买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：复旦大学;中芯国际集成电路制造(上海)有限公司

摘要：本发明属于工控网络协议技术领域,具体为一种结合深度包检测和深度流检测的SECS2流量快速识别方法。本发明方法包括：利用机器学习的方法根据标注的SECS2协议数据集学习提取出包检测和流检测的特征库并存储，提前预加载用于识别的特征库，循环读入数据包文件，并对单个的数据包加载特征规则来进行识别，综合判定该数据包是否为SECS2协议数据包同时输出判定结合和改变程序运行逻辑。本发明对SECS2协议识别的准确性和全面性有较大提升；同时在会话状态管理器以及综合裁决部分都留有较大的可扩展性，可以根据具体的识别结果来动态反馈调整整体的识别性能，保证对数据包中SECS2协议的准确识别性。

主权项：1.一种结合深度包检测和深度流检测的SECS2流量快速识别方法，其特征在于，具体步骤为：步骤1：特征学习；由特征学习器利用已经标注完成的数据包集，读取已经标注的SECS2协议数据包集，将其分割为有效的独立数据包，利用机器学习的方法对提前标注识别的SECS2协议数据包集进行特征学习，利用正则表达式和字段校验以及状态转移的方法，针对完整的SECS2协议会话，提取出符合各会话阶段的SECS2深度包检测特征字符，生成并可持久化存储的包检测特征库；提取符合SECS2协议的特征数据字段；针对包检测特征，将SECS2协议中的字特征值信息整理为包特征库；其中，特征值信息主要为间隔出现的特征字符，将固定位置可出现的静态字段合集作为判定协议的特征值信息；将一些整体的包特性整理为流特征库；所述特征包括最小报文长度、报文最大间隔时间、总包长、总字节数、总会话时间即该包与创建会话成功时的时间间隔、包间隔时间，依据如上数据流特征，将特征库持久化存储，建立符合SECS2协议的流特征库并存储；步骤2：特征加载，即加载持久化存储的特征库；由特征读取并管理调用器根据上述步骤1中完成的特征库，分别读取包检测特征和流检测特征，加载完成以后将特征库贮存在程序中，同时建立动态特征库管理进程，管理并动态调整整个特征库的变化情况，供后续特征识别步骤调用；步骤3：特征识别；由流量特征识别器创建会话状态，状态的存储和转移使用状态转移机来处理；具体流程为，流量特征识别器循环读入处理数据包，并经过数据包预处理，根据TCP会话五元组判定该数据包是否符合SECS2连接，如果符合SECS2连接特征，则直接标记为SECS2数据包，否则调用后续的流量识别过程；其中，首先利用特征信息判定该数据包是否可用于进行深度包检测，并将可执行的数据包划分为子集包A，将未通过判定的数据包划分为子集包B；按照SECS2协议字段定义，赋予处理出的部分PAYLOAD值含义，以供后续字段匹配和识别处理；读取内存中的特征信息哈希表，生成一个包匹配处理器，同时根据通信会话的需要，设定一个会话管理器，并为处于当前会话通信状态下的数据包创建五元组用于表示当前会话管理器控制的会话包，五元组为：源IP，源端口，目的IP，目的端口，会话ID；会话管理器用于识别和管理数据包通信会话的状态转移特征，按照状态转移流程来识别和处理通信会话中的个体数据包；根据已经存在的SECS2协议数据链路连接，判定当前数据包是否属于该连接：若符合连接特征，则判定为SECS2协议流量；若当前无SECS2协议连接或当前数据包不符合已有连接的特征，对于符合会话状态的数据包将依据深度包检测特征方法来处理，对于不符合当前会话状态要求的数据包，将其划分到子集包B中；利用上述步骤预处理出的流特征参数文件，生成一个流匹配处理器，并为每一个流特征参数分配一个相适应的权重比值；流匹配处理器将获取到的特征宏观流参数信息作用于子集包B中的数据包中，根据匹配器参数与数据包特征的匹配适应性以及参数的对应权重比，计算该数据包表现为SECS2协议包的概率值，将判定概率作为步骤结果输出，以供后续步骤做整体性裁决；步骤4：综合表决判决；由协议整体表决器将结合包检测识别结果和流检测特征概率，统一判定该数据包是否为SECS2通信数据包，返回结果形式均采用函数结构形式，针对循环处理的每一个数据包，返回一个函数判定结果，并同时根据流量数据是否处理完成，对未处理完成的数据包继续进行循环读取处理，最后统一输出结果。

全文数据：

权利要求：

百度查询： 复旦大学 中芯国际集成电路制造(上海)有限公司 一种结合深度包检测和深度流检测的SECS2流量快速识别方法