[发明专利]一种交互式应用协议识别方法

权利要求书

1.一种交互式应用协议识别方法，其特征在于，所述方法包括：

获取待识别的网络报文数据，统计每个协议会话的会话发起方发出的报文中短报文的比率，以及其中每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率；所述短报文指报文长度小于30字节的报文；

对短报文的比率在25％以上，且连续短报文的发送时间间隔在[10ms，20s]的概率为30％以上的协议会话，判断为交互式应用协议对应的协议会话。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：统计每个短报文中各字节数据在0-255各个自然数值上的分布概率，以判断是否为交互式加密应用协议对应的协议会话。

3.根据权利要求1或2所述的方法，其特征在于，所述方法在获取待识别的网络报文数据之后，统计每个协议会话的会话发起方发出的报文中短报文的比率、以及其中每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率之前，还包括：

利用深度报文检测方法和基于流量特征的检测方法进行协议识别，将识别出对应协议的网络报文数据从其中去除，得到未知协议的网络报文数据；

对未知协议的网络报文数据再进行统计其中的短报文的比率以及连续短报文的发送时间间隔在[10ms，20s]的概率以判断是否为交互式应用协议对应的协议会话。

4.根据权利要求1所述的方法，其特征在于，若协议会话时长小于2分钟，则每个协议会话的会话发起方发出的报文中短报文的比率为：会话发起方发出的报文中短报文的数量与会话发起方发出的报文的总数量的比值；

每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率为：会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的间隔的数量与会话发起方发出的短报文中连续短报文的发送时间间隔为任意时间的间隔的数量的比值。

5.根据权利要求1所述的方法，其特征在于，若协议会话时长大于等于2分钟，则每个协议会话的会话发起方发出的报文中短报文的比率为：选取协议会话中任意2分钟内会话发起方发出的报文中短报文的数量与会话发起方发出的报文的总数量的比值；

每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率为：选取协议会话中任意2分钟内，会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的间隔的数量与会话发起方发出的短报文中连续短报文的发送时间间隔为任意时间的间隔的数量的比值。

6.根据权利要求2所述的方法，其特征在于，所述统计每个短报文中各字节数据在0-255各个自然数值上的分布概率，以判断是否为交互式加密应用协议对应的协议会话，包括：

若每个短报文中各字节数据在0-255各个自然数值上分布均匀，则判断为交互式加密应用协议对应的协议会话；反之，则不是交互式加密应用协议对应的协议会话。