CN106302436A - 一种攻击报文特征的自主发现方法、装置和设备 - Google Patents
一种攻击报文特征的自主发现方法、装置和设备 Download PDFInfo
- Publication number
- CN106302436A CN106302436A CN201610657552.9A CN201610657552A CN106302436A CN 106302436 A CN106302436 A CN 106302436A CN 201610657552 A CN201610657552 A CN 201610657552A CN 106302436 A CN106302436 A CN 106302436A
- Authority
- CN
- China
- Prior art keywords
- character
- characteristic character
- ordered series
- combination
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击报文特征的自主发现方法包括下述步骤:将多个网络报文排列成以字符为单位的数列矩阵,所述每个网络报文为所述数列矩阵的列或行;在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符;将所述特征字符组合形成特征字符组合;以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在所述网络报文中且具有最长字符的特征字符组合选定为特征字符串。以简单的循环算法,提供了一种计算机确定攻击报文特征的方案,能够寻找满足筛选条件的长度最长的特征字符组合,解决现有技术中由于长度较短的特征与正常报文发生碰撞混淆的几率较大,造成的判断精度相对较低的问题。
Description
技术领域
本发明实施例涉及网络数据领域,尤其是一种攻击报文特征的自主发现方法、装置和设备。
背景技术
目前,随着计算机技术的快速普及,各类计算机终端成为人们工作、学习、娱乐和交流的重要工具。但伴随着计算机技术的发展,网络安全成为人们关注的一个问题,现实中收到黑客的攻击是网络数据不安全的罪恶之源。黑客攻击主要通过使用现成或自行编写的工具,发起网络攻击,由这些工具所产生的攻击报文通常表现为报文中的特定位置上出现固定的字符。
现有技术中提供的另一种技术手段是,通过统计分析工具,统计报文字符出现的词频,高频出现的内容一定概率即为攻击特征。但是由于报文最长内容可能超过一千个字节,字节间的组合造成无法计算的问题。所以现有技术中的这种方法仍无法解决字符的组合问题,且对于一些长度较短的特征,由于与正常报文发生碰撞混淆的几率较大,因而判断精度相对较低。
发明内容
本发明实施例主要解决的技术问题是提供一种攻击报文特征的自主发现方法、装置和设备。解决解决现有技术中无法解决的字符组合问题,以及由于长度较短的特征与正常报文发生碰撞混淆的几率较大,造成的判断精度相对较低的问题。
为解决上述技术问题,本发明创造的实施例采用的一个技术方案是:提供
一种攻击报文特征的自主发现方法,包括下述步骤:
将多个网络报文排列成以字符为单位的数列矩阵,所述每个网络报文为所述数列矩阵的列或行;
在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符;
将所述特征字符组合形成特征字符组合;
以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在所述网络报文中且具有最长字符的特征字符组合选定为特征字符串。
可选地,所述在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符,包括:
筛去不包括所述特征字符的网络报文。
可选地,所述以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,包括:
以所述递归方式进行当前轮次的特征字符组合搜索时,筛去上一轮次中不包括所述特征字符组合的网络报文。
可选地,所述当前轮次包括:具有同数量特征字符的特征字符组合;
筛去时筛除不包括当前轮次中任意一项特征字符组合的网络报文。
可选地,所述将所述特征字符组合形成特征字符组合,包括:
记录所述特征字符的具体位置,并根据所述特征字符位置关系,对所述特征字符进行组合,以使所述特征字符组合形成特征字符组合;
将位置在前的特征字符排列在位置在后的特征字符之前。
可选地,所述递归的方式包括:
由包含所述特征字符最少的特征字符组合,依次递增至包括所述特征字符最长的特征字符组合;
包括相同数量特征字符的特征字符组合,根据所述特征字符组合包括的特征字符所在位置的先后依次进行。
可选地,所述将多个网络报文排列成以字符为单位的数列矩阵,包括:
在流量监控状态下获取抓包指令;
根据所述抓包指令在网络数据中抓取多个网络报文。
可选地,所述将多个网络报文排列成以字符为单位的数列矩阵,包括:
去除所述网络报文中的头部信息,并将所述去除头部信息的网络报文端部对齐,以使所述多个网络报文排列成以字符为单位的数列矩阵。
为解决上述技术问题,本发明创造实施例还提供一种攻击报文特征自主发现装置,包括:
排列模块,用于将多个网络报文排列成以字符为单位的数列矩阵,所述每个网络报文为所述数列矩阵的列或行;
第一搜索模块,用于在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符;
组合模块,用于将所述特征字符组合形成特征字符组合;
第二搜索模块,用于以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在所述网络报文中且具有最长字符的特征字符组合选定为特征字符串。
可选地,所述攻击报文特征自主发现装置还包括:第一筛选模块;
所述第一筛选模块用于筛去不包括所述特征字符的网络报文。
可选地,所述攻击报文特征自主发现装置还包括:第二筛选模块;
所述第二筛选模块用于以所述递归方式进行当前轮次的特征字符组合搜索时,筛去上一轮次中不包括所述特征字符组合的网络报文。
可选地,所述当前轮次包括:具有同数量特征字符的特征字符组合;
筛去时筛除不包括当前轮次中任意一项特征字符组合的网络报文。
可选地,所述组合模块组合所述特征字符的方法包括:
记录所述特征字符的具体位置,并根据所述特征字符位置关系,对所述特征字符进行组合,以使所述特征字符组合形成特征字符组合;
将位置在前的特征字符排列在位置在后的特征字符之前。
可选地,所述第二搜索模块使用的递归方式包括:
由包含所述特征字符最少的特征字符组合,依次递增至包括所述特征字符最长的特征字符组合;
包括相同数量特征字符的特征字符组合,根据所述特征字符组合包括的特征字符所在位置的先后依次进行。
可选地,所述攻击报文特征自主发现装置还包括:
检测模块,用于检测访问的网络数据是否达到预设阈值,若网络数据达到预设阈值则发出抓包指令;
获取模块,用于根据所述抓包指令在所述网络数据中抓取多个网络报文。
可选地,所述攻击报文特征自主发现装置还包括:
截取对齐模块,用于去除所述网络报文中的头部信息,并将所述去除头部信息的网络报文端部对齐,以使所述排列模块将多个网络报文排列成以字符为单位的数列矩阵。
为解决上述技术问题,本发明创造实施例还提供一种网关设备,所述网关设备包括:存储器与处理器,所述存储器内存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
将多个网络报文排列成以字符为单位的数列矩阵,所述每个网络报文为所述数列矩阵的列或行;
在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符;
将所述特征字符组合形成特征字符组合;
以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在所述网络报文中且具有最长字符的特征字符组合选定为特征字符串。
本发明实施例的有益效果是:通过将抓取的多个网络报文排列成以字符为单位的数列矩阵,并在该矩阵内搜索出现频次超过预设频次阈值的特征字符,将特征字符进行排列组合,形成特征字符组合,以由短到长的递归方式,依次的对特征字符组合进行搜索检验,直至找出包括在数列矩阵的网络报文中,且长度最长的特征字符组合,即找出多个网络报文中均具有的特征字符串。本实施例的技术方案,以简单的循环算法,提供了一种计算机确定攻击报文特征的方案,由于采用最基础的特征字符到特征字符组合的方法,解决现有技术中无法解决的字符组合问题,能够寻找满足筛选条件的长度最长的特征字符组合,解决现有技术中由于长度较短的特征与正常报文发生碰撞混淆的几率较大,造成的判断精度相对较低的问题。
附图说明
图1为本发明实施例攻击报文特征的自主发现方法整体流程图;
图2为本发明实施例攻击报文特征的自主发现方法数列矩阵实现方法流程图;
图3为本发明实施例攻击报文特征的自主发现方法筛选功能流程图;
图4为本发明实施例攻击报文特征的自主发现方法第二种筛选功能流程图;
图5为本发明实施例攻击报文特征的自主发现方法的第一种选择性实施例流程图;
图6为本发明实施例攻击报文特征的自主发现方法的第二种选择性实施例流程图;
图7为本发明实施例攻击报文特征自主发现装置结构框图;
图8为本发明实施例攻击报文特征自主发现装置第一种选择性实施方式结构框图;
图9为本发明实施例攻击报文特征自主发现装置第二种选择性实施方式结构框图;
图10为本发明实施例攻击报文特征自主发现装置第三种选择性实施方式结构框图;
图11为本发明实施例攻击报文特征自主发现装置第四种选择性实施方式结构框图;
图12为本发明实施例网关设备的结构框图。
具体实施方式
为了便于理解本发明,下面结合附图和具体实施方式,对本发明进行更详细的说明。需要说明的是,当元件被表述“固定于”另一个元件,它可以直接在另一个元件上、或者其间可以存在一个或多个居中的元件。当一个元件被表述“连接”另一个元件,它可以是直接连接到另一个元件、或者其间可以存在一个或多个居中的元件。本说明书所使用的术语“垂直的”、“水平的”、“左”、“右”以及类似的表述只是为了说明的目的。
除非另有定义,本说明书所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本说明书中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是用于限制本发明。本说明书所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。
下面结合附图和实施方式对本发明进行详细说明。
实施例1
请参阅图1,一种攻击报文特征的自主发现方法,包括以下步骤:
S110、将多个网络报文排列成以字符为单位的数列矩阵,所述每个网络报文为所述数列矩阵的列或行。网关是一种充当转换重任的计算机系统或设备,仅用于两个高层协议不同的网络互连。在本实施例中,网关是用于终端与服务器端交互的关卡,因此网关具有识别和拦截恶意攻击服务器端的网络报文的作用。本实施方式中,网关首先要对攻击报文中的特征字符进行识别,为了方便比对识别,网关将待识别的网络报文进行排列,将多个待识别的网络报文排列成数列矩阵。具体地,将每个单独的网络报文作为数列矩阵的一列。本实施方式中数列矩阵的排列方法不局限与此,在一些选择性实施方式中,形成数列矩阵时,将每个单独的网络报文作为数列矩阵的一行。
在一些选择性实施方式中,在执行步骤S110时,由于形成数列矩阵的网络报文的文件大小不一致,即每一个网络报文中包含的字符的数量不一致,形成的数列矩阵的列或行的长度也不尽相同,无法排列成一个规则的数列矩阵。因此在本实施方式中,为了使多个网络报文形成一个规则的数列矩阵,如图1a所示,执行以下步骤:
S1101、将多个网络报文依次排列。排列时将网络报文的按照一定的顺序进行排列,一般根据抓取的顺序或文件名称字母进行排列,使多个网络报文一个一端对齐,另一端参差不齐的字符排列。
S1102、确定网络报文中字符数量最多的网络报文。计算每一个网络报文中包括字符的个数,通过比较得出网络报文中字符个数最多的网络报文。
S1103、生成随机字符,填充至网络报文的末端,以使所有的网络报文的字符数量一致。以包括字符最多的网络报文的字符数量为基准,网关生成随机字符,补充到其他的网络报文的末端,是所有的网络报文的长度一致。需要说明的是,为了不影响后期的数据处理,补充至每个网络报文的字符的重复率较低,降低对网络报文中原有字符出现频次的影响。
需要指出的是本实施例中,使多个网络报文形成规则的数列矩阵的方法不局限于上述方法,根据具体应用场景的不同,采用的方法也不尽相同,例如,在一些选择性实施方式中,预设网络报文的长度阈值,根据该预设长度阈值,截去网络报文中超过长度阈值的字符,补充网络报文中字符数量未达到长度阈值的字符。需要说明的是,为了不影响后期的数据处理,补充至每个网络报文的字符的重复率较低,降低对网络报文中原有字符出现频次的影响。
S120、在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符。使用Apriori算法在数列矩阵内搜索出现频次达到预设频次阈值的字符,并将该字符定义为特征字符。其中,Apriori算法是一种挖掘关联规则的频繁项集算法,其核心思想是通过候选集生成和情节的向下封闭检测两个阶段来挖掘频繁项集。具体地,设定频次阈值,通过Apriori算法在网络报文中快速锁定连续或分散的,出现频次达到设定的频次阈值的字符。并将达到预设的频次阈值的字符定义为特征字符。需要指出的是,单个的特征字符不宜用于确定攻击特征,因为单个的特征字符的区别性能较低,正常网络报文在同一位置出现特征字符的几率较大,容易使特征字符与正常网络报文出现碰撞造成误判,降低判断准确率。
S130、将所述特征字符组合形成特征字符组合。确定了网络报文中的特征字符,为进一步降低误判率,提升判断的准确性,需要从满足出现频率单一字符延展开去构造双字符集,形成特征字符组合。特征字符组合中的特征字符数量是分伦次递增的,举例说明,先将单特征字符延展成双特征字符组合,然后由双特征字符延展至三特征字符组合,依次类推层层递增。由包含特征字符最少的特征字符组合,依次递增至包括所述特征字符最长的特征字符组合。
搜索到特征字符所在的位置后,记录该特征字符的具体位置,并根据特征字符位置关系,对征字符进行组合,以使特征字符组合形成特征字符组合。具体地,将搜索出的特征字符出现位置进行排序,找到位置最前的特征字符,从该特征字符开始进行排列组合,排列组合的过程中,总是将位置在前的特征字符放置在位置靠后的特征字符之前。
S140、以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在所述网络报文中且具有最长字符的特征字符组合选定为特征字符串。其中,递归是一种编程技巧,其具体的是指,程序调用自身程序编程。在本实施例中,递归是指次序循环调用搜索程序,在数列矩阵中搜索包括特征字符组合的网络报文,递归时从双特征字符组合开始依次递增,每一轮次增加一个特征字符,直至搜索到包括在网络报文中且具有最长字符的特征字符组合选定为特征字符串为止。需要说明的是步骤S130与步骤S140交替循环进行的,即当步骤S130由单特征字符延展成双特征字符组合,步骤S140在数列矩阵范围内搜索包括该双特征字符组合的网络报文,之后步骤S130由双特征字符组合延展成三特征字符组合,步骤S140在数列矩阵范围内搜索包括该三特征字符组合的网络报文,依次类推直至寻找到包括在网络报文中且具有最长字符的特征字符组合为止。对于包括相同数量特征字符的特征字符组合,根据特征字符组合包括的特征字符所在位置的先后依次进行。举例说明,对于均具有三个特征字符的特征字符组合来说,在进行递归时的先后顺序排列方式为,根据特征字符组合中特征字符在数列矩阵中的位置的先后进行排列的。
上述实施方式中通过将抓取的多个网络报文排列成以字符为单位的数列矩阵,并在该矩阵内搜索出现频次超过预设频次阈值的特征字符,将特征字符进行排列组合,形成特征字符组合,以由短到长的递归方式,依次的对特征字符组合进行搜索检验,直至找出包括在数列矩阵的网络报文中,且长度最长的特征字符组合,即找出多个网络报文中均具有的特征字符串。本实施例的技术方案,以简单的循环算法,提供了一种计算机确定攻击报文特征的方案,由于采用最基础的特征字符到特征字符组合的方法,解决现有技术中无法解决的字符组合问题,能够寻找满足筛选条件的长度最长的特征字符组合,解决现有技术中由于长度较短的特征与正常报文发生碰撞混淆的几率较大,造成的判断精度相对较低的问题。
Apriori本质上是一个空间换时间的算法,网络报文分析由几百个字节到上千个字节不等,若步骤S140每一轮次均需要对整个数列矩阵进行全文搜索计算,不可避免需要消耗大量的内存空间。为尽量减少本实施例方案对于网关内存空间的压力,在执行步骤S120执行完毕后需要执行减繁步骤。需要指出的是减繁步骤为本实施例中的一种选择性实施方式,根据应用场景的不同能够进行适应性的调整。
S121、筛去不包括所述特征字符的网络报文。构成数列矩阵的网络报文,均以自身的包括字符构成数列矩阵的列或行。请参阅图2,对整个数列矩阵进行特征字符搜索时,会统计特征字符出现的位置,如统计出的其中一个特征字符为9a,且该特征字符主要出现在数列矩阵的第3行,则删去在第三行位置不具有该特征字符9a的网络报文,被删去的网络报文无需进入下一轮次的搜索计算,从而达到对拟分析网络报文形成的数列矩阵快速降维,提高运算效率,减少运算所需要的内存空间。
同样的,在执行步骤S130执行完毕后需要也需要执行减繁步骤。需要指出的是减繁步骤为本实施例中的一种选择性实施方式,根据应用场景的不同能够进行适应性的调整。
S141、以所述递归方式进行当前轮次的特征字符组合搜索时,筛去上一轮次中不包括所述特征字符组合的网络报文。请参阅图3,构成数列矩阵的网络报文,均以自身的包括字符构成数列矩阵的列或行。对整个数列矩阵进行特征字符组合搜索时,会统计特征字符组合中特征字符出现的位置,如统计出的其中一个特征字符组合中的特征字符分别为9a与4b,且该特征字符9a主要出现在数列矩阵的第3行,特征字符4b出现在第6行,则删去在第三行位置不具有该特征字符9a和第6行不具有特征字符4b的网络报文,被删去的网络报文无需进入下一轮次的搜索计算,从而达到对拟分析网络报文形成的数列矩阵快速降维,提高运算效率,减少运算所需要的内存空间。需要指出的是,由于在同一数量级的特征字符组合一般有多个,本步骤中删去的网络报文为不包含相同特征字符的特征字符组合中的任意一个,方可将该网络报文删去。
如图5所示,步骤S110之前还包括步骤S101。
S101、在流量监控状态下获取抓包指令,根据所述抓包指令在网络数据中抓取多个网络报文。抓包英文名称为Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。网关对访问的网络信息进行流量监控,并设定抓包流量阈值,即在访问流量大于该抓包流量阈值后,即对访问信息进行抓包处理,截获网络报文用于寻找攻击特征字符串。
如图6所示,步骤S110之前还包括步骤S102。
S102、去除所述网络报文中的头部信息,并将所述去除头部信息的网络报文端部对齐。以使所述多个网络报文排列成以字符为单位的数列矩阵。网络报文中包含头部信息,该头部信息中一般包括:版本信息、首部长度信息、协议信息、原地址信息和目的地址信息等基础信息,对于分析攻击特征字符串不具有任何作用,为了进一步的降低计算的维度,减少内存占用量,将网络报文的头部删去。
本实施例还提供一种攻击报文特征自主发现装置的实施方式。具体请参阅图7,图7为攻击报文特征自主发现装置的结构框图。
请参阅图7,一种攻击报文特征自主发现装置,包括:排列模块110、第一搜索模块120、组合模块130与第二搜索模块140。其中,排列模块110用于将多个网络报文排列成以字符为单位的数列矩阵,每个网络报文为所述数列矩阵的列或行;第一搜索模块120用于在数列矩阵内搜索出现频次达到预设频次阈值的特征字符;组合模块130用于将特征字符组合形成特征字符组合;第二搜索模块140用于以递归的方式在数列矩阵搜索包括特征字符组合的网络报文,并将包括在网络报文中且具有最长字符的特征字符组合选定为特征字符串。
排列模块110将多个网络报文排列成以字符为单位的数列矩阵,每个网络报文为所述数列矩阵的列或行。本实施方式中,网关首先要对攻击报文中的特征字符进行识别,为了方便比对识别,网关中的排列模块110将待识别的网络报文进行排列,将多个待识别的网络报文排列成数列矩阵。具体地,将每个单独的网络报文作为数列矩阵的一列。本实施方式中排列模块110排布的数列矩阵的排列方法不局限与此,在一些选择性实施方式中,形成数列矩阵时,将每个单独的网络报文作为数列矩阵的一行。
第一搜索模块120使用Apriori算法在数列矩阵内搜索出现频次达到预设频次阈值的字符,并将该字符定义为特征字符。第一搜索模块120通过Apriori算法在网络报文中快速锁定连续或分散的,出现频次达到设定的频次阈值的字符。并将达到预设的频次阈值的字符定义为特征字符。需要指出的是,单个的特征字符不宜用于确定攻击特征,因为单个的特征字符的区别性能较低,正常网络报文在同一位置出现特征字符的几率较大,容易使特征字符与正常网络报文出现碰撞造成误判,降低判断准确率。
组合模块130将所征字符组合形成特征字符组合。确定了网络报文中的特征字符,为进一步降低误判率,提升判断的准确性,需要从满足出现频率单一字符延展开去构造双字符集,形成特征字符组合。特征字符组合中的特征字符数量是分伦次递增的,举例说明,组合模块130先将单特征字符延展成双特征字符组合,然后由双特征字符延展至三特征字符组合,依次类推层层递增。由包含特征字符最少的特征字符组合,依次递增至包括所述特征字符最长的特征字符组合。
搜索到特征字符所在的位置后,记录该特征字符的具体位置,并根据特征字符位置关系,组合模块130对征字符进行组合,以使特征字符组合形成特征字符组合。具体地,将搜索出的特征字符出现位置进行排序,找到位置最前的特征字符,从该特征字符开始进行排列组合,排列组合的过程中,总是将位置在前的特征字符放置在位置靠后的特征字符之前。
第二搜索模块140以递归的方式在数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在网络报文中且具有最长字符的特征字符组合选定为特征字符串。递归时从双特征字符组合开始依次递增,每一轮次增加一个特征字符,直至搜索到包括在网络报文中且具有最长字符的特征字符组合选定为特征字符串为止。
请参阅图8,作为一种攻击报文特征自主发现装置的选择性实施方式,攻击报文特征自主发现装置还包括:第一筛选模块150。第一筛选模块150用于筛去不包括所述特征字符的网络报文。第一搜索模块120对整个数列矩阵进行特征字符搜索时,会统计特征字符出现的位置,如统计出的其中一个特征字符为9a,且该特征字符主要出现在数列矩阵的第3行,则第一筛选模块150删去在第三行位置不具有该特征字符9a的网络报文,被删去的网络报文无需进入下一轮次的搜索计算,从而达到对拟分析网络报文形成的数列矩阵快速降维,提高运算效率,减少运算所需要的内存空间。
请参阅图9,作为一种攻击报文特征自主发现装置的选择性实施方式,攻击报文特征自主发现装置还包括:第二筛选模块160。第二筛选模块160用于以递归方式进行当前轮次的特征字符组合搜索时,筛去上一轮次中不包括特征字符组合的网络报文。第二搜索模块140对整个数列矩阵进行特征字符组合搜索时,会统计特征字符组合中特征字符出现的位置,如统计出的其中一个特征字符组合中的特征字符分别为9a与4b,且该特征字符9a主要出现在数列矩阵的第3行,特征字符4b出现在第6行,则第二筛选模块160删去在第三行位置不具有该特征字符9a和第6行不具有特征字符4b的网络报文,被删去的网络报文无需进入下一轮次的搜索计算,从而达到对拟分析网络报文形成的数列矩阵快速降维,提高运算效率,减少运算所需要的内存空间。需要指出的是,由于在同一数量级的特征字符组合一般有多个,本步骤中删去的网络报文为不包含相同特征字符的特征字符组合中的任意一个,方可将该网络报文删去。
请参阅图10,作为一种攻击报文特征自主发现装置的选择性实施方式,攻击报文特征自主发现装置还包括:检测模块170与获取模块180。检测模块170用于检测访问的网络数据是否达到预设阈值,若网络数据达到预设阈值则发出抓包指令;获取模块180用于根据抓包指令在所述网络数据中抓取多个网络报文。检测模块170对访问的网络信息进行流量监控,并设定抓包流量阈值,即在访问流量大于该抓包流量阈值后,即使获取模块180对访问信息进行抓包处理,截获网络报文用于寻找攻击特征字符串。
请参阅图11,作为一种攻击报文特征自主发现装置的选择性实施方式,攻击报文特征自主发现装置还包括:截取对齐模块190。截取对齐模块190用于去除网络报文中的头部信息,并将去除头部信息的网络报文端部对齐,以使排列模块110将多个网络报文排列成以字符为单位的数列矩阵。网络报文中包含头部信息,该头部信息中一般包括:版本信息、首部长度信息、协议信息、原地址信息和目的地址信息等基础信息,对于分析攻击特征字符串不具有任何作用,为了进一步的降低计算的维度,减少内存占用量,将网络报文的头部删去。
需要指出的是攻击报文特征自主发现装置是本实施例中攻击报文特征的自主发现方法的具体实现,本实施例中列举的攻击报文特征的自主发现方法的步骤,均能够通过本实施例中攻击报文特征自主发现装置实现。
本实施例还提供一种网关设备的实施方式。具体请参阅图12,图12为网关设备的结构框图。
一种网关设备,该网关设备包括:接收器210、发射器220、存储器230与处理器240,接收器用于接收网络报文,发射器用于将信息发送到终端。存储器内存储有程序代码,处理器用于调用程序代码,执行以下操作:
将多个网络报文排列成以字符为单位的数列矩阵,每个网络报文为数列矩阵的列或行;
在数列矩阵内搜索出现频次达到预设频次阈值的特征字符;
将特征字符组合形成特征字符组合;
以递归的方式在数列矩阵搜索包括特征字符组合的网络报文,并将包括在网络报文中且具有最长字符的特征字符组合选定为特征字符串。
需要指出的是本实施列中,网关设备的存储器内存储用于实现本实施例中一种攻击报文特征的自主发现方法的所有程序,存储器能够调用该存储器内的程序,执行上述攻击报文特征的自主发现方法所列举的所有功能。由于网关设备实现的功能在本实施例中的击报文自主发现方法进行了详述,在此不再进行赘述。
需要说明的是,本发明的说明书及其附图中给出了本发明的较佳的实施例,但是,本发明可以通过许多不同的形式来实现,并不限于本说明书所描述的实施例,这些实施例不作为对本发明内容的额外限制,提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。并且,上述各技术特征继续相互组合,形成未在上面列举的各种实施例,均视为本发明说明书记载的范围;进一步地,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (10)
1.一种攻击报文特征的自主发现方法,其特征在于,包括下述步骤:
将多个网络报文排列成以字符为单位的数列矩阵,所述每个网络报文为所述数列矩阵的列或行;
在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符;
将所述特征字符组合形成特征字符组合;
以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在所述网络报文中且具有最长字符的特征字符组合选定为特征字符串。
2.根据权利要求1所述的攻击报文特征的自主发现方法,其特征在于,所述在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符,包括:
筛去不包括所述特征字符的网络报文。
3.根据权利要求1所述的攻击报文特征的自主发现方法,其特征在于,所述以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,包括:
以所述递归方式进行当前轮次的特征字符组合搜索时,筛去上一轮次中不包括所述特征字符组合的网络报文。
4.根据权利要求3所述的攻击报文特征的自主发现方法,其特征在于,所述当前轮次包括:具有同数量特征字符的特征字符组合;
筛去时筛除不包括当前轮次中任意一项特征字符组合的网络报文。
5.根据权利要求1~4任意一项所述的攻击报文特征的自主发现方法,其特征在于,所述将所述特征字符组合形成特征字符组合,包括:
记录所述特征字符的具体位置,并根据所述特征字符位置关系,对所述特征字符进行组合,以使所述特征字符组合形成特征字符组合;
将位置在前的特征字符排列在位置在后的特征字符之前。
6.根据权利要求5所述的攻击报文特征的自主发现方法,其特征在于,所述递归的方式包括:
由包含所述特征字符最少的特征字符组合,依次递增至包括所述特征字符最长的特征字符组合;
包括相同数量特征字符的特征字符组合,根据所述特征字符组合包括的特征字符所在位置的先后依次进行。
7.根据权利要求1所述的攻击报文特征的自主发现方法,其特征在于,所述将多个网络报文排列成以字符为单位的数列矩阵,包括:
在流量监控状态下获取抓包指令;
根据所述抓包指令在网络数据中抓取多个网络报文。
8.根据权利要求1所述的攻击报文特征的自主发现方法,其特征在于,所述将多个网络报文排列成以字符为单位的数列矩阵,包括:
去除所述网络报文中的头部信息,并将所述去除头部信息的网络报文端部对齐,以使所述多个网络报文排列成以字符为单位的数列矩阵。
9.一种攻击报文特征自主发现装置,其特征在于,包括:
排列模块,用于将多个网络报文排列成以字符为单位的数列矩阵,所述每个网络报文为所述数列矩阵的列或行;
第一搜索模块,用于在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符;
组合模块,用于将所述特征字符组合形成特征字符组合;
第二搜索模块,用于以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在所述网络报文中且具有最长字符的特征字符组合选定为特征字符串。
10.一种网关设备,其特征在于,所述网关设备包括:存储器与处理器,所述存储器内存储有程序代码,所述处理器用于调用所述程序代码,执行以下操作:
将多个网络报文排列成以字符为单位的数列矩阵,所述每个网络报文为所述数列矩阵的列或行;
在所述数列矩阵内搜索出现频次达到预设频次阈值的特征字符;
将所述特征字符组合形成特征字符组合;
以递归的方式在所述数列矩阵搜索包括所述特征字符组合的网络报文,并将包括在所述网络报文中且具有最长字符的特征字符组合选定为特征字符串。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610657552.9A CN106302436B (zh) | 2016-08-11 | 2016-08-11 | 一种攻击报文特征的自主发现方法、装置和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610657552.9A CN106302436B (zh) | 2016-08-11 | 2016-08-11 | 一种攻击报文特征的自主发现方法、装置和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106302436A true CN106302436A (zh) | 2017-01-04 |
| CN106302436B CN106302436B (zh) | 2019-11-19 |
Family
ID=57668768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610657552.9A Active CN106302436B (zh) | 2016-08-11 | 2016-08-11 | 一种攻击报文特征的自主发现方法、装置和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106302436B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437084A (zh) * | 2020-11-23 | 2021-03-02 | 上海工业自动化仪表研究院有限公司 | 一种攻击特征提取的方法 |
| CN112954027A (zh) * | 2021-01-29 | 2021-06-11 | 杭州迪普科技股份有限公司 | 一种网络服务特征确定方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857493A (zh) * | 2012-06-30 | 2013-01-02 | 华为技术有限公司 | 内容过滤方法和装置 |
| CN103729452A (zh) * | 2013-12-31 | 2014-04-16 | 杭州华为数字技术有限公司 | 一种规则匹配方法及装置 |
| CN104468601A (zh) * | 2014-12-17 | 2015-03-25 | 中山大学 | 一种p2p蠕虫检测系统及方法 |
| CN105827603A (zh) * | 2016-03-14 | 2016-08-03 | 中国人民解放军信息工程大学 | 未明协议特征库建立方法、未明报文分类方法及相关装置 |
-
2016
- 2016-08-11 CN CN201610657552.9A patent/CN106302436B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857493A (zh) * | 2012-06-30 | 2013-01-02 | 华为技术有限公司 | 内容过滤方法和装置 |
| CN103729452A (zh) * | 2013-12-31 | 2014-04-16 | 杭州华为数字技术有限公司 | 一种规则匹配方法及装置 |
| CN104468601A (zh) * | 2014-12-17 | 2015-03-25 | 中山大学 | 一种p2p蠕虫检测系统及方法 |
| CN105827603A (zh) * | 2016-03-14 | 2016-08-03 | 中国人民解放军信息工程大学 | 未明协议特征库建立方法、未明报文分类方法及相关装置 |
Non-Patent Citations (1)
| Title |
|---|
| 蒲天银等: "网络攻击特征数据自动提取技术综述", 《计算机与数字工程》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437084A (zh) * | 2020-11-23 | 2021-03-02 | 上海工业自动化仪表研究院有限公司 | 一种攻击特征提取的方法 |
| CN112437084B (zh) * | 2020-11-23 | 2023-02-28 | 上海工业自动化仪表研究院有限公司 | 一种攻击特征提取的方法 |
| CN112954027A (zh) * | 2021-01-29 | 2021-06-11 | 杭州迪普科技股份有限公司 | 一种网络服务特征确定方法及装置 |
| CN112954027B (zh) * | 2021-01-29 | 2022-11-25 | 杭州迪普科技股份有限公司 | 一种网络服务特征确定方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106302436B (zh) | 2019-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112104677B (zh) | 一种基于知识图谱的受控主机检测方法和装置 | |
| CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
| CN102801697B (zh) | 基于多url的恶意代码检测方法和系统 | |
| Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
| EP3905624B1 (en) | Botnet domain name family detecting method, device, and storage medium | |
| CN109274632B (zh) | 一种网站的识别方法及装置 | |
| CN105827594A (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
| CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
| CN103581363A (zh) | 对恶意域名和非法访问的控制方法及装置 | |
| CN110602137A (zh) | 恶意ip和恶意url拦截方法、装置、设备及介质 | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| CN107332848A (zh) | 一种基于大数据的网络流量异常实时监测系统 | |
| CN109413016B (zh) | 一种基于规则的报文检测方法和装置 | |
| CN107506408B (zh) | 对海量事件分布式关联匹配的方法及系统 | |
| CN109768992A (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| Sharad et al. | De-anonymizing d4d datasets | |
| CN107181726A (zh) | 网络威胁事件评估方法及装置 | |
| CN115021997B (zh) | 一种基于机器学习的网络入侵检测系统 | |
| CN113328990B (zh) | 基于多重过滤的网间路由劫持检测方法及电子设备 | |
| CN111049837A (zh) | 基于通信运营商网络传送层的恶意网址识别和拦截技术 | |
| CN112769833A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN106302436A (zh) | 一种攻击报文特征的自主发现方法、装置和设备 | |
| CN111314379A (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
| CN103093147B (zh) | 一种识别信息的方法和电子装置 | |
| CN112583827B (zh) | 一种数据泄露检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |