[发明专利]一种提取特征规则的方法及系统

说明书

本发明提供了一种提取特征规则的方法及系统，根据待分析应用的数据包的数据，确定数据包的类型，及构建数据包对应的五元组流表；若数据包的类型为DNS，利用数据包的域名和IP地址，结合基于五元组流表构建的地址列表，生成数据包对应的DNS特征规则并将其存储至规则文件；若数据包的类型为HTTP，利用数据包的IP地址，结合地址列表和待分析应用的应用名，生成数据包对应的HTTP特征规则并将其存储至规则文件；若数据包的类型为HTTPS，利用数据包的IP地址，结合地址列表和所述应用名，生成数据包对应的HTTPS特征规则并将其存储至规则文件。不需要人工对数据进行分析，降低分析成本、减少分析时间和提高分析的准确率。

技术领域

本发明涉及数据处理技术领域，具体涉及一种提取特征规则的方法及系统。

背景技术

在分析新的业务需求时，通常需要从某应用的数据流中提取相应的特征规则，再利用提取得到的特征规则来进行业务需求的分析。

目前提取特征规则的方式为：分析人员通过协议分析器抓取目标应用的数据流，人工分析数据流中属于目标应用的特征，最后将该特征生成特定格式的特征规则。但是一方面，应用的种类繁多，需要大量的分析人员来分析不同类型的应用的数据流，分析成本较高，另一方面，分析一个应用的数据流需要较长时间，且人工分析过程中容易遗漏重要数据，导致分析过程所耗费的时间较长和分析数据流的准确率较低。

发明内容

有鉴于此，本发明实施例提供一种提取特征规则的方法及系统，以解决现有提取特征规则的方式存在的分析成本高、分析时间长和分析准确率低等问题。

为实现上述目的，本发明实施例提供如下技术方案：

本发明实施例第一方面公开一种提取特征规则的方法，所述方法包括：

获取待分析应用的数据包的数据；

根据所述数据包的数据，确定所述数据包的类型，以及构建所述数据包对应的五元组流表，所述数据包的类型为域名系统DNS、超文本传输协议HTTP或超文本传输安全协议HTTPS；

若所述数据包的类型为DNS，利用所述数据包的域名和IP地址，结合基于所述五元组流表所构建的地址列表，生成所述数据包对应的DNS特征规则并将其存储至规则文件中，所述地址列表中存储域名和IP地址的对应关系；

若所述数据包的类型为HTTP，利用所述数据包的IP地址，结合所述地址列表和所述待分析应用的应用名，生成所述数据包对应的HTTP特征规则并将其存储至所述规则文件中；

若所述数据包的类型为HTTPS，利用所述数据包的IP地址，结合所述地址列表和所述应用名，生成所述数据包对应的HTTPS特征规则并将其存储至所述规则文件中。

优选的，所述利用所述数据包的域名和IP地址，结合基于所述五元组流表所构建的地址列表，生成所述数据包对应的DNS特征规则并将其存储至规则文件中，包括：

获取所述数据包的域名和IP地址的对应关系；

若根据所述数据包的域名查询到所述待分析应用的应用名，将所述数据包的域名和IP地址的对应关系存储至基于所述五元组流表所构建的地址列表；

生成所述数据包对应的DNS特征规则并将其存储至规则文件中。

优选的，所述利用所述数据包的IP地址，结合所述地址列表和所述待分析应用的应用名，生成所述数据包对应的HTTP特征规则并将其存储至所述规则文件中，包括：

获取所述数据包的IP地址；

若确定所述地址列表中存在所述数据包的IP地址，获取所述数据包的url和host；