澳门人威尼斯3966协议指纹自动提取方法及系统与制作流程

  澳门人威尼斯新闻资讯     |      2024-04-03 13:07

  澳门人威尼斯3966协议指纹自动提取方法及系统与制作流程对于一个节点,将所有会话的首个报文内容相互比对,获得所有首个报文内容中重复性高的 字段,作为该节点的流量数据包的协议指纹;直到获得所有节点的流量数据包的协议指纹。

  本,很可能指纹特征需要修改维护,重新提取,这样工作量就很大,比如QQ软件分多个平 台的版本澳门人威尼斯官网,PC平台、安卓平台、ios平台,包括聊天、语音、视频、文件等协议,并且每隔

  下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚澳门人威尼斯、完整地描述, 显然,所描述的实施例仅是本技术一部分实施例,而不 是全部。基于本技术中的实施例, 本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术 保护的范围。

  防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及的 信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。

  文内容中重复性高的字段,作为该节点的流量数据包的协议指纹澳门人威尼斯3966,直至获得所有节点的流量 数据包的协议指纹。

  选择要分析的协议进程,如QQ旋风的进程为QQDownload.exe,这样分析的时候就会读取该

  本技术提供了一种协议指纹自动提取方法及系统,所述方法包括以下步骤:调用进程抓包工 具对指定的电脑网卡进行抓包,输出各进程流量的数据包;获得待分析的进程的流量数据 包;将待分析的流量数据包按三元组确定的节点自动归类,每一个节点按五元组分成多个会 话;对于一个节点,将所有会话的首个报文内容相互比对,获得所有首个报文内容中重复性 高的字段,作为该节点的流量数据包的协议指纹;直到获得所有节点的流量数据包的协议指 纹。本技术与人工提取协议指纹的方法相比,自动提取协议指纹更加精准、快速高效、省时 省力。

  5.如权利要求4所述的系统,其特征在于,所述数据包划分模块,进一步用于确定所述三元 组为:IP端口协议类型;确定所述五元组为:源IP源端口目的IP目的端口协议类型。

  文中固定字节重复性最高的内容作为第一字段,再查找所有首个报文中除固定字节外的其他 字节重复性最高的内容作为第二字段,将所述第一字段和所述第二字段综合,作为该节点的 流量数据包的协议指纹。

  复性最高的内容作为第一字段,看是否固定位置存在指纹,如固定字节04-07字节存在十六 进制值表示的\x03\x07\x09\x08字段指纹,然后再对比非固定字节澳门人威尼斯3966澳门人威尼斯,即除固定字节外的其他字

  1、先比较固定位置特征,发现0-3字节位置出现(220); 2、再比较非固定位置特征澳门人威尼斯,发现出现FTP关键字(FTP); 3、结合1与2,FTP控制连接特征为(220.*FTP)。 对于类似Http格式的协议澳门人威尼斯官网,采用将Http报文按行分割澳门人威尼斯3966,相同的Key之间进行比对,Key有 Host、Cookie、User-Agent等,如Host的行与Host的行 对比,Cookie与Cookie的行进行对

  数据包划分模块,用于将待分析的流量数据包按三元组确定的节点自动 归类,每一个节点 按五元组分成多个会话;

  因此,如何自动高效地提取协议指纹,降低工作人员的工作强度,提高工作效率澳门人威尼斯,成为技术 人员需要考虑的问题。

  本技术所要解决的技术问题是提供一种协议指纹自动提取方法及系统,提高协议指纹提取的 自动化水平,降低工作人员的工作强度,提高工作效率。

  优选的,所述指纹获取模块,进一步用于查找所有首个报文中固定字节重复性最高的内容作 为第一字段,再查找所有首个报文中除固定字节外的其他字节重复性最高的内容作为第二字 段,将所述第一字段和所述第二字段综合,作为该节点的流量数据包的协议指纹。

  本技术的协议指纹自动提取方法及系统,根据三元组(IP端口协议类型)确定一个节点,五 元组(源IP源端口目的IP目的端口协议类型)确定一条会话,将待分析的流量数据包按三

  优选的澳门人威尼斯官网,所述三元组为:IP端口协议类型;所述五元组为:源IP源端口目的IP目的端 口协议类型。

  查找所有首个报文中固定字节重复性最高的内容作为第一字段,再查找所有首个报文中除固 定字节外的其他字节重复性最高的内容作为第二字段,将所述第一字段和所述第二字段综 合,作为该节点的流量数据包的协议指纹。

  元组确定的节点自动归类,每一个节点按五元组分成多个会话澳门人威尼斯,对于一个节点,将所有会话 的首个报文内容相互比对,获得所有首个报文内容中重复性高的字段,作为该节点的流量数

  据包的协议指纹;直到获得所有节点的流量数据包的协议指纹。本技术与人工提取协议指纹 的方法相比,自动提取协议指纹更加精准、快速高效、省时省力。

  步骤103,根据三元组(IP端口协议类型)确定一个节点,五元组(源IP源端口目的IP目的 端口协议类型)确定一条会话,将待分析的流量数据包按三元组确定的节点自动归类,每一

  字节存在十六进制值表示的\x78\x98\x90字段指纹。最后综合得出,该类的指纹特征为04-07 字节为\x03\x07\x09\x08字段,并且含有 位置不固定的\x78\x98\x90字段。

  个节点按五元组分成多个会线,对于一个节点,将所有会话的首个报文内容相互比对,获得所有首个报文内容中

  本技术的主要思想是:根据三元组(IP端口协议类型)确定一个节点,五元组(源IP源端口 目的IP目的端口协议类型)确定一条会话澳门人威尼斯,将待分析的流量数据包按三元组确定的节点自

  动归类,每一个节点按五元组分成多个会话,对于一个节点,将所有会话的首个报文内容相 互比对,获得所有首个报文内容中重复性高的字段,作为该节点的流量数据包的协议指纹; 直到获得所有节点的流量数据包的协议指纹。

  在网络协议识别领域,出现了协议指纹识别技术,网络协议指纹澳门人威尼斯,广泛应用于计算机安全的 各个方面,例如流量识别、入侵检测系统、网络监控等。现有的协议指纹识别方法为:如要

  wireshark反复多次抓取数据包,抓包(packetcapture)就是将网络传输发送与接收的数据包进

  对于一个节点,将所有会话的首个报文内容相互比对,获得所有首个报文内容中重复性高的 字段,作为该节点的流量数据包的协议指纹;直到获得所有节点的流量数据包的协议指纹。

  指纹获取模块,用于将一个节点的所有会话的首个报文内容相互比对,获得所有首个报文内 容中重复性高的字段,作为该节点的流量数据包的协议指纹,直至获得所有节点的流量数据 包的协议指纹。

  优选的,所述数据包划分模块,进一步用于确定所述三元组为:IP端口协议类型;确定所 述五元组为:源IP源端口目的IP目的端口协议类型。

  数据包划分模块,用于将待分析的流量数据包按三元组确定的节点自动归类,每一个节点按 五元组分成多个会话;

  指纹获取模块,用于将一个节点的所有会话的首个报文内容相互比对,获得所有首个报文内 容中重复性高的字段,作为该节点的流量数据包的协议 指纹,直至获得所有节点的流量数 据包的协议指纹。

  2.如权利要求1所述的方法,其特征在于,所述三元组为:IP端口协议类型;所述五元组 为:源IP源端口目的IP目的端口协议类型。

  查找所有首个报文中固定字节重复性最高的内容作为第一字段,再查找所有首个报文中除固 定字节外的其他字节重复性最高的内容作为第二字段,将所述第一字段和所述第二字段综 合,作为该节点的流量数据包的协议指纹。

  在本技术的一个优选实施例中,所述数据包划分模块203,进一步用于确定所述三元组为: IP端口协议类型;确定所述五元组为:源IP源端口目的IP目的端口协议类型。

  定字节重复性最高的内容作为第一字段澳门人威尼斯,再查找所有首个报文中除固定字节外的其他字节重 复性最高的内容作为第二字段,将所述第一字段和所述第二字段综合,作为该节点的流量数 据包的协议指纹澳门人威尼斯

  先取出固定字节的指纹; 再取出非固定字节的指纹; 整合固定字节的指纹和非固定字节的指纹,生成最后的该节点的特征指纹;