技術(shù)領(lǐng)域

本發(fā)明涉及一種針對網(wǎng)絡(luò)數(shù)據(jù)流中周期性子序列的檢測方法，屬于信息安 全技術(shù)領(lǐng)域。

背景技術(shù)

周期性子序列指在一個網(wǎng)絡(luò)會話的數(shù)據(jù)流中周期性出現(xiàn)的具有相等序列特 征值并且其所包含的數(shù)據(jù)包在時序上關(guān)系緊密的一種序列類型。周期性子序列 在各種網(wǎng)絡(luò)應(yīng)用中作為在線狀態(tài)檢測機(jī)制、狀態(tài)匯報方式、網(wǎng)絡(luò)同步機(jī)制或其 他定時任務(wù)而普遍存在。一個網(wǎng)絡(luò)會話是否包含周期性子序列以及該周期性子 序列的特征往往可以作為區(qū)分一個會話與其他會話的重要特征；并且由于周期 性子序列所包含的數(shù)據(jù)大多與具體業(yè)務(wù)數(shù)據(jù)無關(guān)，因此它們的存在會對網(wǎng)絡(luò)數(shù) 據(jù)流的分析造成干擾，所以識別并過濾掉周期性子序列數(shù)據(jù)將會減少網(wǎng)絡(luò)數(shù)據(jù) 流的研究工作量，提高判斷網(wǎng)絡(luò)數(shù)據(jù)流其它特征的效率，即降低非應(yīng)用數(shù)據(jù)對 所要研究的具體業(yè)務(wù)數(shù)據(jù)的干擾。

目前，對于一個未知協(xié)議的網(wǎng)絡(luò)會話是否存在周期性子序列，一般采用 pcap、wireshark、sniffer等抓包工具捕獲網(wǎng)絡(luò)數(shù)據(jù)包，然后人工分析其行為 特征。即首先判斷網(wǎng)絡(luò)數(shù)據(jù)包中是否存在周期性子序列；如果存在，進(jìn)一步提 取該周期性子序列的特征，如：序列周期、序列構(gòu)成等，以便于在分析數(shù)據(jù)之 前將其過濾，而這需要更多的人工參與。現(xiàn)有技術(shù)存在以下缺點：

1.需人工判斷是否存在周期性子序列，所以分析效率低下；

2.網(wǎng)絡(luò)數(shù)據(jù)流的采集與分析之間存在較長時間差，無法做到實時分析；

3.易造成誤判，將不是周期性子序列的數(shù)據(jù)判斷為周期性子序列，導(dǎo)致具 體業(yè)務(wù)數(shù)據(jù)被過濾掉，對分析具體業(yè)務(wù)數(shù)據(jù)造成影響。

發(fā)明內(nèi)容

本發(fā)明的目的是提出一種針對網(wǎng)絡(luò)數(shù)據(jù)流的周期性子序列的檢測方法。本 發(fā)明通過對網(wǎng)絡(luò)數(shù)據(jù)包的特征進(jìn)行分析來識別周期性子序列，并引入簇的概念， 使提取周期性子序列更有效、更準(zhǔn)確。

本發(fā)明的目的是通過下述技術(shù)方案實現(xiàn)的。

首先給出相關(guān)術(shù)語的定義：

定義1.序列：以時間為序的數(shù)據(jù)包的集合；

定義2.子序列：若序列X，Y滿足：序列X中所有的數(shù)據(jù)包均存在于序列Y中， 且X中所有的數(shù)據(jù)包的順序與Y中數(shù)據(jù)包順序一致，則X是Y的一個子序列；

定義3.序列的特征值：由既定的特征向量組成的序列的屬性；

定義4.簇：簇是在時序上關(guān)系緊密的數(shù)據(jù)包的集合，而簇與簇之間的數(shù)據(jù) 包在時序關(guān)系上相對疏遠(yuǎn)，具體判斷標(biāo)準(zhǔn)為：當(dāng)相鄰兩個數(shù)據(jù)包的時間間隔不 大于一個人為設(shè)定時間值T，則判斷這兩個數(shù)據(jù)包在同一個簇內(nèi)；否則判斷這兩 個數(shù)據(jù)包分屬于兩個簇。

一種針對網(wǎng)絡(luò)數(shù)據(jù)流中周期性子序列的檢測方法，具體操作步驟如下：

步驟一、獲取網(wǎng)絡(luò)數(shù)據(jù)流，并定義簇間最小時間間隔值為T，構(gòu)成最小簇所 需網(wǎng)絡(luò)包的個數(shù)為S_min，S_min為正整數(shù)；

步驟二、對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行分簇，得到簇集合。其具體操作步驟如下：

第1步：構(gòu)造一個簇列表Qc和一個臨時數(shù)據(jù)包列表Lp；簇列表Qc用于存儲簇 對象C，；臨時數(shù)據(jù)包列表Lp用于存儲從網(wǎng)絡(luò)數(shù)據(jù)流中獲取的數(shù)據(jù)包；簇列表Qc 包含但不限于以下三個屬性：數(shù)據(jù)包序列、數(shù)據(jù)包數(shù)量、簇對象特征值；臨時 數(shù)據(jù)包列表Lp包含但不限于以下四個屬性：數(shù)據(jù)包序列、數(shù)據(jù)包數(shù)量、簇對象 特征值、最后一個數(shù)據(jù)包的時間T_last；

第2步：從步驟一獲取的網(wǎng)絡(luò)數(shù)據(jù)流中讀取一個數(shù)據(jù)包；記該數(shù)據(jù)包的時間 為Tp，并設(shè)定數(shù)據(jù)包數(shù)量的初值為0；

第3步：將第2步或者第4步獲取的數(shù)據(jù)包添加至臨時數(shù)據(jù)包列表Lp，其數(shù)據(jù) 包數(shù)量屬性值增加1，并記錄臨時數(shù)據(jù)包列表Lp中最后一個數(shù)據(jù)包的時間 T_last＝Tp；

第4步：判斷網(wǎng)絡(luò)數(shù)據(jù)流是否結(jié)束；若結(jié)束，則以臨時數(shù)據(jù)包列表Lp中數(shù)據(jù) 包構(gòu)造一個簇對象C，獲得簇對象C的特征值，并添加至簇列表Qc中，結(jié)束分簇， 轉(zhuǎn)到步驟三；否則讀取網(wǎng)絡(luò)數(shù)據(jù)流的下一個數(shù)據(jù)包，記錄其時間Tp；