CN117395080B - 加密系统扫描器的检测方法、装置、电子设备和存储介质 - Google Patents

加密系统扫描器的检测方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN117395080B
CN117395080B CN202311675942.5A CN202311675942A CN117395080B CN 117395080 B CN117395080 B CN 117395080B CN 202311675942 A CN202311675942 A CN 202311675942A CN 117395080 B CN117395080 B CN 117395080B
Authority
CN
China
Prior art keywords
system scanner
scanner detection
detection model
model
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311675942.5A
Other languages
English (en)
Other versions
CN117395080A (zh
Inventor
宋冲亚
张福
程度
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shengxin Network Technology Co ltd
Original Assignee
Beijing Shengxin Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shengxin Network Technology Co ltd filed Critical Beijing Shengxin Network Technology Co ltd
Priority to CN202311675942.5A priority Critical patent/CN117395080B/zh
Publication of CN117395080A publication Critical patent/CN117395080A/zh
Application granted granted Critical
Publication of CN117395080B publication Critical patent/CN117395080B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种加密系统扫描器的检测方法、装置、电子设备和存储介质,属于网络安全的技术领域,依据TLS加密通信的首包进行系统扫描器检测,并且在检测过程中,先得到特征向量,进而采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,该系统扫描器检测模型链中的系统扫描器检测模型是按照测试指标进行排序后的,且是基于准确率最高的系统扫描器检测模型的准确率进行筛选后得到的,这样,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测时,准确性好,加之是依据TLS加密通信的首包进行的检测,实时性好,不会产生任何系统信息的泄露。

Description

加密系统扫描器的检测方法、装置、电子设备和存储介质
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种加密系统扫描器的检测方法、装置、电子设备和存储介质。
背景技术
网络攻击的实现往往要经历一个复杂的过程,它由若干带有特定目标的子任务组成。传统技术提出的一种网络攻击链模型将上述各子任务依次定义为侦查、制武、运达、利用、安装、命令、控制和实施。现实中,执行各种侦察任务的程序被统称为扫描器,而根据扫描对象的不同,扫描器又可以进一步分为系统扫描器、WEB扫描器、数据库扫描器等。其中,系统扫描器的目标是获取受害方系统和/或网络信息(如:操作系统和/或应用程序信息、暴露端口号、未封堵漏洞、网络拓扑结构),以便为后续各攻击子任务(如,制武、运达、利用、安装、命令、控制和实施)提供必要的支持。
由上述内容可知,一旦扫描器发出的扫描动作(即探测用的数据包)被成功阻截,后续系统攻击子任务将变得无据可依。然而,当前越来越多的国内外扫描器皆采用传输层安全(Transport Layer Security,以下简称TLS)加密技术来逃避检测和拦截。具体地说,执行各类扫描动作的网络流量包在数据层面呈现模糊/随机态,这意味着受害方再也无法从加密数据包中提取特定属性来识别扫描流量。进一步讲,虽然在TLS加密信道建立之初会出现几个用于协商具体加密细节的明文数据包,并且,当前确有依据这些明文数据包属性来识别TLS加密数据流的方案,但是,这些方案无一例外地无法满足扫描器检测在时效性/数据零泄露上的苛刻要求。例如,JA3指纹技术是一种依据Client Hello(用于协商具体加密细节的数据包之一)中5种属性识别TLS加密数据流的技术,遗憾的是,Client Hello本身就承载了受害方众多高价值信息(如:支持的TLS版本号、密码套件、扩展项、证书),这无疑证明JA3是种失败的扫描器检测手段。即JA3指纹技术只能在扫描器发出的若干个探测用的数据包之后,才能检测得到其为探测器,此时再进行拦截,已经为时已晚,因为扫描器在之前发出的若干个探测用的数据包时,就已经拿到了受害方的一些信息,根据已经拿到的这些信息足可以进行后续的系统攻击,显然,这种滞后的加密系统扫描器的检测方法意义不大,还是会存在系统信息泄露的问题。
综上,如何对加密系统扫描器进行实时且准确的检测成为目前亟需解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种加密系统扫描器的检测方法、装置、电子设备和存储介质,以缓解现有技术无法对加密系统扫描器进行实时且准确的检测的技术问题。
第一方面,本发明实施例提供了一种加密系统扫描器的检测方法,包括:
获取待检测TLS-SYN数据包,其中,所述待检测TLS-SYN数据包为TLS加密通信的首包;
从所述待检测TLS-SYN数据包中提取目标特征信息,并根据所述目标特征信息计算扩展特征信息,进而得到所述待检测TLS-SYN数据包的特征向量;
采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对所述特征向量进行系统扫描器检测,其中,所述系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行系统扫描器检测,并根据所述排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对所述排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,所述测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;
若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标相对应,则将所述系统扫描器检测结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果;
若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标不对应,则采用所述准确率最高的系统扫描器检测模型对所述特征向量进行系统扫描器检测,并将得到的检测结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与所述系统扫描器检测结果相反的结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果。
进一步的,所述目标特征信息包括:数据包长度、TCP包头长度、TCP源端口号、TCP目的端口号和TCP窗口大小,根据所述目标特征信息计算扩展特征信息,包括:
根据所述数据包长度计算第一扩展特征信息;
根据所述TCP包头长度计算第二扩展特征信息;
根据所述TCP窗口大小计算第三扩展特征信息;
根据所述TCP源端口号计算第四扩展特征信息;
根据所述TCP目的端口号计算第五扩展特征信息;
根据所述TCP源端口号计算第六扩展特征信息;
根据所述TCP目的端口号计算第七扩展特征信息;
根据所述第六扩展特征信息和所述TCP源端口号计算第八扩展特征信息;
根据所述第七扩展特征信息和所述TCP目的端口号计算第九扩展特征信息。
进一步的,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对所述特征向量进行系统扫描器检测,包括:
按照所述系统扫描器检测模型链中各系统扫描器检测模型的顺序,依次调用一个所述系统扫描器检测模型对所述特征向量进行系统扫描器检测,直至当前系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标相对应为止,或,所述系统扫描器检测模型链中的所有系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标都不对应为止。
进一步的,若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标相对应,包括:
若所述系统扫描器检测结果为非系统扫描器,且所述测试指标为模型判定非系统扫描器样本的精度,则所述系统扫描器检测结果与所述测试指标相对应;
或,
若所述系统扫描器检测结果为系统扫描器,且所述测试指标为模型判定系统扫描器样本的精度,则所述系统扫描器检测结果与所述测试指标相对应;
否则,所述系统扫描器检测结果与所述测试指标不对应。
进一步的,所述方法还包括:
获取系统扫描器的第一TLS-SYN数据包样本和非系统扫描器的第二TLS-SYN数据包样本;
将所述第一TLS-SYN数据包样本和所述第二TLS-SYN数据包样本混合后,提取各TLS-SYN数据包样本的目标特征信息样本,并根据所述目标特征信息样本计算扩展特征信息样本,进而得到各TLS-SYN数据包样本的特征向量样本;
将所述TLS-SYN数据包样本的特征向量样本按预设比例划分为训练样本集、测试样本集和验证样本集;
采用所述训练样本集中的训练特征向量样本对多个初始系统扫描器检测模型进行训练,得到多个训练好的系统扫描器检测模型;
采用每一训练好的系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行测试,得到各训练好的系统扫描器检测模型的准确率和测试指标;
根据所述准确率在多个训练好的系统扫描器检测模型中提取准确率最高的系统扫描器检测模型,并将多个训练好的系统扫描器检测模型中的剩余的系统扫描器检测模型按照所述测试指标的降序排列,得到排序后的系统扫描器检测模型;
按照所述排序后的系统扫描器检测模型的顺序依次调用一个所述系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行系统扫描器检测,得到所述排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率,其中,依次调用一个所述系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行系统扫描器检测时,后一系统扫描器检测模型对前一系统扫描器检测模型进行系统扫描器检测后,剩余的测试特征向量样本进行系统扫描器检测,所述剩余的测试特征向量样本为所述前一系统扫描器检测模型对测试特征向量样本进行系统扫描器检测后,输出的系统扫描器检测结果与所述测试指标不对应的特征向量样本;
基于所述准确率最高的系统扫描器检测模型的准确率确定准确率阈值;
根据所述排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率和所述准确率阈值对所述排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选,得到达到所述准确率阈值的系统扫描器检测模型组成的系统扫描器检测模型链;
按照所述系统扫描器检测模型链中各系统扫描器检测模型的顺序,依次调用一个所述系统扫描器检测模型对所述验证样本集中的验证特征向量样本进行系统扫描器检测,其中,依次调用一个所述系统扫描器检测模型对所述验证样本集中的验证特征向量样本进行系统扫描器检测时,后一系统扫描器检测模型对前一系统扫描器检测模型进行系统扫描器检测后,剩余的测试特征向量样本进行系统扫描器检测,所述剩余的测试特征向量样本为所述前一系统扫描器检测模型对验证特征向量样本进行系统扫描器检测后,输出的系统扫描器检测结果与所述测试指标不对应的特征向量样本;
若遍历所述系统扫描器检测模型链中的所有系统扫描器检测模型后,所述验证样本集中还包括所述剩余的测试特征向量样本,则采用所述准确率最高的系统扫描器检测模型对所述剩余的测试特征向量样本进行系统扫描器检测,或者,将与输出的系统扫描器检测结果相反的结果作为所述剩余的测试特征向量样本对应的最终结果,进而完成所述系统扫描器检测模型链的验证。
进一步的,所述模型判定非系统扫描器样本的精度包括:被模型正确判定为非扫描器的样本数/被模型判定为非扫描器的样本数;
所述模型判定系统扫描器样本的精度包括:被模型正确判定为扫描器的样本数/被模型判定为扫描器的样本数。
第二方面,本发明实施例还提供了一种加密系统扫描器的检测装置,包括:
获取单元,用于获取待检测TLS-SYN数据包,其中,所述待检测TLS-SYN数据包为TLS加密通信的首包;
提取和计算单元,用于从所述待检测TLS-SYN数据包中提取目标特征信息,并根据所述目标特征信息计算扩展特征信息,进而得到所述待检测TLS-SYN数据包的特征向量;
系统扫描器检测单元,用于采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对所述特征向量进行系统扫描器检测,其中,所述系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行系统扫描器检测,并根据所述排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对所述排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,所述测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;
第一设定单元,用于若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标相对应,则将所述系统扫描器检测结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果;
第二设定单元,用于若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标不对应,则采用所述准确率最高的系统扫描器检测模型对所述特征向量进行系统扫描器检测,并将得到的检测结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与所述系统扫描器检测结果相反的结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果。
进一步的,所述目标特征信息包括:数据包长度、TCP包头长度、TCP源端口号、TCP目的端口号和TCP窗口大小,所述提取和计算单元还用于:
根据所述数据包长度计算第一扩展特征信息;
根据所述TCP包头长度计算第二扩展特征信息;
根据所述TCP窗口大小计算第三扩展特征信息;
根据所述TCP源端口号计算第四扩展特征信息;
根据所述TCP目的端口号计算第五扩展特征信息;
根据所述TCP源端口号计算第六扩展特征信息;
根据所述TCP目的端口号计算第七扩展特征信息;
根据所述第六扩展特征信息和所述TCP源端口号计算第八扩展特征信息;
根据所述第七扩展特征信息和所述TCP目的端口号计算第九扩展特征信息。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面任一项所述的方法的步骤。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述机器可运行指令在被处理器调用和运行时,所述机器可运行指令促使所述处理器运行上述第一方面任一项所述的方法。
在本发明实施例中,提供了一种加密系统扫描器的检测方法,该方法包括:获取待检测TLS-SYN数据包,其中,待检测TLS-SYN数据包为TLS加密通信的首包;从待检测TLS-SYN数据包中提取目标特征信息,并根据目标特征信息计算扩展特征信息,进而得到待检测TLS-SYN数据包的特征向量;采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,其中,系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测,并根据排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应,则将系统扫描器检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果;若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,则采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,并将得到的检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果。通过上述描述可知,本发明的加密系统扫描器的检测方法中,是依据TLS加密通信的首包(探测用的第一个包)即待检测TLS-SYN数据包进行的系统扫描器检测,并且在检测过程中,先得到待检测TLS-SYN数据包的特征向量,进而采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,该系统扫描器检测模型链中的系统扫描器检测模型是按照测试指标进行排序后的,且是基于准确率最高的系统扫描器检测模型的准确率进行筛选后得到的,即系统扫描器检测模型链中的系统扫描器检测模型的准确率满足一定的要求,且具有测试指标的顺序,这样,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测时,准确性好,加之是依据TLS加密通信的首包进行的检测,实时性好,即探测用的第一个数据包便会被检测出来,不会产生任何系统信息的泄露,此外,即便系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,还会采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,或者,直接将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,更加科学可靠,能实现极低的误漏报率,对系统扫描器的识别能力强,效率高,缓解了现有技术无法对加密系统扫描器进行实时且准确的检测的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种加密系统扫描器的检测方法的流程图;
图2为本发明实施例提供的样本收集和分配的示意图;
图3为本发明实施例提供的提取各TLS-SYN数据包样本的5种目标特征信息样本,并根据目标特征信息样本计算9种扩展特征信息样本的示意图;
图4为本发明实施例提供的模型训练、测试、排序、移除模型的示意图;
图5为本发明实施例提供的应用全局投票(GC)方法调用模型标记测试特征向量样本的流程图;
图6为本发明实施例提供的联合应用全局投票方法和BL方法调用模型标记验证特征向量样本的流程图;
图7为本发明实施例提供的一种加密系统扫描器的检测装置的示意图;
图8为本发明实施例提供的一种电子设备的示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
传统技术无法对加密系统扫描器进行实时且准确的检测。
基于此,本发明的加密系统扫描器的检测方法中,是依据TLS加密通信的首包(探测用的第一个包)即待检测TLS-SYN数据包进行的系统扫描器检测,并且在检测过程中,先得到待检测TLS-SYN数据包的特征向量,进而采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,该系统扫描器检测模型链中的系统扫描器检测模型是按照测试指标进行排序后的,且是基于准确率最高的系统扫描器检测模型的准确率进行筛选后得到的,即系统扫描器检测模型链中的系统扫描器检测模型的准确率满足一定的要求,且具有测试指标的顺序,这样,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测时,准确性好,加之是依据TLS加密通信的首包进行的检测,实时性好,即探测用的第一个数据包便会被检测出来,不会产生任何系统信息的泄露,此外,即便系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,还会采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,或者,直接将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,更加科学可靠,能实现极低的误漏报率,对系统扫描器的识别能力强,效率高。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种加密系统扫描器的检测方法进行详细介绍。
实施例一:
根据本发明实施例,提供了一种加密系统扫描器的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种加密系统扫描器的检测方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取待检测TLS-SYN数据包,其中,待检测TLS-SYN数据包为TLS加密通信的首包;
步骤S104,从待检测TLS-SYN数据包中提取目标特征信息,并根据目标特征信息计算扩展特征信息,进而得到待检测TLS-SYN数据包的特征向量;
具体的,上述目标特征信息和扩展特征信息共同构成了待检测TLS-SYN数据包的特征向量。
步骤S106,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,其中,系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测,并根据排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;
具体的,系统扫描器检测模型链中的系统扫描器检测模型是按照测试指标进行排序后的,且是基于准确率最高的系统扫描器检测模型的准确率进行筛选后得到的,即系统扫描器检测模型链中的系统扫描器检测模型的准确率满足一定的要求,且具有测试指标的顺序。
在进行系统扫描器检测时,只要系统扫描器检测模型链中的当前系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应,系统扫描器检测模型链中的后续的系统扫描器检测模型便不再对特征向量进行系统扫描器检测,否则,后续的系统扫描器检测模型继续对特征向量进行系统扫描器检测,直至输出的系统扫描器检测结果与测试指标相对应为止,或者,系统扫描器检测模型链中的所有系统扫描器检测模型输出的系统扫描器检测结果与测试指标都不对应为止。
从全局来看,若系统扫描器检测模型链中包含5个系统扫描器检测模型,本发明其实也是用5个系统扫描器检测模型对该特征向量进行的系统扫描器检测,但是,与传统的方案不同的是:传统方案中,是5个系统扫描器检测模型都对该特征向量进行系统扫描器检测,进而,基于5个系统扫描器检测模型的权重对其输出的系统扫描器检测结果进行加权计算,最终根据加权计算的结果确定最终的结果;而本申请中,是依次调用系统扫描器检测模型链中的一个系统扫描器检测模型对特征向量进行系统扫描器检测,当当前系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应(即系统扫描器检测结果为非系统扫描器,且测试指标为模型判定非系统扫描器样本的精度,或,系统扫描器检测结果为系统扫描器,且测试指标为模型判定系统扫描器样本的精度)时,后续的系统扫描器检测模型便不再对特征向量进行系统扫描器检测,因为依次调用时,排在前面的系统扫描器检测模型的测试指标高,既然排在前面的系统扫描器检测模型的测试指标高,如果其输出的系统扫描器检测结果与测试指标相对应,那么便相信该排在前面的系统扫描器检测模型输出的系统扫描器检测结果。
因为对于某个特征向量,可能1号系统扫描器检测模型和3号系统扫描器检测模型的检测是比较准确的,而对于另外一个特征向量,可能2号系统扫描器检测模型和4号系统扫描器检测模型的检测是比较准确的,显然,不能为每个系统扫描器检测模型设定固定的权重,即设定固定权重的方式是不可行的,不可靠的;而本发明中之所以相信排在前面的系统扫描器检测模型输出的系统扫描器检测结果是因为测试指标的原因,该测试指标是极其关键的,该测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度,也就是它是一个有偏的指标,就是模型判定某一类(比如,说判定系统扫描器(或非系统扫描器))的准确度,而不是二类的准确度(准确率的指标是判定二类的准确度),因此可见,若一个系统扫描器检测模型的准确率为80%,可能该系统扫描器检测模型判定非系统扫描器的准确度为95%,而判定系统扫描器的准确度仅为65%,所以,本发明将多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序,排在前面的系统扫描器检测模型的测试指标高,也就是其更擅长对某一类(系统扫描器或非系统扫描器)进行检测,这样相信其得到的结果显然也更加合理,即得到的检测结果更加科学可靠,此外,本发明的这种系统扫描器检测方式相较于传统的多个系统扫描器检测模型对特征向量都进行检测的方式,计算量更低,因为前面的系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应后,便不会再采用后续的系统扫描器检测模型对特征向量进行系统扫描器检测。
步骤S108,若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应,则将系统扫描器检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果;
步骤S110,若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,则采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,并将得到的检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果。
具体的,因为系统扫描器检测模型链中的每一系统扫描器检测模型都对特征向量进行系统扫描器检测后,输出的系统扫描器检测结果与测试指标(如果测试指标为模型判定非系统扫描器样本的精度)都不对应,那么说明系统扫描器检测结果不是非系统扫描器,可想而知,应该为系统扫描器的检测结果,即将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果。该种方式确定的结果进一步降低了计算量,并且准确率也能得到保证,因为已经走完了系统扫描器检测模型链中的所有系统扫描器检测模型,都未将其检测为非系统扫描器,可见,最终结果必定为系统扫描器的检测结果。
或者,再采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,并将得到的检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果。
在本发明实施例中,提供了一种加密系统扫描器的检测方法,该方法包括:获取待检测TLS-SYN数据包,其中,待检测TLS-SYN数据包为TLS加密通信的首包;从待检测TLS-SYN数据包中提取目标特征信息,并根据目标特征信息计算扩展特征信息,进而得到待检测TLS-SYN数据包的特征向量;采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,其中,系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测,并根据排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应,则将系统扫描器检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果;若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,则采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,并将得到的检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果。通过上述描述可知,本发明的加密系统扫描器的检测方法中,是依据TLS加密通信的首包(探测用的第一个包)即待检测TLS-SYN数据包进行的系统扫描器检测,并且在检测过程中,先得到待检测TLS-SYN数据包的特征向量,进而采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,该系统扫描器检测模型链中的系统扫描器检测模型是按照测试指标进行排序后的,且是基于准确率最高的系统扫描器检测模型的准确率进行筛选后得到的,即系统扫描器检测模型链中的系统扫描器检测模型的准确率满足一定的要求,且具有测试指标的顺序,这样,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测时,准确性好,加之是依据TLS加密通信的首包进行的检测,实时性好,即探测用的第一个数据包便会被检测出来,不会产生任何系统信息的泄露,此外,即便系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,还会采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,或者,直接将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,更加科学可靠,能实现极低的误漏报率,对系统扫描器的识别能力强,效率高,缓解了现有技术无法对加密系统扫描器进行实时且准确的检测的技术问题。
上述内容对本发明的加密系统扫描器的检测方法进行了简要介绍,下面对其中涉及到的具体内容进行详细描述。
在本发明的一个可选实施例中,目标特征信息包括:数据包长度、TCP包头长度、TCP源端口号、TCP目的端口号和TCP窗口大小,根据目标特征信息计算扩展特征信息,具体包括如下步骤:
(1)根据数据包长度计算第一扩展特征信息;
具体的,数据包长度为、TCP包头长度为/>、TCP源端口号为/>、TCP目的端口号为/>和TCP窗口大小为
第一扩展特征信息为,具体的
(2)根据TCP包头长度计算第二扩展特征信息;
具体的,第二扩展特征信息为,其中,
(3)根据TCP窗口大小计算第三扩展特征信息;
具体的,第三扩展特征信息为,其中,
(4)根据TCP源端口号计算第四扩展特征信息;
具体的,第四扩展特征信息为,其中,
(5)根据TCP目的端口号计算第五扩展特征信息;
具体的,第五扩展特征信息为,其中,
(6)根据TCP源端口号计算第六扩展特征信息;
具体的,第六扩展特征信息为,其中,
(7)根据TCP目的端口号计算第七扩展特征信息;
具体的,第七扩展特征信息为,其中,。/>
(8)根据第六扩展特征信息和TCP源端口号计算第八扩展特征信息;
具体的,第八扩展特征信息为,其中,
(9)根据第七扩展特征信息和TCP目的端口号计算第九扩展特征信息。
具体的,第九扩展特征信息为,其中,
上述算式中,函数用来对/>向下取整,函数/>用来计算整数/>的总位数(如,/>,即,35113共计5位数);而函数则用来计算整数/>中出现单个数字的种类数(如,,即,35113出现了1、3、5共3种数字)。
在本发明的一个可选实施例中,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,具体包括如下步骤:
按照系统扫描器检测模型链中各系统扫描器检测模型的顺序,依次调用一个系统扫描器检测模型对特征向量进行系统扫描器检测,直至当前系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应为止,或,系统扫描器检测模型链中的所有系统扫描器检测模型输出的系统扫描器检测结果与测试指标都不对应为止。
在本发明的一个可选实施例中,若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应,包括:
(1)若系统扫描器检测结果为非系统扫描器,且测试指标为模型判定非系统扫描器样本的精度,则系统扫描器检测结果与测试指标相对应;或者,若系统扫描器检测结果为系统扫描器,且测试指标为模型判定系统扫描器样本的精度,则系统扫描器检测结果与测试指标相对应;
(2)否则,系统扫描器检测结果与测试指标不对应。
下面对系统扫描器检测模型链的确定过程进行详细描述。
在本发明的一个可选实施例中,该方法还包括:
(1)获取系统扫描器的第一TLS-SYN数据包样本和非系统扫描器的第二TLS-SYN数据包样本;
图2中示出了样本收集和分配的示意图,先收集如下两类样本:
(11)一定数量的从系统扫描器发出的第一TLS-SYN数据包样本;
(12)一定数量的从非系统扫描器发出的第二TLS-SYN数据包样本。
上述SYN数据包为TLS加密通信的首包。
(2)将第一TLS-SYN数据包样本和第二TLS-SYN数据包样本混合后,提取各TLS-SYN数据包样本的目标特征信息样本,并根据目标特征信息样本计算扩展特征信息样本,进而得到各TLS-SYN数据包样本的特征向量样本;
具体的,将第一TLS-SYN数据包样本和第二TLS-SYN数据包样本随机混合,随后,提取各TLS-SYN数据包样本的目标特征信息样本,并根据目标特征信息样本计算扩展特征信息样本,进而得到由目标特征信息样本和扩展特征信息样本组成的各TLS-SYN数据包样本的特征向量样本。
图3为提取各TLS-SYN数据包样本的5种目标特征信息样本,并根据目标特征信息样本计算9种扩展特征信息样本的示意图(数字-数字对应下述过程中的公式,如1-3对应第21到第23个公式)。
具体的,5种目标特征信息样本包括:
数据包总长度为
TCP包头长度为
TCP源端口号为
TCP目的端口号为
TCP窗口大小为
9种扩展特征信息样本的计算方式分别为:
(21)
(22)
(23)
(24)
(25)
(26)
(27)
(28)
(29)
上述算式中,函数用来对/>向下取整,函数/>用来计算整数/>的总位数(如,/>,即,35113共计5位数);而函数则用来计算整数/>中出现单个数字的种类数(如,,即,35113出现了1、3、5共3种数字)。
至此,将各TLS-SYN数据包样本转换为可以直接用于训练、排序、验证模型的特征向量样本;
(3)将TLS-SYN数据包样本的特征向量样本按预设比例划分为训练样本集、测试样本集和验证样本集;
具体的,可以按预设比例(例如,6 : 2 : 2,本发明对此不进行限制)将TLS-SYN数据包样本的特征向量样本划分为训练样本集、测试样本集/>和验证样本集
至此,备齐了用于训练、测试和验证模型的特征向量样本。
(4)采用训练样本集中的训练特征向量样本对多个初始系统扫描器检测模型进行训练,得到多个训练好的系统扫描器检测模型;
图4为本发明实施例中的模型训练、测试、排序、移除模型的示意图。
具体的,先用训练样本集中的训练特征向量样本训练N个(如10个,本发明对此不进行具体限制)初始系统扫描器检测模型/>,得到N个训练好的系统扫描器检测模型/>。上述N个初始系统扫描器检测模型可以为参量不同的N个决策树模型,还可以为参量不同的N个CNN模型,还可以为参量不同的N个支持向量机模型等,本发明对其不进行具体限制。
(5)采用每一训练好的系统扫描器检测模型对测试样本集中的测试特征向量样本进行测试,得到各训练好的系统扫描器检测模型的准确率和测试指标;
具体的,将训练好的每一系统扫描器检测模型分别应用在测试样本集中的测试特征向量样本上进行测试,得到各训练好的系统扫描器检测模型的准确率A和测试指标P/>
准确率A=被模型正确判定的测试特征向量样本数/测试样本集中所有的测试特征向量样本数,例如,测试样本集/>中有10个测试特征向量样本,7个被模型正确判定的测试特征向量样本,准确率就是70%;
测试指标P包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度/>
(6)根据准确率在多个训练好的系统扫描器检测模型中提取准确率最高的系统扫描器检测模型,并将多个训练好的系统扫描器检测模型中的剩余的系统扫描器检测模型按照测试指标的降序排列,得到排序后的系统扫描器检测模型;
具体的,取出准确率最高()的系统扫描器检测模型(/>),随后,将剩余的N-1个系统扫描器检测模型按照测试指标P的降序进行排列,得到排序后的系统扫描器检测模型/>,即/>中,测试指标P的关系为/>
至此,得到了N-1个所有可能用于检测待检测TLS-SYN数据包的特征向量的系统扫描器检测模型。
(7)按照排序后的系统扫描器检测模型的顺序依次调用一个系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测,得到排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率,其中,依次调用一个系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测时,后一系统扫描器检测模型对前一系统扫描器检测模型进行系统扫描器检测后,剩余的测试特征向量样本进行系统扫描器检测,剩余的测试特征向量样本为前一系统扫描器检测模型对测试特征向量样本进行系统扫描器检测后,输出的系统扫描器检测结果与测试指标不对应的特征向量样本;
图5为本发明实施例中应用全局投票(GC)方法调用模型标记测试特征向量样本的流程图(以N-1=3为例)。
应用GC方法依次调用N-1个排序后的系统扫描器检测模型对测试样本集/>中的测试特征向量样本进行系统扫描器检测。具体的,依照排位从高到低的顺序,依次调用每一系统扫描器检测模型对未标记的测试特征向量样本进行系统扫描器检测;系统扫描器检测模型对每一未标记的测试特征向量样本的系统扫描器检测的方式分为如下2种情况:当/>时,若当前测试特征向量样本被模型判定为非扫描器,则将其终判为非扫描器(即,后续模型不再对其进行系统扫描器检测标记),否则,不对其进行标记(即,有待后续模型之一对其进行系统扫描器检测标记);当时,若当前测试特征向量样本被模型判定为扫描器,则将其终判为扫描器(即,后续模型不再对其进行系统扫描器检测标记),否则,不对其进行标记(即,有待后续模型之一对其进行系统扫描器检测标记)。可见,部分测试特征向量样本可能不会被任一模型标记。
最后,可以计算得到排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率。
(8)基于准确率最高的系统扫描器检测模型的准确率确定准确率阈值;
具体的,设定一个大于0的小数D(默认为1.0,本发明不对其进行限制,可根据需求进行调整),则准确率阈值的计算算式为:/>,其中,/>表示准确率最高的系统扫描器检测模型的准确率。
(9)根据排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率和准确率阈值对排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选,得到达到准确率阈值的系统扫描器检测模型组成的系统扫描器检测模型链;
具体的,根据排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率和准确率阈值将排序后的系统扫描器检测模型中的准确率不大于准确率阈值的系统扫描器检测模型移除,上述(7)-(9)的过程可按需重复执行多次,最终,剩余模型数量由N-1减至E个,从而得到达到准确率阈值的系统扫描器检测模型组成的系统扫描器检测模型链。
至此,得到了E个即将用于检测待检测TLS-SYN数据包的特征向量的系统扫描器检测模型。
(10)按照系统扫描器检测模型链中各系统扫描器检测模型的顺序,依次调用一个系统扫描器检测模型对验证样本集中的验证特征向量样本进行系统扫描器检测,其中,依次调用一个系统扫描器检测模型对验证样本集中的验证特征向量样本进行系统扫描器检测时,后一系统扫描器检测模型对前一系统扫描器检测模型进行系统扫描器检测后,剩余的测试特征向量样本进行系统扫描器检测,剩余的测试特征向量样本为前一系统扫描器检测模型对验证特征向量样本进行系统扫描器检测后,输出的系统扫描器检测结果与测试指标不对应的特征向量样本;
图6为本发明实施例联合应用全局投票方法(GC方法)和BL方法(即准确率最高的系统扫描器检测模型或与输出的系统扫描器检测结果相反的结果作为最终结果)调用模型标记验证特征向量样本的流程图。
应用GC方法调用剩余E个有序的系统扫描器检测模型来标记(即检测)/>中的验证特征向量样本,而后,应用BL方法标记/>中剩余的验证特征向量样本,上述两次标记的集合即为最终检测结果。
(11)若遍历系统扫描器检测模型链中的所有系统扫描器检测模型后,验证样本集中还包括剩余的测试特征向量样本,则采用准确率最高的系统扫描器检测模型对剩余的测试特征向量样本进行系统扫描器检测,或者,将与输出的系统扫描器检测结果相反的结果作为剩余的测试特征向量样本对应的最终结果,进而完成系统扫描器检测模型链的验证。
具体的,BL方法标记每一剩余的测试特征向量样本时有如下2种选择:
第一种为:应用准确率最高的系统扫描器检测模型将剩余的测试特征向量样本标记为扫描器或非扫描器;
第二种为:根据测试指标P来标记当前剩余的测试特征向量样本时又分为如下2种情况:
时,将当前剩余的测试特征向量样本标记为扫描器(即与输出的系统扫描器检测结果相反的结果);
时,将当前剩余的测试特征向量样本标记为非扫描器。
至此,联合应用GC和BL方法调用机器学习模型完成了对验证特征向量样本的标记(即检测)。
本发明的加密系统扫描器的检测方法在实现极低误漏报率的同时对未收录扫描器仍保有一定的识别能力,特别的是,该方法效率高且恒定可期,能真正确保受害方高价值信息的零泄漏(因为是对首包进行检测)。
实施例二:
本发明实施例还提供了一种加密系统扫描器的检测装置,该加密系统扫描器的检测装置主要用于执行本发明实施例一中所提供的加密系统扫描器的检测方法,以下对本发明实施例提供的加密系统扫描器的检测装置做具体介绍。
图7是根据本发明实施例的一种加密系统扫描器的检测装置的示意图,如图7所示,该装置包括:获取单元10、提取和计算单元20、系统扫描器检测单元30、第一设定单元40和第二设定单元50,其中:
获取单元,用于获取待检测TLS-SYN数据包,其中,待检测TLS-SYN数据包为TLS加密通信的首包;
提取和计算单元,用于从待检测TLS-SYN数据包中提取目标特征信息,并根据目标特征信息计算扩展特征信息,进而得到待检测TLS-SYN数据包的特征向量;
系统扫描器检测单元,用于采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,其中,系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测,并根据排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;
第一设定单元,用于若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应,则将系统扫描器检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果;
第二设定单元,用于若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,则采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,并将得到的检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果。
在本发明实施例中,提供了一种加密系统扫描器的检测装置,该装置包括:获取待检测TLS-SYN数据包,其中,待检测TLS-SYN数据包为TLS加密通信的首包;从待检测TLS-SYN数据包中提取目标特征信息,并根据目标特征信息计算扩展特征信息,进而得到待检测TLS-SYN数据包的特征向量;采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,其中,系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测,并根据排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应,则将系统扫描器检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果;若系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,则采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,并将得到的检测结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果。通过上述描述可知,本发明的加密系统扫描器的检测装置中,是依据TLS加密通信的首包(探测用的第一个包)即待检测TLS-SYN数据包进行的系统扫描器检测,并且在检测过程中,先得到待检测TLS-SYN数据包的特征向量,进而采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测,该系统扫描器检测模型链中的系统扫描器检测模型是按照测试指标进行排序后的,且是基于准确率最高的系统扫描器检测模型的准确率进行筛选后得到的,即系统扫描器检测模型链中的系统扫描器检测模型的准确率满足一定的要求,且具有测试指标的顺序,这样,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对特征向量进行系统扫描器检测时,准确性好,加之是依据TLS加密通信的首包进行的检测,实时性好,即探测用的第一个数据包便会被检测出来,不会产生任何系统信息的泄露,此外,即便系统扫描器检测模型输出的系统扫描器检测结果与测试指标不对应,还会采用准确率最高的系统扫描器检测模型对特征向量进行系统扫描器检测,或者,直接将与系统扫描器检测结果相反的结果作为发待检测TLS-SYN数据包的程序的系统扫描器检测结果,更加科学可靠,能实现极低的误漏报率,对系统扫描器的识别能力强,效率高,缓解了现有技术无法对加密系统扫描器进行实时且准确的检测的技术问题。
可选地,目标特征信息包括:数据包长度、TCP包头长度、TCP源端口号、TCP目的端口号和TCP窗口大小,提取和计算单元还用于:根据数据包长度计算第一扩展特征信息;根据TCP包头长度计算第二扩展特征信息;根据TCP窗口大小计算第三扩展特征信息;根据TCP源端口号计算第四扩展特征信息;根据TCP目的端口号计算第五扩展特征信息;根据TCP源端口号计算第六扩展特征信息;根据TCP目的端口号计算第七扩展特征信息;根据第六扩展特征信息和TCP源端口号计算第八扩展特征信息;根据第七扩展特征信息和TCP目的端口号计算第九扩展特征信息。
可选地,系统扫描器检测单元还用于:按照系统扫描器检测模型链中各系统扫描器检测模型的顺序,依次调用一个系统扫描器检测模型对特征向量进行系统扫描器检测,直至当前系统扫描器检测模型输出的系统扫描器检测结果与测试指标相对应为止,或,系统扫描器检测模型链中的所有系统扫描器检测模型输出的系统扫描器检测结果与测试指标都不对应为止。
可选地,第一设定单元还用于:若系统扫描器检测结果为非系统扫描器,且测试指标为模型判定非系统扫描器样本的精度,则系统扫描器检测结果与测试指标相对应;或,若系统扫描器检测结果为系统扫描器,且测试指标为模型判定系统扫描器样本的精度,则系统扫描器检测结果与测试指标相对应;否则,系统扫描器检测结果与测试指标不对应。
可选地,该装置还用于:获取系统扫描器的第一TLS-SYN数据包样本和非系统扫描器的第二TLS-SYN数据包样本;将第一TLS-SYN数据包样本和第二TLS-SYN数据包样本混合后,提取各TLS-SYN数据包样本的目标特征信息样本,并根据目标特征信息样本计算扩展特征信息样本,进而得到各TLS-SYN数据包样本的特征向量样本;将TLS-SYN数据包样本的特征向量样本按预设比例划分为训练样本集、测试样本集和验证样本集;采用训练样本集中的训练特征向量样本对多个初始系统扫描器检测模型进行训练,得到多个训练好的系统扫描器检测模型;采用每一训练好的系统扫描器检测模型对测试样本集中的测试特征向量样本进行测试,得到各训练好的系统扫描器检测模型的准确率和测试指标;根据准确率在多个训练好的系统扫描器检测模型中提取准确率最高的系统扫描器检测模型,并将多个训练好的系统扫描器检测模型中的剩余的系统扫描器检测模型按照测试指标的降序排列,得到排序后的系统扫描器检测模型;按照排序后的系统扫描器检测模型的顺序依次调用一个系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测,得到排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率,其中,依次调用一个系统扫描器检测模型对测试样本集中的测试特征向量样本进行系统扫描器检测时,后一系统扫描器检测模型对前一系统扫描器检测模型进行系统扫描器检测后,剩余的测试特征向量样本进行系统扫描器检测,剩余的测试特征向量样本为前一系统扫描器检测模型对测试特征向量样本进行系统扫描器检测后,输出的系统扫描器检测结果与测试指标不对应的特征向量样本;基于准确率最高的系统扫描器检测模型的准确率确定准确率阈值;根据排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率和准确率阈值对排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选,得到达到准确率阈值的系统扫描器检测模型组成的系统扫描器检测模型链;按照系统扫描器检测模型链中各系统扫描器检测模型的顺序,依次调用一个系统扫描器检测模型对验证样本集中的验证特征向量样本进行系统扫描器检测,其中,依次调用一个系统扫描器检测模型对验证样本集中的验证特征向量样本进行系统扫描器检测时,后一系统扫描器检测模型对前一系统扫描器检测模型进行系统扫描器检测后,剩余的测试特征向量样本进行系统扫描器检测,剩余的测试特征向量样本为前一系统扫描器检测模型对验证特征向量样本进行系统扫描器检测后,输出的系统扫描器检测结果与测试指标不对应的特征向量样本;若遍历系统扫描器检测模型链中的所有系统扫描器检测模型后,验证样本集中还包括剩余的测试特征向量样本,则采用准确率最高的系统扫描器检测模型对剩余的测试特征向量样本进行系统扫描器检测,或者,将与输出的系统扫描器检测结果相反的结果作为剩余的测试特征向量样本对应的最终结果,进而完成系统扫描器检测模型链的验证。
可选地,模型判定非系统扫描器样本的精度包括:被模型正确判定为非扫描器的样本数/被模型判定为非扫描器的样本数;模型判定系统扫描器样本的精度包括:被模型正确判定为扫描器的样本数/被模型判定为扫描器的样本数。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
如图8所示,本申请实施例提供的一种电子设备600,包括:处理器601、存储器602和总线,所述存储器602存储有所述处理器601可执行的机器可读指令,当电子设备运行时,所述处理器601与所述存储器602之间通过总线通信,所述处理器601执行所述机器可读指令,以执行如上述加密系统扫描器的检测方法的步骤。
具体地,上述存储器602和处理器601能够为通用的存储器和处理器,这里不做具体限定,当处理器601运行存储器602存储的计算机程序时,能够执行上述加密系统扫描器的检测方法。
处理器601可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器601中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器601可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器602,处理器601读取存储器602中的信息,结合其硬件完成上述方法的步骤。
对应于上述加密系统扫描器的检测方法,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行上述加密系统扫描器的检测方法的步骤。
本申请实施例所提供的加密系统扫描器的检测装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的系统、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
再例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述加密系统扫描器的检测方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种加密系统扫描器的检测方法,其特征在于,包括:
获取待检测TLS-SYN数据包,其中,所述待检测TLS-SYN数据包为TLS加密通信的首包;
从所述待检测TLS-SYN数据包中提取目标特征信息,并根据所述目标特征信息计算扩展特征信息,进而得到所述待检测TLS-SYN数据包的特征向量;
采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对所述特征向量进行系统扫描器检测,其中,所述系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行系统扫描器检测,并根据所述排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对所述排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,所述测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;
若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标相对应,则将所述系统扫描器检测结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果;
若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标不对应,则采用所述准确率最高的系统扫描器检测模型对所述特征向量进行系统扫描器检测,并将得到的检测结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与所述系统扫描器检测结果相反的结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果。
2.根据权利要求1所述的方法,其特征在于,所述目标特征信息包括:数据包长度、TCP包头长度、TCP源端口号、TCP目的端口号和TCP窗口大小,根据所述目标特征信息计算扩展特征信息,包括:
根据所述数据包长度计算第一扩展特征信息;
根据所述TCP包头长度计算第二扩展特征信息;
根据所述TCP窗口大小计算第三扩展特征信息;
根据所述TCP源端口号计算第四扩展特征信息;
根据所述TCP目的端口号计算第五扩展特征信息;
根据所述TCP源端口号计算第六扩展特征信息;
根据所述TCP目的端口号计算第七扩展特征信息;
根据所述第六扩展特征信息和所述TCP源端口号计算第八扩展特征信息;
根据所述第七扩展特征信息和所述TCP目的端口号计算第九扩展特征信息。
3.根据权利要求1所述的方法,其特征在于,采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对所述特征向量进行系统扫描器检测,包括:
按照所述系统扫描器检测模型链中各系统扫描器检测模型的顺序,依次调用一个所述系统扫描器检测模型对所述特征向量进行系统扫描器检测,直至当前系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标相对应为止,或,所述系统扫描器检测模型链中的所有系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标都不对应为止。
4.根据权利要求1所述的方法,其特征在于,若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标相对应,包括:
若所述系统扫描器检测结果为非系统扫描器,且所述测试指标为模型判定非系统扫描器样本的精度,则所述系统扫描器检测结果与所述测试指标相对应;
或,
若所述系统扫描器检测结果为系统扫描器,且所述测试指标为模型判定系统扫描器样本的精度,则所述系统扫描器检测结果与所述测试指标相对应;
否则,所述系统扫描器检测结果与所述测试指标不对应。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取系统扫描器的第一TLS-SYN数据包样本和非系统扫描器的第二TLS-SYN数据包样本;
将所述第一TLS-SYN数据包样本和所述第二TLS-SYN数据包样本混合后,提取各TLS-SYN数据包样本的目标特征信息样本,并根据所述目标特征信息样本计算扩展特征信息样本,进而得到各TLS-SYN数据包样本的特征向量样本;
将所述TLS-SYN数据包样本的特征向量样本按预设比例划分为训练样本集、测试样本集和验证样本集;
采用所述训练样本集中的训练特征向量样本对多个初始系统扫描器检测模型进行训练,得到多个训练好的系统扫描器检测模型;
采用每一训练好的系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行测试,得到各训练好的系统扫描器检测模型的准确率和测试指标;
根据所述准确率在多个训练好的系统扫描器检测模型中提取准确率最高的系统扫描器检测模型,并将多个训练好的系统扫描器检测模型中的剩余的系统扫描器检测模型按照所述测试指标的降序排列,得到排序后的系统扫描器检测模型;
按照所述排序后的系统扫描器检测模型的顺序依次调用一个所述系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行系统扫描器检测,得到所述排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率,其中,依次调用一个所述系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行系统扫描器检测时,后一系统扫描器检测模型对前一系统扫描器检测模型进行系统扫描器检测后,剩余的测试特征向量样本进行系统扫描器检测,所述剩余的测试特征向量样本为所述前一系统扫描器检测模型对测试特征向量样本进行系统扫描器检测后,输出的系统扫描器检测结果与所述测试指标不对应的特征向量样本;
基于所述准确率最高的系统扫描器检测模型的准确率确定准确率阈值;
根据所述排序后的系统扫描器检测模型中各系统扫描器检测模型的准确率和所述准确率阈值对所述排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选,得到达到所述准确率阈值的系统扫描器检测模型组成的系统扫描器检测模型链;
按照所述系统扫描器检测模型链中各系统扫描器检测模型的顺序,依次调用一个所述系统扫描器检测模型对所述验证样本集中的验证特征向量样本进行系统扫描器检测,其中,依次调用一个所述系统扫描器检测模型对所述验证样本集中的验证特征向量样本进行系统扫描器检测时,后一系统扫描器检测模型对前一系统扫描器检测模型进行系统扫描器检测后,剩余的测试特征向量样本进行系统扫描器检测,所述剩余的测试特征向量样本为所述前一系统扫描器检测模型对验证特征向量样本进行系统扫描器检测后,输出的系统扫描器检测结果与所述测试指标不对应的特征向量样本;
若遍历所述系统扫描器检测模型链中的所有系统扫描器检测模型后,所述验证样本集中还包括所述剩余的测试特征向量样本,则采用所述准确率最高的系统扫描器检测模型对所述剩余的测试特征向量样本进行系统扫描器检测,或者,将与输出的系统扫描器检测结果相反的结果作为所述剩余的测试特征向量样本对应的最终结果,进而完成所述系统扫描器检测模型链的验证。
6.根据权利要求1所述的方法,其特征在于,所述模型判定非系统扫描器样本的精度包括:被模型正确判定为非扫描器的样本数/被模型判定为非扫描器的样本数;
所述模型判定系统扫描器样本的精度包括:被模型正确判定为扫描器的样本数/被模型判定为扫描器的样本数。
7.一种加密系统扫描器的检测装置,其特征在于,包括:
获取单元,用于获取待检测TLS-SYN数据包,其中,所述待检测TLS-SYN数据包为TLS加密通信的首包;
提取和计算单元,用于从所述待检测TLS-SYN数据包中提取目标特征信息,并根据所述目标特征信息计算扩展特征信息,进而得到所述待检测TLS-SYN数据包的特征向量;
系统扫描器检测单元,用于采用全局投票方法依次调用系统扫描器检测模型链中的系统扫描器检测模型对所述特征向量进行系统扫描器检测,其中,所述系统扫描器检测模型链中的系统扫描器检测模型为多个训练好的系统扫描器检测模型按照在测试样本集上进行测试得到的测试指标进行排序后,采用全局投票方法依次调用排序后的系统扫描器检测模型对所述测试样本集中的测试特征向量样本进行系统扫描器检测,并根据所述排序后的系统扫描器检测模型中各系统扫描器检测模型检测得到的准确率和其中准确率最高的系统扫描器检测模型的准确率对所述排序后的系统扫描器检测模型中的系统扫描器检测模型进行筛选后得到的,所述测试指标包括:模型判定非系统扫描器样本的精度,或,模型判定系统扫描器样本的精度;
第一设定单元,用于若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标相对应,则将所述系统扫描器检测结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果;
第二设定单元,用于若所述系统扫描器检测模型链中的系统扫描器检测模型输出的系统扫描器检测结果与所述测试指标不对应,则采用所述准确率最高的系统扫描器检测模型对所述特征向量进行系统扫描器检测,并将得到的检测结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果,或者,将与所述系统扫描器检测结果相反的结果作为发所述待检测TLS-SYN数据包的程序的系统扫描器检测结果。
8.根据权利要求7所述的装置,其特征在于,所述目标特征信息包括:数据包长度、TCP包头长度、TCP源端口号、TCP目的端口号和TCP窗口大小,所述提取和计算单元还用于:
根据所述数据包长度计算第一扩展特征信息;
根据所述TCP包头长度计算第二扩展特征信息;
根据所述TCP窗口大小计算第三扩展特征信息;
根据所述TCP源端口号计算第四扩展特征信息;
根据所述TCP目的端口号计算第五扩展特征信息;
根据所述TCP源端口号计算第六扩展特征信息;
根据所述TCP目的端口号计算第七扩展特征信息;
根据所述第六扩展特征信息和所述TCP源端口号计算第八扩展特征信息;
根据所述第七扩展特征信息和所述TCP目的端口号计算第九扩展特征信息。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有机器可运行指令,所述机器可运行指令在被处理器调用和运行时,所述机器可运行指令促使所述处理器运行上述权利要求1至6中任一项所述的方法。
CN202311675942.5A 2023-12-08 2023-12-08 加密系统扫描器的检测方法、装置、电子设备和存储介质 Active CN117395080B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311675942.5A CN117395080B (zh) 2023-12-08 2023-12-08 加密系统扫描器的检测方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311675942.5A CN117395080B (zh) 2023-12-08 2023-12-08 加密系统扫描器的检测方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN117395080A CN117395080A (zh) 2024-01-12
CN117395080B true CN117395080B (zh) 2024-02-09

Family

ID=89463361

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311675942.5A Active CN117395080B (zh) 2023-12-08 2023-12-08 加密系统扫描器的检测方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN117395080B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111652284A (zh) * 2020-05-09 2020-09-11 杭州数梦工场科技有限公司 扫描器识别方法及装置、电子设备、存储介质
CN113676460A (zh) * 2021-07-28 2021-11-19 清华大学 一种Web应用漏洞集成扫描方法及系统
CN113849825A (zh) * 2021-10-29 2021-12-28 绿盟科技集团股份有限公司 一种多漏洞扫描器的测试方法及装置
CN114785563A (zh) * 2022-03-28 2022-07-22 中国矿业大学(北京) 一种软投票策略的加密恶意流量检测方法
CN116800543A (zh) * 2023-08-16 2023-09-22 北京升鑫网络科技有限公司 一种扫描器的检测方法、装置、电子设备及可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11381590B2 (en) * 2019-12-02 2022-07-05 Saudi Arabian Oil Company Predicting false positives from vulnerability scanners using data analytics and machine learning

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111652284A (zh) * 2020-05-09 2020-09-11 杭州数梦工场科技有限公司 扫描器识别方法及装置、电子设备、存储介质
CN113676460A (zh) * 2021-07-28 2021-11-19 清华大学 一种Web应用漏洞集成扫描方法及系统
CN113849825A (zh) * 2021-10-29 2021-12-28 绿盟科技集团股份有限公司 一种多漏洞扫描器的测试方法及装置
CN114785563A (zh) * 2022-03-28 2022-07-22 中国矿业大学(北京) 一种软投票策略的加密恶意流量检测方法
CN116800543A (zh) * 2023-08-16 2023-09-22 北京升鑫网络科技有限公司 一种扫描器的检测方法、装置、电子设备及可读存储介质

Also Published As

Publication number Publication date
CN117395080A (zh) 2024-01-12

Similar Documents

Publication Publication Date Title
CN104700033B (zh) 病毒检测的方法及装置
CN113032792B (zh) 系统业务漏洞检测方法、系统、设备及存储介质
CN109587008B (zh) 检测异常流量数据的方法、装置及存储介质
CN112003870A (zh) 一种基于深度学习的网络加密流量识别方法及装置
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN110881050A (zh) 安全威胁检测方法及相关产品
CN111382740B (zh) 文本图片解析方法、装置、计算机设备及存储介质
CN109194677A (zh) 一种sql注入攻击检测方法、装置及设备
CN103297267B (zh) 一种网络行为的风险评估方法和系统
CN109063482B (zh) 宏病毒识别方法、装置、存储介质及处理器
CN105024993A (zh) 一种基于向量运算的协议比对方法
CN111432410B (zh) 物联网移动基站的网络安全防护方法及物联网云服务器
CN117081858B (zh) 一种基于多决策树入侵行为检测方法、系统、设备及介质
CN111583180A (zh) 一种图像的篡改识别方法、装置、计算机设备及存储介质
CN113254935A (zh) 恶意文件识别方法、装置及存储介质
CN112217650A (zh) 网络阻塞攻击效果评估方法、装置及存储介质
US11539730B2 (en) Method, device, and computer program product for abnormality detection
CN117395080B (zh) 加密系统扫描器的检测方法、装置、电子设备和存储介质
CN112532645A (zh) 一种物联网设备运行数据监测方法、系统及电子设备
CN112671724A (zh) 一种终端安全检测分析方法、装置、设备及可读存储介质
CN114422515B (zh) 一种适配电力行业的边缘计算架构设计方法及系统
CN116112209A (zh) 漏洞攻击流量检测方法及装置
CN114186637A (zh) 流量识别方法、装置、服务器和存储介质
CN113127866B (zh) 恶意代码的特征码提取方法、装置和计算机设备
CN113935034A (zh) 基于图神经网络的恶意代码家族分类方法、装置和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant