[发明专利]一种网络协议识别设备和方法

权利要求书

1.一种对在客户端和服务器之间传输网络数据所采用的网络协议进行识别的网络协议识别方法，包括步骤：

获取在传输所述网络数据时的同一会话中的多个数据包，并将所述多个数据包划分为从客户端发送到服务器的数据包和从服务器发送到客户端的数据包；

针对所述从客户端发送到服务器的数据包，计算与所述数据包的大小相关的第一指标以及与所述数据包到达服务器的时间间隔相关的第二指标；

针对所述从服务器发送到客户端的数据包，计算与所述数据包的大小相关的第三指标以及与所述数据包到达客户端的时间间隔相关的第四指标；

构造包括所述第一指标、第二指标、第三指标和第四指标为其分量的特征向量；以及

根据所述特征向量来确定传输所述网络数据所采用的网络协议。

2.如权利要求1所述的网络协议识别方法，其中根据所述特征向量来确定传输所述网络数据所采用的网络协议包括：

计算所述特征向量的大小；

如果所述特征向量的大小和与已知网络协议相对应的已知协议特征值的大小之差在与该已知网络协议相关联的预定范围之内，则认为传输所述网络数据所采用的网络协议为所述已知网络协议。

3.如权利要求1所述的网络协议识别方法，还包括确定与已知网络协议相对应的已知协议特征值的步骤，所述确定与已知网络协议相对应的已知协议特征值的步骤包括：

以所述已知网络协议在学习客户端和学习服务器之间进行网络传输；

获取所述网络传输的多个学习会话；

针对每个学习会话：

       获取同一个会话中的多个数据包，并且将所述多个数据包划分为从客户端发送到服务器的学习数据包和从服务器发送到客户端的学习数据包；

       针对所述从客户端发送到服务器的学习数据包，计算与所述学习数据包的大小相关的第五指标以及与所述学习数据包到达服务器的时间间隔相关的第六指标；

       针对所述从服务器发送到客户端的学习数据包，计算与所述学习数据包的大小相关的第七指标以及与所述学习数据包到达客户端的时间间隔相关的第八指标；以及

       构造包括所述第五指标、第六指标、第七指标和第八指标为其分量的学习特征向量；以及

计算所述多个学习特征向量的特征中心，并且将所述特征中心确定为与所述已知网络协议相对应的已知协议特征值。

4.如权利要求3所述的网络协议识别方法，其中计算所述多个学习特征向量的特征中心包括以聚类算法来计算所述多个学习特征向量的聚类中心作为所述特征中心。

5.如权利要求4所述的网络协议识别方法，其中所述聚类算法为K-means聚类算法，而且与所述已知网络协议相关联的预定范围为所述以K-means聚类算法来计算所述多个学习特征向量的聚类中心时的偏差。

6.如权利要求1-5中任意一个所述的网络协议识别方法，其中所述第一指标和第三指标包括所述数据包的平均大小和所述数据包的大小的标准差。

7.如权利要求1-6中任意一个所述的网络协议识别方法，其中所述第二指标包括所述数据包到达服务器的时间间隔的平均大小和所述数据包到达服务器的时间间隔的标准差，第四指标包括所述数据包到达客户端的时间间隔的平均大小和所述数据包到达客户端的时间间隔的标准差。

8.如权利要求3-5中任意一个所述的网络协议识别方法，其中所述第五指标和第七指标包括所述学习数据包的平均大小和所述数据包的大小的标准差。

9.如权利要求3-5中的任意一个所述的网络协议识别方法，其中所述第六指标包括所述学习数据包到达服务器的时间间隔的平均大小和所述学习数据包到达服务器的时间间隔的标准差，以及第八指标包括所述学习数据包到达客户端的时间间隔的平均大小和所述学习数据包到达客户端的时间间隔的标准差。

10.如权利要求3-5任意一个所述的网络协议识别方法，其中针对每个学习会话获取同一个会话中的多个数据包包括：获取同一个会话中的100到600个数据包。

11.如权利要求3-5任意一个所述的网络协议识别方法,还包括步骤：

如果学习会话具有少于100个数据包，则不对该学习会话进行处理。