CN115801538A

CN115801538A - 场站服务器应用资产深度识别方法、***及设备

Info

Publication number: CN115801538A
Application number: CN202211404367.0A
Authority: CN
Inventors: 蒋亚坤; 王彬筌; 韩校; 李晓耕; 刘问宇; 赵明; 刘宇明; 石恒初; 游昊; 孔德志; 曹杨; 陶文伟; 吴金宇; 李伟琦; 蒋渊; 何馨; 林旭; 陈文�
Original assignee: Yunnan Power Grid Co Ltd
Current assignee: Yunnan Power Grid Co Ltd
Priority date: 2022-11-10
Filing date: 2022-11-10
Publication date: 2023-03-14

Abstract

本发明公开了场站服务器应用资产深度识别方法、***及设备包括，一种场站服务器应用资产深度识别技术，主要应用于服务器应用识别基线的自学***台。本方法可以采用多种途径进行应用识别并结合起来交叉验证，提升识别准确率，同时建立应用识别自学习基线，对于上级管理人员，可以通过可视化拓扑快速定位非真实业务应用进程异常发生的具***置。

Description

场站服务器应用资产深度识别方法、***及设备

技术领域

本发明涉及计算机网络技术领域技术领域，尤其涉及场站服务器应用资产深度识别方法。

背景技术

服务器应用一直以来就是业务运转的核心资产，应用识别一直也是业务监控的重点。通常来讲，无法对业务识别感知会带来管理成本的上升。然而对于无人值守的电站来说，这一问题更加凸出。因此，提供深度感知业务应用，构建可视化、自适应、促管理的场站业务应用监控基线具备不可忽视的价值。

传统的应用识别方法可以追溯到早期基于端口识别，该方法通过不同应用注册的不同端口号来识别，但随着越来越多非法应用采用隐藏或假冒端口号，端口号识别的准确率已经很难令人满意；因此，在这一基础上，DPI和DFI逐渐成为目前主流的识别方法。

然而实际上，目前还没有定论哪种识别方法能达到最佳的应用识别效果。这是因为不同的应用类型体现在会话连接或数据流上的状态各有不同，呈现出不同的流量特征，以HTTP，VPN，NAT为例：

应用1：HTTP持续时间：短平均速率：高传输字节数：中；

应用2：VPN持续时间：长平均速率：低传输字节数：高；

应用3：NAT持续时间：短平均速率：低传输字节数：低；

并且实际上即使同一类应用其特征可能也不明显，比如NAT应用的持续时间不一定都很短，因此少数应用的特征不敏感也带来了误识别的可能。

两者相比而言，DPI技术由于可以比较准确的识别出具体的应用，因此广泛的应用于各种需要准确识别应用的***；而DFI技术由于采用流量模型方式可以识别出DPI技术无法识别的流量，如P2P加密流等。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有存在的问题，提出了本发明。

因此，为了对服务器应用资产进行有效的识别监控，本发明提出了一种自学习自适应的应用识别基线方法。

为解决上述技术问题，本发明提供如下技术方案，场站服务器应用资产深度识别方法，包括：

收集服务器间传输流信息和主机进程数据；

对传输流会话进行分析识别；

对主机进行深度探测；

计算应用基线；

基于主机深度探测结果修正应用基线；

监测进程实时对应用基线检查，发现异常上报平台。

作为本发明所述的场站服务器应用资产深度识别方法的一种优选方案，其中：所述传输流信息和主机进程数据包括，通过接口采集的传输流会话信息；

所述会话信息包括，源IP，目的IP，目的端口地址，源端口地址，传输协议。

作为本发明所述的场站服务器应用资产深度识别方法的一种优选方案，其中：所述对传输流会话进行分析识别包括，流量识别模块对采集的会话信息进行聚类分析，根据特征进行快速应用识别。

作为本发明所述的场站服务器应用资产深度识别方法、***及设备的一种优选方案，其中：所述深度探测包括，通过操作***探针对主机进行深度探测。

作为本发明所述的场站服务器应用资产深度识别方法、***及设备的一种优选方案，其中：所述计算应用基线包括，通过流量分析模块识别结果，根据识别出的服务器间交互的业务应用流量信息建立应用基线。

作为本发明所述的场站服务器应用资产深度识别方法、***及设备的一种优选方案，其中：所述修正应用基线包括，将深度探测结果与流量分析模块的识别结果进行比对，基于比对结果修正应用基线模型。

作为本发明所述的场站服务器应用资产深度识别方法、***及设备的一种优选方案，其中：所述修正应用基线还包括，深度探测中发现的将非业务应用程序和服务上报管理平台。

作为本发明所述的场站服务器应用资产深度识别方法、***及设备的一种优选方案，其中：所述通过流量分析模块识别结果包括，

设定主机下属中两个服务器A、B，服务器A和服务器B之间的流量识别出应用1对应流量X1，应用2对应的流量X2，应用n对应流量Xn，最终得到服务器A和服务器B之间用流量标识的应用信息；

设定主机下属中除A、B外另外一个服务器C，服务器B和服务器C之间的流量识别出应用3对应流量X3，应用4对应的流量X4，应用n对应流量Xn，最终得到服务器B和服务器C之间用流量标识的应用信息；

最终得到以场站为单位的整个服务器应用资产的基线模型。

作为本发明所述的场站服务器应用资产深度识别***的一种优选方案，其中：包括，

信息采集模块，用于采集包括源IP、目的IP、目的端口地址、源端口地址、传输协议的信息；

流量识别模块，用于对采集的会话信息进行聚类分析，根据特征进行快速应用识别；

深度探测模块，通过操作***探针对主机进行深度探测

修正模块，用于将深度探测结果与流量分析模块的识别结果进行比对，基于比对结果修正应用基线模型。

作为本发明所述的场站服务器应用资产深度识别设备的一种优选方案，其中：一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现场站服务器应用资产深度识别方法、***步骤。

本发明的有益效果：本发明方法基于自学习自适应的应用识别基线方法，采用多种途径进行应用识别并结合起来交叉验证，提升识别准确率，该方法还建立了应用识别自学习基线，有效辅助无人值守电站进行自动监控，同时对于上级管理人员，可以通过可视化拓扑快速定位非真实业务应用进程异常发生的场站及其具体某台服务器。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：

图1为本发明一个实施例提供的场站服务器应用资产深度识别方法及***的总架构示意图；

图2为本发明一个实施例提供的场站服务器应用资产深度识别方法的流程方法示意图。

图3为本发明一个实施例提供的场站服务器应用资产深度识别方法的基线模型示意图；

图4为本发明一个实施例提供的场站服务器应用资产深度识别方法的流量预测模型示例图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。

本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。

同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

参照图1-4，为本发明的第一个实施例，该实施例提供了场站服务器应用资产深度识别方法，包括：

S1：收集服务器间传输流信息和主机进程数据；

更进一步的，服务器间传输流信息通过采集模块获取，采集模块将会话信息初筛后上传给分析模块处置。

应说明的是，主机侧通过操作***探针读取主机中的每一条网络访问和端口信息，记录进程服务的连接状况。

S2：对传输流会话进行分析识别；

更进一步的，流量分析模块对会话信息进行初步判断，查看该会话信息是否已经被标记。

应说明的是，若该会话信息已经被标记，其特征已经被学习则直接进入协议识别模块；

若该会话信息未被标记，需要对其进行特征学习。

更进一步的，所述会话的连接速率、各个链接的关联性、数据传送字节分布等流量特征被记录，再通过分类训练进行预测，预测结果与进程探测结果进行验证。

S3：对主机进行深度探测；

更进一步的，操作***探针通过监听模块周期性获取主机CPU、内存、硬盘、网卡、操作***、网络配置、安装软件、账户状态、创建时间、该账户最新登陆时间、登陆IP等信息，写入信息文件。提取应用进程信息用于与预测结果进行比对。

S4：计算应用基线。

更进一步的，计算应用基线的关键在于S2中的分类训练预测模型。这就需要将已经被标记的会话信息作为学习样本，根据这些已知业务的应用特征来作为分类标准；

更进一步的，所述训练，就是根据学习样本的变化周期性地对分类标准做出调整，相应的整个预测模型也会进行修正；随着若干学习周期完成，预测模型也会趋于稳定，获得相对准确的业务应用分类标准，从而提升预测准确性，实现应用基线的自学习。

应说明的是，为了便于观测，应用基线的对外表现采用一种可视化的拓扑结构，在服务器之间的业务互访可视化拓扑中，每条线均展示其对应流量的应用识别结果，通过色差来标记海量连接中的异常应用进程。

S5：基于主机深度探测结果修正应用基线。

应说明的是，主机深度探测后的应用识别结果与流量分析模型的识别结果进行对比，将非真实业务应用识别结果过滤后，将新增的业务应用添加到流量基线中，实现基线的自学习。

S6：监测进程实时对应用基线检查，发现异常上报平台。

应说明的是，任何连接均会开启一个网络端口，而固定的服务使用的网络端口也较为固定，因此可通过异常的网络端口来发现异常的网络访问。通过读取主机中的每一条网络访问和端口信息，通过与可信的网络端口数据进行对比，发现异常访问连接并作出告警，告警结果上报平台。

实施例2

参照图1，为本发明的一个实施例，提供了场站服务器应用资产深度识别方法，为了验证本发明的有益效果，通过实验进行科学论证。

本实施例提出的自学***台、流量识别装置和主机深度探测装置组成；

流量分析模块中包括应用特征库和标识记录表。

特征库储存电网各项业务的特征：

应用1，应用层特征Y1；应用2，应用层特征Y2；应用3，应用层特征Y3……以此类推

标识记录表则包括基础的五元组信息(源IP，目的IP，源端口，目的端口，协议类型)与标识码X；

预处理：流量分析模块会将新采集会话的五元组信息与已知的五元组信息进行比对，如果一致则对新采集的会话打上记录表中同样的标识码，根据标识码在协议处理模块进行应用识别；

若在记录表中没有发现吻合的五元组信息，则新采集的流量进入流量识别模型；

流量分析模块进一步对采集流量的应用层进行特征分析，分析出的应用层特征与特征库进行对比，查看是否与已知业务的特征一致，如果一致，则流量分析模块对其标记对应的标识码；

若在特征库中没有找到吻合的特征信息，则采集流量进入预测模型进行分类；

预测模型的学习，将能够准确识别的流量作为学习样本，对这些样本进行分类；

计算每个样本的特征，并对样本进行标记确定其对应的分类；

以此类推，对所有能学习的样本进行分类学习，所有的学习分类完成后，获得预测模型的特征预测矩阵M，预测矩阵M包括必要的类别名称，特征名称，特征值等字段信息；

所述模型的训练过程也对应了基线的自学习过程；

当所有的流量都被学习预测后，进入协议处理模块进行最后的应用识别结果处理；

主机的深度探测对模型优化具有重要作用，前面说过少数应用的特征不敏感，经过矩阵学***台上，采取一种可视化拓扑呈现应用基线的同时，利用颜色区分正常的业务应用流量互访和异常的应用进程；

针对特殊颜色标识的互访线条，可以快速查看其包含的服务器A到服务器B之间出现的异常应用结果，并支持对其设置自动化的预警。

本发明方法与传统技术对比效果如下表所示：

	本发明技术	传统技术
			识别准确率	86.2％	55.4％
异常发生定位率	79.9％	47.1％

本发明是一种场站服务器应用资产深度识别技术，主要应用于服务器应用识别基线的自学***台。

应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言Java和直译式脚本语言JavaScript等。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.场站服务器应用资产深度识别方法，其特征在于：包括，

收集服务器间传输流信息和主机进程数据；

对传输流会话进行分析识别；

对主机进行深度探测；

计算应用基线；

基于主机深度探测结果修正应用基线；

监测进程实时对应用基线检查，发现异常上报平台。

2.如权利要求1所述的场站服务器应用资产深度识别方法，其特征在于：所述传输流信息和主机进程数据包括，通过接口采集的传输流会话信息；

3.如权利要求2所述的场站服务器应用资产深度识别方法，其特征在于：所述对传输流会话进行分析识别包括，流量识别模块对采集的会话信息进行聚类分析，根据特征进行快速应用识别。

4.如权利要求3所述的场站服务器应用资产深度识别方法，其特征在于：所述深度探测包括，通过操作***探针对主机进行深度探测。

5.如权利要求4所述的场站服务器应用资产深度识别方法，其特征在于：所述计算应用基线包括，通过流量分析模块识别结果，根据识别出的服务器间交互的业务应用流量信息建立应用基线。

6.如权利要求5所述的场站服务器应用资产深度识别方法，其特征在于：所述修正应用基线包括，将深度探测结果与流量分析模块的识别结果进行比对，基于比对结果修正应用基线模型。

7.如权利要求6所述的场站服务器应用资产深度识别方法，其特征在于：所述修正应用基线还包括，深度探测中发现的将非业务应用程序和服务上报管理平台。

8.如权利要求7所述的场站服务器应用资产深度识别方法，其特征在于：所述通过流量分析模块识别结果包括，

最终得到以场站为单位的整个服务器应用资产的基线模型。

9.场站服务器应用资产深度识别***，其特征在于：包括，

信息传输模块，用于传输包括源IP、目的IP、目的端口地址、源端口地址、传输协议的信息；

深度探测模块，通过操作***探针对主机进行深度探测

10.一种计算机设备，其特征在于：包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。