CN106850349B - 一种特征信息的提取方法及装置 - Google Patents
一种特征信息的提取方法及装置 Download PDFInfo
- Publication number
- CN106850349B CN106850349B CN201710069510.8A CN201710069510A CN106850349B CN 106850349 B CN106850349 B CN 106850349B CN 201710069510 A CN201710069510 A CN 201710069510A CN 106850349 B CN106850349 B CN 106850349B
- Authority
- CN
- China
- Prior art keywords
- message
- extracted
- messages
- determining
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种特征信息的提取方法及装置,所述方法包括:将两个以上待提取报文中的其中一个待提取报文确定为基准报文,所述两个以上待提取报文中的每一个待提取报文的报文类型相同;将所述基准报文的第一预设字段中的字段信息确定为基准字段信息;基于预设匹配规则,分别将所述两个以上待提取报文中的除所述基准报文以外的每一个待提取报文的第二预设字段中的字段信息与所述基准字段信息进行匹配;当匹配成功的次数大于或者等于预设匹配阈值时,基于所述基准字段信息确定特征信息。应用本发明实施例,解决了特征信息提取耗时长,提取准确率低的问题。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种特征信息的提取方法及装置。
背景技术
现有技术中,通过Wireshark软件对网卡中流经的业务流量进行信息抓取,期间会抓取到多种不同业务应用所产生的业务流量,例如,微信应用产生的业务流量,QQ应用产生的业务流量等。当管理人员只需查看QQ应用产生的业务流量时,管理人员从全部业务流量中对报文携带的特征信息进行提取,当需要提取的特征信息数量庞大时,特征信息的提取过程耗时长,且可能因提取不当遗失目标特征信息或误选非目标特征信息,提取准确率低。
发明内容
有鉴于此,本发明提供一种特征信息的提取方法及装置,以解决特征信息提取耗时长,提取准确率低的问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种特征信息的提取方法,所述方法包括:
将两个以上待提取报文中的其中一个待提取报文确定为基准报文,所述两个以上待提取报文中的每一个待提取报文的报文类型相同;
将所述基准报文的第一预设字段中的字段信息确定为基准字段信息;
基于预设匹配规则,分别将所述两个以上待提取报文中的除所述基准报文以外的每一个待提取报文的第二预设字段中的字段信息与所述基准字段信息进行匹配;
当匹配成功的次数大于或者等于预设匹配阈值时,基于所述基准字段信息确定特征信息。
根据本发明的第二方面,提出了一种特征信息的提取装置,包括:
基准报文确定模块,用于将两个以上待提取报文中的其中一个待提取报文确定为基准报文,所述两个以上待提取报文中的每一个待提取报文的报文类型相同;
字段信息确定模块,用于将所述基准报文确定模块中确定的所述基准报文的第一预设字段中的字段信息确定为基准字段信息;
字段信息匹配模块,用于基于预设匹配规则,分别将所述两个以上待提取报文中的除所述基准报文以外的每一个待提取报文的第二预设字段中的字段信息与所述字段信息确定模块中确定的所述基准字段信息进行匹配;
特征信息确定模块,用于当所述字段信息匹配模块中匹配成功的次数大于或者等于预设匹配阈值时,基于所述基准字段信息确定特征信息。
由以上技术方案可见,管理设备将两个以上待提取报文中的其中一个待提取报文确定为基准报文,并将基准报文的第一预设字段中的字段信息确定为基准字段信息。基于预设匹配规则,当两个以上待提取报文中的除基准报文以外的每一个待提取报文的第二预设字段中的字段信息与基准字段信息匹配成功的次数大于或者等于预设匹配阈值时,管理设备基于基准字段信息确定特征信息,减少了特征信息提取过程的耗时,且避免了因提取不当遗失目标特征信息或误选非目标特征信息,提高了特征信息提取的准确率。
附图说明
图1是本发明提供的特征信息的提取方法所适用的网络架构图;
图2是本发明提供的一个特征信息的提取方法的实施例流程图;
图3是本发明提供的另一个特征信息的提取方法的实施例流程图;
图4是本发明提供的一种管理设备的硬件结构图;
图5是本发明提供的一个特征信息的提取装置的实施例框图;
图6是本发明提供的另一个特征信息的提取装置的实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是本发明提供的特征信息的提取方法所适用的网络架构图,如图1所示,该网络架构图中包括:客户端11、防护设备12、服务设备13、管理设备14。其中,客户端11安装在个人计算机(Personal Computer,简称为PC)上,客户端11还可以安装在手机、平板电脑、智能手表等终端设备上;防护设备12为具有安全防护功能的设备;服务设备13为向客户端11提供业务服务的服务器,例如提供即时沟通业务服务的服务器;管理设备14通过模拟客户端11产生的用户行为,从业务流量中提取特征信息,并将特征信息上传到防护设备12,以使防护设备12基于特征信息对客户端11所产生的与特征信息相同的行为进行识别,识别后可对该行为进行拦截或通过等预设动作,在另一实施例场景中,管理设备14也可以将提取到的特征信息上传至网页,为需要下载配置特征信息的设备提供下载服务。通常,管理设备14将两个以上待提取报文中的其中一个待提取报文确定为基准报文,两个以上待提取报文中的每一个待提取报文的报文类型相同,报文类型包括超文本传输协议(HyperTextTransfer Protocol,简称为HTTP)报文、传输控制协议(Transmission Control Protocol,简称为TCP)报文以及用户数据报协议(User Datagram Protocol,简称为UDP)报文等。管理设备14将基准报文的第一预设字段中的字段信息确定为基准字段信息,此处对第一预设字段的长度不做限制,基于预设匹配规则,管理设备14分别将两个以上待提取报文中的除基准报文以外的每一个待提取报文的第二预设字段中的字段信息与基准字段信息进行匹配,第二预设字段与第一预设字段的长度相同。其中,针对不同类型的报文,预设匹配规则不同,例如,针对HTTP报文,HTTP报文头部字段中携带了较为关键的字段信息,通常只需关注HTTP报文头部字段中是否存在特征信息即可,因此预设匹配规则为针对HTTP报文头部字段中的字段信息进行匹配;针对TCP报文以及UDP报文,需要从报文的全部内容中进行特征查询,因此预设匹配规则为针对报文的整体进行匹配。当匹配成功的次数大于或者等于预设匹配阈值时,表示与基准字段信息相同的字段信息出现频次高,为具有相同业务服务的业务流量的可能性高,管理设备14将基准字段信息确定为特征信息。通过本发明实施例,当需要提取的特征信息数量庞大时,可以减少特征信息提取过程的耗时,且避免提取不当遗失目标特征信息或误选非目标特征信息,提高了特征信息提取的准确率。
为对本发明进行进一步说明,提供下列实施例:
图2是本发明提供的一个特征信息的提取方法的实施例流程图,结合图1进行示例性说明,如图2所示,包括如下步骤:
步骤201:将两个以上待提取报文中的其中一个待提取报文确定为基准报文,两个以上待提取报文中的每一个待提取报文的报文类型相同。
步骤202:将基准报文的第一预设字段中的字段信息确定为基准字段信息。
步骤203:基于预设匹配规则,分别将两个以上待提取报文中的除基准报文以外的每一个待提取报文的第二预设字段中的字段信息与基准字段信息进行匹配。
步骤204:当匹配成功的次数大于或者等于预设匹配阈值时,基于基准字段信息确定特征信息。
可选的,在上述步骤201-步骤204执行之前,还可以执行步骤200(图中未示出)。
步骤200:基于类型标识确定两个以上待提取报文,类型标识用于标记一种报文类型。
可选的,在上述步骤201-步骤204的基础上,还可以执行步骤205-步骤206(图中未示出)。
步骤205:确定特征信息的存储位置信息。
步骤206:基于第一预设展示规则,将特征信息的存储位置信息及第一预设字段的长度信息进行展示。
可选的,在上述步骤201-步骤204的基础上,还可以执行步骤207(图中未示出)。
步骤207:基于第二预设展示规则,将特征信息进行展示。
在步骤201中,在一实施例中,管理设备14获取两个以上待提取报文,两个以上待提取报文中的每一个待提取报文的报文类型相同,报文类型包括HTTP报文、TCP报文以及UDP报文等,此处管理设备14如何获取两个以上待提取报文的,具体方法可参考步骤200或图3中的相关步骤描述,此处先不作详述。管理设备14将获取到的两个以上待提取报文中的其中一个待提取报文确定为基准报文。本领域技术人员可以理解的是,此处管理设备14获取待提取报文的数量,通常可以设置一个上限,例如,获取流经网卡中的40个HTTP报文,该40个HTTP报文可以包含:管理设备14向服务设备13方向发送的HTTP请求报文,服务设备13向管理设备14方向返回的HTTP反馈报文,两种传输方向的报文,由于业务流量在交互初期,会携带相互之间协商的信息,因此选取交互初期的报文便于更快捷准确的提取特征信息。
在步骤202中,在一实施例中,管理设备14将基准报文的第一预设字段中的字段信息确定为基准字段信息。此处对第一预设字段的长度及第一预设字段在基准报文中的具***置不做限定。具体的,以基准报文为一个HTTP报文为例,第一预设字段为该HTTP报文的前10个字节,该第一预设字段中的字段信息例如为“GET/1qqad”,则基准字段信息为“GET/1qqad”,其中“qq”可以表示为某款即时沟通应用所产生的业务流量。
在步骤203中,在一实施例中,基于预设匹配规则,管理设备14分别将两个以上待提取报文中的除基准报文以外的每一个待提取报文的第二预设字段中的字段信息与基准字段信息进行匹配,匹配时,可以从左至右连续地进行匹配。其中,针对不同类型的报文,预设匹配规则不同,例如,针对HTTP报文,HTTP报文头部字段中携带了较为关键的字段信息,通常只需关注HTTP报文头部字段中是否存在特征信息即可,因此预设匹配规则为针对HTTP报文头部字段中的字段信息进行匹配;针对TCP报文以及UDP报文,需要从报文的全部内容中进行特征查询,因此预设匹配规则为针对报文的整体进行匹配,此外预设匹配规则还可以设定具体匹配的字符类型,字符类型包括:数字、字母、符号等。结合步骤202,以除基准报文以外还有5个待提取报文为例,该5个待提取报文的第二预设字段为每个待提取报文的前10个字节,该5个待提取报文的前10个字节中的字段信息分别为“GET/2qqcr”、“GET/3qqwe”、“GET/4qqkk”、“GET/5qqaw”、“GET/6qquy”。以预设匹配规则规定忽略匹配数字,管理设备14分别将“GET/2qqcr”、“GET/3qqwe”、“GET/4qqkk”、“GET/5qqaw”、“GET/6qquy”与基准字段信息“GET/1qqad”中的字母及字符进行匹配。
在步骤204中,在一实施例中,当匹配成功的次数大于或者等于预设匹配阈值时,基于基准字段信息确定特征信息。预设匹配阈值例如为5,结合步骤203,“GET/2qqcr”、“GET/3qqwe”、“GET/4qqkk”、“GET/5qqaw”、“GET/6qquy”与基准字段信息“GET/1qqad”中的“GET/qq”匹配成功,管理设备14基于基准字段信息“GET/1qqad”,将“GET/qq”确定为特征信息。
可选的,在上述步骤201-步骤204执行之前,还可以执行步骤200,需要说明的是,本实施例中的步骤200为可选步骤,并非必要步骤。
在步骤200中,在一实施例中,管理设备14基于类型标识确定两个以上待提取报文,类型标识用于标记一种报文类型,报文类型包括:HTTP报文、TCP报文以及UDP报文等。具体的,管理设备14基于类型标识确定所述两个以上待提取报文的方法包括:基于类型标识,管理设备14从流经网卡的全部流量中确定两个以上待提取报文,管理设备14查找流经网卡的流量中的报文是否携带有与类型标识相同的标识,管理设备14将携带有与类型标识相同的标识的报文确定为待提取报文,实时获取待提取报文;基于类型标识,管理设备14从已缓存的流量中确定两个以上待提取报文,例如,管理设备14获取到其他设备已缓存的流量,管理设备14将携带有与类型标识相同的标识的报文确定为待提取报文。
可选的,在上述步骤201-步骤204的基础上,还可以执行步骤205-步骤206,需要说明的是,本实施例中的步骤205-步骤206为可选步骤,并非必要步骤。
在步骤205中,在一实施例中,管理设备14确定特征信息的存储位置信息,以管理设备14获取的待提取报文的报文类型为TCP报文,第一预设字段的长度为10个字节为例,管理设备14将基准报文中的第一预设字段中的基准字段信息与除基准报文以外的每一个待提取报文的第二预设字段中的字段信息与基准字段信息进行匹配,其中,第一预设字段与第二预设字段的位置不固定,第一预设字段以及第二预设字段通过向右移动一个字节,实现对待提取报文中全部位置的字段信息的匹配。管理设备14将基准报文中对应存在特征信息的位置信息确定为存储位置信息,例如,10、15、18、20,表示在基准报文的10字节、15字节、18字节、20字节存在特征信息。
在步骤206中,在一实施例中,基于第一预设展示规则,将特征信息的存储位置信息及第一预设字段的长度信息进行展示。例如,此处可以通过安装在管理设备14上的交互软件对,10、15、18、20以及10字节进行展示,便于管理人员设置特征信息的提取范围。
可选的,在上述步骤201-步骤204的基础上,还可以执行步骤207,需要说明的是,本实施例中的步骤207为可选步骤,并非必要步骤。
在步骤207中,在一实施例中,基于第二预设展示规则,管理设备14将特征信息进行展示,此处可以通过安装在管理设备14上的交互软件对特征信息进行展示,结合下述步骤图3中提到的待匹配条件,此处还可以将待匹配条件进行展示。
可选的,在一实施例中,管理设备14基于特征信息生成特征信息列表,并上传该特征信息列表。结合步骤204,管理设备14基于特征信息“GET/qq”生成特征信息列表。可选的,该特征信息列表中还可以记录端口、IP地址、协议号等信息。管理设备14可以将该特征信息列表上传至防护设备12,以使防护设备12基于特征信息对客户端11所产生的与特征信息相同的行为进行拦截,在另一实施例场景中,管理设备14也可以将提取到的特征信息上传至网页,为需要下载配置特征信息的设备提供下载服务。
本发明实施例中,管理设备将两个以上待提取报文中的其中一个待提取报文确定为基准报文,并将基准报文的第一预设字段中的字段信息确定为基准字段信息。基于预设匹配规则,当两个以上待提取报文中的除基准报文以外的每一个待提取报文的第二预设字段中的字段信息与基准字段信息匹配成功的次数大于或者等于预设匹配阈值时,管理设备基于基准字段信息确定特征信息,减少了特征信息提取过程的耗时,且避免了因提取不当遗失目标特征信息或误选非目标特征信息,提高了特征信息提取的准确率。
图3是本发明提供的另一个特征信息的提取方法的实施例流程图,管理设备14获取两个以上待提取报文的方法还可以为基于类型标识及至少一个待匹配条件确定两个以上待提取报文,待匹配条件为针对类型标识标记的报文类型预设的,具体的管理设备14如何基于类型标识及至少一个待匹配条件确定两个以上待提取报文的,本发明实施例结合图1、图2,进行示例性说明,如图3所示,包括如下步骤:
步骤301:查找获取到的报文中是否携带类型标识。
步骤302:当获取到的报文中携带类型标识时,将获取到的报文与至少一个待匹配条件中的每一个待匹配条件逐一进行匹配。
步骤303:当获取到的报文与每一个待匹配条件均匹配成功时,将获取到的报文确定为待提取报文。
步骤304:当待提取报文的数量为两个以上时,将两个以上的待提取报文确定为两个以上待提取报文。
在步骤301中,管理设备14查找获取到的报文中是否携带类型标识。管理设备14确定该获取到的报文的方法包括:管理设备14从流经网卡的全部流量中确定该获取到的报文;管理设备14从已缓存的流量中确定该获取到的报文,具体的,管理设备14查找流经网卡的流量中的报文是否携带有与类型标识相同的标识;管理设备14查找已缓存的流量中的报文是否携带有与类型标识相同的标识,已缓存的流量例如为管理设备14获取到的其他设备已缓存的流量。
在步骤302中,当获取到的报文中携带类型标识时,管理设备14将获取到的报文与至少一个待匹配条件中的每一个待匹配条件逐一进行匹配,待匹配条件为针对类型标识标记的报文类型预设的。例如,针对HTTP报文,待匹配条件可以为:匹配Host头部字段是否具有“.*\.qq\.com\.cn”、匹配User-Agent头部字段是否具有“.*\android”等。
在步骤303中,当获取到的报文与每一个待匹配条件均匹配成功时,管理设备14将获取到的报文确定为待提取报文。
在步骤304中,当待提取报文的数量为两个以上时,管理设备14将两个以上的待提取报文确定为两个以上待提取报文。
本发明实施例中,对管理设备14如何基于类型标识及至少一个待匹配条件确定两个以上待提取报文进行了示例性说明,管理设备14查找获取到的报文中是否携带类型标识,当获取到的报文中携带类型标识时,管理设备14基于至少一个待匹配条件确定获取到的报文是否为待提取报文,当待提取报文的数量为两个以上时,管理设备14将两个以上的待提取报文确定为两个以上待提取报文,通过待匹配条件进一步对待提取报文的特征进行限定,提高了待提取报文的精准性。
对应于上述特征信息的提取方法,本发明还提出了图4所示的管理设备的硬件结构图。请参考图4,在硬件层面,该管理设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成特征信息的提取装置。当然,除了软件实现方式之外,本发明并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图5是本发明提供的一个特征信息的提取装置的实施例框图,如图5所示,该特征信息的提取装置可以包括:基准报文确定模块51、字段信息确定模块52、字段信息匹配模块53、特征信息确定模块54,其中:
基准报文确定模块51,用于将两个以上待提取报文中的其中一个待提取报文确定为基准报文,两个以上待提取报文中的每一个待提取报文的报文类型相同;
字段信息确定模块52,用于将基准报文确定模块51中确定的基准报文的第一预设字段中的字段信息确定为基准字段信息;
字段信息匹配模块53,用于基于预设匹配规则,分别将两个以上待提取报文中的除基准报文以外的每一个待提取报文的第二预设字段中的字段信息与字段信息确定模块52中确定的基准字段信息进行匹配;
特征信息确定模块54,用于当字段信息匹配模块53中匹配成功的次数大于或者等于预设匹配阈值时,基于基准字段信息确定特征信息。
图6是本发明提供的另一个特征信息的提取装置的实施例框图,如图6所示,在上述图5所示实施例的基础上,特征信息的提取装置还包括:
第一报文确定模块55,用于基于类型标识确定基准报文确定模块51中的两个以上待提取报文,类型标识用于标记一种报文类型。
在一实施例中,特征信息的提取装置中的第一报文确定模块55包括:
第一报文确定子模块551,用于基于类型标识,从流经网卡的全部流量中确定基准报文确定模块51中的两个以上待提取报文;或,
第二报文确定子模块552,用于基于类型标识,从已缓存的流量中确定基准报文确定模块51中的两个以上待提取报文。
在一实施例中,特征信息的提取装置还包括:
第二报文确定模块56,用于基于类型标识及至少一个待匹配条件确定基准报文确定模块51中的两个以上待提取报文,待匹配条件为针对类型标识标记的报文类型预设的。
在一实施例中,特征信息的提取装置中的第二报文确定模块56包括:
类型标识查找子模块561,用于查找获取到的报文中是否携带第二报文确定模块56中的类型标识;
条件匹配子模块562,用于当类型标识查找子模块561中的获取到的报文中携带类型标识时,将获取到的报文与至少一个待匹配条件中的每一个待匹配条件逐一进行匹配;
第三报文确定子模块563,用于当条件匹配子模块562中的获取到的报文与每一个待匹配条件均匹配成功时,将获取到的报文确定为待提取报文;
第四报文确定子模块564,用于当第三报文确定子模块563中的待提取报文的数量为两个以上时,将两个以上的待提取报文确定为两个以上待提取报文。
在一实施例中,特征信息的提取装置还包括:
第三报文确定模块57,用于从流经网卡的全部流量中确定类型标识查找子模块561中的获取到的报文;或,
第四报文确定模块58,用于从已缓存的流量中确定类型标识查找子模块561中的获取到的报文。
在一实施例中,特征信息的提取装置还包括:
存储位置确定模块59,用于确定特征信息确定模块54中确定的特征信息的存储位置信息;
第一展示模块60,用于基于第一预设展示规则,将存储位置确定模块59中确定的特征信息的存储位置信息及第一预设字段的长度信息进行展示。
在一实施例中,特征信息的提取装置还包括:
第二展示模块61,用于基于第二预设展示规则,将特征信息确定模块54中确定的特征信息进行展示。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,管理设备将两个以上待提取报文中的其中一个待提取报文确定为基准报文,并将基准报文的第一预设字段中的字段信息确定为基准字段信息。基于预设匹配规则,当两个以上待提取报文中的除基准报文以外的每一个待提取报文的第二预设字段中的字段信息与基准字段信息匹配成功的次数大于或者等于预设匹配阈值时,管理设备基于基准字段信息确定特征信息,减少了特征信息提取过程的耗时,且避免了因提取不当遗失目标特征信息或误选非目标特征信息,提高了特征信息提取的准确率。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种特征信息的提取方法,其特征在于,所述方法包括:
将两个以上待提取报文中的其中一个待提取报文确定为基准报文,所述两个以上待提取报文中的所有待提取报文的报文类型均相同;
将所述基准报文的第一预设字段中的字段信息确定为基准字段信息;
基于预设匹配规则,分别将所述两个以上待提取报文中的除所述基准报文以外的每一个待提取报文的第二预设字段中的字段信息与所述基准字段信息进行匹配;
当匹配成功的次数大于或者等于预设匹配阈值时,基于所述基准字段信息确定特征信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于类型标识确定所述两个以上待提取报文,所述类型标识用于标记一种报文类型。
3.根据权利要求2所述的方法,其特征在于,所述基于类型标识确定所述两个以上待提取报文,包括:
基于所述类型标识,从流经网卡的全部流量中确定所述两个以上待提取报文;或,
基于所述类型标识,从已缓存的流量中确定所述两个以上待提取报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于类型标识及至少一个待匹配条件确定所述两个以上待提取报文,所述待匹配条件为针对所述类型标识标记的报文类型预设的。
5.根据权利要求4所述的方法,其特征在于,所述基于类型标识及至少一个待匹配条件确定所述两个以上待提取报文,包括:
查找获取到的报文中是否携带所述类型标识;
当所述获取到的报文中携带所述类型标识时,将所述获取到的报文与所述至少一个待匹配条件中的每一个待匹配条件逐一进行匹配;
当所述获取到的报文与所述每一个待匹配条件均匹配成功时,将所述获取到的报文确定为所述待提取报文;
当所述待提取报文的数量为两个以上时,将所述两个以上的待提取报文确定为所述两个以上待提取报文。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
从流经网卡的全部流量中确定所述获取到的报文;或,
从已缓存的流量中确定所述获取到的报文。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述特征信息的存储位置信息;
基于第一预设展示规则,将所述特征信息的存储位置信息及第一预设字段的长度信息进行展示。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于第二预设展示规则,将所述特征信息进行展示。
9.一种特征信息的提取装置,其特征在于,所述装置包括:
基准报文确定模块,用于将两个以上待提取报文中的其中一个待提取报文确定为基准报文,所述两个以上待提取报文中的所有待提取报文的报文类型均相同;
字段信息确定模块,用于将所述基准报文确定模块中确定的所述基准报文的第一预设字段中的字段信息确定为基准字段信息;
字段信息匹配模块,用于基于预设匹配规则,分别将所述两个以上待提取报文中的除所述基准报文以外的每一个待提取报文的第二预设字段中的字段信息与所述字段信息确定模块中确定的所述基准字段信息进行匹配;
特征信息确定模块,用于当所述字段信息匹配模块中匹配成功的次数大于或者等于预设匹配阈值时,基于所述基准字段信息确定特征信息。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第一报文确定模块,用于基于类型标识确定所述基准报文确定模块中的所述两个以上待提取报文,所述类型标识用于标记一种报文类型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710069510.8A CN106850349B (zh) | 2017-02-08 | 2017-02-08 | 一种特征信息的提取方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710069510.8A CN106850349B (zh) | 2017-02-08 | 2017-02-08 | 一种特征信息的提取方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106850349A CN106850349A (zh) | 2017-06-13 |
CN106850349B true CN106850349B (zh) | 2020-01-03 |
Family
ID=59122978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710069510.8A Active CN106850349B (zh) | 2017-02-08 | 2017-02-08 | 一种特征信息的提取方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106850349B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109492655B (zh) * | 2017-09-11 | 2021-08-06 | ***通信有限公司研究院 | 一种特征提取方法、装置及终端 |
CN108021486B (zh) * | 2017-11-21 | 2019-07-16 | 平安科技(深圳)有限公司 | 电子装置、征信数据处理的方法及存储介质 |
CN113965408B (zh) * | 2021-11-09 | 2023-01-20 | 北京锐安科技有限公司 | 一种http报文的提取方法、装置、介质及设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101505219A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 一种防御拒绝服务攻击的方法和防护装置 |
CN103281291A (zh) * | 2013-02-19 | 2013-09-04 | 电子科技大学 | 一种基于Hadoop的应用层协议识别方法 |
CN103475537A (zh) * | 2013-08-30 | 2013-12-25 | 华为技术有限公司 | 一种报文特征提取方法和装置 |
CN103825784A (zh) * | 2014-03-24 | 2014-05-28 | 中国人民解放军信息工程大学 | 一种非公开协议字段识别方法及*** |
CN104052679A (zh) * | 2014-06-03 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 网络流量的负载均衡方法和装置 |
CN104506484A (zh) * | 2014-11-11 | 2015-04-08 | 中国电子科技集团公司第三十研究所 | 一种私有协议分析与识别方法 |
CN105279230A (zh) * | 2015-09-16 | 2016-01-27 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 通过主动学习方法构建互联网应用特征识别数据库的方法及*** |
CN105871941A (zh) * | 2016-06-29 | 2016-08-17 | 合肥民众亿兴软件开发有限公司 | 一种基于网络流量特征的 nat 识别方法 |
-
2017
- 2017-02-08 CN CN201710069510.8A patent/CN106850349B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101505219A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 一种防御拒绝服务攻击的方法和防护装置 |
CN103281291A (zh) * | 2013-02-19 | 2013-09-04 | 电子科技大学 | 一种基于Hadoop的应用层协议识别方法 |
CN103475537A (zh) * | 2013-08-30 | 2013-12-25 | 华为技术有限公司 | 一种报文特征提取方法和装置 |
CN103825784A (zh) * | 2014-03-24 | 2014-05-28 | 中国人民解放军信息工程大学 | 一种非公开协议字段识别方法及*** |
CN104052679A (zh) * | 2014-06-03 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 网络流量的负载均衡方法和装置 |
CN104506484A (zh) * | 2014-11-11 | 2015-04-08 | 中国电子科技集团公司第三十研究所 | 一种私有协议分析与识别方法 |
CN105279230A (zh) * | 2015-09-16 | 2016-01-27 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 通过主动学习方法构建互联网应用特征识别数据库的方法及*** |
CN105871941A (zh) * | 2016-06-29 | 2016-08-17 | 合肥民众亿兴软件开发有限公司 | 一种基于网络流量特征的 nat 识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106850349A (zh) | 2017-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110708215B (zh) | 深度包检测规则库生成方法、装置、网络设备及存储介质 | |
CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
EP2560338A1 (en) | Method and apparatus for protocol parsing | |
CN106850349B (zh) | 一种特征信息的提取方法及装置 | |
CN103023906A (zh) | 针对远程过程调用协议进行状态跟踪的方法及*** | |
CN109327357B (zh) | 应用软件的特征提取方法、装置及电子设备 | |
CN106921671B (zh) | 一种网络攻击的检测方法及装置 | |
US10834105B2 (en) | Method and apparatus for identifying malicious website, and computer storage medium | |
CN103346972A (zh) | 基于用户终端的流量控制装置和方法 | |
CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
CN108111472A (zh) | 一种攻击特征检测方法及装置 | |
US20150215429A1 (en) | System and method for extracting identifiers from traffic of an unknown protocol | |
CN103401836A (zh) | 一种用于判断网页是否被isp劫持的方法与设备 | |
CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
CN101808018A (zh) | 接入终端数量的检测方法及设备 | |
CN109688094B (zh) | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 | |
CN104168316A (zh) | 一种网页访问控制方法、网关 | |
CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
CN111224878B (zh) | 路由转发方法、装置、电子设备及存储介质 | |
CN106878311B (zh) | Http报文的重写方法及装置 | |
CN113923008B (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
CN109688099B (zh) | 服务器端撞库识别方法、装置、设备及可读存储介质 | |
CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210616 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Dip Information Technology Co.,Ltd. Address before: 6 / F, Zhongcai building, 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou DPtech Technologies Co.,Ltd. |