[发明专利]网络协议变种检测方法、装置、电子设备和存储介质

说明书

本申请公开了网络协议变种检测方法、装置、电子设备和存储介质，网络协议变种检测方法包括：提取已知网络协议的特征向量，构建特征数据库；获取待检数据流的目标特征向量，将所述目标特征向量与特征数据库中各已知网络协议的特征向量匹配，确定候选网络协议集合；基于模糊推理算法从所述候选网络协议集合中确定待检数据流使用的协议变种所对应的已知网络协议。本申请实施例能够根据数据流的实际状况提高未知协议识别的正确率，而且有效防止了“漏匹配”现象发生，整体计算量小，适合对实时性处理要求高的应用场景。

技术领域

本申请涉及计算机技术领域，具体涉及网络协议变种检测方法、装置、电子设备和存储介质。

背景技术

匿名通信网络(以下简称匿名网络)是能够为网络通信用户提供匿名服务的由软硬件组件构成的网络系统。一般是采用密码技术在访问者与服务器之间建立一条安全隧道的方式，实现秘密访问和通信。这些匿名网系统对网络流量加密保护和隐匿访问者原始IP(Internet Protocol，网际协议)地址，给网络安全监管带来了巨大挑战。

由于匿名网络的便捷性和匿名性，成为了网络犯罪者的首选，应用匿名通道进行各种各样的网络犯罪，例如袭击网站，在线传播计算机病毒，网上走私，网上非法交易，侮辱、毁谤等。犯罪分子利用匿名网络均可以实现对其自身真实位置和信息的隐藏，逃避政府的监管。

如何快速、准确的智能化分析检测协议变种进而实现网络安全防护受到越来越多研究人员的关注。

发明内容

鉴于上述问题，提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的网络协议变种检测方法、装置、电子设备和存储介质。

依据本申请的一个方面，提供了一种网络协议变种检测方法，包括：

提取已知网络协议的特征向量，构建特征数据库；

获取待检数据流的目标特征向量，将所述目标特征向量与特征数据库中各已知网络协议的特征向量匹配，确定候选网络协议集合；

基于模糊推理算法从所述候选网络协议集合中确定待检数据流使用的协议变种所对应的已知网络协议。

可选地，将所述目标特征向量与特征数据库中各已知网络协议的特征向量匹配，确定候选网络协议集合包括：

分别计算目标特征特征向量与各已知网络协议的特征向量之间的欧式距离；

将计算得到的欧式距离与距离阈值比较，当欧式距离小于距离阈值时，将相应的已知网络协议放入候选网络协议集合中。

可选地，所述基于模糊推理算法从所述候选网络协议集合中确定待检数据流使用的协议变种所对应的已知网络协议包括：

将待检数据流的目标特征向量模糊化，得到目标特征向量中各元素对应的模糊集；

根据所述模糊集以及预先建立的模糊规则库中的模糊蕴含关系，进行推理合成，得到待检数据流与候选网络协议集合中各已知网络协议之间的相似度模糊子集；

对所述相似度模糊子集去模糊化，确定出待检数据流使用的协议变种所对应的已知网络协议。

可选地，对所述相似度模糊子集去模糊化，确定出待检数据流使用的协议变种所对应的已知网络协议包括：

计算相似度模糊子集的隶属度函数曲线所围成区域的重心，将重心所对应的值确定为协议变种所对应的已知网络协议。

可选地，所述获取待检数据流的目标特征向量包括：对截获的待检数据流的前16个字节进行扫描，得到待检数据流的目标特征向量；所述目标特征向量包括下列元素中的一种或多种：数据流存活时间、数据流映射端口、数据流固定字节、数据帧/数据报到达间隔、签名算法、安全传输协议、证书时长、数据帧/数据报长度、协议版本号。