[发明专利]一种基于国密系列算法的高效恶意流量检测方法

权利要求书

1.一种基于国密系列算法的高效恶意流量检测方法，其特征在于，包括以下步骤：

步骤S1，发送方设定自定义的规则集，该规则集只有发送方拥有；

步骤S2，发送方与接收方协商设定协商密钥；

步骤S3，发送方为所述规则集中每条规则生成具有通配符的向量、非通配符下标集合S以及对应的随机数K并保存；

步骤S4，发送方根据所有所述规则对应的所述向量、所述非通配符下标集合S、所述随机数K以及所述协商密钥进行全混淆计算，为每条所述规则生成对应的陷门信息，所述陷门信息记为Trapdoor＝{d₀，d₁，S，r}，包括随机数隐藏参数d₀、规则操作隐藏参数d₁、所述非通配符下标集合S以及匹配参数r；

步骤S5，发送方通过所述协商密钥和所述向量进行半混淆计算并异或，并将结果映射到布隆过滤器，生成快速检索表；

步骤S6，发送方将所述陷门信息和所述快速检索表发送给云服务商；

步骤S7，发送方将需要发送给接收方的明文数据按字节划分，结合所述协商密钥以字节为单位将所述明文数据通过半混淆计算得到密文；

步骤S8，发送方将所述密文发给云服务商，所述云服务商使用所述陷门信息、所述快速检索表以及所述密文对流量进行过滤，得到正常流量和恶意流量，并将所述正常流量发送至接收方；

步骤S9，所述云服务商通过所述陷门信息还原出所述规则对应的操作，并对所述恶意流量执行操作。

2.根据权利要求1所述的基于国密系列算法的高效恶意流量检测方法，其特征在于：

其中，步骤S3包括以下子步骤：

步骤S3-1，发送方生成空向量；

步骤S3-2，发送方根据所述规则集中所述规则的指定字段以字节为单位写入所述空向量，并用通配符填充所述空向量的所有空余位置得到所述向量；

步骤S3-3，发送方记录下所述向量中非通配符位置的下标得到所述非通配符下标集合S；

步骤S3-4，发送方生成一个随机数K，所述随机数K与所述规则绑定且唯一；

步骤S3-5，循环进行步骤S3-1至步骤S3-4，为所述规则集中每条所述规则生成具有通配符的所述向量、所述非通配符下标集合S以及对应的所述随机数K并保存。

3.根据权利要求1所述的基于国密系列算法的高效恶意流量检测方法，其特征在于：

其中，步骤S4中包括以下子步骤：，

步骤S4-1，发送方对每个所述向量中非通配符位置的元素、下标信息和所述协商密钥拼接得到拼接结果并保存；

步骤S4-2，发送方使用国密SM3算法根据所述拼接结果计算消息摘要；

步骤S4-3，循环步骤S4-2，直到所有非通配符位置的元素都存在对应所述消息摘要；

步骤S4-4，发送方对所有所述消息摘要做异或运算；

步骤S4-5，进行全混淆计算，发送方将步骤S4-4得到的异或运算结果与所述随机数K进行异或，计算结果记为所述随机数隐藏参数d₀；

步骤S4-6，发送方使用国密SM4算法，以所述随机数K作为密钥，加密所述规则对应的操作，计算结果记为所述规则操作隐藏参数d₁；

步骤S4-7，发送方使用国密SM3算法对步骤S4-4得到的异或运算结果进行计算，计算结果记为所述匹配参数r。

4.根据权利要求1所述的基于国密系列算法的高效恶意流量检测方法，其特征在于：

其中，步骤S7中包括以下子步骤：

步骤S7-1，发送方对所述明文数据中的每个字节的元素、下标信息和所述协商密钥拼接；

步骤S7-2，使用国密SM3算法对步骤S7-1的拼接结果计算生成数据摘要，将数据摘要作为所述密文。