[发明专利]应用层数据流安全检测方法和计算机可读存储介质

权利要求书

1.一种应用层数据流安全检测方法，其特征在于，包括以下步骤：

S1、遍历多个应用层数据流，对所述应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流；

S2、对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率；

S3、根据所述码串固定概率提取固定特征数据，并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库，并基于多个所述单类网络协议特征库形成网络协议特征基线库；

S4、对待识别的应用层数据流进行特征数据提取以获取待识别特征数据，基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流；所述步骤S2进一步包括以下步骤：

S21、对每个单网络协议应用层数据流，遍历其所有报文以对每一条报文进行智能拆分，从而获得多个码串；

S22、将单个码串和所述单个码串对应的同址同码数量形成单个特征数据；

S23、对每个所述特征数据按照码串位置进行统计，以获得各个码串的同址异码数量，并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率。

2.根据权利要求1所述的应用层数据流安全检测方法，其特征在于，在所述步骤S21中，采用齐夫分布曲线确定最佳拆分粒度，并基于所述最佳拆分粒度进行所述智能拆分。

3.根据权利要求1所述的应用层数据流安全检测方法，其特征在于，在所述步骤S23中，所述码串固定概率=所述同址同码数量/（所述同址同码数量+所述同址异码数量）。

4.根据权利要求1所述的应用层数据流安全检测方法，其特征在于，所述步骤S3进一步包括以下步骤：

S31、将所述码串固定概率高于筛选阈值的所述特征数据作为所述固定特征数据；

S32、将位置相邻的多个短码串的固定特征数据合并替换成长码串的固定特征数据；

S33、基于同类单网络协议应用层数据流的所述固定特征数据构建单类固定特征库；

S34、基于多个所述单类网络协议特征库形成网络协议特征基线库。

5.根据权利要求4所述的应用层数据流安全检测方法，其特征在于，在所述步骤S31中，基于Jaccard筛选系数确定所述筛选阈值。

6.根据权利要求4所述的应用层数据流安全检测方法，其特征在于，所述步骤S4进一步包括以下步骤：

S41将所述待识别的应用层数据流进行特征数据提取以获取待识别特征数据；

S42、将所述待识别特征数据与所述网络协议特征基线库中的每个单类固定特征库分别进行匹配识别，并基于匹配识别结果进行放行或者拦截所述待识别特征数据对应的所述待识别的应用层数据流。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现根据权利要求1-6中任意一项权利要求所述的应用层数据流安全检测方法。