(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111663319.9 (22)申请日 2021.12.31 (71)申请人 北京网太科技发展 有限公司 地址 100070 北京市丰台区中核路3号院3 号楼11层1119室 (72)发明人 王彤　胥斌　郭科松　陈欣华　 (74)专利代理 机构 北京云知万象专利代理事务 所(普通合伙) 16013 代理人 何辉 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/57(2013.01) (54)发明名称 一种数据包序列特征提取方法、 装置、 设备 及介质 (57)摘要 本发明实施例提供的一种数据包序列特征 提取方法、 装置、 设备及介质， 该方法包括： 获取 合法数据包序列， 生成合法数据包特征基线； 获 取攻击数据包序列， 根据所述合法数据包特征基 线， 生成攻击数据包序列特征集； 根据所述合法 数据包序列， 对 所述攻击数据包序列特征集进行 调整， 获取精确的攻击数据包序列特征。 基于数 据包序列特征对 数据包序列进行检测和防护， 可 以精确地检测和阻断攻击过程， 并减少误报， 有 效加强对网络的防护。 权利要求书2页 说明书7页 附图2页 CN 114301707 A 2022.04.08 CN 114301707 A 1.一种数据包序列特 征提取方法， 其特 征在于， 所述方法包括： 获取合法数据包序列， 生成合法数据包特 征基线； 获取攻击数据包序列， 根据所述 合法数据包特 征基线， 生成攻击数据包序列特 征集； 根据所述合法数据包序列， 对所述攻击数据包序列特征集进行调整， 获取精确的攻击 数据包序列特 征。 2.根据权利要求1所述的数据包序列 特征提取方法， 其特征在于， 所述合法数据包特征 基线， 包括： 合法数据包字段值 域和大小， 以及合法数据包序列周期性。 3.根据权利要求1所述的数据包序列 特征提取方法， 其特征在于， 所述攻击数据包序列 特征集， 包括： 攻击数据包的单包特征和相应的关联关系， 以及所述攻击数据包序列的周期 性； 其中， 所述单包特 征为数据包字段值 域和大小。 4.根据权利要求1所述的数据包序列 特征提取方法， 其特征在于， 所述获取攻击数据包 序列， 根据所述 合法数据包特 征基线， 生成攻击数据包序列特 征集， 包括： 将所述合法数据包特 征基线匹配所述 攻击数据包序列； 提取所述攻击数据包序列的非法特 征， 生成所述 攻击数据包序列特 征集。 5.根据权利要求1所述的数据包序列 特征提取方法， 其特征在于， 所述合法数据包序列 包括多个合法数据包， 所述 攻击数据包序列包括多个攻击数据包。 6.根据权利要求1所述的数据包序列 特征提取方法， 其特征在于， 所述根据所述合法数 据包序列， 对所述攻击数据包序列特征集进 行调整， 获取精确的攻击数据包序列特征， 还包 括： 将所述攻击数据包序列特 征集匹配所述 合法数据包序列； 如果所述合法数据包序列命中了所述非法特征， 则对所述非法特征进行调整或者删 除。 7.一种数据包序列特 征提取装置， 其特 征在于， 所述装置， 包括： 基线提取模块， 用于获取合法数据包序列， 生成合法数据包特 征基线； 序列特征模块， 用于获取攻击数据包序列， 根据 所述合法数据包特征基线， 生成攻击数 据包序列特 征集； 特征收敛模块， 用于根据所述合法数据包序列， 对所述攻击数据包序列特征集进行调 整， 获取精确的攻击数据包序列特 征。 8.根据权利要求7所述的数据包序列特征提取装置， 其特征在于， 所述序列特征模块， 还包括： 第一匹配单 元， 用于将所述 合法数据包特 征基线匹配所述 攻击数据包序列； 集成单元， 用于提取所述攻击数据包序列的非法特征， 生成所述攻击数据包序列特征 集。 9.一种设备， 其特 征在于， 包括： 一个或多个处 理器； 存储器， 用于存 储一个或多个程序； 当所述一个或多个程序被所述一个或多个处理器执行， 使得所述一个或多个处理器实 现如权利要求1 ‑6中任一所述的一种数据包序列特 征提取方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序权　利　要　求　书 1/2 页 2 CN 114301707 A 2被处理器执行时实现如权利要求1 ‑6中任一所述的一种数据包序列特 征提取方法。权　利　要　求　书 2/2 页 3 CN 114301707 A 3