二進制消息數(shù)據(jù)的協(xié)議格式識別方法
【專利摘要】本發(fā)明公開了一種二進制消息數(shù)據(jù)的協(xié)議格式識別方法����,它對由單位數(shù)據(jù)構(gòu)成的測試消息數(shù)據(jù)包進行篩選,篩選出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列��,對測試消息數(shù)據(jù)包中相鄰頻繁單位數(shù)據(jù)序列聚類獲得多個優(yōu)選聚類�����,處理優(yōu)選聚類獲得用于標識未知協(xié)議的消息數(shù)據(jù)包的特征串�����。本發(fā)明對未知協(xié)議識別的準確率和召回率均在80%以上�,對公有協(xié)議識別的準確率和召回率均在99%以上。
【專利說明】二進制消息數(shù)據(jù)的協(xié)議格式識別方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及無線數(shù)字通信【技術(shù)領(lǐng)域】����,具體涉及一種二進制消息數(shù)據(jù)的協(xié)議格式識 別方法�����。
【背景技術(shù)】
[0002] 無線通信網(wǎng)絡是基于射頻無線電技術(shù)發(fā)展起來的數(shù)字通信網(wǎng)絡�。由于無線通信網(wǎng) 絡具有免布線����、移動接入、易于規(guī)劃部署����、易于故障定位��、網(wǎng)絡擴展性好等特點��,其已成為當 今互聯(lián)網(wǎng)絡的重要組成部分�����。隨著基于智能手機���、WiFi無線設(shè)備的普及���,無線互聯(lián)應用已 成為人們生活中的一部分�����。
[0003] 為了提高無線網(wǎng)絡的擴展性�����,合理配置無線網(wǎng)絡資源�����,無線網(wǎng)絡采用基于注冊表 的MAC地址�?����;谧员淼腗AC地址��,其接入端口采用動態(tài)分配����,容易造成插入攻擊、漫游 攻擊者����、無線釣魚���、無線通信被劫持和監(jiān)視、網(wǎng)絡資源被竊取等技術(shù)問題����。因此,如何及時識 別網(wǎng)絡攻擊��,產(chǎn)生攻擊預警�����,是無線網(wǎng)絡安全運行的有力保障�。
[0004] 在網(wǎng)絡通信【技術(shù)領(lǐng)域】�,主要通過識別承載網(wǎng)絡消息數(shù)據(jù)的網(wǎng)絡通信協(xié)議來監(jiān)測和 預警網(wǎng)絡入侵行為。網(wǎng)絡通信協(xié)議包括公有協(xié)議和私有協(xié)議����,公有協(xié)議有公開的協(xié)議規(guī)范 文檔,私有協(xié)議為專用未知協(xié)議�,其沒有公開的協(xié)議規(guī)范文檔,要實現(xiàn)私有協(xié)議的分類和識 別非常困難����。目前基于無線網(wǎng)絡的網(wǎng)絡入侵或者攻擊多采用專用未知協(xié)議為載體�。
[0005] 現(xiàn)有的網(wǎng)絡入侵監(jiān)測和防范技術(shù)手段����,大多基于端口映射、靜態(tài)特征匹配等方法 進行公有協(xié)議的識別���,實現(xiàn)網(wǎng)絡行為預警和方法�����。顯而易見�����,使用專用未知協(xié)議�,通過動態(tài) 分配端口進行網(wǎng)絡入侵的無線網(wǎng)絡攻擊行為是無法通過現(xiàn)有的網(wǎng)絡入侵監(jiān)測和防范技術(shù) 手段進行監(jiān)測和預警的�。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明所要解決的技術(shù)問題是提供一種能對專用未知協(xié)議進行標識的二進制消 息數(shù)據(jù)的協(xié)議格式識別方法。
[0007] 本發(fā)明解決技術(shù)問題所采用的技術(shù)方案是:
[0008] 二進制消息數(shù)據(jù)的協(xié)議格式識別方法�,對由單位數(shù)據(jù)構(gòu)成的測試消息數(shù)據(jù)包進行 篩選,篩選出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列�����,對測試消息數(shù)據(jù)包中相鄰頻繁單位 數(shù)據(jù)序列聚類獲得多個優(yōu)選聚類,處理優(yōu)選聚類獲得用于標識未知協(xié)議的消息數(shù)據(jù)包的特 征串�����,包括以下步驟:
[0009] 步驟1 :制作由單位數(shù)據(jù)構(gòu)成的測試消息數(shù)據(jù)包:從網(wǎng)絡環(huán)境中抓取二進制消息 數(shù)據(jù)流���,將二進制消息數(shù)據(jù)流轉(zhuǎn)換成以單位數(shù)據(jù)為構(gòu)成單元的測試消息數(shù)據(jù)包�;
[0010] 步驟2 :篩選出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列:將測試消息數(shù)據(jù)包的單 位數(shù)據(jù)分成數(shù)組�����,以單位數(shù)據(jù)���、單位數(shù)據(jù)出現(xiàn)頻率建立VSM向量空間模型����,在VSM向量空間 模型中定義單位數(shù)據(jù)相似度���;分別以多組單位數(shù)據(jù)出現(xiàn)頻率為預選閥值對VSM向量空間模 型中的每個數(shù)組的單位數(shù)據(jù)進行篩選形成新數(shù)組,計算預選閥值對應的新數(shù)組單位數(shù)據(jù)相 似度��,建立預選閥值和數(shù)組單位數(shù)據(jù)相似度的關(guān)系模型;通過關(guān)系模型找出單位數(shù)據(jù)相似 度最大值對應的用于篩選測試消息數(shù)據(jù)包中頻繁單位數(shù)據(jù)序列的篩選閥值��,以篩選閥值篩 選出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列���;
[0011] 步驟3 :對測試消息數(shù)據(jù)包中的相鄰頻繁單位數(shù)據(jù)序列聚類獲得多個優(yōu)選聚類: 標記測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列�,將相鄰的兩個頻繁單位數(shù)據(jù)拼接成關(guān)鍵詞��, 對測試消息數(shù)據(jù)包中的關(guān)鍵詞通過聚類算法進行聚類����,獲得測試消息數(shù)據(jù)包中的多個優(yōu)選 聚類;
[0012] 步驟4:處理優(yōu)選聚類獲得用于標識未知協(xié)議的消息數(shù)據(jù)包的特征串��,通過特征 串標識測試消息數(shù)據(jù)包中的未知協(xié)議消息數(shù)據(jù):對優(yōu)選聚類采用序列比對算法���,提取消息 數(shù)據(jù)包的特征串�,獲得消息數(shù)據(jù)的協(xié)議格式表達式��,通過協(xié)議格式標識測試消息數(shù)據(jù)包中 的未知協(xié)議消息數(shù)據(jù)�����。
[0013] 進一步�,步驟1中制作由單位數(shù)據(jù)構(gòu)成的測試消息數(shù)據(jù)包具體為從網(wǎng)絡環(huán)境中抓 取二進制消息數(shù)據(jù)流,將二進制消息數(shù)據(jù)流轉(zhuǎn)換成十六進制消息數(shù)據(jù)包,按照定字節(jié)長度 將十六進制消息數(shù)據(jù)包切分成單位數(shù)據(jù)���,形成由單位數(shù)據(jù)構(gòu)成的測試消息數(shù)據(jù)包����。
[0014] 進一步�����,定字節(jié)長度為一個字節(jié)長度�。
[0015] 進一步,步驟2中篩選出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列���,包括以下步驟:
[0016] 1)�、建立基于單位數(shù)據(jù)的VSM向量空間模型:將測試消息數(shù)據(jù)包的單位數(shù)據(jù)按數(shù) 量進行分成數(shù)組��,以單位數(shù)據(jù)和單位數(shù)據(jù)的出現(xiàn)頻率建立VSM向量空間模型�����,將單位數(shù)據(jù) 字符串向量轉(zhuǎn)換成VSM向量����;在VSM向量空間模型中定義用于表征數(shù)組單位數(shù)據(jù)相似度的 Jaccard 指數(shù);
[0017] 2)����、通過VSM向量空間模型得出用于篩選測試消息數(shù)據(jù)包中頻繁單位數(shù)據(jù)序列的 篩選閥值:分別以多組單位數(shù)據(jù)出現(xiàn)頻率為預選閥值選出數(shù)組中出現(xiàn)頻率大于預選閥值的 單位數(shù)據(jù)形成新數(shù)組,計算出新數(shù)組的單位數(shù)據(jù)Jaccard指數(shù)�,建立預選閥值和單位數(shù)據(jù) Jaccard指數(shù)關(guān)系模型,通過關(guān)系模型找出單位數(shù)據(jù)Jaccard指數(shù)最大值對應的預選閥值��, 以此預選閥值作為篩選測試消息數(shù)據(jù)包中頻繁單位數(shù)據(jù)序列的篩選閥值�����;
[0018] 3)����、采用篩選閥值篩選測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列:采用篩選閥值對 整個測試消息數(shù)據(jù)包進行篩選,選取出現(xiàn)頻率大于篩選閥值的單位數(shù)據(jù)組成頻繁單位數(shù)據(jù) 序列��。
[0019] 進一步�,步驟3中對測試消息數(shù)據(jù)包中相鄰頻繁單位數(shù)據(jù)序列聚類獲得多個優(yōu)選 聚類,包括以下步驟:
[0020] 1)����、標記測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列:在篩選出頻繁單位數(shù)據(jù)序列之 后,對測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列進行標記�;
[0021] 2)�����、將相鄰的兩個頻繁單位數(shù)據(jù)拼接成關(guān)鍵詞:在測試消息數(shù)據(jù)包中�����,盡可能長地 將相鄰的兩個頻繁單位數(shù)據(jù)拼接起來作為關(guān)鍵詞���;
[0022] 3)、通過聚類算法對測試消息數(shù)據(jù)包中的關(guān)鍵詞進行聚類獲得最佳聚類數(shù)目:通 過關(guān)鍵詞標記測試消息數(shù)據(jù)包的單位數(shù)據(jù)��,實現(xiàn)測試消息數(shù)據(jù)包的消息數(shù)據(jù)的數(shù)值化���,將 VSM向量轉(zhuǎn)化成數(shù)值化向量��,對數(shù)值化向量采用K-Means聚類算法實現(xiàn)消息數(shù)據(jù)聚類���,找出 優(yōu)選聚類模式及其對應的最佳聚類數(shù)目;
[0023] 4)����、通過最佳聚類數(shù)目獲得優(yōu)選聚類:以最佳聚類數(shù)目對測試消息數(shù)據(jù)包進行聚 類,獲得測試消息數(shù)據(jù)包的多個優(yōu)選聚類����。
[0024] 進一步�,通過聚類算法對測試消息數(shù)據(jù)包中的關(guān)鍵詞進行聚類獲得最佳聚類數(shù) 目��,包括以下步驟:
[0025] 1)采用K-Means聚類算法對關(guān)鍵詞進行聚類找出聚類中心�,具體為:
[0026] 1. 1)以關(guān)鍵詞為待聚類的點尋找聚類中心���;
[0027] 1. 2)計算每個點到聚類中心的距離�����,將每個點聚類到離該點最近的聚類中��;
[0028] 1. 3)計算每個聚類中所有點的坐標平均值��,并將這個平均值作為新的聚類中心����;
[0029] 1. 4)反復執(zhí)行(1. 1)�、(1. 2),直到聚類中心不再進行大范圍移動或者聚類次數(shù)達 到要求為止��;
[0030] 2)找出優(yōu)選聚類模式及其對應的最佳聚類數(shù)目:定義用于選擇最優(yōu)的聚類數(shù)目 的Dunn指數(shù)���,計算Dunn指數(shù)的最大值����,Dunn指數(shù)最大值對應的消息數(shù)據(jù)聚類數(shù)目為最優(yōu) 聚類數(shù)目;
[0031] 用于選擇最優(yōu)的聚類數(shù)目的Dunn指數(shù)的計算公式為
[0032]
【權(quán)利要求】
1. 二進制消息數(shù)據(jù)的協(xié)議格式識別方法�����,其特征在于��,對由單位數(shù)據(jù)構(gòu)成的測試消息 數(shù)據(jù)包進行篩選��,篩選出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列�����,對測試消息數(shù)據(jù)包中相 鄰頻繁單位數(shù)據(jù)序列聚類獲得多個優(yōu)選聚類��,處理優(yōu)選聚類獲得用于標識未知協(xié)議的消息 數(shù)據(jù)包的特征串����,包括以下步驟: 步驟1 :制作由單位數(shù)據(jù)構(gòu)成的測試消息數(shù)據(jù)包:從網(wǎng)絡環(huán)境中抓取二進制消息數(shù)據(jù) 流,將二進制消息數(shù)據(jù)流轉(zhuǎn)換成以單位數(shù)據(jù)為構(gòu)成單元的測試消息數(shù)據(jù)包���; 步驟2 :篩選出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列:將測試消息數(shù)據(jù)包的單位數(shù) 據(jù)分成數(shù)組����,以單位數(shù)據(jù)、單位數(shù)據(jù)出現(xiàn)頻率建立VSM向量空間模型�,在VSM向量空間模型 中定義單位數(shù)據(jù)相似度;分別以多組單位數(shù)據(jù)出現(xiàn)頻率為預選閥值對VSM向量空間模型 中的每個數(shù)組的單位數(shù)據(jù)進行篩選形成新數(shù)組�,計算預選閥值對應的新數(shù)組單位數(shù)據(jù)相似 度,建立預選閥值和數(shù)組單位數(shù)據(jù)相似度的關(guān)系模型��;通過關(guān)系模型找出單位數(shù)據(jù)相似度 最大值對應的用于篩選測試消息數(shù)據(jù)包中頻繁單位數(shù)據(jù)序列的篩選閥值����,以篩選閥值篩選 出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列����; 步驟3 :對測試消息數(shù)據(jù)包中的相鄰頻繁單位數(shù)據(jù)序列聚類獲得多個優(yōu)選聚類:標記 測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列,將相鄰的兩個頻繁單位數(shù)據(jù)拼接成關(guān)鍵詞�����,對測 試消息數(shù)據(jù)包中的關(guān)鍵詞通過聚類算法進行聚類�����,獲得測試消息數(shù)據(jù)包中的多個優(yōu)選聚 類����; 步驟4:處理優(yōu)選聚類獲得用于標識未知協(xié)議的消息數(shù)據(jù)包的特征串�����,通過特征串標 識測試消息數(shù)據(jù)包中的未知協(xié)議消息數(shù)據(jù):對優(yōu)選聚類采用序列比對算法�,提取消息數(shù)據(jù) 包的特征串�,獲得消息數(shù)據(jù)的協(xié)議格式表達式,通過協(xié)議格式標識測試消息數(shù)據(jù)包中的未 知協(xié)議消息數(shù)據(jù)��。
2. 根據(jù)權(quán)利要求1所述的二進制消息數(shù)據(jù)的協(xié)議格式識別方法���,其特征在于���,步驟1中 所述制作由單位數(shù)據(jù)構(gòu)成的測試消息數(shù)據(jù)包具體為從網(wǎng)絡環(huán)境中抓取二進制消息數(shù)據(jù)流, 將二進制消息數(shù)據(jù)流轉(zhuǎn)換成十六進制消息數(shù)據(jù)包�,按照定字節(jié)長度將十六進制消息數(shù)據(jù)包 切分成單位數(shù)據(jù),形成由單位數(shù)據(jù)構(gòu)成的測試消息數(shù)據(jù)包���。
3. 根據(jù)權(quán)利要求2所述的二進制消息數(shù)據(jù)的協(xié)議格式識別方法���,其特征在于,所述定 字節(jié)長度為一個字節(jié)長度。
4. 根據(jù)權(quán)利要求1至3中任意一項權(quán)利要求所述的二進制消息數(shù)據(jù)的協(xié)議格式識別方 法����,其特征在于,步驟2中所述篩選出測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列��,包括以下步 驟: 1) �����、建立基于單位數(shù)據(jù)的VSM向量空間模型:將測試消息數(shù)據(jù)包的單位數(shù)據(jù)按數(shù)量 進行分成數(shù)組����,以單位數(shù)據(jù)和單位數(shù)據(jù)的出現(xiàn)頻率建立VSM向量空間模型��,將單位數(shù)據(jù)字 符串向量轉(zhuǎn)換成VSM向量��;在VSM向量空間模型中定義用于表征數(shù)組單位數(shù)據(jù)相似度的 Jaccard 指數(shù)�����; 2) �、通過VSM向量空間模型得出用于篩選測試消息數(shù)據(jù)包中頻繁單位數(shù)據(jù)序列的篩 選閥值:分別以多組單位數(shù)據(jù)出現(xiàn)頻率為預選閥值選出數(shù)組中出現(xiàn)頻率大于預選閥值的 單位數(shù)據(jù)形成新數(shù)組,計算出新數(shù)組的單位數(shù)據(jù)Jaccard指數(shù)��,建立預選閥值和單位數(shù)據(jù) Jaccard指數(shù)關(guān)系模型,通過關(guān)系模型找出單位數(shù)據(jù)Jaccard指數(shù)最大值對應的預選閥值���, 以此預選閥值作為篩選測試消息數(shù)據(jù)包中頻繁單位數(shù)據(jù)序列的篩選閥值�; 3)���、采用篩選閥值篩選測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列:采用篩選閥值對整個 測試消息數(shù)據(jù)包進行篩選�����,選取出現(xiàn)頻率大于篩選閥值的單位數(shù)據(jù)組成頻繁單位數(shù)據(jù)序 列�����。
5. 根據(jù)權(quán)利要求1至3中任意一項權(quán)利要求所述的二進制消息數(shù)據(jù)的協(xié)議格式識別方 法����,其特征在于���,步驟3中所述對測試消息數(shù)據(jù)包中相鄰頻繁單位數(shù)據(jù)序列聚類獲得多個 優(yōu)選聚類����,包括以下步驟: 1) �、標記測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列:在篩選出頻繁單位數(shù)據(jù)序列之后��,對 測試消息數(shù)據(jù)包中的頻繁單位數(shù)據(jù)序列進行標記����; 2) �、將相鄰的兩個頻繁單位數(shù)據(jù)拼接成關(guān)鍵詞:在測試消息數(shù)據(jù)包中,盡可能長地將相 鄰的兩個頻繁單位數(shù)據(jù)拼接起來作為關(guān)鍵詞��; 3) �����、通過聚類算法對測試消息數(shù)據(jù)包中的關(guān)鍵詞進行聚類獲得最佳聚類數(shù)目:通過關(guān) 鍵詞標記測試消息數(shù)據(jù)包的單位數(shù)據(jù)�,實現(xiàn)測試消息數(shù)據(jù)包的消息數(shù)據(jù)的數(shù)值化,將VSM 向量轉(zhuǎn)化成數(shù)值化向量���,對數(shù)值化向量采用K-Means聚類算法實現(xiàn)消息數(shù)據(jù)聚類����,找出優(yōu) 選聚類模式及其對應的最佳聚類數(shù)目����; 4) ���、通過最佳聚類數(shù)目獲得優(yōu)選聚類:以最佳聚類數(shù)目對測試消息數(shù)據(jù)包進行聚類���,獲 得測試消息數(shù)據(jù)包的多個優(yōu)選聚類����。
6. 根據(jù)權(quán)利要求5所述的二進制消息數(shù)據(jù)的協(xié)議格式識別方法�,其特征在于,所述通 過聚類算法對測試消息數(shù)據(jù)包中的關(guān)鍵詞進行聚類獲得最佳聚類數(shù)目����,包括以下步驟: 1) 采用K-Means聚類算法對關(guān)鍵詞進行聚類找出聚類中心,具體為: 1. 1)以關(guān)鍵詞為待聚類的點尋找聚類中心����; 1.2)計算每個點到聚類中心的距離,將每個點聚類到離該點最近的聚類中��; 1. 3)計算每個聚類中所有點的坐標平均值����,并將這個平均值作為新的聚類中心; 1.4)反復執(zhí)行(1.1)����、(1.2)����,直到聚類中心不再進行大范圍移動或者聚類次數(shù)達到要 求為止�; 2) 找出優(yōu)選聚類模式及其對應的最佳聚類數(shù)目:定義用于選擇最優(yōu)的聚類數(shù)目的 Dunn指數(shù),計算Dunn指數(shù)的最大值�,Dunn指數(shù)最大值對應的消息數(shù)據(jù)聚類數(shù)目為最優(yōu)聚類 數(shù)目; 用于選擇最優(yōu)的聚類數(shù)目的Dunn指數(shù)的計算公式為
其中�,分別為第i和j個聚類中心,Λ (Q)為聚類Q的直徑距離�����,δ (Cjp為兩 個聚類中心Q����、之間的距離,p為消息數(shù)據(jù)聚類數(shù)目�����; 當D (ρ)取得最大值時����,對應的ρ為效果最優(yōu)的消息數(shù)據(jù)聚類數(shù)目����。
【文檔編號】H04L29/06GK104159232SQ201410440593
【公開日】2014年11月19日 申請日期:2014年9月1日 優(yōu)先權(quán)日:2014年9月1日
【發(fā)明者】鄭杰, 李建平 申請人:電子科技大學, 重慶電子工程職業(yè)學院