一種加密流的識(shí)別方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其設(shè)及一種加密流的識(shí)別方法及裝置。
【背景技術(shù)】
[0002] 網(wǎng)上非法活動(dòng)和翻墻穿透行為普遍采用加密通信。為了加強(qiáng)網(wǎng)絡(luò)管理，實(shí)現(xiàn)網(wǎng)絡(luò) 有序管控的目標(biāo)，需要在線識(shí)別加密流量。加密流識(shí)別面臨=個(gè)難題：1)加密流量的內(nèi)容 千差萬別，不具備統(tǒng)一的內(nèi)容特征，難W匹配；2)加密流量的報(bào)文長度、到達(dá)間隔和傳輸方 向完全由其所承載的業(yè)務(wù)決定，與非加密流量具有類似的流量特征；3)加密協(xié)議的多樣化 使得通過分析協(xié)議連接過程完成識(shí)別的可擴(kuò)展性較差。
[0003] 現(xiàn)有加密流識(shí)別技術(shù)大多從加密協(xié)議的握手特征出發(fā)，利用協(xié)議在握手及密鑰協(xié) 商階段的通信特性，結(jié)合機(jī)器學(xué)習(xí)算法進(jìn)行識(shí)別。運(yùn)些方法僅對(duì)特定加密協(xié)議的特定版本 有效，不具有普適性。

【發(fā)明內(nèi)容】

[0004] 本發(fā)明要解決的技術(shù)問題是，提供一種加密流的識(shí)別方法及裝置，W解決現(xiàn)有技 術(shù)中對(duì)各種加密流量識(shí)別的普適性問題。 陽〇化]本發(fā)明采用的技術(shù)方案是，所述加密流的識(shí)別方法，包括：
[0006] 步驟1，基于窗口躍遷在數(shù)據(jù)流中選擇待測數(shù)據(jù)報(bào)文；
[0007] 步驟2,根據(jù)待測數(shù)據(jù)報(bào)文計(jì)算評(píng)估值；
[0008] 步驟3,基于評(píng)估值判斷所述數(shù)據(jù)流是否加密。
[0009] 進(jìn)一步的，步驟1具體包括：
[0010] 設(shè)置一讀取數(shù)據(jù)報(bào)文的窗口，所述窗口的長度為相鄰的兩個(gè)待測數(shù)據(jù)報(bào)文之間間 隔的數(shù)據(jù)報(bào)文數(shù)量；
[0011] 針對(duì)接收到的數(shù)據(jù)流，選擇所述數(shù)據(jù)流的首個(gè)數(shù)據(jù)報(bào)文作為第一個(gè)待測數(shù)據(jù)報(bào) 文，然后利用所述窗口在數(shù)據(jù)流中的躍遷來依次選擇后續(xù)的待測數(shù)據(jù)報(bào)文。
[0012] 進(jìn)一步的，每次選擇待測數(shù)據(jù)報(bào)文時(shí)對(duì)應(yīng)的躍遷的窗口長度均遵循設(shè)定的函數(shù)關(guān) 系。
[0013] 進(jìn)一步的，所述設(shè)定的函數(shù)關(guān)系為等差數(shù)列時(shí)，設(shè)所述窗口的長度為山滿足如下 條件：針對(duì)第I次選擇的待測數(shù)據(jù)報(bào)文，所需躍遷的窗口的長度d=DX(1-1)，D為設(shè)定的 延遲常數(shù)，I為大于1的整數(shù)。
[0014]進(jìn)一步的，步驟2具體包括：針對(duì)每個(gè)待測數(shù)據(jù)報(bào)文執(zhí)行WARE(Wei曲ting-based AdaptiveRando皿essEstimation,基于加權(quán)累計(jì)的自適應(yīng)隨機(jī)性評(píng)估算法），包括如下處 理：
[001引Al:將待測數(shù)據(jù)報(bào)文的二進(jìn)制序列中的所有0替換為-1，生成變形序列rii; 'k
[0016]A2 :針對(duì)變形序列n1的前k項(xiàng)和爲(wèi)=藝化-1《k《n，計(jì)算變形序列n1的最大 W， 偏移值Z=max[Si,S2,…，SJ，n為待測數(shù)據(jù)報(bào)文的二進(jìn)制序列的長度，則評(píng)估值為

其中，巫（X)為標(biāo)準(zhǔn)正態(tài)分布函數(shù)，
[0017]進(jìn)一步的，步驟2還包括：
[001引A3,將步驟A2得到的評(píng)估值與歷史評(píng)估值進(jìn)行加權(quán)綜合，得到最終用于判斷所述 數(shù)據(jù)流是否加密的評(píng)估值；
[0019] 所述歷史評(píng)估值的獲取過程包括：將執(zhí)行完步驟A3時(shí)得到的評(píng)估值作為歷史評(píng) 估值進(jìn)行保存，替換前一次保存的歷史評(píng)估值。
[0020] 進(jìn)一步的，步驟3具體包括：
[0021] 判斷所述待測數(shù)據(jù)報(bào)文對(duì)應(yīng)的評(píng)估值是否大于設(shè)定的評(píng)估闊值，若是，則判定所 述數(shù)據(jù)流為加密流，否則判定所述數(shù)據(jù)流量為非加密流。
[0022] 進(jìn)一步的，步驟3具體包括：
[0023] BI,判斷所述待測數(shù)據(jù)報(bào)文對(duì)應(yīng)的評(píng)估值是否大于設(shè)定的評(píng)估闊值，若是，則判定 所述數(shù)據(jù)流為加密流，否則執(zhí)行步驟B2 ;
[0024] B2,判斷窗口躍遷的次數(shù)是否達(dá)到設(shè)定的次數(shù)闊值，若是，則判定所述數(shù)據(jù)流量為 非加密流，否則按照步驟1重新選擇一待測數(shù)據(jù)報(bào)文執(zhí)行所述方法。
[0025] 本發(fā)明還提供一種加密流的識(shí)別裝置，包括：
[0026] 選擇模塊，用于基于窗口躍遷在數(shù)據(jù)流中選擇待測數(shù)據(jù)報(bào)文；
[0027] 計(jì)算模塊，用于根據(jù)待測數(shù)據(jù)報(bào)文計(jì)算評(píng)估值；
[0028] 判斷模塊，用于基于評(píng)估值判斷所述數(shù)據(jù)流是否加密。
[0029] 采用上述技術(shù)方案，本發(fā)明至少具有下列優(yōu)點(diǎn)：
[0030] 本發(fā)明所述加密流的識(shí)別方法及裝置，能夠快速、準(zhǔn)確的識(shí)別出各種加密的數(shù)據(jù) 流，解決了現(xiàn)有技術(shù)中對(duì)各種加密流量識(shí)別的普適性問題。
【附圖說明】
[0031] 圖1為本發(fā)明第一實(shí)施例的加密流的識(shí)別方法流程圖；
[0032] 圖2為本發(fā)明第二實(shí)施例的加密流的識(shí)別裝置組成示意圖；
[0033] 圖3為本發(fā)明第=實(shí)施例的基于窗口躍遷的協(xié)議不相關(guān)加密流識(shí)別方法流程圖；
[0034]圖4為本發(fā)明第S實(shí)施例的對(duì)理想識(shí)別點(diǎn)的數(shù)據(jù)報(bào)文實(shí)施WARE算法的具體流程 圖；
[0035] 圖5為本發(fā)明第=實(shí)施例的基于窗口躍遷的協(xié)議不相關(guān)加密流識(shí)別裝置結(jié)構(gòu)示 意圖。
【具體實(shí)施方式】
[0036]為更進(jìn)一步闡述本發(fā)明為達(dá)成預(yù)定目的所采取的技術(shù)手段及功效，W下結(jié)合附 圖及較佳實(shí)施例，對(duì)本發(fā)明進(jìn)行詳細(xì)說明如后。
[0037] 本發(fā)明第一實(shí)施例，一種加密流的識(shí)別方法，如圖1所示，包括W下具體步驟：
[00測步驟S101，基于窗口躍遷在數(shù)據(jù)流中選擇待測數(shù)據(jù)報(bào)文。
[0039] 具體的，步驟SlOl包括：
[0040] 設(shè)置一讀取數(shù)據(jù)報(bào)文的窗口，所述窗口的長度為相鄰的兩個(gè)待測數(shù)據(jù)報(bào)文之間間 隔的數(shù)據(jù)報(bào)文數(shù)量；
[0041] 針對(duì)接收到的數(shù)據(jù)流，選擇所述數(shù)據(jù)流的首個(gè)數(shù)據(jù)報(bào)文作為第一個(gè)待測數(shù)據(jù)報(bào) 文，然后利用所述窗口在數(shù)據(jù)流中的躍遷來依次選擇后續(xù)的待測數(shù)據(jù)報(bào)文。
[0042] 進(jìn)一步的，每次選擇待測數(shù)據(jù)報(bào)文時(shí)對(duì)應(yīng)的躍遷的窗口長度均遵循設(shè)定的函數(shù)關(guān) 系。比如，當(dāng)該設(shè)定的函數(shù)關(guān)系為等差數(shù)列時(shí)，設(shè)所述窗口的長度為山滿足如下條件：針對(duì) 第I次選擇的待測數(shù)據(jù)報(bào)文，所需躍遷的窗口的長度d=DX(1-1)，D為設(shè)定的延遲常數(shù)， I為大于1的整數(shù)。
[0043] 步驟S102,根據(jù)待測數(shù)據(jù)報(bào)文計(jì)算評(píng)估值。
[0044] 具體的，步驟S102包括：針對(duì)每個(gè)待測數(shù)據(jù)報(bào)文執(zhí)行WARE算法，包括如下處理： W45]Al:將待測數(shù)據(jù)報(bào)文的二進(jìn)制序列中的所有0替換為-1，生成變形序列rii;
[0046] A2 :針對(duì)變形序列n1的前k項(xiàng)和，
1《k《n，計(jì)算變形序列n1的最大 偏移值Z=max[Si,Sz,…，SJ，n為待測數(shù)據(jù)報(bào)文的二進(jìn)制序列的長度，則評(píng)估值為
其中，巫（X)為標(biāo)準(zhǔn)正態(tài)分布函數(shù)，
[0047] 優(yōu)選的，為了進(jìn)一步提高對(duì)加密數(shù)據(jù)流的判斷準(zhǔn)確度，本實(shí)施例的步驟S102還包 括下述具體步驟： W48] A3,將步驟A2得到的評(píng)估值與歷史評(píng)估值進(jìn)行加權(quán)綜合，得到最終用于判斷所述 數(shù)據(jù)流是否加密的評(píng)估值；
[0049] 所述歷史評(píng)估值的獲取過程包括：將執(zhí)行完步驟A3時(shí)得到的評(píng)估值作為歷史評(píng) 估值進(jìn)行保存，替換前一次保存的歷史評(píng)估值。
[0050] 步驟S103,基于評(píng)估值判斷所述數(shù)據(jù)流是否加密。
[0051] 具體的，步驟S103具體包括：
[0052] 判斷所述待測數(shù)據(jù)報(bào)文對(duì)應(yīng)的評(píng)估值是否大于設(shè)定的評(píng)估闊值，若是，則判定所 述數(shù)據(jù)流為加密流，否則判定所述數(shù)據(jù)流量為非加密流。
[0053] 優(yōu)選的，為了進(jìn)一步提高對(duì)加密數(shù)據(jù)流的判斷的效率，步驟S103還可W按照下述 具體過程來實(shí)施：
[0054] BI,判斷所述待測數(shù)據(jù)報(bào)文對(duì)應(yīng)的評(píng)估值是否大于設(shè)定的評(píng)估闊值，若是，則判定 所述數(shù)據(jù)流為加密流，否則執(zhí)行步驟B2 ;
[0055] B2,判斷窗口躍遷的次數(shù)是否達(dá)到設(shè)定的次數(shù)闊值，若是，則判定所述數(shù)據(jù)流量為 非加密流，否則按照步驟I重新選擇一待測數(shù)據(jù)報(bào)文執(zhí)行所述方法。
[0056] 本發(fā)明第二實(shí)施例，與第一實(shí)施例對(duì)應(yīng)的提供一種加密流的識(shí)別裝置，如圖2所 示，包括W下組成部分：
[0057] 1)選擇模塊10,用于基于窗口躍遷在數(shù)據(jù)流中選擇待測數(shù)據(jù)報(bào)文；
[0058] 具體的，選擇模塊10用于：設(shè)置一讀取數(shù)據(jù)報(bào)文的窗口，所述窗口的長度為相鄰 的兩個(gè)待測數(shù)據(jù)報(bào)文之間間隔的數(shù)據(jù)報(bào)文數(shù)量；
[0059] 針對(duì)接收到的數(shù)據(jù)流，選擇所述數(shù)據(jù)流的首個(gè)數(shù)據(jù)報(bào)文作為第一個(gè)待測數(shù)據(jù)報(bào) 文，然后利用所述窗口在數(shù)據(jù)流中的躍遷來依次選擇后續(xù)的待測數(shù)據(jù)報(bào)文。
[0060] 2)計(jì)算模塊20,用于根據(jù)待測數(shù)據(jù)報(bào)文計(jì)算評(píng)估值；
[0061] 具體的，計(jì)算模塊20用于：針對(duì)每個(gè)待測數(shù)據(jù)報(bào)文執(zhí)行WARE算法，具體執(zhí)行過程 在第一實(shí)施例中已詳細(xì)描述。
[0062] 3)判斷模塊30,用于基于評(píng)估值判斷所述數(shù)據(jù)流是否加密。
[0063] 具體的，判斷模塊30用于：判斷所述待測數(shù)據(jù)報(bào)文對(duì)應(yīng)的評(píng)估值是否大于設(shè)定的 評(píng)估闊值，若是，則判定所述數(shù)據(jù)流為加密流，否則判定所述數(shù)據(jù)流量為非加密流。
[0064] 優(yōu)選的，為了進(jìn)一步提高對(duì)加密數(shù)據(jù)流的判斷的效率，判斷模塊30用于：還可W 用于：
[0065] 首選判斷所述待測數(shù)據(jù)報(bào)文對(duì)應(yīng)的評(píng)估值是否大