本申請提供了一種網絡協議識別方法及裝置，方法包括：從網絡中抓取已知協議的數據包作為樣本數據，并從網絡抓取未知協議的數據包作為目標數據包；分別將樣本數據包和目標數據包轉換為樣本紋理指紋特征圖像和目標紋理指紋特征圖像；構建深度學習模型并利用樣本紋理指紋特征圖像訓練深度學習模型，獲得用于識別網絡協議的目標深度學習模型；基于目標深度學習模型對目標紋理指紋特征圖像進行識別，獲得目標網絡協議。本申請基于數據包轉換得到的紋理指紋特征圖像進行識別，而不再依賴于數據包有效載荷的內容，且對端口的依賴較弱，另外，本申請使得網絡協議以其紋理指紋特征圖像的方式呈現，可視化效果降低了識別難度，自動化程度較高。

技術領域

本發明涉及通信技術領域，尤其涉及一種網絡協議識別方法及裝置。

背景技術

計算機網絡通信技術的飛速發展使得互聯網應用在全球很多領域中不斷普及，網絡帶寬大幅提升，互聯網用戶數量也在不斷增加，大量新型網絡協議和應用隨之涌現并呈現出了新的特點，網絡多樣化是的網絡安全防護面臨挑戰。例如，網絡上的文件共享、Web服務、P2P下載等，在滿足人們對內容需求的同時，也帶來新的、更復雜的安全漏洞和利用這些漏洞的攻擊。在網絡空間安全領域，高效準確地識別出網絡中的應用層網絡協議，能有助于更好的感知網絡空間安全態勢，具有很強的現實意義和使用價值。

目前，主流的應用層網絡協議識別方法包括基于端口映射的識別方法和基于有效負載荷特征的識別方法。基于端口映射的識別方法的原理是：根據端口映射機制通過比較TCP(或UDP)報文中的目的(或源)端口號在IANA中注冊的端口號來確定應用協議類型。基于有效負載荷特征的識別方法的原理是：通過深包檢測技術(DPI)，對網絡數據包的有效載荷中匹配已知的應用層協議特征庫，從而判定該數據包所屬網絡流對應的應用層協議。

然而，對于基于端口映射的識別方法，隨著網絡應用的不斷增多以及對該識別方法的防范，例如將常見協議映射到其他端口、新協議與未知端口的出現，甚至協議運行過程中采用動態協商、數據報文加密等方式，給協議識別提出了更為嚴峻的挑戰，而對于基于有效負載荷特征的識別方法，由于有效載荷特征匹配的過程可能要掃描大部分或全部有效載荷，不僅需要很大計算量與系統開銷，在分析數據包有效載荷的過程中，甚至可能窺探用戶隱私，涉及法律和道德問題。由此可見，亟需一種弱端口依賴且不涉及用戶隱私的應用層網絡協議識別方法。

發明內容

有鑒于此，本發明提供了一種網絡協議識別方法及裝置，用以提供一種弱端口依賴且不涉及用戶隱私的網絡協議識別方案，其技術方案如下：

一種網絡協議識別方法，所述方法包括：

從網絡中抓取已知協議的數據包作為樣本數據，并從網絡抓取未知協議的數據包作為目標數據包；

分別將所述樣本數據包和所述目標數據包轉換為樣本紋理指紋特征圖像和目標紋理指紋特征圖像；

構建深度學習模型并利用所述樣本紋理指紋特征圖像訓練所述深度學習模型，獲得用于識別網絡協議的目標深度學習模型；

基于所述目標深度學習模型對所述目標紋理指紋特征圖像進行識別，獲得目標網絡協議。

其中，所述分別將所述樣本數據包和所述目標數據包轉換為樣本紋理指紋特征圖像和目標紋理指紋特征圖像，包括：

將所述樣本數據包中的二進制數按預設的轉換規則轉為多個數值范圍位于0到255的數，所述預設的轉換規則為將數據包中的二進制數按順序每8比特一組轉化為一個數值范圍位于0到255的數；

將所述樣本數據包轉換得到的多個數值范圍位于0到255的數轉換為MxN的圖像作為所述樣本紋理指紋特征圖像；

將所述目標數據包中的二進制數按所述預設的轉換規則轉為多個數值范圍位于0到255的數；