一种利用熵技术甄别网络数据传输是否加密的方法技术

本发明专利技术公开一种利用熵技术甄别网络数据传输是否加密的方法。所述方法包括进行网络抓包；对抓取的网络包进行熵运算，根据计算得到的信息熵衡量每条信息中包含的信息量；将计算得到的信息熵与匹配库中的标准值进行比较，如果信息熵在标准值范围内，则确定该网络包数据为未经加密的原数据，否则确定该网络包数据为经加密后的加密数据。采用本发明专利技术技术方案，对判断网络数据是否加密准确度高，对业务数据本身影响较小，可以进行大规模的数据分析，减少或者避免遗漏数据的情况，并且能够进行自动化分析，无需人工干预，节约开支。节约开支。节约开支。

【技术实现步骤摘要】
一种利用熵技术甄别网络数据传输是否加密的方法


[0001]本专利技术涉及计算机安全保护领域，尤其涉及一种利用熵技术甄别网络数据传输是否加密的方法。

技术介绍

[0002]随着信息技术的普及以及安全保护等级的提高，网络数据传输过程中采用加密技术的要求已经是不可或缺的重要部分。安全保护等级基本级及以上都要求数据传输过程中不得以明文的形式传输。例如工控生产网络、民用网络等网络中，每天传输着大量数据，这些数据涵盖着公开的和私密的数据，用户并不清楚资料和数据在网络传递时候是否被安全保密地传输。所以，如何甄别数据传输时是否加密的技术手段就显得尤为重要。
[0003]传统的鉴别手段基本是采用网络抓包的方法抓取网络数据，并检查数据中是否有明显的特征字符串来确定其是否采用加密技术，鉴别效率和准确率在某些特定场景下都无法达到预取效果。

技术实现思路

[0004]本专利技术提供了一种利用熵技术甄别网络数据传输是否加密的方法，包括：
[0005]步骤110、进行网络抓包；
[0006]步骤120、对抓取的网络包进行熵运算，根据计算得到的信息熵衡量每条信息中包含的信息量；
[0007]步骤130、将计算得到的信息熵与匹配库中的标准值进行比较，如果信息熵在标准值范围内，则确定该数据为未经加密的原数据，否则确定该数据为经加密后的加密数据。
[0008]如上所述的一种利用熵技术甄别网络数据传输是否加密的方法，其中，应用网络抓包工具抓取网络包，并提供定期定时导出数据的功能，实现网络数据源的获取。
[0009]如上所述的一种利用熵技术甄别网络数据传输是否加密的方法，其中，熵运算是对随机变量的比特量和顺次发生概率相乘再求和的数学期望。
[0010]如上所述的一种利用熵技术甄别网络数据传输是否加密的方法，其中，当为有限个样本时，熵的计算公式表示如下：
[0011][0012]其中，H(X)表示随机变量X的熵值，随机变量X的取值为{x1,
…
,x
n
}，P为X的概率质量函数，I(X)为X的信息量，b是对数的底，通常为2、e或者10，分别对应熵的单位bit、nat以及Hart。
[0013]如上所述的一种利用熵技术甄别网络数据传输是否加密的方法，其中，为了排除不同长度数据对于信息内容概率分布的影响，对不同长度的网络包进行固定长度处理。
[0014]如上所述的一种利用熵技术甄别网络数据传输是否加密的方法，其中，通过梯度下降优化算法，得到固定长度最优解。
[0015]如上所述的一种利用熵技术甄别网络数据传输是否加密的方法，其中，在计算信息熵时需要忽略数据包头。
[0016]本专利技术实现的有益效果如下：
[0017](1)对判断网络数据是否加密准确度高，对业务数据本身影响较小。
[0018](2)可以进行大规模的数据分析，减少或者避免遗漏数据的情况。
[0019](3)能够进行自动化分析，无需人工干预，节约开支。
附图说明
[0020]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0021]图1是本专利技术实施例一提供的一种利用熵技术甄别网络数据传输是否加密的方法流程图；
[0022]图2是本专利技术实施例一提供的一种利用熵技术甄别网络数据传输是否加密的系统示意图。
具体实施方式
[0023]下面结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0024]实施例一
[0025]参见图1，本专利技术实施例一提供一种利用熵技术甄别网络数据传输是否加密的方法，包括：
[0026]步骤110、进行网络抓包；
[0027]具体地，应用网络抓包工具抓取网络包，并提供定期定时导出数据的功能，来实现网络数据源的获取。
[0028]步骤120、对抓取的网络包进行熵运算，根据计算得到的信息熵衡量每条信息中包含的信息量；
[0029]具体地，用信息熵来衡量每条信息中包含的信息量的大小，即是对不确定性的度量。信息熵越大，则能表示的信息更多，反之能表示的信息更少。
[0030]熵运算是对随机变量的比特量(bit)和顺次发生概率相乘再求和的数学期望。当为有限个样本时，熵的计算公式表示如下：
[0031][0032]其中，H(X)表示随机变量X的熵值，随机变量X的取值为{x1,
…
,x
n
}，P为X的概率质量函数，I(X)为X的信息量(又称为自信息)，b是对数的底，通常为2，e或者10，分别对应熵的
单位bit、nat以及Hart。
[0033]优选地，为了排除不同长度数据对于信息内容概率分布的影响，对不同长度的网络包进行固定长度(如128B，1K，4K等)处理，具体通过梯度下降等优化算法，得到固定长度最优解。
[0034]进一步地，在计算信息熵时需要忽略数据包头。
[0035]步骤130、将计算得到的信息熵与匹配库中的标准值进行比较，如果信息熵在标准值范围内，则确定该网络包数据为未经加密的原数据，否则确定该网络包数据为经加密后的加密数据；
[0036]信息熵反应的是内容的随机性，即数据分布，与内容本身无关。在匹配库中存储有属于同一概率分布的标准值，不管内容是否相同，只要满足同一概率分布，即在匹配库标准值范围内，则得到的信息熵是相同的，也就说明该数据为未经加密的原数据。而经过加密后的数据，已经改变了数据的概率分布，所以计算出的信息熵不满足同一概率分布。
[0037]实施例二
[0038]如图2所示，本专利技术实施例二提供一种利用熵技术甄别网络数据传输是否加密的系统，包括：网络数据包采集模块、数据处理中心、熵运算模块、熵值统计分析模块、匹配库和报表生成模块。
[0039]其中，网络数据包采集模块用于进行网络抓包，抓取的网络数据包中包含包头、数据负载和包尾，包头中包括源地址、目的地址和数据包号等，数据负载即为传输的有效数据，包尾是用来指示数据包已经接收完全的数据标识；
[0040]数据处理中心用于接收网络数据包，对网络数据包进行预处理(如进行固定长度处理、包头忽略处理等)，将预处理后的网络数据包发送至熵运算模块，由熵运算模块对网络数据包进行熵运算，将得到的信息熵返回数据处理中心，数据处理中心将计算得到的信息熵发送给熵值统计分析模块进行数据是否加密分析。并且由匹配库向熵值统计分析模块提供标准值，如果信息熵在标准值范围内，则确定该网络数据包为未经加密后的原数据，如果信息熵不在标准范围内，则确本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种利用熵技术甄别网络数据传输是否加密的方法，其特征在于，包括：步骤110、进行网络抓包；步骤120、对抓取的网络包进行熵运算，根据计算得到的信息熵衡量每条信息中包含的信息量；步骤130、将计算得到的信息熵与匹配库中的标准值进行比较，如果信息熵在标准值范围内，则确定该网络包数据为未经加密的原数据，否则确定该网络包数据为经加密后的加密数据。2.如权利要求1所述的一种利用熵技术甄别网络数据传输是否加密的方法，其特征在于，应用网络抓包工具抓取网络包，并提供定期定时导出数据的功能，实现网络数据源的获取。3.如权利要求1所述的一种利用熵技术甄别网络数据传输是否加密的方法，其特征在于，熵运算是对随机变量的比特量和顺次发生概率相乘再求和的数学期望。4.如权利要求1所述的一种利用熵技术甄别网络数据传输是否加密的方法，其特征在于，当为有限个样本时，熵的计算公式表示如下：其中，H(X)表示随机变量X的熵值，随机变量X的取值为{x1,
...

【专利技术属性】
技术研发人员：祁叶飞，丁建，
申请(专利权)人：北京威努特技术有限公司，
类型：发明
国别省市：