信息处理方法、装置、电子设备及存储介质与流程

本技术涉及网络，具体而言，涉及信息处理方法、装置、电子设备及存储介质。

背景技术：

1、随着互联网高速发展，大量网络应用软件不断涌现和更新，各类应用软件以浏览器或客户端的形式占据着大量的网络资源。识别网络中运行的网络应用是网络管理和网络安全的前提。当前主要的防火墙生产厂商都有自己的应用特征库，其包含所能识别应用的字符串特征，用于识别网络流量，方法是通过分析负载中的特殊特征与防火墙中的应用特征库去匹配。但是这种方法有个弊端，一旦应用的特征更新，防火墙则无法识别该应用的流量，从而使防火墙无法对流量进行管控，造成严重的网络问题。

2、相关技术中，在更新应用特征库的工作中，防火墙厂商一般是被动更新的，当防火墙系统的前端检测到某应用无法识别或者测试人员发现某应用无法识别，开发人员才会更新应用特征库，而且主要还是依赖手工访问应用程序，抓取应用报文，保存到本地，分析提取应用特征字符串。该方法一方面是被动去更新未识别应用的特征，另一方面是需要手工收集应用的特征，操作复杂且不能够及时更新应用的特征。

技术实现思路

1、为了实现能够自动准确地提取http(hypertext transfer protocol，超文本传输协议)协议信息中的应用特征，本技术提供一种信息处理方法、装置、电子设备及可读存储介质。

2、第一方面，本技术实施例提供一种信息处理方法，该方法包括：获取未被识别的http应用的流量报文；提取所述流量报文中的字符串特征；将提取到的字符串特征与预设的应用特征库中的特征进行匹配；当未匹配到所述字符串特征时，将所述字符串特征加入所述应用特征库。

3、在上述实现方式中，获取未被识别的http应用的流量报文，不用通过手工访问应用程序采集未被识别的http应用的流量报文，节省操作成本。并将提取到的流量报文信息中的多个字符串特征与预设的应用特征库中的特征进行匹配，当未匹配到字符串特征时，并基于该字符串特征更新应用特征库，以实现自动更新应用特征库征。本技术实施方式能够实现http应用特征的自动化提取，减少开发人员手工操作成本，同时能够及时更新http应用特征库。

4、可选的，提取所述流量报文中的字符串特征，包括：获取所述流量报文中的字符串集合，所述字符串集合包括至少一条所述流量报文的头部信息；根据所述字符串集合，得到所述字符串特征。

5、在上述实现方式中，由于http应用中某一应用具有多条流量报文，而一条流量报文可能具有多条字符串，因此，http应用具有多条字符串。本技术中将未被识别的http应用的流量报文对应的多条字符串组合，得到字符串集合，并以此得到字符串特征，这样，能保证得到的字符串特征能尽可能的代表http应用的流量报文。

6、可选的，获取所述流量报文中的字符串集合，包括：获取多条所述流量报文中的头部信息，得到所述字符串集合。

7、在上述实现方式中，可以通过将多条流量报文中的头部信息进行组合，从而可以快速得到字符串集合，使得后续在以此得到字符串特征时，能保证得到的字符串特征能尽可能的代表http应用的流量报文。

8、可选的，根据所述字符串集合得到所述字符串特征，包括：对所述字符串集合中的每个头部信息进行哈希计算，得到哈希字符串；将所述哈希字符串与已有哈希表中的字符串进行匹配；若匹配到所述哈希字符串，更新所述哈希表中所述哈希字符串的匹配成功次数；根据更新后的所述哈希表中的字符串，获取所述字符串特征。

9、在上述实现方式中，通过对字符串集合中的每个头部信息进行哈希运算，将得到的哈希字符串与已有哈希表中的字符串进行匹配，并更新哈希表中该哈希字符串的匹配成功次数，这样便可快速准确基于更新后的哈希表中的字符串，获取字符串特征

10、可选的，根据更新后的所述哈希表中的字符串，获取所述字符串特征，包括：从所述更新后的哈希表中的字符串中筛选出符合预设条件的目标字符串，其中，当所述字符串为匹配成功次数大于预设阈值、且字符串长度大于预设字符串长度的有效字符串时，所述字符串符合所述预设条件；根据所述目标字符串，获取所述字符串特征。

11、在上述实现方式中，从更新后的哈希表中的字符串中筛选出：匹配成功次数大于预设阈值、且字符串长度大于预设字符串长度、字符串为有效字符串的目标字符串，之后便可根据目标字符串获取字符串特征，这样提高字符串特征的准确性。

12、可选的，所述根据所述目标字符串，获取所述字符串特征，包括：若所述目标字符串的数量为一个，将所述目标字符串确定为所述字符串特征；或者，若所述目标字符串的数量为多个，将多个所述目标字符串中的匹配成功次数最大的目标字符串确定为所述字符串特征；或者，若所述目标字符串的数量为多个，多个所述目标字符串中的第一目标字符串包含第二目标字符串，且所述第一目标字符串和所述第二目标字符串在多个所述目标字符串中的匹配成功次数最大，则将所述第一目标字符串确定为所述字符串特征。

13、在上述实现方式中，当目标字符串的数量为多个时，可以将多个目标字符串中的匹配成功次数最大的目标字符串确定为字符串特征，或者，根据匹配成功次数最大的目标字符串之间的关系，筛选出所需的字符串特征，例如，将包含第二目标字符串)的第一目标字符串作为所需的字符串特征，这样能够尽可能的提取出表征流量报文的字符串特征，从而能够提高识别的准确性。

14、可选的，所述根据所述目标字符串，获取所述字符串特征，包括：若所述目标字符串的数量为多个，多个所述目标字符串包括第三目标字符串和第四目标字符串，且所述第三目标字符串包含所述第四目标字符串时，确定所述第三目标字符串的匹配成功次数是否小于所述第四目标字符串的匹配成功次数；当所述第三目标字符串的匹配成功次数小于所述第四目标字符串的匹配成功次数，且所述第四目标字符串的匹配成功次数与预设筛选系数的乘积小于所述第三目标字符串的匹配成功次数，将所述第三目标字符串确定为所述字符串特征；其中，所述预设筛选系数为小于1且大于0的数值；当所述第三目标字符串的匹配成功次数小于所述第四目标字符串的匹配成功次数、且所述第四目标字符串的匹配成功次数与预设筛选系数的乘积大于或等于所述第三目标字符串的匹配成功次数，将所述第四目标字符串确定为所述字符串特征；当所述第三目标字符串的匹配成功次数大于或等于所述第四目标字符串的匹配成功次数，将所述第三目标字符串确定为所述字符串特征。

15、在上述实现方式中，当目标字符串包括第三目标字符串和第四目标字符串时，可以根据筛选系数从两个目标字符串中筛选出满足上述条件的目标字符串作为所需的字符串特征，通过对目标字符串进行筛选，能够使得最终获得更准确、有效的字符串特征。

16、可选的，所述根据所述目标字符串，获取所述字符串特征，包括：若所述目标字符串的数量为多个，从多个所述目标字符串中选取至少两个字符串，组成组合特征，将所述组合特征确定为所述字符串特征。

17、在上述实现方式中，可以通过获取至少两个字符串组成组合特征来识别应用，能够识别一条字符串特征无法进行识别的应用，提高了识别成功率和准确性。

18、可选的，将所述字符串特征加入所述应用特征库之后，所述方法还包括：回放所述字符串特征对应的目标流量报文，以验证所述字符串特征的有效性；基于更新后的所述应用特征库是否识别到所述目标流量报文，确定所述字符串特征是否为有效特征。

19、在上述实现方式中，在将字符串特征加入应用特征库后，回放字符串特征对应的目标流量报文，验证该字符串特征的有效性，以获得有效的字符串特征，提高字符串提取的准确性。

20、可选的，获取未被识别的http应用的流量报文，包括：接收http应用的流量报文；将所述流量报文的特征与所述应用特征库中的特征进行匹配；若未匹配成功，则所述流量报文为所述未被识别的http应用的流量报文。

21、在上述实现方式中，将http应用的流量报文的特征与应用特征库中的特征进行匹配，根据匹配结果，抓取未被识别的http应用的流量报文。

22、第二方面，本技术实施例还提供一种信息处理装置，包括：获取模块、特征提取模块以及处理模块；获取模块，用于获取未被识别的http应用的流量报文；特征提取模块，用于提取所述流量报文中的字符串特征；处理模块，用于将提取到的字符串特征与预设的应用特征库中的特征进行匹配；当未匹配到所述字符串特征时，将所述字符串特征加入所述应用特征库。

23、第三方面，本技术实施例还提供一种电子设备，该电子设备包括：至少一个处理器和至少一个存储器；所述存储器，用于存储一个或多个程序指令；所述处理器，用于运行一个或多个程序指令，用以执行如上述第一方面实施例和/或结合上述第一方面实施例的任一实施方式提供的信息处理方法。

24、第四方面，本技术实施例还提供一种计算机可读存储介质，该计算机可读存储介质中至少包含一个一个或多个程序指令，所述一个或多个指令用于执行如上述第一方面实施例和/或结合上述第一方面实施例的任一项实施方式提供的信息处理方法。