[发明专利]网络数据应用的特征提取方法及装置

说明书

本发明提供一种网络数据应用的特征提取方法及装置。所述方法包括：从网络应用层的特征候选集中读取待测网络数据应用对应的准特征值；基于读取的准特征值对待测网络数据应用进行识别，根据识别结果从特征候选集中提取与待测网络数据应用对应的应用特征。由此，在对待测网络数据应用进行识别时，自动提取了待测网络数据应用的应用特征，提高了应用识别效率。

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种网络数据应用的特征提取方法及装置。

背景技术

网络数据应用种类繁多，实现过程复杂，且不同的应用有不同的格式规范，上述原因导致应用特征提取非常复杂。现在一般是通过捕获数据包工具(比如，wireshark，tcpdump等)采集数据包，然后通过人工查找的方式获得应用特征。然而随着版本的更新、新应用的不断出现，人工查找效率太低。

目前对网络数据应用进行识别的方法主要包括：端口识别、基于流量特性的识别及基于应用层的特征的识别，但上述方法均存在一些不足。端口识别对于自定义的端口，适应性较差。基于流量特性的识别的识别准确率低，并且在大的流量环境下不易统计流量特性。基于应用层的特征的识别具有准确率高、识别效率高、易于维护等优点，但是对新应用适用性差，在出现新的应用时需要重新更新特征，特征的自提取直接影响该方法的效率。因此，如何在基于应用层的特征的识别方法中自动更新特征成为本领域技术人员急需解决的问题。

发明内容

为了克服现有技术中的上述不足，本发明所要解决的技术问题是提供一种网络数据应用的特征提取方法及装置，其能够在采用基于应用层的特征的识别方法时自动更新特征，提高应用识别效率。

本发明较佳实施例提供一种网络数据应用的特征提取方法，所述方法包括：

从网络应用层的特征候选集中读取待测网络数据应用对应的准特征值；

基于读取的准特征值对所述待测网络数据应用进行识别，根据识别结果从所述特征候选集中提取与所述待测网络数据应用对应的应用特征。

本发明较佳实施例还提供一种网络数据应用的特征提取装置，所述装置包括：

读取模块，用于从网络应用层的特征候选集中读取待测网络数据应用对应的准特征值；

特征提取模块，用于基于读取的准特征值对所述待测网络数据应用进行识别，根据识别结果从所述特征候选集中提取与所述待测网络数据应用对应的应用特征。

相对于现有技术而言，本发明具有以下有益效果：

本发明提供一种网络数据应用的特征提取方法及装置。通过网络应用层的特征候选集获得待测网络数据应用对应的准特征值。根据获得的准特征值对所述待测网络数据应用进行识别，得到一识别结果。依据所述识别结果从所述特征候选集中提取与所述待测网络数据应用对应的应用特征。由此，在对待测网络数据应用进行识别时，自动提取了待测网络数据应用的应用特征，提高了应用识别效率。

为使发明的上述目的、特征和优点能更明显易懂，下文特举本发明较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明较佳实施例提供的用户终端的方框示意图。

图2为本发明较佳实施例提供的网络数据应用的特征提取方法的一种流程示意图。

图3为图2中步骤S130包括的子步骤的流程示意图。