[发明专利]网络数据的主体抽取方法、装置、电子设备及存储介质

权利要求书

1.网络数据的主体抽取方法，其特征在于，包括：

获取发往服务器的待检测网络数据流；

对所述待检测网络数据流进行特征模板提取，得到所述待检测网络数据流对应的待检测主体特征；

根据选取条件从预设的主体特征库中提取出待验证网络数据的待验证主体特征；

将所述待检测主体特征和所述待验证主体特征进行比对分析，若所述待检测主体特征与所述待验证主体特征相符合，则获取所述待检测网络数据流的主体报文数据；

读取出所述待检测网络数据流的报文协议数据和业务报文数据；

根据所述报文协议数据和所述业务报文数据对所述主体报文数据进行分组，得到多个类型数据；

分别对多个所述类型数据构造正则表达式生成局部特征；

根据预设顺序合并相同部分和所述局部特征，得到主体数据。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述待检测主体特征与所述待验证主体特征不符合，则对所述待检测网络数据流进行放行处理。

3.根据权利要求2所述的方法，其特征在于，在所述对所述待检测网络数据流进行放行处理之后，还包括：

获取所述待检测网络数据流与所述主体特征库的关联关系；

根据所述关联关系对所述待检测网络数据流和所述待检测主体特征进行检测，得到所述待检测网络数据流中的主体数据。

4.根据权利要求1所述的方法，其特征在于，所述对所述待检测网络数据流进行特征模板提取，得到所述待检测网络数据流对应的待检测主体特征，包括：

对所述待检测网络数据流进行特征模版提取，得到所述待检测网络数据流的待检测特征标签和待检测业务行为；

根据所述待检测特征标签、所述待检测业务行为进行归类抽象，得到所述待检测主体特征。

5.根据权利要求4所述的方法，其特征在于，所述根据所述待检测特征标签、所述待检测业务行为进行归类抽象，得到所述待检测主体特征，包括：

根据所述待检测特征标签和所述待检测业务行为生成待检测特征链；

根据所述待检测特征链得到所述待检测网络数据流的映射关系；

根据所述映射关系提取出所述待检测主体特征。

6.根据权利要求1所述的方法，其特征在于，还包括建立所述主体特征库，具体包括：

获取样本网络数据流，对所述样本网络数据流进行特征模板提取，得到样本特征标签和样本业务行为；

对所述样本网络数据流和所述样本特征标签使用正则表达式匹配，得到规则字符串；

根据预设会话确认所述样本业务行为之间的业务顺序；

根据所述规则字符串、所述业务顺序和所述样本网络数据流组成所述主体特征库。

7.网络数据的主体抽取装置，其特征在于，包括：

获取模块，用于获取发往服务器的待检测网络数据流；

第一提取模块，用于对所述待检测网络数据流进行特征模板提取，得到所述待检测网络数据流对应的待检测主体特征；

第二提取模块，用于根据选取条件从预设的主体特征库中提取出待验证网络数据的待验证主体特征；

比对模块，用于将所述待检测主体特征和所述待验证主体特征进行比对分析，若所述待检测主体特征与所述待验证主体特征相符合，则获取所述待检测网络数据流的主体报文数据；

抽取模块，用于读取出所述待检测网络数据流的报文协议数据和业务报文数据，根据所述报文协议数据和所述业务报文数据对所述主体报文数据进行分组，得到多个类型数据，分别对多个所述类型数据构造正则表达式生成局部特征，根据预设顺序合并相同部分和所述局部特征，得到主体数据。

8.电子设备，其特征在于，包括：

至少一个处理器，以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行所述指令时实现如权利要求1至6任一项所述的网络数据的主体抽取方法。

9.计算机可读存储介质，其特征在于，所述存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行如权利要求1至6任一项所述的网络数据的主体抽取方法。