[發(fā)明專利]基于特征檢索的未知加密協(xié)議識(shí)別分類方法、設(shè)備及介質(zhì)有效
| 申請(qǐng)?zhí)枺?/td> | 202211278610.9 | 申請(qǐng)日: | 2022-10-19 |
| 公開(公告)號(hào): | CN115348198B | 公開(公告)日: | 2023-03-21 |
| 發(fā)明(設(shè)計(jì))人: | 康璐;吉慶兵;羅杰;談程;倪綠林 | 申請(qǐng)(專利權(quán))人: | 中國(guó)電子科技集團(tuán)公司第三十研究所 |
| 主分類號(hào): | H04L43/18 | 分類號(hào): | H04L43/18;H04L9/40;G06N3/0464;G06N3/08 |
| 代理公司: | 成都九鼎天元知識(shí)產(chǎn)權(quán)代理有限公司 51214 | 代理人: | 周浩杰 |
| 地址: | 610000 *** | 國(guó)省代碼: | 四川;51 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 特征 檢索 未知 加密 協(xié)議 識(shí)別 分類 方法 設(shè)備 介質(zhì) | ||
1.一種基于特征檢索的未知加密協(xié)議識(shí)別分類方法,其特征在于,包括步驟:
S1,數(shù)據(jù)預(yù)處理;
S2,模型構(gòu)建、模型訓(xùn)練和模型優(yōu)化;
S3,將步驟S2優(yōu)化后的模型遷出,去除模型結(jié)構(gòu)中最后的全連接層和輸出層,得到一個(gè)特征提取模型;
S4,利用特征提取模型從訓(xùn)練集中的原始流量數(shù)據(jù)中提取帶標(biāo)簽的基準(zhǔn)數(shù)據(jù)特征集,采用模型作為數(shù)據(jù)模型,處理特征提取模型處理得到的高維度數(shù)據(jù);
S5,輸入待測(cè)樣本并提取其特征向量 ,在基準(zhǔn)數(shù)據(jù)特征集中檢索與該特征向量距離最近的基準(zhǔn)特征向量,對(duì)應(yīng)的協(xié)議標(biāo)簽為,與的向量距離為;
S6,對(duì)向量距離值進(jìn)行判斷,并根據(jù)判斷結(jié)果將待測(cè)樣本劃分到對(duì)應(yīng)的簇,同時(shí)進(jìn)行模型更新和數(shù)據(jù)存儲(chǔ);
S7,如果聚類結(jié)果中簇的樣本數(shù)量小于閾值,重復(fù)步驟S5~S7;如果聚類結(jié)果中簇的樣本數(shù)量大于等于閾值,則將其定義為第類樣本,更新,并更新BallTree模型。
2.根據(jù)權(quán)利要求1所述的基于特征檢索的未知加密協(xié)議識(shí)別分類方法,其特征在于,在步驟S1中,包括子步驟:
S11,對(duì)數(shù)據(jù)進(jìn)行分割;
S12,分割會(huì)話后,去除會(huì)話中的重傳包,并按時(shí)間戳進(jìn)行排序;
S13,匿名化處理,去除特異性字段,所述特異性字段包括MAC、IP、PORT;
S14,針對(duì)數(shù)據(jù)包大小定義一個(gè)閾值字節(jié),超過這個(gè)值的數(shù)據(jù)包將被截?cái)啵∮谶@個(gè)值的數(shù)據(jù)包將在尾部填充數(shù)據(jù),直到數(shù)據(jù)包大小達(dá)到字節(jié),所述填充數(shù)據(jù)為0x00;
S15,針對(duì)數(shù)據(jù)包數(shù)量定義一個(gè)閾值,對(duì)應(yīng)會(huì)話超過這個(gè)值的數(shù)據(jù)包將被拋棄,小于的則進(jìn)行重放,直到滿足閾值要求;
S16,將處理后的數(shù)據(jù)轉(zhuǎn)換為一個(gè)的圖像,其中每一個(gè)字節(jié)代表一個(gè)圖像的一個(gè)像素點(diǎn),S表示圖像矩陣中每一行的像素點(diǎn)個(gè)數(shù);
S17,按會(huì)話提取網(wǎng)絡(luò)流量的統(tǒng)計(jì)特征,所述統(tǒng)計(jì)特征包括數(shù)據(jù)包長(zhǎng)度、數(shù)據(jù)包包數(shù)量、載荷長(zhǎng)度、數(shù)據(jù)包間隔時(shí)間。
3.根據(jù)權(quán)利要求1所述的基于特征檢索的未知加密協(xié)議識(shí)別分類方法,其特征在于,在步驟S2中,包括子步驟:
S21,構(gòu)建自編碼器網(wǎng)絡(luò),所述自編碼器網(wǎng)絡(luò)包括結(jié)構(gòu)為28-20-10-20-28的自編碼器網(wǎng)絡(luò);
S22,構(gòu)建輸入為圖像,經(jīng)Flatten操作、一維卷積層、Batch Normalization層和多層堆疊的殘差層、下采樣層和Flatten操作的深度殘差網(wǎng)絡(luò);所述多層堆疊的殘差層包括四層堆疊的殘差層;
S23,將步驟S21和步驟S22的輸出向量合并成一個(gè)向量,得到一個(gè)維度為的向量;M為整數(shù),表示向量的長(zhǎng)度;
S24,在合并向量后新增一個(gè)含個(gè)神經(jīng)元的全連接層以及輸出為維的高斯連接層,所述高斯連接層即為輸出層;
S25,輸入預(yù)處理后的數(shù)據(jù)集并完成模型訓(xùn)練和優(yōu)化:利用帶協(xié)議標(biāo)簽的數(shù)據(jù)集對(duì)構(gòu)建的模型進(jìn)行訓(xùn)練并調(diào)優(yōu),得到最佳模型。
4.根據(jù)權(quán)利要求3所述的基于特征檢索的未知加密協(xié)議識(shí)別分類方法,其特征在于,在步驟S3中,將分類模型遷出,去除模型結(jié)構(gòu)中最后的全連接層和輸出層,得到一個(gè)特征提取模型。
5.根據(jù)權(quán)利要求1所述的基于特征檢索的未知加密協(xié)議識(shí)別分類方法,其特征在于,在步驟S5中,所述在基準(zhǔn)數(shù)據(jù)特征集中檢索與該向量距離最近的基準(zhǔn)特征向量,包括基于模型檢索與該向量距離最近的基準(zhǔn)特征向量。
6.根據(jù)權(quán)利要求5所述的基于特征檢索的未知加密協(xié)議識(shí)別分類方法,其特征在于,在步驟S6中,包括子步驟:
如果距離值小于等于,為訓(xùn)練集中同類別樣本特征距離的最大值,那么將該待測(cè)樣本分配標(biāo)簽,并且當(dāng)待測(cè)樣本被劃分為確定類別的樣本數(shù)量達(dá)到閾值時(shí),更新BallTree模型;
如果距離值大于閾值,則說明該樣本為未知協(xié)議流量,將其存儲(chǔ)到數(shù)據(jù)庫(kù)DataBase中,并且當(dāng)數(shù)據(jù)庫(kù)DataBase中的樣本數(shù)量超過時(shí),調(diào)用SPECTRAL聚類算法對(duì)BallTree中的樣本進(jìn)行聚類,如果聚類結(jié)果中有簇的樣本數(shù)量超過閾值,則將其定義為第類樣本,更新,并更新BallTree模型。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國(guó)電子科技集團(tuán)公司第三十研究所,未經(jīng)中國(guó)電子科技集團(tuán)公司第三十研究所許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211278610.9/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種天線
- 下一篇:一種風(fēng)力發(fā)電機(jī)
- 一種未知應(yīng)用層協(xié)議自動(dòng)分析方法
- 打開未知文件的方法和裝置
- 未知節(jié)點(diǎn)利用多跳節(jié)點(diǎn)縮小其可能位置區(qū)域的定位方法
- 一種利用多跳未知節(jié)點(diǎn)鄰居來提高定位精度的定位方法
- 未知文件的打開方法及裝置
- 未知號(hào)碼分級(jí)方法、未知號(hào)碼標(biāo)記方法及裝置
- 一種針對(duì)現(xiàn)有導(dǎo)航地圖中未知的道路進(jìn)行識(shí)別和導(dǎo)航的方法
- 一種未知組播報(bào)文的處理方法和裝置
- 一種農(nóng)藥殘留的檢測(cè)方法、系統(tǒng)、電子裝置及存儲(chǔ)介質(zhì)
- 未知病毒感染追溯方法、裝置及系統(tǒng)
