一种新型VPN识别通用技术及装置的制作方法

一种新型vpn识别通用技术及装置
技术领域
1.本发明涉及网络审计技术领域，具体为一种新型vpn识别通用技术及装置。


背景技术：

2.由于vpn流量具有私密性和加密性而使得vpn技术被越来越多的企业和个人使用，各种vpn技术和软件如雨后春笋般涌现，然而随着加密强度的不断提高，对vpn协议进行审计的难度也在不断加大，因此如何对vpn协议进行识别也变得愈发困难，传统的vpn协议识别方法包括根据特定端口号和vpn的协议特征进行识别等。
3.现有的vpn协议识别技术通常是根据特定端口号和vpn的协议特征进行识别等，然而伴随着vpn技术的发展，vpn软件的自适应能力越来越强，一款强大的vpn软件进行通信传输时已不再仅仅局限于某一个特定端口，也不再局限的基于某一种特定的网络传输协议，这使得通过端口对vpn流量进行识别变得不再可行。与此同时，vpn软件数量急剧增加，而每种vpn软件的协议特征互不相同并且极难挖掘，这使得通过vpn流量的协议特征进行识别变得非常困难。
4.基于此，本发明设计了一种新型vpn识别通用技术及装置，以解决上述问题。


技术实现要素：

5.本发明的目的在于提供一种新型vpn识别通用技术及装置，以解决上述背景技术中提出的问题。
6.为实现上述目的，本发明提供如下技术方案：一种新型vpn识别通用技术，该技术的具体步骤如下：
7.步骤一、基于dpi技术对用户流量进行识别归类；
8.步骤二、将步骤一中识别为基础流量的流量分别进行行为分析，并对上行包数、下行包数、平均流速、建流总数特征进行统计；
9.步骤三、判别步骤二中所有特征是否均满足某一个大类的vpn的行为特征，满足则将该流量识别为该类vpn。
10.作为本发明的进一步方案，步骤二中的基础流量具体为ssh、https或ipsec中的一种。
11.一种新型vpn识别通用技术，包括
12.采集模块，采集模块用于获取用户及用户所有的业务流数据，并创建一系列存储单元用于存储用户信息；
13.dpi识别模块，dpi识别模块接收采集模块输送来的流量，并且识别用户实际业务流，并给每条数据流打上业务识别结果标记；
14.统计模块，统计模块用于对dpi识别模块识别为特定的基础协议的基础流量进行统计，业务数据流到达统计模块后会进行时间阈值t_n(n代表基于某一种基础流量的vpn类型，比如基于dns协议的vpn)内的上行报文数量统计up_n、下行报文数量统计dp_n、平均流
速s_n计算；
15.分析模块，分析模块用于对不同类型的基础流量的统计数据进行流量行为模型分析和匹配，从而确定流量归属。
16.作为本发明的进一步方案，采集模块的处理方法具体为：
17.s1-1：首先获取用户对应的数据包报文，并根据用户ip地址创建用户表，同时在用户表下存储该用户的业务流数量uf_n；
18.s1-2：同时，采集模块将用户的每条数据流，根据用户ip，网络ip，用户port，网络port，协议号的五个维度信息创建数据流表；
19.s1-3：当s1-2中新建的数据流表为目标流表(该流被识别为基础流量而非具体的应用流量)时，存储上行包数、下行包数、平均流速(到达时间阈值后对流速进行更新)。
20.作为本发明的进一步方案，dpi识别模块的处理方法具体为：
21.s2-1：加载识别特征库，特征库中包含ssh、ipsenc、dns、https等基础协议和其他尽可能多的应用协议的识别特征；
22.s2-2：分类识别由采集模块输送来的业务数据流；
23.s2-3:s2-2中的业务数据流被识别为具体的应用协议则不再送入统计模块，如果识别为特定的基础协议则将该数据流继续送入统计模块。
24.作为本发明的进一步方案，统计模块中平均流速s_n计算方法为(单位时间内上行流量uv_n+单位时间内下行流量dv_n)/单位时间t_n。
25.作为本发明的进一步方案，分析模块判断业务流量归属为某一种vpn的方法为：
26.s3-1：判断时间阈值t_n范围内用户总的业务流数不超过该类vpn最大建流数量lf_n，即uf_n《＝lf_n；
27.s3-2：判断时间阈值t_n范围内用户的上行报文数量不少于该类vpn应有的最小上行报文数量lup_n，即up_n》＝lup_n；
28.s3-3：判断时间阈值t_n范围内用户的下行报文数量不少于该类vpn应有的最小下行报文数量ldp_n，即dp_n》＝ldp_n；
29.s3-4：判断时间阈值t_n范围内用户的流速不低于该类vpn应有的最小报文传输速率ls_n，即(uv_n+dv_n)/t_n》＝dv_n；
30.s3-5：连续m个时间阈值均满足s3-1、s3-2、s3-3以及s3-4中的判断条件；分析输出统计模块的结果可将每个用户的网络质量打上属性标记，由此可得到每个用户的真实网络质量。
31.与现有技术相比，本发明的有益效果是：
32.1、本发明对用户应用层流量行为特征进行统计分析，并结合dpi技术(深度报文检测技术)对流量进行归类分析，从而确定用户是否使用了vpn软件，通过深度报文检测技术对识别到基础流量的业务流量进行行为特征分析，进而确定该流量是否为vpn流量，这种识别方法能够有效解决传统的依靠协议特征去识别具体的vpn应用而产生的费时费力并且一次只能识别特定的一种vpn的问题，也解决了传统方法中依靠特定端口只能识别部分vpn流量的问题，通过使用本发明可以自适应的识别出新出现的vpn应用，从而及时实现对用户vpn流量的监管和审计；
33.2、本发明不再局限于某一个特定的端口和某一种特定的协议特征，而是从用户的
流量的行为特征出发，对通过dpi(报文深度识别)技术识别为基础流量(如ssh、https、ipsec等)的流量进行上行包数、下行包数、平均流速、建流总数的统计，最后对统计数据进行汇总分析从而得知用户是否是否使用了vpn。
附图说明
34.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1为本发明中一种新型vpn识别通用技术的步骤流程图；
36.图2为本发明中一种新型vpn识别通用装置的数据流模块处理流程图；
37.图3为本发明中应用于新型vpn识别通用装置内的分析模块处理流程图。
具体实施方式
38.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
39.请参阅图1-3，本发明提供一种技术方案：一种新型vpn识别通用技术，该技术的具体步骤如下：
40.步骤一、基于dpi技术对用户流量进行识别归类；
41.步骤二、将步骤一中识别为基础流量的流量分别进行行为分析，并对上行包数、下行包数、平均流速、建流总数特征进行统计；
42.步骤三、判别步骤二中所有特征是否均满足某一个大类的vpn的行为特征，满足则将该流量识别为该类vpn；
43.vpn识别通用技术主要基于dpi技术对用户流量进行识别归类，然后将识别为基础流量的流量分别进行行为分析，对上行包数、下行包数、平均流速、建流总数特征进行统计，如果所有特征均满足某一个大类的vpn的行为特征则将该流量识别为该类vpn，通过对用户应用层流量行为特征进行统计分析，并结合dpi技术(深度报文检测技术)对流量进行归类分析，从而确定用户是否使用了vpn软件；并且不再局限于某一个特定的端口和某一种特定的协议特征，而是从用户的流量的行为特征出发，对通过dpi(报文深度识别)技术识别为基础流量(如ssh、https、ipsec等)的流量进行上行包数、下行包数、平均流速、建流总数的统计，最后对统计数据进行汇总分析从而得知用户是否是否使用了vpn。
44.作为本发明的进一步方案，步骤二中的基础流量具体为ssh、https或ipsec中的一种。
45.如图1所示，一种新型vpn识别通用装置，包括采集模块、dpi识别模块、统计模块和分析模块；
46.采集模块用于获取用户及用户所有的业务流数据，并创建一系列存储单元用于存储用户信息。
47.采集模块首先获取用户对应的数据包报文，并根据用户ip地址创建用户表，同时在用户表下存储该用户的业务流数量uf_n；
48.同时，采集模块将用户的每条数据流，根据用户ip，网络ip，用户port，网络port，协议号的五个维度信息创建数据流表，当新建的流表为目标流表(该流被识别为基础流量而非具体的应用流量)时需要存储上行包数、下行包数、平均流速(到达时间阈值后对流速进行更新)。
49.采集模块获取用户的业务流数据后，将流量送至dpi识别模块，dpi识别模块用于识别用户实际业务流，并给每条数据流打上业务识别结果标记。
50.识别开始前，识别模块需要加载识别特征库，特征库中包含ssh、ipsenc、dns、https等基础协议和其他尽可能多的应用协议的识别特征，业务数据流送到dpi之后进行分类识别，如果业务数据流被识别为具体的应用协议则不再送入统计模块，如果识别为特定的基础协议则将该数据流继续送入统计模块。
51.统计模块用于对不同的基础流量进行统计。
52.业务数据流到达统计模块后会进行时间阈值t_n(n代表基于某一种基础流量的vpn类型，比如基于dns协议的vpn)内的上行报文数量统计up_n、下行报文数量统计dp_n、平均流速s_n计算。其中平均流速s_n计算方法为(单位时间内上行流量uv_n+单位时间内下行流量dv_n)/单位时间t_n。
53.分析模块用于对不同类型的基础流量的统计数据进行流量行为模型分析和匹配，从而确定流量归属。
54.业务流进入分析模块后，也需要通过使用分析引擎对预设的特征库的特征进行识别(分析引擎可集成在dpi引擎里面，特征库存储的是vpn通用行为特征指纹)，通过特征库进行分析匹配的好处是可以通过动态在线升级特征库对vpn行为特征进行更新，可以避免产生将vpn行为特征写入代码中导致的vpn特征更新必须重启服务的问题。分析模块将业务流量归属为某一种vpn需要满足以下条件：
55.时间阈值t_n范围内用户总的业务流数不超过该类vpn最大建流数量lf_n，即uf_n《＝lf_n；
56.时间阈值t_n范围内用户的上行报文数量不少于该类vpn应有的最小上行报文数量lup_n，即up_n》＝lup_n；
57.时间阈值t_n范围内用户的下行报文数量不少于该类vpn应有的最小下行报文数量ldp_n，即dp_n》＝ldp_n；
58.时间阈值t_n范围内用户的流速不低于该类vpn应有的最小报文传输速率ls_n，即(uv_n+dv_n)/t_n》＝dv_n；
59.连续m个时间阈值均满足以上4个判断条件；
60.分析输出模块的结果可将每个用户的网络质量打上属性标记，由此可得到每个用户的真实网络质量。
61.上述装置切实解决了现有的vpn协议识别技术通常是根据特定端口号和vpn的协议特征进行识别等，然而伴随着vpn技术的发展，vpn软件的自适应能力越来越强，一款强大的vpn软件进行通信传输时已不再仅仅局限于某一个特定端口，也不再局限的基于某一种特定的网络传输协议，这使得通过端口对vpn流量进行识别变得不再可行，与此同时，vpn软
件数量急剧增加，而每种vpn软件的协议特征互不相同并且极难挖掘，这使得通过vpn流量的协议特征进行识别变得非常困难的问题。
62.在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
63.以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。