【技术实现步骤摘要】
特征提取的方法和装置
本专利技术涉及计算机网络领域,具体而言,涉及一种特征提取的方法和装置。
技术介绍
随着计算机网络技术的飞速发展,尤其是在"互联网+"时代浪潮的背景下,众多行业下的互联网应用软件如雨后春笋般迅速发展,而基于应用的识别技术,是目前各种网络设备应用层安全防护的基础,也是L4-L7层安全的关键技术点之一,由此深度数据包检测(DeepPacketInspection,简称为DPI)应运而生。DPI技术是一项通过提取应用流量中的数据特征(signature,简写为sig)来对各种应用软件或系统产生的流量进行识别,进而对应用流量进行内容、安全和网络等方面的分析、控制和管理。对于应用流量中的数据特征的提取,现在大多数工程师借用Wireshark等网络分析工具采用手工特征提取的操作方式,该方式不仅工作量大且易出错。另外,目前互联网上比较常用的特征提取工具是开源的进程抓包工具QPA,其中,QPA的核心特征提取模块可对同一网流的所有不同长度的报文进行特征提取,该过程涉及所有类型流量、注重分析,需要较多的人为干预。此外...
【技术保护点】
1.一种特征提取的方法,其特征在于,包括:/n截取待检测应用的流量数据包,得到数据包文件,其中,所述待检测应用的数量为一个或多个;/n对所述数据包文件进行预处理,得到数据方阵;/n对所述数据方阵进行特征提取,得到所述待检测应用的目标特征,其中,所述目标特征用于对所述待检测应用的应用流量进行分析,所述目标特征为所述待检测应用的所有特征中的最优特征。/n
【技术特征摘要】 【专利技术属性】
1.一种特征提取的方法,其特征在于,包括:
截取待检测应用的流量数据包,得到数据包文件,其中,所述待检测应用的数量为一个或多个;
对所述数据包文件进行预处理,得到数据方阵;
对所述数据方阵进行特征提取,得到所述待检测应用的目标特征,其中,所述目标特征用于对所述待检测应用的应用流量进行分析,所述目标特征为所述待检测应用的所有特征中的最优特征。
2.根据权利要求1所述的方法,其特征在于,截取待检测应用的流量数据包,得到数据包文件,包括:
确定所述待检测应用对应的截取次数;
基于所述截取次数对所述待检测应用的流量数据包进行多次截取处理,得到所述数据包文件。
3.根据权利要求2所述的方法,其特征在于,在每次的流量数据包截取过程中,对于相同的待检测应用截取不同账号对应的流量数据包。
4.根据权利要求1所述的方法,其特征在于,对所述数据包文件进行预处理,得到数据方阵,包括:
对所述数据包文件进行网流过滤处理,得到预设网流,其中,所述待检测应用对应多个所述数据包文件,每个所述数据包文件包括多个网流,所述网流用于表征网络流量会话;
按照每个所述预设网流的多个应用层负载的字节的大小对所述字节对应的字符进行排列,得到每个所述预设网流对应的字符串序列;
根据所述字符串序列对所述预设网流进行分组处理,得到所述数据方阵。
5.根据权利要求4所述的方法,其特征在于,对所述数据包文件进行网流过滤处理,得到预设网流,包括:
对所述数据包文件中的传输控制协议网流中的超文本传输协议流量对应的网流以及超文本传输安全协议流量对应的网流进行过滤处理,得到非超文本传输协议流量对应的网流或超非文本传输安全协议流量对应的网流;
对所述数据包文件中的用户数据包协议网流中的域名系统协议流量对应的网流进行过滤处理,得到非域名系统协议流量对应的网流。
6.根据权利要求4所述的方法,其特征在于,根据所述字符串序列对所述预设网流进行分组处理,得到所述数据方阵,包括:
按照多个所述数据包文件中所述字符串序列的相似度对所述预设网流进行分组处理,得到所述数据方阵,其中,所述相似度大于预设相似度的预设网流分为一组。
7.根据权利要求1所述的方法,其特征在于,对所述数据方阵进行特征提取,得到所述待检测应用的目标特征,包括:
将相同分组内具有相同数据流方向的应用层负载进行两两组合,输入至特征提取模块中,得到所述特征提取模块的输出结果;
在所述输出结果指示生成特征的情况下,获取生成的至少一个待选特征;
技术研发人员:张元生,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。