CN113676457B - 一种基于状态机的流式多层安全检测方法及系统 - Google Patents

一种基于状态机的流式多层安全检测方法及系统 Download PDF

Info

Publication number
CN113676457B
CN113676457B CN202110843972.7A CN202110843972A CN113676457B CN 113676457 B CN113676457 B CN 113676457B CN 202110843972 A CN202110843972 A CN 202110843972A CN 113676457 B CN113676457 B CN 113676457B
Authority
CN
China
Prior art keywords
network
detection
network data
time
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110843972.7A
Other languages
English (en)
Other versions
CN113676457A (zh
Inventor
张春林
刘如君
常江波
张运春
刘志杰
董雷
张靖宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Dongfangtong Software Co ltd
Beijing Testor Technology Co ltd
Beijing Dongfang Tongwangxin Technology Co ltd
Beijing Tongtech Co Ltd
Original Assignee
Beijing Dongfangtong Software Co ltd
Beijing Testor Technology Co ltd
Beijing Dongfang Tongwangxin Technology Co ltd
Beijing Tongtech Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Dongfangtong Software Co ltd, Beijing Testor Technology Co ltd, Beijing Dongfang Tongwangxin Technology Co ltd, Beijing Tongtech Co Ltd filed Critical Beijing Dongfangtong Software Co ltd
Priority to CN202110843972.7A priority Critical patent/CN113676457B/zh
Publication of CN113676457A publication Critical patent/CN113676457A/zh
Application granted granted Critical
Publication of CN113676457B publication Critical patent/CN113676457B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于状态机的流式多层安全检测方法及系统,其方法,包括:获取待检测数据的网络数据包,并确定网络数据包的传输路径,同时,在传输路径中预先设置网络检测规则;当网络数据进入传输路径时,根据预设的状态机,将多个网络数据包进行实时数据识别和实时数据解析,确定实时识别结果以及解析内容,并进行实时标记;将实时识别结果和解析内容根据网络检测规则进行实时对比检测,确定实时对比检测结果;当存在异常网络数据包时,根据实时标记,确定异常的网络数据包。通过网络数据包确定数据传输路径,并基于传输路径设置网络检测规则对网络数据包进行实时检测,从而降低数据安全检测的误报率和漏报率。

Description

一种基于状态机的流式多层安全检测方法及系统
技术领域
本发明涉及数据安全检测技术领域,特别涉及一种基于状态机的流式多层安全检测方法及系统。
背景技术
目前,随着互联网的不断发展,网络安全检测是一个维护网络安全的重要步骤。而在现有技术中,一般的网络安全检测方法多采用规则匹配,通过网络中的数据与设置的多种规则进行匹配,根据匹配结果,判断网络是否安全,但是,现有技术存在误报率和漏报率高的问题,因此本发明提供了一种基于状态机的流式多层安全检测方法及系统。
发明内容
本发明提供一种基于状态机的流式多层安全检测方法及系统,用以通过网络数据包确定数据传输路径,并基于传输路径设置网络检测规则对网络数据包进行实时检测,从而降低数据安全检测的误报率和漏报率。
一种基于状态机的流式多层安全检测方法,包括:
步骤1:获取待检测数据的网络数据包,并确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则;
步骤2:当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析,确定实时识别结果以及解析内容,并进行实时标记;
步骤3:将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测,确定实时对比检测结果;
步骤4:当所述网络数据包中有异常存在时,根据所述实时标记,确定异常的网络数据包。
优选的,一种基于状态机的流式多层安全检测方法,步骤1中,还包括:
所述传输路径包括网络层、传输层、应用层和内容部署层;
所述网络检测规则包括:传输检测规则、应用检测规则和部署检测规则。
优选的,一种基于状态机的流式多层安全检测方法,步骤1中,确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则,包括:
获取所述网络数据包的特征属性,并根据所述特征属性建立路径标识;
基于所述路径标识,获取路径起始域、路径终止域,并根据所述路径起始域与所述路径终止域获取相对应的路径起始节点与路径终止节点;
根据预设算法,计算所述路径起始节点到所述路径终止节点之间的路径长度,并获取所述路径起始节点到所述路径终止节点之间的路径信息;
基于所述路径起始节点到所述路径终止节点之间的路径信息、所述路径起始节点到所述路径终止节点之间的路径长度,确定所述网络数据包的传输路径;
获取所述传输路径的路径特点,并基于所述路径特点构建路径检测树;
其中,所述路径检测树包括对所述网络数据包进行数据安全检测的检测节点;
基于所述检测节点,设置网络检测规则。
优选的,一种基于状态机的流式多层安全检测方法,步骤2中,当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析的具体工作过程,包括:
基于所述预设的状态机,获取所述网络数据在进入所述传输路径前的起始状态,并根据所述起始状态确定所述网络数据的映射输入符;
基于所述映射输入符,获取所述预设的状态机的状态转换函数;
当所述网络数据进入所述传输路径时,根据所述状态转换函数,将所述网络数据转换成所述预设的状态机所预设的终止状态;
同时,基于所述终止状态,获取待识别网络数据包;
获取待识别网络数据包的包头,并判断所述待识别网络数据包的包头是否携带有包头标识;
若所述待识别网络数据包的包头没有携带包头标识,则根据预设统一规则并结合所述待识别网络数据包的包尾数据字段对所述待识别网络数据包进行识别;
否则,根据所述待识别网络数据包的包头标识,对所述待识别网络数据包中待识别网络数据进行识别,并基于识别结果获取所述待识别网络数据所对应的N个特征向量;
同时,基于所述待识别网络数据的N个特征向量,对所述待识别网络数据包中的待识别网络数据进行特征分类;
其中对所述待识别网络数据进行特征分类后的分类结果即为所述实时识别结果;
基于所述实时识别结果,为所述网络数据包中的网络数据定义解析函数;
获取所述解析函数的解析标识符,并基于所述解析函数与所述解析标识符构建数据解析网络,同时,根据所述解析标识符配置相应的解析参数;
将所述网络数据包放置于所述数据解析网络中,并根据所述解析参数对所述网络数据包进行解析,并获取解析内容。
优选的,一种基于状态机的流式多层安全检测方法,进行实时标记的具体工作过程,包括:
获取所述实时识别结果的结果特征以及所述解析内容的内容特征,并基于所述实时识别结果的结果特征以及所述解析内容的内容特征获取标记因子;
基于所述标记因子确定目标标识函数;
获取所述目标标识函数的线性曲线图,并计算所述线性曲线图的斜率;
根据所述线性曲线图的斜率,建立更新模型;
将所述线性曲线图的斜率作为对所述实时识别结果的结果特征以及所述解析内容的内容特征的标识参数;
基于所述标识参数与所述更新模型,对所述实时识别结果以及所述解析内容进行实时更新并标识。
优选的,一种基于状态机的流式多层安全检测方法,步骤3中,将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测的具体工作过程,包括:
基于所述实时识别结果和所述解析内容确定待对比数据;
确定所述待对比数据的数据类型,并根据所述数据类型确定所述待对比数据的树形结构;
获取所述树形结构中的对比检查节点,并根据所述对比检查节点建立数据链表;
获取所述数据链表的数据链表信息,同时,获取所述待对比数据的横向维度与纵向维度;
其中,所述数据链表信息包括网络检测规则,且所述网络检测规则中包括数据维度检测标准;
基于所述数据维度检测标准对所述待对比数据的横向维度与纵向维度进行对比检测;
当所述待对比数据不符合所述数据维度检测标准时,则判定存在异常网络数据包。
优选的,一种基于状态机的流式多层安全检测方法,步骤4中,当存在异常网络数据包时,根据所述实时标记,确定异常的网络数据包的具体工作过程包括:
获取所述实时标记的标记曲线,同时,在每个预设时间间隔中记录所述标记曲线所代表的标记值;
其中,所述每个预设时间间隔中的间隔时间相等;
当存在异常网络数据包时,根据所述标记曲线确定异常时间段,并查找异常时间段下所对应的标记值;
基于所述标记值确定所述异常的网络数据包。
优选的,一种基于状态机的流式多层安全检测方法,步骤3中,还包括:
获取所述实时识别结果的识别效率,并根据所述识别效率计算对所述网络数据的识别误差系数,同时,根据识别误差系数计算实时对比检测的准确度,并对所述实时对比检测的准确度进行分析,判断所述流式多层安全检测的检测性能,具体工作过程包括:
获取网络数据包的识别时间,并基于所述识别时间获取所述实时识别结果的识别效率;
根据所述实时识别结果的识别效率计算对所述网络数据包的识别误差系数;
Figure GDA0003498218730000051
其中,δ表示所述网络数据包的识别误差系数,且取值范围为(0,1);t0表示对所述网络数据包的识别时间;t1表示对所述网络数据包的基准识别时间;η表示对所述网络数据包进行识别的识别效率;v表示对所述网络数据包识别的识别速度;l表示所述网络数据包中的数据量;P表示在对所述网络数据包进行识别时出现识别错误的概率;
在对所述实时识别结果进行对比检测时,根据所述识别误差系数,计算对比检测准确度;
Figure GDA0003498218730000061
其中,Z表示所述对比检测准确度;δ表示所述网络数据包的识别误差系数,且取值范围为(0,1);S1表示对所述网络数据包的实际识别度;S0表示对所述网络数据包的理想识别度;D表示所述网络数据包与所述网络检测规则中预设的理想数据的对比度;k表示检测因子,取值为1.23;
对所述对比检测准确度进行分析,并获取分析结果,同时,基于所述分析结果构建检测性能评价表;
基于所述检测性能评价表绘制柱状图;
同时,基于所述柱状图,获取所述流式多层安全检测的综合评价值;
将所述流式多层安全检测的综合评价值与预设标准值进行比较;
当所述流式多层安全检测的综合评价值等于或大于所述预设标准值,则判定当前对所述流式多层安全检测的检测性能为合格;
否则,提高对所述网络数据包的识别准确度,并降低所述识别误差系数,直至所述流式多层安全检测的检测性能为合格状态。
一种基于状态机的流式多层安全检测系统,包括:
网络检测获取模块,获取待检测数据的网络数据包,并确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则;
数据处理模块,当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析,确定实时识别结果以及解析内容,并进行实时标记;
对比检测模块,将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测,确定实时对比检测结果;
异常获取模块,当存在异常网络数据包时,根据所述实时标记,确定异常的网络数据包。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种基于状态机的流式多层安全检测方法流程图;
图2为本发明实施例中一种基于状态机的流式多层安全检测系统图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例1:
本实施例提供了一种基于状态机的流式多层安全检测方法,如图1所示,包括:
步骤1:获取待检测数据的网络数据包,并确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则;
步骤2:当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析,确定实时识别结果以及解析内容,并进行实时标记;
步骤3:将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测,确定实时对比检测结果;
步骤4:当所述网络数据包中有异常存在时,根据所述实时标记,确定异常的网络数据包。
该实施例中,传输路径包括网络层、传输层、应用层和内容部署层。
该实施例中,网络检测规则是用来对数据进行传输、应用、部署进行约束的条件,其中,网络检测规则包括:传输检测规则、应用检测规则和部署检测规则。
该实施例中,待检测数据可以是状态机通过流式多层安全检测的数据,也就是状态机需要进行检测的数据,将待检测数据进行
该实施例中,传输路径基于路由器将网络数据通过网络传输至目的地,是用来作为网络数据包进行传输的路径。
该实施例中,实时识别结果是对网络数据进行识别的结果,是为了将识别后的数据进行解析的。
该实施例中,解析内容可以是对识别到的数据进行解析,从而有利于根据网络检测规则进行实时对比。
该实施例中,实时对比检测可以是通过与解析内容与预设内容进行实时对比检测,当解析内容不符和预设内容时,则网络数据包存在异常。
上述技术方案的有益效果是:通过网络数据包确定数据传输路径,并基于传输路径设置网络检测规则对网络数据包进行实时检测,从而降低数据安全检测的误报率和漏报率。
实施例2:
在实施例1的基础上,本实施例提供了一种基于状态机的流式多层安全检测方法,步骤1中,确定所述网络数据包的传输路径的具体工作过程,同时,在所述传输路径中预先设置网络检测规则,包括:
获取所述网络数据包的特征属性,并根据所述特征属性建立路径标识;
基于所述路径标识,获取路径起始域、路径终止域,并根据所述路径起始域与所述路径终止域获取相对应的路径起始节点与路径终止节点;
根据预设算法,计算所述路径起始节点到所述路径终止节点之间的路径长度,并获取所述路径起始节点到所述路径终止节点之间的路径信息;
基于所述路径起始节点到所述路径终止节点之间的路径信息、所述路径起始节点到所述路径终止节点之间的路径长度,确定所述网络数据包的传输路径;
获取所述传输路径的路径特点,并基于所述路径特点构建路径检测树;
其中,所述路径检测树包括对所述网络数据包进行数据安全检测的检测节点;
基于所述检测节点,设置网络检测规则。
该实施例中,预设算法可以是交互式算法,用来计算路径起始节点到路径终止节点之间的路径长度。
该实施例中,网络数据包的特征属性可以是代表数据包中的数据的类型,数据量等的特征即为网络数据包的特征属性。
该实施例中,根据特征属性建立路径标识可以是通过数据类型以及数据量确定是可以识别的专属识别标志。
该实施例中,路径信息包括传输路径的路径长度,传输路径所容纳的数据量以及传输路径的网络层、传输层、应用层和内容部署层的标识信息等。
上述技术方案的有益效果是:通过获取网络数据包的特征属性可以有效建立路径标识,通过路径标识获取相应的路径信息,从而有利于准确获取网络数据包的传输路径,并根据路径检测树准确设置网络检测节点,大大提高了安全检测准确度。
实施例3:
在实施例1的基础上,本实施例提供了一种基于状态机的流式多层安全检测方法,步骤2中,当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析的具体工作过程,包括:
基于所述预设的状态机,获取所述网络数据在进入所述传输路径前的起始状态,并根据所述起始状态确定所述网络数据的映射输入符;
基于所述映射输入符,获取所述预设的状态机的状态转换函数;
当所述网络数据进入所述传输路径时,根据所述状态转换函数,将所述网络数据转换成所述预设的状态机所预设的终止状态;
同时,基于所述终止状态,获取待识别网络数据包;
获取待识别网络数据包的包头,并判断所述待识别网络数据包的包头是否携带有包头标识;
若所述待识别网络数据包的包头没有携带包头标识,则根据预设统一规则并结合所述待识别网络数据包的包尾数据字段对所述待识别网络数据包进行识别;
否则,根据所述待识别网络数据包的包头标识,对所述待识别网络数据包中待识别网络数据进行识别,并基于识别结果获取所述待识别网络数据所对应的N个特征向量;
同时,基于所述待识别网络数据的N个特征向量,对所述待识别网络数据包中的待识别网络数据进行特征分类;
其中对所述待识别网络数据进行特征分类后的分类结果即为所述实时识别结果;
基于所述实时识别结果,为所述网络数据包中的网络数据定义解析函数;
获取所述解析函数的解析标识符,并基于所述解析函数与所述解析标识符构建数据解析网络,同时,根据所述解析标识符配置相应的解析参数;
将所述网络数据包放置于所述数据解析网络中,并根据所述解析参数对所述网络数据包进行解析,并获取解析内容。
该实施例中,网络数据在进入传输路径前的起始状态指的是网络数据在最初的数据状态,例如初始状态是没有规律可循的网络数据。
该实施例中,映射输入符可以是基于网络数据的初始状态,在预设的状态机中进行输入时所要获取映射关系的输入符。
该实施例中,终止状态可以是基于状态转换函数所获取的符合预设的状态机要求的网络数据。
该实施例中,待识别网络数据包可以是通过预设的状态机将网络数据进行转换后的数据包作为待识别网络数据包。
该实施例中,包头标识可以是在网络数据包中的第一个数据的数据标识符。
该实施例中,预设统一规则可以是指在待识别网络数据包中没有包头时,设立的统一对待识别网络数据包进行识别的一种规则。
该实施例中,特征向量指的是网络数据的数据类型,例如int型、float型、long型、short型等。
该实施例中,基于待识别网络数据的N个特征向量,对待识别网络数据包中的待识别网络数据进行特征分类例如可以是将int型数据分为第一类,float型数据分为第二类,long型数据分为第三类,short型数据分为第四类等。
该实施例中,解析标识符是指从解析函数的函数类型获取的,例如函数类型为三角函数,则解析标识符可以为sin、cos、tan等。
该实施例中,解析参数可以是根据解析标识符确定的,用来实现对网络数据包的解析。
上述技术方案的有益效果是:通过将预设的状态机为网络数据进行状态转换,从而有利于获取待识别数据包,通过获取待识别数据的特征向量,并基于特征向量对待识别数据包的数据进行分类,获取识别结果,通过识别结果可以有效获取对应的解析函数,从而精准完成对网络数据包的解析,上述方法大大提高了流式多层安全检测的检测效率与准确性。
实施例4:
在实施例1的基础上,本实施例提供了一种基于状态机的流式多层安全检测方法,步骤2中,进行实时标记的具体工作过程,包括:
获取所述实时识别结果的结果特征以及所述解析内容的内容特征,并基于所述实时识别结果的结果特征以及所述解析内容的内容特征获取标记因子;
基于所述标记因子确定目标标识函数;
获取所述目标标识函数的线性曲线图,并计算所述线性曲线图的斜率;
根据所述线性曲线图的斜率,建立更新模型;
将所述线性曲线图的斜率作为对所述实时识别结果的结果特征以及所述解析内容的内容特征的标识参数;
基于所述标识参数与所述更新模型,对所述实时识别结果以及所述解析内容进行实时更新并标识。
该实施例中,结果特征指的是能够代表实时识别结果的关键数据段或关键数据词,例如实时结果的综合评定指可作为结果特征。
该实施例中,内容特征指的是解析内容中能够代表解析内容中心思想的某一数据段或解析内容对应的一些特征指,例如解析内容的方差、均值等。
该实施例中,标记因子指的是影响对实时识别结果进行标记的一些参数,可根据标记因子确定标记所需要的函数等。
该实施例中,标识参数指的是能够代表标记情况的一些具体数,可通过此参数,准确判断识别结果的类型等。
上述技术方案的有益效果是:通过确定实时识别结果的结果特征以及解析内容的内容特征,并对二者进行分析处理,完成对实时识别结果以及解析内容的更新标识,便于网络检测规则对网络数据包进行实时检测,从而降低数据安全检测的误报率和漏报率。
实施例5:
在实施例1的基础上,本实施例提供了一种基于状态机的流式多层安全检测方法,步骤3中,将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测的具体工作过程,包括:
基于所述实时识别结果和所述解析内容确定待对比数据;
确定所述待对比数据的数据类型,并根据所述数据类型确定所述待对比数据的树形结构;
获取所述树形结构中的对比检查节点,并根据所述对比检查节点建立数据链表;
获取所述数据链表的数据链表信息,同时,获取所述待对比数据的横向维度与纵向维度;
其中,所述数据链表信息包括网络检测规则,且所述网络检测规则中包括数据维度检测标准;
基于所述数据维度检测标准对所述待对比数据的横向维度与纵向维度进行对比检测;
当所述待对比数据不符合所述数据维度检测标准时,则判定存在异常网络数据包。
该实施例中,待对比数据指的是实时识别结果和解析内容中需要用网络监测规则进行检验的数据。
该实施例中,树形结构用来表示待对比数据层次结构,内部存储有待比对数据的各个数据节点。
该实施例中,对比检查节点指的是待比对数据的树形结构中,需要被网络检查规则进行检验的数据节点。
该实施例中,数据链表信息是数据链表的内容。
上述技术方案的有益效果是:通过确定待比对数据,并对待比对数据进行处理校验,完成对待比对数据的校验,确保了待比对数据中没有异常数据,提高了网络检测规则对网络数据包实时检测的准确度,从而降低数据安全检测的误报率和漏报率。
实施例6:
在实施例1的基础上,本实施例提供了一种基于状态机的流式多层安全检测方法,步骤4中,当存在异常网络数据包时,根据所述实时标记,确定异常的网络数据包的具体工作过程包括:
获取所述实时标记的标记曲线,同时,在每个预设时间间隔中记录所述标记曲线所代表的标记值;
其中,所述每个预设时间间隔中的间隔时间相等;
当存在异常网络数据包时,根据所述标记曲线确定异常时间段,并查找异常时间段下所对应的标记值;
基于所述标记值确定所述异常的网络数据包。
该实施例中,标记曲线指的是用来代表标记变化情况的曲线,可根据标记曲线直观的查看标记情况。
该实施例中,预设时间间隔是提前设定好的,例如可以是5s、10s等。
该实施例中,异常时间段指的是在出现异常数据包时,对应的当前时间段,该时间段被定义为异常时间段。
上述技术方案的有益效果是:通过确定在出现异常网络数据包的时间段,从而根据该时间段对数据包进行查验,准确查找出异常数据包,提高了异常数据包查验的效率,提高了网络检测规则对网络数据包实时检测的准确度,从而降低数据安全检测的误报率和漏报率。
实施例7:
在实施例1的基础上,本实施例提供了一种基于状态机的流式多层安全检测方法,步骤3中,还包括:
获取所述实时识别结果的识别效率,并根据所述识别效率计算对所述网络数据的识别误差系数,同时,根据识别误差系数计算实时对比检测的准确度,并对所述实时对比检测的准确度进行分析,判断所述流式多层安全检测的检测性能,具体工作过程包括:
获取网络数据包的识别时间,并基于所述识别时间获取所述实时识别结果的识别效率;
根据所述实时识别结果的识别效率计算对所述网络数据包的识别误差系数;
Figure GDA0003498218730000151
其中,δ表示所述网络数据包的识别误差系数,且取值范围为(0,1);ξ表示对所述网络数据包的识别因子,且取值范围为(0.25,0.68);t0表示对所述网络数据包的识别时间;t1表示对所述网络数据包的基准识别时间;η表示对所述网络数据包进行识别的识别效率;v表示对所述网络数据包识别的识别速度;l表示所述网络数据包中的数据量;P表示在对所述网络数据包进行识别时出现识别错误的概率;
在对所述实时识别结果进行对比检测时,根据所述识别误差系数,计算对比检测准确度;
Figure GDA0003498218730000152
其中,Z表示所述对比检测准确度;δ表示所述网络数据包的识别误差系数,且取值范围为(0,1);S1表示对所述网络数据包的实际识别度;S0表示对所述网络数据包的理想识别度;D表示所述网络数据包与所述网络检测规则中预设的理想数据的对比度;k表示检测因子,取值为1.23;
对所述对比检测准确度进行分析,并获取分析结果,同时,基于所述分析结果构建检测性能评价表;
基于所述检测性能评价表绘制柱状图;
同时,基于所述柱状图,获取所述流式多层安全检测的综合评价值;
将所述流式多层安全检测的综合评价值与预设标准值进行比较;
当所述流式多层安全检测的综合评价值等于或大于所述预设标准值,则判定当前对所述流式多层安全检测的检测性能为合格;
否则,提高对所述网络数据包的识别准确度,并降低所述识别误差系数,直至所述流式多层安全检测的检测性能为合格状态。
该实施例中,对网络数据包进行识别的识别效率可以是对数据包中数据的识别时间。
该实施例中,识别误差系数可以是在识别过程中出现误差的情况时所获取的系数,用来衡量识别准确度与对比检测准确度,是一个常数,取值范围为(0,1)。
该实施例中,识别因子可以是对数据进行识别时的对识别结果进行描述的常数,一般取值范围在(0.25,0.68)。
该实施例中,识别误差因子可以是在识别过程中干扰识别的常数,是人为不可避免的因子,将识别误差因子计算在内是为了对获取的结果更加精准,一般取值范围为(0.02,0.09)。
该实施例中,网络检测规则对网络数据包检测的执行力度可以是对网络数据包中对数据检测的精细程度,例如,对每个数据都检查一遍,则网络检测规则对网络数据包检测的执行力度为100%,若只检测一半,则网络检测规则对网络数据包检测的执行力度为50%等。
该实施例中,理想识别度是提前设定好的,是期望达到的识别数值。
该实施例中,对比度可以是网络数据包与预设的理想数据的一致程度。
上述技术方案的有益效果是:通过获取实时识别结果的识别效率,并根据识别效率准确计算对网络数据的识别误差系数,同时,根据识别误差系数精准计算实时对比检测的准确度,并对实时对比检测的准确度进行分析,从而高效判断所述流式多层安全检测的检测性能,大大提高了流式多层安全检测性能,从而降低安全检测的漏报率。
实施例8:
本实施例提供了一种基于状态机的流式多层安全检测系统,如图2所示,包括:
网络检测获取模块,获取待检测数据的网络数据包,并确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则;
数据处理模块,当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析,确定实时识别结果以及解析内容,并进行实时标记;
对比检测模块,将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测,确定实时对比检测结果;
异常获取模块,当存在异常网络数据包时,根据所述实时标记,确定异常的网络数据包。
上述技术方案的有益效果是:通过网络数据包确定数据传输路径,并基于传输路径设置网络检测规则对网络数据包进行实时检测,从而降低数据安全检测的误报率和漏报率。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (8)

1.一种基于状态机的流式多层安全检测方法,其特征在于,包括:
步骤1:获取待检测数据的网络数据包,并确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则;
步骤2:当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析,确定实时识别结果以及解析内容,并进行实时标记;
步骤3:将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测,确定实时对比检测结果;
步骤4:当所述网络数据包中有异常存在时,根据所述实时标记,确定异常的网络数据包;
确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则,包括:
获取所述网络数据包的特征属性,并根据所述特征属性建立路径标识;
基于所述路径标识,获取路径起始域、路径终止域,并根据所述路径起始域与所述路径终止域获取相对应的路径起始节点与路径终止节点;
根据预设算法,计算所述路径起始节点到所述路径终止节点之间的路径长度,并获取所述路径起始节点到所述路径终止节点之间的路径信息;
基于所述路径起始节点到所述路径终止节点之间的路径信息、所述路径起始节点到所述路径终止节点之间的路径长度,确定所述网络数据包的传输路径;
获取所述传输路径的路径特点,并基于所述路径特点构建路径检测树;
其中,所述路径检测树包括对所述网络数据包进行数据安全检测的检测节点;
基于所述检测节点,设置网络检测规则。
2.根据权利要求1所述的一种基于状态机的流式多层安全检测方法,其特征在于,步骤1中,还包括:
所述传输路径包括网络层、传输层、应用层和内容部署层;
所述网络检测规则包括:传输检测规则、应用检测规则和部署检测规则。
3.根据权利要求1所述的一种基于状态机的流式多层安全检测方法,其特征在于,步骤2中,当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析的具体工作过程,包括:
基于所述预设的状态机,获取所述网络数据在进入所述传输路径前的起始状态,并根据所述起始状态确定所述网络数据的映射输入符;
基于所述映射输入符,获取所述预设的状态机的状态转换函数;
当所述网络数据进入所述传输路径时,根据所述状态转换函数,将所述网络数据转换成所述预设的状态机所预设的终止状态;
同时,基于所述终止状态,获取待识别网络数据包;
获取待识别网络数据包的包头,并判断所述待识别网络数据包的包头是否携带有包头标识;
若所述待识别网络数据包的包头没有携带包头标识,则根据预设统一规则并结合所述待识别网络数据包的包尾数据字段对所述待识别网络数据包进行识别;
否则,根据所述待识别网络数据包的包头标识,对所述待识别网络数据包中待识别网络数据进行识别,并基于识别结果获取所述待识别网络数据所对应的N个特征向量;
同时,基于所述待识别网络数据的N个特征向量,对所述待识别网络数据包中的待识别网络数据进行特征分类;
其中对所述待识别网络数据进行特征分类后的分类结果即为所述实时识别结果;
基于所述实时识别结果,为所述网络数据包中的网络数据定义解析函数;
获取所述解析函数的解析标识符,并基于所述解析函数与所述解析标识符构建数据解析网络,同时,根据所述解析标识符配置相应的解析参数;
将所述网络数据包放置于所述数据解析网络中,并根据所述解析参数对所述网络数据包进行解析,并获取解析内容。
4.根据权利要求1所述的一种基于状态机的流式多层安全检测方法,其特征在于,步骤2中,进行实时标记的具体工作过程,包括:
获取所述实时识别结果的结果特征以及所述解析内容的内容特征,并基于所述实时识别结果的结果特征以及所述解析内容的内容特征获取标记因子;
基于所述标记因子确定目标标识函数;
获取所述目标标识函数的线性曲线图,并计算所述线性曲线图的斜率;
根据所述线性曲线图的斜率,建立更新模型;
将所述线性曲线图的斜率作为对所述实时识别结果的结果特征以及所述解析内容的内容特征的标识参数;
基于所述标识参数与所述更新模型,对所述实时识别结果以及所述解析内容进行实时更新并标识。
5.根据权利要求1所述的一种基于状态机的流式多层安全检测方法,其特征在于,步骤3中,将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测的具体工作过程,包括:
基于所述实时识别结果和所述解析内容确定待对比数据;
确定所述待对比数据的数据类型,并根据所述数据类型确定所述待对比数据的树形结构;
获取所述树形结构中的对比检查节点,并根据所述对比检查节点建立数据链表;
获取所述数据链表的数据链表信息,同时,获取所述待对比数据的横向维度与纵向维度;
其中,所述数据链表信息包括网络检测规则,且所述网络检测规则中包括数据维度检测标准;
基于所述数据维度检测标准对所述待对比数据的横向维度与纵向维度进行对比检测;
当所述待对比数据不符合所述数据维度检测标准时,则判定存在异常网络数据包。
6.根据权利要求1所述的一种基于状态机的流式多层安全检测方法,其特征在于,步骤4中,当存在异常网络数据包时,根据所述实时标记,确定异常的网络数据包的具体工作过程包括:
获取所述实时标记的标记曲线,同时,在每个预设时间间隔中记录所述标记曲线所代表的标记值;
其中,所述每个预设时间间隔中的间隔时间相等;
当存在异常网络数据包时,根据所述标记曲线确定异常时间段,并查找异常时间段下所对应的标记值;
基于所述标记值确定所述异常的网络数据包。
7.根据权利要求1所述的一种基于状态机的流式多层安全检测方法,其特征在于,步骤3中,还包括:
获取所述实时识别结果的识别效率,并根据所述识别效率计算对所述网络数据的识别误差系数,同时,根据识别误差系数计算实时对比检测的准确度,并对所述实时对比检测的准确度进行分析,判断所述流式多层安全检测的检测性能,具体工作过程包括:
获取网络数据包的识别时间,并基于所述识别时间获取所述实时识别结果的识别效率;
根据所述实时识别结果的识别效率计算对所述网络数据包的识别误差系数;
Figure FDA0003498218720000051
其中,δ表示所述网络数据包的识别误差系数,且取值范围为(0,1);t0表示对所述网络数据包的识别时间;t1表示对所述网络数据包的基准识别时间;η表示对所述网络数据包进行识别的识别效率;v表示对所述网络数据包识别的识别速度;l表示所述网络数据包中的数据量;P表示在对所述网络数据包进行识别时出现识别错误的概率;
在对所述实时识别结果进行对比检测时,根据所述识别误差系数,计算对比检测准确度;
Figure FDA0003498218720000052
其中,Z表示所述对比检测准确度;δ表示所述网络数据包的识别误差系数,且取值范围为(0,1);S1表示对所述网络数据包的实际识别度;S0表示对所述网络数据包的理想识别度;D表示所述网络数据包与所述网络检测规则中预设的理想数据的对比度;k表示常数,取值为1.23;
对所述对比检测准确度进行分析,并获取分析结果,同时,基于所述分析结果构建检测性能评价表;
基于所述检测性能评价表绘制柱状图;
同时,基于所述柱状图,获取所述流式多层安全检测的综合评价值;
将所述流式多层安全检测的综合评价值与预设标准值进行比较;
当所述流式多层安全检测的综合评价值等于或大于所述预设标准值,则判定当前对所述流式多层安全检测的检测性能为合格;
否则,提高对所述网络数据包的识别准确度,并降低所述识别误差系数,直至所述流式多层安全检测的检测性能为合格状态。
8.一种基于状态机的流式多层安全检测系统,其特征在于,包括:
网络检测获取模块,获取待检测数据的网络数据包,并确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则;
数据处理模块,当网络数据进入所述传输路径时,根据预设的状态机,将多个所述网络数据包进行实时数据识别和实时数据解析,确定实时识别结果以及解析内容,并进行实时标记;
对比检测模块,将所述实时识别结果和解析内容根据所述网络检测规则进行实时对比检测,确定实时对比检测结果;
异常获取模块,当存在异常网络数据包时,根据所述实时标记,确定异常的网络数据包,
确定所述网络数据包的传输路径,同时,在所述传输路径中预先设置网络检测规则,包括:
获取所述网络数据包的特征属性,并根据所述特征属性建立路径标识;
基于所述路径标识,获取路径起始域、路径终止域,并根据所述路径起始域与所述路径终止域获取相对应的路径起始节点与路径终止节点;
根据预设算法,计算所述路径起始节点到所述路径终止节点之间的路径长度,并获取所述路径起始节点到所述路径终止节点之间的路径信息;
基于所述路径起始节点到所述路径终止节点之间的路径信息、所述路径起始节点到所述路径终止节点之间的路径长度,确定所述网络数据包的传输路径;
获取所述传输路径的路径特点,并基于所述路径特点构建路径检测树;
其中,所述路径检测树包括对所述网络数据包进行数据安全检测的检测节点;
基于所述检测节点,设置网络检测规则。
CN202110843972.7A 2021-07-26 2021-07-26 一种基于状态机的流式多层安全检测方法及系统 Active CN113676457B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110843972.7A CN113676457B (zh) 2021-07-26 2021-07-26 一种基于状态机的流式多层安全检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110843972.7A CN113676457B (zh) 2021-07-26 2021-07-26 一种基于状态机的流式多层安全检测方法及系统

Publications (2)

Publication Number Publication Date
CN113676457A CN113676457A (zh) 2021-11-19
CN113676457B true CN113676457B (zh) 2022-04-01

Family

ID=78540178

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110843972.7A Active CN113676457B (zh) 2021-07-26 2021-07-26 一种基于状态机的流式多层安全检测方法及系统

Country Status (1)

Country Link
CN (1) CN113676457B (zh)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242320A (zh) * 2008-03-13 2008-08-13 华为技术有限公司 监测网络路径的方法及装置
CN102196481A (zh) * 2011-06-07 2011-09-21 中兴通讯股份有限公司 网络状态上报方法、检测方法、装置和系统
CN104579823B (zh) * 2014-12-12 2016-08-24 国家电网公司 一种基于大数据流的网络流量异常检测系统及方法
EP3714583B1 (en) * 2017-11-20 2023-12-13 Nokia Technologies Oy Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment
CN108322433A (zh) * 2017-12-18 2018-07-24 中国软件与技术服务股份有限公司 一种基于流检测的网络安全检测方法
CN110149247B (zh) * 2019-06-06 2021-04-16 北京神州绿盟信息安全科技股份有限公司 一种网络状态的检测方法及装置

Also Published As

Publication number Publication date
CN113676457A (zh) 2021-11-19

Similar Documents

Publication Publication Date Title
CN110888755B (zh) 一种微服务系统异常根因节点的查找方法及装置
CN110351301B (zh) 一种http请求双层递进式异常检测方法
CN111475680A (zh) 检测异常高密子图的方法、装置、设备及存储介质
CN111798312A (zh) 一种基于孤立森林算法的金融交易系统异常识别方法
CN111930592A (zh) 一种实时检测日志序列异常的方法和系统
CN110825798A (zh) 一种电力应用数据维护方法及装置
CN111783904A (zh) 基于环境数据的数据异常分析方法、装置、设备及介质
CN105024993A (zh) 一种基于向量运算的协议比对方法
CN111885059A (zh) 一种工业网络流量异常检测定位的方法
CN112507376B (zh) 一种基于机器学习的敏感数据检测方法及装置
CN111931601A (zh) 齿轮箱错误类别标签修正系统及方法
CN113554094A (zh) 网络异常检测方法、装置、电子设备及存储介质
CN111881164B (zh) 基于边缘计算和路径分析的数据处理方法及大数据云平台
CN111191720B (zh) 一种业务场景的识别方法、装置及电子设备
CN114584497A (zh) 一种被动式工业控制系统资产识别方法及装置
CN113779590B (zh) 一种基于多维度表征的源代码漏洞检测方法
CN113657747B (zh) 一种企业安全生产标准化级别智能评定系统
CN112084095B (zh) 基于区块链的能源网联监控方法、系统及存储介质
CN113676457B (zh) 一种基于状态机的流式多层安全检测方法及系统
CN112395195A (zh) 自动化测试数据的处理方法、装置、设备及存储介质
CN112070508A (zh) 基于区块链金融的区块链支付处理方法及区块链支付平台
CN116126807A (zh) 一种日志分析方法及相关装置
CN114615052A (zh) 一种基于知识编译的入侵检测方法及系统
CN111049839B (zh) 一种异常检测方法、装置、存储介质及电子设备
CN113535458A (zh) 异常误报的处理方法及装置、存储介质、终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant