加密數(shù)據(jù)檢測方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種加密數(shù)據(jù)檢測方法和系統(tǒng)。所述檢測方法包括：判斷輸入的數(shù)據(jù)的協(xié)議是否為已知協(xié)議；對所述輸入的數(shù)據(jù)中判斷為未知協(xié)議的數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，得到所述未知協(xié)議的數(shù)據(jù)分別與所述多種隨機(jī)性測試對應(yīng)的多個隨機(jī)性特征；通過一密數(shù)據(jù)模型對所述未知協(xié)議的數(shù)據(jù)的至少部分隨機(jī)性特征進(jìn)行匹配，確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。本發(fā)明利用模式識別技術(shù)，以數(shù)據(jù)隨機(jī)性為特征，訓(xùn)練不同密數(shù)據(jù)的模型，并利用訓(xùn)練好的模型自動識別其它數(shù)據(jù)的明、密類型或加密類型，實(shí)現(xiàn)在不解密的情況下獲取有用的數(shù)據(jù)情報(bào)。
【專利說明】加密數(shù)據(jù)檢測方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)識別領(lǐng)域，具體涉及一種基于數(shù)據(jù)隨機(jī)性的加密數(shù)據(jù)檢測方法和系統(tǒng)。
【背景技術(shù)】
[0002]數(shù)據(jù)加密是保護(hù)用戶隱私的常用手段，但一些不法人員也利用該技術(shù)逃避管理部門監(jiān)管，因此如何在不解密的情況下判斷加密數(shù)據(jù)的屬性是一個亟待解決的問題。目前常用的手段是從加密數(shù)據(jù)的來源判斷其屬性，比如源IP地址。加密代理系統(tǒng)的一個關(guān)鍵環(huán)節(jié)就是在用戶終端和境外代理之間要建立一個加密的信道，從而規(guī)避安全審查。通常一些軟件會采用公開通用的密碼安全協(xié)議對網(wǎng)絡(luò)通信進(jìn)行保護(hù)，如SSL、TLS、IPSec、SSH等。對于這些已知的加密安全協(xié)議可以通過的IP協(xié)議號、TCP/UDP端口號以及相關(guān)協(xié)議字段值即可識別。
[0003]但是目前的技術(shù)手段IP地址很容易被篡改，比如通過代理的方式就可以很容易的隱藏加密數(shù)據(jù)的真實(shí)來源。除了根據(jù)加密數(shù)據(jù)的來源判斷加密數(shù)據(jù)的屬性外，還可以依據(jù)對加密算法的檢測分析判斷其屬性。密碼算法的檢測評估是密碼算法研究的重要組成，它能夠?qū)γ艽a算法的設(shè)計(jì)和分析提供客觀的量化指標(biāo)和技術(shù)參數(shù)。在密碼算法的設(shè)計(jì)和評測過程中，通常要從多方面對其進(jìn)行檢測和分析。因此，分析密碼算法的統(tǒng)計(jì)性能是密碼算法安全性研究的重要內(nèi)容。

【發(fā)明內(nèi)容】

[0004]本發(fā)明要解決的技術(shù)問題是:提供一種加密數(shù)據(jù)檢測技術(shù)，以實(shí)現(xiàn)在不解密的情況下較為準(zhǔn)確地獲取數(shù)據(jù)的加密與否以及加密類型等情報(bào)。
[0005]為實(shí)現(xiàn)上述目的，第一方面，本發(fā)明提供了一種加密數(shù)據(jù)檢測方法，其包括以下步驟:
[0006]判斷輸入的數(shù)據(jù)的協(xié)議是否為已知協(xié)議；
[0007]對所述輸入的數(shù)據(jù)中判斷為未知協(xié)議的數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，得到所述未知協(xié)議的數(shù)據(jù)分別與所述多種隨機(jī)性測試對應(yīng)的多個隨機(jī)性特征；
[0008]通過一密數(shù)據(jù)模型對所述未知協(xié)議的數(shù)據(jù)的至少部分隨機(jī)性特征進(jìn)行匹配，確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。
[0009]為實(shí)現(xiàn)上述目的，第二方面，本發(fā)明提供了一種加密數(shù)據(jù)檢測系統(tǒng)，其特征在于，所述系統(tǒng)包括:
[0010]判斷模塊，用于判斷輸入的數(shù)據(jù)的協(xié)議是否為已知協(xié)議；
[0011]特征提取模塊，用于對所述輸入的數(shù)據(jù)中判斷為未知協(xié)議的數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，得到所述未知協(xié)議的數(shù)據(jù)分別與所述多種隨機(jī)性測試對應(yīng)的多個隨機(jī)性特征；
[0012]判決模塊，用于通過一密數(shù)據(jù)模型對所述未知協(xié)議的數(shù)據(jù)的至少部分隨機(jī)性特征進(jìn)行匹配，確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。[0013]根據(jù)本發(fā)明所公開的技術(shù)方案，通過基于數(shù)據(jù)隨機(jī)性的密數(shù)據(jù)檢測方法，實(shí)現(xiàn)明、密數(shù)據(jù)的判別，并進(jìn)一步實(shí)現(xiàn)數(shù)據(jù)加密類型的識別，從而可以達(dá)到有效監(jiān)控加密代理系統(tǒng)的目的。采用上述檢測方法的檢測系統(tǒng)不僅具有優(yōu)良的檢測性能，并且檢測時(shí)間短，反應(yīng)速度快，能夠?qū)崿F(xiàn)在線檢測。
【專利附圖】

【附圖說明】
[0014]圖1為本發(fā)明實(shí)施例一種加密數(shù)據(jù)檢測方法流程圖；
[0015]圖2a為本發(fā)明實(shí)施例又一種加密數(shù)據(jù)檢測方法的流程圖；
[0016]圖2b為本發(fā)明實(shí)施例另一種加密數(shù)據(jù)檢測方法的流程圖；
[0017]圖3為本發(fā)明實(shí)施例一種密數(shù)據(jù)模型訓(xùn)練及數(shù)據(jù)加密類型確認(rèn)的流程圖；
[0018]圖4為本發(fā)明實(shí)施例基于GMM與SVDD模型的密數(shù)據(jù)模型進(jìn)行數(shù)據(jù)加密類型確認(rèn)流程圖；
[0019]圖5為本發(fā)明實(shí)施例一種密數(shù)據(jù)檢測系統(tǒng)的模塊圖；
[0020]圖6為本發(fā)明實(shí)施例又一種密數(shù)據(jù)檢測系統(tǒng)的模塊圖。
【具體實(shí)施方式】
[0021]下面結(jié)合附圖和實(shí)施例，對本發(fā)明的【具體實(shí)施方式】作進(jìn)一步詳細(xì)說明。以下實(shí)施例用于說明本發(fā)明，但不用來限制本發(fā)明的范圍。
[0022]本發(fā)明的方法及裝置結(jié)合附圖及實(shí)施例詳細(xì)說明如下。
[0023]如圖1所示，本發(fā)明實(shí)施例提出了一種加密數(shù)據(jù)檢測方法，其包括以下步驟:
[0024]SllO判斷輸入的數(shù)據(jù)的協(xié)議是否為已知協(xié)議；
[0025]S120對所述輸入的數(shù)據(jù)中判斷為未知協(xié)議的數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，得到所述未知協(xié)議的數(shù)據(jù)分別與所述多種隨機(jī)性測試對應(yīng)的多個隨機(jī)性特征；
[0026]S130通過一密數(shù)據(jù)模型對所述未知協(xié)議的數(shù)據(jù)的至少部分隨機(jī)性特征進(jìn)行匹配，確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。
[0027]本申請實(shí)施例通過基于數(shù)據(jù)隨機(jī)性的密數(shù)據(jù)檢測方法，實(shí)現(xiàn)明、密數(shù)據(jù)的判別，并進(jìn)一步實(shí)現(xiàn)數(shù)據(jù)加密類型的識別，進(jìn)而可以達(dá)到有效監(jiān)控加密代理系統(tǒng)的目的。此外，采用上述檢測方法的檢測系統(tǒng)不僅具有優(yōu)良的檢測性能，并且檢測時(shí)間短，反應(yīng)速度快，能夠?qū)崿F(xiàn)在線檢測。
[0028]下面對本申請實(shí)施例方法的各步驟進(jìn)行進(jìn)一步的說明:
[0029]SllO判斷輸入的數(shù)據(jù)的協(xié)議是否為已知協(xié)議。
[0030]在本實(shí)施例中，把密數(shù)據(jù)初步劃分為已知協(xié)議密數(shù)據(jù)和未知協(xié)議密數(shù)據(jù)兩種類型。在本申請實(shí)施例中，所述協(xié)議通常是指IP應(yīng)用層的協(xié)議，也就是用來承載加密報(bào)文的協(xié)議。這樣的協(xié)議有的支持加密，有的不支持；例如:如果某協(xié)議基本都是加密的，則對應(yīng)的數(shù)據(jù)可以直接判為密數(shù)據(jù)，不需要隨機(jī)性檢測了 ；而對于一些不常用的協(xié)議數(shù)據(jù)，在數(shù)據(jù)流中非常難以發(fā)現(xiàn)，因此需要對其進(jìn)行隨機(jī)性檢驗(yàn)。其中，對于公開協(xié)議，因特網(wǎng)指定機(jī)構(gòu)IANA對使用密碼協(xié)議的IP協(xié)議號和TCP/UDP端口號資源作了分配和使用規(guī)定，在本實(shí)施例的步驟SllO中，可以通過這兩個字段識別這些協(xié)議為已知的協(xié)議。此外，由于加密代理軟件有可能修改協(xié)議字段或使用非默認(rèn)端口，因此，除了協(xié)議號和端口號外，本實(shí)施例的步驟SllO還可以采用其它相關(guān)協(xié)議字段來識別已知協(xié)議密數(shù)據(jù)，即在一個優(yōu)選的實(shí)施方式中對于已知協(xié)議的數(shù)據(jù)，按IP協(xié)議號、TCP/UDP端口號和相關(guān)協(xié)議字段通過匹配規(guī)則來檢測。
[0031]在一些可能的實(shí)施方式中，如圖2a所示，對于已知協(xié)議的加密數(shù)據(jù)，也可通過步驟S120和步驟S130對數(shù)據(jù)進(jìn)行隨機(jī)性測試并通過密數(shù)據(jù)模型進(jìn)行進(jìn)一步判別以確定其類型。其具體方法參見下面對未知協(xié)議的加密數(shù)據(jù)的處理方法的描述。
[0032]通過步驟S110，使得輸入的數(shù)據(jù)中已知協(xié)議的數(shù)據(jù)可以被識別出，但是僅僅依靠已知協(xié)議的篩選識別，還不能識別出所有的加密數(shù)據(jù)。這是因?yàn)橛写罅孔远x的密碼協(xié)議，并且加密代理軟件會經(jīng)常更新協(xié)議來實(shí)現(xiàn)反偵查。通常，經(jīng)過加密的數(shù)據(jù)通常是隨機(jī)的，未加密的數(shù)據(jù)是非隨機(jī)的。進(jìn)一步地可以認(rèn)為，非隨機(jī)數(shù)據(jù)肯定沒有經(jīng)過加密處理，而隨機(jī)數(shù)據(jù)則在一定程度上是加密的。因此，本申請實(shí)施例方法中步驟S120通過分析各種現(xiàn)有隨機(jī)性檢測算法的性能，作為判別數(shù)據(jù)是否加密的依據(jù)。
[0033]S120對所述輸入的數(shù)據(jù)中判斷為未知協(xié)議的數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，得到所述未知協(xié)議的數(shù)據(jù)分別與所述多種隨機(jī)性測試對應(yīng)的多個隨機(jī)性特征。
[0034]如圖2b所示，在本申請的一種可能的實(shí)施方式中，在對數(shù)據(jù)進(jìn)行隨機(jī)性測試之前，需要對輸入數(shù)據(jù)包進(jìn)行預(yù)處理，其中:對于已知協(xié)議的數(shù)據(jù)，所述預(yù)處理步驟包括:濾除掉其中不重要的信息，比如協(xié)議信息等，只留下進(jìn)行NIST隨機(jī)性測試的有效的數(shù)據(jù)部分；對于含有未知協(xié)議的數(shù)據(jù)，對所述數(shù)據(jù)的預(yù)處理除了上述的步驟以外，還包括:對數(shù)據(jù)進(jìn)行劃分，比如將不同長度的數(shù)據(jù)截取成若干段相等長度的數(shù)據(jù)，或者在模型訓(xùn)練時(shí)給數(shù)據(jù)打上標(biāo)記，明文數(shù)據(jù)為一類標(biāo)記，密文數(shù)據(jù)為一類標(biāo)記，甚至可以為不同加密方式的密文數(shù)據(jù)打上不同的標(biāo)記。
[0035]在本申請實(shí)施例中，對數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，例如包括:游程檢驗(yàn)、頻數(shù)檢驗(yàn)、塊內(nèi)最大游程檢驗(yàn)、數(shù)據(jù)的離散傅立葉變換檢驗(yàn)、重疊模塊匹配檢驗(yàn)和非重疊模塊匹配檢驗(yàn)等等。
[0036]在本實(shí)施方式中，對數(shù)據(jù)進(jìn)行的隨機(jī)性測試的結(jié)果作為所述數(shù)據(jù)對應(yīng)的隨機(jī)性特征，因此對數(shù)據(jù)進(jìn)行多個隨機(jī)性測試就會得到對應(yīng)的多個隨機(jī)性特征。在一些實(shí)施方式中，所述多個隨機(jī)性特征構(gòu)成的向量維數(shù)可能會較大，因此在之后使用這些多個隨機(jī)性特征時(shí)可能會根據(jù)需要進(jìn)行降維處理。例如，選擇部分隨機(jī)性特征用于后續(xù)的處理。此外，在一些可能的實(shí)施方式中，不同的隨機(jī)性測試方法獲得的不同的隨機(jī)性特征在數(shù)量級上有差異，還有可能需要進(jìn)行歸一化，形成一個統(tǒng)一的向量。
[0037]在一種可能的實(shí)施方式中，所述多個隨機(jī)性特征中的至少部分還可以用于初步判決數(shù)據(jù)是否是加密數(shù)據(jù)。對于初步判決為是明文的數(shù)據(jù)，可以不再通過之后的密數(shù)據(jù)模型進(jìn)行判決，減少計(jì)算量，提高判斷效率。當(dāng)然，本領(lǐng)域的技術(shù)人員可以知道，為了提高數(shù)據(jù)的明密以及密數(shù)據(jù)類型的判決精度，可以不進(jìn)行所述明密數(shù)據(jù)的初步判決，而是將待判決的數(shù)據(jù)數(shù)據(jù)全部送入密數(shù)據(jù)模型進(jìn)行更為精準(zhǔn)的判斷。
[0038]在本實(shí)施例的一種可能的實(shí)施方式中，可以采用以下四種隨機(jī)性測試的結(jié)果作為初步判決明密數(shù)據(jù)的依據(jù):游程檢驗(yàn)、頻數(shù)檢驗(yàn)、塊內(nèi)最大游程檢驗(yàn)和重疊模塊匹配檢驗(yàn)。其中:
[0039]游程檢驗(yàn):檢驗(yàn)待檢測序列中的游程總數(shù)是否符合隨機(jī)性要求；先觀測序列的游程數(shù)，如果該序列中的游程數(shù)太少，則該序列存在成群趨向，即O或I總是成群出現(xiàn)；如果該序列的游程數(shù)過多，則該序列有混合趨向，即O和I總是交替出現(xiàn)；理論上，數(shù)據(jù)可以存在較長的游程，但是實(shí)際上對加密數(shù)據(jù)來說這種長游程概率很小，而對于沒有經(jīng)過加密或壓縮過的數(shù)據(jù)，這種較長的游程還是經(jīng)常存在的，這些構(gòu)成了我們判別數(shù)據(jù)是否加密的依據(jù)。
[0040]頻數(shù)測試:用于確定二進(jìn)制序列中的“O”或“I”的數(shù)目是否如真隨機(jī)序列那樣近似相等，如果是，則該序列是隨機(jī)的。
[0041]塊內(nèi)最大游程檢驗(yàn):將序列劃分為N個等長的子塊，根據(jù)各個子塊中最大I游程的分布來評價(jià)待檢測序列的隨機(jī)性。
[0042]重疊模塊匹配檢驗(yàn):檢測序列中重疊模塊中的出現(xiàn)的次數(shù)是否接近給定值。
[0043]當(dāng)數(shù)據(jù)同時(shí)通過以上幾種隨機(jī)性檢測，或者通過兩種以上的隨機(jī)性檢測，則可初步判斷哪些數(shù)據(jù)為加密數(shù)據(jù)，并將這些加密數(shù)據(jù)送入密數(shù)據(jù)模型進(jìn)行進(jìn)一步的類型判別。
[0044]本實(shí)施例中，對于初步判斷為加密數(shù)據(jù)的數(shù)據(jù)，接下來將通過根據(jù)特定的分類器模型訓(xùn)練的密數(shù)據(jù)模型進(jìn)行分類。
[0045]S130通過一密數(shù)據(jù)模型對所述未知協(xié)議的數(shù)據(jù)的至少部分隨機(jī)性特征進(jìn)行匹配，確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。
[0046]在步驟S130中，關(guān)鍵的問題的建立什么樣的密數(shù)據(jù)模型和采用什么樣的隨機(jī)性特征。
[0047]目前主流的分類器模型中，依其算法大致可以分為三類，模板匹配:如動態(tài)時(shí)間規(guī)整(DTW)模型，矢量量化(VQ)模型，概率統(tǒng)計(jì)法隱馬爾可夫模型(HMM)，高斯混合模型(GMM)，辨識分類器算法人工神經(jīng)網(wǎng)絡(luò)(ANN)模型，支撐向量機(jī)(SVM)模型，支持向量數(shù)據(jù)描述(SVDD)模型等。
[0048]在本申請實(shí)施例的一種可能的實(shí)施方式中，基于GMM和SVDD模型建立所述密數(shù)據(jù)模型。
[0049]GMM與SVDD模型有很強(qiáng)的互補(bǔ)性，體現(xiàn)在:第一，SVDD模型屬于區(qū)分性模型，GMM屬于概率統(tǒng)計(jì)模型，在分類思想上有互補(bǔ)性；第二，SVDD模型的計(jì)算時(shí)間受特征維數(shù)影響小，受樣本個數(shù)影響大，GMM正好相反，兩者在應(yīng)用條件上有互補(bǔ)性。因此，本申請實(shí)施例融合了 GMM和SVDD模型等分類器模型的性能建立本申請實(shí)施例的密數(shù)據(jù)模型，提升了密數(shù)據(jù)的識別精度。
[0050]所述數(shù)據(jù)的多個隨機(jī)性特征并不一定全部用于進(jìn)行明密數(shù)據(jù)以及加密數(shù)據(jù)加密類型的判斷，本申請的發(fā)明人發(fā)現(xiàn)數(shù)據(jù)的離散傅立葉變換檢驗(yàn)，游程檢驗(yàn)和非重疊模塊匹配檢驗(yàn)的隨機(jī)測試結(jié)果對網(wǎng)絡(luò)中的各種加密傳輸協(xié)議的識別效果最好，因此，在本實(shí)施例中采用數(shù)據(jù)的離散傅立葉變換檢驗(yàn)，游程檢驗(yàn)和非重疊模塊匹配檢驗(yàn)的測試結(jié)果作為所數(shù)據(jù)的隨機(jī)性特征，用于確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。
[0051]本申請實(shí)施例以GMM、SVDD模型為分類器模型訓(xùn)練得到密數(shù)據(jù)模型，模型訓(xùn)練完畢后，未知協(xié)議的數(shù)據(jù)經(jīng)所述隨機(jī)性特征提取后通過模型計(jì)算，即可識別未知協(xié)議的數(shù)據(jù)加密與否以及加密數(shù)據(jù)的加密類型。
[0052]如圖3所示，在一種可能的實(shí)施方式中，所述密數(shù)據(jù)模型訓(xùn)練及密數(shù)據(jù)識別的過程如下:
[0053]首先通過需要的測試軟件產(chǎn)生樣本加密數(shù)據(jù)，并對所述樣本加密數(shù)據(jù)進(jìn)行加密類型(例如產(chǎn)生該樣本加密數(shù)據(jù)的軟件類型)的標(biāo)記，進(jìn)行預(yù)處理之后，對所述樣本加密數(shù)據(jù)進(jìn)行NIST隨機(jī)性測試。本申請實(shí)施例中，所述隨機(jī)性測試包括3種測試，分別是:離散傅里葉變換測試、游程測試和非重疊匹配測試。通過上述隨機(jī)性測試產(chǎn)生隨機(jī)性特征，其中包括I維離散傅立葉變換特征，I維游程特征，以及148維非重疊模塊匹配特征，上述150維隨機(jī)性特征用來表征該樣本加密數(shù)據(jù)的加密特征。在這一部分還可以進(jìn)行隨機(jī)性特征的優(yōu)化，因?yàn)?50維特征有很大的冗余性，而且對于特定的加密數(shù)據(jù)，表征效果也不盡相同，因此還可以對150維特征進(jìn)行優(yōu)化，一方面降低特征維數(shù)，一方面提高模型訓(xùn)練和匹配的精度。
[0054]經(jīng)過上面的步驟得到了上述隨機(jī)性特征構(gòu)成的特征組以及對應(yīng)的標(biāo)記。將這些作為訓(xùn)練數(shù)據(jù)，對分類器模型進(jìn)行訓(xùn)練，獲得一個Y = f(x)的函數(shù)f O，這就是密數(shù)據(jù)模型。其中，X就是數(shù)據(jù)的隨機(jī)性特征對應(yīng)的特征向量，Y就是數(shù)據(jù)對應(yīng)的加密類型，一旦獲得這個分類器，就可以測試新的樣本了。
[0055]在本申請實(shí)施例中，用獲取的隨機(jī)性特征構(gòu)成的特征向量以及對應(yīng)的標(biāo)記分別送入GMM, SVDD模型進(jìn)行建模、訓(xùn)練。
[0056]除了上述的加密數(shù)據(jù)外，對于明文數(shù)據(jù)可以依靠同樣的方法進(jìn)行訓(xùn)練，用于之后通過該模型進(jìn)行明文數(shù)據(jù)的判斷。訓(xùn)練完畢后，得到不同的加密類型密數(shù)據(jù)對應(yīng)不同分類器模型的參考模型。
[0057]此時(shí)，當(dāng)待檢測的未知協(xié)議的加密數(shù)據(jù)經(jīng)過預(yù)處理和特征提取后，將提取的數(shù)據(jù)的隨機(jī)性特征與參考模型進(jìn)行匹配，即可根據(jù)特定的相似性準(zhǔn)則來計(jì)算結(jié)果，最終判決密數(shù)據(jù)是明文還是密文，以及是哪種加密方式產(chǎn)生的密文。如圖4所示，在本申請一種可能的實(shí)施方式中分別基于GMM以及SVDD模型訓(xùn)練了不同的識別分類器，在進(jìn)行明密數(shù)據(jù)判決以及加密數(shù)據(jù)類型判決時(shí)采用相似似然準(zhǔn)則計(jì)算:
[0058]Fscoee — ω Ssc0RE+ (1-ω)GSCOre) O < ω < I，
[0059]其中，F(xiàn)sraffi是判決總得分，Gs.是單獨(dú)采用GMM時(shí)的似然得分，Gs.是單獨(dú)采用SVDD模型時(shí)的似然得分，ω是融合調(diào)節(jié)參數(shù)。通過ω調(diào)整兩模型似然得分在總得分Fsraffi中的比重，使得融合得到密數(shù)據(jù)模型的性能最優(yōu)。將ω從O逐漸變大到1，當(dāng)ω為I時(shí)，表示單獨(dú)以SVDD分類器模型為識別分類器；而當(dāng)ω等于O時(shí)，表示單獨(dú)以GMM分類器模型為識別分類器。
[0060]在本實(shí)施例中采用以離散傅立葉變換檢驗(yàn),游程檢驗(yàn)和非重疊模塊匹配檢驗(yàn)的測試結(jié)果作為密數(shù)據(jù)模型特征，GMM、SVDD分類器模型為識別分類器對加密數(shù)據(jù)的類型進(jìn)行分類，本領(lǐng)域技術(shù)人員應(yīng)該知曉，根據(jù)待識別的加密數(shù)據(jù)的加密類型不同，可以選擇不同的隨機(jī)性測試結(jié)果作為特征，也可以選擇不同的分類密數(shù)據(jù)模型。
[0061]圖5示出了本發(fā)明一種加密數(shù)據(jù)檢測系統(tǒng)500的模塊示意圖，所述系統(tǒng)包括:
[0062]判斷模塊510，用于判斷輸入的數(shù)據(jù)的協(xié)議是否為已知協(xié)議；
[0063]特征提取模塊520，用于對所述輸入的數(shù)據(jù)中判斷為未知協(xié)議的數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，得到所述未知協(xié)議的數(shù)據(jù)分別與所述多種隨機(jī)性測試對應(yīng)的多個隨機(jī)性特征；
[0064]判決模塊530，用于通過一密數(shù)據(jù)模型對所述未知協(xié)議的數(shù)據(jù)的至少部分隨機(jī)性特征進(jìn)行匹配，確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。
[0065]如圖6所示，在本申請實(shí)施例的一種可能的實(shí)施方式中，所述系統(tǒng)500還包括:
[0066]預(yù)處理模塊540，用于所述判斷模塊530判斷為是未知協(xié)議的數(shù)據(jù)進(jìn)行預(yù)處理，然后再將其送入所述特征提取模塊520進(jìn)行所述隨機(jī)性檢測。所述數(shù)據(jù)的預(yù)處理參見上述方法實(shí)施例中的記載，這里不再贅述。
[0067]在一種可能的實(shí)施方式中，所述系統(tǒng)500還包括:
[0068]模型訓(xùn)練模塊550，用于建立并通過已知加密類型的數(shù)據(jù)訓(xùn)練所述密數(shù)據(jù)模型。通過所述模型訓(xùn)練模塊550建立并訓(xùn)練所述密數(shù)據(jù)模型的過程參見所述數(shù)據(jù)的預(yù)處理參見上述方法實(shí)施例中的記載，這里不再贅述。
[0069]本申請實(shí)施例通過基于數(shù)據(jù)隨機(jī)性的密數(shù)據(jù)檢測系統(tǒng)，實(shí)現(xiàn)明、密數(shù)據(jù)的判別，并進(jìn)一步實(shí)現(xiàn)數(shù)據(jù)加密類型的識別，進(jìn)而可以達(dá)到有效監(jiān)控加密代理系統(tǒng)的目的。此外，采用上述檢測方法的檢測系統(tǒng)不僅具有優(yōu)良的檢測性能，并且檢測時(shí)間短，反應(yīng)速度快，能夠?qū)崿F(xiàn)在線檢測。
[0070]本領(lǐng)域普通技術(shù)人員可以意識到，結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及方法步驟，能夠以電子硬件、或者計(jì)算機(jī)軟件和電子硬件的結(jié)合來實(shí)現(xiàn)。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。
[0071]以上實(shí)施方式僅用于說明本發(fā)明，而并非對本發(fā)明的限制，有關(guān)【技術(shù)領(lǐng)域】的普通技術(shù)人員，在不脫離本發(fā)明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇，本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
【權(quán)利要求】
1.一種加密數(shù)據(jù)檢測方法，其特征在于，包括以下步驟: 判斷輸入的數(shù)據(jù)的協(xié)議是否為已知協(xié)議； 對所述輸入的數(shù)據(jù)中判斷為未知協(xié)議的數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，得到所述未知協(xié)議的數(shù)據(jù)分別與所述多種隨機(jī)性測試對應(yīng)的多個隨機(jī)性特征； 通過一密數(shù)據(jù)模型對所述未知協(xié)議的數(shù)據(jù)的至少部分隨機(jī)性特征進(jìn)行匹配，確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。
2.如權(quán)利要求1所述的方法，其特征在于:所述方法在進(jìn)行所述隨機(jī)性測試之前還包括:對所述輸入的數(shù)據(jù)進(jìn)行預(yù)處理。
3.如權(quán)利要求1所述的方法，其特征在于:所述數(shù)據(jù)的至少部分隨機(jī)性特征包括:數(shù)據(jù)的離散傅立葉變換檢驗(yàn)、游程檢驗(yàn)和非重疊模塊匹配檢驗(yàn)的測試結(jié)果。
4.如權(quán)利要求1所述的方法，其特征在于:所述方法還包括:建立并通過已知加密類型的數(shù)據(jù)訓(xùn)練所述密數(shù)據(jù)模型。
5.如權(quán)利要求4所述的方法，其特征在于:所述建立所述密數(shù)據(jù)模型包括:基于至少一種分類器模型建立所述密數(shù)據(jù)模型。
6.如權(quán)利要求5所述的方法，其特征在于:所述分類器模型包括:動態(tài)時(shí)間規(guī)整模型、矢量量化模型、隱馬爾可夫模型、高斯混合模型、人工神經(jīng)網(wǎng)絡(luò)模型、支持向量機(jī)模型、支持向量數(shù)據(jù)描述模型。
7.如權(quán)利要求5或6所述的方法，其特征在于，所述建立所述密數(shù)據(jù)模型進(jìn)一步包括:基于高斯混合模型和支持向量數(shù)據(jù)描述模型建立所述密數(shù)據(jù)模型。
8.如權(quán)利要求1所述的方法，其特征在于:所述方法還包括:根據(jù)數(shù)據(jù)的隨機(jī)性測試中數(shù)據(jù)的游程檢驗(yàn)、頻數(shù)檢驗(yàn)、塊內(nèi)最大游程檢驗(yàn)和重疊模塊匹配檢驗(yàn)的測試結(jié)果初步判決數(shù)據(jù)是否是加密數(shù)據(jù)。
9.一種加密數(shù)據(jù)檢測系統(tǒng)，其特征在于，所述系統(tǒng)包括: 判斷模塊，用于判斷輸入的數(shù)據(jù)的協(xié)議是否為已知協(xié)議； 特征提取模塊，用于對所述輸入的數(shù)據(jù)中判斷為未知協(xié)議的數(shù)據(jù)進(jìn)行多種隨機(jī)性測試，得到所述未知協(xié)議的數(shù)據(jù)分別與所述多種隨機(jī)性測試對應(yīng)的多個隨機(jī)性特征； 判決模塊，用于通過一密數(shù)據(jù)模型對所述未知協(xié)議的數(shù)據(jù)的至少部分隨機(jī)性特征進(jìn)行匹配，確定所述未知協(xié)議的數(shù)據(jù)是否是加密數(shù)據(jù)及加密數(shù)據(jù)的加密類型。
10.如權(quán)利要求9所述的系統(tǒng)，其特征在于:所述系統(tǒng)還包括: 模型訓(xùn)練模塊，用于建立并通過已知加密類型的數(shù)據(jù)訓(xùn)練所述密數(shù)據(jù)模型。
【文檔編號】H04L9/00GK104009836SQ201410225607
【公開日】2014年8月27日 申請日期:2014年5月26日 優(yōu)先權(quán)日:2014年5月26日
【發(fā)明者】朱軍 申請人:南京泰銳斯通信科技有限公司