本發明公開了一種特征提取的方法和裝置。其中，該方法包括：截取待檢測應用的流量數據包，得到數據包文件，其中，待檢測應用的數量為一個或多個；對數據包文件進行預處理，得到數據方陣；對數據方陣進行特征提取，得到待檢測應用的目標特征，其中，目標特征用于對待檢測應用的應用流量進行分析，目標特征為待檢測應用的所有特征中的最優特征。本發明解決了現有技術采用手動提取應用流量中的數據特征的方式所導致的特征提取效率低的技術問題。

技術領域

本發明涉及計算機網絡領域，具體而言，涉及一種特征提取的方法和裝置。

背景技術

隨著計算機網絡技術的飛速發展，尤其是在互聯網+時代浪潮的背景下,眾多行業下的互聯網應用軟件如雨后春筍般迅速發展，而基于應用的識別技術，是目前各種網絡設備應用層安全防護的基礎，也是L4-L7層安全的關鍵技術點之一，由此深度數據包檢測(Deep Packet Inspection，簡稱為DPI)應運而生。DPI技術是一項通過提取應用流量中的數據特征(signature，簡寫為sig)來對各種應用軟件或系統產生的流量進行識別，進而對應用流量進行內容、安全和網絡等方面的分析、控制和管理。

對于應用流量中的數據特征的提取，現在大多數工程師借用Wireshark等網絡分析工具采用手工特征提取的操作方式，該方式不僅工作量大且易出錯。另外，目前互聯網上比較常用的特征提取工具是開源的進程抓包工具QPA，其中，QPA的核心特征提取模塊可對同一網流的所有不同長度的報文進行特征提取，該過程涉及所有類型流量、注重分析，需要較多的人為干預。此外，特征提取模塊存在許多特征被遺漏提取的情況，有時無法覆蓋大部分流量。而分析標準協議流量采用的也是同一特征提取模塊，不具有針對性，提取到的特征也比較粗糙。

針對上述的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種特征提取的方法和裝置，以至少解決現有技術采用手動提取應用流量中的數據特征的方式所導致的特征提取效率低的技術問題。

根據本發明實施例的一個方面，提供了一種特征提取的方法，包括：截取待檢測應用的流量數據包，得到數據包文件，其中，待檢測應用的數量為一個或多個；對數據包文件進行預處理，得到數據方陣；對數據方陣進行特征提取，得到待檢測應用的目標特征，其中，目標特征用于對待檢測應用的應用流量進行分析，目標特征為待檢測應用的所有特征中的最優特征。

可選地，特征提取的方法還包括：確定待檢測應用對應的截取次數；基于截取次數對待檢測應用的流量數據包進行多次截取處理，得到數據包文件。

可選地，在每次的流量數據包截取過程中，對于相同的待檢測應用截取不同賬號對應的流量數據包。

可選地，特征提取的方法還包括：對數據包文件進行網流過濾處理，得到預設網流，其中，待檢測應用對應多個數據包文件，每個數據包文件包括多個網流，網流用于表征網絡流量會話；按照每個預設網流的多個應用層負載的字節大小對字節對應的字符進行排列，得到每個預設網流對應的字符串序列；根據字符串序列對預設網流進行分組處理，得到數據方陣。

可選地，特征提取的方法還包括：對數據包文件中的傳輸控制協議網流中的超文本傳輸協議流量對應的網流以及超文本傳輸安全協議流量對應的網流進行過濾處理，得到非超文本傳輸協議流量對應的網流或超非文本傳輸安全協議流量對應的網流；對數據包文件中的用戶數據包協議網流中的域名系統協議流量對應的網流進行過濾處理，得到非域名系統協議流量對應的網流。

可選地，特征提取的方法還包括：按照多個數據包文件中字符串序列的相似度對預設網流進行分組處理，得到數據方陣，其中，相似度大于預設相似度的預設網流分為一組。