[发明专利]一种基于DNS和包长组合的应用识别方法有效
| 申请号: | 201510739124.6 | 申请日: | 2015-11-04 |
| 公开(公告)号: | CN105245551B | 公开(公告)日: | 2018-11-02 |
| 发明(设计)人: | 叶柯;张林;陈瑜 | 申请(专利权)人: | 深圳市蜂联科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 518000 广东省深圳市前海深港合作区前湾一路鲤鱼门街1号*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于DNS和包长组合的应用识别方法,包括(S10)在网络设备中创建对应网络连接的连接跟踪表;(S20)通过快速查找表对所述连接跟踪表进行特征匹配,若匹配成功则完成识别,否则继续;(S30)通过DNS检测模块判断该连接是否命中DNS应用识别库,若命中则标记该连接完成识别,否则继续;(S40)通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配,若匹配成功,则标记该连接完成识别,否则不再匹配,结束。本发明通过连接跟踪表的特征来识别相应的应用,利用DNS识别和数据包包长识别相结合的方式,还引入DPI检测,大大提高了对终端应用识别的效率,有效地降低了识别误判率,提高了应用识别的实时性序。 | ||
| 搜索关键词: | 一种 基于 dns 组合 应用 识别 方法 | ||
【主权项】:
1.一种基于DNS和包长组合的应用识别方法,其特征在于,包括如下步骤:(S10)当终端通过某应用与外网建立网络连接时,在网络设备中创建对应的连接跟踪表,用以分配每个经过该连接的数据包,形成相应的连接记录项;(S20)通过快速查找表对所述连接跟踪表进行特征匹配,若匹配成功,命中快速查找表内已有的记录,则完成识别,否则进行下一步;(S30)通过DNS检测模块判断该连接是否命中DNS应用识别库,若命中,则标记该连接完成识别,否则进行下一步;(S40)通过包长检测模块对经过该连接的构成会话序列的多个数据包进行特征匹配,判断是否命中包长应用识别库,若命中,则匹配成功,标记该连接完成识别,否则识别失败,不再匹配;所述步骤(S40)中,依次对同一会话序列中的每个所述数据包进行匹配,其具体过程如下:(S41)获取当前数据包传输的方向;(S42)将该数据包的负载长度作为对象通过包长检测模块进行匹配,筛选出命中的应用识别号,若未命中,则标记该方向检测结束,反之则记录命中的应用识别号形成命中记录表,并进入步骤(S43);(S43)将当前命中记录表与本方向上此前的命中记录表取交集,获得命中交集表,若存在本方向的上一次命中交集表,所述当前命中记录表与本方向上一次的命中交集表取交集;若当前命中记录表为本方向第一次记录,则将该命中记录表作为命中交集表;(S44)判断命中交集表是否为空,若是,则标记该方向检测结束,否则进入步骤(S45);(S45)判断该数据包是否为叶子节点,若是,则将该命中交集表作为本方向记录表并进入步骤(S46),否则跳转到步骤(S41)对下一个数据包进行匹配;(S46)再按步骤(S41)~(S45)的方法获取该会话序列中其方向与所述本方向记录表相对的反方向记录表,若获得,则进入步骤(S47),反之则未命中包长应用识别库,识别失败;(S47)对所述本方向记录表和反方向记录表取交集,若为空,则未命中包长应用识别库,识别失败,反之则命中包长应用识别库,完成识别,记录相应的应用识别号;其中,所述叶子节点是指该会话序列中每一个方向上的最后一个数据包;所述快速查找表、DNS应用识别库和包长应用识别库存储于网络设备中。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深圳市蜂联科技有限公司,未经深圳市蜂联科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510739124.6/,转载请声明来源钻瓜专利网。
