亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法

文檔序號(hào):7906627閱讀:1983來源:國知局
專利名稱:基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種木馬通信行為特征提取方法,特別是涉及一種基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法。背景技術(shù)
目前,現(xiàn)有的竊密型木馬檢測(cè)技術(shù)主要采用特征碼匹配技術(shù)。相較于基于特征碼匹配的檢測(cè)技術(shù),基于通信行為特征分析的檢測(cè)技術(shù)在時(shí)效性和擴(kuò)展性方面具有明顯優(yōu)勢(shì),有利于發(fā)現(xiàn)潛在的、未知的網(wǎng)絡(luò)竊密行為和威脅,具有更廣的應(yīng)用前景。 然而基于通信行為的木馬檢測(cè)算法往往存在計(jì)算復(fù)雜度較高的問題,在實(shí)時(shí)監(jiān)控應(yīng)用中, 給監(jiān)控系統(tǒng)帶來龐大的計(jì)算開銷。因此,如何設(shè)計(jì)具有高檢測(cè)性能且計(jì)算復(fù)雜度較低的檢測(cè)算法,進(jìn)而實(shí)時(shí)有效的檢測(cè)竊密型木馬的網(wǎng)絡(luò)通信行為就成為當(dāng)前一個(gè)重要的理論和技術(shù)問題?;谕ㄐ判袨榈哪抉R檢測(cè)方法很多,但大部分已有方法的檢測(cè)通用性較差,檢測(cè)能有力有限,而且計(jì)算效率不高。Borders等利用HTTP請(qǐng)求的時(shí)間間隔、請(qǐng)求包大小、包頭格式、帶寬占用、請(qǐng)求規(guī)則等特征構(gòu)造各種過濾器檢測(cè)木馬通信。然而,木馬可以通過在通信細(xì)節(jié)上的簡(jiǎn)單改變繞過文章中所構(gòu)造的各種過濾器。例如木馬只需將請(qǐng)求包的大小限制在某一閾值內(nèi)即可使請(qǐng)求包大小過濾器失去功效。此種方法只能針對(duì)HTTP協(xié)議進(jìn)行檢測(cè),通用性較差。而且此種方法還需要對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行詳細(xì)解析,效率較低。Pack等提出了一種通過使用數(shù)據(jù)流的行為輪廓對(duì)HTTP隱蔽通道進(jìn)行檢測(cè)的方法。行為輪廓基于大量的度量,如平均數(shù)據(jù)包大小、小數(shù)據(jù)包和大數(shù)據(jù)包比例、數(shù)據(jù)包模型變化、所有發(fā)送/接收數(shù)據(jù)包的總數(shù)和連接時(shí)間。如果一個(gè)數(shù)據(jù)流的觀察特性偏離正常 HTTP數(shù)據(jù)包的行為輪廓,則極有可能是HTTP隱蔽通道。方法主要針對(duì)HTTP隧道進(jìn)行檢測(cè), 通用性較差。Tumoian等利用正常協(xié)議產(chǎn)生的連續(xù)TCP ISN號(hào)來訓(xùn)練Elman網(wǎng)絡(luò),然后將實(shí)際的ISN號(hào)與神經(jīng)網(wǎng)絡(luò)所預(yù)測(cè)的ISN號(hào)比對(duì),當(dāng)實(shí)際值與預(yù)測(cè)值的差異超過預(yù)先設(shè)定的閾值時(shí)則認(rèn)為有隱蔽通道存在。作者通過這種方法實(shí)現(xiàn)了對(duì)NUSHU隱蔽通道的檢測(cè)。但該方法只能對(duì)特定木馬通信進(jìn)行檢測(cè)同樣不具備通用性。Zhang和I^axson利用數(shù)據(jù)包到達(dá)時(shí)間間隔和數(shù)據(jù)包大小描述了一種木馬通信交互模型,用于檢測(cè)木馬和后門等惡意程序。該模型對(duì)木馬通信行為進(jìn)行如下描述1、木馬通信過程中相鄰數(shù)據(jù)包到達(dá)時(shí)間間隔符合帕累托分布;2、由于木馬通信過程中存在命令交互,所以小數(shù)據(jù)包應(yīng)占一定比例。但實(shí)際木馬通信過程中可以通過不同的算法使相鄰數(shù)據(jù)包到達(dá)時(shí)間間隔滿足各種分布要求,加之?dāng)?shù)據(jù)包到達(dá)時(shí)間間隔在很大程度上會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊?,所以?shù)據(jù)包到達(dá)時(shí)間間隔用其作為行為描述存在一定弊端。且木馬通信過程中的短命令可以隱藏在較大的HTML頁面信息中,所以強(qiáng)調(diào)通信過程中的小數(shù)據(jù)包的比例并不能實(shí)現(xiàn)有效檢測(cè)。

發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是克服現(xiàn)有技術(shù)的缺陷,提供一種基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,該方法能夠針對(duì)木馬通信不同階段的行為特點(diǎn),通過分析網(wǎng)絡(luò)數(shù)據(jù)流有效提取木馬的通信行為特征,對(duì)木馬通信進(jìn)行全面的檢測(cè),具有較高的性能和計(jì)算效率。本發(fā)明的技術(shù)方案一種基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,將木馬通信過程分為三個(gè)階段建立連接階段、連接保持無操作階段和操作階段,通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)流分析,分別針這三個(gè)階段提取相應(yīng)的通信行為特征;目前主流木馬采用如下連接模式首先,木馬被控端按照控制端預(yù)設(shè)的控制域名向遠(yuǎn)程域名服務(wù)器發(fā)送DNS請(qǐng)求,進(jìn)而根據(jù)收到的DNS響應(yīng)報(bào)文解析出控制端的IP地址, 并向控制端的IP地址發(fā)起連接;建立連接階段的木馬通信與正常網(wǎng)絡(luò)通信的區(qū)別包括 DNS響應(yīng)IP異常和DNS請(qǐng)求流量異常。DNS響應(yīng)IP異常是由于部分木馬程序被控端上線策略中采用了靜默模式,所謂靜默模式,即由于控制端在不需要被控端上線時(shí),會(huì)將控制域名對(duì)應(yīng)的IP改為特殊IP ;當(dāng)被控端收到內(nèi)容為特殊IP的域名解析數(shù)據(jù)包時(shí),進(jìn)入靜默狀態(tài);采用靜默模式可增強(qiáng)木馬的隱蔽性。DNS請(qǐng)求流量異常是由于當(dāng)木馬控制端與被控端的網(wǎng)絡(luò)不連通時(shí),被控端通常會(huì)誤以為域名解析存在錯(cuò)誤,從而反復(fù)大量的發(fā)出DNS請(qǐng)求。在建立連接階段,木馬通信特征的提取含有DNS響應(yīng)IP異常特征的提取和DNS請(qǐng)求流量異常特征的提??;DNS響應(yīng)IP異常特征的提取方法為當(dāng)被控端收到的域名解析數(shù)據(jù)包含有特殊IP 時(shí),即可判斷發(fā)生了 DNS響應(yīng)IP異常,特殊I P是指國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)RFC規(guī)定的非廣域網(wǎng) IP地址;常見的特殊IP如127. 0. 0. 1,0. 0. 0. 0等。DNS請(qǐng)求流量異常特征的提取方法為首先,被控端將DNS數(shù)據(jù)包按照源IP進(jìn)行劃分,即每個(gè)源IP作為會(huì)話的唯一標(biāo)識(shí),并選用哈希表作為記錄會(huì)話的數(shù)據(jù)結(jié)構(gòu);該哈希表的規(guī)模視實(shí)際情況而定,例如對(duì)C類網(wǎng)絡(luò)采用256元的哈希表。其次,引入累加和算法 (cumulative sums,⑶SUM)的思想檢測(cè)DNS請(qǐng)求流量異常,提取任意一個(gè)源IP對(duì)應(yīng)的DNS
流量特征序列Z = PH,其中Xi表示在時(shí)間間隔t (單位秒)內(nèi)該源IP發(fā)出的DNS請(qǐng)求
數(shù)據(jù)包的個(gè)數(shù),η表示樣本量;定義DNS請(qǐng)求流量特征為其中,k為區(qū)分參數(shù),當(dāng)&彡w時(shí),即可判斷發(fā)生了 DNS請(qǐng)求流量異常,w為判斷值; 在η = 20、t = 30秒、k = 5的情況下,通常取w = 50 ;在連接保持無操作階段,首先,將捕獲的TCP協(xié)議數(shù)據(jù)按照網(wǎng)絡(luò)會(huì)話進(jìn)行整理,然后,進(jìn)行連接保持無操作階段木馬通信特征的提??;連接保持無操作階段的木馬通信與正常網(wǎng)絡(luò)通信的差別是由木馬的心跳行為造成的。因此,檢測(cè)連接保持無操作階段的木馬通信行為可以通過檢測(cè)“心跳包”來實(shí)現(xiàn)?!靶奶本哂忻黠@的統(tǒng)計(jì)特征,連接保持無操作階段木馬通信特征的提取采用傳統(tǒng)的統(tǒng)計(jì)分析方法結(jié)合差分分析方法。
Z1 = 0
Z1 = max {0, Zm + X1 - k)
在連接保持無操作階段木馬通信特征的提取中,提取如下會(huì)話統(tǒng)計(jì)特征用于檢測(cè)木馬在連接保持無操作階段的通信行為“心跳間隙”的平穩(wěn)性小于閾值;相對(duì)于連接保持無操作階段而言,交互操作階段更為復(fù)雜,提取特征更為困難,因此需要剖析整個(gè)操作會(huì)話并與正常會(huì)話進(jìn)行對(duì)比分析。通過大量的樣本分析和實(shí)驗(yàn)發(fā)現(xiàn)正常的網(wǎng)絡(luò)會(huì)話和木馬操作會(huì)話在許多統(tǒng)計(jì)特征上都存在明顯的差異。在操作階段,首先,將捕獲的TCP協(xié)議數(shù)據(jù)按照網(wǎng)絡(luò)會(huì)話進(jìn)行整理,然后,進(jìn)行操作階段木馬通信特征的提??;操作階段木馬通信特征的提取分四個(gè)方面,分別為第一針對(duì)木馬通信過程的長(zhǎng)時(shí)交互的特點(diǎn),提取以下行為特征通信時(shí)長(zhǎng)、通信小包數(shù)量,當(dāng)通信時(shí)長(zhǎng)大于92. 8秒、通信小包數(shù)量大于10個(gè)時(shí)為異常特征。木馬通信過程中,命令交互、文件資源搜索和文件傳輸需要大量的等待時(shí)間,再加上人類的思考時(shí)間,使得通信會(huì)話持續(xù)時(shí)間較長(zhǎng)。將長(zhǎng)度小于200字節(jié)的數(shù)據(jù)包稱為通信小包,否則稱為通信大包;控制端發(fā)送的數(shù)據(jù)包絕大部分為通信小包,而被控端發(fā)送的承載主機(jī)信息的數(shù)據(jù)包大部分是大于200字節(jié)的數(shù)據(jù)包。第二 針對(duì)木馬被控端在通信中扮演資源服務(wù)器的角色,提取以下行為特征被控主機(jī)上傳通信量,被控主機(jī)上傳通信量大于15700字節(jié)時(shí)為異常特征。被控端根據(jù)控制端的控制命令將被控主機(jī)的信息和文件資源不斷上傳,導(dǎo)致會(huì)話上傳數(shù)據(jù)量偏大。第三針對(duì)木馬通信過程中數(shù)據(jù)包分布特點(diǎn),提取以下行為特征會(huì)話接收小包數(shù)量與會(huì)話小包數(shù)量的比值,該特征值大于0. 5時(shí)為異常特征;通信過程中被控端接收到的絕大部分是控制命令,所以接收到的基本都是小包;而被控端發(fā)送的信息以大包為主。第四針對(duì)木馬通信時(shí)的數(shù)據(jù)流表現(xiàn)為由內(nèi)向外的上傳流的特點(diǎn),提取以下特征 被控端上傳數(shù)據(jù)量與下載數(shù)據(jù)量的比值。該特征值大于1時(shí)為異常特征,此時(shí)被控端上傳數(shù)據(jù)量大于下載數(shù)據(jù)量。通信時(shí)長(zhǎng)、通信小包數(shù)量、被控主機(jī)上傳通信量、會(huì)話接收小包數(shù)量與會(huì)話小包數(shù)量的比值、被控端上傳數(shù)據(jù)量與下載數(shù)據(jù)量的比值這些特征的定義均以被控主機(jī)為參照物,其中提到的接收和發(fā)送均是相對(duì)于被控主機(jī)而言的。將捕獲的TCP協(xié)議數(shù)據(jù)按照網(wǎng)絡(luò)會(huì)話進(jìn)行整理是指將數(shù)據(jù)包按照四元組進(jìn)行會(huì)話劃分,即每個(gè)會(huì)話通過四元組唯一標(biāo)識(shí),并選用會(huì)話鏈表作為記錄會(huì)話的數(shù)據(jù)結(jié)構(gòu);選用會(huì)話鏈表作為記錄會(huì)話的數(shù)據(jù)結(jié)構(gòu)的原因是由于網(wǎng)絡(luò)通信是一個(gè)動(dòng)態(tài)的過程,會(huì)話中的數(shù)據(jù)包隨著通信的進(jìn)行而不斷增加,用于保存會(huì)話的數(shù)據(jù)結(jié)構(gòu)也要隨之發(fā)生動(dòng)態(tài)變化。每一個(gè)會(huì)話鏈表都要用四元組進(jìn)行標(biāo)識(shí),系統(tǒng)需要根據(jù)數(shù)據(jù)包中四元組查找相應(yīng)的會(huì)話,將數(shù)據(jù)包信息添加到相應(yīng)的會(huì)話鏈表中;因此四元組的記錄形式和查找速度將直接影響系統(tǒng)效率。 四元組中的元素為源IP地址、源端口、目的IP地址和目的端口 ;四元組可以使用多維數(shù)組或多級(jí)鏈表進(jìn)行保存;多維數(shù)組具有存儲(chǔ)效率高、查找方便、存取速度快等優(yōu)點(diǎn), 但是多維數(shù)組要求預(yù)先為其分配存儲(chǔ)空間,一旦建立無法改變多維數(shù)組大小,容易造成空間浪費(fèi),而且網(wǎng)絡(luò)會(huì)話數(shù)量不固定,無法為其預(yù)先分配空間;鏈表的優(yōu)點(diǎn)是可動(dòng)態(tài)添加或刪除、不需要預(yù)先分配空間,但缺點(diǎn)是查找速度慢; 系統(tǒng)采用數(shù)組鏈表結(jié)構(gòu)來記錄四元組,數(shù)組鏈表結(jié)構(gòu)是指數(shù)組和鏈表相結(jié)合的數(shù)據(jù)結(jié)構(gòu);這樣雖然犧牲了一定的存儲(chǔ)空間,但提高了查找效率。系統(tǒng)利用數(shù)組建立哈希表,將哈希表作為鏈表的索引來提高查找效率。系統(tǒng)針對(duì)數(shù)據(jù)包四元組中各元素的不同概率分布,把分布均勻的元素分量設(shè)為數(shù)組鏈表,把分布不均勻的元素分量設(shè)為鏈表,這樣可以獲得更高的查找效率,具體以數(shù)組鏈表結(jié)構(gòu)為例分析如下設(shè)會(huì)話數(shù)量為S,若將所有的會(huì)話以單鏈表的形式進(jìn)行組建,每次系統(tǒng)接收到數(shù)據(jù)包后都要對(duì)會(huì)話鏈表進(jìn)行順序查找(順序查找的平均時(shí)間復(fù)雜度為
權(quán)利要求
1.一種基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,其特征是將木馬通信過程分為三個(gè)階段建立連接階段、連接保持無操作階段和操作階段,通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)流分析,分別針這三個(gè)階段提取相應(yīng)的通信行為特征;在建立連接階段,木馬通信特征的提取含有DNS響應(yīng)IP異常特征的提取和DNS請(qǐng)求流量異常特征的提??;DNS響應(yīng)IP異常特征的提取方法為當(dāng)被控端收到的域名解析數(shù)據(jù)包含有特殊IP時(shí), 即可判斷發(fā)生了 DNS響應(yīng)IP異常,特殊IP是指國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)RFC規(guī)定的非廣域網(wǎng)IP地址;DNS請(qǐng)求流量異常特征的提取方法為首先,被控端將DNS數(shù)據(jù)包按照源IP進(jìn)行劃分, 即每個(gè)源IP作為會(huì)話的唯一標(biāo)識(shí),并選用哈希表作為記錄會(huì)話的數(shù)據(jù)結(jié)構(gòu);其次,提取任意一個(gè)源IP對(duì)應(yīng)的DNS流量特征序列Z = {x]ni=l,其中Xi表示在時(shí)間間隔t內(nèi)該源IP發(fā)出的DNS請(qǐng)求數(shù)據(jù)包的個(gè)數(shù),η表示樣本量;定義DNS請(qǐng)求流量特征為 其中,k為區(qū)分參數(shù),當(dāng)& > w時(shí),即可判斷發(fā)生了 DNS請(qǐng)求流量異常,w為判斷值; 在連接保持無操作階段,首先,將捕獲的TCP協(xié)議數(shù)據(jù)按照網(wǎng)絡(luò)會(huì)話進(jìn)行整理,然后, 進(jìn)行連接保持無操作階段木馬通信特征的提取,提取如下會(huì)話統(tǒng)計(jì)特征用于檢測(cè)木馬在連接保持無操作階段的通信行為“心跳間隙”的平穩(wěn)性小于閾值;在操作階段,首先,將捕獲的TCP協(xié)議數(shù)據(jù)按照網(wǎng)絡(luò)會(huì)話進(jìn)行整理,然后,進(jìn)行操作階段木馬通信特征的提取;操作階段木馬通信特征的提取分四個(gè)方面,分別為第一針對(duì)木馬通信過程的長(zhǎng)時(shí)交互的特點(diǎn),提取以下行為特征通信時(shí)長(zhǎng)、通信小包數(shù)量,當(dāng)通信時(shí)長(zhǎng)大于92. 8秒、通信小包數(shù)量大于10個(gè)時(shí)為異常特征;將長(zhǎng)度小于200字節(jié)的數(shù)據(jù)包稱為通信小包;第二 針對(duì)木馬被控端在通信中扮演資源服務(wù)器的角色,提取以下行為特征被控主機(jī)上傳通信量,被控主機(jī)上傳通信量大于15700字節(jié)時(shí)為異常特征;第三針對(duì)木馬通信過程中數(shù)據(jù)包分布特點(diǎn),提取以下行為特征會(huì)話接收小包數(shù)量與會(huì)話小包數(shù)量的比值,該特征值大于0. 5時(shí)為異常特征;第四針對(duì)木馬通信時(shí)的數(shù)據(jù)流表現(xiàn)為由內(nèi)向外的上傳流的特點(diǎn),提取以下特征被控端上傳數(shù)據(jù)量與下載數(shù)據(jù)量的比值,該特征值大于1時(shí)為異常特征;通信時(shí)長(zhǎng)、通信小包數(shù)量、被控主機(jī)上傳通信量、會(huì)話接收小包數(shù)量與會(huì)話小包數(shù)量的比值、被控端上傳數(shù)據(jù)量與下載數(shù)據(jù)量的比值這些特征的定義均以被控主機(jī)為參照物。
2.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,其特征是所述將捕獲的TCP協(xié)議數(shù)據(jù)按照網(wǎng)絡(luò)會(huì)話進(jìn)行整理是指將數(shù)據(jù)包按照四元組進(jìn)行會(huì)話劃分,即每個(gè)會(huì)話通過四元組唯一標(biāo)識(shí),并選用會(huì)話鏈表作為記錄會(huì)話的數(shù)據(jù)結(jié)構(gòu);每一個(gè)會(huì)話鏈表都要用四元組進(jìn)行標(biāo)識(shí),系統(tǒng)需要根據(jù)數(shù)據(jù)包中四元組查找相應(yīng)的會(huì)話,將數(shù)據(jù)包信息添加到相應(yīng)的會(huì)話鏈表中。
3.根據(jù)權(quán)利要求2所述的基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,其特征是所述四元組中的元素為源IP地址、源端口、目的IP地址和目的端口 ;系統(tǒng)采用數(shù)組鏈表結(jié)構(gòu)來記錄四元組,數(shù)組鏈表結(jié)構(gòu)是指數(shù)組和鏈表相結(jié)合的數(shù)據(jù)結(jié)構(gòu);系統(tǒng)利用數(shù)組建立哈希表,將哈希表作為鏈表的索引來提高查找效率;系統(tǒng)針對(duì)數(shù)據(jù)包四元組中各元素的不同概率分布,把分布均勻的元素分量設(shè)為數(shù)組鏈表,把分布不均勻的元素分量設(shè)為鏈表。
4.根據(jù)權(quán)利要求3所述的基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,其特征是系統(tǒng)利用哈希表+多級(jí)鏈表的結(jié)構(gòu)記錄源IP地址分量,源端口分量、目的IP地址分量、 目的端口分量依次分別建立多級(jí)鏈表,系統(tǒng)選取源IP地址的最后1個(gè)字節(jié)進(jìn)行哈希值的計(jì)算建立哈希表。
5.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,其特征是所述“心跳間隙”的平穩(wěn)性小于閾值是指當(dāng)“心跳間隙”的平穩(wěn)性小于閾值時(shí),則判定其為木馬通信,反之則為正常網(wǎng)絡(luò)通信;記原始單向數(shù)據(jù)流數(shù)據(jù)包時(shí)間間隔采樣集合為H = {x\n}ti,其中,Xlil表示第η個(gè)采樣值,nl表示樣本量;采用差分方法可計(jì)算“心跳間隙”的平穩(wěn)性,記爐1 =丨Wl^t2為對(duì) Xl進(jìn)行差分變換后的特征向量,χ] -χ]w\a = a 2 ‘1-1 ;其中,Wlil為對(duì)原始數(shù)據(jù)作差分后的取值;此時(shí)“心跳間隙”的平穩(wěn)性小于閾值是指nlΣ噸Stability =些——< wl 1-1其中,Stability為“心跳間隙”的平穩(wěn)性,wl為閾值。
6.根據(jù)權(quán)利要求5所述的基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,其特征是所述wl = 0. 01。
7.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法,其特征是在η = 20、t = 30秒、k = 5的情況下,w = 50。
全文摘要
本發(fā)明涉及一種基于網(wǎng)絡(luò)數(shù)據(jù)流分析的木馬通信行為特征提取方法;具體為將木馬通信過程分為三個(gè)階段建立連接階段、連接保持無操作階段和操作階段;在建立連接階段,進(jìn)行DNS響應(yīng)IP異常特征和DNS請(qǐng)求流量異常特征的提??;在連接保持無操作階段,先將捕獲的TCP協(xié)議數(shù)據(jù)按照網(wǎng)絡(luò)會(huì)話進(jìn)行整理,再提取如下會(huì)話統(tǒng)計(jì)特征“心跳間隙”的平穩(wěn)性小于閾值;在操作階段,先將捕獲的TCP協(xié)議數(shù)據(jù)按照網(wǎng)絡(luò)會(huì)話進(jìn)行整理,再提取如下特征通信時(shí)長(zhǎng)、通信小包數(shù)量、被控主機(jī)上傳通信量、會(huì)話接收小包數(shù)量與會(huì)話小包數(shù)量的比值、被控端上傳數(shù)據(jù)量與下載數(shù)據(jù)量的比值;本發(fā)明能夠?qū)δ抉R通信進(jìn)行全面的檢測(cè),具有較高的性能和計(jì)算效率。
文檔編號(hào)H04L29/06GK102202064SQ20111015805
公開日2011年9月28日 申請(qǐng)日期2011年6月13日 優(yōu)先權(quán)日2011年6月13日
發(fā)明者劉勝利, 孫海濤, 孟磊, 張曉晨, 陳嘉勇 申請(qǐng)人:劉勝利