[发明专利]网络协议变种检测方法、装置、电子设备和存储介质

权利要求书

1.一种网络协议变种检测方法，其特征在于，包括：

提取已知网络协议的特征向量，构建特征数据库；

获取待检数据流的目标特征向量，将所述目标特征向量与特征数据库中各已知网络协议的特征向量匹配，确定候选网络协议集合；

基于模糊推理算法从所述候选网络协议集合中确定待检数据流使用的协议变种所对应的已知网络协议；

其中，将所述目标特征向量与特征数据库中各已知网络协议的特征向量匹配，确定候选网络协议集合包括：

分别计算目标特征特征向量与各已知网络协议的特征向量之间的欧式距离；

将计算得到的欧式距离与距离阈值比较，当欧式距离小于距离阈值时，将相应的已知网络协议放入候选网络协议集合中。

2.如权利要求1所述的方法，其特征在于，所述基于模糊推理算法从所述候选网络协议集合中确定待检数据流使用的协议变种所对应的已知网络协议包括：

将待检数据流的目标特征向量模糊化，得到目标特征向量中各元素对应的模糊集；

根据所述模糊集以及预先建立的模糊规则库中的模糊蕴含关系，进行推理合成，得到待检数据流与候选网络协议集合中各已知网络协议之间的相似度模糊子集；

对所述相似度模糊子集去模糊化，确定出待检数据流使用的协议变种所对应的已知网络协议。

3.如权利要求2所述的方法，其特征在于，对所述相似度模糊子集去模糊化，确定出待检数据流使用的协议变种所对应的已知网络协议包括：

计算相似度模糊子集的隶属度函数曲线所围成区域的重心，将重心所对应的值确定为协议变种所对应的已知网络协议。

4.如权利要求1所述的方法，其特征在于，所述获取待检数据流的目标特征向量包括：

对截获的待检数据流的前16个字节进行扫描，得到待检数据流的目标特征向量；

所述目标特征向量包括下列元素中的一种或多种：数据流存活时间、数据流映射端口、数据流固定字节、数据帧/数据报到达间隔、签名算法、安全传输协议、证书时长、数据帧/数据报长度、协议版本号。

5.如权利要求1-4中任一项所述的方法，其特征在于，所述提取已知网络协议的特征向量，构建特征数据库包括：

提取TCP/IP协议簇中各已知网络协议的特征向量，构建特征数据库。

6.一种网络协议变种检测装置，其特征在于，包括：

数据库构建模块，用于提取已知网络协议的特征向量，构建特征数据库；

匹配模块，用于获取待检数据流的目标特征向量，将所述目标特征向量与特征数据库中各已知网络协议的特征向量匹配，确定候选网络协议集合；

确定模块，用于基于模糊推理算法从所述候选网络协议集合中确定待检数据流使用的协议变种所对应的已知网络协议；

其中，所述匹配模块，具体用于分别计算目标特征特征向量与各已知网络协议的特征向量之间的欧式距离；将计算得到的欧式距离与距离阈值比较，当欧式距离小于距离阈值时，将相应的已知网络协议放入候选网络协议集合中。

7.一种电子设备，其特征在于，该电子设备包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行如权利要求1-5中任一项所述方法。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被处理器执行时，实现如权利要求1-5中任一项所述方法。