亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種快速自動識別加密網(wǎng)絡(luò)行為的方法

文檔序號:9238155閱讀:1160來源:國知局
一種快速自動識別加密網(wǎng)絡(luò)行為的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種識別加密網(wǎng)絡(luò)行為的方法,具體涉及一種快速自動識別加密網(wǎng)絡(luò) 行為的方法,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)的出現(xiàn)大大的改變了人們的通信方式,使人們的生活發(fā)生了翻天覆地的變 化,不同的用戶使用網(wǎng)絡(luò)中的各種應(yīng)用,每天都會產(chǎn)生數(shù)以億計的應(yīng)用流,而這些看似正常 的流量中可能隱藏著各種惡意攻擊行為。因此,分類識別網(wǎng)絡(luò)流量,對規(guī)范網(wǎng)絡(luò)應(yīng)用、凈化 網(wǎng)絡(luò)環(huán)境以及保護(hù)網(wǎng)絡(luò)用戶的隱私安全都具有重大意義,這也是網(wǎng)絡(luò)安全領(lǐng)域所要研宄的 熱點問題,尤其是如何快速準(zhǔn)確地識別加密的網(wǎng)絡(luò)行為更是重中之重。
[0003] 目前,常見的加密流量分類識別方法包括:基于端口號識別、基于載荷信息識別、 基于機器學(xué)習(xí)識別以及基于流的統(tǒng)計特征識別。其中,基于端口號識別原理和實現(xiàn)都比較 簡單,但容易受到加密類流量的動態(tài)端口、偽造端口等影響;基于載荷信息識別對于加密應(yīng) 用模式匹配難度大,易受版本升級的影響;基于機器學(xué)習(xí)識別和基于流的統(tǒng)計特征識別的 識別準(zhǔn)確率尚可,但計算開銷大,實現(xiàn)復(fù)雜度高,無法滿足在線實時識別的要求。

【發(fā)明內(nèi)容】

[0004] 為解決現(xiàn)有技術(shù)的不足,本發(fā)明的目的在于提供一種快速自動識別加密網(wǎng)絡(luò)行為 的方法,該識別方法能夠及時、快速、高效地實現(xiàn)對加密數(shù)據(jù)的加密流量的在線判斷,進(jìn)而 有效解決因加密協(xié)議頻繁升級而帶來的研發(fā)工作量加大的問題。
[0005] 為了實現(xiàn)上述目標(biāo),本發(fā)明采用如下的技術(shù)方案:
[0006] 一種快速自動識別加密網(wǎng)絡(luò)行為的方法,其特征在于,包括以下步驟:
[0007]Stepl:構(gòu)建具體的加密網(wǎng)絡(luò)行為模型庫;
[0008] Step2 :實時采集網(wǎng)絡(luò)交互數(shù)據(jù);
[0009] Step3 :計算實時采集網(wǎng)絡(luò)交互數(shù)據(jù)與模型庫中不同參考樣本的相關(guān)系數(shù);
[0010] step4:依據(jù)計算相關(guān)系數(shù)結(jié)合預(yù)設(shè)閾值進(jìn)行網(wǎng)絡(luò)行為自動分類識別。
[0011] 前述的快速自動識別加密網(wǎng)絡(luò)行為的方法,其特征在于,在Stepl中,構(gòu)建加密網(wǎng) 絡(luò)行為模型庫的方法為:
[0012] (1)分析大量不同版本的加密網(wǎng)絡(luò)行為數(shù)據(jù);
[0013] (2)在前一步的分析基礎(chǔ)上,提取出能夠表征該加密網(wǎng)絡(luò)行為的特征;
[0014] (3)根據(jù)相關(guān)系數(shù)原理和前一步提取出來的特征,構(gòu)建該加密網(wǎng)絡(luò)行為的模型庫 及參考樣本。
[0015] 前述的快速自動識別加密網(wǎng)絡(luò)行為的方法,其特征在于,在Step2中,實時采集網(wǎng) 絡(luò)交互數(shù)據(jù)的方法為:采用滑動窗口方式采集與參考樣本相同長度的測量數(shù)據(jù)集。
[0016] 前述的快速自動識別加密網(wǎng)絡(luò)行為的方法,其特征在于,在Step2中,根據(jù)下列公 式計算實時采集網(wǎng)絡(luò)交互數(shù)據(jù)與模型庫的相關(guān)系數(shù):
[001/
[0018] 其中,X=[Xpx2, ???,xN]表示樣本數(shù)據(jù),Y=[ypy2,…,yN]表示新采集數(shù)據(jù),相關(guān) 系數(shù)P>0表示正相關(guān),P〈0表示負(fù)相關(guān),P= 0表示無關(guān)。
[0019] 前述的快速自動識別加密網(wǎng)絡(luò)行為的方法,其特征在于,在St印3中,
[0020] (1)對于音頻和消息類,直接計算實時采集網(wǎng)絡(luò)交互數(shù)據(jù)與模型庫的相關(guān)系數(shù);
[0021] (2)對于視頻和圖片類,先對采集到的數(shù)據(jù)進(jìn)行預(yù)處理,預(yù)處理的方式是針對特定 位置使數(shù)據(jù)的值發(fā)生微小波動,從而使采集數(shù)據(jù)值與參考樣本完全一樣,然后計算預(yù)處理 后的數(shù)據(jù)與模型庫的相關(guān)系數(shù)。
[0022] 本發(fā)明的有益之處在于:本發(fā)明的識別方法能夠及時、快速、高效地實現(xiàn)對加密數(shù) 據(jù)的加密流量的在線判斷,進(jìn)而有效解決因加密協(xié)議頻繁升級而帶來的研發(fā)工作量加大的 問題。
【附圖說明】
[0023] 圖1是發(fā)消息交互過程中的流量記錄圖;
[0024] 圖2是行為識別總體流程圖;
[0025] 圖3是數(shù)據(jù)采集方式示意圖;
[0026] 圖4是Twitter行為分析的程序?qū)崿F(xiàn)流程圖。
【具體實施方式】
[0027] 針對海量的加密網(wǎng)絡(luò)行為難以識別的問題,本發(fā)明提出了一種快速自動識別加密 網(wǎng)絡(luò)行為的方法。該方法首先構(gòu)建具體的加密網(wǎng)絡(luò)行為模型庫,然后進(jìn)行實時采集網(wǎng)絡(luò)交 互數(shù)據(jù),同時計算實時采集網(wǎng)絡(luò)交互數(shù)據(jù)與模型庫的相關(guān)系數(shù),并依據(jù)計算的相關(guān)系數(shù)結(jié) 合預(yù)設(shè)閾值進(jìn)行自動分類識別。
[0028] 以下結(jié)合附圖和具體實施例對本發(fā)明作具體的介紹。
[0029] 在本實施例中,以Android版Twitter發(fā)帖為研宄對象。
[0030] Twitter發(fā)帖時涉及文字消息和上傳圖片,發(fā)文字消息時,從安全套接層(Secure SocketsLayer,SSL)的交互過程中可以獲取域名為:"api.twitter,com",在upload圖片 時的域名為"upload,twitter,com"。發(fā)消息屬于長連接,且容易和看帖的行為相混淆,為區(qū) 別看帖,采用本實施例的方案進(jìn)行實現(xiàn)。
[0031] 基本原理:
[0032] 同一類行為有相似的統(tǒng)計特征或其他外在特征,本發(fā)明依據(jù)網(wǎng)絡(luò)數(shù)據(jù)流量的統(tǒng)計 特征,通過構(gòu)建具體行為樣本庫,將實時采集的網(wǎng)絡(luò)數(shù)據(jù)向樣本庫投影,投影值是依據(jù)相關(guān) 系數(shù)進(jìn)行計算。系數(shù)值的大小反映了兩個隨機變量之間的相似程度。
[0033] 經(jīng)過對Twitter數(shù)據(jù)大量研宄分析表明,明文和密文從外在形式上保持一致,密 文包的大小反映明文內(nèi)容的多少,不同的行為動作,其特征不同,對于某一具體動作,例如 發(fā)消息,客戶端和服務(wù)器之間的交互模式相對固定,交互過程中,反映交互雙方負(fù)載流量也 保持了某種趨勢,該趨勢也不會因為小版本不同而發(fā)生變化。
[0034] 圖1是發(fā)消息交互過程中的流量記錄圖。如圖1所示,圖1 (A)和圖1 (B)是兩次 真Twitter消息,圖1(C)是一次偽消息,欲辨真?zhèn)危蛇x擇其中一次真Twitter消息數(shù)據(jù)作 為模板,將其它兩個消息與之比對,為能給出數(shù)值結(jié)果,可采用相關(guān)系數(shù)。而相關(guān)系數(shù)反映 了兩個隨機向量間的相關(guān)程度,計算公式如下:
[0035]
[0036] 其中,X=[Xpx2,…,xN]表示樣本數(shù)據(jù),Y=[ypy2,…,yN]表示新采集數(shù)據(jù),相關(guān) 系數(shù)P>0表示正相關(guān),P〈0表示負(fù)相關(guān),P= 0表示無關(guān)。P的絕對值越大表示相關(guān)程 度越高。
[0037] 按照上述公式,兩個真Twitter消息之間的相關(guān)系數(shù)為0. 8881,另外兩個消息之 間的相關(guān)系數(shù)為〇. 6058。因此,本實施例以Twitter的登陸、聊天、音頻、圖片以及視頻等 消息為樣板,通過大量的數(shù)據(jù)分析,分別建立相應(yīng)的模板,且設(shè)定閾值為〇. 8,若大于設(shè)定閾 值,判為真,否則為假。
[0038] 算法實現(xiàn):
[0039] 結(jié)合數(shù)據(jù)包大小及特點區(qū)分,將基于相關(guān)系數(shù)的行為識別分成兩類情形進(jìn)行分 析,如圖2所示,行為識別總體流程為:
[0040] Stepl:構(gòu)建具體的加密網(wǎng)絡(luò)行為模型庫
當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1