[发明专利]特征提取的方法和装置

说明书

本发明公开了一种特征提取的方法和装置。其中，该方法包括：截取待检测应用的流量数据包，得到数据包文件，其中，待检测应用的数量为一个或多个；对数据包文件进行预处理，得到数据方阵；对数据方阵进行特征提取，得到待检测应用的目标特征，其中，目标特征用于对待检测应用的应用流量进行分析，目标特征为待检测应用的所有特征中的最优特征。本发明解决了现有技术采用手动提取应用流量中的数据特征的方式所导致的特征提取效率低的技术问题。

技术领域

本发明涉及计算机网络领域，具体而言，涉及一种特征提取的方法和装置。

背景技术

随着计算机网络技术的飞速发展，尤其是在互联网+时代浪潮的背景下,众多行业下的互联网应用软件如雨后春笋般迅速发展，而基于应用的识别技术，是目前各种网络设备应用层安全防护的基础，也是L4-L7层安全的关键技术点之一，由此深度数据包检测(Deep Packet Inspection，简称为DPI)应运而生。DPI技术是一项通过提取应用流量中的数据特征(signature，简写为sig)来对各种应用软件或系统产生的流量进行识别，进而对应用流量进行内容、安全和网络等方面的分析、控制和管理。

对于应用流量中的数据特征的提取，现在大多数工程师借用Wireshark等网络分析工具采用手工特征提取的操作方式，该方式不仅工作量大且易出错。另外，目前互联网上比较常用的特征提取工具是开源的进程抓包工具QPA，其中，QPA的核心特征提取模块可对同一网流的所有不同长度的报文进行特征提取，该过程涉及所有类型流量、注重分析，需要较多的人为干预。此外，特征提取模块存在许多特征被遗漏提取的情况，有时无法覆盖大部分流量。而分析标准协议流量采用的也是同一特征提取模块，不具有针对性，提取到的特征也比较粗糙。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种特征提取的方法和装置，以至少解决现有技术采用手动提取应用流量中的数据特征的方式所导致的特征提取效率低的技术问题。

根据本发明实施例的一个方面，提供了一种特征提取的方法，包括：截取待检测应用的流量数据包，得到数据包文件，其中，待检测应用的数量为一个或多个；对数据包文件进行预处理，得到数据方阵；对数据方阵进行特征提取，得到待检测应用的目标特征，其中，目标特征用于对待检测应用的应用流量进行分析，目标特征为待检测应用的所有特征中的最优特征。

可选地，特征提取的方法还包括：确定待检测应用对应的截取次数；基于截取次数对待检测应用的流量数据包进行多次截取处理，得到数据包文件。

可选地，在每次的流量数据包截取过程中，对于相同的待检测应用截取不同账号对应的流量数据包。

可选地，特征提取的方法还包括：对数据包文件进行网流过滤处理，得到预设网流，其中，待检测应用对应多个数据包文件，每个数据包文件包括多个网流，网流用于表征网络流量会话；按照每个预设网流的多个应用层负载的字节大小对字节对应的字符进行排列，得到每个预设网流对应的字符串序列；根据字符串序列对预设网流进行分组处理，得到数据方阵。

可选地，特征提取的方法还包括：对数据包文件中的传输控制协议网流中的超文本传输协议流量对应的网流以及超文本传输安全协议流量对应的网流进行过滤处理，得到非超文本传输协议流量对应的网流或超非文本传输安全协议流量对应的网流；对数据包文件中的用户数据包协议网流中的域名系统协议流量对应的网流进行过滤处理，得到非域名系统协议流量对应的网流。

可选地，特征提取的方法还包括：按照多个数据包文件中字符串序列的相似度对预设网流进行分组处理，得到数据方阵，其中，相似度大于预设相似度的预设网流分为一组。