CN113726615A - 一种it智能运维***中基于网络行为的加密业务稳定性判定方法 - Google Patents

一种it智能运维***中基于网络行为的加密业务稳定性判定方法 Download PDF

Info

Publication number
CN113726615A
CN113726615A CN202111285448.9A CN202111285448A CN113726615A CN 113726615 A CN113726615 A CN 113726615A CN 202111285448 A CN202111285448 A CN 202111285448A CN 113726615 A CN113726615 A CN 113726615A
Authority
CN
China
Prior art keywords
flow
encrypted
encryption
flows
maintenance system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111285448.9A
Other languages
English (en)
Other versions
CN113726615B (zh
Inventor
刘东海
徐育毅
庞辉富
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Youyun Software Co ltd
Beijing Guangtong Youyun Technology Co ltd
Original Assignee
Hangzhou Youyun Software Co ltd
Beijing Guangtong Youyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Youyun Software Co ltd, Beijing Guangtong Youyun Technology Co ltd filed Critical Hangzhou Youyun Software Co ltd
Priority to CN202111285448.9A priority Critical patent/CN113726615B/zh
Publication of CN113726615A publication Critical patent/CN113726615A/zh
Application granted granted Critical
Publication of CN113726615B publication Critical patent/CN113726615B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种IT智能运维***中基于网络行为的加密业务稳定性判定方法,该方法包括如下步骤:(1)、在训练过程中,以单条双向流为单位采集加密流量;(2)、定时针对采集的加密流量,提取加密会话的前M个TLS记录长度;(3)、完成基于加密流量的软件行为模板构成:取前10条加密流量;(4)、在检测过程中,运维***中采集加密流量,提取加密会话的前M个TLS记录长度,将其长度与训练过程中提取的10条加密流量进行对比。本发明的有益效果为:在采用加密算法进行流量传输的时候,解决了现有技术不能分析加密流量的问题,本发明能对加密流流量进行业务运行稳定性分析。

Description

一种IT智能运维***中基于网络行为的加密业务稳定性判定 方法
技术领域
本发明涉及IT运维***中的业务稳定性判定,主要是一种IT智能运维***中基于网络行为的加密业务稳定性判定方法。
背景技术
中国专利CN201910506287 .8公开了一种业务***稳定性评估方法及评估装置,业务***稳定性评估方法,包括定义样本、与样本对应的期望值以及期望偏差;采集预设时间段内的样本值;获得实际偏差集合;由实际偏差集合期望偏差计算满意度值,获得满意度集合;分类统计满意度集合中的满意度值,并根据分类结果计算***稳定性。本发明通过旁路流量的方式,设计出一种可靠的对业务***稳定性进行量化评估的方法,通过对满意度的统计与计算,得出业务***的稳定性评价指标,提升运维价值;一方面通过长期的稳定性评价指标的观测和分析,可帮助IT运维人员提前预防和干预,确保业务***长期稳定运行。
在运维***的运行过程中,我们不仅要关心设备的运行,更要关心业务及软件的运行,在软件的运行过程中,软件与网络服务器的交互是非常重要的一个分析内容。随着数据保护技术的不断更新,我们难以从数据内容获取有效的通信数据,那么,在很多资产设备都采用加密算法进行流量传输的时候,业务运行稳定性分析将显得更加重要。而现有技术中,均是基于非加密流量完成的,不能分析加密流量。
发明内容
本发明的目的在于克服现有技术存在的不足,而提供一种IT智能运维***中基于网络行为的加密业务稳定性判定方法。
本发明的目的是通过如下技术方案来完成的。一种IT智能运维***中基于网络行为的加密业务稳定性判定方法,该方法包括如下步骤:
(1)、在训练过程中,以单条双向流为单位采集加密流量;
(2)、定时针对采集的加密流量,提取加密会话的前M个TLS 记录长度,M的选值必须包含TLS记录中的握手信息和部分业务数据信息;
基于TLS 记录长度序列的流量表示如公式(1):
Figure 239332DEST_PATH_IMAGE001
(1)
其中
Figure 729219DEST_PATH_IMAGE002
表示第 i 条加密网络流的第 n 个 TLS 记录长度,TLS记录数据流向信 息用
Figure 118612DEST_PATH_IMAGE003
的符号表示:上行流量为正,下行流量为负;
(3)、完成基于加密流量的软件行为模板构成:取前10条加密流量,模板为M= (minL1,maxL1,minL2, maxL2, ……,minLM,maxLM),其中,minL1表示在
Figure 465280DEST_PATH_IMAGE004
这个位置上,10 条加密流量之间差异值的最小值,maxL1表示在
Figure 143386DEST_PATH_IMAGE004
这个位置上,10条加密流量之间差异值的 最大值;
(4)、在检测过程中,运维***中采集加密流量,提取加密会话的前M个TLS 记录长度,将其长度与训练过程中提取的10条加密流量进行对比,若在每个位置上的差值均在最小值与最大值之间,则任务业务运行平稳。
更进一步的,当源节点和目的节点进行通信时,以单条加密会话为粒度抓取数据包,获取每条加密会话对应的多个TLS记录,并根据每个加密会话对应的多个TLS记录的长度生成各加密会话的TLS记录长度序列。
更进一步的,所述的上行流量是指客户端至服务端的流量,下行流量是指服务端至客户端的流量。
更进一步的,对步骤(3)中的模板进行修正,minL修正为minL-|前5条流量的L的和/后8条流量的L的和|,maxL修正为maxL+|后5条流量的L的和/前8条流量的L的和|。
本发明的有益效果为:在采用加密算法进行流量传输的时候,解决了现有技术不能分析加密流量的问题,本发明能对加密流流量进行业务运行稳定性分析。
附图说明
图1为本发明的客户端访问某浏览器TLS记录长度序列图。
图2为本发明的使用某游戏软件TLS记录长度序列图。
具体实施方式
下面将结合附图对本发明做详细的介绍:
本发明公开了一种IT智能运维***中基于网络行为的加密业务稳定性判定方法,该方法包括如下步骤:
(1)、首先是训练。训练是人工智能领域的常用词汇,意思就是把有标签的数据输入到模型中,让模型自己去学习。在训练过程中,以单条双向流为单位采集加密流量(不加密的通信流量不适用于本方法);值得指出的是,流量采集方法是常规方法,常见的包括用wireshark工具包截取流量。
(2)、我们以单条加密会话为粒度抓取数据包,获取每条加密会话对应的多个TLS记录,并根据每个加密会话对应的多个TLS记录的长度生成各加密会话的TLS记录长度序列;从图1-图2我们可以看出,当源节点和目的节点进行通信时,他们双方会发出很多的数据,我们把这些数据称为TLS记录。由于业务的需要,每个TLS的长度是不同的(从图1-2中就用高低来表示),且有的从源节点发到目的节点,有的是反向过来的。我们就根据这些数据进行分析。
针对采集的加密流量,提取加密会话的前M个TLS 记录长度。由图1-图2所示,在通信过程中,后面的数据可能是业务产生的数据在传输(Application Data),前面的数据通常是一些握手信息(Client Hello、ServerHello、Certificate)。为了操作方便,我们不会对从源(客户端)到目的(服务器)的每条数据都去分析,我们只选取前面的M条。
M的选值必须包含TLS记录中的Client Hello、ServerHello、Certificate和部分Application Data,从而有效地反映加密会话的通信模式。我们经过了大量的分析和实验,最终确定M=10。
基于TLS 记录的长度序列的流量表示可以表示如公式(1):
Figure 702543DEST_PATH_IMAGE005
(1)
其中
Figure 212022DEST_PATH_IMAGE002
表示第 i 条加密网络流的第 n 个 TLS 记录长度。TLS记录数据流向信 息用
Figure 667274DEST_PATH_IMAGE003
的符号表示:上行流量(客户端—>服务端)为正,下行流量(服务端—>客户端)为 负。
注:TLS记录长度提取方法是网络安全分析领域内的常规方法。
(3)、完成基于加密流量的软件行为模板构成:取前10条加密流量,模板为M= (minL1,maxL1,minL2, maxL2, ……,minLM,maxLM),其中,minL1表示在
Figure 98256DEST_PATH_IMAGE004
这个位置上,10 条加密流量之间差异值的最小值,maxL1表示在
Figure 992262DEST_PATH_IMAGE004
这个位置上,10条加密流量之间差异值的 最大值。因为已经限定了前10条,
Figure 565369DEST_PATH_IMAGE004
的上标就没有标注了。
考虑到业务运行过程中由于网络环境等导致的模板误差,我们可以对模板进行修正,minL修正为minL-|前5条流量的L的和/后8条流量的L的和|,maxL修正为maxL+|后5条流量的L的和/前8条流量的L的和|。
假如观察平稳性的时候,我们取了n条流量进行分析,那么,
minL1修正为:
Figure 253840DEST_PATH_IMAGE007
同理,minL2修正为:
Figure 906538DEST_PATH_IMAGE009
,以此类推。
(4)、在检测过程中,运维***中采集加密流量,提取加密会话的前M个TLS 记录长度,将其长度与训练过程中提取的10条加密流量进行对比,若在每个位置上的差值均在最小值与最大值之间,则任务业务运行平稳。
可以理解的是,对本领域技术人员来说,对本发明的技术方案及发明构思加以等同替换或改变都应属于本发明所附的权利要求的保护范围。

Claims (4)

1.一种IT智能运维***中基于网络行为的加密业务稳定性判定方法,其特征在于:该方法包括如下步骤:
(1)、在训练过程中,以单条双向流为单位采集加密流量;
(2)、定时针对采集的加密流量,提取加密会话的前M个TLS 记录长度,M的选值必须包含TLS记录中的握手信息和部分业务数据信息;
基于TLS 记录长度序列的流量表示如公式(1):
Figure 290860DEST_PATH_IMAGE001
(1)
其中
Figure 553214DEST_PATH_IMAGE002
表示第 i 条加密网络流的第 n 个 TLS 记录长度,TLS记录数据流向信息用
Figure 15419DEST_PATH_IMAGE002
的符号表示:上行流量为正,下行流量为负;
(3)、完成基于加密流量的软件行为模板构成:取前10条加密流量,模板为M=(minL1, maxL1,minL2, maxL2, ……,minLM,maxLM),其中,minL1表示在
Figure DEST_PATH_IMAGE003
这个位置上,10条加密流 量之间差异值的最小值,maxL1表示在
Figure 159962DEST_PATH_IMAGE003
这个位置上,10条加密流量之间差异值的最大值;
(4)、在检测过程中,运维***中采集加密流量,提取加密会话的前M个TLS 记录长度,将其长度与训练过程中提取的10条加密流量进行对比,若在每个位置上的差值均在最小值与最大值之间,则任务业务运行平稳。
2.根据权利要求1所述的IT智能运维***中基于网络行为的加密业务稳定性判定方法,其特征在于:当源节点和目的节点进行通信时,以单条加密会话为粒度抓取数据包,获取每条加密会话对应的多个TLS记录,并根据每个加密会话对应的多个TLS记录的长度生成各加密会话的TLS记录长度序列。
3.根据权利要求1所述的IT智能运维***中基于网络行为的加密业务稳定性判定方法,其特征在于:所述的上行流量是指客户端至服务端的流量,下行流量是指服务端至客户端的流量。
4.根据权利要求1所述的IT智能运维***中基于网络行为的加密业务稳定性判定方法,其特征在于:对步骤(3)中的模板进行修正,minL修正为minL-|前5条流量的L的和/后8条流量的L的和|,maxL修正为maxL+|后5条流量的L的和/前8条流量的L的和|。
CN202111285448.9A 2021-11-02 2021-11-02 一种it智能运维***中基于网络行为的加密业务稳定性判定方法 Active CN113726615B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111285448.9A CN113726615B (zh) 2021-11-02 2021-11-02 一种it智能运维***中基于网络行为的加密业务稳定性判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111285448.9A CN113726615B (zh) 2021-11-02 2021-11-02 一种it智能运维***中基于网络行为的加密业务稳定性判定方法

Publications (2)

Publication Number Publication Date
CN113726615A true CN113726615A (zh) 2021-11-30
CN113726615B CN113726615B (zh) 2022-02-15

Family

ID=78686371

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111285448.9A Active CN113726615B (zh) 2021-11-02 2021-11-02 一种it智能运维***中基于网络行为的加密业务稳定性判定方法

Country Status (1)

Country Link
CN (1) CN113726615B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553939A (zh) * 2022-04-25 2022-05-27 北京广通优云科技股份有限公司 一种it智能运维***中基于加密流量的资源稳定切换方法
CN114745304A (zh) * 2022-04-27 2022-07-12 北京广通优云科技股份有限公司 一种it智能运维***中基于网络行为参数的业务突变点识别方法
CN115314240A (zh) * 2022-06-22 2022-11-08 国家计算机网络与信息安全管理中心 面向加密异常流量识别的数据处理方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190068362A1 (en) * 2017-08-31 2019-02-28 Cisco Technology, Inc. Passive decryption of encrypted traffic to generate more accurate machine learning training data
CN109450842A (zh) * 2018-09-06 2019-03-08 南京聚铭网络科技有限公司 一种基于神经网络的网络恶意行为识别方法
CN110493208A (zh) * 2019-08-09 2019-11-22 南京聚铭网络科技有限公司 一种多特征的dns结合https恶意加密流量识别方法
CN111245860A (zh) * 2020-01-20 2020-06-05 上海交通大学 一种基于双维度特征的加密恶意流量检测方法和***
CN112270351A (zh) * 2020-10-24 2021-01-26 国网江苏省电力有限公司信息通信分公司 基于辅助分类生成对抗网络的半监督加密流量识别方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190068362A1 (en) * 2017-08-31 2019-02-28 Cisco Technology, Inc. Passive decryption of encrypted traffic to generate more accurate machine learning training data
CN109450842A (zh) * 2018-09-06 2019-03-08 南京聚铭网络科技有限公司 一种基于神经网络的网络恶意行为识别方法
CN110493208A (zh) * 2019-08-09 2019-11-22 南京聚铭网络科技有限公司 一种多特征的dns结合https恶意加密流量识别方法
CN111245860A (zh) * 2020-01-20 2020-06-05 上海交通大学 一种基于双维度特征的加密恶意流量检测方法和***
CN112270351A (zh) * 2020-10-24 2021-01-26 国网江苏省电力有限公司信息通信分公司 基于辅助分类生成对抗网络的半监督加密流量识别方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553939A (zh) * 2022-04-25 2022-05-27 北京广通优云科技股份有限公司 一种it智能运维***中基于加密流量的资源稳定切换方法
CN114553939B (zh) * 2022-04-25 2022-07-19 北京广通优云科技股份有限公司 一种it智能运维***中基于加密流量的资源稳定切换方法
CN114745304A (zh) * 2022-04-27 2022-07-12 北京广通优云科技股份有限公司 一种it智能运维***中基于网络行为参数的业务突变点识别方法
CN114745304B (zh) * 2022-04-27 2024-02-27 北京广通优云科技股份有限公司 It运维***中基于网络行为参数的业务突变点识别方法
CN115314240A (zh) * 2022-06-22 2022-11-08 国家计算机网络与信息安全管理中心 面向加密异常流量识别的数据处理方法

Also Published As

Publication number Publication date
CN113726615B (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
CN113726615B (zh) 一种it智能运维***中基于网络行为的加密业务稳定性判定方法
CN104506484B (zh) 一种私有协议分析与识别方法
CN105553998A (zh) 一种网络攻击异常检测方法
JP7048555B2 (ja) トラフィックを検出するための方法及び装置
Yang et al. Research on network traffic identification based on machine learning and deep packet inspection
CN110868409A (zh) 一种基于tcp/ip协议栈指纹的操作***被动识别方法及***
CN115134099B (zh) 基于全流量的网络攻击行为分析方法及装置
Yan et al. Identifying wechat red packets and fund transfers via analyzing encrypted network traffic
CN109275045B (zh) 基于dfi的移动端加密视频广告流量识别方法
CN105337753A (zh) 一种互联网真实质量监测方法及装置
CN113407886A (zh) 网络犯罪平台识别方法、***、设备和计算机存储介质
CN112381119B (zh) 基于去中心化应用加密流量特征的多场景分类方法及***
CN102571487A (zh) 基于多数据源分布式的僵尸网络规模测量及追踪方法
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
CN113645215B (zh) 异常网络流量数据的检测方法、装置、设备及存储介质
CN112235254B (zh) 一种高速主干网中Tor网桥的快速识别方法
CN101719907B (zh) 基于BitTorrent的被动式载荷信息监测方法
CN114785617B (zh) 一种5g网络应用层异常检测方法及***
CN110557402A (zh) 异常流量的检测方法及装置
CN113746707B (zh) 一种基于分类器及网络结构的加密流量分类方法
CN110659669A (zh) 一种基于加密摄像头视频流量模式变化的用户行为识别方法及***
JP4814270B2 (ja) トラヒック変動量推定方法およびその装置とプログラム
Zhou et al. Classification of botnet families based on features self-learning under network traffic censorship
Lin et al. Netdetector: an anomaly detection platform for networked systems
CN115277235B (zh) 一种基于区块链的软件异常监测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant