CN114221816B - 流量检测方法、装置、设备及存储介质 - Google Patents
流量检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114221816B CN114221816B CN202111554499.7A CN202111554499A CN114221816B CN 114221816 B CN114221816 B CN 114221816B CN 202111554499 A CN202111554499 A CN 202111554499A CN 114221816 B CN114221816 B CN 114221816B
- Authority
- CN
- China
- Prior art keywords
- data
- packet length
- detected
- length sequence
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 84
- 238000004891 communication Methods 0.000 claims abstract description 107
- 230000008859 change Effects 0.000 claims abstract description 80
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000004590 computer program Methods 0.000 claims description 4
- 230000006399 behavior Effects 0.000 description 58
- 238000010586 diagram Methods 0.000 description 35
- 230000005540 biological transmission Effects 0.000 description 16
- 101100335307 Xenopus laevis foxe4 gene Proteins 0.000 description 12
- 230000009471 action Effects 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000011179 visual inspection Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种流量检测方法、装置、设备及存储介质。其中,方法包括:在目标报文数据的目标会话流量数据中,获取目标报文数据的上下文包长序列;在待检测流量数据中获取待检测包长序列;在确定待检测包长序列与上下文包长序列的变化趋势一致的情况下,确定待检测流量数据中包括目标检测报文数据。本发明实施例可以实现在通信流量数据中对加密处理后的报文内容进行检测,确保通信报文内容的安全性。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种流量检测方法、装置、设备及存储介质。
背景技术
随着对互联网中的隐私保护需求日益增高,网络通信流量中信息的保密程度也越来越高,通常可以采用可以对所传输信息进行加密处理的通信协议实现流量中信息的保密程度提高。例如,TLS(Transport Layer Security,安全传输层)协议是一种对TCP(Transmission Control Protocol,传输控制协议)传输层之上的应用层加密的协议,其非对称加密方法、证书、密钥交换等方法能够有效保护通信内容的安全性。示例性的,图1为现有技术中的一种客户端与服务器之间采用TLS协议通信的示意图。如图1所示,采用TLS协议进行通信所传输的报文中,其协议本身大多数字段的值采用明文传输,但有效会话信息均采用密文传输。但随之而来的问题是,以往通过DPI(Deep Packet Inspection,深度报文检测)方式来检测报文中的内容信息以识别网络流量的方法,无法对加密后的报文内容信息进行检测识别,以致该流量识别方法失效。
在传统DPI的检测方式中,由于网络数据是以明文内容进行传输的,则只需要直接匹配报文内的明文内容的关键字,即可识别某个会话,甚至会话上某个具体报文是否在传输我们需要检测的内容。示例性的,图2为现有技术中的一种服务器通信流量明文内容的示意图。在一个具体的例子中,移动端APP(Application,应用程序)连接服务器进行通信所产生的部分流量如图2所示。由于设备标识符属于隐私内容,因此如果我们想检测流量是否携带移动端设备的IMEI(International Mobile Equipment Identity,国际移动设备识别码)数据,就可以对该服务器流量的HTTP(Hyper Text Transfer Protocol,超文本传输协议)明文的特定部位的特定关键字进行匹配检测。根据IMEI数据传输的特性,可以确定其仅在特定URL传输,则根据图2中所示,可以先通过图中左上框选的特定URL(UniformResource Locator,统一资源定位符)筛选可能传输IMEI的该部分流量。进一步的,可以通过关键字匹配,在图中右下方框选的内容中识别出IMEI传输所产生的流量,从而识别出该部分流量对应的通信行为中包括对IMEI的传输。然而,图3为现有技术中的一种服务器通信流量密文内容的示意图。如图3所示,即为图2中相同部分的流量经加密处理之后得到的,通过其右下方框选的内容可以看出,基于关键字匹配的方法已无法识别出加密后的IMEI传输报文内容。
发明内容
本发明实施例提供一种流量检测方法、装置、设备及存储介质,以实现在通信流量数据中对加密处理后的报文内容进行检测,确保通信报文内容的安全性。
第一方面,本发明实施例提供了一种流量检测方法,包括:
在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列;
在待检测流量数据中获取待检测包长序列;
在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中包括目标检测报文数据。
第二方面,本发明实施例还提供了一种流量检测装置,包括:
上下文序列获取模块,用于在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列;
待检测序列获取模块,用于在待检测流量数据中获取待检测包长序列;
报文数据确定模块,用于在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中包括目标检测报文数据。
第三方面,本发明实施例还提供了一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例所提供的流量检测方法。
第四方面,本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所提供的流量检测方法。
本发明实施例通过在目标报文数据的目标会话流量数据中获取目标报文数据的上下文包长序列,并在待检测流量数据中获取待检测包长序列,从而在确定待检测包长序列与上下文包长序列的变化趋势一致的情况下确定待检测流量数据中包括目标检测报文数据,实现根据流量数据中的包长序列变化趋势特征检测生成流量的通信行为,解决了现有技术中无法对加密流量数据进行检测的技术问题,实现在通信流量数据中对加密处理后的报文内容进行检测,确保通信报文内容的安全性。
附图说明
图1为现有技术中的一种客户端与服务器之间采用TLS协议通信的示意图。
图2为现有技术中的一种服务器通信流量明文内容的示意图。
图3为现有技术中的一种服务器通信流量密文内容的示意图。
图4为本发明实施例一提供的一种流量检测方法的流程图。
图5为本发明实施例二提供的一种流量检测方法的流程图。
图6为本发明实施例二提供的一种趋势图像数据的示意图。
图7为本发明实施例二提供的一种趋势图像数据相似的示意图。
图8为本发明实施例二提供的又一种趋势图像数据相似的示意图。
图9为本发明实施例二提供的又一种趋势图像数据相似的示意图。
图10为本发明实施例二提供的又一种趋势图像数据相似的示意图。
图11为本发明实施例二提供的又一种趋势图像数据相似的示意图。
图12为本发明实施例二提供的一种趋势图像数据不相似的示意图。
图13为本发明实施例二提供的一种流量检测方法的流程示意图。
图14为本发明实施例二提供的一种明文流量标记的示意图。
图15为本发明实施例二提供的一种密文流量标记的示意图。
图16为本发明实施例二提供的又一种趋势图像数据的示意图。
图17为本发明实施例二提供的一种待检测报文包长序列选取的示意图。
图18为本发明实施例二提供的一种趋势图像数据相似度的示意图。
图19为本发明实施例二提供的又一种待检测报文包长序列选取的示意图。
图20为本发明实施例二提供的又一种趋势图像数据相似度的示意图。
图21为本发明实施例三提供的一种流量检测装置的结构示意图。
图22为本发明实施例四提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图4是本发明实施例一提供的一种流量检测方法的流程图,本实施例可适用于在通信流量数据中对加密处理后的报文内容进行检测的情况,该方法可以由本发明实施例提供的流量检测装置来执行,该装置可以由软件和/或硬件的方式来实现,并一般可集成在计算机设备中。相应的,如图4所示,该方法包括如下操作:
S110、在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列。
其中,目标报文数据可以是需要检测的特定通信行为对应的报文数据。目标会话流量数据可以是传输目标报文数据所生成的流量。上下文包长序列可以是目标会话流量数据中的目标报文数据及其上下文的报文的包长按照其在目标会话流量数据中传输顺序排列所形成的序列。
相应的,任意通信行为中具有特定内容的报文数据可以在通信端的会话所生成的流量数据中传输,且在通信端会话所生成的流量数据中,还可以包括发生于其之前和/或之后的通信行为所传输的报文数据,各报文数据在流量数据中按照传输顺序互为上下文。因此,可以根据需要检测的特定通信行为的目标报文数据,在其目标会话流量数据中获取特定数量的该目标报文数据的上下文的报文,根据目标报文数据连同其上下文报文的包长,按照其在目标会话流量数据中的传输顺序形成上下文包长序列。
S120、在待检测流量数据中获取待检测包长序列。
其中,待检测流量数据可以是需要检测其中是否包括由特定通信行为生成的流量数据的流量数据。待检测包长序列可以是待检测流量数据中特定数量的连续报文数据的包长按照其传输顺序排列所形成的序列。
相应的,待检测流量数据中可以包括多个传输的报文数据,则可以在待检测流量数据中获取特定数量的连续多个报文数据的包长,按照其在待检测流量数据中的传输顺序形成待检测包长序列。可选的,待检测包长序列的长度可以根据上下文包长序列的长度确定,可以与上下文包长序列的长度相同,也可以与上下文包长序列的长度的差值在一定范围内,在此不做限定。
S130、在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中包括目标检测报文数据。
其中,变化趋势可以是包长序列中的各包长的数值按照其排列顺序形成的变化趋势。目标检测报文数据可以是需要检测的特定通信行为在待检测流量数据中传输的报文数据。
相应的,任意通信行为中可以传输特定的报文数据,则在执行该通信行为之前和/或之后,可以执行特定的行为以实现传输该特定报文数据,则若形成待检测包长序列的报文数据中包括目标检测报文数据,则该目标检测报文数据可以与目标报文数据的包长对应,该目标检测报文数据在待检测流量数据中的上下文报文数据可以与目标报文数据在目标会话流量数据中的上下文报文数据根据上下文位置一一对应,则该目标检测报文数据与其上下文报文数据之间的包长关系与目标报文数据与其上下文报文数据之间的包长关系相同或相似,即该待检测包长序列的全部或包括目标检测报文数据包长的部分序列的变化趋势可以与上下文包长序列的变化趋势一致。因此,在确定待检测包长序列与上下文包长序列的变化趋势一致的情况下,可以确定待检测流量数据中包括目标检测报文数据。
本发明实施例提供了一种流量检测方法,通过在目标报文数据的目标会话流量数据中获取目标报文数据的上下文包长序列,并在待检测流量数据中获取待检测包长序列,从而在确定待检测包长序列与上下文包长序列的变化趋势一致的情况下确定待检测流量数据中包括目标检测报文数据,实现根据流量数据中的包长序列变化趋势特征检测生成流量的通信行为,解决了现有技术中无法对加密流量数据进行检测的技术问题,实现在通信流量数据中对加密处理后的报文内容进行检测,确保通信报文内容的安全性。
实施例二
图5为本发明实施例二提供的一种流量检测方法的流程图。本发明实施例以上述实施例为基础进行具体化,在本发明实施例中,进一步给出了在确定待检测包长序列与上下文包长序列的变化趋势不一致的情况下的方法步骤。
如图5所示,本发明实施例的方法具体包括:
S210、在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列。
在本发明的一个可选实施例中,在所述在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列之前,还可以包括:获取目标通信行为关联的密文流量数据,并对所述密文流量数据进行解密处理,得到明文流量数据;根据所述目标通信行为在所述明文流量数据中识别出明文会话流量数据,并获取所述明文会话流量数据的会话标识数据;在所述密文流量数据中,获取与所述会话标识数据匹配的所述目标会话流量数据。
其中,目标通信行为可以是需要检测的特定通信行为。密文流量数据可以是确定通信端执行了目标通信行为的情况下采集到的网络中采用加密协议进行通信所生成的流量数据。解密处理可以是根据通信端采用的加密协议,采用相应的解密方法对密文流量数据的加密内容进行解密的操作。明文流量数据可以是对密文流量数据进行解密处理得到的可以直接获取其内容的流量数据。明文会话流量数据可以是明文流量数据中执行了目标通信行为的通信端进行通信所生成的流量数据。会话标识数据可以是唯一表示明文会话流量数据的数据。目标会话流量数据可以是密文流量数据中执行了目标通信行为的通信端进行通信所生成的流量数据。
相应的,在确定采用加密协议通信的通信端之间执行了目标通信行为的情况下,例如可以是通过任意方法监控通信端之间的通信行为以确定通信端之间执行了目标通信行为,也可以是控制通信端之间执行目标通信行为,在此不做限定,可以采集网络中的密文流量数据,则可以确定该密文流量数据中传输的报文数据包括目标报文数据。对密文流量数据进行解密处理,则可以将密文流量数据中传输的加密内容解密为相应的明文内容,得到明文流量数据。
进一步的,可以在明文流量数据的明文内容中识别出目标通信行为传输的报文数据,则可以确定明文流量数据中传输该报文数据的会话对应的流量数据即为明文会话流量数据,则可以在目标会话流量数据中获取其会话标识数据,根据该会话标识数据,可以在密文流量数据中匹配出传输该报文数据的会话对应的目标会话流量数据,即为传输目标报文数据的目标会话流量数据。
可选的,会话标识数据可以包括会话流量数据的源端口号、目的端口号、源IP地址(Internet Protocol Address,互联网协议地址)、目的IP地址和TCP协议号。具体的,对于相同通信端之间进行相同通信行为的会话,在分别采用加密协议与非加密协议所生成的流量数据中标识有相同的源端口号、目的端口号、源IP地址、目的IP地址和TCP协议号,则在确定明文会话流量数据的情况下,可以获取其会话标识数据,从而可以在密文流量数据中确定与该会话标识数据匹配的目标会话流量数据。
在本发明的一个可选实施例中,所述在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列,可以包括:在所述目标会话流量数据中获取连续的第一数量的会话报文数据;分别获取各所述会话报文数据的会话报文包长数据;根据所述会话报文数据的报文顺序和所述会话报文包长数据,生成所述上下文包长序列。
其中,第一数量可以是根据目标通信行为以及在其之前和/或之后执行的与其关联的通信行为所传输的报文数量,预先确定的数量。会话报文数据可以是目标会话流量数据中传输的报文数据,其中包括目标通信行为所传输的目标报文数据。会话报文包长数据可以是各会话报文数据的包长。报文顺序可以是各报文数据在流量数据中的传输顺序。
相应的,可以根据明文会话流量数据中识别出的目标通信行为传输的报文数据,可以在相应的目标会话流量数据中确定目标报文数据,则可以根据目标报文数据在目标会话流量数据中获取连续的第一数量的会话报文数据,以使第一数量的会话报文数据中包括目标报文数据,以及在执行目标通信行为之前和/或之后执行的关联的通信行为所传输的上下文报文数据。进一步的,分别获取各会话报文数据的会话报文包长数据,则可以根据会话报文数据的报文顺序将其一一对应的会话报文包长数据排列形成上下文包长序列。
S220、在待检测流量数据中获取待检测包长序列。
在本发明的一个可选实施例中,所述在待检测流量数据中获取待检测包长序列,可以包括:在所述待检测流量数据中获取连续的第二数量的待检测报文数据;分别获取各所述待检测报文数据的所述待检测报文包长数据;根据所述待检测报文数据的报文顺序和所述待检测报文包长数据,生成所述待检测包长序列。
其中,第二数量可以是根据目标通信行为以及在其之前和/或之后执行的与其关联的通信行为所传输的报文数量,预先确定的数量。待检测报文数据可以是需要检测其中是包括目标通信行为以及在其之前和/或之后执行的与其关联的通信行为所传输的报文数据的报文数据。待检测报文包长数据可以是各待检测报文数据的包长。
相应的,可以根据目标通信行为以及在其之前和/或之后执行的与其关联的通信行为所传输的报文数量,预先确定第二数量,并在待检测流量数据中获取连续的第二数量的待检测报文数据,以对该第二数量的待检测报文数据进行检测,判断其中是否包括目标通信行为以及在其之前和/或之后执行的与其关联的通信行为所传输的报文数量。进一步的,分别获取各待检测报文数据的待检测报文包长数据,则可以根据待检测报文数据的报文顺序将其一一对应的待检测报文包长数据排列形成待检测包长序列。
可选的,第二数量可以根据第一数量确定,可以是第一数量与预设误差报文数量之和。其中,预设误差报文数量可以是根据经验值预先设定的可能出现重新传输的报文数据以及噪声报文数据的数量,则第二数量等于第一数量与预设误差报文数量之和,可以确保当第二数量的待检测报文数据中包括目标通信行为传输的报文数据时,第二数量的待检测报文数据足够覆盖目标通信行为传输的报文数据关联的上下文报文数据,以使第二数量的待检测报文数据对应的待检测包长序列可以覆盖与上下文包长序列的变化趋势一致的特征。
S230、判断所述待检测包长序列与所述上下文包长序列的变化趋势是否一致,若是,则可以执行S240,否则,执行S250~S260。
在本发明的一个可选实施例中,所述确定所述待检测包长序列与所述上下文包长序列的变化趋势一致,可以包括:获取所述待检测包长序列和所述上下文包长序列的序列相似度;在确定所述序列相似度达到序列相似度阈值的情况下,确定所述待检测包长序列与所述上下文包长序列的变化趋势一致。
其中,序列相似度可以是描述序列变化趋势的相似程度的数据。序列相似度阈值可以是任意两次目标通信行为所对应的上下文包长序列之间的序列相似度可能出现的最小值。
相应的,可以通过任意可实现的方式获取待检测包长序列与上下文包长序列之间的序列相似度,在此不做限定。若序列相似度达到序列相似度阈值,可以说明待检测包长序列与上下文包长序列之间的变化趋势相似程度,达到任意两次目标通信行为所对应的上下文包长序列的变化趋势之间的相似程度,可以确定待检测包长序列与上下文包长序列的变化趋势一致,即足以确定待检测包长序列中包括目标报文数据及其关联的上下文报文数据。
在本发明的一个可选实施例中,所述确定所述待检测包长序列与所述上下文包长序列的变化趋势一致,可以包括:分别获取所述待检测包长序列和所述上下文包长序列的趋势图像数据;获取所述趋势图像数据之间的图像相似度;在确定所述图像相似度达到图像相似度阈值的情况下,确定所述待检测包长序列与所述上下文包长序列的变化趋势一致。
其中,趋势图像数据可以是描述序列的变化趋势的数据。图像相似度可以是描述趋势图像数据之间的相似程度的数据。图像相似度阈值可以是任意两次目标通信行为所对应的上下文包长序列的趋势图像数据之间的图像相似度可能出现的最小值。
相应的,可以通过任意可实现的方式获取待检测包长序列和上下文包长序列的趋势图像数据,并获取趋势图像数据之间的图像相似度,在此不做限定。若该图像相似度达到图像相似度阈值,可以说明待检测包长序列与上下文包长序列的趋势图像数据的相似程度,达到任意两次目标通信行为所对应的上下文包长序列的趋势图像数据之间的相似程度,可以确定待检测包长序列与上下文包长序列的变化趋势一致,即足以确定待检测包长序列中包括目标报文数据及其关联的上下文报文数据。
示例性的,图6为本发明实施例二提供的一种趋势图像数据的示意图。如图6所示为应用访问服务器目标会话的六种样本,其中横轴为报文序号,纵轴为报文长度。其中三种样本中由线框框选的内容具有一定的相似性,而另外三种样本则不具备特征相同的部分,而根据样本对应的报文内容可知,前者中均包括同一需要检测的通信行为报文,后者则不包括。这是由于特定的通信并非只是传输特定的报文内容,还包括由于传输了特定的数据并进行特定的动作所产生的特定上下文报文。
进一步的,图7-11为本发明实施例二提供的趋势图像数据相似的示意图,其中包括趋势图像数据相似度的不同情况。具体的,待检测包长度lens2与目标包长度序列lens1之间存在等差情况。如图7所示,两个序列之间存在等差5,其图像之间仅仅是做了平移,因此相似度很高,如图中所示similarity值越低,相似度越高,完全相同为0,反之亦然。
待检测包长度lens2与目标包长度序列lens1之间还存在噪声情况,可以是待检测包数据包存在TCP层或应用层数据的重传导致的。如图8所示,lens2与lens1之间不但存在等差5,而且lens2比lens1还多了一个包长为10,这个包长10就是重复传输的上一个报文,此情况下图像相似度同样也很高。
待检测包长度lens2与目标包长度序列lens1之间还存在不等差的偏移情况,此情况更为多见,且更为泛化,可以是由于实际网络传输内容多包含变长内容,造成较小或较大偏移,但由于每个数据包内包含的数据字段量是不同的,例如A报文包含8个Key=Value和B报文包含25个Key=Value,虽然Value存在多个变长情况,但由于变长范围一般也有限,8个和25个这种差异就成为主要特征成分,从而体现在报文数据总量特征差异中。如图9所示,lens1和lens2之间不但存在不等差的情况,而且lens2比lens1还多了一个包长为7,这个包长7就是重复传输的上一个报文,此情况下图像相似度同样也很高,两条曲线走势一致。
待检测包长度lens2与目标包长度序列lens1之间不等差的情况,还包括除重传导致的噪声外,存在不确定的多余噪声的情况。如图10所示,lens1和lens2之间不但存在不等差的情况,且lens2比lens1还多了一个包长为7,这个包长7就是重复传输的上一个报文;同时还多了8和35两个噪声报文包长。此情况下图像相似度同样也很高,两条曲线走势一致。
待检测包长度lens2与目标包长度序列lens1之间不等差的情况,还包括数据包合并的情况,可以是由于TCP的Nagle算法有时会将小包合并为一个大包进行传输,因此会造成一定的特征包长度消失。如图11所示,lens1和lens2之间不但存在不等差的情况,且lens2比lens1还多了一个包长为7,这个包长7就是重复传输的上一个报文;同时还多了8和35两个噪声报文包长;还将包长为20和30的两个报文进行了合并传输,并且值还多了1,形成lens2中51的包长元素。此时我们肉眼观察此序列,已经几乎很难观察到相似性。此情况下图像相似度有所降低,但两条曲线走势还是基本一致的。
相应的,图12为本发明实施例二提供的一种趋势图像数据不相似的示意图。如图12所示,两个包长序列走势很不一致,因此相似性很低,similarity的值为89,远大于0至30的范围。因此,可以确定这两种序列特征不同,不属于同一通信行为对应的序列。
S240、确定所述待检测流量数据中包括目标检测报文数据。
在本发明的一个可选实施例中,在所述确定所述待检测流量数据中包括目标检测报文数据之后,还可以包括:获取所述待检测包长序列与所述上下文包长序列的数据匹配关系;根据所述数据匹配关系,在所述待检测包长序列中确定与所述上下文包长序列中的目标报文包长数据匹配的目标检测包长数据;将所述目标检测包长数据对应的待检测报文数据确定为所述目标检测报文数据。
其中,数据匹配关系可以是待检测包长序列和上下文包长序列中由相同的通信行为传输的报文数据的包长之间的关系。目标报文包长数据可以是目标会话流量数据中的目标报文数据的包长。目标检测包长数据可以是与目标报文包长数据具有数据匹配关系的包长,可以是待检测流量数据中由目标通信行为传输的报文数据的包长。
相应的,在确定待检测包长序列与上下文包长序列的变化趋势一致的情况下,则可以根据待检测包长序列与上下文包长序列中变化趋势一致的部分获取序列中各包长数据之间的数据匹配关系。在待检测包长序列中,与上下文包长序列中的目标报文数据的包长具有数据匹配关系的目标检测包长数据可以被确定为待检测流量数据中由目标通信行为传输的报文数据的包长,则该目标检测包长数据对应的待检测报文数据即为目标检测报文数据。
S250、重复在所述待检测流量数据中获取所述待检测包长序列,直至确定所述待检测包长序列与所述上下文包长序列的变化趋势一致,或确定不存在所述待检测包长序列与所述上下文包长序列的变化趋势一致。
其中,在确定待检测包长序列与上下文包长序列的变化趋势不一致的情况下,可以重新在待检测流量数据中获取待检测包长序列,并判断待检测包长序列与上下文包长序列的变化趋势是否一致,直至确定最新获取的待检测包长序列与上下文包长序列的变化趋势一致的情况下,确定该待检测流量数据中包括目标检测报文数据。若在待检测流量数据中获取的全部待检测包长序列均与上下文包长序列的变化趋势不一致,则可以确定不存在待检测包长序列与上下文包长序列的变化趋势一致。
可选的,在待检测流量数据中获取待检测包长序列,可以是从待检测流量数据中传输的第一个报文数据开始,获取预设数量的,例如可以是第二数量的连续的报文数据,并得到对应的待检测包长序列。在确定该待检测包长序列与上下文包长序列的变化趋势不一致的情况下,可以从待检测流量数据中传输的第二个报文数据开始,获取预设数量的连续的报文数据,得到对应的下一待检测包长序列并判断其与上下文包长序列的变化趋势是否一致。以此类推,每次确定最新获取的待检测包长序列与上下文包长序列的变化趋势不一致的情况下,均可以从该待检测包长序列对应的首个报文数据的下一报文数据开始,获取预设数量的连续报文数据并得到对应的下一待检测包长序列。在最新得到的待检测包长序列对应于待检测流量数据中的最末端的预设数量的连续报文数据的情况下,若该待检测包长序列仍与上下文包长序列的变化趋势不一致,可以确定不存在待检测包长序列与上下文包长序列的变化趋势一致。
S260、在确定不存在所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中不包括所述目标检测报文数据。
相应的,在确定不存在待检测包长序列与上下文包长序列的变化趋势一致的情况下,可以说明待检测流量数据中不包括包长变化趋势与上下文包长序列的变化趋势一致的连续报文数据,待检测流量数据对应的通信行为中不包括目标通信行为以及在其之前和/或之后执行的与其关联的通信行为,则可以确定其中不包括目标检测报文数据。
示例性的,图13是本发明实施例二提供的一种流量检测方法的流程示意图。在一个具体的例子中,如图13所示,首先可以在流量数据中标记出需要检测的目标会话流以及目标会话流中的目标会话报文。图14为本发明实施例二提供的一种明文流量标记的示意图。如图14所示,需要检测的内容对象为A应用和X服务器通信的Y报文,Y报文可以是某种特定动作传输的报文,例如登录、付款等,Y报文也可以是包括某种特定内容的报文,例如隐私信息或账号等。图15为本发明实施例二提供的一种密文流量标记的示意图。如图15所示,可以根据关联的端口号一致性确定与图14所示明文会话流对应的密文会话流。在其中确定特定的Y目标报文后,由Y报文前N个及后M个,再加上Y报文本身,一共组成一个(N+1+M)个报文包长度序列Lens:{N1,N2,N3,...Ni,Y,M1,M2,M3,...,Mj},其中,序列中各元素可以是报文的负载长度,即包长,可以代表应用层的信息量;M和N均为非负整数,i和j均为正整数。该包长序列Lens则可以做为包长序列特征库中的一个特征序列,用来表示A应用和X服务器的Y动作或Y内容的特征。如图15所示可以取N为1,M为7,取得包长序列Lens:{1008,1677,705,725,717,717,695,1008,695}。相应的,图16为本发明实施例二提供的又一种趋势图像数据的示意图。如图16所示,其横轴为报文序号,纵轴为报文包长,线圈框住的点即为Y报文的包长对应的数值点1677。
相应的,图17为本发明实施例二提供的一种待检测报文包长序列选取的示意图。如图17所示,可以从任意包长开始,获取待检测目标会话包长度序列的(N+1+M+E)个包长度,其中(N+1+M)的值如上所述,E为非负整数,可以是引入的噪声报文个数阈值,可以表示序列所取报文中包含的噪声报文数量。该噪声报文可以是由于TCP层或应用层重传导致的,也可以是应用发出的其它功能报文流量。该噪声报文的流量的出现率是不一定的,因此为了取得的待检测包长度序列尽可能覆盖特征库的特征序列,同时避免引入过多干扰项,E的取值不宜过大,例如可以取3至5个,则待检测包长度序列里允许出现E个噪声报文,而对最终检测结果的准确性影响很小。图17中所示可以取E为1,则获取到待检测报文包长序列为{1007,1007,1658,705,724,716,716,717,695,1006},共十个包长元素。
进一步的,图18为本发明实施例提供的一种趋势图像数据相似度的示意图。如图18所示,similarity的值为311,即两个包长度序列不相似,则可以说明待检测包长度序列与特征库中的Lens不属于同一种。图19为本发明实施例二提供的又一种待检测报文包长序列选取的示意图。如图19所示,当判断序列不相似时,则继续从下一个包长取一个新的(N+1+M+E)个包长序列,即包长序列后移一个包长。针对新的待检测包长序列检测其与特征序列Lens的相似度,图20为本发明实施例提供的又一种趋势图像数据相似度的示意图。如图20所示,similarity的值为19,可以确定待检测包长序列与特征序列Lens相似,则确定此待检测包长序列所在会话即为目标A应用的X服务器通讯的会话里包含Y动作或Y内容,Y报文存在于该序列对应的报文中。由于根据序列相似度计算时,可以得到待检测序列与特征库中对应包长度的相似度对应关系,因此可以确定出与特征中Lens特征包长序列里的Y特征报文对应的待检测报文,即为需要检测的动作或内容报文,则可以将匹配到的报文和会话标记为A应用的与X服务器通信的Y动作或Y内容。
本发明实施例提供了一种流量检测方法,通过在目标报文数据的目标会话流量数据中获取目标报文数据的上下文包长序列,并在待检测流量数据中获取待检测包长序列,从而在确定待检测包长序列与上下文包长序列的变化趋势一致的情况下确定待检测流量数据中包括目标检测报文数据,实现根据流量数据中的包长序列变化趋势特征检测生成流量的通信行为,解决了现有技术中无法对加密流量数据进行检测的技术问题,实现在通信流量数据中对加密处理后的报文内容进行检测,确保通信报文内容的安全性。
实施例三
图21为本发明实施例三提供的一种流量检测装置的结构示意图,如图21所示,所述装置包括:上下文序列获取模块310、待检测序列获取模块320和报文数据确定模块330。
其中,上下文序列获取模块310,用于在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列。
待检测序列获取模块320,用于在待检测流量数据中获取待检测包长序列。
报文数据确定模块330,用于在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中包括目标检测报文数据。
在本发明实施例的一个可选实施方式中,所述装置,还可以包括:会话流量获取模块,用于获取目标通信行为关联的密文流量数据,并对所述密文流量数据进行解密处理,得到明文流量数据;根据所述目标通信行为在所述明文流量数据中识别出明文会话流量数据,并获取所述明文会话流量数据的会话标识数据;在所述密文流量数据中,获取与所述会话标识数据匹配的所述目标会话流量数据。
在本发明实施例的一个可选实施方式中,上下文序列获取模块310,具体可以用于:在所述目标会话流量数据中获取连续的第一数量的会话报文数据;其中,所述会话报文数据中包括所述目标报文数据;分别获取各所述会话报文数据的会话报文包长数据;根据所述会话报文数据的报文顺序和所述会话报文包长数据,生成所述上下文包长序列。
在本发明实施例的一个可选实施方式中,待检测序列获取模块320,具体可以用于:在所述待检测流量数据中获取连续的第二数量的待检测报文数据;分别获取各所述待检测报文数据的所述待检测报文包长数据;根据所述待检测报文数据的报文顺序和所述待检测报文包长数据,生成所述待检测包长序列。
在本发明实施例的一个可选实施方式中,报文数据确定模块330,具体可以用于:获取所述待检测包长序列和所述上下文包长序列的序列相似度;在确定所述序列相似度达到序列相似度阈值的情况下,确定所述待检测包长序列与所述上下文包长序列的变化趋势一致;或,分别获取所述待检测包长序列和所述上下文包长序列的趋势图像数据;获取所述趋势图像数据之间的图像相似度;在确定所述图像相似度达到图像相似度阈值的情况下,确定所述待检测包长序列与所述上下文包长序列的变化趋势一致。
在本发明实施例的一个可选实施方式中,报文数据确定模块330,还可以用于:在确定所述待检测包长序列和所述上下文包长序列的变化趋势不一致的情况下,重复在所述待检测流量数据中获取所述待检测包长序列,直至确定所述待检测包长序列与所述上下文包长序列的变化趋势一致,或确定不存在所述待检测包长序列与所述上下文包长序列的变化趋势一致;在确定不存在所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中不包括所述目标检测报文数据。
在本发明实施例的一个可选实施方式中,所述装置,还可以包括:数据匹配模块,用于获取所述待检测包长序列与所述上下文包长序列的数据匹配关系;根据所述数据匹配关系,在所述待检测包长序列中确定与所述上下文包长序列中的目标报文包长数据匹配的目标检测包长数据;将所述目标检测包长数据对应的待检测报文数据确定为所述目标检测报文数据。
上述装置可执行本发明任意实施例所提供的流量检测方法,具备执行该方法相应的功能模块和有益效果。
本发明实施例提供了一种流量检测装置,通过在目标报文数据的目标会话流量数据中获取目标报文数据的上下文包长序列,并在待检测流量数据中获取待检测包长序列,从而在确定待检测包长序列与上下文包长序列的变化趋势一致的情况下确定待检测流量数据中包括目标检测报文数据,实现根据流量数据中的包长序列变化趋势特征检测生成流量的通信行为,解决了现有技术中无法对加密流量数据进行检测的技术问题,实现在通信流量数据中对加密处理后的报文内容进行检测,确保通信报文内容的安全性。
实施例四
图22为本发明实施例四提供的一种计算机设备的结构示意图。图22示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图22显示的计算机设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图22所示,计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于:一个或者多个处理器16,存储器28,连接不同系统组件(包括存储器28和处理器16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图22未显示,通常称为“硬盘驱动器”)。尽管图22中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机设备12交互的设备通信,和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白,尽管图22中未示出,可以结合计算机设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器16通过运行存储在存储器28中的程序,从而执行各种功能应用以及数据处理,实现本发明实施例所提供的流量检测方法:在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列;在待检测流量数据中获取待检测包长序列;在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中包括目标检测报文数据。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现本发明实施例所提供的流量检测方法:在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列;在待检测流量数据中获取待检测包长序列;在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中包括目标检测报文数据。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或计算机设备上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (9)
1.一种流量检测方法,其特征在于,包括:
在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列;
在待检测流量数据中获取待检测包长序列;
在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中包括目标检测报文数据;
其中,所述确定所述待检测包长序列与所述上下文包长序列的变化趋势一致,包括:
获取所述待检测包长序列和所述上下文包长序列的序列相似度;
在确定所述序列相似度达到序列相似度阈值的情况下,确定所述待检测包长序列与所述上下文包长序列的变化趋势一致;或,
分别获取所述待检测包长序列和所述上下文包长序列的趋势图像数据;
获取所述趋势图像数据之间的图像相似度;
在确定所述图像相似度达到图像相似度阈值的情况下,确定所述待检测包长序列与所述上下文包长序列的变化趋势一致。
2.根据权利要求1所述的方法,其特征在于,在所述在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列之前,还包括:
获取目标通信行为关联的密文流量数据,并对所述密文流量数据进行解密处理,得到明文流量数据;
根据所述目标通信行为在所述明文流量数据中识别出明文会话流量数据,并获取所述明文会话流量数据的会话标识数据;
在所述密文流量数据中,获取与所述会话标识数据匹配的所述目标会话流量数据。
3.根据权利要求1所述的方法,其特征在于,所述在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列,包括:
在所述目标会话流量数据中获取连续的第一数量的会话报文数据;其中,所述会话报文数据中包括所述目标报文数据;
分别获取各所述会话报文数据的会话报文包长数据;
根据所述会话报文数据的报文顺序和所述会话报文包长数据,生成所述上下文包长序列。
4.根据权利要求1所述的方法,其特征在于,所述在待检测流量数据中获取待检测包长序列,包括:
在所述待检测流量数据中获取连续的第二数量的待检测报文数据;
分别获取各所述待检测报文数据的所述待检测报文包长数据;
根据所述待检测报文数据的报文顺序和所述待检测报文包长数据,生成所述待检测包长序列。
5.根据权利要求1所述的方法,其特征在于,在所述在待检测流量数据中获取待检测包长序列之后,还包括:
在确定所述待检测包长序列和所述上下文包长序列的变化趋势不一致的情况下,重复在所述待检测流量数据中获取所述待检测包长序列,直至确定所述待检测包长序列与所述上下文包长序列的变化趋势一致,或确定不存在所述待检测包长序列与所述上下文包长序列的变化趋势一致;
在确定不存在所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中不包括所述目标检测报文数据。
6.根据权利要求1所述的方法,其特征在于,在所述确定所述待检测流量数据中包括目标检测报文数据之后,还包括:
获取所述待检测包长序列与所述上下文包长序列的数据匹配关系;
根据所述数据匹配关系,在所述待检测包长序列中确定与所述上下文包长序列中的目标报文包长数据匹配的目标检测包长数据;
将所述目标检测包长数据对应的待检测报文数据确定为所述目标检测报文数据。
7.一种流量检测装置,其特征在于,包括:
上下文序列获取模块,用于在目标报文数据的目标会话流量数据中,获取所述目标报文数据的上下文包长序列;
待检测序列获取模块,用于在待检测流量数据中获取待检测包长序列;
报文数据确定模块,用于在确定所述待检测包长序列与所述上下文包长序列的变化趋势一致的情况下,确定所述待检测流量数据中包括目标检测报文数据;
其中,所述报文数据确定模块,具体用于获取所述待检测包长序列和所述上下文包长序列的序列相似度;在确定所述序列相似度达到序列相似度阈值的情况下,确定所述待检测包长序列与所述上下文包长序列的变化趋势一致;或,分别获取所述待检测包长序列和所述上下文包长序列的趋势图像数据;获取所述趋势图像数据之间的图像相似度;在确定所述图像相似度达到图像相似度阈值的情况下,确定所述待检测包长序列与所述上下文包长序列的变化趋势一致。
8.一种计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的流量检测方法。
9.一种计算机存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一所述的流量检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111554499.7A CN114221816B (zh) | 2021-12-17 | 2021-12-17 | 流量检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111554499.7A CN114221816B (zh) | 2021-12-17 | 2021-12-17 | 流量检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114221816A CN114221816A (zh) | 2022-03-22 |
| CN114221816B true CN114221816B (zh) | 2024-05-03 |
Family
ID=80703785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111554499.7A Active CN114221816B (zh) | 2021-12-17 | 2021-12-17 | 流量检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114221816B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299863A (zh) * | 2011-09-27 | 2011-12-28 | 北京网康科技有限公司 | 一种网络流量聚类的方法及其设备 |
| CN109587104A (zh) * | 2018-02-26 | 2019-04-05 | 新华三信息安全技术有限公司 | 一种异常流量检测方法、装置和设备 |
| CN110111772A (zh) * | 2019-05-16 | 2019-08-09 | 电子科技大学 | 一种加密VoIP网络流量所使用语言的识别方法 |
| CN110287439A (zh) * | 2019-06-27 | 2019-09-27 | 电子科技大学 | 一种基于lstm的网络行为异常检测方法 |
| CN111092852A (zh) * | 2019-10-16 | 2020-05-01 | 平安科技(深圳)有限公司 | 基于大数据的网络安全监控方法、装置、设备及存储介质 |
| CN111222019A (zh) * | 2019-12-17 | 2020-06-02 | 山石网科通信技术股份有限公司 | 特征提取的方法和装置 |
| CN111626322A (zh) * | 2020-04-08 | 2020-09-04 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
| CN111865959A (zh) * | 2020-07-14 | 2020-10-30 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及装置 |
| CN113285945A (zh) * | 2021-05-19 | 2021-08-20 | 恒安嘉新(北京)科技股份公司 | 通信安全监控方法、装置、设备及存储介质 |
| CN113452672A (zh) * | 2021-05-11 | 2021-09-28 | 国网天津市电力公司电力科学研究院 | 基于协议逆向分析的电力物联网终端流量异常分析方法 |
| CN113660147A (zh) * | 2021-10-21 | 2021-11-16 | 成都数默科技有限公司 | 一种基于模糊熵的ip会话序列周期性评估方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11258814B2 (en) * | 2019-07-16 | 2022-02-22 | Hewlett Packard Enterprise Development Lp | Methods and systems for using embedding from Natural Language Processing (NLP) for enhanced network analytics |
| EP4046337A1 (en) * | 2019-11-03 | 2022-08-24 | Cognyte Technologies Israel Ltd | System and method for identifying exchanges of encrypted communication traffic |
-
2021
- 2021-12-17 CN CN202111554499.7A patent/CN114221816B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299863A (zh) * | 2011-09-27 | 2011-12-28 | 北京网康科技有限公司 | 一种网络流量聚类的方法及其设备 |
| CN109587104A (zh) * | 2018-02-26 | 2019-04-05 | 新华三信息安全技术有限公司 | 一种异常流量检测方法、装置和设备 |
| CN110111772A (zh) * | 2019-05-16 | 2019-08-09 | 电子科技大学 | 一种加密VoIP网络流量所使用语言的识别方法 |
| CN110287439A (zh) * | 2019-06-27 | 2019-09-27 | 电子科技大学 | 一种基于lstm的网络行为异常检测方法 |
| CN111092852A (zh) * | 2019-10-16 | 2020-05-01 | 平安科技(深圳)有限公司 | 基于大数据的网络安全监控方法、装置、设备及存储介质 |
| CN111222019A (zh) * | 2019-12-17 | 2020-06-02 | 山石网科通信技术股份有限公司 | 特征提取的方法和装置 |
| CN111626322A (zh) * | 2020-04-08 | 2020-09-04 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
| CN111865959A (zh) * | 2020-07-14 | 2020-10-30 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及装置 |
| CN113452672A (zh) * | 2021-05-11 | 2021-09-28 | 国网天津市电力公司电力科学研究院 | 基于协议逆向分析的电力物联网终端流量异常分析方法 |
| CN113285945A (zh) * | 2021-05-19 | 2021-08-20 | 恒安嘉新(北京)科技股份公司 | 通信安全监控方法、装置、设备及存储介质 |
| CN113660147A (zh) * | 2021-10-21 | 2021-11-16 | 成都数默科技有限公司 | 一种基于模糊熵的ip会话序列周期性评估方法 |
Non-Patent Citations (2)
| Title |
|---|
| Network traffic classification via HMM under the guidance of syntactic structure;ChengGuo Yin, ShuangQing Li, Qi Li;《Elsevier》;全文 * |
| 结合多特征识别的恶意加密流量检测方法;李慧慧,张士庚,宋虹,王伟平;《信息安全学报》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114221816A (zh) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102387343B (zh) | 终端设备,服务器,数据处理系统,数据处理方法 | |
| CN107248984B (zh) | 数据交换系统、方法和装置 | |
| US10032037B1 (en) | Establishing application trust levels using taint propagation as a service | |
| CN111835774B (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN112287372B (zh) | 用于保护剪贴板隐私的方法和装置 | |
| US10305693B2 (en) | Anonymous secure socket layer certificate verification in a trusted group | |
| CN114826733B (zh) | 文件传输方法、装置、系统、设备、介质以及程序产品 | |
| CN115529130B (zh) | 数据处理方法、终端、服务器、系统、设备、介质和产品 | |
| US20230113332A1 (en) | Advanced detection of identity-based attacks to assure identity fidelity in information technology environments | |
| CN113610526A (zh) | 一种数据信任方法、装置、电子设备及存储介质 | |
| CN112149168B (zh) | 一种文件数据加密方法、装置及电子设备 | |
| CN117375817A (zh) | 即时通信数据的端到端加密方法、装置、电子设备及介质 | |
| CN110545542B (zh) | 基于非对称加密算法的主控密钥下载方法、装置和计算机设备 | |
| CN113630412B (zh) | 资源下载方法、资源下载装置、电子设备以及存储介质 | |
| CN109711178B (zh) | 一种键值对的存储方法、装置、设备及存储介质 | |
| CN114978752A (zh) | 弱密码检测方法、装置、电子设备及计算机可读存储介质 | |
| CN113285945B (zh) | 通信安全监控方法、装置、设备及存储介质 | |
| CN114221816B (zh) | 流量检测方法、装置、设备及存储介质 | |
| CN110390516B (zh) | 用于数据处理的方法、装置和计算机存储介质 | |
| US9729619B2 (en) | Information processing system, processing apparatus, and distributed processing method | |
| CN116204903A (zh) | 一种财务数据安全管理方法、装置、电子设备及存储介质 | |
| KR20160123416A (ko) | 정보 보안 장치 및 이의 정보 보안 방법, 단말기 및 이를 구비한 네트워크 시스템 | |
| CN113961931A (zh) | adb工具使用方法、装置和电子设备 | |
| CN113037760A (zh) | 报文发送方法和装置 | |
| KR101511451B1 (ko) | 키보드 입력 정보 암호화 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |