CN114143385B - 一种网络流量数据的识别方法、装置、设备和介质 - Google Patents
一种网络流量数据的识别方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN114143385B CN114143385B CN202111400358.XA CN202111400358A CN114143385B CN 114143385 B CN114143385 B CN 114143385B CN 202111400358 A CN202111400358 A CN 202111400358A CN 114143385 B CN114143385 B CN 114143385B
- Authority
- CN
- China
- Prior art keywords
- message
- current
- information
- data
- network protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 2
- 238000006243 chemical reaction Methods 0.000 abstract description 20
- 230000005540 biological transmission Effects 0.000 description 19
- 230000006870 function Effects 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000001788 irregular Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络流量数据的识别方法、装置、设备和介质。该方法包括:获取待识别的当前数据报文,并解析得到当前报文信息;根据所述当前报文信息,确定当前报文特征,并在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议;根据所述目标网络协议,确定所述当前数据报文的识别结果。本发明实施例可以快速确定在对网络流量数据进行数据转换过程中所需要的网络协议。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种网络流量数据的识别方法、装置、设备和介质。
背景技术
不同的计算机之间必须使用相同的网络协议才能进行通信。在实际生产中,由于发送端与接收端的数据终端所用字符集不同,因此接收端无法识别发送端所发送的网络流量数据。为了能够进行网络通信,规定发送端的终端要根据网络协议,将发送的网络流量数据中所采用的字符集先转换为标准字符集的字符后,再进行网络传送,到达目的终端后,接收端再根据网络协议将接收到的网络流量数据进行数据转换,将标准字符集变换为接收端所采用字符集的字符,得到可供接收端识别的网络报文。
大多数网络都采用分层的体系结构,每一层都建立在它的下层之上,在网络的各层中存在着许多协议,接收端和发送端同层的协议必须一致,否则一方将无法识别另一方发出的信息。在根据网络协议对网络流量数据进行数据转换过程中,需要逐层确定每一层所使用的网络协议,导致需要耗费长时间,才可以确定每层的网络协议,进而延长了对网络流量数据进行数据转换的时长。
发明内容
本发明实施例提供一种网络流量数据的识别方法、装置、设备和介质,以快速识别网络流量数据在传输过程中所采用的网络协议。
第一方面,本发明实施例提供了网络流量数据的识别方法,包括:
获取待识别的当前数据报文,并解析得到当前报文信息;
根据所述当前报文信息,确定当前报文特征,并在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议;
根据所述目标网络协议,确定所述当前数据报文的识别结果。
第二方面,本发明实施例还提供了一种网络流量数据的识别装置,该装置包括:
报文信息解析模块,用于获取待识别的当前数据报文,并解析得到当前报文信息;
网络协议查询模块,用于根据所述当前报文信息,确定当前报文特征,并在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议;
结果确定模块,用于根据所述目标网络协议,确定所述当前数据报文的识别结果。
第三方面,本发明实施例还提供了一种网络流量数据的识别设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例提供的网络流量数据的识别方法。
第四方面,本发明实施例还提供了网络流量数据的识别介质,其上存储有计算机程序,其中,该程序被处理器执行时实现本发明实施例提供的网络流量数据的识别方法。
本实施例通过获取当前数据报文,分析当前报文信息,以获得当前报文特征,并将当前报文特征和历史报文特征的关联匹配结果,确定当前报文特征所对应的目标网络协议,以对当前数据报文进行识别,解决了逐层确定目标网络协议,导致目标网络协议确定时间长的问题,通过建立特征库,无需对获取的数据报文的包内数据内容进行解析,而是提取出报文特征,通过报文特征的关联匹配结果,从报文特征库中确定目标网络协议,实现了更高效快速的获取目标网络协议的效果。
附图说明
图1为本发明实施例一提供的一种网络流量数据的识别方法流程图;
图2为本发明实施例二提供的一种网络流量数据的识别方法流程图;
图3为本发明实施例三提供的一种网络流量数据的识别方法流程图;
图4本发明实施例四提供的网络流量数据的识别装置的结构框图;
图5为本发明实施例五提供的一种网络流量数据的识别设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种网络流量数据的识别方法流程图。本实施例适用于如何对网络流量数据进行识别的情况,尤其适用于数据报文传输过程中,确定传输过程中所要应用的网络协议的情况。该方法可以由本发明实施例提供的网络流量数据的识别装置来执行,该装置可以采用软件和/或硬件的方式来实现。该装置可配置于终端设备/服务器中,该方法具体包括:
S110、获取待识别的当前数据报文,并解析得到当前报文信息。
其中,报文是网络中交换与传输的数据单元,即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息。报文也是网络传输的单位,传输过程中会不断的封装成分组、包、帧来传输。报文信息是以封装的方式在报文中添加的一些信息段,信息段包含报文版本、报文功能、报文序号和报文长度等信息。将网络流量数据进行打包,以数据报文的形式在发送端和接收端之间进行数据传输,接收端可以接收到发送端传输的数据报文,并通过端口镜像对服务器接收到的数据报文进行解析,得到报文信息。当前数据报文为接收端在当前时刻接收到的数据报文,当前报文信息即接收端在当前时刻接收到的数据报文解析得到的报文信息。
其中,端口镜像功能通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。
S120、根据当前报文信息,确定当前报文特征,并在预设的报文特征库中查询与当前报文特征关联匹配的目标网络协议。
其中,报文特征库是用于存储接收端接收到的历史数据报文、历史报文信息、历史报文信息所包含的历史报文特征和历史数据报文传输过程中所使用的历史网络协议等数据的数据库。报文信息所包含的报文特征可以是报文信息中的关键字。目标网络协议为接收端接收到当前数据报文后,将接收到的当前数据报文转换为接受方可识别的数据报文所采用的网络协议。
优选的,本步骤可以通过采集历史数据报文和接收端转换历史数据报文所采用的历史网络协议,提取历史数据报文中的报文信息特征,将历史数据报文、历史网络协议和历史数据报文中的报文信息特征存放至特征库中。具体的,可以通过如下子步骤实现:在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议之前,还包括:
S1201、采集历史数据报文,并解析得到历史数据报文的历史报文信息。
其中,历史数据报文为接收端曾经接收并通过网络协议转换过的数据报文。
具体的,接收端可以采集历史数据报文,并将采集到的历史数据报文与解析历史数据报文所使用的网络协议建立对应关系,并存放至数据库中。接收端对历史数据报文进行解析,得到历史报文信息。
S1202、对所述历史报文信息进行特征提取,得到历史报文特征,并添加到报文特征库中。
具体的,可以通过算法,从历史报文信息中提取出历史报文特征,历史报文特征可以是历史报文信息中的关键字。其中,算法可以是机器学习模型,如卷积神经网络模型。将历史数据报文、历史报文信息、历史报文特征和历史数据报文传输过程中所使用的历史网络协议存放至报文特征库中,可以将不同样式的网络协议对应的特征存储于报文特征库,并基于报文特征库进行特征匹配,可以提高报文特征匹配的准确率,从而提高网络协议的检测准确率。
进一步的,当接收端接收到当前数据报文后,提取出当前数据报文信息中的当前报文特征,将当前报文特征与特征库中的历史报文特征进行关联匹配,根据关联匹配结果确定接收端对发送端发送的当前数据报文进行解析所采用的目标网络协议。
其中,关联匹配可以通过关联匹配算法实现。例如匈牙利算法,将当前数据报文中的当前报文特征和历史数据报文中的历史报文特征作为匈牙利算法的输入参数,通过匈牙利算法对当前报文特征和历史报文特征进行匹配计算,得到最大匹配结果。如果最大匹配结果大于预设的匹配阈值,则当前报文特征和历史报文特征匹配;如果最大匹配结果小于等于匹配阈值,则当前报文特征和历史报文特征不匹配。其中,匹配阈值可以根据实际需求人为设定。
若当前报文特征和预设的特征库中某一历史报文特征匹配,则确定转换当前数据报文内容所需的目标网络协议为与之匹配的历史数据报文所使用的网络协议。
S130、根据目标网络协议,确定当前数据报文的识别结果。
根据目标网络协议,接收端对当前数据报文进行数据转换,得到接收端可以识别的内容,并将转换之后的内容作为当前数据报文的识别结果,执行识别结果所表达的内容中的指令或操作等。其中,报文信息可以是对数据报文进行划分,形成的信息段,其中,有些划分的信息段是接收端无法识别的内容。而识别结果是对那些接收端无法识别的信息段的进一步解析得到的内容,使接收端可以识别之前无法识别的信息段的内容。
本实施例通过获取当前数据报文,分析当前报文信息,以获得当前报文特征,并将当前报文特征和历史报文特征的关联匹配结果,确定当前报文特征所对应的目标网络协议,以对当前数据报文进行识别,解决了逐层确定目标网络协议,导致目标网络协议确定时间长的问题,通过建立特征库,无需对获取的数据报文的包内数据内容进行解析,而是提取出报文特征,通过报文特征的关联匹配结果,从报文特征库中确定目标网络协议,实现了更高效快速的获取目标网络协议的效果。
实施例二
图2为本发明实施例二提供的一种网络流量数据的识别方法流程图。本实施例的技术方案在上述技术方案的基础上进行了优化,添加了根据历史数据报文预设数据报文库并通过数据报文库确定目标网络协议的优选实施例。将所述根据所述当前报文信息,确定当前报文特征,具体化为:在预设的报文数据库中查询与所述当前报文信息关联匹配的目标网络协议;在所述报文数据库的查询结果为空时,根据所述当前报文信息,确定当前报文特征。具体的,如图2所示,本实施例提供的网络流量数据的识别方法可以包括:
S210、获取待识别的当前数据报文,并解析得到当前报文信息。
可选的,所述解析得到当前报文信息,包括:根据信息类型的优先级,对所述当前数据报文进行解析,得到当前报文信息。
具体的,可以预先配置不同信息类型对应不同的优先级,根据信息类型的优先级,对当前数据报文进行解析,得到当前报文信息。
其中,信息类型为数据报文所包含的信息内容,例如包头信息、端口信息和包体信息。在解析当前数据报文之前,可以通过端口镜像对数据报文进行分类,得到当前数据报文中的信息类型,进而为所得到的信息类型分配优先级。根据信息类型的优先级,先对最高优先级的信息内容进行解析。若解析后的最高优先级信息内容与预设的报文数据库中的数据报文信息不匹配,则按照优先级顺序,继续解析下一优先级的信息内容。
S220、在预设的报文数据库中查询与当前报文信息关联匹配的目标网络协议。
其中,报文数据库是用来存储历史数据报文信息的数据库,一个完整的数据报文包括包头、端口和包体,包头中的报文信息即包头信息,包括通讯版本号、应用版本号、功能号、过程号、标志位、数据报文序号和报文长度等;端口一般是指TCP/IP协议中的端口;包体中的报文信息即包体信息,包括数据内容。报文数据库中所存储的历史报文信息包括包头中的历史报文信息和包体中的历史报文信息。
具体的,可以通过服务器收集历史数据报文,并将历史数据报文、历史报文信息和历史网络协议存放至报文数据库。当接收端接收到当前数据报文时,通过端口镜像可以获取到当前报文信息。接收端获取到当前报文信息后,将当前信息与报文数据库中的历史报文信息进行关联匹配。若当前数据报文的当前报文信息与某一历史数据报文的历史报文信息匹配,则确定转换当前数据报文所需要的目标网络协议为与其匹配的历史数据报文所使用的网络协议。
S230、在报文数据库的查询结果为空时,根据当前报文信息,确定当前报文特征。
其中,在报文数据库的查询结果为空是指当前数据报文的报文信息与报文数据库中存储的所有历史数据报文均不存在匹配关系。
具体的,数据报文分为常规数据报文和非常规数据报文。其中,常规数据报文是指在网络流量数据传输过程中常见的数据报文,这类常规数据报文往往在进行历史数据报文采集的时候,就已经被存储在接收端的报文数据库中。非常规数据报文是指在网络流量数据传输过程中,由一些企业在执行网络流量数据传输时,传输的网络流量数据是按照企业需求自定义的数据报文,并在数据报文传输和数据转换的过程中使用与常规数据报文不同的新的网络协议。
一般情况下,报文数据库所存储的内容均来自于历史报文数据,这些历史数据报文为在网络流量传输过程中的常规数据报文。接收端接收到历史数据报文之后,对历史数据报文进行解析,将历史数据报文、历史报文信息和历史网络协议存储到报文数据库中。当接收端采集到非常规历史数据报文,并确定了非常规历史数据报文在进行数据转换所采用的历史网络协议后,可以从历史报文信息中提取出报文特征,即历史报文特征,将历史报文特征、历史数据报文和历史网络协议存放至特征库中。
接收端接收到当前数据报文时,对当前数据报文进行解析得到当前报文信息。将当前报文信息与报文数据库中的历史数据报文的历史报文信息进行关联匹配。若在报文数据库的查询结果为空时,再提取当前报文信息的报文特征,即当前报文特征。将当前报文特征与特征库中的历史报文特征进行关联匹配,若当前报文的特征和某一历史报文的特征存在匹配关系,则确定接收端对当前数据报文进行数据转换所需要的目标网络协议为与当前数据报文存在匹配关系的历史数据报文所对应的历史网络协议。
可选的,所述在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议,确定所述当前数据报文的识别结果,包括:在报文特征库的查询结果为空时,确定当前数据报文为故障报文。
其中,故障报文是指在网络流量数据传输过程中,会导致接收端的终端设备出现故障的数据报文,例如可以是网络携带网络病毒的数据报文或在网络流量数据传输过程中出现数据丢失的数据报文。
具体的,若当前数据报文与报文数据库和报文特征库中的历史数据报文均不匹配,则确定当前数据报文为故障报文,不对当前数据报文进行数据转换,并清除故障报文。
在实际场景中,发送端与接收端的网络流量数据传输过程中,可能传输的数据报文信息几乎完全存放至报文数据库和报文特征库中。因此在接收端接收到无法与报文数据库和报文特征库匹配的数据报文时,该数据报文有可能是故障报文或网络攻击过程中产生的木马文件。在此情况下,将无法与报文数据库和报文特征库匹配的报文数据作为故障报文进行清除,可以有效维护发送端与接收端之间的通讯安全,避免由于故障报文或木马文件导致的服务器故障等问题。
本实施例通过将当前报文信息与报文数据库中的常规报文信息进行关联匹配,通过匹配结果确定目标网络协议;若报文数据库不存在与当前数据报文匹配的历史数据报文,进一步提取当前报文信息的当前报文特征,将当前报文特征与特征库中的历史报文特征进行关联匹配,通过匹配结果确定目标网络协议,通过两个数据库进行关联匹配,提高目标网络协议的检测准确率,从而提高数据报文的识别准确率,并且仅在报文数据的查询结果为空的情况下,提取当前报文信息的当前报文特征,减少报文匹配的处理的数据量,节约了目标网络协议获取的时间,提升了数据转换效率。
实施例三
图3为本发明实施例三提供的一种网络流量数据的识别方法流程图。本实施例的技术方案在上述技术方案的基础上进行了优化,添加了对报文信息预设优先级,根据报文信息优先级,将当前数据报文的报文信息与报文数据库和特征库进行关联匹配的优选实施例。将根据当前报文信息,确定当前报文特征,具体化为:在预设的报文数据库中查询与当前报文信息关联匹配的目标网络协议;在报文数据库的查询结果为空时,根据当前报文信息,确定当前报文特征。将解析得到当前报文信息,具体化为:根据信息类型的优先级,对当前数据报文进行解析,得到当前报文信息。将在报文数据库的查询结果为空时,根据当前报文信息,确定当前报文特征,具体化为:在报文数据库的查询结果为空时,根据信息类型的优先级,对当前数据报文进行解析,更新当前报文信息;在预设的报文数据库中查询与更新的当前报文信息关联匹配的目标网络协议;在报文数据库的查询结果为空时,返回执行根据信息类型的优先级,对当前数据报文进行解析,更新当前报文信息的步骤,直至查询到目标网络协议或当前报文信息全部内容解析完成,并根据当前报文信息,确定当前报文特征。
具体的,如图3所示,本实施例提供的网络流量数据的识别方法可以包括:
S310、获取待识别的当前数据报文。
S320、根据信息类型的优先级,对当前数据报文进行解析,得到当前报文信息。
其中,信息类型为数据报文所包含的信息内容,例如包头信息、端口信息和包体信息。在解析当前数据报文之前,可以通过端口镜像对数据报文进行分类,得到当前数据报文中的信息类型,进而为所得到的信息类型分配优先级。根据信息类型的优先级,先对最高优先级的信息内容进行解析。例如,可以为包头信息分配最高优先级,端口信息分配第二优先级,包体信息分配第三优先级。在对包头信息进行解析之后,可以得到包头信息中所包含的当前数据报文的通讯版本号、应用版本号、功能号、过程号、标志位、数据报文序号和报文长度等信息,将解析后得到的包头信息作为当前报文信息。
S330、在预设的报文数据库中查询与当前报文信息关联匹配的目标网络协议。
具体的,预设的报文数据库中包含有历史数据报文的包头信息和历史数据报文对应的历史网络协议。将当前数据报文的包头信息与历史数据报文的包头信息进行关联匹配,如果在报文数据库中存在与当前数据报文的包头信息匹配的历史数据报文的包头信息,则确定数据库中存在与当前数据报文匹配的历史数据报文,与当前数据报文匹配的历史数据报文所对应的历史网络协议即当前数据报文进行数据转换所需要的目标网络协议。
S340、在报文数据库的查询结果为空时,根据信息类型的优先级,对当前数据报文进行解析,更新当前报文信息。
具体的,如果在报文数据库中不存在与当前数据报文的包头信息一致的历史数据报文,即查询结果为空。若对当前数据报文的包头信息的查询结果为空,则根据信息类型优先级,将下一优先级的信息,即当前数据报文在传输过程中的端口信息进行进一步解析,得到的端口信息可以包括端口类型、端口号、服务类型和端口地址等。根据解析得到的端口信息更新当前报文信息,更新后的当前报文信息包括当前数据报文的包头信息和端口信息。
其中,端口信息存放在包头中,可以通过服务器中的端口获取子单元获取数据报文的端口信息。获取的端口信息可以是通讯双方任意一段的端口信息,也可以是通讯双方的端口信息。
S350、在预设的报文数据库中查询与更新的当前报文信息关联匹配的目标网络协议。
若在报文数据库中对包头信息的查询结果为空,则将当前数据报文的端口信息与报文数据库中的历史数据报文的端口信息进行关联匹配,若匹配结果为数据报文库中存在与当前数据报文的端口信息相匹配的历史数据报文的端口信息,则确定与当前数据报文相匹配的历史数据报文的网络协议为当前数据报文进行数据转换所需要的目标网络协议。
S360、在报文数据库的查询结果为空时,返回执行根据信息类型的优先级,对当前数据报文进行解析,更新当前报文信息的步骤,直至查询到目标网络协议或当前报文信息全部内容解析完成,并根据当前报文信息,确定当前报文特征。
具体的,若在报文数据库中不存在与当前数据报文中的包头信息和端口信息匹配的历史报文数据,即当前数据报文的包头信息和端口信息在报文数据库的查询结果为空,则选择对数据报文下一优先级的报文信息进行解析。
示例性的,进一步解析当前数据报文,得到当前数据报文的包体信息,包体信息中包含有当前数据报文的报文内容和数据信息。根据包体信息,更新当前报文信息,更新后的当前报文信息包括包头信息、端口信息和包体信息。将当前报文信息中所包含的包体信息与预设报文数据库中的数据报文的包体信息进行关联匹配,若匹配结果为数据报文库中存在与当前数据报文的包体信息相匹配的历史数据报文的包体信息,则确定与当前数据报文相匹配的历史数据报文的网络协议为当前数据报文进行数据转换所需要的目标网络协议。
若对包头信息、端口信息和包体信息的查询结果为空,即在报文数据库中不存在与当前数据报文的包头信息、端口信息和包体信息匹配的历史数据报文,则进一步提取出当前报文信息的当前报文特征。
可选的,获得当前报文信息的当前报文特征包含包头信息特征、端口信息特征和包体信息特征。根据信息类型的优先级,先将当前报文数据的包头信息特征与报文特征库中的历史报文数据的包头信息特征进行关联匹配,若在报文特征库中存在与当前数据报文的包头信息匹配的历史报文数据的包头信息,则确定与当前数据报文相匹配的历史数据报文的网络协议为当前数据报文进行数据转换所需要的目标网络协议。若在报文特征库中不存在与当前数据报文的包头信息匹配的历史报文数据的包头信息,则按照信息类型的优先级,将当前报文数据的端口信息特征与报文特征库中的历史报文数据的端口信息特征进行关联匹配,若在报文特征库中存在与当前数据报文的端口信息匹配的历史报文数据的端口信息,则确定与当前数据报文相匹配的历史数据报文的网络协议为当前数据报文进行数据转换所需要的目标网络协议。若在报文特征库中不存在与当前数据报文的包头信息和端口信息匹配的历史报文数据的包头信息和端口信息,则按照信息类型的优先级,将当前报文数据的包体信息特征与报文特征库中的历史报文数据的包体信息特征进行关联匹配,若在报文特征库中存在与当前数据报文的包体信息匹配的历史报文数据的包体信息,则确定与当前数据报文相匹配的历史数据报文的网络协议为当前数据报文进行数据转换所需要的目标网络协议。
可选的,在根据当前报文信息,确定当前报文特征后,还可以包括:根据报文特征库,更新报文数据库。
具体的,报文特征库中存有历史数据报文、历史报文信息、历史数据报文对应的网络协议和历史报文特征。可以采用数据迁移工具,将报文特征库中的历史数据报文、历史报文信息和历史数据报文对应的网络协议迁移至报文数据库中。
由于接收端获取当前数据报文后,是先将当前数据报文的当前报文信息和报文数据库中的历史报文信息进行匹配,若报文数据库中不存在与当前数据报文相匹配的历史数据报文,再将当前报文信息与报文特征库中的历史报文信息进行匹配。因此可以定期将报文特征库中的历史数据报文迁移至数据报文库中,若接收端再次接收到和迁移至数据报文库的历史数据报文相匹配的当前数据报文时,则仅通过将当前报文信息和报文数据库的历史报文信息进行匹配,即可确定当前数据报文的识别结果,节约了数据报文的识别时间,提高了数据报文的识别效率。
本实施例通过对数据报文的报文信息类型分配优先级,按照信息类型的优先级顺序,将不同信息类型的报文信息与报文数据库中的历史数据报文的历史报文信息进行关联匹配,根据匹配结果确定目标网络协议,解决了将当前信息与报文数据库中的历史报文信息进行关联匹配时,将所有的报文信息均进行关联,导致匹配时间过长,数据转换效率低的问题,实现了根据信息类型的优先级,依次将不同的报文信息于报文数据库中的报文信息进行关联匹配,提高了获取目标网络协议的效率。
实施例四
图4本发明实施例四提供的网络流量数据的识别装置的结构框图,所述装置可执行本发明任意实施例所提供的网络流量数据的识别方法,如图4所示,所述装置包括:报文信息解析模块410、网络协议查询模块420和结果确定模块430。
其中,报文信息解析模块410,用于获取待识别的当前数据报文,并解析得到当前报文信息;网络协议查询模块420,用于根据当前报文信息,确定当前报文特征,并在预设的报文特征库中查询与当前报文特征关联匹配的目标网络协议;结果确定模块430,用于根据目标网络协议,确定当前数据报文的识别结果。
本实施例通过收集历史数据报文,并分析历史报文的历史报文特征,确定不同的历史数据报文对应的历史报文特征和目标网络协议,将历史报文特征、历史数据报文和目标网络协议存放至特征库中;当接收端服务器获取到当前数据报文时,通过分析当前报文信息,获得当前报文特征,并将当前报文特征和历史报文特征的关联匹配结果,确定当前报文特征所对应的目标网络协议,并根据目标网络协议对接收到的当前数据报文进行数据转换,获得可以被接收端识别的数据。解决了用户之间进行数据传输以及根据网络协议进行数据转换时,需要将获取的数据报文中包含的数据包进行解析,通过包内数据的解析结果确定数据报文所对应的目标网络协议,导致目标网络协议时间过长的确定问题,实现了通过建立特征库,无需对获取的数据报文的包内数据内容进行解析,而是提取出报文特征,通过报文特征的关联匹配结果确定目标网络协议,更高效快速的获取目标网络协议的效果。
示例性的,上述报文信息解析模块410,具体用于:
根据信息类型的优先级,对所述当前数据报文进行解析,得到当前报文信息。
示例性的,上述网络协议查询模块420,具体用于:
在预设的报文数据库中查询与当前报文信息关联匹配的目标网络协议;在报文数据库的查询结果为空时,根据当前报文信息,确定当前报文特征。
示例性的,上述装置还包括:
更新模块,用于在报文数据库的查询结果为空时,根据信息类型的优先级,对当前数据报文进行解析,更新当前报文信息;
在预设的报文数据库中查询与更新的当前报文信息关联匹配的目标网络协议;
在报文数据库的查询结果为空时,返回执行根据信息类型的优先级,对当前数据报文进行解析,更新当前报文信息的步骤,直至查询到目标网络协议或当前报文信息全部内容解析完成,并根据当前报文信息,确定当前报文特征。
示例性的,上述更新模块还包括:
根据报文特征库,更新报文数据库。
示例性的,上述装置还包括:
历史数据采集模块,用于采集历史数据报文,并解析得到历史数据报文的历史报文信息;
特征提取模块,用于对历史报文信息进行特征提取,得到历史报文特征,并添加到报文特征库中。
示例性的,结果确定模块430还包括:
在报文特征库的查询结果为空时,确定当前数据报文为故障报文。
实施例五
图5为本发明实施例五提供的一种网络流量数据的识别设备的结构示意图,如图5所示,该设备包括处理器50、存储器51、输入装置52和输出装置53;设备中处理器50的数量可以是一个或多个,图5中以一个处理器50为例;设备中的处理器50、存储器51、输入装置52和输出装置53可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器51作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的网络流量数据的识别方法对应的程序指令/模块。处理器50通过运行存储在存储器51中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的网络流量数据的识别方法。
存储器51可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器51可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器51可进一步包括相对于处理器50远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置52可用于接收网络流量数据信息,以及产生与设备的用户设置以及功能控制有关的网络流量数据报文信息输入。输出装置53可包括显示屏等显示设备。
实施例六
本发明实施例六还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种网络流量数据的识别方法,该方法包括:
获取待识别的当前数据报文,并解析得到当前报文信息;
根据所述当前报文信息,确定当前报文特征,并在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议;
根据所述目标网络协议,确定所述当前数据报文的识别结果。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的网络流量数据的识别方法中的相关操作.
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (7)
1.一种网络流量数据的识别方法,其特征在于,包括:
获取待识别的当前数据报文,根据信息类型的优先级,对所述当前数据报文进行解析,得到当前报文信息;
在预设的报文数据库中查询与所述当前报文信息关联匹配的目标网络协议;
若所述报文数据库的查询结果匹配时,则确定匹配的网络协议为所述当前数据报文的目标网络协议;
若所述报文数据库的查询结果为空时,根据信息类型的优先级,对所述当前数据报文进行解析,更新所述当前报文信息;
在所述预设的报文数据库中查询与所述更新的当前报文信息关联匹配的目标网络协议;
在所述报文数据库的查询结果为空时,返回执行根据信息类型的优先级,对所述当前数据报文进行解析,更新所述当前报文信息的步骤,直至查询到目标网络协议,或当前报文信息全部内容解析完成,则根据所述当前报文信息,确定当前报文特征,并在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议;
根据所述目标网络协议,确定所述当前数据报文的识别结果。
2.根据权利要求1所述的方法,其特征在于,在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议之前,还包括:
采集历史数据报文,并解析得到所述历史数据报文的历史报文信息;
对所述历史报文信息进行特征提取,得到历史报文特征,并添加到报文特征库中。
3.根据权利要求1所述的方法,其特征在于,还包括:
根据所述报文特征库,更新所述报文数据库。
4.根据权利要求1所述的方法,其特征在于,所述在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议,确定所述当前数据报文的识别结果,包括:
在所述报文特征库的查询结果为空时,确定所述当前数据报文为故障报文。
5.一种网络流量数据的识别装置,其特征在于,包括:
报文信息解析模块,用于获取待识别的当前数据报文,根据信息类型的优先级,对所述当前数据报文进行解析,得到当前报文信息;
网络协议查询模块,用于在预设的报文数据库中查询与所述当前报文信息关联匹配的目标网络协议;若所述报文数据库的查询结果匹配时,则确定匹配的网络协议为所述当前数据报文的目标网络协议;在报文数据库的查询结果为空时,根据所述当前报文信息,确定当前报文特征,并在预设的报文特征库中查询与所述当前报文特征关联匹配的目标网络协议;
更新模块,用于在所述报文数据库的查询结果为空时,根据信息类型的优先级,对所述当前数据报文进行解析,更新所述当前报文信息;在所述预设的报文数据库中查询与所述更新的当前报文信息关联匹配的目标网络协议;在所述报文数据库的查询结果为空时,返回执行根据信息类型的优先级,对所述当前数据报文进行解析,更新所述当前报文信息的步骤,直至查询到目标网络协议或当前报文信息全部内容解析完成;
结果确定模块,用于根据所述目标网络协议,确定所述当前数据报文的识别结果。
6.一种网络流量数据的识别设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的网络流量数据的识别方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的网络流量数据的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111400358.XA CN114143385B (zh) | 2021-11-24 | 2021-11-24 | 一种网络流量数据的识别方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111400358.XA CN114143385B (zh) | 2021-11-24 | 2021-11-24 | 一种网络流量数据的识别方法、装置、设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114143385A CN114143385A (zh) | 2022-03-04 |
| CN114143385B true CN114143385B (zh) | 2024-01-05 |
Family
ID=80391148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111400358.XA Active CN114143385B (zh) | 2021-11-24 | 2021-11-24 | 一种网络流量数据的识别方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143385B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086183B (zh) * | 2022-07-05 | 2024-02-06 | 武汉思普崚技术有限公司 | 一种应用层网关的报文关联方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011060368A1 (en) * | 2009-11-15 | 2011-05-19 | Solera Networks, Inc. | Method and apparatus for storing and indexing high-speed network traffic data |
| CN104486161A (zh) * | 2014-12-22 | 2015-04-01 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
| WO2017000761A1 (zh) * | 2015-07-02 | 2017-01-05 | 中兴通讯股份有限公司 | 一种终端设备的特征信息的提取方法及装置 |
| WO2017050038A1 (zh) * | 2015-09-21 | 2017-03-30 | 深圳市中兴微电子技术有限公司 | 报文识别方法、装置和计算机存储介质 |
| WO2017206576A1 (zh) * | 2016-06-01 | 2017-12-07 | 中兴通讯股份有限公司 | 一种网关业务的处理方法及装置 |
| WO2019076025A1 (zh) * | 2017-10-16 | 2019-04-25 | Oppo广东移动通信有限公司 | 一种加密数据流的识别方法、设备、存储介质及*** |
-
2021
- 2021-11-24 CN CN202111400358.XA patent/CN114143385B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011060368A1 (en) * | 2009-11-15 | 2011-05-19 | Solera Networks, Inc. | Method and apparatus for storing and indexing high-speed network traffic data |
| CN104486161A (zh) * | 2014-12-22 | 2015-04-01 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
| CN105357082A (zh) * | 2014-12-22 | 2016-02-24 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
| WO2017000761A1 (zh) * | 2015-07-02 | 2017-01-05 | 中兴通讯股份有限公司 | 一种终端设备的特征信息的提取方法及装置 |
| WO2017050038A1 (zh) * | 2015-09-21 | 2017-03-30 | 深圳市中兴微电子技术有限公司 | 报文识别方法、装置和计算机存储介质 |
| WO2017206576A1 (zh) * | 2016-06-01 | 2017-12-07 | 中兴通讯股份有限公司 | 一种网关业务的处理方法及装置 |
| WO2019076025A1 (zh) * | 2017-10-16 | 2019-04-25 | Oppo广东移动通信有限公司 | 一种加密数据流的识别方法、设备、存储介质及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114143385A (zh) | 2022-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11855967B2 (en) | Method for identifying application information in network traffic, and apparatus | |
| CN106815112B (zh) | 一种基于深度包检测的海量数据监控***及方法 | |
| US10084713B2 (en) | Protocol type identification method and apparatus | |
| JP2018531527A6 (ja) | ネットワークトラフィックにおけるアプリケーション情報を識別するための方法および装置 | |
| US20090238088A1 (en) | Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system | |
| RU2014124009A (ru) | Метод и система потоковой передачи данных для обработки сетевых метаданных | |
| JP2007336512A (ja) | 統計情報収集システム及び統計情報収集装置 | |
| CN114143385B (zh) | 一种网络流量数据的识别方法、装置、设备和介质 | |
| CN109525495B (zh) | 一种数据处理装置、方法和fpga板卡 | |
| CN111404770A (zh) | 网络设备、数据处理方法、装置、***及可读存储介质 | |
| EP2530873B1 (en) | Method and apparatus for streaming netflow data analysis | |
| WO2016169121A1 (zh) | 一种链路分析的方法、设备及*** | |
| CN112929376A (zh) | 一种流量数据的处理方法、装置、计算机设备和存储介质 | |
| CN112995358B (zh) | 大规模网络地址转换流量识别方法、装置及计算机设备 | |
| CN106533728B (zh) | 服务器信息收集方法和装置 | |
| EP3480696A1 (en) | Adaptive event aggregation | |
| CN111080362A (zh) | 广告监测***及方法 | |
| CN112612670B (zh) | 一种会话信息统计方法、装置、交换设备及存储介质 | |
| CN115550470A (zh) | 工控网络数据包解析方法、装置、电子设备与存储介质 | |
| CN115473850A (zh) | 一种基于ai的实时数据过滤方法、***及存储介质 | |
| WO2017193814A1 (zh) | 一种业务链生成方法及*** | |
| CN116418865A (zh) | 网络数据的控制方法、装置和存储介质及电子设备 | |
| CN114301960B (zh) | 集群非对称流量的处理方法及装置、电子设备及存储介质 | |
| CN116319468B (zh) | 网络遥测方法、装置、交换机、网络、电子设备和介质 | |
| US20240179178A1 (en) | Control method and apparatus, computing device, and computer-readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |