[发明专利]一种报文特征的提取方法和装置有效
| 申请号: | 201911357126.3 | 申请日: | 2019-12-25 |
| 公开(公告)号: | CN111163184B | 公开(公告)日: | 2022-07-01 |
| 发明(设计)人: | 林嘉琳;魏方征;汪庆权 | 申请(专利权)人: | 杭州迪普科技股份有限公司 |
| 主分类号: | H04L61/4511 | 分类号: | H04L61/4511;H04L9/40 |
| 代理公司: | 北京博思佳知识产权代理有限公司 11415 | 代理人: | 王茹 |
| 地址: | 310051 浙江省杭*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 报文 特征 提取 方法 装置 | ||
1.一种报文特征的提取方法,其特征在于,所述方法包括:
对域名系统协议DNS报文进行域名解析,得到域名与IP地址的对应关系;
基于目标报文的IP地址确定所述目标报文对应的域名,并将域名相同的目标报文划分到相同的集合中,得到若干与域名对应的报文集合;所述目标报文为对其进行报文特征提取的报文;
针对每个报文集合,提取所述报文集合中各个目标报文的预设字段,作为与该报文集合域名对应的报文特征。
2.根据权利要求1所述方法,其特征在于,所述基于目标报文的IP地址确定所述目标报文对应的域名,并将域名相同的目标报文划分到相同的集合中,包括:
基于五元组将所述目标报文划分为一条或多条报文流;
基于每条报文流的IP地址确定所述报文流对应的域名,并将域名相同的报文流中的目标报文划分到相同的集合中。
3.根据权利要求2所述方法,其特征在于,所述方法还包括:
针对每条报文流,过滤掉报文计数大于阈值的目标报文,在过滤后执行报文集合的划分。
4.根据权利要求1-3任一项所述方法,其特征在于,对于HTTP报文,所述预设字段为请求方法、Host和UA字段;对于HTTPS报文,所述预设字段为server name字段。
5.根据权利要求4所述方法,其特征在于,所述方法还包括:
将提取到的报文特征以正则表达式的形式整合。
6.一种报文特征的提取装置,其特征在于,所述装置包括:
解析单元,用于对域名系统协议DNS报文进行域名解析,得到域名与IP地址的对应关系;
划分单元,用于基于目标报文的IP地址确定所述目标报文对应的域名,并将域名相同的目标报文划分到相同的集合中,得到若干与域名对应的报文集合;所述目标报文为对其进行报文特征提取的报文;
提取单元,用于针对每个报文集合,提取所述报文集合中各个目标报文的预设字段,作为与该报文集合域名对应的报文特征。
7.根据权利要求6所述装置,其特征在于,所述划分单元具体用于:
基于五元组将所述目标报文划分为一条或多条报文流;
基于每条报文流的IP地址确定所述报文流对应的域名,并将域名相同的报文流中的目标报文划分到相同的集合中。
8.根据权利要求7所述装置,其特征在于,所述装置还包括:
过滤单元,用于针对每条报文流,过滤掉报文计数大于阈值的目标报文,在过滤后执行报文集合的划分。
9.根据权利要求6-8任一项所述装置,其特征在于,对于HTTP报文,所述预设字段为请求方法、Host和UA字段;对于HTTPS报文,所述预设字段为server name字段。
10.根据权利要求9所述装置,其特征在于,所述装置还包括:
整合单元,用于将提取到的报文特征以正则表达式的形式整合。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州迪普科技股份有限公司,未经杭州迪普科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911357126.3/1.html,转载请声明来源钻瓜专利网。
