基于流形态特征的应用行为识别方法及系统技术方案

本发明专利技术揭示了一种基于流形态特征的应用行为识别方法及系统，方法包括首先，建立流形态特征库；其次，监控网络流量并分析和汇总当前网络数据流的流形态特征信息；最后，将汇总后的流形态特征信息与所述流形态特征库进行匹配，若匹配，则将识别出的应用行为产生的数据流信息进行标记。本发明专利技术在判断网络应用行为时无需对网络报文进行逐一解析，只需比对网络报文的数据流形态特征即可判断出网络应用行为的类型，识别速度快。

Application behavior recognition method and system based on flow shape feature

The invention discloses a system and method for identifying flow behavior based on morphology, including the first method, establish flow pattern feature library; secondly, monitor network traffic and analyze and summarize the current network data flow feature information; finally, the aggregated state manifold feature information and the flow pattern feature library to match, if the match, it will have to identify the application behavior data flow information tag. When judging the network application behavior, the network message can not be parsed one by one, and the type of network application behavior can be judged only by comparing the morphological characteristics of the data flow of the network message, and the recognition speed is fast.

【技术实现步骤摘要】
基于流形态特征的应用行为识别方法及系统
本专利技术涉及一种网络安全
，尤其是涉及一种基于流形态特征的应用行为识别方法及系统。
技术介绍
随着互联网的迅速发展，各种新的互联网应用不断涌现，在方便人们生产生活的同时，势必会引入新的，更复杂的安全隐患。因此，对这些互联网应用的深度识别会有助于人们更好的掌控网络的安全，从而对一些非法的、未受控制的应用行为加以控制，避免给工作及生活带来不同程度的影响。传统的互联网应用行为识别有两种方法，一种是基于端口的应用行为识别，随着各种互联网应用迅猛增长，端口识别的方法应用识别率越来越较低。另一种是通过扫描报文内容进行应用行为识别的方法，此种方法通过扫描报文内容并与预先提取的协议特征库进行比对从而识别应用行为，但是需要对每个数据包进行查看，识别效率较低。
技术实现思路
本专利技术的目的在于克服现有技术的缺陷，提供一种基于流形态特征的应用行为识别方法及系统，能够快速识别网络应用行为。为实现上述目的，本专利技术提出如下技术方案：一种基于流形态的应用行为识别方法，包括如下步骤：步骤1，建立流形态特征库；步骤2，监控网络流量并分析和汇总当前网络数据流的流形态特征信息，形成待分析数据流的流形态特征；步骤3，将待分析数据流的流形态特征与所述流形态特征库进行匹配，若匹配，则将识别出的应用行为将其产生的数据流信息进行标记。优选地，所述流形态特征库的建立包括如下步骤:步骤101，建立若干个流形态特征类别；步骤102，执行网络应用行为，同时采集网络中数据包中出现频率最高的形态特征；步骤103，判断采集到的形态特征与网络应用自身的形态特征是否相匹配，若匹配，则将所述形态特征分配至相应的流形态特征类别中，形成流形态特征库。优选地，所述流形态特征包括传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征。优选地，步骤3中，流形态特征信息与流形态特征库匹配包括如下步骤:步骤301，判断待分析数据流是否为TCP流，若是，则直接执行步骤302；否则，进一步判断待分析数据流是否为UDP流，若是，则执行步骤302；步骤302，判断待分析数据流中服务端口范围匹配是否与流形态特征库中服务端口范围相匹配，若是，则执行步骤303；否则，结束匹配；步骤303，判断待分析数据流中请求流形态特征值是否与流形态特征库中请求流形态特征值相匹配，若是，则执行步骤304；步骤304，判断判断待分析数据流中应答流形态特征值是否与流形态特征库中应答流形态特征值相匹配，则对识别出的应用行为产生的数据流进行标记。优选地，所述步骤304还包括，对识别出的网络应用行为进行记录。一种基于流形态特征的应用行为识别系统，包括流形态特征库单元、流特征信息扫描单元，以及流特征分类匹配单元；所述流形态特征库单元用于建立流形态特征库；所述流特征信息扫描单元用于监控网络流量并分析和汇总当前网络中数据流的流形态特征信息，形成待分析数据流的流形态特征；所述流特征分类匹配单元将待分析数据流的流形态特征信息与所述流形态特征库进行匹配。优选地，所述流形态特征库单元包括流形态特征提取单元和流形态特征分类单元，所述流形态特征提取单元用于提取网络应用的数据流形态特征，流形态特征分类单元用于验证提取到的数据流形态特征并将其添加至相应的流形态特征分类中。优选地，所述流特征分类匹配单元包括传输层协议匹配单元、服务端口匹配单元、请求流形态匹配单元、应答流形态匹配单元，传输层协议匹配单元用于匹配传输层协议是否为TCP或者UDP；服务端口匹配单元用于匹配数据传输端口范围；请求流形态匹配单元用于匹配数据流中请求流形态特征值；应答流形态匹配单元用于匹配数据流中应答流形态特征值。优选地，所述流特征信息扫描单元包括特征扫描模单元，所述特征扫描单元用于对数据流中的数据包进行分析获得形态特征，并将这些形态特征进行汇总。优选地，所述系统还包括网络行为识别输出单元，所述网络行为识别输出单元用于记录已经识别出的网络中的所有应用行为。本专利技术的有益效果是：与现有技术相比，本专利技术在判断网络应用行为时无需对网络报文进行逐一解析，只需比对网络报文的数据流形态特征即可判断出网络应用行为的类型，识别速度快。附图说明图1是本专利技术的应用行为识别方法流程图示意图；图2是本专利技术的流形态特征库建立方法流程图示意图；图3是本专利技术的流形态特征信息与流形态特征库匹配流程图示意图；图4是本专利技术的应用行为识别系统结构框图示意图。具体实施方式下面将结合本专利技术的附图，对本专利技术实施例的技术方案进行清楚、完整的描述。如图1所示，本专利技术所揭示的一种基于流形态特征的应用行为识别方法，包括如下步骤：步骤1，建立流形态特征库；具体的，流形态特征库是网络应用行为流形态特征的集合，其将应用行为的数据包形态特征分为若干个类别，如P2P特征类、网络流媒体特征类、视频网站特征类等。本实施例中，所述流形态特征包括传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征。其中，如图2所示，所述流形态特征库的建立包括如下步骤：步骤101，建立若干个流形态特征类别；步骤102，执行网络应用行为，同时采集网络数据包中出现频率最高的形态特征；步骤103，判断采集到的形态特征与网络应用自身的形态特征是否相匹配，若匹配，则将所述形态特征分配至相应的流形态特征类别中，形成流形态特征库。具体的，每个网络应用软件在执行某一行为时都有自己特有的流形态特征，如使用迅雷软件在执行下载时的流形态特征如下：begin；name＝Thunder；chn_name＝迅雷；id＝3104；class＝common；proto＝17//传输层协议是UDP；len＝12-120//仅关注长度为数据12-120的数据包；max_pkts＝30//每条数据流上最多关注30个数据包；sport＝1025-65535//源端口范围；dport＝1025-65535//目的端口范围；flow_request＝8＝32:0:0:25:69-120:78-90:89:37:18:13//从数据流上第8个数据包开始的请求流形态特征；flow_response＝8＝75:62:0:82:46-65:12:18:63:68:42//从数据流上第8个数据包开始的应答流形态特征；end。在网络应用软件使用过程中会出现大量的形态特征，其中某一形态特征出现的频率相对其他形态特征出现的频率较高，如使用迅雷下载时，上述形态特征出现的频率最高，通过判断采集到的形态特征与上述特征是否一致，若两者一致，则将迅雷下载归类至P2P特征类。通过不断的采集、分析，归类，最终形成适用于多种网络应用软件的流形态特征库。步骤2，监控网络流量并分析和汇总当前网络中数据流的流形态特征信息，形成待分析数据流的流形态特征；具体的，网络应用软件在使用过程中形成数据流，数据流中每个数据包的大小等等不尽相同，因此网络应用软件在使用过程会形成自己特有的流形态特征，如上所述的迅雷软件在下载时会产生自己特有的流形态特征。对数据流中的数据包进行分析获得形态特征，并将这些形态特征进行汇总。由于流形态特征主要关注传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征，因此，根据上述形态特征对当前网络应用数据本文档来自技高网...

【技术保护点】
一种基于流形态特征的应用行为识别方法，其特征在于，包括如下步骤：步骤1，建立流形态特征库；步骤2，监控网络流量并分析和汇总当前网络数据流的流形态特征信息，形成待分析数据流的流形态特征；步骤3，将待分析数据流的流形态特征与所述流形态特征库进行匹配，若匹配，则将识别出的应用行为产生的数据流进行标记。

【技术特征摘要】
1.一种基于流形态特征的应用行为识别方法，其特征在于，包括如下步骤：步骤1，建立流形态特征库；步骤2，监控网络流量并分析和汇总当前网络数据流的流形态特征信息，形成待分析数据流的流形态特征；步骤3，将待分析数据流的流形态特征与所述流形态特征库进行匹配，若匹配，则将识别出的应用行为产生的数据流进行标记。2.根据权利要求1所述的基于流形态特征的应用行为识别方法，其特征在于，步骤1中，所述流形态特征库的建立包括如下步骤:步骤101，建立若干个流形态特征类别；步骤102，执行网络应用行为，同时采集网络数据包中出现频率最高的形态特征；步骤103，判断采集到的形态特征与网络应用自身的形态特征是否相匹配，若匹配，则将所述形态特征分配至相应的流形态特征类别中，形成流形态特征库。3.根据权利要求1所述的基于流形态特征的应用行为识别方法，其特征在于，所述流形态特征包括传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征。4.根据权利要求1所述的基于流形态特征的应用行为识别方法，其特征在于，步骤3中，流形态特征信息与流形态特征库匹配包括如下步骤:步骤301，判断待分析数据流是否为TCP流，若是，则直接执行步骤302；否则，进一步判断待分析数据流是否为UDP流，若是，则执行步骤302；步骤302，判断待分析数据流中服务端口范围匹配是否与流形态特征库中服务端口范围相匹配，若匹配，则执行步骤303；步骤303，判断待分析数据流中请求流形态特征值是否与流形态特征库中请求流形态特征值相匹配，若匹配，则执行步骤304；步骤304，判断待分析数据流中应答流形态特征值是否与流形态特征库中应答流形态特征值相匹配，若匹配，则将识别出的应用行为产生的数据流进行标记。5.根据权利要求4...

【专利技术属性】
技术研发人员：张勇进，郑朝晖，荆胜利，
申请(专利权)人：苏州海加网络科技股份有限公司，
类型：发明
国别省市：江苏,32