一种位置敏感特征熵指纹的报文识别方法技术

本发明专利技术公开一种位置敏感特征熵指纹的报文识别方法，包括：通过网络抓取一定数量的同种类型报文；对报文进行分组和对齐处理，优先保证等长度的报文划分到一组，将报文分成N组；对每一组报文均进行纵向切片处理；将每一组报文的每个切片数据作为一个数组，计算得到每个数组的信息熵数组E，并得到N个分组的信息熵组En；对En进行信息熵特征判定，获取特定特征信息熵，将其在数组E中的位置也作为特征进行记录，得到具有位置信息+信息熵的特征指纹；使用特征指纹进行报文匹配。本发明专利技术通过网络抓包分类快速形成报文特征指纹，无需人工分析，方便快捷，可以用于对协议类型、设备的厂商特征等多个维度进行学习和匹配，满足多种场景的应用。用。用。

【技术实现步骤摘要】
一种位置敏感特征熵指纹的报文识别方法


[0001]本专利技术涉及计算机安全
，尤其涉及位置敏感特征熵指纹的报文识别方法。

技术介绍

[0002]工控指的是工业自动化控制，主要利用电子电气、机械、软件组合实现。即是工业控制，或者是工厂自动化控制。主要是指使用计算机技术，微电子技术，电气手段，使工厂的生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性。
[0003]在工业安全领域，经常需要通过报文来识别设备的厂商、类型或者其他信息，传统的识别方式是通过人工的方式对特征进行提取，效率低，工作量大。

技术实现思路

[0004]本专利技术提供了一种位置敏感特征熵指纹的报文识别方法，包括：
[0005]通过网络抓取一定数量的同种类型报文；
[0006]对报文进行分组和对齐处理，优先保证等长度的报文划分到一组，并对报文分成N组；
[0007]对分组后的每一组报文均进行纵向切片处理；
[0008]将每一组报文的每个切片数据作为一个数组，计算得到每个数组的信息熵数组E，并得到N个分组的信息熵组En；
[0009]对计算的信息熵数组En进行信息熵特征的判定，获取具有特定特征的信息熵，将这些信息熵在数组E中的位置也作为特征进行记录，由此得到一个具有位置信息+对应信息熵的特征指纹；
[0010]抓取报文，使用得到的特征指纹进行报文匹配。
[0011]如上所述的一种位置敏感特征熵指纹的报文识别方法，其中，切片长度L应该改满足L>＝log2(m)，其中m是每个分组里的报文的个数。
[0012]如上所述的一种位置敏感特征熵指纹的报文识别方法，其中，获取具有特定特征的信息熵，具体为：将信息熵为0或者信息熵为满熵的元素作为重点特征，其他数值的熵记录一个信息熵范围，即记录信息熵最大值和最小值。
[0013]如上所述的一种位置敏感特征熵指纹的报文识别方法，其中，报文匹配具体包括如下子步骤：
[0014]通过网络获取一定数量的报文，提取出一组报文；
[0015]对报文进行切片和计算信息熵，并得到具有位置信息和对应信息熵的指纹；
[0016]通过对比报文特征操作中的位置+信息熵特征指纹，确定指纹的相似程度；
[0017]通过设定的指纹相似判定的阈值进行判定，若指纹相似程度大于预设阈值，则认为报文匹配成功，若指纹相似程度小于预设阈值，则认为报文匹配失败。
[0018]本专利技术还提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质
中包含一个或多个程序指令，所述一个或多个程序指令用于被处理器执行上述任一项所述的一种位置敏感特征熵指纹的报文识别方法。
[0019]本专利技术实现的有益效果如下：本专利技术通过网络抓包分类后，快速形成一个报文的指纹信息，无需人工分析，方便快捷，可以用于对协议类型、设备的厂商特征等多个维度进行学习和匹配，满足多种场景的应用。
附图说明
[0020]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0021]图1是本专利技术实施例一提供的一种位置敏感特征熵指纹的报文识别方法流程图。
具体实施方式
[0022]下面结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0023]实施例一
[0024]参见图1，本专利技术实施例一提供一种位置敏感特征熵指纹的报文识别方法，包括报文特征学习操作和报文匹配操作。
[0025](1)报文特征学习操作具体包括：
[0026]步骤110、通过网络抓取一定数量的同种类型报文；
[0027]例如某种类型的工业协议，如协议类型、设备的厂商特征等，或者通过其他分类方式的报文。
[0028]步骤120、对报文进行分组和对齐处理，优先保证等长度的报文划分到一组，并对报文分成N组；
[0029]步骤130、对分组后的每一组报文均进行纵向切片处理；
[0030]切片长度L(bit)应该改满足L>＝log2(m)，其中m是每个分组里的报文的个数。
[0031]步骤140、将每一组报文的每个切片数据作为一个数组，计算得到每个数组的信息熵数组E，并得到所有分组的信息熵组En。
[0032]步骤150、对计算的信息熵数组En进行信息熵特征的判定，获取具有特定特征的信息熵，将这些信息熵在数组E中的位置也作为特征进行记录，由此得到一个具有位置信息+对应信息熵的特征指纹；
[0033]其中，获取具有特定特征的信息熵，具体为：将信息熵为0或者信息熵为满熵的元素作为重点特征，其他数值的熵记录一个信息熵范围，即记录信息熵最大值和最小值。
[0034](2)报文匹配操作，具体包括：步骤160、抓取报文，使用得到的特征指纹进行报文匹配。
[0035]其中，报文匹配具体包括如下子步骤：
[0036]步骤S1、通过网络获取一定数量的报文，提取出一组报文。
[0037]步骤S2、对报文进行切片和计算信息熵，并得到具有位置信息和对应信息熵的指纹；
[0038]步骤S3、通过对比报文特征操作中的位置+信息熵特征指纹，确定指纹的相似程度；
[0039]步骤S4、通过设定的指纹相似判定的阈值进行判定，若指纹相似程度大于预设阈值，则认为报文匹配成功，若指纹相似程度小于预设阈值，则认为报文匹配失败。
[0040]本申请实施例中，对于不同类型的网络报文，可以通过调整节点变量或者容器变量的位置，来构建不同类型的变异树，来匹配不同类型的网络报文。
[0041]与上述实施例对应的，本专利技术实施例提供一种位置敏感特征熵指纹的报文识别装置，该系统包括：至少一个存储器和至少一个处理器；
[0042]存储器用于存储一个或多个程序指令；
[0043]处理器，用于运行一个或多个程序指令，用以执行一种位置敏感特征熵指纹的报文识别方法。
[0044]与上述实施例对应的，本专利技术实施例提供一种计算机可读存储介质，计算机存储介质中包含一个或多个程序指令，一个或多个程序指令用于被处理器执行一种位置敏感特征熵指纹的报文识别方法。
[0045]本专利技术所公开的实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行上述的一种位置敏感特征熵指纹的报文识别方法。
[0046]在本专利技术实施例中，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种位置敏感特征熵指纹的报文识别方法，其特征在于，包括：通过网络抓取一定数量的同种类型报文；对报文进行分组和对齐处理，优先保证等长度的报文划分到一组，将报文分成N组；对分组后的每一组报文均进行纵向切片处理；将每一组报文的每个切片数据作为一个数组，计算得到每个数组的信息熵数组E，并得到N个分组的信息熵组En；对计算的信息熵数组En进行信息熵特征的判定，获取具有特定特征的信息熵，将这些信息熵在数组E中的位置也作为特征进行记录，由此得到一个具有位置信息+对应信息熵的特征指纹；抓取报文，使用得到的特征指纹进行报文匹配。2.如权利要求1所述的一种位置敏感特征熵指纹的报文识别方法，其特征在于，切片长度L应该改满足L>＝log2(m)，其中m是每个分组里的报文的个数。3.如权利要求1所述的一种位置敏感特征熵指纹的报文识别方法，其特征在于，获取具有特定特征...

【专利技术属性】
技术研发人员：王方立，黄敏，龙国东，
申请(专利权)人：北京威努特技术有限公司，
类型：发明
国别省市：