專利名稱:基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的p2p協(xié)議識(shí)別方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域���,特別涉及一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法����。
背景技術(shù):
協(xié)議識(shí)別�,是指對(duì)網(wǎng)絡(luò)鏈路上傳輸?shù)牧髁克褂玫膮f(xié)議類型進(jìn)行識(shí)別�。傳統(tǒng)的協(xié)議識(shí)別主要有兩種方法:一種是基于掃描報(bào)文內(nèi)容進(jìn)行識(shí)別的技術(shù),該方法主要采用掃描報(bào)文內(nèi)容并與預(yù)先提取的協(xié)議特征庫(kù)對(duì)比的手段進(jìn)行識(shí)別�����,比如BT協(xié)議報(bào)文會(huì)包含"BitTorrent protocol"關(guān)鍵字����,根據(jù)這些關(guān)鍵字進(jìn)行識(shí)別,該識(shí)別方法準(zhǔn)確率高,但是對(duì)于加密鏈接和無(wú)關(guān)鍵字特征的應(yīng)用�����,則不起作用����。另一種識(shí)別方法是基于統(tǒng)計(jì)報(bào)文信息的數(shù)據(jù)模型進(jìn)行的識(shí)別,其統(tǒng)計(jì)對(duì)象包括IP地址�����、端口��、報(bào)文負(fù)載以及報(bào)文速率等��,該方法識(shí)別效率高�����,且可以識(shí)別加密鏈接�����,但是其識(shí)別率差�,誤識(shí)別率較高。基于此�����,現(xiàn)有技術(shù)仍有待于改善����。
發(fā)明內(nèi)容
針對(duì)現(xiàn)有技術(shù)的不足,本發(fā)明提供一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法�����,其能夠提高P2P協(xié)議的識(shí)別率���,細(xì)化P2P協(xié)議識(shí)別的粒度�����,進(jìn)而實(shí)現(xiàn)對(duì)應(yīng)用網(wǎng)絡(luò)流量的精確控制。為實(shí)現(xiàn)以上目的��,本發(fā)明通過(guò)以下技術(shù)方案予以實(shí)現(xiàn):
本發(fā)明提供一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法��,其特征在于���,包括以下步驟:S1����、建立協(xié)議特征庫(kù):提取采用P2P協(xié)議的應(yīng)用的協(xié)議內(nèi)容特征和行為識(shí)別特征,進(jìn)行加載及編譯���,形成協(xié)議特征庫(kù)���;S2、監(jiān)控主機(jī)流量���,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配�����,確定所述待識(shí)別應(yīng)用采用的協(xié)議類型��。優(yōu)選的��,所述步驟S2進(jìn)一步包括:監(jiān)控主機(jī)流量����,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配��,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的協(xié)議內(nèi)容特征匹配,則將所述待識(shí)別應(yīng)用標(biāo)識(shí)為采用P2P協(xié)議的應(yīng)用���,并記錄該待識(shí)別應(yīng)用的出現(xiàn)事件�,將所述該識(shí)別應(yīng)用加入到歷史P2P應(yīng)用識(shí)別事件表中�,且放棄對(duì)所述待識(shí)別應(yīng)用的流量監(jiān)控。優(yōu)選的����,所述步驟S2進(jìn)一步包括:對(duì)所述加入到歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用設(shè)置超時(shí)時(shí)間。優(yōu)選的�����,所述步驟S2進(jìn)一步包括:監(jiān)控主機(jī)流量����,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的行為識(shí)別特征匹配�,則將該待識(shí)別應(yīng)用標(biāo)識(shí)為采用類P2P協(xié)議的應(yīng)用����。優(yōu)選的,所述步驟S2進(jìn)一步包括:將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配����,若匹配成功����,則將所述采用類P2P協(xié)議的應(yīng)用標(biāo)識(shí)為采用P2P協(xié)議的應(yīng)用�,且放棄對(duì)其的流量監(jiān)控;若匹配不成功�����,則對(duì)所述采用類P2P協(xié)議的應(yīng)用繼續(xù)進(jìn)行流量監(jiān)控�。優(yōu)選的,所述步驟S2進(jìn)一步包括:在將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配時(shí)����,先判斷所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用是否超過(guò)了預(yù)設(shè)的超時(shí)時(shí)間,若是��,則跳過(guò)該應(yīng)用���,若不是�,再將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配����。優(yōu)選的�����,所述步驟S2進(jìn)一步包括:預(yù)設(shè)報(bào)文數(shù)量閥值�,判斷處于流量監(jiān)控狀態(tài)的所述采用類P2P協(xié)議的應(yīng)用報(bào)文數(shù)是否超過(guò)所述報(bào)文數(shù)量閥值�,若不是,則繼續(xù)對(duì)其進(jìn)行流量監(jiān)控�;若是,則放棄對(duì)其的流量監(jiān)控�����,并將該應(yīng)用最終標(biāo)識(shí)為采用類P2P協(xié)議的應(yīng)用�����。優(yōu)選的�,所述步驟S2進(jìn)一步包括:
監(jiān)控主機(jī)流量,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配�,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的協(xié)議內(nèi)容特征及行為識(shí)別特征均不匹配,則將所述待識(shí)別應(yīng)用標(biāo)識(shí)為未知應(yīng)用���。本發(fā)明通過(guò)提供一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法�����,利用協(xié)議內(nèi)容識(shí)別特征的準(zhǔn)確性和協(xié)議行為識(shí)別方式識(shí)別機(jī)制的高效性�����,通過(guò)延遲關(guān)聯(lián)技術(shù)來(lái)識(shí)別P2P應(yīng)用協(xié)議�,提高了 P2P協(xié)議的識(shí)別率����,細(xì)化了 P2P協(xié)議識(shí)別的粒度,進(jìn)而實(shí)現(xiàn)對(duì)應(yīng)用網(wǎng)絡(luò)流量的精確控制����。
圖1為本發(fā)明一實(shí)施例的流程圖。
具體實(shí)施例方式下面對(duì)于本發(fā)明所提出的一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法����,結(jié)合附圖和實(shí)施例詳細(xì)說(shuō)明。如圖1所示�,本發(fā)明提供一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法,其特征在于�����,包括以下步驟:S1�、建立協(xié)議特征庫(kù):提取采用P2P協(xié)議的應(yīng)用的協(xié)議內(nèi)容特征和行為識(shí)別特征�,進(jìn)行加載及編譯�����,形成協(xié)議特征庫(kù)��;S2����、監(jiān)控主機(jī)流量,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配����,確定所述待識(shí)別應(yīng)用采用的協(xié)議類型。優(yōu)選的�,所述步驟S2進(jìn)一步包括:監(jiān)控主機(jī)流量,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配��,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的協(xié)議內(nèi)容特征匹配���,則將所述待識(shí)別應(yīng)用標(biāo)識(shí)為采用P2P協(xié)議的應(yīng)用�����,并記錄該待識(shí)別應(yīng)用的出現(xiàn)事件�,將所述該識(shí)別應(yīng)用加入到歷史P2P應(yīng)用識(shí)別事件表中,且放棄對(duì)所述待識(shí)別應(yīng)用的流量監(jiān)控��。優(yōu)選的���,所述步驟S2進(jìn)一步包括:對(duì)所述加入到歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用設(shè)置超時(shí)時(shí)間。優(yōu)選的��,所述步驟S2進(jìn)一步包括:監(jiān)控主機(jī)流量����,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的行為識(shí)別特征匹配��,則將該待識(shí)別應(yīng)用標(biāo)識(shí)為采用類P2P協(xié)議的應(yīng)用�����。優(yōu)選的�����,所述步驟S2進(jìn)一步包括:將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配����,若匹配成功���,則將所述采用類P2P協(xié)議的應(yīng)用標(biāo)識(shí)為采用P2P協(xié)議的應(yīng)用,且放棄對(duì)其的流量監(jiān)控���;若匹配不成功���,則對(duì)所述采用類P2P協(xié)議的應(yīng)用繼續(xù)進(jìn)行流量監(jiān)控。優(yōu)選的�����,所述步驟S2進(jìn)一步包括:在將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配時(shí)�,先判斷所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用是否超過(guò)了預(yù)設(shè)的超時(shí)時(shí)間,若是���,則跳過(guò)該應(yīng)用�����,若不是�,再將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配��。優(yōu)選的,所述步驟S2進(jìn)一步包括:預(yù)設(shè)報(bào)文數(shù)量閥值�,判斷處于流量監(jiān)控狀態(tài)的所述采用類P2P協(xié)議的應(yīng)用報(bào)文數(shù)是否超過(guò)所述報(bào)文數(shù)量閥值,若不是�����,則繼續(xù)對(duì)其進(jìn)行流量監(jiān)控����;若是�,則放棄對(duì)其的流量監(jiān)控,并將該應(yīng)用最終標(biāo)識(shí)為采用類P2P協(xié)議的應(yīng)用����。優(yōu)選的,所述步驟S2進(jìn)一步包括:監(jiān)控主機(jī)流量����,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的協(xié)議內(nèi)容特征及行為識(shí)別特征均不匹配����,則將所述待識(shí)別應(yīng)用標(biāo)識(shí)為未知應(yīng)用。
本發(fā)明通過(guò)提供一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法�����,利用協(xié)議內(nèi)容識(shí)別特征的準(zhǔn)確性和協(xié)議行為識(shí)別方式識(shí)別機(jī)制的高效性,通過(guò)延遲關(guān)聯(lián)技術(shù)來(lái)識(shí)別P2P應(yīng)用協(xié)議����,提高了 P2P協(xié)議的識(shí)別率,細(xì)化了 P2P協(xié)議識(shí)別的粒度��,進(jìn)而實(shí)現(xiàn)對(duì)應(yīng)用網(wǎng)絡(luò)流量的精確控制�����。以上實(shí)施方式僅用于說(shuō)明本發(fā)明��,而并非對(duì)本發(fā)明的限制���,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員�����,在不脫離本發(fā)明的精神和范圍的情況下����,還可以做出各種變化和變型��,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定���。
權(quán)利要求
1.一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法�����,其特征在于���,包括以下步驟: 51、建立協(xié)議特征庫(kù):提取采用P2P協(xié)議的應(yīng)用的協(xié)議內(nèi)容特征和行為識(shí)別特征��,進(jìn)行加載及編譯����,形成協(xié)議特征庫(kù)�����; 52���、監(jiān)控主機(jī)流量��,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配��,確定所述待識(shí)別應(yīng)用采用的協(xié)議類型����。
2.如權(quán)利要求1所述的方法,其特征在于�����,所述步驟S2進(jìn)一步包括: 監(jiān)控主機(jī)流量�����,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配�,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的協(xié)議內(nèi)容特征匹配,則將所述待識(shí)別應(yīng)用標(biāo)識(shí)為采用P2P協(xié)議的應(yīng)用��,并記錄該待識(shí)別應(yīng)用的出現(xiàn)事件����,將所述該識(shí)別應(yīng)用加入到歷史P2P應(yīng)用識(shí)別事件表中,且放棄對(duì)所述待識(shí)別應(yīng)用的流量監(jiān)控���。
3.如權(quán)利要求2所述的方法����,其特征在于,所述步驟S2進(jìn)一步包括:對(duì)所述加入到歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用設(shè)置超時(shí)時(shí)間��。
4.如權(quán)利要求3所述的方法�����,其特征在于�����,所述步驟S2進(jìn)一步包括: 監(jiān)控主機(jī)流量��,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配���,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的行為識(shí)別特征匹配�����,則將該待識(shí)別應(yīng)用標(biāo)識(shí)為采用類P2P協(xié)議的應(yīng)用。
5.如權(quán)利要求4所述的方法�����,其特征在于���,所述步驟S2進(jìn)一步包括: 將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配��,若匹配成功����,則將所述采用類P2P協(xié) 議的應(yīng)用標(biāo)識(shí)為采用P2P協(xié)議的應(yīng)用,且放棄對(duì)其的流量監(jiān)控�;若匹配不成功,則對(duì)所述采用類P2P協(xié)議的應(yīng)用繼續(xù)進(jìn)行流量監(jiān)控��。
6.如權(quán)利要求5所述的方法���,其特征在于��,所述步驟S2進(jìn)一步包括:在將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配時(shí)���,先判斷所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用是否超過(guò)了預(yù)設(shè)的超時(shí)時(shí)間,若是����,則跳過(guò)該應(yīng)用,若不是��,再將所述采用類P2P協(xié)議的應(yīng)用與所述歷史P2P應(yīng)用識(shí)別事件表中的應(yīng)用進(jìn)行匹配���。
7.如權(quán)利要求6所述的方法��,其特征在于�,所述步驟S2進(jìn)一步包括: 預(yù)設(shè)報(bào)文數(shù)量閥值,判斷處于流量監(jiān)控狀態(tài)的所述采用類P2P協(xié)議的應(yīng)用報(bào)文數(shù)是否超過(guò)所述報(bào)文數(shù)量閥值����,若不是,則繼續(xù)對(duì)其進(jìn)行流量監(jiān)控���;若是����,則放棄對(duì)其的流量監(jiān)控��,并將該應(yīng)用最終標(biāo)識(shí)為采用類P2P協(xié)議的應(yīng)用��。
8.如權(quán)利要求1所述的方法��,其特征在于���,所述步驟S2進(jìn)一步包括: 監(jiān)控主機(jī)流量,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配�,若所述待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)中的協(xié)議內(nèi)容特征及行為識(shí)別特征均不匹配�,則將所述待識(shí)別應(yīng)用標(biāo)識(shí)為未知應(yīng)用��。
全文摘要
本發(fā)明提供一種基于協(xié)議內(nèi)容識(shí)別和行為識(shí)別的P2P協(xié)議識(shí)別方法����,包括以下步驟S1、建立協(xié)議特征庫(kù)提取采用P2P協(xié)議的應(yīng)用的協(xié)議內(nèi)容特征和行為識(shí)別特征����,進(jìn)行加載及編譯,形成協(xié)議特征庫(kù)�;S2、監(jiān)控主機(jī)流量��,將待識(shí)別應(yīng)用與所述協(xié)議特征庫(kù)進(jìn)行匹配�����,確定所述待識(shí)別應(yīng)用采用的協(xié)議類型���;本發(fā)明利用協(xié)議內(nèi)容識(shí)別特征的準(zhǔn)確性和協(xié)議行為識(shí)別方式識(shí)別機(jī)制的高效性���,通過(guò)延遲關(guān)聯(lián)技術(shù)來(lái)識(shí)別P2P應(yīng)用協(xié)議,提高了P2P協(xié)議的識(shí)別率,細(xì)化了P2P協(xié)議識(shí)別的粒度�,進(jìn)而實(shí)現(xiàn)對(duì)應(yīng)用網(wǎng)絡(luò)流量的精確控制。
文檔編號(hào)H04L29/08GK103220329SQ20131007076
公開(kāi)日2013年7月24日 申請(qǐng)日期2013年3月7日 優(yōu)先權(quán)日2013年3月7日
發(fā)明者陳金達(dá), 董茂培, 楊宇云, 余兆, 許晶, 劉偉, 祝方方 申請(qǐng)人:漢柏科技有限公司