应用层数据流安全检测方法和计算机可读存储介质与流程

1.本发明涉及网络安全领域，更具体地说，涉及一种应用层数据流安全检测方法和计算机可读存储介质。


背景技术：

2.随着互联网技术的发展，各行各业的业务越来越多地通过网络应用进行实施和管理，网络应用的安全检测至关重要。网络应用安全检测中一个重要的技术是应用层协议识别技术，准确的应用层协议识别有助于判断应用层流量正常/异常，便于后续对异常应用层流量进行阻断并解析出异常数据，分析异常原因。现有应用层协议识别技术通常采用特征提取对比方式实现，提取协议特征形成协议特征库，根据协议特征库形成决策树，将待识别的协议数据与决策树进行对比识别，若识别不出，将待识别的协议数据提取出的协议特征更新至协议特征库和决策树。目前采用的协议固定特征的提取方法为将多条数据码流依次比对，标记不变字段的起始位置和信息，得到协议固定特征。
3.而现有技术对数据码流进行依次比对，计算效率低。此外，如果中间出现一条固定字段存在误码的数据码流，在将此条与上一条码流进行比对时，会导致原本的固定特征出现改变，不能被标记为不变字段，使得固定特征识别率不高。


技术实现要素：

4.本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种识别率高、计算速度快、效率高并且容错率更好的应用层数据流安全检测方法和计算机可读存储介质。
5.本发明解决其技术问题所采用的技术方案是：构造一种应用层数据流安全检测方法，包括以下步骤：s1、遍历多个应用层数据流，对所述应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流；s2、对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率；s3、根据所述码串固定概率提取固定特征数据，并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库，并基于多个所述单类网络协议特征库形成网络协议特征基线库；s4、对待识别的应用层数据流进行特征数据提取以获取待识别特征数据，基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。
6.在本发明所述的应用层数据流安全检测方法中，所述步骤s2进一步包括以下步骤：s21、对每个单网络协议应用层数据流，遍历其所有报文以对每一条报文进行智能拆分，从而获得多个码串；
s22、将单个码串和所述单个码串对应的同址同码数量形成单个特征数据；s23、对每个所述特征数据按照码串位置进行统计，以获得各个码串的同址异码数量，并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率。
7.在本发明所述的应用层数据流安全检测方法中，在所述步骤s21中，采用齐夫分布曲线确定最佳拆分粒度，并基于所述最佳拆分粒度进行所述智能拆分。
8.在本发明所述的应用层数据流安全检测方法中，在所述步骤s23中，所述码串固定概率=所述同址同码数量/（所述同址同码数量 所述同址异码数量）。
9.在本发明所述的应用层数据流安全检测方法中，所述步骤s3进一步包括以下步骤：s31、将所述码串固定概率高于筛选阈值的所述特征数据作为所述固定特征数据；s32、将位置相邻的多个短码串的固定特征数据合并替换成长码串的固定特征数据；s33、基于同类单网络协议应用层数据流的所述固定特征数据构建单类固定特征库；s34、基于多个所述单类网络协议特征库形成网络协议特征基线库。
10.在本发明所述的应用层数据流安全检测方法中，基于jaccard筛选系数确定所述筛选阈值。
11.在本发明所述的应用层数据流安全检测方法中，所述步骤s4进一步包括以下步骤：s41将所述待识别的应用层数据流进行特征数据提取以获取待识别特征数据；s42、将所述待识别特征数据与所述网络协议特征基线库中的每个单类固定特征库分别进行匹配识别，并基于匹配识别结果进行放行或者拦截所述待识别特征数据对应的所述待识别的应用层数据流。
12.本发明解决其技术问题采用的另一技术方案是，构造一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实所述的应用层数据流安全检测方法。
13.实施本发明的应用层数据流安全检测方法和计算机可读存储介质，可以通过码串固定概率来确定固定特征，识别率高、计算速度快、效率高并且容错率更好。进一步地，通过采用固定特征数据构建单类固定特征库，从而规定访问的应用层协议类别，不同的访问类别能通过不同的单类固定特征库快速的定位匹配出来，因此加快了计算速度，节约了计算资源。
附图说明
14.下面将结合附图及实施例对本发明作进一步说明，附图中：图1是本发明的应用层数据流安全检测方法的优选实施例的流程图；图2是本发明的应用层数据流安全检测方法的码串固定概率计算步骤的优选实施例的流程图；图3是本发明的应用层数据流安全检测方法的网络协议特征基线库构建步骤的优选实施例的流程图。
00 00 03 34 47 7a ac c0 04 40 00 00 04 40 00 06 63 3d db b1 1c c0 0a a8 80 00 00 0b bc c0 0a a8 80 00 0f f7 70 01 1f f6 6e eb bd d2 2f f0 04 4a af f4 47 76 6d d7 7c c7 72 2d d8 8c c5 50 01 18 80 00 0f fb b1 1d d8 86 60 00 00 00 08 8a aa ac c0 00 00 00 00 00 00 06 60 02 20 01 10 03 31 1f fa a7 73 3b b9 97 7d d5 55 59 9c c4 4f ff在对单网络协议应用层数据流的全部报文进行智能拆分之后，将单个码串和所述单个码串对应的同址同码数量形成单个特征数据，并对每个所述特征数据按照码串位置进行统计，以获得各个码串的同址异码数量，并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率。
22.以码串“ff”为例，其码串和码串对应的同址同码数量形成的单个特征数据表示如下，ff:0
‑
1:4353。其中ff表示码串，0
‑
1表示在报文内的位置，4353表示同址同码数量。同时，在整个单网络协议应用层数据流中，包含码串“ff”的特征数据还可能存在ff:156
‑
157:4353;ff:51
‑
52:353；
……
；包含51
‑
52位置的特征数据还可能存在01:51
‑
52:35；a0:51
‑
52:143；
……
。因此，单个码串和所述单个码串对应的同址同码数量形成单个特征数据如下：(ff:156
‑
157)，(ff:0
‑
1)，(ff:51
‑
52)。
23.每个所述特征数据按照码串位置进行统计，以获得各个码串的同址异码数量，并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率如下：(ff:156
‑
157)=4353/(4353 12)≈0.997(ff:0
‑
1)=4353/(4353 2)≈0.999(ff:51
‑
52)=353/(353 35 143)≈0.665在步骤s3中，根据所述码串固定概率提取固定特征数据，并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库，并基于多个所述单类网络协议特征库形成网络协议特征基线库。
24.图3是本发明的应用层数据流安全检测方法的网络协议特征基线库构建步骤的优选实施例的流程图。如图3所示，在步骤s31中，将所述码串固定概率高于筛选阈值的所述特征数据作为所述固定特征数据。在本发明的优选实施例中，基于jaccard筛选系数确定所述筛选阈值。当然本领域技术人员也可以根据实际情况定义所述筛选阈值，例如可以将其定义为大于0.9。
25.基于此，参照上例，可以判断出，ff:156
‑
157，ff:0
‑
1和ff:51
‑
52中，ff:156
‑
157和ff:0
‑
1可以作为固定特征数据，而ff:51
‑
52不能作为固定特征数据。
26.在步骤s32中，将位置相邻的多个短码串的固定特征数据合并替换成长码串的固定特征数据。例如可以将两个、三个、四个或者更多个位置相邻的短码串的固定特征数据合并替换成长码串的固定特征数据。在此本领域技术人员可以根据码串的实际数量进行选择，在此不做具体限制。
27.在步骤s33中，将基于同类单网络协议应用层数据流的所述固定特征数据构建单类固定特征库。将于同一类的单网络协议应用层数据流的全部的长码串的固定特征数据进行组合就形成了单类固定特征库。
28.在步骤s34中，基于多个所述单类网络协议特征库形成网络协议特征基线库。不同的单类网络协议特征库进行组合，就形成了包括全部类别，即全部网络协议的固定特征数
据的网络协议特征基线库。
29.在步骤s4中，对待识别的应用层数据流进行特征数据提取以获取待识别特征数据，基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。
30.在本发明的优选实施例中，可以先将所述待识别的应用层数据流进行特征数据提取以获取待识别特征数据；然后将所述待识别特征数据与所述网络协议特征基线库中的每个单类固定特征库分别进行匹配识别，并基于匹配识别结果进行放行或者拦截所述待识别特征数据对应的所述待识别的应用层数据流。
31.在此，可以采用现有技术中已知的方案进行特征数据提取和特征数据与单类固定特征库的特征数据的匹配识别。本发明的发明点在于采用码串固定概率来确定固定特征，这些提取和匹配过程都可以采用现有技术中的任何适合的提取和匹配方案来实现，在此就不再累述了。
32.因此，本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现，或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统，通过安装和执行程序控制计算机系统，使其按本发明方法运行。
33.本发明还可以通过计算机程序产品进行实施，程序包含能够实现本发明方法的全部特征，当其安装到计算机系统中时，可以实现本发明所述的应用层数据流安全检测方法。本文件中的计算机程序所指的是：可以采用任何程序语言、代码或符号编写的一组指令的任何表达式，该指令组使系统具有信息处理能力，以直接实现特定功能，或在进行下述一个或两个步骤之后实现特定功能：a)转换成其它语言、编码或符号；b)以不同的格式再现。
34.实施本发明的应用层数据流安全检测方法和计算机可读存储介质，可以通过码串固定概率来确定固定特征，识别率高、计算速度快、效率高并且容错率更好。进一步地，通过采用固定特征数据构建单类固定特征库，从而规定访问的应用层协议类别，不同的访问类别能通过不同的单类固定特征库快速的定位匹配出来，因此加快了计算速度，节约了计算资源。可以在网络访问过程中对访问的应用层数据流通过协议识别进行访问控制，通过既有的安全基线库，规定访问的应用层协议类别，不同的访问类别能通过已有的安全基线库快速的定位匹配出来，加快了计算速度，节约了计算资源。
35.虽然本发明是通过具体实施例进行说明的，本领域技术人员应当明白，在不脱离本发明范围的情况下，还可以对本发明进行各种变换及等同替代。另外，针对特定情形或材料，可以对本发明做各种修改，而不脱离本发明的范围。因此，本发明不局限于所公开的具体实施例，而应当包括落入本发明权利要求范围内的全部实施方式。
36.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。