[发明专利]一种数据特征提取的方法及装置

权利要求书

1.一种数据特征提取的方法，其特征在于，包括：

确定需要进行数据特征提取的第一会话和第二会话，并从所述第一会话包含的报文中提取第一设定数目的报文信息，以及从所述第二会话包含的报文中提取第二设定数目的报文信息；其中，所述第一会话和第二会话是同一个应用操作在不同时间所产生的，所述报文信息中至少包括报文应用层负载字节序；

采用指定的匹配算法，依次根据从第一会话中提取的每一个报文应用层负载字节序构建相应的状态机，每构建一个状态机，将当前构建的状态机与从第二会话中提取的每一个报文应用层负载字节序依次进行匹配，每执行一次匹配，对当前获得的匹配结果进行迭代合并，并根据预设规则计算当前获得的经迭代合并后的匹配结果的权值，直到确定当前获得的权值不小于设定阈值为止，确定匹配成功并停止构建状态机及停止匹配，以及将当前获得的经迭代合并后的匹配结果作为所述应用操作的数据特征。

2.如权利要求1所述的方法，其特征在于，从所述第一会话包含的报文中提取第一设定数目的报文信息，以及从所述第二会话包含的报文中提取第二设定数目的报文信息，具体包括：

依次从第一会话中读取报文，每读取一个报文，判断当前读取的一个报文的应用层负载长度是否大于0，且是否为重传报文，并在确定所述一个报文的应用层负载长度大于0，且不是重传报文时，从所述一个报文中提取报文信息，直至提取到第一设定数目的报文信息为止，停止读取报文；其中，报文信息中至少包括应用层负载长度；

依次从第二会话中读取报文，每读取一个报文，判断当前读取的一个报文的应用层负载长度是否大于0，且是否为重传报文，并在确定所述一个报文的应用层负载长度大于0，且不是重传报文时，从所述一个报文中提取报文信息，直至提取到第二设定数目的报文信息为止，停止读取报文；其中，报文信息中至少包括应用层负载长度。

3.如权利要求1所述的方法，其特征在于，采用指定的匹配算法，根据从第一会话中提取的一个报文应用层负载字节序构建相应的状态机，具体包括：

基于从第一会话中提取的一个报文应用层负载字节序，采用预设方式进行处理，得到相应的模式串集合；

基于所述模式串集合，采用指定的匹配算法构建相应的状态机。

4.如权利要求3所述的方法，其特征在于，基于从第一会话中提取的一个报文应用层负载字节序，采用预设方式进行处理，得到相应的模式串集合，具体包括：

从所述一个报文应用层负载字节序中的第一个字节开始，以2字节为单位进行字节段提取，直到剩余字节的长度小于2为止，获得第一提取结果；

从所述一个报文应用层负载字节序中的第二个字节开始，以2字节为单位进行字节段提取，直到剩余字节的长度小于2为止，获得第二提取结果；

分别将第一提取结果和第二提取结果中包含的每一个字节段作为一个模式串，生成相应的模式串集合，并保存每一个模式串在所述一个报文应用层负载字节序中的起始位置值和结束位置值。

5.如权利要求4所述的方法，其特征在于，将当前构建的状态机与从第二会话中提取的任意一个报文应用层负载字节序进行匹配后，获得相应的匹配结果，在所述匹配结果中记录有匹配得到的所有特征串，以及每一个特征串在第一会话中的报文应用层负载字节序中的起始位置值和结束位置值，以及在第二会话中的报文应用层负载字节序中的起始位置值和结束位置值；其中，所述特征串为，所述当前构建的状态机中的所有模式串中在所述从第二会话中提取的任意一个报文应用层负载字节序中出现的任意一个模式串。