一种自动提取应用特征的装置及方法制造方法及图纸

本发明专利技术涉及数据通信领域，其公开了一种自动提取应用特征的方法，解决传统技术中手动提取应用特征存在的工作量大、容易出错的问题。其包括以下步骤：a.缓存应用程序的数据流中的报文；b.从缓存的报文中判断报文的协议类型，根据协议类型，调用对应类型的协议解析器；c.利用对应类型的协议解析器解析对应协议类型的报文，获取解析的报文数据；d.从解析的报文数据中提取应用程序的特征；e.通过日志输出提取的应用程序的特征。此外，本发明专利技术还提供了一种自动提取应用特征的装置，适用于应用程序的权限控制。

A device and method for automatic extraction of application features

The invention relates to the field of data communication, and discloses a method for automatically extracting application characteristics, which solves the problem of manually extracting the application features in traditional technology, and the workload is large and easy to make mistakes. It includes the following steps: A. message caching application data stream in B. packet protocol type; judging from the cached message, according to the protocol type, call the corresponding type of Protocol parser using C. protocol; the corresponding type of parser corresponding types of protocol packets, packet data acquisition analysis; feature extraction of D. applications from the message data analysis in the application of E.; feature extraction by log output. In addition, the invention also provides a device for automatic extraction of application features, which is applicable to the authority control of an application.

【技术实现步骤摘要】
一种自动提取应用特征的装置及方法
本专利技术涉及数据通信领域，具体涉及一种自动提取应用特征的装置及方法。
技术介绍
随着企业安全防护过程中对应用程序的关注，基于深度包检测技术(DPI)和深度流检测技术(DFI)成为安全领域的热门技术之一。现阶段，基于端口进行应用协议的识别是最为通常的手段。例如发现某数据报文中源或目的端口为80，则认为该报文是HTTP协议相关报文，交给HTTP协议分析引擎进行协议解码和攻击检测。但随着各种网络应用的逐步丰富，这种基于端口来识别报文所属协议类型的方法暴露出其存在的不足，由于无法分析出具体的应用，就无法针对不同的应用实施不同的策略。例如，新浪和搜狐两个应用对应的报文都是HTTP报文，如果不能区分到底是新浪和搜狐，给用户针对这两个应用程序做控制就带来了麻烦，对这两个不同的软件，只能采取相同的安全策略。DPI技术中提出了特征的概念，所谓特征，就是应用程序的唯一标识，针对每款应用程序，都可以根据这款应用的特征信息在经过设备的报文中做识别，如果特征匹配，就认为经过设备的报文流信息就是对应应用程序产生的流信息。现有技术中通常采取静态方式分析应用程序的特征，所谓静态的方式，以一个互联网应用程序(APP)为例，一般流程如下：1、开启抓包软件；2、手机等终端打开APP，使用APP；3、停止抓包，获取到APP对应的报文；4、人工查看APP使用过程中产生的报文，如果是HTTP报文，则检查同一条数据流的多条报文之间，头部字段或者报文体中是否存在相同的内容，如果存在相同的内容，就可以提取出来做特征，如果是TCP或者UDP报文，可以从TCP/UDP报文体部分提取相同的内容作为特征；但是，市场上的应用程序成千上万，完全靠人力来提取特征，工作量是巨大的，且容易出错导致应用程序识别错误。
技术实现思路
本专利技术所要解决的技术问题是，提出一种自动提取应用特征的装置及方法，解决传统技术中手动提取应用特征存在的工作量大、容易出错的问题。一方面，本专利技术实施例提供一种自动提取应用特征的装置，其包括：报文缓存模块，用于缓存应用程序的数据流中的报文；协议判断器，用于从缓存的报文中判断报文的协议类型，根据协议类型，调用对应类型的协议解析器；协议解析器，用于解析对应协议类型的报文，获取解析的报文数据；特征提取器，用于从解析的报文数据中提取应用程序的特征；特征输出模块，用于通过日志输出提取的应用程序的特征。作为进一步优化，该装置还包括：特征生成器，用于根据提取的应用程序的特征制作特征库；特征部署模块，用于将制作的特征库部署到网络设备中，供管理员对应用程序的权限进行配置。作为进一步优化，所述协议解析器获取解析的报文数据包括：获取解析的报文的头部数据或报文体数据。作为进一步优化，所述特征提取器从解析的报文数据中提取应用程序的特征，具体为：通过对比缓存的同一个数据流的多个报文的解析数据，提取相同内容的部分作为数据流对应的应用程序的特征。作为进一步优化，所述对应类型的协议解析器包括：HTTP头解析器、TCP报文体解析器、UDP报文体解析器；分别用于解析HTTP协议头部数据、TCP报文体数据、UDP报文体数据。此外，基于上述装置，本专利技术实施例还提供了一种自动提取应用特征的方法，其包括以下步骤：a.缓存应用程序的数据流中的报文；b.从缓存的报文中判断报文的协议类型，根据协议类型，调用对应类型的协议解析器；c.利用对应类型的协议解析器解析对应协议类型的报文，获取解析的报文数据；d.从解析的报文数据中提取应用程序的特征；e.通过日志输出提取的应用程序的特征。作为进一步优化，该方法还包括步骤：f.根据提取的应用程序的特征制作特征库；g.将制作的特征库部署到网络设备中，供管理员对应用程序的权限进行配置。作为进一步优化，步骤c中，所述获取解析的报文数据包括：获取解析的报文的头部数据或报文体数据。作为进一步优化，步骤d中，所述从解析的报文数据中提取应用程序的特征，具体为：通过对比缓存的同一个数据流的多个报文的解析数据，提取相同内容的部分作为数据流对应的应用程序的特征。作为进一步优化，步骤c中，利用对应类型的协议解析器解析对应协议类型的报文，获取解析的报文数据，具体包括：若协议类型为HTTP协议，则调用HTTP头解析器解析HTTP协议头部数据；若协议类型为TCP协议，则调用TCP报文体解析器解析TCP报文体数据；若协议类型为UDP协议，则调用UDP报文体解析器解析UDP报文体数据。本专利技术的有益效果是：通过对应用程序的数据流中的报文进行缓存，并进行协议类型判断，从而根据相应的协议类型调用相应的解析器进行报文解析，然后从解析的报文数据中自动提取特征；本专利技术中的应用特征自动提取方案可以加快特征提取效率，减小人工参与带来的错误几率，将提取的特征制作成特征库部署到网络设备/安全设备中，供管理员对应用的权限进行配置，从而进行应用管控。附图说明图1为本专利技术实施例中自动提取应用特征的装置结构框图；图2为本专利技术实施例中自动提取应用特征的方法流程图。具体实施方式本专利技术旨在提出一种自动提取应用特征的装置及方法，解决传统技术中手动提取应用特征存在的工作量大、容易出错的问题。下面结合附图及实施例对本专利技术的方案做进一步的描述：如图1所示，本实施例中的自动提取应用特征的装置包括：报文缓存模块，用于缓存应用程序的数据流中的报文；协议判断器，用于从缓存的报文中判断报文的协议类型，根据协议类型，调用对应类型的协议解析器；协议解析器，用于解析对应协议类型的报文，获取解析的报文数据；特征提取器，用于从解析的报文数据中提取应用程序的特征；特征输出模块，用于通过日志输出提取的应用程序的特征；特征生成器，用于根据提取的应用程序的特征制作特征库；特征部署模块，用于将制作的特征库部署到网络设备中，供管理员对应用程序的权限进行配置。基于上述装置，本专利技术实施例实现的自动提取应用特征的方法如图2所示，其包括以下步骤：a.缓存应用程序的数据流中的报文；本步骤中，在开启应用程序后，应用程序运行产生的数据流中的报文经过路由设备或其它安全设备，通过缓存模块对应用程序中的数据流中的报文进行缓存，一般只需要缓存前N个报文即可，N的值可以根据实际需要进行调整。b.从缓存的报文中判断报文的协议类型，根据协议类型，调用对应类型的协议解析器；在本步骤中，在判断缓存的报文中的协议类型后，调用对应类型的协议解析器，比如：若协议类型为HTTP协议，则调用HTTP头解析器；若协议类型为TCP协议，则调用TCP报文体解析器；若协议类型为UDP协议，则调用UDP报文体解析器。c.利用对应类型的协议解析器解析对应协议类型的报文，获取解析的报文数据；在本步骤中，若调用HTTP头解析器，则对报文的HTTP头进行解析，获得HTTP头信息，若调用TCP报文体解析器，则对报文的TCP报文体进行解析，获得TCP报文体信息；若调用UDP报文体解析器，则对报文的UDP报文体进行解析，获得UDP报文体信息。d.从解析的报文数据中提取应用程序的特征；本步骤中，可以通过预设的提取程序从同一个数据流的多个缓存的报文的解析数据中提取特征，即提取相同的内容，如：若报文为HTTP协议，则从多个报文的HTTP头信息中提取相同的内容，若报文为TCP协议，则从多个报文的本文档来自技高网...

【技术保护点】
一种自动提取应用特征的装置，其特征在于，包括：报文缓存模块，用于缓存应用程序的数据流中的报文；协议判断器，用于从缓存的报文中判断报文的协议类型，根据协议类型，调用对应类型的协议解析器；协议解析器，用于解析对应协议类型的报文，获取解析的报文数据；特征提取器，用于从解析的报文数据中提取应用程序的特征；特征输出模块，用于通过日志输出提取的应用程序的特征。

【技术特征摘要】
1.一种自动提取应用特征的装置，其特征在于，包括：报文缓存模块，用于缓存应用程序的数据流中的报文；协议判断器，用于从缓存的报文中判断报文的协议类型，根据协议类型，调用对应类型的协议解析器；协议解析器，用于解析对应协议类型的报文，获取解析的报文数据；特征提取器，用于从解析的报文数据中提取应用程序的特征；特征输出模块，用于通过日志输出提取的应用程序的特征。2.如权利要求1所述的装置，其特征在于，该装置还包括：特征生成器，用于根据提取的应用程序的特征制作特征库；特征部署模块，用于将制作的特征库部署到网络设备中，供管理员对应用程序的权限进行配置。3.如权利要求1所述的装置，其特征在于，所述协议解析器获取解析的报文数据包括：获取解析的报文的头部数据或报文体数据。4.如权利要求1所述的装置，其特征在于，所述特征提取器从解析的报文数据中提取应用程序的特征，具体为：通过对比缓存的同一个数据流的多个报文的解析数据，提取相同内容的部分作为数据流对应的应用程序的特征。5.如权利要求1-4任意一项所述的装置，其特征在于，所述对应类型的协议解析器包括：HTTP头解析器、TCP报文体解析器、UDP报文体解析器；分别用于解析HTTP协议头部数据、TCP报文体数据、UDP报文体数据。6.一种自动提取应用特征的方法，其特征在于，包...

【专利技术属性】
技术研发人员：杨超，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川,51