1.一种通讯协议隐蔽通道检测方法,其特征在于,所述方法包括以下步骤:
步骤一:建立数据接收模块,将收集的相关网络协议数据进行回放,接收模块即第一处理模块根据不同协议的特征对相关数据进行抽取,形成第一特征数据;
步骤二:建立数据合法性特征抽取模块,即第二数据处理模块,其数据输入为第一数据处理模块,即数据接收模块所输出的相关数据,此处需要支持较多种类的数据特征抽取处理函数;
步骤三:利用上述定义的相关处理函数等,编写合适的、特征抽取脚本;
步骤四:将步骤三中形成的相关特征向量输入到bp神经网络,其中每个特征代表一个神经元,建立网络数据特征训练模块,在此模块中需要对第二特征数据进行训练,形成第三特征数据,用于检验实际数据,此模块被称作第三模块;第三特征数据是最终形成的特征数据;
步骤五:将步骤四生成的第三特征数据进行保存并作为在实际系统中使用的内容,即通过在现场生成具有同样结构和权重的神经网络,对相关流量数据进行检查,如出现反向数据则直接进行报警,其输出值(介入0和1之间)可以做作为相关置信度数据放入报警中。
2.根据权利要求1所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤一中,抽取的规则按照如下方式进行定义:
协议名称:
描述:非强制填写;
协议匹配和抽取规则以及字段名称:
数据转换:提供一定的函数,对相关需要进行内容转换的字段进行基础处理或变换,比如可将ip地址根据地理信息位置转换国别、省、市等;
形成第一特征数据,作为第二处理模块的输入。
3.根据权利要求2所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤二中,建立数据合法性特征抽取模块,即第二数据处理模块,其数据输入为第一数据处理模块,即数据接收模块所输出的相关数据,此处需要支持较多种类的数据特征抽取处理函数,如下:
■支持字符串长度特征抽取处理;
■支持字符串大小写分布特征抽取处理;
■支持字符串字符和数字分布特征抽取处理;
■支持字符串香农信息熵特征计算处理;
■n-gram平均转移概率特征抽取;
■支持ip地址位置国别分布特征抽取处理;
■支持获取指定时间段内某对象访问次数;
■支持获取指定时间段内某对象访问流量大小;
■支持获取指定时间段内某对象访问数据包数量。
4.根据权利要求3所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤三中,利用上述定义的相关处理函数等,编写特征抽取脚本,具体如下,针对dns隐蔽通道数据传输的特点,包括获取如下特征:
域名长度特征:
顶级域名排名特征:
域名组成特征:
dns请求和响应比例:
单位时间dns流量吞吐特征:
将标识为正常以及异常的数据输入到第二模块,根据定义的相关特征抽取脚本,对特征进行城区,在高维空间形成相关向量。
5.根据权利要求3所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤四中,具体如下,本发明使用三层神经网络,其中输出采用两个神经元,一个为正向(即正常数据),另一个为反向(即异常数据),中间隐层采用96个神经元,系统采用交叉熵的方法评估误差,结束条件为迭代次数设定为2000次或误差在0.0001内;采用平方正则化方法,其误差评估公式如下:
在上面的公式中,第一部分为基于交叉熵的误差评估,而后一部分则为平方正则化部分(平方正则化即基于二范数的正则化);其中
6.根据权利要求5所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤五中,将步骤4生成的第三特征数据进行保存并作为在实际系统中使用的内容,即通过在现场生成具有同样结构和权重的神经网络,对相关流量数据进行检查,如出现反向数据则直接进行报警,其输出值(介入0和1之间)做作为相关置信度数据放入报警中。