一种基于行为特征的复用协议识别方法及系统技术方案

本发明专利技术提供一种基于行为特征的复用协议识别方法及系统，该方法包括：获取并分析多个具体协议应用的报文，确定所述多个具体协议应用的复用协议的种类；获取复用协议的报文，提取所述复用协议的共有特征和私有特征，编译形成特征库并加载；扫描主机产生的连接流量，若发现连接匹配命中私有特征，则记录该行为，设定超时时间；若发现连接匹配命中共有特征，则查询所述主机是否有所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所述记录行为的对应协议；若存在所述实时行为，则识别为所述实时行为的对应协议，否则继续扫描。通过本发明专利技术能够有效识别复用协议下各个具体协议，提高了协议识别的精度。

【技术实现步骤摘要】

本专利技术涉及互联网应用
，特别涉及一种基于行为特征识别复用协议的方法及系统。
技术介绍
最初的协议识别是对单个报文内容的识别，此种识别方法通过扫描报文内容，进行特征串字符匹配，命中某种协议预设的特征串后识别为该种协议，此种方法识别准确率高，但是不能处理加密协议。为了识别加密协议，出现了模糊识别，此种方法为对连接进行识别，主要利用了统计方法构建模型，统计对象包括:IP地址、端口、报文长度序列和报文时间戳序列等，然后对统计特征进行匹配连接，不需对报文内容进行识别。在现在的互联网领域里，同一家企业旗下出现多种产品，处于开发的便捷性和维护的复杂度考虑，多个产品复用了同一套通信协议，比如说迅雷公司旗下的迅雷和迅雷看看。对于这种情况，一般的协议识别产品不能准确识别一条连接属于哪种具体协议。
技术实现思路
(一 )所要解决的技术问题本专利技术的目的为提供一种基于行为特征的复用协议识别方法，通过本专利技术解决了复用协议中具体协议的识别问题。( 二 )技术方案本专利技术提供一种基于行为特征的复用协议识别方法，该方法包括步骤:S1、获取并分析多个具体协议应用的报文，确定所述多个具体协议应用的复用协议的种类；S2、获取复用协议的报文，提取所述复用协议的共有特征和私有特征，编译形成特征库并加载；S3、扫描主机产生的连接流量，若发现连接匹配命中所述特征库中的私有特征，则记录该行为，设定所述行为的时间限制；若发现连接匹配命中所述特征库中的共有特征，则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所述记录行为的对应协议；若存在实时行为，则识别所述连接为所述实时行为的对应协议，否则继续扫描。其中，所述步骤SI具体包括:随机抓取多个具体协议应用的报文并进行分析，若所述报文存在相同的报文特征值，则确定所述多个具体协议应用使用了同一套协议规范。其中，步骤S3中所述查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为进一步包括:若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为，否则查询所述主机是否存在记录行为。本专利技术还提供一种基于行为特征的复用协议识别系统，该系统包括:特征库形成模块，用于获取复用协议的报文，并所述提取复用协议的共有特征规则和私有特征规则，并编译形成特征库；协议识别模块，与特征库形成模块连接，扫描主机产生的连接流量，若发现连接匹配命中所述特征库中的私有特征，则记录该行为，设定超时时间；若发现连接匹配命中所述特征库中的共有特征，则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所述记录行为的对应协议；若存在实时行为，则识别所述连接为所述实时行为的对应协议，否则继续扫描。(三)有益效果本专利技术提出了一种基于行为特征的复用协议识别方法及系统，与传统的协议识别方法相比，本专利技术利用历史行为和实时行为的查询能够有效完成复用协议下各个具体协议的识别，从而补充了现有的协议识别方法，提高了协议识别的精度，进而更精确对这些复用协议进行统计和控制。附图说明图1为本专利技术所提供方法的步骤流程图；图2为本专利技术系统的连接方框图。具体实施例方式下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术，但不用来限制本专利技术的范围。一般情况下，一台主机上同时运行的类似软件的数目很少，通常情况下就是一种，比如运行了 QQ视频，可能就没有运行QQ音乐，利用这种现象，专利技术了一种利用行为特征识别复用协议的方法。行为特征包括历史行为特征和实时行为特征:历史行为特征是指曾在这台主机上发生过的动作，实时行为特征是指现在这台主机上发生的动作。本专利技术综合了历史行为特征和实时行为特征，具体步骤如图1所示:S1、分析多个具体协议应用的报文，确定所述多个具体协议应用的复用协议的种类；以QQ音乐和QQ视频这两种应用为例，随机抓取这两种应用的连接数据包进行报文分析，若这两种报文的存在相同的报文特征值，则确定这两种应用使用了同一套协议规范；S2、获取复用协议的报文，提取所述复用协议的共有特征和私有特征，编译形成特征库并加载；抓取QQ音乐和QQ视频的报文获取复用协议规范，提取复用协议中两种应用共同的特征即共有特征；同时区分所述复用协议规范中哪些行为是独有的，比如说QQ音乐会连接腾讯的音乐点播服务器，而QQ视频会连接腾讯的视频点播服务器，分别提取这些特征，即私有特征；将QQ音乐和QQ视频的共有特征规则和私有特征规则编译成特征库并加载。S3、监控主机发送的连接流量，若发现连接匹配命中所述特征库中的私有特征，则记录该行为，设定超时时间；若发现连接匹配命中所述特征库中的共有特征，则查询所述主机是否有所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所述记录行为的对应协议；若存在所述实时行为，则识别为所述实时行为的对应协议，否则继续扫描。其中，若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为，否则查询所述主机是否存在记录行为。扫描主机产生的流量，这里主机即发生QQ音乐或者QQ视频流量的计算机，基于特征库，如果发现连接的流量匹配命中QQ音乐私有特征，则记录“访问QQ音乐服务器”的行为，此行为即为历史行为，如果发现连接的流量匹配命中QQ视频私有特征，则记录“访问QQ视频服务器”的行为，并设定所述的历史行为的时间限制；时间限制是指这个行为可信任的时间，超过这个时间我们就不信任这个已经发生过的行为，在实现层，可认为是记录保存的期限，超过这个期限，所述历史行为将被删除。这里的匹配使用常见字符串匹配算法即可实现。扫描主机产生的流量，如果发现连接的流量匹配命中所述QQ音乐和QQ视频共有的特征，由于所述QQ音乐和QQ视频的复用协议包含前后的时间关系，不需要为数据提供实时特征传送服务，查询该主机的历史行为，是否有“访问QQ音乐服务器”的历史行为或者“访问QQ视频服务器”的历史行为，如果有则将该连接识别为“QQ音乐”协议或者“QQ视频”协议；否，则继续查询。但如果复用协议是为数据提供具有实时特征传送服务的协议，一般这类协议有一个共同的特征:一个会话包括几种不同功能的流，比如最常见的SIP协议和H.323协议，他们的会话中都会包含控制流和数据流，数据流一般使用RTP协议进行传输数据，因此，一条独立的RTP流是不能判断这条流是属于SIP协议还是H.323协议，这时需要查询实时行为，查看当时是否有SIP协议或者H.323协议同时存在，如果有SIP协议或者H.323协议同时存在，则识别为SIP协议或H.323协议。同时本专利技术还提供一种基于行为特征的复用协议识别系统，该系统如图2所示包括:特征库形成模块，用于获取复用协议的报文，并所述提取复用协议的共有特征规则和私有特征规则，并编译形成特征库；协议识别模块，与特征库形成模块连接，扫描主机产生的连接流量，若发现连接匹配命中所述特征库中的私有特征，则记录该行为，设定超时时间；若发现连接匹配命中所述特征库中的共有特征，则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所本文档来自技高网...

【技术保护点】
一种基于行为特征的复用协议识别方法，其特征在于，该方法包括步骤：S1、获取并分析多个具体协议应用的报文，确定所述多个具体协议应用的复用协议的种类；S2、获取复用协议的报文，提取所述复用协议的共有特征和私有特征，编译形成特征库并加载；S3、扫描主机产生的连接流量，若发现连接匹配命中所述特征库中的私有特征，则记录该行为，设定所述行为的时间限制；若发现连接匹配命中所述特征库中的共有特征，则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所述记录行为的对应协议；若存在实时行为，则识别所述连接为所述实时行为的对应协议，否则继续扫描。

【技术特征摘要】
1.一种基于行为特征的复用协议识别方法，其特征在于，该方法包括步骤: 51、获取并分析多个具体协议应用的报文，确定所述多个具体协议应用的复用协议的种类； 52、获取复用协议的报文，提取所述复用协议的共有特征和私有特征，编译形成特征库并加载； 53、扫描主机产生的连接流量，若发现连接匹配命中所述特征库中的私有特征，则记录该行为，设定所述行为的时间限制； 若发现连接匹配命中所述特征库中的共有特征，则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所述记录行为的对应协议；若存在实时行为，则识别所述连接为所述实时行为的对应协议，否则继续扫描。2.如权利要求1所述方法，其特征在于，所述步骤SI具体包括:随机抓取多个具体协议应用的报文并进行分析，若所述报文存在相同的报文特征值，则确定所述多个具体协议应用使用了同一套协议规范。3.如权利要求...

【专利技术属性】
技术研发人员：董茂培，陈金达，杨宇云，余兆，许晶，刘伟，祝方方，
申请(专利权)人：汉柏科技有限公司，
类型：发明
国别省市：