一种基于训练分类的协议识别方法

摘要

本发明公开了一种入侵检测和/或保护产品与防火墙产品中的协议识别方法，用于识别网络中获得的数据文本的协议类别，该方法包括步骤：采用向量空间模型对所获得的数据文本进行划分，以获得表示该数据文本的数据文本向量；将该数据文本向量与训练文本集中的训练文本向量进行比较，以确定与该数据文本向量最相似的预定数目个训练文本向量；以及根据所确定的预定数目个训练文本向量的协议类别来确定该数据文本向量的协议类别。该方法通过分析各种其在网络中捕获的数据流进行协议分析，发现并阻断其中的入侵行为而不需要查询协议端口映射表或类似数据文件且具有极高的协议识别准确率。

主权项

1.一种基于训练分类的协议识别方法，用于识别网络中获得的数据文本的协议类别，该方法包括步骤：采用向量空间模型对所获得的数据文本进行划分，以获得表示该数据文本的数据文本向量；基于该数据文本向量与训练文本集中的训练文本向量的相似度，确定与该数据文本向量最相似的预定数目个训练文本向量，其中所述训练文本集包括多个训练文本向量，每个训练文本向量具有预先确定的协议类别，而且每个训练文本向量是通过采用所述向量空间模型划分训练文本而获得的；以及根据所确定的预定数目个训练文本向量的协议类别来确定该数据文本向量的协议类别，其中所述采用向量空间模型对所获得的数据文本进行划分以获得表示该数据文本的数据文本向量的步骤包括：将所述数据文本划分为若干个连续数据包序列，每个数据包序列为一个特征项；以及以所述特征项作为所述数据文本向量的维数，将所述数据文本向量表示为(W_d1，W_d2，W_d3......W_dn)，其中W_di为第i个特征项在所述数据文本中的权重，其中所述W_di采用TF-IDF公式进行计算，其中通过以下步骤来获得所述训练文本集中的训练文本向量：将所述训练文本划分为若干个连续数据包序列，每个数据包序列为一个特征项；以及以所述特征项作为所述训练文本向量的维数，将所述训练文本向量表示为(W₁，W₂，W₃......W_n)，其中W_i为第i个特征项在所述训练文本中的权重，其中所述W_i采用TF-IDF公式进行计算，其中所述确定与该数据文本向量最相似的预定数目个训练文本向量的步骤包括：利用下面的相似度计算公式来确定两个文本之间的相似度：$\mathrm{Sim}(d_i,d_j)=\frac{\underset{k=1}{\overset{M}{\Sigma }}{W}_{\mathrm{ik}}\times W_{\mathrm{jk}}}{\sqrt{\left(\underset{k=1}{\overset{M}{\Sigma }}{W}_{\mathrm{ik}}^2\right)\left(\underset{k=1}{\overset{M}{\Sigma }}{W}_{\mathrm{jk}}^2\right)}}$其中，Sim(d_i，d_j)为两个数据向量的相似度。W_ik表示第K个词在数据向量中的表示。M值为预设值，以及其中根据所确定的预定数目个训练文本向量的协议类别来确定该数据文本向量的协议类别包括：对于所确定的预定数目个训练文本向量，依次计算每个协议类别的权重，计算公式如下：$p(\overrightarrow{x},C_j)=\underset{{\overrightarrow{d}}_i\in \mathrm{KNN}}{\Sigma }\mathrm{Sim}(\overrightarrow{x},{\overrightarrow{d}}_i)y({\overrightarrow{d}}_i,C_j)$其中，为数据文本向量，为相似度计算公式，为协议类别属性函数，即，如果属于类C_j，那么函数值为1，否则为0；确定权重最大的协议类别，并将其确定为该数据文本的协议类别。