[发明专利]一种应用层协议识别特征挖掘方法

权利要求书

1.一种应用层协议识别特征挖掘方法，其特征在于，包括下列步骤：

步骤A，对训练数据包集合进行第一次过滤，以及进行编码，提取准协议识别特征数据信息；

步骤B，从提取的准协议识别特征数据信息中进行第一次挖掘，得到多级频繁项集；

步骤C，对所述多级频繁项集进行第一次过滤，对第一次过滤后剩余的多级频繁项集的频繁度进行修正和第二次挖掘后，对其进行第二次过滤，得到最终协议识别特征。

2.根据权利要求1所述的应用层协议识别特征挖掘方法，其特征在于，还包括下列步骤：

步骤D，若所有最终协议识别特征的字节识别率达到要求，或者数据包识别率总和达到要求时，则不再挖掘第二个及以后数据包的数据；否则循环挖掘第二个及以后数据包，直到总识别率达到要求。

3.根据权利要求1或2所述的应用层协议识别特征挖掘方法，其特征在于，所述步骤A包括下列步骤：

A1.捕获训练数据包集合并对训练数据包集合按流进行划分后存储到流结构体中；

A2.利用混杂流量过滤方法过滤训练数据包集合中的混杂流量；

A3.利用基于位置对提取的数据包中的字节进行编码的方法对应用层载荷进行编码；

A4.对经过编码后数据的信息进行提取，提取准协议识别特征数据信息。

4.根据权利要求3所述的一种应用层协议识别特征挖掘方法，其特征在于，所述步骤A2中，混杂流量过滤方法包括下列步骤：

A21.过滤掉满足HTTP协议和FTP协议的流的内容；

A22.过滤掉TCP流中没有完整三次握手的流。

5.根据权利要求4所述的一种应用层协议识别特征挖掘方法，其特征在于，步骤A21中，所述过滤掉满足FTP协议的流的内容，包括下列步骤：

过滤掉采用PASV模式通信的流结构体的数据包；

过滤掉采用20、21端口的结构体的数据包。

6.根据权利要求5所述的一种应用层协议识别特征挖掘方法，其特征在于，所述采用FTP的PASV模式通信的流结构体的判断方法，包括下列步骤：

寻找采用21端口的流结构体，判断属于该结构体的数据包是否有以227开头的数据包；

若有则进一步判断是否是PASV模式的应答包，若是则该数据包中就包含服务器端准备和客户端进行PASV模式数据连接的IP地址和端口号，同时该数据包的目的IP地址也即客户端的IP地址，FTP数据连接采用TCP协议，记录这四个数据；

当遍历完所有采用21端口的流结构体后，得到所有采用FTP的PASV模式通信的流信息。

7.根据权利要求6所述的一种应用层协议识别特征挖掘方法，其特征在于，所述过滤掉采用PASV模式通信的流结构体的数据包，包括下列步骤：

将每个流和记录的采用FTP的PASV模式的数据连接流信息进行对比，若流结构体中的五元组信息中的四个分别与记录的PASV模式数据连接的流信息相同，则认定此流是采用FTP的PASV模式通信的流，丢弃该流中的所有数据包。

8.根据权利要求3所述的一种应用层协议识别特征挖掘方法，其特征在于，所述步骤A3中，所述基于位置对提取的数据包中的字节进行编码的方法，包括下列步骤：

将数据包中一个用两个十六进制数表示的字节的值，编码为一个用5个字符表示的单项，从左边起第1个字符是I，表示Item，第二、三个字符表示该字节在上述所提取的前N个字节中处于第几位，用十六进制表示，从零开始计数，若小于十六则第二位为零；第四、五个字符是原来字节的两个十六进制字符。

9.根据权利要求3所述的一种应用层协议识别特征挖掘方法，其特征在于，所述步骤A4中，所述准协议识别特征数据信息，包括具有相同偏移数据包的经过编码的信息，以及相关的统计辅助数据信息；

所述提取准协议识别特征数据信息，包括下列步骤：

A41.对TCP流提取准协议识别特征数据信息，并导入到事务数据库中；

A42.对UDP流提取准协议识别特征数据信息，并导入到事务数据库中。