一种自定义加密协议流量处理方法、装置和电子设备与流程

1.本发明涉及计算机技术领域，具体而言，涉及一种自定义加密协议流量处理方法、装置和电子设备。


背景技术：

2.目前，互联网中使用加密业务进行通信的情况越来越多，各种加密网络协议，如：安全传输层协议(transport layer security，tls)、安全外壳协议(secure shell，ssh)等为网络通信带来更好的安全性。然而，有些应用(社交通信软件等)或恶意程序(僵尸网络、木马、apt等)的制作者，在实现自己的网络功能时，已知的网络协议在安全性、可扩展性等方面不能满足需求，从而需要设计并实现自定义加密协议。如何识别出使用自定义加密协议的流量是亟需解决的问题。


技术实现要素：

3.为解决上述问题，本发明实施例的目的在于提供一种自定义加密协议流量处理方法、装置和电子设备。
4.第一方面，本发明实施例提供了一种自定义加密协议流量处理方法，包括：
5.获取第一网络数据包，对获取到的所述第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包；
6.根据第二网络数据包中携带的网络五元组，将所述第二网络数据包划分为不同的数据流；
7.对所述不同的数据流中各数据流中的网络数据包进行处理，得到各所述数据流的载荷字符串；
8.基于得到的各所述数据流的载荷字符串，分别计算所述第二网络数据包中各所述数据流的载荷比特频数和信息熵；
9.根据计算得到的各所述数据流的载荷比特频数和信息熵，确定所述第二网络数据包中各数据流使用的通信协议。
10.第二方面，本发明实施例还提供了一种自定义加密协议流量处理装置，包括：
11.获取模块，用于获取第一网络数据包，对获取到的所述第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包；
12.划分模块，用于根据第二网络数据包中携带的网络五元组，将所述第二网络数据包划分为不同的数据流；
13.处理模块，用于对所述不同的数据流中各数据流中的网络数据包进行处理，得到各所述数据流的载荷字符串；
14.计算模块，用于基于得到的各所述数据流的载荷字符串，分别计算所述第二网络数据包中各所述数据流的载荷比特频数和信息熵；
15.确定模块，用于根据计算得到的各所述数据流的载荷比特频数和信息熵，确定所
述第二网络数据包中各数据流使用的通信协议。
16.第三方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面所述的方法的步骤。
17.第四方面，本发明实施例还提供了一种电子设备，所述电子设备包括有存储器，处理器以及一个或者一个以上的程序，其中所述一个或者一个以上程序存储于所述存储器中，且经配置以由所述处理器执行上述第一方面所述的方法的步骤。
18.本发明实施例上述第一方面至第四方面提供的方案中，先对获取到的第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包，然后计算第二网络数据包的载荷比特频数和信息熵，利用第二网络数据包的载荷比特频数和信息熵对所述第二网络数据包中各数据流使用的通信协议进行判断，从而可以在网络环境中用来识别出使用未知协议的流量或可疑通信流量的过程中，根据自定义加密通信协议具有高度随机性的特点，利用计算得到的使用未知协议的流量或可疑通信流量的载荷比特频数和信息熵，将网络环境中使用自定义加密通信协议的流量或可疑通信流量有效识别出来，具有识别准确率高且误报率低的特点。
19.为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
20.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
21.图1示出了本发明实施例1所提供的一种自定义加密协议流量处理方法的流程图；
22.图2示出了本发明实施例所提供的2所提供的一种自定义加密协议流量处理装置的结构示意图；
23.图3示出了本发明实施例3所提供的一种电子设备的结构示意图。
具体实施方式
24.在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
25.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
26.在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等
术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
27.随着加密业务的普及和安全意识的提高，互联网中使用加密业务进行通信的情况越来越多，各种加密网络协议，如：tls、ssh等为网络通信带来更好的安全性。然而，有些应用(社交通信软件等)或恶意程序(僵尸网络、木马、apt等)制作者，在实现自身的网络功能时，已知的网络协议在安全性、可扩展性等方面不能满足需求，从而需要设计并实现自定义的加密协议。自定义的加密协议指的是网络应用或恶意程序作者自行设计制作的网络协议，其通信流量经过标准加密算法或自行设计制作的加密算法保护。使用自定义加密协议，数据通信更安全，如果要分析自定义加密协议的漏洞就必须先破译自定义加密协议，而不能利用常见协议的漏洞；而且，自定义加密协议扩展性更好，可以根据自己的需求和发展扩展自己的协议。
28.本技术所要解决的技术问题就是提出一种基于随机性判定的自定义加密协议识别方法，能够从真实的网络流量中识别出这些自定义加密协议通信的流量。为安全分析人员发现和分析那些使用自定义加密协议的恶意程序通信流量提供依据。
29.基于此，本技术以下各实施例提出一种自定义加密协议流量处理方法、装置和电子设备，先对获取到的第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包，然后计算第二网络数据包的载荷比特频数和信息熵，利用第二网络数据包的载荷比特频数和信息熵对所述第二网络数据包中各数据流使用的通信协议进行判断，从而可以在网络环境中用来识别出使用未知协议的流量或可疑通信流量的过程中，根据自定义加密通信协议具有高度随机性的特点，利用计算得到的使用未知协议的流量或可疑通信流量的载荷比特频数和信息熵，将网络环境中使用自定义加密通信协议的流量或可疑通信流量有效识别出来，具有识别准确率高且误报率低的特点。
30.为使本技术的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本技术做进一步详细的说明。
31.实施例1
32.本书实施例提出的一种自定义加密协议流量处理方法的执行主体是服务器。
33.参见图1所示的一种自定义加密协议流量处理方法的流程图，本实施例提出一种自定义加密协议流量处理方法，具体包括以下步骤：
34.步骤100、获取第一网络数据包，对获取到的所述第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包。
35.在上述步骤100中，服务器通过实时监听网卡或者使用工具，如：wireshark,tcpdump等获取网络流量中的数据包，并从获取到的网络流量数据包中过滤出使用tcp协议及udp协议的网络流量，作为第一网络数据包。
36.对获取到的所述第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包的过程中，将所述第一网络数据包中使用rfc标准定义的常用明文传输协议的数据包识别出来并过滤掉，如：http、ftp、dns、smtp等；然后将所述第一网络数据包中使用rfc标准定义的常用加密协议的数据包识别出来并过滤掉，如：ssl/tls，ssh，rdp，dtls，
quic等，其中，识别和过滤通信协议的方法可以采用传统的网络协议的识别和过滤方法，包括但不限于：端口识别、特征值识别、行为识别等，具体过程是现有技术，这里不再赘述。
37.步骤102、根据第二网络数据包中携带的网络五元组，将所述第二网络数据包划分为不同的数据流。
38.在上述步骤102中，所述网络五元组包括：源ip地址、源端口标识、目的ip地址、目的端口标识、通信协议(如：tcp协议、udp协议等)。
39.将携带有相同的网络五元组的第二网络数据划分到同一个数据流中，从而将第二网络数据包划分为不同的数据流。
40.步骤104、对所述不同的数据流中各数据流中的网络数据包进行处理，得到各所述数据流的载荷字符串。
41.在上述步骤104中，为了得到各所述数据流的载荷字符串，上述步骤104可以执行以下步骤(1)至步骤(2)：
42.(1)将各所述数据流中的网络数据包中的以太网协议首部、ip协议首部、tcp协议或udp协议首部去掉，得到各所述数据流中网络数据包的载荷部分；
43.(2)按照各所述数据流中网络数据包的发出时间的先后顺序，将各所述数据流中网络数据包的载荷部分拼接起来，得到各所述数据流的载荷字符串。
44.在上述步骤(1)中，将各所述数据流中的网络数据包中的以太网协议首部、ip协议首部、tcp协议或udp协议首部依次去掉，得到各所述数据流中网络数据包的载荷部分的具体过程是现有技术，这里不再赘述。
45.在一个实施方式中，将各所述数据流中每个网络数据包的载荷长度超过16字节的，去掉前16字节，根据统计数据大多数的自定义加密协议最多使用前16字节作为自定义的协议首部，去掉该自定义的协议首部可以避免自定义的协议首部对判断载荷随机性的干扰。
46.所述自定义的协议首部，就是上述的以太网协议首部、ip协议首部、以及tcp协议或udp协议首部。
47.在上述步骤(2)中，每个网络数据包的包头携带的时间戳字段中记录有网络数据包的发出时间。
48.为了得到各所述数据流的载荷字符串，服务器可以执行以下具体步骤：获取各所述数据流中每个网络数据包的包头携带的时间戳字段，根据每个网络数据包的包头携带的时间戳字段，确定各所述数据流中每个网络数据包的发出时间，然后按照各所述数据流中网络数据包的发出时间的先后顺序，将各所述数据流中网络数据包的载荷部分拼接起来，得到各所述数据流的载荷字符串。
49.其中，得到的各所述数据流的载荷字符串，是由二进制数组成的字符串。
50.在一个实施方式中，当有数据流的载荷字符串的长度大于128字节时，将长度大于128字节的数据流的载荷字符串中超出128字节的部分截断。即数据流的载荷字符串的最大长度是128字节。
51.步骤106、基于得到的各所述数据流的载荷字符串，分别计算所述第二网络数据包中各所述数据流的载荷比特频数和信息熵。
52.这里，基于得到的各所述数据流的载荷字符串，计算所述第二网络数据包中各所
述数据流的载荷比特频数，包括以下步骤(10)至步骤(11)：
53.(10)分别统计各所述数据流的载荷字符串中1的数量和0的数量；
54.(11)通过以下公式1对所述第二网络数据包中各所述数据流的载荷比特频数进行计算：
[0055][0056]
其中，t表示各所述数据流的载荷比特频数；n0表示各所述数据流的载荷字符串中0的数量；n1表示各所述数据流的载荷字符串中1的数量；p0和均为常数。
[0057]
在上述步骤(11)中，p0表示各所述数据流的载荷字符串中0出现的理论概率，可以设置为0.5。
[0058]
类似的，表示各所述数据流的载荷字符串中1出现的理论概率，可以设置为0.5。
[0059]
当计算得到的载荷比特频数趋近于0时，说明数据流的载荷字符串的随机性越强。而数据流的载荷字符串的随机性越强，说明该数据流使用的通信协议是自定义加密协议的可能性越高。
[0060]
在计算所述第二网络数据包中各所述数据流的载荷比特频数后，可以继续执行以下步骤(20)至步骤(23)：
[0061]
(20)统计各所述数据流的载荷字符串的字节数量；
[0062]
(21)分别统计各所述数据流的载荷字符串中每个字节取值的出现数量；
[0063]
(22)通过以下公式2计算各所述数据流的载荷字符串中每个字节取值的出现概率：
[0064][0065]
其中，p(xi)表示各所述数据流的载荷字符串中每个字节取值在载荷字符串中的出现概率；yi表示各所述数据流的载荷字符串中每个字节取值的出现数量；z表示各所述数据流的载荷字符串的字节数量；
[0066]
(23)通过以下公式3计算所述第二网络数据包中各所述数据流的信息熵：
[0067][0068]
其中，h(x)表示所述第二网络数据包中各所述数据流的信息熵；n为256。
[0069]
在上述步骤(20)中，本领域技术人员可知，一个字节包括8个比特。那么，根据一个字节包括8个比特，服务器就可以统计得到各所述数据流的载荷字符串的字节数量。
[0070]
在上述步骤(21)中，领域技术人员可知，一个字节的取值范围是在0至255之间，那么服务器可以先计算得到各所述数据流的载荷字符串中每个字节的取值，然后对每个字节的取值进行统计，就可以分别统计得到各数据流的载荷字符串中每个字节取值的出现数量。
[0071]
比如，在一个数据流的载荷字符串中，包括28个字节，其中，第3个字节、第12个字节以及第26个字节的取值是22。
[0072]
那么，针对该数据流的载荷字符串来说，取值22的出现数量就是3。
[0073]
在通过以上步骤(21)分别统计各所述数据流的载荷字符串中每个字节取值的出现数量后，可以继续执行步骤(22)，对各所述数据流的载荷字符串中每个字节取值的出现概率进行计算。
[0074]
在上述步骤(22)中，每个字节的取值为0到255之间的任意数值。xi表示字符串中单个字节第i个可能的取值，即i属于0至255之间的任意数值。
[0075]
当i＝22时，即计算数据流中的载荷字符串中取值22(x
22
)的出现概率时，继续根据上述数据流的举例进行说明，可以确定，当一个数据流的载荷字符串包括28个字节时，z＝28；y
22
表示一个数据流的载荷字符串中每个字节取值22的出现数量，即：y
22
＝3。那么，可以通过以下公式4计算p(x
22
)：
[0076][0077]
通过以上计算所述第二网络数据包中各所述数据流的载荷比特频数和信息熵的过程可以确定：通过计算至多128字节使用tcp协议/udp协议的载荷字符串的载荷比特频数和信息熵，分别使用了两个简单的公式计算分别计算载荷比特频数和信息熵，使得得到所述第二网络数据包中各所述数据流的载荷比特频数和信息熵的速度很快，能够节省实时检测计算时的资源开销，大大提高了判定效率，使得该技术可以应用在高速传输的现实网络环境中。
[0078]
在计算得到各所述数据流的载荷比特频数和信息熵后，可以继续执行以下步骤108，确定所述第二网络数据包中各数据流使用的通信协议。
[0079]
步骤108、根据计算得到的各所述数据流的载荷比特频数和信息熵，确定所述第二网络数据包中各数据流使用的通信协议。
[0080]
在本实施例中，所述第二网络数据包中各数据流使用的通信协议，包括：自定义加密协议和未知非加密协议。
[0081]
具体地，可以通过以下步骤确定所述第二网络数据包中各数据流使用的通信协议：
[0082]
当计算得到的各所述数据流的载荷比特频数中有数据流的载荷比特频数小于等于频数阈值且信息熵大于等于信息熵阈值时，确定计算得到小于等于频数阈值的载荷比特频数以及大于等于信息熵阈值的信息熵的数据流使用的通信协议是自定义加密协议。
[0083]
其中，所述频数阈值，为预设值，缓存在所述服务器中。
[0084]
在一个实施方式中，所述频数阈值的取值可以设置为符合正态分布几率等于95％时的t值3。
[0085]
所述信息熵阈值的取值过程包括：利用随机数生成器分别模拟长度为n字节(n取值范围16-128)的随机字节序列，各5000次(例如：n＝16时5000次，n＝17时5000次
……
n＝128时5000次)，并分别计算n字节信息熵值的最大似然估计(16到128每个长度分别各计算一次)，及对于n字节的5000个样本集的信息熵标准差(16到128每个长度分别各计算一次)。然后，可以使用最大似然估计值减去三到五倍的标准差，作为信息熵阈值。在计算得到信息熵阈值后，将计算得到的信息熵阈值缓存在所述服务器中。
[0086]
当计算得到的各所述数据流的载荷比特频数中有数据流的载荷比特频数大于频数阈值或者信息熵小于信息熵阈值时，则服务器确定所述第二网络数据包中的该数据流使
用的是未知非加密协议。
[0087]
在一个实施方式中，小于信息熵阈值是指小于各所述数据流载荷字符串长度对应字节长度的信息熵阈值，即判断信息熵时，不同的数据流载荷字符串长度的信息熵阈值不同。
[0088]
综上所述，本实施例提出一种自定义加密协议流量处理方法，先对获取到的第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包，然后计算第二网络数据包的载荷比特频数和信息熵，利用第二网络数据包的载荷比特频数和信息熵对所述第二网络数据包中各数据流使用的通信协议进行判断，从而可以在网络环境中用来识别出使用未知协议的流量或可疑通信流量的过程中，根据自定义加密通信协议具有高度随机性的特点，利用计算得到的使用未知协议的流量或可疑通信流量的载荷比特频数和信息熵，将网络环境中使用自定义加密通信协议的流量或可疑通信流量有效识别出来，具有识别准确率高且误报率低的特点。
[0089]
实施例2
[0090]
本实施例提出一种自定义加密协议流量处理装置，用于执行上述实施例1提出的自定义加密协议流量处理方法。
[0091]
参见图2所示的一种自定义加密协议流量处理装置的结构示意图，本实施例提出的一种自定义加密协议流量处理装置，包括：
[0092]
获取模块200，用于获取第一网络数据包，对获取到的所述第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包；
[0093]
划分模块202，用于根据第二网络数据包中携带的网络五元组，将所述第二网络数据包划分为不同的数据流；
[0094]
处理模块204，用于对所述不同的数据流中各数据流中的网络数据包进行处理，得到各所述数据流的载荷字符串；
[0095]
计算模块206，用于基于得到的各所述数据流的载荷字符串，分别计算所述第二网络数据包中各所述数据流的载荷比特频数和信息熵；
[0096]
确定模块208，用于根据计算得到的各所述数据流的载荷比特频数和信息熵，确定所述第二网络数据包中各数据流使用的通信协议。
[0097]
具体地，所述处理模块204，具体用于：
[0098]
将各所述数据流中的网络数据包中的以太网协议首部、ip协议首部、tcp协议或udp协议首部去掉，得到各所述数据流中网络数据包的载荷部分；
[0099]
按照各所述数据流中网络数据包的发出时间的先后顺序，将各所述数据流中网络数据包的载荷部分拼接起来，得到各所述数据流的载荷字符串。
[0100]
具体地，所述计算模块206，用于基于得到的各所述数据流的载荷字符串，计算所述第二网络数据包中各所述数据流的载荷比特频数，包括：
[0101]
分别统计各所述数据流的载荷字符串中1的数量和0的数量；
[0102]
通过以下公式对所述第二网络数据包中各所述数据流的载荷比特频数进行计算：
[0103]
[0104]
其中，t表示各所述数据流的载荷比特频数；n0表示各所述数据流的载荷字符串中0的数量；n1表示各所述数据流的载荷字符串中1的数量；p0和均为常数。
[0105]
综上所述，本实施例提出一种自定义加密协议流量处理装置，先对获取到的第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包，然后计算第二网络数据包的载荷比特频数和信息熵，利用第二网络数据包的载荷比特频数和信息熵对所述第二网络数据包中各数据流使用的通信协议进行判断，从而可以在网络环境中用来识别出使用未知协议的流量或可疑通信流量的过程中，根据自定义加密通信协议具有高度随机性的特点，利用计算得到的使用未知协议的流量或可疑通信流量的载荷比特频数和信息熵，将网络环境中使用自定义加密通信协议的流量或可疑通信流量有效识别出来，具有识别准确率高且误报率低的特点。
[0106]
实施例3
[0107]
本实施例提出一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述实施例1描述的自定义加密协议流量处理方法的步骤。具体实现可参见方法实施例1，在此不再赘述。
[0108]
此外，参见图3所示的一种电子设备的结构示意图，本实施例还提出一种电子设备，上述电子设备包括总线51、处理器52、收发机53、总线接口54、存储器55和用户接口56。上述电子设备包括有存储器55。
[0109]
本实施例中，上述电子设备还包括：存储在存储器55上并可在处理器52上运行的一个或者一个以上的程序，经配置以由上述处理器执行上述一个或者一个以上程序用于进行以下步骤(1)至步骤(5)：
[0110]
(1)获取第一网络数据包，对获取到的所述第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包；
[0111]
(2)根据第二网络数据包中携带的网络五元组，将所述第二网络数据包划分为不同的数据流；
[0112]
(3)对所述不同的数据流中各数据流中的网络数据包进行处理，得到各所述数据流的载荷字符串；
[0113]
(4)基于得到的各所述数据流的载荷字符串，分别计算所述第二网络数据包中各所述数据流的载荷比特频数和信息熵；
[0114]
(5)根据计算得到的各所述数据流的载荷比特频数和信息熵，确定所述第二网络数据包中各数据流使用的通信协议。
[0115]
收发机53，用于在处理器52的控制下接收和发送数据。
[0116]
其中，总线架构(用总线51来代表)，总线51可以包括任意数量的互联的总线和桥，总线51将包括由处理器52代表的一个或多个处理器和存储器55代表的存储器的各种电路链接在一起。总线51还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本实施例不再对其进行进一步描述。总线接口54在总线51和收发机53之间提供接口。收发机53可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。例如：收发机53从其他设备接收外部数据。收发机53用于将处理器52处理后的数据发送给其他设备。取决于计算系统的性质，还可以提供用户接口56，例如小键盘、显示器、扬声器、麦克风、操
纵杆。
[0117]
处理器52负责管理总线51和通常的处理，如前述上述运行通用操作系统。而存储器55可以被用于存储处理器52在执行操作时所使用的数据。
[0118]
可选的，处理器52可以是但不限于：中央处理器、单片机、微处理器或者可编程逻辑器件。
[0119]
可以理解，本发明实施例中的存储器55可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，rom)、可编程只读存储器(programmable rom，prom)、可擦除可编程只读存储器(erasable prom，eprom)、电可擦除可编程只读存储器(electrically eprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(random access memory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(static ram，sram)、动态随机存取存储器(dynamic ram，dram)、同步动态随机存取存储器(synchronous dram，sdram)、双倍数据速率同步动态随机存取存储器(double data rate sdram，ddrsdram)、增强型同步动态随机存取存储器(enhanced sdram，esdram)、同步连接动态随机存取存储器(synchlink dram，sldram)和直接内存总线随机存取存储器(direct rambus ram，drram)。本实施例描述的系统和方法的存储器55旨在包括但不限于这些和任意其它适合类型的存储器。
[0120]
在一些实施方式中，存储器55存储了如下的元素，可执行模块或者数据结构，或者它们的子集，或者它们的扩展集：操作系统551和应用程序552。
[0121]
其中，操作系统551，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序552，包含各种应用程序，例如媒体播放器(media player)、浏览器(browser)等，用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序552中。
[0122]
综上所述，本实施例提出一种计算机可读存储介质和电子设备，先对获取到的第一网络数据包进行通信协议过滤，得到使用未知通信协议的第二网络数据包，然后计算第二网络数据包的载荷比特频数和信息熵，利用第二网络数据包的载荷比特频数和信息熵对所述第二网络数据包中各数据流使用的通信协议进行判断，从而可以在网络环境中用来识别出使用未知协议的流量或可疑通信流量的过程中，根据自定义加密通信协议具有高度随机性的特点，利用计算得到的使用未知协议的流量或可疑通信流量的载荷比特频数和信息熵，将网络环境中使用自定义加密通信协议的流量或可疑通信流量有效识别出来，具有识别准确率高且误报率低的特点。
[0123]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。