【技术实现步骤摘要】
深度数据包检测方法、装置及可读存储介质
本申请涉及数据安全防护
,具体而言,涉及一种深度数据包检测方法、装置及可读存储介质。
技术介绍
当前,随着网络信息技术的发展,针对网络通信过程中的数据包的入侵检测,可以为计算机网络提供实时保护的网络安全方案,进而保证计算机网络的正常运行。传统方案中通常仅对每次探测到的数据包进行威胁感知检测,然而经专利技术人研究发现,在入侵检测过程中,通常数据包会不断发生变化,这就对入侵检测的实时性提出了更高的要求,如果威胁感知检测无法及时应对数据包的变化,那么可能会对计算机安全产生较大的影响。
技术实现思路
有鉴于此,本申请的目的在于提供一种深度数据包检测方法、装置及可读存储介质,能够对未来单位时间内的数据流特征的威胁感知情况进行预测分类,以使得威胁感知检测能够及时应对数据包的变化,降低数据包会快速发生变化时计算机安全的影响。根据本申请的第一方面,提供一种深度数据包检测方法,应用于服务器,所述方法包括:提取从终端设备探测到的数据包的数据流特征;对所述数...
【技术保护点】
1.一种深度数据包检测方法,其特征在于,应用于服务器,所述方法包括:/n提取从终端设备探测到的数据包的数据流特征;/n对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果,所述数据预测结果包括在下一单位时间内所述数据流特征中的各数据流成分的异常特征以及每个数据流成分对应的异常置信度,每个数据流成分分别对应一种流量数据段;/n对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果,所述威胁感知结果用于表示所述数据包是否存在威胁。/n
【技术特征摘要】
1.一种深度数据包检测方法,其特征在于,应用于服务器,所述方法包括:
提取从终端设备探测到的数据包的数据流特征;
对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果,所述数据预测结果包括在下一单位时间内所述数据流特征中的各数据流成分的异常特征以及每个数据流成分对应的异常置信度,每个数据流成分分别对应一种流量数据段;
对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果,所述威胁感知结果用于表示所述数据包是否存在威胁。
2.根据权利要求1所述的深度数据包检测方法,其特征在于,所述提取从终端设备探测到的数据包的数据流特征的步骤,包括:
根据预先配置的DPI规则库提取所述数据包中的荷载内容并提取所述荷载内容中的DPI规则特征;
获取每个DPI规则特征对应的特征字段序列和特征表达序列,所述特征表达序列包括需要在特征识别过程中显示的特征表达内容,所述特征表达内容包括特征字段类型和特征字段时序,所述特征字段时序用于表示特征字段识别过程中的时序信息;
根据所述特征表达序列获取所述数据包所对应的数据分类位置,其中,所述数据分类位置为所述数据包中当前主用数据业务与备用数据业务的数据分类位置;
将所述特征字段序列中每个特征字段的位置与所述数据分类位置进行比较,得到比较结果,所述比较结果表示所述特征字段是位于所述主用数据业务内或者位于所述备用数据业务内;
根据所述比较结果提取所述数据包的数据流特征。
3.根据权利要求2所述的深度数据包检测方法,其特征在于,所述根据所述比较结果提取所述数据包的数据流特征的步骤,包括:
根据所述特征字段序列构建待合并的目标特征字段序列;
根据所述特征字段序列从所述特征表达序列中选取相应的目标特征表达信息,并从所述目标特征字段序列中获取位于所述主用数据业务和备用数据业务内的特征字段;
当所述特征字段位于当前的主用数据业务内时,根据所述特征字段的位置在特征字段序列中确定相应的第一待合并特征字段、以及在所述特征表达序列中确定相应的第二待合并特征字段,并将所述第一待合并特征字段在所述特征字段序列中的字段内容、与所述第二待合并特征字段在所述特征表达序列中的字段内容进行合并,得到第一合并字段内容,而后将所述特征字段在所述目标特征字段序列中的字段内容更新为所述第一合并字段内容;
当所述特征字段位于当前的备用数据业务内时,根据所述特征字段的位置在所述特征字段序列中确定相应的第一待合并特征字段、以及在所述目标特征表达信息中确定相应的第三待合并特征字段,并将所述第一待合并特征字段在所述特征字段序列中的字段内容、与所述第三待合并特征字段在所述目标特征表达信息中的字段内容进行合并,得到第二合并字段内容,而后将所述特征字段在所述目标特征字段序列中的字段内容更新为所述第二合并字段内容;
提取更新为第一合并字段内容或者第二合并字段内容的该特征字段的特征信息,并汇总后得到所述数据包的数据流特征。
4.根据权利要求1所述的深度数据包检测方法,其特征在于,所述对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果的步骤,包括:
根据预先训练的数据预测回归模型对所述数据流特征中的各数据流成分进行数据预测,分别得到至少一个预测值曲线,其中,所述数据预测回归模型包括多个预先训练的模型算子,所述预测值曲线包括每个模型算子的预测结果;
在所述至少一个预测值曲线上提取所述数据流成分的时序特征和曲线变化特征,所述曲线变化特征用于描述所述预测值曲线中预测值的变化趋势;
根据所述数据流成分的时序特征和曲线变化特征得到在下一单位时间内所述数据流成分的异常特征以及所述数据流成分对应的异常置信度。
5.根据权利要求4所述的深度数据包检测方法,其特征在于,所述根据所述数据流成分的时序特征和曲线变化特征得到所述数据流成分的异常特征以及所述数据流成分对应的异常置信度的步骤,包括:
对所述数据流成分的时序特征和曲线变化特征分别进行隐马尔科夫计算,得到第一预测结果;
基于所述第一预测结果中与所述时序特征匹配的预测结果,在预设异常特征库的预测结果中进行索引,得到与所述时序特征匹配的第一索引结果;
基于所述第一预测结果中与所述曲线变化特征匹配的预测结果,在所述预设异常特征...
【专利技术属性】
技术研发人员:杨贻宏,
申请(专利权)人:上海飞旗网络技术股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。