本發明公開了網絡審計技術領域的一種新型VPN識別通用技術及裝置，該技術的具體步驟如下：步驟一、基于DPI技術對用戶流量進行識別歸類；步驟二、將步驟一中識別為基礎流量的流量分別進行行為分析，并對上行包數、下行包數、平均流速、建流總數特征進行統計；步驟三、判別步驟二中所有特征是否均滿足某一個大類的VPN的行為特征，滿足則將該流量識別為該類VPN。通過使用本發明可以自適應的識別出新出現的VPN應用，從而及時實現對用戶VPN流量的監管和審計。

技術領域

本發明涉及網絡審計技術領域，具體為一種新型VPN識別通用技術及裝置。

背景技術

由于VPN流量具有私密性和加密性而使得VPN技術被越來越多的企業和個人使用，各種VPN技術和軟件如雨后春筍般涌現，然而隨著加密強度的不斷提高，對VPN協議進行審計的難度也在不斷加大，因此如何對VPN協議進行識別也變得愈發困難，傳統的VPN協議識別方法包括根據特定端口號和VPN的協議特征進行識別等。

現有的VPN協議識別技術通常是根據特定端口號和VPN的協議特征進行識別等，然而伴隨著VPN技術的發展，VPN軟件的自適應能力越來越強，一款強大的VPN軟件進行通信傳輸時已不再僅僅局限于某一個特定端口，也不再局限的基于某一種特定的網絡傳輸協議，這使得通過端口對VPN流量進行識別變得不再可行。與此同時，VPN軟件數量急劇增加，而每種VPN軟件的協議特征互不相同并且極難挖掘，這使得通過VPN流量的協議特征進行識別變得非常困難。

基于此，本發明設計了一種新型VPN識別通用技術及裝置，以解決上述問題。

發明內容

本發明的目的在于提供一種新型VPN識別通用技術及裝置，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：一種新型VPN識別通用技術，該技術的具體步驟如下：

步驟一、基于DPI技術對用戶流量進行識別歸類；

步驟二、將步驟一中識別為基礎流量的流量分別進行行為分析，并對上行包數、下行包數、平均流速、建流總數特征進行統計；

步驟三、判別步驟二中所有特征是否均滿足某一個大類的VPN的行為特征，滿足則將該流量識別為該類VPN。

作為本發明的進一步方案，步驟二中的基礎流量具體為SSH、HTTPS或IPSEC中的一種。

一種新型VPN識別通用技術，包括

采集模塊，采集模塊用于獲取用戶及用戶所有的業務流數據，并創建一系列存儲單元用于存儲用戶信息；

DPI識別模塊，DPI識別模塊接收采集模塊輸送來的流量，并且識別用戶實際業務流，并給每條數據流打上業務識別結果標記；

統計模塊，統計模塊用于對DPI識別模塊識別為特定的基礎協議的基礎流量進行統計，業務數據流到達統計模塊后會進行時間閾值T_n(n代表基于某一種基礎流量的VPN類型，比如基于DNS協議的VPN)內的上行報文數量統計UP_n、下行報文數量統計DP_n、平均流速S_n計算；

分析模塊，分析模塊用于對不同類型的基礎流量的統計數據進行流量行為模型分析和匹配，從而確定流量歸屬。

作為本發明的進一步方案，采集模塊的處理方法具體為：

S1-1：首先獲取用戶對應的數據包報文，并根據用戶IP地址創建用戶表，同時在用戶表下存儲該用戶的業務流數量UF_n；

S1-2：同時，采集模塊將用戶的每條數據流，根據用戶IP，網絡IP，用戶PORT，網絡PORT，協議號的五個維度信息創建數據流表；