CN106101060B - 一种信息检测方法及装置 - Google Patents
一种信息检测方法及装置 Download PDFInfo
- Publication number
- CN106101060B CN106101060B CN201610347664.4A CN201610347664A CN106101060B CN 106101060 B CN106101060 B CN 106101060B CN 201610347664 A CN201610347664 A CN 201610347664A CN 106101060 B CN106101060 B CN 106101060B
- Authority
- CN
- China
- Prior art keywords
- parity
- feature
- sub
- preset
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0056—Systems characterized by the type of code used
- H04L1/0061—Error detection codes
- H04L1/0063—Single parity check
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Detection And Correction Of Errors (AREA)
Abstract
本申请实施例公开了一种信息检测方法及装置,涉及互联网技术领域,其中,上述方法包括:确定待检测样本的起始检测位置;从起始检测位置开始,按照预设间隔,依次判断待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配;若全部对应匹配,判定待检测样本匹配成功;若不全部对应匹配,判定待检测样本匹配失败。应用本申请实施例提供的方案进行信息检测,减小了所需要的特征规模。
Description
技术领域
本申请涉及互联网技术领域,特别涉及一种信息检测方法及装置。
背景技术
随着计算机与网络的普及,信息技术正在改变影响着人类的生活方式。各种网络应用层出不穷,安全威胁和网络滥用也与日俱增,因此,实际应用中需要对网络流量进行检测,以使得网络监管机构能够对各种网络流量进行识别、分类、控制等操作。
现有技术中,对网络流量进行检测时,通常采用基于流量特征的DPI(Deep PacketInspection,深层数据包检测)技术进行检测。
虽然实际应用中通过上述技术能够准确进行检测,但是一旦受到攻击,例如,攻击者通过对特征进行异或操作改变特征值时,由于一个字节的取值范围为0~255,所以需要256种直接特征才能完成信息检测,因此,应用上述方式进行信息检测时,所需要的特征规模较大。
发明内容
本申请实施例公开了一种信息检测方法及装置,以减小信息检测时所需要的特征规模。
为达到上述目的,本申请实施例公开了一种信息检测方法,所述方法包括:
确定待检测样本的起始检测位置;
从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,其中,所述奇偶特征值为预设的奇数标识或者预设的偶数标识;
若全部对应匹配,判定所述待检测样本匹配成功;
若不全部对应匹配,判定所述待检测样本匹配失败。
为达到上述目的,本申请实施例公开了一种信息检测装置,所述装置包括:
位置确定模块,用于确定待检测样本的起始检测位置;
特征匹配模块,用于从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,其中,所述奇偶特征值为预设的奇数标识或者预设的偶数标识;
匹配判定模块,用于在所述特征匹配模块的匹配结果表明全部对应匹配的情况下,判定所述待检测样本匹配成功;
所述匹配判定模块,还用于在所述特征匹配模块的匹配结果表明不全部对应匹配的情况下,判定所述待检测样本匹配失败。
由以上可见,本申请实施例提供的方案中,确定待检测样本的起始检测位置后,从上述起始检测位置开始,按照预设间隔,依次判断待检测样本中预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,若全部对应匹配,则认为待检测样本匹配成功,若不全部对应匹配,则认为待检测样本匹配失败。由于本申请实施例提供的方案中是依据奇偶特性进行匹配的,而奇偶特征只涉及两种情况,所以,进行匹配时仅仅需要两种直接特征即可完成信息检测,与现有技术相比,大大减小了信息检测时所需要的特征规模。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种信息检测方法的流程示意图;
图2为本申请实施例提供的一种奇偶特征生成方法的流程示意图;
图3为本申请实施例提供的一种信息检测过程的示意图;
图4为本申请实施例提供的一种信息检测装置的结构示意图;
图5为本申请实施例提供的另一种信息检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
申请人经过对大量数据进行分析发现:数据之间进行异或操作之后具有如下特征:
奇数与奇数进行异或操作,结果为偶数;
奇数与偶数进行异或操作,结果为奇数;
偶数与偶数进行异或操作,结果为偶数。
具体如表1所示:
表1
| XOR | 奇数 | 偶数 |
| 奇数 | 偶数 | 奇数 |
| 偶数 | 奇数 | 偶数 |
需要说明的是,上述XOR是异或操作的数学运算符,它应用于逻辑运算,具有两个操作数。假设两个操作数分别为a和b,如果a和b两个操作数的取值不相同,则异或结果为1,如果a和b两个操作数的取值相同,则异或结果为0。另外,异或操作是按照比特位进行的。
由上述逻辑可知,异或操作的两个操作数确定的情况下,其异或结果的奇偶性是确定的。
下面通过一个具体实例对上述情况进行详细说明。
具体的,参见如下表2,其中,第一列中的数值代表异或操作的一个操作数,第一行中的数值代表异或操作的另一个操作数,异或操作结果详见如下表2,表2中括号内为数值的二进制表示。
表2
| 6(110) | 9(1001) | |
| 9(1001) | 15(1111) | 0(0) |
| 5(101) | 3(11) | 12(1100) |
| 2(10) | 4(100) | 11(1011) |
| 7(111) | 1(1) | 14(1110) |
| 8(1000) | 14(1110) | 1(1) |
| 4(100) | 2(10) | 13(1101) |
| 8(1000) | 14(1110) | 1(1) |
| 3(11) | 5(101) | 10(1010) |
上述表2中各个数值的奇偶性如下表3所示。
表3
| 偶数 | 奇数 | |
| 奇数 | 奇数 | 偶数 |
| 奇数 | 奇数 | 偶数 |
| 偶数 | 偶数 | 奇数 |
| 奇数 | 奇数 | 偶数 |
| 偶数 | 偶数 | 奇数 |
| 偶数 | 偶数 | 奇数 |
| 偶数 | 偶数 | 奇数 |
| 奇数 | 奇数 | 偶数 |
基于上述情况,申请人提出了如下信息检测方法,下面通过具体实施例对本申请提供的信息检测方法进行详细介绍。
图1为本申请实施例提供的一种信息检测方法的流程示意图,该方法包括:
S101:确定待检测样本的起始检测位置。
具体的,上述起始检测位置可以是待检测样本的起始位置,还可以是待检测样本的其他位置,本申请并不对此进行限定,实际应用中可以根据具体情况确定。
S102:从起始检测位置开始,按照预设间隔,依次判断待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,若全部对应匹配,执行S103,若不全部对应匹配,执行S104。
上述预设间隔的取值可以为1、2、4等等,本申请并不限定上述预设间隔的取值。
具体的,按照上述预设间隔判断待检测样本中字节的奇偶性时,各个字节的位置分别如下:
预设间隔的取值为1时,字节位置为:初始检测位置、初始检测位置+1、初始检测位置+2、初始检测位置+3……;
预设间隔的取值为2时,字节位置为:初始检测位置、初始检测位置+2、初始检测位置+4、初始检测位置+6……;
预设间隔的取值为4时,字节位置为:初始检测位置、初始检测位置+4、初始检测位置+8、初始检测位置+12……。
实际应用中数值通常是以字节为最小单位进行表示的,一个字节所表示数值的取值范围为0~255,也就是需要通过256种状态进行表示,而本实施例中采用数值的奇偶性表示数值的状态,因此,通过两种状态即可表示。可见与现有技术相比,本申请实施例提供的方案中相当于进行了降维操作,降维后精度降为原来的2/256=1/128。
在本申请的一种具体实现方式中,考虑到降维操作所带来的精度损失,可以通过增加一轮检测中所检测字节个数的方式进行弥补,也就是增大上述第一预设数量的取值,另外,也可以理解为:通过适当增加奇偶特征中奇偶特征值个数的方式进行弥补。
虽然增大上述第一预设数量的取值,可以弥补降维操作所带来的精度损失,但是一味增大第一预设数量的取值也会使得每一轮检测操作涉及的字节变多,检测复杂度变高,进而可能会使得检测时间变长。鉴于此设置第一预设数量的取值变得非常重要。
在本申请的一种较佳实现方式中,上述第一预设数量可以为:根据预设的合法长度与128的乘积确定的,其中,预设的合法长度为满足检出率和误报率的长度。具体的,上述预设的合法长度可以为满足高检出率、低误报率的长度,该值可以是技术人员根据具体应用场景设置的取值。
确定待检测样本中各个字节的奇偶性时,可以通过该字节对应的数值模2得到的值进行确定,若得到的值为0,则该字节对应的数值为偶数,若得到的值为1,则该字节对应的数值为奇数。
另外,上述预设奇偶特征是预先生成的,由奇偶特征值构成,其中,奇偶特征值为预设的奇数标识(例如,1)或者预设的偶数标识(例如,0)。
在判断字节的奇偶性是否与预设奇偶特征中各个奇偶特征值匹配的过程中,可以是一个字节一个字节进行判断的,在判断过程中只要有一个字节的奇偶性不匹配,就可以结束本轮检测,而不必等到全部检测完成才进行判定,这样可以节省检测时间,加快检测进度。
S103:判定待检测样本匹配成功。
S104:判定待检测样本匹配失败。
需要说明的是,上述待检测数样本可以理解为是待检测数据的一部分,上述S101-S104仅仅为针对一轮检测过程的描述。具体的对待检测数据进行检测时,若针对其中的一个待检测样本而言,判定待检测样本与预设奇偶特征匹配,则可以直接判定待检测数据与上述预设奇偶特征匹配,结束对待检测数据的检测;而当待检测样本与预设奇偶特征不匹配时,按照一定的规则更新待检测样本,继续进行检测,直至完成对整个待检测数据中数据的检测,若对整个待检测数据中的全部数据进行了检测之后,仍然未能够与预设奇偶特征匹配,则可以判定待检测数据与预设奇偶特征不匹配。
具体的,上述直至完成对整个待检测数据中数据的检测,可以理解为:更新待检测样本后,所对应的起始检测位置满足检测终止条件,这种情况下可以认为完成了对整个待检测数据中数据的检测。
具体的,上述检测终止条件可以是上述初始检测位置达到待检测数据的设定位置,其中,上述设定位置可以是待检测数据的末尾位置,也可以是待检测数据的其他位置;
上述检测终止条件还可以是:上述初始检测位置与待检测数据末尾位置之间的字节不足以完成一轮完整的检测,其中,包括上述初始检测位置对应的字节和待检测数据末尾位置对应的字节。
例如,上述第一预设数量为6,上述预设间隔为1,说明完成一轮检测需要对6个字节进行匹配,这种情况下需要初始检测位置之后至少有5个字节,假设,初始检测位置之后仅仅有4个字节,则可以判定剩余的字节不足于完成一轮完整的检测,上述起始检测位置满足检测终止条件。
又例如,上述第一预设数量为6,上述预设间隔为2,说明完成一轮检测需要对6个字节进行匹配,这种情况下需要初始检测位置之后至少有10个字节,假设,初始检测位置之后仅仅有9个字节,则可以判定剩余的字节不足于完成一轮完整的检测,上述起始检测位置满足检测终止条件。
需要说明的是,本申请只是以上述为例进行说明,实际应用中上述检测终止条件并不仅限于上述几种情况。
图2为本申请实施例提供的一种奇偶特征生成方法的流程示意图,该方法包括:
S201:从特征样本的起始位置开始,按照上述预设间隔,依次根据特征样本中字节的奇偶性获得第一预设数量个字节的奇偶特征值。
S202:根据所获得的奇偶特征值生成预设奇偶特征。
在本申请的一种具体实现方式中,根据所获得的奇偶特征值生成预设奇偶特征时,可以按照特征样本中字节的存储顺序,生成包含所获得的奇偶特征值的正向奇偶子特征,对正向奇偶子特征进行取反操作,获得反向奇偶子特征,并根据上述正向奇偶子特征和上述反向奇偶子特征,生成预设的奇偶特征。
上述对正向奇偶子特征进行取反操作可以理解为:分别对正向奇偶子特征中的每一特征值进行取反操作。
由于奇偶特征值的取值有两种,用于表示奇数的标识或用于表示偶数的标识,当一个奇偶特征值为表示奇数的标识时,其取反操作后的值为表示偶数的标识,相反,当一个奇偶特征值为表示偶数的标识时,其取反操作后的值为表示奇数的标识。
又由于奇偶特征值的取值有两种,所以奇偶特征值一般通过1比特即可表示,另外,当前各种操作系统中,一般是以字节为单位存储数值的,一个字节包含8比特,考虑到节省存储空间,因此可以将多个奇偶特征值压缩至一个字节中进行存储。
鉴于上述情况,在本申请的一种具体实现方式中,按照特征样本中字节的存储顺序,生成包含所获得的奇偶特征值的正向奇偶子特征时,按照特征样本中字节的存储顺序,每第二预设数量个所获得的奇偶特征值生成一个正向子特征值,根据正向子特征值生成正向奇偶子特征,其中,上述第二预设数量为:根据字节的比特数确定的数值,一个字节包含8比特,则上述第二预设数量的取值可以为8;
另外,对正向奇偶子特征进行取反操作,获得反向奇偶子特征时,对所获得的奇偶特征值进行取反操作,然后按照特征样本中字节的存储顺序,每第二预设数量个取反操作后的奇偶子特征值生成一个反向子特征,根据上述反向子特征值生成反向奇偶子特征。
按照上述方式存储特征值时,若奇偶特征值的个数为L*128个,其所占用的字节数为L*128/8=L*16字节。
需要说明的是,按照上述方式生成正向奇偶特征和反向奇偶特征后,进行信息检测时,以正向子特征或者反向子特征的每一比特位作为奇偶特征值进行匹配即可。
基于上述具体实现方式,预设奇偶特征中包含两个子特征,在进行信息检测时,从起始检测位置开始,按照预设间隔,依次判断待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配时,可以从起始检测位置开始,按照预设间隔,依次判断待检测样本中第一预设数量个字节的奇偶性是否与正向奇偶特征对应匹配,并判断待检测样本中第一预设数量个字节的奇偶性是否与反向奇偶特征对应匹配,若与正向奇偶特征全部对应匹配或与反向奇偶特征全部对应匹配,则判定待检测样本中第一预设数量个字节的奇偶性与预设奇偶特征中各个奇偶特征值对应匹配。
由以上可见,上述各个实施例提供的方案中,确定待检测样本的起始检测位置后,从上述起始检测位置开始,按照预设间隔,依次判断待检测样本中预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,若全部对应匹配,则认为待检测样本匹配成功,若不全部对应匹配,则认为待检测样本匹配失败。由于上述各个实施例提供的方案中是依据奇偶特性进行匹配的,而奇偶特征只涉及两种情况,所以,进行匹配时仅仅需要两种直接特征即可完成信息检测,与现有技术相比,大大减小了信息检测时所需要的特征规模。
下面通过两个具体实例对上述生成奇偶特征的方法和信息检测方法进行进一步介绍。
实例一:假设,特征样本为:9、5、2、7、8、4、8、3,根据数值模2的结果确定特征样本中各个字节的奇偶性,结果为0,表示偶数,结果为1,表示奇数,以0作为偶数标识,以1作为奇数标识。该特征样本的正向特征值和反向特征值如下表4所示。
表4
| 特征样本 | 9 | 5 | 2 | 7 | 8 | 4 | 8 | 3 |
| 模2结果 | 1 | 1 | 0 | 1 | 0 | 0 | 0 | 1 |
| 正向特征值 | 1 | 1 | 0 | 1 | 0 | 0 | 0 | 1 |
| 反向特征值 | 0 | 0 | 1 | 0 | 1 | 1 | 1 | 0 |
由上述表4显示的数据可见,正向奇偶子特征为{1、1、0、1、0、0、0、1},反向奇偶子特征为{0、0、1、0、1、1、1、0},上述正向奇偶特征和反向奇偶特征中均包含8个特征值,由于一个字节包含8比特,则正向奇偶特征和反向奇偶特征分别可以用一个字节存储,以十六进制表示如下:
正向奇偶特征为{0xD1},反向奇偶特征为{0x2E}。
实例二:假设,待检测样本为:9、5、2、7、8、4、8、3,正向奇偶子特征为{1、1、0、1、0、0、0、1},反向奇偶子特征为{0、0、1、0、1、1、1、0},初始检测位置为待检测样本的起始位置,预设间隔为1,第一预设数量为8,对待检测样本进行检测的过程如图3所示,图中待检测样本两侧的判断同时执行,即对待检测样本进行一次取模操作后,既要对取模结果进行左侧判断,又要对取模结果进行右侧判断,对于任意一侧的判断而言,只要判断过程中出现判断结果为否的情况,则终止该侧的本轮检测,另外,两侧中只要有一侧的所有判断结果全为是,则认为待检测样本与奇偶特征匹配。
与上述信息检测方法相对应,本申请实施例还提供了一种信息检测装置。
图4为本申请实施例提供的一种信息检测装置的结构示意图,该装置包括:
位置确定模块401,用于确定待检测样本的起始检测位置;
特征匹配模块402,用于从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,其中,所述奇偶特征值为预设的奇数标识或者预设的偶数标识;
匹配判定模块403,用于在所述特征匹配模块402的匹配结果表明全部对应匹配的情况下,判定所述待检测样本匹配成功;
所述匹配判定模块403,还用于在所述特征匹配模块的匹配结果表明不全部对应匹配的情况下,判定所述待检测样本匹配失败。
具体的,所述第一预设数量可以为:根据预设的合法长度与128的乘积确定的,其中,所述预设的合法长度为满足检出率和误报率的长度。
在本申请的一种具体实现方式中,参见图5,提供了另一种信息检测装置的结构示意图,与前述实施例相比,本实施例中,上述信息检测装置还包括:
特征生成模块404,用于生成所述预设奇偶特征;
其中,所述特征生成模块404,包括:
特征值获得子模块404A,用于从特征样本的起始位置开始,按照所述预设间隔,依次根据所述特征样本中字节的奇偶性获得所述第一预设数量个字节的奇偶特征值;
特征生成子模块404B,用于根据所获得的奇偶特征值生成所述预设奇偶特征。
具体的,所述特征生成子模块404B可以包括:
正向子特征生成单元,用于按照所述特征样本中字节的存储顺序,生成包含所获得的奇偶特征值的正向奇偶子特征;
反向子特征生成单元,用于对所述正向奇偶子特征进行取反操作,获得反向奇偶子特征;
特征生成单元,用于根据所述正向奇偶子特征和所述反向奇偶子特征,生成所述预设的奇偶特征。
具体的,所述正向子特征生成单元可以具体用于按照所述特征样本中字节的存储顺序,每第二预设数量个所获得的奇偶特征值生成一个正向子特征值,根据所述正向子特征值生成正向奇偶子特征,其中,所述第二预设数量为:根据字节的比特数确定的数值;
所述反向子特征生成单元可以具体用于对所获得的奇偶特征值进行取反操作;按照所述特征样本中字节的存储顺序,每所述第二预设数量个取反操作后的奇偶子特征值生成一个反向子特征,根据所述反向子特征值生成反向奇偶子特征。
具体的,所述特征匹配模块402可以包括:
特征匹配子模块,用于从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与所述正向奇偶特征对应匹配,并判断所述待检测样本中所述第一预设数量个字节的奇偶性是否与所述反向奇偶特征对应匹配;
匹配判定子模块,用于在与所述正向奇偶特征全部对应匹配或与所述反向奇偶特征全部对应匹配时,判定所述待检测样本中第一预设数量个字节的奇偶性与预设奇偶特征中各个奇偶特征值对应匹配。
由以上可见,上述各个实施例提供的方案中,确定待检测样本的起始检测位置后,从上述起始检测位置开始,按照预设间隔,依次判断待检测样本中预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,若全部对应匹配,则认为待检测样本匹配成功,若不全部对应匹配,则判定待检测样本匹配失败。由于上述各个实施例提供的方案中是依据奇偶特性进行匹配的,而奇偶特征只涉及两种情况,所以,进行匹配时仅仅需要两种直接特征即可完成信息检测,与现有技术相比,大大减小了信息检测时所需要的特征规模。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种信息检测方法,其特征在于,所述方法包括:
确定待检测样本的起始检测位置;
从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,其中,所述奇偶特征值为预设的奇数标识或者预设的偶数标识,所述预设奇偶特征包括正向奇偶子特征和反向奇偶子特征,所述反向奇偶子特征为:对所述正向奇偶子特征进行取反操作得到的特征;
若全部对应匹配,判定所述待检测样本匹配成功;
若不全部对应匹配,判定所述待检测样本匹配失败。
2.根据权利要求1所述的方法,其特征在于,所述预设奇偶特征通过以下方式生成:
从特征样本的起始位置开始,按照所述预设间隔,依次根据所述特征样本中字节的奇偶性获得所述第一预设数量个字节的奇偶特征值;
根据所获得的奇偶特征值生成所述预设奇偶特征。
3.根据权利要求2所述的方法,其特征在于,所述根据所获得的奇偶特征值生成所述预设奇偶特征,包括:
按照所述特征样本中字节的存储顺序,生成包含所获得的奇偶特征值的正向奇偶子特征;
对所述正向奇偶子特征进行取反操作,获得反向奇偶子特征;
根据所述正向奇偶子特征和所述反向奇偶子特征,生成所述预设的奇偶特征。
4.根据权利要求3所述的方法,其特征在于,所述按照所述特征样本中字节的存储顺序,生成包含所获得的奇偶特征值的正向奇偶子特征,包括:
按照所述特征样本中字节的存储顺序,每第二预设数量个所获得的奇偶特征值生成一个正向子特征值,根据所述正向子特征值生成正向奇偶子特征,其中,所述第二预设数量为:根据字节的比特数确定的数值;
所述对所述奇偶子特征进行取反操作,获得反向奇偶子特征,包括:
对所获得的奇偶特征值进行取反操作;
按照所述特征样本中字节的存储顺序,每所述第二预设数量个取反操作后的奇偶子特征值生成一个反向子特征,根据所述反向子特征值生成反向奇偶子特征。
5.根据权利要求3所述的方法,其特征在于,所述从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,包括:
从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与所述正向奇偶子特征对应匹配,并判断所述待检测样本中所述第一预设数量个字节的奇偶性是否与所述反向奇偶子特征对应匹配;
若与所述正向奇偶子特征全部对应匹配或与所述反向奇偶子特征全部对应匹配,则判定所述待检测样本中第一预设数量个字节的奇偶性与预设奇偶特征中各个奇偶特征值对应匹配。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述第一预设数量为:根据预设的合法长度与128的乘积确定的,其中,所述预设的合法长度为满足检出率和误报率的长度。
7.一种信息检测装置,其特征在于,所述装置包括:
位置确定模块,用于确定待检测样本的起始检测位置;
特征匹配模块,用于从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与预设奇偶特征中各个奇偶特征值对应匹配,其中,所述奇偶特征值为预设的奇数标识或者预设的偶数标识,所述预设奇偶特征包括正向奇偶子特征和反向奇偶子特征,所述反向奇偶子特征为:对所述正向奇偶子特征进行取反操作得到的特征;
匹配判定模块,用于在所述特征匹配模块的匹配结果表明全部对应匹配的情况下,判定所述待检测样本匹配成功;
所述匹配判定模块,还用于在所述特征匹配模块的匹配结果表明不全部对应匹配的情况下,判定所述待检测样本匹配失败。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
特征生成模块,用于生成所述预设奇偶特征;
其中,所述特征生成模块,包括:
特征值获得子模块,用于从特征样本的起始位置开始,按照所述预设间隔,依次根据所述特征样本中字节的奇偶性获得所述第一预设数量个字节的奇偶特征值;
特征生成子模块,用于根据所获得的奇偶特征值生成所述预设奇偶特征。
9.根据权利要求8所述的装置,其特征在于,所述特征生成子模块,包括:
正向子特征生成单元,用于按照所述特征样本中字节的存储顺序,生成包含所获得的奇偶特征值的正向奇偶子特征;
反向子特征生成单元,用于对所述正向奇偶子特征进行取反操作,获得反向奇偶子特征;
特征生成单元,用于根据所述正向奇偶子特征和所述反向奇偶子特征,生成所述预设的奇偶特征。
10.根据权利要求9所述的装置,其特征在于,
所述正向子特征生成单元,具体用于按照所述特征样本中字节的存储顺序,每第二预设数量个所获得的奇偶特征值生成一个正向子特征值,根据所述正向子特征值生成正向奇偶子特征,其中,所述第二预设数量为:根据字节的比特数确定的数值;
所述反向子特征生成单元,具体用于对所获得的奇偶特征值进行取反操作;按照所述特征样本中字节的存储顺序,每所述第二预设数量个取反操作后的奇偶子特征值生成一个反向子特征,根据所述反向子特征值生成反向奇偶子特征。
11.根据权利要求9所述的装置,其特征在于,所述特征匹配模块,包括:
特征匹配子模块,用于从所述起始检测位置开始,按照预设间隔,依次判断所述待检测样本中第一预设数量个字节的奇偶性是否与所述正向奇偶子特征对应匹配,并判断所述待检测样本中所述第一预设数量个字节的奇偶性是否与所述反向奇偶子特征对应匹配;
匹配判定子模块,用于在与所述正向奇偶子特征全部对应匹配或与所述反向奇偶子特征全部对应匹配时,判定所述待检测样本中第一预设数量个字节的奇偶性与预设奇偶特征中各个奇偶特征值对应匹配。
12.根据权利要求7-11中任一项所述的装置,其特征在于,所述第一预设数量为:根据预设的合法长度与128的乘积确定的,其中,所述预设的合法长度为满足检出率和误报率的长度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610347664.4A CN106101060B (zh) | 2016-05-24 | 2016-05-24 | 一种信息检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610347664.4A CN106101060B (zh) | 2016-05-24 | 2016-05-24 | 一种信息检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106101060A CN106101060A (zh) | 2016-11-09 |
| CN106101060B true CN106101060B (zh) | 2021-02-12 |
Family
ID=57229483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610347664.4A Active CN106101060B (zh) | 2016-05-24 | 2016-05-24 | 一种信息检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106101060B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109389117B (zh) * | 2018-09-28 | 2022-01-21 | 高新兴智联科技有限公司 | 一种电子车牌二义性实现方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4530095A (en) * | 1983-03-09 | 1985-07-16 | At&T Bell Laboratories | Comparison of digital bit streams using modified parity |
| CN1691581B (zh) * | 2004-04-26 | 2010-04-28 | 彭诗力 | 基于特征值的多模式匹配方法 |
| JP2012044574A (ja) * | 2010-08-23 | 2012-03-01 | Nec Corp | 伝送システム |
| CN102111312B (zh) * | 2011-03-28 | 2013-05-01 | 钱叶魁 | 基于多尺度主成分分析的网络异常检测方法 |
| CN103400123A (zh) * | 2013-08-21 | 2013-11-20 | 山东师范大学 | 基于三轴加速度传感器及神经网络的步态类型鉴别方法 |
| CN104317823B (zh) * | 2014-09-30 | 2016-03-16 | 北京艾秀信安科技有限公司 | 一种利用数据指纹进行数据检测的方法 |
-
2016
- 2016-05-24 CN CN201610347664.4A patent/CN106101060B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106101060A (zh) | 2016-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6055548B2 (ja) | データストリームにおいてデータパターンを検出する装置、方法、及びネットワークサーバ | |
| CN103268445B (zh) | 一种基于OpCode的android恶意代码检测方法及系统 | |
| US20070088955A1 (en) | Apparatus and method for high speed detection of undesirable data content | |
| US11080398B2 (en) | Identifying signatures for data sets | |
| KR102673629B1 (ko) | 메시지들 사이의 유사성을 결정하는 방법과 유사한 메시지들의 중복 제거를 실행하는 장치 | |
| CN105049175A (zh) | 设备特定的值的导出 | |
| CN106708468B (zh) | 一种除法运算装置 | |
| US20130191410A1 (en) | Document similarity evaluation system, document similarity evaluation method, and computer program | |
| CN106101060B (zh) | 一种信息检测方法及装置 | |
| CN116432190B (zh) | 接口未授权访问检测方法、装置、计算机设备及存储介质 | |
| US9082045B2 (en) | Method and apparatus for matching key pixels, and method and apparatus for matching images | |
| KR101526500B1 (ko) | 정보 엔트로피를 이용한 악성 의심 웹사이트 탐지 방법 및 시스템 | |
| JP2019029921A (ja) | 送信装置、受信装置、及び通信方法 | |
| CN102957494A (zh) | 一种盲检校验方法以及相关装置 | |
| US9722631B2 (en) | Method and apparatus for calculating estimated data compression ratio | |
| CN107085571B (zh) | 一种校验规则的执行方法和装置 | |
| CN114595486B (zh) | 零数据识别方法、装置、可读存储介质及电子设备 | |
| CN106060026B (zh) | 一种信息检测方法及装置 | |
| CN109325496B (zh) | 基于字符去除的弹幕校验方法、装置、终端及存储介质 | |
| CN109726316B (zh) | 一种文件的处理方法及装置 | |
| US11403427B2 (en) | Methods and systems for reinforcement learning of post-attack security hardening passes | |
| CN109086160B (zh) | 表项校验装置 | |
| CN109861949B (zh) | 报文滤波方法、装置和电子设备 | |
| US20160212013A1 (en) | Validation process for a storage array network | |
| TWI660597B (zh) | 雜訊產生器、包括雜訊產生器的積體電路、及其操作方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |