[发明专利]特征模式集生成方法及装置

说明书

技术领域

本发明涉及协议识别技术领域，特别涉及一种特征模式集生成方法及装置。

背景技术

随着互联网技术的迅速发展，网络服务质量、网络安全及网络流量控制等问题日益突出。而准确地对网络链路中流量所使用的协议进行识别，对提高网络服务质量、进行入侵检测及网络流量管理有着重要的意义。因此，协议识别成为了当下的一个研究热点。在对协议进行识别之前，需生成协议的特征模式集，通过生成的特征模式集便可对网络链路中的各种流量所使用的协议进行识别。

现有技术在生成特征模式集时，采用基于应用载荷的分析方法。也即，针对存在标准文档的协议，对标准文档中明确规定的交互过程中必定出现的特征进行提取或归纳总结，得到协议的特征字符串；之后，根据该协议的特征字符串生成该协议的正则表达式，得到该协议的特征模式。以FTP(File Transfer Protocol，文本传输协议)为例，由于相互通信的两台FTP服务器在准备就绪时，通常会先发送字符串“220”，且在后续通信的过程中，发送的字符中通常包括字符串“FTP”，所以FTP的特征模式可利用正则表达式^220[/x09-/x0d-～]*ftp进行表示。其中，/x09-/x0d-指代所有的ASCII可打印字符。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

利用上述生成方法生成的特征模式对协议名称或版本等关键字敏感。当协议名称发生变更或版本更新时，可能会无法识别采集到的信令数据的协议类型；且当采集到的信令数据的包头信息不完整或有误时，也可能会无法识别该数据的协议类型；此外，在3G(3rd-generation，第三代移动通信技术)信令网PS(Packet Switch，分组交换)域中，存在大量的非运营商OTT业务数据，该类业务的信令数据均采用私有协议类型，所以采用该种生成方式生成的特征模式不能对该类数据进行协议识别。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种特征模式集生成方法及装置。所述技术方案如下：

一方面，提供了一种特征模式集生成方法，所述方法包括：

从信令数据流中获取待分析的多个数据包，所述多个数据包的类型相同且等长度；

对所述多个数据包进行特征分析，得到所述多个数据包的高频字节串；

确定所述高频字节串的位置特征信息；

根据所述位置特征信息，生成与所述多个数据包的类型相匹配的特征模式集。

可选地，所述对所述多个数据包进行特征分析，得到所述多个数据包的高频字节串，包括：

对于所述多个数据包中的一个数据包，对所述数据包中的每一个字节元素进行字符转换，得到所述每一个字节元素对应的字符类型标识；

确定所述每一个字节元素的字节值及所述每一个字节元素在所述数据包中的相对位置偏移；

判断所述多个数据包中同一相对位置偏移上的字节元素的字节值是否一致；

如果所述多个数据包中同一相对位置偏移上的字节元素的字节值一致，则所述字节元素为第一高频字节元素。

可选地，所述确定所述每一个字节元素的字节值及所述每一个字节元素在所述数据包中的相对位置偏移之后，所述方法还包括：

判断所述多个数据包中同一相对位置偏移上的字节元素对应的字符类型标识是否为同一类型；

如果所述多个数据包中同一相对位置偏移上的字节元素对应的字符类型标识为同一类型，则所述字节元素为第二高频字节元素。

可选地，所述确定所述高频字节串的位置特征信息之前，所述方法还包括：

生成所述每一个字节元素的参数项，所述参数项中包括所述每一个字节元素的字节值、所述每一个字节元素对应的字符类型标识及所述每一个字节元素在所述数据包中的相对位置偏移；

所述确定所述高频字节串的位置特征信息，包括：

获取所述第一高频字节元素的参数项，将所述第一高频字节元素的参数项作为第一位置特征信息；

获取所述第二高频字节元素的参数项，将所述第二高频字节元素的参数项作为第二位置特征信息。

可选地，所述根据所述位置特征信息，生成与所述多个数据包的类型相匹配的特征模式集，包括：

对于所述第一位置特征信息，确定所述第一位置特征信息中具有相同参数项的完全相等项集合，每一个完全相等项中至少包括两个参数项；

确定所述完全相等项集合中，每一个完全相等项的支持度；