[发明专利]提高特征库有效性的检测方法及系统

说明书

本发明公开了一种提高特征库有效性的检测方法及系统，涉及协议分析领域。该系统包括特征冲突检测模块、特征修改模块、冲突特征位置调整模块、概率性影响处理模块。该系统进行检测的方法将包括以下关键步骤：将被检测的特征与特征库中同类型的特征进行对比，若存在冲突，则判断冲突的类型进行分类处理；若特征完全相同，则修改冲突特征中的至少一个特征，重新对比；若特征之间存在相互包含，则调整特征库中存在冲突的特征的位置；若特征标记报文的位置没有交集，或特征标记报文的位置有交集、且交集部分的特征值相等但特征不存在包含关系，则根据冲突概率的大小进行对应处理。本发明能降低误识别率，提高特征库有效性和特征库的质量。

技术领域

本发明涉及协议分析领域，具体是涉及一种提高特征库有效性的检测方法及系统。

背景技术

协议分析人员对协议进行分析，通常就是对数据包进行嗅探或协议识别，其过程大致为：捕获网络上在线传输数据，保存成为数据包，然后对数据包内容进行解析。

对数据包进行分析的目的是为了能更好地了解网络中正在发生的事情。对数据包进行分析可以达到以下目标：了解网络特征，唯一的标识某个应用、查看网络上的流量较大的应用，从而了解用户的近期的动态、识别网络使用的高峰时间和使用频繁的应用，更好的对流量进行控制，达到最合理的利用带宽，识别可能的攻击或恶意活动，寻找不安全以及滥用网络资源的应用，维护网络的绿色安全。

协议分析人员工作中的大部分内容就是了解网络特征，从网络海量的应用中唯一的标识某个应用，换句话说，就是找到某个应用的特征，从而在网络流量中定位这个应用。当协议分析人员找到应用特征后，通常会验证特征的准确性，验证特征准确性的方法比较多，每个公司所采取的方法不尽相同，当验证特征没问题的时候就会存入公司的数据库，最终被放入现网中去识别，这样的话很容易存在误识别。

业界没有提到过因为不同特征之间的相互影响，包括并不仅限于其中一个特征为另一特征真子集或者某几个特征都包含有相同真子集，以及由于影响可能会产生的结果，现在没有提高特征有效性的方法。目前，协议分析人员识别出特征之后，往往会验证特征的准确性，而忽视检测特征之间的影响关系，导致协议的误识别，降低了特征库的质量。

发明内容

本发明的目的是为了克服上述背景技术的不足，提供一种提高特征有效性的检测方法及系统，能够降低误识别率，达到提高特征识别的有效性、提高特征识别质量的目的。

本发明提供一种提高特征库有效性的检测方法，包括以下步骤：

S1、将被检测的特征与特征库中同类型的每一个特征进行对比，检测是否存在特征冲突，如果存在特征冲突，则转到步骤S2；如果不存在特征冲突，则结束；

S2、记录出现冲突的特征和相应的协议，判断冲突的类型，如果冲突特征完全相同，则转到步骤S3；如果一特征标记报文的位置是另外特征标记报文的位置的真子集，且同一位置的特征值相等，即特征之间存在相互包含，则转到步骤S4；如果特征标记报文的位置没有交集，或者特征标记报文的位置有交集、且交集部分的特征值相等但特征不存在包含关系，则转到步骤S5；

S3、修改冲突特征中的至少一个特征，然后返回步骤S1；

S4、调整特征库中存在冲突的特征的位置，避免冲突，结束；

S5、设定一个临界值，临界值是指特征与被分析数据之间对比后相同的部分或者相同部分的长度所占特征长度的比例，临界值根据实际情况进行修改；统计冲突特征标记字节的数量或者计算冲突特征标记的比例，判断冲突概率的大小，如果冲突特征标记字节的数量/比例＞临界值，或者冲突特征标记字节的数量/比例＝临界值，则认为出现特征冲突的概率＞实际网络协议的数量级，转到步骤S6；如果冲突特征标记字节的数量/比例＜临界值，则认为出现特征冲突的概率＜实际网络协议的数量级，结束；