本发明专利技术公开了一种加密流量的业务识别方法和装置。所述方法包括:在加密流量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。本发明专利技术可以通过大量样本预先获知每种业务的业务特征,并根据每种业务的业务特征来识别加密流量中不可识别加密流所属的业务,本发明专利技术还也可以根据能够正常识别出业务的加密流来识别加密流量中不可识别加密流所属的业务,弥补了技术空白。
【技术实现步骤摘要】
本专利技术涉及通信
,特别是涉及一种加密流量的业务识别方法和装置。
技术介绍
随着网络通信技术的发展,互联网信息安全已经成为日益关注的问题,许多应用程序使用加密的方式来保护其数据内容。安全套接层(Secure Sockets Layer,简称SSL)协议是应用最为广泛的网络数据安全传输协议。例如:从谷歌服务器向外发送信息时,都会采用SSL协议加密的数据流量。在一些应用场景中,如数据审计,需要对加密流量中的加密流所属的业务进行识别。传统的做法是根据加密流量中加密流的域名特征来识别。但是,在加密流量中经常出现大量域名特征相同、但业务不同的加密流。例如:用户访问谷歌地图的街景功能业务和谷歌地球的街景功能业务,所产生的加密流量的域名特征都为geo0.ggpht.com,因此无法通过域名特征geo0.ggpht.com来识别加密流量属于谷歌地图的街景功能业务或谷歌地球的街景功能业务。因此,目前针对域名特征相同的加密流无法识别其所属的业务。
技术实现思路
本专利技术提供一种加密流量的业务识别方法和装置,用以解决现有技术无法识别域名特征相同的加密流所属的业务的问题。针对上述技术问题,本专利技术是通过以下技术方案来解决的。本专利技术提供了一种加密流量的业务识别方法,包括:在加密流量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。其中,根据预先分析获得的每种业务的业务特征,识别所述不可识别加密流所属的业务,包括:在所述不可识别加密流中,提取n个数据包;其中,n>0;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。其中,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。其中,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务,包括:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z>0;在识别所述不可识别加密流所属的业务时,判定所述预设数量的数据包符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。其中,根据所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务,包括:在所述加密流量中,提取多个可识别加密流;分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。本专利技术还提供了一种加密流量的业务识别装置,包括:提取模块,用于在加密流量中,提取不可识别加密流;识别模块,用于根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。其中,所述提取模块,还用于在所述不可识别加密流中,提取n个数据包;其中,n>0;所述识别模块,用于根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。其中,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。其中,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;所述识别模块,具体用于:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z>0;所述识别模块判定所述预设数量的数据包符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。其中,所述提取模块,还用于在所述加密流量中,提取多个可识别加密流;所述识别模块,还用于分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同属于一个业务,则将所述业务作为不可识别加密流所属的业务。本专利技术有益效果如下:本专利技术可以通过大量样本预先获知每种业务的业务特征,并根据每种业务的业务特征来识别加密流量中不可识别加密流所属的业务,本专利技术还也可以根据能够正常识别出业务的加密流来识别加密流量中不可识别加密流所属的业务,弥补了技术空白。附图说明图1是根据本专利技术一实施例的加密流量的业务识别方法的流程图;图2是根据本专利技术一实施例根据业务特征识别加密流所属业务的步骤流程图;图3是根据本专利技术一实施例的根据可识别加密流识别不可识别加密流所属业务的步骤流程图;图4是根据本专利技术一实施例的根据可识别加密流识别不可识别加密流所属业务的步骤的具体流程图;图5是根据本专利技术一实施例的加密流量的业务识别装置的结构图。具体实施方式本专利技术的主要思想在于,针对域名特征相同的加密流量,根据预先分析获得的每种业务的业务特征、或者根据加密流量中的可识别数据流量所属的业务,来识别不可识别数据流量所属的业务,进而弥补了技术空白。以下结合附图以及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不限定本专利技术。本实施例提供了一种加密流量的业务识别方法。如图1所示,为根据本专利技术一实施例的加密流量的业务识别方法的流程图。步骤S110,在加密流量中,提取不可识别加密流。加密流量为采用SSL协议加密处理后的数据流量。在客户端和服务器建立通信连接之后,抓取数据流量,获取数据流量中的加密流量。在加密流量中包括多个加密流,加密流分为可识别加密流和不可识别加密流。同一个加密流中的数据包五元组相同,即源端口号、目的端口本文档来自技高网...
【技术保护点】
一种加密流量的业务识别方法,其特征在于,包括:在加密流量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。
【技术特征摘要】
1.一种加密流量的业务识别方法,其特征在于,包括:在加密流量中,提取不可识别加密流;根据预先分析获得的每种业务的业务特征、或者所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务。2.如权利要求1所述的方法,其特征在于,根据预先分析获得的每种业务的业务特征,识别所述不可识别加密流所属的业务,包括:在所述不可识别加密流中,提取n个数据包;其中,n>0;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务;其中,所述n个数据包符合所述业务的业务特征。3.如权利要求2所述的方法,其特征在于,所述业务特征包括:业务的加密流的域名特征;在业务的加密流中,m个数据包中上行数据包的数量范围i或下行数据包的数量范围j;在业务的加密流中,m个数据包中处于预设包长范围内的数据包的数量范围k;其中,m>0,m个数据包为所述加密流中用于数据交互的数据包。4.如权利要求3所述的方法,其特征在于,在提取的所述n个数据包中,包括一个用于建立会话的数据包、以及多个用于数据交互的数据包;其中,所述多个用于数据交互的数据包的数量为m个;根据提取的所述n个数据包,识别所述不可识别加密流所属的业务,包括:根据所述用于建立会话的数据包,提取所述不可识别加密流的域名特征;在所述多个用于数据交互的数据包中,分别计算上行数据包的数量x和下行数据包的数量y;其中,x≥,y≥0;在所述多个用于数据交互的数据包中,分别计算每个数据包的包长,并统计处于预设包长范围内的数据包数量z;其中,z≥0;在识别所述不可识别加密流所属的业务时,判定所述n个数据包符合所述业务的业务特征的条件包括:所述不可识别加密流的域名特征与所述业务特征中的域名特征相同;所述上行数据包的数量x处于所述业务特征中的数量范围i内、或者所述下行数据包的数量y处于所述业务特征中的数量范围j内;以及,所述处于预设包长范围内的数据包数量z处于所述业务特征中的数量范围k内。5.如权利要求1所述的方法,其特征在于,根据所述加密流量中的可识别加密流,识别所述不可识别加密流所属的业务,包括:在所述加密流量中,提取多个可识别加密流;分别识别每个所述可识别加密流所属的业务;如果多个所述可识别加密流分属不同的业务,则将包含可识别加密流流量最多的业务,作为不可识别加密流所属的业务;如果多个所述可识别加密流同...
【专利技术属性】
技术研发人员:陈娟,刘青海,刘晓波,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。