CN102130956A - 应用层协议识别方法及*** - Google Patents
应用层协议识别方法及*** Download PDFInfo
- Publication number
- CN102130956A CN102130956A CN201110066864XA CN201110066864A CN102130956A CN 102130956 A CN102130956 A CN 102130956A CN 201110066864X A CN201110066864X A CN 201110066864XA CN 201110066864 A CN201110066864 A CN 201110066864A CN 102130956 A CN102130956 A CN 102130956A
- Authority
- CN
- China
- Prior art keywords
- protocol
- prefix
- application layer
- character
- suites
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000005457 optimization Methods 0.000 claims description 11
- 239000000284 extract Substances 0.000 claims description 9
- 238000000605 extraction Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 230000013011 mating Effects 0.000 claims description 3
- 230000011218 segmentation Effects 0.000 claims description 3
- ZPUCINDJVBIVPJ-LJISPDSOSA-N ***e Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 4
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000721662 Juniperus Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Character Discrimination (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种应用层协议识别方法及***,涉及计算机网络技术领域。该方法包括步骤:S1.提取待识别报文的负载的前缀字符;S2.判断所述前缀字符是否匹配已知的应用层协议的固定前缀,若是,则执行步骤S3,否则执行步骤S4;S3.根据所述前缀字符选择确定的有穷自动机引擎,并由所选择的确定的有穷自动机引擎对所述前缀字符对应的待识别报文进行匹配处理;S4.基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。本发明的方法及***在具有高识别精度的同时也满足了高吞吐量以及低内存占用的要求。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种方应用层协议识别方法及***。
背景技术
伴随着互联网中各种业务的不断普及和互联网在生产、生活中作用的增强,信息安全问题日益突出。网络流量的细粒度控制,一方面有助于数据中心提供更好的数据传输服务,从而有效地保证主流互联网应用;另一方面,有利于更好的保障企业网络的安全性,解决与各种网络应用密切相关的安全问题。
目前,传统的基于流的流量控制策略在数据中心和企业网络中越来越不适用,应用层协议识别技术正在逐步取代传统的包分类技术。
应用层协议识别,简称协议识别,目的是标识出网络链路上传输的流量所使用的应用层协议类型。为了满足日益增长的互联网需求,有效的协议识别必须达到较高的识别速率,并且能够兼容新出现的协议。
为了在现代网络的核心功能中获得更广泛的应用,应用层协议识别***应当满足以下要求:
1、高吞吐率:作为细粒度流量管理的基础,应用层协议识别的速率必须高于链路速率。
2、低内存占用:为了支持高速的应用层协议识别,同时考虑到耗用高速内存的成本限制,内存使用率应当尽可能低。
3、高识别精度:必须同时具有较低的假阳性率和假阴性率。
传统上一直是基于端口映射机制对应用层协议进行标识,例如,80端口的报文对应着超文本传输协议(Hyper Text Transfer Protocol,HTTP),而25端口的协议则是域名***(Domain Name System,DNS)协议。但随着越来越多的网络协议不使用固定的端口进行通信,基于报文端口的协议识别方式受到很大限制,准确性受到很大挑战,例如采用动态端口的对等(Peer-to-Peer,P2P)协议等。
传统的基于端口号的识别方法已经不再适用,近年来很多研究工作都致力于开发新的方法来识别应用层协议。一种方法是基于机器学***均报文长度、排队时间等信息,以此为特征对报文进行协议识别。然而,这种基于统计的方法有很多诸如正确率等难以解决的问题,从而无法在实际应用中取得较好的性能。
很多实际的应用层协议识别***,例如PaloAlto和Juniper,以及开源的L7-filter等都是采用基于负载的识别方法,以取得更好的性能。基于负载的应用层协议识别***目前已经得到了广泛的应用,然而由于很多P2P协议采用不具有确定前缀的负载以逃避协议识别***的检测,或者对负载内容进行加密,使得采用基于负载的识别方法的协议识别***对于这些非常规协议的检测效果欠佳。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提供一种识别精度高、吞吐率高且内存占用低的应用层协议识别方法及***。
(二)技术方案
为解决上述问题,本发明提供了一种应用层协议识别方法,该方法包括步骤:
S1.提取待识别报文的负载的前缀字符;
S2.判断所述前缀字符是否匹配已知的应用层协议的固定前缀,若是,则执行步骤S3,否则执行步骤S4;
S3.根据所述前缀字符选择确定的有穷自动机引擎,并由所选择的确定的有穷自动机引擎对所述前缀字符对应的待识别报文进行匹配处理;
S4.基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
其中,步骤S1之前还包括步骤:
A1.记录具有固定前缀的已知的应用层协议的前缀长度,按照首字符对所述具有固定前缀的已知的应用层协议进行分组,得到若干协议集;
A2.去除若干协议集中为其他协议集子集的协议集;
A3.采用启发式聚类算法对步骤A2得到的若干协议集进行优化;
A4.将经步骤A3优化处理后的若干协议集编译为确定的有穷自动机引擎。
其中,步骤A3进一步包括:
B1.取任一协议集,遍历其余协议集,判断两个协议集的公共协议数量是否大于设定阈值,若是,则执行步骤B2,否则,不合并;
B2.判断所述两个协议集的平均通配符数量是否小于1,若是,则执行步骤B3,否则,不合并;
B3.判断所述两个协议集合并后是否会导致所述确定的有穷自动机引擎中状态数的减少,若是,合并所述两个协议集,否则,不合并;
B4.判断是否已遍历所有协议集,若是,则结束优化,否则,返回步骤B1,从未遍历到得协议集中选择任一协议集。
其中,步骤S4进一步包括:
S4.1提取不具有固定前缀的已知的应用层协议中所有确定性字符串;
S4.2对于每一个所述不具有固定前缀的已知的应用层协议,选择其所提取的字符串中长度最长且与其他应用层协议所提取的字符串不相同的字符串作为该应用层协议的协议指纹;
S4.3基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
本发明还提供了一种应用层协议识别***,该***包括:提取模块,用于提取待识别报文的负载的前缀字符;分段模块,用于判断所述提取模块提取到得前缀字符是否匹配已知的应用层协议的固定前缀,若是,将所述前缀字符对应的待识别报文发送至第一识别模块,否则将其发送至第二识别模块;第一识别模块,用于根据所述前缀字符选择确定的有穷自动机引擎,并由所选择的确定的有穷自动机引擎对所述前缀字符对应的待识别报文进行匹配处理;第二识别模块,用于基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
其中,该***还包括编译模块,该模块进一步包括:分组单元,用于记录具有固定前缀的已知的应用层协议的前缀长度,按照首字符对所述具有固定前缀的已知的应用层协议进行分组,得到若干协议集;子集合并单元,用于去除若干协议集中为其他协议集子集的协议集;优化单元,用于采用启发式聚类算法对所述子集合并单元处理得到的若干协议集进行优化;编译单元,用于将经所述优化单元优化处理后的若干协议集编译为确定的有穷自动机引擎。其中,所述第二识别模块进一步包括:提取单元,用于提取不具有固定前缀的已知的应用层协议中所有确定性字符串;协议指纹确定单元,用于对于每一个所述不具有固定前缀的已知的应用层协议,选择其所提取的字符串中长度最长且与其他应用层协议所提取的字符串不相同的字符串作为该应用层协议的协议指纹;识别单元,用于基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
(三)有益效果
本发明的方法及***,在具有高识别精度的同时也满足了高吞吐量以及低内存占用的要求。
附图说明
图1为依照本发明一种实施方式的应用层协议识别方法流程图;
图2为依照本发明一种实施方式的应用层协议识别***结构框图。
具体实施方式
本发明提出的应用层协议识别方法及***,结合附图及实施例详细说明如下。
经过对目前的主流应用层协议的观察和研究发现,绝大多数协议以固定的前缀开始。也就是说,一条实际流量如果想要匹配某一具有固定的前缀的协议,它必须以特定的满足该前缀的字符串开始,才有匹配的可能。所以,在一条实际流量到达时,只需要拿出那些与其前缀匹配的协议和该流量进行匹配即可,那些具有固定的前缀并且与其前缀不同的协议不可能和该流量匹配。因此,本发明提出的应用层协议识别方法基于多阶段匹配和预分类,在处理实际流量时分为两个阶段。在协议识别的第一阶段,处理的是那些可以被具有固定前缀的应用层协议特征模式所匹配的报文,依据其前缀字符判断用哪一组DFA引擎进行处理,然后交由DFA引擎进行匹配处理;在第二阶段,则是处理那些在第一阶段未能匹配的、不能被具有固定前缀的特征模式所匹配的报文。由于在协议识别的第一阶段可以耗费很小的资源代价处理绝大多数的流量,第二阶段只需处理少部分流量,从而大大提高了识别的速率,达到了高吞吐率、低内存占用的目的。
如图1所示,依照本发明一种实施方式的应用层协议识别方法,包括步骤:
S1.提取待识别报文的负载的前缀字符;
S2.判断所述前缀字符是否匹配已知的应用层协议的固定前缀,若是,则执行步骤S3,否则执行步骤S4;
S3.根据所述前缀字符选择确定的有穷自动机(Deterministic Finite Automation,DFA)引擎,并由所选择的确定的有穷自动机引擎对所述前缀字符对应的待识别报文进行匹配处理;
S4.类似于Snort***中的基于协议指纹的识别***对所述前缀字符对应的待识别报文进行协议识别。
其中,在步骤S1之前还需将已知的具有固定前缀的应用层协议特征模式依据前缀字符进行分组、合并以及优化,并将分组结果编译为DFA引擎,这种预处理的目的是为了达到提高匹配引擎的吞吐率、降低识别算法的内存占用。具体包括步骤如下:
A1.对于已知的应用层协议的特征串,区分其是否具有固定前缀,记录具有固定前缀的已知的应用层协议的前缀长度,按照首字符对具有固定前缀的已知的应用层协议进行分组,得到若干协议集。所有具有固定前缀的协议的前缀长度值的最小值为1,所以对这些具有固定前缀的协议按其首字符进行分类。否则,如果用更长的前缀作为分类标准,则会导致那些前缀长度为1的协议重复出现。
对具有固定前缀的协议按照首字符分类后,得到一系列的协议集。这些协议集彼此之间具有不同的前缀,协议集内部的那些协议之间,具有相同的首字符。但是协议集之间可能含有相同协议,这是由于某些协议的前缀不唯一造成的。例如,“^[ab]c.*d”所表示的协议的前缀有“a”和“b”两个,那么协议分组时它既会被分到“a”那一组,同样也会被分到“b”那一组中。所以,在初步的依据首字符进行分组之后,造成了所有协议集中协议数量之和比最初参与分组的协议数量要多,这就会导致冗余的匹配,降低了协议识别速率。所以,要对初步的分组结果进行如下处理。
A2.子集合并,去除若干协议集中为其他协议集子集的协议集。如上所述,由于协议前缀的多重性,将会导致某些协议出现在不同的分组中,这就造成了一些协议集的冗余,更有甚者,出现了一些协议集是另外一些协议集的子集的情况。例如,某一协议集中只含有编号为3、7、9的协议,这些协议都有相同的前缀“a”,而3、7、9三条协议同时包含了固定的前缀“b”,同时在前缀为“b”的分组结果中还含有17、23等协议,那么,以“a”为前缀的协议集就是以“b”为前缀的协议集的子集。这种协议集之间的子集关系造成了冗余的匹配,即子集是完全不需要的,因为其全部信息已经包含在其父集中。因此,对初步的分组结果进行子集合并的处理,将那些是其他协议集子集的协议集在分组结果中去除。
A3.选择性合并,采用启发式聚类算法对步骤A2得到的若干协议集进行优化。在子集合并之后,协议集中的协议冗余现象已经大大的减少了,但是,对于一个优化问题,这个分组结果不是全局或者局部最优的,为了提高协议识别效率,还需要进一步优化。对于这个非确定性多项式困难(Non-deterministic Polynomial Hard,NP-Hard)的优化问题,采用启发式的聚类算法进行优化处理。
A4.将经步骤A3优化处理后的若干协议集编译为DFA引擎。
其中,步骤A3进一步包括:
B1.取任一协议集Gi,遍历其余协议集Gj,判断两个协议集的公共协议数量是否大于设定阈值,若是,则执行步骤B2,否则,不合并;
B2.判断Gi和Gj的平均通配符数量是否小于1,若是,则执行步骤B3,否则,不合并;
B3.判断Gi和Gj合并后是否会导致编译出的DFA引擎中状态数的减少,若是,合并所述两个协议集,否则,不合并;
B4.判断是否已遍历所有协议集,若是,则结束优化,否则,返回步骤B1,从未遍历到得协议集中选择任一协议集。
经步骤S3第一阶段的处理,大多数的实际流量将得到匹配,同时消耗了较少的资源。对于那些无法在第一阶段进行匹配的流量,将在第二阶段进行匹配处理。在第二阶段中,虽然处理的流量较少,但是仍然需要可靠而高效的匹配手段。本发明采用类似于Snort***(Snort是Linux平台上最常用的遵循GNU GPL的入侵检测***,同时也是一个非常优秀的数据包抓取工具)中的基于协议指纹的识别***对待识别报文进行识别(协议指纹技术是Snort***中采用的一种基于负载的协议检测技术)。第二阶段的步骤S4进一步包括:
S4.1提取不具有固定前缀的已知的应用层协议中所有确定性字符串;
S4.2对于每一个所述不具有固定前缀的已知的应用层协议,选择其所提取的字符串中长度最长且与其他应用层协议所提取的字符串不相同的字符串作为该应用层协议的协议指纹;
S4.3基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
本发明提出了与最高水准的DFA匹配引擎相比具有更高吞吐率的多阶段匹配引擎。经实际数据测试后表明,本发明中的方法及***的识别速率是DFA匹配引擎的识别速率的三倍。其中的分组合并算法的应用使得内存占用率大幅压缩。与最高水准的DFA匹配引擎相比,本发明提出的方法内存占用率减少了60%。
如图2所示,依照本发明一种实施方式的应用层协议识别***,包括:提取模块,用于提取待识别报文的负载的前缀字符;分段模块,用于判断所述提取模块提取到得前缀字符是否匹配已知的应用层协议的固定前缀,若是,将所述前缀字符对应的待识别报文发送至第一识别模块,否则将其发送至第二识别模块;第一识别模块,用于根据所述前缀字符选择确定的有穷自动机引擎,并由所选择的确定的有穷自动机引擎对所述前缀字符对应的待识别报文进行匹配处理;第二识别模块,用于基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
该***还包括编译模块,该模块进一步包括:分组单元,用于记录具有固定前缀的已知的应用层协议的前缀长度,按照首字符对所述具有固定前缀的已知的应用层协议进行分组,得到若干协议集;子集合并单元,用于去除若干协议集中为其他协议集子集的协议集;优化单元,用于采用启发式聚类算法对所述子集合并单元处理得到的若干协议集进行优化;编译单元,用于将经所述优化单元优化处理后的若干协议集编译为确定的有穷自动机引擎。
其中,第二识别模块进一步包括:提取单元,用于提取不具有固定前缀的已知的应用层协议中所有确定性字符串;协议指纹确定单元,用于对于每一个所述不具有固定前缀的已知的应用层协议,选择其所提取的字符串中长度最长且与其他应用层协议所提取的字符串不相同的字符串作为该应用层协议的协议指纹;识别单元,用于基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (7)
1.一种应用层协议识别方法,其特征在于,该方法包括步骤:
S1.提取待识别报文的负载的前缀字符;
S2.判断所述前缀字符是否匹配已知的应用层协议的固定前缀,若是,则执行步骤S3,否则执行步骤S4;
S3.根据所述前缀字符选择确定的有穷自动机引擎,并由所选择的确定的有穷自动机引擎对所述前缀字符对应的待识别报文进行匹配处理;
S4.基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
2.如权利要求1所述的应用层协议识别方法,其特征在于,步骤S1之前还包括步骤:
A1.记录具有固定前缀的已知的应用层协议的前缀长度,按照首字符对所述具有固定前缀的已知的应用层协议进行分组,得到若干协议集;
A2.去除若干协议集中为其他协议集子集的协议集;
A3.采用启发式聚类算法对步骤A2得到的若干协议集进行优化;
A4.将经步骤A3优化处理后的若干协议集编译为确定的有穷自动机引擎。
3.如权利要求2所述的应用层协议识别方法,其特征在于,步骤A3进一步包括:
B1.取任一协议集,遍历其余协议集,判断两个协议集的公共协议数量是否大于设定阈值,若是,则执行步骤B2,否则,不合并;
B2.判断所述两个协议集的平均通配符数量是否小于1,若是,则执行步骤B3,否则,不合并;
B3.判断所述两个协议集合并后是否会导致所述确定的有穷自动机引擎中状态数的减少,若是,合并所述两个协议集,否则,不合并;
B4.判断是否已遍历所有协议集,若是,则结束优化,否则,返回步骤B1,从未遍历到得协议集中选择任一协议集。
4.如权利要求1所述的应用层协议识别方法,其特征在于,步骤S4进一步包括:
S4.1提取不具有固定前缀的已知的应用层协议中所有确定性字符串;
S4.2对于每一个所述不具有固定前缀的已知的应用层协议,选择其所提取的字符串中长度最长且与其他应用层协议所提取的字符串不相同的字符串作为该应用层协议的协议指纹;
S4.3基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
5.一种应用层协议识别***,其特征在于,该***包括:
提取模块,用于提取待识别报文的负载的前缀字符;
分段模块,用于判断所述提取模块提取到得前缀字符是否匹配已知的应用层协议的固定前缀,若是,将所述前缀字符对应的待识别报文发送至第一识别模块,否则将其发送至第二识别模块;
第一识别模块,用于根据所述前缀字符选择确定的有穷自动机引擎,并由所选择的确定的有穷自动机引擎对所述前缀字符对应的待识别报文进行匹配处理;
第二识别模块,用于基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
6.如权利要求5所述的应用层协议识别***,其特征在于,该***还包括编译模块,该模块进一步包括:
分组单元,用于记录具有固定前缀的已知的应用层协议的前缀长度,按照首字符对所述具有固定前缀的已知的应用层协议进行分组,得到若干协议集;
子集合并单元,用于去除若干协议集中为其他协议集子集的协议集;
优化单元,用于采用启发式聚类算法对所述子集合并单元处理得到的若干协议集进行优化;
编译单元,用于将经所述优化单元优化处理后的若干协议集编译为确定的有穷自动机引擎。
7.如权利要求5所述的应用层协议识别***,其特征在于,所述第二识别模块进一步包括:
提取单元,用于提取不具有固定前缀的已知的应用层协议中所有确定性字符串;
协议指纹确定单元,用于对于每一个所述不具有固定前缀的已知的应用层协议,选择其所提取的字符串中长度最长且与其他应用层协议所提取的字符串不相同的字符串作为该应用层协议的协议指纹;
识别单元,用于基于协议指纹对所述前缀字符对应的待识别报文进行协议识别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201110066864 CN102130956B (zh) | 2011-03-18 | 2011-03-18 | 应用层协议识别方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201110066864 CN102130956B (zh) | 2011-03-18 | 2011-03-18 | 应用层协议识别方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102130956A true CN102130956A (zh) | 2011-07-20 |
CN102130956B CN102130956B (zh) | 2013-06-05 |
Family
ID=44268845
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201110066864 Active CN102130956B (zh) | 2011-03-18 | 2011-03-18 | 应用层协议识别方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102130956B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789358A (zh) * | 2017-02-15 | 2017-05-31 | 北京浩瀚深度信息技术股份有限公司 | 基于dpi的业务识别方法及*** |
CN111163071A (zh) * | 2019-12-20 | 2020-05-15 | 杭州九略智能科技有限公司 | 一种未知工业协议识别引擎 |
CN112887280A (zh) * | 2021-01-13 | 2021-06-01 | 中国人民解放军国防科技大学 | 一种基于自动机的网络协议元数据提取***及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101425876A (zh) * | 2008-12-16 | 2009-05-06 | 北京中创信测科技股份有限公司 | 通信协议破译方法和装置 |
-
2011
- 2011-03-18 CN CN 201110066864 patent/CN102130956B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101425876A (zh) * | 2008-12-16 | 2009-05-06 | 北京中创信测科技股份有限公司 | 通信协议破译方法和装置 |
Non-Patent Citations (1)
Title |
---|
FANG YU等: "Fast and Memory-Efficient Regular Expression Matching", 《ANCS"06》, 5 December 2006 (2006-12-05), pages 93 - 102, XP031291910 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789358A (zh) * | 2017-02-15 | 2017-05-31 | 北京浩瀚深度信息技术股份有限公司 | 基于dpi的业务识别方法及*** |
CN111163071A (zh) * | 2019-12-20 | 2020-05-15 | 杭州九略智能科技有限公司 | 一种未知工业协议识别引擎 |
CN112887280A (zh) * | 2021-01-13 | 2021-06-01 | 中国人民解放军国防科技大学 | 一种基于自动机的网络协议元数据提取***及方法 |
CN112887280B (zh) * | 2021-01-13 | 2022-05-31 | 中国人民解放军国防科技大学 | 一种基于自动机的网络协议元数据提取***及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102130956B (zh) | 2013-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109450900B (zh) | 拟态判决方法、装置及*** | |
CN102932203B (zh) | 异构平台间的深度报文检测方法及装置 | |
CN104618132B (zh) | 一种应用程序识别规则生成方法和装置 | |
CN105871832A (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
CN101841440B (zh) | 基于支持向量机与深层包检测的对等网络流量识别方法 | |
CN106685964B (zh) | 基于恶意网络流量词库的恶意软件检测方法及*** | |
CN103336766A (zh) | 短文本垃圾识别以及建模方法和装置 | |
WO2014000819A1 (en) | A method of and network server for detecting data patterns in an input data stream | |
CN107819646A (zh) | 一种分布式传输的网络流量分类***和方法 | |
CN101645803B (zh) | 点对点业务的识别方法和互联网业务识别*** | |
CN101184000A (zh) | 基于报文采样和应用签名的互联网应用流量识别方法 | |
CN107769992B (zh) | 一种报文解析分流方法及装置 | |
CN110034966B (zh) | 一种基于机器学习的数据流分类方法及*** | |
CN110213124A (zh) | 基于tcp多会话的被动操作***识别方法及装置 | |
CN102385551B (zh) | 一种筛选测试用例的方法、装置及*** | |
CN103763198A (zh) | 一种数据包分类方法 | |
CN104333483A (zh) | 互联网应用流量识别方法、***及识别装置 | |
CN102130956B (zh) | 应用层协议识别方法及*** | |
WO2024031930A1 (zh) | 一种异常日志检测方法、装置、电子设备及存储介质 | |
CN101582897A (zh) | 一种深度报文检测方法和装置 | |
CN110266603B (zh) | 基于http协议的身份认证业务网络流量分析***及方法 | |
CN112884121A (zh) | 基于生成对抗深度卷积网络的流量识别方法 | |
CN104333461A (zh) | 互联网应用流量识别方法、***及识别装置 | |
CN116186267A (zh) | 政策数据处理方法、装置、计算机设备及存储介质 | |
CN103746869A (zh) | 结合数据/掩码和正则表达式的多级深度包检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20161208 Address after: 18 Xuanwu District, Jiangsu, Nanjing Xuanwu Avenue, No. -22, building 699, No. 210042 Patentee after: CERTUSNET CORP. Address before: 100084 Beijing Haidian District Tsinghua Yuan 100084-82 mailbox Patentee before: Tsinghua University |