[发明专利]针对Obfuscated-KCP协议流量的检测方法及系统

权利要求书

1.一种针对Obfuscated-KCP协议流量的检测方法，其特征在于，所述方法包括：

步骤1，提取Obfuscated-KCP协议流量数据包载荷长度生成长度序列，具体过程包括：

截取Obfuscated-KCP协议数据流中前N个数据包载荷长度，并根据数据包方向标记正负，标记客户端到服务器为上行，上行为正；标记服务器到客户端为下行，下行为负；

步骤2，提取Obfuscated-KCP协议流量数据包时间差序列，具体过程包括：

将第一个数据包产生的绝对时间作为初始时间t₀，取每个数据包产生的绝对时间与初始时间的差值Δt_i，作为每个数据包产生的相对时间，生成时间差序列{0,Δt₂,…,Δt_i,…,Δt_N}，其中2≤i≤N；

步骤3，根据所述长度序列和时间差序列构建标准时空维度多阶矩阵；所述标准时空维度多阶矩阵包括空间维度矩阵和时间维度矩阵；

步骤3中根据所述长度序列和时间差序列构建标准时空维度多阶矩阵，具体过程包括：

(1)构建空间维度矩阵

将Obfuscated-KCP数据包的长度序列作为空间维度矩阵的第一列；

空间维度矩阵的第2至n列分别为第一列元素对应的数据包载荷信息中前n-1个字节；若对应的数据包载荷长度小于n-1，则不足位用0进行填充；

(2)构建时间维度矩阵

根据数据流中数据包传输方向的切换标记交互次数，假设取第一个Obfuscated-KCP数据包的传输方向为正，标记为+1，若第二个数据包仍为正，仍标记为+1，直至出现第一个相反方向的数据包，标记为-1，同理若再次出现传输方向相反的数据包，则标记为+2，将数据包方向切换标记作为时间维度矩阵的第一列；

将数据包时间差序列作为时间维度矩阵的第二列；

对数据包时间差序列的相邻数据作差，获得新的序列{0,Δt₂,…,Δt_i-Δt_i-1,…,Δt_N-Δt_N-1}，取该序列中的最小值作为最小程序处理时间；求取所有数据包方向切换时，数据包时间差序列中相对应两个元素的时间差，取其中的最小值，并减去所述最小程序处理时间，获得最小传输时间；针对数据包时间差序列，将其中非数据包切换方向的时间差取零，将方向切换数据包对应的时间差替换为该时间差依次减去最小传输时间、最小程序处理时间的结果，获得数据包的相对时间差序列，将该序列作为时间维度矩阵的第三列；

步骤4，对待检测UDP协议流量进行协议过滤；

步骤5，提取待检测UDP协议流量第一次交互中所有上行UDP数据包的载荷信息；

步骤6，对步骤5提取的载荷信息进行随机性检验，并从待检测UDP协议流量中将检验结果不具备随机性的流量滤除，获得新的待检测UDP协议流量；

步骤7，依据步骤1至步骤3的过程，构建所述新的待检测UDP协议流量对应的时空维度多阶矩阵；

步骤8，求取步骤7获得的时空维度多阶矩阵与步骤3中所述标准时空维度多阶矩阵的相似度，若相似度值大于预设阈值，则表明待检测UDP协议流量为Obfuscated-KCP协议流量，否则表明待检测UDP协议流量不是Obfuscated-KCP协议流量。

2.根据权利要求1所述的针对Obfuscated-KCP协议流量的检测方法，其特征在于，所述N＝50，n＝20。

3.根据权利要求1所述的针对Obfuscated-KCP协议流量的检测方法，其特征在于，步骤4所述对待检测UDP协议流量进行协议过滤，具体过程包括：滤除待检测UDP协议流量中DNS协议、SNMP协议、NTP协议、DHCP协议、RSTP协议、TFTP协议、RIP协议、IGMP协议、NNTPS协议、RTP协议、RPC协议以及SNPP协议的流量。