本发明专利技术提供一种解封装的协议识别方法及系统,该方法包括:获取封装协议的报文,提取封装协议的特征码;获取应用协议的报文,提取应用协议的特征码;对所述封装协议和应用协议的特征码进行编译形成特征库并加载;扫描主机发送的所有连接,若发现当前连接的报文匹配命中所述特征库中封装协议的特征码,则继续扫描当前连接的后续报文,若后续报文匹配命中所述特征库中应用协议的特征码,则将所述当前连接识别为应用协议,否则,将所述当前连接识别为封装协议。通过本发明专利技术提高了协议识别和应用控制的粒度。
【技术实现步骤摘要】
本专利技术涉及互联网
,特别涉及一种解封装的协议识别方法及系统。
技术介绍
IT业在世界范围内迅猛发展,尤其Internet的发展,连入internet的计算机数迅速增加,各行各业对internet的依赖性不断增强。但伴随着Internet的发展,也不断出现新的技术问题,如IP地址耗尽,网络资源征用和网络安全等。代理服务器的出现缓解了上述问题,代理服务器使用的是Proxy,Socks封装协议,它们代替内网的客户端向浏览器发出资源请求,而请求可以在代理服务器本身得到服务,也可以传向其他服务器。在一般协议识别技术中,采用粗粒度的识别方法,即封装协议的报文经过应用程序中的识别模块识别为相应的封装协议,但这种识别结果不能满足封装应用识别和应用控制的力度要求。例如QQ登录时候网络设置中可以选择代理,比如SOCKS代理,如选择代理后,则QQ会被误识别为SOCKS协议,这种识别结果显然不能满足协议识别的需求。
技术实现思路
(一 )所要解决的技术问题通过本专利技术提供一种解封装的协议识别方法及系统,解决了将被封装协议识别为封装协议的问题。( 二 )技术方案本专利技术提供一种解除封装的协议识别方法,该方法包括:S1、获取封装协议的报文,提取封装协议的特征码;S2、获取应用协议的报文,提取应用协议的特征码;S3、对所述封装协议和应用协议的特征码进行编译形成特征库并加载;S4、扫描主机发送的所有连接,若发现当前连接的报文匹配命中所述特征库中封装协议的特征码,则继续扫描当前连接的后续报文,若后续报文匹配命中所述特征库中应用协议的特征码,则将所述当前连接识别为应用协议,否则,将所述当前连接识别为封装协议。本专利技术还提供了一种解除封装的协议识别系统,该系统包括:特征码提取模块,用于提取封装协议和应用协议的特征码,将特征码发送给特征码编译模块;特征码编译模块,与所述特征码提取模块连接,用于对所述特征码进行编译形成特征库;协议识别模块,与所述特征码编译模块连接,用于扫描主机发送的所有连接,若发现当前连接的报文匹配命中所述特征库中封装协议的特征码,则继续扫描当前连接的后续报文,若后续报文匹配命中所述特征库中应用协议的特征码,则将所述当前连接识别为应用协议,否则,将所述当前连接识别为封装协议。其中,所述协议识别模块采用深度包检测技术。(三)有益效果本专利技术实现方法和原有的粗粒度识别方法不同,原有粗粒度识别方法,命中某种协议后即将其连接识别为命中的协议,本专利技术从更深层次挖掘封装协议的特征,从封装协议后续的报文中提取被封协议的特征,从而区分了使用相同封装协议下的不同应用协议,从而提高了协议识别和应用控制的粒度。附图说明图1为本专利技术所提供方法的步骤流程图2为本专利技术所提供系统的模块连接图。具体实施方式下面结合附图和具体实施例,对本专利技术的具体实施方式做进一步详细说明。本专利技术提供给了一种解除封装的协议识别方法,本专利技术中封装是指一条连接中封装协议中包含着另一个协议即被封装协议,简单起见,这里封装协议采用SOCKS协议,应用协议即被封装协议采用QQ登陆的应用协议,该方法包括:S1、获取封装协议的报文,提取封装协议的特征码:优选地,通过打开抓包工具,抓取SOCKS协议一定的数据包,保存数据包,获取到SOCKS的报文。针对所述的SOCKS的报文提取SOCKS协议的特征码。S2、获取应用协议的报文,提取应用协议的特征码;QQ通过SOCKS代理服务器登陆,抓包工具抓取一定数据包获得QQ登陆的报文,并提取特征码。S3、对所述封装协议和应用协议的特征码进行编译形成特征库并加载:S4、扫描主机发送的所有连接,若发现当前连接的报文匹配命中所述特征库中封装协议的特征码,则继续扫描当前连接的后续报文,若后续报文匹配命中所述特征库中应用协议的特征码,则将所述当前连接识别为应用协议,否则,将所述当前连接识别为封装协议:扫描主机产生发送的所有连接即流量,如果扫描到的当前连接的报文匹配到SOCKS协议的特征码,则继续扫描该连接的后续报文,一旦连接匹配到QQ协议的特征码,则将该当前连接识别为QQ协议,这样就将QQ协议从SOCKS协议中解封装出来,否则将连接识别为SOCKS协议。因为一条连接中有很多的数据包,若识别出来的不是封装协议,这条连接已经被识别出来,则该链接的后续的报文就不需要继续扫描。本专利技术还提供了一种解除封装的协议识别系统,所述系统包括:特征码提取模块、特征码编译模块和协议识别模块,其中,特征码提取模块,用于提取封装协议和应用协议的特征码,将特征码发送给特征码编译模块;特征码编译模块,与所述特征码提取模块连接,用于对特征码进行编译形成特征库;协议识别模块,与所述特征码编译模块连接,用于扫描主机发送的所有连接,若发现当前连接的报文匹配命中所述特征库中封装协议的特征码,则继续扫描当前连接的后续报文,若后续报文匹配命中所述特征库中应用协议的特征码,则将所述当前连接识别为应用协议,否则,将所述当前连接识别为封装协议。其中,协议识别模块中报文匹配和协议识别采用深度包检测技术DPI。本专利技术实施例所述解封装的协议识别方法和系统从更深层次挖掘封装协议的特征,从封装协议后续的报文中提取被封协议的特征,从而区分了使用相同封装协议下的不同应用协议,从而提高了协议识别和应用控制的粒度。以上所述仅是本专利技术的优选实施方式,应当指出,对于本
的普通技术人员来说,在不脱离本专利技术技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本专利技术的保护范围。本文档来自技高网...
【技术保护点】
一种解除封装的协议识别方法,其特征在于,该方法包括:S1、获取封装协议的报文,提取封装协议的特征码;S2、获取应用协议的报文,提取应用协议的特征码;S3、对所述封装协议和应用协议的特征码进行编译形成特征库并加载;S4、扫描主机发送的所有连接,若发现当前连接的报文匹配命中所述特征库中封装协议的特征码,则继续扫描当前连接的后续报文,若后续报文匹配命中所述特征库中应用协议的特征码,则将所述当前连接识别为应用协议,否则,将所述当前连接识别为封装协议。
【技术特征摘要】
1.一种解除封装的协议识别方法,其特征在于,该方法包括: 51、获取封装协议的报文,提取封装协议的特征码; 52、获取应用协议的报文,提取应用协议的特征码; 53、对所述封装协议和应用协议的特征码进行编译形成特征库并加载; 54、扫描主机发送的所有连接,若发现当前连接的报文匹配命中所述特征库中封装协议的特征码,则继续扫描当前连接的后续报文,若后续报文匹配命中所述特征库中应用协议的特征码,则将所述当前连接识别为应用协议,否则,将所述当前连接识别为封装协议。2.一种解除封装的协议识别系统,其特征在于,该系统包括...
【专利技术属性】
技术研发人员:许晶,董茂培,陈金达,杨宇云,余兆,刘伟,祝方方,
申请(专利权)人:汉柏科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。