本發明涉及數據通信領域，其公開了一種自動提取應用特征的方法，解決傳統技術中手動提取應用特征存在的工作量大、容易出錯的問題。其包括以下步驟：a.緩存應用程序的數據流中的報文；b.從緩存的報文中判斷報文的協議類型，根據協議類型，調用對應類型的協議解析器；c.利用對應類型的協議解析器解析對應協議類型的報文，獲取解析的報文數據；d.從解析的報文數據中提取應用程序的特征；e.通過日志輸出提取的應用程序的特征。此外，本發明還提供了一種自動提取應用特征的裝置，適用于應用程序的權限控制。

技術領域

本發明涉及數據通信領域，具體涉及一種自動提取應用特征的裝置及方法。

背景技術

隨著企業安全防護過程中對應用程序的關注，基于深度包檢測技術(DPI)和深度流檢測技術(DFI)成為安全領域的熱門技術之一。現階段，基于端口進行應用協議的識別是最為通常的手段。例如發現某數據報文中源或目的端口為80，則認為該報文是HTTP協議相關報文，交給HTTP協議分析引擎進行協議解碼和攻擊檢測。

但隨著各種網絡應用的逐步豐富，這種基于端口來識別報文所屬協議類型的方法暴露出其存在的不足，由于無法分析出具體的應用，就無法針對不同的應用實施不同的策略。例如，新浪和搜狐兩個應用對應的報文都是HTTP報文，如果不能區分到底是新浪和搜狐，給用戶針對這兩個應用程序做控制就帶來了麻煩，對這兩個不同的軟件，只能采取相同的安全策略。

DPI技術中提出了特征的概念，所謂特征，就是應用程序的唯一標識，針對每款應用程序，都可以根據這款應用的特征信息在經過設備的報文中做識別，如果特征匹配，就認為經過設備的報文流信息就是對應應用程序產生的流信息。

現有技術中通常采取靜態方式分析應用程序的特征，所謂靜態的方式，以一個互聯網應用程序(APP)為例，一般流程如下：

1、開啟抓包軟件；

2、手機等終端打開APP，使用APP；

3、停止抓包，獲取到APP對應的報文；

4、人工查看APP使用過程中產生的報文，如果是HTTP報文，則檢查同一條數據流的多條報文之間，頭部字段或者報文體中是否存在相同的內容，如果存在相同的內容，就可以提取出來做特征，如果是TCP或者UDP報文，可以從TCP/UDP報文體部分提取相同的內容作為特征；

但是，市場上的應用程序成千上萬，完全靠人力來提取特征，工作量是巨大的，且容易出錯導致應用程序識別錯誤。

發明內容

本發明所要解決的技術問題是，提出一種自動提取應用特征的裝置及方法，解決傳統技術中手動提取應用特征存在的工作量大、容易出錯的問題。

一方面，本發明實施例提供一種自動提取應用特征的裝置，其包括：

報文緩存模塊，用于緩存應用程序的數據流中的報文；

協議判斷器，用于從緩存的報文中判斷報文的協議類型，根據協議類型，調用對應類型的協議解析器；

協議解析器，用于解析對應協議類型的報文，獲取解析的報文數據；

特征提取器，用于從解析的報文數據中提取應用程序的特征；

特征輸出模塊，用于通過日志輸出提取的應用程序的特征。

作為進一步優化，該裝置還包括：

特征生成器，用于根據提取的應用程序的特征制作特征庫；

特征部署模塊，用于將制作的特征庫部署到網絡設備中，供管理員對應用程序的權限進行配置。

作為進一步優化，所述協議解析器獲取解析的報文數據包括：

獲取解析的報文的頭部數據或報文體數據。