一種實時識別網絡協議的方法技術

本發明專利技術公開了一種網絡協議識別方法，涉及網絡安全技術領域。將同一會話開始時的多個數據包構造成網絡協議模型，首先與已知網絡協議庫中用同樣方法構造的協議模型匹配，匹配成功則所述網絡協議模型為已知網絡協議，匹配失敗，則再與未知網絡協議庫中用同樣方法構造的協議模型匹配，并采用更新策略對未知網絡協議庫進行動態更新。本方法能夠同時識別已知網絡協議以及未知網絡協議，并且能夠自適應的去更新協議庫，提高未知網絡協議的識別率和識別速度。

Method for real-time identification of network protocol

The invention discloses a network protocol identification method, relating to the technical field of network security. A plurality of data to the same session at the beginning of the packet structure caused by network protocol model, and the first known network protocol library using the same method to construct the protocol model, to match the success of the network protocol model known as network protocol, the matching fails, then with unknown network protocol library using the same method to construct the protocol model matching, and using the update strategy for dynamic updates to the unknown network protocol library. This method can identify known network protocols and unknown network protocols simultaneously, and can update the protocol library adaptively, and improve the recognition rate and recognition speed of the unknown network protocols.

【技術實現步驟摘要】
一種實時識別網絡協議的方法
本專利技術涉及網絡安全
，具體而言，涉及一種網絡協議識別方法。
技術介紹
隨著網絡技術的不斷發展，網絡流量激增，這些流量中不僅包含了已知網絡協議，還包含了大量的未知網絡協議流量，面對這些大量的數據流量時，需要分別進行識別。現有的針對已知網絡協議的識別方法，大多分為兩類：一類是是基于端口進行的，但是端口識別法會出現大量誤報漏報的情況；另一類是基于單個數據包進行字符串匹配的方式，這種方式需要人為不斷收集樣本和不斷更新協議庫，工作量很大。而現有針對未知網絡協議識別的方法，大多基于機器學習的，這些方法或者采用了非監督機器學習，或者采用了監督機器學習，要么無法準確分類，要么依賴大量標定數據集，另一方面，這些方法大多是基于整個流的協議匹配，這種誤報比較少，但是識別速度無法滿足未知網絡協議實時識別的要求。綜上所述，現有技術中對采用同一種方式來識別現有網絡協議以及未知網絡協議的研究較少，且現有技術都需要人為的進行收集大量樣本和分析，并更新協議庫。因此我們需要一種技術能夠同時識別已知網絡協議以及未知網絡協議，并且能夠自適應的去更新協議庫，提高未知網絡協議的識別率和識別速度，做到對網絡協議的實時識別。
技術實現思路
本專利技術的目的在于提供一種網絡協議識別方法，能夠同時識別已知網絡協議以及未知網絡協議，并且能夠自適應的去更新協議庫，提高未知網絡協議的識別率和識別速度。為了實現上述目的，本專利技術實施例采用的技術方案如下：一種網絡協議識別方法，所述方法包括：獲取在傳輸網絡數據時同一會話開始時的多個數據包作為待識別網絡數據包；將所述待識別網絡數據包構造成網絡協議模型；將所述網絡協議模型與已知網絡協議模型庫中模型進行匹配，其中已知網絡協議模型庫中模型是由已知網絡協議的網絡數據包構造的；如果與已知網絡協議模型庫中模型匹配成功，則所述網絡協議模型為已知網絡協議模型；如果與已知網絡協議模型庫中所有模型匹配失敗，則所述網絡協議模型為未知網絡協議模型，將所述網絡協議模型與未知網絡協議模型庫中已有模型進行匹配，并采用未知網絡協議更新策略對未知網絡協議模型庫進行更新，其中未知網絡協議模型庫中模型是由未知網絡協議的網絡數據包構造的。本專利技術提供的網絡協議識別方法，采用同一套網絡協議識別算法，能夠同時識別已知網絡協議以及未知網絡協議，并通過獨特的網絡協議模型構造方法和更新策略能夠自適應的去更新網絡協議模型庫，提高未知網絡協議的識別率和識別速度，做到對網絡協議的實時識別。為使本專利技術的上述目的、特征和優點能更明顯易懂，下文特舉較佳實施例，并配合所附附圖，作詳細說明如下。附圖說明為了更清楚地說明本專利技術實施例的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，應當理解，以下附圖僅示出了本專利技術的某些實施例，因此不應被看作是對范圍的限定，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他相關的附圖。通過附圖所示，本專利技術的上述及其它目的、特征和優勢將更加清晰。在全部附圖中相同的附圖標記指示相同的部分。并未刻意按實際尺寸等比例縮放繪制附圖，重點在于示出本專利技術的主旨。圖1示出了本專利技術實施例提供的一種網絡協議識別方法的流程圖；圖2示出了本專利技術實施例提供的一種網絡協議模型構造方法的流程圖；圖3示出了本專利技術實施例提供的一種將所述網絡協議模型與已知網絡協議模型庫中模型匹配方法的流程圖；圖4示出了本專利技術實施例提供的一種將所述網絡協議模型與未知網絡協議模型庫中模型匹配并更新未知網絡協議模型庫方法的流程圖；圖5示出了本專利技術實施例提供的另一種將所述網絡協議模型與未知網絡協議模型庫中模型匹配并更新未知網絡協議模型庫方法的流程圖；圖6示出了本專利技術實施例提供的另一種網絡協議識別方法的流程圖。具體實施方式下面將結合本專利技術實施例中附圖，對本專利技術實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本專利技術一部分實施例，而不是全部的實施例。通常在此處附圖中描述和示出的本專利技術實施例的組件可以以各種不同的配置來布置和設計。因此，以下對在附圖中提供的本專利技術的實施例的詳細描述并非旨在限制要求保護的本專利技術的范圍，而是僅僅表示本專利技術的選定實施例。基于本專利技術的實施例，本領域技術人員在沒有做出創造性勞動的前提下所獲得的所有其他實施例，都屬于本專利技術保護的范圍。參閱圖1，本專利技術實施例提供的一種網絡協議識別的方法，所述方法包括：步驟S101，獲取在傳輸網絡數據時的同一會話開始時的多個數據包作為待識別網絡數據包；步驟S102，將所述待識別網絡數據包構造成網絡協議模型；步驟S103，將所述網絡協議模型與已知網絡協議模型庫中模型進行匹配，其中已知網絡協議模型庫中模型是由已知網絡協議的網絡數據包構造的；步驟S104，判斷將所述網絡協議模型與已知網絡協議模型庫中已有模型是否匹配成功；步驟S105，如果與已知網絡協議模型庫中模型匹配成功，則所述網絡協議模型為已知網絡協議模型；步驟S106，如果與已知網絡協議模型庫中所有模型匹配失敗，則所述網絡協議模型為未知網絡協議模型，將所述網絡協議模型與未知網絡協議模型庫中已有模型進行匹配，并采用未知網絡協議更新策略對未知網絡協議模型庫進行更新，其中未知網絡協議模型庫中模型是由未知網絡協議的網絡數據包構造的。本實施例提供的網絡協議識別方法中，通過采用相同的網絡協議模型構造方法對已知網絡協議和未知網絡協議進行模型構造，能夠在同一機制下統一識別已知網絡協議以及未知網絡協議，并且通過不斷的匹配和更新協議模型，能夠自適應的去更新協議庫，提高未知網絡協議的識別率和識別速度。參閱圖2，本專利技術實施例提供的一種網絡協議模型構造的方法，所述方法包括：步驟S201，人工指定至少一個構造所述網絡協議模型所需的模型屬性參數；步驟S202，根據所述待識別網絡數據包，計算所述網絡協議模型的各個屬性參數對應的頻率分布，各個頻率分布共同構成了所述網絡協議模型。例如，假設指定的網絡協議模型所需的模型屬性參數為以下兩個參數：(1)一個TCP鏈接的前8個包的前四次變化時的每個方向發送的字節數；(2)一個TCP鏈接的前5個包的字符出現頻率。首先計算第一個模型參數的頻率分布，即一個TCP鏈接的前8個包的前四次變化時的每個方向發送的字節數的頻率分布。需要注意的是，如果此TCP鏈接中前8個包中不止包含四次方向的變化，則只記錄前四次方向變化的的統計值；如果此TCP鏈接中前8個包中不足包含四次方向的變化，則記錄實際方向變化的情況的統計值。假設前8個包中有四次方向的變化，每次方向改變時，前一個傳輸方向上的傳輸的總字節，記做NumOfByte，假設分別為：65，128，257，300。將第每次變化時所對應的總字節數除以64，即NNumOfByte/64，得出結果記為ChunkNum。此時求出前四次變化所對應的ChunkNum分別為1，2，4，4。將前四次方向變化的索引記為IndexDirection，IndexDirection的取值為00，01，10，11，表示四次變化。將ChunkNum與IndexDirection組成一個8比特無符號整數，記為IndexADB，作為對應的輸出，其中低六位表示ChunkNum，高2位表示其對應的變化索引IndexDirecti本文檔來自技高網...

【技術保護點】
一種網絡協議識別方法，其特征在于，所述方法包括：獲取在傳輸網絡數據時同一會話開始時的多個數據包作為待識別網絡數據包；將所述待識別網絡數據包構造成網絡協議模型；將所述網絡協議模型與已知網絡協議模型庫中模型進行匹配，其中已知網絡協議模型庫中模型是由已知網絡協議的網絡數據包構造的；如果與已知網絡協議模型庫中模型匹配成功，則所述網絡協議模型為已知網絡協議模型；如果與已知網絡協議模型庫中所有模型匹配失敗，則所述網絡協議模型為未知網絡協議模型，將所述網絡協議模型與未知網絡協議模型庫中已有模型進行匹配，并采用未知網絡協議更新策略對未知網絡協議模型庫進行更新，其中未知網絡協議模型庫中模型是由未知網絡協議的網絡數據包構造的。

【技術特征摘要】
1.一種網絡協議識別方法，其特征在于，所述方法包括：獲取在傳輸網絡數據時同一會話開始時的多個數據包作為待識別網絡數據包；將所述待識別網絡數據包構造成網絡協議模型；將所述網絡協議模型與已知網絡協議模型庫中模型進行匹配，其中已知網絡協議模型庫中模型是由已知網絡協議的網絡數據包構造的；如果與已知網絡協議模型庫中模型匹配成功，則所述網絡協議模型為已知網絡協議模型；如果與已知網絡協議模型庫中所有模型匹配失敗，則所述網絡協議模型為未知網絡協議模型，將所述網絡協議模型與未知網絡協議模型庫中已有模型進行匹配，并采用未知網絡協議更新策略對未知網絡協議模型庫進行更新，其中未知網絡協議模型庫中模型是由未知網絡協議的網絡數據包構造的。2.根據權利要求1所述的方法，其特征在于，將所述待識別網絡數據包構造成網絡協議模型，具體為：人工指定至少一個構造所述網絡協議模型所需的模型屬性參數；根據所述待識別網絡數據包，計算所述網絡協議模型的各個屬性參數對應的頻率分布，各個頻率分布共同構成了所述網絡協議模型。3.根據權利要求1所述的方法，其特征在于，將所述網絡協議模型與已知網絡協議模型庫中模型進行匹配，具體為：將所述網絡協議模型與已知網絡協議模型庫中的模型按照從頭到尾的順序逐一進行匹配；將所述網絡協議模型的各個屬性參數的頻率分布逐一與已知網絡協議模型庫中取出的模型對應的各個屬性參數的頻率分布計算KL距離，并對所有KL距離求和；如果所述KL距離之和小于預設的第一距離閾值，則認為匹配成功，即認為該待識別網絡數據包為已知網絡協議；如果所述KL距離之和大于等于預設的第一距離閾值，則認為匹配失敗，如果匹配失敗，判斷是否匹配到已知網絡協議模型庫中的最后一個模型；如果是已知網絡協議模型庫中的最后一個模型，則結束匹配，所...

【專利技術屬性】
技術研發人員：鐘云，朱永強，黃筱聰，
申請(專利權)人：成都網安科技發展有限公司，
類型：發明
國別省市：四川,51