提高特征库有效性的检测方法及系统技术方案

本发明专利技术公开了一种提高特征库有效性的检测方法及系统，涉及协议分析领域。该系统包括特征冲突检测模块、特征修改模块、冲突特征位置调整模块、概率性影响处理模块。该系统进行检测的方法将包括以下关键步骤：将被检测的特征与特征库中同类型的特征进行对比，若存在冲突，则判断冲突的类型进行分类处理；若特征完全相同，则修改冲突特征中的至少一个特征，重新对比；若特征之间存在相互包含，则调整特征库中存在冲突的特征的位置；若特征标记报文的位置没有交集，或特征标记报文的位置有交集、且交集部分的特征值相等但特征不存在包含关系，则根据冲突概率的大小进行对应处理。本发明专利技术能降低误识别率，提高特征库有效性和特征库的质量。

【技术实现步骤摘要】

本专利技术涉及协议分析领域，具体是涉及一种提高特征库有效性的检测方法及系统。
技术介绍
协议分析人员对协议进行分析，通常就是对数据包进行嗅探或协议识别，其过程大致为：捕获网络上在线传输数据，保存成为数据包，然后对数据包内容进行解析。对数据包进行分析的目的是为了能更好地了解网络中正在发生的事情。对数据包进行分析可以达到以下目标：了解网络特征，唯一的标识某个应用、查看网络上的流量较大的应用，从而了解用户的近期的动态、识别网络使用的高峰时间和使用频繁的应用，更好的对流量进行控制，达到最合理的利用带宽，识别可能的攻击或恶意活动，寻找不安全以及滥用网络资源的应用，维护网络的绿色安全。协议分析人员工作中的大部分内容就是了解网络特征，从网络海量的应用中唯一的标识某个应用，换句话说，就是找到某个应用的特征，从而在网络流量中定位这个应用。当协议分析人员找到应用特征后，通常会验证特征的准确性，验证特征准确性的方法比较多，每个公司所采取的方法不尽相同，当验证特征没问题的时候就会存入公司的数据库，最终被放入现网中去识别，这样的话很容易存在误识别。业界没有提到过因为不同特征之间的相互影响，包括并不仅限于其中一个特征为另一特征真子集或者某几个特征都包含有相同真子集，以及由于影响可能会产生的结果，现在没有提高特征有效性的方法。目前，协议分析人员识别出特征之后，往往会验证特征的准确性，而忽视检测特征之间的影响关系，导致协议的误识别，降低了特征库的质量。
技术实现思路
本专利技术的目的是为了克服上述
技术介绍
的不足，提供一种提高特征有效性的检测方法及系统，能够降低误识别率，达到提高特征识别的有效性、提高特征识别质量的目的。本专利技术提供一种提高特征库有效性的检测方法，包括以下步骤：S1、将被检测的特征与特征库中同类型的每一个特征进行对比，检测是否存在特征冲突，如果存在特征冲突，则转到步骤S2；如果不存在特征冲突，则结束；S2、记录出现冲突的特征和相应的协议，判断冲突的类型，如果冲突特征完全相同，则转到步骤S3；如果一特征标记报文的位置是另外特征标记报文的位置的真子集，且同一位置的特征值相等，即特征之间存在相互包含，则转到步骤S4；如果特征标记报文的位置没有交集，或者特征标记报文的位置有交集、且交集部分的特征值相等但特征不存在包含关系，则转到步骤S5；S3、修改冲突特征中的至少一个特征，然后返回步骤S1；S4、调整特征库中存在冲突的特征的位置，避免冲突，结束；S5、设定一个临界值，临界值是指特征与被分析数据之间对比后相同的部分或者相同部分的长度所占特征长度的比例，临界值根据实际情况进行修改；统计冲突特征标记字节的数量或者计算冲突特征标记的比例，判断冲突概率的大小，如果冲突特征标记字节的数量/比例＞临界值，或者冲突特征标记字节的数量/比例＝临界值，则认为出现特征冲突的概率＞实际网络协议的数量级，转到步骤S6；如果冲突特征标记字节的数量/比例＜临界值，则认为出现特征冲突的概率＜实际网络协议的数量级，结束；S6、修改冲突特征中的至少一个特征，增强特征条件，直到不存在冲突或者冲突特征标记字节的数量/比例＜临界值，结束。在上述技术方案的基础上，步骤S1中所述存在特征冲突有2种情况：(1)检测到第一个特征冲突存在，即停止对比；(2)检测到第一个特征冲突存在后继续检测，直到对比全部完成，获得全部存在的特征冲突，全部特征冲突的总数量≥1。在上述技术方案的基础上，步骤S4中所述调整特征库中存在冲突的特征的位置是指：将特征规则较弱的特征与特征规则较强的特征进行重新排列，使得特征规则较强的特征与特征规则较弱的特征被检测到的顺序随不同的特征检测而产生变化，达到更高的特征检测效率。本专利技术还提供一种提高特征库有效性的检测系统，该系统包括特征冲突检测模块、特征修改模块、冲突特征位置调整模块、概率性影响处理模块，其中：所述特征冲突检测模块用于：将被检测的特征与特征库中同类型的每一个特征进行对比，检测是否存在特征冲突，如果不存在特征冲突，则结束；如果存在特征冲突，则记录出现冲突的特征和相应的协议，判断冲突的类型，如果冲突特征完全相同，则通知特征修改模块进行处理；如果一特征标记报文的位置是另外特征标记报文的位置的真子集，且同一位置的特征值相等，即特征之间存在相互包含，则通知冲突特征位置调整模块进行处理；如果特征标记报文的位置没有交集，或者特征标记报文的位置有交集、且交集部分的特征值相等但特征不存在包含关系，则通知概率性影响处理模块进行处理；所述特征修改模块用于：修改冲突特征中的至少一个特征，然后将修改后的特征发往特征冲突检测模块，通知特征冲突检测模块继续进行对比；所述冲突特征位置调整模块用于：调整特征库中存在冲突的特征的位置，避免冲突；所述概率性影响处理模块用于：设定一个临界值，临界值是指特征与被分析数据之间对比后相同的部分或者相同部分的长度所占特征长度的比例，临界值根据实际情况进行修改；统计冲突特征标记字节的数量或者计算冲突特征标记的比例，判断冲突概率的大小，如果冲突特征标记字节的数量/比例＞临界值，或者冲突特征标记字节的数量/比例＝临界值，则认为出现特征冲突的概率＞实际网络协议的数量级，修改冲突特征中的至少一个特征，增强特征条件，直到不存在冲突或者冲突特征标记字节的数量/比例＜临界值；如果冲突特征标记字节的数量/比例＜临界值，则认为出现特征冲突的概率＜实际网络协议的数量级，结束。在上述技术方案的基础上，所述存在特征冲突有2种情况：(1)检测到第一个特征冲突存在，即停止对比；(2)检测到第一个特征冲突存在后继续检测，直到对比全部完成，获得全部存在的特征冲突，全部特征冲突的总数量≥1。在上述技术方案的基础上，所述调整特征库中存在冲突的特征的位置是指：将特征规则较弱的特征与特征规则较强的特征进行重新排列，使得特征规则较强的特征与特征规则较弱的特征被检测到的顺序随不同的特征检测而产生变化，达到更高的特征检测效率。与现有技术相比，本专利技术的优点如下：本专利技术首次提出将特征之间的相互影响定义为两种：一种是特征冲突率百分之百的必然性影响，另一种是特征冲突的概率性影响；如果两个特征完全相同，或者特征之间存在相互包含：即一特征标记报文的位置是另一特征标记报文的位置的真本文档来自技高网...

【技术保护点】
一种提高特征库有效性的检测方法，其特征在于，包括以下步骤：S1、将被检测的特征与特征库中同类型的每一个特征进行对比，检测是否存在特征冲突，如果存在特征冲突，则转到步骤S2；如果不存在特征冲突，则结束；S2、记录出现冲突的特征和相应的协议，判断冲突的类型，如果冲突特征完全相同，则转到步骤S3；如果一特征标记报文的位置是另外特征标记报文的位置的真子集，且同一位置的特征值相等，即特征之间存在相互包含，则转到步骤S4；如果特征标记报文的位置没有交集，或者特征标记报文的位置有交集、且交集部分的特征值相等但特征不存在包含关系，则转到步骤S5；S3、修改冲突特征中的至少一个特征，然后返回步骤S1；S4、调整特征库中存在冲突的特征的位置，避免冲突，结束；S5、设定一个临界值，临界值是指特征与被分析数据之间对比后相同的部分或者相同部分的长度所占特征长度的比例，临界值根据实际情况进行修改；统计冲突特征标记字节的数量或者计算冲突特征标记的比例，判断冲突概率的大小，如果冲突特征标记字节的数量/比例＞临界值，或者冲突特征标记字节的数量/比例＝临界值，则认为出现特征冲突的概率＞实际网络协议的数量级，转到步骤S6；如果冲突特征标记字节的数量/比例＜临界值，则认为出现特征冲突的概率＜实际网络协议的数量级，结束；S6、修改冲突特征中的至少一个特征，增强特征条件，直到不存在冲突或者冲突特征标记字节的数量/比例＜临界值，结束。...

【技术特征摘要】
1.一种提高特征库有效性的检测方法，其特征在于，包括以下
步骤：
S1、将被检测的特征与特征库中同类型的每一个特征进行对比，
检测是否存在特征冲突，如果存在特征冲突，则转到步骤S2；如果
不存在特征冲突，则结束；
S2、记录出现冲突的特征和相应的协议，判断冲突的类型，如果
冲突特征完全相同，则转到步骤S3；如果一特征标记报文的位置是
另外特征标记报文的位置的真子集，且同一位置的特征值相等，即特
征之间存在相互包含，则转到步骤S4；如果特征标记报文的位置没
有交集，或者特征标记报文的位置有交集、且交集部分的特征值相等
但特征不存在包含关系，则转到步骤S5；
S3、修改冲突特征中的至少一个特征，然后返回步骤S1；
S4、调整特征库中存在冲突的特征的位置，避免冲突，结束；
S5、设定一个临界值，临界值是指特征与被分析数据之间对比后
相同的部分或者相同部分的长度所占特征长度的比例，临界值根据实
际情况进行修改；统计冲突特征标记字节的数量或者计算冲突特征标
记的比例，判断冲突概率的大小，如果冲突特征标记字节的数量/比
例＞临界值，或者冲突特征标记字节的数量/比例＝临界值，则认为出
现特征冲突的概率＞实际网络协议的数量级，转到步骤S6；如果冲
突特征标记字节的数量/比例＜临界值，则认为出现特征冲突的概率
＜实际网络协议的数量级，结束；
S6、修改冲突特征中的至少一个特征，增强特征条件，直到不存
在冲突或者冲突特征标记字节的数量/比例＜临界值，结束。
2.如权利要求1所述的提高特征库有效性的检测方法，其特征

\t在于：步骤S1中所述存在特征冲突有2种情况：
(1)检测到第一个特征冲突存在，即停止对比；
(2)检测到第一个特征冲突存在后继续检测，直到对比全部完
成，获得全部存在的特征冲突，全部特征冲突的总数量≥1。
3.如权利要求1所述的提高特征库有效性的检测方法，其特征
在于：步骤S4中所述调整特征库中存在冲突的特征的位置是指：将
特征规则较弱的特征与特征规则较强的特征进行重新排列，使得特征
规则较强的特征与特征规则较弱的特征被检测到的顺序随不同的特
征检测而产生变化，达到更高的特征检测效率。
4.一种提高特征库有效性的检测系统，其特征在于：该系统包
括特征冲突检测模块、特征修改模块、冲突特征位置调...

【专利技术属性】
技术研发人员：张文轩，
申请(专利权)人：武汉绿色网络信息服务有限责任公司，
类型：发明
国别省市：湖北;42