[发明专利]一种面向返回式编程流量的特征提取方法、装置及设备

权利要求书

1.一种面向返回式编程流量的特征提取方法，其特征在于，包括：

获取待检测流量，并按照预设维度数量从首字节开始对所述待检测流量中的字节依次循环标记相应的序号；

将所述待检测流量中具有相同序号的字节划分至同一组，以得到包含若干组流量数据的第一数据组；所述第一数据组中的流量数据的组数与所述预设维度数量相一致；

利用预设窗口尺寸的滑动窗口分别对所述第一数据组中的每组流量数据进行滑动窗口取值，以得到具有相应组数的数据的第二数据组；

对所述第二数据组的各组数据中相同窗口滑动位置的数据取方差，以将所述第二数据组转换为一维数据组，并根据所述一维数据组中记录的异常方差区域确定出所述待检测流量中的面向返回式编程流量的特征。

2.根据权利要求1所述的面向返回式编程流量的特征提取方法，其特征在于，所述获取待检测流量之前，还包括：

获取待处理流量数据；

去除所述待处理流量数据的协议头部信息，并保留所述待处理流量数据中的有效载荷以得到所述待检测流量。

3.根据权利要求1所述的面向返回式编程流量的特征提取方法，其特征在于，所述按照预设维度数量从首字节开始对所述待检测流量中的字节依次循环标记相应的序号，包括：

确定当前所使用计算机的类型；

如果所述计算机为32位计算机，则从首字节开始对所述待检测流量中的字节依次循环标记4个序号；

如果所述计算机为64位计算机，则从首字节开始对所述待检测流量中的字节依次循环标记8个序号；

相应的，将所述待检测流量中具有相同序号的字节划分至同一组，以得到包含若干组流量数据的第一数据组，包括：

如果所述计算机为32位计算机，则将所述待检测流量中具有相同序号的字节划分至同一组，以得到包含4组流量数据的第一数据组；

如果所述计算机为64位计算机，则将所述待检测流量中具有相同序号的字节划分至同一组，以得到包含8组流量数据的第一数据组。

4.根据权利要求1所述的面向返回式编程流量的特征提取方法，其特征在于，所述对所述第二数据组的各组数据中相同窗口滑动位置的数据取方差之前，还包括：

将所述第一数据组中的每组流量数据分别转换成对应的流量信号图，并判断所有所述流量信号图中是否只存在一个所述流量信号图在目标区域内的数据值稳定；

若只存在一个所述流量信号图在目标区域内的数据值稳定，则所述待检测流量中存在面向返回式编程流量数据，然后对所述第二数据组的各组数据中相同窗口滑动位置的数据取方差。

5.根据权利要求4所述的面向返回式编程流量的特征提取方法，其特征在于，所述根据所述一维数据组中记录的异常方差区域确定出所述待检测流量中的面向返回式编程流量的特征，包括：

若所述一维数据组中第一区域对应的方差大于第二区域对应的方差，并且所述第一区域对应的方差与所述第二区域对应的方差之间的差值大于预设阈值，则判定所述第一区域为包含所述面向返回式编程流量数据的区域，并提取所述第一区域中的面向返回式编程流量的特征。

6.根据权利要求1至5任一项所述的面向返回式编程流量的特征提取方法，其特征在于，所述利用预设窗口尺寸的滑动窗口对所述第一数据组进行滑动窗口取值，包括：

利用预设窗口尺寸的滑动窗口并基于预设滑动取值规则，对所述第一数据组进行滑动窗口取值；其中，所述预设滑动取值规则为在每次滑动时将所述滑动窗口内不同字节数值的个数作为相应的取值结果。

7.根据权利要求6所述的面向返回式编程流量的特征提取方法，其特征在于，所述对所述第一数据组进行滑动窗口取值，包括：

按照预设滑动步长对所述第一数据组进行滑动窗口取值。