本申請公開了網絡協議變種檢測方法、裝置、電子設備和存儲介質，網絡協議變種檢測方法包括：提取已知網絡協議的特征向量，構建特征數據庫；獲取待檢數據流的目標特征向量，將所述目標特征向量與特征數據庫中各已知網絡協議的特征向量匹配，確定候選網絡協議集合；基于模糊推理算法從所述候選網絡協議集合中確定待檢數據流使用的協議變種所對應的已知網絡協議。本申請實施例能夠根據數據流的實際狀況提高未知協議識別的正確率，而且有效防止了“漏匹配”現象發生，整體計算量小，適合對實時性處理要求高的應用場景。

技術領域

本申請涉及計算機技術領域，具體涉及網絡協議變種檢測方法、裝置、電子設備和存儲介質。

背景技術

匿名通信網絡(以下簡稱匿名網絡)是能夠為網絡通信用戶提供匿名服務的由軟硬件組件構成的網絡系統。一般是采用密碼技術在訪問者與服務器之間建立一條安全隧道的方式，實現秘密訪問和通信。這些匿名網系統對網絡流量加密保護和隱匿訪問者原始IP(Internet Protocol，網際協議)地址，給網絡安全監管帶來了巨大挑戰。

由于匿名網絡的便捷性和匿名性，成為了網絡犯罪者的首選，應用匿名通道進行各種各樣的網絡犯罪，例如襲擊網站，在線傳播計算機病毒，網上走私，網上非法交易，侮辱、毀謗等。犯罪分子利用匿名網絡均可以實現對其自身真實位置和信息的隱藏，逃避政府的監管。

如何快速、準確的智能化分析檢測協議變種進而實現網絡安全防護受到越來越多研究人員的關注。

發明內容

鑒于上述問題，提出了本申請以便提供一種克服上述問題或者至少部分地解決上述問題的網絡協議變種檢測方法、裝置、電子設備和存儲介質。

依據本申請的一個方面，提供了一種網絡協議變種檢測方法，包括：

提取已知網絡協議的特征向量，構建特征數據庫；

獲取待檢數據流的目標特征向量，將所述目標特征向量與特征數據庫中各已知網絡協議的特征向量匹配，確定候選網絡協議集合；

基于模糊推理算法從所述候選網絡協議集合中確定待檢數據流使用的協議變種所對應的已知網絡協議。

可選地，將所述目標特征向量與特征數據庫中各已知網絡協議的特征向量匹配，確定候選網絡協議集合包括：

分別計算目標特征特征向量與各已知網絡協議的特征向量之間的歐式距離；

將計算得到的歐式距離與距離閾值比較，當歐式距離小于距離閾值時，將相應的已知網絡協議放入候選網絡協議集合中。

可選地，所述基于模糊推理算法從所述候選網絡協議集合中確定待檢數據流使用的協議變種所對應的已知網絡協議包括：

將待檢數據流的目標特征向量模糊化，得到目標特征向量中各元素對應的模糊集；

根據所述模糊集以及預先建立的模糊規則庫中的模糊蘊含關系，進行推理合成，得到待檢數據流與候選網絡協議集合中各已知網絡協議之間的相似度模糊子集；

對所述相似度模糊子集去模糊化，確定出待檢數據流使用的協議變種所對應的已知網絡協議。

可選地，對所述相似度模糊子集去模糊化，確定出待檢數據流使用的協議變種所對應的已知網絡協議包括：

計算相似度模糊子集的隸屬度函數曲線所圍成區域的重心，將重心所對應的值確定為協議變種所對應的已知網絡協議。

可選地，所述獲取待檢數據流的目標特征向量包括：對截獲的待檢數據流的前16個字節進行掃描，得到待檢數據流的目標特征向量；所述目標特征向量包括下列元素中的一種或多種：數據流存活時間、數據流映射端口、數據流固定字節、數據幀/數據報到達間隔、簽名算法、安全傳輸協議、證書時長、數據幀/數據報長度、協議版本號。