[发明专利]一种基于行为特征的复用协议识别方法及系统

说明书

技术领域

本发明涉及互联网应用技术领域，特别涉及一种基于行为特征识别复用协议的方法及系统。

背景技术

最初的协议识别是对单个报文内容的识别，此种识别方法通过扫描报文内容，进行特征串字符匹配，命中某种协议预设的特征串后识别为该种协议，此种方法识别准确率高，但是不能处理加密协议。为了识别加密协议，出现了模糊识别，此种方法为对连接进行识别，主要利用了统计方法构建模型，统计对象包括：IP地址、端口、报文长度序列和报文时间戳序列等，然后对统计特征进行匹配连接，不需对报文内容进行识别。

在现在的互联网领域里，同一家企业旗下出现多种产品，处于开发的便捷性和维护的复杂度考虑，多个产品复用了同一套通信协议，比如说迅雷公司旗下的迅雷和迅雷看看。对于这种情况，一般的协议识别产品不能准确识别一条连接属于哪种具体协议。

发明内容

(一)所要解决的技术问题

本发明的目的为提供一种基于行为特征的复用协议识别方法，通过本发明解决了复用协议中具体协议的识别问题。

(二)技术方案

本发明提供一种基于行为特征的复用协议识别方法，该方法包括步骤：

S1、获取并分析多个具体协议应用的报文，确定所述多个具体协议应用的复用协议的种类；

S2、获取复用协议的报文，提取所述复用协议的共有特征和私有特征，编译形成特征库并加载；

S3、扫描主机产生的连接流量，若发现连接匹配命中所述特征库中的私有特征，则记录该行为，设定所述行为的时间限制；

若发现连接匹配命中所述特征库中的共有特征，则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所述记录行为的对应协议；若存在实时行为，则识别所述连接为所述实时行为的对应协议，否则继续扫描。

其中，所述步骤S1具体包括：随机抓取多个具体协议应用的报文并进行分析，若所述报文存在相同的报文特征值，则确定所述多个具体协议应用使用了同一套协议规范。

其中，步骤S3中所述查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为进一步包括：

若匹配命中所述共有规则的连接是为数据提供具有实时特征传送服务的连接则查询所述主机是否存在实时行为，否则查询所述主机是否存在记录行为。

本发明还提供一种基于行为特征的复用协议识别系统，该系统包括：

特征库形成模块，用于获取复用协议的报文，并所述提取复用协议的共有特征规则和私有特征规则，并编译形成特征库；

协议识别模块，与特征库形成模块连接，扫描主机产生的连接流量，若发现连接匹配命中所述特征库中的私有特征，则记录该行为，设定超时时间；

若发现连接匹配命中所述特征库中的共有特征，则查询所述主机是否存在所述记录行为或查询所述主机是否存在实时行为，若存在所述记录行为，则识别所述连接为所述记录行为的对应协议；若存在实时行为，则识别所述连接为所述实时行为的对应协议，否则继续扫描。

(三)有益效果

本发明提出了一种基于行为特征的复用协议识别方法及系统，与传统的协议识别方法相比，本发明利用历史行为和实时行为的查询能够有效完成复用协议下各个具体协议的识别，从而补充了现有的协议识别方法，提高了协议识别的精度，进而更精确对这些复用协议进行统计和控制。

附图说明

图1为本发明所提供方法的步骤流程图；

图2为本发明系统的连接方框图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

一般情况下，一台主机上同时运行的类似软件的数目很少，通常情况下就是一种，比如运行了QQ视频，可能就没有运行QQ音乐，利用这种现象，发明了一种利用行为特征识别复用协议的方法。行为特征包括历史行为特征和实时行为特征：历史行为特征是指曾在这台主机上发生过的动作，实时行为特征是指现在这台主机上发生的动作。本发明综合了历史行为特征和实时行为特征，具体步骤如图1所示：

S1、分析多个具体协议应用的报文，确定所述多个具体协议应用的复用协议的种类；

以QQ音乐和QQ视频这两种应用为例，随机抓取这两种应用的连接数据包进行报文分析，若这两种报文的存在相同的报文特征值，则确定这两种应用使用了同一套协议规范；

S2、获取复用协议的报文，提取所述复用协议的共有特征和私有特征，编译形成特征库并加载；