權(quán)利要求,其特征在于,步驟A中所述主機(jī)行為維度包括 時間差、端口差和載荷差。
3.根據(jù)權(quán)利要求2所述的權(quán)利要求,其特征在于,步驟A中所述主機(jī)行為維度的取值 范圍包括時間差取值范圍、端口差取值范圍和載荷差取值范圍。
4.根據(jù)權(quán)利要求3所述的權(quán)利要求,其特征在于,步驟C中該主機(jī)中所述P2P下載工 具在各個主機(jī)行為維度的取值范圍分別與預(yù)定的各個主機(jī)行為維度的取值范圍相匹配包 括所述P2P下載工具的偽裝協(xié)議與所述P2P下載工具的私有協(xié)議創(chuàng)建連接的時間差取 值范圍與預(yù)定的時間差取值范圍相匹配,所述P2P下載工具的偽裝協(xié)議連接與所述P2P下 載工具的私有協(xié)議連接的端口差取值范圍與預(yù)定的端口差取值范圍相匹配,以及所述P2P 下載工具的偽裝協(xié)議連接與所述P2P下載工具的私有協(xié)議連接的載荷差取值范圍與預(yù)定 的載荷差取值范圍相匹配。
5.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的權(quán)利要求,其特征在于,步驟B中所述P2P下 載工具包括迅雷和電驢。
6.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的權(quán)利要求,其特征在于,所述P2P下載工具的偽 裝協(xié)議包括超文本傳輸協(xié)議http、文件傳輸協(xié)議ftp或加密協(xié)議。
全文摘要
本發(fā)明公開了一種基于主機(jī)行為的多維度協(xié)議識別方法,所述方法包括步驟A預(yù)先設(shè)定用于協(xié)議識別的主機(jī)行為維度和各個主機(jī)行為維度的取值范圍;步驟B檢測所有連接中含有端到端P2P下載工具的私有協(xié)議后確定主機(jī);步驟C在預(yù)定時間段內(nèi)監(jiān)控并記錄該主機(jī)中所述P2P下載工具在各個主機(jī)行為維度的取值范圍,如果該主機(jī)中所述P2P下載工具在各個主機(jī)行為維度的取值范圍分別與預(yù)定的各個主機(jī)行為維度的取值范圍相匹配,則判定該主機(jī)的連接中含有所述P2P下載工具的偽裝協(xié)議;否則,判定該主機(jī)的連接中不含有所述P2P下載工具的偽裝協(xié)議。應(yīng)用本發(fā)明的方法,能夠高效率地完成對迅雷等P2P下載工具的偽裝協(xié)議的識別,進(jìn)而實(shí)現(xiàn)對網(wǎng)絡(luò)流量的控制。
文檔編號H04L29/08GK102025739SQ201010586958
公開日2011年4月20日 申請日期2010年12月14日 優(yōu)先權(quán)日2010年12月14日
發(fā)明者王博, 董健, 董茂培 申請人:漢柏科技有限公司