发明名称 |
一种基于特征片段自发现的可疑隧道检测方法与系统 |
摘要 |
本发明公开了一种基于特征片段自发现的可疑隧道检测方法和系统,包括基于特征片段锁定算法锁定特征片段集合并找出最邻近片段集合;在可疑隧道检测过程中,实时提取元数据片段,基于片段间最小距离搜索算法分别计算元数据片段与特征片段集合和最邻近片段之间的最小距离,计算可疑元数据片段的判定参数,当判定参数的结果小于零时,判定元数据片段为可疑片段并报警;当大于或等于零时,为非可疑片段。通过本发明的方案,能够同时具备误用检测技术的自解释能力和异常检测技术的发现未知可疑隧道的优点,避免了网络安全专家的大量精力投入,回避了统计特征被平均化的问题。 |
申请公布号 |
CN105791039A |
申请公布日期 |
2016.07.20 |
申请号 |
CN201410811870.7 |
申请日期 |
2014.12.22 |
申请人 |
北京启明星辰信息安全技术有限公司;国家计算机网络与信息安全管理中心;北京启明星辰信息技术股份有限公司 |
发明人 |
侯伟;周涛;赵忠华 |
分类号 |
H04L12/26(2006.01)I;H04L12/24(2006.01)I;H04L12/46(2006.01)I |
主分类号 |
H04L12/26(2006.01)I |
代理机构 |
北京安信方达知识产权代理有限公司 11262 |
代理人 |
王康;栗若木 |
主权项 |
一种基于特征片段自发现的可疑隧道检测方法,其特征在于,所述方法包括:S1、构建特定的可疑隧道,基于所述可疑隧道建立对应于可疑隧道流量的多个可疑隧道样本;S2、建立对应于正常的宿主协议流量的正常隧道样本;S3、基于特征片段锁定算法从所述多个可疑隧道样本中锁定所述可疑隧道的特征片段集合;并找出所述正常隧道样本中与所述特征片段集合对应的最邻近片段集合;S4、从实时通信流量中提取元数据片段;S5、基于所述片段间最小距离搜索算法分别计算所述元数据片段与所述特征片段集合之间的最小距离,以及所述元数据片段和所述最邻近片段之间的最小距离,基于所述最小距离和所述可疑隧道检测算法,计算可疑元数据片段的判定参数,当所述判定参数的结果小于零时,判定所述元数据片段为可疑片段并报警;当所述判定参数的结果大于或等于零时,判定所述元数据片段为非可疑片段。 |
地址 |
100193 北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 |