本發(fā)明提供一種基于應(yīng)用程序流量分布式分析的主機(jī)實(shí)時(shí)識(shí)別方法。本發(fā)明的方法包括：S1，分布式流量報(bào)文分析與處理；S2，設(shè)備指紋的生成；S3，主機(jī)的實(shí)時(shí)識(shí)別。本發(fā)明利用分布式計(jì)算平臺(tái)，針對(duì)高速網(wǎng)絡(luò)環(huán)境通過對(duì)主機(jī)流量的分析，識(shí)別并提取主機(jī)操作系統(tǒng)和軟件信息，生成設(shè)備指紋，最終借助機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)對(duì)主機(jī)的實(shí)時(shí)識(shí)別。

技術(shù)領(lǐng)域：

本發(fā)明涉及一種基于應(yīng)用程序流量分布式分析的主機(jī)實(shí)時(shí)識(shí)別方法，屬于主機(jī)識(shí)別技術(shù)領(lǐng)域。

背景技術(shù)：

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)迅速地融入到人們生活的方方面面。然而，互聯(lián)網(wǎng)在便捷人們生活的同時(shí)，也成為了網(wǎng)絡(luò)犯罪的溫床，各類網(wǎng)絡(luò)犯罪事件頻繁發(fā)生。網(wǎng)絡(luò)監(jiān)管作為維護(hù)網(wǎng)絡(luò)安全的一道防線，承擔(dān)了對(duì)各類網(wǎng)絡(luò)犯罪事件監(jiān)控和管制的任務(wù)，并通過對(duì)網(wǎng)絡(luò)犯罪主體的懲處維護(hù)網(wǎng)絡(luò)的安全。主機(jī)識(shí)別作為網(wǎng)絡(luò)監(jiān)管的一個(gè)關(guān)鍵環(huán)節(jié)，在其中發(fā)揮著至關(guān)重要的作用。本專利將主機(jī)在一段時(shí)間內(nèi)的持續(xù)網(wǎng)絡(luò)訪問定義為主機(jī)的一次網(wǎng)絡(luò)會(huì)話，主機(jī)IP地址的變化或者網(wǎng)絡(luò)訪問的中斷標(biāo)志著會(huì)話結(jié)束，主機(jī)識(shí)別的目標(biāo)是通過抽取會(huì)話期內(nèi)的流量特征數(shù)據(jù)，實(shí)現(xiàn)對(duì)不同會(huì)話的關(guān)聯(lián)識(shí)別。

由于主機(jī)接入互聯(lián)網(wǎng)的前提條件是擁有IP地址和MAC地址，依據(jù)網(wǎng)絡(luò)流量報(bào)文中的IP地址或MAC地址識(shí)別主機(jī)是最為直觀的方法，然而這類地址并非固定不變，既可以動(dòng)態(tài)申請(qǐng)，也可以人為設(shè)定。因此，基于這種強(qiáng)標(biāo)識(shí)進(jìn)行主機(jī)識(shí)別的方法難以在實(shí)際應(yīng)用中取得較好的效果。為了應(yīng)對(duì)此類問題，基于網(wǎng)絡(luò)流量分析的主機(jī)識(shí)別技術(shù)成為一個(gè)重要的研究方向。

基于網(wǎng)絡(luò)流量分析的主機(jī)識(shí)別技術(shù)主要是指通過對(duì)設(shè)備信息以及主機(jī)運(yùn)行環(huán)境信息的收集，實(shí)現(xiàn)對(duì)主機(jī)的識(shí)別。其中，收集的有效信息包含設(shè)備的硬件信息、操作系統(tǒng)信息、軟件信息，以及應(yīng)用協(xié)議的參數(shù)信息等。現(xiàn)有的基于網(wǎng)絡(luò)流量的主機(jī)識(shí)別技術(shù)分別在物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層進(jìn)行研究，主要可以分為以下兩類：基于物理信號(hào)的特征識(shí)別技術(shù)和基于協(xié)議棧的特征識(shí)別技術(shù)。前者利用設(shè)備的細(xì)微差異區(qū)分不同的主機(jī)，而后者則是借助協(xié)議棧的相關(guān)參數(shù)識(shí)別主機(jī)的操作系統(tǒng)，并進(jìn)而用于對(duì)主機(jī)的識(shí)別。但是，基于物理信號(hào)的主機(jī)識(shí)別技術(shù)能力較弱，無(wú)法在大規(guī)模網(wǎng)絡(luò)中取得較好的識(shí)別率，而基于協(xié)議棧參數(shù)的主機(jī)識(shí)別技術(shù)的識(shí)別粒度不足，不能直接實(shí)現(xiàn)對(duì)主機(jī)的識(shí)別。同時(shí)，面對(duì)高速網(wǎng)絡(luò)環(huán)境，傳統(tǒng)的集中式程序無(wú)法提供實(shí)時(shí)的計(jì)算能力，也不能保障系統(tǒng)的可靠性。

發(fā)明內(nèi)容

本發(fā)明的目的是針對(duì)現(xiàn)有技術(shù)中存在的問題，提出一種基于應(yīng)用程序流量分布式分析的主機(jī)實(shí)時(shí)識(shí)別方法，利用分布式計(jì)算平臺(tái)，針對(duì)高速網(wǎng)絡(luò)環(huán)境通過對(duì)主機(jī)流量的分析，識(shí)別并提取主機(jī)操作系統(tǒng)和軟件信息，生成設(shè)備指紋，最終借助機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)對(duì)主機(jī)的實(shí)時(shí)識(shí)別。

上述的目的通過以下技術(shù)方案實(shí)現(xiàn)：

一種基于應(yīng)用程序流量分布式分析的主機(jī)實(shí)時(shí)識(shí)別方法，該方法包括以下步驟：

S1，分布式流量報(bào)文分析與處理；

S2，設(shè)備指紋的生成；

S3，主機(jī)的實(shí)時(shí)識(shí)別。

進(jìn)一步地，步驟S1的具體過程包括：

S101，從數(shù)據(jù)源中讀取流量報(bào)文，并以元組的形式源源不斷地傳遞至分布式報(bào)文分析與處理框架內(nèi)部；

S102，對(duì)流量報(bào)文頭部進(jìn)行解析，記錄報(bào)文的時(shí)間戳、MAC地址、IP地址、傳輸層協(xié)議類型、端口號(hào)、有效載荷長(zhǎng)度及其偏移值，并過濾無(wú)關(guān)協(xié)議的報(bào)文；

S103，對(duì)流量報(bào)文進(jìn)行深度包檢測(cè)，并識(shí)別其應(yīng)用協(xié)議類型；

S104，對(duì)流量報(bào)文進(jìn)行應(yīng)用程序識(shí)別。

其中，所述步驟S103，對(duì)流量報(bào)文進(jìn)行深度包檢測(cè)，深度包檢測(cè)包含規(guī)則匹配引擎和協(xié)議識(shí)別規(guī)則兩部分。