本发明专利技术提供了一种加密信道中的行为识别方法、装置及电子设备,根据镜像采集的从第一密码设备向第二密码设备发送的第一报文序列,确定第二报文序列;从预设行为特征库中提取目标行为特征,其中包括:目标行为名称及对应的多个数据对;每个数据对由序号和密报长度组成;基于每个数据对的序号和密报长度,将每个数据对与第二报文序列进行比对,根据得到的比对结果识别加密信道中是否存在目标行为名称对应的行为。该方式将目标行为特征与第二报文序列进行比对,由于目标行为特征由序号和密报长度组成,因而可以在不解密第二报文序列的情况下,实现对第二报文序列的深度分析,进而得到相应的第一报文序列的分析结果,实现对加密信道中的行为的识别和客观记录,实现了在不解密情况下进行加密信道中发生事件的识别记录。密情况下进行加密信道中发生事件的识别记录。密情况下进行加密信道中发生事件的识别记录。
【技术实现步骤摘要】
加密信道中的行为识别方法、装置及电子设备
[0001]本专利技术涉及信息处理
,尤其是涉及一种加密信道中的行为识别方法、装置及电子设备。
技术介绍
[0002]当前密码设备使用越来越广泛,对包括网络设备的远程管理操作数据大多通过加密信道传输,确保了数据传输上的安全,当前主要采用日志的方式记录操作事件、操作用户、操作过程、数据修改等。在不具备完整日志系统的网络或办公设备上,还可能采用替代日志的探针系统,收集更全面的内存、网络、进程、文件等信息。然而,当前的日志系统或者探针系统都属于密码所保护的内部系统或关联系统中,在攻击发生之后,难以确保记录的客观准确性,从而难以进行数据分析并准确客观记录内部事件。
技术实现思路
[0003]本专利技术的目的在于提供一种加密信道中的行为识别方法、装置及电子设备,以对加密数据进行深入分析,对加密信道中的行为进行识别,并对识别结果进行客观记录,实现了在不解密情况下进行信道中发生事件的识别记录。
[0004]本专利技术提供的一种加密信道中的行为识别方法,方法应用于电子设备,第一密码设备通过电子设备与第二密码设备通信连接;方法包括:镜像采集从第一密码设备向第二密码设备发送的第一报文序列;基于第一报文序列,确定第二报文序列;从预设行为特征库中提取目标行为特征;其中,目标行为特征包括:目标行为名称,以及目标行为名称对应的多个数据对;每个数据对由序号和密报长度组成;基于每个数据对的序号和密报长度,按预设比对方式将每个数据对与第二报文序列进行比对处理,得到比对结果;根据比对结果识别加密信道中是否存在目标行为名称对应的行为。
[0005]进一步的,基于每个数据对的序号和密报长度,按预设比对方式将每个数据对与第二报文序列进行比对处理,得到比对结果;根据比对结果识别加密信道中是否存在目标行为名称对应的行为的步骤包括:将第二报文序列中的第一个报文作为当前报文,从当前报文开始,提取满足预设时间窗口的当前子序列;将第一个数据对作为当前数据对,将当前数据对与当前子序列进行比对,查找当前子序列中是否存在与当前数据对中的密报长度相同的目标报文;如果当前子序列中存在目标报文,将下一个数据对作为新的当前数据对,从目标报文的下一个报文开始,重复执行将当前数据对与当前子序列进行比对的步骤,直至完成每个数据对与当前子序列的比对;如果当前子序列中存在与每个数据对中的密报长度相同的目标报文,确定从加密信道中识别出目标行为名称对应的行为。
[0006]进一步的,方法还包括:如果当前子序列中缺少至少一个数据对中的密报长度相同的目标报文,将当前报文的下一个报文作为新的当前报文,重复执行从当前报文开始,提取满足预设时间窗口的当前子序列的步骤,直至完成每个数据对与当前子序列的比对;如果第二报文序列对应的每个子序列中都不同时存在与每个数据对中的密报长度相同的目
标报文,确定从加密信道中未识别出目标行为名称对应的行为。
[0007]进一步的,镜像采集从第一密码设备向第二密码设备发送的第一报文序列的步骤之后,方法还包括:在采集第一报文序列中的每个报文时,记录对应的采集时间,将采集时间作为对应报文的报文时间。
[0008]进一步的,每个密报长度由密文数据的长度、报头数据长度和报尾数据长度组成;基于第一报文序列,确定第二报文序列的步骤包括:按照预设的提取指示信息,从第一报文序列中提取出第二报文序列;其中,第一报文序列中的每个报文包括报头数据和报尾数据。
[0009]进一步的,每个密报长度为密文数据的长度;基于第一报文序列,确定第二报文序列的步骤包括:按照预设的提取指示信息,从所述第一报文序列中提取出指定报文序列;根据加密信道的密文特征,从指定报文序列的每个报文中,识别出每个报文对应的密文数据;其中,密文特征包括以下至少一种:通信地址、通信协议、端口号和密文报头协议;基于每个报文对应的密文数据确定第二报文序列。
[0010]进一步的,行为特征库中包括多个行为特征,每个行为特征预先通过下述方式确定:对于每个行为特征对应的每个操控行为,获取对第一设备执行该操控行为的明文,以及将明文通过加密设备加密后输出的密文;其中,第一设备与加密设备通信连接;根据时序和报长,建立每个明文报文与每个密文报文的对应关系;从操控行为发生时的第一个明文报文开始,按顺序依次提取每个明文报文对应的密文报文的密报长度;基于顺序序号和每个密报长度,确定该操控行为对应的行为特征。
[0011]本专利技术提供的一种加密信道中的行为识别装置,装置设置于电子设备,第一密码设备通过电子设备与第二密码设备通信连接;装置包括:镜像采集模块,用于镜像采集从第一密码设备向第二密码设备发送的第一报文序列;基于第一报文序列,确定第二报文序列;提取模块,用于从预设行为特征库中提取目标行为特征;其中,目标行为特征包括:目标行为名称,以及目标行为名称对应的多个数据对;每个数据对由序号和密报长度组成;识别模块,用于基于每个数据对的序号和密报长度,按预设比对方式将每个数据对与第二报文序列进行比对处理,得到比对结果;根据比对结果识别加密信道中是否存在目标行为名称对应的行为。
[0012]本专利技术提供的一种电子设备,包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现上述任一项的加密信道中的行为识别方法。
[0013]本专利技术提供的一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述任一项的加密信道中的行为识别方法。
[0014]本专利技术提供的加密信道中的行为识别方法、装置及电子设备,镜像采集从第一密码设备向第二密码设备发送的第一报文序列;基于第一报文序列,确定第二报文序列;从预设行为特征库中提取目标行为特征;其中,目标行为特征包括:目标行为名称,以及目标行为名称对应的多个数据对;每个数据对由序号和密报长度组成;基于每个数据对的序号和密报长度,按预设比对方式将每个数据对与第二报文序列进行比对处理,得到比对结果;根据比对结果识别加密信道中是否存在目标行为名称对应的行为。该方式将目标行为特征与第二报文序列进行比对,由于目标行为特征由序号和密报长度组成,因而可以在不解密第
二报文序列的情况下,实现对第二报文序列的深度分析,进而得到相应的第一报文序列的分析结果,实现对加密信道中的行为的识别和客观记录,实现了在不解密情况下进行加密信道中发生事件的识别记录。
附图说明
[0015]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本专利技术实施例提供的一种密码设备的典型部署架构示意图;图2为本专利技术实施例提供的一种加密信道中的行为识别方法的流程图;图3为本专利技术实施例提供的一种行为特征库的制作流本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种加密信道中的行为识别方法,其特征在于,所述方法应用于电子设备,第一密码设备通过所述电子设备与第二密码设备通信连接;所述方法包括:镜像采集从所述第一密码设备向所述第二密码设备发送的第一报文序列;基于所述第一报文序列,确定第二报文序列;从预设行为特征库中提取目标行为特征;其中,所述目标行为特征包括:目标行为名称,以及所述目标行为名称对应的多个数据对;每个所述数据对由序号和密报长度组成;基于每个所述数据对的序号和密报长度,按预设比对方式将每个所述数据对与所述第二报文序列进行比对处理,得到比对结果;根据所述比对结果识别所述加密信道中是否存在所述目标行为名称对应的行为。2.根据权利要求1所述的方法,其特征在于,基于每个所述数据对的序号和密报长度,按预设比对方式将每个所述数据对与所述第二报文序列进行比对处理,得到比对结果;根据所述比对结果识别所述加密信道中是否存在所述目标行为名称对应的行为的步骤包括:将所述第二报文序列中的第一个报文作为当前报文,从所述当前报文开始,提取满足预设时间窗口的当前子序列;将第一个数据对作为当前数据对,将所述当前数据对与所述当前子序列进行比对,查找所述当前子序列中是否存在与所述当前数据对中的密报长度相同的目标报文;如果所述当前子序列中存在所述目标报文,将下一个数据对作为新的当前数据对,从所述目标报文的下一个报文开始,重复执行将所述当前数据对与所述当前子序列进行比对的步骤,直至完成每个数据对与所述当前子序列的比对;如果所述当前子序列中存在与每个所述数据对中的密报长度相同的目标报文,确定从所述加密信道中识别出所述目标行为名称对应的行为。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:如果所述当前子序列中缺少至少一个数据对中的密报长度相同的目标报文,将所述当前报文的下一个报文作为新的当前报文,重复执行从所述当前报文开始,提取满足预设时间窗口的当前子序列的步骤,直至完成每个数据对与所述当前子序列的比对;如果所述第二报文序列对应的每个子序列中都不同时存在与每个所述数据对中的密报长度相同的目标报文,确定从所述加密信道中未识别出所述目标行为名称对应的行为。4.根据权利要求1所述的方法,其特征在于,镜像采集从所述第一密码设备向所述第二密码设备发送的第一报文序列的步骤之后,所述方法还包括:在采集所述第一报文序列中的每个报文时,记录对应的采集时间,将所述采集时间作为对应报文的报文时间。5.根据权利要求1所述的方法,其特征在于,每个所述密报长度由密文数据的长度、报头数据长度和报尾数据长度组成;所述基于所述...
【专利技术属性】
技术研发人员:武海峰,王海松,李姗姗,付长春,王岩,姜堉悦,
申请(专利权)人:北京豪密科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。