[發明專利]基于貝葉斯分類器的網絡逃避行為檢測方法有效
| 申請號: | 201810082613.2 | 申請日: | 2018-01-29 |
| 公開(公告)號: | CN108111539B | 公開(公告)日: | 2021-03-30 |
| 發明(設計)人: | 賈靜平;陳科樺;李雪健;夏宏 | 申請(專利權)人: | 華北電力大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京眾合誠成知識產權代理有限公司 11246 | 代理人: | 朱琨 |
| 地址: | 102206 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 貝葉斯 分類 網絡 逃避 行為 檢測 方法 | ||
1.一種基于貝葉斯分類器的網絡逃避行為檢測方法,其特征在于,包括以下步驟:
步驟1、在正常網絡數據流上應用逃避技術,生成不同類別的逃避網絡數據流,或直接捕獲由逃避技術在逃避攻擊時發出的逃避網絡數據流;
步驟2、分別從正常網絡數據流和逃避網絡數據流中提取幀內特征和幀間特征并轉換成符號串,最終由網絡數據流轉換形成符號串流,從符號串流中提取統計特征,組成網絡數據流訓練樣本集;
步驟3、構建貝葉斯分類器,在步驟2得到的網絡數據流訓練樣本集上進行訓練;
步驟4、利用步驟3得到的貝葉斯分類器,對待檢測的網絡數據流進行分類,識別該網絡數據流是否為正常網絡數據流,或應用了逃避技術的逃避網絡數據流,若識別為逃避網絡數據流,則識別出應用的逃避技術類別。
2.根據權利要求1所述的一種基于貝葉斯分類器的網絡逃避行為檢測方法,其特征在于,所述步驟1中,截取網絡中包含TCP數據的正常網絡數據流,在截取的正常數據流上應用逃避技術,并設置不同參數,生成不同參數對應的逃避網絡數據流。
3.根據權利要求1所述的一種基于貝葉斯分類器的網絡逃避行為檢測方法,其特征在于,所述步驟2分別從正常網絡數據流和逃避網絡數據流的IP層和TCP層中提取幀內特征和幀間特征并轉換成符號串,所述幀內特征是指由網絡數據流內當前幀提取的不依賴于前后幀的特征;幀間特征是指由前后相鄰幀或間隔若干幀提取的特征;
其中,從IP層提取的幀內特征包括:每個包含IP層的幀的IP層的生存時間值、分片長度值、服務類型值、IP選項值字段是否合法、是否設置了嚴格源路由選擇、是否設置了松散源路由選擇、IP標志值;
從IP層提取的幀間特征包括:本幀IP層的片偏移值與前一幀IP層的片偏移值之差;
從TCP層提取的幀內特征包括:每個包含TCP層的幀的TCP層的校驗和;TCP層的分段長度;TCP層的標志字段值;TCP層的最大分段長度;TCP層的確認序號;TCP層的窗口擴大因子;
從TCP層提取的幀間特征包括:本幀TCP分段與前一幀中TCP分段的相對位置關系;TCP層的時間戳與前一幀時間戳的相對關系;TCP層的分段序號,及其相對于對方的接收窗口位置。
4.根據權利要求1所述的一種基于貝葉斯分類器的網絡逃避行為檢測方法,其特征在于,所述步驟2中,將從網絡數據流每一幀中提取出的特征轉換為符號串,從同一數據流不同幀中提取的所有符號串組成一個符號串流。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于華北電力大學,未經華北電力大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810082613.2/1.html,轉載請聲明來源鉆瓜專利網。
