一种交互式应用协议识别方法技术

本发明专利技术公开了一种交互式应用协议识别方法，属于网络安全技术领域。所述方法通过建立交互式应用协议识别模型，根据网络协议通信中单方向短报文数量、单方向短报文发送连续性、单方向连续短报文发送时间间隔、报文应用层数据的自然数值分布概率等信息，达到从采用其他方法无法识别的流量中，提取出交互式应用协议流量的目的，具有不需要进行机器学习(对未知应用协议无法进行机器学习)、统计特征少、消耗资源小、识别速度快等优点。识别速度快等优点。识别速度快等优点。

【技术实现步骤摘要】
一种交互式应用协议识别方法


[0001]本专利技术涉及一种交互式应用协议识别方法，属于网络安全


技术介绍

[0002]顾名思义，应用协议是指实现网络应用的协议，是网络中通信主体进行数据交换的基础，其规定了作为通信主体的各个通信设备之间通信报文的格式、处理方式和交互时序，关系到网络通信的安全性、可靠性和稳定性。通常所说的TCP协议(Transmission Control Protocol，传输控制协议)、HTTP协议(HyperText Transfer Protocol，超文本传输协议)以及FTP协议(File Transfer Protocol，文件传输协议)都属于应用协议。
[0003]而应用协议的识别则是指通过分析应用协议本身或者其应用所产生的网络流量确定具体的应用协议的过程。应用协议识别是各类应用层安全技术(包括病毒检测、入侵检测以及WAF等技术)的基础，目前应用协议识别常见的方法有三种：
[0004]一是基于端口的识别方法，该识别方法主要依赖于互联网数字分配机构(Internet Assigned Numbers Authority，IANA)提供的端口-协议对照表进行查询，以达到根据端口确定对应的应用协议的目的。例如发现某数据报文中源或目的端口为80，则认为是HTTP协议相关报文，交给HTTP协议分析引擎进行协议解码和攻击检测。但随着各种网络应用的逐步丰富，这种基于端口来识别报文所属协议类型的方法暴露出其存在的不足：管理员出于规避风险等原因，对一些常见的应用采用非RFC(Request For Comments)规定的端口(如HTTP采用88、8080等端口)，使端口和应用协议映射不对应，从而造成应用无法识别或识别错误。一些新的应用协议也并不采用固定端口(如SIP等)，而是采用在协议运行过程中动态协商的方式，即动态端口，如创建数据通道。这种情况下采用端口映射识别应用是行不通的。
[0005]第二种是采用深度报文检测或深度流检测，即将报文内容与事先建立的特征库进行特征匹配来达到识别应用协议的目的。这种方法的不足是需要很大的计算量，而且需要经常对特征库进行特征升级，并且对于加密传输的报文也无法进行检测。
[0006]第三种是基于流量模型，随着越来越多的P2P流量采用加密方式传输，如迅雷、Skype等，通过上述两种方式是无法识别的，只能通过流量特征，如连接速率、各个链接的关联性、数据传送字节分布等流量特征进行识别。
[0007]即使采用了上述各种方法，在网络中仍然存在大量无法识别的应用协议，这些应用协议通常采用端口随机化、应用内容加密等方法以规避检测系统的识别。而在这些无法识别的应用协议中，对有人参与的交互式控制应用协议的识别尤为重要，这类协议通常属于定制开发，用于某种特殊的目的，如暗网通信联络、远程主机控制、网络赌博等可能属于不法应用的范围，而目前对此类交互式应用协议识别采用的也基本是上述基于端口、报文内容的方法，在端口不固定、报文内容加密时，上述方法则显得无能为力。
[0008]因此，发展对针对交互式应用协议识别的方法，对于提升应用识别能力、发现非法网络通信有十分重要的意义。

技术实现思路

[0009]为了解决现有的应用协议识别方法对于交互式协议没办法识别或者识别准确率及效率较低的问题，本专利技术提供了一种交互式应用协议识别方法，所述方法包括：
[0010]获取待识别的网络报文数据，统计每个协议会话的会话发起方发出的报文中短报文的比率，以及其中每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率；所述短报文指报文长度小于30字节的报文；
[0011]对短报文的比率在25％以上，且连续短报文的发送时间间隔在[10ms，20s]的概率为30％以上的协议会话，判断为交互式应用协议对应的协议会话。
[0012]可选的，所述方法还包括：统计每个短报文中各字节数据在0-255各个自然数值上的分布概率，以判断是否为交互式加密应用协议对应的协议会话。
[0013]可选的，所述方法在获取待识别的网络报文数据之后，统计每个协议会话的会话发起方发出的报文中短报文的比率、以及其中每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率之前，还包括：
[0014]利用深度报文检测方法和基于流量特征的检测方法进行协议识别，将识别出对应协议的网络报文数据从其中去除，得到未知协议的网络报文数据；
[0015]对未知协议的网络报文数据再进行统计其中的短报文的比率以及连续短报文的发送时间间隔在[10ms，20s]的概率以判断是否为交互式应用协议对应的协议会话。
[0016]可选的，若协议会话时长小于2分钟，则每个协议会话的会话发起方发出的报文中短报文的比率为：会话发起方发出的报文中短报文的数量与会话发起方发出的报文的总数量的比值；
[0017]每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率为：会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的间隔的数量与会话发起方发出的短报文中连续短报文的发送时间间隔为任意时间的间隔的数量的比值。
[0018]可选的，若协议会话时长大于等于2分钟，则每个协议会话的会话发起方发出的报文中短报文的比率为：选取协议会话中任意2分钟内会话发起方发出的报文中短报文的数量与会话发起方发出的报文的总数量的比值；
[0019]每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率为：选取协议会话中任意2分钟内，会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的间隔的数量与会话发起方发出的短报文中连续短报文的发送时间间隔为任意时间的间隔的数量的比值。
[0020]可选的，所述统计每个短报文中各字节数据在0-255各个自然数值上的分布概率，以判断是否为交互式加密应用协议对应的协议会话，包括：
[0021]若每个短报文中各字节数据在0-255各个自然数值上分布均匀，则判断为交互式加密应用协议对应的协议会话；反之，则不是交互式加密应用协议对应的协议会话。
[0022]本专利技术还提供一种应用协议识别方法，所述方法包括：
[0023]S1：获取网络数据流；
[0024]S2：使用深度报文检测工具、基于流量特征的检测工具对获取到的网络数据流进行识别，将识别出应用协议的网络数据流删除，得到未识协议的网络数据流；
[0025]S3：判断未识协议的网络数据流中属于同一协议会话的报文持续时长，若属于同一协议会话的报文持续时长大于等于2分钟，则继续步骤S4，否则继续步骤S5；
[0026]S4：选取其中任意2分钟，并统计选取的2分钟内会话发起方发出的报文中短报文的数量与会话发起方发出的报文的总数量的比值，以及2分钟内，会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种交互式应用协议识别方法，其特征在于，所述方法包括：获取待识别的网络报文数据，统计每个协议会话的会话发起方发出的报文中短报文的比率，以及其中每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率；所述短报文指报文长度小于30字节的报文；对短报文的比率在25％以上，且连续短报文的发送时间间隔在[10ms，20s]的概率为30％以上的协议会话，判断为交互式应用协议对应的协议会话。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：统计每个短报文中各字节数据在0-255各个自然数值上的分布概率，以判断是否为交互式加密应用协议对应的协议会话。3.根据权利要求1或2所述的方法，其特征在于，所述方法在获取待识别的网络报文数据之后，统计每个协议会话的会话发起方发出的报文中短报文的比率、以及其中每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率之前，还包括：利用深度报文检测方法和基于流量特征的检测方法进行协议识别，将识别出对应协议的网络报文数据从其中去除，得到未知协议的网络报文数据；对未知协议的网络报文数据再进行统计其中的短报文的比率以及连续短报文的发送时间间隔在[10ms，20s]的概率以判断是否为交互式应用协议对应的协议会话。4.根据权利要求1所述的方法，其特征在于，若协议会话时长小于2分钟，则每个协议会话的会话发起方发出的报文中短报文的比率为：会话发起方发出的报文中短报文的数量与会话发起方发出的报文的总数量的比值；每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率为：会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的间隔的数量与会话发起方发出的短报文中连续短报文的发送时间间隔为任意时间的间隔的数量的比值。5.根据权利要求1所述的方法，其特征在于，若协议会话时长大于等于2分钟，则每个协议会话的会话发起方发出的报文中短报文的比率为：选取协议会话中任意2分钟内会话发起方发出的报文中短报文的数量与会话发起方发出的报文的总数量的比值；每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率为：选取协议会话中任意2分钟内，会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的间隔的数量与会话发起方...

【专利技术属性】
技术研发人员：黄清元，朱泽民，
申请(专利权)人：无锡宏创盛安科技有限公司，
类型：发明
国别省市：