[发明专利]一种多样化识别私有加密数据的方法及系统

权利要求书

1.一种多样化识别私有加密数据的方法，其特征在于，包括一类私有加密数据识别，所述一类私有加密数据识别过程获得非一类私有加密数据；从所述非一类私有加密数据中进行二类私有加密数据识别，所述二类私有加密数据识别过程获得非二类私有加密数据；从所述非二类私有加密数据中进行三类私有加密数据识别，将识别的一类私有加密数据、二类私有加密数据和三类私有加密数据进行引擎上报；

所述三类私有加密数据的识别步骤包括：

获取非二类私有加密数据，对所述非二类私有加密数据进行数据包关联分析；

预设三类私有加密数据的第一基准特征码、第二基准特征码和第三基准特征码，通过识别源IP、源端口、目的IP和目的端口，进行会话标识；

进行第一数据包中的第一数据包特征码识别，判断所述第一数据包特征码是否与第一基准特征码匹配，a)若第一数据包特征码和第一基准特征码匹配，则记录会话中已匹配第一基准特征码，继续进行第二数据包中的第二数据包特征码识别匹配；b)若第一数据包特征码和第一基准特征码不匹配，则将所述非二类私有加密数据作为非三类私有加密数据丢弃；

进行第二数据包识别，基于四元组判断所述第二数据包和第一数据包是否属于所述会话，以及判断所述会话中是否记录已匹配第一基准特征码，c)若第二数据包和第一数据包属于一个会话，且会话记录已匹配第一基准特征码，则继续识别第二数据包特征码是否与第二基准特征码匹配；d)若第二数据包和第一数据包不属于一个会话，则将所述非二类私有加密数据作为非三类私有加密数据丢弃；e)若第二数据包和第一数据包属于一个会话，且会话未记录已匹配第一基准特征码，则将所述非二类私有加密数据作为非三类私有加密数据丢弃；

判断所述第二数据包特征码与第二基准特征码是否匹配，f)若第二数据包特征码与第二基准特征码匹配，则记录所述会话中已匹配第一基准特征码和第二基准特征码，继续进行第三数据包中的第三数据包特征码识别匹配；g)若第二数据包特征码与第二基准特征码不匹配，则将所述非二类私有加密数据作为非三类私有加密数据丢弃。

2.根据权利要求1所述的一种多样化识别私有加密数据的方法，其特征在于，所述二类私有加密数据的识别步骤包括：

获取非一类私有加密数据，对所述非一类私有加密数据进行数据流关联分析；

预设二类私有加密数据的特征码和端口，通过识别第一源IP、第一源端口、第一目的IP和第一目的端口，进行第一会话标识；

将所述第一会话进行特征码和端口匹配，判断所述第一会话是否属于二类私有加密数据；

a1)若匹配，则所述第一会话属于二类私有加密数据，进行第二会话的识别处理；b1)若不匹配，则所述第一会话不属于二类私有加密数据，将所述非一类私有加密数据作为非二类私有加密数据；

所述第二会话的识别处理过程中，通过识别第二源IP、第二源端口、第二目的IP、第二目的端口，进行第二会话标识；

将所述第二会话中的第二源IP、第二目的IP和第二目的端口，分别与所述第一会话中的第一源IP、第一目的IP、第一目的端口进行比较；

a2)若第二源IP和第一源IP，第二目的IP和第一目的IP，第二目的端口和第一目的端口的比较结果均一致，继续进行特征码和端口匹配；b2)若比较结果不一致，将所述非一类私有加密数据作为非二类私有加密数据；

将所述第二会话进行特征码和端口匹配，判断所述第二会话是否属于二类私有加密数据；

a3)若匹配，则所述第二会话属于二类私有加密数据，进行第三会话的识别处理；b3)若不匹配，则所述第二会话不属于二类私有加密数据，将所述非一类私有加密数据作为非二类私有加密数据。