CN117201340A - 一种报文特征识别方法、装置、设备及存储介质 - Google Patents

一种报文特征识别方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117201340A
CN117201340A CN202311228844.7A CN202311228844A CN117201340A CN 117201340 A CN117201340 A CN 117201340A CN 202311228844 A CN202311228844 A CN 202311228844A CN 117201340 A CN117201340 A CN 117201340A
Authority
CN
China
Prior art keywords
message
screened
target
type
screening
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311228844.7A
Other languages
English (en)
Inventor
李开科
方群
高雷
刘立
曹龙海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dawning Network Technology Co ltd
Original Assignee
Dawning Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dawning Network Technology Co ltd filed Critical Dawning Network Technology Co ltd
Priority to CN202311228844.7A priority Critical patent/CN117201340A/zh
Publication of CN117201340A publication Critical patent/CN117201340A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种报文特征识别方法、装置、设备及存储介质。该方法包括:获取待筛选特征字段,并根据待筛选特征字段构建报文初筛规则;接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文;在目标待筛选报文中对待筛选特征字段进行筛选,确定特征识别结果。通过采用上述技术方案,基于获取的待筛选特征字段,设置报文初筛规则,并在对报文进行实际字段筛选前,首先通过初筛规则筛去必然不可能存在待筛选特征字段的部分报文。使得最终需要对待筛选特征字段进行匹配的报文量大幅度降低,减少一次报文特征识别时所需筛选报文的数量,提升了报文特征识别效率,进以提升了总体性能。

Description

一种报文特征识别方法、装置、设备及存储介质
技术领域
本发明涉及网络数据分析技术领域,尤其涉及一种报文特征识别方法、装置、设备及存储介质。
背景技术
随着近年来网络技术的兴起,应用种类和网络带宽随之快速增长,为保障网络安全以及为向用户更有针对性的提供服务,需对网络流量进行分析,而当下基于应用层深度处理的需求也日益增加,向网络流量分析提出了更高的需求。
对于流量分析管控系统而言,深度报文检测(Deep Packet Inspection,DPI)作为主流技术,其技术原理是针对报文特征进行识别以实现针对报文的检测。而现有识别报文特征一般采用各类关键字规则匹配的方式进行,如采用软件则会通过各类算法进行实现,如采用硬件芯片则会针对流量数据中的报文依次进行字节偏移后的多次匹配。
然而,针对硬件芯片中常利用的三态内容寻址存储器芯片(Ternary ContentAddressable Memory,TCAM)对网络数据报文进行浮动规则匹配时,由于TCAM的技术路线为固定位置关键字规则匹配,其在实现浮动位置关键字规则匹配时,往往是将匹配位置进行字节偏移后进行多次匹配,来实现浮动位置关键字规则匹配的效果,然而该类匹配操作往往存在性能瓶颈,随着需要匹配报文数量和内容含量的增加,对整体系统性能消耗较大。
发明内容
本发明提供了一种报文特征识别方法、装置、设备及存储介质,可减少一次报文特征识别时所需筛选报文的数量,提升了报文特征识别效率,进以提升了总体性能。
第一方面,本发明实施例提供了一种报文特征识别方法,包括:
获取待筛选特征字段,并根据待筛选特征字段构建报文初筛规则;
接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文;
在目标待筛选报文中对待筛选特征字段进行筛选,确定特征识别结果。
可选的,根据待筛选特征字段构建报文初筛规则,包括:
根据待筛选特征字段确定目标协议类型、目标报文类型和目标端口信息;
将目标协议类型、目标报文类型和目标端口信息代入预构建的初筛规则模板,构建与待筛选特征字段对应的报文初筛规则。
上述技术方案通过将待筛选特征字段可出现的协议类型、报文类型和端口信息代入至预先设置的初筛规则模板构建初筛规则。由于待筛选特征字段仅能出现在特定的协议和报文中,基于其构建的初筛规则可筛去大量非对应协议类型和报文类型的报文,提升了筛选效率。
可选的,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文,包括:
确定待筛选报文的待筛选报文类型;
若待筛选报文类型为预设报文类型,则由待筛选报文中对应用层报文进行提取,确定中间待筛选报文;
通过报文初筛规则对中间待筛选报文进行筛选,确定目标待筛选报文。
上述技术方案通过预设报文类型和报文初筛规则两部分对待筛选报文进行筛选,且在执行报文初筛规则筛选前,将针对待筛选报文中对应的应用层报文进行提取,减少了报文初筛规则所需筛选的报文字段量,提升了筛选效率。且二段筛选的方式,能够尽可能筛除与待筛选特征字段无关的报文,减少了后续所需筛选的报文数量,提升了整体性能。
可选的,通过报文初筛规则对中间待筛选报文进行筛选,确定目标待筛选报文,包括:
对中间待筛选报文进行固定位置关键字提取,确定中间待筛选报文的中间协议类型、中间报文类型和中间端口信息;
若中间协议类型、中间报文类型和中间端口信息均命中报文初筛规则,则将中间待筛选报文确定为目标待筛选报文。
上述技术方案由于报文初筛规则中需筛选的字段在中间待筛选报文中为位于固定位置的关键字,仅需对其进行固定位置关键字提取,即可得到所需筛选的信息,只需一次查找即可精确命中,降低了所需消耗的性能。
可选的,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,还包括:
若待筛选报文类型不是预设报文类型,或中间协议类型、中间报文类型和中间端口信息中任一未命中报文初筛规则,则忽略待筛选报文,并返回执行接收并解析待筛选报文的步骤。
上述技术方案针对不满足任意命中条件的待筛选报文进行忽略操作,直接放弃对该报文的后续匹配处理,减少了数据处理量。
可选的,预设报文类型为七层负载报文。
上述技术方案针对的为七层负载报文中的应用层进行报文特征识别,由于其所针对层与四层负载报文不同,故筛选方式存在根本性的不同和不可结合情况。
可选的,在目标待筛选报文中对待筛选特征字段进行筛选,确定特征识别结果,包括:
在目标待筛选报文中,对待筛选特征字段进行浮动位置关键字匹配,根据匹配结果确定特征识别结果。
上述技术方案通过浮动位置关键字匹配方式进行待筛选特征字段的匹配,提升了匹配的灵活性和处理效率。
第二方面,本发明实施例还提供了一种报文特征识别装置,包括:
初筛规则构建模块,用于获取待筛选特征字段,并根据待筛选特征字段构建报文初筛规则;
目标报文确定模块,用于接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文;
特征识别模块,用于接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文。
第三方面,本发明实施例还提供了一种报文特征识别设备,包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行本发明实施例提供的报文特征识别方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行本发明实施例提供的报文特征识别方法。
本发明实施例的技术方案,通过获取待筛选特征字段,并根据待筛选特征字段构建报文初筛规则;接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文;在目标待筛选报文中对待筛选特征字段进行筛选,确定特征识别结果。通过采用上述技术方案,基于获取的待筛选特征字段,设置报文初筛规则,并在对报文进行实际字段筛选前,首先通过初筛规则筛去必然不可能存在待筛选特征字段的部分报文。使得最终需要对待筛选特征字段进行匹配的报文量大幅度降低,减少一次报文特征识别时所需筛选报文的数量,提升了报文特征识别效率,进以提升了总体性能。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种报文特征识别方法的流程图;
图2为本发明实施例提供的另一种报文特征识别方法的流程图;
图3为本发明实施例提供的一种通过报文初筛规则对中间待筛选报文进行筛选,确定目标待筛选报文的流程示例图;
图4为本发明实施例提供的一种报文特征识别装置的结构示意图;
图5为本发明实施例提供的一种报文特征识别设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1为本发明实施例提供的一种报文特征识别方法的流程图,本发明实施例可适用于对网络流量数据进行分析处理时,对报文中需要提取的字段进行筛选提取的情况,该方法可以由报文特征识别装置来执行,该报文特征识别装置可以采用软件和/或硬件的形式来实现,该报文特征识别装置可配置于报文特征识别设备中,该报文特征识别设备可以是两个或多个物理实体构成,也可以是一个物理实体构成,报文特征识别设备可以为笔记本、台式计算机和智能平板等,本发明实施例对此不进行限制。
如图1所示,本发明实施例提供的一种报文特征识别方法,具体包括如下步骤:
S101、获取待筛选特征字段,并根据待筛选特征字段构建报文初筛规则。
在本实施例中,待筛选特征字段具体可理解为根据需求由用户给出的,需要在网络流量中筛选的信息构成的特征字段。报文初筛规则具体可理解为依据待筛选特征字段可能在报文中可能出现的情况构建的,用以对完全不可能包含待筛选特征字段的报文进行筛除的匹配规则。示例性的,假设待筛选特征字段为“www.baidu.com”,该字段为url或host字段,且只存在于http协议的get或post报文中,故可根据上述字段出现限制构建报文初筛规则。
具体的,在需要对网络流量数据进行报文特征提取时,首先需要明确希望在网络流量数据中提取的特征字段,将由外界获取的特征字段信息确定为待筛选特征字段。同时,由于某些特殊类型的特征字段,仅会出现在固定协议中的部分报文内,故此时可根据待筛选特征字段中包含的字段信息类型,确定其具体所属的协议和报文等信息,进而依据确定出的信息构建用以对完全不可能包含待筛选特征字段的报文进行筛除的报文初筛规则。
S102、接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文。
在本实施例中,待筛选报文具体可理解为由采集到的网络流量数据中提取得到的报文数据。预设报文类型具体可理解为根据实际情况预先设置的,适用于特定场景的报文类型。可选的,在本发明实施例中预设报文类型为七层负载报文,也即可认为本发明实施例对应的技术方案需为针对七层负载报文中的对应负载层进行报文特征识别的方案。目标待筛选报文具体可理解为最终需要在其中进行待筛选特征字段匹配筛选的报文。
具体的,由网络中进行流量采集,并对采集到的网络流量进行报文提取和解析后得到待筛选报文,可以理解的是,待筛选报文可为网络流量中采用不同协议进行数据传输的报文,解析可得到同一时间段或一段时间内的多个待筛选报文。由于已根据实际情况预先设置当前报文特征识别场景下需要进行特征识别的预设报文类型,也已根据待筛选特征字段的出现情况构建有报文初筛规则,故可通过预设报文类型和报文初筛规则对待筛选报文进行筛选,将同时命中预设报文类型和报文初筛规则的待筛选报文确定为最终需要进行待筛选特征字段匹配的目标待筛选报文。
在本发明实施例中,通过预设报文类型和报文初筛规则两部分对待筛选报文进行筛选,且在执行报文初筛规则筛选前,将针对待筛选报文中对应的应用层报文进行提取,减少了报文初筛规则所需筛选的报文字段量,提升了筛选效率。且二段筛选的方式,能够尽可能筛除与待筛选特征字段无关的报文,减少了后续所需筛选的报文数量,提升了整体性能。
可以理解的是,由于七层负载报文与四层负载报文不同,七层负载报文中需要进行特征字段筛选的对应负载层中,存储的为字段长度不固定的报文数据,若需对该负载层中的特征字段进行筛选往往需要针对全量数据进行筛选,无法如四层负载报文一样直接就固定位置的五元组信息进行获取和分组筛选。也即在七层负载报文对应负载层中,由于其自身所具有的特性,难以想到直接将对四层负载报文对应负载层中对固定位置报文信息进行初步筛选的方案应用到七层负载报文中对应负载层中。故本发明实施例中提出了依据待筛选特征字段可在七层负载报文对应负载层中,相对固定位置出现的信息构建了报文初筛规则,并将报文初筛规则应用于对七层负载报文的筛选中,在一次初步筛选中筛除负载层中必然不可能包含待筛选特征字段的报文,减少了后续所需筛选的报文数量,提升了运算效率。
S103、在目标待筛选报文中对待筛选特征字段进行筛选,确定特征识别结果。
具体的,将待筛选特征字段分别在每个目标待筛选报文中进行字节匹配,在匹配成功时将包含待筛选特征字段部分的目标待筛选报文确定为特征识别结果,在针对所有目标待筛选报文均未匹配成功时,将未匹配成功确定为待筛选特征字段的特征识别结果。
可选的,在目标待筛选报文中对待筛选特征字段进行筛选,确定特征识别结果,包括:
在目标待筛选报文中,对待筛选特征字段进行浮动位置关键字匹配,根据匹配结果确定特征识别结果。
具体的,在对目标待筛选报文进行待筛选特征字段筛选时,可通过浮动位置关键字匹配规则进行实现,完成待筛选特征字段在各目标待筛选报文中的匹配,进而根据各匹配结果确定特征识别结果。
在本发明实施例中,通过减少目标待筛选报文的数量,同时采用浮动关键字匹配的方式实现在目标待筛选报文中匹配待筛选特征字段,提升了匹配的灵活性,提高了报文特征识别处理效率。
本发明实施例提供了一种报文特征识别方法,通过获取待筛选特征字段,并根据待筛选特征字段构建报文初筛规则;接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文;在目标待筛选报文中对待筛选特征字段进行筛选,确定特征识别结果。通过采用上述技术方案,基于获取的待筛选特征字段,设置报文初筛规则,并在对报文进行实际字段筛选前,首先通过初筛规则筛去必然不可能存在待筛选特征字段的部分报文。使得最终需要对待筛选特征字段进行匹配的报文量大幅度降低,减少一次报文特征识别时所需筛选报文的数量,提升了报文特征识别效率,进以提升了总体性能。
图2为本发明实施例提供的另一种报文特征识别方法的流程图,本发明实施例的技术方案在上述各可选技术方案的基础上进一步细化,明确了报文初筛规则的构建方式,以及基于预设报文类型和报文初筛规则对待筛选报文进行筛选的方式,由于通过报文初筛规则对待筛选报文进行筛选时,是针对待筛选报文中固定位置关键字的筛选,仅需进行一次性能消耗较小的查找即可实现对待筛选报文的初步筛选,减少了需要进行待筛选特征字段筛选的报文数量,降低了筛选运算量,并最终提升了报文特征识别的效率。
如图2所示,本发明实施例提供的一种报文特征识别方法,具体包括如下步骤:
S201、获取待筛选特征字段,根据待筛选特征字段确定目标协议类型、目标报文类型和目标端口信息。
在本实施例中,目标协议类型具体可理解为可以出现待筛选特征字段的协议类型,可以理解的是,目标协议类型可为多种协议类型的集合,也可为单一协议类型,本发明实施例对此不进行限制。示例性的,假设待筛选特征字段为“www.baidu.com”,该字段为url或host字段,其只存在于http协议中,此时可将目标协议类型确定为http协议类型。目标报文类型具体可理解为待筛选特征字段可在目标协议类型中出现的报文类型,可以理解的是,目标报文类型可以是多种报文类型的集合,也可为单一报文类型,本发明实施例对此不进行限制。接上述示例,待筛选特征字段“www.baidu.com”只存在于http协议的get或post报文中,则此时可将目标报文类型确定为get报文类型和post报文类型。目标端口信息具体可理解为待筛选特征字段可在目标协议类型中出现的端口类型信息,如“HTTP/1.1”等,本发明实施例对此不进行限制。
具体的,在由外界获取到需要进行提取的待筛选特征字段后,可根据待筛选特征字段的自身字段类型,确定其可出现的协议类型及报文类型等信息,将确定出的与待筛选特征字段对应的协议类型、报文类型和端口信息分别确定为目标协议类型、目标报文类型和目标端口信息。
S202、将目标协议类型、目标报文类型和目标端口信息代入预构建的初筛规则模板,构建与待筛选特征字段对应的报文初筛规则。
在本实施例中,初筛规则模板具体可理解为根据实际需求预先构建的,用以承载各种筛选条件的模板。可以理解的是,初筛规则模板中可为协议类型、报文类型和端口信息分别设置对应的写入位置,仅需在接收到对应信息时将其填入对应位置即可完成规则构建。
具体的,在明确待筛选特征字段的目标协议类型、目标报文类型和目标端口信息后,将目标协议类型、目标报文类型和目标端口信息分别写入预构建的初筛规则模板中的对应位置,即可得到与待筛选特征字段对应的报文初筛规则。
S203、接收并解析待筛选报文。
S204、确定待筛选报文的待筛选报文类型。
在本实施例中,待筛选报文类型具体可理解为根据报文格式确定的待筛选报文的类型信息,示例性的,待筛选报文类型可为将第四层作为负载层的四层负载报文,也可为将第七层作为负载层的七层负载报文等,本发明实施例对此不进行限制。
具体的,在对待筛选报文进行解析后,即可确定待筛选报文的报文格式,进而可依据待筛选报文的格式确定待筛选报文类型。示例性的,可通过判断待筛选报文是否带有L7负载,来确定待筛选报文是否为七层负载报文。
S205、若待筛选报文类型为预设报文类型,则由待筛选报文中对应用层报文进行提取,确定中间待筛选报文。
其中,预设报文类型为七层负载报文。
具体的,将待筛选报文类型与预设报文类型进行比对,若待筛选报文类型为预设报文类型,也即为七层负载报文时,可认为待筛选特征字段将位于待筛选报文中的负载层,也即在待筛选报文中的应用层中,此时将由待筛选报文中对应用层报文进行提取,并将其提取到的报文确定为中间待筛选报文。
S206、通过报文初筛规则对中间待筛选报文进行筛选,确定目标待筛选报文。
具体的,通过报文初筛规则中携带的信息分别对中间待筛选报文进行筛选,仅将中间待筛选报文中完全命中报文初筛规则的确定为目标待筛选报文。
可选的,图3为本发明实施例提供的一种通过报文初筛规则对中间待筛选报文进行筛选,确定目标待筛选报文的流程示例图,如图3所示,具体包括如下步骤:
S2061、对中间待筛选报文进行固定位置关键字提取,确定中间待筛选报文的中间协议类型、中间报文类型和中间端口信息。
具体的,由于在报文中用以表征协议类型、端口信息及报文类型的字段常在固定位置出现,故可针对中间待筛选报文进行固定位置关键字提取,将其中与协议类型对应位置的关键字确定为中间协议类型,将其中与报文类型对应位置的关键字确定为中间报文类型,将其中与端口信息对应位置的关键字确定为中间端口信息。
S2062、若中间协议类型、中间报文类型和中间端口信息均命中报文初筛规则,则将中间待筛选报文确定为目标待筛选报文。
具体的,若中间协议类型、中间报文类型和中间端口信息均与报文初筛规则中对应位置的信息相同,即可认为中间待筛选报文命中报文初筛规则,也即可认为其中可能存在待筛选特征字段,需要对其进行筛选,此时将中间待筛选报文确定为目标待筛选报文。
可选的,若待筛选报文类型不是预设报文类型,或中间协议类型、中间报文类型和中间端口信息中任一未命中报文初筛规则,则忽略待筛选报文,并返回执行S203。
具体的,若待筛选报文类型不是预设报文类型,则可认为待筛选报文并不符合对待筛选特征字段的筛选需求;而若中间协议类型、中间报文类型和中间端口信息中任一未命中报文初筛规则,则可认为待筛选报文虽然符合待筛选特征字段的筛选需求,但其应用层报文中并不包含待筛选特征字段。在上述两种情况下,均可认为无需对待筛选报文进行后续针对待筛选特征字段的匹配,也即可认为此时忽略该待筛选报文即可,并可返回执行S203,以再次获取新的待筛选报文并执行新一轮的处理判断。
本发明实施例中,在预设报文类型和报文初筛规则中任一项不满足的情况下,即对待筛选报文进行忽略,且以预设报文类型判定优先,通过二段筛选的方式,尽可能筛除与待筛选特征字段无关的报文,减少了后续需进行字段匹配的报文数量,同时针对不满足条件的待筛选报文直接进行忽略操作,直接放弃对该报文的后续匹配处理,减少了数据处理量。
S207、在目标待筛选报文中,对待筛选特征字段进行浮动位置关键字匹配,根据匹配结果确定特征识别结果。
本发明实施例的技术方案,根据待筛选特征字段对应的协议类型、报文类型和端口信息构建报文初筛规则,听通过预设报文类型和报文初筛规则对待筛选报文进行二段筛选,尽可能筛除与待筛选字段无关的报文后,得到数量较少的目标待筛选报文。且由于报文初筛规则中需筛选的字段在中间待筛选报文中为位于固定位置的关键字,仅需对中间待筛选报文进行固定位置关键字的提取即可实现报文初筛规则的命中匹配,只需一次查找即可精确命中,降低了所需消耗的性能。进而针对筛选后的目标待筛选报文进行浮动位置关键字匹配,得到针对待筛选特征字段匹配后的特征识别结果。
图4为本发明实施例提供的一种报文特征识别装置的结构示意图。该报文特征识别装置包括:初筛规则构建模块31、目标报文确定模块32和特征识别模块33。
其中,初筛规则构建模块31,用于获取待筛选特征字段,并根据待筛选特征字段构建报文初筛规则;目标报文确定模块32,用于接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文;特征识别模块33,用于接收并解析待筛选报文,根据预设报文类型和报文初筛规则对待筛选报文进行筛选,确定目标待筛选报文。
本实施例的技术方案,基于获取的待筛选特征字段,设置报文初筛规则,并在对报文进行实际字段筛选前,首先通过初筛规则筛去必然不可能存在待筛选特征字段的部分报文。使得最终需要对待筛选特征字段进行匹配的报文量大幅度降低,减少一次报文特征识别时所需筛选报文的数量,提升了报文特征识别效率,进以提升了总体性能。
可选的,预设报文类型为七层负载报文。
可选的,初筛规则构建模块31,包括:
目标信息确定单元,用于根据待筛选特征字段确定目标协议类型、目标报文类型和目标端口信息;
规则构建单元,用于将目标协议类型、目标报文类型和目标端口信息代入预构建的初筛规则模板,构建与待筛选特征字段对应的报文初筛规则。
可选的,目标报文确定模块32,包括:
报文类型确定单元,用于确定待筛选报文的待筛选报文类型;
中间信息确定单元,用于若待筛选报文类型为预设报文类型,则由待筛选报文中对应用层报文进行提取,确定中间待筛选报文;
目标报文确定单元,用于通过报文初筛规则对中间待筛选报文进行筛选,确定目标待筛选报文。
可选的,目标报文确定单元,具体用于:
对中间待筛选报文进行固定位置关键字提取,确定中间待筛选报文的中间协议类型、中间报文类型和中间端口信息;
若中间协议类型、中间报文类型和中间端口信息均命中报文初筛规则,则将中间待筛选报文确定为目标待筛选报文。
可选的,目标报文确定模块32,还用于:
若待筛选报文类型不是预设报文类型,或中间协议类型、中间报文类型和中间端口信息中任一未命中报文初筛规则,则忽略待筛选报文,并返回执行接收并解析待筛选报文的步骤。
可选的,特征识别模块33,具体用于:
在目标待筛选报文中,对待筛选特征字段进行浮动位置关键字匹配,根据匹配结果确定特征识别结果。
本发明实施例所提供的报文特征识别装置可执行如本发明任意实施例所提供的报文特征识别方法,具备执行方法相应的功能模块和有益效果。
图5为本发明实施例提供的一种报文特征识别设备的结构示意图。报文特征识别设备10可为电子设备,旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,报文特征识别设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储报文特征识别设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
报文特征识别设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许报文特征识别设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如报文特征识别方法。
在一些实施例中,报文特征识别方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到报文特征识别设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的报文特征识别方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行报文特征识别方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (10)

1.一种报文特征识别方法,其特征在于,包括:
获取待筛选特征字段,并根据所述待筛选特征字段构建报文初筛规则;
接收并解析待筛选报文,根据预设报文类型和所述报文初筛规则对所述待筛选报文进行筛选,确定目标待筛选报文;
在所述目标待筛选报文中对所述待筛选特征字段进行筛选,确定特征识别结果。
2.根据权利要求1所述的方法,其特征在于,所述根据所述待筛选特征字段构建报文初筛规则,包括:
根据所述待筛选特征字段确定目标协议类型、目标报文类型和目标端口信息;
将所述目标协议类型、所述目标报文类型和所述目标端口信息代入预构建的初筛规则模板,构建与所述待筛选特征字段对应的报文初筛规则。
3.根据权利要求1所述的方法,其特征在于,所述根据预设报文类型和所述报文初筛规则对所述待筛选报文进行筛选,确定目标待筛选报文,包括:
确定所述待筛选报文的待筛选报文类型;
若所述待筛选报文类型为所述预设报文类型,则由所述待筛选报文中对应用层报文进行提取,确定中间待筛选报文;
通过所述报文初筛规则对所述中间待筛选报文进行筛选,确定目标待筛选报文。
4.根据权利要求3所述的方法,其特征在于,所述通过所述报文初筛规则对所述中间待筛选报文进行筛选,确定目标待筛选报文,包括:
对所述中间待筛选报文进行固定位置关键字提取,确定所述中间待筛选报文的中间协议类型、中间报文类型和中间端口信息;
若所述中间协议类型、所述中间报文类型和所述中间端口信息均命中所述报文初筛规则,则将所述中间待筛选报文确定为目标待筛选报文。
5.根据权利要求4所述的方法,其特征在于,所述根据预设报文类型和所述报文初筛规则对所述待筛选报文进行筛选,还包括:
若所述待筛选报文类型不是所述预设报文类型,或所述中间协议类型、所述中间报文类型和所述中间端口信息中任一未命中所述报文初筛规则,则忽略所述待筛选报文,并返回执行所述接收并解析待筛选报文的步骤。
6.根据权利要求1-5中任一所述的方法,其特征在于,所述预设报文类型为七层负载报文。
7.根据权利要求1-5中任一所述的方法,其特征在于,所述在所述目标待筛选报文中对所述待筛选特征字段进行筛选,确定特征识别结果,包括:
在所述目标待筛选报文中,对所述待筛选特征字段进行浮动位置关键字匹配,根据匹配结果确定特征识别结果。
8.一种报文特征识别装置,其特征在于,包括:
初筛规则构建模块,用于获取待筛选特征字段,并根据所述待筛选特征字段构建报文初筛规则;
目标报文确定模块,用于接收并解析待筛选报文,根据预设报文类型和所述报文初筛规则对所述待筛选报文进行筛选,确定目标待筛选报文;
特征识别模块,用于接收并解析待筛选报文,根据预设报文类型和所述报文初筛规则对所述待筛选报文进行筛选,确定目标待筛选报文。
9.一种报文特征识别设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序能被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的报文特征识别方法。
10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7任一项所述的报文特征识别方法。
CN202311228844.7A 2023-09-20 2023-09-20 一种报文特征识别方法、装置、设备及存储介质 Pending CN117201340A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311228844.7A CN117201340A (zh) 2023-09-20 2023-09-20 一种报文特征识别方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311228844.7A CN117201340A (zh) 2023-09-20 2023-09-20 一种报文特征识别方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117201340A true CN117201340A (zh) 2023-12-08

Family

ID=88996039

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311228844.7A Pending CN117201340A (zh) 2023-09-20 2023-09-20 一种报文特征识别方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117201340A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117858091A (zh) * 2024-03-07 2024-04-09 全讯汇聚网络科技(北京)有限公司 基于dpi技术的移动终端的识别方法、装置、电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117858091A (zh) * 2024-03-07 2024-04-09 全讯汇聚网络科技(北京)有限公司 基于dpi技术的移动终端的识别方法、装置、电子设备
CN117858091B (zh) * 2024-03-07 2024-06-25 全讯汇聚网络科技(北京)有限公司 基于dpi技术的移动终端的识别方法、装置、电子设备

Similar Documents

Publication Publication Date Title
TWI729472B (zh) 特徵詞的確定方法、裝置和伺服器
CN112989235B (zh) 基于知识库的内链构建方法、装置、设备和存储介质
CN117201340A (zh) 一种报文特征识别方法、装置、设备及存储介质
CN116225769B (zh) 一种系统故障根因的确定方法、装置、设备及介质
WO2024098699A1 (zh) 实体对象的威胁检测方法、装置、设备及存储介质
CN113435523B (zh) 预测内容点击率的方法、装置、电子设备以及存储介质
CN113204665B (zh) 图像检索方法、装置、电子设备及计算机可读存储介质
CN113190746B (zh) 推荐模型的评估方法、装置及电子设备
CN116527399B (zh) 基于不可靠伪标签半监督学习的恶意流量分类方法和设备
CN116309002B (zh) 图数据存储、访问、处理方法、训练方法、设备及介质
CN112818972B (zh) 兴趣点图像的检测方法、装置、电子设备及存储介质
CN113656731A (zh) 广告页面的处理方法、装置、电子设备和存储介质
CN114531287B (zh) 虚拟资源获取行为的检测方法、装置、设备及介质
CN113360688B (zh) 信息库的构建方法、装置及系统
CN117539840B (zh) 一种日志获取方法、装置、设备及介质
CN116455999A (zh) 一种应用状态管理方法、装置、电子设备及存储介质
CN112560992B (zh) 优化图片分类模型的方法、装置、电子设备及存储介质
CN114422584B (zh) 资源的推送方法、设备和存储介质
CN113591088B (zh) 一种标识识别方法、装置及电子设备
CN117609311A (zh) 一种服务降级方法、装置、设备以及存储介质
CN117573491A (zh) 一种性能瓶颈的定位方法、装置、设备及存储介质
CN116248340A (zh) 接口攻击的检测方法、装置、电子设备及存储介质
CN118012936A (zh) 一种数据抽取方法、装置、设备及存储介质
CN117806764A (zh) 一种用户界面的数据收集方法、装置、设备及存储介质
CN118523942A (zh) 一种威胁情报处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination