【技术实现步骤摘要】
网络协议异常检测方法、装置、计算机设备和存储介质
本申请涉及网络安全
,特别是涉及一种网络协议异常检测方法、装置、计算机设备和存储介质。
技术介绍
随着互联网和网络技术的发展,网络攻击随之诞生。网络攻击给网络空间安全带来了巨大的挑战,如何有效的检测网络攻击是网络安全领域永恒的研究重点。目前,基于网络协议异常检测技术主要有基于网络流量统计信息的异常检测和基于数据包内容的异常检测。基于网络流量统计信息的异常检测技术是通过分析网络数据流的数据包长度、到达时间间距等观测值的方差、均匀等统计值,利用统计分析进行异常检测。基于数据包内容的异常检测技术则是通过分析网络协议的数据包头部、载荷等内容,识别出偏离正常状态的数据包或字段。然而,基于网络流量统计信息的异常检测虽然可以检测大部分对网络行为造成明显影响的网络攻击或异常,但无法检测针对协议内容的攻击。因为病毒发起对协议内容的攻击时,网络流量的统计信息不一定会发生明显的偏差。而基于数据包内容的异常检测方法虽然可以检测对协议内容的攻击,但是该技术是基于协议关键词序列进行...
【技术保护点】
1.一种网络协议异常检测方法,所述方法包括:/n获取待检测二进制协议数据包;/n调用预先训练好的检测模型;所述检测模型为预先基于二进制协议数据包对隐马尔科夫模型训练得到;/n确定所述待检测二进制协议数据包与所述检测模型的第一匹配度;/n获取协议类型与所述待检测二进制协议数据包对应的无异常二进制协议数据包的第二匹配度;/n基于所述第一匹配度和所述第二匹配度,得到所述待检测二进制协议数据与所述无异常二进制协议数据包的偏离度;/n根据所述偏离度确定所述待检测二进制协议数据包是否异常。/n
【技术特征摘要】
1.一种网络协议异常检测方法,所述方法包括:
获取待检测二进制协议数据包;
调用预先训练好的检测模型;所述检测模型为预先基于二进制协议数据包对隐马尔科夫模型训练得到;
确定所述待检测二进制协议数据包与所述检测模型的第一匹配度;
获取协议类型与所述待检测二进制协议数据包对应的无异常二进制协议数据包的第二匹配度;
基于所述第一匹配度和所述第二匹配度,得到所述待检测二进制协议数据与所述无异常二进制协议数据包的偏离度;
根据所述偏离度确定所述待检测二进制协议数据包是否异常。
2.根据权利要求1所述的方法,其特征在于,所述确定所述待检测二进制协议数据包与所述检测模型的第一匹配度,包括:
将所述待检测二进制协议数据包转换成对应的观测序列和状态序列;
基于所述检测模型的预测参数、所述观测序列和所述状态序列,确定前向变量值和后向变量值;
根据所述前向变量值和所述后向变量值计算得到似然概率;
获取所述似然概率的平均对数,得到所述待检测二进制协议数据包与所述检测模型的第一匹配度。
3.根据权利要求2所述的方法,其特征在于,所述将待检测所述二进制协议数据包转换成对应的观测序列和状态序列,包括:
将所述待检测二进制协议数据包中各字节转换成观测值,得到观测序列;
获取预设的状态区间以及各所述状态区间包括的观测值;
基于所述状态区间包括的观测值,确定所述观测序列中各观测值的所属状态区间;
将所述所属状态区间的区间号作为状态值,得到状态序列。
4.根据权利要求1所述的方法,其特征在于,所述基于所述第一匹配度和所述第二匹配度,得到所述待检测二进制协议数据与所述无异常二进制协议数据包的偏离度,包括:
获取所述第二匹配度的均值;
计算所述第一匹配度和所述均值的差的绝对值,得到所述待检测二进制协议数据包与所述无异常二进制协议数据包的偏离度。
5.根据权利要求1所述的方法,其特征在于,所述根据所述偏离度确定所述待检测二进制协议数据包是否异常,包括:
获取所述第二匹配度的标准方差;
当所述偏离度不小于预设倍数的所述标准方差的值时,确定所述待检测二进制协议数据包异常;
当所述偏离度小于预设倍数的所述标准方差的值时,确定所述待检测二进制协议数据包无异常。
6.根据权利要求1所述的方法,其特征在于,所述基于二进制协议数据包对隐马尔科夫模型训练得到检测模型,包...
【专利技术属性】
技术研发人员:林军,麦松涛,
申请(专利权)人:中国电子产品可靠性与环境试验研究所工业和信息化部电子第五研究所中国赛宝实验室,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。