[发明专利]一种适用于大规模网络环境的HTTPS流服务在线标识方法

摘要

本发明公开了一种适用于大规模网络环境的HTTPS流服务在线标识方法，包括：1)根据实际网络中HTTPS和DNS流量的属性，计算用于读取HTTPS流和DNS流的滑动时间窗口参数，然后采用滑动窗口机制实时地从网络流量中读取HTTPS流数据和DNS流数据；在每个滑动时间窗口下：2)分别把DNS数据和HTTPS数据处理为键值对格式的数据集合；3)通过两级关联方法建立HTTPS与DNS的关联；4)采用基于客户机DNS请求行为的候选服务标识确定方法，从关联的多个域名中选择一个或多个作为HTTPS流的服务标识。本发明应用于大规模网络环境下实时自动HTTPS流服务精细化识别，无需事先确定用于标识HTTPS流的分类标识符，无需事先建立网页指纹库，不易被攻击者欺骗，资源耗费小。

主权项

1.一种适用于大规模网络环境的HTTPS流服务在线标识方法，其特征在于，包括以下步骤：步骤1：根据实际网络中HTTPS和DNS流量的属性，计算用于读取HTTPS流和DNS流的滑动时间窗口参数；步骤2：采用滑动时间窗口机制实时地从HTTPS流和DNS流中读取HTTPS流数据和DNS流数据；步骤3：在每个滑动时间窗口下，对当前时间窗口内读取到的所有DNS记录进行解析和处理，转换为分别以<客户机IP地址，服务器IP地址>和<客户机IP地址>为关键字，以一个或多个域名及域名的评分组成的列表为值的键值对格式的两种关系映射数据集合G_Level1和G_Level2，且数据集合中每条记录中的域名按评分大小排序；G_Level1中的任一映射关系具体表示如下：其中c_i表示客户机IP地址，s_j表示解析获得的服务器IP地址，表示c_i请求的第m个解析地址为s_j的域名，ω^m为第m个域名的评分；G_Level2中的任一映射关系具体表示如下：步骤4：对当前时间窗口内读取到的所有HTTPS流进行预处理，转换为以<源IP地址，目的IP地址>为关键字，以HTTPS流的其他属性值构成的列表为值的格式的数据集合；步骤5：进行第一级关联：将处理后的HTTPS流数据集合以关键字<源IP地址，目的IP地址>和DNS数据集合G_Level1进行左连接关联，其中HTTPS流的源IP地址与G_Level1的客户机IP地址对应，HTTPS流的目的IP地址与G_Level1的服务器IP地址对应，并合并具有相同关键字的记录；步骤6：第一级关联结果中未关联到任何DNS记录的HTTPS流，再处理为以<目的IP地址>为关键字，其他属性值列表为值的键值对格式的数据集合；步骤7：进行第二级关联：将第一级关联处理后的HTTPS流数据集合以关键字<目的IP地址>和DNS数据集合G_Level2进行左连接关联，其中HTTPS流的目的IP地址与G_Level2的服务器IP地址对应，并合并具有相同关键字的记录；步骤8：对步骤5和步骤7输出的与DNS建立关联的HTTPS流，根据关联结果中域名的评分，确定其中的一个或多个域名作为HTTPS流的服务标识；对HTTPS流的服务标识具体为：对第一级关联后的结果中，HTTPS流的首选分类标签为满足映射关系r_c,s，且令F_c,s(n)取值最大的候选域名即：在第一级关联中，第一个候选域名为并且第l个候选域名根据计算得到；对第二级关联后的结果中，HTTPS流的首选分类标签为满足映射关系r'_s，且令F_s(n)取值最大的候选域名即：在第二级关联中，首选候选域名为并且第l个候选域名根据计算。