[发明专利]一种私有加密数据识别方法及系统

说明书

一种私有加密数据识别方法及系统，通过获取解析后的待识别数据，判断待识别数据中的目的IP是否存在于黑名单IP列表中：若目的IP存在于黑名单IP列表中，将待识别数据作为非一类私有加密数据；若目的IP不存在于黑名单IP列表中，则判断目的IP是否存在于白名单IP列表中；判断待识别数据中的目的IP是否存在于白名单IP列表中：若目的IP存在于白名单IP列表中，将待识别数据作为一类私有加密数据并引擎上报；若目的IP不存在于白名单IP列表中，则对待识别数据的TCP负载进行二进制离散法计算，判断TCP负载的离散程度。本发明可以高效、快速的识别私有加密数据，实现了对特定私有加密数据的动态分析。

技术领域

本发明涉及一种私有加密数据识别方法及系统，属于加密数据处理技术领域。

背景技术

目前，私有加密数据的识别主要有以下方案：

第一、使用特征码识别加密数据。主要是通过判断TCP负载的字节偏移是否为特定的值，如果等于某个值，则认为该数据为加密数据，如果不等于则认为该数据不是加密数据。

第二、使用端口识别加密数据。客户端与服务器进行通信，传递加密信息。在通信建立连接前，服务器需要监听某一个端口，等待客户端的连接。这样，可以使用端口特征识别出加密数据。通常，这些端口不是常用的服务端口(0-1024)。

第三、使用信息熵计算应用到加密数据识别的情况比较少，且识别的时候大多数采用计算方法如下：H(X)＝-Σp(x)log p(x)，这样能够实现自动化识别加密数据。

现有技术存在以下问题：

基于特征码识别加密数据，没有办法验证软件特征是否准确。由于因特网已经很普及，互联网中产生的流量大，网络数据类型多种多样。所以使用特征码识别加密数据，会导致识别到的数据有误报。

基于端口识别加密数据，与基于特征码识别加密数据存在同样的问题。由于可用的传输层端口只有16位(0-65535)，但现在网络上的服务提供者远远超过这个量级，非标准端口的网络服务被经常使用，而且，很多软件服务可以动态修改服务端口，并且每隔一段时间，通过网络发布最新的服务端口，这对基于端口的网络加密数据识别提出了挑战。

现有信息熵计算方法中，信息熵是信息论中用于度量信息量的一个概念。一个系统越是有序，信息熵就越低，则对应的加密后的数据，信息熵值越高，但由于使用了对数函数，在处理大数据时，计算速度慢，影响数据处理速度，无法高效识别加密数据。

发明内容

为此，本发明提供一种私有加密数据识别方法及系统，适用于网络加密数据的捕获、过滤、识别，在原有信息熵思想基础上，提出二进制离散法，解决传统基于端口识别、特征码识别加密数据准确率及效率不高的问题。

为了实现上述目的，本发明提供如下技术方案：一种私有加密数据识别方法，包括：

获取解析后的待识别数据，预设黑名单IP列表和白名单IP列表；

判断所述待识别数据中的目的IP是否存在于所述黑名单IP列表中：

若所述目的IP存在于所述黑名单IP列表中，将所述待识别数据作为非一类私有加密数据；

若所述目的IP不存在于所述黑名单IP列表中，则判断所述目的IP是否存在于所述白名单IP列表中；

判断所述待识别数据中的目的IP是否存在于所述白名单IP列表中：

若所述目的IP存在于所述白名单IP列表中，将所述待识别数据作为一类私有加密数据并引擎上报；

若所述目的IP不存在于所述白名单IP列表中，则对待识别数据的TCP负载进行二进制离散法计算，判断TCP负载的离散程度。