協(xié)議特征庫在線更新方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種協(xié)議特征庫在線更新方法及系統(tǒng)���,方法包括:流量探針設(shè)備通過DPI技術(shù)和DFI技術(shù)識別可疑未知數(shù)據(jù)流量����,并進(jìn)行采樣;將樣本發(fā)給特征庫分析平臺�����;特征庫分析平臺統(tǒng)計(jì)樣本的統(tǒng)計(jì)特征和行為模式特征��,并與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配����,確定對應(yīng)的統(tǒng)計(jì)特征和行為模式特征�����,并形成特征庫文件或特征條目�;然后更新到協(xié)議特征庫中。本發(fā)明通過布設(shè)采用DPI技術(shù)和DFI技術(shù)的流量探針設(shè)備來及時(shí)發(fā)現(xiàn)可疑未知數(shù)據(jù)流量����,通過采集樣本與新的協(xié)議或應(yīng)用匹配的方式來確定新的協(xié)議或應(yīng)用對應(yīng)的統(tǒng)計(jì)特征和行為模式特征,并基于此對協(xié)議特征庫進(jìn)行在線更新��,從而實(shí)現(xiàn)協(xié)議特征庫的快速在線更新��,提高協(xié)議識別效率。
【專利說明】協(xié)議特征庫在線更新方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】�����,尤其涉及一種協(xié)議特征庫在線更新方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)應(yīng)用尤其是近幾年移動(dòng)互聯(lián)的飛速發(fā)展�,各種新應(yīng)用新協(xié)議不斷涌現(xiàn),現(xiàn)有應(yīng)用和協(xié)議的版本也在不斷地更新���,隨之而來的是應(yīng)用層協(xié)議特征的多樣化以及不斷的演進(jìn)變化���,其對應(yīng)的識別方式也需不斷的升級。早期的網(wǎng)絡(luò)應(yīng)用協(xié)議一般使用固定的端口號�����,網(wǎng)絡(luò)側(cè)的服務(wù)器也通常使用固定的互聯(lián)網(wǎng)協(xié)議(Internet Protocol����,簡稱IP)地址,通過簡單的IP地址加端口號的方式可以比較容易的識別出相應(yīng)的應(yīng)用協(xié)議����,以對不同的應(yīng)用協(xié)議根據(jù)需要進(jìn)行相應(yīng)的處理���。
[0003]近幾年隨著點(diǎn)對點(diǎn)(Peer to Peer,簡稱P2P)業(yè)務(wù)的發(fā)展���,P2P業(yè)務(wù)大多使用動(dòng)態(tài)的端口和IP地址�����,通過IP地址加端口號的方式已經(jīng)無法識別出P2P業(yè)務(wù)。對于P2P類業(yè)務(wù)���,一般使用深度包解析(Deep PacketInspection,簡稱DPI)和流量統(tǒng)計(jì)特征匹配方式進(jìn)行識別=DPI通過對單個(gè)或多個(gè)數(shù)據(jù)包的內(nèi)容的特征進(jìn)行匹配的方式來識別��;流量統(tǒng)計(jì)特征匹配方式通過對應(yīng)用流報(bào)文大小的均值�����、流速率均值等統(tǒng)計(jì)特征進(jìn)行分析實(shí)現(xiàn)應(yīng)用的識別�����。
[0004]但是���,目前大多數(shù)網(wǎng)絡(luò)應(yīng)用(例如P2P應(yīng)用等)的協(xié)議更新頻繁�����,同一個(gè)應(yīng)用具有多種不同版本����,使用多種協(xié)議類型����。當(dāng)一種網(wǎng)絡(luò)應(yīng)用協(xié)議更新后,原來的識別方法將不再起作用����,需要對原協(xié)議特征庫甚至協(xié)議識別方法進(jìn)行更新,以滿足協(xié)議識別的要求��。
[0005]目前的更新方式基本為離線方式��,當(dāng)網(wǎng)絡(luò)上出現(xiàn)一種新的應(yīng)用協(xié)議時(shí)��,負(fù)責(zé)應(yīng)用協(xié)議識別系統(tǒng)的技術(shù)人員在獲知有新的應(yīng)用協(xié)議后�,人工地對新應(yīng)用協(xié)議進(jìn)行數(shù)據(jù)采集與分析,總結(jié)新應(yīng)用協(xié)議的特征�����,然后形成新的特征庫文件,在協(xié)議識別設(shè)備中對新特征庫甚至對協(xié)議識別軟件進(jìn)行更新����,或者在網(wǎng)站中公布新特征庫文件,協(xié)議識別設(shè)備定時(shí)到該網(wǎng)站中進(jìn)行下載并更新�。
[0006]目前一方面流行的應(yīng)用協(xié)議為了避免被識別、另一方面也是應(yīng)用本身功能不斷完善的需求��,導(dǎo)致應(yīng)用協(xié)議的版本與特征更新頻繁����,使得應(yīng)用協(xié)議識別設(shè)備的上述協(xié)議特征識別方法更新速度跟不上���,從而導(dǎo)致協(xié)議識別率低下���,甚至使協(xié)議識別設(shè)備的存在顯得可
有可無。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提出一種協(xié)議特征庫在線更新方法及系統(tǒng)��,能夠?qū)崿F(xiàn)協(xié)議特征庫的快速在線更新�����,提高協(xié)議識別效率。
[0008]為實(shí)現(xiàn)上述目的��,本發(fā)明提供了一種協(xié)議特征庫在線更新方法���,包括:
[0009]流量探針設(shè)備通過深度包檢測技術(shù)和深度流檢測(Deep FlowInspection,簡稱DFI)技術(shù)識別符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量�,并進(jìn)行采樣��;
[0010]所述流量探針設(shè)備將所述可疑未知數(shù)據(jù)流量的樣本發(fā)給特征庫分析平臺���;[0011]所述特征庫分析平臺接收到所述可疑未知數(shù)據(jù)流量的樣本后�����,統(tǒng)計(jì)所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征�;
[0012]所述特征庫分析平臺將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配���,確定所述新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征��,并形成特征庫文件或特征條目���;
[0013]所述特征庫分析平臺將形成的特征庫文件或特征條目更新到協(xié)議特征庫中。
[0014]進(jìn)一步的�,所述流量探針設(shè)備通過深度包檢測技術(shù)和深度流檢測技術(shù)識別符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量的操作具體為:
[0015]所述流量探針設(shè)備通過深度包檢測技術(shù)識別未知應(yīng)用/協(xié)議的數(shù)據(jù)流量;
[0016]所述流量探針設(shè)備通過深度流檢測技術(shù)判斷所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否符合預(yù)設(shè)速率和持續(xù)時(shí)間,來確定所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否為可疑未知數(shù)據(jù)流量����。
[0017]進(jìn)一步的,符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量為在I小時(shí)內(nèi)平均速率達(dá)到IMbps以上的短時(shí)高速流量�����,或?yàn)樵?小時(shí)以上平均速率低于IOKbps的長時(shí)低速流量��。
[0018]進(jìn)一步的����,在所述特征庫分析平臺將形成的特征庫文件或特征條目更新到協(xié)議特征庫中之后,還包括:
[0019]所述特征庫分析平臺將所述特征庫文件或特征條目發(fā)送給所述流量探針設(shè)備進(jìn)行更新�。
[0020]進(jìn)一步的,所述特征庫分析平臺將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配的操作具體為:
[0021]所述特征庫分析平臺對協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行抓包分析���,獲得對應(yīng)的統(tǒng)計(jì)特征和行為模式特征;
[0022]所述特征庫分析平臺將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與從協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量抓包分析獲得的統(tǒng)計(jì)特征和行為模式特征進(jìn)行比對��,根據(jù)比對結(jié)果確定所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征所匹配的新協(xié)議或應(yīng)用�。
[0023]為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種協(xié)議特征庫在線更新系統(tǒng)����,包括:
[0024]流量探針設(shè)備�,用于通過深度包檢測技術(shù)和深度流檢測技術(shù)識別符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量����,并進(jìn)行采樣,然后將所述可疑未知數(shù)據(jù)流量的樣本發(fā)給特征庫分析平臺��;
[0025]特征庫分析平臺���,用于接收到所述所述可疑未知數(shù)據(jù)流量的樣本后���,統(tǒng)計(jì)所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征,并將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配��,確定所述新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征����,并形成特征庫文件或特征條目,然后將形成的特征庫文件或特征條目更新到協(xié)議特征庫中���。
[0026]進(jìn)一步的���,所述流量探針設(shè)備部署于網(wǎng)絡(luò)流量出口位置�����。
[0027]進(jìn)一步的,所述流量探針設(shè)備具體包括:
[0028] 未知流量識別模塊����,用于通過深度包檢測技術(shù)識別未知應(yīng)用/協(xié)議的數(shù)據(jù)流量�����;[0029]可疑流量確定模塊�����,用于通過深度流檢測技術(shù)判斷所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否符合預(yù)設(shè)速率和持續(xù)時(shí)間�����,來確定所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否為可疑未知數(shù)據(jù)流量���;
[0030]流量樣本發(fā)送模塊�����,用于對所述可疑未知數(shù)據(jù)流量進(jìn)行采樣����,并發(fā)給所述特征庫分析平臺���。
[0031]進(jìn)一步的���,符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量為在I小時(shí)內(nèi)平均速率達(dá)到IMbps以上的短時(shí)高速流量,或?yàn)樵?小時(shí)以上平均速率低于IOKbps的長時(shí)低速流量���。
[0032]進(jìn)一步的��,所述特征庫分析平臺具體包括:
[0033]特征統(tǒng)計(jì)模塊����,用于接收到所述可疑未知數(shù)據(jù)流量的樣本后���,統(tǒng)計(jì)所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征�;
[0034]抓包分析模塊��,用于對協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行抓包分析��,獲得對應(yīng)的統(tǒng)計(jì)特征和行為模式特征��;
[0035]特征比對模塊,用于將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與從協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量抓包分析獲得的統(tǒng)計(jì)特征和行為模式特征進(jìn)行比對���; [0036]匹配結(jié)果確定模塊����,用于根據(jù)比對結(jié)果確定所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征所匹配的新協(xié)議或應(yīng)用�����,確定所述新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征�����,形成特征庫文件或特征條目�����;
[0037]特征庫更新模塊��,用于將形成的特征庫文件或特征條目更新到協(xié)議特征庫中�。
[0038]進(jìn)一步的,所述特征庫分析平臺還包括:
[0039]探針設(shè)備更新模塊�����,用于將所述特征庫文件或特征條目發(fā)送給所述流量探針設(shè)備進(jìn)行更新���。
[0040]基于上述技術(shù)方案��,本發(fā)明通過布設(shè)采用DPI技術(shù)和DFI技術(shù)的流量探針設(shè)備來及時(shí)發(fā)現(xiàn)可疑未知數(shù)據(jù)流量�,通過采集樣本與新的協(xié)議或應(yīng)用匹配的方式來確定新的協(xié)議或應(yīng)用對應(yīng)的統(tǒng)計(jì)特征和行為模式特征���,并基于此對協(xié)議特征庫進(jìn)行在線更新��,從而實(shí)現(xiàn)協(xié)議特征庫的快速在線更新����,提高協(xié)議識別效率����。
【專利附圖】
【附圖說明】
[0041]此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解,構(gòu)成本申請的一部分��。在附圖中:
[0042]圖1為本發(fā)明協(xié)議特征庫在線更新方法的一實(shí)施例的流程示意圖�。
[0043]圖2為本發(fā)明協(xié)議特征庫在線更新方法的另一實(shí)施例的流程示意圖。
[0044]圖3為本發(fā)明協(xié)議特征庫在線更新系統(tǒng)的一實(shí)施例的結(jié)構(gòu)示意圖���。
[0045]圖4為本發(fā)明協(xié)議特征庫在線更新系統(tǒng)的另一實(shí)施例的結(jié)構(gòu)示意圖���。
[0046]圖5為本發(fā)明協(xié)議特征庫在線更新系統(tǒng)的又一實(shí)施例的結(jié)構(gòu)示意圖���。
【具體實(shí)施方式】
[0047]下面參照附圖對本發(fā)明進(jìn)行更全面的描述,其中說明本發(fā)明的示例性實(shí)施例�。本發(fā)明的示例性實(shí)施例及其說明用于解釋本發(fā)明,但并不構(gòu)成對本發(fā)明的不當(dāng)限定�。
[0048]如圖1所示,為本發(fā)明協(xié)議特征庫在線更新方法的一實(shí)施例的流程示意圖���。在本實(shí)施例中���,協(xié)議特征庫在線更新方法包括:
[0049]步驟101、流量探針設(shè)備通過DPI技術(shù)和DFI技術(shù)識別符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量�,并進(jìn)行采樣;
[0050]步驟102�、流量探針設(shè)備將可疑未知數(shù)據(jù)流量的樣本發(fā)給特征庫分析平臺;
[0051]步驟103��、特征庫分析平臺接收到可疑未知數(shù)據(jù)流量的樣本后�,統(tǒng)計(jì)可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征;
[0052]步驟104�、特征庫分析平臺將可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配,確定新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征,并形成特征庫文件或特征條目��;
[0053]步驟105���、特征庫分析平臺將形成的特征庫文件或特征條目更新到協(xié)議特征庫中����。
[0054]在本實(shí)施例中�����,通過布設(shè)采用DPI技術(shù)和DFI技術(shù)的流量探針設(shè)備來及時(shí)發(fā)現(xiàn)可疑未知數(shù)據(jù)流量����,通過采集樣本與新的協(xié)議或應(yīng)用匹配的方式來確定新的協(xié)議或應(yīng)用對應(yīng)的統(tǒng)計(jì)特征和行為模式特征�����,并基于此對協(xié)議特征庫進(jìn)行在線更新���,從而實(shí)現(xiàn)協(xié)議特征庫的快速在線更新���,提高協(xié)議識別效率。
[0055]流量探針設(shè)備可以部署于網(wǎng)絡(luò)流量出口位置,以便能夠及時(shí)探測到網(wǎng)絡(luò)流量��,在識別可疑未知數(shù)據(jù)流量的 過程中���,流量探針設(shè)備通過DPI技術(shù)識別未知應(yīng)用/協(xié)議的數(shù)據(jù)流量�,即利用DPI技術(shù)將數(shù)據(jù)報(bào)文中的應(yīng)用層信息提取出來�����,檢查數(shù)據(jù)報(bào)文是否是流量探針設(shè)備可以識別出的協(xié)議類型或應(yīng)用類型���,如果是流量探針設(shè)備可以識別出的協(xié)議類型或應(yīng)用類型�,則無需采樣��,否則繼續(xù)通過DFI技術(shù)判斷該未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否符合預(yù)設(shè)速率和持續(xù)時(shí)間����,這里的預(yù)設(shè)速率和持續(xù)時(shí)間就是可疑流量的識別依據(jù)。
[0056]以一些P2P流量為例����,可能存在短時(shí)間內(nèi)較大數(shù)據(jù)流量的情況,也可能存在很長一段時(shí)間內(nèi)只有較少的流量的情況��,基于這種特點(diǎn),流量探針設(shè)備可以預(yù)先設(shè)置這些識別標(biāo)準(zhǔn)�����,例如確定短時(shí)高速流量和長時(shí)低速流量的數(shù)據(jù)流量就為可疑未知數(shù)據(jù)流量�����,短時(shí)高速流量可以為在I小時(shí)內(nèi)平均速率達(dá)到IMbps以上的流量�����,長時(shí)低速流量可以為在3小時(shí)以上平均速率低于IOKbps的流量���。根據(jù)實(shí)際情況預(yù)設(shè)速率和持續(xù)時(shí)間可以相應(yīng)的進(jìn)行調(diào)整,并不限于以上所舉的例子���。
[0057]特征庫分析平臺在接收到流量探針設(shè)備發(fā)送的可疑未知數(shù)據(jù)流量的樣本后����,可以先統(tǒng)計(jì)出可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征�����,再對協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行抓包分析,獲得對應(yīng)的統(tǒng)計(jì)特征和行為模式特征�。
[0058]特征庫分析平臺將可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與從協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量抓包分析獲得的統(tǒng)計(jì)特征和行為模式特征進(jìn)行比對,根據(jù)比對結(jié)果確定所述可疑未知數(shù)據(jù)流量的統(tǒng)計(jì)特征和行為模式特征所匹配的新協(xié)議或應(yīng)用�。
[0059]如圖2所示,為本發(fā)明協(xié)議特征庫在線更新方法的另一實(shí)施例的流程示意圖�。與上一實(shí)施例相比,本實(shí)施例在步驟105之后,還包括:
[0060]步驟106�����、特征庫分析平臺將形成的特征庫文件或特征條目發(fā)送給流量探針設(shè)備進(jìn)行更新�。[0061]通過步驟106可以使流量探針設(shè)備及時(shí)對自身所保存的協(xié)議或應(yīng)用的特征信息進(jìn)行更新,以便流量探針設(shè)備在識別未知流量時(shí)能夠及時(shí)排除已經(jīng)建立特征庫文件或特征條目的協(xié)議或應(yīng)用的流量����,避免重復(fù)采樣而占用系統(tǒng)資源。
[0062]本領(lǐng)域普通技術(shù)人員可以理解�,實(shí)現(xiàn)上述方法實(shí)施例的全部和部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲(chǔ)于一計(jì)算設(shè)備可讀取存儲(chǔ)介質(zhì)中���,該程序在執(zhí)行時(shí)�����,執(zhí)行包括上述方法實(shí)施例的步驟�����,而前述的存儲(chǔ)介質(zhì)可以包括ROM��、RAM�����、磁碟和光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)�����。
[0063]如圖3所示����,為本發(fā)明協(xié)議特征庫在線更新系統(tǒng)的一實(shí)施例的結(jié)構(gòu)示意圖��。在本實(shí)施例中����,協(xié)議特征庫在線更新系統(tǒng)包括:流量探針設(shè)備I和特征庫分析平臺2。
[0064]流量探針設(shè)備I負(fù)責(zé)通過DPI技術(shù)和DFI技術(shù)識別符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量���,并進(jìn)行采樣���,然后將所述可疑未知數(shù)據(jù)流量的樣本發(fā)給特征庫分析平臺
2����。流量探針設(shè)備I可以有多個(gè)��,部署于不同的網(wǎng)絡(luò)流量出口位置�,并均與特征庫分析平臺2進(jìn)行通信。
[0065]特征庫分析平臺2負(fù)責(zé)在接收到所述可疑未知數(shù)據(jù)流量的樣本后�,統(tǒng)計(jì)所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征,并將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配����,確定所述新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征,并形成特征庫文件或特征條目����,然后將形成的特征庫文件或特征條目更新到協(xié)議特征庫中。協(xié)議特征庫可以設(shè)置在特征庫分析平臺2內(nèi)���,也可以設(shè)置在特征庫分析平臺2外���。
[0066]如圖4所示,為本發(fā)明協(xié)議特征庫在線更新系統(tǒng)的另一實(shí)施例的結(jié)構(gòu)示意圖����。在本實(shí)施例中���,流量探針設(shè)備I可以具體包括:未知流量識別模塊11、可疑流量確定模塊12和流量樣本發(fā)送模塊13�����。
[0067]未知流量識別模塊11負(fù)責(zé)通過DPI技術(shù)識別未知應(yīng)用/協(xié)議的數(shù)據(jù)流量����。可疑流量確定模塊12負(fù)責(zé)通過DFI技術(shù)判斷所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否符合預(yù)設(shè)速率和持續(xù)時(shí)間��,來確定所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否為可疑未知數(shù)據(jù)流量����。符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量可以為在I小時(shí)內(nèi)平均速率達(dá)到IMbps以上的短時(shí)高速流量,或?yàn)樵?小時(shí)以上平均速率低于IOKbps的長時(shí)低速流量�。流量樣本發(fā)送模塊13負(fù)責(zé)對所述可疑未知數(shù)據(jù)流量進(jìn)行采樣�,并發(fā)給特征庫分析平臺2。
[0068]在本實(shí)施例中���,特征庫分析平臺2可以具體包括:特征統(tǒng)計(jì)模塊21�����、抓包分析模塊
22����、特征比對模塊23、匹配結(jié)果確定模塊24和特征庫更新模塊25���。
[0069]特征統(tǒng)計(jì)模塊21負(fù)責(zé)在接收到所述可疑未知數(shù)據(jù)流量的樣本后���,統(tǒng)計(jì)所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征。抓包分析模塊22負(fù)責(zé)對協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行抓包分析��,獲得對應(yīng)的統(tǒng)計(jì)特征和行為模式特征�����。特征比對模塊23負(fù)責(zé)將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與從協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量抓包分析獲得的統(tǒng)計(jì)特征和行為模式特征進(jìn)行比對��。
[0070]匹配結(jié)果確定模塊24負(fù)責(zé)根據(jù)比對結(jié)果確定所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征所匹配的新協(xié)議或應(yīng)用����,確定所述新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征,形成特征庫文件或特征條目���。特征庫更新模塊25負(fù)責(zé)將形成的特征庫文件或特征條目更新到協(xié)議特征庫中�。
[0071]如圖5所示,為本發(fā)明協(xié)議特征庫在線更新系統(tǒng)的又一實(shí)施例的結(jié)構(gòu)示意圖��。與上一實(shí)施例相比���,本實(shí)施例中的特征庫分析平臺還可以進(jìn)一步包括探針設(shè)備更新模塊26����,負(fù)責(zé)將所述特征庫文件或特征條目發(fā)送給流量探針設(shè)備I進(jìn)行更新��。
[0072]通過探針設(shè)備更新模塊可以使流量探針設(shè)備及時(shí)對自身所保存的協(xié)議或應(yīng)用的特征信息進(jìn)行更新�����,以便流量探針設(shè)備在識別未知流量時(shí)能夠及時(shí)排除已經(jīng)建立特征庫文件或特征條目的協(xié)議或應(yīng)用的流量����,避免重復(fù)采樣而占用系統(tǒng)資源。
[0073]本說明書中各個(gè)實(shí)施例均采用遞進(jìn)的方式描述��,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處��,各個(gè)實(shí)施例之間相同和相似的部分可以相互參見�����。對于裝置實(shí)施例而言���,由于其與方法實(shí)施例基本相似�,所以描述的比較簡單���,相關(guān)之處可以參見方法實(shí)施例部分的說明���。
[0074]雖然已經(jīng)通過示例對本發(fā)明的一些特定實(shí)施例進(jìn)行了詳細(xì)說明,但是本領(lǐng)域的技術(shù)人員應(yīng)該理解�,以上示例僅是為了進(jìn)行說明,而不是為了限制本發(fā)明的范圍�。本領(lǐng)域的技術(shù)人員應(yīng)該理解,可在不脫離本發(fā)明的范圍和精神的情況下����,對以上實(shí)施例進(jìn)行修改。本發(fā)明的范圍由所附權(quán)利 要求來限定����。
【權(quán)利要求】
1.一種協(xié)議特征庫在線更新方法,包括: 流量探針設(shè)備通過深度包檢測技術(shù)和深度流檢測技術(shù)識別符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量,并進(jìn)行采樣����; 所述流量探針設(shè)備將所述可疑未知數(shù)據(jù)流量的樣本發(fā)給特征庫分析平臺; 所述特征庫分析平臺接收到所述可疑未知數(shù)據(jù)流量的樣本后����,統(tǒng)計(jì)所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征; 所述特征庫分析平臺將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配�,確定所述新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征,并形成特征庫文件或特征條目�����; 所述特征庫分析平臺將形成的特征庫文件或特征條目更新到協(xié)議特征庫中����。
2.根據(jù)權(quán)利要求1所述的協(xié)議特征庫在線更新方法,其中所述流量探針設(shè)備通過深度包檢測技術(shù)和深度流檢測技術(shù)識別符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量的操作具體為: 所述流量探針設(shè)備通過深度包檢測技術(shù)識別未知應(yīng)用/協(xié)議的數(shù)據(jù)流量�; 所述流量探針設(shè)備通過深度流檢測技術(shù)判斷所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否符合預(yù)設(shè)速率和持續(xù)時(shí)間,來確定所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否為可疑未知數(shù)據(jù)流量�����。
3.根據(jù)權(quán)利要求2所述的協(xié)議特征庫在線更新方法����,其中符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量為在1小時(shí)內(nèi)平均速率達(dá)到1Mbps以上的短時(shí)高速流量�,或?yàn)樵?小時(shí)以上平均速率低于1OKbps的長時(shí)低速流量���。
4.根據(jù)權(quán)利要求1所述的協(xié)議特征庫在線更新方法,其中在所述特征庫分析平臺將形成的特征庫文件或特征條目更新到協(xié)議特征庫中之后��,還包括: 所述特征庫分析平臺將所述特征庫文件或特征條目發(fā)送給所述流量探針設(shè)備進(jìn)行更新��。
5.根據(jù)權(quán)利要求1所述的協(xié)議特征庫在線更新方法��,其中所述特征庫分析平臺將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配的操作具體為: 所述特征庫分析平臺對協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行抓包分析�����,獲得對應(yīng)的統(tǒng)計(jì)特征和行為模式特征��; 所述特征庫分析平臺將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與從協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量抓包分析獲得的統(tǒng)計(jì)特征和行為模式特征進(jìn)行比對�����,根據(jù)比對結(jié)果確定所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征所匹配的新協(xié)議或應(yīng)用��。
6.一種協(xié)議特征庫在線更新系統(tǒng)�����,包括: 流量探針設(shè)備,用于通過深度包檢測技術(shù)和深度流檢測技術(shù)識別符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量�����,并進(jìn)行采樣�����,然后將所述可疑未知數(shù)據(jù)流量的樣本發(fā)給特征庫分析平臺��; 特征庫分析平臺�,用于接收到所述所述可疑未知數(shù)據(jù)流量的樣本后,統(tǒng)計(jì)所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征��,并將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行匹配�����,確定所述新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征�����,并形成特征庫文件或特征條目�,然后將形成的特征庫文件或特征條目更新到協(xié)議特征庫中���。
7.根據(jù)權(quán)利要求6所述的協(xié)議特征庫在線更新系統(tǒng),其中所述流量探針設(shè)備部署于網(wǎng)絡(luò)流量出口位置�。
8.根據(jù)權(quán)利要求6所述的協(xié)議特征庫在線更新系統(tǒng),其中所述流量探針設(shè)備具體包括: 未知流量識別模塊�����,用于通過深度包檢測技術(shù)識別未知應(yīng)用/協(xié)議的數(shù)據(jù)流量����; 可疑流量確定模塊�,用于通過深度流檢測技術(shù)判斷所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否符合預(yù)設(shè)速率和持續(xù)時(shí)間,來確定所述未知應(yīng)用/協(xié)議的數(shù)據(jù)流量是否為可疑未知數(shù)據(jù)流量��; 流量樣本發(fā)送模塊�,用于對所述可疑未知數(shù)據(jù)流量進(jìn)行采樣,并發(fā)給所述特征庫分析T D O
9.根據(jù)權(quán)利要求8所述的協(xié)議特征庫在線更新系統(tǒng)�,其中符合預(yù)設(shè)速率和持續(xù)時(shí)間的可疑未知數(shù)據(jù)流量為在I小時(shí)內(nèi)平均速率達(dá)到IMbps以上的短時(shí)高速流量,或?yàn)樵?小時(shí)以上平均速率低于IOKbps的長時(shí)低速流量����。
10.根據(jù)權(quán)利要求6所述的協(xié)議特征庫在線更新系統(tǒng),其中所述特征庫分析平臺具體包括: 特征統(tǒng)計(jì)模塊�����,用于接收到所述可疑未知數(shù)據(jù)流量的樣本后,統(tǒng)計(jì)所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征��; 抓包分析模塊�����,用于對協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量進(jìn)行抓包分析��,獲得對應(yīng)的統(tǒng)計(jì)特征和行為模式特征�; 特征比對模塊,用于將所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征與從協(xié)議特征庫中未記錄的新協(xié)議或應(yīng)用的數(shù)據(jù)流量抓包分析獲得的統(tǒng)計(jì)特征和行為模式特征進(jìn)行比對����; 匹配結(jié)果確定模塊,用于根據(jù)比對結(jié)果確定所述可疑未知數(shù)據(jù)流量的樣本的統(tǒng)計(jì)特征和行為模式特征所匹配的新協(xié)議或應(yīng)用��,確定所述新協(xié)議或應(yīng)用的數(shù)據(jù)流量所對應(yīng)的統(tǒng)計(jì)特征和行為模式特征��,形成特征庫文件或特征條目�����; 特征庫更新模塊���,用于將形成的特征庫文件或特征條目更新到協(xié)議特征庫中��。
11.根據(jù)權(quán)利要求10所述的協(xié)議特征庫在線更新系統(tǒng)�����,其中所述特征庫分析平臺還包括: 探針設(shè)備更新模塊��,用于將所述特征庫文件或特征條目發(fā)送給所述流量探針設(shè)備進(jìn)行更新��。
【文檔編號】H04L12/26GK103905261SQ201210574284
【公開日】2014年7月2日 申請日期:2012年12月26日 優(yōu)先權(quán)日:2012年12月26日
【發(fā)明者】張琳峰, 林奕琳, 王慶揚(yáng), 陳建剛, 李英奇 申請人:中國電信股份有限公司