技術(shù)領(lǐng)域

本發(fā)明涉及協(xié)議識(shí)別技術(shù)領(lǐng)域，特別涉及一種特征模式集生成方法及裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)服務(wù)質(zhì)量、網(wǎng)絡(luò)安全及網(wǎng)絡(luò)流量控制等問題日益突出。而準(zhǔn)確地對(duì)網(wǎng)絡(luò)鏈路中流量所使用的協(xié)議進(jìn)行識(shí)別，對(duì)提高網(wǎng)絡(luò)服務(wù)質(zhì)量、進(jìn)行入侵檢測(cè)及網(wǎng)絡(luò)流量管理有著重要的意義。因此，協(xié)議識(shí)別成為了當(dāng)下的一個(gè)研究熱點(diǎn)。在對(duì)協(xié)議進(jìn)行識(shí)別之前，需生成協(xié)議的特征模式集，通過生成的特征模式集便可對(duì)網(wǎng)絡(luò)鏈路中的各種流量所使用的協(xié)議進(jìn)行識(shí)別。

現(xiàn)有技術(shù)在生成特征模式集時(shí)，采用基于應(yīng)用載荷的分析方法。也即，針對(duì)存在標(biāo)準(zhǔn)文檔的協(xié)議，對(duì)標(biāo)準(zhǔn)文檔中明確規(guī)定的交互過程中必定出現(xiàn)的特征進(jìn)行提取或歸納總結(jié)，得到協(xié)議的特征字符串；之后，根據(jù)該協(xié)議的特征字符串生成該協(xié)議的正則表達(dá)式，得到該協(xié)議的特征模式。以FTP(File?Transfer?Protocol，文本傳輸協(xié)議)為例，由于相互通信的兩臺(tái)FTP服務(wù)器在準(zhǔn)備就緒時(shí)，通常會(huì)先發(fā)送字符串“220”，且在后續(xù)通信的過程中，發(fā)送的字符中通常包括字符串“FTP”，所以FTP的特征模式可利用正則表達(dá)式^220[/x09-/x0d-～]*ftp進(jìn)行表示。其中，/x09-/x0d-指代所有的ASCII可打印字符。

在實(shí)現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題：

利用上述生成方法生成的特征模式對(duì)協(xié)議名稱或版本等關(guān)鍵字敏感。當(dāng)協(xié)議名稱發(fā)生變更或版本更新時(shí)，可能會(huì)無法識(shí)別采集到的信令數(shù)據(jù)的協(xié)議類型；且當(dāng)采集到的信令數(shù)據(jù)的包頭信息不完整或有誤時(shí)，也可能會(huì)無法識(shí)別該數(shù)據(jù)的協(xié)議類型；此外，在3G(3rd-generation，第三代移動(dòng)通信技術(shù))信令網(wǎng)PS(Packet?Switch，分組交換)域中，存在大量的非運(yùn)營(yíng)商OTT業(yè)務(wù)數(shù)據(jù)，該類業(yè)務(wù)的信令數(shù)據(jù)均采用私有協(xié)議類型，所以采用該種生成方式生成的特征模式不能對(duì)該類數(shù)據(jù)進(jìn)行協(xié)議識(shí)別。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)的問題，本發(fā)明實(shí)施例提供了一種特征模式集生成方法及裝置。所述技術(shù)方案如下：

一方面，提供了一種特征模式集生成方法，所述方法包括：

從信令數(shù)據(jù)流中獲取待分析的多個(gè)數(shù)據(jù)包，所述多個(gè)數(shù)據(jù)包的類型相同且等長(zhǎng)度；

對(duì)所述多個(gè)數(shù)據(jù)包進(jìn)行特征分析，得到所述多個(gè)數(shù)據(jù)包的高頻字節(jié)串；

確定所述高頻字節(jié)串的位置特征信息；

根據(jù)所述位置特征信息，生成與所述多個(gè)數(shù)據(jù)包的類型相匹配的特征模式集。

可選地，所述對(duì)所述多個(gè)數(shù)據(jù)包進(jìn)行特征分析，得到所述多個(gè)數(shù)據(jù)包的高頻字節(jié)串，包括：

對(duì)于所述多個(gè)數(shù)據(jù)包中的一個(gè)數(shù)據(jù)包，對(duì)所述數(shù)據(jù)包中的每一個(gè)字節(jié)元素進(jìn)行字符轉(zhuǎn)換，得到所述每一個(gè)字節(jié)元素對(duì)應(yīng)的字符類型標(biāo)識(shí)；

確定所述每一個(gè)字節(jié)元素的字節(jié)值及所述每一個(gè)字節(jié)元素在所述數(shù)據(jù)包中的相對(duì)位置偏移；

判斷所述多個(gè)數(shù)據(jù)包中同一相對(duì)位置偏移上的字節(jié)元素的字節(jié)值是否一致；

如果所述多個(gè)數(shù)據(jù)包中同一相對(duì)位置偏移上的字節(jié)元素的字節(jié)值一致，則所述字節(jié)元素為第一高頻字節(jié)元素。

可選地，所述確定所述每一個(gè)字節(jié)元素的字節(jié)值及所述每一個(gè)字節(jié)元素在所述數(shù)據(jù)包中的相對(duì)位置偏移之后，所述方法還包括：

判斷所述多個(gè)數(shù)據(jù)包中同一相對(duì)位置偏移上的字節(jié)元素對(duì)應(yīng)的字符類型標(biāo)識(shí)是否為同一類型；

如果所述多個(gè)數(shù)據(jù)包中同一相對(duì)位置偏移上的字節(jié)元素對(duì)應(yīng)的字符類型標(biāo)識(shí)為同一類型，則所述字節(jié)元素為第二高頻字節(jié)元素。

可選地，所述確定所述高頻字節(jié)串的位置特征信息之前，所述方法還包括：

生成所述每一個(gè)字節(jié)元素的參數(shù)項(xiàng)，所述參數(shù)項(xiàng)中包括所述每一個(gè)字節(jié)元素的字節(jié)值、所述每一個(gè)字節(jié)元素對(duì)應(yīng)的字符類型標(biāo)識(shí)及所述每一個(gè)字節(jié)元素在所述數(shù)據(jù)包中的相對(duì)位置偏移；

所述確定所述高頻字節(jié)串的位置特征信息，包括：

獲取所述第一高頻字節(jié)元素的參數(shù)項(xiàng)，將所述第一高頻字節(jié)元素的參數(shù)項(xiàng)作為第一位置特征信息；

獲取所述第二高頻字節(jié)元素的參數(shù)項(xiàng)，將所述第二高頻字節(jié)元素的參數(shù)項(xiàng)作為第二位置特征信息。

可選地，所述根據(jù)所述位置特征信息，生成與所述多個(gè)數(shù)據(jù)包的類型相匹配的特征模式集，包括：

對(duì)于所述第一位置特征信息，確定所述第一位置特征信息中具有相同參數(shù)項(xiàng)的完全相等項(xiàng)集合，每一個(gè)完全相等項(xiàng)中至少包括兩個(gè)參數(shù)項(xiàng)；

確定所述完全相等項(xiàng)集合中，每一個(gè)完全相等項(xiàng)的支持度；