[发明专利]一种基于特征片段自发现的可疑隧道检测方法与系统有效
| 申请号: | 201410811870.7 | 申请日: | 2014-12-22 |
| 公开(公告)号: | CN105791039B | 公开(公告)日: | 2019-02-26 |
| 发明(设计)人: | 侯伟;周涛;赵忠华 | 申请(专利权)人: | 北京启明星辰信息安全技术有限公司;国家计算机网络与信息安全管理中心;北京启明星辰信息技术股份有限公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L12/24;H04L12/46 |
| 代理公司: | 北京安信方达知识产权代理有限公司 11262 | 代理人: | 王康;栗若木 |
| 地址: | 100193 北京市海淀区东北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于特征片段自发现的可疑隧道检测方法和系统,包括基于特征片段锁定算法锁定特征片段集合并找出最邻近片段集合;在可疑隧道检测过程中,实时提取元数据片段,基于片段间最小距离搜索算法分别计算元数据片段与特征片段集合和最邻近片段之间的最小距离,计算可疑元数据片段的判定参数,当判定参数的结果小于零时,判定元数据片段为可疑片段并报警;当大于或等于零时,为非可疑片段。通过本发明的方案,能够同时具备误用检测技术的自解释能力和异常检测技术的发现未知可疑隧道的优点,避免了网络安全专家的大量精力投入,回避了统计特征被平均化的问题。 | ||
| 搜索关键词: | 一种 基于 特征 片段 发现 可疑 隧道 检测 方法 系统 | ||
【主权项】:
1.一种基于特征片段自发现的可疑隧道检测方法,其特征在于,所述方法包括:S1、构建特定的可疑隧道,基于所述可疑隧道建立对应于可疑隧道流量的多个可疑隧道样本;S2、建立对应于正常的宿主协议流量的正常隧道样本;S3、基于特征片段锁定算法从所述多个可疑隧道样本中锁定所述可疑隧道的特征片段集合;并找出所述正常隧道样本中与所述特征片段集合对应的最近邻片段集合;S4、从实时通信流量中提取元数据片段;S5、基于片段间最小距离搜索算法分别计算所述元数据片段与所述特征片段集合之间的最小距离,以及所述元数据片段和所述最近邻片段集合之间的最小距离,基于所述最小距离和可疑隧道检测算法,计算可疑元数据片段的判定参数,当所述判定参数的结果小于零时,判定所述元数据片段为可疑片段并报警;当所述判定参数的结果大于或等于零时,判定所述元数据片段为非可疑片段;其中所述可疑隧道检测算法包括:基于以下等式完成所述判定参数的计算:![]()
其中,![]()
与,![]()
分别表示所述特征片段与所述最近邻片段;TDk表示该片段属于第k个隧道样本,![]()
表示该片段起始于该隧道样本的第pk行;NDl表示该片段属于第l个隧道样本,![]()
表示该片段起始于该隧道样本的第ql行;wg为待判定的所述元数据片段,sig(x)为取符号算子,当x≥0时sig(x)=1,否则sig(x)=‑1;![]()
为所述判定参数;![]()
为基于所述片段间最小距离搜索算法,计算出的所述元数据片段与所述特征片段集合之间的距离中的最小值;![]()
为基于所述片段间最小距离搜索算法,计算出的所述元数据片段与所述最近邻片段之间的距离中最小值的二分之一。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京启明星辰信息安全技术有限公司;国家计算机网络与信息安全管理中心;北京启明星辰信息技术股份有限公司,未经北京启明星辰信息安全技术有限公司;国家计算机网络与信息安全管理中心;北京启明星辰信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410811870.7/,转载请声明来源钻瓜专利网。
