The invention discloses a network protocol identification method, relating to the technical field of network security. A plurality of data to the same session at the beginning of the packet structure caused by network protocol model, and the first known network protocol library using the same method to construct the protocol model, to match the success of the network protocol model known as network protocol, the matching fails, then with unknown network protocol library using the same method to construct the protocol model matching, and using the update strategy for dynamic updates to the unknown network protocol library. This method can identify known network protocols and unknown network protocols simultaneously, and can update the protocol library adaptively, and improve the recognition rate and recognition speed of the unknown network protocols.
【技术实现步骤摘要】
一种实时识别网络协议的方法
本专利技术涉及网络安全
,具体而言,涉及一种网络协议识别方法。
技术介绍
随着网络技术的不断发展,网络流量激增,这些流量中不仅包含了已知网络协议,还包含了大量的未知网络协议流量,面对这些大量的数据流量时,需要分别进行识别。现有的针对已知网络协议的识别方法,大多分为两类:一类是是基于端口进行的,但是端口识别法会出现大量误报漏报的情况;另一类是基于单个数据包进行字符串匹配的方式,这种方式需要人为不断收集样本和不断更新协议库,工作量很大。而现有针对未知网络协议识别的方法,大多基于机器学习的,这些方法或者采用了非监督机器学习,或者采用了监督机器学习,要么无法准确分类,要么依赖大量标定数据集,另一方面,这些方法大多是基于整个流的协议匹配,这种误报比较少,但是识别速度无法满足未知网络协议实时识别的要求。综上所述,现有技术中对采用同一种方式来识别现有网络协议以及未知网络协议的研究较少,且现有技术都需要人为的进行收集大量样本和分析,并更新协议库。因此我们需要一种技术能够同时识别已知网络协议以及未知网络协议,并且能够自适应的去更新协议库,提高未知网络协议的识别率和识别速度,做到对网络协议的实时识别。
技术实现思路
本专利技术的目的在于提供一种网络协议识别方法,能够同时识别已知网络协议以及未知网络协议,并且能够自适应的去更新协议库,提高未知网络协议的识别率和识别速度。为了实现上述目的,本专利技术实施例采用的技术方案如下:一种网络协议识别方法,所述方法包括:获取在传输网络数据时同一会话开始时的多个数据包作为待识别网络数据包;将所述待识别网络数据包构 ...
【技术保护点】
一种网络协议识别方法,其特征在于,所述方法包括:获取在传输网络数据时同一会话开始时的多个数据包作为待识别网络数据包;将所述待识别网络数据包构造成网络协议模型;将所述网络协议模型与已知网络协议模型库中模型进行匹配,其中已知网络协议模型库中模型是由已知网络协议的网络数据包构造的;如果与已知网络协议模型库中模型匹配成功,则所述网络协议模型为已知网络协议模型;如果与已知网络协议模型库中所有模型匹配失败,则所述网络协议模型为未知网络协议模型,将所述网络协议模型与未知网络协议模型库中已有模型进行匹配,并采用未知网络协议更新策略对未知网络协议模型库进行更新,其中未知网络协议模型库中模型是由未知网络协议的网络数据包构造的。
【技术特征摘要】
1.一种网络协议识别方法,其特征在于,所述方法包括:获取在传输网络数据时同一会话开始时的多个数据包作为待识别网络数据包;将所述待识别网络数据包构造成网络协议模型;将所述网络协议模型与已知网络协议模型库中模型进行匹配,其中已知网络协议模型库中模型是由已知网络协议的网络数据包构造的;如果与已知网络协议模型库中模型匹配成功,则所述网络协议模型为已知网络协议模型;如果与已知网络协议模型库中所有模型匹配失败,则所述网络协议模型为未知网络协议模型,将所述网络协议模型与未知网络协议模型库中已有模型进行匹配,并采用未知网络协议更新策略对未知网络协议模型库进行更新,其中未知网络协议模型库中模型是由未知网络协议的网络数据包构造的。2.根据权利要求1所述的方法,其特征在于,将所述待识别网络数据包构造成网络协议模型,具体为:人工指定至少一个构造所述网络协议模型所需的模型属性参数;根据所述待识别网络数据包,计算所述网络协议模型的各个属性参数对应的频率分布,各个频率分布共同构成了所述网络协议模型。3.根据权利要求1所述的方法,其特征在于,将所述网络协议模型与已知网络协议模型库中模型进行匹配,具体为:将所述网络协议模型与已知网络协议模型库中的模型按照从头到尾的顺序逐一进行匹配;将所述网络协议模型的各个属性参数的频率分布逐一与已知网络协议模型库中取出的模型对应的各个属性参数的频率分布计算KL距离,并对所有KL距离求和;如果所述KL距离之和小于预设的第一距离阈值,则认为匹配成功,即认为该待识别网络数据包为已知网络协议;如果所述KL距离之和大于等于预设的第一距离阈值,则认为匹配失败,如果匹配失败,判断是否匹配到已知网络协议模型库中的最后一个模型;如果是已知网络协议模型库中的最后一个模型,则结束匹配,所...
【专利技术属性】
技术研发人员:钟云,朱永强,黄筱聪,
申请(专利权)人:成都网安科技发展有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。