CN113806204A - 一种报文字段相关性的评估方法、装置、***及存储介质 - Google Patents

一种报文字段相关性的评估方法、装置、***及存储介质 Download PDF

Info

Publication number
CN113806204A
CN113806204A CN202010533233.3A CN202010533233A CN113806204A CN 113806204 A CN113806204 A CN 113806204A CN 202010533233 A CN202010533233 A CN 202010533233A CN 113806204 A CN113806204 A CN 113806204A
Authority
CN
China
Prior art keywords
correlation
message
entropy
array
difference
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010533233.3A
Other languages
English (en)
Other versions
CN113806204B (zh
Inventor
王方立
黄敏
龙国东
王静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Winicssec Technologies Co Ltd
Original Assignee
Beijing Winicssec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Winicssec Technologies Co Ltd filed Critical Beijing Winicssec Technologies Co Ltd
Priority to CN202010533233.3A priority Critical patent/CN113806204B/zh
Publication of CN113806204A publication Critical patent/CN113806204A/zh
Application granted granted Critical
Publication of CN113806204B publication Critical patent/CN113806204B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • G06F11/3608Software analysis for verifying properties of programs using formal methods, e.g. model checking, abstract interpretation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种报文字段相关性的评估方法、装置、***及存储介质,该方法包括:将获取的待评估数据报文进行分组;根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算,得到多个熵值;根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组;根据多个差值数组分别提取每个差值数组的第m个字节进行求和,得到相关性数组;将相关性数组中超过预设阈值的数据报文作为相关性报文。本发明实施例提供的报文字段相关性的评估方法,通过信息熵的关联性来推测报文字段关联性,可以适用于未知报文和已知报文的字段相关性分析,可以有效解决报文相关性识别的难题。

Description

一种报文字段相关性的评估方法、装置、***及存储介质
技术领域
本发明涉及工业控制技术领域,具体涉及一种报文字段相关性的评估方法、装置、***及存储介质。
背景技术
目前,随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工业领域。与此同时,由于工业控制***广泛采用通用软硬件、网络设施以及与企业管理信息***的集成,导致工业控制***越来越开放,并且与企业内网,甚至是与互联网产生了数据交换。因此需要针对工业控制设备开启工控漏洞挖掘。
目前,针对工业控制设备的漏洞挖掘较为通用的是Wurldtech的Achilles测试平台,该测试平台是针对工业控制设备对工控协议进行漏洞挖掘。现有的漏洞挖掘方法可以分为基于生成的模糊测试和基于变异的模糊测试两种,其中基于变异的方式是在正常流量下进行抓包分析后得到变异数据。同时,在采用基于变异的方式时需要生成多个测试用例。然而对于测试用例的生成,单字段往往会导致大量无效测试报文的产生,因此,如何减少无效测试报文的产生称为亟待解决的技术问题。
发明内容
有鉴于此,本发明实施例提供了一种报文字段相关性的评估方法、装置、***及存储介质,以解决现有技术中采用单字段生成测试用例往往会导致大量无效测试报文的产生的技术问题。
本发明提出的技术方案如下:
本发明实施例第一方面提供一种报文字段相关性的评估方法,该评估方法包括:将获取的待评估数据报文进行分组;根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算,得到多个熵值;根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组;根据多个差值数组分别提取每个差值数组的第m个字节进行求和,得到相关性数组;将相关性数组中超过预设阈值的数据报文作为相关性报文。
进一步地,根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算之前,还包括:根据字节计算每组待评估数据报文的长度;比较每组待评估数据报文的长度,获取数据报文长度的最小值N。
进一步地,n的取值为正整数,且n小于等于N。
进一步地,根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组,包括:将每个熵值和计算相应熵值的报文进行组合,得到多个熵数组;根据多个熵数组将相邻两个熵数组作差,得到多个差值数组。
本发明实施例第二方面提供一种报文字段相关性的评估装置,该评估装置包括:分组模块,用于将获取的待评估数据报文进行分组;信息熵计算模块,用于根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算,得到多个熵值;作差模块,用于根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组;求和模块,用于根据多个差值数组分别提取每个差值数组的第m个字节进行求和,得到相关性数组;相关性确定模块,用于将相关性数组中超过预设阈值的数据报文作为相关性报文。
本发明实施例第三方面提供一种报文字段相关性的评估***,该评估***包括上位机、测试装置及被测设备,所述测试装置分别与所述上位机和所述被测设备连接,所述测试装置获取所述被测设备输出的待评估数据报文,应用本发明实施例第一方面及第一方面任一项所述的报文字段相关性的评估方法获取相关性报文,并输出至所述上位机。
本发明实施例第四方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如本发明实施例第一方面及第一方面任一项所述的报文字段相关性的评估方法。
本发明实施例第五方面提供一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如本发明实施例第一方面及第一方面任一项所述的报文字段相关性的评估方法。
本发明提供的技术方案,具有如下效果:
本发明实施例提供的报文字段相关性的评估方法、装置、***及存储介质,通过对获取的数据报文以字节为单位在纵向上进行信息熵计算,得到熵数组,再对形成的熵数组进行相邻数组作差以及差值数组纵向求和的方式得到相关性数组,并根据相关性数组得到关联字段。由此,本发明实施例提供的报文字段相关性的评估方法,通过信息熵的关联性来推测报文字段关联性,可以适用于未知报文和已知报文的字段相关性分析,可以有效解决报文相关性识别的难题。
本发明实施例提供的报文字段相关性的评估方法,可以寻找报文字段中的关联字段,在报文变异的时候对关联字段做必要的条件约束,例如,对于关联字段使其同时发生变化,这样可以大大减少无效测试报文的产生,提高模糊测试的效率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的报文字段相关性的评估方法的流程图;
图2是根据本发明实施例的报文字段相关性的评估方法的原理图;
图3是根据本发明另一实施例的报文字段相关性的评估方法的原理图;
图4是根据本发明另一实施例的报文字段相关性的评估方法的原理图;
图5是根据本发明另一实施例的报文字段相关性的评估方法的原理图;
图6是根据本发明实施例的报文字段相关性的评估装置的结构框图;
图7是根据本发明实施例的报文字段相关性的评估***的结构框图;
图8是根据本发明实施例提供的计算机可读存储介质的结构示意图;
图9是根据本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
正如在背景技术中所述,目前可以采用模糊测试的方法对工业控制设备进行漏洞挖掘,然而,对于模糊测试中测试用例的生成,单字段往往会导致大量无效测试报文的产生。因此,寻找报文中字段的相关性是提高测试效率的有效手段。
基于此,本发明实施例提供了一种简单有效的方法可以快速的对报文的相关性进行分析。当确定报文字段的相关性之后,可以在报文变异的时候对相关字段做必要的条件约束,从而来减少无效测试报文的产生。
实施例1
本发明实施例提供一种报文字段相关性的评估方法,如图1所示,该评估方法包括如下步骤:
步骤S101:将获取的待评估数据报文进行分组;可选地,可以获取M条的原始报文,并保存。其中,M的取值和报文数据的字节数相关,M的关系算式可以表示为:M<2B,其中B是报文数据的bit数。该字节数可以是单字节、双字节或4字节等。例如当以双字节数进行计算的时候,M的最大值为216=65536。
在一实施例中,可以以预设梯度对获取的待评估数据报文进行分组,将待评估数据报文分为k组。可选地,该预设梯度可以根据获取的待评估数据报文进行设置。例如,该预设梯度T可以选择大于等于8小于等于n/2的范围(n大于等于16)。
步骤S102:根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算,得到多个熵值。
在一实施例中,在提取报文字节之前,可以根据字节统计k组报文中每组报文的长度,并对统计的报文长度进行比较,得到所有组报文中长度最小的报文,并记录该组报文的长度值为N。
在一实施例中,在提取字节时,可以按照字节为单位提取每一组报文的第n个字节并保存到一个数组中,即如图2所示,从每组报文的第一个字节开始,首先提取每组报文的第一个字节,形成第一个报文数组,再提取每条报文的第二个字节,形成第二个报文数组……以此类推,再提取每条报文的第n个字节,形成第n个报文数组,其中,n的值小于等于报文长度的最小值N。可选地,n的取值可以是(1,2,3,4……N)。
需要说明的是,由于待评估数据报文的组数为k,因此,提取字节形成的每个报文数组的大小均为k;并且由于n的值小于等于N,则最终形成的报文数组的个数最多为N。
在一实施例中,对于形成的多个报文数组,可以对每个报文数组中的报文进行信息熵的计算,具体地,可以根据公式(1)信息熵的计算。
Figure BDA0002535413450000061
其中,xi表示每个报文数组中的报文,P(x)表示输出概率函数。
当对每个报文数组中的报文进行信息熵的计算后,每个报文数组可以得到一个对应的熵值。当有N个报文数组时,则可以计算得到N个熵值,如图2所示,可以将计算的熵值放入相应的报文数组中,从而可以得到多个熵数组Eki
步骤S103:根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组;具体地,对于多个熵数组Eki,如图3所示,可以对相邻的两个熵数组进行作差,例如可以将第二个熵数组和第一个熵数组作差得到一个差值数组,将第三个熵数组和第二个熵数组作差得到一个差值数组,将第四个熵数组和第三个熵数组作差得到一个差值数组,以此类推,当有N个熵数组中,可以得到N-1个差值数组ESki
步骤S104:根据多个差值数组分别提取每个差值数组的第m个字节进行求和,得到相关性数组。
在一实施例中,将多个熵数组作差得到N-1个差值数组ESki时,由于熵数组是由熵值和相应报文构成,因此,每个熵数组和每个差值数组最多由k+1个字节组成。在进行求和时,可以按照字节为单位提取每一个差值数组的第m个字节并保存到一个数组中,即如图4所示,从每组报文的第一个字节开始,首先提取每组报文的第一个字节进行求和,形成相关性数组中第一个值,再提取每组报文的第二个字节进行求和,形成相关性数组中第二个值……以此类推,再提取每条报文的第m个字节进行求和,形成相关性数组中第m个值,其中,m的值小于等于差值数组报文长度的最大值k+1。
步骤S105:将相关性数组中超过预设阈值的数据报文作为相关性报文。具体地,根据上述步骤可知,形成的相关性数组EE中最多包括k+1个值。对于形成的相关性数组,可以设置预设阈值,在相关性数组中大于预设阈值的部分即为具有相关性的数据位置。可选地,也可以对相关性数组中的值进行由大到小的排序,取其中的前几个值作为关联字段。
本发明实施例提供的报文字段相关性的评估方法,通过对获取的数据报文以字节为单位在纵向上进行信息熵计算,得到熵数组,再对形成的熵数组进行相邻数组作差以及差值数组纵向求和的方式得到相关性数组,并根据相关性数组得到关联字段。由此,本发明实施例提供的报文字段相关性的评估方法,通过信息熵的关联性来推测报文字段关联性,可以适用于未知报文和已知报文的字段相关性分析,可以有效解决报文相关性识别的难题。
在一实施例中,对于IP数据报文,在首部固定部分,如图5所示,包括标识、标志和片偏移。其中13位的片偏移是指IP分片偏移,这个字段和16位标识里面的是否分片字段强相关,如果不考虑这个关联可能造成很多无效测试用例,例如在没有标识分片的时候这13位偏移的所有数据都是无效的。
由此,本发明实施例提供的报文字段相关性的评估方法,可以寻找报文字段中的关联字段,在报文变异的时候对关联字段做必要的条件约束,例如,对于关联字段使其同时发生变化,这样可以大大减少无效测试报文的产生,提高模糊测试的效率。
实施例2
本发明实施例提供一种报文字段相关性的评估装置,如图6所示,该评估装置包括:
分组模块1,用于将获取的待评估数据报文进行分组;详细内容参见上述方法实施例中步骤S101的相关描述。
信息熵计算模块2,用于根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算,得到多个熵值;详细内容参见上述方法实施例中步骤S102的相关描述。
作差模块3,用于根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组;详细内容参见上述方法实施例中步骤S103的相关描述。
求和模块4,用于根据多个差值数组分别提取每个差值数组的第n个字节进行求和,得到相关性数组;详细内容参见上述方法实施例中步骤S104的相关描述。
相关性确定模块5,用于将相关性数组中超过预设阈值的数据报文作为相关性报文。详细内容参见上述方法实施例中步骤S105的相关描述。
本发明实施例提供的报文字段相关性的评估装置,通过对获取的数据报文以字节为单位在纵向上进行信息熵计算,得到熵数组,再对形成的熵数组进行相邻数组作差以及差值数组纵向求和的方式得到相关性数组,并根据相关性数组得到关联字段。由此,本发明实施例提供的报文字段相关性的评估装置,通过信息熵的关联性来推测报文字段关联性,可以适用于未知报文和已知报文的字段相关性分析,可以有效解决报文相关性识别的难题。
本发明实施例提供的报文字段相关性的评估装置的功能描述详细参见上述实施例中报文字段相关性的评估方法描述。
实施例3
本发明实施例提供一种报文字段相关性的评估***,如图7所示,该评估***包括上位机30、测试装置20及被测设备10,测试装置20分别与上位机30和被测设备10连接,测试装置20获取被测设备10输出的待判定数据报文,应用如本发明实施例1所述的报文字段相关性的评估方法获取相关性报文,并输出至上位机30。可选地,测试装置20可以包括至少两个接口,可以通过桥接的方式组网,测试装置20可以捕获和监控被测设备10输出的数据报文。
本发明实施例提供的报文字段相关性的评估***,通过对获取的数据报文以字节为单位在纵向上进行信息熵计算,得到熵数组,再对形成的熵数组进行相邻数组作差以及差值数组纵向求和的方式得到相关性数组,并根据相关性数组得到关联字段。由此,本发明实施例提供的报文字段相关性的评估***,通过信息熵的关联性来推测报文字段关联性,可以适用于未知报文和已知报文的字段相关性分析,可以有效解决报文相关性识别的难题。
本发明实施例提供的报文字段相关性的评估***的功能描述详细参见上述实施例中报文字段相关性的评估方法描述。
实施例4
本发明实施例还提供一种存储介质,如图8所示,其上存储有计算机程序601,该指令被处理器执行时实现上述实施例中报文字段相关性的评估方法的步骤。该存储介质上还存储有音视频流数据,特征帧数据、交互请求信令、加密数据以及预设数据大小等。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
实施例5
本发明实施例还提供了一种电子设备,如图9所示,该电子设备可以包括处理器51和存储器52,其中处理器51和存储器52可以通过总线或者其他方式连接,图9中以通过总线连接为例。
处理器51可以为中央处理器(Central Processing Unit,CPU)。处理器51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器52作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/模块。处理器51通过运行存储在存储器52中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的报文字段相关性的评估方法。
存储器52可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储处理器51所创建的数据等。此外,存储器52可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器52可选包括相对于处理器51远程设置的存储器,这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器52中,当被所述处理器51执行时,执行如图1-5所示实施例中的报文字段相关性的评估方法。
上述电子设备具体细节可以对应参阅图1至图5所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (8)

1.一种报文字段相关性的评估方法,其特征在于,包括:
将获取的待评估数据报文进行分组;
根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算,得到多个熵值;
根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组;
根据多个差值数组分别提取每个差值数组的第m个字节进行求和,得到相关性数组;
将相关性数组中超过预设阈值的数据报文作为相关性报文。
2.根据权利要求1所述的报文字段相关性的评估方法,其特征在于,根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算之前,还包括:
根据字节计算每组待评估数据报文的长度;
比较每组待评估数据报文的长度,获取数据报文长度的最小值N。
3.根据权利要求2所述的报文字段相关性的评估方法,其特征在于,n的取值为正整数,且n小于等于N。
4.根据权利要求1所述的报文字段相关性的评估方法,其特征在于,根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组,包括:
将每个熵值和计算相应熵值的报文进行组合,得到多个熵数组;
根据多个熵数组将相邻两个熵数组作差,得到多个差值数组。
5.一种报文字段相关性的评估装置,其特征在于,包括:
分组模块,用于将获取的待评估数据报文进行分组;
信息熵计算模块,用于根据每组待评估数据报文的字节数分别提取每组数据报文的第n个字节进行信息熵计算,得到多个熵值;
作差模块,用于根据由多个熵值和相应报文构成的熵数组进行作差,得到多个差值数组;
求和模块,用于根据多个差值数组分别提取每个差值数组的第m个字节进行求和,得到相关性数组;
相关性确定模块,用于将相关性数组中超过预设阈值的数据报文作为相关性报文。
6.一种报文字段相关性的评估***,其特征在于,包括:上位机、测试装置及被测设备,
所述测试装置分别与所述上位机和所述被测设备连接,所述测试装置获取所述被测设备输出的待评估数据报文,应用如权利要求1-4任一项所述的报文字段相关性的评估方法获取相关性报文,并输出至所述上位机。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-4任一项所述的报文字段相关性的评估方法。
8.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-4任一项所述的报文字段相关性的评估方法。
CN202010533233.3A 2020-06-11 2020-06-11 一种报文字段相关性的评估方法、装置、***及存储介质 Active CN113806204B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010533233.3A CN113806204B (zh) 2020-06-11 2020-06-11 一种报文字段相关性的评估方法、装置、***及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010533233.3A CN113806204B (zh) 2020-06-11 2020-06-11 一种报文字段相关性的评估方法、装置、***及存储介质

Publications (2)

Publication Number Publication Date
CN113806204A true CN113806204A (zh) 2021-12-17
CN113806204B CN113806204B (zh) 2023-07-25

Family

ID=78943889

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010533233.3A Active CN113806204B (zh) 2020-06-11 2020-06-11 一种报文字段相关性的评估方法、装置、***及存储介质

Country Status (1)

Country Link
CN (1) CN113806204B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116804971A (zh) * 2023-08-22 2023-09-26 上海安般信息科技有限公司 一种基于信息熵的模糊测试方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103020109A (zh) * 2012-10-22 2013-04-03 天津大学 基于访问信息挖掘的民航报文相关性分析方法
CN106375156A (zh) * 2016-09-30 2017-02-01 国网冀北电力有限公司信息通信分公司 电力网络流量异常检测方法及装置
CN106506242A (zh) * 2016-12-14 2017-03-15 北京东方棱镜科技有限公司 一种网络异常行为和流量监测的精确定位方法与***
CN107637041A (zh) * 2015-03-17 2018-01-26 英国电讯有限公司 恶意加密网络流量识别的习得的简况
CN107948138A (zh) * 2017-11-02 2018-04-20 东软集团股份有限公司 路由连接的检测方法、装置、可读存储介质及电子设备
US20180191874A1 (en) * 2016-12-29 2018-07-05 Onward Security Corporation Packet analysis apparatus, method, and non-transitory computer readable medium thereof
US20190158635A1 (en) * 2017-10-18 2019-05-23 Endace Technology Limited Network recorders with entropy and value based packet truncation
US20200097653A1 (en) * 2018-09-26 2020-03-26 Mcafee, Llc Detecting ransomware

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103020109A (zh) * 2012-10-22 2013-04-03 天津大学 基于访问信息挖掘的民航报文相关性分析方法
CN107637041A (zh) * 2015-03-17 2018-01-26 英国电讯有限公司 恶意加密网络流量识别的习得的简况
CN106375156A (zh) * 2016-09-30 2017-02-01 国网冀北电力有限公司信息通信分公司 电力网络流量异常检测方法及装置
CN106506242A (zh) * 2016-12-14 2017-03-15 北京东方棱镜科技有限公司 一种网络异常行为和流量监测的精确定位方法与***
US20180191874A1 (en) * 2016-12-29 2018-07-05 Onward Security Corporation Packet analysis apparatus, method, and non-transitory computer readable medium thereof
US20190158635A1 (en) * 2017-10-18 2019-05-23 Endace Technology Limited Network recorders with entropy and value based packet truncation
CN107948138A (zh) * 2017-11-02 2018-04-20 东软集团股份有限公司 路由连接的检测方法、装置、可读存储介质及电子设备
US20200097653A1 (en) * 2018-09-26 2020-03-26 Mcafee, Llc Detecting ransomware

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
DASEASON: "与信息熵相关的概念梳理(条件熵/互信息/相对熵/交叉熵)", pages 1 - 4, Retrieved from the Internet <URL:《https://blog.csdn.net/qq547276542/article/details/78370245》> *
GEORGES BOSSERT: "Towards automated protocol reverse engineering using semantic information", 《ASIA CCS \'14: PROCEEDINGS OF THE 9TH ACM SYMPOSIUM ON INFORMATION》, pages 51 *
MAHMOOD ZAKI ABDULLAH: "Design and implement of a hybrid cryptography textual system", 《2017 INTERNATIONAL CONFERENCE ON ENGINEERING AND TECHNOLOGY (ICET)》, pages 1 - 5 *
张震: "基于流量测量的高速IP业务感知技术研究", 《万方》, pages 1 - 60 *
龚俭: "面向会话的负载均衡简化算法", 《小型微型计算机*** 》, pages 1693 - 1698 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116804971A (zh) * 2023-08-22 2023-09-26 上海安般信息科技有限公司 一种基于信息熵的模糊测试方法
CN116804971B (zh) * 2023-08-22 2023-11-07 上海安般信息科技有限公司 一种基于信息熵的模糊测试方法

Also Published As

Publication number Publication date
CN113806204B (zh) 2023-07-25

Similar Documents

Publication Publication Date Title
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN111078513B (zh) 日志处理方法、装置、设备、存储介质及日志告警***
CN109474603B (zh) 数据抓包处理方法及终端设备
WO2015131434A1 (zh) 基于线程切片胎记的多线程软件抄袭检测方法
CN112165484B (zh) 基于深度学习与侧信道分析的网络加密流量识别方法装置
CN112817785A (zh) 一种微服务***的异常检测方法及装置
CN113015167A (zh) 加密流量数据的检测方法、***、电子装置和存储介质
CN108809943B (zh) 网站监控方法及其装置
CN111144267A (zh) 设备运行状态检测方法、装置、存储介质及计算机设备
CN115174212A (zh) 一种利用熵技术甄别网络数据传输是否加密的方法
CN113806204B (zh) 一种报文字段相关性的评估方法、装置、***及存储介质
CN113810336A (zh) 一种数据报文加密判定方法、装置及计算机设备
CN111091146A (zh) 图片相似度获取方法、装置、计算机设备及存储介质
CN112437022B (zh) 网络流量识别方法、设备及计算机存储介质
CN112507265B (zh) 基于树结构进行异常侦测的方法、装置及相关产品
CN110838940B (zh) 地下电缆巡检任务配置方法和装置
CN110601909A (zh) 网络维护方法、装置、计算机设备和存储介质
CN114501131B (zh) 一种视频分析方法、装置、存储介质及电子设备
CN116028326A (zh) 异常数据检测方法、介质、装置和计算设备
CN113542196B (zh) 一种数据报文加密判定方法、装置、***及存储介质
CN115754603A (zh) 数据修正方法、装置、设备、存储介质和计算机程序产品
CN111901324B (zh) 一种基于序列熵流量识别的方法、装置和存储介质
CN110225025B (zh) 异常网络数据行为模型的获取方法、装置、电子设备及存储介质
CN114398633A (zh) 一种蜜罐攻击者的画像分析方法及装置
CN114095265A (zh) Icmp隐蔽隧道检测方法、装置及计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant