CN115174212A - 一种利用熵技术甄别网络数据传输是否加密的方法 - Google Patents

一种利用熵技术甄别网络数据传输是否加密的方法 Download PDF

Info

Publication number
CN115174212A
CN115174212A CN202210782130.XA CN202210782130A CN115174212A CN 115174212 A CN115174212 A CN 115174212A CN 202210782130 A CN202210782130 A CN 202210782130A CN 115174212 A CN115174212 A CN 115174212A
Authority
CN
China
Prior art keywords
entropy
encrypted
data
network
data transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202210782130.XA
Other languages
English (en)
Inventor
祁叶飞
丁建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Winicssec Technologies Co Ltd
Original Assignee
Beijing Winicssec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Winicssec Technologies Co Ltd filed Critical Beijing Winicssec Technologies Co Ltd
Priority to CN202210782130.XA priority Critical patent/CN115174212A/zh
Publication of CN115174212A publication Critical patent/CN115174212A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种利用熵技术甄别网络数据传输是否加密的方法。所述方法包括进行网络抓包;对抓取的网络包进行熵运算,根据计算得到的信息熵衡量每条信息中包含的信息量;将计算得到的信息熵与匹配库中的标准值进行比较,如果信息熵在标准值范围内,则确定该网络包数据为未经加密的原数据,否则确定该网络包数据为经加密后的加密数据。采用本发明技术方案,对判断网络数据是否加密准确度高,对业务数据本身影响较小,可以进行大规模的数据分析,减少或者避免遗漏数据的情况,并且能够进行自动化分析,无需人工干预,节约开支。

Description

一种利用熵技术甄别网络数据传输是否加密的方法
技术领域
本发明涉及计算机安全保护领域,尤其涉及一种利用熵技术甄别网络数据传输是否加密的方法。
背景技术
随着信息技术的普及以及安全保护等级的提高,网络数据传输过程中采用加密技术的要求已经是不可或缺的重要部分。安全保护等级基本级及以上都要求数据传输过程中不得以明文的形式传输。例如工控生产网络、民用网络等网络中,每天传输着大量数据,这些数据涵盖着公开的和私密的数据,用户并不清楚资料和数据在网络传递时候是否被安全保密地传输。所以,如何甄别数据传输时是否加密的技术手段就显得尤为重要。
传统的鉴别手段基本是采用网络抓包的方法抓取网络数据,并检查数据中是否有明显的特征字符串来确定其是否采用加密技术,鉴别效率和准确率在某些特定场景下都无法达到预取效果。
发明内容
本发明提供了一种利用熵技术甄别网络数据传输是否加密的方法,包括:
步骤110、进行网络抓包;
步骤120、对抓取的网络包进行熵运算,根据计算得到的信息熵衡量每条信息中包含的信息量;
步骤130、将计算得到的信息熵与匹配库中的标准值进行比较,如果信息熵在标准值范围内,则确定该数据为未经加密的原数据,否则确定该数据为经加密后的加密数据。
如上所述的一种利用熵技术甄别网络数据传输是否加密的方法,其中,应用网络抓包工具抓取网络包,并提供定期定时导出数据的功能,实现网络数据源的获取。
如上所述的一种利用熵技术甄别网络数据传输是否加密的方法,其中,熵运算是对随机变量的比特量和顺次发生概率相乘再求和的数学期望。
如上所述的一种利用熵技术甄别网络数据传输是否加密的方法,其中,当为有限个样本时,熵的计算公式表示如下:
Figure BDA0003729749890000021
其中,H(X)表示随机变量X的熵值,随机变量X的取值为{x1,…,xn},P为X的概率质量函数,I(X)为X的信息量,b是对数的底,通常为2、e或者10,分别对应熵的单位bit、nat以及Hart。
如上所述的一种利用熵技术甄别网络数据传输是否加密的方法,其中,为了排除不同长度数据对于信息内容概率分布的影响,对不同长度的网络包进行固定长度处理。
如上所述的一种利用熵技术甄别网络数据传输是否加密的方法,其中,通过梯度下降优化算法,得到固定长度最优解。
如上所述的一种利用熵技术甄别网络数据传输是否加密的方法,其中,在计算信息熵时需要忽略数据包头。
本发明实现的有益效果如下:
(1)对判断网络数据是否加密准确度高,对业务数据本身影响较小。
(2)可以进行大规模的数据分析,减少或者避免遗漏数据的情况。
(3)能够进行自动化分析,无需人工干预,节约开支。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种利用熵技术甄别网络数据传输是否加密的方法流程图;
图2是本发明实施例一提供的一种利用熵技术甄别网络数据传输是否加密的***示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
参见图1,本发明实施例一提供一种利用熵技术甄别网络数据传输是否加密的方法,包括:
步骤110、进行网络抓包;
具体地,应用网络抓包工具抓取网络包,并提供定期定时导出数据的功能,来实现网络数据源的获取。
步骤120、对抓取的网络包进行熵运算,根据计算得到的信息熵衡量每条信息中包含的信息量;
具体地,用信息熵来衡量每条信息中包含的信息量的大小,即是对不确定性的度量。信息熵越大,则能表示的信息更多,反之能表示的信息更少。
熵运算是对随机变量的比特量(bit)和顺次发生概率相乘再求和的数学期望。当为有限个样本时,熵的计算公式表示如下:
Figure BDA0003729749890000041
其中,H(X)表示随机变量X的熵值,随机变量X的取值为{x1,…,xn},P为X的概率质量函数,I(X)为X的信息量(又称为自信息),b是对数的底,通常为2,e或者10,分别对应熵的单位bit、nat以及Hart。
优选地,为了排除不同长度数据对于信息内容概率分布的影响,对不同长度的网络包进行固定长度(如128B,1K,4K等)处理,具体通过梯度下降等优化算法,得到固定长度最优解。
进一步地,在计算信息熵时需要忽略数据包头。
步骤130、将计算得到的信息熵与匹配库中的标准值进行比较,如果信息熵在标准值范围内,则确定该网络包数据为未经加密的原数据,否则确定该网络包数据为经加密后的加密数据;
信息熵反应的是内容的随机性,即数据分布,与内容本身无关。在匹配库中存储有属于同一概率分布的标准值,不管内容是否相同,只要满足同一概率分布,即在匹配库标准值范围内,则得到的信息熵是相同的,也就说明该数据为未经加密的原数据。而经过加密后的数据,已经改变了数据的概率分布,所以计算出的信息熵不满足同一概率分布。
实施例二
如图2所示,本发明实施例二提供一种利用熵技术甄别网络数据传输是否加密的***,包括:网络数据包采集模块、数据处理中心、熵运算模块、熵值统计分析模块、匹配库和报表生成模块。
其中,网络数据包采集模块用于进行网络抓包,抓取的网络数据包中包含包头、数据负载和包尾,包头中包括源地址、目的地址和数据包号等,数据负载即为传输的有效数据,包尾是用来指示数据包已经接收完全的数据标识;
数据处理中心用于接收网络数据包,对网络数据包进行预处理(如进行固定长度处理、包头忽略处理等),将预处理后的网络数据包发送至熵运算模块,由熵运算模块对网络数据包进行熵运算,将得到的信息熵返回数据处理中心,数据处理中心将计算得到的信息熵发送给熵值统计分析模块进行数据是否加密分析。并且由匹配库向熵值统计分析模块提供标准值,如果信息熵在标准值范围内,则确定该网络数据包为未经加密后的原数据,如果信息熵不在标准范围内,则确定该网络数据包为经加密后的加密数据。
进一步地,可以由匹配库给出数据类型(即哪些数据是需要加密处理,哪些数据可以直接原文发送等),熵值统计分析模块在确定出数据是否经过加密之后,可以根据匹配库给出的数据类型对需要加密但网络数据包中未加密的数据进行安全加密处理,将处理结果发送给报表生成模块,由报表生成模块给出最终的数据包。
与上述实施例对应的,本发明实施例提供一种计算机存储介质,包括:至少一个存储器和至少一个处理器;
存储器用于存储一个或多个程序指令;
处理器,用于运行一个或多个程序指令,用以执行一种利用熵技术甄别网络数据传输是否加密的方法。
与上述实施例对应的,本发明实施例提供一种计算机可读存储介质,计算机存储介质中包含一个或多个程序指令,一个或多个程序指令用于被处理器执行一种利用熵技术甄别网络数据传输是否加密的方法。
本发明所公开的实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行上述的一种利用熵技术甄别网络数据传输是否加密的方法。
在本发明实施例中,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-OnlyMemory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。

Claims (8)

1.一种利用熵技术甄别网络数据传输是否加密的方法,其特征在于,包括:
步骤110、进行网络抓包;
步骤120、对抓取的网络包进行熵运算,根据计算得到的信息熵衡量每条信息中包含的信息量;
步骤130、将计算得到的信息熵与匹配库中的标准值进行比较,如果信息熵在标准值范围内,则确定该网络包数据为未经加密的原数据,否则确定该网络包数据为经加密后的加密数据。
2.如权利要求1所述的一种利用熵技术甄别网络数据传输是否加密的方法,其特征在于,应用网络抓包工具抓取网络包,并提供定期定时导出数据的功能,实现网络数据源的获取。
3.如权利要求1所述的一种利用熵技术甄别网络数据传输是否加密的方法,其特征在于,熵运算是对随机变量的比特量和顺次发生概率相乘再求和的数学期望。
4.如权利要求1所述的一种利用熵技术甄别网络数据传输是否加密的方法,其特征在于,当为有限个样本时,熵的计算公式表示如下:
Figure FDA0003729749880000011
其中,H(X)表示随机变量X的熵值,随机变量X的取值为{x1,…,xn},P为X的概率质量函数,I(X)为X的信息量,b是对数的底,通常为2、e或者10,分别对应熵的单位bit、nat以及Hart。
5.如权利要求1所述的一种利用熵技术甄别网络数据传输是否加密的方法,其特征在于,为了排除不同长度数据对于信息内容概率分布的影响,对不同长度的网络包进行固定长度处理。
6.如权利要求5所述的一种利用熵技术甄别网络数据传输是否加密的方法,其特征在于,通过梯度下降优化算法,得到固定长度最优解。
7.如权利要求1所述的一种利用熵技术甄别网络数据传输是否加密的方法,其特征在于,在计算信息熵时需要忽略数据包头。
8.一种计算机存储介质,其特征在于,包括:至少一个存储器和至少一个处理器;
存储器用于存储一个或多个程序指令;
处理器,用于运行一个或多个程序指令,用以执行如权利要求1-7任一项所述的一种利用熵技术甄别网络数据传输是否加密的方法。
CN202210782130.XA 2022-07-05 2022-07-05 一种利用熵技术甄别网络数据传输是否加密的方法 Withdrawn CN115174212A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210782130.XA CN115174212A (zh) 2022-07-05 2022-07-05 一种利用熵技术甄别网络数据传输是否加密的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210782130.XA CN115174212A (zh) 2022-07-05 2022-07-05 一种利用熵技术甄别网络数据传输是否加密的方法

Publications (1)

Publication Number Publication Date
CN115174212A true CN115174212A (zh) 2022-10-11

Family

ID=83491396

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210782130.XA Withdrawn CN115174212A (zh) 2022-07-05 2022-07-05 一种利用熵技术甄别网络数据传输是否加密的方法

Country Status (1)

Country Link
CN (1) CN115174212A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116151627A (zh) * 2023-04-04 2023-05-23 支付宝(杭州)信息技术有限公司 一种业务风控的方法、装置、存储介质及电子设备
WO2024092838A1 (zh) * 2022-11-04 2024-05-10 华为技术有限公司 一种数据传输方法及装置
WO2024140149A1 (zh) * 2022-12-30 2024-07-04 汉熵通信有限公司 一种智能切换安全体系运行的方法、装置、***及介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024092838A1 (zh) * 2022-11-04 2024-05-10 华为技术有限公司 一种数据传输方法及装置
WO2024140149A1 (zh) * 2022-12-30 2024-07-04 汉熵通信有限公司 一种智能切换安全体系运行的方法、装置、***及介质
CN116151627A (zh) * 2023-04-04 2023-05-23 支付宝(杭州)信息技术有限公司 一种业务风控的方法、装置、存储介质及电子设备
CN116151627B (zh) * 2023-04-04 2023-09-01 支付宝(杭州)信息技术有限公司 一种业务风控的方法、装置、存储介质及电子设备

Similar Documents

Publication Publication Date Title
CN115174212A (zh) 一种利用熵技术甄别网络数据传输是否加密的方法
CN108200068B (zh) 端口监控方法、装置、计算机设备及存储介质
CN112235264B (zh) 一种基于深度迁移学习的网络流量识别方法及装置
CN111866024B (zh) 一种网络加密流量识别方法及装置
CN110224808B (zh) 基于区块链的银行数据共享方法、装置、计算机设备和存储介质
CN112165484B (zh) 基于深度学习与侧信道分析的网络加密流量识别方法装置
CN109474603B (zh) 数据抓包处理方法及终端设备
CN112714040B (zh) 全息报文检测方法、装置、设备及存储介质
CN111552696A (zh) 基于大数据的数据处理方法、装置、计算机设备和介质
CN114422213B (zh) 基于int的异常流量检测方法和装置
CN109218131B (zh) 网络监控方法、装置、计算机设备和存储介质
CN112541102B (zh) 异常数据过滤方法、装置、设备及存储介质
CN113810336A (zh) 一种数据报文加密判定方法、装置及计算机设备
CN116405578A (zh) 一种资产识别方法及装置
CN116346434A (zh) 电力***网络攻击行为监测准确度提升方法及***
CN113806204B (zh) 一种报文字段相关性的评估方法、装置、***及存储介质
CN111667190B (zh) 一种电力施工接地监控方法、装置及服务器
CN108650249A (zh) Poc攻击检测方法、装置、计算机设备和存储介质
CN111431888B (zh) 关键信息屏蔽的方法、装置、设备及存储介质
CN114567613A (zh) 一种真实ip识别方法、装置、电子设备及存储介质
CN114186637A (zh) 流量识别方法、装置、服务器和存储介质
CN114039796A (zh) 网络攻击的确定方法、装置、计算机设备及存储介质
CN108847962B (zh) 一种信息审计方法及装置
CN113949690A (zh) IPv6种子地址的抽样方法、装置、设备及存储介质
CN116226796A (zh) 一种利用熵技术定义软件安全等级的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20221011