[发明专利]一种基于网络报文的序列号识别方法

摘要

本发明公开了一种基于网络报文的序列号识别方法，通过周期识别与序列号验证方法来解决序列号识别精确度低的问题。根据序列号周期呈单调性的原则以及多报文格式共用序列号的现象，对多个集合合并后的数据进行周期划分与判断，避免多报文格式共用序列号以及数值漂移、丢失的影响；能够高精确性地实现序列号的快速识别，并针对识别出的序列号进行验证，防止数值漂移、多序列号混合以及多报文格式共用序列号等情况对序列号识别的影响，为后续报文分类、状态机推断提供了保障。

主权项

1.一种基于网络报文的序列号识别方法，包括以下步骤：/n(1)根据由源IP地址、目的IP地址、源端口号、目的端口号和传输层协议号组成的五元组对报文样本集进行划分，确保每个报文集合{P_no}均是由同一个会话产生的，其中no表示报文集合编号；将{P_no}作为根节点为每个报文集合构造相应的树形结构，并对形成的结构树中的报文内容进行划分，设定一个字节为一个域，将报文从报文负载开始依次按字节进行划分，从而将每个报文转换成由多个域组成的报文数组；/n(2)采用改进的层次聚类方法合并报文集合，并从报文负载开始，依次按域进行序列号识别，若多个报文集合的数据长度不同，则以最短报文中包含的域为界依次进行识别；其中，所述改进的层次聚类方法包括：/n2-1)构造序列号信息库，用于存放识别出的序列号信息；/n2-2)判断中同层的报文集合个数set_num，若set_num＜2，则对单个报文集合内的序列号进行识别；否则计算用于表示每对报文集合合并后各域的序列号判断结果的相似度矩阵，其中数值a_mn,q表示报文集合m和报文集合n合并后第q域的序列号判断结果，若为非序列号，则对应取值为+∞；否则为序列号信息库中对应的编号；/n2-3)在对报文集合的各域进行序列号识别后，若存在相似矩阵，则在相似矩阵中查找所有不为+∞的取值，分别判断为多报文集合共用序列号，并将其相关信息在序列号信息库进行更新；更新相似度矩阵，将共用序列号的报文集合在矩阵对应的行/列进行合并；若不存在相似矩阵，结束序列号的初始识别过程；/n2-4)当矩阵中全为+∞或全合并成一个报文集合时，结束层次聚类；/n所述每个域的序列号识别方法是通过识别报文集合中对应域的周期，并根据单周期或多周期比例识别方法，识别出对应的序列号，最后依据迭代方法识别序列号高位；其中，/n识别报文集合中对应域的周期的方法包括：首先，根据报文个数和域取值个数筛选出可识别的域；其次，依次判断相邻两个报文对应域的差值的正负状态Δ，组成差值状态数组{Δ_j}，其中j为该报文集合中的报文序号；再次，识别出|Δ_j+1-Δ_j|≠0的报文作为切分点报文，根据切分点将报文划分成多个周期；若无切分点报文，则认为是单周期，无需划分；/n单周期比例识别方法包括：首先，在周期中判断各非零差值所占的比率(i≠0)，其中i为相邻两个报文对应域的差值，Δ_{i_num}为对应周期中差值为i的个数，d_num为该周期的报文个数；其次，判断该周期中是否存在满足下列条件：max{r_i}≥μ₁的周期差值，max{r_i}为差值比率的最大值，μ₁为单周期内差值比率阈值，若存在则判定该域为序列号域，否则判断该域为非序列号域，结束对该域的识别；/n多周期比例识别方法包括：首先，在各个周期中判断各非零差值所占的比率(i≠0)，其中Δ_{i_num}为对应周期中差值为i的个数，d_num为该周期的报文个数；其次，判断该周期中是否存在满足下列条件：max{r_i}≥μ₂的周期差值，max{r_i}为差值比率的最大值，μ₂为周期内差值比率阈值；若不存在则该周期无周期差值；再次，在所有周期差值中，判断是否存在满足下列条件：的周期差值，为周期差值比率的最大值，d_{cycle_num}为该域存在的周期差个数，d_{i_num}为该域周期差值为i的个数，η为周期间差值比率阈值，若存在则判定该域为序列号域，否则判断该域为非序列号域，结束对该域的识别；/n(3)根据报文长度的不同或已识别出的格式标志位，对经步骤(1)划分后的每个报文集合进行划分，使各报文子集格式相同；/n(4)在划分的格式相同的报文子集中，对初始识别出的序列号进行验证，并根据验证结果取消或修正误判。/n