【技术实现步骤摘要】
本专利技术属于计算机数据处理领域,具体涉及一种应用指纹构建方法、识别方法、装置及计算机设备。
技术介绍
1、随着互联网技术的高速发展,日常生活中出现越来越多各种网络应用。从社交媒体到在线购物,从云计算到物联网,网络应用的广泛普及给我们的生活带来了巨大的便利。然而,网络应用的迅速增长也伴随着一个关键挑战,即如何智能地识别和分析网络流量中的多种应用行为。
2、以往的流量识别方法主要依赖于传统的端口号和协议标识来确定网络应用类型。然而,随着互联网用户数量的急剧增长和网络应用种类的多样化,传统方法已经不足以应对不断变化的应用多样性和混淆技术的挑战。近年来,一系列新的技术和方法已经崭露头角,从基于dfi统计和深度包检测的流量包内容识别,到基于机器学习和深度学习的流量识别方法。相较于传统方法,现代流量识别方法提供了更为自动化和智能的分类方式,有助于解决流量加密等问题。
3、现有的技术方案为网络管理者提供了更加准确检测异常行为的可能性,但其在实际部署中仍面临若干技术挑战,导致无法满足应用识别需求,如:
4、1、数据集构建的挑战。无论在核心网络或边缘设备,受制于流量采集的种类无法控制,易导致流量类别样本不均,进而影响模型的准确性。同时,数据集的标注常需大量的手工操作,特别是在加密流量增加的背景下,传统深度包检测方法逐步变得不适用。因此,目前流量标记主要依赖众包平台的手动标记,这显然是一个效率低下的过程。
5、2、未知应用检测的局限性。当前的有监督流量分类方法将应用识别视为一个多类别分类问题,这导致
6、3、多应用程序流量混淆的问题。依据时间流的检测技术难以区分在同一时间段内生成的多个应用流量包(流量包在传输过程中通常按照时间顺序到达,且多个应用程序可能同时活跃,导致它们的流量包在时间轴上相互交织,难以明确区分),依据通信结构区分的检测技术难以区分结构相似的应用流量包(当多个应用程序使用相似的通信协议或数据包结构时,通常交互时产生的数据包在时间及大小上可能会非常相似)。这种混淆问题增加了精确识别特定应用程序流量的难度,尤其是在高流量和高并发的网络环境中。此问题可归咎于多种复杂性因素,如共享端口、多路复用、协议混合和加密数据包等。
7、综上,尽管应用识别技术持续发展,现有方案仍未达到理想的系统性和简洁性。因此,致力于对流量识别技术进行创新和完善,以寻找真正有效的解决方案,更好地满足网络管理和安全领域的实际需求成为本领域技术人员亟需解决的问题。
技术实现思路
1、基于现有技术存在的问题,本专利技术目的在于提出一种应用指纹构建方法、识别方法、装置及计算机设备。本专利技术能够有效处理已知应用之间的互动产生的网络流量,并生成相应的应用指纹,随后运用已知指纹来识别未知流量生成的应用指纹,从而实现对未知应用的可靠识别。
2、在本专利技术的第一方面,本专利技术提供的一种应用指纹构建方法,所述方法包括:
3、获取应用的流量包文件;
4、对所述应用的流量包文件进行信息提取,生成会话流文件;所述信息包括单个流量包的目的地址、目的端口、ssl/tls证书序列号、时间戳、流量包大小;所述会话流文件通过三元组属性进行标识,所述三元组属性包括文件名、通信协议和会话流id;所述文件名指示所述应用的对应标签;
5、对所述会话流文件进行图构建,生成应用通信图;所述应用通信图由图节点以及对应连接关系构成,所述图节点通过三元组信息进行标识,所述三元组信息包括目的地址、目的端口和ssl/tls证书序列号;
6、对所述应用通信图进行图拟合,生成应用指纹;所述应用指纹由多个图节点组成的集合拟合确定。
7、进一步的,对所述应用通信图进行拟合,生成应用指纹之后还包括对多个应用指纹进行融合。
8、进一步的,所述对所述会话流文件进行图构建,生成应用通信图包括:
9、以会话流文件的三元组信息作为图节点,以会话流文件的间隔时间特征序列、长度特征序列、时间上下文序列、空间上下文序列的交叉相关性作为图节点之间的边;当交叉相关性超过边连接阈值则构成连接,通过图节点以及图节点之间的边构建应用通信图;所述间隔时间特征序列由所述时间戳得到,所述长度特征序列由所述流量包大小得到;所述时间上下文序列由所述间隔时间特征序列和预设时间阈值确定;所述空间上下文序列由所述长度特征序列和预设空间阈值确定。
10、进一步的,所述两图节点之间的交叉相关性的计算方式包括将间隔时间特征序列和长度特征序列作为输入,计算两两节点之间的皮尔逊相关系数;将节点之间的皮尔逊相关系数与其时间上下文之间的系数、空间上下文之间的系数加权得出最终相关性。
11、进一步的,所述应用为未知应用或/和已知应用,若为已知应用,则所述已知应用具有对应标签,若为未知应用,则所述未知应用不具有对应标签。
12、在本专利技术的第二方面,本专利技术还提供了一种应用指纹识别方法,所述方法包括:
13、获取未知应用和已知应用的应用指纹;所述未知应用和已知应用的应用指纹由如本专利技术第一方面的一种应用指纹构建方法构建得到;
14、将未知应用的应用指纹与已知应用的应用指纹进行相似度对比;
15、若超过相似度阈值,则将已知应用的对应标签作为未知应用的对应标签;
16、若未超过相似度阈值,则将该未知应用的进行可视化识别,输出未知应用的对应标签。
17、进一步的,所述可视化识别包括在应用指纹的图节点的三元组信息基础上添加域名列表字段,更新为四元组信息;所述域名字段是dns应答请求中的域名和ip地址,以所述ip和所述域名列表作为键值对,映射为字典。可视化过程实际上是将指纹中的节点ip依据映射字典可视化为应用通信完全图。其中以图节点三元组作为节点唯一标识,指纹中的每个节点存在边。域名列表作为完全图的附加属性,其作用为在指纹识别阶段协助人工辅助标识未知应用。
18、在本专利技术的第三方面,本专利技术还提供了一种应用指纹构建装置,所述构建装置包括:
19、数据采集模块,用于获取应用的流量包文件;所述应用为已知应用或/和未知应用;
20、数据提取模块,用于对所述流量包文件进行信息提取,生成会话流文件;所述信息包括单个流量包的目的地址、目的端口、ssl/tls证书序列号、时间戳、流量包大小;所述会话流文件通过三元组属性进行标识,所述三元组属性包括文件名、通信协议和会话流id;所述文件名指示所述应用的对应标签;
21、图构建模块,用于对所述会话流文件进行图构建,生成应用通信图;所述应用通信图由图节点以及对应连接关系构成,所述图节点包括目的地址、目的端口和ssl/tls证书序列号;
22、图挖掘模块,用于对所述应用通信图进行拟合,生成应用指纹;所述应用指纹由多个图节点组成本文档来自技高网...
【技术保护点】
1.一种应用指纹构建方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种应用指纹构建方法,其特征在于,对所述应用通信图进行拟合,生成应用指纹之后还包括对多个应用指纹进行融合。
3.根据权利要求1所述的一种应用指纹构建方法,其特征在于,所述对所述会话流文件进行图构建,生成应用通信图包括:
4.根据权利要求3所述的一种应用指纹构建方法,其特征在于,所述交叉相关性的计算方式包括将间隔时间特征序列和长度特征序列作为输入,计算两两图节点之间的皮尔逊相关系数;将图节点之间的皮尔逊相关系数与其时间上下文之间的系数、空间上下文之间的系数加权得出最终相关性。
5.根据权利要求1所述的一种应用指纹构建方法,其特征在于,所述应用为未知应用或/和已知应用。
6.一种应用指纹识别方法,其特征在于,所述方法包括:
7.根据权利要求6所述的一种应用指纹识别方法,其特征在于,所述可视化识别包括在应用指纹的图节点的三元组信息基础上添加域名列表字段,更新为四元组信息;所述域名字段是DNS应答请求中的域名和IP地址,以所述IP地址和所述
8.一种应用指纹构建装置,其特征在于,所述构建装置包括:
9.一种应用指纹识别装置,其特征在于,所述识别装置基于如权利要求8的应用指纹构建装置,所述识别装置包括:
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种应用指纹构建方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种应用指纹构建方法,其特征在于,对所述应用通信图进行拟合,生成应用指纹之后还包括对多个应用指纹进行融合。
3.根据权利要求1所述的一种应用指纹构建方法,其特征在于,所述对所述会话流文件进行图构建,生成应用通信图包括:
4.根据权利要求3所述的一种应用指纹构建方法,其特征在于,所述交叉相关性的计算方式包括将间隔时间特征序列和长度特征序列作为输入,计算两两图节点之间的皮尔逊相关系数;将图节点之间的皮尔逊相关系数与其时间上下文之间的系数、空间上下文之间的系数加权得出最终相关性。
5.根据权利要求1所述的一种应用指纹构建方法,其特征在于,所述应用为未知应用或/和已知应用。
6.一种应用指纹识别方法,其...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。