一种针对网络数据流中周期性子序列的检测方法技术

本发明专利技术涉及一种针对网络数据流中周期性子序列的检测方法，属于信息安全技术领域。本发明专利技术方法的步骤为：①获取网络数据流，并定义簇间最小时间间隔值和构成最小簇所需网络包的个数；②对网络数据流进行分簇，得到簇集合；③构造周期性簇集合，并判断其是否构成周期性子序列。本发明专利技术方法能够实现用程序自动判断网络数据流中是否存在周期性子序列，分析效率高；可做到网络数据流实时获取，实时分析，并且准确性高。

【技术实现步骤摘要】

【技术保护点】
一种针对网络数据流中周期性子序列的检测方法，其特征在于：首先给出相关术语的定义：定义１．序列：以时间为序的数据包的集合；定义２．子序列：若序列Ｘ，Ｙ满足：序列Ｘ中所有的数据包均存在于序列Ｙ中，且Ｘ中所有的数据包的顺序与Ｙ中数据包顺序一致，则Ｘ是Ｙ的一个子序列；定义３．序列的特征值：由既定的特征向量组成的序列的属性；定义４．簇：簇是在时序上关系紧密的数据包的集合，而簇与簇之间的数据包在时序关系上相对疏远，具体判断标准为：当相邻两个数据包的时间间隔不大于一个人为设定时间值Ｔ，则判为设定正整数，则用挑选出的簇对象构成周期性簇集合，再判断其是否构成周期性子序列；具体操作步骤为：第１步：对步骤二中获取的簇集合，按照特征值进行分类，将特征值相同的簇对象放在一个集合中，记录每个集合中的簇对象数量Ｍｕｍ；第２步：依次判断每个集合中的簇对象数量是否满足Ｍｕｍ≥Ｍｕｍ↓［１］，如果不满足，则将该集合删除；第３步：依次对簇对象数量Ｍｕｍ不小于Ｍｕｍ↓［１］的集合进行操作，判断其是否存在周期性特征；具体操作为：①对该集合中每两个相邻的簇对象的起始时间做差值运算，得到相邻簇对象之间的时间间隔；②得到相邻簇对象之间的时间间隔的平均方差；③如果该平均方差小于人为设定的周期性最大容忍方差Ｍａ，则认为该集合中的簇对象构成周期性子序列；否则，执行第④步；④依次使用第①步中得到的每一个时间间隔做如下操作：到原始网络数据流中，以得该时间间隔的两个相邻簇对象中，在前的簇对象的起始时间为起点，该时间间隔为步长，分别向前和向后查询与该集合的特征值相同的数据包序列；若存在这样的数据包序列，则将其作为簇对象按时间顺序存储到一个新的集合中，然后返回到第①步对该集合进行操作；否则，结束对该时间间隔的操作。断这两个数据包在同一个簇内；否则判断这两个数据包分属于两个簇；基于上述定义，本专利技术的一种针对网络数据流中周期性子序列的检测方法的具体操作步骤如下：步骤一、获取网络数据流，并定义簇间最小时间间隔值为Ｔ，构成最小簇所需网络包的个数为Ｓ↓［ｍｉｎ］，Ｓ↓［ｍｉｎ］为正整数；步骤二、对网络数据流进行分簇，得到簇集合；其具体操作步骤如下：第１步：构造一个簇列表Ｑｃ和一个临时数据包列表Ｌｐ；簇列表Ｑｃ用于存储簇对象Ｃ，；临时数据包列表Ｌｐ用于存储从网络数据流中获取的数据包；簇列表Ｑｃ包含但不限于以下三个属性：数据包序列、数据包数量、簇对象特征值；临时数据包列表Ｌｐ包含但不限于...

【技术特征摘要】

【专利技术属性】
技术研发人员：胡昌振，王崑声，蒋臻甄，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：11[中国|北京]