[发明专利]针对Obfuscated-KCP协议流量的检测方法及系统

说明书

本发明公开了一种针对Obfuscated‑KCP协议流量的检测方法及系统，方法包括：提取Obfuscated‑KCP协议流量数据包长度序列、时间差序列；构建标准时空维度多阶矩阵；对待检测UDP协议流量进行协议过滤；提取待检测UDP协议流量第一次交互中所有上行UDP数据包的载荷信息；对载荷信息进行随机性检验，并从待检测UDP协议流量中将检验结果不具备随机性的流量滤除；构建过滤后待检测UDP协议流量对应的时空维度多阶矩阵；根据时空维度多阶矩阵与标准时空维度多阶矩阵的相似度判断待检测UDP协议流量是否为Obfuscated‑KCP协议流量。系统用于实现上述方法。本发明能实现对Obfuscated‑KCP协议流量的识别，操作简单，并且在模型的兼容性与稳健性方面均表现良好，适用于不同的网络环境，应用范围广。

技术领域

本发明属于网络安全技术领域，特别涉及一种针对Obfuscated-KCP协议流量的检测方法及系统。

背景技术

KCP是一个快速可靠协议，能以比TCP浪费10％-20％的带宽的代价，换取平均延迟降低30％-40％，且最大延迟降低三倍的传输效果。

KCP协议是纯算法实现，并不负责底层协议(如UDP)的收发，需要使用者自己定义下层数据包的发送方式，以callback的方式提供给KCP。

Obfuscated-KCP协议是基于KCP协议而实现的流式传输协议，由KCP协议修改而来，可以按顺序传输任意的数据流，其可用作为HTTP的承载协议，为其提供安全服务。现有的数据包检测技术如基于DPI深度数据包检测技术等均无法实现对Obfuscated-KCP协议流量进行识别，已经无法满足网络监管者的监管需求，因此急需研究新的甄别方法。

发明内容

本发明的目的在于提供一种针对Obfuscated-KCP协议流量的检测方法及系统。

实现本发明目的的技术解决方案为：一种针对Obfuscated-KCP协议流量的检测方法，所述方法包括：

步骤1，提取Obfuscated-KCP协议流量数据包载荷长度生成长度序列；

步骤2，提取Obfuscated-KCP协议流量数据包时间差序列；

步骤3，根据所述长度序列和时间差序列构建标准时空维度多阶矩阵；

步骤4，对待检测UDP协议流量进行协议过滤；

步骤5，提取待检测UDP协议流量第一次交互中所有上行UDP数据包的载荷信息；

步骤6，对步骤5提取的载荷信息进行随机性检验，并从待检测UDP协议流量中将检验结果不具备随机性的流量滤除，获得新的待检测UDP协议流量；

步骤7，依据步骤1至步骤3的过程，构建所述新的待检测UDP协议流量对应的时空维度多阶矩阵；

步骤8，求取步骤7获得的时空维度多阶矩阵与步骤3中所述标准时空维度多阶矩阵的相似度，若相似度值大于预设阈值，则表明待检测UDP协议流量为Obfuscated-KCP协议流量，否则表明待检测UDP协议流量不是Obfuscated-KCP协议流量。

进一步地，步骤1所述提取Obfuscated-KCP协议流量数据包载荷长度生成长度序列，具体过程包括：

截取Obfuscated-KCP协议数据流中前N个数据包载荷长度，并根据数据包方向标记正负，标记客户端到服务器为上行，上行为正；标记服务器到客户端为下行，下行为负。

进一步地，步骤2所述提取Obfuscated-KCP协议流量数据包时间差序列，具体过程包括：