加密流量識(shí)別方法及裝置制造方法
【專利摘要】本發(fā)明實(shí)施例公開了一種加密流量識(shí)別方法及裝置,其中方法包括將待識(shí)別流與統(tǒng)計(jì)規(guī)則集合中各條統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則子集;將待識(shí)別流與所述統(tǒng)計(jì)規(guī)則子集中各條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則識(shí)別集;將所述統(tǒng)計(jì)規(guī)則識(shí)別集中具有最高優(yōu)先級(jí)的統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型識(shí)別為所述待識(shí)別流的應(yīng)用類型,本發(fā)明可以用于加密流量的應(yīng)用類型識(shí)別,且具有在線識(shí)別能力和高精準(zhǔn)識(shí)別率等特性。
【專利說(shuō)明】加密流量識(shí)別方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及流量分類與識(shí)別【技術(shù)領(lǐng)域】,尤其涉及一種加密流量識(shí)別方法及裝置。【背景技術(shù)】
[0002]網(wǎng)絡(luò)中流量識(shí)別處于十分重要的位置,其是網(wǎng)絡(luò)中內(nèi)容過(guò)濾、流量分析、帶寬管理、安全通信及互聯(lián)網(wǎng)監(jiān)管和運(yùn)維等多方面的基礎(chǔ)。所謂的流量識(shí)別是指利用流以及流中報(bào)文的某些信息(例如:協(xié)議特征、指紋、簽名等)將網(wǎng)絡(luò)上的流劃分為既定的若干類別(例如:各種應(yīng)用類型的流)的技術(shù);其中流是指在某一段固定時(shí)間間隔內(nèi)通過(guò)網(wǎng)絡(luò)上的一個(gè)觀測(cè)點(diǎn)的IP (Internet Protocol,網(wǎng)絡(luò)互聯(lián)協(xié)議)報(bào)文的集合,這些報(bào)文具有相同的五元組(源IP、源端口、目的IP、目的端口和協(xié)議類型)標(biāo)識(shí);其中一個(gè)流屬于流量的一部分。
[0003]目前流量識(shí)別的方式主要包括:基于端口映射的流量識(shí)別方式、基于IP地址的流量識(shí)別方式、基于DPI (Deep Packet Inspection,深度包檢測(cè))的流量識(shí)別方式和基于DFI(Deep Flow Inspection,深度流檢測(cè))的流量識(shí)別方式。
[0004]其中基于端口映射的流量識(shí)別方式是將知名端口作為協(xié)議特征,例如:HTTP(Hypertext Transfer Protocol,超文本傳輸協(xié)議)和 DNS (Domain Name System,域名系統(tǒng))的80號(hào)和53號(hào)端口,P2P (Peer to Peer,對(duì)等網(wǎng)絡(luò))應(yīng)用的固定服務(wù)端口等,通過(guò)截取數(shù)據(jù)包頭的端口信息,檢查連接記錄是否應(yīng)用了這些端口,如果可以匹配某個(gè)已知端口,則可以直接識(shí)別流量。但是,目前網(wǎng)絡(luò)應(yīng)用逐漸引入了動(dòng)態(tài)協(xié)商端口,或者以HTTP作為應(yīng)用協(xié)議的底層承載協(xié)議來(lái)穿透防火墻,這些方式均會(huì)導(dǎo)致基于端口映射的流量識(shí)別方式識(shí)別精準(zhǔn)性嚴(yán)重的打折。
[0005]其中基于IP地址的流量識(shí)別方式是將充當(dāng)核心服務(wù)器角色的網(wǎng)絡(luò)節(jié)點(diǎn)IP作為協(xié)議特征,例如:P2P應(yīng)用的登錄服務(wù)器、超級(jí)節(jié)點(diǎn)等,但是該方式只能識(shí)別節(jié)點(diǎn)與服務(wù)器之間的通信,而無(wú)法識(shí)別對(duì)等節(jié)點(diǎn)之間的直接通信,同時(shí)超級(jí)節(jié)點(diǎn)具有大量性、動(dòng)態(tài)性和通信強(qiáng)加密性等特性而導(dǎo)致基于IP地址的流量識(shí)別方式識(shí)別復(fù)雜度極高,影響實(shí)時(shí)性。
[0006]其中基于DPI的流量識(shí)別方式是將位置固定或不固定的關(guān)鍵字符串作為應(yīng)用簽名,深入到報(bào)文的應(yīng)用層載荷部分進(jìn)行內(nèi)容檢測(cè),通過(guò)多模式匹配、正則表達(dá)式匹配、協(xié)議特征包長(zhǎng)匹配或進(jìn)行不同流之間的關(guān)聯(lián)以實(shí)現(xiàn)流量識(shí)別,這通常需要逐字節(jié)掃描才能完成。但是,為了實(shí)現(xiàn)安全通信,目前越來(lái)越多的應(yīng)用開始采用協(xié)商會(huì)話密鑰機(jī)制進(jìn)行流量加密,導(dǎo)致協(xié)議報(bào)文特征被部分或完全隱藏,從而導(dǎo)致基于DPI的流量識(shí)別方式對(duì)于弱加密應(yīng)用流量的識(shí)別,需消耗大量計(jì)算資源進(jìn)行靜態(tài)或動(dòng)態(tài)解密以還原協(xié)議明文,而對(duì)于強(qiáng)加密應(yīng)用流量則無(wú)法識(shí)別。
[0007]其中基于DFI的流量識(shí)別方式不依賴于報(bào)文荷載內(nèi)容,而是將應(yīng)用流量行為作為協(xié)議特征,并應(yīng)用啟發(fā)式算法或統(tǒng)計(jì)學(xué)習(xí)方法進(jìn)行流量分類。例如:P2P應(yīng)用啟發(fā)式識(shí)別算法采用傳輸層連接模式(IP數(shù)、端口數(shù)、傳輸協(xié)議等)作為P2P流量行為特征;統(tǒng)計(jì)
學(xué)習(xí)方法采用的流量統(tǒng)計(jì)特征包括單流層面(包長(zhǎng)與包到達(dá)時(shí)間間隔的均值及方差、傳入/傳出字節(jié)比等)、多流層面(流持續(xù)時(shí)間、流字節(jié)數(shù)、流包總數(shù)的均值及方法等)和TCP(Transmission Control Protocol,傳輸控制協(xié)議)連接層面(SYN( synchronous,握手信號(hào))包和ACK (確認(rèn))包的IP數(shù)、端口數(shù)及包數(shù)等),并采用機(jī)器學(xué)習(xí)算法,例如:SVM (SupportVector Machine,支持向量機(jī)),進(jìn)行訓(xùn)練和分類。但是,該基于DFI的流量識(shí)別方式只適用于識(shí)別大類應(yīng)用,無(wú)法精確識(shí)別具體應(yīng)用,而且流統(tǒng)計(jì)特征的提取要花費(fèi)較長(zhǎng)時(shí)間(甚至持續(xù)到流結(jié)束),因此亦不適用于在線流量識(shí)別。
【發(fā)明內(nèi)容】
[0008]本發(fā)明實(shí)施例所要解決的技術(shù)問(wèn)題在于,提供一種加密流量識(shí)別方法及裝置,具有在線識(shí)別能力和聞精準(zhǔn)識(shí)別率。
[0009]為了解決上述技術(shù)問(wèn)題,本發(fā)明實(shí)施例提供一種加密流量識(shí)別方法,用于將待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配以識(shí)別待識(shí)別流的應(yīng)用類型;其中統(tǒng)計(jì)規(guī)則包括:規(guī)則頭、深度包檢測(cè)特征和流統(tǒng)計(jì)特征,所述規(guī)則頭指示了該條統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型以及該條統(tǒng)計(jì)規(guī)則的優(yōu)先級(jí);
[0010]所述將待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配以識(shí)別待識(shí)別流的應(yīng)用類型,包括:
[0011]將待識(shí)別流與統(tǒng)計(jì)規(guī)則集合中各條統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則子集;
[0012]將待識(shí)別流與所述統(tǒng)計(jì)規(guī)則子集中各條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則識(shí)別集;
[0013]將所述統(tǒng)計(jì)規(guī)則識(shí)別集中具有最高優(yōu)先級(jí)的統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型識(shí)別為所述待識(shí)別流的應(yīng)用類型。
[0014]優(yōu)選的,所述統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征包含至少一預(yù)過(guò)濾子規(guī)則和所含的預(yù)過(guò)濾子規(guī)則之間的邏輯關(guān)系;
[0015]所述預(yù)過(guò)濾子規(guī)則包括如下至少一項(xiàng):基于字符串的預(yù)過(guò)濾子規(guī)則、基于協(xié)議特征包長(zhǎng)的預(yù)過(guò)濾子規(guī)則、基于靜態(tài)動(dòng)態(tài)解密的預(yù)過(guò)濾子規(guī)則、基于已識(shí)別流關(guān)聯(lián)表的預(yù)過(guò)濾子規(guī)則、基于端口的預(yù)過(guò)濾子規(guī)則和基于IP地址的預(yù)過(guò)濾子規(guī)則;
[0016]當(dāng)所述待識(shí)別流與統(tǒng)計(jì)規(guī)則所含的預(yù)過(guò)濾子規(guī)則相匹配,并且符合所含的預(yù)過(guò)濾子規(guī)則間的邏輯關(guān)系時(shí),則所述待識(shí)別流與該條統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征匹配。
[0017]優(yōu)選的,所述流統(tǒng)計(jì)特征包含至少一統(tǒng)計(jì)模式和所含的統(tǒng)計(jì)模式之間的邏輯關(guān)系;
[0018]所述統(tǒng)計(jì)模式用于指定流的包長(zhǎng)分布特征和符合該包長(zhǎng)分布特征的期望包計(jì)數(shù);
[0019]當(dāng)所述待識(shí)別流中符合統(tǒng)計(jì)模式指定的包長(zhǎng)分布特征的數(shù)據(jù)包的個(gè)數(shù)達(dá)到統(tǒng)計(jì)模式指定的期望包計(jì)數(shù)時(shí),則所述待識(shí)別流與該統(tǒng)計(jì)模式匹配;
[0020]當(dāng)所述待識(shí)別流與統(tǒng)計(jì)規(guī)則所含的統(tǒng)計(jì)模式匹配,并且符合所含的統(tǒng)計(jì)模式之間的邏輯關(guān)系時(shí),則所述待識(shí)別流與該條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配。
[0021]優(yōu)選的,所述包長(zhǎng)分布特征包括如下至少一項(xiàng):數(shù)據(jù)包在流中的坐標(biāo)特征、數(shù)據(jù)包的序列特征和數(shù)據(jù)包的包長(zhǎng)特征;
[0022]所述數(shù)據(jù)包在流中的坐標(biāo)特征包括:包方向和包位置,其中包方向包括:對(duì)應(yīng)上行流方向的上行包方向、對(duì)應(yīng)下行流方向的下行包方向和對(duì)應(yīng)雙向流方向的無(wú)包方向;包位置是指數(shù)據(jù)包在流方向上出現(xiàn)時(shí)的位置編號(hào),包括:單個(gè)固定位置、位置離散序列和位置連續(xù)區(qū)間;
[0023]所述數(shù)據(jù)包的序列特征包括:連續(xù)性和有序性;
[0024]所述數(shù)據(jù)包的包長(zhǎng)特征包括:包長(zhǎng)特定值、包長(zhǎng)范圍和包長(zhǎng)變量。
[0025]優(yōu)選的,所述統(tǒng)計(jì)模式包括如下至少一項(xiàng):包長(zhǎng)序列統(tǒng)計(jì)模式、包長(zhǎng)集合統(tǒng)計(jì)模式、包長(zhǎng)重復(fù)統(tǒng)計(jì)模式、位置的方向統(tǒng)計(jì)模式、包計(jì)數(shù)統(tǒng)計(jì)模式、包長(zhǎng)均值統(tǒng)計(jì)模式、包長(zhǎng)和值統(tǒng)計(jì)模式、輪包長(zhǎng)和值統(tǒng)計(jì)模式和字節(jié)收發(fā)比統(tǒng)計(jì)模式;
[0026]所述包長(zhǎng)序列統(tǒng)計(jì)模式指定為:在流方向、包位置上存在具有包長(zhǎng)特征的數(shù)據(jù)包序列,并滿足連續(xù)性和有序性約束,其中期望包計(jì)數(shù)指定為具有包長(zhǎng)特征的數(shù)據(jù)包序列長(zhǎng)度;
[0027]所述包長(zhǎng)集合統(tǒng)計(jì)模式指定為:在流方向、包裝置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都包含于一個(gè)包長(zhǎng)特征的集合,并且滿足連續(xù)性和有序性約束;
[0028]所述包長(zhǎng)重復(fù)模式指定為:在流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都等于同一個(gè)包長(zhǎng)特征,并且滿足連續(xù)性;
[0029]所述位置的方向統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上的數(shù)據(jù)包的包方向指定的包方向,期望包計(jì)數(shù)設(shè)定為包位置的個(gè)數(shù);
[0030]所述包計(jì)數(shù)統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包方向都為同一指定的包方向,并且滿足連續(xù)性;
[0031]所述包長(zhǎng)均值統(tǒng)計(jì)模式指定為:在流方向、包位置上所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為包位置的個(gè)數(shù);
[0032]所述輪包長(zhǎng)和值統(tǒng)計(jì)模式指定為:將雙向流方向、包位置上的每一次流方向的改變看作新一輪數(shù)據(jù)包的開始,指定某輪所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為所述輪數(shù);
[0033]所述字節(jié)收發(fā)比統(tǒng)計(jì)模式指定為:雙向流方向、包位置上的上行流方向字節(jié)數(shù)與下行流方向字節(jié)數(shù)的比值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為位置的個(gè)數(shù)。
[0034]優(yōu)選的,所述待識(shí)別流為傳輸控制協(xié)議TCP流,所述數(shù)據(jù)包為帶有效負(fù)載的數(shù)據(jù)包,所述加密量識(shí)別方法至多對(duì)待識(shí)別流的前60個(gè)帶有效負(fù)載的數(shù)據(jù)包進(jìn)行識(shí)別。
[0035]本發(fā)明實(shí)施例提供了一種加密流量識(shí)別裝置,包括:統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊、統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊和流識(shí)別結(jié)果檢測(cè)模塊;
[0036]其中所述統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊,用于將待識(shí)別流與統(tǒng)計(jì)規(guī)則集合中各條統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則子集;
[0037]所述統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊,用于將待識(shí)別流與所述統(tǒng)計(jì)規(guī)則子集中各條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則識(shí)別集;
[0038]所述流識(shí)別結(jié)果檢測(cè)模塊,用于將所述統(tǒng)計(jì)規(guī)則識(shí)別集中具有最高優(yōu)先級(jí)的統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型識(shí)別為所述待識(shí)別流的應(yīng)用類型。
[0039]優(yōu)選的,所述統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊,包括:特征基本匹配單元和統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾邏輯判別單元;
[0040]所述特征基本匹配單元包括:并行的字符串單模匹配子單元、協(xié)議特征包長(zhǎng)的預(yù)過(guò)濾匹配子單元、靜態(tài)動(dòng)態(tài)解密匹配子單元、已識(shí)別流關(guān)聯(lián)表匹配子單元、端口匹配子單元和IP地址匹配子單元;
[0041]所述統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾邏輯判別單元,用于對(duì)所述特征基本匹配單元中匹配到的子單元之間的邏輯關(guān)系進(jìn)行驗(yàn)證,生成統(tǒng)計(jì)規(guī)則子集。
[0042]優(yōu)選的,所述包長(zhǎng)分布特征包括如下至少一項(xiàng):數(shù)據(jù)包在流中的坐標(biāo)特征、數(shù)據(jù)包的序列特征和數(shù)據(jù)包的包長(zhǎng)特征;
[0043]所述數(shù)據(jù)包在流中的坐標(biāo)特征包括:對(duì)應(yīng)上行流方向的上行包方向、對(duì)應(yīng)下行流方向的下行包方向和對(duì)應(yīng)雙向流方向的無(wú)包方向;
[0044]所述數(shù)據(jù)包的序列特征包括:連續(xù)性和有序性;
[0045]所述數(shù)據(jù)包的包長(zhǎng)特征包括:包長(zhǎng)特定值、包長(zhǎng)范圍和包長(zhǎng)變量。
[0046]優(yōu)選的,所述統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊包括:統(tǒng)計(jì)模式匹配單元和統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元;
[0047]所述統(tǒng)計(jì)模式匹配單元包括如下至少一項(xiàng):包長(zhǎng)序列統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)集合統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)重復(fù)統(tǒng)計(jì)模式匹配子單元、位置的方向統(tǒng)計(jì)模式匹配子單元、包計(jì)數(shù)統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)均值統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)和值統(tǒng)計(jì)模式匹配子單元、輪包長(zhǎng)和值統(tǒng)計(jì)模式匹配子單元和字節(jié)收發(fā)比統(tǒng)計(jì)模式匹配子單元;
[0048]所述統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元,用于對(duì)統(tǒng)計(jì)模式匹配單元匹配到的子單元之間的邏輯關(guān)系進(jìn)行驗(yàn)證,生成所述統(tǒng)計(jì)規(guī)則識(shí)別集。
[0049]優(yōu)選的,包長(zhǎng)序列統(tǒng)計(jì)模式指定為:在流方向、包位置上存在具有包長(zhǎng)特征的數(shù)據(jù)包序列,并滿足連續(xù)性和有序性約束,其中期望包計(jì)數(shù)指定為具有包長(zhǎng)特征的數(shù)據(jù)包序列長(zhǎng)度;
[0050]包長(zhǎng)集合統(tǒng)計(jì)模式指定為:在流方向、包裝置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都包含于一個(gè)包長(zhǎng)特征的集合,并且滿足連續(xù)性和有序性約束;
[0051]包長(zhǎng)重復(fù)模式指定為:在流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都等于同一個(gè)包長(zhǎng)特征,并且滿足連續(xù)性;
[0052]位置的方向統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上的數(shù)據(jù)包的包方向指定的包方向,期望包計(jì)數(shù)設(shè)定為包位置的個(gè)數(shù);
[0053]包計(jì)數(shù)統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包方向都為同一指定的包方向,并且滿足連續(xù)性;
[0054]包長(zhǎng)均值統(tǒng)計(jì)模式指定為:在流方向、包位置上所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為包位置的個(gè)數(shù);
[0055]輪包長(zhǎng)和值統(tǒng)計(jì)模式指定為:將雙向流方向、包位置上的每一次流方向的改變看作新一輪數(shù)據(jù)包的開始,指定某輪所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為所述輪數(shù);
[0056]字節(jié)收發(fā)比統(tǒng)計(jì)模式指定為:雙向流方向、包位置上的上行流方向字節(jié)數(shù)與下行流方向字節(jié)數(shù)的比值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為位置的個(gè)數(shù)。
[0057]優(yōu)選的,所述待識(shí)別流為傳輸控制協(xié)議TCP流,所述數(shù)據(jù)包為帶有效負(fù)載的數(shù)據(jù)包,所述加密量識(shí)別裝置至多對(duì)待識(shí)別流的前60個(gè)帶有效負(fù)載的數(shù)據(jù)包進(jìn)行識(shí)別。
[0058]實(shí)施本發(fā)明實(shí)施例,具有如下有益效果:
[0059]1.本發(fā)明實(shí)施例提供的坐標(biāo)特征、序列特征和包長(zhǎng)特征等包長(zhǎng)分布特征和統(tǒng)計(jì)模式滿足靈活多樣的加密應(yīng)用流量行為統(tǒng)計(jì)規(guī)律的描述需求,能捕獲各種加密應(yīng)用獨(dú)一無(wú)二的流量行為特征并加以精確識(shí)別。
[0060]2.本發(fā)明實(shí)施例基于流的確定性抽樣進(jìn)行統(tǒng)計(jì)識(shí)別模型的驗(yàn)證,無(wú)需進(jìn)行提前訓(xùn)練,且只需統(tǒng)計(jì)每條流的前若干個(gè)(至多60個(gè))有效負(fù)載數(shù)據(jù)包,故可進(jìn)行在線識(shí)別,并能精確識(shí)別具體加密應(yīng)用類型。
[0061]3.本發(fā)明實(shí)施例將加密應(yīng)用流量識(shí)別過(guò)程劃分為深度包檢測(cè)預(yù)過(guò)濾和流統(tǒng)計(jì)特征匹配兩個(gè)階段,首先通過(guò)預(yù)過(guò)濾篩選出了需繼續(xù)進(jìn)行統(tǒng)計(jì)識(shí)別的少數(shù)統(tǒng)計(jì)規(guī)則,同時(shí)排除了無(wú)關(guān)流量,縮小了統(tǒng)計(jì)識(shí)別流量的范圍,從而整體上提升了加密應(yīng)用流量識(shí)別的性能。
[0062]本發(fā)明實(shí)施例將待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配以識(shí)別待識(shí)別流的應(yīng)用類型,其中統(tǒng)計(jì)規(guī)則包括:規(guī)則頭、深度包檢測(cè)特征和流統(tǒng)計(jì)特征,規(guī)則頭指示了該條統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型以及該條統(tǒng)計(jì)規(guī)則的優(yōu)先級(jí),而將待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配包括:與深度包檢測(cè)特征的匹配和與流統(tǒng)計(jì)特征的匹配;本發(fā)明實(shí)施例,采用統(tǒng)計(jì)規(guī)則對(duì)待識(shí)別流進(jìn)行識(shí)別,具有在線識(shí)別能力和高精準(zhǔn)識(shí)別率的特點(diǎn),并且適合加密流的應(yīng)用類型識(shí)別。
【專利附圖】
【附圖說(shuō)明】
[0063]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0064]圖1是加密流量識(shí)別方法的第一實(shí)施例的流程示意圖。
[0065]圖2是統(tǒng)計(jì)模式匹配的流程示意圖。
[0066]圖3是加密流量識(shí)別方法的第二實(shí)施例的流程示意圖。
[0067]圖4是加密流量識(shí)別裝置的第一實(shí)施例的結(jié)構(gòu)示意圖。
[0068]圖5是統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊I的第一實(shí)施例的結(jié)構(gòu)示意圖。
[0069]圖6是統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊I的第二實(shí)施例的結(jié)構(gòu)示意圖。
[0070]圖7是統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2的實(shí)施例的結(jié)構(gòu)示意圖。
[0071]圖8是加密流量識(shí)別裝置的第二實(shí)施例的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0072]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0073]本發(fā)明實(shí)施例,主要采用將待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配以識(shí)別待識(shí)別流的應(yīng)用類型,其中待識(shí)別流主要是針對(duì)TCP流。其中統(tǒng)計(jì)規(guī)則說(shuō)明和相關(guān)概念如下。
[0074]本發(fā)明實(shí)施例存在許多的統(tǒng)計(jì)規(guī)則,這些統(tǒng)計(jì)規(guī)則構(gòu)成了統(tǒng)計(jì)規(guī)則集合。其中每條統(tǒng)計(jì)規(guī)則的結(jié)構(gòu)均包括:規(guī)則頭、深度包檢測(cè)特征和流統(tǒng)計(jì)特征。
[0075]其中規(guī)則頭主要用于指示該條統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型以及該條統(tǒng)計(jì)規(guī)則的優(yōu)先級(jí)。[0076]其中,深度包檢測(cè)特征主要作為流統(tǒng)計(jì)特征的預(yù)過(guò)濾條件或入口條件,其包含至少一預(yù)過(guò)濾子規(guī)則和所含的預(yù)過(guò)濾子規(guī)則之間的邏輯關(guān)系。其中,預(yù)過(guò)濾子規(guī)則包括如下至少一項(xiàng):基于字符串的子規(guī)則、基于協(xié)議特征包長(zhǎng)的子規(guī)則、基于靜態(tài)動(dòng)態(tài)解密的子規(guī)貝U、基于已識(shí)別流關(guān)聯(lián)表的子規(guī)則、基于端口的子規(guī)則和基于IP地址的子規(guī)。其中,預(yù)過(guò)濾子規(guī)則之間的邏輯關(guān)系包括:邏輯全與、邏輯全或、邏輯表達(dá)式,其中邏輯表達(dá)式由邏輯與、邏輯或、括號(hào)和預(yù)過(guò)濾子規(guī)則的編號(hào)組成。
[0077]其中,流統(tǒng)計(jì)特征包含至少一統(tǒng)計(jì)模式和所含的統(tǒng)計(jì)模式之間的邏輯關(guān)系。其中,統(tǒng)計(jì)模式主要指定了流的包長(zhǎng)分布特征和符合該包長(zhǎng)分布特征的期望包計(jì)數(shù)。其中統(tǒng)計(jì)模式之間的邏輯關(guān)系包括:邏輯全與、邏輯全或、邏輯表達(dá)式,其中邏輯表達(dá)式由邏輯與、邏輯或、括號(hào)和統(tǒng)計(jì)模式的編號(hào)組成。
[0078]其中包長(zhǎng)分布特征包括如下至少一項(xiàng):數(shù)據(jù)包在流中的坐標(biāo)特征、數(shù)據(jù)包的序列特征和數(shù)據(jù)包的包長(zhǎng)特征;其中期望包計(jì)數(shù)可以為單個(gè)固定值或值區(qū)間。
[0079]其中數(shù)據(jù)包在流中的坐標(biāo)特征包括:包方向和包位置,其中包方向是指數(shù)據(jù)包在流中出現(xiàn)時(shí)所位于的流方向,包括上行包方向、下行包方向或無(wú)包方向;其中流方向包括上行流方向、下行流方向和雙向流方向;其中,上行流方向是指客戶端向服務(wù)器發(fā)包的流方向,下行流方向是指服務(wù)器向客戶端發(fā)包的流方向,雙向流方向是指將上行流方向和下行流方向看作一個(gè)方向整體;上行包方向指定為上行流方向,下行包方向指定為下行流方向,無(wú)包方向指定為雙向流方向。其中,包位置是指數(shù)據(jù)包在流方向上出現(xiàn)時(shí)的位置編號(hào),并且位置編號(hào)在流方向上獨(dú)立進(jìn)行,包位置包括單個(gè)固定位置、位置離散序列和位置連續(xù)區(qū)間。需要說(shuō)明的是:統(tǒng)計(jì)模式除了可以指定此處的包位置之外,還可指定統(tǒng)計(jì)模式變量包位置,其中,統(tǒng)計(jì)模式變量包位置為相對(duì)于統(tǒng)計(jì)模式命中時(shí)的包位置之后的偏移位置。統(tǒng)計(jì)模式命中在后續(xù)說(shuō)明。
[0080]其中數(shù)據(jù)包的序列特征包括:連續(xù)性和有序性;其中連續(xù)性是指某個(gè)數(shù)據(jù)包序列或集合中的數(shù)據(jù)包在某個(gè)流方向、位置連續(xù)區(qū)間上位置不間斷地一一出現(xiàn);其中有序性是指某個(gè)數(shù)據(jù)包序列或集合中的數(shù)據(jù)包在某個(gè)流方向、包位置(位置離散序列或位置連續(xù)區(qū)間)上按照指定的先后順序依次出現(xiàn)。
[0081]其中,數(shù)據(jù)包的包長(zhǎng)特征包括:包長(zhǎng)特定值、包長(zhǎng)范圍和包長(zhǎng)變量。其中數(shù)據(jù)包包長(zhǎng)是指帶有效負(fù)載的數(shù)據(jù)包的載荷長(zhǎng)度,包長(zhǎng)特定值是指數(shù)據(jù)包包長(zhǎng)或包長(zhǎng)統(tǒng)計(jì)量等于某個(gè)確定值,包長(zhǎng)范圍是指數(shù)據(jù)包包長(zhǎng)或包長(zhǎng)統(tǒng)計(jì)量介于兩個(gè)包長(zhǎng)特定值之間,包長(zhǎng)變量是指數(shù)據(jù)包包長(zhǎng)或包長(zhǎng)統(tǒng)計(jì)量等于某個(gè)包位置處的數(shù)據(jù)包包長(zhǎng)。
[0082]其中,統(tǒng)計(jì)模式包括如下至少一項(xiàng):包長(zhǎng)序列統(tǒng)計(jì)模式、包長(zhǎng)集合統(tǒng)計(jì)模式、包長(zhǎng)重復(fù)統(tǒng)計(jì)模式、位置的方向統(tǒng)計(jì)模式、包計(jì)數(shù)統(tǒng)計(jì)模式、包長(zhǎng)均值統(tǒng)計(jì)模式、包長(zhǎng)和值統(tǒng)計(jì)模式、輪包長(zhǎng)和值統(tǒng)計(jì)模式和字節(jié)收發(fā)比統(tǒng)計(jì)模式。
[0083]其中,包長(zhǎng)序列統(tǒng)計(jì)模式指定為:在流方向、包位置上存在具有包長(zhǎng)特征的數(shù)據(jù)包序列,并滿足連續(xù)性和有序性約束,其中期望包計(jì)數(shù)指定為具有包長(zhǎng)特征的數(shù)據(jù)包序列長(zhǎng)度;
[0084]其中,包長(zhǎng)集合統(tǒng)計(jì)模式指定為:在流方向、包裝置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都包含于一個(gè)包長(zhǎng)特征的集合,并且滿足連續(xù)性和有序性約束;
[0085]其中,包長(zhǎng)重復(fù)模式指定為:在流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都等于同一個(gè)包長(zhǎng)特征,并且滿足連續(xù)性;
[0086]其中,位置的方向統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上的數(shù)據(jù)包的包方向指定的包方向,期望包計(jì)數(shù)設(shè)定為包位置的個(gè)數(shù);
[0087]其中,包計(jì)數(shù)統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包方向都為同一指定的包方向,并且滿足連續(xù)性;
[0088]其中,包長(zhǎng)均值統(tǒng)計(jì)模式指定為:在流方向、包位置上所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為包位置的個(gè)數(shù);
[0089]其中,輪包長(zhǎng)和值統(tǒng)計(jì)模式指定為:將雙向流方向、包位置上的每一次流方向的改變看作新一輪數(shù)據(jù)包的開始,指定某輪所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為所述輪數(shù);
[0090]其中,字節(jié)收發(fā)比統(tǒng)計(jì)模式指定為:雙向流方向、包位置上的上行流方向字節(jié)數(shù)與下行流方向字節(jié)數(shù)的比值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為位置的個(gè)數(shù)。
[0091]基于以上認(rèn)識(shí),如圖1所示,是本發(fā)明實(shí)施例的加密流量識(shí)別方法的第一實(shí)施例的流程示意圖。其包括:
[0092]步驟S11、將待識(shí)別流與統(tǒng)計(jì)規(guī)則集合中各條統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則子集。
[0093]此處,待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配是指:待識(shí)別流命中與統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征所含的預(yù)過(guò)濾子規(guī)則,并且命中預(yù)過(guò)濾子規(guī)則間的邏輯關(guān)系。
[0094]步驟S12、將待識(shí)別流與所述統(tǒng)計(jì)規(guī)則子集中各條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則識(shí)別。
[0095]此處,待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配是指:待識(shí)別流命中統(tǒng)計(jì)規(guī)則的統(tǒng)計(jì)模式,并且命中統(tǒng)計(jì)模式之間的邏輯關(guān)系。
[0096]此處,待識(shí)別流命中統(tǒng)計(jì)模式是指待識(shí)別流符合統(tǒng)計(jì)模式指定的包長(zhǎng)分布特征的數(shù)據(jù)包的個(gè)數(shù)達(dá)到統(tǒng)計(jì)模式指定的期望包計(jì)數(shù)。
[0097]步驟S13、將統(tǒng)計(jì)規(guī)則識(shí)別集中具有最高優(yōu)先級(jí)的統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型識(shí)別為待識(shí)別流的應(yīng)用類型。
[0098]此處,按照步驟Sll和步驟S12匹配后,統(tǒng)計(jì)規(guī)則可能同時(shí)命中多個(gè)統(tǒng)計(jì)規(guī)則,那么將具有最高優(yōu)先級(jí)的統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型作為待識(shí)別流的應(yīng)用類型。
[0099]本實(shí)施例,可以識(shí)別加密流量的應(yīng)用類型,并且具有在線識(shí)別能力和高精準(zhǔn)識(shí)別率的特點(diǎn)。
[0100]圖1中步驟S12中涉及的統(tǒng)計(jì)模式的匹配可以采用如圖2所示的流程,其包括:
[0101]步驟S21、選中統(tǒng)計(jì)模式,輸入待識(shí)別流的數(shù)據(jù)包的包長(zhǎng)、流方向等信息。
[0102]步驟S22、根據(jù)當(dāng)前數(shù)據(jù)包的包長(zhǎng)和當(dāng)前流方向,判斷當(dāng)前流方向是否與選中的統(tǒng)計(jì)模式指定的流方向一致:若不一致,則結(jié)束;若一致,則轉(zhuǎn)至步驟S23繼續(xù)執(zhí)行。
[0103]步驟S23、根據(jù)當(dāng)前流方向和統(tǒng)計(jì)模式的匹配狀態(tài),更新統(tǒng)計(jì)模式的當(dāng)前包位置和統(tǒng)計(jì)模式變量包位置。
[0104]步驟S24、根據(jù)統(tǒng)計(jì)模式的當(dāng)前包位置和當(dāng)前數(shù)據(jù)包的包長(zhǎng),提取統(tǒng)計(jì)模式指定的包長(zhǎng)變量特征對(duì)應(yīng)的包長(zhǎng)。
[0105]步驟S25、根據(jù)統(tǒng)計(jì)模式的當(dāng)前包位置,判斷是否命中統(tǒng)計(jì)模式指定的包位置:若沒有命中,則結(jié)束;若命中,則轉(zhuǎn)至步驟S26繼續(xù)執(zhí)行。
[0106]步驟S26、根據(jù)統(tǒng)計(jì)模式的當(dāng)前包位置和當(dāng)前數(shù)據(jù)包的包長(zhǎng),更新統(tǒng)計(jì)模式的當(dāng)前包長(zhǎng)統(tǒng)計(jì)量,驗(yàn)證統(tǒng)計(jì)模式指定的包長(zhǎng)特征、包方向、連續(xù)性和有序性等包長(zhǎng)分布特征約束。
[0107]步驟S27、根據(jù)統(tǒng)計(jì)模式的包長(zhǎng)分布特征的驗(yàn)證結(jié)果,更新統(tǒng)計(jì)模式的連續(xù)性狀態(tài)、有序性狀態(tài)和當(dāng)前有效包計(jì)數(shù)。
[0108]步驟S28、根據(jù)統(tǒng)計(jì)模式指定的包位置、期望包計(jì)數(shù)、當(dāng)前包位置和當(dāng)前有效包計(jì)數(shù),判定統(tǒng)計(jì)模式的匹配結(jié)果。
[0109]步驟S29、更新統(tǒng)計(jì)模式的已完成狀態(tài)、已命中狀態(tài)等匹配狀態(tài),然后結(jié)束。
[0110]如圖3所示,是本發(fā)明實(shí)施例的加密流量識(shí)別方法的第二實(shí)施例的流程示意圖。在圖3中引入了全局流表、流節(jié)點(diǎn)和流統(tǒng)計(jì)子節(jié)點(diǎn)的概念,其中流節(jié)點(diǎn)保存在全局流表中,對(duì)應(yīng)待識(shí)別流;流統(tǒng)計(jì)子節(jié)點(diǎn)保存在流節(jié)點(diǎn)中,對(duì)應(yīng)統(tǒng)計(jì)規(guī)則。具體的,圖3包括:
[0111]步驟S31、輸入待識(shí)別流中的帶有效負(fù)載數(shù)據(jù)包相關(guān)的包長(zhǎng)、載荷、流五元組、流方向等上下文。
[0112]步驟S32、進(jìn)入應(yīng)用識(shí)別流水線的第一級(jí)節(jié)。
[0113]此處,統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾以數(shù)據(jù)包和統(tǒng)計(jì)規(guī)則集合為輸入對(duì)待識(shí)別流進(jìn)行深度包檢測(cè)預(yù)過(guò)濾,輸出最終命中的統(tǒng)計(jì)規(guī)則子集。
[0114]若統(tǒng)計(jì)規(guī)則子集非空,則待識(shí)別流需要進(jìn)行繼續(xù)執(zhí)行統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配,處理流程轉(zhuǎn)至應(yīng)用識(shí)別流水線的下一級(jí)節(jié)點(diǎn),否則,中止本次識(shí)別;
[0115]步驟S33、進(jìn)入應(yīng)用識(shí)別流水線的第二級(jí)節(jié)點(diǎn)。
[0116]若存在新命中的統(tǒng)計(jì)規(guī)則子集,則流統(tǒng)計(jì)子節(jié)點(diǎn)根據(jù)統(tǒng)計(jì)規(guī)則子集創(chuàng)建對(duì)應(yīng)的流統(tǒng)計(jì)子節(jié)點(diǎn)并對(duì)流統(tǒng)計(jì)子節(jié)點(diǎn)的統(tǒng)計(jì)模式匹配狀態(tài)進(jìn)行初始化,多個(gè)流統(tǒng)計(jì)子節(jié)點(diǎn)串接成鏈表并被保存在全局流表中待識(shí)別流對(duì)應(yīng)的流節(jié)點(diǎn)中。
[0117]若無(wú)新命中的統(tǒng)計(jì)規(guī)則子集,則遍歷當(dāng)前流統(tǒng)計(jì)子節(jié)點(diǎn)的鏈表,對(duì)每個(gè)流統(tǒng)計(jì)子節(jié)點(diǎn)將處理流程轉(zhuǎn)至應(yīng)用識(shí)別流水線的四至五節(jié)點(diǎn)。
[0118]步驟S34、進(jìn)入應(yīng)用識(shí)別流水線的第三級(jí)節(jié)點(diǎn)。
[0119]統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配基于流統(tǒng)計(jì)子節(jié)點(diǎn)當(dāng)前統(tǒng)計(jì)模式匹配狀態(tài)對(duì)流統(tǒng)計(jì)子節(jié)點(diǎn)對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征指定的統(tǒng)計(jì)模式進(jìn)行匹配,并對(duì)統(tǒng)計(jì)模式匹配狀態(tài)進(jìn)行更新,判定流統(tǒng)計(jì)子節(jié)點(diǎn)識(shí)別狀態(tài)。
[0120]步驟S35、進(jìn)入應(yīng)用識(shí)別流水線的第四級(jí)節(jié)點(diǎn)。
[0121]流識(shí)別結(jié)果檢測(cè)利用保存在全局流表中的待識(shí)別流對(duì)應(yīng)的流節(jié)點(diǎn)中的多個(gè)流統(tǒng)計(jì)子節(jié)點(diǎn)的識(shí)別狀態(tài)判定流節(jié)點(diǎn)的識(shí)別狀態(tài)和識(shí)別結(jié)果。
[0122]若至少存在一個(gè)流統(tǒng)計(jì)子節(jié)點(diǎn)的識(shí)別狀態(tài)為已識(shí)別,則判定流節(jié)點(diǎn)的識(shí)別狀態(tài)為已識(shí)別,流節(jié)點(diǎn)的識(shí)別結(jié)果被判定為所有已識(shí)別的流統(tǒng)計(jì)子節(jié)點(diǎn)對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則子集中優(yōu)先級(jí)最高的統(tǒng)計(jì)規(guī)則的規(guī)則頭所指定的加密流量應(yīng)用的類型,此時(shí),流節(jié)點(diǎn)的識(shí)別已完成,否則,繼續(xù)進(jìn)行識(shí)別。
[0123]本實(shí)施列,最多只對(duì)待識(shí)別流的前60個(gè)帶有效負(fù)載的數(shù)據(jù)包進(jìn)行識(shí)別,若已識(shí)別了 60個(gè)數(shù)據(jù)包但仍不存在識(shí)別狀態(tài)為已識(shí)別的流統(tǒng)計(jì)子節(jié)點(diǎn),則判定流節(jié)點(diǎn)的識(shí)別狀態(tài)為已失敗。[0124]相應(yīng)于前述的方法實(shí)施例,如圖4所示,本發(fā)明實(shí)施例提供了的加密流量識(shí)別裝置的實(shí)施例的結(jié)構(gòu)示意圖。其包括:統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊1、統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2和流識(shí)別結(jié)果檢測(cè)模塊3。
[0125]其中,統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊1,用于將待識(shí)別流與統(tǒng)計(jì)規(guī)則集合中各條統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則子集。
[0126]此處,待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配是指:待識(shí)別流命中與統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征所含的預(yù)過(guò)濾子規(guī)則,并且命中預(yù)過(guò)濾子規(guī)則間的邏輯關(guān)系。
[0127]其中,統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2,用于將待識(shí)別流與統(tǒng)計(jì)規(guī)則子集中各條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則識(shí)別集。
[0128]此處,待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配是指:待識(shí)別流命中統(tǒng)計(jì)規(guī)則的統(tǒng)計(jì)模式,并且命中統(tǒng)計(jì)模式之間的邏輯關(guān)系之間的邏輯關(guān)系。
[0129]此處,待識(shí)別流命中統(tǒng)計(jì)模式是指待識(shí)別流符合統(tǒng)計(jì)模式指定的包長(zhǎng)分布特征的數(shù)據(jù)包的個(gè)數(shù)達(dá)到統(tǒng)計(jì)模式指定的期望包計(jì)數(shù)。
[0130]其中,流識(shí)別結(jié)果檢測(cè)模塊3,用于將統(tǒng)計(jì)規(guī)則識(shí)別集中具有最高優(yōu)先級(jí)的統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型識(shí)別為所述待識(shí)別流的應(yīng)用類型。
[0131]本實(shí)施例,可以識(shí)別加密流量的應(yīng)用類型,并且具有在線識(shí)別能力和高精準(zhǔn)識(shí)別率的特點(diǎn)。
[0132]如圖5所示,統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊I在一種實(shí)施例中包括:特征基本匹配單元11和統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾邏輯判別單元12。
[0133]其中,特征基本匹配單元11包括:并行的字符串單模匹配子單元、協(xié)議特征包長(zhǎng)匹配子單元、靜態(tài)動(dòng)態(tài)解密匹配子單元、已識(shí)別流關(guān)聯(lián)表匹配子單元、端口匹配子單元和IP地址匹配子單元。
[0134]其中,統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾邏輯判別單元12,用于對(duì)特征基本匹配單元中匹配到的子單元之間的邏輯關(guān)系進(jìn)行驗(yàn)證,以生成統(tǒng)計(jì)規(guī)則子集。
[0135]具體的,字符串單模匹配子單元在待識(shí)別流的數(shù)據(jù)包應(yīng)用層載荷中執(zhí)行位置固定或不定的單個(gè)字符串的匹配。
[0136]其中,協(xié)議特征包長(zhǎng)匹配子單元執(zhí)行應(yīng)用流量的協(xié)議征包長(zhǎng)的驗(yàn)證,協(xié)議特征包長(zhǎng)是指數(shù)據(jù)包的某個(gè)固定位置的取值與整個(gè)數(shù)據(jù)包包長(zhǎng)滿足某種確定規(guī)律。
[0137]其中,靜態(tài)動(dòng)態(tài)解密匹配子單元首先利用預(yù)設(shè)的靜態(tài)密鑰或從數(shù)據(jù)包的某個(gè)固定位置提取的動(dòng)態(tài)密鑰并按照預(yù)設(shè)的解密算法對(duì)數(shù)據(jù)包進(jìn)行迭代解密獲取明文數(shù)據(jù),然后執(zhí)行字符串單模匹配或協(xié)議特征包長(zhǎng)匹配;其中的解密算法包括按位異或、移位、加減等。
[0138]其中,已識(shí)別流關(guān)聯(lián)表匹配子單元基于待識(shí)別流的數(shù)據(jù)包的IP、端口、傳輸協(xié)議利用已識(shí)別流關(guān)聯(lián)表執(zhí)行關(guān)聯(lián)查表匹配,其中,已識(shí)別流包括UDP流和TCP流,其中已識(shí)別流關(guān)聯(lián)表是由已識(shí)別流的IP與端口、IP與傳輸協(xié)議的元組生成的哈希鏈表。
[0139]其中,端口匹配子單元執(zhí)行單個(gè)端口或端口范圍的驗(yàn)證。
[0140]其中,IP地址匹配子單元執(zhí)行單個(gè)IP地址或IP地址范圍的驗(yàn)證。
[0141]如圖6所示,統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊I在另一種實(shí)施例中還包括:統(tǒng)計(jì)規(guī)則字符串多模匹配單元13和統(tǒng)計(jì)規(guī)則特征綜合匹配單元14。
[0142]其中,統(tǒng)計(jì)規(guī)則字符串多模匹配單元13和統(tǒng)計(jì)規(guī)則特征綜合匹配單元14輸入端被配置為并行連接至統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I的輸入端,輸出端則分別同時(shí)連接至特征基本匹配單元11和統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾結(jié)果邏輯判別單元12的輸入端,其中統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾邏輯判別單元12的輸出端則連接至統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I的輸出端。
[0143]其中,特征基本匹配單元11被并行配置為字符串單模匹配子單元、協(xié)議特征包長(zhǎng)匹配子單元、靜態(tài)動(dòng)態(tài)解密匹配子單元、端口匹配子單元、IP地址匹配子單元和已識(shí)流關(guān)聯(lián)表匹配子單元。
[0144]其中,統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I的工作過(guò)程通??煞譃轭A(yù)處理和預(yù)過(guò)濾兩個(gè)階段。
[0145]在統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I的預(yù)處理階段,由外部的統(tǒng)計(jì)規(guī)則集合預(yù)處理控制模塊對(duì)輸入的統(tǒng)計(jì)規(guī)則集合中的統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征指定的預(yù)過(guò)濾子規(guī)則統(tǒng)一進(jìn)行預(yù)處理,生成如圖8所示的深度包檢測(cè)引擎雙核心15的影子匹配核心(即圖中的核心2),即統(tǒng)計(jì)規(guī)則字符串多模匹配單元13的字符串多模式匹配狀態(tài)機(jī)和統(tǒng)計(jì)規(guī)則特征綜合匹配單元14的特征綜合匹配狀態(tài)機(jī),并執(zhí)行主匹配核心(即圖中的核心I)和影子匹配核心的無(wú)縫熱切換,影子匹配核心被激活為新的主匹配核心,而原來(lái)的主匹配核心轉(zhuǎn)變?yōu)樾碌挠白悠ヅ浜诵奶幱诖鼱顟B(tài)。
[0146]其中,字符串多模式匹配狀態(tài)機(jī)由統(tǒng)計(jì)規(guī)則集合中所有的統(tǒng)計(jì)規(guī)則的某條具有最長(zhǎng)字符串的基于關(guān)鍵字符串的預(yù)過(guò)濾子規(guī)則組成的預(yù)過(guò)濾子規(guī)則集合經(jīng)過(guò)預(yù)處理生成。并且,統(tǒng)計(jì)規(guī)則字符串多模匹配單元13利用字符串多模式匹配狀態(tài)機(jī)執(zhí)行匹配,并對(duì)命中的字符串進(jìn)行在數(shù)據(jù)包中的偏移位置約束的驗(yàn)證。
[0147]其中,特征綜合匹配狀態(tài)機(jī)由統(tǒng)計(jì)規(guī)則集合中所有的未加入統(tǒng)計(jì)規(guī)則字符串多模匹配單元的統(tǒng)計(jì)規(guī)則的基于關(guān)鍵字符串的預(yù)過(guò)濾子規(guī)則、基于協(xié)議特征包長(zhǎng)的預(yù)過(guò)濾子規(guī)貝U、基于靜態(tài)動(dòng)態(tài)解密的預(yù)過(guò)濾子規(guī)則、基于已識(shí)流關(guān)聯(lián)表的預(yù)過(guò)濾子規(guī)則、基于端口的預(yù)過(guò)濾子規(guī)則、基于IP地址的預(yù)過(guò)濾子規(guī)則生成,并利用特征基本匹配單元11執(zhí)行匹配。
[0148]在統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I的預(yù)過(guò)濾階段,統(tǒng)計(jì)規(guī)則字符串多模匹配單元13和統(tǒng)計(jì)規(guī)則特征綜合匹配單元14以待分類流中的帶有效負(fù)載的數(shù)據(jù)包和統(tǒng)計(jì)規(guī)則集合作為輸入,并聯(lián)合特征基本匹配單元11進(jìn)行深度包檢測(cè)預(yù)過(guò)濾,輸出初步命中的統(tǒng)計(jì)規(guī)則子集和統(tǒng)計(jì)規(guī)則子集中的統(tǒng)計(jì)規(guī)則的預(yù)過(guò)濾子規(guī)則的命中狀態(tài),然后,統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾結(jié)果邏輯判別單元12對(duì)的統(tǒng)計(jì)規(guī)則的預(yù)過(guò)濾子規(guī)則之間的邏輯關(guān)系進(jìn)一步進(jìn)行驗(yàn)證,從而篩選出最終命中的統(tǒng)計(jì)規(guī)則子集并輸出。
[0149]如圖7所示,其中統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2包括:統(tǒng)計(jì)模式匹配單元21和統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元22。
[0150]其中,統(tǒng)計(jì)模式匹配單元21的輸入端被配置為連接至統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2的輸入端,統(tǒng)計(jì)模式匹配單元21的輸出端被配置為連接至統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元22的輸入端,統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元22的輸出端則連接至統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2的輸出端。
[0151]其中,統(tǒng)計(jì)模式匹配單元402被并行配置為包長(zhǎng)序列統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)集合統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)重復(fù)統(tǒng)計(jì)模式匹配子單元、位置的方向統(tǒng)計(jì)模式匹配子單元、包計(jì)數(shù)統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)均值統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)和值統(tǒng)計(jì)模式匹配子單元、輪包長(zhǎng)和值統(tǒng)計(jì)模式匹配子單元和字節(jié)收發(fā)比統(tǒng)計(jì)模式匹配子單元。[0152]其中,所述統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2以統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I篩選出的統(tǒng)計(jì)規(guī)則作為輸入,利用統(tǒng)計(jì)模式匹配單元21對(duì)統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征指定的多個(gè)統(tǒng)計(jì)模式進(jìn)行匹配,更新統(tǒng)計(jì)模式匹配狀態(tài),根據(jù)統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征指定的統(tǒng)計(jì)模式之間的邏輯關(guān)系利用統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元22判定統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的流統(tǒng)計(jì)子節(jié)點(diǎn)的識(shí)別狀態(tài)并輸出。
[0153]如圖8所示,是加密流量識(shí)別裝置的第二實(shí)施例的結(jié)構(gòu)示意圖。其主要包括:統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊1、統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2、流統(tǒng)計(jì)子節(jié)點(diǎn)單元4、流識(shí)別結(jié)果檢測(cè)模塊3。其中,統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊1、統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2、流識(shí)別結(jié)果檢測(cè)模塊3在前述均有說(shuō)明,此處重點(diǎn)說(shuō)明流統(tǒng)計(jì)子節(jié)點(diǎn)單元4。
[0154]具體的,流統(tǒng)計(jì)子節(jié)點(diǎn)單元4包括:流統(tǒng)計(jì)子節(jié)點(diǎn)和流統(tǒng)計(jì)子節(jié)點(diǎn)的統(tǒng)計(jì)模式匹配狀態(tài)。
[0155]其中,流統(tǒng)計(jì)子節(jié)點(diǎn)與統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I命中的統(tǒng)計(jì)規(guī)則相對(duì)應(yīng),并且保存在統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I篩選出的待識(shí)別流對(duì)應(yīng)的全局流表中的流節(jié)點(diǎn)中。其中同一條待識(shí)別流可能會(huì)被統(tǒng)計(jì)規(guī)則深度包檢測(cè)預(yù)過(guò)濾模塊I多次篩選并命中一條或多條不同的統(tǒng)計(jì)規(guī)則,屬于同一條待識(shí)別流的多個(gè)流統(tǒng)計(jì)子節(jié)點(diǎn)串接成單向鏈表。
[0156]其中,流統(tǒng)計(jì)子節(jié)點(diǎn)的統(tǒng)計(jì)模式匹配狀態(tài)為流統(tǒng)計(jì)子節(jié)點(diǎn)對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則的各個(gè)統(tǒng)計(jì)模式的中間匹配狀態(tài),包括統(tǒng)計(jì)模式的當(dāng)前包位置、當(dāng)前有效包計(jì)數(shù)、當(dāng)前包長(zhǎng)統(tǒng)計(jì)量、連續(xù)性狀態(tài)、有序性狀態(tài)、已完成狀態(tài)、已命中狀態(tài)、流統(tǒng)計(jì)子節(jié)點(diǎn)的識(shí)別狀態(tài),其中,流統(tǒng)計(jì)子節(jié)點(diǎn)的識(shí)別狀態(tài)包括已識(shí)別、已失敗和未決狀態(tài);其中流統(tǒng)計(jì)子節(jié)點(diǎn)的統(tǒng)計(jì)模式匹配狀態(tài)由統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2更新。
[0157]其中,統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊2利用保存的流統(tǒng)計(jì)子節(jié)點(diǎn)的統(tǒng)計(jì)模式匹配狀態(tài)和統(tǒng)計(jì)模式匹配單元21對(duì)流統(tǒng)計(jì)子節(jié)點(diǎn)對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則指定的流統(tǒng)計(jì)特征包括的多個(gè)統(tǒng)計(jì)模式進(jìn)行匹配,更新對(duì)應(yīng)的流統(tǒng)計(jì)子節(jié)點(diǎn)的統(tǒng)計(jì)模式匹配狀態(tài),并根據(jù)流統(tǒng)計(jì)特征指定的統(tǒng)計(jì)模式之間的邏輯關(guān)系利用統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元22判定流統(tǒng)計(jì)子節(jié)點(diǎn)的識(shí)別狀態(tài)。
[0158]其中,統(tǒng)計(jì)模式匹配單元21執(zhí)行包長(zhǎng)序列統(tǒng)計(jì)模式、包長(zhǎng)集合統(tǒng)計(jì)模式、包長(zhǎng)重復(fù)統(tǒng)計(jì)模式、位置的方向統(tǒng)計(jì)模式、包計(jì)數(shù)統(tǒng)計(jì)模式、包長(zhǎng)均值統(tǒng)計(jì)模式、包長(zhǎng)和值統(tǒng)計(jì)模式、輪包長(zhǎng)和值統(tǒng)計(jì)模式、字節(jié)收發(fā)比統(tǒng)計(jì)模式的匹配。
[0159]具體的,統(tǒng)計(jì)模式匹配單元21根據(jù)當(dāng)前數(shù)據(jù)包的包長(zhǎng)和當(dāng)前流方向,判斷當(dāng)前流方向是否與統(tǒng)計(jì)模式指定的流方向一致;統(tǒng)計(jì)模式匹配單元根據(jù)當(dāng)前流方向和引用的統(tǒng)計(jì)模式的匹配狀態(tài),更新統(tǒng)計(jì)模式的當(dāng)前包位置和統(tǒng)計(jì)模式變量包位置;統(tǒng)計(jì)模式匹配單元根據(jù)統(tǒng)計(jì)模式的當(dāng)前包位置和當(dāng)前數(shù)據(jù)包的包長(zhǎng),提取統(tǒng)計(jì)模式指定的包長(zhǎng)變量特征對(duì)應(yīng)的包長(zhǎng);統(tǒng)計(jì)模式匹配單元根據(jù)統(tǒng)計(jì)模式的當(dāng)前包位置,判斷是否命中統(tǒng)計(jì)模式指定的包位置;統(tǒng)計(jì)模式匹配單元根據(jù)統(tǒng)計(jì)模式的當(dāng)前包位置和當(dāng)前數(shù)據(jù)包的包長(zhǎng),更新統(tǒng)計(jì)模式的當(dāng)前包長(zhǎng)統(tǒng)計(jì)量,驗(yàn)證統(tǒng)計(jì)模式指定的所述的包長(zhǎng)特征、包方向、連續(xù)性和有序性等包長(zhǎng)分布特征約束;統(tǒng)計(jì)模式匹配單元根據(jù)統(tǒng)計(jì)模式的包長(zhǎng)分布特征的驗(yàn)證結(jié)果,更新統(tǒng)計(jì)模式的連續(xù)性狀態(tài)、有序性狀態(tài)和當(dāng)前有效包計(jì)數(shù);統(tǒng)計(jì)模式匹配單元根據(jù)統(tǒng)計(jì)模式指定的包位置、期望包計(jì)數(shù)、當(dāng)前包位置和當(dāng)前有效包計(jì)數(shù),判定統(tǒng)計(jì)模式的匹配結(jié)果并更新統(tǒng)計(jì)模式的已完成狀態(tài)、已命中狀態(tài)。
[0160]其中,統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元22利用流統(tǒng)計(jì)子節(jié)點(diǎn)的統(tǒng)計(jì)模式匹配狀態(tài)的已完成狀態(tài)、已命中狀態(tài)、統(tǒng)計(jì)模式之間的邏輯關(guān)系和判定流統(tǒng)計(jì)子節(jié)點(diǎn)的識(shí)別狀態(tài)。其中統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元22對(duì)被預(yù)處理為逆波蘭表示法的邏輯表達(dá)式進(jìn)行邏輯運(yùn)算。
[0161]其中,流識(shí)別結(jié)果檢測(cè)模塊3利用保存在流節(jié)點(diǎn)中的多個(gè)流統(tǒng)計(jì)子節(jié)點(diǎn)的識(shí)別狀態(tài)判定流節(jié)點(diǎn)的識(shí)別狀態(tài)和識(shí)別結(jié)果,決定是否繼續(xù)遍歷流統(tǒng)計(jì)子節(jié)點(diǎn)鏈表,其中,流節(jié)點(diǎn)的識(shí)別狀態(tài)包括已識(shí)別、已失敗、未決但無(wú)未決的流統(tǒng)計(jì)子節(jié)點(diǎn)、未決且有未決的流統(tǒng)計(jì)子節(jié)點(diǎn)。
[0162]其中,流識(shí)別結(jié)果檢測(cè)模塊3將流節(jié)點(diǎn)的識(shí)別結(jié)果被判定為已識(shí)別的流統(tǒng)計(jì)子節(jié)點(diǎn)對(duì)應(yīng)的統(tǒng)計(jì)規(guī)則子集中優(yōu)先級(jí)最高的統(tǒng)計(jì)規(guī)則的規(guī)則頭所指定的加密流量應(yīng)用的類型。
[0163]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程。其中,所述的存儲(chǔ)介質(zhì)可為磁碟、光盤、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或隨機(jī)存儲(chǔ)記憶體(Random AccessMemory, RAM)等。
[0164]以上所揭露的僅為本發(fā)明一種較佳實(shí)施例而已,當(dāng)然不能以此來(lái)限定本發(fā)明之權(quán)利范圍,本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分流程,并依本發(fā)明權(quán)利要求所作的等同變化,仍屬于發(fā)明所涵蓋的范圍。
【權(quán)利要求】
1.一種加密流量識(shí)別方法,其特征在于:將待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配以識(shí)別待識(shí)別流的應(yīng)用類型;其中統(tǒng)計(jì)規(guī)則包括:規(guī)則頭、深度包檢測(cè)特征和流統(tǒng)計(jì)特征,所述規(guī)則頭指示了該條統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型以及該條統(tǒng)計(jì)規(guī)則的優(yōu)先級(jí); 所述將待識(shí)別流與統(tǒng)計(jì)規(guī)則匹配以識(shí)別待識(shí)別流的應(yīng)用類型,包括: 將待識(shí)別流與統(tǒng)計(jì)規(guī)則集合中各條統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則子集; 將待識(shí)別流與所述統(tǒng)計(jì)規(guī)則子集中各條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則識(shí)別集; 將所述統(tǒng)計(jì)規(guī)則識(shí)別集中具有最高優(yōu)先級(jí)的統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型識(shí)別為所述待識(shí)別流的應(yīng)用類型。
2.根據(jù)權(quán)利要求1所述的加密流量識(shí)別方法,其特征在于:所述統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征包含至少一預(yù)過(guò)濾子規(guī)則和所含的預(yù)過(guò)濾子規(guī)則之間的邏輯關(guān)系; 所述預(yù)過(guò)濾子規(guī)則包括如下至少一項(xiàng):基于字符串的預(yù)過(guò)濾子規(guī)則、基于協(xié)議特征包長(zhǎng)的預(yù)過(guò)濾子規(guī)則、基于靜態(tài)動(dòng)態(tài)解密的預(yù)過(guò)濾子規(guī)則、基于已識(shí)別流關(guān)聯(lián)表的預(yù)過(guò)濾子規(guī)則、基于端口的預(yù)過(guò)濾子規(guī)則和基于IP地址的預(yù)過(guò)濾子規(guī)則; 當(dāng)所述待識(shí)別流與統(tǒng)計(jì)規(guī)則所含的預(yù)過(guò)濾子規(guī)則相匹配,并且符合所含的預(yù)過(guò)濾子規(guī)則間的邏輯關(guān)系時(shí),則所述待識(shí)別流與該條統(tǒng)計(jì)規(guī)則的深度包檢測(cè)特征匹配。
3.根據(jù)權(quán)利要求1或2所述的加密流量識(shí)別方法,其特征在于:所述流統(tǒng)計(jì)特征包含至少一統(tǒng)計(jì)模式和所含的統(tǒng)計(jì)模式之間的邏輯關(guān)系; 所述統(tǒng)計(jì)模式用于指定流的包長(zhǎng)分布特`征和符合該包長(zhǎng)分布特征的期望包計(jì)數(shù);當(dāng)所述待識(shí)別流中符合統(tǒng)計(jì)模式指定的包長(zhǎng)分布特征的數(shù)據(jù)包的個(gè)數(shù)達(dá)到統(tǒng)計(jì)模式指定的期望包計(jì)數(shù)時(shí),則所述待識(shí)別流與該統(tǒng)計(jì)模式匹配; 當(dāng)所述待識(shí)別流與統(tǒng)計(jì)規(guī)則所含的統(tǒng)計(jì)模式匹配,并且符合所含的統(tǒng)計(jì)模式之間的邏輯關(guān)系時(shí),則所述待識(shí)別流與該條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配。
4.根據(jù)權(quán)利要求3所述的加密流量識(shí)別方法,其特征在于:所述包長(zhǎng)分布特征包括如下至少一項(xiàng):數(shù)據(jù)包在流中的坐標(biāo)特征、數(shù)據(jù)包的序列特征和數(shù)據(jù)包的包長(zhǎng)特征; 所述數(shù)據(jù)包在流中的坐標(biāo)特征包括:包方向和包位置,其中包方向包括:對(duì)應(yīng)上行流方向的上行包方向、對(duì)應(yīng)下行流方向的下行包方向和對(duì)應(yīng)雙向流方向的無(wú)包方向;包位置是指數(shù)據(jù)包在流方向上出現(xiàn)時(shí)的位置編號(hào),包括:單個(gè)固定位置、位置離散序列和位置連續(xù)區(qū)間; 所述數(shù)據(jù)包的序列特征包括:連續(xù)性和有序性; 所述數(shù)據(jù)包的包長(zhǎng)特征包括:包長(zhǎng)特定值、包長(zhǎng)范圍和包長(zhǎng)變量。
5.根據(jù)權(quán)利要求4所述的加密流量識(shí)別方法,其特征在于:所述統(tǒng)計(jì)模式包括如下至少一項(xiàng):包長(zhǎng)序列統(tǒng)計(jì)模式、包長(zhǎng)集合統(tǒng)計(jì)模式、包長(zhǎng)重復(fù)統(tǒng)計(jì)模式、位置的方向統(tǒng)計(jì)模式、包計(jì)數(shù)統(tǒng)計(jì)模式、包長(zhǎng)均值統(tǒng)計(jì)模式、包長(zhǎng)和值統(tǒng)計(jì)模式、輪包長(zhǎng)和值統(tǒng)計(jì)模式和字節(jié)收發(fā)比統(tǒng)計(jì)模式; 所述包長(zhǎng)序列統(tǒng)計(jì)模式指定為:在流方向、包位置上存在具有包長(zhǎng)特征的數(shù)據(jù)包序列,并滿足連續(xù)性和有序性約束,其中期望包計(jì)數(shù)指定為具有包長(zhǎng)特征的數(shù)據(jù)包序列長(zhǎng)度; 所述包長(zhǎng)集合統(tǒng)計(jì)模式指定為:在流方向、包裝置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都包含于一個(gè)包長(zhǎng)特征的集合,并且滿足連續(xù)性和有序性約束; 所述包長(zhǎng)重復(fù)模式指定為:在流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都等于同一個(gè)包長(zhǎng)特征,并且滿足連續(xù)性; 所述位置的方向統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上的數(shù)據(jù)包的包方向指定的包方向,期望包計(jì)數(shù)設(shè)定為包位置的個(gè)數(shù); 所述包計(jì)數(shù)統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包方向都為同一指定的包方向,并且滿足連續(xù)性; 所述包長(zhǎng)均值統(tǒng)計(jì)模式指定為:在流方向、包位置上所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為包位置的個(gè)數(shù); 所述輪包長(zhǎng)和值統(tǒng)計(jì)模式指定為:將雙向流方向、包位置上的每一次流方向的改變看作新一輪數(shù)據(jù)包的開始,指定某輪所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為所述輪數(shù); 所述字節(jié)收發(fā)比統(tǒng)計(jì)模式指定為:雙向流方向、包位置上的上行流方向字節(jié)數(shù)與下行流方向字節(jié)數(shù)的比值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為位置的個(gè)數(shù)。
6.根據(jù)權(quán)利要求3所述的加密流量識(shí)別方法,其特征在于:所述待識(shí)別流為傳輸控制協(xié)議TCP流,所述數(shù)據(jù)包為帶有效負(fù)載的數(shù)據(jù)包,所述加密量識(shí)別方法至多對(duì)待識(shí)別流的前60個(gè)帶有效負(fù)載的數(shù)據(jù)包進(jìn)行識(shí)別。
7.一種加密流量識(shí)別裝置,其特征在于:包括:統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊、統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊和流識(shí)別結(jié)果檢測(cè)模塊; 其中所述統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊,用于將待識(shí)別流與統(tǒng)計(jì)規(guī)則集合中各條統(tǒng)計(jì)規(guī)則的深度包檢 測(cè)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則子集; 所述統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊,用于將待識(shí)別流與所述統(tǒng)計(jì)規(guī)則子集中各條統(tǒng)計(jì)規(guī)則的流統(tǒng)計(jì)特征匹配,將匹配到的統(tǒng)計(jì)規(guī)則生成為統(tǒng)計(jì)規(guī)則識(shí)別集; 所述流識(shí)別結(jié)果檢測(cè)模塊,用于將所述統(tǒng)計(jì)規(guī)則識(shí)別集中具有最高優(yōu)先級(jí)的統(tǒng)計(jì)規(guī)則對(duì)應(yīng)的應(yīng)用類型識(shí)別為所述待識(shí)別流的應(yīng)用類型。
8.根據(jù)權(quán)利要求7所述的加密流量識(shí)別裝置,其特征在于:所述統(tǒng)計(jì)規(guī)則深度包檢測(cè)特征預(yù)過(guò)濾模塊,包括:特征基本匹配單元和統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾邏輯判別單元; 所述特征基本匹配單元包括:并行的字符串單模匹配子單元、協(xié)議特征包長(zhǎng)的預(yù)過(guò)濾匹配子單元、靜態(tài)動(dòng)態(tài)解密匹配子單元、已識(shí)別流關(guān)聯(lián)表匹配子單元、端口匹配子單元和IP地址匹配子單元; 所述統(tǒng)計(jì)規(guī)則預(yù)過(guò)濾邏輯判別單元,用于對(duì)所述特征基本匹配單元中匹配到的子單元之間的邏輯關(guān)系進(jìn)行驗(yàn)證,生成統(tǒng)計(jì)規(guī)則子集。
9.根據(jù)權(quán)利要求7或8所述的加密流量識(shí)別裝置,其特征在于:所述包長(zhǎng)分布特征包括如下至少一項(xiàng):數(shù)據(jù)包在流中的坐標(biāo)特征、數(shù)據(jù)包的序列特征和數(shù)據(jù)包的包長(zhǎng)特征; 所述數(shù)據(jù)包在流中的坐標(biāo)特征包括:對(duì)應(yīng)上行流方向的上行包方向、對(duì)應(yīng)下行流方向的下行包方向和對(duì)應(yīng)雙向流方向的無(wú)包方向; 所述數(shù)據(jù)包的序列特征包括:連續(xù)性和有序性; 所述數(shù)據(jù)包的包長(zhǎng)特征包括:包長(zhǎng)特定值、包長(zhǎng)范圍和包長(zhǎng)變量。
10.根據(jù)權(quán)利要求9所述的加密流量識(shí)別裝置,其特征在于:所述統(tǒng)計(jì)規(guī)則流統(tǒng)計(jì)特征匹配模塊包括:統(tǒng)計(jì)模式匹配單元和統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元; 所述統(tǒng)計(jì)模式匹配單元包括如下至少一項(xiàng):包長(zhǎng)序列統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)集合統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)重復(fù)統(tǒng)計(jì)模式匹配子單元、位置的方向統(tǒng)計(jì)模式匹配子單元、包計(jì)數(shù)統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)均值統(tǒng)計(jì)模式匹配子單元、包長(zhǎng)和值統(tǒng)計(jì)模式匹配子單元、輪包長(zhǎng)和值統(tǒng)計(jì)模式匹配子單元和字節(jié)收發(fā)比統(tǒng)計(jì)模式匹配子單元; 所述統(tǒng)計(jì)模式匹配結(jié)果邏輯判別單元,用于對(duì)統(tǒng)計(jì)模式匹配單元匹配到的子單元之間的邏輯關(guān)系進(jìn)行驗(yàn)證,生成所述統(tǒng)計(jì)規(guī)則識(shí)別集。
11.根據(jù)權(quán)利要求10所述的加密流量識(shí)別裝置,其特征在于:包長(zhǎng)序列統(tǒng)計(jì)模式指定為:在流方向、包位置上存在具有包長(zhǎng)特征的數(shù)據(jù)包序列,并滿足連續(xù)性和有序性約束,其中期望包計(jì)數(shù)指定為具有包長(zhǎng)特征的數(shù)據(jù)包序列長(zhǎng)度; 包長(zhǎng)集合統(tǒng)計(jì)模式指定為:在流方向、包裝置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都包含于一個(gè)包長(zhǎng)特征的集合,并且滿足連續(xù)性和有序性約束; 包長(zhǎng)重復(fù)模式指定為:在流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包長(zhǎng)都等于同一個(gè)包長(zhǎng)特征,并且滿足連續(xù)性; 位置的方向統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上的數(shù)據(jù)包的包方向指定的包方向,期望包計(jì)數(shù)設(shè)定為包位置的個(gè)數(shù); 包計(jì)數(shù)統(tǒng)計(jì)模式指定為:在雙向流方向、包位置上存在期望包計(jì)數(shù)個(gè)數(shù)據(jù)包,數(shù)據(jù)包的包方向都為同一指定的包方向,并且滿足連續(xù)性; 包長(zhǎng)均值統(tǒng)計(jì)模式指定為:在流方向、包位置上所有數(shù)據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為包位置的個(gè)數(shù); 輪包長(zhǎng)和值統(tǒng)計(jì)模式指定為:將雙向流方向、包位置上的每一次流方向的改變看作新一輪數(shù)據(jù)包的開始,指定某輪所有數(shù)`據(jù)包的數(shù)據(jù)包包長(zhǎng)的和值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為所述輪數(shù); 字節(jié)收發(fā)比統(tǒng)計(jì)模式指定為:雙向流方向、包位置上的上行流方向字節(jié)數(shù)與下行流方向字節(jié)數(shù)的比值與一個(gè)包長(zhǎng)特征相匹配,期望包計(jì)數(shù)被設(shè)定為位置的個(gè)數(shù)。
12.根據(jù)權(quán)利要求7或8所述的密流量識(shí)別裝置,其特征在于:所述待識(shí)別流為傳輸控制協(xié)議TCP流,所述數(shù)據(jù)包為帶有效負(fù)載的數(shù)據(jù)包,所述加密量識(shí)別裝置至多對(duì)待識(shí)別流的前60個(gè)帶有效負(fù)載的數(shù)據(jù)包進(jìn)行識(shí)別。
【文檔編號(hào)】H04L12/26GK103873320SQ201310741617
【公開日】2014年6月18日 申請(qǐng)日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】高長(zhǎng)喜, 賈艷會(huì) 申請(qǐng)人:北京天融信科技有限公司