[发明专利]一种交互式应用协议识别方法

说明书

本发明公开了一种交互式应用协议识别方法，属于网络安全技术领域。所述方法通过建立交互式应用协议识别模型，根据网络协议通信中单方向短报文数量、单方向短报文发送连续性、单方向连续短报文发送时间间隔、报文应用层数据的自然数值分布概率等信息，达到从采用其他方法无法识别的流量中，提取出交互式应用协议流量的目的，具有不需要进行机器学习(对未知应用协议无法进行机器学习)、统计特征少、消耗资源小、识别速度快等优点。

技术领域

本发明涉及一种交互式应用协议识别方法，属于网络安全技术领域。

背景技术

顾名思义，应用协议是指实现网络应用的协议，是网络中通信主体进行数据交换的基础，其规定了作为通信主体的各个通信设备之间通信报文的格式、处理方式和交互时序，关系到网络通信的安全性、可靠性和稳定性。通常所说的TCP协议(TransmissionControl Protocol，传输控制协议)、HTTP协议(HyperText Transfer Protocol，超文本传输协议)以及FTP协议(File Transfer Protocol，文件传输协议)都属于应用协议。

而应用协议的识别则是指通过分析应用协议本身或者其应用所产生的网络流量确定具体的应用协议的过程。应用协议识别是各类应用层安全技术(包括病毒检测、入侵检测以及WAF等技术)的基础，目前应用协议识别常见的方法有三种：

一是基于端口的识别方法，该识别方法主要依赖于互联网数字分配机构(Internet Assigned Numbers Authority，IANA)提供的端口-协议对照表进行查询，以达到根据端口确定对应的应用协议的目的。例如发现某数据报文中源或目的端口为80，则认为是HTTP协议相关报文，交给HTTP协议分析引擎进行协议解码和攻击检测。但随着各种网络应用的逐步丰富，这种基于端口来识别报文所属协议类型的方法暴露出其存在的不足：管理员出于规避风险等原因，对一些常见的应用采用非RFC(Request For Comments)规定的端口(如HTTP采用88、8080等端口)，使端口和应用协议映射不对应，从而造成应用无法识别或识别错误。一些新的应用协议也并不采用固定端口(如SIP等)，而是采用在协议运行过程中动态协商的方式，即动态端口，如创建数据通道。这种情况下采用端口映射识别应用是行不通的。

第二种是采用深度报文检测或深度流检测，即将报文内容与事先建立的特征库进行特征匹配来达到识别应用协议的目的。这种方法的不足是需要很大的计算量，而且需要经常对特征库进行特征升级，并且对于加密传输的报文也无法进行检测。

第三种是基于流量模型，随着越来越多的P2P流量采用加密方式传输，如迅雷、Skype等，通过上述两种方式是无法识别的，只能通过流量特征，如连接速率、各个链接的关联性、数据传送字节分布等流量特征进行识别。

即使采用了上述各种方法，在网络中仍然存在大量无法识别的应用协议，这些应用协议通常采用端口随机化、应用内容加密等方法以规避检测系统的识别。而在这些无法识别的应用协议中，对有人参与的交互式控制应用协议的识别尤为重要，这类协议通常属于定制开发，用于某种特殊的目的，如暗网通信联络、远程主机控制、网络赌博等可能属于不法应用的范围，而目前对此类交互式应用协议识别采用的也基本是上述基于端口、报文内容的方法，在端口不固定、报文内容加密时，上述方法则显得无能为力。

因此，发展对针对交互式应用协议识别的方法，对于提升应用识别能力、发现非法网络通信有十分重要的意义。

发明内容

为了解决现有的应用协议识别方法对于交互式协议没办法识别或者识别准确率及效率较低的问题，本发明提供了一种交互式应用协议识别方法，所述方法包括：

获取待识别的网络报文数据，统计每个协议会话的会话发起方发出的报文中短报文的比率，以及其中每个协议会话的会话发起方发出的短报文中连续短报文的发送时间间隔在[10ms，20s]的概率；所述短报文指报文长度小于30字节的报文；