[发明专利]应用层数据流安全检测方法和计算机可读存储介质

说明书

本发明涉及应用层数据流安全检测方法，包括：对多个应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流；对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率；根据所述码串固定概率提取固定特征数据，并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库，并基于多个所述单类网络协议特征库形成网络协议特征基线库；对待识别的应用层数据流进行特征数据提取以获取待识别特征数据，基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。本发明还涉及一种计算机可读存储介质。

技术领域

本发明涉及网络安全领域，更具体地说，涉及一种应用层数据流安全检测方法和计算机可读存储介质。

背景技术

随着互联网技术的发展，各行各业的业务越来越多地通过网络应用进行实施和管理，网络应用的安全检测至关重要。网络应用安全检测中一个重要的技术是应用层协议识别技术，准确的应用层协议识别有助于判断应用层流量正常/异常，便于后续对异常应用层流量进行阻断并解析出异常数据，分析异常原因。现有应用层协议识别技术通常采用特征提取对比方式实现，提取协议特征形成协议特征库，根据协议特征库形成决策树，将待识别的协议数据与决策树进行对比识别，若识别不出，将待识别的协议数据提取出的协议特征更新至协议特征库和决策树。目前采用的协议固定特征的提取方法为将多条数据码流依次比对，标记不变字段的起始位置和信息，得到协议固定特征。

而现有技术对数据码流进行依次比对，计算效率低。此外，如果中间出现一条固定字段存在误码的数据码流，在将此条与上一条码流进行比对时，会导致原本的固定特征出现改变，不能被标记为不变字段，使得固定特征识别率不高。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种识别率高、计算速度快、效率高并且容错率更好的应用层数据流安全检测方法和计算机可读存储介质。

本发明解决其技术问题所采用的技术方案是：构造一种应用层数据流安全检测方法，包括以下步骤：

S1、遍历多个应用层数据流，对所述应用层数据流中的每个单网络协议应用层数据流分别进行聚类以形成各类单网络协议应用层数据流；

S2、对于每个单网络协议应用层数据流按照位置进行码串拆分并分别计算各个码串的码串固定概率；

S3、根据所述码串固定概率提取固定特征数据，并基于同类单网络协议应用层数据流的所述固定特征数据构成单类网络协议特征库，并基于多个所述单类网络协议特征库形成网络协议特征基线库；

S4、对待识别的应用层数据流进行特征数据提取以获取待识别特征数据，基于所述待识别特征数据与所述网络协议特征基线库的匹配识别结果进行放行或者拦截所述待识别的应用层数据流。

在本发明所述的应用层数据流安全检测方法中，所述步骤S2进一步包括以下步骤：

S21、对每个单网络协议应用层数据流，遍历其所有报文以对每一条报文进行智能拆分，从而获得多个码串；

S22、将单个码串和所述单个码串对应的同址同码数量形成单个特征数据；

S23、对每个所述特征数据按照码串位置进行统计，以获得各个码串的同址异码数量，并基于所述同址同码数量和所述同址异码数量计算各个码串的码串固定概率。

在本发明所述的应用层数据流安全检测方法中，在所述步骤S21中，采用齐夫分布曲线确定最佳拆分粒度，并基于所述最佳拆分粒度进行所述智能拆分。

在本发明所述的应用层数据流安全检测方法中，在所述步骤S23中，所述码串固定概率=所述同址同码数量/（所述同址同码数量+所述同址异码数量）。

在本发明所述的应用层数据流安全检测方法中，所述步骤S3进一步包括以下步骤：