The invention discloses a system and method for identifying flow behavior based on morphology, including the first method, establish flow pattern feature library; secondly, monitor network traffic and analyze and summarize the current network data flow feature information; finally, the aggregated state manifold feature information and the flow pattern feature library to match, if the match, it will have to identify the application behavior data flow information tag. When judging the network application behavior, the network message can not be parsed one by one, and the type of network application behavior can be judged only by comparing the morphological characteristics of the data flow of the network message, and the recognition speed is fast.
【技术实现步骤摘要】
基于流形态特征的应用行为识别方法及系统
本专利技术涉及一种网络安全
,尤其是涉及一种基于流形态特征的应用行为识别方法及系统。
技术介绍
随着互联网的迅速发展,各种新的互联网应用不断涌现,在方便人们生产生活的同时,势必会引入新的,更复杂的安全隐患。因此,对这些互联网应用的深度识别会有助于人们更好的掌控网络的安全,从而对一些非法的、未受控制的应用行为加以控制,避免给工作及生活带来不同程度的影响。传统的互联网应用行为识别有两种方法,一种是基于端口的应用行为识别,随着各种互联网应用迅猛增长,端口识别的方法应用识别率越来越较低。另一种是通过扫描报文内容进行应用行为识别的方法,此种方法通过扫描报文内容并与预先提取的协议特征库进行比对从而识别应用行为,但是需要对每个数据包进行查看,识别效率较低。
技术实现思路
本专利技术的目的在于克服现有技术的缺陷,提供一种基于流形态特征的应用行为识别方法及系统,能够快速识别网络应用行为。为实现上述目的,本专利技术提出如下技术方案:一种基于流形态的应用行为识别方法,包括如下步骤:步骤1,建立流形态特征库;步骤2,监控网络流量并分析和汇总当前网络数据流的流形态特征信息,形成待分析数据流的流形态特征;步骤3,将待分析数据流的流形态特征与所述流形态特征库进行匹配,若匹配,则将识别出的应用行为将其产生的数据流信息进行标记。优选地,所述流形态特征库的建立包括如下步骤:步骤101,建立若干个流形态特征类别;步骤102,执行网络应用行为,同时采集网络中数据包中出现频率最高的形态特征;步骤103,判断采集到的形态特征与网络应用自身的形态特征是否相匹配 ...
【技术保护点】
一种基于流形态特征的应用行为识别方法,其特征在于,包括如下步骤:步骤1,建立流形态特征库;步骤2,监控网络流量并分析和汇总当前网络数据流的流形态特征信息,形成待分析数据流的流形态特征;步骤3,将待分析数据流的流形态特征与所述流形态特征库进行匹配,若匹配,则将识别出的应用行为产生的数据流进行标记。
【技术特征摘要】
1.一种基于流形态特征的应用行为识别方法,其特征在于,包括如下步骤:步骤1,建立流形态特征库;步骤2,监控网络流量并分析和汇总当前网络数据流的流形态特征信息,形成待分析数据流的流形态特征;步骤3,将待分析数据流的流形态特征与所述流形态特征库进行匹配,若匹配,则将识别出的应用行为产生的数据流进行标记。2.根据权利要求1所述的基于流形态特征的应用行为识别方法,其特征在于,步骤1中,所述流形态特征库的建立包括如下步骤:步骤101,建立若干个流形态特征类别;步骤102,执行网络应用行为,同时采集网络数据包中出现频率最高的形态特征;步骤103,判断采集到的形态特征与网络应用自身的形态特征是否相匹配,若匹配,则将所述形态特征分配至相应的流形态特征类别中,形成流形态特征库。3.根据权利要求1所述的基于流形态特征的应用行为识别方法,其特征在于,所述流形态特征包括传输层协议、服务端口范围、关注数据包的最大个数、请求流形态特征、应答流形态特征。4.根据权利要求1所述的基于流形态特征的应用行为识别方法,其特征在于,步骤3中,流形态特征信息与流形态特征库匹配包括如下步骤:步骤301,判断待分析数据流是否为TCP流,若是,则直接执行步骤302;否则,进一步判断待分析数据流是否为UDP流,若是,则执行步骤302;步骤302,判断待分析数据流中服务端口范围匹配是否与流形态特征库中服务端口范围相匹配,若匹配,则执行步骤303;步骤303,判断待分析数据流中请求流形态特征值是否与流形态特征库中请求流形态特征值相匹配,若匹配,则执行步骤304;步骤304,判断待分析数据流中应答流形态特征值是否与流形态特征库中应答流形态特征值相匹配,若匹配,则将识别出的应用行为产生的数据流进行标记。5.根据权利要求4...
【专利技术属性】
技术研发人员:张勇进,郑朝晖,荆胜利,
申请(专利权)人:苏州海加网络科技股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。