买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉中国科学院信息工程研究所申请的专利一种基于多会话和多协议的恶意流量检测方法与系统获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN116318975B 。

龙图腾网通过国家知识产权局官网在2025-12-09发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202310253985.8，技术领域涉及：H04L9/40；该发明授权一种基于多会话和多协议的恶意流量检测方法与系统是由姜政伟;肖庆赛;汪秋云;辛丽玲;任房利;刘宝旭设计研发完成，并于2023-03-16向国家知识产权局提交的专利申请。

本一种基于多会话和多协议的恶意流量检测方法与系统在说明书摘要公布了：本发明公开一种基于多会话和多协议的恶意流量检测方法与系统，属于互联网技术领域，首先利用启发式算法将多个有关联会话合并成一个会话序列，然后从会话中提取状态，将会话序列转换为状态序列，最后利用大量的状态序列训练马尔科夫链模型作为网络通信行为指纹。在检测阶段，通过计算每一个序列和网络通信行为指纹的匹配度来判断是否是恶意流量。本发明能够充分挖掘恶意软件产生的多个会话之间的上下文特征，准确高效的检测出恶意软件的流量。

本发明授权一种基于多会话和多协议的恶意流量检测方法与系统在权利要求书中公布了：1.一种基于多会话和多协议的恶意流量检测方法，其特征在于，包括以下步骤： 1解析原始流量，生成流量日志；如果应用层是标准的网络协议，则所述流量日志还包括应用层协议字段；如果应用层协议是DNS协议，则所述流量日志还包括请求域名、请求类型、响应数量三个字段； 2将原始流量中相互之间有关联的会话合并一起并进行分组，每组会话按照时间先后顺序构成一个会话序列；会话之间是否存在关联的判断条件包括：两个会话的时间间隔小于两分钟，并且两者拥有相同的源IP地址和目的IP地址；或两个DNS会话的时间间隔小于两分钟，并且两者所请求的域名拥有相同的二级域名；或两个会话的时间间隔小于两分钟，并且其中一个会话是DNS会话，另一个会话的源IP地址或者目的IP地址在该DNS会话的响应中； 3提取每组会话中每个会话的状态，将每个会话序列转换成状态序列；提取会话的状态时，对于DNS协议，使用协议类型、DNS请求类型和DNS响应中的回答数量作为会话的状态； 对于其他协议，使用协议类型、发送的字节数和接收的字节数作为会话的状态； 4收集恶意软件产生的恶意流量，按照上述步骤1至3进行处理，获得恶意软件的状态序列，利用该状态序列训练一个一阶齐次马尔可夫链并作为恶意软件的网络通信行为指纹； 5检测恶意流量时，对获取的待检测流量按照上述步骤1至3进行处理，获得该待检测流量的状态序列，然后计算该待检测流量的状态序列匹配于不同恶意软件的网络通信行为指纹的概率，在概率计算过程中引入状态转移前后的相似度，该相似度表示为： 其中，clip表示将第一个参数限制在[0,1]范围内的函数，X＝p,bi,bo和X′＝p,b′i,b′o表示两种状态，p表示协议类型；bi,b′i表示发送的字节数，bo,b′o表示接收的字节数； 基于相似度与马尔可夫链状态转移概率的联合指标选择下一个状态，表示为： 其中，Xt表示当前的状态；Xt+1表示马尔可夫链中Xt的下一个状态；X′t+1表示新状态序列中待匹配的状态，pXt+1|Xt表示马尔可夫链状态转移概率； 计算状态序列匹配一个恶意软件网络通信行为指纹的概率，表示为： 根据概率与预设的检测阈值的大小关系判断是否为恶意流量以及是哪个恶意软件的恶意流量。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人中国科学院信息工程研究所，其通讯地址为：100085 北京市海淀区树村路19号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。

以上内容由龙图腾AI智能生成。